openconnect

[Dr.ZuLuS]

9 минут назад, Le ecureuil сказал:

Попробуйте с 
interface OpenConnect0 debug
снять self-test.

А подскажите полный список команд для коннекта клиента openconnect к серверу.

Сделал openconnect upstream ip port

openconnect authenticate identy username

openconnect authenticate password password 

 

Интерфейс поднимается, но Коннект Стейт down.

interface Openconnect1 up делал

Пробовал прописать ip для интерфейса, это тоже не помогло.

Edited April 13 by Dr.ZuLuS

[snark]

5 часов назад, Le ecureuil сказал:

Попробуйте с 
interface OpenConnect0 debug
снять self-test.

Именно так и сделал, self в скрытом сообщении

[keenet07]

4.2 Alpha 4 

В веб-интерфейсе ещё ничего не присутствует? Ни сервер, ни клиент?

[Le ecureuil]

В 13.04.2024 в 12:56, Dr.ZuLuS сказал:

А подскажите полный список команд для коннекта клиента openconnect к серверу.

Сделал openconnect upstream ip port

openconnect authenticate identy username

openconnect authenticate password password 

 

Интерфейс поднимается, но Коннект Стейт down.

interface Openconnect1 up делал

Пробовал прописать ip для интерфейса, это тоже не помогло.

Вам все то же самое - включить debug и снимать логи.

[Le ecureuil]

В 13.04.2024 в 19:40, keenet07 сказал:

4.2 Alpha 4 

В веб-интерфейсе ещё ничего не присутствует? Ни сервер, ни клиент?

Пока еще нет.

[Le ecureuil]

@snark в self-test не включен debug на OpenConnect0.

[snark]

37 минут назад, Le ecureuil сказал:

@snark в self-test не включен debug на OpenConnect0.

Ещё раз выгрузил

[Le ecureuil]

И правда не работал нормально syslog, поправил вывод.

[Le ecureuil]

14 часа назад, snark сказал:

Ещё раз выгрузил

Ошибка выглядит так:

I] Apr 15 10:47:06 ndm: Network::Interface::Ip: "OpenConnect0": IP address cleared. 
[I] Apr 15 10:47:09 openconnect: POST https://*.biz/ 
[I] Apr 15 10:47:09 openconnect: Attempting to connect to server *:443 
[I] Apr 15 10:47:09 openconnect: Connected to *:443 
[I] Apr 15 10:47:09 openconnect: SSL negotiation with *.biz 
[I] Apr 15 10:47:09 openconnect:  Certificate from VPN server "*.biz" failed verification. Reason: signer not found 
[I] Apr 15 10:47:09 openconnect: Connected to HTTPS on *.biz with ciphersuite (TLS1.3)-(ECDHE-X25519)-(ECDSA-SECP256R1-SHA256)-(AES-128-GCM) 
[I] Apr 15 10:47:09 openconnect: Got HTTP response: HTTP/1.1 405 Not Allowed 
[I] Apr 15 10:47:09 openconnect: Server: nginx/1.18.0 (Ubuntu) 
Failed to complete authentication
[I] Apr 15 10:47:09 openconnect: Date: Mon, 15 Apr 2024 08:47:09 GMT 
[I] Apr 15 10:47:09 openconnect: Content-Type: text/html 
[I] Apr 15 10:47:09 openconnect: Content-Length: 166 
[I] Apr 15 10:47:09 openconnect: Connection: keep-alive 
[I] Apr 15 10:47:09 openconnect: HTTP body length:  (166) 
[I] Apr 15 10:47:09 openconnect: Unexpected 405 result from server 
[E] Apr 15 10:47:09 ndm: Service: "OpenConnect0": unexpectedly stopped. 

Вам нужно разобраться с сервером, думаю вы даже через curl сможете сами увидеть проблему.

[snark]

1 час назад, Le ecureuil сказал:

Ошибка выглядит так:

 

Можно ли в текущей реализации на кинетике приспособить "--servercert pin"?

И на всякий случай уточню, у меня сервер не на 443 порту. Если нужно, могу дать креды для тестов

Клиент cisco и Clavister OneConnect (https://apps.apple.com/us/app/clavister-oneconnect/id1565970099), к нему вполне бодро подключаются. Консольный openconnect на маке тоже

 

Edited April 15 by snark

[Le ecureuil]

46 минут назад, snark сказал:

 

Можно ли в текущей реализации на кинетике приспособить "--servercert pin"?

И на всякий случай уточню, у меня сервер не на 443 порту. Если нужно, могу дать креды для тестов

Клиент cisco и Clavister OneConnect (https://apps.apple.com/us/app/clavister-oneconnect/id1565970099), к нему вполне бодро подключаются. Консольный openconnect на маке тоже

 

Порт можно отдельно задать (в cli через пробел), а неудачная верификация сертификата все равно не является фатальной - ровно как и в SSTP.

[snark]

1 час назад, Le ecureuil сказал:

Порт можно отдельно задать (в cli через пробел), а неудачная верификация сертификата все равно не является фатальной - ровно как и в SSTP.

Только что подключился к этому серверу, консольным клиентом из ubuntы

> openconnect bla-bla-bla.com:YYYY

POST https://bla-bla-bla.com:YYYY/
Attempting to connect to server xx.xx.xx.xx:YYYY
Connected to xx.xx.xx.xx:YYYY
SSL negotiation with bla-bla-bla.com
Server certificate verify failed: signer not found
Connected to HTTPS on bla-bla-bla.com with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP256R1-SHA256)-(AES-256-GCM)
Got HTTP response: HTTP/1.1 200 OK
Set-Cookie: webvpncontext=; expires=Thu, 01 Jan 1970 22:00:00 GMT; path=/; Secure; HttpOnly
Content-Type: text/xml
Content-Length: 306
X-Transcend-Version: 1
HTTP body length:  (306)
XML POST enabled
Please enter your username.
Username:zzzzzzz
POST https://bla-bla-bla.com:YYYY/auth
Got HTTP response: HTTP/1.1 200 OK
Set-Cookie: webvpncontext=AHw/12xmowvEwyiaJZTWeJ/iSlclnlyBfrralZ6H+CA=; Max-Age=3600; Secure; HttpOnly
Content-Type: text/xml
Content-Length: 310
X-Transcend-Version: 1
HTTP body length:  (310)
Please enter your password.
Password:
POST https://bla-bla-bla.com:YYYY/auth
Got HTTP response: HTTP/1.1 200 OK
Connection: Keep-Alive
Content-Type: text/xml
Content-Length: 189
X-Transcend-Version: 1
Set-Cookie: webvpncontext=AHw/12xmowvEwyiaJZTWeJ/iSlclnlyBfrralZ6H+CA=; Secure; HttpOnly
Set-Cookie: webvpn=<elided>; Secure; HttpOnly
Set-Cookie: webvpnc=; expires=Thu, 01 Jan 1970 22:00:00 GMT; path=/; Secure; HttpOnly
Set-Cookie: webvpnc=bu:/&p:t&iu:1/&sh:ECC9876E61345F84B9032FB3B726B14831409C6E; path=/; Secure; HttpOnly
HTTP body length:  (189)
TCP_INFO rcv mss 1419, snd mss 1448, adv mss 65483, pmtu 65535
Got CONNECT response: HTTP/1.1 200 CONNECTED
X-CSTP-Version: 1
X-CSTP-Server-Name: OpenConnect VPN Server
X-CSTP-Hostname: LLLLLLLL
X-CSTP-DPD: 90
X-CSTP-Default-Domain: bla-bla-bla.com
X-CSTP-Address: 192.168.99.228
X-CSTP-Netmask: 255.255.255.0
X-CSTP-DNS: 8.8.8.8
X-CSTP-Tunnel-All-DNS: false
X-CSTP-Client-Bypass-Protocol: false
X-CSTP-Split-Exclude: 192.168.0.0/255.255.0.0
X-CSTP-Split-Exclude: 10.0.0.0/255.0.0.0
X-CSTP-Split-Exclude: 172.16.0.0/255.240.0.0
X-CSTP-Split-Exclude: 127.0.0.0/255.0.0.0
X-CSTP-Keepalive: 32400
X-CSTP-Idle-Timeout: none
X-CSTP-Smartcard-Removal-Disconnect: true
X-CSTP-Rekey-Time: 172795
X-CSTP-Rekey-Method: ssl
X-CSTP-Session-Timeout: 0
X-CSTP-Session-Timeout-Remaining: 0
X-CSTP-Disconnected-Timeout: none
X-CSTP-Keep: true
X-CSTP-TCP-Keepalive: true
X-CSTP-License: accept
X-DTLS-DPD: 90
X-DTLS-Port: YYYY
X-DTLS-Rekey-Time: 172805
X-DTLS-Rekey-Method: ssl
X-DTLS-Keepalive: 32400
X-DTLS-App-ID: 7277868a3088da5619880561d8f1bd477017139e137c48cfbc5ba8d2159a80fd
X-DTLS-CipherSuite: PSK-NEGOTIATE
X-CSTP-Base-MTU: 1500
X-CSTP-MTU: 1434
CSTP connected. DPD 90, Keepalive 32400
UDP SO_SNDBUF: 28680
DTLS initialised. DPD 90, Keepalive 32400

 

Edited April 15 by snark

[snark]

3 часа назад, Le ecureuil сказал:

Ошибка выглядит так:

[I] Apr 15 10:47:09 openconnect: Attempting to connect to server *:443 

Вам нужно разобраться с сервером, думаю вы даже через curl сможете сами увидеть проблему.

Когда я говорил что у меня сервер на другом порту, а не 443, я имел ввиду вот это. У вас проверка по 443

[Le ecureuil]

17 минут назад, snark сказал:

Когда я говорил что у меня сервер на другом порту, а не 443, я имел ввиду вот это. У вас проверка по 443

Все, понял. Работа с портом поправлена, будет в следующем 4.2.

[Le ecureuil]

Реализован camouflage-режим.
На клиенте достаточно в upstream просто указать URL.

На сервере команда oc-server camouflage его включает, ключ генерируется псевдослучайно и его можно посмотреть в поле secret вывода команды show oc-server.

[Le ecureuil]

В SSTP-сервере и клиенте тоже реализовано

[Le ecureuil]

В 13.04.2024 в 11:21, snark сказал:

Кинетик OpenConnect сервер - помойму проблема с nat, клиенты подключаются, но выхода в интернет у них нет

Поправлено.

[snark]

Апр 20 20:35:59 ndm
OpenConnect::Interface: "OpenConnect0": system failed [0xcffd0291].
Апр 20 20:35:59 openconnect
Failed to open /dev/vhost-net: No such file or directory

Вот такая ошибка на 4.2 Alpha 5

 

А ещё в случае разрыва со стороны сервера, не хочет переподключаться

Апр 20 20:49:22 openconnect
sleep 10s, remaining timeout 300s
Апр 20 20:49:33 openconnect
SSL negotiation with xxxxxxxxxx
Апр 20 20:49:33 openconnect
Connected to HTTPS on xxxxxxxxxx with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP256R1-SHA256)-(AES-256-GCM)
Апр 20 20:49:33 openconnect
Got inappropriate HTTP CONNECT response: HTTP/1.1 405 Method Not Allowed
Апр 20 20:49:33 openconnect
sleep 20s, remaining timeout 290s
Апр 20 20:49:53 openconnect
SSL negotiation with xxxxxxxxxx
Апр 20 20:49:53 openconnect
Connected to HTTPS on xxxxxxxxxx with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP256R1-SHA256)-(AES-256-GCM)
Апр 20 20:49:53 openconnect
Got inappropriate HTTP CONNECT response: HTTP/1.1 405 Method Not Allowed
Апр 20 20:49:53 openconnect
sleep 30s, remaining timeout 270s
Апр 20 20:50:23 openconnect
SSL negotiation with xxxxxxxxxx
Апр 20 20:50:24 openconnect
Connected to HTTPS on xxxxxxxxxx with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP256R1-SHA256)-(AES-256-GCM)
Апр 20 20:50:24 openconnect
Got inappropriate HTTP CONNECT response: HTTP/1.1 405 Method Not Allowed
Апр 20 20:50:24 openconnect
sleep 40s, remaining timeout 240s

 

Edited April 20 by snark

[Le ecureuil]

1 час назад, snark сказал:

Апр 20 20:35:59 ndm
OpenConnect::Interface: "OpenConnect0": system failed [0xcffd0291].
Апр 20 20:35:59 openconnect
Failed to open /dev/vhost-net: No such file or directory

Вот такая ошибка на 4.2 Alpha 5

 

А ещё в случае разрыва со стороны сервера, не хочет переподключаться

Апр 20 20:49:22 openconnect
sleep 10s, remaining timeout 300s
Апр 20 20:49:33 openconnect
SSL negotiation with xxxxxxxxxx
Апр 20 20:49:33 openconnect
Connected to HTTPS on xxxxxxxxxx with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP256R1-SHA256)-(AES-256-GCM)
Апр 20 20:49:33 openconnect
Got inappropriate HTTP CONNECT response: HTTP/1.1 405 Method Not Allowed
Апр 20 20:49:33 openconnect
sleep 20s, remaining timeout 290s
Апр 20 20:49:53 openconnect
SSL negotiation with xxxxxxxxxx
Апр 20 20:49:53 openconnect
Connected to HTTPS on xxxxxxxxxx with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP256R1-SHA256)-(AES-256-GCM)
Апр 20 20:49:53 openconnect
Got inappropriate HTTP CONNECT response: HTTP/1.1 405 Method Not Allowed
Апр 20 20:49:53 openconnect
sleep 30s, remaining timeout 270s
Апр 20 20:50:23 openconnect
SSL negotiation with xxxxxxxxxx
Апр 20 20:50:24 openconnect
Connected to HTTPS on xxxxxxxxxx with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP256R1-SHA256)-(AES-256-GCM)
Апр 20 20:50:24 openconnect
Got inappropriate HTTP CONNECT response: HTTP/1.1 405 Method Not Allowed
Апр 20 20:50:24 openconnect
sleep 40s, remaining timeout 240s

 

Нужен лог с interface OpenConnect0 debug

[snark]

12 часа назад, Le ecureuil сказал:

Нужен лог с interface OpenConnect0 debug

В скрытом сообщении

[Le ecureuil]

В 21.04.2024 в 10:45, snark сказал:

В скрытом сообщении

Поправлено.