openconnect

Le ecureuil · 27 июня

42 минуты назад, beh01d сказал:

Пишу в личку.

Баг был уже исправлен в upstream: https://gitlab.com/openconnect/openconnect/-/commit/82c73c5e5fbd5add10a85ac7e5148c21d2bf591a
Занес фикс к нам, в следующих версиях 4.3 и 5.0 будет работать.

beh01d · 27 июня

30 минут назад, Le ecureuil сказал:

Баг был уже исправлен в upstream: https://gitlab.com/openconnect/openconnect/-/commit/82c73c5e5fbd5add10a85ac7e5148c21d2bf591a
Занес фикс к нам, в следующих версиях 4.3 и 5.0 будет работать.

Благодарю вас!

Tdva · 20 июля

Здравствуйте! Может тут уже обсуждали ранее, но не нашел ответа. Можно ли на 1810 ultra с установленные и корректно-работающим приложением openconnect-server, сделать авторизацию пользоваиеля по сертификату из CiscoAnyConnect? Сейчас в клиентской CiscoAnyConnect приходиться вводить логин и пароль пользователя keenetic для подключения. С логином и паролем все подключается и работает. Ставить openconnect на wrt не буду. Через cli кинетика не нашел нужных настроек в ocserver.

Cherdenko · 21 июля

А когда добавят возможность использовать файл сертификата при подключении к anyconnect ?

qmxocynjca · 21 июля

Словил в клиенте OpenConnect какое-то перманентное кэширование IP зарезолвленного домена.

После перезагрузки роутера-сервера, он прописался у меня в xxx.keenetic.link на серый IP от другого провайдера, а потом в течение часа вернулся обратно на правильный статический публичный IP. Это я сам игрался с порядком провайдеров, так что ситуация рядовая.

Клиент же, после разрыва, зарезолвил хост только один раз на серый IP и постоянно стал его использовать (около 20 часов подряд), без попыток зарезолвить его опять, когда домен уже указывал на другой IP.

После ручного выкл-вкл OC-интерфейса на клиенте, всё сразу завелось. Я уже начал грешить что с мобильного оператора и это прикрыли.

То ли OpenConnect не резолвит домен повторно по истечении TTL домена, то ли DNS-кэширование чудит. Судя по nslookup -debug у домена TTL 5 минут.

Сервер 5.0A8, клиент 4.3.4. На клиенте провайдерные DNS активны, плюс используется публичный DNS-резолвер "Yandex.DNS - Базовый".

cc @Le ecureuil

Изменено 21 июля пользователем qmxocynjca

Le ecureuil · 22 июля

13 часов назад, qmxocynjca сказал:

Словил в клиенте OpenConnect какое-то перманентное кэширование IP зарезолвленного домена.

После перезагрузки роутера-сервера, он прописался у меня в xxx.keenetic.link на серый IP от другого провайдера, а потом в течение часа вернулся обратно на правильный статический публичный IP. Это я сам игрался с порядком провайдеров, так что ситуация рядовая.

Клиент же, после разрыва, зарезолвил хост только один раз на серый IP и постоянно стал его использовать (около 20 часов подряд), без попыток зарезолвить его опять, когда домен уже указывал на другой IP.

После ручного выкл-вкл OC-интерфейса на клиенте, всё сразу завелось. Я уже начал грешить что с мобильного оператора и это прикрыли.

То ли OpenConnect не резолвит домен повторно по истечении TTL домена, то ли DNS-кэширование чудит. Судя по nslookup -debug у домена TTL 5 минут.

Сервер 5.0A8, клиент 4.3.4. На клиенте провайдерные DNS активны, плюс используется публичный DNS-резолвер "Yandex.DNS - Базовый".

cc @Le ecureuil

Нужно бы interface OpenConnect debug в этот момент, и лог.

Le ecureuil · 22 июля

Сертификатов пока не ожидается.

qmxocynjca · 22 июля

2 часа назад, Le ecureuil сказал:

Нужно бы interface OpenConnect debug в этот момент, и лог.

Отправил скрытым сообщением.

Le ecureuil · 22 июля

3 часа назад, qmxocynjca сказал:

Отправил скрытым сообщением.

Спасибо за репорт, да, понятно откуда это берется. Поправлю.

Le ecureuil · 23 июля

Исправление появится в следующем выпуске 5.0.

qmxocynjca · 26 июля

Задал вручную белый IP сервера через ip host на клиенте, но OC-клиент всё равно ходит на зарезолвленный через публичный DNS адрес. Ребутнул клиента, всё равно значение из ip host игнорируется.

self-test следующим сообщением. Возможно это связано с предыдущей проблемой и она уже автоматически пофикшена, но всё же.

upd: в 5.0a9 починилось.

Изменено Воскресенье в 11:22 пользователем qmxocynjca

Le ecureuil · Понедельник в 08:25

В 26.07.2025 в 10:37, qmxocynjca сказал:

Задал вручную белый IP сервера через ip host на клиенте, но OC-клиент всё равно ходит на зарезолвленный через публичный DNS адрес. Ребутнул клиента, всё равно значение из ip host игнорируется.

self-test следующим сообщением. Возможно это связано с предыдущей проблемой и она уже автоматически пофикшена, но всё же.

upd: в 5.0a9 починилось.

Да, это исправлено в последних версиях 5.0, до этого всегда лезло в DNS-серверы.

daffix · Среда в 14:29

Здравствуйте.

На Keenetic настроен OpenConnect - Server, все прекрасно работает при подключении с любы внешних устройв, ходит по локальной сети и выходит в интернет.

Но на некоторые локальные адреса не могу зайти при подключении через OpenConnect, уже всю голову сломал и в логах ничего не пишет, просто соединение разрывается.

Потом обратил внимание что на все эти ip адреса/хосты, настроен доступ через доменное имя (скрин.шот приложил если вдруг не понятно разьясняюсь).

Как можно решить эту проблему? Если подключится к примеру через WireGuard то все прекрасно работает, доступ к этим хостам по ip есть.

Keenetic Ultra (KN-1810)

Версия ОС 4.5.3

Канал обновления Основной

Так же настроен Entware и XKeen (если вдруг эта информация как-то поможет).

Le ecureuil · Среда в 17:26

2 часа назад, daffix сказал:

Здравствуйте.

На Keenetic настроен OpenConnect - Server, все прекрасно работает при подключении с любы внешних устройв, ходит по локальной сети и выходит в интернет.

Но на некоторые локальные адреса не могу зайти при подключении через OpenConnect, уже всю голову сломал и в логах ничего не пишет, просто соединение разрывается.

Потом обратил внимание что на все эти ip адреса/хосты, настроен доступ через доменное имя (скрин.шот приложил если вдруг не понятно разьясняюсь).

Как можно решить эту проблему? Если подключится к примеру через WireGuard то все прекрасно работает, доступ к этим хостам по ip есть.

Keenetic Ultra (KN-1810)

Версия ОС 4.5.3

Канал обновления Основной

Так же настроен Entware и XKeen (если вдруг эта информация как-то поможет).

Только на IP-адреса пытаетесь зайти, или по доменным именам?

daffix · вчера в 08:51

15 часов назад, Le ecureuil сказал:

Только на IP-адреса пытаетесь зайти, или по доменным именам?

По IP адресам, там в некоторых случаях на одном хосте/ip работает несколько сервисов привязанные к разным доменам.

По доменам все работает, только что проверил.

Я так понимаю домены работают через прокси, может быть в этом причина, но как это решить ума не приложу.

Изменено вчера в 08:55 пользователем daffix

arsik · вчера в 19:16

Добрый день.
Не могу подключится с Keenetic клиентом к серверу Openconnect.
С телефона и windows нормально подключается.
Пробовал и на версии KeeneticOS текущей стабильной и на последней 5й. Одинаково.

OpenConnect::FeedbackHandler: "OpenConnect0": system failed [0xcffd0085].

Le ecureuil · 17 часов назад

9 часов назад, arsik сказал:
Добрый день.
Не могу подключится с Keenetic клиентом к серверу Openconnect.
С телефона и windows нормально подключается.
Пробовал и на версии KeeneticOS текущей стабильной и на последней 5й. Одинаково.
OpenConnect::FeedbackHandler: "OpenConnect0": system failed [0xcffd0085].

В следующей версии 5.0 будет поправлено.

JoeDoe · 9 часов назад

Столкнулся со следующей проблемой при использовании openconnect server на KeeneticOS.
После успешной установки соединения с iPhone (клиент: AnyConnect 5.1.10 (а есть ли альтернативы на iPhone?!)) оно разрывается через 27 секунд.
Потратил несколько часов и выводы следующие:
если использовать ту же конфигурацию но с iPad-а подключенного через Personal Hotspot (tethering), то всё работает без проблем. Также VPN работает с компа при использовании Personal Hotspot.
Я включил отладку на Keenetic и обнаружил, что TLS и DTLS соединения устанавливаются с разных IP. Также статистика AnyConnect клиента на iPhone по переданным (Sent) пакетам всегда ноль.
Я думаю, что проблема явно у мобильного оператора, который пытается оптимизировать сеть направляя UDP трафик по отдельной несущей/виртуальному каналу (bearer), a nat с разных bearer использует разные внешние пулы и не синхронизирован. Весь же трафик с Personal Hotspot (tethering) оптимизации не подлежит (кто будет на телефоне DPI делать?!) и соответственно использует один bearer и всё работает.

Сталкивался ли кто с такой проблемой и как её решали?

P.S. wireguard с телефона работает без проблем - там нет отдельного TCP соединения для управления
P.P.S. IMHO, для мобильного оператора это очень простой способ бороться с SSL-based VPN с телефонов (плюс запрет tethering), хотя я не думаю, что мой оператор делает это специально - они до сих пор сидят на старых SGW/PGW (соответственно весь 5G у них NSA) и не могут перейти на 5G SA.

Le ecureuil · 8 часов назад

1 час назад, JoeDoe сказал:

Столкнулся со следующей проблемой при использовании openconnect server на KeeneticOS.
После успешной установки соединения с iPhone (клиент: AnyConnect 5.1.10 (а есть ли альтернативы на iPhone?!)) оно разрывается через 27 секунд.
Потратил несколько часов и выводы следующие:
если использовать ту же конфигурацию но с iPad-а подключенного через Personal Hotspot (tethering), то всё работает без проблем. Также VPN работает с компа при использовании Personal Hotspot.
Я включил отладку на Keenetic и обнаружил, что TLS и DTLS соединения устанавливаются с разных IP. Также статистика AnyConnect клиента на iPhone по переданным (Sent) пакетам всегда ноль.
Я думаю, что проблема явно у мобильного оператора, который пытается оптимизировать сеть направляя UDP трафик по отдельной несущей/виртуальному каналу (bearer), a nat с разных bearer использует разные внешние пулы и не синхронизирован. Весь же трафик с Personal Hotspot (tethering) оптимизации не подлежит (кто будет на телефоне DPI делать?!) и соответственно использует один bearer и всё работает.

Сталкивался ли кто с такой проблемой и как её решали?

P.S. wireguard с телефона работает без проблем - там нет отдельного TCP соединения для управления
P.P.S. IMHO, для мобильного оператора это очень простой способ бороться с SSL-based VPN с телефонов (плюс запрет tethering), хотя я не думаю, что мой оператор делает это специально - они до сих пор сидят на старых SGW/PGW (соответственно весь 5G у них NSA) и не могут перейти на 5G SA.

Сейчас DTLS отключается при использовании облачного режима. Попрбуйте пока в нем проверить. Если все нормализуется, то сделаем команду в cli для сервера.

Tdva · 4 часа назад

3 часа назад, Le ecureuil сказал:

Сейчас DTLS отключается при использовании облачного режима. Попрбуйте пока в нем проверить. Если все нормализуется, то сделаем команду в cli для сервера.

Fyi. Клиент cisco secure client 5 из windows store отрубался в течении 1 -2 минут. Openconnect на debian в openwrt. Авторизация по сертификатам. Такой же cisco secure client на скаченный с сайта cisco.com работает идеально без малейшиз разрывов соединения. Решение проблемы было в устпновке tls вместо dtls и сокращение mtu до 800. Теперь cisco secure client 5 из windows store работает без малейшего обрыва сессий.

JoeDoe · 3 часа назад

5 hours ago, Le ecureuil said:

Сейчас DTLS отключается при использовании облачного режима. Попрбуйте пока в нем проверить. Если все нормализуется, то сделаем команду в cli для сервера.

При включении облачного режима DTLS с другого адреса не приходит, но практически сразу после установления соединения клиент уходит на reconnect и потом disconnect.
P.S. log перешлю напрямую.

openconnect

Рекомендуемые сообщения

Топ авторов темы

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

Le ecureuil

Le ecureuil

SSTP

Изображения в теме

Присоединяйтесь к обсуждению

Последние посетители 1 пользователь онлайн

Важная информация