Jump to content

Stasmin

Forum Members
 View Profile  See their activity

  • Posts

    4

  • Joined

  • Last visited

 Content Type 

Posts posted by Stasmin

    Вопросы по интеграции OpenVPN в NDMS

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted

    В 15.06.2018 в 13:22, vladrnd сказал:

    столкнулся с такой проблемой на 2.11.C.1.0-3 с OpenVPN. получаю по DHCP от провайдера белый IP адрес. настроен OpenVPN, установлены свои статические маршруты в него нужного мне траффика. Все бы хорошо, но вот со временем OpenVPN перестает обрабатывать эти маршруты. решается проблема путем выкл / вкл его и тогда все начинает работать исправно. как с этим бороться не понимаю. при первом осмотре VPN активен и получает IP 10.x.x.x адрес, но вот так ли это ... хотелось бы стабильного нормального openVPN.

    небольшой лог (после выкл / вкл) сервиса OpenVPN

     
    Скрытый текст

     

    Jun 15 13:35:31ndm
    Network::Interface::Supplicant: "OpenVPN1": authnentication is unchanged.
    Jun 15 13:35:31ndm
    Network::Interface::Base: "OpenVPN1": description saved.
    Jun 15 13:35:31ndm
    Network::Interface::IP: "OpenVPN1": IP address cleared.
    Jun 15 13:35:31ndm
    Network::Interface::IP: "OpenVPN1": global priority unchanged.
    Jun 15 13:35:31ndm
    Network::Interface::IP: "OpenVPN1": global priority cleared.
    Jun 15 13:35:31ndm
    Network::Interface::IP: "OpenVPN1": TCP-MSS adjustment enabled.
    Jun 15 13:35:31ndm
    Network::Interface::OpenVpn: "OpenVPN1": configuration successfully saved.
    Jun 15 13:35:31ndm
    Network::Interface::OpenVpn: "OpenVPN1": disable automatic routes accept via tunnel.
    Jun 15 13:35:31ndm
    Network::Interface::OpenVpn: "OpenVPN1": set connection via ISP.
    Jun 15 13:35:31ndm
    Network::Interface::Base: "OpenVPN1": interface is up.
    Jun 15 13:35:31ndm
    Network::Interface::Base: "OpenVPN1": schedule cleared.
    Jun 15 13:35:31ndm
    Core::ConfigurationSaver: saving configuration...
    Jun 15 13:35:32ndm
    Network::Interface::IP: "OpenVPN1": IP address cleared.
    Jun 15 13:35:32ndm
    Network::Interface::OpenVpn: "OpenVPN1": remove installed accepted routes.
    Jun 15 13:35:32OpenVPN1
    event_wait : Interrupted system call (code=4)
    Jun 15 13:35:32OpenVPN1
    Closing TUN/TAP interface
    Jun 15 13:35:32OpenVPN1
    SIGINT[hard,] received, process exiting
    Jun 15 13:35:35OpenVPN1
    OpenVPN 2.4.4 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD]
    Jun 15 13:35:35OpenVPN1
    library versions: OpenSSL 1.1.0h 27 Mar 2018, LZO 2.10
    Jun 15 13:35:35OpenVPN1
    Socket Buffers: R=[155648->155648] S=[155648->155648]
    Jun 15 13:35:35OpenVPN1
    UDP link local: (not bound)
    Jun 15 13:35:35OpenVPN1
    UDP link remote: [AF_INET]118.216.61.125:1597
    Jun 15 13:35:35OpenVPN1
    NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
    Jun 15 13:35:35OpenVPN1
    TLS: Initial packet from [AF_INET]118.216.61.125:1597, sid=50f97caa 465803f8
    Jun 15 13:35:35ndm
    Core::ConfigurationSaver: configuration saved.
    Jun 15 13:35:35OpenVPN1
    VERIFY SCRIPT OK: depth=2, C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO RSA Certification Authority
    Jun 15 13:35:35OpenVPN1
    VERIFY OK: depth=2, C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO RSA Certification Authority
    Jun 15 13:35:35OpenVPN1
    VERIFY SCRIPT OK: depth=1, C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO RSA Domain Validation Secure Server CA
    Jun 15 13:35:35OpenVPN1
    VERIFY OK: depth=1, C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO RSA Domain Validation Secure Server CA
    Jun 15 13:35:35OpenVPN1
    VERIFY SCRIPT OK: depth=0, OU=Domain Control Validated, OU=PositiveSSL Wildcard, CN=*.opengw.net
    Jun 15 13:35:35OpenVPN1
    VERIFY OK: depth=0, OU=Domain Control Validated, OU=PositiveSSL Wildcard, CN=*.opengw.net
    Jun 15 13:35:36OpenVPN1
    Control Channel: TLSv1.2, cipher TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
    Jun 15 13:35:36OpenVPN1
    [*.opengw.net] Peer Connection Initiated with [AF_INET]118.216.61.125:1597
    Jun 15 13:35:36ndm
    Network::Interface::OpenVpn: "OpenVPN1": added host route to remote endpoint 118.216.61.125 via 188.130.140.1.
    Jun 15 13:35:37OpenVPN1
    SENT CONTROL [*.opengw.net]: 'PUSH_REQUEST' (status=1)
    Jun 15 13:35:38OpenVPN1
    PUSH: Received control message: 'PUSH_REPLY,ping 3,ping-restart 10,ifconfig 10.211.1.253 10.211.1.254,dhcp-option DNS 10.211.254.254,dhcp-option DNS 8.8.8.8,route-gateway 10.211.1.254,redirect-gateway def1'
    Jun 15 13:35:38OpenVPN1
    OPTIONS IMPORT: timers and/or timeouts modified
    Jun 15 13:35:38OpenVPN1
    OPTIONS IMPORT: --ifconfig/up options modified
    Jun 15 13:35:38OpenVPN1
    OPTIONS IMPORT: route options modified
    Jun 15 13:35:38OpenVPN1
    OPTIONS IMPORT: route-related options modified
    Jun 15 13:35:38OpenVPN1
    OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
    Jun 15 13:35:38OpenVPN1
    Outgoing Data Channel: Cipher 'AES-128-CBC' initialized with 128 bit key
    Jun 15 13:35:38OpenVPN1
    Outgoing Data Channel: Using 160 bit message hash 'SHA1' for HMAC authentication
    Jun 15 13:35:38OpenVPN1
    Incoming Data Channel: Cipher 'AES-128-CBC' initialized with 128 bit key
    Jun 15 13:35:38OpenVPN1
    Incoming Data Channel: Using 160 bit message hash 'SHA1' for HMAC authentication
    Jun 15 13:35:38OpenVPN1
    TUN/TAP device tun0 opened
    Jun 15 13:35:38OpenVPN1
    TUN/TAP TX queue length set to 100
    Jun 15 13:35:38OpenVPN1
    do_ifconfig, tt->did_ifconfig_ipv6_setup=0
    Jun 15 13:35:38ndm
    Network::Interface::IP: "OpenVPN1": IP address is 10.211.1.253/32.
    Jun 15 13:35:38ndm
    Network::Interface::OpenVpn: "OpenVPN1": TUN peer address is 10.211.1.254.
    Jun 15 13:35:38ndm
    Network::Interface::OpenVpn: "OpenVPN1": added host route to peer 10.211.1.254 via 10.211.1.253.
    Jun 15 13:35:39OpenVPN1
    GID set to nobody
    Jun 15 13:35:39OpenVPN1
    UID set to nobody
    Jun 15 13:35:39OpenVPN1
    Initialization Sequence Completed
     
    настройки сервер openvpn

    ###############################################################################
    # OpenVPN 2.0 Sample Configuration File
    # for PacketiX VPN / SoftEther VPN Server

    # !!! AUTO-GENERATED BY SOFTETHER VPN SERVER MANAGEMENT TOOL !!!

    # !!! YOU HAVE TO REVIEW IT BEFORE USE AND MODIFY IT AS NECESSARY !!!

    # This configuration file is auto-generated. You might use this config file
    # in order to connect to the PacketiX VPN / SoftEther VPN Server.
    # However, before you try it, you should review the descriptions of the file
    # to determine the necessity to modify to suitable for your real environment.
    # If necessary, you have to modify a little adequately on the file.
    # For example, the IP address or the hostname as a destination VPN Server
    # should be confirmed.

    # Note that to use OpenVPN 2.0, you have to put the certification file of
    # the destination VPN Server on the OpenVPN Client computer when you use this
    # config file. Please refer the below descriptions carefully.


    ###############################################################################
    # Specify the type of the layer of the VPN connection.

    # To connect to the VPN Server as a "Remote-Access VPN Client PC",
    #  specify 'dev tun'. (Layer-3 IP Routing Mode)
    #
    # To connect to the VPN Server as a bridging equipment of "Site-to-Site VPN",
    #  specify 'dev tap'. (Layer-2 Ethernet Bridgine Mode)

    dev tun


    ###############################################################################
    # Specify the underlying protocol beyond the Internet.
    # Note that this setting must be correspond with the listening setting on
    # the VPN Server.

    # Specify either 'proto tcp' or 'proto udp'.

    proto udp


    ###############################################################################
    # The destination hostname / IP address, and port number of
    # the target VPN Server.

    # You have to specify as 'remote <HOSTNAME> <PORT>'. You can also
    # specify the IP address instead of the hostname.

    # Note that the auto-generated below hostname are a "auto-detected
    # IP address" of the VPN Server. You have to confirm the correctness
    # beforehand.

    # When you want to connect to the VPN Server by using TCP protocol,
    # the port number of the destination TCP port should be same as one of
    # the available TCP listeners on the VPN Server.

    # When you use UDP protocol, the port number must same as the configuration
    # setting of "OpenVPN Server Compatible Function" on the VPN Server.

    remote 118.216.61.125 1597


    ###############################################################################
    # The HTTP/HTTPS proxy setting.

    # Only if you have to use the Internet via a proxy, uncomment the below
    # two lines and specify the proxy address and the port number.
    # In the case of using proxy-authentication, refer the OpenVPN manual.

    ;http-proxy-retry
    ;http-proxy [proxy server] [proxy port]


    ###############################################################################
    # The encryption and authentication algorithm.

    # Default setting is good. Modify it as you prefer.
    # When you specify an unsupported algorithm, the error will occur.

    # The supported algorithms are as follows:
    #  cipher: [NULL-CIPHER] NULL AES-128-CBC AES-192-CBC AES-256-CBC BF-CBC
    #          CAST-CBC CAST5-CBC DES-CBC DES-EDE-CBC DES-EDE3-CBC DESX-CBC
    #          RC2-40-CBC RC2-64-CBC RC2-CBC
    #  auth:   SHA SHA1 MD5 MD4 RMD160

    cipher AES-128-CBC
    auth SHA1


    ###############################################################################
    # Other parameters necessary to connect to the VPN Server.

    # It is not recommended to modify it unless you have a particular need.

    resolv-retry infinite
    nobind
    persist-key
    persist-tun
    client
    verb 3
    #auth-user-pass


    ###############################################################################
    # The certificate file of the destination VPN Server.

    # The CA certificate file is embedded in the inline format.
    # You can replace this CA contents if necessary.
    # Please note that if the server certificate is not a self-signed, you have to
    # specify the signer's root certificate (CA) here.

    <ca>

    -----END CERTIFICATE-----

    </ca>


    ###############################################################################
    # The client certificate file (dummy).

    # In some implementations of OpenVPN Client software
    # (for example: OpenVPN Client for iOS),
    # a pair of client certificate and private key must be included on the
    # configuration file due to the limitation of the client.
    # So this sample configuration file has a dummy pair of client certificate
    # and private key as follows.

    <cert>
    -----BEGIN CERTIFICATE-----

    -----END CERTIFICATE-----

    </cert>

    <key>
    -----BEGIN RSA PRIVATE KEY-----

    -----END RSA PRIVATE KEY-----

    </key>

     

     

    Проявите уважение, вы не на ответы майл.ру, здесь на вопросы в основном отвечают люди, которые пишут программное обеспечение для данных девайсов, а их не так много и они не всегда свободны.

    У меня на данной прошивке тоже замечена схожая проблема, но весьма своеобразная. Вдруг перестает направлять через себя рутрекер, хотя остальное работает. Решение пока не нашел (это происходит в случайном порядке), но заметил, что маршрут в тоннель пропадает при полной работоспособности OVPN.

    Советую делать бекап вашей прошивки, когда всё устраивает. А то бывает, что после обновления на новую версию что-то работает не так.

    Помогите настроить OpenVPN клиент.

    in Вопросы по сборке и настройке Opkg

    Posted · Edited by Stasmin

    В 20.01.2017 в 17:09, Le ecureuil сказал:

    В наших тестах на 7621 можно получить не более 20 Мбит/с :)

    А результаты как у товарища по ссылке можно получить лишь на OpenVPN/TCP, что в целом не рекомендуется для массового применения.

    А с чем это связано? А то перелез сегодня с Lite iii на последнюю гигу с 7621A и крайне удивился:) Входящая 12-13 Мбит/с, исх. 23 Мбит/с при загрузке ЦП 20-25% против 70-80 Мбит/с напрямую с компа

    VoIP GSM шлюз

    in Вопросы по сборке и настройке Opkg

    Posted

    В 09.03.2017 в 23:29, Dzmitry сказал:

    Подтверждаю работу asterisk +  chan_dongle на Keenetic DSL с v2.09(AAGK.7)A3.

    E1550, наконец, определяются (по IMEI автоматически через dongle discovery).

    Под OpenWRT работает немного шустрее, чем под Debian (здесь пробовал собирать 11.25 и 13.14 - разницы в производительности не заметил). Кроме медлительности asterisk под Debian в момент звонка через модем может странным образом "лечь", да так, что ни opkg, ни веб-интерфейс не отзываются. Помогает только перезагрузка...

    Кодеки ILBC, GSM.

    Увы, производительность на этих кодеках печальная. Если звонить с софтфона на софтфон - все отлично. А вот звонки через модем оооочень тормозят, если модем вообще не отваливается. При этом видно, что загрузка проца на максимальных 57% - больше система, как я понимаю, не отдает, резервируя для своих задач.

    А вот кодек A-LAW работает очень хорошо, чистый звук без задержки. Нагрузка на ЦП 6-7%.

     

    Кто-нибудь может подсказать, как дать доступ из интернета к opkg? Проброс портов на 192.168.1.1 не помогает - софтфон отказывается подключаться...

    Здравствуйте! А какую версию OpenWRT вы использовали? А то у меня OpenWRT 17.01.4 на Omni первом, asterisk 11 ни в какую не работает. Он включается, регистрация абонентов проходит, но при попытке звонка в любую сторону сразу падает процесс. С терминала донгл смс отправлял и модем без проблем видел, но со звонками даже внутри не вышло. Не могли бы конфигом поделиться? 

    Вопросы по интеграции OpenVPN в NDMS

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted · Edited by Stasmin

    В 16.04.2018 в 12:03, dvg_lab сказал:

    Тестирую скорость, клиент на Extra II (2.12.A.5.0-4) WAN статика 100Мб и сервер на FreeBSD 11.1 (OpenVPN 2.4.5) 1 Гбит  фактически подключены к одному свитчу, показывает скорость закачки в районе 1Мб, это так и должно быть или я где-то чего-то недокрутил? В обход OpenVPN с того же сервера скорость честные 100Мбит. Конфиг сервера

      Показать содержимое 
    

mode server
tls-server
port 1194
proto udp
dev tun

topology subnet
route-gateway 10.7.0.1
ifconfig 10.7.0.1 255.255.0.0
ifconfig-pool 10.7.200.0 10.7.250.254

client-config-dir ccd

ca easy-rsa/pki/ca.crt
cert easy-rsa/pki/issued/xxx.crt
key easy-rsa/pki/private/xxx.key  
dh easy-rsa/pki/dh.pem
crl-verify easy-rsa/pki/crl.pem
tls-auth easy-rsa/pki/ta.key 0 # This file is secret
cipher AES-256-CBC
persist-key
persist-tun
max-routes 1024
ifconfig-pool-persist ipp.txt

push "route 192.168.200.0 255.255.255.0 10.7.0.1"

status openvpn-status.log
keepalive 10 120

compress lz4-v2
push "compress lz4-v2"

max-clients 1024

     

    Конфиг клиента 

      Показать содержимое 
    

client
tls-client
dev tun
proto udp
remote xxx.ru 1194
resolv-retry infinite
nobind
topology subnet
persist-key
persist-tun
cipher AES-256-CBC
key-direction 1
remote-cert-tls server
verb 3
#keys

     

     

    И что странно, при применении параметров chipher none и ncp-disable скорость вырастает всего до 16 мегабит... 

    У меня на Lite 3 при подключении к удаленному серверу выдает ~9Мбит входящая и ~12Мбит исходящая при загрузке проца 80% и 100% соответственно (AES-256-CBC, AES-128-CBC и GCM не сказывается никак на скорости). Процы одинаковые, так что явно не так что-то. Попробуй с обеих сторон в конфиге прописать

    sndbuf 0
    rcvbuf 0

    Что это такое и почему так почитайте по ссылке

    https://habr.com/post/246953/

    В процессе экспериментов установил, что малые значения этого параметра действительно уменьшают скорость, правда у меня ovpn поднят на Debian и без этих настроек работает примерно также.

    прописывать "mssfix 0" на клиенте не советую, скорость падает. Я просто галочку убрал "Автоподстройка TCP-MSS" на кинетике, также не влияет толком.

    • Thanks 1
×
×
  • Create New...