-
Posts
16 -
Joined
-
Last visited
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by Quadro Rover
-
-
Не могу ограничить количество попыток, продолжает переподключаться, помогите с кодом.
#!/bin/sh counter=/opt/share/counter.txt max_tries=2 [ -z "$address" ] && exit 0 logger -t WHITE-IP[$$] "interface: " $interface ", address: " $address if [ "$interface" = "ppp0" ]; then _ip=$(echo $address | grep -v "^100\.") if [ -z "$_ip" ]; then # Get counter from temp file [ -f "$counter" ] || echo '0' > $counter try_nr="$(cat $counter)" # This is our try_nr try try_nr=$((try_nr+1)) # Too much tries if [ $try_nr -gt $max_tries ]; then echo '0' > $counter logger -t WHITE-IP[$$] "Too much tries. Exit"; exit fi echo "$try_nr" > $counter logger -t WHITE-IP[$$] "Reloading wan due grey IP - $address"; ndmq -p 'interface PPPoE0 no connect via ISP' -P message sleep 5 ndmq -p 'interface PPPoE0 connect via ISP' -P message else echo '0' > $counter logger -t WHITE-IP[$$] "White IP - $address"; fi fi
Там же указано что если попыток больше то команда - exit - завершить скрипт, чё ему надо?
-
Да что-то не особо, где-то на 300 кбайт медленей чем SHA1, странно. Пока на GCM, чуть больше 2 мегабайт при копировани с самбы в винде.
Там может и больше, просто провайдер Соседтелеком, тариф "Вайфай".
tun-mtu ещё подбирал по логам так, чтобы в итоге link-mtu был равен максимальному для интерфейса на котором интернет. Как определить оптимальный размер MTU? – Keenetic
-
Понятно. Вместе с тем, только вычитал что CBC значительно быстрее чем GCM, если не используется аппаратное ускорение. https://kazoo.ga/quick-benchmark-cbc-vs-gcm/
А где-то тут отвечали, что на кинетиках OpenVPN аппаратно не ускорен, тогда логично использовать AES-CBC и auth BLAKE2b512 (как самый быстрый, надёжный дайджест https://blake2.net/). Наверно.
Хотя AES-GCM исключает необходимость в HMAC. Как жить теперь, что выбрать..
-
Нет ошибки, оказалось при использовании AES-GCM, auth выключается сам, и получается HMAC не используется ибо не нужен при таком шифровании.. Так чтоли?
-
auth BLAKE2s256 он самый быстрый, прописан в конфигах.
а в логе при подключении пишет auth [null-digest], почему подскажет кто? так же и с MD5. Это типа не поддерживается сборкой именно на NDMS?
-
У всех в приоритете скорость. Добавьте SoftEtherVPN сервер с космическими скоростями, ovpn в сравнении с ним маленькая улитка. Там на всё уже клиенты есть, и ovpn он тоже поднимать может.
Он уже достаточно развился, скоро пятая версия.
- 1
-
Теперь понятно.
Вычитал если используется шифрование AES-GCM то HMAC (ta.key) не нужен.
Вопрос по OpenVPN Server @ TCP 443 снят таким образом:
-
-
2 часа назад, Mixin сказал:
FAQ
Да зачем мне этот фак, это даже не фак.
Если Le ecureuil написал что даже tun можно в мост, то непонятно тольто можно ли сделать получение ip с роутера. Конфиг server side нужен. topology subnet или p2p в таком случае. Просил бы я помочь если бы в гугле было..
-
13 часа назад, Le ecureuil сказал:
.
Так как же сделать tun мост (interface Home include OpenVPN0) чтобы клиенты ovpn получали адреса от DHCP сервера кинетика?
Как понял, если писать какие-то маршруты, то это уже будет не так работать, мультикаст DLNA работает только в своей (одной) подсети.
-
В 08.04.2018 в 04:52, Mixin сказал:
Примерно так:
а зачем
client
comp-lzo adaptiveесли у вас
mode server
push "compress lz4-v2"?
-
1 час назад, Сергей Молоков сказал:
а прошивки для них уже не собирают?
http://files.keenopt.ru/firmware/Keenetic_III/2018-02-22/
1 час назад, Mixin сказал:Будет проще, если вы покажите и лог, и правило.
Поставьте proto tcp4 и увидите лог при пинге порта сервера, при udp4 не пингует. Или у вас пингует?
-
Ой спасибо, попробую. А можно ещё чтобы tun мостом и DLNA через него?)
Извиняюсь что не цитирую конкретные ответы, не очень понятно как.
Это предупреждение [W] Apr 8 04:15:16 OpenVPN0: Could not determine IPv4/IPv6 protocol. Using AF_INET6 я убрал явно указав протокол: proto udp4 (тут вычитал https://community.openvpn.net/openvpn/ticket/805)
Но да, udp4 не пингуется, а если указать tcp4 то пинг приходит и сервер пишет лог по этому поводу. UPD не должен пинговаться? У меня уже долго камасутра с OpenVPN сервером, бедные люди кто хочет настроить и не может)
O кстати, есть батник, делал для себя - ошибки не обрабатывает. Внизу видно какие файлы он удаляет после генерации сертификатов, также можно указать количество клиентов.
Он для задачи "всё сразу". Чтобы генерить отдельно для клиентов новые серты, нужно дописывать. Пишет в папку easy-keys там же где лежит, а лежать должен: C:\Program Files\OpenVPN\bin\ и файл openssl-1.0.0.cnf должен быть рядом с ним. Перед каждым запуском папку easy-keys лучше удалять или очищать. Портативный если его вместе с файлами из папки bin таскать.
Может кому сгодится EasyKeys - OpenVPN.bat
Или кодом, сохранить с расширением .bat
Скрытый текст@echo off title EasyKeys - OpenVPN rem ---------------- USER SETTING SECTION ---------------- set key_size=4096 set dh_key_size=1024 set server_keyname=GanjaServer set clients_count=2 set key_country=us set key_province=ca set key_city=sanfrancisco set key_org=openvpn set key_email=mail@host.domain set key_cn=changeme set key_name=changeme set key_ou=changeme set pkcs11_module_path=changeme set pkcs11_pin=1234 rem ---------------- USER SETTING SECTION END ---------------- rem ---------------- SCRIPT VARIABLES ---------------- set home=%~dp0 set key_dir=%~dp0easy-keys set key_config="%~dp0openssl-1.0.0.cnf" rem ---------------- PAUSE BETWEEN COMMANDS ---------------- set "t=timeout.exe /t 1 /nobreak > nul" if not exist "%key_dir%" (mkdir "%key_dir%") type nul> "%key_dir%\index.txt" type nul> "%key_dir%\index.txt.attr" type nul> "%key_dir%\serial" echo 01> "%key_dir%\serial" %t% rem ---------------- SERVER AND CLIENT SIDE. BUILD A CERT AUTHORITY VALID FOR TEN YEARS, STARTING NOW ---------------- openssl.exe req -batch -days 3650 -nodes -new -x509 -keyout "%key_dir%\ca.key" -out "%key_dir%\ca.crt" -config %key_config% %t% rem ---------------- SERVER SIDE. BUILD A DIFFIE-HELLMAN FILE ---------------- openssl.exe dhparam -out "%key_dir%\dh%dh_key_size%.pem" %dh_key_size% %t% rem ---------------- SERVER SIDE. BUILD A REQUEST FOR A CERT THAT WILL BE VALID FOR TEN YEARS ---------------- openssl.exe req -batch -days 3650 -nodes -new -keyout "%key_dir%\%server_keyname%.key" -out "%key_dir%\%server_keyname%.csr" -config %key_config% %t% rem ---------------- SERVER SIDE. SIGN THE CERT REQUEST WITH OUR CA, CREATING A CERT/KEY PAIR ---------------- openssl.exe ca -batch -days 3650 -out "%key_dir%\%server_keyname%.crt" -in "%key_dir%\%server_keyname%.csr" -extensions server -config %key_config% %t% del /f /q "%key_dir%\*.old"> nul 2> nul type nul> "%key_dir%\index.txt" %t% setlocal enabledelayedexpansion for /l %%i in (1,1,%clients_count%) do ( set r=client!random! rem ---------------- CLIENT SIDE. BUILD A REQUEST FOR A CERT THAT WILL BE VALID FOR TEN YEARS ---------------- openssl.exe req -batch -days 3650 -nodes -new -keyout "%key_dir%\!r!.key" -out "%key_dir%\!r!.csr" -config %key_config% %t% rem ---------------- CLIENT SIDE. SIGN THE CERT REQUEST WITH OUR CA, CREATING A CERT/KEY PAIR ---------------- openssl.exe ca -batch -days 3650 -out "%key_dir%\!r!.crt" -in "%key_dir%\!r!.csr" -config %key_config% %t% del /f /q "%key_dir%\*.old"> nul 2> nul type nul> "%key_dir%\index.txt" %t%) endlocal rem ---------------- SERVER AND CLIENT SIDE. CREATE AN "HMAC FIREWALL" TO HELP BLOCK DOS ATTACKS AND UDP PORT FLOODING ---------------- openvpn.exe --genkey --secret "%key_dir%\ta.key" del /f /q "%key_dir%\index.txt"> nul 2> nul del /f /q "%key_dir%\index.txt.attr"> nul 2> nul del /f /q "%key_dir%\serial"> nul 2> nul del /f /q "%key_dir%\0*.pem"> nul 2> nul rem del /f /q "%home%.rnd"> nul 2> nul pause exit 0
-
А вот лог:
Скрытый текст[I] Apr 8 04:15:16 OpenVPN0: OpenVPN 2.4.4 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD] [I] Apr 8 04:15:16 OpenVPN0: library versions: OpenSSL 1.1.0h 27 Mar 2018, LZO 2.10 [I] Apr 8 04:15:16 OpenVPN0: Diffie-Hellman initialized with 1024 bit key [I] Apr 8 04:15:16 OpenVPN0: Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication [I] Apr 8 04:15:16 OpenVPN0: Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication [I] Apr 8 04:15:16 OpenVPN0: TUN/TAP device tun0 opened [I] Apr 8 04:15:16 OpenVPN0: TUN/TAP TX queue length set to 100 [I] Apr 8 04:15:16 OpenVPN0: do_ifconfig, tt->did_ifconfig_ipv6_setup=0 [I] Apr 8 04:15:16 ndm: Network::Interface::IP: "OpenVPN0": IP address is 10.8.0.1/24. [I] Apr 8 04:15:16 ndm: kernel: Disable SMB fastpath [I] Apr 8 04:15:16 ndm: kernel: Enable SMB fastpath for 10.8.0.1/255.255.255.0 [I] Apr 8 04:15:16 ndm: kernel: Enable SMB fastpath for 192.168.1.1/255.255.255.0 [W] Apr 8 04:15:16 OpenVPN0: Could not determine IPv4/IPv6 protocol. Using AF_INET6 [I] Apr 8 04:15:16 OpenVPN0: Socket Buffers: R=[155648->155648] S=[155648->155648] [I] Apr 8 04:15:16 OpenVPN0: setsockopt(IPV6_V6ONLY=0) [I] Apr 8 04:15:16 OpenVPN0: UDPv6 link local (bound): [AF_INET6][undef]:5575 [I] Apr 8 04:15:16 OpenVPN0: UDPv6 link remote: [AF_UNSPEC] [I] Apr 8 04:15:16 OpenVPN0: GID set to nobody [I] Apr 8 04:15:16 OpenVPN0: UID set to nobody [I] Apr 8 04:15:16 OpenVPN0: MULTI: multi_init called, r=256 v=256 [I] Apr 8 04:15:16 OpenVPN0: IFCONFIG POOL: base=10.8.0.2 size=252, ipv6=0 [I] Apr 8 04:15:16 OpenVPN0: Initialization Sequence Completed
Может поэтому не пингуется OpenVPN на порту 5575? Компонент ipv6 не установлен.
-
В 09.01.2018 в 13:42, Le ecureuil сказал:
Тогда сделайте простой tap-сервер, но без раздачи адресов, и засуньте его в мост Home командой
> interface Home include OpenVPN0
Адреса будет раздавать DHCP-сервер кинетика.И tun, и tap. В системе представляется для совместимости в виде Ethernet-интерфейса, можно включать в Bridge (даже tun )
Как поправить конфиги сервера и клиента чтобы сделать "tap-сервер, но без раздачи адресов"? Для DLNA нужно.
Нужно ли в таком случае прописывать команды из инструкции:
Цитатаinterface OpenVPN0 no ip global
interface OpenVPN0 security-level privateЕсли планируете использовать этот сервер в том числе для выхода в Интернет клиента, то еще:
ip nat OpenVPN0
Можно ли сделать то же самое с tun, чтобы DLNA также работал у клиентов? Что в этом случае с конфигами проделать?
Немного помогите.
У меня ещё и пинг не проходит на udp 1194 при белом ip, открытым портом для основного интерфейса смотрящего к провайдеру и запущенном OpenVPN сервере. Пинговал себя через 2iр.
update:
Вот это закомментировать что ли, чтобы OpenVPN не раздавал адреса клиентам, а адреса назначал кинетик из пула домашней сети? Если да, то в конфиге клиента что-то убрать нужно?
Скрытый текст# Configure server mode and supply a VPN subnet
# for OpenVPN to draw client addresses from.
# The server will take 10.8.0.1 for itself,
# the rest will be made available to clients.
# Each client will be able to reach the server
# on 10.8.0.1. Comment this line out if you are
# ethernet bridging. See the man page for more info.
server 10.8.0.0 255.255.255.0update2:
Получается чтобы сделать компонент OpenVPN сервером, эти команды обязательны:
interface OpenVPN0 no ip global
interface OpenVPN0 security-level privateи если затем включить мост: interface Home include OpenVPN0, то если: ip nat OpenVPN0 не включить, клиенты будут получать ip от кинетика,
но доступ у них будет только в локальную сеть кинетика, а если включить nat, то эти клиенты также смогут выходить в интернет через кинетик?
(vpn клиент -> сервер OpenVPN[Keenetic] -> локалка[Keenetic]+интернет) ?
Подключение веб камеры в Entware (ZyXEL Keenetic II)
in Каталог готовых решений Opkg
Posted
ffmpeg без поддержки libx264 собран? А в списке пакетов - libx264 is a free software library for encoding video streams into the H.264/MPEG-4 AVC compression format.
Зачем почему? Надо ж yuyv422 жать, а то 10 сек видео 30мб. И если указать ffmpeg -f alsa -i /dev/audio - пишет типа нет такого, а оно есть ls /dev/aud* C270 вебка. ?