openconnect

[Юрий Иванов]

В 08.07.2024 в 16:21, AndreySH сказал:

приветствую. помогите с файрволом!

Стоит OpenConnect сервер на OpenWRT. когда клиент коннектится ,пинги из локальной сети на него идут(в ГУИ разрешил} а вот от клиента даже на сам роутер не идут. Как настроить файрвол? точнее где? интерфейса не появляется в ГУИ. По команде route в консоли ssh есть интерфейс (oc0), а вот через cli Кенетика show interface его нет и не знаю куда access list крепить.

 

 

 

 

Здравствуйте. Если не секрет, на что установлен OpenWRT? Какие скорости при этом выдает openconnect? На кn2710 сервер, клиент на iPhone. Пиковая скорость 160мбит. Ищу вариант железа с более высокой скоростью. Может mt7988a? 

[BNKT0P]

В 04.07.2024 в 16:25, Konstantin2 сказал:

День добрый.
Не вижу openconnect в опциях Другие подключения и нет плитки сервера в Приложениях.
Как я понимаю должно быть?

UPDATE. Все понял, поставил новый интерфейс (бета), теперь есть.

Update 2. Скорость, конечно, не шоколад. Giga (KN-1010), 10 мбит, загрузка 60% CPU, одно ядро как понял

Настроил Openconnect клиента на роутере Giga KN-1011 и завернул беспроводной трафик через vpn подключение. Увы, но скорость ниже плинтуса, и на разных клиентских устройствах одинаковая - не более 10 Мбит/сек download и upload, загрузка CPU роутера скачет от 30 до 60% во время тестирования.

Если просто подключаться к ocserv напрямую клиентом с ноута или смартфона, то скорость не менее 100 Мбит/сек в обе стороны.

Кто знает куда копать, и что делать? 

Прошивка установлена последняя - 4.2 Beta 2.

P.S.
1. Если настроить Wireguard клиента на роутере Giga KN-1011 и завернуть беспроводной трафик через это подключение, то проблем со скоростью на беспроводных клиентах и утилизацией CPU роутера не наблюдается, всё супер.
2. Пробовал выключать и включать аппаратное ускорение (с перезагрузкой роутера) - никакого видимого эффекта.

Edited August 28, 2024 by BNKT0P
добавление информации

[fakir81]

Настроил ту же конфигурацию между двумя OpenWRT все отлично работает. При поднятии на keenetic OpenVPN с той же конфигурацией сети, тоже все прекрасно открывается. Подозреваю проблему именно в сервере Openconnect Keenetic. Но вот где именно понять не могу.

[slydiman]

20 часов назад, BNKT0P сказал:

Настроил Openconnect клиента на роутере Giga KN-1011 и завернул беспроводной трафик через vpn подключение. Увы, но скорость ниже плинтуса, и на разных клиентских устройствах одинаковая - не более 10 Мбит/сек download и upload, загрузка CPU роутера скачет от 30 до 60% во время тестирования.

Подтверждаю. KN-3810 (Keenetic Hopper). Скорость OpenConnect клиента не более 10 Мбит/с в обе стороны. Если поднять OpenConnect клиент на Windows машине через тот же роутер до того же OpenConnect сервера, то скорость 94 Мбит/с. Измерял speedtest до того же сервера с разницей в минуту. Скорость OpenConnect клиента специально ограничена? Не похоже на ограничения производительности самого роутера. Про OpenConnect server пока речи нет.

[Grenko8K]

1 hour ago, slydiman said:

Подтверждаю. KN-3810 (Keenetic Hopper). Скорость OpenConnect клиента не более 10 Мбит/с в обе стороны. Если поднять OpenConnect клиент на Windows машине через тот же роутер до того же OpenConnect сервера, то скорость 94 Мбит/с. Измерял speedtest до того же сервера с разницей в минуту. Скорость OpenConnect клиента специально ограничена? Не похоже на ограничения производительности самого роутера. Про OpenConnect server пока речи нет.

Точно такой же роутер (KN-3810). Все 1 в 1 как у тебя. Скорость 10-20 мбит/c. 

[john ibsuser]

На древней  Omni (KN-1410) тоже 20мбит, но с такой настройкой сервера

  

On 6/15/2024 at 1:49 AM, john ibsuser said:

В ocserv.conf: 

tls-priorities = "LEGACY:-AES-256-GCM:-AES-128-GCM:+CHACHA20-POLY1305:%SERVER_PRECEDENCE:%COMPAT:-VERS-SSL3.0:-VERS-TLS1.0:-VERS-TLS1.1"

 

 

keenetic hopper se протестирую в ближайшие пару недель

[john ibsuser]

В общем не удержался, перенес настройки со старого роутера уже на этой неделе ). 100Мбит на OpenConnect выдает при загрузке проца около 60%. 

[slydiman]

Для чистоты эксперимента на сервере выставил такой же tls-priorities - максимум 20Мбит/с при тех же 60% загрузки CPU на KN-3810 (Keenetic Hopper).
Осталось понять почему у кого-то выдаёт 100Мбит, а у кого-то 20Мбит/с.
Но если поднять OpenConnect клиент на Windows до того же OpenConnect сервера через тот же канал, то скорость выше 90МБит/с.
На всякий случай уточню - UDP конечно же выключено.

[john ibsuser]

А в логе подключается по какому cipher? И у меня hopper SE, UDP включено, без него пинг неюзабельный

[slydiman]

Ну если UDP включен, то и обсуждать нечего, всё ясно.
UDP - это палево и как долго это проработает - только вопрос времени.

[john ibsuser]

Да тут все палево и вопрос времени, зафингерпринтить этот GnuTLS при использовании только по TCP тоже не составит проблем

[Crazymon]

Такое ощущение, что уже определяют и режут скорость. Вчера днем настроил сервер с камуфляжем, была скорость 50Mbs к вечеру упала до 1Mbs, а то и почти до нуля в некоторые моменты времени. Также было и с замедлением ethervpn. 

Сейчас днем скорость скачет 2-5Mbs, но к вечеру обычно режут и чувствую будет 100kbs.

UDP отключен.

Кто-то сталкивался?

Update: с клиентом Cisco Anyconnect проблемы нет, можно им пользоваться.

Edited September 4, 2024 by Crazymon

[Le ecureuil]

Померял скорости, плюс минус совпадают с OpenVPN и SSTP. Значит все работает похоже.

В следующих версиях будет вот такой дефолт для сервера:

tls-priorities="NORMAL:-CIPHER-ALL:+CHACHA20-POLY1305:+AES-128-GCM:%SERVER_PRECEDENCE"

[slydiman]

1 час назад, Le ecureuil сказал:

В следующих версиях будет вот такой дефолт для сервера:

tls-priorities="NORMAL:-CIPHER-ALL:+CHACHA20-POLY1305:+AES-128-GCM:%SERVER_PRECEDENCE"

При "-AES-256-GCM:-AES-128-GCM" на сервере не коннектится мобильная (Android) и яблочная версия Cisco AnyConnect.
При этом Windows версия Cisco AnyConnect коннектится без проблем. "-CIPHER-ALL" не проверял, но стоит проверить.

[john ibsuser]

1 hour ago, slydiman said:

При "-AES-256-GCM:-AES-128-GCM" на сервере не коннектится мобильная (Android) и яблочная версия Cisco AnyConnect.
При этом Windows версия Cisco AnyConnect коннектится без проблем. "-CIPHER-ALL" не проверял, но стоит проверить.

А там в новом дефолте +AES-128-GCM, а не минус ).

[Le ecureuil]

19 часов назад, slydiman сказал:

При "-AES-256-GCM:-AES-128-GCM" на сервере не коннектится мобильная (Android) и яблочная версия Cisco AnyConnect.
При этом Windows версия Cisco AnyConnect коннектится без проблем. "-CIPHER-ALL" не проверял, но стоит проверить.

iOS версию проверил, все работает.

[Vurdalaque K]

openconnect: Failed to open /dev/vhost-net: No such file or directory

Доброго всем времени. Последняя альфа, что-то не выходит каменный цветок. При этом any-connect что на винде, что на андроиде прям без проблем подключается. Куда копать, куда бежать?

(попытаюсь приложить self-test)

[Le ecureuil]

В 09.09.2024 в 15:15, Vurdalaque K сказал:

openconnect: Failed to open /dev/vhost-net: No such file or directory

Доброго всем времени. Последняя альфа, что-то не выходит каменный цветок. При этом any-connect что на винде, что на андроиде прям без проблем подключается. Куда копать, куда бежать?

(попытаюсь приложить self-test)

Так эта ошибка ничего не значит по сути, у вас все работает:

Цитата

[I] Sep  8 14:42:16 openconnect: Got DTLS DPD response 
[I] Sep  8 14:43:32 openconnect: Send CSTP DPD 
[I] Sep  8 14:43:32 openconnect: Got CSTP DPD response 
[I] Sep  8 14:43:46 openconnect: Send DTLS DPD 
[I] Sep  8 14:43:46 openconnect: Got DTLS DPD response 
[I] Sep  8 14:45:02 openconnect: Send CSTP DPD 
[I] Sep  8 14:45:02 openconnect: Got CSTP DPD response 
[I] Sep  8 14:45:16 openconnect: Send DTLS DPD 
[I] Sep  8 14:45:16 openconnect: Got DTLS DPD response 

Канал стоит, keepalive ходят. Что еще нужно?

[Pacha]

On 9/5/2024 at 5:26 PM, Le ecureuil said:

Померял скорости, плюс минус совпадают с OpenVPN и SSTP. Значит все работает похоже.

В следующих версиях будет вот такой дефолт для сервера:

tls-priorities="NORMAL:-CIPHER-ALL:+CHACHA20-POLY1305:+AES-128-GCM:%SERVER_PRECEDENCE"

Прописал в конфиге на стороне сервера. Это помогло решить проблемы со скоростью. Спасибо. Но к сожалению, на однопроцессорных Keenetics это не помогает. ЦПУ улетает в 100%. 

AnyConnect на iPhone подключается без проблем. 

[Le ecureuil]

44 минуты назад, Pacha сказал:

Прописал в конфиге на стороне сервера. Это помогло решить проблемы со скоростью. Спасибо. Но к сожалению, на однопроцессорных Keenetics это не помогает. ЦПУ улетает в 100%. 

AnyConnect на iPhone подключается без проблем. 

ЦПУ и будет улетать, просто скорость будет повыше. Версия с этим фиксом пока еще не выпущена, будет в 4.2.b4.

[simple]

В 31.08.2024 в 22:37, slydiman сказал:

Для чистоты эксперимента на сервере выставил такой же tls-priorities - максимум 20Мбит/с при тех же 60% загрузки CPU на KN-3810 (Keenetic Hopper).
Осталось понять почему у кого-то выдаёт 100Мбит, а у кого-то 20Мбит/с.
Но если поднять OpenConnect клиент на Windows до того же OpenConnect сервера через тот же канал, то скорость выше 90МБит/с.
На всякий случай уточню - UDP конечно же выключено.

Подтверждаю:

Hopper (KN-3810) прошивка 4.2 Beta 3, гигабитный интернет (реальная скорость около 800 мегабит\сек), гигабитный OpenConnect Server(поднял на отдельной машине), скорость если использовать OpenConnect GUI - 700 мегабит\сек., но если клиент - Hopper, то те же 10-18 мегабит\сек.

Такое же поведение и при типе подключения OpenVpn.. Через софтовый клиент - 600-700 мегабит\сек, но если клиент - Hopper, то 10-15 мегабит\сек

[Denis P]

22 минуты назад, simple сказал:

Осталось понять почему у кого-то выдаёт 100Мбит, а у кого-то 20Мбит/с.

У тех, у кого выше 100 мбит openconnect выдает, устройства на arm. Всё просто, никакого секрета.

Edited September 13, 2024 by Denis P

[simple]

57 минут назад, Denis P сказал:

У тех, у кого выше 100 мбит openconnect выдает, устройства на arm. Всё просто, никакого секрета.

Keenetic Hopper SE (KN-3812) должен показать хорошую производительность или нужно смотреть модели выше классом?

[Vurdalaque K]

22 часа назад, Le ecureuil сказал:

Так эта ошибка ничего не значит по сути, у вас все работает:

Канал стоит, keepalive ходят. Что еще нужно?

Вот только в статистике соединения "Отправлено" было 0 байт. Надо было во вкладке "Приоритеты подключения" поставить его выше основного ISP. Извиняюсь, был не прав. Теперь всё работает, спасибо.

[Le ecureuil]

16 часов назад, simple сказал:

Keenetic Hopper SE (KN-3812) должен показать хорошую производительность или нужно смотреть модели выше классом?

Да, это arm.

[slydiman]

Цитата

Да, это arm.

Вопрос был про производительность. Её кто-то мерял?
Да, памяти побольше и побыстрее, 2 ядра ARM Cortex-A53 1300MHz вместо 2 ядер MIPS 1004Kc 900MHz. 
Основное отличие MT7981B - там 2.5Gbps, что нам никак не поможет.
Сейчас Hopper (KN-3810) выдаёт 20Мбит, где теоретически может быть 700.
Подозреваю что Hopper SE (KN-3812) выдаст к примеру 30МБит. Принципиально это ничего не меняет.
Есть какие-то результаты реальных тестов?

[Le ecureuil]

1 час назад, slydiman сказал:

Вопрос был про производительность. Её кто-то мерял?
Да, памяти побольше и побыстрее, 2 ядра ARM Cortex-A53 1300MHz вместо 2 ядер MIPS 1004Kc 900MHz. 
Основное отличие MT7981B - там 2.5Gbps, что нам никак не поможет.
Сейчас Hopper (KN-3810) выдаёт 20Мбит, где теоретически может быть 700.
Подозреваю что Hopper SE (KN-3812) выдаст к примеру 30МБит. Принципиально это ничего не меняет.
Есть какие-то результаты реальных тестов?

В понедельник локально померяю и напишу.

[Le ecureuil]

1 час назад, slydiman сказал:

Вопрос был про производительность. Её кто-то мерял?
Да, памяти побольше и побыстрее, 2 ядра ARM Cortex-A53 1300MHz вместо 2 ядер MIPS 1004Kc 900MHz. 
Основное отличие MT7981B - там 2.5Gbps, что нам никак не поможет.
Сейчас Hopper (KN-3810) выдаёт 20Мбит, где теоретически может быть 700.
Подозреваю что Hopper SE (KN-3812) выдаст к примеру 30МБит. Принципиально это ничего не меняет.
Есть какие-то результаты реальных тестов?

Теоретически никак не может быть 700 просто из-за устройства протокола. Думаю, около 100 - реальный предел на ARM.

[john ibsuser]

On 8/31/2024 at 7:16 PM, john ibsuser said:

100Мбит на OpenConnect выдает при загрузке проца около 60%. 

Это se (3812)

[Denis P]

3 часа назад, slydiman сказал:

Вопрос был про производительность. Её кто-то мерял?
Да, памяти побольше и побыстрее, 2 ядра ARM Cortex-A53 1300MHz вместо 2 ядер MIPS 1004Kc 900MHz. 
Основное отличие MT7981B - там 2.5Gbps, что нам никак не поможет.
Сейчас Hopper (KN-3810) выдаёт 20Мбит, где теоретически может быть 700.
Подозреваю что Hopper SE (KN-3812) выдаст к примеру 30МБит. Принципиально это ничего не меняет.
Есть какие-то результаты реальных тестов?

на hopper SE получил ~120 при использовании CHACHA20-POLY1305