openconnect

[Le ecureuil]

Короче близко к тому, что я и ожидал.

[slydiman]

Ещё бы уточнять на счёт вкл/выкл udp, ибо это даёт разницу в разы. Интересует в первую очередь без udp.

[Denis P]

13 часа назад, slydiman сказал:

Ещё бы уточнять на счёт вкл/выкл udp, ибо это даёт разницу в разы. Интересует в первую очередь без udp.

Разницы не увидел. Как и с udp, так и без ~120

Изменено 15 сентября пользователем Denis P

[slydiman]

Так не бывает.
Заказал Hopper SE.
Через неделю напишу как оно на самом деле в сравнении со старым Hopper при прочих равных.

[Denis P]

8 минут назад, slydiman сказал:

Так не бывает

Убедитесь сами. Проверка проводилась в разных условиях и разными клиентами, с явно отключенным udp.

Клиент помещался в политику с openconnect подключением.

Изменено 15 сентября пользователем Denis P

[Le ecureuil]

В этих устройствах основные тормоза приходятся на шифрование и на userspace-обработку трафика. Потому разницу TCP/UDP заметить крайне трудно.

[Le ecureuil]

Протестировал 3911 в идеальных условиях, когда сервер - стоящий рядом комп на amd64, и вот результат:

Цитата

- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-53.99  sec   213 MBytes  33.1 Mbits/sec  480             sender
[  5]   0.00-53.99  sec  0.00 Bytes  0.00 bits/sec                  receiver
[  7]   0.00-53.99  sec   200 MBytes  31.1 Mbits/sec  514             sender
[  7]   0.00-53.99  sec  0.00 Bytes  0.00 bits/sec                  receiver
[  9]   0.00-53.99  sec   217 MBytes  33.7 Mbits/sec  466             sender
[  9]   0.00-53.99  sec  0.00 Bytes  0.00 bits/sec                  receiver
[ 11]   0.00-53.99  sec   195 MBytes  30.3 Mbits/sec  538             sender
[ 11]   0.00-53.99  sec  0.00 Bytes  0.00 bits/sec                  receiver
[ 13]   0.00-53.99  sec   212 MBytes  32.9 Mbits/sec  489             sender
[ 13]   0.00-53.99  sec  0.00 Bytes  0.00 bits/sec                  receiver
[SUM]   0.00-53.99  sec  1.01 GBytes   161 Mbits/sec  2487             sender
[SUM]   0.00-53.99  sec  0.00 Bytes  0.00 bits/sec                  receiver
iperf3: interrupt - the client has terminated
 

То есть 160 Мбит/с - вполне достижимое число. В реальных условиях 120..150 достичь, думаю, можно. Все устройства на 7981 будут также себя вести.

[Юрий Иванов]

1 час назад, Le ecureuil сказал:

В реальных условиях 120..150 достичь, думаю, можно

Сервер openconnect на kn2710. Клиент iphone.  150-160мбит при замере через speedtest.

[Neverend]

Просьба подсказать, пытаюсь подключиться к cisco vpn.

После GET https://(домен)/CACHE/sdesktop/install/binaries/sfinst Получаю ошибку 404 not found
я так понимаю это из-за настройки сервера чисто под cisco any connect
вот тут описано, что на openconnect можно навесить патч, чтобы заработало
можно ли это сделать?

https://www.mail-archive.com/openconnect-devel@lists.infradead.org/msg01105.html 

[Le ecureuil]

2 часа назад, Юрий Иванов сказал:

Сервер openconnect на kn2710. Клиент iphone.  150-160мбит при замере через speedtest.

2710 чуть быстрее (1,35 вместо 1,3 ГГц), но в целом да, вы правы.

[Le ecureuil]

2 часа назад, Neverend сказал:

Просьба подсказать, пытаюсь подключиться к cisco vpn.

После GET https://(домен)/CACHE/sdesktop/install/binaries/sfinst Получаю ошибку 404 not found
я так понимаю это из-за настройки сервера чисто под cisco any connect
вот тут описано, что на openconnect можно навесить патч, чтобы заработало
можно ли это сделать?

https://www.mail-archive.com/openconnect-devel@lists.infradead.org/msg01105.html 

Никаких патчей наложить не выйдет, потому вам наверное не сюда.

[Neverend]

58 минут назад, Le ecureuil сказал:

Никаких патчей наложить не выйдет, потому вам наверное не сюда.

А добавить cisco any connect дополнительно к openconnect?

[Le ecureuil]

18 минут назад, Neverend сказал:

А добавить cisco any connect дополнительно к openconnect?

А что это такое и чем явно отличается?

[Denis P]

9 часов назад, Le ecureuil сказал:

Никаких патчей наложить не выйдет, потому вам наверное не сюда.

можно вот такое использовать
https://www.infradead.org/openconnect/csd.html
конкретно csd-post.sh вроде как выглядит не особо сложно и довольно безопасно.

Но с другой стороны проще отключить csd для конкретной группы на сервере.

Вероятно такое надо для подключения к серверам у которых заданы жесткие критерии к хосту, правда тогда нужна возможность эту инфу менять под себя.

[Le ecureuil]

У нас в сборке нет shell и скриптов, потому это невозможно.

[Dalex]

Тестирую OpenConnect клиента на Keenetic Ultra

У меня с включенным UDP - загрузка выходит под 90мбс, а с закомментированным udp-port на сервере - ~15.

отдача правда страдает и там и там - ~25 против ~50.

Тестировал неоднократно -  и speedtest и iperf прям до VPN сервера.

Где может быть затык? Тему изучил, настройки ocserv довольно стандартные.

Изменено 18 сентября пользователем Dalex

[Denis P]

1 час назад, Dalex сказал:

Тестирую OpenConnect клиента на Keenetic Ultra

У меня с включенным UDP - загрузка выходит под 90мбс, а с закомментированным udp-port на сервере - ~15.

отдача правда страдает и там и там - ~25 против ~50.

Тестировал неоднократно -  и speedtest и iperf прям до VPN сервера.

Где может быть затык? Тему изучил, настройки ocserv довольно стандартные.

Скорость по TCP или UDP зависит от удаленности сервера и пинга + наличия или отсутствия потерь пакетов. Еще не забывайте что ocserv довольно требователен к ресурсам. Для примера, если сервером выступает кинетик на arm, то скорости выше 75 мбит у меня увидеть не получилось.

[Dalex]

1 час назад, Denis P сказал:

Скорость по TCP или UDP зависит от удаленности сервера и пинга + наличия или отсутствия потерь пакетов. Еще не забывайте что ocserv довольно требователен к ресурсам. Для примера, если сервером выступает кинетик на arm, то скорости выше 75 мбит у меня увидеть не получилось.

Да сервер - во франкфурте, но пинг 50мс и с ресурсами на нем проблем нет.

Другие реализации VPN и просто замеры скорости до сервера дают нормальные результаты близко к тарифу провайдера, а вот openconnect не хочет.

Выяснил, что клиент на кинетик тут не причем, так как  и клиенты anyconnect\openconnect gui в windows и linux выдают такие-же удручающие результаты. Буду экспериментировать уже с самим сервером.

 

P.S. Может кто-то подтвердить (можно в личку), что у вас OpenConnect сервер далеко (в другой стране) выдает нормальную скорость?

Изменено 18 сентября пользователем Dalex

[simple]

5 часов назад, Dalex сказал:

.. Может кто-то подтвердить (можно в личку), что у вас OpenConnect сервер далеко (в другой стране) выдает нормальную скорость?

Сервер в Нидерландах с гигабитным линком даёт спокойно 700 мегабит у меня с гигабитным каналом. На другой квартире интернет линк 300 мегабит, там опенконнект 220 мегабит с этого же сервера снимает. Сервер в Мск даёт скорость около 900 мегабит/ 270 мегабит соответственно 

[Pacha]

9 hours ago, Dalex said:

P.S. Может кто-то подтвердить (можно в личку), что у вас OpenConnect сервер далеко (в другой стране) выдает нормальную скорость?

Сервер - Впска в минимальной конфигурации в Германии с 1 Гбит линком
Клиент - МСК 500 Мбит/С AnyConnect на mac OS.

Скорость - 300 Мбит/с. Условия точно не идеальные, потому что мак не проводом подключен и не рядом с роутером. 

На Keenetic Viva (KN-1913) - 50 Мбит/с в пике. На однопроцессорном AIR было до 5-7 мбит/с, но проц улетал в 100%. 

[Neverend]

В 16.09.2024 в 16:13, Le ecureuil сказал:

А что это такое и чем явно отличается?

  

В 17.09.2024 в 14:27, Le ecureuil сказал:

У нас в сборке нет shell и скриптов, потому это невозможно.

Да, openconnect умеет подключаться к Cisco VPN, но для этого ему нужен скрипт CSD.

Сisco any connect это конкретно утилита для подключения к cisco vpn.

https://www.cisco.com/c/en/us/td/docs/security/vpn_client/anyconnect/anyconnect43/administration/guide/b_AnyConnect_Administrator_Guide_4-3/customize-localize-anyconnect.html#id_27298

[Dalex]

16 часов назад, simple сказал:

Сервер в Нидерландах с гигабитным линком даёт спокойно 700 мегабит

Подскажите, какая версия ocserv на нем, и если самосборная, собирали ли со специфическими ключами?

[Dalex]

11 час назад, Pacha сказал:

Скорость - 300 Мбит/с

Подскажите, какая версия ocserv на нем, и если самосборная, собирали ли со специфическими ключами?

[simple]

9 часов назад, Dalex сказал:

Подскажите, какая версия ocserv на нем, и если самосборная, собирали ли со специфическими ключами?

Сервер на Ubuntu 22.04, версия ocserv последняя 1.3.0, дефолтные настройки

[Vurdalaque K]

Доброго всем.

Никто не пытался настроить связку openconnect + ipset-dns? Entware установлен, ipset-dns установлен. C vpn-соединения снята галочка "Использовать для выхода в интернет". 

> ip addr
...
30: nocli0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1434 qdisc fq_codel qlen 150
    link/[65534]
    inet 192.168.13.115/24 scope global nocli0
       valid_lft forever preferred_lft forever

Судя по всему, это тот интерфейс, что нужен для vpn. 

# cat /opt/etc/bypass.conf
DNS=8.8.8.8
SET_NAME=bypass
VPN_NAME=nocli0
VPN_SUBNET=192.168.13.1/24

Добавил фильтр на ifconfig.me, однако, IP остался тем же, что выдаёт провайдер. Я так понимаю, что инструкции для WireGuard для openconnect не очень то подходят?

[slydiman]

В 15.09.2024 в 19:05, slydiman сказал:

2 ядра ARM Cortex-A53 1300MHz вместо 2 ядер MIPS 1004Kc 900MHz
... 
Заказал Hopper SE.
Через неделю напишу как оно на самом деле в сравнении со старым Hopper при прочих равных.

Физическое подключение до свича провайдера 1гбит.
Провайдер соответственно тарифу ограничивает канал до 300мбит.
Авторизация по MAC, MTU 1500, никаких других VPN типа L2TP и пр.
OpenConnect сервер поднят на VPS с каналом 100мбит.
tls-priorities как сказано выше LEGACY:+CHACHA20-POLY1305:...
UDP выключен на сервере.
Скорость мерялась speedtest.net до соседнего с VPS провайдера.
Keenetic Hopper (KN-3810) давал 18-20мбит.
Keenetic Hopper SE (KN-3812) даёт 43-49мбит (upload до 83мбит).
Но если выключить OpenConnect клиент на роутере и поднять OpenConnect клиент на Windows машине через тот же роутер, то скорость всё равно выше 90мбит.
То есть Hopper SE по сравнению с Hopper даёт прирост скорости в 2-3 раза.
Похоже скорость могла бы быть в 4-5 раз выше, но роутер не тянет.
В скорости под 120мбит через OpenConnect клиент на роутере с выключенным UDP я не верю.
Хотя возможно OpenConnect клиент на Windows использует другое шифрование и оно иначе обрабатывается в черном ящике dpi у провайдеров. Тут слишком много факторов, которые могут влиять.

Если сохранить настройки роутера,
то у Hopper я вижу "crypto engine hardware",
а у Hoper SE я вижу "crypto engine software".
Это нормально/правильно?

Изменено 21 сентября пользователем slydiman

[stefbarinov]

14 часа назад, slydiman сказал:

у Hoper SE я вижу "crypto engine software"

 

Скрытый текст

 

Изменено 22 сентября пользователем stefbarinov

[Denis P]

21 минуту назад, stefbarinov сказал:

 

  Скрыть содержимое

 

На arm устройствах такого нет, это касается только 7621 и ему подобных.

15 часов назад, slydiman сказал:

В скорости под 120мбит через OpenConnect клиент на роутере с выключенным UDP я не верю

еще несколько раз проверил, получилось немного меньше, но роутер в этот момент активно раздавал торренты, возможно дело в фоновой активности

iperf3 -c -t30 -P8 -R

[Роман rvb]

Поддержка IPv6 в клиенте OpenConnect планируется?

Сейчас сервер настроен, выдает IPv6 адрес (причем не f*, а "честный" белый, если так можно про IPv6 сказать) и маршруты, на других клиентах всё отрабатывает, на Кинетике - игнорируется.

Ну и в случае, если сервер отдал приватный адрес - тоже можно туда IPv6 протолкнуть, включив MASQUERADE на интерфейсе.

[Роман rvb]

Еще одно замечание.

Сейчас после установления соединения система сразу создает маршрут на IP vpn-сервера через свежеподнятый интерфейс. Не всегда это надо (я об тот же сервер свой внешний IP curl'ом определяю), хотелось бы этот маршрут отключаемой фичей.