Jump to content

Recommended Posts

27 минут назад, miltt сказал:

Галку, да. Cisco такой серт. считает недоверенным.
AnyConnect с камуфляжем работает. А вот мультипротокольный VPN Client Pro, только без камуфляжа. Хоть и богаче по настройкам, а ни в какую.

Получилось наоборот. Именно с камуфляжем не работает, а без него работает. Интересно почему? В логах клиента не нашел ничего такого.

Link to comment
Share on other sites

В 06.10.2024 в 10:36, SemyonG сказал:

Добрый день!
KN-3710 OpenConnect-клиент проработал месяц, вчера отвалился и висит в состоянии "идет подключение" трафик в впн не идет, на сервере сессия в статусе эктив.
Была прошивка 4.2 beta3, обновил до 4.2.1 результат тот же. Клиенты с конечных хостов подключаются без проблем.

UDP:
Причину выяснил, клиент не осилил 1471 маршрут с OpenConnect-сервера в 24е подсети. Хотя он их и не принимает насколько я понял. Даже при меньшем количестве приходилось прописывать статику непосредственно на роутере.

 

Подскажите, а что делать-то, у меня такая же ситуация - сторонние клиенты подключаются с андроида (кроме случая с камуфляжем), а между собой кинетики не дружат?

UPD Теперь надо маршрут прописывать к серверу

Edited by linkedu
UPD
Link to comment
Share on other sites

3 часа назад, Colgate сказал:

Получилось наоборот. Именно с камуфляжем не работает, а без него работает. Интересно почему? В логах клиента не нашел ничего такого.

Т. е. у Вас AnyConnect (Cisco Secure Client) без камуфляжа подключается к серверу кинетика?

А при включении камуфляж, Вы адрес сервера в клиенте изменяете соответствующим образом?

Если да, то о какой версии прошивки речь? Т.к. на свежей альфе у меня ни openconnect ни sstp, что с камуфляжем, что без, не завелись. Пришлось отъехать на стаб.

Link to comment
Share on other sites

4 часа назад, miltt сказал:

Т. е. у Вас AnyConnect (Cisco Secure Client) без камуфляжа подключается к серверу кинетика?

А при включении камуфляж, Вы адрес сервера в клиенте изменяете соответствующим образом?

Если да, то о какой версии прошивки речь? Т.к. на свежей альфе у меня ни openconnect ни sstp, что с камуфляжем, что без, не завелись. Пришлось отъехать на стаб.

При включении камуфляжа адрес подключения не изменяю. Подскажите, пожалуйста, как нужно изменить? Выше этот же вопрос задавал.

У меня KeeneticOS 4.2.1

Link to comment
Share on other sites

OC сервер стоит на VPS, клиент на Giga (KN-1011). Роутер выдает максимум 15мбит в обе стороны. Это предел железки или можно что покрутить? 

С телефона тестил разок, через AnyConnect, 150мбит в обе стороны. На VPS выдан канал 300мбит. 

Link to comment
Share on other sites

5 часов назад, Colgate сказал:

При включении камуфляжа адрес подключения не изменяю. Подскажите, пожалуйста, как нужно изменить? Выше этот же вопрос задавал.

У меня KeeneticOS 4.2.1

Здесь обсуждали (страницу назад). Ответ выше на 4-ре сообщения от Вашего первого вопроса .
"secret" вашего сервера Вы можете узнать в CLI/ Web-CLI
набрав: show oc-server
естественно при включенном камуфляж.

Edited by miltt
Link to comment
Share on other sites

12 часа назад, DHARVED сказал:

Это предел железки или можно что покрутить? 

Тоже было 10..18 мбит. Заменил роутер на Hopper SE (KN-3812) - стало лучше, почти 100 мбит.
Другие утверждали что и 150 тянет.
Кстати, что за провайдер, где VPS, если не секрет?

Link to comment
Share on other sites

15 часов назад, Colgate сказал:

При включении камуфляжа адрес подключения не изменяю. Подскажите, пожалуйста, как нужно изменить?

При включении комуфляжа в адрес добавляется ?secret_word
Секретное слово разумеется ваше, прописанное на сервере.
То есть если на клиенте адрес был https://my_server/, то становится https://my_server/?secret_word
В данном примере подразумевается порт 443 стандартный для https.

Link to comment
Share on other sites

1 минуту назад, slydiman сказал:

Тоже было 10..18 мбит. Заменил роутер на Hopper SE (KN-3812) - стало лучше, почти 100 мбит.
Другие утверждали что и 150 тянет.
Кстати, что за провайдер, где VPS, если не секрет?

JustHost, самый дешёвый тариф, 1ядро, 1гиг рам, 20 нвме, локация варшава. 

Менять гигу на новый хопер дорогое удовольствие конечно. Думал может на х86 что организовать, но это тоже не дёшево:(

 

Link to comment
Share on other sites

openconnect client (AnyConnect) в кинетиках поддерживает totp? для понимания, пример моего подключения сейчас (через openconnect):

Цитата

echo -n "password" | sudo openconnect --user=username --passwd-on-stdin --token-mode=totp --token-secret="base32:secret" --useragent=AnyConnect https://server

роутера нет на руках, в демо не проверить

Link to comment
Share on other sites

5 часов назад, KPOCAB4EG сказал:

openconnect client (AnyConnect) в кинетиках поддерживает totp? для понимания, пример моего подключения сейчас (через openconnect):

роутера нет на руках, в демо не проверить

Думаю нет так как используется метод

auth = "radius[config=/var/run/ocserv/radius.conf,groupconfig=true]"
acct = "radius[config=/var/run/ocserv/radius.conf,groupconfig=true]"

и  плюс может

camouflage=true
camouflage_secret=bb.....3

иначе

auth = "plain[passwd=/etc/ocserv/passwd,otp=/etc/ocserv/passwd.oath]" # authentication using password-file and otp


Чтобы генерировать секрет TOTP, некоторые псевдослучайные данные должны быть сгенерированы и написаны в файл OTP в специальном формате.

KEY=$(head -10 /dev/urandom | md5sum | cut -b 1-8) # use 1-30 for more complex keys
echo "HOTP/T30 <username> - $KEY" >> /etc/ocserv/passwd.oath

 

  • Upvote 1
Link to comment
Share on other sites

15 часов назад, KPOCAB4EG сказал:

openconnect client (AnyConnect) в кинетиках поддерживает totp? для понимания, пример моего подключения сейчас (через openconnect):

роутера нет на руках, в демо не проверить

Попробовать можно. А удаленная сторона кто?

  • Thanks 1
Link to comment
Share on other sites

58 минут назад, Le ecureuil сказал:

Попробовать можно. А удаленная сторона кто?

корпоративный cisco

роутер взял (новую гигу), если будет развитие пакета - с радостью протестирую

Link to comment
Share on other sites


Есть домашний keenetic hopper se  с белым IP и entware, и есть vpn-шлюз в корпоративной сети (виртуалка за фаерволами; пивом вопросы нерешаемы и вообще никак не решаемы).

OC шлюза возможна любая, навскидку завёл OPNSense.


Задача подключиться домой чем-то максимально похожим на https и удерживать тоннель типа сайт-to-сайт - то есть 1) переподнимать его в случае разрыва и  2) добавлять на кинетик маршруты за виртуалкой, как только подключается этот клиент и что-то разумное делать с коннектами когда туннель разорван и ожидается переподключение.

Кажется, следует выбрать всё-таки Openconnect - потому, что клиента SSTP я в opnsense не вижу.

 

Пруф-концепт подключение работает. 
Дело за малым: докрутить туннель. 

Прошу советов.

 

Edited by sundmoon
Link to comment
Share on other sites

Несколько дней тестирую протокол OC, поднят на VPS при помощи VPN bot https://telegra.ph/vpnbot-start-xray-10-14

Клиентами OC являются Hooper SE и  Hero 4G+. К роутерам через настроенную политику подключены телевизоры. Для других клиентов OC не используется, они берут конфиг от SingBox того же сервера. Поначалу был жор памяти в контейнере OCserv на VPS, на данный момент эта проблема уже решена. В принципе все работает, устраивает. Мощностей процессоров роутеров хватает, затык идет в 50% ограничении контейнера OCserv на использование ядра VPS. А так как там 1 ядро, 2 Гб памяти и 5Гб диск, то особо не разгуляться, обеспечивает скорость 50-70 Мбит/c. Телевизорам для Ютуба это более чем достаточно. Был бы мощнее VPS была бы выше скорость.

Осталась единственная проблема. Например даже при кратковременной перезагрузке сервера соединение OC на Кинетике не пропадает. Он думает, что подключен, но при этом данные не передаются, 10 минут висит чего-то ждет. Надо либо вручную передернуть на Кинетике, либо само отвиснет и переконнектится примерно через 10 минут.

Перелопатил весь файл Ocserv.conf на сервере OCserv, пробовал менять значения, ничего не помогает. Похоже данный параметр управляется со стороны клиента (Кинетика).

Может кто-нибудь сталкивался, как решить проблему?

Edited by abelar
Link to comment
Share on other sites

27 минут назад, abelar сказал:

Несколько дней тестирую протокол OC, поднят на VPS при помощи VPN bot https://telegra.ph/vpnbot-start-xray-10-14

Клиентами OC являются Hooper SE и  Hero 4G+. К роутерам через настроенную политику подключены телевизоры. Для других клиентов OC не используется, они берут конфиг от SingBox того же сервера. Поначалу был жор памяти в контейнере OCserv на VPS, на данный момент эта проблема уже решена. В принципе все работает, устраивает. Мощностей процессоров роутеров хватает, затык идет в 50% ограничении контейнера OCserv на использование ядра VPS. А так как там 1 ядро, 2 Гб памяти и 5Гб диск, то особо не разгуляться, обеспечивает скорость 50-70 Мбит/c. Телевизорам для Ютуба это более чем достаточно. Был бы мощнее VPS была бы выше скорость.

Осталась единственная проблема. Например даже при кратковременной перезагрузке сервера соединение OC на Кинетике не пропадает. Он думает, что подключен, но при этом данные не передаются, 10 минут висит чего-то ждет. Надо либо вручную передернуть на Кинетике, либо само отвиснет и переконнектится примерно через 10 минут.

Перелопатил весь файл Ocserv.conf на сервере OCserv, пробовал менять значения, ничего не помогает. Похоже данный параметр управляется со стороны клиента (Кинетика).

Может кто-нибудь сталкивался, как решить проблему?

крутить на сервере
keepalive = 
dpd = 

Edited by Denis P
Link to comment
Share on other sites

40 минут назад, Denis P сказал:

крутить на сервере
keepalive = 
dpd = 

Сейчас стоит keepalive = 300, dpd = 60, пробовал keepalive = 30 - ничего не меняется

Link to comment
Share on other sites

Два кинетика связаны через Openconnect - маршруты прописаны все хорошо работает.

Как можно настроить фаер для входящих со стороны кинетик-клиента, на стороне кинетик-сервера ? Интерфейс OCVPN на "сервере" в маршрутах виден, но в "межсетевом экране" отсутствует. Настройка правил по маскам сетей в сегменте "домашняя сеть" никак не влияет..

Edited by savizor
Link to comment
Share on other sites

В 23.10.2024 в 22:06, abelar сказал:

Несколько дней тестирую протокол OC, поднят на VPS при помощи VPN bot https://telegra.ph/vpnbot-start-xray-10-14

Клиентами OC являются Hooper SE и  Hero 4G+. К роутерам через настроенную политику подключены телевизоры. Для других клиентов OC не используется, они берут конфиг от SingBox того же сервера. Поначалу был жор памяти в контейнере OCserv на VPS, на данный момент эта проблема уже решена. В принципе все работает, устраивает. Мощностей процессоров роутеров хватает, затык идет в 50% ограничении контейнера OCserv на использование ядра VPS. А так как там 1 ядро, 2 Гб памяти и 5Гб диск, то особо не разгуляться, обеспечивает скорость 50-70 Мбит/c. Телевизорам для Ютуба это более чем достаточно. Был бы мощнее VPS была бы выше скорость.

Осталась единственная проблема. Например даже при кратковременной перезагрузке сервера соединение OC на Кинетике не пропадает. Он думает, что подключен, но при этом данные не передаются, 10 минут висит чего-то ждет. Надо либо вручную передернуть на Кинетике, либо само отвиснет и переконнектится примерно через 10 минут.

Перелопатил весь файл Ocserv.conf на сервере OCserv, пробовал менять значения, ничего не помогает. Похоже данный параметр управляется со стороны клиента (Кинетика).

Может кто-нибудь сталкивался, как решить проблему?

Поправлено, в следующей версии 4.3 будет все нормально.

  • Thanks 1
Link to comment
Share on other sites

В 21.10.2024 в 11:04, Le ecureuil сказал:

@avnпоправил эту мелочь, в следующем выпуске можно будет проверить.

Все получилось. Спасибо.

А что делаю команды:

    openconnect accept-addresses
    openconnect accept-routes

Ко мне приходит куча маршрутов, но они все игнорируются. Так и запланировано?

 

Еще бы научиться DTLS отключать, а то спамит сообщениями

[I] Oct 28 00:43:51 openconnect: DTLS handshake timed out 
[I] Oct 28 00:43:51 openconnect: DTLS handshake failed: Resource temporarily unavailable, try again. 

Совет от разработчиков по поводу DTLS

Since TCP over TCP is very suboptimal, OpenConnect tries to always 
use PPP-over-DTLS, and will only fall over to the PPP-over-TLS tunnel if that fails, 
or if disabled via the --no-dtls argument.

 

Edited by avn
Link to comment
Share on other sites

Подскажите пожалуйста, есть ли возможность передать на клиента маршрут, когда в качестве сервера выступает keenetic? Что то вроде oc-server dhcp route ?

Link to comment
Share on other sites

1 час назад, Fedro сказал:

Подскажите пожалуйста, есть ли возможность передать на клиента маршрут, когда в качестве сервера выступает keenetic? Что то вроде oc-server dhcp route ?

@avn пока это не было доделано, но в работу взято.

  • Thanks 3
Link to comment
Share on other sites

10 минут назад, Le ecureuil сказал:

@avn пока это не было доделано, но в работу взято.

Это будет очень хорошо. Спасибо большое. Если бы по аналогии с l2tp сервером маршрут в выбранный сегмент сети для доступа клиентов push-ился автоматически, было бы просто великолепно. 

Link to comment
Share on other sites

Добрый день. Нужно было организовать доступ с компьютера на компьютер по rdp (компьютеры в разных городах, один из них сервер). Настроил openconnect на кинетике, и подключил к ней двух клиентов через OpenConnect GUI VPN client. RDP заработало. Но вылезла проблема - весь клиентский трафик через vpn-тунель. Как я понимаю, нужно бы снять галочку "Использовать основной шлюз в удаленной сети", которая есть у винды для других типов VPN-подключений. Но для openconnect клиент под винду не встроенный, а сторонний. Соответственно галочки нет, снимать нечего. В настройках OpenConnect GUI никаких настроек для шлюза нет. Можно как-то обойти эту ситуацию? Клиентскому компьютеру (ноутбукам менеджеров) нужно заходить на сервер, но их локальный трафик не должен идти через vpn-туннель. 

Link to comment
Share on other sites

1 час назад, chromo сказал:

Добрый день. Нужно было организовать доступ с компьютера на компьютер по rdp (компьютеры в разных городах, один из них сервер). Настроил openconnect на кинетике, и подключил к ней двух клиентов через OpenConnect GUI VPN client. RDP заработало. Но вылезла проблема - весь клиентский трафик через vpn-тунель. Как я понимаю, нужно бы снять галочку "Использовать основной шлюз в удаленной сети", которая есть у винды для других типов VPN-подключений. Но для openconnect клиент под винду не встроенный, а сторонний. Соответственно галочки нет, снимать нечего. В настройках OpenConnect GUI никаких настроек для шлюза нет. Можно как-то обойти эту ситуацию? Клиентскому компьютеру (ноутбукам менеджеров) нужно заходить на сервер, но их локальный трафик не должен идти через vpn-туннель. 

добрый день! Да, можно, но не очень технологично пока.

на стороне кинетика (предположим домашняя сеть у нас 192.168.1.0/24).

Допустим вы выделяете отдельную подсеть (я бы пока рекомендовал делать так, после некоторого количества экспериментов) для пула адресов openconnect клиентов. Например 10.10.10.2 и 200 адресов пул

Назначаем фиксированный адрес клиенту. к которому вы подключаетесь. Пусть будет 10.10.10.24 

Галку NAT для клиентов можно снять в таком случае. 

На стороне клиента OpenConnetc GUI открываете расширенные настройки соединения и в строке vpnc script выбираете файл C:\Program Files\OpenConnect-GUI\vpnc-script-win.js,  потом в этом файле находите сроку var REDIRECT_GATEWAY_METHOD = 0; и заменяете на var REDIRECT_GATEWAY_METHOD = 1; сохраняете файл. После подключения у вас маршрут в сеть 10.10.10.0/24 перестанет быть маршрутом по умолчанию.

И добавляете в систему маршрут к домашней сети

route -p add 192.168.1.0 mask 255.255.255.0 10.10.10.24

К сожалению, интерфейс oenconnect не идентифицируется как vpn и добавлять/удалять автоматически при поднятии этого интерфейса маршрут не получится. 

Edited by Fedro
Link to comment
Share on other sites

В следующей версии 4.3 в клиенте при выборе accept-routes будут приниматься внешние роуты, будет работает получение и настройка IPv6-адресов.

Также в сервере появится команда oc-server route для задания маршрутов, которые уйдут клиентам.

  • Thanks 5
Link to comment
Share on other sites

6 часов назад, chromo сказал:

Добрый день. Нужно было организовать доступ с компьютера на компьютер по rdp (компьютеры в разных городах, один из них сервер). Настроил openconnect на кинетике, и подключил к ней двух клиентов через OpenConnect GUI VPN client. RDP заработало. Но вылезла проблема - весь клиентский трафик через vpn-тунель. Как я понимаю, нужно бы снять галочку "Использовать основной шлюз в удаленной сети", которая есть у винды для других типов VPN-подключений. Но для openconnect клиент под винду не встроенный, а сторонний. Соответственно галочки нет, снимать нечего. В настройках OpenConnect GUI никаких настроек для шлюза нет. Можно как-то обойти эту ситуацию? Клиентскому компьютеру (ноутбукам менеджеров) нужно заходить на сервер, но их локальный трафик не должен идти через vpn-туннель. 

Или технологичный метод

Для примера используем те же настройки на стороне Keenetic

Сеть для oc-server 10.10.10.0/24, пул адресов 200, IP для клиента выделяем статикой 10.10.10.24, галка NAT для клиентов снята. Домашняя сеть в которую нам нужен доступ (и только в нее через туннель) 192.168.1.0/24 

На стороне клиента нам нужно исправить скрипт C:\Program Files\OpenConnect-GUI\vpnc-script-win.js и добавить его в раширенных настройках соединения vpnc-script

После строки var REDIRECT_GATEWAY_METHOD = 0; вставляем строчки

env("CISCO_SPLIT_INC") = 1;   // how many IP's to reach in VPN network
env("CISCO_SPLIT_INC_0_ADDR") = '192.168.1.0'; // 
env("CISCO_SPLIT_INC_0_MASK") = '255.255.255.0';
env("CISCO_SPLIT_INC_0_MASKLEN") = 24;
 

После этого маршрутизация через туннель будет только в сеть 192.168.1.0/24 и сеть из пула адресов 10.10.10.0/24

Пример скрипта во вложении.

vpnc-script-win.js

Link to comment
Share on other sites

В 28.10.2024 в 16:39, Le ecureuil сказал:

@avn пока это не было доделано, но в работу взято.

Спасибо. А флаг добавите?

--no-dtls

Since TCP over TCP is very suboptimal, OpenConnect tries to always 
use PPP-over-DTLS, and will only fall over to the PPP-over-TLS tunnel if that fails, 
or if disabled via the --no-dtls argument.
Link to comment
Share on other sites

9 часов назад, avn сказал:

Спасибо. А флаг добавите?

--no-dtls

Since TCP over TCP is very suboptimal, OpenConnect tries to always 
use PPP-over-DTLS, and will only fall over to the PPP-over-TLS tunnel if that fails, 
or if disabled via the --no-dtls argument.

Тоже появится в виде команды interface openconnect no dtls

  • Thanks 4
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...