openconnect

[Le ecureuil]

  В 23.09.2024 в 07:50, Роман rvb сказал:

Еще одно замечание.

Сейчас после установления соединения система сразу создает маршрут на IP vpn-сервера через свежеподнятый интерфейс. Не всегда это надо (я об тот же сервер свой внешний IP curl'ом определяю), хотелось бы этот маршрут отключаемой фичей.

Показать  

Покажите-ка, что это такое. Сейчас OpenConnect-клиент работает через policy routing, потому маршрутов до сервера создавать не должен.

[Dalex]

  В 23.09.2024 в 07:50, Роман rvb сказал:

Еще одно замечание.

Сейчас после установления соединения система сразу создает маршрут на IP vpn-сервера через свежеподнятый интерфейс. Не всегда это надо (я об тот же сервер свой внешний IP curl'ом определяю), хотелось бы этот маршрут отключаемой фичей.

Показать  

Несмотря на то, что на сервере в ocserv.conf стоит route=default - никаких дополнительных маршрутов OpenConnect клиент (Keenetic OS 4.2) на Кинетике не создает.

[Dalex]

  В 18.09.2024 в 06:14, Dalex сказал:

Тестирую OpenConnect клиента на Keenetic Ultra

У меня с включенным UDP - загрузка выходит под 90мбс, а с закомментированным udp-port на сервере - ~15.

отдача правда страдает и там и там - ~25 против ~50.

Тестировал неоднократно -  и speedtest и iperf прям до VPN сервера.

Где может быть затык? Тему изучил, настройки ocserv довольно стандартные.

Показать  

Осталась одна идея - ВМ OpenVZшная и вероятно что-то в общем ядре не дает OpenConnect работать в полную силу - так и не удалось добиться скорости выше 30м\с до OpenConnect сервера, хотя любая другая технология дает ~90мб\с.

Хотя очень странно - он вроде бы работает строго в userspace.

[Le ecureuil]

  В 23.09.2024 в 19:46, Dalex сказал:

Несмотря на то, что на сервере в ocserv.conf стоит route=default - никаких дополнительных маршрутов OpenConnect клиент (Keenetic OS 4.2) на Кинетике не создает.

Показать  

И не создаст - дефолтный маршрут в KeeneticOS никто по приказу свыше создать не может, кроме настройки политик доступа.

[Роман rvb]

  В 23.09.2024 в 19:46, Dalex сказал:

Несмотря на то, что на сервере в ocserv.conf стоит route=default - никаких дополнительных маршрутов OpenConnect клиент (Keenetic OS 4.2) на Кинетике не создает.

Показать  

Так не дефолтный, а точечно на сервер VPN весь трафик в свежесозданную трубу. Что далеко не всегда надо, и хотелось бы отключать без прикручивания хуков.

[Роман rvb]

  В 23.09.2024 в 12:16, Le ecureuil сказал:

Покажите-ка, что это такое. Сейчас OpenConnect-клиент работает через policy routing, потому маршрутов до сервера создавать не должен.

Показать  

Вот какой-то глюк - он их создает не каждый раз, но регулярно. Грубо говоря - VPN имеет адрес 1.2.3.4, и сразу после подключения (но не первого после ребута, похоже), появляется маршрут 1.2.3.4 dev numcli0.

[Le ecureuil]

Неплохо все же self-test выложить.

[SemyonG]

Добрый день!
KN-3710 OpenConnect-клиент проработал месяц, вчера отвалился и висит в состоянии "идет подключение" трафик в впн не идет, на сервере сессия в статусе эктив.
Была прошивка 4.2 beta3, обновил до 4.2.1 результат тот же. Клиенты с конечных хостов подключаются без проблем.

UDP:
Причину выяснил, клиент не осилил 1471 маршрут с OpenConnect-сервера в 24е подсети. Хотя он их и не принимает насколько я понял. Даже при меньшем количестве приходилось прописывать статику непосредственно на роутере.

 

Изменено 6 октября, 2024 пользователем SemyonG
скрыл self-test

[avn]

@Le ecureuil А как можно задать параметр --prot=fortinet

?

 

  Показать контент

[I] Oct 10 10:54:20 openconnect: POST https://portal.testdomain.ru:10443/ 
[I] Oct 10 10:54:20 openconnect: Attempting to connect to server 16.11.1.10:10443 
[I] Oct 10 10:54:20 openconnect: Connected to 16.11.1.10:10443 
[I] Oct 10 10:54:20 openconnect: SSL negotiation with portal.testdomain.ru 
[I] Oct 10 10:54:21 openconnect:  Certificate from VPN server "portal.testdomain.ru" failed verification. Reason: signer not found 
[I] Oct 10 10:54:21 openconnect: Connected to HTTPS on portal.testdomain.ru with ciphersuite (TLS1.3)-(ECDHE-SECP384R1)-(RSA-PSS-RSAE-SHA256)-(AES-256-GCM) 
[I] Oct 10 10:54:21 openconnect: Got HTTP response: HTTP/1.1 405 Method Not Allowed 
[I] Oct 10 10:54:21 openconnect: Date: Thu, 10 Oct 2024 07:54:21 GMT 
[I] Oct 10 10:54:21 openconnect: Server: xxxxxxxx-xxxxx 
[I] Oct 10 10:54:21 openconnect: Transfer-Encoding: chunked 
[I] Oct 10 10:54:21 openconnect: Content-Type: text/html 
[I] Oct 10 10:54:21 openconnect: X-Frame-Options: SAMEORIGIN 
[I] Oct 10 10:54:21 openconnect: Content-Security-Policy: frame-ancestors 'self'; object-src 'none'; script-src 'self' https 'unsafe-eval' 'unsafe-inline'; 
[I] Oct 10 10:54:21 openconnect: X-XSS-Protection: 1; mode=block 
[I] Oct 10 10:54:21 openconnect: X-Content-Type-Options: nosniff 
[I] Oct 10 10:54:21 openconnect: Strict-Transport-Security: max-age=31536000 
[I] Oct 10 10:54:21 openconnect: HTTP body chunked (-2) 
[I] Oct 10 10:54:21 openconnect: Error in chunked decoding. Expected '', got: '<HEAD>' 

 

 

Изменено 10 октября, 2024 пользователем avn

[Vladislav Kravchenko]

  В 22.09.2024 в 18:16, Роман rvb сказал:

Поддержка IPv6 в клиенте OpenConnect планируется?

Показать  

На мой взгляд, это какое-то фиаско. Запилить новый протокол, а подключение у него опять по IPv4 и все 

[avn]

  В 10.10.2024 в 07:59, avn сказал:

@Le ecureuil А как можно задать параметр --prot=fortinet

?

 

  Показать контент

[I] Oct 10 10:54:20 openconnect: POST https://portal.testdomain.ru:10443/ 
[I] Oct 10 10:54:20 openconnect: Attempting to connect to server 16.11.1.10:10443 
[I] Oct 10 10:54:20 openconnect: Connected to 16.11.1.10:10443 
[I] Oct 10 10:54:20 openconnect: SSL negotiation with portal.testdomain.ru 
[I] Oct 10 10:54:21 openconnect:  Certificate from VPN server "portal.testdomain.ru" failed verification. Reason: signer not found 
[I] Oct 10 10:54:21 openconnect: Connected to HTTPS on portal.testdomain.ru with ciphersuite (TLS1.3)-(ECDHE-SECP384R1)-(RSA-PSS-RSAE-SHA256)-(AES-256-GCM) 
[I] Oct 10 10:54:21 openconnect: Got HTTP response: HTTP/1.1 405 Method Not Allowed 
[I] Oct 10 10:54:21 openconnect: Date: Thu, 10 Oct 2024 07:54:21 GMT 
[I] Oct 10 10:54:21 openconnect: Server: xxxxxxxx-xxxxx 
[I] Oct 10 10:54:21 openconnect: Transfer-Encoding: chunked 
[I] Oct 10 10:54:21 openconnect: Content-Type: text/html 
[I] Oct 10 10:54:21 openconnect: X-Frame-Options: SAMEORIGIN 
[I] Oct 10 10:54:21 openconnect: Content-Security-Policy: frame-ancestors 'self'; object-src 'none'; script-src 'self' https 'unsafe-eval' 'unsafe-inline'; 
[I] Oct 10 10:54:21 openconnect: X-XSS-Protection: 1; mode=block 
[I] Oct 10 10:54:21 openconnect: X-Content-Type-Options: nosniff 
[I] Oct 10 10:54:21 openconnect: Strict-Transport-Security: max-age=31536000 
[I] Oct 10 10:54:21 openconnect: HTTP body chunked (-2) 
[I] Oct 10 10:54:21 openconnect: Error in chunked decoding. Expected '', got: '<HEAD>' 

 

 

Показать  

Есть возможность задать параметр protocol?

https://www.infradead.org/openconnect/fortinet.html

Изменено 14 октября, 2024 пользователем avn

[sevastianovv]

Доброго. Установил сервер на kn3810 клиент на kn1912 подключение есть трафик не ходит, что еще нужно сделать?

[ariss]

Всем привет. Прочитал все страницы темы, так и не понял ...   

KN-1010, Версия ОС4.2.1

Если включен camouflage mode - то соединение можно установить только между кинетиками?

Ибо если включаю на kn1010 - в CLI смотрю secret, в строке клиента (android, который без камужляжа подключается норм) добавляю после ...keenetic.pro/?1ce45gh   (secret тут от балды написал), не соединяется, в логе пишет "No address associated with hostname"....

Изменено 14 октября, 2024 пользователем ariss

[kavboy]

ariss, в начале адреса https? У меня в secret 8 символов. Соединяется с кинетиком с включенным camouflage mode и из под андройда (openconnect_1119) и из по винды (openconnect-gui-1.6.2)

Изменено 14 октября, 2024 пользователем kavboy

[ariss]

Спасибо. Дело было в клиенте VPN Client pro -  openconnect отлично подключается.

[Corvax]

  В 14.10.2024 в 19:22, kavboy сказал:

ariss, в начале адреса https? У меня в secret 8 символов. Соединяется с кинетиком с включенным camouflage mode и из под андройда (openconnect_1119) и из по винды (openconnect-gui-1.6.2)

Показать  

И виндовый клиент без проблем соединился? У меня ругается на сертификат. На андроиде юзаю cisco secure client, там надо в настройках снимать галку с пункта "Блокировать ненадёжные серверы", тогда он игнорит сертификат и подключается. На винде такой настройки нет.

[ariss]

Openconnect для Windows - без проблем.

  Показать контент

 

Изменено 17 октября, 2024 пользователем ariss

[Sanёk]

Привет. Подскажите, как в клиенте SSTP указать "secret" для подключения к роутеру, после включения "Camouflage mode"?

[Le ecureuil]

  В 17.10.2024 в 10:21, Sanёk сказал:

Привет. Подскажите, как в клиенте SSTP указать "secret" для подключения к роутеру, после включения "Camouflage mode"?

Показать  

Нужно в команде interface peer или в поле адреса в вебе ввести не test.keenetic.com (например), а https://test.keenetic.com/123456, где 123456 - это и есть secret.

[Le ecureuil]

  В 14.10.2024 в 07:59, avn сказал:

Есть возможность задать параметр protocol?

https://www.infradead.org/openconnect/fortinet.html

Показать  

Нет, потому что не было апстримов для тестов. Если будут варианты, с которыми можно лично мне проверить, то появится и выбор.

[Sanёk]

  В 17.10.2024 в 10:26, Le ecureuil сказал:

Нужно в команде interface peer или в поле адреса в вебе ввести не test.keenetic.com (например), а https://test.keenetic.com/123456, где 123456 - это и есть secret.

Показать  

Не помогло. ЧЯДНТ?

 

Прописал.

  Показать контент

 {

    "prompt": "(config)",
    "status": [
        {
            "status": "message",
            "code": "72286908",
            "ident": "Network::Interface::Sstp",
            "message": "\"SSTP0\": set peer \"https://*.keenetic.pro/*****604\"."
        }
    ]
}

Результат на клиенте.

  Показать контент

ndm: Network::Interface::Base: "SSTP0": interface is up. 
ndm: Network::Interface::EndpointTracker: "SSTP0": remote endpoint is "xxx.165.xxx.xxx". 
ndm: Network::Interface::EndpointTracker: "SSTP0": connecting via "UsbLte0" (UsbLte0). 
ndm: Network::Interface::EndpointTracker: "SSTP0": local endpoint is "xx.172.x.xx". 
ndm: Network::Interface::EndpointTracker: "SSTP0": added a host route to xxx.165.xxx.xxx via xx.172.xxx.xxx (UsbLte0). 
ndm: Network::Interface::Ppp: "SSTP0": enabled connection via UsbLte0 interface. 
pppd[7132]: Plugin sstp-pppd-plugin.so loaded. 
pppd[7132]: pppd 2.4.4-4 started by root, uid 0 
pppd[7132]: Using interface ppp0 
pppd[7132]: Connect: ppp0 <--> /dev/pts/0 
sstpc_SSTP0[7133]: Error: Expected HTTP code 200
sstpc_SSTP0[7133]: HTTP handshake with server failed

Параметры интерфейса SSTP на клиенте (KN-2212 4.2.1).

  Показать контент

{
    "id": "SSTP0",
    "index": 0,
    "interface-name": "SSTP0",
    "type": "SSTP",
    "description": "s*****",
    "traits": [
        "Ip",
        "Ip6",
        "Supplicant",
        "Peer",
        "Ppp",
        "PppTunnel",
        "EncryptedPppTunnel",
        "Sstp"
    ],
    "link": "down",
    "connected": "no",
    "state": "down",
    "role": [
        "misc"
    ],
    "mtu": 1400,
    "tx-queue-length": 1000,
    "global": false,
    "security-level": "public",
    "ipv6": {},
    "auth-type": "none",
    "fail": "protocol",
    "via": "UsbLte0",
    "last-change": "2649.452196",
    "summary": {
        "layer": {
            "conf": "disabled",
            "link": "disabled",
            "ipv4": "disabled",
            "ipv6": "disabled",
            "ctrl": "disabled"
        }
    },
    "prompt": "(config)"
}

Параметры сервера SSTP (KN-1011 4.2.1).

  Показать контент

{
    "enabled": true,
    "ndns-name": "*.keenetic.pro",
    "secret": "*****604",
    "has-ndns-certificate": true,
    "prompt": "(config)"
}

 

Изменено 17 октября, 2024 пользователем Sanёk
Дополнил

[Le ecureuil]

  В 17.10.2024 в 11:34, Sanёk сказал:

Не помогло. ЧЯДНТ?

 

Прописал.

  Показать контент

 {

    "prompt": "(config)",
    "status": [
        {
            "status": "message",
            "code": "72286908",
            "ident": "Network::Interface::Sstp",
            "message": "\"SSTP0\": set peer \"https://*.keenetic.pro/*****604\"."
        }
    ]
}

Результат на клиенте.

  Показать контент

ndm: Network::Interface::Base: "SSTP0": interface is up. 
ndm: Network::Interface::EndpointTracker: "SSTP0": remote endpoint is "xxx.165.xxx.xxx". 
ndm: Network::Interface::EndpointTracker: "SSTP0": connecting via "UsbLte0" (UsbLte0). 
ndm: Network::Interface::EndpointTracker: "SSTP0": local endpoint is "xx.172.x.xx". 
ndm: Network::Interface::EndpointTracker: "SSTP0": added a host route to xxx.165.xxx.xxx via xx.172.xxx.xxx (UsbLte0). 
ndm: Network::Interface::Ppp: "SSTP0": enabled connection via UsbLte0 interface. 
pppd[7132]: Plugin sstp-pppd-plugin.so loaded. 
pppd[7132]: pppd 2.4.4-4 started by root, uid 0 
pppd[7132]: Using interface ppp0 
pppd[7132]: Connect: ppp0 <--> /dev/pts/0 
sstpc_SSTP0[7133]: Error: Expected HTTP code 200
sstpc_SSTP0[7133]: HTTP handshake with server failed

Параметры интерфейса SSTP на клиенте (KN-2212 4.2.1).

  Показать контент

{
    "id": "SSTP0",
    "index": 0,
    "interface-name": "SSTP0",
    "type": "SSTP",
    "description": "s*****",
    "traits": [
        "Ip",
        "Ip6",
        "Supplicant",
        "Peer",
        "Ppp",
        "PppTunnel",
        "EncryptedPppTunnel",
        "Sstp"
    ],
    "link": "down",
    "connected": "no",
    "state": "down",
    "role": [
        "misc"
    ],
    "mtu": 1400,
    "tx-queue-length": 1000,
    "global": false,
    "security-level": "public",
    "ipv6": {},
    "auth-type": "none",
    "fail": "protocol",
    "via": "UsbLte0",
    "last-change": "2649.452196",
    "summary": {
        "layer": {
            "conf": "disabled",
            "link": "disabled",
            "ipv4": "disabled",
            "ipv6": "disabled",
            "ctrl": "disabled"
        }
    },
    "prompt": "(config)"
}

Параметры сервера SSTP (KN-1011 4.2.1).

  Показать контент

{
    "enabled": true,
    "ndns-name": "*.keenetic.pro",
    "secret": "*****604",
    "has-ndns-certificate": true,
    "prompt": "(config)"
}

 

Показать  

Прошу прощения, забыл про знак вопроса.

Правильный URL для клиента выглядит так: https://keenetic.name/?secret

[Le ecureuil]

@avnне все так просто. OpenConnect в режиме fortinet может потребовать кучу доппараметров, кроме логина и пароля, и даже открыть страничку в браузере для SSO. Потому код я накидал, но для полноценной работы нужно больше тестов, пока не буду выкладывать.

[miltt]

  В 17.10.2024 в 12:52, Le ecureuil сказал:

Правильный URL для клиента выглядит так: https://keenetic.name/?secret

Показать  

Для openconnect работает, для sstp - нет. Open SSTP Client пишет, что не может найти адрес, а VPN Client Pro неумеет в логи.

[snark]

  В 17.10.2024 в 19:55, miltt сказал:

Для openconnect работает, для sstp - нет. Open SSTP Client пишет, что не может найти адрес, а VPN Client Pro неумеет в логи.

Показать  

sstp + камуфляж работает только между кинетиками

[Le ecureuil]

@avn добавил fortinet - в следующей 4.3 пробуйте команду
interface openconnect protocol fortinet

[Colgate]

Добрый день.
Настроил KeenDNS через облако и поднял OpenConnect VPN сервер с камуфляжем, используя следующие инструкции:
https://help.keenetic.com/hc/ru/articles/360000400919-Сервис-доменных-имен-KeenDNS
https://help.keenetic.com/hc/ru/articles/16344403237148-OpenConnect-VPN-сервер
Пытаюсь подключиться с Android, используя следующую инструкцию:
https://help.keenetic.com/hc/ru/articles/16377318105756-Подключение-OpenConnect-VPN-из-Android
Но не получается. указываю адрес сервера abcd.mydomain.keenetic.pro. Cisco Secure Client ругается на сертификат.
CertificateManager: verifyX509ServerCertForHost: confirmbecause certificate did not match server: javax.net.ssl.SSLExeption: hostname in certificate did not match <abcd.mydomain.keenetic.pro> != <keenetic.pro> OR <*.keenetic.pro>
При этом если открыть https://abcd.mydomain.keenetic.pro в браузере, то там будет 404, но в сертификате сайта буду hostname mydomain.keenetic.pro и *.mydomain.keenetic.pro

Откуда Cisco Secure Client берет сертификат для другого домена?

Изменено 18 октября, 2024 пользователем Colgate
дополнение

[Corvax]

  В 18.10.2024 в 11:58, Colgate сказал:

 Cisco Secure Client ругается на сертификат.

Показать  

Нужно в настройках снять эту галочку. Возможно ещё нужно отключить камуфляж.

Изменено 18 октября, 2024 пользователем Corvax
дополнил

[Colgate]

@CorvaxДа, с камуфляжем не работало. Может нужно какой-то другой адрес вбивать при использовании камуфляжа?

[miltt]

  В 18.10.2024 в 13:27, Corvax сказал:

Нужно в настройках снять эту галочку. Возможно ещё нужно отключить камуфляж.

Показать  

Галку, да. Cisco такой серт. считает недоверенным.
AnyConnect с камуфляжем работает. А вот мультипротокольный VPN Client Pro, только без камуфляжа. Хоть и богаче по настройкам, а ни в какую.