Dr.ZuLuS Posted April 13, 2024 Posted April 13, 2024 (edited) 9 минут назад, Le ecureuil сказал: Попробуйте с interface OpenConnect0 debug снять self-test. А подскажите полный список команд для коннекта клиента openconnect к серверу. Сделал openconnect upstream ip port openconnect authenticate identy username openconnect authenticate password password Интерфейс поднимается, но Коннект Стейт down. interface Openconnect1 up делал Пробовал прописать ip для интерфейса, это тоже не помогло. Edited April 13, 2024 by Dr.ZuLuS Quote
snark Posted April 13, 2024 Posted April 13, 2024 5 часов назад, Le ecureuil сказал: Попробуйте с interface OpenConnect0 debug снять self-test. Именно так и сделал, self в скрытом сообщении Quote
keenet07 Posted April 13, 2024 Posted April 13, 2024 4.2 Alpha 4 В веб-интерфейсе ещё ничего не присутствует? Ни сервер, ни клиент? Quote
Le ecureuil Posted April 14, 2024 Posted April 14, 2024 В 13.04.2024 в 12:56, Dr.ZuLuS сказал: А подскажите полный список команд для коннекта клиента openconnect к серверу. Сделал openconnect upstream ip port openconnect authenticate identy username openconnect authenticate password password Интерфейс поднимается, но Коннект Стейт down. interface Openconnect1 up делал Пробовал прописать ip для интерфейса, это тоже не помогло. Вам все то же самое - включить debug и снимать логи. Quote
Le ecureuil Posted April 14, 2024 Posted April 14, 2024 В 13.04.2024 в 19:40, keenet07 сказал: 4.2 Alpha 4 В веб-интерфейсе ещё ничего не присутствует? Ни сервер, ни клиент? Пока еще нет. Quote
Le ecureuil Posted April 14, 2024 Posted April 14, 2024 @snark в self-test не включен debug на OpenConnect0. Quote
snark Posted April 14, 2024 Posted April 14, 2024 37 минут назад, Le ecureuil сказал: @snark в self-test не включен debug на OpenConnect0. Ещё раз выгрузил Quote
Le ecureuil Posted April 15, 2024 Posted April 15, 2024 И правда не работал нормально syslog, поправил вывод. Quote
Le ecureuil Posted April 15, 2024 Posted April 15, 2024 14 часа назад, snark сказал: Ещё раз выгрузил Ошибка выглядит так: I] Apr 15 10:47:06 ndm: Network::Interface::Ip: "OpenConnect0": IP address cleared. [I] Apr 15 10:47:09 openconnect: POST https://*.biz/ [I] Apr 15 10:47:09 openconnect: Attempting to connect to server *:443 [I] Apr 15 10:47:09 openconnect: Connected to *:443 [I] Apr 15 10:47:09 openconnect: SSL negotiation with *.biz [I] Apr 15 10:47:09 openconnect: Certificate from VPN server "*.biz" failed verification. Reason: signer not found [I] Apr 15 10:47:09 openconnect: Connected to HTTPS on *.biz with ciphersuite (TLS1.3)-(ECDHE-X25519)-(ECDSA-SECP256R1-SHA256)-(AES-128-GCM) [I] Apr 15 10:47:09 openconnect: Got HTTP response: HTTP/1.1 405 Not Allowed [I] Apr 15 10:47:09 openconnect: Server: nginx/1.18.0 (Ubuntu) Failed to complete authentication [I] Apr 15 10:47:09 openconnect: Date: Mon, 15 Apr 2024 08:47:09 GMT [I] Apr 15 10:47:09 openconnect: Content-Type: text/html [I] Apr 15 10:47:09 openconnect: Content-Length: 166 [I] Apr 15 10:47:09 openconnect: Connection: keep-alive [I] Apr 15 10:47:09 openconnect: HTTP body length: (166) [I] Apr 15 10:47:09 openconnect: Unexpected 405 result from server [E] Apr 15 10:47:09 ndm: Service: "OpenConnect0": unexpectedly stopped. Вам нужно разобраться с сервером, думаю вы даже через curl сможете сами увидеть проблему. Quote
snark Posted April 15, 2024 Posted April 15, 2024 (edited) 1 час назад, Le ecureuil сказал: Ошибка выглядит так: Можно ли в текущей реализации на кинетике приспособить "--servercert pin"? И на всякий случай уточню, у меня сервер не на 443 порту. Если нужно, могу дать креды для тестов Клиент cisco и Clavister OneConnect (https://apps.apple.com/us/app/clavister-oneconnect/id1565970099), к нему вполне бодро подключаются. Консольный openconnect на маке тоже Edited April 15, 2024 by snark Quote
Le ecureuil Posted April 15, 2024 Posted April 15, 2024 46 минут назад, snark сказал: Можно ли в текущей реализации на кинетике приспособить "--servercert pin"? И на всякий случай уточню, у меня сервер не на 443 порту. Если нужно, могу дать креды для тестов Клиент cisco и Clavister OneConnect (https://apps.apple.com/us/app/clavister-oneconnect/id1565970099), к нему вполне бодро подключаются. Консольный openconnect на маке тоже Порт можно отдельно задать (в cli через пробел), а неудачная верификация сертификата все равно не является фатальной - ровно как и в SSTP. Quote
snark Posted April 15, 2024 Posted April 15, 2024 (edited) 1 час назад, Le ecureuil сказал: Порт можно отдельно задать (в cli через пробел), а неудачная верификация сертификата все равно не является фатальной - ровно как и в SSTP. Только что подключился к этому серверу, консольным клиентом из ubuntы > openconnect bla-bla-bla.com:YYYY POST https://bla-bla-bla.com:YYYY/ Attempting to connect to server xx.xx.xx.xx:YYYY Connected to xx.xx.xx.xx:YYYY SSL negotiation with bla-bla-bla.com Server certificate verify failed: signer not found Connected to HTTPS on bla-bla-bla.com with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP256R1-SHA256)-(AES-256-GCM) Got HTTP response: HTTP/1.1 200 OK Set-Cookie: webvpncontext=; expires=Thu, 01 Jan 1970 22:00:00 GMT; path=/; Secure; HttpOnly Content-Type: text/xml Content-Length: 306 X-Transcend-Version: 1 HTTP body length: (306) XML POST enabled Please enter your username. Username:zzzzzzz POST https://bla-bla-bla.com:YYYY/auth Got HTTP response: HTTP/1.1 200 OK Set-Cookie: webvpncontext=AHw/12xmowvEwyiaJZTWeJ/iSlclnlyBfrralZ6H+CA=; Max-Age=3600; Secure; HttpOnly Content-Type: text/xml Content-Length: 310 X-Transcend-Version: 1 HTTP body length: (310) Please enter your password. Password: POST https://bla-bla-bla.com:YYYY/auth Got HTTP response: HTTP/1.1 200 OK Connection: Keep-Alive Content-Type: text/xml Content-Length: 189 X-Transcend-Version: 1 Set-Cookie: webvpncontext=AHw/12xmowvEwyiaJZTWeJ/iSlclnlyBfrralZ6H+CA=; Secure; HttpOnly Set-Cookie: webvpn=<elided>; Secure; HttpOnly Set-Cookie: webvpnc=; expires=Thu, 01 Jan 1970 22:00:00 GMT; path=/; Secure; HttpOnly Set-Cookie: webvpnc=bu:/&p:t&iu:1/&sh:ECC9876E61345F84B9032FB3B726B14831409C6E; path=/; Secure; HttpOnly HTTP body length: (189) TCP_INFO rcv mss 1419, snd mss 1448, adv mss 65483, pmtu 65535 Got CONNECT response: HTTP/1.1 200 CONNECTED X-CSTP-Version: 1 X-CSTP-Server-Name: OpenConnect VPN Server X-CSTP-Hostname: LLLLLLLL X-CSTP-DPD: 90 X-CSTP-Default-Domain: bla-bla-bla.com X-CSTP-Address: 192.168.99.228 X-CSTP-Netmask: 255.255.255.0 X-CSTP-DNS: 8.8.8.8 X-CSTP-Tunnel-All-DNS: false X-CSTP-Client-Bypass-Protocol: false X-CSTP-Split-Exclude: 192.168.0.0/255.255.0.0 X-CSTP-Split-Exclude: 10.0.0.0/255.0.0.0 X-CSTP-Split-Exclude: 172.16.0.0/255.240.0.0 X-CSTP-Split-Exclude: 127.0.0.0/255.0.0.0 X-CSTP-Keepalive: 32400 X-CSTP-Idle-Timeout: none X-CSTP-Smartcard-Removal-Disconnect: true X-CSTP-Rekey-Time: 172795 X-CSTP-Rekey-Method: ssl X-CSTP-Session-Timeout: 0 X-CSTP-Session-Timeout-Remaining: 0 X-CSTP-Disconnected-Timeout: none X-CSTP-Keep: true X-CSTP-TCP-Keepalive: true X-CSTP-License: accept X-DTLS-DPD: 90 X-DTLS-Port: YYYY X-DTLS-Rekey-Time: 172805 X-DTLS-Rekey-Method: ssl X-DTLS-Keepalive: 32400 X-DTLS-App-ID: 7277868a3088da5619880561d8f1bd477017139e137c48cfbc5ba8d2159a80fd X-DTLS-CipherSuite: PSK-NEGOTIATE X-CSTP-Base-MTU: 1500 X-CSTP-MTU: 1434 CSTP connected. DPD 90, Keepalive 32400 UDP SO_SNDBUF: 28680 DTLS initialised. DPD 90, Keepalive 32400 Edited April 15, 2024 by snark Quote
snark Posted April 15, 2024 Posted April 15, 2024 3 часа назад, Le ecureuil сказал: Ошибка выглядит так: [I] Apr 15 10:47:09 openconnect: Attempting to connect to server *:443 Вам нужно разобраться с сервером, думаю вы даже через curl сможете сами увидеть проблему. Когда я говорил что у меня сервер на другом порту, а не 443, я имел ввиду вот это. У вас проверка по 443 Quote
Le ecureuil Posted April 15, 2024 Posted April 15, 2024 17 минут назад, snark сказал: Когда я говорил что у меня сервер на другом порту, а не 443, я имел ввиду вот это. У вас проверка по 443 Все, понял. Работа с портом поправлена, будет в следующем 4.2. 1 Quote
Le ecureuil Posted April 18, 2024 Posted April 18, 2024 Реализован camouflage-режим. На клиенте достаточно в upstream просто указать URL. На сервере команда oc-server camouflage его включает, ключ генерируется псевдослучайно и его можно посмотреть в поле secret вывода команды show oc-server. 4 5 Quote
Le ecureuil Posted April 19, 2024 Posted April 19, 2024 В SSTP-сервере и клиенте тоже реализовано 4 Quote
Le ecureuil Posted April 19, 2024 Posted April 19, 2024 В 13.04.2024 в 11:21, snark сказал: Кинетик OpenConnect сервер - помойму проблема с nat, клиенты подключаются, но выхода в интернет у них нет Поправлено. Quote
snark Posted April 20, 2024 Posted April 20, 2024 (edited) Апр 20 20:35:59 ndm OpenConnect::Interface: "OpenConnect0": system failed [0xcffd0291]. Апр 20 20:35:59 openconnect Failed to open /dev/vhost-net: No such file or directory Вот такая ошибка на 4.2 Alpha 5 А ещё в случае разрыва со стороны сервера, не хочет переподключаться Апр 20 20:49:22 openconnect sleep 10s, remaining timeout 300s Апр 20 20:49:33 openconnect SSL negotiation with xxxxxxxxxx Апр 20 20:49:33 openconnect Connected to HTTPS on xxxxxxxxxx with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP256R1-SHA256)-(AES-256-GCM) Апр 20 20:49:33 openconnect Got inappropriate HTTP CONNECT response: HTTP/1.1 405 Method Not Allowed Апр 20 20:49:33 openconnect sleep 20s, remaining timeout 290s Апр 20 20:49:53 openconnect SSL negotiation with xxxxxxxxxx Апр 20 20:49:53 openconnect Connected to HTTPS on xxxxxxxxxx with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP256R1-SHA256)-(AES-256-GCM) Апр 20 20:49:53 openconnect Got inappropriate HTTP CONNECT response: HTTP/1.1 405 Method Not Allowed Апр 20 20:49:53 openconnect sleep 30s, remaining timeout 270s Апр 20 20:50:23 openconnect SSL negotiation with xxxxxxxxxx Апр 20 20:50:24 openconnect Connected to HTTPS on xxxxxxxxxx with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP256R1-SHA256)-(AES-256-GCM) Апр 20 20:50:24 openconnect Got inappropriate HTTP CONNECT response: HTTP/1.1 405 Method Not Allowed Апр 20 20:50:24 openconnect sleep 40s, remaining timeout 240s Edited April 20, 2024 by snark Quote
Le ecureuil Posted April 20, 2024 Posted April 20, 2024 1 час назад, snark сказал: Апр 20 20:35:59 ndm OpenConnect::Interface: "OpenConnect0": system failed [0xcffd0291]. Апр 20 20:35:59 openconnect Failed to open /dev/vhost-net: No such file or directory Вот такая ошибка на 4.2 Alpha 5 А ещё в случае разрыва со стороны сервера, не хочет переподключаться Апр 20 20:49:22 openconnect sleep 10s, remaining timeout 300s Апр 20 20:49:33 openconnect SSL negotiation with xxxxxxxxxx Апр 20 20:49:33 openconnect Connected to HTTPS on xxxxxxxxxx with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP256R1-SHA256)-(AES-256-GCM) Апр 20 20:49:33 openconnect Got inappropriate HTTP CONNECT response: HTTP/1.1 405 Method Not Allowed Апр 20 20:49:33 openconnect sleep 20s, remaining timeout 290s Апр 20 20:49:53 openconnect SSL negotiation with xxxxxxxxxx Апр 20 20:49:53 openconnect Connected to HTTPS on xxxxxxxxxx with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP256R1-SHA256)-(AES-256-GCM) Апр 20 20:49:53 openconnect Got inappropriate HTTP CONNECT response: HTTP/1.1 405 Method Not Allowed Апр 20 20:49:53 openconnect sleep 30s, remaining timeout 270s Апр 20 20:50:23 openconnect SSL negotiation with xxxxxxxxxx Апр 20 20:50:24 openconnect Connected to HTTPS on xxxxxxxxxx with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP256R1-SHA256)-(AES-256-GCM) Апр 20 20:50:24 openconnect Got inappropriate HTTP CONNECT response: HTTP/1.1 405 Method Not Allowed Апр 20 20:50:24 openconnect sleep 40s, remaining timeout 240s Нужен лог с interface OpenConnect0 debug Quote
snark Posted April 21, 2024 Posted April 21, 2024 12 часа назад, Le ecureuil сказал: Нужен лог с interface OpenConnect0 debug В скрытом сообщении Quote
Le ecureuil Posted April 22, 2024 Posted April 22, 2024 В 21.04.2024 в 10:45, snark сказал: В скрытом сообщении Поправлено. Quote
john ibsuser Posted May 9, 2024 Posted May 9, 2024 (edited) @Le ecureuil спасибо за клиента, все работает! А как добавить корневой let's encrypt куда надо без opkg и настроить клиент так, чтобы не игнорировал signer not found. edit: похоже, все там есть в ca store. надо было только ocserv подсунуть fullchain.pem вместо cert.pem Поскольку у клиента настроек ciphersuites нет, пошаманил с сервером и в итоге работает в 3 раза быстрее, чем AES-GCM: connected with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(RSA-PSS-RSAE-SHA256)-(CHACHA20-POLY1305) Edited May 9, 2024 by john ibsuser ошибку signer not found починил, однако неплохо бы иметь настройку не соединяться при невалидном сертификате Quote
passwd Posted May 28, 2024 Posted May 28, 2024 В 09.05.2024 в 19:18, john ibsuser сказал: @Le ecureuil спасибо за клиента, все работает! А как добавить корневой let's encrypt куда надо без opkg и настроить клиент так, чтобы не игнорировал signer not found. edit: похоже, все там есть в ca store. надо было только ocserv подсунуть fullchain.pem вместо cert.pem Поскольку у клиента настроек ciphersuites нет, пошаманил с сервером и в итоге работает в 3 раза быстрее, чем AES-GCM: connected with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(RSA-PSS-RSAE-SHA256)-(CHACHA20-POLY1305) Как ты это сделал? Quote
Niiserg Posted June 5, 2024 Posted June 5, 2024 Кто-то пробовал уже настроить доступ с телефона извне к домашней сети через OpenConnect ? Чет у меня не получается, не знаю куда смотреть, пробую на прошивке 4.2 Alpha 12., ultra 1811: 1. серый ip покупаю виртуальный сервер, ставлю на него open connect server, покупаю дешевенький домен на год для сертификата 2. Через встроенный клиент keenetic ultra сервер видит, телефон через cisco any connect тоже подключается к серверу 3. А вот с телефона достучаться до ресурсов в локальной сети дома (NAS) не могу. Не пойму каких настроек не хватает. В случае с Wireguard для этого еще на самом кинетике надо было прописывать что то типа "ip route 10.66.67.0 255.255.255.0 Wireguard0 auto", а в случае OpenConnect. Quote
Le ecureuil Posted June 6, 2024 Posted June 6, 2024 В 05.06.2024 в 12:10, Niiserg сказал: Кто-то пробовал уже настроить доступ с телефона извне к домашней сети через OpenConnect ? Чет у меня не получается, не знаю куда смотреть, пробую на прошивке 4.2 Alpha 12., ultra 1811: 1. серый ip покупаю виртуальный сервер, ставлю на него open connect server, покупаю дешевенький домен на год для сертификата 2. Через встроенный клиент keenetic ultra сервер видит, телефон через cisco any connect тоже подключается к серверу 3. А вот с телефона достучаться до ресурсов в локальной сети дома (NAS) не могу. Не пойму каких настроек не хватает. В случае с Wireguard для этого еще на самом кинетике надо было прописывать что то типа "ip route 10.66.67.0 255.255.255.0 Wireguard0 auto", а в случае OpenConnect. А почему сразу не поднять OpenConnect-сервеп на кинетике, и не ходить сразу в него? Если адреса серые, то через облачный режим KeenDNS. Quote
Niiserg Posted June 7, 2024 Posted June 7, 2024 В 06.06.2024 в 13:59, Le ecureuil сказал: А почему сразу не поднять OpenConnect-сервеп на кинетике, и не ходить сразу в него? Если адреса серые, то через облачный режим KeenDNS. А че-то не работает через KeenDNS . Включил на Ultra openconnect server, стандартные настройки, ничего не менял. На телефоне пытаюсь подключиться через AnyConnect VPN даже не доходит до окна с вводом логина и пароля, вываливается "Не удалось установить подключение" При этом если разворачиваю SSTP сервер, то через KeenDNS с мобильного без проблем подключаюсь. Quote
mega1volt Posted June 7, 2024 Posted June 7, 2024 В отличие от SSTP здесь надо на телефоне указывать домен KeenDNS 4-го уровня. На второй странице обсуждения есть как его увидеть через WebCli. 1 Quote
Niiserg Posted June 7, 2024 Posted June 7, 2024 20 минут назад, mega1volt сказал: В отличие от SSTP здесь надо на телефоне указывать домен KeenDNS 4-го уровня. На второй странице обсуждения есть как его увидеть через WebCli. Оно, заработало, спасибо Quote
john ibsuser Posted June 14, 2024 Posted June 14, 2024 On 5/28/2024 at 8:01 PM, passwd said: Как ты это сделал? В ocserv.conf: tls-priorities = "LEGACY:-AES-256-GCM:-AES-128-GCM:+CHACHA20-POLY1305:%SERVER_PRECEDENCE:%COMPAT:-VERS-SSL3.0:-VERS-TLS1.0:-VERS-TLS1.1" Quote
schr1ger Posted July 4, 2024 Posted July 4, 2024 Подскажите пожалуйста. Как после поднятия соединения через entware отправить весь трафик через поднятое соединение? Что бы все клиенты роутера, ходили в интернет через это соединение. Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.