Alexashka

proto udp4

ждём ещё кого-нибудь, кто все объяснит

поделитесь серверным конфигом, если не жалко, пожалуйста) хочу сравнить, может я чего напутал. у меня TLS-auth работает только если я не задаю 'auth none', но в этой ветке выше мне писали, что для использования ChaCha20 на keeneticII надо ставить 'auth none' чтобы добиться скорости. Если auth оставить пустым, он выставляется в SHA1 и если я правильно понимаю получается двойная работа, т.к. ChaCha20-POLY1305 уже является шифром с аутентификацией. Видимо отсюда и низкая скорость. Вообще, я бы хотел оставить включенным TLS, и использовать ChaCha20 для прироста скорости. Пока что сделать мне этого не удалось. Либо такая же скорость, либо даже хуже. жертвовать безопасностью в угоду скорости я не хочу

а подскажите, у вас TLS-аутентификация включена? Если как написано делать, ставить auth none То получаю ошибку т.е. auth none несовместим TLS-аутентификацией по ключу. Сейчас auth вообще отсутствует в конфиге, сервер выставляет ее на SHA1. C ChaCha20 получается нельзя использовать tls-auth? Я кстати отключал TLS-аутентификацию, чтобы проверить скорость. Не заметил прироста. Вообще честно не заметил прироста по сравнению с тем, что было до ChaCha20. Либо я неправильно его приготовил (

UPD. Странно, но помогло ncp-ciphers CHACHA20-POLY1305 на сервере. Без этого в упор не хотел шифр ставиться, сбрасывался на AES-256-GCM. Теперь вижу в логе однако радовался я рано, скорость черепашья, максимум что я видел ~100КБ/с. чтояделаюнетак?

добрый день! запустил встроенный OpenVPN на прошивке 2.16.D.1.0-1 на Keenetic II, указал шифр CHACHA20-POLY1305. Клиент - смартфон на 9 Android (4G интернет, 15-20mbps), приложение - OpenVPN Connect (скачал последнюю с маркета 0.7.8, в логах пишет OpenVPN версии 2.5, OpenSSL 1.1.1a). Подключаюсь, сеть есть. Данные гоняются. Скорость не прибавилась, как была ДО 1МБайт/с, так и осталась. правда субъективно показалось, что нагрузка на ЦП сервера снизилась. Однако в логах на сервере фигурирует шифр 'AES-256-GCM', на клиенте пишет только [AEAD]. Включено LZO, TLS-аутентификация по ключу. Почему в логах сервера пишет другой шифр? он не использует ChaCha20? Установлен OPKG, захожу в ssh, набираю /usr/sbin/openvpn --show-ciphers и вижу AES-128-CBC (128 bit key, 128 bit block) AES-128-CFB (128 bit key, 128 bit block, TLS client/server mode only) AES-128-CFB1 (128 bit key, 128 bit block, TLS client/server mode only) AES-128-CFB8 (128 bit key, 128 bit block, TLS client/server mode only) AES-128-GCM (128 bit key, 128 bit block, TLS client/server mode only) AES-128-OFB (128 bit key, 128 bit block, TLS client/server mode only) AES-192-CBC (192 bit key, 128 bit block) AES-192-CFB (192 bit key, 128 bit block, TLS client/server mode only) AES-192-CFB1 (192 bit key, 128 bit block, TLS client/server mode only) AES-192-CFB8 (192 bit key, 128 bit block, TLS client/server mode only) AES-192-GCM (192 bit key, 128 bit block, TLS client/server mode only) AES-192-OFB (192 bit key, 128 bit block, TLS client/server mode only) AES-256-CBC (256 bit key, 128 bit block) AES-256-CFB (256 bit key, 128 bit block, TLS client/server mode only) AES-256-CFB1 (256 bit key, 128 bit block, TLS client/server mode only) AES-256-CFB8 (256 bit key, 128 bit block, TLS client/server mode only) AES-256-GCM (256 bit key, 128 bit block, TLS client/server mode only) AES-256-OFB (256 bit key, 128 bit block, TLS client/server mode only) CHACHA20-POLY1305 (256 bit key, 8 bit block, TLS client/server mode only) The following ciphers have a block size of less than 128 bits, and are therefore deprecated. Do not use unless you have to. BF-CBC (128 bit key by default, 64 bit block) BF-CFB (128 bit key by default, 64 bit block, TLS client/server mode only) BF-OFB (128 bit key by default, 64 bit block, TLS client/server mode only) CAST5-CBC (128 bit key by default, 64 bit block) CAST5-CFB (128 bit key by default, 64 bit block, TLS client/server mode only) CAST5-OFB (128 bit key by default, 64 bit block, TLS client/server mode only) DES-CBC (64 bit key, 64 bit block) DES-CFB (64 bit key, 64 bit block, TLS client/server mode only) DES-CFB1 (64 bit key, 64 bit block, TLS client/server mode only) DES-CFB8 (64 bit key, 64 bit block, TLS client/server mode only) DES-EDE-CBC (128 bit key, 64 bit block) DES-EDE-CFB (128 bit key, 64 bit block, TLS client/server mode only) DES-EDE-OFB (128 bit key, 64 bit block, TLS client/server mode only) DES-EDE3-CBC (192 bit key, 64 bit block) DES-EDE3-CFB (192 bit key, 64 bit block, TLS client/server mode only) DES-EDE3-CFB1 (192 bit key, 64 bit block, TLS client/server mode only) DES-EDE3-CFB8 (192 bit key, 64 bit block, TLS client/server mode only) DES-EDE3-OFB (192 bit key, 64 bit block, TLS client/server mode only) DES-OFB (64 bit key, 64 bit block, TLS client/server mode only) DESX-CBC (192 bit key, 64 bit block) RC2-40-CBC (40 bit key by default, 64 bit block) RC2-64-CBC (64 bit key by default, 64 bit block) RC2-CBC (128 bit key by default, 64 bit block) RC2-CFB (128 bit key by default, 64 bit block, TLS client/server mode only) RC2-OFB (128 bit key by default, 64 bit block, TLS client/server mode only) т.е. вижу что сервер поддерживает CHACHA20-POLY1305 тогда в чем проблема?

Привет! Так я и не понял в чем проблема, но я ее решил, точнее, тактически выждал) сегодня включаю после 3 дней перерыва, и все работает. Ничего не менял (по крайней мере, я так считаю), я даже начал с того, что хотел поэтапно удалять параметры из конфига, добиваясь его запуска. А он взял и запустился с ходу. Что это было, я так и не понял, но на порт он ругаться перестал В итоге, мой рабочий текущий конфиг почти такой же, как я постил выше, за небольшими исключениями. Прикладываю, вдруг кому-то понадобится Server.txt

Указал протокол (proto udp4), собственно, ничего не поменялось, сервер так и не завелся, ругается на занятый порт. Пробовал и бинд делать к локальному интерфейсу, все одно. netstat -lp показывает, что порт свободен, до включения. после включения сервера в вебе порт становится занят самим сервером, и если его отключить в вебе, он остаётся забинденным. При этом не важно, первое это включение или нет, сервер неизменно валится с этой ошибкой. Добавил исключение в файрволл, думал может это поможет, нет. Насчёт отсутствующего файла конфигурации, я вроде разобрался, ругань идёт на временный файл в /tmp/openvpn/..., видимо, если в основном конфиге отсутствуют некоторые минимально необходимые настройки, файл этот не создаётся, и сервер ругается на его отсутствие, а не на неверный конфиг. В моем случае помогло добавление key-direction, который я забыл добавить при изменении параметра tls-auth на секцию. Мой конфиг: dev tun port 60443 proto udp4 ifconfig 10.4.0.1 10.4.0.8 topology subnet cipher CHACHA20-POLY1305 server 10.4.0.0 255.255.255.0 key-direction 0 tls-server tls-timeout 120 keepalive 45 120 max-clients 32 persist-key persist-tun verb 3 mute 20 daemon mode server comp-lzo tun-mtu 1500 fragment 1300 mssfix 1300 fast-io txqueuelen 300 sndbuf 26000 rcvbuf 26000 auth-nocache push "route 192.168.0.0 255.255.255.0" route 192.168.1.0 255.255.255.0 10.4.0.8 <ca>...</ca> <cert> ...</cert> <key>...</key> <dh>...</dh> <tls-auth>...</tls-auth>

И да, а как все таки в случае all-in-one файла использовать конфиги для клиентов (client-config-dir). У меня клиенты разные, одни просто хосты, а один - роутер и за ним подсесть, и надо маршрутизацию делать

В соседней ветке нашел, что предлагали убрать client-to-client, и client-config-dir, сделал, теперь другая проблема: пишет что порт уже занят, но он свободен, я взял 60443. Похоже дело в ipv6, который он судя по логам пытается использовать "Could not determine IPv4/IPv6 protocol. Using AF_INET6.

Жаль, а я уж было обрадовался. Но потом все же решил все перенастроить на встроенный OpenVPN, без использования opkg. Сгенерировал ключи, создал новый конфиг с встроенными в него ключами (все в одном), добавил новое VPN соединение на другом порту (444 пока) и вставил конфиг, запускаю... И получаю: "Error opening configuration file: /tmp/openvpn/OpenVPN0/openvpn.config" И ещё кучу таких же в логе. В чем причина?

Upd. Обновил libopenssl с 1.0.2k до 1.0.2n (opkg update, opkg list-upgradable), то же самое, только версия openssl в логе поменялась. Где взять openssl 1.1.0?

Добрый день! Keenetic II, Прошивка 2.16.D.1.0-1 Включаю ChaCha20, пишет, что он не поддерживается. В конфиге ставлю: cipher CHACHA20-POLY1305 auth NONE openvpn2.log ciphers.txt

все понятно, больше спасибо за разъяснение!

о, спасибо! >auth NONE это как же, вообще без аунтификации? поясните пожалуйста, или этому шифру это не требуется (без потерь в безопасности)

Доброго дня, товарищи! Вопрос по теме, подскажите, пожалуйста: Имею два маршрутизатора с OpenVPN: Keenetic DSL: Current 2.11.C.1.0-3 Available: 2.11.D.5.0-1 (debug) Keenetic II: Current: 2.16.D.1.0-0 Available: 2.16.D.1.0-1 Keenetic II является сервером, сервер OpenVPN поднят из OPKG, использую cipher AES-256-CBC и auth Sha1, скорость никакая. Если перейду на последние версии прошивок, станет доступно шифрование CHACHA20-POLY1305? Как я понял нужно просто обновить ОС и в конфиге выбрать новый тип шифра? Если перейду на Доброго дня, товарищи! Вопрос по теме, подскажите, пожалуйста: Имею два маршрутизатора с OpenVPN: Keenetic DSL: Current 2.11.C.1.0-3 Available: 2.11.D.5.0-1 (debug) Keenetic II: Current: 2.16.D.1.0-0 Available: 2.16.D.1.0-1 Keenetic II является сервером, сервер OpenVPN поднят из OPKG, использую cipher AES-256-CBC и auth Sha1, скорость никакая. Если перейду на последние версии прошивок, станет доступно шифрование CHACHA20-POLY1305? Как я понял нужно просто обновить ОС и в конфиге выбрать новый тип шифра?