Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Официальное хранилище ПО в виде файлов

openconnect

SSTP
 Поделиться

Рекомендуемые сообщения

Le ecureuil NetFriend

Le ecureuil

Опубликовано
Опубликовано
В 11.04.2025 в 14:37, -ЯR- сказал:

Подскажите я добавил маршрут этой командой oc-server route {address} {mask}  а как его удалить после или все разу ?

По идее oc-server no route или oc-server no route 1.2.3.4 255.255.255.255

  • Ответов 341
  • Создана
  • Последний ответ

Топ авторов темы

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

Le ecureuil
Le ecureuil

Реализован camouflage-режим. На клиенте достаточно в upstream просто указать URL. На сервере команда oc-server camouflage его включает, ключ генерируется псевдослучайно и его можно посмотреть в

Le ecureuil
Le ecureuil

В следующей версии 4.3 в клиенте при выборе accept-routes будут приниматься внешние роуты, будет работает получение и настройка IPv6-адресов. Также в сервере появится команда oc-server route для

SSTP
SSTP

если можно было добавить в кеенетик openconnect то было бы отлично !

Изображения в теме

Old-grumbler Новичок

Old-grumbler

Опубликовано
Опубликовано
В 05.04.2025 в 21:56, Le ecureuil сказал:

Попробуйте ввести комманду
>interface OpenConnect0 openconnect accept-addresses

после того как в вебе уберете статический адрес.

Если заработает, то это баг веб-интерфейса, передам им.

:)  :)  то же полдня убил в разборках. 

Правда было веселее.

Рядом создавал идентичное ранее созданному ( один в один для проверки ). И у первого все соединялось, а у второго нет... Если б сюда не влез "крыша была бы в другом месте".

:)  :)

Roman Zakharov Новичок

Roman Zakharov

Опубликовано
Опубликовано (изменено)

Периодически возникает ошибка сокета, после чего соединениет автоматически переустанавливается. Проблема наблюдает как между двумя кинетиками (Giga-1011 сервер) Hero 4g+ (клиент) на прошивке 4.2.6.3, так и если коннекчусь через openconnect напрямую

Логи со стороны клиента 

Read error on SSL session: The TLS connection was non-properly terminated.
route: writing to routing socket: File exists
add host xx.xx.xx.xx: gateway 192.168.1.1: File exists
SSL negotiation with xxx.xxx.netcraze.link
Server certificate verify failed: signer not found
Connected to HTTPS on xxxx.xxxx.netcraze.link with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(RSA-PSS-RSAE-SHA256)-(CHACHA20-POLY1305)
Got CONNECT response: HTTP/1.1 200 CONNECTED
CSTP connected. DPD 25, Keepalive 60

Иногда стреляет такое 

CSTP Dead Peer Detection detected dead peer!

 

Логи со стороны сервера: 

GnuTLS error (at worker-vpn.c:1753): Error in the push function.

 

Изменено пользователем Roman Zakharov
SemyonG Новичок

SemyonG

Опубликовано
Опубликовано

Добрый день.
обновил прошивку до 4.3.0
при 900+ маршрутах на сервере OpenConnect впн не поднимается, висит в состоянии "идет подключение"
при паре-тройке маршрутах все ок.
Есть какое-то ограничение? 

Le ecureuil NetFriend

Le ecureuil

Опубликовано
Опубликовано
15 часов назад, SemyonG сказал:

Добрый день.
обновил прошивку до 4.3.0
при 900+ маршрутах на сервере OpenConnect впн не поднимается, висит в состоянии "идет подключение"
при паре-тройке маршрутах все ок.
Есть какое-то ограничение? 

А сообщений об ошибках никаких нет? В логе чисто?

Покажите журнал в таком состоянии.

SemyonG Новичок

SemyonG

Опубликовано
Опубликовано (изменено)
2 часа назад, Le ecureuil сказал:

А сообщений об ошибках никаких нет? В логе чисто?

Покажите журнал в таком состоянии.


Да, в логе есть ошибки, странно что на серт ругается, он Let's Encrypt

Спойлер
Network::Interface::Base: "OpenConnect0": "base" changed "conf" layer state "disabled" to "running".
Апр 23 14:42:51
ndm
Network::Interface::Base: "OpenConnect0": interface is up.
Апр 23 14:42:51
ndm
Core::System::StartupConfig: saving (http/rci).
Апр 23 14:42:53
ndm
Network::Interface::EndpointTracker: "OpenConnect0": remote endpoint is "<openconnect_server_ip>".
Апр 23 14:42:53
ndm
Network::Interface::EndpointTracker: "OpenConnect0": connecting via "ISP" (GigabitEthernet0/Vlan2).
Апр 23 14:42:53
ndm
Network::Interface::EndpointTracker: "OpenConnect0": local endpoint is "<local_endpoint_ip>".
Апр 23 14:42:55
openconnect
POST https://<openconnect_server>/?<secret_path>
Апр 23 14:42:55
openconnect
Connected to <openconnect_server_ip>:443
Апр 23 14:42:55
openconnect
SSL negotiation with <openconnect_server>
Апр 23 14:42:55
openconnect
Certificate from VPN server "<openconnect_server>" failed verification. Reason: signer not found
Апр 23 14:42:55
openconnect
Connected to HTTPS on <openconnect_server> with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(RSA-PSS-RSAE-SHA256)-(AES-256-GCM)
Апр 23 14:42:55
openconnect
XML POST enabled
Апр 23 14:42:55
openconnect
POST https://<openconnect_server>/auth
Апр 23 14:42:56
openconnect
POST https://<openconnect_server>/auth
Апр 23 14:42:56
openconnect
Got CONNECT response: HTTP/1.1 200 CONNECTED
Апр 23 14:42:56
openconnect
CSTP connected. DPD 25, Keepalive 32400
Апр 23 14:42:56
openconnect
No DTLS address
Апр 23 14:42:56
openconnect
Configured as 192.168.2.5, with SSL connected and DTLS disabled
Апр 23 14:42:56
ndm
Core::System::StartupConfig: configuration saved.
Апр 23 14:43:01
ndm
FeedbackListener: failed to read feedback contents.
Апр 23 14:43:01
oc-OpenConnect0
bin::ndmf: failed to send a feedback to the NDM core.
Апр 23 14:43:01
openconnect
Script '/var/run/oc-OpenConnect0' returned error 1
Апр 23 14:43:01
kernel
IPv6: ADDRCONF(NETDEV_CHANGE): nocli0: link becomes ready
Апр 23 14:43:04
ndm
FeedbackListener: failed to read feedback contents.
Апр 23 14:43:04
oc-OpenConnect0
bin::ndmf: failed to send a feedback to the NDM core.
Апр 23 14:43:04
openconnect
Script '/var/run/oc-OpenConnect0' returned error 1

 

Изменено пользователем SemyonG
Le ecureuil NetFriend

Le ecureuil

Опубликовано
Опубликовано
В 23.04.2025 в 12:52, SemyonG сказал:


Да, в логе есть ошибки, странно что на серт ругается, он Let's Encrypt

  Показать контент

 

На самом деле у вас failed to read feedback contents - и из-за этого все происходит.

Можете прислать конфиг сервера (кусок с маршрутами), чтобы я локально попробовал воспроизвести?

SemyonG Новичок

SemyonG

Опубликовано
Опубликовано (изменено)

ocserv_route.conf
конфиг с маршрутами у меня лежит в /etc/ocserv/config-per-group/group1
юзер соответственно в этой группе состоит.
Если в этом же файле оставить с 10ок маршрутов, то все работает. Если эти же 1000+(пробовал сгруппировать в более крупные подсети, получалось на 2-3 сотни меньше, статику кинетик отрабатывает без проблем) маршрутов скормить клиенту опенконнект или эниконнект, то все работает. А кинетик не может их принять.

 

Изменено пользователем SemyonG
SemyonG Новичок

SemyonG

Опубликовано
Опубликовано (изменено)
18 минут назад, Le ecureuil сказал:

Вообще тысячи маршрутов это неправильно, разумное количество не должно превышать одну-две сотни.

ну времена нынче такие)))
Что бытовому роутеру приходится с этим работать))

Изменено пользователем SemyonG

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку тем

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю