Tham gia Đăng nhập
Điểm:0
user3423953 avatar Ubuntu

OCServ ngắt kết nối (OCServ 0.12.6 trên Ubuntu 20.04.03)

lá cờ in
user3423953

Máy chủ: OCServ

quan sát 0.12.6

Được biên dịch với: seccomp, tcp-wrappers, oath, Radius, gssapi, PAM, PKCS#11, AnyConnect
Phiên bản GnuTLS: 3.6.13 (được biên dịch với 3.6.11)

Khách hàng: openconnect

Phiên bản OpenConnect v8.10-2build1~ubuntu20.04.1~ppa1
Sử dụng GnuTLS 3.6.13. Các tính năng hiện có: TPMv2, PKCS#11, mã thông báo phần mềm RSA, mã thông báo phần mềm HOTP, mã thông báo phần mềm TOTP, Yubikey OATH, Khóa hệ thống, DTLS, ESP
Các giao thức được hỗ trợ: anyconnect (mặc định), nc, gp, pulse

Giản đồ hệ thống

                   HỘP VPS                                                                 
                |--------------------------------------------- --------------------------|  
                | những người khác *< ----+ |  
                | | vpn.<domain>.com rev proxy pass-thru tới |  
                | |------@HA Proxy -----------| 127.0.1.1:443 |  
                | | | (SSL do ocserv xử lý) |  
                | [TCP 80 & TCP 443] | |  
inet -> IP công khai -> 10.10.0.5 |---> 127.0.1.1 |  
                | [udp 44443] [tcp 443] |  
                | \ | |  
                | \ @ |  
                | \--------------------------------------=@ocserv đang nghe |  
                | tcp 127.0.1.1:443 & udp 10.10.0.5:44443 |  
                |--------------------------------------------- --------------------------|

GHI CHÚ:

Thực tế, những gì tôi phải đối mặt là như sau:

  • Có thể kết nối không có vấn đề gì
  • cách ly công nhân được đặt thành sai trong cấu hình
  • Các Cổng udp trong conf được đặt thành 44443 (không phải 443) để loại trừ mọi sự cố cụ thể của VPS trên cổng đó
  • DTLS được thiết lập không có vấn đề gì
  • Chứng chỉ SSL máy chủ là chứng chỉ ký tự đại diện.
  • libpam-cap đã bị vô hiệu hóa trên hộp VPS nơi phiên bản ocserv đang chạy, để khắc phục sự cố sự cố như đã lưu ý đây
  • Vấn đề được lưu ý dưới đây xuất hiện bất kể DTLS có được thiết lập hay không (tôi đã đặt udp-nghe-máy chủ đến giao diện lo để đảm bảo các gói UDP được ghi lại trên IP công cộng KHÔNG chuyển đến OCServ, do đó DTLS KHÔNG được thiết lập).
  • SỐ BÁO Dường như ngẫu nhiên hoặc có thể tại một số khoảng thời gian đều đặn, kết nối dường như được thiết lập lại với kết nối mở Báo cáo Lỗi đọc SSL: Kết nối TLS không được chấm dứt đúng cách.; kết nối lại. (dòng số 191 của tệp nhật ký openconnectout_20211108.log). OCServ ở phía cuối máy chủ dường như báo cáo lỗi như bên dưới (đính kèm nhật ký chi tiết đầy đủ cho cả openconnect và ocserv). Ngay trước khi lỗi này xuất hiện, nhật ký máy khách openconnect hiển thị nhiều dòng Đã gửi gói DTLS 48 byte; DTLS gửi trả lại 42\rKhông có việc để làm; ngủ trong 27000 ms ... cho biết các gói DTLS đang được liên lạc. Thông tin tương tự cũng có thể được nhìn thấy trong nhật ký ocserv. Nhật ký ocserv bên dưới có thể được nhìn thấy trong dòng số 589 của tệp nhật ký ocservout_20211108.log
ocserv[<first_worker_pid>]: worker[<username>]: <vpn_client_public_ip_address> đã nhận 42 byte (DTLS)
ocserv[<first_worker_pid>]: worker[<username>]: <vpn_client_public_ip_address> giải nén 41 thành 48
ocserv[<first_worker_pid>]: worker[<username>]: <vpn_client_public_ip_address> ghi 48 byte vào TUN
ocserv[<first_worker_pid>]: TLS[<3>]: XÁC NHẬN: ../../lib/buffers.c[_gnutls_io_write_flush]:696
ocserv[<first_worker_pid>]: TLS[<5>]: REC: Đang gửi cảnh báo[1|0] - Đóng thông báo
ocserv[<first_worker_pid>]: TLS[<5>]: REC[0x55f94ae54b60]: Chuẩn bị cảnh báo gói(21) với độ dài: 2 và phần đệm tối thiểu: 0
ocserv[<first_worker_pid>]: TLS[<9>]: ENC[0x55f94ae54b60]: cipher: AES-256-GCM, MAC: AEAD, Epoch: 2
ocserv[<first_worker_pid>]: TLS[<2>]: WRITE: -1 được trả về từ 0x9, errno: 32
ocserv[<first_worker_pid>]: TLS[<3>]: XÁC NHẬN: ../../lib/buffers.c[errno_to_gerr]:230
ocserv[<first_worker_pid>]: TLS[<3>]: XÁC NHẬN: ../../lib/buffers.c[_gnutls_io_write_flush]:722
ocserv[<first_worker_pid>]: TLS[<3>]: XÁC NHẬN: ../../lib/record.c[_gnutls_send_tlen_int]:588
ocserv[<first_worker_pid>]: TLS[<3>]: XÁC NHẬN: ../../lib/record.c[gnutls_bye]:304
ocserv[<first_worker_pid>]: TLS[<5>]: REC[0x55f94ae54b60]: Bắt đầu dọn dẹp kỷ nguyên
ocserv[<first_worker_pid>]: TLS[<5>]: REC[0x55f94ae54b60]: Kết thúc quá trình dọn dẹp kỷ nguyên
ocserv[<first_worker_pid>]: TLS[<5>]: REC[0x55f94ae54b60]: Epoch #2 được giải phóng
ocserv[<first_worker_pid>]: TLS[<3>]: XÁC NHẬN: ../../lib/buffers.c[_gnutls_io_write_flush]:696
ocserv[<first_worker_pid>]: TLS[<5>]: REC: Đang gửi cảnh báo[1|0] - Đóng thông báo
ocserv[<first_worker_pid>]: TLS[<5>]: REC[0x55f94ae46800]: Chuẩn bị cảnh báo gói(21) với độ dài: 2 và phần đệm tối thiểu: 0
ocserv[<first_worker_pid>]: TLS[<9>]: ENC[0x55f94ae46800]: cipher: AES-256-GCM, MAC: AEAD, Epoch: 1
ocserv[<first_worker_pid>]: TLS[<5>]: REC[0x55f94ae46800]: Gói đã gửi[281474976710664] Cảnh báo(21) trong Kỷ nguyên 1 và độ dài: 39
ocserv[<first_worker_pid>]: TLS[<5>]: REC[0x55f94ae46800]: Bắt đầu dọn dẹp kỷ nguyên
ocserv[<first_worker_pid>]: TLS[<5>]: REC[0x55f94ae46800]: Kết thúc quá trình dọn dẹp kỷ nguyên
ocserv[<first_worker_pid>]: TLS[<5>]: REC[0x55f94ae46800]: Đã giải phóng Epoch #1
ocserv[<first_worker_pid>]: worker[<username>]: <vpn_client_public_ip_address> gửi tin nhắn 'sm: worker cli stats' tới secmod
ocserv[<secmod_pid>]: sec-mod: đã nhận yêu cầu từ pid <first_worker_pid> và uid 65534
ocserv[<secmod_pid>]: sec-mod: cmd [size=73] sm: worker cli stats
ocserv[<first_worker_pid>]: worker[<username>]: <vpn_client_public_ip_address> đã gửi số liệu thống kê định kỳ (vào: 192, ra: 496) tới sec-mod
ocserv[<ocserv_main_pid>]: main[<tên người dùng>]:<vpn_client_public_ip_address>:47586 nhân viên bị chấm dứt
ocserv[<ocserv_main_pid>]: main[<username>]:<vpn_client_public_ip_address>:47586 đang gửi tin nhắn sm: phiên gần sec-mod
ocserv[<secmod_pid>]: sec-mod: đã nhận yêu cầu sm: đóng phiên
ocserv[<secmod_pid>]: sec-mod: cmd [size=40] sm: đóng phiên
ocserv[<secmod_pid>]: sec-mod: tạm thời đóng phiên cho <tên người dùng> (phiên: <session_ID>)
ocserv[<ocserv_main_pid>]: main[<tên người dùng>]:<vpn_client_public_ip_address>:47586 người dùng bị ngắt kết nối (lý do: lỗi không xác định, rx: 192, tx: 496)
  • Dòng thứ 4 trong đoạn trích trên (dòng 592 của tệp nhật ký ocservout_20211108.log) là nơi vấn đề dường như bắt nguồn từ đó.
  • THÔNG TIN: Khoảng dòng 887 của tệp nhật ký ocservout_20211108.log, hãy bỏ qua các thông báo xung quanh việc máy khách đóng kết nối sớm vì đó chỉ là tôi giết openconnect trên máy khách.
  • Các sự cố tương tự đã xảy ra khi sử dụng OpenConnect GUI cho Windows, cũng như ứng dụng Android OpenConnect.

Có bất kỳ khuyến nghị về làm thế nào để có được xung quanh này? Tôi muốn tránh việc bật và tắt kết nối VPN thường xuyên.

ocservout_20211108.log (thu được bằng cách thực hiện một sudo ocserve -f -c /etc/ocserv/ocserv.conf -d 9999 > outfile.log 2>&1)

openconnectout_20211108.log (thu được bằng cách thực hiện một echo -n obfuscate_password | sudo openconnect -b vpn.<domain>.com:443 -u obfuscate_username --passwd-on-stdin -vvv --dump-http-traffic > outfile.log 2>&1 )

GHI CHÚ Thông tin nhạy cảm từ các tệp nhật ký ở trên đã bị REDACTED/OBFUSCATED

100
0 + 0
vpn
ssl
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.