openconnect

[Le ecureuil]

4 часа назад, Роман rvb сказал:

Еще одно замечание.

Сейчас после установления соединения система сразу создает маршрут на IP vpn-сервера через свежеподнятый интерфейс. Не всегда это надо (я об тот же сервер свой внешний IP curl'ом определяю), хотелось бы этот маршрут отключаемой фичей.

Покажите-ка, что это такое. Сейчас OpenConnect-клиент работает через policy routing, потому маршрутов до сервера создавать не должен.

[Dalex]

11 час назад, Роман rvb сказал:

Еще одно замечание.

Сейчас после установления соединения система сразу создает маршрут на IP vpn-сервера через свежеподнятый интерфейс. Не всегда это надо (я об тот же сервер свой внешний IP curl'ом определяю), хотелось бы этот маршрут отключаемой фичей.

Несмотря на то, что на сервере в ocserv.conf стоит route=default - никаких дополнительных маршрутов OpenConnect клиент (Keenetic OS 4.2) на Кинетике не создает.

[Dalex]

В 18.09.2024 в 09:14, Dalex сказал:

Тестирую OpenConnect клиента на Keenetic Ultra

У меня с включенным UDP - загрузка выходит под 90мбс, а с закомментированным udp-port на сервере - ~15.

отдача правда страдает и там и там - ~25 против ~50.

Тестировал неоднократно -  и speedtest и iperf прям до VPN сервера.

Где может быть затык? Тему изучил, настройки ocserv довольно стандартные.

Осталась одна идея - ВМ OpenVZшная и вероятно что-то в общем ядре не дает OpenConnect работать в полную силу - так и не удалось добиться скорости выше 30м\с до OpenConnect сервера, хотя любая другая технология дает ~90мб\с.

Хотя очень странно - он вроде бы работает строго в userspace.

[Le ecureuil]

11 час назад, Dalex сказал:

Несмотря на то, что на сервере в ocserv.conf стоит route=default - никаких дополнительных маршрутов OpenConnect клиент (Keenetic OS 4.2) на Кинетике не создает.

И не создаст - дефолтный маршрут в KeeneticOS никто по приказу свыше создать не может, кроме настройки политик доступа.

[Роман rvb]

В 23.09.2024 в 22:46, Dalex сказал:

Несмотря на то, что на сервере в ocserv.conf стоит route=default - никаких дополнительных маршрутов OpenConnect клиент (Keenetic OS 4.2) на Кинетике не создает.

Так не дефолтный, а точечно на сервер VPN весь трафик в свежесозданную трубу. Что далеко не всегда надо, и хотелось бы отключать без прикручивания хуков.

[Роман rvb]

В 23.09.2024 в 15:16, Le ecureuil сказал:

Покажите-ка, что это такое. Сейчас OpenConnect-клиент работает через policy routing, потому маршрутов до сервера создавать не должен.

Вот какой-то глюк - он их создает не каждый раз, но регулярно. Грубо говоря - VPN имеет адрес 1.2.3.4, и сразу после подключения (но не первого после ребута, похоже), появляется маршрут 1.2.3.4 dev numcli0.

[Le ecureuil]

Неплохо все же self-test выложить.

[SemyonG]

Добрый день!
KN-3710 OpenConnect-клиент проработал месяц, вчера отвалился и висит в состоянии "идет подключение" трафик в впн не идет, на сервере сессия в статусе эктив.
Была прошивка 4.2 beta3, обновил до 4.2.1 результат тот же. Клиенты с конечных хостов подключаются без проблем.

UDP:
Причину выяснил, клиент не осилил 1471 маршрут с OpenConnect-сервера в 24е подсети. Хотя он их и не принимает насколько я понял. Даже при меньшем количестве приходилось прописывать статику непосредственно на роутере.

 

Изменено 6 октября пользователем SemyonG
скрыл self-test

[avn]

@Le ecureuil А как можно задать параметр --prot=fortinet

?

 

Скрытый текст

[I] Oct 10 10:54:20 openconnect: POST https://portal.testdomain.ru:10443/ 
[I] Oct 10 10:54:20 openconnect: Attempting to connect to server 16.11.1.10:10443 
[I] Oct 10 10:54:20 openconnect: Connected to 16.11.1.10:10443 
[I] Oct 10 10:54:20 openconnect: SSL negotiation with portal.testdomain.ru 
[I] Oct 10 10:54:21 openconnect:  Certificate from VPN server "portal.testdomain.ru" failed verification. Reason: signer not found 
[I] Oct 10 10:54:21 openconnect: Connected to HTTPS on portal.testdomain.ru with ciphersuite (TLS1.3)-(ECDHE-SECP384R1)-(RSA-PSS-RSAE-SHA256)-(AES-256-GCM) 
[I] Oct 10 10:54:21 openconnect: Got HTTP response: HTTP/1.1 405 Method Not Allowed 
[I] Oct 10 10:54:21 openconnect: Date: Thu, 10 Oct 2024 07:54:21 GMT 
[I] Oct 10 10:54:21 openconnect: Server: xxxxxxxx-xxxxx 
[I] Oct 10 10:54:21 openconnect: Transfer-Encoding: chunked 
[I] Oct 10 10:54:21 openconnect: Content-Type: text/html 
[I] Oct 10 10:54:21 openconnect: X-Frame-Options: SAMEORIGIN 
[I] Oct 10 10:54:21 openconnect: Content-Security-Policy: frame-ancestors 'self'; object-src 'none'; script-src 'self' https 'unsafe-eval' 'unsafe-inline'; 
[I] Oct 10 10:54:21 openconnect: X-XSS-Protection: 1; mode=block 
[I] Oct 10 10:54:21 openconnect: X-Content-Type-Options: nosniff 
[I] Oct 10 10:54:21 openconnect: Strict-Transport-Security: max-age=31536000 
[I] Oct 10 10:54:21 openconnect: HTTP body chunked (-2) 
[I] Oct 10 10:54:21 openconnect: Error in chunked decoding. Expected '', got: '<HEAD>' 

 

 

Изменено 10 октября пользователем avn

[Vladislav Kravchenko]

В 22.09.2024 в 21:16, Роман rvb сказал:

Поддержка IPv6 в клиенте OpenConnect планируется?

На мой взгляд, это какое-то фиаско. Запилить новый протокол, а подключение у него опять по IPv4 и все 

[avn]

В 10.10.2024 в 10:59, avn сказал:

@Le ecureuil А как можно задать параметр --prot=fortinet

?

 

  Скрыть содержимое

[I] Oct 10 10:54:20 openconnect: POST https://portal.testdomain.ru:10443/ 
[I] Oct 10 10:54:20 openconnect: Attempting to connect to server 16.11.1.10:10443 
[I] Oct 10 10:54:20 openconnect: Connected to 16.11.1.10:10443 
[I] Oct 10 10:54:20 openconnect: SSL negotiation with portal.testdomain.ru 
[I] Oct 10 10:54:21 openconnect:  Certificate from VPN server "portal.testdomain.ru" failed verification. Reason: signer not found 
[I] Oct 10 10:54:21 openconnect: Connected to HTTPS on portal.testdomain.ru with ciphersuite (TLS1.3)-(ECDHE-SECP384R1)-(RSA-PSS-RSAE-SHA256)-(AES-256-GCM) 
[I] Oct 10 10:54:21 openconnect: Got HTTP response: HTTP/1.1 405 Method Not Allowed 
[I] Oct 10 10:54:21 openconnect: Date: Thu, 10 Oct 2024 07:54:21 GMT 
[I] Oct 10 10:54:21 openconnect: Server: xxxxxxxx-xxxxx 
[I] Oct 10 10:54:21 openconnect: Transfer-Encoding: chunked 
[I] Oct 10 10:54:21 openconnect: Content-Type: text/html 
[I] Oct 10 10:54:21 openconnect: X-Frame-Options: SAMEORIGIN 
[I] Oct 10 10:54:21 openconnect: Content-Security-Policy: frame-ancestors 'self'; object-src 'none'; script-src 'self' https 'unsafe-eval' 'unsafe-inline'; 
[I] Oct 10 10:54:21 openconnect: X-XSS-Protection: 1; mode=block 
[I] Oct 10 10:54:21 openconnect: X-Content-Type-Options: nosniff 
[I] Oct 10 10:54:21 openconnect: Strict-Transport-Security: max-age=31536000 
[I] Oct 10 10:54:21 openconnect: HTTP body chunked (-2) 
[I] Oct 10 10:54:21 openconnect: Error in chunked decoding. Expected '', got: '<HEAD>' 

 

 

Есть возможность задать параметр protocol?

https://www.infradead.org/openconnect/fortinet.html

Изменено 14 октября пользователем avn

[sevastianovv]

Доброго. Установил сервер на kn3810 клиент на kn1912 подключение есть трафик не ходит, что еще нужно сделать?

[ariss]

Всем привет. Прочитал все страницы темы, так и не понял ...   

KN-1010, Версия ОС4.2.1

Если включен camouflage mode - то соединение можно установить только между кинетиками?

Ибо если включаю на kn1010 - в CLI смотрю secret, в строке клиента (android, который без камужляжа подключается норм) добавляю после ...keenetic.pro/?1ce45gh   (secret тут от балды написал), не соединяется, в логе пишет "No address associated with hostname"....

Изменено 14 октября пользователем ariss

[kavboy]

ariss, в начале адреса https? У меня в secret 8 символов. Соединяется с кинетиком с включенным camouflage mode и из под андройда (openconnect_1119) и из по винды (openconnect-gui-1.6.2)

Изменено 14 октября пользователем kavboy

[ariss]

Спасибо. Дело было в клиенте VPN Client pro -  openconnect отлично подключается.

[Corvax]

В 14.10.2024 в 22:22, kavboy сказал:

ariss, в начале адреса https? У меня в secret 8 символов. Соединяется с кинетиком с включенным camouflage mode и из под андройда (openconnect_1119) и из по винды (openconnect-gui-1.6.2)

И виндовый клиент без проблем соединился? У меня ругается на сертификат. На андроиде юзаю cisco secure client, там надо в настройках снимать галку с пункта "Блокировать ненадёжные серверы", тогда он игнорит сертификат и подключается. На винде такой настройки нет.

[ariss]

Openconnect для Windows - без проблем.

Скрытый текст

 

Изменено 17 октября пользователем ariss

[Sanёk]

Привет. Подскажите, как в клиенте SSTP указать "secret" для подключения к роутеру, после включения "Camouflage mode"?

[Le ecureuil]

4 минуты назад, Sanёk сказал:

Привет. Подскажите, как в клиенте SSTP указать "secret" для подключения к роутеру, после включения "Camouflage mode"?

Нужно в команде interface peer или в поле адреса в вебе ввести не test.keenetic.com (например), а https://test.keenetic.com/123456, где 123456 - это и есть secret.

[Le ecureuil]

В 14.10.2024 в 10:59, avn сказал:

Есть возможность задать параметр protocol?

https://www.infradead.org/openconnect/fortinet.html

Нет, потому что не было апстримов для тестов. Если будут варианты, с которыми можно лично мне проверить, то появится и выбор.

[Sanёk]

2 часа назад, Le ecureuil сказал:

Нужно в команде interface peer или в поле адреса в вебе ввести не test.keenetic.com (например), а https://test.keenetic.com/123456, где 123456 - это и есть secret.

Не помогло. ЧЯДНТ?

 

Прописал.

Скрытый текст

 {

    "prompt": "(config)",
    "status": [
        {
            "status": "message",
            "code": "72286908",
            "ident": "Network::Interface::Sstp",
            "message": "\"SSTP0\": set peer \"https://*.keenetic.pro/*****604\"."
        }
    ]
}

Результат на клиенте.

Скрытый текст

ndm: Network::Interface::Base: "SSTP0": interface is up. 
ndm: Network::Interface::EndpointTracker: "SSTP0": remote endpoint is "xxx.165.xxx.xxx". 
ndm: Network::Interface::EndpointTracker: "SSTP0": connecting via "UsbLte0" (UsbLte0). 
ndm: Network::Interface::EndpointTracker: "SSTP0": local endpoint is "xx.172.x.xx". 
ndm: Network::Interface::EndpointTracker: "SSTP0": added a host route to xxx.165.xxx.xxx via xx.172.xxx.xxx (UsbLte0). 
ndm: Network::Interface::Ppp: "SSTP0": enabled connection via UsbLte0 interface. 
pppd[7132]: Plugin sstp-pppd-plugin.so loaded. 
pppd[7132]: pppd 2.4.4-4 started by root, uid 0 
pppd[7132]: Using interface ppp0 
pppd[7132]: Connect: ppp0 <--> /dev/pts/0 
sstpc_SSTP0[7133]: Error: Expected HTTP code 200
sstpc_SSTP0[7133]: HTTP handshake with server failed

Параметры интерфейса SSTP на клиенте (KN-2212 4.2.1).

Скрытый текст

{
    "id": "SSTP0",
    "index": 0,
    "interface-name": "SSTP0",
    "type": "SSTP",
    "description": "s*****",
    "traits": [
        "Ip",
        "Ip6",
        "Supplicant",
        "Peer",
        "Ppp",
        "PppTunnel",
        "EncryptedPppTunnel",
        "Sstp"
    ],
    "link": "down",
    "connected": "no",
    "state": "down",
    "role": [
        "misc"
    ],
    "mtu": 1400,
    "tx-queue-length": 1000,
    "global": false,
    "security-level": "public",
    "ipv6": {},
    "auth-type": "none",
    "fail": "protocol",
    "via": "UsbLte0",
    "last-change": "2649.452196",
    "summary": {
        "layer": {
            "conf": "disabled",
            "link": "disabled",
            "ipv4": "disabled",
            "ipv6": "disabled",
            "ctrl": "disabled"
        }
    },
    "prompt": "(config)"
}

Параметры сервера SSTP (KN-1011 4.2.1).

Скрытый текст

{
    "enabled": true,
    "ndns-name": "*.keenetic.pro",
    "secret": "*****604",
    "has-ndns-certificate": true,
    "prompt": "(config)"
}

 

Изменено 17 октября пользователем Sanёk
Дополнил

[Le ecureuil]

1 час назад, Sanёk сказал:

Не помогло. ЧЯДНТ?

 

Прописал.

  Скрыть содержимое

 {

    "prompt": "(config)",
    "status": [
        {
            "status": "message",
            "code": "72286908",
            "ident": "Network::Interface::Sstp",
            "message": "\"SSTP0\": set peer \"https://*.keenetic.pro/*****604\"."
        }
    ]
}

Результат на клиенте.

  Скрыть содержимое

ndm: Network::Interface::Base: "SSTP0": interface is up. 
ndm: Network::Interface::EndpointTracker: "SSTP0": remote endpoint is "xxx.165.xxx.xxx". 
ndm: Network::Interface::EndpointTracker: "SSTP0": connecting via "UsbLte0" (UsbLte0). 
ndm: Network::Interface::EndpointTracker: "SSTP0": local endpoint is "xx.172.x.xx". 
ndm: Network::Interface::EndpointTracker: "SSTP0": added a host route to xxx.165.xxx.xxx via xx.172.xxx.xxx (UsbLte0). 
ndm: Network::Interface::Ppp: "SSTP0": enabled connection via UsbLte0 interface. 
pppd[7132]: Plugin sstp-pppd-plugin.so loaded. 
pppd[7132]: pppd 2.4.4-4 started by root, uid 0 
pppd[7132]: Using interface ppp0 
pppd[7132]: Connect: ppp0 <--> /dev/pts/0 
sstpc_SSTP0[7133]: Error: Expected HTTP code 200
sstpc_SSTP0[7133]: HTTP handshake with server failed

Параметры интерфейса SSTP на клиенте (KN-2212 4.2.1).

  Скрыть содержимое

{
    "id": "SSTP0",
    "index": 0,
    "interface-name": "SSTP0",
    "type": "SSTP",
    "description": "s*****",
    "traits": [
        "Ip",
        "Ip6",
        "Supplicant",
        "Peer",
        "Ppp",
        "PppTunnel",
        "EncryptedPppTunnel",
        "Sstp"
    ],
    "link": "down",
    "connected": "no",
    "state": "down",
    "role": [
        "misc"
    ],
    "mtu": 1400,
    "tx-queue-length": 1000,
    "global": false,
    "security-level": "public",
    "ipv6": {},
    "auth-type": "none",
    "fail": "protocol",
    "via": "UsbLte0",
    "last-change": "2649.452196",
    "summary": {
        "layer": {
            "conf": "disabled",
            "link": "disabled",
            "ipv4": "disabled",
            "ipv6": "disabled",
            "ctrl": "disabled"
        }
    },
    "prompt": "(config)"
}

Параметры сервера SSTP (KN-1011 4.2.1).

  Скрыть содержимое

{
    "enabled": true,
    "ndns-name": "*.keenetic.pro",
    "secret": "*****604",
    "has-ndns-certificate": true,
    "prompt": "(config)"
}

 

Прошу прощения, забыл про знак вопроса.

Правильный URL для клиента выглядит так: https://keenetic.name/?secret

[Le ecureuil]

@avnне все так просто. OpenConnect в режиме fortinet может потребовать кучу доппараметров, кроме логина и пароля, и даже открыть страничку в браузере для SSO. Потому код я накидал, но для полноценной работы нужно больше тестов, пока не буду выкладывать.

[miltt]

6 часов назад, Le ecureuil сказал:

Правильный URL для клиента выглядит так: https://keenetic.name/?secret

Для openconnect работает, для sstp - нет. Open SSTP Client пишет, что не может найти адрес, а VPN Client Pro неумеет в логи.

[snark]

7 часов назад, miltt сказал:

Для openconnect работает, для sstp - нет. Open SSTP Client пишет, что не может найти адрес, а VPN Client Pro неумеет в логи.

sstp + камуфляж работает только между кинетиками

[Le ecureuil]

@avn добавил fortinet - в следующей 4.3 пробуйте команду
interface openconnect protocol fortinet

[Colgate]

Добрый день.
Настроил KeenDNS через облако и поднял OpenConnect VPN сервер с камуфляжем, используя следующие инструкции:
https://help.keenetic.com/hc/ru/articles/360000400919-Сервис-доменных-имен-KeenDNS
https://help.keenetic.com/hc/ru/articles/16344403237148-OpenConnect-VPN-сервер
Пытаюсь подключиться с Android, используя следующую инструкцию:
https://help.keenetic.com/hc/ru/articles/16377318105756-Подключение-OpenConnect-VPN-из-Android
Но не получается. указываю адрес сервера abcd.mydomain.keenetic.pro. Cisco Secure Client ругается на сертификат.
CertificateManager: verifyX509ServerCertForHost: confirmbecause certificate did not match server: javax.net.ssl.SSLExeption: hostname in certificate did not match <abcd.mydomain.keenetic.pro> != <keenetic.pro> OR <*.keenetic.pro>
При этом если открыть https://abcd.mydomain.keenetic.pro в браузере, то там будет 404, но в сертификате сайта буду hostname mydomain.keenetic.pro и *.mydomain.keenetic.pro

Откуда Cisco Secure Client берет сертификат для другого домена?

Изменено 18 октября пользователем Colgate
дополнение

[Corvax]

1 час назад, Colgate сказал:

 Cisco Secure Client ругается на сертификат.

Нужно в настройках снять эту галочку. Возможно ещё нужно отключить камуфляж.

Изменено 18 октября пользователем Corvax
дополнил

[Colgate]

@CorvaxДа, с камуфляжем не работало. Может нужно какой-то другой адрес вбивать при использовании камуфляжа?

[miltt]

2 часа назад, Corvax сказал:

Нужно в настройках снять эту галочку. Возможно ещё нужно отключить камуфляж.

Галку, да. Cisco такой серт. считает недоверенным.
AnyConnect с камуфляжем работает. А вот мультипротокольный VPN Client Pro, только без камуфляжа. Хоть и богаче по настройкам, а ни в какую.