Colgate Posted October 18 Share Posted October 18 27 минут назад, miltt сказал: Галку, да. Cisco такой серт. считает недоверенным. AnyConnect с камуфляжем работает. А вот мультипротокольный VPN Client Pro, только без камуфляжа. Хоть и богаче по настройкам, а ни в какую. Получилось наоборот. Именно с камуфляжем не работает, а без него работает. Интересно почему? В логах клиента не нашел ничего такого. Quote Link to comment Share on other sites More sharing options...
linkedu Posted October 18 Share Posted October 18 (edited) В 06.10.2024 в 10:36, SemyonG сказал: Добрый день! KN-3710 OpenConnect-клиент проработал месяц, вчера отвалился и висит в состоянии "идет подключение" трафик в впн не идет, на сервере сессия в статусе эктив. Была прошивка 4.2 beta3, обновил до 4.2.1 результат тот же. Клиенты с конечных хостов подключаются без проблем. UDP: Причину выяснил, клиент не осилил 1471 маршрут с OpenConnect-сервера в 24е подсети. Хотя он их и не принимает насколько я понял. Даже при меньшем количестве приходилось прописывать статику непосредственно на роутере. Подскажите, а что делать-то, у меня такая же ситуация - сторонние клиенты подключаются с андроида (кроме случая с камуфляжем), а между собой кинетики не дружат? UPD Теперь надо маршрут прописывать к серверу Edited October 19 by linkedu UPD Quote Link to comment Share on other sites More sharing options...
miltt Posted October 18 Share Posted October 18 3 часа назад, Colgate сказал: Получилось наоборот. Именно с камуфляжем не работает, а без него работает. Интересно почему? В логах клиента не нашел ничего такого. Т. е. у Вас AnyConnect (Cisco Secure Client) без камуфляжа подключается к серверу кинетика? А при включении камуфляж, Вы адрес сервера в клиенте изменяете соответствующим образом? Если да, то о какой версии прошивки речь? Т.к. на свежей альфе у меня ни openconnect ни sstp, что с камуфляжем, что без, не завелись. Пришлось отъехать на стаб. Quote Link to comment Share on other sites More sharing options...
Colgate Posted October 19 Share Posted October 19 4 часа назад, miltt сказал: Т. е. у Вас AnyConnect (Cisco Secure Client) без камуфляжа подключается к серверу кинетика? А при включении камуфляж, Вы адрес сервера в клиенте изменяете соответствующим образом? Если да, то о какой версии прошивки речь? Т.к. на свежей альфе у меня ни openconnect ни sstp, что с камуфляжем, что без, не завелись. Пришлось отъехать на стаб. При включении камуфляжа адрес подключения не изменяю. Подскажите, пожалуйста, как нужно изменить? Выше этот же вопрос задавал. У меня KeeneticOS 4.2.1 Quote Link to comment Share on other sites More sharing options...
DHARVED Posted October 19 Share Posted October 19 OC сервер стоит на VPS, клиент на Giga (KN-1011). Роутер выдает максимум 15мбит в обе стороны. Это предел железки или можно что покрутить? С телефона тестил разок, через AnyConnect, 150мбит в обе стороны. На VPS выдан канал 300мбит. Quote Link to comment Share on other sites More sharing options...
miltt Posted October 19 Share Posted October 19 (edited) 5 часов назад, Colgate сказал: При включении камуфляжа адрес подключения не изменяю. Подскажите, пожалуйста, как нужно изменить? Выше этот же вопрос задавал. У меня KeeneticOS 4.2.1 Здесь обсуждали (страницу назад). Ответ выше на 4-ре сообщения от Вашего первого вопроса . "secret" вашего сервера Вы можете узнать в CLI/ Web-CLI набрав: show oc-server естественно при включенном камуфляж. Edited October 19 by miltt Quote Link to comment Share on other sites More sharing options...
slydiman Posted October 19 Share Posted October 19 12 часа назад, DHARVED сказал: Это предел железки или можно что покрутить? Тоже было 10..18 мбит. Заменил роутер на Hopper SE (KN-3812) - стало лучше, почти 100 мбит. Другие утверждали что и 150 тянет. Кстати, что за провайдер, где VPS, если не секрет? Quote Link to comment Share on other sites More sharing options...
slydiman Posted October 19 Share Posted October 19 15 часов назад, Colgate сказал: При включении камуфляжа адрес подключения не изменяю. Подскажите, пожалуйста, как нужно изменить? При включении комуфляжа в адрес добавляется ?secret_word Секретное слово разумеется ваше, прописанное на сервере. То есть если на клиенте адрес был https://my_server/, то становится https://my_server/?secret_word В данном примере подразумевается порт 443 стандартный для https. Quote Link to comment Share on other sites More sharing options...
DHARVED Posted October 19 Share Posted October 19 1 минуту назад, slydiman сказал: Тоже было 10..18 мбит. Заменил роутер на Hopper SE (KN-3812) - стало лучше, почти 100 мбит. Другие утверждали что и 150 тянет. Кстати, что за провайдер, где VPS, если не секрет? JustHost, самый дешёвый тариф, 1ядро, 1гиг рам, 20 нвме, локация варшава. Менять гигу на новый хопер дорогое удовольствие конечно. Думал может на х86 что организовать, но это тоже не дёшево:( Quote Link to comment Share on other sites More sharing options...
KPOCAB4EG Posted October 19 Share Posted October 19 openconnect client (AnyConnect) в кинетиках поддерживает totp? для понимания, пример моего подключения сейчас (через openconnect): Цитата echo -n "password" | sudo openconnect --user=username --passwd-on-stdin --token-mode=totp --token-secret="base32:secret" --useragent=AnyConnect https://server роутера нет на руках, в демо не проверить Quote Link to comment Share on other sites More sharing options...
vasek00 Posted October 20 Share Posted October 20 5 часов назад, KPOCAB4EG сказал: openconnect client (AnyConnect) в кинетиках поддерживает totp? для понимания, пример моего подключения сейчас (через openconnect): роутера нет на руках, в демо не проверить Думаю нет так как используется метод auth = "radius[config=/var/run/ocserv/radius.conf,groupconfig=true]" acct = "radius[config=/var/run/ocserv/radius.conf,groupconfig=true]" и плюс может camouflage=true camouflage_secret=bb.....3 иначе auth = "plain[passwd=/etc/ocserv/passwd,otp=/etc/ocserv/passwd.oath]" # authentication using password-file and otp Чтобы генерировать секрет TOTP, некоторые псевдослучайные данные должны быть сгенерированы и написаны в файл OTP в специальном формате. KEY=$(head -10 /dev/urandom | md5sum | cut -b 1-8) # use 1-30 for more complex keys echo "HOTP/T30 <username> - $KEY" >> /etc/ocserv/passwd.oath 1 Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted October 20 Share Posted October 20 15 часов назад, KPOCAB4EG сказал: openconnect client (AnyConnect) в кинетиках поддерживает totp? для понимания, пример моего подключения сейчас (через openconnect): роутера нет на руках, в демо не проверить Попробовать можно. А удаленная сторона кто? 1 Quote Link to comment Share on other sites More sharing options...
KPOCAB4EG Posted October 20 Share Posted October 20 58 минут назад, Le ecureuil сказал: Попробовать можно. А удаленная сторона кто? корпоративный cisco роутер взял (новую гигу), если будет развитие пакета - с радостью протестирую Quote Link to comment Share on other sites More sharing options...
sundmoon Posted October 20 Share Posted October 20 (edited) Есть домашний keenetic hopper se с белым IP и entware, и есть vpn-шлюз в корпоративной сети (виртуалка за фаерволами; пивом вопросы нерешаемы и вообще никак не решаемы). OC шлюза возможна любая, навскидку завёл OPNSense. Задача подключиться домой чем-то максимально похожим на https и удерживать тоннель типа сайт-to-сайт - то есть 1) переподнимать его в случае разрыва и 2) добавлять на кинетик маршруты за виртуалкой, как только подключается этот клиент и что-то разумное делать с коннектами когда туннель разорван и ожидается переподключение. Кажется, следует выбрать всё-таки Openconnect - потому, что клиента SSTP я в opnsense не вижу. Пруф-концепт подключение работает. Дело за малым: докрутить туннель. Прошу советов. Edited October 20 by sundmoon Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted October 21 Share Posted October 21 @avnпоправил эту мелочь, в следующем выпуске можно будет проверить. Quote Link to comment Share on other sites More sharing options...
abelar Posted October 23 Share Posted October 23 (edited) Несколько дней тестирую протокол OC, поднят на VPS при помощи VPN bot https://telegra.ph/vpnbot-start-xray-10-14 Клиентами OC являются Hooper SE и Hero 4G+. К роутерам через настроенную политику подключены телевизоры. Для других клиентов OC не используется, они берут конфиг от SingBox того же сервера. Поначалу был жор памяти в контейнере OCserv на VPS, на данный момент эта проблема уже решена. В принципе все работает, устраивает. Мощностей процессоров роутеров хватает, затык идет в 50% ограничении контейнера OCserv на использование ядра VPS. А так как там 1 ядро, 2 Гб памяти и 5Гб диск, то особо не разгуляться, обеспечивает скорость 50-70 Мбит/c. Телевизорам для Ютуба это более чем достаточно. Был бы мощнее VPS была бы выше скорость. Осталась единственная проблема. Например даже при кратковременной перезагрузке сервера соединение OC на Кинетике не пропадает. Он думает, что подключен, но при этом данные не передаются, 10 минут висит чего-то ждет. Надо либо вручную передернуть на Кинетике, либо само отвиснет и переконнектится примерно через 10 минут. Перелопатил весь файл Ocserv.conf на сервере OCserv, пробовал менять значения, ничего не помогает. Похоже данный параметр управляется со стороны клиента (Кинетика). Может кто-нибудь сталкивался, как решить проблему? Edited October 23 by abelar Quote Link to comment Share on other sites More sharing options...
Denis P Posted October 23 Share Posted October 23 (edited) 27 минут назад, abelar сказал: Несколько дней тестирую протокол OC, поднят на VPS при помощи VPN bot https://telegra.ph/vpnbot-start-xray-10-14 Клиентами OC являются Hooper SE и Hero 4G+. К роутерам через настроенную политику подключены телевизоры. Для других клиентов OC не используется, они берут конфиг от SingBox того же сервера. Поначалу был жор памяти в контейнере OCserv на VPS, на данный момент эта проблема уже решена. В принципе все работает, устраивает. Мощностей процессоров роутеров хватает, затык идет в 50% ограничении контейнера OCserv на использование ядра VPS. А так как там 1 ядро, 2 Гб памяти и 5Гб диск, то особо не разгуляться, обеспечивает скорость 50-70 Мбит/c. Телевизорам для Ютуба это более чем достаточно. Был бы мощнее VPS была бы выше скорость. Осталась единственная проблема. Например даже при кратковременной перезагрузке сервера соединение OC на Кинетике не пропадает. Он думает, что подключен, но при этом данные не передаются, 10 минут висит чего-то ждет. Надо либо вручную передернуть на Кинетике, либо само отвиснет и переконнектится примерно через 10 минут. Перелопатил весь файл Ocserv.conf на сервере OCserv, пробовал менять значения, ничего не помогает. Похоже данный параметр управляется со стороны клиента (Кинетика). Может кто-нибудь сталкивался, как решить проблему? крутить на сервере keepalive = dpd = Edited October 23 by Denis P Quote Link to comment Share on other sites More sharing options...
abelar Posted October 23 Share Posted October 23 40 минут назад, Denis P сказал: крутить на сервере keepalive = dpd = Сейчас стоит keepalive = 300, dpd = 60, пробовал keepalive = 30 - ничего не меняется Quote Link to comment Share on other sites More sharing options...
savizor Posted October 25 Share Posted October 25 (edited) Два кинетика связаны через Openconnect - маршруты прописаны все хорошо работает. Как можно настроить фаер для входящих со стороны кинетик-клиента, на стороне кинетик-сервера ? Интерфейс OCVPN на "сервере" в маршрутах виден, но в "межсетевом экране" отсутствует. Настройка правил по маскам сетей в сегменте "домашняя сеть" никак не влияет.. Edited October 25 by savizor Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted October 27 Share Posted October 27 В 23.10.2024 в 22:06, abelar сказал: Несколько дней тестирую протокол OC, поднят на VPS при помощи VPN bot https://telegra.ph/vpnbot-start-xray-10-14 Клиентами OC являются Hooper SE и Hero 4G+. К роутерам через настроенную политику подключены телевизоры. Для других клиентов OC не используется, они берут конфиг от SingBox того же сервера. Поначалу был жор памяти в контейнере OCserv на VPS, на данный момент эта проблема уже решена. В принципе все работает, устраивает. Мощностей процессоров роутеров хватает, затык идет в 50% ограничении контейнера OCserv на использование ядра VPS. А так как там 1 ядро, 2 Гб памяти и 5Гб диск, то особо не разгуляться, обеспечивает скорость 50-70 Мбит/c. Телевизорам для Ютуба это более чем достаточно. Был бы мощнее VPS была бы выше скорость. Осталась единственная проблема. Например даже при кратковременной перезагрузке сервера соединение OC на Кинетике не пропадает. Он думает, что подключен, но при этом данные не передаются, 10 минут висит чего-то ждет. Надо либо вручную передернуть на Кинетике, либо само отвиснет и переконнектится примерно через 10 минут. Перелопатил весь файл Ocserv.conf на сервере OCserv, пробовал менять значения, ничего не помогает. Похоже данный параметр управляется со стороны клиента (Кинетика). Может кто-нибудь сталкивался, как решить проблему? Поправлено, в следующей версии 4.3 будет все нормально. 1 Quote Link to comment Share on other sites More sharing options...
avn Posted October 27 Share Posted October 27 (edited) В 21.10.2024 в 11:04, Le ecureuil сказал: @avnпоправил эту мелочь, в следующем выпуске можно будет проверить. Все получилось. Спасибо. А что делаю команды: openconnect accept-addresses openconnect accept-routes Ко мне приходит куча маршрутов, но они все игнорируются. Так и запланировано? Еще бы научиться DTLS отключать, а то спамит сообщениями [I] Oct 28 00:43:51 openconnect: DTLS handshake timed out [I] Oct 28 00:43:51 openconnect: DTLS handshake failed: Resource temporarily unavailable, try again. Совет от разработчиков по поводу DTLS Since TCP over TCP is very suboptimal, OpenConnect tries to always use PPP-over-DTLS, and will only fall over to the PPP-over-TLS tunnel if that fails, or if disabled via the --no-dtls argument. Edited October 27 by avn Quote Link to comment Share on other sites More sharing options...
Fedro Posted October 28 Share Posted October 28 Подскажите пожалуйста, есть ли возможность передать на клиента маршрут, когда в качестве сервера выступает keenetic? Что то вроде oc-server dhcp route ? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted October 28 Share Posted October 28 1 час назад, Fedro сказал: Подскажите пожалуйста, есть ли возможность передать на клиента маршрут, когда в качестве сервера выступает keenetic? Что то вроде oc-server dhcp route ? @avn пока это не было доделано, но в работу взято. 3 Quote Link to comment Share on other sites More sharing options...
Fedro Posted October 28 Share Posted October 28 10 минут назад, Le ecureuil сказал: @avn пока это не было доделано, но в работу взято. Это будет очень хорошо. Спасибо большое. Если бы по аналогии с l2tp сервером маршрут в выбранный сегмент сети для доступа клиентов push-ился автоматически, было бы просто великолепно. Quote Link to comment Share on other sites More sharing options...
chromo Posted October 29 Share Posted October 29 Добрый день. Нужно было организовать доступ с компьютера на компьютер по rdp (компьютеры в разных городах, один из них сервер). Настроил openconnect на кинетике, и подключил к ней двух клиентов через OpenConnect GUI VPN client. RDP заработало. Но вылезла проблема - весь клиентский трафик через vpn-тунель. Как я понимаю, нужно бы снять галочку "Использовать основной шлюз в удаленной сети", которая есть у винды для других типов VPN-подключений. Но для openconnect клиент под винду не встроенный, а сторонний. Соответственно галочки нет, снимать нечего. В настройках OpenConnect GUI никаких настроек для шлюза нет. Можно как-то обойти эту ситуацию? Клиентскому компьютеру (ноутбукам менеджеров) нужно заходить на сервер, но их локальный трафик не должен идти через vpn-туннель. Quote Link to comment Share on other sites More sharing options...
Fedro Posted October 29 Share Posted October 29 (edited) 1 час назад, chromo сказал: Добрый день. Нужно было организовать доступ с компьютера на компьютер по rdp (компьютеры в разных городах, один из них сервер). Настроил openconnect на кинетике, и подключил к ней двух клиентов через OpenConnect GUI VPN client. RDP заработало. Но вылезла проблема - весь клиентский трафик через vpn-тунель. Как я понимаю, нужно бы снять галочку "Использовать основной шлюз в удаленной сети", которая есть у винды для других типов VPN-подключений. Но для openconnect клиент под винду не встроенный, а сторонний. Соответственно галочки нет, снимать нечего. В настройках OpenConnect GUI никаких настроек для шлюза нет. Можно как-то обойти эту ситуацию? Клиентскому компьютеру (ноутбукам менеджеров) нужно заходить на сервер, но их локальный трафик не должен идти через vpn-туннель. добрый день! Да, можно, но не очень технологично пока. на стороне кинетика (предположим домашняя сеть у нас 192.168.1.0/24). Допустим вы выделяете отдельную подсеть (я бы пока рекомендовал делать так, после некоторого количества экспериментов) для пула адресов openconnect клиентов. Например 10.10.10.2 и 200 адресов пул Назначаем фиксированный адрес клиенту. к которому вы подключаетесь. Пусть будет 10.10.10.24 Галку NAT для клиентов можно снять в таком случае. На стороне клиента OpenConnetc GUI открываете расширенные настройки соединения и в строке vpnc script выбираете файл C:\Program Files\OpenConnect-GUI\vpnc-script-win.js, потом в этом файле находите сроку var REDIRECT_GATEWAY_METHOD = 0; и заменяете на var REDIRECT_GATEWAY_METHOD = 1; сохраняете файл. После подключения у вас маршрут в сеть 10.10.10.0/24 перестанет быть маршрутом по умолчанию. И добавляете в систему маршрут к домашней сети route -p add 192.168.1.0 mask 255.255.255.0 10.10.10.24 К сожалению, интерфейс oenconnect не идентифицируется как vpn и добавлять/удалять автоматически при поднятии этого интерфейса маршрут не получится. Edited October 29 by Fedro Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted October 29 Share Posted October 29 В следующей версии 4.3 в клиенте при выборе accept-routes будут приниматься внешние роуты, будет работает получение и настройка IPv6-адресов. Также в сервере появится команда oc-server route для задания маршрутов, которые уйдут клиентам. 5 Quote Link to comment Share on other sites More sharing options...
Fedro Posted October 29 Share Posted October 29 6 часов назад, chromo сказал: Добрый день. Нужно было организовать доступ с компьютера на компьютер по rdp (компьютеры в разных городах, один из них сервер). Настроил openconnect на кинетике, и подключил к ней двух клиентов через OpenConnect GUI VPN client. RDP заработало. Но вылезла проблема - весь клиентский трафик через vpn-тунель. Как я понимаю, нужно бы снять галочку "Использовать основной шлюз в удаленной сети", которая есть у винды для других типов VPN-подключений. Но для openconnect клиент под винду не встроенный, а сторонний. Соответственно галочки нет, снимать нечего. В настройках OpenConnect GUI никаких настроек для шлюза нет. Можно как-то обойти эту ситуацию? Клиентскому компьютеру (ноутбукам менеджеров) нужно заходить на сервер, но их локальный трафик не должен идти через vpn-туннель. Или технологичный метод Для примера используем те же настройки на стороне Keenetic Сеть для oc-server 10.10.10.0/24, пул адресов 200, IP для клиента выделяем статикой 10.10.10.24, галка NAT для клиентов снята. Домашняя сеть в которую нам нужен доступ (и только в нее через туннель) 192.168.1.0/24 На стороне клиента нам нужно исправить скрипт C:\Program Files\OpenConnect-GUI\vpnc-script-win.js и добавить его в раширенных настройках соединения vpnc-script После строки var REDIRECT_GATEWAY_METHOD = 0; вставляем строчки env("CISCO_SPLIT_INC") = 1; // how many IP's to reach in VPN network env("CISCO_SPLIT_INC_0_ADDR") = '192.168.1.0'; // env("CISCO_SPLIT_INC_0_MASK") = '255.255.255.0'; env("CISCO_SPLIT_INC_0_MASKLEN") = 24; После этого маршрутизация через туннель будет только в сеть 192.168.1.0/24 и сеть из пула адресов 10.10.10.0/24 Пример скрипта во вложении. vpnc-script-win.js Quote Link to comment Share on other sites More sharing options...
avn Posted October 30 Share Posted October 30 В 28.10.2024 в 16:39, Le ecureuil сказал: @avn пока это не было доделано, но в работу взято. Спасибо. А флаг добавите? --no-dtls Since TCP over TCP is very suboptimal, OpenConnect tries to always use PPP-over-DTLS, and will only fall over to the PPP-over-TLS tunnel if that fails, or if disabled via the --no-dtls argument. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted October 30 Share Posted October 30 9 часов назад, avn сказал: Спасибо. А флаг добавите? --no-dtls Since TCP over TCP is very suboptimal, OpenConnect tries to always use PPP-over-DTLS, and will only fall over to the PPP-over-TLS tunnel if that fails, or if disabled via the --no-dtls argument. Тоже появится в виде команды interface openconnect no dtls 4 Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.