openconnect

[snark]

В 29.10.2024 в 18:03, Le ecureuil сказал:

В следующей версии 4.3 в клиенте при выборе accept-routes будут приниматься внешние роуты, будет работает получение и настройка IPv6-адресов.

Также в сервере появится команда oc-server route для задания маршрутов, которые уйдут клиентам.

На 4.3 Alpha 4, внешние маршруты прилетают

[avn]

В 30.10.2024 в 16:59, Le ecureuil сказал:

Тоже появится в виде команды interface openconnect no dtls

Работает отлично. Спасибо.

[avn]

В 29.10.2024 в 18:03, Le ecureuil сказал:

В следующей версии 4.3 в клиенте при выборе accept-routes будут приниматься внешние роуты, будет работает получение и настройка IPv6-адресов.

Также в сервере появится команда oc-server route для задания маршрутов, которые уйдут клиентам.

Маршруты прилетели. Спасибо.

[Old-grumbler]

Развернут сервер Openconnect 1.2.4 на VPS (Debian, Россия, без NAT и выхода в интернет, форвардинг - ВКЛ).
На двух keenetiс'ах установлен 4.3.4 alfa. Клиентами соединяются с сервером (у каждого свой пользователь и пароль).
Сетки на keenetiс'ах, соответственно, разные.
Одна 192.168.1.0/24,
вторая 192.168.4.0/24.
В брандмауре кинетиков есть разрешение по клиентским соединениям с openconnect сервером.
В маршрутизации кинетиков то же прописаны "чужие" сетки.

Задача: сервер vps должен соединить две сети между собой и первый кинетик сделать по умолчанию для выхода.

Серверу VPS назначена подсеть 192.168.20.0/24
На сервере в ocserv.conf
ip4-network = 192.168.20.0/24

Для keenetic1 в конфиге пользователя на сервере:
explicit-ipv4 = 192.168.20.4 (фиксация адреса)
iroute = 192.168.1.0/24 (подсеть за этим адресом)

Для keenetic2 в конфиге пользователя на сервере:
explicit-ipv4 = 192.168.20.5 (фиксация адреса)
iroute = 192.168.4.0/24 (подсеть)

В клиенте openconnect keenetic2 стоит галочка "использовать для выхода в интернет"
В клиенте openconnect keenetic1 этого, конечно, нет.

Далее

Если установить в ocserf.conf параметр
route = dafault
(т.е. по умолчанию используется сетка vps)
то из подсети keenetic1 трасеруется ip адрес только шлюза сети keenetic2
И наоборот.

Если
route = 192.168.1.0/24
(т.е. по умолчанию используется сетка keenetic1)
То сетка keenetic1 глухо виснет и до  192.168.1.1 можно достучаться только с сетки keenetic2

Подскажите, где подсмотреть и до настроить?

Или это пока не возможно реализовать?

Изменено 6 ноября, 2024 пользователем Old-grumbler

[lokup]

Так что в итоге с ограничением скорости? Когда клиент на роутере а сервер на vps, удалось решить проблему?)

[Slider88]

Подскажите пожалуйста, в чем могут быть проблемы. Не удается подключиться с одного openconnect keenetic на другой. Пишет, что соединение установлено, но пакеты не идут (и на проводном и на lte), интернета нет. 

 

Конфиг клиента:
 

interface OpenConnect1

    description *****   

role misc  

  security-level public  

  authentication identity ***   

 authentication password ns3 *************** 

  ip global 2    

openconnect upstream ******.keenetic.pro    

openconnect no accept-addresses    

openconnect accept-routes.

Логи роутера:

Certificate from VPN server "********.keenetic.pro" failed verification. Reason: signer not found
openconnect
Connected to HTTPS on *****.keenetic.pro with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(RSA-PSS-RSAE-SHA256)-(CHACHA20-POLY1305)
Ноя 14 13:17:25
openconnect
XML POST enabled
Ноя 14 13:17:25
openconnect
POST https://******.keenetic.pro/auth
Ноя 14 13:17:25
openconnect
POST https:// *************.keenetic.pro/auth
Ноя 14 13:17:30
openconnect
Got CONNECT response: HTTP/1.1 200 CONNECTED
Ноя 14 13:17:30
openconnect
CSTP connected. DPD 25, Keepalive 60
Ноя 14 13:17:30
openconnect
No DTLS address
Ноя 14 13:17:31
openconnect
Configured as 172.16.5.48, with SSL connected and DTLS disabled
Ноя 14 13:17:31
openconnect
Session authentication will expire at Thu Nov 14 15:33:54 2024
Ноя 14 13:17:31
ndm
OpenConnect::Interface: "OpenConnect1": banner: "Welcome to KN-1011".

С телефона с этим же сервером нет проблем, все подключается и работает.

 

[Le ecureuil]

Судя по вашему логу проблем ноль. Дальше вам нужно посмотреть, а вообще по роутингу туда хоть что-то может идти, или нет.

[Slider88]

2 часа назад, Le ecureuil сказал:

Судя по вашему логу проблем ноль. Дальше вам нужно посмотреть, а вообще по роутингу туда хоть что-то может идти, или нет.

Судя по тому, что вижу, роутер не получает ip адрес по dhcp openconnect сервера. Хотя в настройках автоматическая dhcp включено. Как результат, ни каких маршрутов не прописывается. Можете подсказать куда копать?

 

С мобильного телефона cisco secure client ровно с тем же конфигом получает адрес 172.16.5.48 и все прекрасно работает... 

Изменено 14 ноября, 2024 пользователем Slider88

[john_wayne]

В 12.11.2024 в 01:20, lokup сказал:

Так что в итоге с ограничением скорости? Когда клиент на роутере а сервер на vps, удалось решить проблему?)

  Настройте сервер как написано выше:

В 05.09.2024 в 20:26, Le ecureuil сказал:

В следующих версиях будет вот такой дефолт для сервера:

tls-priorities="NORMAL:-CIPHER-ALL:+CHACHA20-POLY1305:+AES-128-GCM:%SERVER_PRECEDENCE"

У меня на 1011 поднялось с 12-15 до 30.

Правда и на 1012 тоже только 30, поэтому скорее всего это ограничение моего сервера и 1011 сможет больше.

[Le ecureuil]

18 часов назад, Slider88 сказал:

Судя по тому, что вижу, роутер не получает ip адрес по dhcp openconnect сервера. Хотя в настройках автоматическая dhcp включено. Как результат, ни каких маршрутов не прописывается. Можете подсказать куда копать?

 

С мобильного телефона cisco secure client ровно с тем же конфигом получает адрес 172.16.5.48 и все прекрасно работает... 

Вы про маршрут по DHCP, или про адрес? Адрес получается не по DHCP, а по внутреннему каналу.

Возможно вам поможет
interface OpenConnect openconnect accept-addresses

interface OpenConnect openconnect accept-routes

[Slider88]

2 часа назад, Le ecureuil сказал:

interface OpenConnect openconnect accept-addresses

interface OpenConnect openconnect accept-routes

Гигантское спасибо! Помогло! 

Хочу обратить внимание, что роутер, с которого не мог подключиться был изначально сброшен на default. Возможно проблема не единичная. 

[Yeal]

Добрый день.

Подскажите по проблеме, после обновления с 4.2.1 стали обрываться соединения по openconnect клиент.

с другой стороны стоит cisco.

 

Скрытый текст

Дек 3 12:27:37

openconnect

Received server disconnect: d0 'Session timed out due to inactivity'

Дек 3 12:27:37

openconnect

Send BYE packet: Server request

Дек 3 12:27:37

ndm

OpenConnect::Interface: "OpenConnect0": interface is down, try reconnection.

Дек 3 12:27:37

openconnect

Session terminated by server; exiting.

Дек 3 12:27:37

ndm

Service: "OpenConnect0": unexpectedly stopped.

Дек 3 12:27:37

ndm

Network::Interface::Base: "OpenConnect0": "oc" changed "link" layer state "running" to "pending".

Дек 3 12:27:37

ndm

Network::Interface::Ip: "OpenConnect0": IP address cleared.

Дек 3 12:27:38

ndm

Network::Interface::Ip: "OpenConnect0": IP address cleared.

 

[Руслан Жанчураев]

Здравствуйте подскажите это нормально то что сервис KeenDNS выдал мне домен для OpenConnect который начинается с цифры «4» и официальное приложение AnyConnect на iOS не дает указать его в поле адрес сервера?! 

Изменено 11 декабря, 2024 пользователем Руслан Жанчураев

[Denis P]

3 часа назад, Руслан Жанчураев сказал:

Здравствуйте подскажите это нормально то что сервис KeenDNS выдал мне домен для OpenConnect который начинается с цифры «4» и официальное приложение AnyConnect на iOS не дает указать его в поле адрес сервера?! 

Нормально, укажите его с https://

Изменено 11 декабря, 2024 пользователем Denis P

[Le ecureuil]

В 03.12.2024 в 12:47, Yeal сказал:

Добрый день.

Подскажите по проблеме, после обновления с 4.2.1 стали обрываться соединения по openconnect клиент.

с другой стороны стоит cisco.

 

  Скрыть контент

Дек 3 12:27:37

openconnect

Received server disconnect: d0 'Session timed out due to inactivity'

Дек 3 12:27:37

openconnect

Send BYE packet: Server request

Дек 3 12:27:37

ndm

OpenConnect::Interface: "OpenConnect0": interface is down, try reconnection.

Дек 3 12:27:37

openconnect

Session terminated by server; exiting.

Дек 3 12:27:37

ndm

Service: "OpenConnect0": unexpectedly stopped.

Дек 3 12:27:37

ndm

Network::Interface::Base: "OpenConnect0": "oc" changed "link" layer state "running" to "pending".

Дек 3 12:27:37

ndm

Network::Interface::Ip: "OpenConnect0": IP address cleared.

Дек 3 12:27:38

ndm

Network::Interface::Ip: "OpenConnect0": IP address cleared.

 

Пришлите лог с включенным interface debug.

[SemyonG]

Добрый день.
Я за темой слежу, но так и не понял, может ли клиент на роутере принимать маршруты с сервера на линуксе?
И ели может, то как это настроить.

interface OpenConnect openconnect accept-addresses

interface OpenConnect openconnect accept-routes

ничего не изменили. Клиент первоначально был настроен через ui, адрес он с сервера получил, а маршруты нет.
Причем, если маршрутов много, то клиент виснет в состоянии connecting, если маршрутов мало, то коннект понимается, но в таблице маршрутизации маршруты с сервера не появляются. 

[Le ecureuil]

В 24.12.2024 в 11:27, SemyonG сказал:

Добрый день.
Я за темой слежу, но так и не понял, может ли клиент на роутере принимать маршруты с сервера на линуксе?
И ели может, то как это настроить.

interface OpenConnect openconnect accept-addresses

interface OpenConnect openconnect accept-routes

ничего не изменили. Клиент первоначально был настроен через ui, адрес он с сервера получил, а маршруты нет.
Причем, если маршрутов много, то клиент виснет в состоянии connecting, если маршрутов мало, то коннект понимается, но в таблице маршрутизации маршруты с сервера не появляются. 

Какая у вас версия?

Если 4.3, то нужно включить получение через accept-routes, затем включить отладку

interface OpenConnect0 debug

и прислать сюда self-test после коннекта, когда маршруты не пришли.

[SemyonG]

4.2.4
т.е. до 4.3 функционал не доступен? Будем ждать, на альфу переходить пока не рискну.

[Le ecureuil]

11 минут назад, SemyonG сказал:

4.2.4
т.е. до 4.3 функционал не доступен? Будем ждать, на альфу переходить пока не рискну.

Да, реализовано только в 4.3.