Colgate Posted October 18 Share Posted October 18 27 минут назад, miltt сказал: Галку, да. Cisco такой серт. считает недоверенным. AnyConnect с камуфляжем работает. А вот мультипротокольный VPN Client Pro, только без камуфляжа. Хоть и богаче по настройкам, а ни в какую. Получилось наоборот. Именно с камуфляжем не работает, а без него работает. Интересно почему? В логах клиента не нашел ничего такого. Quote Link to comment Share on other sites More sharing options...
linkedu Posted October 18 Share Posted October 18 (edited) В 06.10.2024 в 10:36, SemyonG сказал: Добрый день! KN-3710 OpenConnect-клиент проработал месяц, вчера отвалился и висит в состоянии "идет подключение" трафик в впн не идет, на сервере сессия в статусе эктив. Была прошивка 4.2 beta3, обновил до 4.2.1 результат тот же. Клиенты с конечных хостов подключаются без проблем. UDP: Причину выяснил, клиент не осилил 1471 маршрут с OpenConnect-сервера в 24е подсети. Хотя он их и не принимает насколько я понял. Даже при меньшем количестве приходилось прописывать статику непосредственно на роутере. Подскажите, а что делать-то, у меня такая же ситуация - сторонние клиенты подключаются с андроида (кроме случая с камуфляжем), а между собой кинетики не дружат? UPD Теперь надо маршрут прописывать к серверу Edited October 19 by linkedu UPD Quote Link to comment Share on other sites More sharing options...
miltt Posted October 18 Share Posted October 18 3 часа назад, Colgate сказал: Получилось наоборот. Именно с камуфляжем не работает, а без него работает. Интересно почему? В логах клиента не нашел ничего такого. Т. е. у Вас AnyConnect (Cisco Secure Client) без камуфляжа подключается к серверу кинетика? А при включении камуфляж, Вы адрес сервера в клиенте изменяете соответствующим образом? Если да, то о какой версии прошивки речь? Т.к. на свежей альфе у меня ни openconnect ни sstp, что с камуфляжем, что без, не завелись. Пришлось отъехать на стаб. Quote Link to comment Share on other sites More sharing options...
Colgate Posted October 19 Share Posted October 19 4 часа назад, miltt сказал: Т. е. у Вас AnyConnect (Cisco Secure Client) без камуфляжа подключается к серверу кинетика? А при включении камуфляж, Вы адрес сервера в клиенте изменяете соответствующим образом? Если да, то о какой версии прошивки речь? Т.к. на свежей альфе у меня ни openconnect ни sstp, что с камуфляжем, что без, не завелись. Пришлось отъехать на стаб. При включении камуфляжа адрес подключения не изменяю. Подскажите, пожалуйста, как нужно изменить? Выше этот же вопрос задавал. У меня KeeneticOS 4.2.1 Quote Link to comment Share on other sites More sharing options...
DHARVED Posted October 19 Share Posted October 19 OC сервер стоит на VPS, клиент на Giga (KN-1011). Роутер выдает максимум 15мбит в обе стороны. Это предел железки или можно что покрутить? С телефона тестил разок, через AnyConnect, 150мбит в обе стороны. На VPS выдан канал 300мбит. Quote Link to comment Share on other sites More sharing options...
miltt Posted October 19 Share Posted October 19 (edited) 5 часов назад, Colgate сказал: При включении камуфляжа адрес подключения не изменяю. Подскажите, пожалуйста, как нужно изменить? Выше этот же вопрос задавал. У меня KeeneticOS 4.2.1 Здесь обсуждали (страницу назад). Ответ выше на 4-ре сообщения от Вашего первого вопроса . "secret" вашего сервера Вы можете узнать в CLI/ Web-CLI набрав: show oc-server естественно при включенном камуфляж. Edited October 19 by miltt Quote Link to comment Share on other sites More sharing options...
slydiman Posted October 19 Share Posted October 19 12 часа назад, DHARVED сказал: Это предел железки или можно что покрутить? Тоже было 10..18 мбит. Заменил роутер на Hopper SE (KN-3812) - стало лучше, почти 100 мбит. Другие утверждали что и 150 тянет. Кстати, что за провайдер, где VPS, если не секрет? Quote Link to comment Share on other sites More sharing options...
slydiman Posted October 19 Share Posted October 19 15 часов назад, Colgate сказал: При включении камуфляжа адрес подключения не изменяю. Подскажите, пожалуйста, как нужно изменить? При включении комуфляжа в адрес добавляется ?secret_word Секретное слово разумеется ваше, прописанное на сервере. То есть если на клиенте адрес был https://my_server/, то становится https://my_server/?secret_word В данном примере подразумевается порт 443 стандартный для https. Quote Link to comment Share on other sites More sharing options...
DHARVED Posted October 19 Share Posted October 19 1 минуту назад, slydiman сказал: Тоже было 10..18 мбит. Заменил роутер на Hopper SE (KN-3812) - стало лучше, почти 100 мбит. Другие утверждали что и 150 тянет. Кстати, что за провайдер, где VPS, если не секрет? JustHost, самый дешёвый тариф, 1ядро, 1гиг рам, 20 нвме, локация варшава. Менять гигу на новый хопер дорогое удовольствие конечно. Думал может на х86 что организовать, но это тоже не дёшево:( Quote Link to comment Share on other sites More sharing options...
KPOCAB4EG Posted Saturday at 11:19 PM Share Posted Saturday at 11:19 PM openconnect client (AnyConnect) в кинетиках поддерживает totp? для понимания, пример моего подключения сейчас (через openconnect): Цитата echo -n "password" | sudo openconnect --user=username --passwd-on-stdin --token-mode=totp --token-secret="base32:secret" --useragent=AnyConnect https://server роутера нет на руках, в демо не проверить Quote Link to comment Share on other sites More sharing options...
vasek00 Posted Sunday at 05:13 AM Share Posted Sunday at 05:13 AM 5 часов назад, KPOCAB4EG сказал: openconnect client (AnyConnect) в кинетиках поддерживает totp? для понимания, пример моего подключения сейчас (через openconnect): роутера нет на руках, в демо не проверить Думаю нет так как используется метод auth = "radius[config=/var/run/ocserv/radius.conf,groupconfig=true]" acct = "radius[config=/var/run/ocserv/radius.conf,groupconfig=true]" и плюс может camouflage=true camouflage_secret=bb.....3 иначе auth = "plain[passwd=/etc/ocserv/passwd,otp=/etc/ocserv/passwd.oath]" # authentication using password-file and otp Чтобы генерировать секрет TOTP, некоторые псевдослучайные данные должны быть сгенерированы и написаны в файл OTP в специальном формате. KEY=$(head -10 /dev/urandom | md5sum | cut -b 1-8) # use 1-30 for more complex keys echo "HOTP/T30 <username> - $KEY" >> /etc/ocserv/passwd.oath 1 Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted Sunday at 02:21 PM Share Posted Sunday at 02:21 PM 15 часов назад, KPOCAB4EG сказал: openconnect client (AnyConnect) в кинетиках поддерживает totp? для понимания, пример моего подключения сейчас (через openconnect): роутера нет на руках, в демо не проверить Попробовать можно. А удаленная сторона кто? 1 Quote Link to comment Share on other sites More sharing options...
KPOCAB4EG Posted Sunday at 03:23 PM Share Posted Sunday at 03:23 PM 58 минут назад, Le ecureuil сказал: Попробовать можно. А удаленная сторона кто? корпоративный cisco роутер взял (новую гигу), если будет развитие пакета - с радостью протестирую Quote Link to comment Share on other sites More sharing options...
sundmoon Posted Sunday at 08:06 PM Share Posted Sunday at 08:06 PM (edited) Есть домашний keenetic hopper se с белым IP и entware, и есть vpn-шлюз в корпоративной сети (виртуалка за фаерволами; пивом вопросы нерешаемы и вообще никак не решаемы). OC шлюза возможна любая, навскидку завёл OPNSense. Задача подключиться домой чем-то максимально похожим на https и удерживать тоннель типа сайт-to-сайт - то есть 1) переподнимать его в случае разрыва и 2) добавлять на кинетик маршруты за виртуалкой, как только подключается этот клиент и что-то разумное делать с коннектами когда туннель разорван и ожидается переподключение. Кажется, следует выбрать всё-таки Openconnect - потому, что клиента SSTP я в opnsense не вижу. Пруф-концепт подключение работает. Дело за малым: докрутить туннель. Прошу советов. Edited Sunday at 11:11 PM by sundmoon Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted Monday at 08:04 AM Share Posted Monday at 08:04 AM @avnпоправил эту мелочь, в следующем выпуске можно будет проверить. Quote Link to comment Share on other sites More sharing options...
abelar Posted Wednesday at 07:06 PM Share Posted Wednesday at 07:06 PM (edited) Несколько дней тестирую протокол OC, поднят на VPS при помощи VPN bot https://telegra.ph/vpnbot-start-xray-10-14 Клиентами OC являются Hooper SE и Hero 4G+. К роутерам через настроенную политику подключены телевизоры. Для других клиентов OC не используется, они берут конфиг от SingBox того же сервера. Поначалу был жор памяти в контейнере OCserv на VPS, на данный момент эта проблема уже решена. В принципе все работает, устраивает. Мощностей процессоров роутеров хватает, затык идет в 50% ограничении контейнера OCserv на использование ядра VPS. А так как там 1 ядро, 2 Гб памяти и 5Гб диск, то особо не разгуляться, обеспечивает скорость 50-70 Мбит/c. Телевизорам для Ютуба это более чем достаточно. Был бы мощнее VPS была бы выше скорость. Осталась единственная проблема. Например даже при кратковременной перезагрузке сервера соединение OC на Кинетике не пропадает. Он думает, что подключен, но при этом данные не передаются, 10 минут висит чего-то ждет. Надо либо вручную передернуть на Кинетике, либо само отвиснет и переконнектится примерно через 10 минут. Перелопатил весь файл Ocserv.conf на сервере OCserv, пробовал менять значения, ничего не помогает. Похоже данный параметр управляется со стороны клиента (Кинетика). Может кто-нибудь сталкивался, как решить проблему? Edited Wednesday at 07:10 PM by abelar Quote Link to comment Share on other sites More sharing options...
Denis P Posted Wednesday at 07:33 PM Share Posted Wednesday at 07:33 PM (edited) 27 минут назад, abelar сказал: Несколько дней тестирую протокол OC, поднят на VPS при помощи VPN bot https://telegra.ph/vpnbot-start-xray-10-14 Клиентами OC являются Hooper SE и Hero 4G+. К роутерам через настроенную политику подключены телевизоры. Для других клиентов OC не используется, они берут конфиг от SingBox того же сервера. Поначалу был жор памяти в контейнере OCserv на VPS, на данный момент эта проблема уже решена. В принципе все работает, устраивает. Мощностей процессоров роутеров хватает, затык идет в 50% ограничении контейнера OCserv на использование ядра VPS. А так как там 1 ядро, 2 Гб памяти и 5Гб диск, то особо не разгуляться, обеспечивает скорость 50-70 Мбит/c. Телевизорам для Ютуба это более чем достаточно. Был бы мощнее VPS была бы выше скорость. Осталась единственная проблема. Например даже при кратковременной перезагрузке сервера соединение OC на Кинетике не пропадает. Он думает, что подключен, но при этом данные не передаются, 10 минут висит чего-то ждет. Надо либо вручную передернуть на Кинетике, либо само отвиснет и переконнектится примерно через 10 минут. Перелопатил весь файл Ocserv.conf на сервере OCserv, пробовал менять значения, ничего не помогает. Похоже данный параметр управляется со стороны клиента (Кинетика). Может кто-нибудь сталкивался, как решить проблему? крутить на сервере keepalive = dpd = Edited Wednesday at 07:34 PM by Denis P Quote Link to comment Share on other sites More sharing options...
abelar Posted Wednesday at 08:15 PM Share Posted Wednesday at 08:15 PM 40 минут назад, Denis P сказал: крутить на сервере keepalive = dpd = Сейчас стоит keepalive = 300, dpd = 60, пробовал keepalive = 30 - ничего не меняется Quote Link to comment Share on other sites More sharing options...
savizor Posted 17 hours ago Share Posted 17 hours ago (edited) Два кинетика связаны через Openconnect - маршруты прописаны все хорошо работает. Как можно настроить фаер для входящих со стороны кинетик-клиента, на стороне кинетик-сервера ? Интерфейс OCVPN на "сервере" в маршрутах виден, но в "межсетевом экране" отсутствует. Настройка правил по маскам сетей в сегменте "домашняя сеть" никак не влияет.. Edited 17 hours ago by savizor Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.