Jump to content

Alex M. Jake

Forum Members
 View Profile  See their activity

  • Posts

    14

  • Joined

  • Last visited

 Content Type 

Posts posted by Alex M. Jake

    L2TP/IPsec сервер

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted

    А L2TP/IPSec клиент на Air KN-1611 аппаратно ускоряется? Объединил 3 сети по инструкции, используя L2TP/IPSec в качестве транспорта, "сервер" Giga KN-1010, "клиенты" Air. "ppe" и "crypto engine" нигде не отключал. Тариф везде 100 Мбит/с, Speedtest приблизительно так и показывает. Однако iperf3 с хоста из сети "клиента" до хоста в сети "сервера" показывает приблизительно 30 Мбит/с, при этом вёбморда Air не открывается и интернет не работает, вообще. Налицо 100% загрузка процессора на Air и отсутствие аппаратной акселерации, хотя статья "Типы VPN-соединений в Keenetic" утверждает обратное.

    Переходить на WireGuard?

    ping check for DoH/DoT

    in Развитие

    Posted

    У провайдера есть внутренние ресурсы, которые доступны даже при неоплаченном интернете. Как это сделано, путём перехвата и подмены DNS или форвардинга внешнего ip-адреса ресурса во внутренний, я не знаю.

    Проблема: если включён DoH/DoT, то внутренние ресурсы при неоплаченном интернете не работают.

    Решение: использовать DoH/DoT только при работающем интернете, который проверят с помощью ping check/

    • Confused 1

    Настройка DoT/DoH

    in Обмен опытом

    Posted

    Техподдержка предположила, что DoH фильтруется провайдером (Дом.ру, будь он неладен, их уже не раз ловили на играх с DNS серверами и запросами).

    Оставил только DoT, тестирую....

    Настройка DoT/DoH

    in Обмен опытом

    Posted

    57 minutes ago, keenet07 said:

    А в дох/дот у вас какие сервера прописаны? 

    dns-proxy
    tls upstream 8.8.8.8 sni dns.google.com
    tls upstream 8.8.4.4 sni dns.google.com
    tls upstream 1.1.1.1 sni cloudflare-dns.com
    tls upstream 1.0.0.1 sni cloudflare-dns.com
    tls upstream 9.9.9.9 sni dns.quad9.net
    https upstream https://cloudflare-dns.com/dns-query json
    https upstream https://dns.google/dns-query dnsm
    https upstream https://dns.google/resolve json

     

    58 minutes ago, keenet07 said:

    У меня к примеру при использовании только серверов cloudflare периодически возникают подтупливания при открытии страниц.

    У меня не подтупливает, а сразу отлуп о неразрезолвенном имени.

    Настройка DoT/DoH

    in Обмен опытом

    Posted

    5 hours ago, keenet07 said:

    К сожалению это так не работает. Если выбрано "Без фильтрации" применяются установленные вами DoH/DoT сервера, но никакие транзитные при этом не ловятся. Они ловятся только в случае когда выбран какой-то из режимов фильтрации для того чтоб никто мимо не убежал. 

     

    Настройка DoT/DoH

    in Обмен опытом

    Posted

    Пару дней "чудил" интернет, не резолвились домены и, как результат, Chrome не отображал, Steam ругался на оффлайн режим и тд. Проблема проявлялась через минут 5 после загрузки роутера (половина программ на телефонах переставала работать, на компьютере Стим), при этом nslookup на удивление работал. Стоит DoH и DoT, для блокировки транзитного трафика стоял AdGuard DNS с профилем по умолчанию "Без фильтрации". Прошивка 3.3.16, пробовал ещё 3.4 Alpha 15.

    Проблема оказалась в AdGuard, сначала убрал интернет фильтр, потом поставил Яндекс "Без фильтрации" - проблема пропала.

    Подключение Wireguard

    in 3.3

    Posted · Edited by Alex M. Jake

    Не понял:

    1) зачем указывать "interface Wireguard2 ip address" у сервера? Вроде параметр по спецификации wireguard не является обязательным? По крайней мере, у меня в OpenWrt работало без явного указания внутренних адресов пиров, таблица маршрутизации строилась с указанием название интерфейса.

    2) "Порт прослушивания" надо на внешнем интерфейсе открывать, или он самостоятельно откроется?

    3) что за "Разделяемый ключ", нужен ли он и как его генерировать?

    4) совсем непонятки с явным указанием маршрутов между подсетями, wireguard вроде самостоятельно должен делать соответствующие маршруты на основании параметров "wireguard peer <xxx> allow-ips"

    5) и совсем непонятно что делает "Использовать для входа в Интернет".

    Вообще, в области wireguard стоит вообще отойти от разделения "сервер" и "клиент". Даже в самой спецификации говорится, что все пиры являются равнозначными, поэтому и называются просто "пиры". Просто некоторые пиры могут просто пассивно ждать подключения, а некоторые инициируют подключение. Пиры даже оба могут инициировать соединение, достаточно на обоих сторонах указать "Адрес и порт пира". Но всё равно с точки зрения wireguard это равноправные пиры, нет явного "сервера" и "клиента".

    • Upvote 2

    can't resolve 'ya.ru': Temporary failure in name resolution

    in Обмен опытом

    Posted

     

    1 hour ago, Илдар said:

    ~ # nslookup ya.ru
    Server:    127.0.0.1
    Address 1: 127.0.0.1 localhost

    nslookup: can't resolve 'ya.ru': Temporary failure in name resolution

    Это Ubuntu? Добавьте "nameserver 8.8.8.8" в /etc/resolv.conf, хоть будет понятно, это только у меня проблема с Ubuntu или проблема в Кинетиках.

    OpenWrt VPN client to Keenetic VPN server

    in Обмен опытом

    Posted

    23 minutes ago, ndm said:

    Нет. Wireguard попробуйте, он по скорости гораздо приятнее.

    Wireguard у меня работал, когда на обоих концах стоял OpenWrt. Сейчас решил основной роутер заменить на Гигу, отчасти из-за того, что приличный роутер, на который можно поставить OpenWrt, стоит столько же (!).

     

    С wireguard заметил такую "фичу", он ресолвит ddns имя при старте и в дальнейшем при потере соединения пытается соединится с уже полученным ip. Получается, при динамическом IP, соединение может не восстановится при перезагрузке роутера. Это не проблема, на удалённом роутере можно тоже поднять ddns и основной роутер при перезагрузке будет сам восстанавливать соединение с удалённым роутером. Но у меня удалённому роутеру провайдер иногда выдаёт серый ip, поэтому в идеале я бы хотел, чтобы инициатором соединения был удалённый роутер, а основной (Гига) пассивно ждал входящего соединения.

    Ещё смущает реализация wireguard в Гиге, он opkg тянет. Хотелось бы обойтись без них. Может дадите инструкцию как L2TP/IPsec в OpenWrt поднять?

    OpenWrt VPN client to Keenetic VPN server

    in Обмен опытом

    Posted

    Задача, надо объединить сегменты сетей. На Giga поднимаю VPN сервер:

    1. PPTP не хочу, не секьюрно. Но потыкавшись с остальными, попробовал и его. На OpenWrt создал интерфейс, в котором снял галку default gateway (что-то типа этого). Но не соединяется, выдаёт invalid proto.

    2. IPsec IKE2 тоже не хочу, пакеты для OpenWrt очень тяжёлые. Все в память роутера не влазят, а какие минимально необходимый комплект пакетов поставить - пока не знаю.

    3. L2TP/IPsec нативно в OpenWrt не поддерживается, только L2TP. Как настроить L2TP/IPsec в OpenWrt - инструкции найти не могу.

    4. SSTP, пока главный кандидат. Поставил sstp-client пакет. Как я понял, в uci он не поддерживается. На роутере в ssh запустил команду "sstpc --cert-warn --save-server-route --user <login> --password <pass> <gate>.keenetic.link" - соединение поднялось, ура! Теперь вопрос, как прописать это в конфиги на OpenWrt, чтобы поднималось само при старте. Ещё вопрос, SSTP в Гиге акселирируется хардварно или нет?

×
×
  • Create New...