JoeDoe

При включении облачного режима DTLS с другого адреса не приходит, но практически сразу после установления соединения клиент уходит на reconnect и потом disconnect. P.S. log перешлю напрямую.

Столкнулся со следующей проблемой при использовании openconnect server на KeeneticOS. После успешной установки соединения с iPhone (клиент: AnyConnect 5.1.10 (а есть ли альтернативы на iPhone?!)) оно разрывается через 27 секунд. Потратил несколько часов и выводы следующие: если использовать ту же конфигурацию но с iPad-а подключенного через Personal Hotspot (tethering), то всё работает без проблем. Также VPN работает с компа при использовании Personal Hotspot. Я включил отладку на Keenetic и обнаружил, что TLS и DTLS соединения устанавливаются с разных IP. Также статистика AnyConnect клиента на iPhone по переданным (Sent) пакетам всегда ноль. Я думаю, что проблема явно у мобильного оператора, который пытается оптимизировать сеть направляя UDP трафик по отдельной несущей/виртуальному каналу (bearer), a nat с разных bearer использует разные внешние пулы и не синхронизирован. Весь же трафик с Personal Hotspot (tethering) оптимизации не подлежит (кто будет на телефоне DPI делать?!) и соответственно использует один bearer и всё работает. Сталкивался ли кто с такой проблемой и как её решали? P.S. wireguard с телефона работает без проблем - там нет отдельного TCP соединения для управления P.P.S. IMHO, для мобильного оператора это очень простой способ бороться с SSL-based VPN с телефонов (плюс запрет tethering), хотя я не думаю, что мой оператор делает это специально - они до сих пор сидят на старых SGW/PGW (соответственно весь 5G у них NSA) и не могут перейти на 5G SA.

Описание проблемы и её решение (через CLI): Для Internet подключения используется PPPoE соединение с MTU 1500 (а не 1492) да ещё и в VLAN. Подобный подход распространён среди провайдеров FTTC в Великобритании и Нидерландах. Для решения проблемы потребовалось изменить MTU в трёх местах: interface GigabitEthernet1 ip mtu 1512 interface GigabitEthernet1/Vlan6 ip mtu 1508 interface PPPoE0 ip mtu 1500 без этого соединение хоть и устанавливается, но ничего не работает (зависает на TCP SYN из-за побитых пакетов и т.п.) Всё б ничего, но Web морда значения выше 1500 не любит и соответственно не даёт сохранять другие изменения на странице тоже. Плюс, не понятно, где поменять MTU на физическом интерфейсе, так как ISP Requirements - это только MTU на VLAN интерфейсе. Просто разрешить там писать значения выше 1500 будет недостаточно. P.S.Мой провайдер обычно предоставляет свой роутер, где все сервисы настроены как надо, поэтому с их стороны особой поддержки нет.

Похоже на некоторых страницах в GUI используется очень агрессивный page refresh в 3 сек. Сам я смог поменять IP только с пятой попытки скопировав новое значение из буфера и сохранив.🤪