4.3.0: неполадки с OpenConnect

[dimon27254]

@Le ecureuil @FLK

В 4.3.0 перестало работать подключение к внешнему серверу. В логе циклично повторяются следующие сообщения:

[I] Apr 11 23:24:32 openconnect: POST https://*.*/?*
[I] Apr 11 23:24:32 openconnect: Connected to *.*.*.*:443 
[I] Apr 11 23:24:32 openconnect: SSL negotiation with *.*
[I] Apr 11 23:24:32 openconnect: Connected to HTTPS on *.* with ciphersuite (TLS1.2)-(ECDHE-SECP256R1)-(ECDSA-SHA256)-(AES-256-GCM) 
[I] Apr 11 23:24:32 openconnect: Failed to write to TLS/DTLS socket: The request is invalid. 
[E] Apr 11 23:24:32 ndm: Service: "OpenConnect0": unexpectedly stopped. 

При этом, туннель между двумя Кинетиками работает без проблем.

[Mechanics]

Подтверждаю, поломали Openconnect в 4.3.0. У меня перестало подключаться к серверу на keenetic. В журнале тишина.

Изменено Суббота в 09:44 пользователем Mechanics

[KirillS]

У меня тоже отвалилось.
На роутерах, что на 4.2.6.3 все продолжает работать, а при обновлении на 4.3, перестает.

KN-1811, KN-1012

Откат обратно на 4.2.6.3 возвращает работоспособность.

 

В логах серервера - шитина

В логах Keenetic - циклические сообщение следующего вида:

Apr 12 12:57:53 openconnect
POST https://gtw.cons.ru/?cons-auth
Apr 12 12:57:53 openconnect
Connected to 75.82.25.13:443
Apr 12 12:57:53 openconnect
SSL negotiation with gtw.cons.ru
Apr 12 12:57:54 openconnect
Connected to HTTPS on gtw.cons.ru with ciphersuite (TLS1.2)-(ECDHE-SECP256R1)-(ECDSA-SHA256)-(AES-256-GCM)
Apr 12 12:57:54 openconnect
Failed to write to TLS/DTLS socket: The request is invalid.
Apr 12 12:57:54 ndm
Service: "OpenConnect0": unexpectedly stopped.

Изменено Суббота в 10:20 пользователем KirillS
дополнение по откату к пред прошивке + форматирование

[dimon27254]

Подключение не устанавливается, если в конфиге сервера OpenConnect используется tls-priorities, прописанный по умолчанию:

tls-priorities = "NORMAL:%SERVER_PRECEDENCE:%COMPAT:-VERS-SSL3.0:-VERS-TLS1.0:-VERS-TLS1.1:-VERS-TLS1.3"

Сменил на вариант, предоставленный @Denis P, за что ему спасибо, и туннель сразу поднялся:

tls-priorities = "NORMAL:-CIPHER-ALL:+CHACHA20-POLY1305:+AES-128-GCM:%SERVER_PRECEDENCE"

В сервере OpenConnect Кинетика увидел, что используется такой же tls-priorities, за счет чего и обеспечивается беспроблемная работа между роутерами.

Изменено Суббота в 11:09 пользователем dimon27254

[KirillS]

а где этот конфиг менять?
через web вроде нет никаких подобных опций...

через консоль? где в каком файле он хранится?

[FLK]

4 часа назад, KirillS сказал:

а где этот конфиг менять?
через web вроде нет никаких подобных опций...

через консоль? где в каком файле он хранится?

У вас в роли сервера ocserv на vps или мы говорим с вами о сервере OpenConnect в составе прошивки Кинетика?

 

Изменено Суббота в 16:43 пользователем FLK

[Кинетиковод]

7 минут назад, FLK сказал:

У вас в роли сервера ocserv на vps или мы говорим с вами о сервере OpenConnect в составе прошивки Кинетика?

На сервер Кинетика подключения нет. Клиент vpn client pro. На 4.2 всё работает без проблем.

[FLK]

3 часа назад, Кинетиковод сказал:

На сервер Кинетика подключения нет. Клиент vpn client pro. На 4.2 всё работает без проблем.

Я этим клиентом не пользовался, поэтому сказать ничего не могу)

Наш сценарий был - настроить ocserv на vps и подключиться к нему Кинетиком

 

Изменено Суббота в 16:42 пользователем FLK

[Кинетиковод]

9 минут назад, FLK сказал:

Наш сценарий был - настроить ocserv на vps и подключиться к нему Кинетиком.

Я как раз сейчас залил 4.3.0. К моему серверу Кинетик подключился без проблем, а вот клиент на сервер Кинетика не попадает. Причём в логах Кинетика тишина. Вероятно клиент стучится куда-то не туда. KeenDNS глючит что ли. На 4.2 никаких проблем.

[FLK]

4 часа назад, dimon27254 сказал:

Подключение не устанавливается, если в конфиге сервера OpenConnect используется tls-priorities, прописанный по умолчанию:

tls-priorities = "NORMAL:%SERVER_PRECEDENCE:%COMPAT:-VERS-SSL3.0:-VERS-TLS1.0:-VERS-TLS1.1:-VERS-TLS1.3"

Сменил на вариант, предоставленный @Denis P, за что ему спасибо, и туннель сразу поднялся:

tls-priorities = "NORMAL:-CIPHER-ALL:+CHACHA20-POLY1305:+AES-128-GCM:%SERVER_PRECEDENCE"

В сервере OpenConnect Кинетика увидел, что используется такой же tls-priorities, за счет чего и обеспечивается беспроблемная работа между роутерами.

Скорость только после этих манипуляций упала со 140-150 до 100-110 mbit/sec  надо ещё померять)

Изменено Суббота в 15:29 пользователем FLK

[Кинетиковод]

8 минут назад, FLK сказал:

Скорость только после этих манипуляций упала со 140-150 до 100-110 mbit/sec

Это жуткое падение поди на ARM. На Виве зато всё летает. 15 мегабит как с куста.

[Denis P]

23 минуты назад, FLK сказал:

Скорость только после этих манипуляций упала со 140-150 до 100-110 mbit/sec

Точно никак не могла скорость из-за них упасть, это два самых быстрых алгоритма, один для совместимости, второй, для того что поновее, скорее всего просто совпадение)

[FLK]

24 минуты назад, Denis P сказал:

Точно никак не могла скорость из-за них упасть, это два самых быстрых алгоритма, один для совместимости, второй, для того что поновее, скорее всего просто совпадение)

Не спорю, возможно, я ещё и замерял по-разному, перемерю попозже ещё раз)

[KirillS]

3 часа назад, FLK сказал:

У вас в роли сервера ocserv на vps или мы говорим с вами о сервере OpenConnect в составе прошивки Кинетика?

на VPS...

т.е. конфиг сервера там подправить, верно?

я так понимаю, что понижением безопасности алгоритвов шифрования все решается... надеюсь это пока временный workaround

[FLK]

1 час назад, KirillS сказал:

на VPS...

т.е. конфиг сервера там подправить, верно?

Да

[miltt]

6 часов назад, Кинетиковод сказал:

На сервер Кинетика подключения нет. Клиент vpn client pro. На 4.2 всё работает без проблем.

к серверу на KN-1811, клиент от cisco подключается, проблем нет. VPN Client Pro - перестал. Никакие изменения настроек клиента не помогают.

2 часа назад, KirillS сказал:

я так понимаю, что понижением безопасности алгоритвов шифрования все решается... надеюсь это пока временный workaround

пока cisco не перестанет считать серверы и их сертификаты ненадёжными.

Изменено Суббота в 19:47 пользователем miltt