Jump to content

Quadro Rover

Forum Members
  • Posts

    16
  • Joined

  • Last visited

Posts posted by Quadro Rover

  1. ffmpeg без поддержки libx264 собран? А в списке пакетов - libx264 is a free software library for encoding video streams into the H.264/MPEG-4 AVC compression format.

    Зачем почему? Надо ж yuyv422 жать, а то 10 сек видео 30мб. И если указать ffmpeg -f alsa -i /dev/audio - пишет типа нет такого, а оно есть ls /dev/aud* C270 вебка. ?

  2. Не могу ограничить количество попыток, продолжает переподключаться, помогите с кодом.

    #!/bin/sh
    
    counter=/opt/share/counter.txt
    max_tries=2
    
    [ -z "$address" ] && exit 0
    
    logger -t WHITE-IP[$$] "interface: " $interface ", address: " $address
    
    if [ "$interface" = "ppp0" ]; then
      _ip=$(echo $address | grep -v "^100\.")
      if [ -z "$_ip" ]; then
        # Get counter from temp file
        [ -f "$counter" ] || echo '0' > $counter
        try_nr="$(cat $counter)"
        # This is our try_nr try
        try_nr=$((try_nr+1))
        # Too much tries
        if [ $try_nr -gt $max_tries ]; then
          echo '0' > $counter
    	  logger -t WHITE-IP[$$] "Too much tries. Exit";
          exit
        fi
        echo "$try_nr" > $counter
        logger -t WHITE-IP[$$] "Reloading wan due grey IP - $address";
        ndmq -p 'interface PPPoE0 no connect via ISP' -P message
        sleep 5
        ndmq -p 'interface PPPoE0 connect via ISP' -P message
      else
        echo '0' > $counter
        logger -t WHITE-IP[$$] "White IP - $address";
      fi
    fi
    

    Там же указано что если попыток больше то команда - exit - завершить скрипт, чё ему надо?

  3. Да что-то не особо, где-то на 300 кбайт медленей чем SHA1, странно. Пока на GCM, чуть больше 2 мегабайт при копировани с самбы в винде.

    Там может и больше, просто провайдер Соседтелеком, тариф "Вайфай".

    tun-mtu ещё подбирал по логам так, чтобы в итоге link-mtu был равен максимальному для интерфейса на котором интернет. Как определить оптимальный размер MTU? – Keenetic

  4. Понятно. Вместе с тем, только вычитал что CBC значительно быстрее чем GCM, если не используется аппаратное ускорение. https://kazoo.ga/quick-benchmark-cbc-vs-gcm/

    А где-то тут отвечали, что на кинетиках OpenVPN аппаратно не ускорен, тогда логично использовать AES-CBC и auth BLAKE2b512 (как самый быстрый, надёжный дайджест https://blake2.net/). Наверно.

    Хотя AES-GCM исключает необходимость в HMAC. Как жить теперь, что выбрать..

  5. У всех в приоритете скорость. Добавьте SoftEtherVPN сервер с космическими скоростями, ovpn в сравнении с ним маленькая улитка. Там на всё уже клиенты есть, и ovpn он тоже поднимать может.

    Он уже достаточно развился, скоро пятая версия.

    • Upvote 1
  6. 2 часа назад, Mixin сказал:

    FAQ

    Да зачем мне этот фак, это даже не фак.

    Если Le ecureuil написал что даже tun можно в мост, то непонятно тольто можно ли сделать получение ip с роутера. Конфиг server side нужен. topology subnet или p2p в таком случае. Просил бы я помочь если бы в гугле было..

  7. 13 часа назад, Le ecureuil сказал:

    .

    Так как же сделать tun мост (interface Home include OpenVPN0) чтобы клиенты ovpn получали адреса от DHCP сервера кинетика?

    Как понял, если писать какие-то маршруты, то это уже будет не так работать, мультикаст DLNA работает только в своей (одной) подсети.

  8. 1 час назад, Сергей Молоков сказал:

    а прошивки для них уже не собирают?

    http://files.keenopt.ru/firmware/Keenetic_III/2018-02-22/

    1 час назад, Mixin сказал:

    Будет проще, если вы покажите и лог, и правило.

    Поставьте proto tcp4 и увидите лог при пинге порта сервера, при udp4 не пингует. Или у вас пингует?

  9. Ой спасибо, попробую. А можно ещё чтобы tun мостом и DLNA через него?)

    Извиняюсь что не цитирую конкретные ответы, не очень понятно как.

    Это предупреждение [W] Apr 8 04:15:16 OpenVPN0: Could not determine IPv4/IPv6 protocol. Using AF_INET6 я убрал явно указав протокол: proto udp4 (тут вычитал https://community.openvpn.net/openvpn/ticket/805)

    Но да, udp4 не пингуется, а если указать tcp4 то пинг приходит и сервер пишет лог по этому поводу. UPD не должен пинговаться? У меня уже долго камасутра с OpenVPN сервером, бедные люди кто хочет настроить и не может)

    O кстати, есть батник, делал для себя - ошибки не обрабатывает. Внизу видно какие файлы он удаляет после генерации сертификатов, также можно указать количество клиентов.

    Он для задачи "всё сразу". Чтобы генерить отдельно для клиентов новые серты, нужно дописывать. Пишет в папку easy-keys там же где лежит, а лежать должен: C:\Program Files\OpenVPN\bin\ и файл openssl-1.0.0.cnf должен быть рядом с ним. Перед каждым запуском папку easy-keys лучше удалять или очищать. Портативный если его вместе с файлами из папки bin таскать.

    Может кому сгодится EasyKeys - OpenVPN.bat

    Или кодом, сохранить с расширением .bat

    Скрытый текст
    
    @echo off
    title EasyKeys - OpenVPN
    
    rem ---------------- USER SETTING SECTION ----------------
    
    set key_size=4096
    set dh_key_size=1024
    
    set server_keyname=GanjaServer
    set clients_count=2
    
    set key_country=us
    set key_province=ca
    set key_city=sanfrancisco
    set key_org=openvpn
    set key_email=mail@host.domain
    set key_cn=changeme
    set key_name=changeme
    set key_ou=changeme
    set pkcs11_module_path=changeme
    set pkcs11_pin=1234
    
    rem ---------------- USER SETTING SECTION END ----------------
    
    rem ---------------- SCRIPT VARIABLES ----------------
    set home=%~dp0
    set key_dir=%~dp0easy-keys
    set key_config="%~dp0openssl-1.0.0.cnf"
    
    rem ---------------- PAUSE BETWEEN COMMANDS ----------------
    set "t=timeout.exe /t 1 /nobreak > nul"
    
    if not exist "%key_dir%" (mkdir "%key_dir%")
    
    type nul> "%key_dir%\index.txt"
    type nul> "%key_dir%\index.txt.attr"
    type nul> "%key_dir%\serial"
    echo 01> "%key_dir%\serial"
    %t%
    
    rem ---------------- SERVER AND CLIENT SIDE. BUILD A CERT AUTHORITY VALID FOR TEN YEARS, STARTING NOW ----------------
    openssl.exe req -batch -days 3650 -nodes -new -x509 -keyout "%key_dir%\ca.key" -out "%key_dir%\ca.crt" -config %key_config%
    %t%
    
    rem ---------------- SERVER SIDE. BUILD A DIFFIE-HELLMAN FILE ----------------
    openssl.exe dhparam -out "%key_dir%\dh%dh_key_size%.pem" %dh_key_size%
    %t%
    
    rem ---------------- SERVER SIDE. BUILD A REQUEST FOR A CERT THAT WILL BE VALID FOR TEN YEARS ----------------
    openssl.exe req -batch -days 3650 -nodes -new -keyout "%key_dir%\%server_keyname%.key" -out "%key_dir%\%server_keyname%.csr" -config %key_config%
    %t%
    rem ---------------- SERVER SIDE. SIGN THE CERT REQUEST WITH OUR CA, CREATING A CERT/KEY PAIR ----------------
    openssl.exe ca -batch -days 3650 -out "%key_dir%\%server_keyname%.crt" -in "%key_dir%\%server_keyname%.csr" -extensions server -config %key_config%
    %t%
    del /f /q "%key_dir%\*.old"> nul 2> nul
    type nul> "%key_dir%\index.txt"
    %t%
    
    setlocal enabledelayedexpansion
    for /l %%i in (1,1,%clients_count%) do (
    set r=client!random!
    rem ---------------- CLIENT SIDE. BUILD A REQUEST FOR A CERT THAT WILL BE VALID FOR TEN YEARS ----------------
    openssl.exe req -batch -days 3650 -nodes -new -keyout "%key_dir%\!r!.key" -out "%key_dir%\!r!.csr" -config %key_config%
    %t%
    rem ---------------- CLIENT SIDE. SIGN THE CERT REQUEST WITH OUR CA, CREATING A CERT/KEY PAIR ----------------
    openssl.exe ca -batch -days 3650 -out "%key_dir%\!r!.crt" -in "%key_dir%\!r!.csr" -config %key_config%
    %t%
    del /f /q "%key_dir%\*.old"> nul 2> nul
    type nul> "%key_dir%\index.txt"
    %t%)
    endlocal
    
    rem ---------------- SERVER AND CLIENT SIDE. CREATE AN "HMAC FIREWALL" TO HELP BLOCK DOS ATTACKS AND UDP PORT FLOODING ----------------
    openvpn.exe --genkey --secret "%key_dir%\ta.key"
    
    del /f /q "%key_dir%\index.txt"> nul 2> nul
    del /f /q "%key_dir%\index.txt.attr"> nul 2> nul
    del /f /q "%key_dir%\serial"> nul 2> nul
    del /f /q "%key_dir%\0*.pem"> nul 2> nul
    rem del /f /q "%home%.rnd"> nul 2> nul
    
    pause
    exit 0

     

     

  10. А вот лог:

    Скрытый текст
    
    [I] Apr  8 04:15:16 OpenVPN0: OpenVPN 2.4.4 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD]
    [I] Apr  8 04:15:16 OpenVPN0: library versions: OpenSSL 1.1.0h  27 Mar 2018, LZO 2.10
    [I] Apr  8 04:15:16 OpenVPN0: Diffie-Hellman initialized with 1024 bit key
    [I] Apr  8 04:15:16 OpenVPN0: Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
    [I] Apr  8 04:15:16 OpenVPN0: Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
    [I] Apr  8 04:15:16 OpenVPN0: TUN/TAP device tun0 opened
    [I] Apr  8 04:15:16 OpenVPN0: TUN/TAP TX queue length set to 100
    [I] Apr  8 04:15:16 OpenVPN0: do_ifconfig, tt->did_ifconfig_ipv6_setup=0
    [I] Apr  8 04:15:16 ndm: Network::Interface::IP: "OpenVPN0": IP address is 10.8.0.1/24.
    [I] Apr  8 04:15:16 ndm: kernel: Disable SMB fastpath
    [I] Apr  8 04:15:16 ndm: kernel: Enable SMB fastpath for 10.8.0.1/255.255.255.0
    [I] Apr  8 04:15:16 ndm: kernel: Enable SMB fastpath for 192.168.1.1/255.255.255.0
    [W] Apr  8 04:15:16 OpenVPN0: Could not determine IPv4/IPv6 protocol. Using AF_INET6
    [I] Apr  8 04:15:16 OpenVPN0: Socket Buffers: R=[155648->155648] S=[155648->155648]
    [I] Apr  8 04:15:16 OpenVPN0: setsockopt(IPV6_V6ONLY=0)
    [I] Apr  8 04:15:16 OpenVPN0: UDPv6 link local (bound): [AF_INET6][undef]:5575
    [I] Apr  8 04:15:16 OpenVPN0: UDPv6 link remote: [AF_UNSPEC]
    [I] Apr  8 04:15:16 OpenVPN0: GID set to nobody
    [I] Apr  8 04:15:16 OpenVPN0: UID set to nobody
    [I] Apr  8 04:15:16 OpenVPN0: MULTI: multi_init called, r=256 v=256
    [I] Apr  8 04:15:16 OpenVPN0: IFCONFIG POOL: base=10.8.0.2 size=252, ipv6=0
    [I] Apr  8 04:15:16 OpenVPN0: Initialization Sequence Completed

     

    Может поэтому не пингуется OpenVPN на порту 5575? Компонент ipv6 не установлен.

  11. В 09.01.2018 в 13:42, Le ecureuil сказал:

    Тогда сделайте простой tap-сервер, но без раздачи адресов, и засуньте его в мост Home командой
    > interface Home include OpenVPN0
    Адреса будет раздавать DHCP-сервер кинетика.

    И tun, и tap. В системе представляется для совместимости в виде Ethernet-интерфейса, можно включать в Bridge (даже tun ;))

    Как поправить конфиги сервера и клиента чтобы сделать "tap-сервер, но без раздачи адресов"? Для DLNA нужно.

    Нужно ли в таком случае прописывать команды из инструкции:
     

    Цитата

     

    interface OpenVPN0 no ip global
    interface OpenVPN0 security-level private

    Если планируете использовать этот сервер в том числе для выхода в Интернет клиента, то еще:

    ip nat OpenVPN0

     

    Можно ли сделать то же самое с tun, чтобы DLNA также работал у клиентов? Что в этом случае с конфигами проделать?

    Немного помогите.

    У меня ещё и пинг не проходит на udp 1194 при белом ip, открытым портом для основного интерфейса смотрящего к провайдеру и запущенном OpenVPN сервере. Пинговал себя через 2iр.

    update:

    Вот это закомментировать что ли, чтобы OpenVPN не раздавал адреса клиентам, а адреса назначал кинетик из пула домашней сети?  Если да, то в конфиге клиента что-то убрать нужно?

    Скрытый текст

    # Configure server mode and supply a VPN subnet
    # for OpenVPN to draw client addresses from.
    # The server will take 10.8.0.1 for itself,
    # the rest will be made available to clients.
    # Each client will be able to reach the server
    # on 10.8.0.1. Comment this line out if you are
    # ethernet bridging. See the man page for more info.
    server 10.8.0.0 255.255.255.0

    update2:

    Получается чтобы сделать компонент OpenVPN сервером, эти команды обязательны:

    interface OpenVPN0 no ip global
    interface OpenVPN0 security-level private

    и если затем включить мост: interface Home include OpenVPN0, то если: ip nat OpenVPN0 не включить, клиенты будут получать ip от кинетика,

    но доступ у них будет только в локальную сеть кинетика, а если включить nat, то эти клиенты также смогут выходить в интернет через кинетик?

    (vpn клиент -> сервер OpenVPN[Keenetic] -> локалка[Keenetic]+интернет) ?

×
×
  • Create New...