OpenConnect VPN (ocserv) & camouflage mode

[AlexSv]

При включении режима камуфляжа (camouflage mode) для OpenConnect VPN -сервер, при попытке подключения клиента через доменное имя кинетик (xxxx.yyyy.keenetic.link) подключение клиентов не проходит (пробовал разные клиенты). При выключении режима camouflage, клиенты подключаются.

В логах клиента сообщение 

| Got HTTP response: HTTP/1.1 404 Not found
 

Скорее всего это происходит потому, что при обращении по адресу  https://xxxx.yyyy.keenetic.link выдается сообщение 404 Not Found. Если флаг camouflage снять, то по адресу  https://xxxx.yyyy.keenetic.link начинает выдаваться конфг:

<config-auth client="vpn" type="auth-request">

<version who="sg">0.1(1)</version>

<auth id="main">

<message>Please enter your username.</message>

<form method="post" action="/auth">

<input type="text" name="username" label="Username:"/>

</form>

</auth>

</config-auth>

 

[keen old]

1 час назад, Le ecureuil сказал:

Проверяете клиента на последней версии 4.3?

Да, версия 4.3 Alpha 3. В настройках VPN-сервер SSTP адрес сервера уже отображается с секретом, но Клиент SSTP (iOS) дает ошибку - "is an invalid address". Без опции camouflage mode всё работает.

[Le ecureuil]

Все так и есть. Camouflage именно так и устроен и именно так и работает - если вы не знаете secret, то вы даже не сможете понять, есть ли там openconnect-сервер или нет.

[voVWan]

2 часа назад, Le ecureuil сказал:

Все так и есть. Camouflage именно так и устроен и именно так и работает - если вы не знаете secret, то вы даже не сможете понять, есть ли там openconnect-сервер или нет.

а как правильно пользоваться опцией камуфляж? Активировал её на кинетике с OC сервером, а что дальше делать?) Где узнать или прописать secret? И его потом нужно будет дописывать к урл адресу сервера при подключении клиентом?

[Le ecureuil]

11 минуту назад, voVWan сказал:

а как правильно пользоваться опцией камуфляж? Активировал её на кинетике с OC сервером, а что дальше делать?) Где узнать или прописать secret? И его потом нужно будет дописывать к урл адресу сервера при подключении клиентом?

Пока не доделан веб, по идее в карточке сервера при включении этой опции должен показываться полный путь вместе с secret уже. Но пока берите его из show oc-server и делайте url навроде: https://domain.name/?secret , и его прям в таком виде суйте в клиента.

[AlexSv]

Спасибо! Действительно, show oc-server  в командной строке секрет показывает.

[keen old]

В 17.10.2024 в 21:34, Le ecureuil сказал:

Пока не доделан веб, по идее в карточке сервера при включении этой опции должен показываться полный путь вместе с secret уже. Но пока берите его из show oc-server и делайте url навроде: https://domain.name/?secret , и его прям в таком виде суйте в клиента.

Подскажите пожалуйста, для клиента VPN-сервер SSTP в каком формате прописать url ? В формате https://domain.name/?secret - клиент SSTP ругается "is an invalid address"

[Le ecureuil]

7 часов назад, Keen Air сказал:

Подскажите пожалуйста, для клиента VPN-сервер SSTP в каком формате прописать url ? В формате https://domain.name/?secret - клиент SSTP ругается "is an invalid address"

Проверяете клиента на последней версии 4.3?

[F.V.M]

KN-1011 c версией 4.2.5 - не выводит секрет в Вэб-интерфейсе. Вставил руками, как тут написано  - тоннель поднялся, но tracert и ping с сети сервера (192.168.1.100) в сторону роутера (192.168.0.1) с клиентом не идет. При этом в Статистике VPN-сервера OpenConnect Отправлено/получено - прочерк, а на роутере клиента подсчет трафика идет. В межсетевой экран на роутере клиенте добавлены три (TCP, UDP. ICMP) разрешающих правила, в роутер сервера добавлен маршрут до интерфейса OpenConnect. При этом на Экстре (клиент) с 4.3 а 14 вот такая картинка. Куда копать ?

 

Изменено 22 января пользователем F.V.M
дополнение

[Le ecureuil]

172.16.5.186 пингуется со стороны сервера?

[F.V.M]

С хоста не могу сейчас проверить, с кн-1011 ( я обновил ее до последней альфы, секрет в вэбке появился) так:

[Le ecureuil]

Пока выглядит так, что на клиенте в фаерволе что-то недооткрыто.

[F.V.M]

[F.V.M]

Вот вывод с экстры:

{
    "id": "OpenConnect0",
    "index": 0,
    "interface-name": "OpenConnect0",
    "type": "OpenConnect",
    "description": "Kommunist",
    "traits": [
        "Ip",
        "Ip6",
        "Supplicant",
        "OpenConnect"
    ],
    "link": "up",
    "connected": "yes",
    "state": "up",
    "role": [
        "misc"
    ],
    "mtu": 1200,
    "tx-queue-length": 150,
    "global": false,
    "security-level": "public",
    "openconnect": {
        "via": "FastEthernet0/Vlan2"
    },
    "summary": {
        "layer": {
            "conf": "running",
            "link": "running",
            "ipv4": "disabled",
            "ctrl": "running"
        }
    },
    "prompt": "(config)"
}

При этом с экстры трасерт не в туннель идёт, а к провайдеру:

 

[F.V.M]

Зашёл на экстру по sstp, у нее в маршрутах появился sstp, а запись для ОpenConnet отсутствует.

[F.V.M]

Поменял железяки местами: на экстре поднял сервер, на гиге - клиент. Та же байда: на клиенте в таблице маршрутов отсутствует запись для интерфейса на подсети сервера.

[F.V.M]

В общем, я их все таки завел. Прописал в настройках клиента вручную адрес, который уже прописан на сервере. На клиенте в свойствах адрес зелёный появился.

Спасибо за помощь.

Изменено 24 января пользователем F.V.M
Дополнения