openconnect

Le ecureuil · 6 февраля

В 04.02.2025 в 16:22, Владислав В. сказал:

Здравствуйте. Которую неделю бодаюсь с OpenConnect - заставить его работать не удаётся. В данном примере сервером выступает KN-1010 с прошивкой 4.3 Beta 0.1, к нему пытаются подключиться KN-1912 и KN-1913 с прошивкой 4.2.5, а также KN-1710 прошивкой 4.3 Beta 0. Соединение не устанавливается.

В обратную сторону, когда KN-1010 выступает клиентом, соединение его с 1912 и 1913 устанавливается, аптайм тикает, но трафик нулевой, роутеры по их локальным IP недоступны. Со стороны клиента 1710 OpenConnect не устанавливается ни с одним из трёх роутеров. Точно также не устанавливается соединение с ним как с сервером. Журналы пока, во избежание путаницы, приложил только для проблемы из первого абзаца.

Покажите пожалуйста self-test с включенным oc-server debug на версии 4.3.0, когда к нему или не удается подключиться, или не ходит трафик.

Le ecureuil · 7 февраля

@Владислав В. не нужно ничего упрощать, ставить 4.2 или делать другие непрошенные вещи.

Нужно простое - на версии 4.3 включить oc-server debug и показать что происходит при подключении в виде селф-теста.

dogoma · 15 февраля

Всем привет.

Есть у меня в одном месте Keenetiс с настроенным OpenConnect сервером, есть в другом месте Keenetic с OpenConnect клиентом, настроил его так, чтобы он весь трафик пускал через первый — работает.

Подскажите, а можно как-то настроить, чтобы и DNS запросы клиент делал у сервера?

Изменено 15 февраля пользователем dogoma

Timuridze · 17 февраля

После одного из обновленния не скажу точно какого, но сейчас 4.3 Beta 1 перестал соединятся с удаленным Openconnect сервером, в логах такое

[I] Feb 18 00:51:57 openconnect: Configured as 10.10.11.28 + fda9:4efe:7e3b:2f68:630e:428f:45a5:97bc/64, with SSL + LZS connected and DTLS + LZS disabled 
[I] Feb 18 00:51:57 ndm: OpenConnect::Interface: "OpenConnect0": banner: "". 
[I] Feb 18 00:51:57 ndm: Network::Interface::Base: "OpenConnect0": "oc" changed "link" layer state "pending" to "running". 
[I] Feb 18 00:51:57 ndm: Network::Interface::Base: "OpenConnect0": default MTU is 1464. 
[I] Feb 18 00:52:02 ndm: Network::Interface::Base: "OpenConnect0": "base" changed "conf" layer state "running" to "disabled". 
[I] Feb 18 00:52:02 ndm: Network::Interface::Base: "OpenConnect0": interface is down. 
[I] Feb 18 00:52:02 ndm: Core::System::StartupConfig: saving (http/rci). 
[I] Feb 18 00:52:03 openconnect: Failed to write incoming packet: I/O error 
[I] Feb 18 00:52:03 openconnect: Send BYE packet: Aborted by caller 
[I] Feb 18 00:52:03 openconnect: User cancelled (SIGINT/SIGTERM); exiting. 
[I] Feb 18 00:52:05 ndm: Core::System::StartupConfig: configuration saved.

Le ecureuil · 18 февраля

15 часов назад, Timuridze сказал:

После одного из обновленния не скажу точно какого, но сейчас 4.3 Beta 1 перестал соединятся с удаленным Openconnect сервером, в логах такое

[I] Feb 18 00:51:57 openconnect: Configured as 10.10.11.28 + fda9:4efe:7e3b:2f68:630e:428f:45a5:97bc/64, with SSL + LZS connected and DTLS + LZS disabled 
[I] Feb 18 00:51:57 ndm: OpenConnect::Interface: "OpenConnect0": banner: "". 
[I] Feb 18 00:51:57 ndm: Network::Interface::Base: "OpenConnect0": "oc" changed "link" layer state "pending" to "running". 
[I] Feb 18 00:51:57 ndm: Network::Interface::Base: "OpenConnect0": default MTU is 1464. 
[I] Feb 18 00:52:02 ndm: Network::Interface::Base: "OpenConnect0": "base" changed "conf" layer state "running" to "disabled". 
[I] Feb 18 00:52:02 ndm: Network::Interface::Base: "OpenConnect0": interface is down. 
[I] Feb 18 00:52:02 ndm: Core::System::StartupConfig: saving (http/rci). 
[I] Feb 18 00:52:03 openconnect: Failed to write incoming packet: I/O error 
[I] Feb 18 00:52:03 openconnect: Send BYE packet: Aborted by caller 
[I] Feb 18 00:52:03 openconnect: User cancelled (SIGINT/SIGTERM); exiting. 
[I] Feb 18 00:52:05 ndm: Core::System::StartupConfig: configuration saved.

self-test с interface OpenConnect0 debug нужно.

Сервер у вас какой?

Timuridze · 18 февраля

3 часа назад, Le ecureuil сказал:

self-test с interface OpenConnect0 debug нужно.

Не подскажете где я могу почитать как его сделать?

Сервер

ocserv 1.1.3

Compiled with: seccomp, tcp-wrappers, oath, radius, gssapi, PAM, PKCS#11, AnyConnec
t
GnuTLS version: 3.7.3 (compiled with 3.7.1)

Leshiyart · 18 февраля

53 минуты назад, Timuridze сказал:

Не подскажете где я могу почитать как его сделать?

https://help.keenetic.com/hc/ru/articles/213965889-Интерфейс-командной-строки-CLI-интернет-центра

https://help.keenetic.com/hc/ru/articles/360000440120-Сохранение-файла-системы-self-test

HEcaxap · 18 февраля

Добрый вечер, @Timuridze
Ваше сообщение с селф-тестом скрыто и доступно теперь только модерaторам. Публикация селф-теста в открытом доступе может быть небезопасна, поэтому в следующий раз обязательно скрывайте такие сообщения (три точки в верхнем правом углу - скрыть).

Le ecureuil · 19 февраля

@Timuridzeв вашем журнале соединение установилось и работает, разрывов нет. Нужно именно когда разрывы показать.

Timuridze · 19 февраля

13 часов назад, Le ecureuil сказал:

@Timuridzeв вашем журнале соединение установилось и работает, разрывов нет. Нужно именно когда разрывы показать.

К сожалению. соединения нет. Пробовал создавать политику , что бы добавить туда соединение, но соединения нет

Yhwh · 22 февраля

Подскажите пожалуйста, как поменять порт на openconnect vpn c 443 на другой? Все запросы в роутере на 443 и 80 перенаправляются на обратный прокси в сети. Поэтому не работает openconnect vpn. В web и в CLI не нашел где можно поменять порт.

Leshiyart · 23 февраля

13 часов назад, Yhwh сказал:

Подскажите пожалуйста, как поменять порт на openconnect vpn c 443 на другой? Все запросы в роутере на 443 и 80 перенаправляются на обратный прокси в сети. Поэтому не работает openconnect vpn. В web и в CLI не нашел где можно поменять порт.

В вебе поменять порт https веба, они связаны

ip_tara · 23 февраля

Хозяйкам на заметку. В прошивке 4.2.6 пароль для пользователя в OpenConnect был 20 символов. Работало. Обновил на 4.3 бету 1. Со старым паролем перестало работать. В процессе изучения проблемы выяснилось, что уменьшение знаков в пароле до 13 решает.

Yhwh · 23 февраля

12 часов назад, Leshiyart сказал:

В вебе поменять порт https веба, они связаны

Спасибо огромное, все получилось...

beh01d · 26 февраля

Здравствуйте, хочу подключить oc-client на своем кинетике к cisco asa по ssl-vpn. Можно ли как-то добавить параметр клиенту для подключения? Необходимый параметр - --useragent=AnyConnect без него получаю "Got HTTP response: HTTP/1.1 404 Not Found".

Le ecureuil · 26 февраля

2 часа назад, beh01d сказал:

Здравствуйте, хочу подключить oc-client на своем кинетике к cisco asa по ssl-vpn. Можно ли как-то добавить параметр клиенту для подключения? Необходимый параметр - --useragent=AnyConnect без него получаю "Got HTTP response: HTTP/1.1 404 Not Found".

В следующих версиях (но в 4.3.b.2 вероятно еще нет) при задании команды interface openconnect proto anyconnect смена UserAgent будет происходить автоматически, спасибо за репорт.

Nicolas · Четверг в 07:55

Keenetic Viva (KN-1910). Прошивка 4.2.6.3. Настраиваю OpenConnect VPN-сервер.

Доступ к сети: Домашняя сеть
NAT для клиентов.

При подключении клиент получает IP DNS сервера равный IP кинетика в домашней сети. Но! В домашней сети через DHCP у меня раздаётся другой адрес. И происходят непонятки в разрешении имён. Нет возможности указать DNS сервер, который будет передаваться клиентам?

Le ecureuil · Четверг в 13:19

5 часов назад, Nicolas сказал:

Keenetic Viva (KN-1910). Прошивка 4.2.6.3. Настраиваю OpenConnect VPN-сервер.

Доступ к сети: Домашняя сеть
NAT для клиентов.

При подключении клиент получает IP DNS сервера равный IP кинетика в домашней сети. Но! В домашней сети через DHCP у меня раздаётся другой адрес. И происходят непонятки в разрешении имён. Нет возможности указать DNS сервер, который будет передаваться клиентам?

Прямо сейчас нет, все VPN-серверы раздают адрес сегмента к которому привязаны.

Nicolas · Четверг в 13:43

20 минут назад, Le ecureuil сказал:

Прямо сейчас нет

Есть надежда на будущее?

20 минут назад, Le ecureuil сказал:

все VPN-серверы раздают адрес сегмента к которому привязаны.

Не хочу спорить, но OpenVPN позволяет предавать клиенту DNS (push "dhcp-option DNS...). И WareGuard позволяет на клиенте указать каким DNS пользоваться.

Cherdenko · Четверг в 14:22

А можно ли как-то добавить сертификат для подключения к openconnect ?
У меня cisco требует, он есть у меня. Но в keenetic нет нативной возможности его добавить

Le ecureuil · Пятница в 14:28

В 03.04.2025 в 16:43, Nicolas сказал:

Есть надежда на будущее?

Не хочу спорить, но OpenVPN позволяет предавать клиенту DNS (push "dhcp-option DNS...). И WareGuard позволяет на клиенте указать каким DNS пользоваться.

Под "всеми" имелись в виду только те, которые явно есть на странице Приложения и привязыкаются к сегменту. А именно: PPTP, SSTP, OpenConnect, L2TP/IPsec, XAuth, IKEv2.

Le ecureuil · Пятница в 14:29

В 03.04.2025 в 16:43, Nicolas сказал:

Есть надежда на будущее?

Она всегда есть, но никаких обещаний.

Le ecureuil · Пятница в 14:29

В 03.04.2025 в 17:22, Cherdenko сказал:

А можно ли как-то добавить сертификат для подключения к openconnect ?
У меня cisco требует, он есть у меня. Но в keenetic нет нативной возможности его добавить

Нет, вам нужен opkg.

Le ecureuil · Пятница в 14:30

@Nicolas уж очень у вас мутно в описании, лучше в поддержку.

BeaViSs · Пятница в 20:31

Проблема похожая, как у Timuridze

image.png.ce9f74669bca02b6a8ba89a3071caf20.png

настраиваем клиента - урл, логин. пароль

Подключение такое в состоянии "неизвестно"

Время в столбце "подключено" стоит на нуле

в логе словно все ок

Got CONNECT response: HTTP/1.1 200 CONNECTED
Апр 4 23:25:36
openconnect
CSTP connected. DPD 25, Keepalive 32400
Апр 4 23:25:36
openconnect
No DTLS address
Апр 4 23:25:36
openconnect
Configured as 192.168.115.162, with SSL connected and DTLS disabled
Апр 4 23:25:36
ndm
OpenConnect::Interface: "OpenConnect0": banner: "".
Апр 4 23:25:36
ndm
Network::Interface::Base: "OpenConnect0": "oc" changed "link" layer state "pending" to "running".
Апр 4 23:25:36
ndm
Dns::Manager: name server 8.8.4.4 added, domain (default).

Если поставить ручные настройки IP

то состояние получится "Подключено", но трафик через него ходить не будет

НО!!

в веб не дает установить адрес в поле "Удаленный IP адрес"

image.png.70c8d3aac4b24c0517a65fac8adf6c67.png

в логе после ввода и нажатия ок для адреса будет:

image.png.3d842423c7be43937ad542cb4c38c230.png

Le ecureuil · 11 часов назад

Попробуйте ввести комманду
>interface OpenConnect0 openconnect accept-addresses

после того как в вебе уберете статический адрес.

Если заработает, то это баг веб-интерфейса, передам им.

openconnect

Рекомендуемые сообщения

Топ авторов темы

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

Le ecureuil

Le ecureuil

SSTP

Изображения в теме

Присоединяйтесь к обсуждению

Последние посетители 0 пользователей онлайн

Важная информация