openconnect

[Le ecureuil]

42 минуты назад, beh01d сказал:

Пишу в личку.

Баг был уже исправлен в upstream: https://gitlab.com/openconnect/openconnect/-/commit/82c73c5e5fbd5add10a85ac7e5148c21d2bf591a
Занес фикс к нам, в следующих версиях 4.3 и 5.0 будет работать.

[beh01d]

30 минут назад, Le ecureuil сказал:

Баг был уже исправлен в upstream: https://gitlab.com/openconnect/openconnect/-/commit/82c73c5e5fbd5add10a85ac7e5148c21d2bf591a
Занес фикс к нам, в следующих версиях 4.3 и 5.0 будет работать.

Благодарю вас!

[Tdva]

Здравствуйте! Может тут уже обсуждали ранее, но не нашел ответа. Можно ли на 1810 ultra с установленные и корректно-работающим приложением openconnect-server, сделать авторизацию пользоваиеля по сертификату из CiscoAnyConnect? Сейчас в клиентской CiscoAnyConnect приходиться вводить логин и пароль пользователя keenetic для подключения. С логином и паролем все подключается и работает.  Ставить openconnect на wrt не буду. Через cli кинетика не нашел нужных настроек в ocserver.

[Cherdenko]

А когда добавят возможность использовать файл сертификата при подключении к anyconnect ?

[qmxocynjca]

Словил в клиенте OpenConnect какое-то перманентное кэширование IP зарезолвленного домена.

После перезагрузки роутера-сервера, он прописался у меня в xxx.keenetic.link на серый IP от другого провайдера, а потом в течение часа вернулся обратно на правильный статический публичный IP. Это я сам игрался с порядком провайдеров, так что ситуация рядовая.

Клиент же, после разрыва, зарезолвил хост только один раз на серый IP и постоянно стал его использовать (около 20 часов подряд), без попыток зарезолвить его опять, когда домен уже указывал на другой IP.

После ручного выкл-вкл OC-интерфейса на клиенте, всё сразу завелось. Я уже начал грешить что с мобильного оператора и это прикрыли.

То ли OpenConnect не резолвит домен повторно по истечении TTL домена, то ли DNS-кэширование чудит. Судя по nslookup -debug у домена TTL 5 минут.

Сервер 5.0A8, клиент 4.3.4. На клиенте провайдерные DNS активны, плюс используется публичный DNS-резолвер "Yandex.DNS - Базовый".

cc @Le ecureuil

Изменено 21 июля пользователем qmxocynjca

[Le ecureuil]

13 часов назад, qmxocynjca сказал:

Словил в клиенте OpenConnect какое-то перманентное кэширование IP зарезолвленного домена.

После перезагрузки роутера-сервера, он прописался у меня в xxx.keenetic.link на серый IP от другого провайдера, а потом в течение часа вернулся обратно на правильный статический публичный IP. Это я сам игрался с порядком провайдеров, так что ситуация рядовая.

Клиент же, после разрыва, зарезолвил хост только один раз на серый IP и постоянно стал его использовать (около 20 часов подряд), без попыток зарезолвить его опять, когда домен уже указывал на другой IP.

После ручного выкл-вкл OC-интерфейса на клиенте, всё сразу завелось. Я уже начал грешить что с мобильного оператора и это прикрыли.

То ли OpenConnect не резолвит домен повторно по истечении TTL домена, то ли DNS-кэширование чудит. Судя по nslookup -debug у домена TTL 5 минут.

Сервер 5.0A8, клиент 4.3.4. На клиенте провайдерные DNS активны, плюс используется публичный DNS-резолвер "Yandex.DNS - Базовый".

cc @Le ecureuil

Нужно бы interface OpenConnect debug в этот момент, и лог.

[Le ecureuil]

Сертификатов пока не ожидается.

[qmxocynjca]

2 часа назад, Le ecureuil сказал:

Нужно бы interface OpenConnect debug в этот момент, и лог.

Отправил скрытым сообщением.

[Le ecureuil]

3 часа назад, qmxocynjca сказал:

Отправил скрытым сообщением.

Спасибо за репорт, да, понятно откуда это берется. Поправлю.

[Le ecureuil]

Исправление появится в следующем выпуске 5.0.

[qmxocynjca]

Задал вручную белый IP сервера через ip host на клиенте, но OC-клиент всё равно ходит на зарезолвленный через публичный DNS адрес. Ребутнул клиента, всё равно значение из ip host игнорируется.

self-test следующим сообщением. Возможно это связано с предыдущей проблемой и она уже автоматически пофикшена, но всё же.

upd: в 5.0a9 починилось.

Изменено 27 июля пользователем qmxocynjca

[Le ecureuil]

В 26.07.2025 в 10:37, qmxocynjca сказал:

Задал вручную белый IP сервера через ip host на клиенте, но OC-клиент всё равно ходит на зарезолвленный через публичный DNS адрес. Ребутнул клиента, всё равно значение из ip host игнорируется.

self-test следующим сообщением. Возможно это связано с предыдущей проблемой и она уже автоматически пофикшена, но всё же.

upd: в 5.0a9 починилось.

Да, это исправлено в последних версиях 5.0, до этого всегда лезло в DNS-серверы.

[daffix]

Здравствуйте. 

На Keenetic настроен OpenConnect - Server, все прекрасно работает при подключении с любы внешних устройв, ходит по локальной сети и выходит в интернет.

Но на некоторые локальные адреса не могу зайти при подключении через OpenConnect, уже всю голову сломал и в логах ничего не пишет, просто соединение разрывается.

Потом обратил внимание что на все эти ip адреса/хосты, настроен доступ через доменное имя (скрин.шот приложил если вдруг не понятно разьясняюсь).

Как можно решить эту проблему? Если подключится к примеру через WireGuard то все прекрасно работает, доступ к этим хостам по ip есть.

Keenetic Ultra (KN-1810)

Версия ОС 4.5.3

Канал обновления Основной

Так же настроен Entware и XKeen (если вдруг эта информация как-то поможет).

 

[Le ecureuil]

2 часа назад, daffix сказал:

Здравствуйте. 

На Keenetic настроен OpenConnect - Server, все прекрасно работает при подключении с любы внешних устройв, ходит по локальной сети и выходит в интернет.

Но на некоторые локальные адреса не могу зайти при подключении через OpenConnect, уже всю голову сломал и в логах ничего не пишет, просто соединение разрывается.

Потом обратил внимание что на все эти ip адреса/хосты, настроен доступ через доменное имя (скрин.шот приложил если вдруг не понятно разьясняюсь).

Как можно решить эту проблему? Если подключится к примеру через WireGuard то все прекрасно работает, доступ к этим хостам по ip есть.

Keenetic Ultra (KN-1810)

Версия ОС 4.5.3

Канал обновления Основной

Так же настроен Entware и XKeen (если вдруг эта информация как-то поможет).

 

Только на IP-адреса пытаетесь зайти, или по доменным именам?

[daffix]

15 часов назад, Le ecureuil сказал:

Только на IP-адреса пытаетесь зайти, или по доменным именам?

По IP адресам, там в некоторых случаях на одном хосте/ip работает несколько сервисов привязанные к разным доменам. 

По доменам все работает, только что проверил. 

Я так понимаю домены работают через прокси, может быть в этом причина, но как это решить ума не приложу. 

Изменено 31 июля пользователем daffix

[arsik]

Добрый день.
Не могу подключится с Keenetic клиентом к серверу Openconnect.
С телефона и windows нормально подключается.
Пробовал и на версии KeeneticOS текущей стабильной и на последней 5й. Одинаково.

OpenConnect::FeedbackHandler: "OpenConnect0": system failed [0xcffd0085].

PS: Поправлено. В 5.0 Alpha 10 ошибки нет. Опенконнект содиняеться. Респект

Изменено 4 августа пользователем arsik
PS

[Le ecureuil]

9 часов назад, arsik сказал:

Добрый день.
Не могу подключится с Keenetic клиентом к серверу Openconnect.
С телефона и windows нормально подключается.
Пробовал и на версии KeeneticOS текущей стабильной и на последней 5й. Одинаково.

OpenConnect::FeedbackHandler: "OpenConnect0": system failed [0xcffd0085].

 

В следующей версии 5.0 будет поправлено.

[JoeDoe]

Столкнулся со следующей проблемой при использовании openconnect server на KeeneticOS.
После успешной установки соединения с iPhone (клиент: AnyConnect 5.1.10 (а есть ли альтернативы на iPhone?!)) оно разрывается через 27 секунд.
Потратил несколько часов и выводы следующие:
если использовать ту же конфигурацию но с iPad-а подключенного через Personal Hotspot (tethering), то всё работает без проблем. Также VPN работает с компа при использовании Personal Hotspot.
Я включил отладку на Keenetic и обнаружил, что TLS и DTLS соединения устанавливаются с разных IP. Также статистика AnyConnect клиента на iPhone по переданным (Sent) пакетам всегда ноль. 
Я думаю, что проблема явно у мобильного оператора, который пытается оптимизировать сеть направляя UDP трафик по отдельной несущей/виртуальному каналу (bearer), a nat с разных bearer использует разные внешние пулы и не синхронизирован. Весь же трафик с Personal Hotspot (tethering) оптимизации не подлежит (кто будет на телефоне DPI делать?!) и соответственно использует один bearer и всё работает.

Сталкивался ли кто с такой проблемой и как её решали?

P.S. wireguard  с телефона работает без проблем - там нет отдельного TCP соединения для управления
P.P.S. IMHO, для мобильного оператора это очень простой способ бороться с SSL-based VPN с телефонов (плюс запрет tethering), хотя я не думаю, что мой оператор делает это специально - они до сих пор сидят на старых SGW/PGW (соответственно весь 5G у них NSA) и не могут перейти на 5G SA.

[Le ecureuil]

1 час назад, JoeDoe сказал:

Столкнулся со следующей проблемой при использовании openconnect server на KeeneticOS.
После успешной установки соединения с iPhone (клиент: AnyConnect 5.1.10 (а есть ли альтернативы на iPhone?!)) оно разрывается через 27 секунд.
Потратил несколько часов и выводы следующие:
если использовать ту же конфигурацию но с iPad-а подключенного через Personal Hotspot (tethering), то всё работает без проблем. Также VPN работает с компа при использовании Personal Hotspot.
Я включил отладку на Keenetic и обнаружил, что TLS и DTLS соединения устанавливаются с разных IP. Также статистика AnyConnect клиента на iPhone по переданным (Sent) пакетам всегда ноль. 
Я думаю, что проблема явно у мобильного оператора, который пытается оптимизировать сеть направляя UDP трафик по отдельной несущей/виртуальному каналу (bearer), a nat с разных bearer использует разные внешние пулы и не синхронизирован. Весь же трафик с Personal Hotspot (tethering) оптимизации не подлежит (кто будет на телефоне DPI делать?!) и соответственно использует один bearer и всё работает.

Сталкивался ли кто с такой проблемой и как её решали?

P.S. wireguard  с телефона работает без проблем - там нет отдельного TCP соединения для управления
P.P.S. IMHO, для мобильного оператора это очень простой способ бороться с SSL-based VPN с телефонов (плюс запрет tethering), хотя я не думаю, что мой оператор делает это специально - они до сих пор сидят на старых SGW/PGW (соответственно весь 5G у них NSA) и не могут перейти на 5G SA.

Сейчас DTLS отключается при использовании облачного режима. Попрбуйте пока в нем проверить. Если все нормализуется, то сделаем команду в cli для сервера.

[Tdva]

3 часа назад, Le ecureuil сказал:

Сейчас DTLS отключается при использовании облачного режима. Попрбуйте пока в нем проверить. Если все нормализуется, то сделаем команду в cli для сервера.

Fyi. Клиент cisco secure client 5 из windows store  отрубался в течении 1 -2 минут. Openconnect на debian в  openwrt. Авторизация по сертификатам. Такой же cisco secure client на скаченный с сайта cisco.com работает идеально без малейшиз разрывов соединения. Решение проблемы было в устпновке tls вместо dtls и сокращение mtu до 800. Теперь cisco secure client 5 из windows store работает без малейшего обрыва сессий. 

[JoeDoe]

5 hours ago, Le ecureuil said:

Сейчас DTLS отключается при использовании облачного режима. Попрбуйте пока в нем проверить. Если все нормализуется, то сделаем команду в cli для сервера.

При включении облачного режима DTLS с другого адреса не приходит, но практически сразу после установления соединения клиент уходит на reconnect и потом disconnect.
P.S. log перешлю напрямую.

[KirillR]

Попробовал у себя на KN-1012 openconnect-сервер. Выглядит как неплохая альтернатива SSTP.
Но возник вопрос: а есть ли для этого сервера хуки в /opt/etc/ndm? вроде уже существующих sstp_vpn_up/down.d ?
Хотелось бы вести отдельный лог подключений-отключений юзеров.

[Yhwh]

В 22.01.2025 в 01:59, kaguyashaa сказал:

Приветствую, удалось у кого-нибудь настроить подключение к Кинетику с Linux GUI клиента?
При подключении через GUI после ввода пароля через пару секунд падает в ошибку
В логе NetworkManager только такое: 
 

  Показать контент

янв 22 01:38:45 laptop NetworkManager[928]: <info>  [1737499125.3229] vpn[,"Keenetic home openconnect"]: starting openconnect
янв 22 01:38:45 laptop NetworkManager[928]: <info>  [1737499125.3232] audit: op="connection-activate" uuid="" name="Keenetic home openconnect" pid=168477 uid=1000 result="success"
янв 22 01:39:23 laptop NetworkManager[928]: <info>  [1737499163.5289] manager: (vpn0): new Tun device (/org/freedesktop/NetworkManager/Devices/27)
янв 22 01:39:23 laptop NetworkManager[706120]: Connected to my_ip:8443
янв 22 01:39:23 laptop NetworkManager[706120]: SSL negotiation with my_ip
янв 22 01:39:53 laptop NetworkManager[706120]: SSL connection failure: The TLS connection was non-properly terminated.
янв 22 01:39:53 laptop NetworkManager[706120]: Creating SSL connection failed
янв 22 01:39:53 laptop NetworkManager[706120]: Unrecoverable I/O error; exiting.
янв 22 01:39:53 laptop NetworkManager[928]: <warn>  [1737499193.5940] vpn[,"Keenetic home openconnect"]: dbus: failure: connect-failed (1)
янв 22 01:39:53 laptop NetworkManager[928]: <warn>  [1737499193.5940] vpn[,"Keenetic home openconnect"]: dbus: failure: connect-failed (1)
 

В логе кинетика видно только это:
 

  Показать контент

Янв 22 01:27:00
ndm
Core::Authenticator: user "username" authenticated, realm "Keenetic Ultra", tag "vpn-oc".
 

При этом через терминал подключение работает и никаких проблем нет 
Версии ПО:

  Показать контент

❯ NetworkManager -V
1.50.1-2

❯ openconnect  --version
OpenConnect version v9.12
Using GnuTLS 3.8.8. Features present: TPMv2, PKCS#11, RSA software token, HOTP software token, TOTP software token, Yubikey OATH, System keys, DTLS, ESP
Supported protocols: anyconnect (default), nc, gp, pulse, f5, fortinet, array
Default vpnc-script (override with --script): /etc/vpnc/vpnc-script

❯ uname -a
Linux laptop 6.12.10-2-cachyos #1 SMP PREEMPT_DYNAMIC Sat, 18 Jan 2025 09:24:32 +0000 x86_64 GNU/Linux


Система CachyOS KDE 6.2.5

Роутер:
Keenetic Ultra 1811 4.2.5

Забыл добавить: 
HTTPS висит на 8443 порту, включен камуфляж и прямой доступ в keendns и без ipv6

Аналогичная проблема, может кто знает решение?

[Le ecureuil]

12 часов назад, Yhwh сказал:

Аналогичная проблема, может кто знает решение?

Покажите лог с сервера с включенным oc-server debug.

[Le ecureuil]

В 03.09.2025 в 14:59, KirillR сказал:

Попробовал у себя на KN-1012 openconnect-сервер. Выглядит как неплохая альтернатива SSTP.
Но возник вопрос: а есть ли для этого сервера хуки в /opt/etc/ndm? вроде уже существующих sstp_vpn_up/down.d ?
Хотелось бы вести отдельный лог подключений-отключений юзеров.

Уже есть oc_vpn_up.d/oc_vpn_down.d, можете пользоваться.

[KirillR]

9 часов назад, Le ecureuil сказал:

Уже есть oc_vpn_up.d/oc_vpn_down.d, можете пользоваться.

Спасибо, проверил, все работает.
Включите во возможности в документацию  - сейчас на страничке "Описание компонента OPKG" эти хуки не описаны (sstp впрочем тоже).
https://support.keenetic.ru/eaeu/giga/kn-1012/ru/42407-opkg-component-description.html
И еще, каталогов в etc/ndm для этих хуков (oc_vpn_*) нет в текущей версии пакета opt-ndmsv2 который ставится установщиком opkg на флешку.
 

[kaguyashaa]

В 04.09.2025 в 10:38, Le ecureuil сказал:

Покажите лог с сервера с включенным oc-server debug.

Приложил скрытым постом, если нужно могу ещё поделать тестов:
Подключался с Linux CachyOS 6.16.1-2-cachyos #1 SMP PREEMPT_DYNAMIC Fri, 15 Aug 2025 21:24:39 +0000 x86_64 GNU/Linux

Версия ОС KN-1811
4.3.6

Версии пакетов:
networkmanager-openconnect 1.2.10-4.1
networkmanager-vpn-plugin-openconnect 1.2.10-4.1
networkmanager 1.54.1-1
openconnect 1:9.12-4.1

❯ openconnect --version
OpenConnect version v9.12
Using GnuTLS 3.8.10. Features present: TPMv2, PKCS#11, RSA software token, HOTP software token, TOTP software token, Yubikey OATH, System keys, DTLS, ESP
Supported protocols: anyconnect (default), nc, gp, pulse, f5, fortinet, array
Default vpnc-script (override with --script): /etc/vpnc/vpnc-script

[Le ecureuil]

Из лога ничего непонятно. Как только на сервере проходит авторизация и клиенту сообщается что "все хорошо" он тут же сам по себе отваливается.

Ощущение такое, что есть сторонние силы, обрубающие TCP-сессию инжекцией TCP RST.

[kaguyashaa]

Когда не получилось подключиться через гуёвый клиент, я запустил подключение через bash утилиту, и там всё успешно соединилось

[Max34]

Добрый день. Просьба помочь отключить NAT в OpenConnect сервере. Ситуация следующая: предположим в сети 192.168.1.0/24 установлен раутер Keenetic 192.168.1.1 и на нём запущен сервис OpenConnect. Сервис настроен так, что бы единственному клиенту выдавался IP адрес 192.168.1.10. При подключении клиента, в WEB интерфейсе действительно появляется адрес 192.168.1.10. Но подключение к сервисам внутри сети происходит с адреса самого Keenetic роутера (192.168.1.1). Так как на устройствах настроны локальные фаерволы на прием соединений только от 192.168.1.10, то соединений не происходит.  Команда CLI "no ip nat oc" не помогает.

Keenetic Ultra (KN-1810). Прошивка 4.3.6.1

Спасибо!