openconnect

[Colgate]

27 минут назад, miltt сказал:

Галку, да. Cisco такой серт. считает недоверенным.
AnyConnect с камуфляжем работает. А вот мультипротокольный VPN Client Pro, только без камуфляжа. Хоть и богаче по настройкам, а ни в какую.

Получилось наоборот. Именно с камуфляжем не работает, а без него работает. Интересно почему? В логах клиента не нашел ничего такого.

[linkedu]

В 06.10.2024 в 10:36, SemyonG сказал:

Добрый день!
KN-3710 OpenConnect-клиент проработал месяц, вчера отвалился и висит в состоянии "идет подключение" трафик в впн не идет, на сервере сессия в статусе эктив.
Была прошивка 4.2 beta3, обновил до 4.2.1 результат тот же. Клиенты с конечных хостов подключаются без проблем.

UDP:
Причину выяснил, клиент не осилил 1471 маршрут с OpenConnect-сервера в 24е подсети. Хотя он их и не принимает насколько я понял. Даже при меньшем количестве приходилось прописывать статику непосредственно на роутере.

 

Подскажите, а что делать-то, у меня такая же ситуация - сторонние клиенты подключаются с андроида (кроме случая с камуфляжем), а между собой кинетики не дружат?

UPD Теперь надо маршрут прописывать к серверу

Edited October 19 by linkedu
UPD

[miltt]

3 часа назад, Colgate сказал:

Получилось наоборот. Именно с камуфляжем не работает, а без него работает. Интересно почему? В логах клиента не нашел ничего такого.

Т. е. у Вас AnyConnect (Cisco Secure Client) без камуфляжа подключается к серверу кинетика?

А при включении камуфляж, Вы адрес сервера в клиенте изменяете соответствующим образом?

Если да, то о какой версии прошивки речь? Т.к. на свежей альфе у меня ни openconnect ни sstp, что с камуфляжем, что без, не завелись. Пришлось отъехать на стаб.

[Colgate]

4 часа назад, miltt сказал:

Т. е. у Вас AnyConnect (Cisco Secure Client) без камуфляжа подключается к серверу кинетика?

А при включении камуфляж, Вы адрес сервера в клиенте изменяете соответствующим образом?

Если да, то о какой версии прошивки речь? Т.к. на свежей альфе у меня ни openconnect ни sstp, что с камуфляжем, что без, не завелись. Пришлось отъехать на стаб.

При включении камуфляжа адрес подключения не изменяю. Подскажите, пожалуйста, как нужно изменить? Выше этот же вопрос задавал.

У меня KeeneticOS 4.2.1

[DHARVED]

OC сервер стоит на VPS, клиент на Giga (KN-1011). Роутер выдает максимум 15мбит в обе стороны. Это предел железки или можно что покрутить? 

С телефона тестил разок, через AnyConnect, 150мбит в обе стороны. На VPS выдан канал 300мбит. 

[miltt]

5 часов назад, Colgate сказал:

При включении камуфляжа адрес подключения не изменяю. Подскажите, пожалуйста, как нужно изменить? Выше этот же вопрос задавал.

У меня KeeneticOS 4.2.1

Здесь обсуждали (страницу назад). Ответ выше на 4-ре сообщения от Вашего первого вопроса .
"secret" вашего сервера Вы можете узнать в CLI/ Web-CLI
набрав: show oc-server
естественно при включенном камуфляж.

Edited October 19 by miltt

[slydiman]

12 часа назад, DHARVED сказал:

Это предел железки или можно что покрутить? 

Тоже было 10..18 мбит. Заменил роутер на Hopper SE (KN-3812) - стало лучше, почти 100 мбит.
Другие утверждали что и 150 тянет.
Кстати, что за провайдер, где VPS, если не секрет?

[slydiman]

15 часов назад, Colgate сказал:

При включении камуфляжа адрес подключения не изменяю. Подскажите, пожалуйста, как нужно изменить?

При включении комуфляжа в адрес добавляется ?secret_word
Секретное слово разумеется ваше, прописанное на сервере.
То есть если на клиенте адрес был https://my_server/, то становится https://my_server/?secret_word
В данном примере подразумевается порт 443 стандартный для https.

[DHARVED]

1 минуту назад, slydiman сказал:

Тоже было 10..18 мбит. Заменил роутер на Hopper SE (KN-3812) - стало лучше, почти 100 мбит.
Другие утверждали что и 150 тянет.
Кстати, что за провайдер, где VPS, если не секрет?

JustHost, самый дешёвый тариф, 1ядро, 1гиг рам, 20 нвме, локация варшава. 

Менять гигу на новый хопер дорогое удовольствие конечно. Думал может на х86 что организовать, но это тоже не дёшево:(

 

[KPOCAB4EG]

openconnect client (AnyConnect) в кинетиках поддерживает totp? для понимания, пример моего подключения сейчас (через openconnect):

Цитата

echo -n "password" | sudo openconnect --user=username --passwd-on-stdin --token-mode=totp --token-secret="base32:secret" --useragent=AnyConnect https://server

роутера нет на руках, в демо не проверить

[vasek00]

5 часов назад, KPOCAB4EG сказал:

openconnect client (AnyConnect) в кинетиках поддерживает totp? для понимания, пример моего подключения сейчас (через openconnect):

роутера нет на руках, в демо не проверить

Думаю нет так как используется метод

auth = "radius[config=/var/run/ocserv/radius.conf,groupconfig=true]"
acct = "radius[config=/var/run/ocserv/radius.conf,groupconfig=true]"

и  плюс может

camouflage=true
camouflage_secret=bb.....3

иначе

auth = "plain[passwd=/etc/ocserv/passwd,otp=/etc/ocserv/passwd.oath]" # authentication using password-file and otp


Чтобы генерировать секрет TOTP, некоторые псевдослучайные данные должны быть сгенерированы и написаны в файл OTP в специальном формате.

KEY=$(head -10 /dev/urandom | md5sum | cut -b 1-8) # use 1-30 for more complex keys
echo "HOTP/T30 <username> - $KEY" >> /etc/ocserv/passwd.oath

 

[Le ecureuil]

15 часов назад, KPOCAB4EG сказал:

openconnect client (AnyConnect) в кинетиках поддерживает totp? для понимания, пример моего подключения сейчас (через openconnect):

роутера нет на руках, в демо не проверить

Попробовать можно. А удаленная сторона кто?

[KPOCAB4EG]

58 минут назад, Le ecureuil сказал:

Попробовать можно. А удаленная сторона кто?

корпоративный cisco

роутер взял (новую гигу), если будет развитие пакета - с радостью протестирую

[sundmoon]

Есть домашний keenetic hopper se  с белым IP и entware, и есть vpn-шлюз в корпоративной сети (виртуалка за фаерволами; пивом вопросы нерешаемы и вообще никак не решаемы).

OC шлюза возможна любая, навскидку завёл OPNSense.

Задача подключиться домой чем-то максимально похожим на https и удерживать тоннель типа сайт-to-сайт - то есть 1) переподнимать его в случае разрыва и  2) добавлять на кинетик маршруты за виртуалкой, как только подключается этот клиент и что-то разумное делать с коннектами когда туннель разорван и ожидается переподключение.

Кажется, следует выбрать всё-таки Openconnect - потому, что клиента SSTP я в opnsense не вижу.

 

Пруф-концепт подключение работает. 
Дело за малым: докрутить туннель. 

Прошу советов.

 

Edited October 20 by sundmoon

[Le ecureuil]

@avnпоправил эту мелочь, в следующем выпуске можно будет проверить.

[abelar]

Несколько дней тестирую протокол OC, поднят на VPS при помощи VPN bot https://telegra.ph/vpnbot-start-xray-10-14

Клиентами OC являются Hooper SE и  Hero 4G+. К роутерам через настроенную политику подключены телевизоры. Для других клиентов OC не используется, они берут конфиг от SingBox того же сервера. Поначалу был жор памяти в контейнере OCserv на VPS, на данный момент эта проблема уже решена. В принципе все работает, устраивает. Мощностей процессоров роутеров хватает, затык идет в 50% ограничении контейнера OCserv на использование ядра VPS. А так как там 1 ядро, 2 Гб памяти и 5Гб диск, то особо не разгуляться, обеспечивает скорость 50-70 Мбит/c. Телевизорам для Ютуба это более чем достаточно. Был бы мощнее VPS была бы выше скорость.

Осталась единственная проблема. Например даже при кратковременной перезагрузке сервера соединение OC на Кинетике не пропадает. Он думает, что подключен, но при этом данные не передаются, 10 минут висит чего-то ждет. Надо либо вручную передернуть на Кинетике, либо само отвиснет и переконнектится примерно через 10 минут.

Перелопатил весь файл Ocserv.conf на сервере OCserv, пробовал менять значения, ничего не помогает. Похоже данный параметр управляется со стороны клиента (Кинетика).

Может кто-нибудь сталкивался, как решить проблему?

Edited October 23 by abelar

[Denis P]

27 минут назад, abelar сказал:

Несколько дней тестирую протокол OC, поднят на VPS при помощи VPN bot https://telegra.ph/vpnbot-start-xray-10-14

Клиентами OC являются Hooper SE и  Hero 4G+. К роутерам через настроенную политику подключены телевизоры. Для других клиентов OC не используется, они берут конфиг от SingBox того же сервера. Поначалу был жор памяти в контейнере OCserv на VPS, на данный момент эта проблема уже решена. В принципе все работает, устраивает. Мощностей процессоров роутеров хватает, затык идет в 50% ограничении контейнера OCserv на использование ядра VPS. А так как там 1 ядро, 2 Гб памяти и 5Гб диск, то особо не разгуляться, обеспечивает скорость 50-70 Мбит/c. Телевизорам для Ютуба это более чем достаточно. Был бы мощнее VPS была бы выше скорость.

Осталась единственная проблема. Например даже при кратковременной перезагрузке сервера соединение OC на Кинетике не пропадает. Он думает, что подключен, но при этом данные не передаются, 10 минут висит чего-то ждет. Надо либо вручную передернуть на Кинетике, либо само отвиснет и переконнектится примерно через 10 минут.

Перелопатил весь файл Ocserv.conf на сервере OCserv, пробовал менять значения, ничего не помогает. Похоже данный параметр управляется со стороны клиента (Кинетика).

Может кто-нибудь сталкивался, как решить проблему?

крутить на сервере
keepalive = 
dpd = 

Edited October 23 by Denis P

[abelar]

40 минут назад, Denis P сказал:

крутить на сервере
keepalive = 
dpd = 

Сейчас стоит keepalive = 300, dpd = 60, пробовал keepalive = 30 - ничего не меняется

[savizor]

Два кинетика связаны через Openconnect - маршруты прописаны все хорошо работает.

Как можно настроить фаер для входящих со стороны кинетик-клиента, на стороне кинетик-сервера ? Интерфейс OCVPN на "сервере" в маршрутах виден, но в "межсетевом экране" отсутствует. Настройка правил по маскам сетей в сегменте "домашняя сеть" никак не влияет..

Edited October 25 by savizor

[Le ecureuil]

В 23.10.2024 в 22:06, abelar сказал:

Несколько дней тестирую протокол OC, поднят на VPS при помощи VPN bot https://telegra.ph/vpnbot-start-xray-10-14

Клиентами OC являются Hooper SE и  Hero 4G+. К роутерам через настроенную политику подключены телевизоры. Для других клиентов OC не используется, они берут конфиг от SingBox того же сервера. Поначалу был жор памяти в контейнере OCserv на VPS, на данный момент эта проблема уже решена. В принципе все работает, устраивает. Мощностей процессоров роутеров хватает, затык идет в 50% ограничении контейнера OCserv на использование ядра VPS. А так как там 1 ядро, 2 Гб памяти и 5Гб диск, то особо не разгуляться, обеспечивает скорость 50-70 Мбит/c. Телевизорам для Ютуба это более чем достаточно. Был бы мощнее VPS была бы выше скорость.

Осталась единственная проблема. Например даже при кратковременной перезагрузке сервера соединение OC на Кинетике не пропадает. Он думает, что подключен, но при этом данные не передаются, 10 минут висит чего-то ждет. Надо либо вручную передернуть на Кинетике, либо само отвиснет и переконнектится примерно через 10 минут.

Перелопатил весь файл Ocserv.conf на сервере OCserv, пробовал менять значения, ничего не помогает. Похоже данный параметр управляется со стороны клиента (Кинетика).

Может кто-нибудь сталкивался, как решить проблему?

Поправлено, в следующей версии 4.3 будет все нормально.

[avn]

В 21.10.2024 в 11:04, Le ecureuil сказал:

@avnпоправил эту мелочь, в следующем выпуске можно будет проверить.

Все получилось. Спасибо.

А что делаю команды:

    openconnect accept-addresses
    openconnect accept-routes

Ко мне приходит куча маршрутов, но они все игнорируются. Так и запланировано?

 

Еще бы научиться DTLS отключать, а то спамит сообщениями

[I] Oct 28 00:43:51 openconnect: DTLS handshake timed out 
[I] Oct 28 00:43:51 openconnect: DTLS handshake failed: Resource temporarily unavailable, try again. 

Совет от разработчиков по поводу DTLS

Since TCP over TCP is very suboptimal, OpenConnect tries to always 
use PPP-over-DTLS, and will only fall over to the PPP-over-TLS tunnel if that fails, 
or if disabled via the --no-dtls argument.

 

Edited October 27 by avn

[Fedro]

Подскажите пожалуйста, есть ли возможность передать на клиента маршрут, когда в качестве сервера выступает keenetic? Что то вроде oc-server dhcp route ?

[Le ecureuil]

1 час назад, Fedro сказал:

Подскажите пожалуйста, есть ли возможность передать на клиента маршрут, когда в качестве сервера выступает keenetic? Что то вроде oc-server dhcp route ?

@avn пока это не было доделано, но в работу взято.

[Fedro]

10 минут назад, Le ecureuil сказал:

@avn пока это не было доделано, но в работу взято.

Это будет очень хорошо. Спасибо большое. Если бы по аналогии с l2tp сервером маршрут в выбранный сегмент сети для доступа клиентов push-ился автоматически, было бы просто великолепно. 

[chromo]

Добрый день. Нужно было организовать доступ с компьютера на компьютер по rdp (компьютеры в разных городах, один из них сервер). Настроил openconnect на кинетике, и подключил к ней двух клиентов через OpenConnect GUI VPN client. RDP заработало. Но вылезла проблема - весь клиентский трафик через vpn-тунель. Как я понимаю, нужно бы снять галочку "Использовать основной шлюз в удаленной сети", которая есть у винды для других типов VPN-подключений. Но для openconnect клиент под винду не встроенный, а сторонний. Соответственно галочки нет, снимать нечего. В настройках OpenConnect GUI никаких настроек для шлюза нет. Можно как-то обойти эту ситуацию? Клиентскому компьютеру (ноутбукам менеджеров) нужно заходить на сервер, но их локальный трафик не должен идти через vpn-туннель. 

[Fedro]

1 час назад, chromo сказал:

Добрый день. Нужно было организовать доступ с компьютера на компьютер по rdp (компьютеры в разных городах, один из них сервер). Настроил openconnect на кинетике, и подключил к ней двух клиентов через OpenConnect GUI VPN client. RDP заработало. Но вылезла проблема - весь клиентский трафик через vpn-тунель. Как я понимаю, нужно бы снять галочку "Использовать основной шлюз в удаленной сети", которая есть у винды для других типов VPN-подключений. Но для openconnect клиент под винду не встроенный, а сторонний. Соответственно галочки нет, снимать нечего. В настройках OpenConnect GUI никаких настроек для шлюза нет. Можно как-то обойти эту ситуацию? Клиентскому компьютеру (ноутбукам менеджеров) нужно заходить на сервер, но их локальный трафик не должен идти через vpn-туннель. 

добрый день! Да, можно, но не очень технологично пока.

на стороне кинетика (предположим домашняя сеть у нас 192.168.1.0/24).

Допустим вы выделяете отдельную подсеть (я бы пока рекомендовал делать так, после некоторого количества экспериментов) для пула адресов openconnect клиентов. Например 10.10.10.2 и 200 адресов пул

Назначаем фиксированный адрес клиенту. к которому вы подключаетесь. Пусть будет 10.10.10.24 

Галку NAT для клиентов можно снять в таком случае. 

На стороне клиента OpenConnetc GUI открываете расширенные настройки соединения и в строке vpnc script выбираете файл C:\Program Files\OpenConnect-GUI\vpnc-script-win.js,  потом в этом файле находите сроку var REDIRECT_GATEWAY_METHOD = 0; и заменяете на var REDIRECT_GATEWAY_METHOD = 1; сохраняете файл. После подключения у вас маршрут в сеть 10.10.10.0/24 перестанет быть маршрутом по умолчанию.

И добавляете в систему маршрут к домашней сети

route -p add 192.168.1.0 mask 255.255.255.0 10.10.10.24

К сожалению, интерфейс oenconnect не идентифицируется как vpn и добавлять/удалять автоматически при поднятии этого интерфейса маршрут не получится. 

Edited October 29 by Fedro

[Le ecureuil]

В следующей версии 4.3 в клиенте при выборе accept-routes будут приниматься внешние роуты, будет работает получение и настройка IPv6-адресов.

Также в сервере появится команда oc-server route для задания маршрутов, которые уйдут клиентам.

[Fedro]

6 часов назад, chromo сказал:

Добрый день. Нужно было организовать доступ с компьютера на компьютер по rdp (компьютеры в разных городах, один из них сервер). Настроил openconnect на кинетике, и подключил к ней двух клиентов через OpenConnect GUI VPN client. RDP заработало. Но вылезла проблема - весь клиентский трафик через vpn-тунель. Как я понимаю, нужно бы снять галочку "Использовать основной шлюз в удаленной сети", которая есть у винды для других типов VPN-подключений. Но для openconnect клиент под винду не встроенный, а сторонний. Соответственно галочки нет, снимать нечего. В настройках OpenConnect GUI никаких настроек для шлюза нет. Можно как-то обойти эту ситуацию? Клиентскому компьютеру (ноутбукам менеджеров) нужно заходить на сервер, но их локальный трафик не должен идти через vpn-туннель. 

Или технологичный метод

Для примера используем те же настройки на стороне Keenetic

Сеть для oc-server 10.10.10.0/24, пул адресов 200, IP для клиента выделяем статикой 10.10.10.24, галка NAT для клиентов снята. Домашняя сеть в которую нам нужен доступ (и только в нее через туннель) 192.168.1.0/24 

На стороне клиента нам нужно исправить скрипт C:\Program Files\OpenConnect-GUI\vpnc-script-win.js и добавить его в раширенных настройках соединения vpnc-script

После строки var REDIRECT_GATEWAY_METHOD = 0; вставляем строчки

env("CISCO_SPLIT_INC") = 1;   // how many IP's to reach in VPN network
env("CISCO_SPLIT_INC_0_ADDR") = '192.168.1.0'; // 
env("CISCO_SPLIT_INC_0_MASK") = '255.255.255.0';
env("CISCO_SPLIT_INC_0_MASKLEN") = 24;
 

После этого маршрутизация через туннель будет только в сеть 192.168.1.0/24 и сеть из пула адресов 10.10.10.0/24

Пример скрипта во вложении.

vpnc-script-win.js

[avn]

В 28.10.2024 в 16:39, Le ecureuil сказал:

@avn пока это не было доделано, но в работу взято.

Спасибо. А флаг добавите?

--no-dtls

Since TCP over TCP is very suboptimal, OpenConnect tries to always 
use PPP-over-DTLS, and will only fall over to the PPP-over-TLS tunnel if that fails, 
or if disabled via the --no-dtls argument.

[Le ecureuil]

9 часов назад, avn сказал:

Спасибо. А флаг добавите?

--no-dtls

Since TCP over TCP is very suboptimal, OpenConnect tries to always 
use PPP-over-DTLS, and will only fall over to the PPP-over-TLS tunnel if that fails, 
or if disabled via the --no-dtls argument.

Тоже появится в виде команды interface openconnect no dtls