openconnect

[Dr.ZuLuS]

9 минут назад, Le ecureuil сказал:

Попробуйте с 
interface OpenConnect0 debug
снять self-test.

А подскажите полный список команд для коннекта клиента openconnect к серверу.

Сделал openconnect upstream ip port

openconnect authenticate identy username

openconnect authenticate password password 

 

Интерфейс поднимается, но Коннект Стейт down.

interface Openconnect1 up делал

Пробовал прописать ip для интерфейса, это тоже не помогло.

Изменено 13 апреля пользователем Dr.ZuLuS

[snark]

5 часов назад, Le ecureuil сказал:

Попробуйте с 
interface OpenConnect0 debug
снять self-test.

Именно так и сделал, self в скрытом сообщении

[keenet07]

4.2 Alpha 4 

В веб-интерфейсе ещё ничего не присутствует? Ни сервер, ни клиент?

[Le ecureuil]

В 13.04.2024 в 12:56, Dr.ZuLuS сказал:

А подскажите полный список команд для коннекта клиента openconnect к серверу.

Сделал openconnect upstream ip port

openconnect authenticate identy username

openconnect authenticate password password 

 

Интерфейс поднимается, но Коннект Стейт down.

interface Openconnect1 up делал

Пробовал прописать ip для интерфейса, это тоже не помогло.

Вам все то же самое - включить debug и снимать логи.

[Le ecureuil]

В 13.04.2024 в 19:40, keenet07 сказал:

4.2 Alpha 4 

В веб-интерфейсе ещё ничего не присутствует? Ни сервер, ни клиент?

Пока еще нет.

[Le ecureuil]

@snark в self-test не включен debug на OpenConnect0.

[snark]

37 минут назад, Le ecureuil сказал:

@snark в self-test не включен debug на OpenConnect0.

Ещё раз выгрузил

[Le ecureuil]

И правда не работал нормально syslog, поправил вывод.

[Le ecureuil]

14 часа назад, snark сказал:

Ещё раз выгрузил

Ошибка выглядит так:

I] Apr 15 10:47:06 ndm: Network::Interface::Ip: "OpenConnect0": IP address cleared. 
[I] Apr 15 10:47:09 openconnect: POST https://*.biz/ 
[I] Apr 15 10:47:09 openconnect: Attempting to connect to server *:443 
[I] Apr 15 10:47:09 openconnect: Connected to *:443 
[I] Apr 15 10:47:09 openconnect: SSL negotiation with *.biz 
[I] Apr 15 10:47:09 openconnect:  Certificate from VPN server "*.biz" failed verification. Reason: signer not found 
[I] Apr 15 10:47:09 openconnect: Connected to HTTPS on *.biz with ciphersuite (TLS1.3)-(ECDHE-X25519)-(ECDSA-SECP256R1-SHA256)-(AES-128-GCM) 
[I] Apr 15 10:47:09 openconnect: Got HTTP response: HTTP/1.1 405 Not Allowed 
[I] Apr 15 10:47:09 openconnect: Server: nginx/1.18.0 (Ubuntu) 
Failed to complete authentication
[I] Apr 15 10:47:09 openconnect: Date: Mon, 15 Apr 2024 08:47:09 GMT 
[I] Apr 15 10:47:09 openconnect: Content-Type: text/html 
[I] Apr 15 10:47:09 openconnect: Content-Length: 166 
[I] Apr 15 10:47:09 openconnect: Connection: keep-alive 
[I] Apr 15 10:47:09 openconnect: HTTP body length:  (166) 
[I] Apr 15 10:47:09 openconnect: Unexpected 405 result from server 
[E] Apr 15 10:47:09 ndm: Service: "OpenConnect0": unexpectedly stopped. 

Вам нужно разобраться с сервером, думаю вы даже через curl сможете сами увидеть проблему.

[snark]

1 час назад, Le ecureuil сказал:

Ошибка выглядит так:

 

Можно ли в текущей реализации на кинетике приспособить "--servercert pin"?

И на всякий случай уточню, у меня сервер не на 443 порту. Если нужно, могу дать креды для тестов

Клиент cisco и Clavister OneConnect (https://apps.apple.com/us/app/clavister-oneconnect/id1565970099), к нему вполне бодро подключаются. Консольный openconnect на маке тоже

 

Изменено 15 апреля пользователем snark

[Le ecureuil]

46 минут назад, snark сказал:

 

Можно ли в текущей реализации на кинетике приспособить "--servercert pin"?

И на всякий случай уточню, у меня сервер не на 443 порту. Если нужно, могу дать креды для тестов

Клиент cisco и Clavister OneConnect (https://apps.apple.com/us/app/clavister-oneconnect/id1565970099), к нему вполне бодро подключаются. Консольный openconnect на маке тоже

 

Порт можно отдельно задать (в cli через пробел), а неудачная верификация сертификата все равно не является фатальной - ровно как и в SSTP.

[snark]

1 час назад, Le ecureuil сказал:

Порт можно отдельно задать (в cli через пробел), а неудачная верификация сертификата все равно не является фатальной - ровно как и в SSTP.

Только что подключился к этому серверу, консольным клиентом из ubuntы

> openconnect bla-bla-bla.com:YYYY

POST https://bla-bla-bla.com:YYYY/
Attempting to connect to server xx.xx.xx.xx:YYYY
Connected to xx.xx.xx.xx:YYYY
SSL negotiation with bla-bla-bla.com
Server certificate verify failed: signer not found
Connected to HTTPS on bla-bla-bla.com with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP256R1-SHA256)-(AES-256-GCM)
Got HTTP response: HTTP/1.1 200 OK
Set-Cookie: webvpncontext=; expires=Thu, 01 Jan 1970 22:00:00 GMT; path=/; Secure; HttpOnly
Content-Type: text/xml
Content-Length: 306
X-Transcend-Version: 1
HTTP body length:  (306)
XML POST enabled
Please enter your username.
Username:zzzzzzz
POST https://bla-bla-bla.com:YYYY/auth
Got HTTP response: HTTP/1.1 200 OK
Set-Cookie: webvpncontext=AHw/12xmowvEwyiaJZTWeJ/iSlclnlyBfrralZ6H+CA=; Max-Age=3600; Secure; HttpOnly
Content-Type: text/xml
Content-Length: 310
X-Transcend-Version: 1
HTTP body length:  (310)
Please enter your password.
Password:
POST https://bla-bla-bla.com:YYYY/auth
Got HTTP response: HTTP/1.1 200 OK
Connection: Keep-Alive
Content-Type: text/xml
Content-Length: 189
X-Transcend-Version: 1
Set-Cookie: webvpncontext=AHw/12xmowvEwyiaJZTWeJ/iSlclnlyBfrralZ6H+CA=; Secure; HttpOnly
Set-Cookie: webvpn=<elided>; Secure; HttpOnly
Set-Cookie: webvpnc=; expires=Thu, 01 Jan 1970 22:00:00 GMT; path=/; Secure; HttpOnly
Set-Cookie: webvpnc=bu:/&p:t&iu:1/&sh:ECC9876E61345F84B9032FB3B726B14831409C6E; path=/; Secure; HttpOnly
HTTP body length:  (189)
TCP_INFO rcv mss 1419, snd mss 1448, adv mss 65483, pmtu 65535
Got CONNECT response: HTTP/1.1 200 CONNECTED
X-CSTP-Version: 1
X-CSTP-Server-Name: OpenConnect VPN Server
X-CSTP-Hostname: LLLLLLLL
X-CSTP-DPD: 90
X-CSTP-Default-Domain: bla-bla-bla.com
X-CSTP-Address: 192.168.99.228
X-CSTP-Netmask: 255.255.255.0
X-CSTP-DNS: 8.8.8.8
X-CSTP-Tunnel-All-DNS: false
X-CSTP-Client-Bypass-Protocol: false
X-CSTP-Split-Exclude: 192.168.0.0/255.255.0.0
X-CSTP-Split-Exclude: 10.0.0.0/255.0.0.0
X-CSTP-Split-Exclude: 172.16.0.0/255.240.0.0
X-CSTP-Split-Exclude: 127.0.0.0/255.0.0.0
X-CSTP-Keepalive: 32400
X-CSTP-Idle-Timeout: none
X-CSTP-Smartcard-Removal-Disconnect: true
X-CSTP-Rekey-Time: 172795
X-CSTP-Rekey-Method: ssl
X-CSTP-Session-Timeout: 0
X-CSTP-Session-Timeout-Remaining: 0
X-CSTP-Disconnected-Timeout: none
X-CSTP-Keep: true
X-CSTP-TCP-Keepalive: true
X-CSTP-License: accept
X-DTLS-DPD: 90
X-DTLS-Port: YYYY
X-DTLS-Rekey-Time: 172805
X-DTLS-Rekey-Method: ssl
X-DTLS-Keepalive: 32400
X-DTLS-App-ID: 7277868a3088da5619880561d8f1bd477017139e137c48cfbc5ba8d2159a80fd
X-DTLS-CipherSuite: PSK-NEGOTIATE
X-CSTP-Base-MTU: 1500
X-CSTP-MTU: 1434
CSTP connected. DPD 90, Keepalive 32400
UDP SO_SNDBUF: 28680
DTLS initialised. DPD 90, Keepalive 32400

 

Изменено 15 апреля пользователем snark

[snark]

3 часа назад, Le ecureuil сказал:

Ошибка выглядит так:

[I] Apr 15 10:47:09 openconnect: Attempting to connect to server *:443 

Вам нужно разобраться с сервером, думаю вы даже через curl сможете сами увидеть проблему.

Когда я говорил что у меня сервер на другом порту, а не 443, я имел ввиду вот это. У вас проверка по 443

[Le ecureuil]

17 минут назад, snark сказал:

Когда я говорил что у меня сервер на другом порту, а не 443, я имел ввиду вот это. У вас проверка по 443

Все, понял. Работа с портом поправлена, будет в следующем 4.2.

[Le ecureuil]

Реализован camouflage-режим.
На клиенте достаточно в upstream просто указать URL.

На сервере команда oc-server camouflage его включает, ключ генерируется псевдослучайно и его можно посмотреть в поле secret вывода команды show oc-server.

[Le ecureuil]

В SSTP-сервере и клиенте тоже реализовано

[Le ecureuil]

В 13.04.2024 в 11:21, snark сказал:

Кинетик OpenConnect сервер - помойму проблема с nat, клиенты подключаются, но выхода в интернет у них нет

Поправлено.

[snark]

Апр 20 20:35:59 ndm
OpenConnect::Interface: "OpenConnect0": system failed [0xcffd0291].
Апр 20 20:35:59 openconnect
Failed to open /dev/vhost-net: No such file or directory

Вот такая ошибка на 4.2 Alpha 5

 

А ещё в случае разрыва со стороны сервера, не хочет переподключаться

Апр 20 20:49:22 openconnect
sleep 10s, remaining timeout 300s
Апр 20 20:49:33 openconnect
SSL negotiation with xxxxxxxxxx
Апр 20 20:49:33 openconnect
Connected to HTTPS on xxxxxxxxxx with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP256R1-SHA256)-(AES-256-GCM)
Апр 20 20:49:33 openconnect
Got inappropriate HTTP CONNECT response: HTTP/1.1 405 Method Not Allowed
Апр 20 20:49:33 openconnect
sleep 20s, remaining timeout 290s
Апр 20 20:49:53 openconnect
SSL negotiation with xxxxxxxxxx
Апр 20 20:49:53 openconnect
Connected to HTTPS on xxxxxxxxxx with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP256R1-SHA256)-(AES-256-GCM)
Апр 20 20:49:53 openconnect
Got inappropriate HTTP CONNECT response: HTTP/1.1 405 Method Not Allowed
Апр 20 20:49:53 openconnect
sleep 30s, remaining timeout 270s
Апр 20 20:50:23 openconnect
SSL negotiation with xxxxxxxxxx
Апр 20 20:50:24 openconnect
Connected to HTTPS on xxxxxxxxxx with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP256R1-SHA256)-(AES-256-GCM)
Апр 20 20:50:24 openconnect
Got inappropriate HTTP CONNECT response: HTTP/1.1 405 Method Not Allowed
Апр 20 20:50:24 openconnect
sleep 40s, remaining timeout 240s

 

Изменено 20 апреля пользователем snark

[Le ecureuil]

1 час назад, snark сказал:

Апр 20 20:35:59 ndm
OpenConnect::Interface: "OpenConnect0": system failed [0xcffd0291].
Апр 20 20:35:59 openconnect
Failed to open /dev/vhost-net: No such file or directory

Вот такая ошибка на 4.2 Alpha 5

 

А ещё в случае разрыва со стороны сервера, не хочет переподключаться

Апр 20 20:49:22 openconnect
sleep 10s, remaining timeout 300s
Апр 20 20:49:33 openconnect
SSL negotiation with xxxxxxxxxx
Апр 20 20:49:33 openconnect
Connected to HTTPS on xxxxxxxxxx with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP256R1-SHA256)-(AES-256-GCM)
Апр 20 20:49:33 openconnect
Got inappropriate HTTP CONNECT response: HTTP/1.1 405 Method Not Allowed
Апр 20 20:49:33 openconnect
sleep 20s, remaining timeout 290s
Апр 20 20:49:53 openconnect
SSL negotiation with xxxxxxxxxx
Апр 20 20:49:53 openconnect
Connected to HTTPS on xxxxxxxxxx with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP256R1-SHA256)-(AES-256-GCM)
Апр 20 20:49:53 openconnect
Got inappropriate HTTP CONNECT response: HTTP/1.1 405 Method Not Allowed
Апр 20 20:49:53 openconnect
sleep 30s, remaining timeout 270s
Апр 20 20:50:23 openconnect
SSL negotiation with xxxxxxxxxx
Апр 20 20:50:24 openconnect
Connected to HTTPS on xxxxxxxxxx with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP256R1-SHA256)-(AES-256-GCM)
Апр 20 20:50:24 openconnect
Got inappropriate HTTP CONNECT response: HTTP/1.1 405 Method Not Allowed
Апр 20 20:50:24 openconnect
sleep 40s, remaining timeout 240s

 

Нужен лог с interface OpenConnect0 debug

[snark]

12 часа назад, Le ecureuil сказал:

Нужен лог с interface OpenConnect0 debug

В скрытом сообщении

[Le ecureuil]

В 21.04.2024 в 10:45, snark сказал:

В скрытом сообщении

Поправлено.

[john ibsuser]

@Le ecureuil спасибо за клиента, все работает! А как добавить корневой let's encrypt куда надо без opkg и настроить клиент так, чтобы не игнорировал signer not found.

edit: похоже, все там есть в ca store. надо было только ocserv подсунуть fullchain.pem вместо cert.pem

Поскольку у клиента настроек ciphersuites нет, пошаманил с сервером и в итоге работает в 3 раза быстрее, чем AES-GCM:

connected with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(RSA-PSS-RSAE-SHA256)-(CHACHA20-POLY1305)

 

Изменено 9 мая пользователем john ibsuser
ошибку signer not found починил, однако неплохо бы иметь настройку не соединяться при невалидном сертификате

[passwd]

В 09.05.2024 в 19:18, john ibsuser сказал:

@Le ecureuil спасибо за клиента, все работает! А как добавить корневой let's encrypt куда надо без opkg и настроить клиент так, чтобы не игнорировал signer not found.

edit: похоже, все там есть в ca store. надо было только ocserv подсунуть fullchain.pem вместо cert.pem

Поскольку у клиента настроек ciphersuites нет, пошаманил с сервером и в итоге работает в 3 раза быстрее, чем AES-GCM:

connected with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(RSA-PSS-RSAE-SHA256)-(CHACHA20-POLY1305)

 

Как ты это сделал?

[Niiserg]

Кто-то пробовал уже настроить доступ с телефона извне к домашней сети через OpenConnect ? Чет у меня не получается, не знаю куда смотреть, пробую на прошивке 4.2 Alpha 12., ultra 1811:

1. серый ip покупаю виртуальный сервер, ставлю на него open connect server, покупаю дешевенький домен на год для сертификата

2. Через встроенный клиент keenetic ultra сервер видит, телефон через cisco any connect тоже подключается к серверу

3. А вот с телефона достучаться до ресурсов в локальной сети дома (NAS) не могу.

Не пойму каких настроек не хватает.

В случае с Wireguard для этого еще на самом кинетике надо было прописывать что то типа "ip route 10.66.67.0 255.255.255.0 Wireguard0 auto", а в случае OpenConnect.

[Le ecureuil]

В 05.06.2024 в 12:10, Niiserg сказал:

Кто-то пробовал уже настроить доступ с телефона извне к домашней сети через OpenConnect ? Чет у меня не получается, не знаю куда смотреть, пробую на прошивке 4.2 Alpha 12., ultra 1811:

1. серый ip покупаю виртуальный сервер, ставлю на него open connect server, покупаю дешевенький домен на год для сертификата

2. Через встроенный клиент keenetic ultra сервер видит, телефон через cisco any connect тоже подключается к серверу

3. А вот с телефона достучаться до ресурсов в локальной сети дома (NAS) не могу.

Не пойму каких настроек не хватает.

В случае с Wireguard для этого еще на самом кинетике надо было прописывать что то типа "ip route 10.66.67.0 255.255.255.0 Wireguard0 auto", а в случае OpenConnect.

А почему сразу не поднять OpenConnect-сервеп на кинетике, и не ходить сразу в него? Если адреса серые, то через облачный режим KeenDNS.

[Niiserg]

В 06.06.2024 в 13:59, Le ecureuil сказал:

А почему сразу не поднять OpenConnect-сервеп на кинетике, и не ходить сразу в него? Если адреса серые, то через облачный режим KeenDNS.

А че-то не работает через KeenDNS . Включил на Ultra openconnect server, стандартные настройки, ничего не менял.

На телефоне пытаюсь подключиться через AnyConnect VPN даже не доходит до окна с вводом логина и пароля, вываливается "Не удалось установить подключение"

При этом если разворачиваю SSTP сервер, то через KeenDNS с мобильного без проблем подключаюсь.

[mega1volt]

В отличие от SSTP здесь надо на телефоне указывать домен KeenDNS 4-го уровня. На второй странице обсуждения есть как его увидеть через WebCli.

[Niiserg]

20 минут назад, mega1volt сказал:

В отличие от SSTP здесь надо на телефоне указывать домен KeenDNS 4-го уровня. На второй странице обсуждения есть как его увидеть через WebCli.

Оно, заработало, спасибо

[john ibsuser]

On 5/28/2024 at 8:01 PM, passwd said:

Как ты это сделал?

В ocserv.conf: 

tls-priorities = "LEGACY:-AES-256-GCM:-AES-128-GCM:+CHACHA20-POLY1305:%SERVER_PRECEDENCE:%COMPAT:-VERS-SSL3.0:-VERS-TLS1.0:-VERS-TLS1.1"

 

[schr1ger]

Подскажите пожалуйста. Как после поднятия соединения через entware отправить весь трафик через поднятое соединение? Что бы все клиенты роутера, ходили в интернет через это соединение.