openconnect

[Le ecureuil]

В 11.04.2025 в 14:37, -ЯR- сказал:

Подскажите я добавил маршрут этой командой oc-server route {address} {mask}  а как его удалить после или все разу ?

По идее oc-server no route или oc-server no route 1.2.3.4 255.255.255.255

[Old-grumbler]

В 05.04.2025 в 21:56, Le ecureuil сказал:

Попробуйте ввести комманду
>interface OpenConnect0 openconnect accept-addresses

после того как в вебе уберете статический адрес.

Если заработает, то это баг веб-интерфейса, передам им.

    то же полдня убил в разборках. 

Правда было веселее.

Рядом создавал идентичное ранее созданному ( один в один для проверки ). И у первого все соединялось, а у второго нет... Если б сюда не влез "крыша была бы в другом месте".

 

[Roman Zakharov]

Периодически возникает ошибка сокета, после чего соединениет автоматически переустанавливается. Проблема наблюдает как между двумя кинетиками (Giga-1011 сервер) Hero 4g+ (клиент) на прошивке 4.2.6.3, так и если коннекчусь через openconnect напрямую

Логи со стороны клиента

Read error on SSL session: The TLS connection was non-properly terminated.
route: writing to routing socket: File exists
add host xx.xx.xx.xx: gateway 192.168.1.1: File exists
SSL negotiation with xxx.xxx.netcraze.link
Server certificate verify failed: signer not found
Connected to HTTPS on xxxx.xxxx.netcraze.link with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(RSA-PSS-RSAE-SHA256)-(CHACHA20-POLY1305)
Got CONNECT response: HTTP/1.1 200 CONNECTED
CSTP connected. DPD 25, Keepalive 60

Иногда стреляет такое

CSTP Dead Peer Detection detected dead peer!

 

Логи со стороны сервера:

GnuTLS error (at worker-vpn.c:1753): Error in the push function.

 

Изменено 21 апреля пользователем Roman Zakharov

[SemyonG]

Добрый день.
обновил прошивку до 4.3.0
при 900+ маршрутах на сервере OpenConnect впн не поднимается, висит в состоянии "идет подключение"
при паре-тройке маршрутах все ок.
Есть какое-то ограничение? 

[Le ecureuil]

15 часов назад, SemyonG сказал:

Добрый день.
обновил прошивку до 4.3.0
при 900+ маршрутах на сервере OpenConnect впн не поднимается, висит в состоянии "идет подключение"
при паре-тройке маршрутах все ок.
Есть какое-то ограничение? 

А сообщений об ошибках никаких нет? В логе чисто?

Покажите журнал в таком состоянии.

[SemyonG]

2 часа назад, Le ecureuil сказал:

А сообщений об ошибках никаких нет? В логе чисто?

Покажите журнал в таком состоянии.

Да, в логе есть ошибки, странно что на серт ругается, он Let's Encrypt

Спойлер

Network::Interface::Base: "OpenConnect0": "base" changed "conf" layer state "disabled" to "running".

Апр 23 14:42:51

ndm

Network::Interface::Base: "OpenConnect0": interface is up.

Апр 23 14:42:51

ndm

Core::System::StartupConfig: saving (http/rci).

Апр 23 14:42:53

ndm

Network::Interface::EndpointTracker: "OpenConnect0": remote endpoint is "<openconnect_server_ip>".

Апр 23 14:42:53

ndm

Network::Interface::EndpointTracker: "OpenConnect0": connecting via "ISP" (GigabitEthernet0/Vlan2).

Апр 23 14:42:53

ndm

Network::Interface::EndpointTracker: "OpenConnect0": local endpoint is "<local_endpoint_ip>".

Апр 23 14:42:55

openconnect

POST https://<openconnect_server>/?<secret_path>

Апр 23 14:42:55

openconnect

Connected to <openconnect_server_ip>:443

Апр 23 14:42:55

openconnect

SSL negotiation with <openconnect_server>

Апр 23 14:42:55

openconnect

Certificate from VPN server "<openconnect_server>" failed verification. Reason: signer not found

Апр 23 14:42:55

openconnect

Connected to HTTPS on <openconnect_server> with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(RSA-PSS-RSAE-SHA256)-(AES-256-GCM)

Апр 23 14:42:55

openconnect

XML POST enabled

Апр 23 14:42:55

openconnect

POST https://<openconnect_server>/auth

Апр 23 14:42:56

openconnect

POST https://<openconnect_server>/auth

Апр 23 14:42:56

openconnect

Got CONNECT response: HTTP/1.1 200 CONNECTED

Апр 23 14:42:56

openconnect

CSTP connected. DPD 25, Keepalive 32400

Апр 23 14:42:56

openconnect

No DTLS address

Апр 23 14:42:56

openconnect

Configured as 192.168.2.5, with SSL connected and DTLS disabled

Апр 23 14:42:56

ndm

Core::System::StartupConfig: configuration saved.

Апр 23 14:43:01

ndm

FeedbackListener: failed to read feedback contents.

Апр 23 14:43:01

oc-OpenConnect0

bin::ndmf: failed to send a feedback to the NDM core.

Апр 23 14:43:01

openconnect

Script '/var/run/oc-OpenConnect0' returned error 1

Апр 23 14:43:01

kernel

IPv6: ADDRCONF(NETDEV_CHANGE): nocli0: link becomes ready

Апр 23 14:43:04

ndm

FeedbackListener: failed to read feedback contents.

Апр 23 14:43:04

oc-OpenConnect0

bin::ndmf: failed to send a feedback to the NDM core.

Апр 23 14:43:04

openconnect

Script '/var/run/oc-OpenConnect0' returned error 1

 

Изменено 23 апреля пользователем SemyonG

[Le ecureuil]

В 23.04.2025 в 12:52, SemyonG сказал:

Да, в логе есть ошибки, странно что на серт ругается, он Let's Encrypt

  Показать контент

Network::Interface::Base: "OpenConnect0": "base" changed "conf" layer state "disabled" to "running".

Апр 23 14:42:51

ndm

Network::Interface::Base: "OpenConnect0": interface is up.

Апр 23 14:42:51

ndm

Core::System::StartupConfig: saving (http/rci).

Апр 23 14:42:53

ndm

Network::Interface::EndpointTracker: "OpenConnect0": remote endpoint is "<openconnect_server_ip>".

Апр 23 14:42:53

ndm

Network::Interface::EndpointTracker: "OpenConnect0": connecting via "ISP" (GigabitEthernet0/Vlan2).

Апр 23 14:42:53

ndm

Network::Interface::EndpointTracker: "OpenConnect0": local endpoint is "<local_endpoint_ip>".

Апр 23 14:42:55

openconnect

POST https://<openconnect_server>/?<secret_path>

Апр 23 14:42:55

openconnect

Connected to <openconnect_server_ip>:443

Апр 23 14:42:55

openconnect

SSL negotiation with <openconnect_server>

Апр 23 14:42:55

openconnect

Certificate from VPN server "<openconnect_server>" failed verification. Reason: signer not found

Апр 23 14:42:55

openconnect

Connected to HTTPS on <openconnect_server> with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(RSA-PSS-RSAE-SHA256)-(AES-256-GCM)

Апр 23 14:42:55

openconnect

XML POST enabled

Апр 23 14:42:55

openconnect

POST https://<openconnect_server>/auth

Апр 23 14:42:56

openconnect

POST https://<openconnect_server>/auth

Апр 23 14:42:56

openconnect

Got CONNECT response: HTTP/1.1 200 CONNECTED

Апр 23 14:42:56

openconnect

CSTP connected. DPD 25, Keepalive 32400

Апр 23 14:42:56

openconnect

No DTLS address

Апр 23 14:42:56

openconnect

Configured as 192.168.2.5, with SSL connected and DTLS disabled

Апр 23 14:42:56

ndm

Core::System::StartupConfig: configuration saved.

Апр 23 14:43:01

ndm

FeedbackListener: failed to read feedback contents.

Апр 23 14:43:01

oc-OpenConnect0

bin::ndmf: failed to send a feedback to the NDM core.

Апр 23 14:43:01

openconnect

Script '/var/run/oc-OpenConnect0' returned error 1

Апр 23 14:43:01

kernel

IPv6: ADDRCONF(NETDEV_CHANGE): nocli0: link becomes ready

Апр 23 14:43:04

ndm

FeedbackListener: failed to read feedback contents.

Апр 23 14:43:04

oc-OpenConnect0

bin::ndmf: failed to send a feedback to the NDM core.

Апр 23 14:43:04

openconnect

Script '/var/run/oc-OpenConnect0' returned error 1

 

На самом деле у вас failed to read feedback contents - и из-за этого все происходит.

Можете прислать конфиг сервера (кусок с маршрутами), чтобы я локально попробовал воспроизвести?

[SemyonG]

ocserv_route.conf
конфиг с маршрутами у меня лежит в /etc/ocserv/config-per-group/group1
юзер соответственно в этой группе состоит.
Если в этом же файле оставить с 10ок маршрутов, то все работает. Если эти же 1000+(пробовал сгруппировать в более крупные подсети, получалось на 2-3 сотни меньше, статику кинетик отрабатывает без проблем) маршрутов скормить клиенту опенконнект или эниконнект, то все работает. А кинетик не может их принять.

 

Изменено 25 апреля пользователем SemyonG

[Le ecureuil]

Вообще тысячи маршрутов это неправильно, разумное количество не должно превышать одну-две сотни.

[Le ecureuil]

Лимит поднял, но нужно проверить на следующей версии.

[SemyonG]

18 минут назад, Le ecureuil сказал:

Вообще тысячи маршрутов это неправильно, разумное количество не должно превышать одну-две сотни.

ну времена нынче такие)))
Что бытовому роутеру приходится с этим работать))

Изменено 25 апреля пользователем SemyonG

[john ibsuser]

sad but true, видимо разумное количество деградирующих серверов имеется ввиду )

[Timuridze]

Я так понимаю новый виток блокировок от РКН?! Соединение с Openconnect сервером не устанавливается.  Есть информация что ТСПУ стали подменять SESSION_ID что нарушает процесс авторизации клиента. Что делать в такой ситуации?

[FLK]

3 часа назад, Timuridze сказал:

Я так понимаю новый виток блокировок от РКН?! Соединение с Openconnect сервером не устанавливается.  Есть информация что ТСПУ стали подменять SESSION_ID что нарушает процесс авторизации клиента. Что делать в такой ситуации?

Версия прошивки? If 4.3 then cry... if 4.2 then all is ok

[Timuridze]

22 минуты назад, FLK сказал:

Версия прошивки? If 4.3 then cry... if 4.2 then all is ok

 

4.3.0 сегодня с утра обновился до 4.3.1. Да проблема не в Кинетик изначально, с мобильного клиента anyconnect тоже самое, с Линукс openconnect, тоже не работает. Кроме того пропал доступ к v2ray веб интерфейсу 3x-ui. 

У вас 4.2 и у вас работает??? А есть подробности?

Изменено 1 мая пользователем Timuridze

[FLK]

26 минут назад, Timuridze сказал:

 

4.3.0 сегодня с утра обновился до 4.3.1. Да проблема не в Кинетик изначально, с мобильного клиента anyconnect тоже самое, с Линукс openconnect, тоже не работает. Кроме того пропал доступ к v2ray веб интерфейсу 3x-ui. 

У вас 4.2 и у вас работает??? А есть подробности?

На 4.2.6.3 работает клиент Кинетика с сервером на vps у меня. Anyconnect тоже работает с этим же сервером

На 4.3 надо почитать тему:

 

Изменено 1 мая пользователем FLK

[Le ecureuil]

22 часа назад, Timuridze сказал:

Я так понимаю новый виток блокировок от РКН?! Соединение с Openconnect сервером не устанавливается.  Есть информация что ТСПУ стали подменять SESSION_ID что нарушает процесс авторизации клиента. Что делать в такой ситуации?

Похоже на какой-то бред, потому что подмена трафика внутри TLS возможна только при перехвате сертификата, и у вас во всех браузерах сразу будет красная плашка "этот сайт ненастоящий".

[Timuridze]

3 часа назад, Le ecureuil сказал:

Похоже на какой-то бред, потому что подмена трафика внутри TLS возможна только при перехвате сертификата, и у вас во всех браузерах сразу будет красная плашка "этот сайт ненастоящий".

Нет, речь не о перехвате и изменение зашифрованного трафика . Перед тем как трафик зашишифруется есть момент установления соединения, на этом же этапе идет согласование TLS1.0 1.2 или 1.3 . Чуть ниже цитата с одного из чатов, там речь о vless, но я думаю проблема аналогичная, так как openconnect так же использует TLS 1.3 , по крайней мере у меня отвалился openconnect и web интерфейс 3x-ui. 

Цитата

 В TLS 1.3 SessionID используется для совместимости с предыдущими версиями. Он может быть и нулевым, и содержать случайные числа. Речь вот о чём шла. Если в случае установки TLS 1.3 соединения третья сторона подменит Session ID (да даже несколько случайных бит в случайных байтах поменяет), то процесс установки соединения не пострадает. А вот клиент REALITY в этом случае аутентификацию на сервере не пройдёт и будет перенаправлен на сервер назначения. В результате, подставной сайт откроется, а REALITY не установится. Да. сам по себе способ аутентификации выглядит надёжным - чужой не сможет нелегально аутентифицироваться. Но при подмене SessionID третьей стороной получается эффективная блокировка RELITY. То есть можно делать превентивную блокировку, не искать специально сервера Reality, анализируя паттерны траффика, а, например для соединений на все иностранные IP, или подсети иностранных хостингов модифицировать SessionID в случае TLS 1.3. В результате HTTPS на сайты будет рабоать без проблем, а REALITY, есть ли он на конкретном IP, или нет - работать не будет.

 

Изменено 2 мая пользователем Timuridze

[Timuridze]

19 часов назад, FLK сказал:

На 4.2.6.3 работает клиент Кинетика с сервером на vps у меня. Anyconnect тоже работает с этим же сервером

 

У меня другая проблема я думаю не связанная с 4.3.0. Так как во первых 4.3.0 у меня давно и все работало прекрасно до позавчерашнего дня, во вторых у меня так же перестали работать соединения через anyconnect android, и Linux CLI (sudo openconnect -u ***** --passwd-on-stdin -b **.****.***) если подключаюсь предварительно к удаленному не в РФ серверу по ssh а уже оттуда по  openconnect соединение проходит.

)

[Le ecureuil]

5 часов назад, Timuridze сказал:

Нет, речь не о перехвате и изменение зашифрованного трафика . Перед тем как трафик зашишифруется есть момент установления соединения, на этом же этапе идет согласование TLS1.0 1.2 или 1.3 . Чуть ниже цитата с одного из чатов, там речь о vless, но я думаю проблема аналогичная, так как openconnect так же использует TLS 1.3 , по крайней мере у меня отвалился openconnect и web интерфейс 3x-ui. 

 

А как вообще REALITY и OpenConnect связаны?

[jamixm]

На кинетике поднят сервер Wireguard и OpenConnect.

Так же нам есть еще несколько дополнительных сегментов сети через которые осуществляется доступ к корпоративной сети.

Удаленные клиенты подключаются к нему(кинетику) через Wireguard. На основе правил(межсетевой экран) они получают доступ к нужным сегментам.

Пробую перевести всех на OpenConnect. Доступ присутствует только к домашней сети.

Вопрос: как создать(в виде acl через командную строку или через web интерфейс) для пользователей, которые подключаются через Openconnect доступ в другие сегменты сети?

На форуме полистал - ответа не нашел(если был - плиз ссылку на пост).

[Timuridze]

21 час назад, Le ecureuil сказал:

А как вообще REALITY и OpenConnect связаны?

Связанны они только тем что у меня в один день отвалились и авторизация в 3xui и авторизация openconnect, на двух разных серверах в разных странах. Найти инфу по XTLS/REALITY было проще его сильно много кто использует сейчас, там и выяснилось что это скорее всего тестирование каких то новых блокировок и виновато tls(ссылки я  не привожу сюда но гуглится), Так как TLS это основа и openconnect то выводы был сделан что это затронуло и openconnect. 
Ну видимо придется подождать когда тестирование закончится  и владельцев затронутых openconnect серверов станет сильно больше.

[lokup]

В 02.05.2025 в 14:21, Timuridze сказал:

У меня другая проблема я думаю не связанная с 4.3.0. Так как во первых 4.3.0 у меня давно и все работало прекрасно до позавчерашнего дня, во вторых у меня так же перестали работать соединения через anyconnect android, и Linux CLI (sudo openconnect -u ***** --passwd-on-stdin -b **.****.***) если подключаюсь предварительно к удаленному не в РФ серверу по ssh а уже оттуда по  openconnect соединение проходит.

)

У меня тоже перестали клиенты подключаться, провайдер РТК. Пробовал понижать версию и использовать 4.3.1 не помогло. Какой VPN посоветуете? До этого ocserv на vps отлично выручал. Теперь думаю в сторону marzban какого-нибудь.

Изменено 3 мая пользователем lokup

[Timuridze]

12 часов назад, lokup сказал:

У меня тоже перестали клиенты подключаться, провайдер РТК. Пробовал понижать версию и использовать 4.3.1 не помогло. Какой VPN посоветуете? До этого ocserv на vps отлично выручал. Теперь думаю в сторону marzban какого-нибудь.

У меня по прежнему работает VLESS с панелью 3x-ui, несмотря на то что веб интерфейс отвалился, сам протокол работает. На кинетике Xkeen стоит который обеспечивает выборочную маршрутизацию.  Marzban по сути не замена для openconnect, это панель управления для (Vmess, VLESS, Trojan и Shadowsocks) это же самое что и 3x-ui. Openconnect это полноценный VPN для удаленного доступа по VPN, а протоколы VLESS и иже с ними изначально созданы для обхода цензуры в основном.  Поэтому это не совсем  замена.

[snark]

А вдруг кто в курсе, можно ли заставить OpenConnect  сервер кинетике, перечитать ocserv.conf, отредактированный в ручную?

И второй вопрос - скорее просьба, увеличить количество передаваемых маршрутов в oc-server, сейчас их максимум 16

 

Изменено Понедельник в 10:33 пользователем snark

[Le ecureuil]

4 часа назад, snark сказал:

А вдруг кто в курсе, можно ли заставить OpenConnect  сервер кинетике, перечитать ocserv.conf, отредактированный в ручную?

И второй вопрос - скорее просьба, увеличить количество передаваемых маршрутов в oc-server, сейчас их максимум 16

 

Попробуйте ему послать сигнал SIGHUP.

Но вообще вы ерунду хотите, потому что он может быть перезаписан снова и перезапущен по любому непредсказуемому событию.

А сколько вам надо маршрутов?

[snark]

9 минут назад, Le ecureuil сказал:

Попробуйте ему послать сигнал SIGHUP.

Но вообще вы ерунду хотите, потому что он может быть перезаписан снова и перезапущен по любому непредсказуемому событию.

А сколько вам надо маршрутов?

 

Да я не ерунду хочу, я config-per-user хочу, и думаю каким хуком отловить перезапись конфига, чтобы потом подсунуть свой конфиг и перечитать его сервером

 

Нуу 64 маршрута хватит

[Le ecureuil]

8 минут назад, snark сказал:

Да я не ерунду хочу, я config-per-user хочу, и думаю каким хуком отловить перезапись конфига, чтобы потом подсунуть свой конфиг и перечитать его сервером

 

Нуу 64 маршрута хватит

Под ерундой имеется в виду то, что на это не рассчитано, а значит будет геморно.

64 маршрута именно для OpenConnect реалистично.

[snark]

oc сервер на 4.3.1: неожиданно начинают попадать адреса в бан

Никаких видимых изменений ни на клиенте ни на сервере не происходит. Клиент нормально подключается, потом залетает в бан. Снимаешь бан, клиент может опять подключиться, а может опять сразу в бан попасть. Закономерность не обнаружил. селф с debug приложил 

[Mapuk37]

Помогите разобраться с openconnect. Есть 2 keenetic в разных городах. На одном серый ip, на другом белый. В итоге на том на котором серый ip подключение к серверу openconnect происходит без проблем с устройства ios из приложения anyconnect. А к тому, что с белым ip подключаться не хочет: таймаут соединения и в логе роутера вообще ничего. Настройки для подключения к обоим серверам использовал идентичные