Mnior

Denis P Спасибо! Конструктор - это интересно. Самое главное что уже разбито первое впечатление 10 летней давности, когда я нифига не смог законфигурить nginx, хотя меня там пугали что он довольно непонятный ... И я таки воспользовался конфигом из nginx-extras, о чём писал выше. Меня больше удивило именно то что разбросанные по всему нету руководства, короткие на 5 минут чтения. И они полностью теряют смысл если надо докуху учить дня два. И второе, каждая вещь ограничена, имеет свои область применения и следовательно свои умолчания. Обычный чел если возьмёт тупо с сайта полный пример, то 90% ресурсов сожрёт то что вообще не используется. Если вообще взлетит, т.к. монструозный конфиг затребует того до чего по незнанию не догадаешься. В итоге я именно так и сделал, взял тяжеловесный nginx-extras вписал несколько строк того что мне нужно и забил. Забил потому что даже эти пару строк дались мне тяжело, т.к. каждая из них это просто обход багов/фичей, урезаных телевизоров, не доделенного модуля rtmp и куча всякий мелочей. И мне просто уже нету никакой мотивации сделать казалось бы банальную вещь, скопировать конфиги, откатиться на nginx-ssl порезать конфиг до минимума и обойти ещё пару "фичей", которые обязательно всплывут. Жаль что нельзя посмотреть историю пакетов и выяснить когда/если пропал файл в пакете. 😕

Посмотрел разницу в пакетах nginx-ssl и nginx-extras. Таки в extras есть файл конфига ... Видимо с какой-то версии потерялся

Тоже самое. Зря я новую тему создал, только сейчас нашёл что вами было уже озвучено.

Во всех руководствах всё топорно: Просто поменяйте пару строк в файле конфига и будет счастье. И никто не показывает полный nginx.conf. И так 100500 руководств. И нигде нету, скопируй вот этот фал или сгенерируй его такой командой. Может всё таки кто-то выложит дефолтный, или ткнёт пальцем?

Всё больше и больше склоняюсь к этому что несовместимо. https://community.openvpn.net/openvpn/ticket/1349 Почему я начал играться с "AES-256-GCM". Вот из-за этого: https://forums.openvpn.net/viewtopic.php?t=33536 Как я понял с клиентской стороны сделать практически ничего нельзя, какие либо логи можно получить в основном с серверной части. Там даже затрагивается что роутеры частенько неправильно параметры обрабатываю. Но это так, вряд ли оно к делу относится. И эта фигня лечится только с серверной стороны. 1. Типа нельзя указать что-то в клиенте, что бы как-то подстроиться под сервер. Только сервер может допускать вариации клиентов, при помощи этих особых параметров. 2. Возможно не все параметры OpenVPN поддерживает роутер (keenetic в частности). (compat-mode 2.4.6 - не катит) Возможно это такая политика именно OpenVPN. Может это специально так устроено. Что бы нагибать админов обновляться хаем "тупых" пользователей. Но это не всегда работает. А так как я знаю людей "с той стороны" (админы серверов) в этих двух конторках. То маловероятно что решить проблему удастся в скором времени. Пытаюсь пробиться, но как обычно горохом об ...

Такая комбинашка на старом не идёт, только так cipher AES-256-CBC Думаю в этом и проблема, в новом версии оно не поддерживается, просто уже попадал на какой-то форму где заменяли на cipher AES-256-GCM Но там меняли и серверную часть. Пока склоняюсь к тому что надо заставить их сменить версию сервера.

Оба клиента. Думаю что конфиги серверов не смогу достать. :`( Если есть чуйка хоть примерно где корявые, как вариант, то хоть что-то смогу начать пробывать/перебирать. А пока опять откатываюсь ...

Изначально читал что в 3.9 идёт упор на обновление OpenVPN. Так что оно как бэ было ожидаемо. Но была надежда что люди пользуют массово и фидбек быстро появиться и пофиксят. Но уже 3.9.4, а только тут одна ветка на форуме намекает что всё не так радужно. Так что уже ни на 3.9.5 ни на 100.500 версию надежды нет. Надеялся что логи ткнут на какой-то Deprecated, но нет. Connection reset, restarting [0] OpenVPN0: SIGTERM[soft,connection-reset] received, process exiting ndm: Service: "OpenVPN0": unexpectedly stopped. И назло оба OpenVPN-а что имею - оба одинаково отвалились. Мар 17 01:45:53 OpenVPN0 OpenVPN 2.6_git [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD] Мар 17 01:45:53 OpenVPN0 library versions: OpenSSL 3.0.8 7 Feb 2023, LZO 2.10 Мар 17 01:45:53 OpenVPN0 Socket Buffers: R=[87000->87000] S=[16000->16000] Мар 17 01:45:53 OpenVPN0 Attempting to establish TCP connection with [AF_INET]81.XXX.XX.XXX:YYYY Мар 17 01:45:53 OpenVPN0 TCP connection established with [AF_INET]81.XXX.XX.XXX:YYYY Мар 17 01:45:53 OpenVPN0 TCPv4_CLIENT link local: (not bound) Мар 17 01:45:53 OpenVPN0 TCPv4_CLIENT link remote: [AF_INET]81.XXX.XX.XXX:YYYY Мар 17 01:45:53 OpenVPN0 NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay Мар 17 01:45:53 OpenVPN0 TLS: Initial packet from [AF_INET]81.XXX.XX.XXX:YYYY, sid=00z00z00 00z0z000 Мар 17 01:45:53 OpenVPN0 VERIFY SCRIPT OK: depth=1, C=ZZ, ST=ZZ, L=City, O=XXX, CN=Name-CA Мар 17 01:45:53 OpenVPN0 VERIFY OK: depth=1, C=ZZ, ST=ZZ, L=City, O=XXX, CN=Name-CA Мар 17 01:45:53 OpenVPN0 VERIFY SCRIPT OK: depth=0, C=ZZ, ST=ZZ, L=City, O=XXX, CN=Name-SRV-OVPN Мар 17 01:45:53 OpenVPN0 VERIFY OK: depth=0, C=ZZ, ST=ZZ, L=City, O=XXX, CN=Name-SRV-OVPN Мар 17 01:45:54 OpenVPN0 Connection reset, restarting [0] Мар 17 01:45:54 OpenVPN0 SIGTERM[soft,connection-reset] received, process exiting Мар 17 01:45:54 ndm Service: "OpenVPN0": unexpectedly stopped. ----------------------------------------------------------------------------------- [I] Mar 17 01:28:27 OpenVPN1: OpenVPN 2.6_git [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD] [I] Mar 17 01:28:27 OpenVPN1: library versions: OpenSSL 3.0.8 7 Feb 2023, LZO 2.10 [I] Mar 17 01:28:28 OpenVPN1: Socket Buffers: R=[87000->87000] S=[16000->16000] [I] Mar 17 01:28:28 OpenVPN1: Attempting to establish TCP connection with [AF_INET]86.XXX.XX.XX:YYYY [I] Mar 17 01:28:28 OpenVPN1: TCP connection established with [AF_INET]86.XXX.XX.XX:YYYY [I] Mar 17 01:28:28 OpenVPN1: TCPv4_CLIENT link local: (not bound) [I] Mar 17 01:28:28 OpenVPN1: TCPv4_CLIENT link remote: [AF_INET]86.XXX.XX.XX:YYYY [I] Mar 17 01:28:28 OpenVPN1: NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay [I] Mar 17 01:28:28 OpenVPN1: TLS: Initial packet from [AF_INET]86.XXX.XX.XX:YYYY, sid=z0zz0z00 z00z000Z [I] Mar 17 01:28:28 OpenVPN1: VERIFY SCRIPT OK: depth=1, C=ZZ, ST=Country, L=City, O=The Name, OU=IT, CN=CA [I] Mar 17 01:28:28 OpenVPN1: VERIFY OK: depth=1, C=ZZ, ST=Country, L=City, O=The Name, OU=IT, CN=CA [I] Mar 17 01:28:28 OpenVPN1: VERIFY KU OK [I] Mar 17 01:28:28 OpenVPN1: Validating certificate extended key usage [I] Mar 17 01:28:28 OpenVPN1: ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication [I] Mar 17 01:28:28 OpenVPN1: VERIFY EKU OK [I] Mar 17 01:28:28 OpenVPN1: VERIFY SCRIPT OK: depth=0, C=ZZ, ST=Country, L=City, O=IThe Name, OU=IT, CN=Server [I] Mar 17 01:28:28 OpenVPN1: VERIFY OK: depth=0, C=ZZ, ST=Country, L=City, O=The Name, OU=IT, CN=Server [E] Mar 17 01:28:29 OpenVPN1: Connection reset, restarting [0] [I] Mar 17 01:28:29 OpenVPN1: SIGTERM[soft,connection-reset] received, process exiting [E] Mar 17 01:28:29 ndm: Service: "OpenVPN1": unexpectedly stopped. [I] Mar 17 01:28:29 ndm: Network::Interface::Base: "OpenVPN1": interface is down. Конечно текущее мировое бытие определяет общественное сознание, но надеюсь что ктось откликнется. Ткнёт на очевидные вещи полному профану в OpenVPN. А то как-то не хочется прилипнуть к 3.8.5 навсегда. client dev tun proto tcp-client remote 81.XXX.XX.XXX YYYY resolv-retry infinite nobind persist-key persist-tun ;cipher AES-256-CBC ;data-ciphers-fallback AES-256-CBC cipher AES-256-GCM auth SHA1 auth-nocache tls-client <auth-user-pass/> verb 3 pull route-delay 5 route 192.168.X.0 255.255.255.0 route 192.168.X.0 255.255.255.0 route 192.168.X.0 255.255.255.0 route 192.168.X.0 255.255.255.0 <ca/> <cert/> <key/> ----------------------------------------- client dev tun proto tcp remote 86.XXX.XX.XX YYYY resolv-retry infinite nobind persist-key persist-tun ;cipher AES-256-CBC ;data-ciphers-fallback AES-256-CBC cipher AES-256-GCM <auth-user-pass/> verb 3 remote-cert-tls server route X.XXX.XXX.XX 255.255.255.255 vpn_gateway <ca/> <cert/> <key/> Цыферики некоторые прикрыл, может даже черезчур. На счёт cipher. Это я игрался, изначально было просто "cipher AES-256-CBC", разница лишь в варнинге: DEPRECATED OPTION: --cipher set to 'AES-256-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305). OpenVPN ignores --cipher for cipher negotiations. Возможно в этом и трабла, шо AES-256-CBC не поддерживает и никак с ним невозможно поднять (только бесполезно просить поменять сервер). Но хотелось бы явного пинка в нужное место где это написано (хоть как-то прикрываться ею). Но странно что соффременные прогеры это подразумевают в очень информативной ошибке "unexpectedly stopped". Если ошибся форумом, звиняйте и маякните куды лучше податься. Заранее спасибо.