проверить tls на ocserv

[ya]

Установить недостающие пакеты

Код: Выделить всё

sudo apt install openssl libssl-dev

Код: Выделить всё

openssl s_client -connect хост:443 -tls1_1

Код: Выделить всё

mkdir -p /var/lib/ocserv/run/ocserv-socket
chmod 777 -R /var/lib/ocserv

Код: Выделить всё

chown www-data:www-data -R /etc/ocserv/passwd

проверить сертификат

Код: Выделить всё

openssl s_client -connect хост:443

Код: Выделить всё

curl -v https://хост/

nat

Код: Выделить всё

echo "net.ipv4.ip_forward=1"  >> /etc/sysctl.conf
echo "net.ipv4.conf.all.forwarding=1"  >> /etc/sysctl.conf
echo "net.core.default_qdisc=fq"  >> /etc/sysctl.conf
echo "net.ipv4.tcp_congestion_control=bbr"  >> /etc/sysctl.conf

sysctl -p /etc/sysctl.conf

Код: Выделить всё

-A POSTROUTING -s 172.16.8.0/24 ! -d 172.16.8.0/24 -o enp3s0 -j SNAT --to-source 192.168.100.8

Код: Выделить всё

sudo iptables-save > /etc/iptables/rules.v4
sudo ip6tables-save > /etc/iptables/rules.v6

[ya]

1. Библиотеки OpenSSL
Убедитесь, что установлены библиотеки OpenSSL. В большинстве дистрибутивов Linux они уже присутствуют, но вы можете установить их заново или обновить до последней версии:

Код: Выделить всё

sudo apt update
sudo apt install openssl libssl-dev

2. Другие необходимые пакеты
Для работы с ocserv могут быть нужны дополнительные пакеты:

Код: Выделить всё

sudo apt install ocserv

Для поддержки сетевых функций:
iptables или другие инструменты управления сетевыми правилами
curl — для тестирования соединений через HTTPS
ca-certificates — для установки и обновления списка корневых сертификатов

3. Утилиты для отладки
Для диагностики и отладки проблем с соединениями и сертификатами, рассмотрите установку следующих утилит:

Код: Выделить всё

sudo apt install net-tools

Если у вас есть достаточно прав, вы можете установить (если еще не установлены) такие утилиты как tcpdump для захвата трафика, чтобы следить за соединениями в реальном времени:

Код: Выделить всё

sudo apt install tcpdump

4. Проверка инсталляции
После установки необходимых пакетов, проверьте, что они установлены корректно:

Код: Выделить всё

openssl version
curl --version

После установки необходимых библиотек и пакетов, рекомендуется перезапустить сервер ocserv, чтобы изменения вступили в силу:

Код: Выделить всё

sudo systemctl restart ocserv

[ya]

/etc/haproxy/haproxy.cfg

server ocserv 127.0.0.1:443 send-proxy-v2

Если такая ошибка в ocserv, то чинить через haproxy добавлением send-proxy-v2

Код: Выделить всё

● ocserv.service - OpenConnect SSL VPN server
     Loaded: loaded (/lib/systemd/system/ocserv.service; enabled; preset: enabled)
     Active: active (running) since Fri 2024-12-27 23:35:51 +05; 16min ago
       Docs: man:ocserv(8)
   Main PID: 63160 (ocserv-main)
      Tasks: 2 (limit: 1098)
     Memory: 1.3M
        CPU: 60ms
     CGroup: /system.slice/ocserv.service
             ├─63160 ocserv-main
             └─63162 ocserv-sm

Dec 27 23:36:01 deb12-ocserv ocserv[63166]: worker: 192.168.43.2 worker-proxyproto.c:321: proxy-hdr: invalid v2 header
Dec 27 23:36:01 deb12-ocserv ocserv[63166]: worker: 192.168.43.2 worker-vpn.c:811: could not parse proxy protocol header; discarding connection
Dec 27 23:38:39 deb12-ocserv ocserv[63272]: note: skipping 'pid-file' config option
Dec 27 23:38:39 deb12-ocserv ocserv[63272]: note: vhost:default: setting 'plain' as primary authentication method
Dec 27 23:38:39 deb12-ocserv ocserv[63272]: note: setting 'file' as supplemental config option
Dec 27 23:38:39 deb12-ocserv ocserv[63272]: worker: 192.168.43.2 worker-proxyproto.c:321: proxy-hdr: invalid v2 header
Dec 27 23:38:39 deb12-ocserv ocserv[63272]: worker: 192.168.43.2 worker-vpn.c:811: could not parse proxy protocol header; discarding connection
Dec 27 23:50:38 deb12-ocserv ocserv[63303]: note: skipping 'pid-file' config option
Dec 27 23:50:38 deb12-ocserv ocserv[63303]: note: vhost:default: setting 'plain' as primary authentication method
Dec 27 23:50:38 deb12-ocserv ocserv[63303]: note: setting 'file' as supplemental config option