Jump to content

Recommended Posts

9 минут назад, Le ecureuil сказал:

Попробуйте с 
interface OpenConnect0 debug
снять self-test.

А подскажите полный список команд для коннекта клиента openconnect к серверу.

Сделал openconnect upstream ip port

openconnect authenticate identy username

openconnect authenticate password password 

 

Интерфейс поднимается, но Коннект Стейт down.

interface Openconnect1 up делал

Пробовал прописать ip для интерфейса, это тоже не помогло.

Edited by Dr.ZuLuS
Link to comment
Share on other sites

5 часов назад, Le ecureuil сказал:

Попробуйте с 
interface OpenConnect0 debug
снять self-test.

Именно так и сделал, self в скрытом сообщении

Link to comment
Share on other sites

В 13.04.2024 в 12:56, Dr.ZuLuS сказал:

А подскажите полный список команд для коннекта клиента openconnect к серверу.

Сделал openconnect upstream ip port

openconnect authenticate identy username

openconnect authenticate password password 

 

Интерфейс поднимается, но Коннект Стейт down.

interface Openconnect1 up делал

Пробовал прописать ip для интерфейса, это тоже не помогло.

Вам все то же самое - включить debug и снимать логи.

Link to comment
Share on other sites

В 13.04.2024 в 19:40, keenet07 сказал:

4.2 Alpha 4 

В веб-интерфейсе ещё ничего не присутствует? Ни сервер, ни клиент?

Пока еще нет.

Link to comment
Share on other sites

14 часа назад, snark сказал:

Ещё раз выгрузил

Ошибка выглядит так:

I] Apr 15 10:47:06 ndm: Network::Interface::Ip: "OpenConnect0": IP address cleared. 
[I] Apr 15 10:47:09 openconnect: POST https://*.biz/ 
[I] Apr 15 10:47:09 openconnect: Attempting to connect to server *:443 
[I] Apr 15 10:47:09 openconnect: Connected to *:443 
[I] Apr 15 10:47:09 openconnect: SSL negotiation with *.biz 
[I] Apr 15 10:47:09 openconnect:  Certificate from VPN server "*.biz" failed verification. Reason: signer not found 
[I] Apr 15 10:47:09 openconnect: Connected to HTTPS on *.biz with ciphersuite (TLS1.3)-(ECDHE-X25519)-(ECDSA-SECP256R1-SHA256)-(AES-128-GCM) 
[I] Apr 15 10:47:09 openconnect: Got HTTP response: HTTP/1.1 405 Not Allowed 
[I] Apr 15 10:47:09 openconnect: Server: nginx/1.18.0 (Ubuntu) 
Failed to complete authentication
[I] Apr 15 10:47:09 openconnect: Date: Mon, 15 Apr 2024 08:47:09 GMT 
[I] Apr 15 10:47:09 openconnect: Content-Type: text/html 
[I] Apr 15 10:47:09 openconnect: Content-Length: 166 
[I] Apr 15 10:47:09 openconnect: Connection: keep-alive 
[I] Apr 15 10:47:09 openconnect: HTTP body length:  (166) 
[I] Apr 15 10:47:09 openconnect: Unexpected 405 result from server 
[E] Apr 15 10:47:09 ndm: Service: "OpenConnect0": unexpectedly stopped. 

Вам нужно разобраться с сервером, думаю вы даже через curl сможете сами увидеть проблему.

Link to comment
Share on other sites

1 час назад, Le ecureuil сказал:

Ошибка выглядит так:

 

Можно ли в текущей реализации на кинетике приспособить "--servercert pin"?

И на всякий случай уточню, у меня сервер не на 443 порту. Если нужно, могу дать креды для тестов

Клиент cisco и Clavister OneConnect (https://apps.apple.com/us/app/clavister-oneconnect/id1565970099), к нему вполне бодро подключаются. Консольный openconnect на маке тоже

 

Edited by snark
Link to comment
Share on other sites

46 минут назад, snark сказал:

 

Можно ли в текущей реализации на кинетике приспособить "--servercert pin"?

И на всякий случай уточню, у меня сервер не на 443 порту. Если нужно, могу дать креды для тестов

Клиент cisco и Clavister OneConnect (https://apps.apple.com/us/app/clavister-oneconnect/id1565970099), к нему вполне бодро подключаются. Консольный openconnect на маке тоже

 

Порт можно отдельно задать (в cli через пробел), а неудачная верификация сертификата все равно не является фатальной - ровно как и в SSTP.

Link to comment
Share on other sites

1 час назад, Le ecureuil сказал:

Порт можно отдельно задать (в cli через пробел), а неудачная верификация сертификата все равно не является фатальной - ровно как и в SSTP.

Только что подключился к этому серверу, консольным клиентом из ubuntы

> openconnect bla-bla-bla.com:YYYY

POST https://bla-bla-bla.com:YYYY/
Attempting to connect to server xx.xx.xx.xx:YYYY
Connected to xx.xx.xx.xx:YYYY
SSL negotiation with bla-bla-bla.com
Server certificate verify failed: signer not found
Connected to HTTPS on bla-bla-bla.com with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP256R1-SHA256)-(AES-256-GCM)
Got HTTP response: HTTP/1.1 200 OK
Set-Cookie: webvpncontext=; expires=Thu, 01 Jan 1970 22:00:00 GMT; path=/; Secure; HttpOnly
Content-Type: text/xml
Content-Length: 306
X-Transcend-Version: 1
HTTP body length:  (306)
XML POST enabled
Please enter your username.
Username:zzzzzzz
POST https://bla-bla-bla.com:YYYY/auth
Got HTTP response: HTTP/1.1 200 OK
Set-Cookie: webvpncontext=AHw/12xmowvEwyiaJZTWeJ/iSlclnlyBfrralZ6H+CA=; Max-Age=3600; Secure; HttpOnly
Content-Type: text/xml
Content-Length: 310
X-Transcend-Version: 1
HTTP body length:  (310)
Please enter your password.
Password:
POST https://bla-bla-bla.com:YYYY/auth
Got HTTP response: HTTP/1.1 200 OK
Connection: Keep-Alive
Content-Type: text/xml
Content-Length: 189
X-Transcend-Version: 1
Set-Cookie: webvpncontext=AHw/12xmowvEwyiaJZTWeJ/iSlclnlyBfrralZ6H+CA=; Secure; HttpOnly
Set-Cookie: webvpn=<elided>; Secure; HttpOnly
Set-Cookie: webvpnc=; expires=Thu, 01 Jan 1970 22:00:00 GMT; path=/; Secure; HttpOnly
Set-Cookie: webvpnc=bu:/&p:t&iu:1/&sh:ECC9876E61345F84B9032FB3B726B14831409C6E; path=/; Secure; HttpOnly
HTTP body length:  (189)
TCP_INFO rcv mss 1419, snd mss 1448, adv mss 65483, pmtu 65535
Got CONNECT response: HTTP/1.1 200 CONNECTED
X-CSTP-Version: 1
X-CSTP-Server-Name: OpenConnect VPN Server
X-CSTP-Hostname: LLLLLLLL
X-CSTP-DPD: 90
X-CSTP-Default-Domain: bla-bla-bla.com
X-CSTP-Address: 192.168.99.228
X-CSTP-Netmask: 255.255.255.0
X-CSTP-DNS: 8.8.8.8
X-CSTP-Tunnel-All-DNS: false
X-CSTP-Client-Bypass-Protocol: false
X-CSTP-Split-Exclude: 192.168.0.0/255.255.0.0
X-CSTP-Split-Exclude: 10.0.0.0/255.0.0.0
X-CSTP-Split-Exclude: 172.16.0.0/255.240.0.0
X-CSTP-Split-Exclude: 127.0.0.0/255.0.0.0
X-CSTP-Keepalive: 32400
X-CSTP-Idle-Timeout: none
X-CSTP-Smartcard-Removal-Disconnect: true
X-CSTP-Rekey-Time: 172795
X-CSTP-Rekey-Method: ssl
X-CSTP-Session-Timeout: 0
X-CSTP-Session-Timeout-Remaining: 0
X-CSTP-Disconnected-Timeout: none
X-CSTP-Keep: true
X-CSTP-TCP-Keepalive: true
X-CSTP-License: accept
X-DTLS-DPD: 90
X-DTLS-Port: YYYY
X-DTLS-Rekey-Time: 172805
X-DTLS-Rekey-Method: ssl
X-DTLS-Keepalive: 32400
X-DTLS-App-ID: 7277868a3088da5619880561d8f1bd477017139e137c48cfbc5ba8d2159a80fd
X-DTLS-CipherSuite: PSK-NEGOTIATE
X-CSTP-Base-MTU: 1500
X-CSTP-MTU: 1434
CSTP connected. DPD 90, Keepalive 32400
UDP SO_SNDBUF: 28680
DTLS initialised. DPD 90, Keepalive 32400

 

Edited by snark
Link to comment
Share on other sites

3 часа назад, Le ecureuil сказал:

Ошибка выглядит так:

[I] Apr 15 10:47:09 openconnect: Attempting to connect to server *:443 

Вам нужно разобраться с сервером, думаю вы даже через curl сможете сами увидеть проблему.

Когда я говорил что у меня сервер на другом порту, а не 443, я имел ввиду вот это. У вас проверка по 443

Link to comment
Share on other sites

17 минут назад, snark сказал:

Когда я говорил что у меня сервер на другом порту, а не 443, я имел ввиду вот это. У вас проверка по 443

Все, понял. Работа с портом поправлена, будет в следующем 4.2.

  • Upvote 1
Link to comment
Share on other sites

Реализован camouflage-режим.
На клиенте достаточно в upstream просто указать URL.

На сервере команда oc-server camouflage его включает, ключ генерируется псевдослучайно и его можно посмотреть в поле secret вывода команды show oc-server.

  • Thanks 3
  • Upvote 3
Link to comment
Share on other sites

В 13.04.2024 в 11:21, snark сказал:

Кинетик OpenConnect сервер - помойму проблема с nat, клиенты подключаются, но выхода в интернет у них нет

Поправлено.

Link to comment
Share on other sites

Апр 20 20:35:59 ndm
OpenConnect::Interface: "OpenConnect0": system failed [0xcffd0291].
Апр 20 20:35:59 openconnect
Failed to open /dev/vhost-net: No such file or directory

Вот такая ошибка на 4.2 Alpha 5

 

А ещё в случае разрыва со стороны сервера, не хочет переподключаться

Апр 20 20:49:22 openconnect
sleep 10s, remaining timeout 300s
Апр 20 20:49:33 openconnect
SSL negotiation with xxxxxxxxxx
Апр 20 20:49:33 openconnect
Connected to HTTPS on xxxxxxxxxx with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP256R1-SHA256)-(AES-256-GCM)
Апр 20 20:49:33 openconnect
Got inappropriate HTTP CONNECT response: HTTP/1.1 405 Method Not Allowed
Апр 20 20:49:33 openconnect
sleep 20s, remaining timeout 290s
Апр 20 20:49:53 openconnect
SSL negotiation with xxxxxxxxxx
Апр 20 20:49:53 openconnect
Connected to HTTPS on xxxxxxxxxx with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP256R1-SHA256)-(AES-256-GCM)
Апр 20 20:49:53 openconnect
Got inappropriate HTTP CONNECT response: HTTP/1.1 405 Method Not Allowed
Апр 20 20:49:53 openconnect
sleep 30s, remaining timeout 270s
Апр 20 20:50:23 openconnect
SSL negotiation with xxxxxxxxxx
Апр 20 20:50:24 openconnect
Connected to HTTPS on xxxxxxxxxx with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP256R1-SHA256)-(AES-256-GCM)
Апр 20 20:50:24 openconnect
Got inappropriate HTTP CONNECT response: HTTP/1.1 405 Method Not Allowed
Апр 20 20:50:24 openconnect
sleep 40s, remaining timeout 240s

 

Edited by snark
Link to comment
Share on other sites

1 час назад, snark сказал:
Апр 20 20:35:59 ndm
OpenConnect::Interface: "OpenConnect0": system failed [0xcffd0291].
Апр 20 20:35:59 openconnect
Failed to open /dev/vhost-net: No such file or directory

Вот такая ошибка на 4.2 Alpha 5

 

А ещё в случае разрыва со стороны сервера, не хочет переподключаться

Апр 20 20:49:22 openconnect
sleep 10s, remaining timeout 300s
Апр 20 20:49:33 openconnect
SSL negotiation with xxxxxxxxxx
Апр 20 20:49:33 openconnect
Connected to HTTPS on xxxxxxxxxx with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP256R1-SHA256)-(AES-256-GCM)
Апр 20 20:49:33 openconnect
Got inappropriate HTTP CONNECT response: HTTP/1.1 405 Method Not Allowed
Апр 20 20:49:33 openconnect
sleep 20s, remaining timeout 290s
Апр 20 20:49:53 openconnect
SSL negotiation with xxxxxxxxxx
Апр 20 20:49:53 openconnect
Connected to HTTPS on xxxxxxxxxx with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP256R1-SHA256)-(AES-256-GCM)
Апр 20 20:49:53 openconnect
Got inappropriate HTTP CONNECT response: HTTP/1.1 405 Method Not Allowed
Апр 20 20:49:53 openconnect
sleep 30s, remaining timeout 270s
Апр 20 20:50:23 openconnect
SSL negotiation with xxxxxxxxxx
Апр 20 20:50:24 openconnect
Connected to HTTPS on xxxxxxxxxx with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP256R1-SHA256)-(AES-256-GCM)
Апр 20 20:50:24 openconnect
Got inappropriate HTTP CONNECT response: HTTP/1.1 405 Method Not Allowed
Апр 20 20:50:24 openconnect
sleep 40s, remaining timeout 240s

 

Нужен лог с interface OpenConnect0 debug

Link to comment
Share on other sites

  • 3 weeks later...
Posted (edited)

@Le ecureuil спасибо за клиента, все работает! А как добавить корневой let's encrypt куда надо без opkg и настроить клиент так, чтобы не игнорировал signer not found.

edit: похоже, все там есть в ca store. надо было только ocserv подсунуть fullchain.pem вместо cert.pem

Поскольку у клиента настроек ciphersuites нет, пошаманил с сервером и в итоге работает в 3 раза быстрее, чем AES-GCM:

connected with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(RSA-PSS-RSAE-SHA256)-(CHACHA20-POLY1305)

 

Edited by john ibsuser
ошибку signer not found починил, однако неплохо бы иметь настройку не соединяться при невалидном сертификате
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...