d1m4n
-
Posts
14 -
Joined
-
Last visited
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by d1m4n
-
-
32 минуты назад, r13 сказал:
А что вы ожидаете от пинга?
В ответе ttl отвечающего.
Он в одном хопе от меня. Для информации. Вариант следующий. Свисток заменен:
(config)> show interface CdcEthernet0 id: CdcEthernet0 index: 0 type: CdcEthernet description: Huawei Mobile Broadband interface-name: CdcEthernet0 link: up connected: no state: up mtu: 1500 tx-queue: 1000 plugged: yes vendor: 12d1 model: 14db manufacturer: HUAWEI_MOBILE product: HUAWEI_MOBILE serial: ati: manufacturer: Huawei global: yes defaultgw: yes priority: 33119 security-level: public uptime: 0 mobile: signal-level: 0 address: 192.168.8.100 mask: 255.255.255.0
TTL кинетика не модифицирован, зато хуавей запилен как надо и на нем TTL выставлен в 129. Результат:
(config)> tools ping 195.14.50.1 sending ICMP ECHO request to 195.14.50.1... PING 195.14.50.1 (195.14.50.1) 56 (84) bytes of data. 84 bytes from 195.14.50.1: icmp_req=1, ttl=129, time=351.01 ms. 84 bytes from 195.14.50.1: icmp_req=2, ttl=129, time=305.46 ms. 84 bytes from 195.14.50.1: icmp_req=3, ttl=129, time=329.16 ms. 84 bytes from 195.14.50.1: icmp_req=4, ttl=129, time=365.90 ms. 84 bytes from 195.14.50.1: icmp_req=5, ttl=129, time=397.22 ms. --- 195.14.50.1 ping statistics --- 6 packets transmitted, 5 packets received, 16% packet loss, 0 duplicate(s), time 5165.31 ms. Round-trip min/avg/max = 305.46/349.75/397.22 ms.
Винда за кинетиком:
C:\Users\papajoe>ping 195.14.50.1
Обмен пакетами с 195.14.50.1 по с 32 байтами данных:
Ответ от 195.14.50.1: число байт=32 время=56мс TTL=128
Ответ от 195.14.50.1: число байт=32 время=40мс TTL=128
Ответ от 195.14.50.1: число байт=32 время=79мс TTL=128
Ответ от 195.14.50.1: число байт=32 время=69мс TTL=128Статистика Ping для 195.14.50.1:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 40мсек, Максимальное = 79 мсек, Среднее = 61 мсек[code]
Как-то так...
-
Доброго дня!
Собственно, эксперименты с изменением TTL на интерфейсе LTE-шного свистка. Никаких ошибок, но и никаких результатов...
(config)> show version release: 3.04.C.6.0-0 sandbox: stable title: 3.4.6 arch: mips ndm: exact: 0-a36bee1 cdate: 8 Jun 2020 bsp: exact: 0-f45343dcd cdate: 8 Jun 2020 ndw: version: 3.4.63 features: wifi_button,single_usb_port,led_control,wifi5ghz,dual_image,wifi_ft,wpa3 components: base,config-ap,config-client,config-repeater,corewireless,dhcpd,dot1x,fat,ftp,hfsplus,igmp,l2tp,miniupnpd,nathelper-ftp,nathelper-pptp,nathelper-sip,ntfs,openvpn,pingcheck,ppe,pppoe,pptp,storage, trafficcontrol,tsmb,usb,usbdsl,usblte,usbmodem,usbnet manufacturer: Keenetic Ltd. vendor: Keenetic series: KN model: Extra (KN-1710) hw_version: 10178000 hw_id: KN-1710 device: Extra region: RU description: Keenetic Extra (KN-1710)
(config)> tools ping 195.14.50.1 sending ICMP ECHO request to 195.14.50.1... PING 195.14.50.1 (195.14.50.1) 56 (84) bytes of data. 84 bytes from 195.14.50.1: icmp_req=1, ttl=50, time=45.42 ms. 84 bytes from 195.14.50.1: icmp_req=2, ttl=50, time=46.06 ms. 84 bytes from 195.14.50.1: icmp_req=3, ttl=50, time=44.15 ms. 84 bytes from 195.14.50.1: icmp_req=4, ttl=50, time=44.28 ms. 84 bytes from 195.14.50.1: icmp_req=5, ttl=50, time=42.87 ms. --- 195.14.50.1 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss, 0 duplicate(s), time 4681.89 ms. Round-trip min/avg/max = 42.87/44.55/46.06 ms. (config)> show interface CdcEthernet0 id: CdcEthernet0 index: 0 type: CdcEthernet description: Huawei Mobile Broadband interface-name: CdcEthernet0 link: up connected: yes state: up mtu: 1500 tx-queue: 1000 plugged: yes vendor: 12d1 model: 14db manufacturer: HUAWEI Technology product: HUAWEI Mobile ati: model: E3276 hardware: CH1E3276SM revision: 22.470.13.00.00 manufacturer: Huawei operator: Tele2 operator-raw: 25020 global: yes defaultgw: yes priority: 33119 security-level: public uptime: 443 address: 10.202.217.6 sim: READY rssi: -93 rscp: -101 ecio: -8 serial: imei: imsi: uiccid: mac: mobile: 3G WCDMA signal-level: 3 fw: 22.470.13.00.00 / 17.100.03.01.03 (config)> interface CdcEthernet0 ip adjust-ttl send 128 Network::Interface::Ip: "CdcEthernet0": outgoing TTL set to 128. (config)> tools ping 195.14.50.1 sending ICMP ECHO request to 195.14.50.1... PING 195.14.50.1 (195.14.50.1) 56 (84) bytes of data. 84 bytes from 195.14.50.1: icmp_req=1, ttl=50, time=90.01 ms. 84 bytes from 195.14.50.1: icmp_req=2, ttl=50, time=48.77 ms. 84 bytes from 195.14.50.1: icmp_req=3, ttl=50, time=88.34 ms. --- 195.14.50.1 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss, 0 duplicate(s), time 2168.91 ms. Round-trip min/avg/max = 48.77/75.70/90.01 ms.
Картина маслом. 😃
Заранее благодарю за подсказки.
-
Получается, что mlock и деэскалация привилегий до nobody вещи несовместимые. В общем, логично. На мысль навела следующая ошибка:
E [May 17 15:12:36] OpenVPN0: Options error: In [CMD-LINE]:1: Error opening configuration file: /tmp/openvpn/OpenVPN0/openvpn.config
VPN работает стабильно.
-
Похоже, что убрав опцию mlock удалось победить проблему...
-
В общем, как говорится, картина маслом...
Запустился, всё красиво:
I [May 17 14:12:30] OpenVPN0: OpenVPN 2.4.6 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD]
I [May 17 14:12:30] OpenVPN0: library versions: OpenSSL 1.1.1g 21 Apr 2020, LZO 2.10
I [May 17 14:12:30] OpenVPN0: mlockall call succeeded
I [May 17 14:12:30] OpenVPN0: UDPv4 link local: (not bound)
I [May 17 14:12:30] OpenVPN0: UDPv4 link remote: [AF_INET]XXX.XXX.XXX.XXX:YYYY
I [May 17 14:12:30] OpenVPN0: NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
I [May 17 14:12:31] ndm: Core::ConfigurationSaver: configuration saved.
I [May 17 14:12:33] OpenVPN0: [gw.work.lan] Peer Connection Initiated with [AF_INET]XXX.XXX.XXX.XXX:YYYY
I [May 17 14:12:33] ndm: Network::Interface::OpenVpn: "OpenVPN0": connecting via CdcEthernet0 (CdcEthernet0).
I [May 17 14:12:33] ndm: Network::Interface::OpenVpn: "OpenVPN0": added host route to remote endpoint XXX.XXX.XXX.XXX via 192.168.1.1.
I [May 17 14:12:34] OpenVPN0: TUN/TAP device tun0 opened
I [May 17 14:12:34] OpenVPN0: do_ifconfig, tt->did_ifconfig_ipv6_setup=0
I [May 17 14:12:34] ndm: Network::Interface::Ip: "OpenVPN0": IP address is 172.16.199.6/32.
I [May 17 14:12:34] ndm: Network::Interface::OpenVpn: "OpenVPN0": TUN peer address is 172.16.199.5.
I [May 17 14:12:34] ndm: Network::Interface::OpenVpn: "OpenVPN0": added host route to peer 172.16.199.5 via 172.16.199.6.
I [May 17 14:12:34] ndm: Network::Interface::OpenVpn: "OpenVPN0": install accepted route to 172.16.199.0/255.255.255.0 via 172.16.199.6.
I [May 17 14:12:34] ndm: Network::Interface::OpenVpn: "OpenVPN0": install accepted route to 192.168.124.0/255.255.255.0 via 172.16.199.6.
I [May 17 14:12:34] ndm: Network::Interface::OpenVpn: "OpenVPN0": install accepted route to 10.0.124.0/255.255.255.0 via 172.16.199.6.
I [May 17 14:12:35] ndm: Network::Interface::OpenVpn: "OpenVPN0": install accepted route to 172.27.27.0/255.255.255.0 via 172.16.199.6.
I [May 17 14:12:35] ndm: Network::Interface::OpenVpn: "OpenVPN0": install accepted route to 192.168.132.0/255.255.255.0 via 172.16.199.6.
I [May 17 14:12:35] OpenVPN0: GID set to nobody
I [May 17 14:12:35] OpenVPN0: UID set to nobody
I [May 17 14:12:35] OpenVPN0: Initialization Sequence CompletedА через 3600 секунд (дефолтное значение) получаю вот такой кошмар и ужас:
E [May 17 15:12:33] OpenVPN0: OpenSSL: error:14123041:lib(20):func(291):reason(65)
E [May 17 15:12:33] OpenVPN0: OpenSSL: error:14161044:lib(20):func(353):reason(68)
E [May 17 15:12:33] OpenVPN0: TLS_ERROR: BIO read tls_read_plaintext error
E [May 17 15:12:33] OpenVPN0: TLS Error: TLS object -> incoming plaintext read error
E [May 17 15:12:33] OpenVPN0: TLS Error: TLS handshake failed
E [May 17 15:12:33] ndm: Service: "OpenVPN0": unexpectedly stopped.
C [May 17 15:12:33] ndm: Network::Interface::OpenVpn: "OpenVPN0": system failed [0xcffd0a55], unable to set down tunnel interface: no such device.
C [May 17 15:12:33] ndm: Network::Interface::OpenVpn: "OpenVPN0": system failed [0xcffd0a64], invalid argument.
I [May 17 15:12:33] ndm: Network::Interface::Ip: "OpenVPN0": IP address cleared.
I [May 17 15:12:33] ndm: Network::Interface::OpenVpn: "OpenVPN0": remove installed accepted routes.
I [May 17 15:12:34] ndm: Core::Server: started Session /var/run/ndm.core.socket.
I [May 17 15:12:34] ndm: Core::Session: client disconnected.
I [May 17 15:12:34] ndm: Http::Manager: updated configuration.
I [May 17 15:12:34] ndm: Core::Server: started Session /var/run/ndm.core.socket.
I [May 17 15:12:34] ndm: Core::Session: client disconnected.
I [May 17 15:12:34] avahi-daemon[11808]: avahi-daemon 0.6.32 exiting.
E [May 17 15:12:36] OpenVPN0: Options error: In [CMD-LINE]:1: Error opening configuration file: /tmp/openvpn/OpenVPN0/openvpn.config
W [May 17 15:12:36] OpenVPN0: Use --help for more information.
E [May 17 15:12:36] ndm: Service: "OpenVPN0": unexpectedly stopped.Конфиг клиента:
client
cipher AES-128-CBC
remote-cert-tls server
ncp-disablekey-direction 1
tls-client
dev tun
nobind
remote XXX.XXX.XXX.XXX YYYY udp4
pullpersist-key
persist-tunkeepalive 5 30
auth-nocache
resolv-retry infinitecomp-lzo no
tun-mtu 1500
fragment 1300
mssfix
fast-io
float
mlockscript-security 3
explicit-exit-notify 1
verb 1
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1----------END OpenVPN Static key V1-----
</tls-auth>
<ca>
-----
</ca>
<cert>
-----
</cert>
<key>
-----
</key>Без tls-auth туннель держится стабильно, а с tls-auth умирает при смене сессионных ключей... Как-то так...
-
Всё это записывается в EEPROM и рибута и апдейтов прошивки не боится? Кстати, уже прописал в конфиги ключ для tls-auth и мониторю. Кстати, вот в логах
OpenVPN0: NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
. Понижение привилегий заложено в коде и строки в конфиге клиента типа
user root group operator
просто игнорируются?
-
Всё, разобрался. 😃 Это я нарукожопил и потерял один статик роут на дальней стороне туннеля до подсети кинетика. tcpdump всё расставил по своим местам. Хронически виноват. 😃 Воспользуюсь случаем тогда и спрошу, а что нужно внести в startup-config, чтобы не возвращаться к процедуре отключения всеобщего NAT, которую я описал в первом посте? А по tls-auth еще проверю на новой прошивке и отпишусь.
-
Да на текущий момент хочется понять в связи с чем перестал отключаться NAT из Home в OpenVPN0. С конфигураций OpenVPN сервера и клиента всё нормально, с роутингом тоже. Ничего не менялось, кроме прошивки кинетика, а на предыдущей я всё отладил и имел только грабли с tls-auth. Схема простейшая - доступ в интернет через USB LTE свисток (CdcEthernet0), один клиент OpenVPN до узла, через который маршрутизация до нескольких приватных сетей. В качестве DNS используется сервер на дальней стороне туннеля, где описаны все "серые зоны" нескольких доменов M$ AD.
-
На предыдущем релизе 3.03.C16 при смене сессионных ключей ключей интерфейс OpenVPN0 падал и не поднимался. Пришлось поднять отдельный сервис для него, где отключил tls-auth. NAT в туннель убрал по найденному здесь рецепту:
no ip nat Home interface OpenVPN0 security-level private no isolate-private ip static Home CdcEthernet0
Со стороны сервера пушится несколько маршрутов, а за ним сложный роутинг с несколькими статиками на другие гейты. Заработало. Собрался озвучить проблему, но сегодня прилетел новый релиз прошивки. Обновился. Проблему с tls-auth еще не проверил, так как перестал работать предыдущий рецепт с отключением NAT в туннель и развалился роутинг. Могу конечно плюнуть и прописать маршрут до сети, используемой самим сервером OpenVPN и тогда всё заработает (используется топология net30). Но это уже будет совсем костыль, а хочется, чтобы работало правильно и красиво...
Буду признателен за разъяснения и рекомендации.
-
2 ndm:
И на старуху бывает проруха. =) Уже написал длинный пост, что печаль, что вчера стучал в этот бубен с аналогичным результатом. На всякий случай повторил, получил болт в ответ на пинг, а потом сообразил, что реконнект то не сделал! =)
Спасибо!
-
Всем доброго дня!
Имеем: Zyxel Keenetic Air, говорящий в WEB интерфейсе Версия NDMSv2.08(ABGG.0)C1.
Сконфигурирован через веб-морду. Включен PPTP VPN сервер, прописан пользователь с разрешениями авторизовываться на этом сервере, к его аккаунту привязан IP из пула адресов, выдаваемых при подключении.
В этот адрес прописан статический роут с опцией auto (по другому не дает) к подсети за клиентом. Клиент - FreeBSD + mpd5. Фря настроена, как роутер удаленной сети. После подключения на фре имеем:
# ifconfig ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1344 inet 172.16.123.3 --> 192.168.123.1 netmask 0xffffffff # netstat -nr 192.168.123.0/24 192.168.123.1 UGS 0 0 ng0 192.168.123.1 link#21 UH 0 31054 ng0 # ping 192.168.123.1 PING 192.168.123.1 (192.168.123.1): 56 data bytes 64 bytes from 192.168.123.1: icmp_seq=0 ttl=64 time=4.464 ms # ping -S 192.168.0.1 192.168.123.1 PING 192.168.123.1 (192.168.123.1) from 192.168.0.1: 56 data bytes ^C --- 192.168.123.1 ping statistics --- 3 packets transmitted, 0 packets received, 100.0% packet loss # cat /usr/local/etc/mpd5/mpd.conf default: load pptp_client pptp_client: create bundle static B1 set iface route 192.168.123.0/24 set ipcp ranges 0.0.0.0/0 0.0.0.0/0 set bundle enable compression set bundle enable encryption set ccp yes mppc set mppc no e40 set mppc yes e128 set mppc yes stateless create link static L1 pptp set link action bundle B1 set auth authname xxxxxxx set auth password XXXXXXXXXX set link max-redial 0 set link mtu 1460 set link keep-alive 20 75 set pptp peer 77.37.XXX.XXX set pptp disable windowing open
Очевидно, что на стороне зухеля в сегменте Home прописана подсеть 192.168.123.0/24, а на стороне фри 192.168.0.0/24.
Статик, выдаваемый при подключении по PPTP зухелем - 172.16.123.3.
Проблема: после подключения клиента по PPTP зухель не поднимает роут к удаленной сети.
При этом в логах летающего кинетика и в консоли наблюдается следующее:
I [Apr 12 14:56:57] ndm: kernel: Fast VPN ctrl: setup for src 195.96.XXX.XXX I [Apr 12 14:56:57] pptpd[10199]: CTRL: Starting call (launching pppd, opening GRE) I [Apr 12 14:56:57] pptp[10200]: Plugin pptp.so loaded. I [Apr 12 14:56:57] pptp[10200]: PPTP plugin version 0.8.3 compiled against pppd 2.4.4-4 I [Apr 12 14:56:57] pptp[10200]: pppd 2.4.4-4 started by root, uid 0 I [Apr 12 14:56:57] pptp[10200]: Using interface vpn0 I [Apr 12 14:56:57] pptp[10200]: Connect: vpn0 <--> pptp (195.96.XXX.XXX) E [Apr 12 14:56:57] pptpd[10199]: CTRL: Ignored a SET LINK INFO packet with real ACCMs! I [Apr 12 14:56:57] pptp[10200]: MPPE 128-bit stateless compression enabled I [Apr 12 14:56:59] pptp[10200]: local IP address 192.168.123.1 I [Apr 12 14:56:59] pptp[10200]: remote IP address 172.16.123.3 W [Apr 12 14:56:59] ndm: Network::RoutingTable: gateway is unreachable, route pending.Возникает резонный вопрос - а где же ты есть interface vpn0 и что при подключении по PPTP к нему биндится? У меня нет ответа:
(config)> show ip route ================================================================================ Destination Gateway Interface Metric ================================================================================ 0.0.0.0/0 77.37.192.1 ISP 0 10.1.30.0/24 0.0.0.0 Guest 0 77.37.192.0/22 0.0.0.0 ISP 0 77.37.251.33/32 77.37.192.1 ISP 0 77.37.255.30/32 77.37.192.1 ISP 0 172.16.123.3/32 0.0.0.0 VPN 0 192.168.123.0/24 0.0.0.0 Home 0 (config)> show in interface - display interface status (config)> show interface Usage template: interface [{name}] Choose: FastEthernet0 FastEthernet0/0 0 FastEthernet0/1 1 WifiMaster0 WifiMaster0/AccessPoint2 WifiMaster0/AccessPoint1 GuestWiFi WifiMaster0/AccessPoint0 AccessPoint WifiMaster0/AccessPoint3 WifiMaster0/WifiStation0 WifiMaster1 WifiMaster1/AccessPoint0 AccessPoint_5G WifiMaster1/WifiStation0 FastEthernet0/Vlan1 FastEthernet0/Vlan2 ISP FastEthernet0/Vlan3 Bridge0 Home Bridge1 Guest (config)> show interface Home id: Bridge0 index: 0 type: Bridge description: Home network interface-name: Home link: up connected: yes state: up mtu: 1500 tx-queue: 1000 address: 192.168.123.1 mask: 255.255.255.0 uptime: 146342 global: no security-level: private mac: e4:18:6b:24:xx:xx auth-type: none (config)> show interface vpn0 Command::Base error[7405602]: argument parse error. (config)> show interface VPN Command::Base error[7405602]: argument parse error. (config)> (config)> (config)> show interface ISP id: FastEthernet0/Vlan2 index: 2 type: Vlan description: Broadband connection interface-name: ISP link: up connected: yes state: up mtu: 1500 tx-queue: 1000 address: 77.37.192.XXX mask: 255.255.252.0 uptime: 146552 global: yes defaultgw: yes priority: 700 security-level: public mac: e4:18:6b:24:xx:xx auth-type: none (config)>На этом полет моей фантазии закончился...
Покурив бегло форум, посыпал голову пеплом, что не сделал этого до покупки воздушного зухеля... Иначе взял бы версию, куда потом можно было бы установить OpenVPN и было бы мне счастье...
Однако дивайс куплен и уже работает, так что нужно решать задачу, как есть.
З.Ы. IPSEC не хочу. Ну вот, блин, просто не хочу и все! Хочу, чтобы PPTP работал "из коробки" и без бубнов...
Буду признателен за любые дельные советы!
З.З.Ы. Вариант "убить себя головой об стену с разбега" не рассматривается. =)
Extra II (KN-1710), adjust-ttl.
in Обмен опытом
Posted
А Вы видите какое-либо несоответствие между упомянутым мануалом и моими действиями?