openconnect

[Colgate]

27 минут назад, miltt сказал:

Галку, да. Cisco такой серт. считает недоверенным.
AnyConnect с камуфляжем работает. А вот мультипротокольный VPN Client Pro, только без камуфляжа. Хоть и богаче по настройкам, а ни в какую.

Получилось наоборот. Именно с камуфляжем не работает, а без него работает. Интересно почему? В логах клиента не нашел ничего такого.

[linkedu]

В 06.10.2024 в 10:36, SemyonG сказал:

Добрый день!
KN-3710 OpenConnect-клиент проработал месяц, вчера отвалился и висит в состоянии "идет подключение" трафик в впн не идет, на сервере сессия в статусе эктив.
Была прошивка 4.2 beta3, обновил до 4.2.1 результат тот же. Клиенты с конечных хостов подключаются без проблем.

UDP:
Причину выяснил, клиент не осилил 1471 маршрут с OpenConnect-сервера в 24е подсети. Хотя он их и не принимает насколько я понял. Даже при меньшем количестве приходилось прописывать статику непосредственно на роутере.

 

Подскажите, а что делать-то, у меня такая же ситуация - сторонние клиенты подключаются с андроида (кроме случая с камуфляжем), а между собой кинетики не дружат?

UPD Теперь надо маршрут прописывать к серверу

Edited October 19 by linkedu
UPD

[miltt]

3 часа назад, Colgate сказал:

Получилось наоборот. Именно с камуфляжем не работает, а без него работает. Интересно почему? В логах клиента не нашел ничего такого.

Т. е. у Вас AnyConnect (Cisco Secure Client) без камуфляжа подключается к серверу кинетика?

А при включении камуфляж, Вы адрес сервера в клиенте изменяете соответствующим образом?

Если да, то о какой версии прошивки речь? Т.к. на свежей альфе у меня ни openconnect ни sstp, что с камуфляжем, что без, не завелись. Пришлось отъехать на стаб.

[Colgate]

4 часа назад, miltt сказал:

Т. е. у Вас AnyConnect (Cisco Secure Client) без камуфляжа подключается к серверу кинетика?

А при включении камуфляж, Вы адрес сервера в клиенте изменяете соответствующим образом?

Если да, то о какой версии прошивки речь? Т.к. на свежей альфе у меня ни openconnect ни sstp, что с камуфляжем, что без, не завелись. Пришлось отъехать на стаб.

При включении камуфляжа адрес подключения не изменяю. Подскажите, пожалуйста, как нужно изменить? Выше этот же вопрос задавал.

У меня KeeneticOS 4.2.1

[DHARVED]

OC сервер стоит на VPS, клиент на Giga (KN-1011). Роутер выдает максимум 15мбит в обе стороны. Это предел железки или можно что покрутить? 

С телефона тестил разок, через AnyConnect, 150мбит в обе стороны. На VPS выдан канал 300мбит. 

[miltt]

5 часов назад, Colgate сказал:

При включении камуфляжа адрес подключения не изменяю. Подскажите, пожалуйста, как нужно изменить? Выше этот же вопрос задавал.

У меня KeeneticOS 4.2.1

Здесь обсуждали (страницу назад). Ответ выше на 4-ре сообщения от Вашего первого вопроса .
"secret" вашего сервера Вы можете узнать в CLI/ Web-CLI
набрав: show oc-server
естественно при включенном камуфляж.

Edited October 19 by miltt

[slydiman]

12 часа назад, DHARVED сказал:

Это предел железки или можно что покрутить? 

Тоже было 10..18 мбит. Заменил роутер на Hopper SE (KN-3812) - стало лучше, почти 100 мбит.
Другие утверждали что и 150 тянет.
Кстати, что за провайдер, где VPS, если не секрет?

[slydiman]

15 часов назад, Colgate сказал:

При включении камуфляжа адрес подключения не изменяю. Подскажите, пожалуйста, как нужно изменить?

При включении комуфляжа в адрес добавляется ?secret_word
Секретное слово разумеется ваше, прописанное на сервере.
То есть если на клиенте адрес был https://my_server/, то становится https://my_server/?secret_word
В данном примере подразумевается порт 443 стандартный для https.

[DHARVED]

1 минуту назад, slydiman сказал:

Тоже было 10..18 мбит. Заменил роутер на Hopper SE (KN-3812) - стало лучше, почти 100 мбит.
Другие утверждали что и 150 тянет.
Кстати, что за провайдер, где VPS, если не секрет?

JustHost, самый дешёвый тариф, 1ядро, 1гиг рам, 20 нвме, локация варшава. 

Менять гигу на новый хопер дорогое удовольствие конечно. Думал может на х86 что организовать, но это тоже не дёшево:(

 

[KPOCAB4EG]

openconnect client (AnyConnect) в кинетиках поддерживает totp? для понимания, пример моего подключения сейчас (через openconnect):

Цитата

echo -n "password" | sudo openconnect --user=username --passwd-on-stdin --token-mode=totp --token-secret="base32:secret" --useragent=AnyConnect https://server

роутера нет на руках, в демо не проверить

[vasek00]

5 часов назад, KPOCAB4EG сказал:

openconnect client (AnyConnect) в кинетиках поддерживает totp? для понимания, пример моего подключения сейчас (через openconnect):

роутера нет на руках, в демо не проверить

Думаю нет так как используется метод

auth = "radius[config=/var/run/ocserv/radius.conf,groupconfig=true]"
acct = "radius[config=/var/run/ocserv/radius.conf,groupconfig=true]"

и  плюс может

camouflage=true
camouflage_secret=bb.....3

иначе

auth = "plain[passwd=/etc/ocserv/passwd,otp=/etc/ocserv/passwd.oath]" # authentication using password-file and otp


Чтобы генерировать секрет TOTP, некоторые псевдослучайные данные должны быть сгенерированы и написаны в файл OTP в специальном формате.

KEY=$(head -10 /dev/urandom | md5sum | cut -b 1-8) # use 1-30 for more complex keys
echo "HOTP/T30 <username> - $KEY" >> /etc/ocserv/passwd.oath

 

[Le ecureuil]

15 часов назад, KPOCAB4EG сказал:

openconnect client (AnyConnect) в кинетиках поддерживает totp? для понимания, пример моего подключения сейчас (через openconnect):

роутера нет на руках, в демо не проверить

Попробовать можно. А удаленная сторона кто?

[KPOCAB4EG]

58 минут назад, Le ecureuil сказал:

Попробовать можно. А удаленная сторона кто?

корпоративный cisco

роутер взял (новую гигу), если будет развитие пакета - с радостью протестирую

[sundmoon]

Есть домашний keenetic hopper se  с белым IP и entware, и есть vpn-шлюз в корпоративной сети (виртуалка за фаерволами; пивом вопросы нерешаемы и вообще никак не решаемы).

OC шлюза возможна любая, навскидку завёл OPNSense.

Задача подключиться домой чем-то максимально похожим на https и удерживать тоннель типа сайт-to-сайт - то есть 1) переподнимать его в случае разрыва и  2) добавлять на кинетик маршруты за виртуалкой, как только подключается этот клиент и что-то разумное делать с коннектами когда туннель разорван и ожидается переподключение.

Кажется, следует выбрать всё-таки Openconnect - потому, что клиента SSTP я в opnsense не вижу.

 

Пруф-концепт подключение работает. 
Дело за малым: докрутить туннель. 

Прошу советов.

 

Edited Sunday at 11:11 PM by sundmoon

[Le ecureuil]

@avnпоправил эту мелочь, в следующем выпуске можно будет проверить.

[abelar]

Несколько дней тестирую протокол OC, поднят на VPS при помощи VPN bot https://telegra.ph/vpnbot-start-xray-10-14

Клиентами OC являются Hooper SE и  Hero 4G+. К роутерам через настроенную политику подключены телевизоры. Для других клиентов OC не используется, они берут конфиг от SingBox того же сервера. Поначалу был жор памяти в контейнере OCserv на VPS, на данный момент эта проблема уже решена. В принципе все работает, устраивает. Мощностей процессоров роутеров хватает, затык идет в 50% ограничении контейнера OCserv на использование ядра VPS. А так как там 1 ядро, 2 Гб памяти и 5Гб диск, то особо не разгуляться, обеспечивает скорость 50-70 Мбит/c. Телевизорам для Ютуба это более чем достаточно. Был бы мощнее VPS была бы выше скорость.

Осталась единственная проблема. Например даже при кратковременной перезагрузке сервера соединение OC на Кинетике не пропадает. Он думает, что подключен, но при этом данные не передаются, 10 минут висит чего-то ждет. Надо либо вручную передернуть на Кинетике, либо само отвиснет и переконнектится примерно через 10 минут.

Перелопатил весь файл Ocserv.conf на сервере OCserv, пробовал менять значения, ничего не помогает. Похоже данный параметр управляется со стороны клиента (Кинетика).

Может кто-нибудь сталкивался, как решить проблему?

Edited Wednesday at 07:10 PM by abelar

[Denis P]

27 минут назад, abelar сказал:

Несколько дней тестирую протокол OC, поднят на VPS при помощи VPN bot https://telegra.ph/vpnbot-start-xray-10-14

Клиентами OC являются Hooper SE и  Hero 4G+. К роутерам через настроенную политику подключены телевизоры. Для других клиентов OC не используется, они берут конфиг от SingBox того же сервера. Поначалу был жор памяти в контейнере OCserv на VPS, на данный момент эта проблема уже решена. В принципе все работает, устраивает. Мощностей процессоров роутеров хватает, затык идет в 50% ограничении контейнера OCserv на использование ядра VPS. А так как там 1 ядро, 2 Гб памяти и 5Гб диск, то особо не разгуляться, обеспечивает скорость 50-70 Мбит/c. Телевизорам для Ютуба это более чем достаточно. Был бы мощнее VPS была бы выше скорость.

Осталась единственная проблема. Например даже при кратковременной перезагрузке сервера соединение OC на Кинетике не пропадает. Он думает, что подключен, но при этом данные не передаются, 10 минут висит чего-то ждет. Надо либо вручную передернуть на Кинетике, либо само отвиснет и переконнектится примерно через 10 минут.

Перелопатил весь файл Ocserv.conf на сервере OCserv, пробовал менять значения, ничего не помогает. Похоже данный параметр управляется со стороны клиента (Кинетика).

Может кто-нибудь сталкивался, как решить проблему?

крутить на сервере
keepalive = 
dpd = 

Edited Wednesday at 07:34 PM by Denis P

[abelar]

40 минут назад, Denis P сказал:

крутить на сервере
keepalive = 
dpd = 

Сейчас стоит keepalive = 300, dpd = 60, пробовал keepalive = 30 - ничего не меняется

[savizor]

Два кинетика связаны через Openconnect - маршруты прописаны все хорошо работает.

Как можно настроить фаер для входящих со стороны кинетик-клиента, на стороне кинетик-сервера ? Интерфейс OCVPN на "сервере" в маршрутах виден, но в "межсетевом экране" отсутствует. Настройка правил по маскам сетей в сегменте "домашняя сеть" никак не влияет..

Edited 19 hours ago by savizor