openconnect

[Le ecureuil]

11 часов назад, snark сказал:

oc сервер на 4.3.1: неожиданно начинают попадать адреса в бан

Никаких видимых изменений ни на клиенте ни на сервере не происходит. Клиент нормально подключается, потом залетает в бан. Снимаешь бан, клиент может опять подключиться, а может опять сразу в бан попасть. Закономерность не обнаружил. селф с debug приложил 

У вас клиент отваливается постоянно. В этом месте был небольшой фикс, попробуйте в следующей версии 4.3, когда она выйдет.

[Le ecureuil]

6 минут назад, Mapuk37 сказал:

Помогите разобраться с openconnect. Есть 2 keenetic в разных городах. На одном серый ip, на другом белый. В итоге на том на котором серый ip подключение к серверу openconnect происходит без проблем с устройства ios из приложения anyconnect. А к тому, что с белым ip подключаться не хочет: таймаут соединения и в логе роутера вообще ничего. Настройки для подключения к обоим серверам использовал идентичные

Попробуйте зайти на адрес для подключения openconnect через обычный браузер Safari, используя этот адрес как ссылку. Если появится XML с предложением авторизации - значит все работает нормально, иначе будем смотреть дальше.

[Mapuk37]

4 минуты назад, Le ecureuil сказал:

Попробуйте зайти на адрес для подключения openconnect через обычный браузер Safari, используя этот адрес как ссылку. Если появится XML с предложением авторизации - значит все работает нормально, иначе будем смотреть дальше.

Не открывается. Для сравнения - сервер на роутере с серым ip открылся

[Le ecureuil]

3 часа назад, Mapuk37 сказал:

Не открывается. Для сравнения - сервер на роутере с серым ip открылся

А просто на веб заходит нормально?

Если да, то давайте self-test.

[Mapuk37]

17 минут назад, Le ecureuil сказал:

А просто на веб заходит нормально?

Если да, то давайте self-test.

На сам веб заходит. Единственное по 443 почему то не пускает по доменному имени, поменял на 8443.

self test в лс

Изменено Вторник в 12:19 пользователем Mapuk37

[gaaronk]

В 01.05.2025 в 14:46, Timuridze сказал:

Я так понимаю новый виток блокировок от РКН?! Соединение с Openconnect сервером не устанавливается.  Есть информация что ТСПУ стали подменять SESSION_ID что нарушает процесс авторизации клиента. Что делать в такой ситуации?

Блочат TLS по сочетанию SNI/IP на ряд хостеров.

Прогнав хендшейк openconnect через youtubeUnblock - заставил его работать

Изменено Вторник в 17:11 пользователем gaaronk

[Timuridze]

11 часов назад, gaaronk сказал:

Прогнав хендшейк openconnect через youtubeUnblock - заставил его работать

Спасибо что отписались в теме. Вы youtubeUnblock ставили на кинетик?

[gaaronk]

1 час назад, Timuridze сказал:

Спасибо что отписались в теме. Вы youtubeUnblock ставили на кинетик?

 

Все стоит на кинетике.

сам анблок запускается так

 

youtubeUnblock --sni-domains=all --queue-num=567

 

Потом при старте системы

insmod /lib/modules/$(uname -r)/iptable_raw.ko
insmod /lib/modules/$(uname -r)/xt_connbytes.ko
insmod /lib/modules/$(uname -r)/xt_NFQUEUE.ko

iptables -t raw -A OUTPUT -d <IP сервера>/32 -p tcp -m tcp --dport 443 -m connbytes --connbytes 0:19 --connbytes-mode packets --connbytes-dir original -j NFQUEUE --queue-num 567 --queue-bypass

 

порт 443 или нужный вам

[Le ecureuil]

В 06.05.2025 в 15:17, Mapuk37 сказал:

На сам веб заходит. Единственное по 443 почему то не пускает по доменному имени, поменял на 8443.

self test в лс

А если и в OpenConnect на 8443 попробовать?

[Timuridze]

В 07.05.2025 в 09:33, gaaronk сказал:

сам анблок запускается так

 

Решил просто закрыть старый сервер и взял новую vps на непопулярном ресурсе который не попал под блокировки. Посчитал слишком сложным воротить еще анблок, учитывая что у меня уже стоит Xkeen. После смены сервера openconnect заработал

[gaaronk]

3 часа назад, Le ecureuil сказал:

А если и в OpenConnect на 8443 попробовать?

у меня на моем хостинге проблемы были с любым портом. только фрагментация пакетов с SNI помогла