OCSERV & Keenetic Giga

[Анатолий Guru]

Всем привет. 
Возможно мой вопрос давно уже всеми решён, но я впервые настраиваю связку внешнего OpenConnect VPN и роутера Keenetic Giga (KN-1011), OC 5.0.4 - последняя. 

OCSERV установил на Ubuntu 24.04. Настроил по инструкции с Гитхаб. Не сразу но заработал. Проверил на клиентах для Windows 11 25H2 и Android 10 (OPPO A5 2020) - соединяются, сервер выделяет им и отдает IP, устройства нормально ходят через сервер в инет. Для этих клиентов в настройках отключён UDP (рекомендация из инструкции) - в настройках клиента Keenetic такой опции нет. 

Создал OpenConnect подключение на Keenetic. При подключении к OCSERV последовательно меняются статусы - Идет подключение - Неизвестно (В приложении NetCraze кружок становится желтым и статус - Готов). При этом сервер считает что от все сделал - в логах подключение этого клиента, выделение ему IP и тд и тп. При отключении клиента, сервер понимает что клиент отключился и освобождает IP и всё остальное. Но, видимо, до клиента Keenetic информация о подключении не доходит. 

[Анатолий Guru]

Отключил в конфиге ocserv UDP 
#udp-port = 443 
перегрузил ocserv
netstat -tulpn

показывает что порт уже не слушается, Но кинетик всё равно не соединяется. 

 

 

[Анатолий Guru]

Может быть виноват сами-знаете-кто, но тогда вопрос - почему клиенты виндовс и андроид нормально соединяются?
Они же выходят в инет через этот же кинетик и через этого же провайдера, и этот же IP (белый, выделенный). Виндовс по кабелю, Андроид по Вай-Фай. 

[Анатолий Guru]

Написал в тех.поддержку кинетика, ответили, НО ответ немного пугает  😟

Цитата

Конкретно с ocserv не тестировали подключение. 

Что очень настораживает, все таки ocserv наиболее популярный и распространенный. 

Дали ссылку на декабрьский от 2025 года пост в форум, где человек разово решил эту проблему - руками прописал полученный IP и таблицу маршрутизации. Ему нужно было обновить устройство и потом он ВСЁ добавленное руками удалил. 

[Denis P]

2 часа назад, Анатолий Guru сказал:

Конкретно с ocserv не тестировали подключение.

Учитывая что в самом кинетике используется ocserv, заявление довольно любопытное.

На самом деле, никаких проблем в таком сценарии быть не должно

[Анатолий Guru]

Наверное, не тестировали с линуксовым ocserv. 

По ЛОГам того же кинетика видно что удаленный ocserv отдает ему ВСЁ что нужно - IP и тд и тп. 
Кинетик просто забыл что со всем этим нужно делать    Он не модифицирует таблицу маршрутизации и тд и тп. В итоге VPN-интерфейс ведет в тупик. 

Если в настройках соединения прописать ТОТ IP что отдает ocserv, то кинетик даже думает что ВСЁ теперь хорошо и пишет что он соединился. Но так как роутинг не модифицирован, то все равно в тупике. 

Как я понял, в ТОМ посте было настроено что ВСЁ-ВСЁ стало ходить через VPN-интерфейс - человеку это было нужно на время, чтобы зарегать устройство и обновить на нем прошивку. Мне это не подходит от слова совсем. Мне нужно постоянное подключение и чтобы часть устройств Умного дома (буржуины закрыли им доступ от нас, например, Bosh) ходила через него. ВСЁ остальное должно ходить напрямую к провайдеру. Мне даже скорость не важна, пишут что скорость падает в разы, до 10-20 раз. 

Изменено Пятница в 06:33 пользователем Анатолий Guru

[Анатолий Guru]

https://forum.keenetic.ru/topic/26676-как-я-решил-проблему-с-подключением-keenetic-openconnect-client-к-openconnectocserv-server-на-linux/

Прописал руками маршруты как в посте и ВСЁ заработало. ВЕСЬ трафик пошел через OpenConnect соединение.
А мне нужно чтобы не ВЕСЬ, а только от выбранных устройств (их локальные IP зафиксированы в DHCP и не меняются). 

То есть четко по логике Кинетика: 

• задается второе соединение - OpenConnect 
• настраивается политика для него 
• добавляются устройства, которые должны работать по этой политике 

Вот как ЭТО прописать я не знаю.  

[Анатолий Guru]

В 20.02.2026 в 00:35, Denis P сказал:

На самом деле, никаких проблем в таком сценарии быть не должно

Насколько я понимаю логику, должно быть как-то так: 

1. пользователь руками в web-конфигураторе создает OpenConnect подключение 
2. роутер должен САМ создать все нужные маршруты, прописать чтобы они работали только с этим подключением и тд и тп 
3. далее пользователь создает правило, подключает к правилу нужные устройства и тд и тп 
4. при активизации подключения все должно заработать САМО как и планировалось 

И как я понял 2 и 4 пункт не срабатывает.
В итоге оно конечно можно прочитать тонну доков по роутингу и тд и тп и настроить всё руками. НО как то не кошерно это    говорить что оно есть, а его реально нету   

Изменено 4 часа назад пользователем Анатолий Guru