Linux за българи: Форуми

Linux секция за начинаещи => Настройка на програми => Темата е започната от: senser в Aug 28, 2015, 13:09



Титла: Проблем с openconnect (Debian sid)
Публикувано от: senser в Aug 28, 2015, 13:09
Здравейте,

Ползвам openconnect в текущия нестабилен Дебиан, за да се закачам за anyConnect услуга на Cisco. Доскоро всичко работеше добре, но от известно време се получава проблем - ВПН–ът се закача и работи нормално, докато не стартирам нещо, което да прекара трафик през него. Тогава връзката дропва и в логовете  имам това:

Код:
Aug 28 12:59:19 localhost openconnect[9820]: DTLS handshake failed: Resource temporarily unavailable, try again.
Aug 28 12:59:20 localhost openconnect[9820]: Unexpected packet length. SSL_read returned 1414 but packet is
Aug 28 12:59:20 localhost openconnect[9820]: 53 54 46 01 05 9e 00 00
Aug 28 12:59:20 localhost openconnect[9820]: Unknown packet ff ff 24 92 92 48 ff ff
Aug 28 12:59:20 localhost openconnect[9820]: Send BYE packet: Unknown packet received
Aug 28 12:59:20 localhost openconnect[9820]: Unknown error; exiting.

Ако пусна само пинг, примерно, до някой от хостовете, получавам отговори и всичко е ОК. Ако монтирам шерната папка от някой хостовете (cifs, всички машини са с windows), също няма проблем. Ако обаче опитам да достъпя точката, където е монтиран шеринга - връзката се разпада с горната грешка.

В нета не намирам нищо, освен сорсове, които не ми помагат особено да разбера къде е проблема.

Под уиндоус всичко работи без проблеми.

Следих трафика с wireshark, но не съм в час с този вид комуникация и не знам какво точно да гледам, честно казано. Ако някой даде насока за това, мога да покажа резултат от wireshark.

Ето версиите на openconnect, които са инсталирани:

Код:
dpkg -l *openconnect*
Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad)
||/ Name                                  Version                 Architecture            Description
+++-=====================================-=======================-=======================-===============================================================================
rc  libopenconnect3:amd64                 6.00-2                  amd64                   open client for Cisco AnyConnect VPN - shared library
ii  libopenconnect5:amd64                 7.06-2+b1               amd64                   open client for Cisco AnyConnect VPN - shared library
ii  network-manager-openconnect           1.0.2-1+b1              amd64                   network management framework (OpenConnect plugin)
ii  network-manager-openconnect-gnome     1.0.2-1+b1              amd64                   network management framework (OpenConnect plugin GNOME GUI)
ii  openconnect                           7.06-2+b1               amd64                   open client for Cisco AnyConnect VPN

Поздрави!


Титла: Re: Проблем с openconnect (Debian sid)
Публикувано от: BRADATA в Aug 28, 2015, 14:55
https://www.zeitgeist.se/2013/11/26/mtu-woes-in-ipsec-tunnels-how-to-fix/


Титла: Re: Проблем с openconnect (Debian sid)
Публикувано от: Astor в Aug 30, 2015, 16:01
Здравей,

Това което посочи Брадата можеи да е реално проблемът.

Може да тестваш от cisco-то и от дебиана двупосочно, като ползваш ping  с различни размери и задължително DF (don't fragment) bit сетнат.

Като тестваш с трафик през тунела и с такъв извън него ще разбереш дали е от това.

На linux-а май беше "-M do" опция на ping
на cisco ping <ip> df-bit...


Титла: Re: Проблем с openconnect (Debian sid)
Публикувано от: senser в Sep 04, 2015, 10:13
Здравейте,

Нямам достъп до Cisco-то, то е при клиент и ще си говоря с техните админи дали може да се направи нещо.
Това, което BRADATA е дал е най-вероятният проблем, защото след като се закача за Cisco услугата, MTU на интерфейс vpn0 е 1500. След като го сложа на 1400, нещата работят:
Код:
ip link set vpn0 mtu 1400