Jump to content

Вопросы по интеграции OpenVPN в NDMS


Recommended Posts

Может ли кто-нибудь поделится данными по производительности Keenetic при использовании в качестве клиента OpenVPN?

Более всего интересуют модели:

1) Keenetic Omni (KN-1410, MT7628N)
2) Keenetic Giga (KN-1010,  MT7621A)
3) Keenetic Giga III (MT7621S)

Как сильно сказывается на производительности изменение cipher с AES-128-CBC на AES-256-CBC и auth SHA-256?

 

Link to comment
Share on other sites

2 часа назад, mephistophel сказал:

Может ли кто-нибудь поделится данными по производительности Keenetic при использовании в качестве клиента OpenVPN?

Более всего интересуют модели:

1) Keenetic Omni (KN-1410, MT7628N)
2) Keenetic Giga (KN-1010,  MT7621A)
3) Keenetic Giga III (MT7621S)

Как сильно сказывается на производительности изменение cipher с AES-128-CBC на AES-256-CBC и auth SHA-256?

 

Omni довольно печален - до 7-8 Мбит/с. Устройства на 7621 могут показать до 15 Мбит/с.

Да, чем круче шифрование, тем меньше скорость. Именно поэтому для слабых устройств и тех, кому важна именно скорость я оставил возможность настроить blowfish и md5 - то примерно в 2 раза быстрее AES/SHA2.

Ждем новую версию openvpn + openssl с chacha20-poly1305, он будет безопасен как AES256/SHA256, но быстрее от 2 до 3 раз.

  • Thanks 1
Link to comment
Share on other sites

Keenetic Extra II 2.12.A.5.0-4

В конфиге клиента:

remote xxx.xxx.xxx.xxx

remote yyy.yyy.yyy.yyy

При отсутствии доступа на xxx.xxx.xxx.xxx, попыток подключиться на yyy.yyy.yyy.yyy нет

Думаю на прошивках ранее, так же, не было времени разобраться, сейчас уже напрягает

Link to comment
Share on other sites

3 часа назад, Сергей Молоков сказал:

Keenetic Extra II 2.12.A.5.0-4

В конфиге клиента:

remote xxx.xxx.xxx.xxx

remote yyy.yyy.yyy.yyy

При отсутствии доступа на xxx.xxx.xxx.xxx, попыток подключиться на yyy.yyy.yyy.yyy нет

Думаю на прошивках ранее, так же, не было времени разобраться, сейчас уже напрягает

А оно так разве должно работать на обычном linux? Приведите-ка пример в виде статьи с описанием настройки.

Link to comment
Share on other sites

Тестирую скорость, клиент на Extra II (2.12.A.5.0-4) WAN статика 100Мб и сервер на FreeBSD 11.1 (OpenVPN 2.4.5) 1 Гбит  фактически подключены к одному свитчу, показывает скорость закачки в районе 1Мб, это так и должно быть или я где-то чего-то недокрутил? В обход OpenVPN с того же сервера скорость честные 100Мбит. Конфиг сервера

Скрытый текст

mode server
tls-server
port 1194
proto udp
dev tun

topology subnet
route-gateway 10.7.0.1
ifconfig 10.7.0.1 255.255.0.0
ifconfig-pool 10.7.200.0 10.7.250.254

client-config-dir ccd

ca easy-rsa/pki/ca.crt
cert easy-rsa/pki/issued/xxx.crt
key easy-rsa/pki/private/xxx.key  
dh easy-rsa/pki/dh.pem
crl-verify easy-rsa/pki/crl.pem
tls-auth easy-rsa/pki/ta.key 0 # This file is secret
cipher AES-256-CBC
persist-key
persist-tun
max-routes 1024
ifconfig-pool-persist ipp.txt

push "route 192.168.200.0 255.255.255.0 10.7.0.1"

status openvpn-status.log
keepalive 10 120

compress lz4-v2
push "compress lz4-v2"

max-clients 1024

 

Конфиг клиента 

Скрытый текст

client
tls-client
dev tun
proto udp
remote xxx.ru 1194
resolv-retry infinite
nobind
topology subnet
persist-key
persist-tun
cipher AES-256-CBC
key-direction 1
remote-cert-tls server
verb 3
#keys

 

 

И что странно, при применении параметров chipher none и ncp-disable скорость вырастает всего до 16 мегабит... 

Edited by dvg_lab
Link to comment
Share on other sites

1 час назад, Le ecureuil сказал:

А оно так разве должно работать на обычном linux? Приведите-ка пример в виде статьи с описанием настройки.

Извиняюсь, за не понимание темы :(

У меня более двадцати клиентов было под windows_xp, данная настройка на них работала исправно,

сейчас почти всех перенес на кинетики, рассчитывал, что будет так же. Сегодня основная линия отключилась и смотрю, что на резерв переключились только windows_xp клиенты.

Я с linux не знаком, поэтому не в теме, сорри. Скажите, получается при недоступности одного канала нельзя подключиться к другому?

Link to comment
Share on other sites

9 часов назад, dvg_lab сказал:

Тестирую скорость, клиент на Extra II (2.12.A.5.0-4) WAN статика 100Мб и сервер на FreeBSD 11.1 (OpenVPN 2.4.5) 1 Гбит  фактически подключены к одному свитчу, показывает скорость закачки в районе 1Мб, это так и должно быть или я где-то чего-то недокрутил? В обход OpenVPN с того же сервера скорость честные 100Мбит. Конфиг сервера

  Показать содержимое

Конфиг клиента 

  Показать содержимое

 

И что странно, при применении параметров chipher none и ncp-disable скорость вырастает всего до 16 мегабит... 

На Extra? Все ожидаемо, проц слабый, пакеты мелкие и их много...

Link to comment
Share on other sites

9 часов назад, Сергей Молоков сказал:

Извиняюсь, за не понимание темы :(

У меня более двадцати клиентов было под windows_xp, данная настройка на них работала исправно,

сейчас почти всех перенес на кинетики, рассчитывал, что будет так же. Сегодня основная линия отключилась и смотрю, что на резерв переключились только windows_xp клиенты.

Я с linux не знаком, поэтому не в теме, сорри. Скажите, получается при недоступности одного канала нельзя подключиться к другому?

По идее этот фукционал должен работать как в ванильном клиенте. Почему не работает - другой вопрос. Просьба повторить натурный эксперимент, при этом снять self-test с вариантом когда не произошло переключения на резерв.

Хотя я примерно догадываюсь о возможной сути - после того, как соединение разорвалось обычный openvpn остается жив и продолжает путь по списку дальше, наш же openvpn гасится совсем и стартует заново.

Подумаем, что можно с этим сделать.

Link to comment
Share on other sites

4 минуты назад, Le ecureuil сказал:

На Extra? Все ожидаемо, проц слабый, пакеты мелкие и их много...

Понял, уже заказал пару Ultra II... надеюсь выжать поболее, хотелось бы мегабит 30 хотябы...

Link to comment
Share on other sites

1 минуту назад, dvg_lab сказал:

Понял, уже заказал пару Ultra II... надеюсь выжать поболее, хотелось бы мегабит 30 хотябы...

Если у вас в приоритете скорость - смотрите на cipher BF-CBC.

  • Thanks 1
Link to comment
Share on other sites

У всех в приоритете скорость. Добавьте SoftEtherVPN сервер с космическими скоростями, ovpn в сравнении с ним маленькая улитка. Там на всё уже клиенты есть, и ovpn он тоже поднимать может.

Он уже достаточно развился, скоро пятая версия.

  • Upvote 1
Link to comment
Share on other sites

16 минут назад, Quadro Rover сказал:

У всех в приоритете скорость. Добавьте SoftEtherVPN сервер с космическими скоростями, ovpn в сравнении с ним маленькая улитка. Там на всё уже клиенты есть, и ovpn он тоже поднимать может.

Он уже достаточно развился, скоро пятая версия.

Имхо сервер в таких железках на данном этапе это баловство. А вот скоростной клиент это в приоритете. Как у SoftEther с этим? Я так понимаю там свой клиент, совместимый с OpenVPN.

  • Upvote 1
Link to comment
Share on other sites

13 часа назад, Quadro Rover сказал:

У всех в приоритете скорость. Добавьте SoftEtherVPN сервер с космическими скоростями, ovpn в сравнении с ним маленькая улитка. Там на всё уже клиенты есть, и ovpn он тоже поднимать может.

Он уже достаточно развился, скоро пятая версия.

Есть исследования, как ведет себя SE и OpenVPN на MIPS32R2 с 64М ОЗУ и 580 МГц процессором? Иначе это пока голословные заявления про "космические скорости".

Link to comment
Share on other sites

Прошу помочь.

Не устанавливается Open VPN с Keenetci (сlient) к Mikrotik (server).

Лог с Keenetic:

Apr 24 22:42:07OpenVPN0OpenVPN 2.4.4 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD]
Apr 24 22:42:07OpenVPN0library versions: OpenSSL 1.1.0h  27 Mar 2018, LZO 2.10
Apr 24 22:42:07OpenVPN0using default password "password" for pkcs file
Apr 24 22:42:07OpenVPN0Control Channel MTU parms [ L:1655 D:1210 EF:40 EB:0 ET:0 EL:3 ]
Apr 24 22:42:07OpenVPN0Data Channel MTU parms [ L:1655 D:1450 EF:123 EB:411 ET:32 EL:3 ]
Apr 24 22:42:07OpenVPN0Local Options String (VER=V4): 'V4,dev-type tap,link-mtu 1575,tun-mtu 1532,proto TCPv4_CLIENT,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Apr 24 22:42:07OpenVPN0Expected Remote Options String (VER=V4): 'V4,dev-type tap,link-mtu 1575,tun-mtu 1532,proto TCPv4_SERVER,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Apr 24 22:42:07OpenVPN0Socket Buffers: R=[87380->87380] S=[16384->16384]
Apr 24 22:42:07OpenVPN0Attempting to establish TCP connection with [AF_INET]78.107.91.221:443 [nonblock]
Apr 24 22:42:08OpenVPN0TCP connection established with [AF_INET]78.107.91.221:443
Apr 24 22:42:08OpenVPN0TCP_CLIENT link local: (not bound)
Apr 24 22:42:08OpenVPN0TCP_CLIENT link remote: [AF_INET]78.107.91.221:443
Apr 24 22:42:08OpenVPN0NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
Apr 24 22:42:08OpenVPN0TLS: Initial packet from [AF_INET]78.107.91.221:443, sid=fc9595a0 b275e19b
Apr 24 22:42:08OpenVPN0VERIFY SCRIPT OK: depth=1, CN=test-CA
Apr 24 22:42:08OpenVPN0VERIFY OK: depth=1, CN=test-CA
Apr 24 22:42:08OpenVPN0VERIFY SCRIPT OK: depth=0, CN=test-srv-OVPN
Apr 24 22:42:08OpenVPN0VERIFY OK: depth=0, CN=test-srv-OVPN
Apr 24 22:43:08OpenVPN0TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Apr 24 22:43:08OpenVPN0TLS Error: TLS handshake failed
Apr 24 22:43:08OpenVPN0Fatal TLS error (check_tls_errors_co), restarting
Apr 24 22:43:08OpenVPN0TCP/UDP: Closing socket
Apr 24 22:43:08OpenVPN0SIGTERM[soft,tls-error] received, process exiting
Apr 24 22:43:08ndmService: "OpenVPN0": unexpectedly stopped.

Лог с Mikrotik:

22:42:07 ovpn,info TCP connection established from 31.173.86.100 
22:42:07 ovpn,debug,packet sent P_CONTROL_HARD_RESET_SERVER_V2 kid=0 sid=fc9595a0b275e19b pid=0 DATA len=0 
22:42:08 ovpn,debug,packet rcvd P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 sid=caeb2f1dbff07430 pid=0 DATA len=0 
22:42:08 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [0 sid=caeb2f1dbff07430] DATA len=0 
22:42:08 ovpn,debug,packet rcvd P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 sid=caeb2f1dbff07430 [0 sid=fc9595a0b275e19b] pid=0 DATA len=0 
22:42:08 ovpn,debug,error,684,60448,13244,12696,21884,54028,12032,13240,l2tp,info,13244,debug,79,65535,critical,4176,8600,25488,53520,54104,28008,60448,4043,53428,54028,41920,54028,warning duplicate packet, dropping 
22:42:08 ovpn,debug,packet rcvd P_CONTROL kid=0 sid=caeb2f1dbff07430 pid=1 DATA len=160 
22:42:08 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [1 sid=caeb2f1dbff07430] DATA len=0 
22:42:08 ovpn,debug,packet sent P_CONTROL kid=0 sid=fc9595a0b275e19b pid=1 DATA len=1400 
22:42:08 ovpn,debug,packet sent P_CONTROL kid=0 sid=fc9595a0b275e19b pid=2 DATA len=559 
22:42:08 ovpn,debug,packet rcvd P_ACK kid=0 sid=caeb2f1dbff07430 [1 sid=fc9595a0b275e19b] DATA len=0 
22:42:09 ovpn,debug,packet rcvd P_CONTROL kid=0 sid=caeb2f1dbff07430 [2 sid=fc9595a0b275e19b] pid=2 DATA len=1170 
22:42:09 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [2 sid=caeb2f1dbff07430] DATA len=0 
22:42:09 ovpn,debug,packet rcvd P_CONTROL kid=0 sid=caeb2f1dbff07430 pid=3 DATA len=436 
22:42:09 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [3 sid=caeb2f1dbff07430] DATA len=0 
22:42:10 ovpn,debug,packet sent P_CONTROL kid=0 sid=fc9595a0b275e19b pid=3 DATA len=51 
22:42:10 ovpn,debug,packet rcvd P_CONTROL kid=0 sid=caeb2f1dbff07430 [3 sid=fc9595a0b275e19b] pid=4 DATA len=396 
22:42:10 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [4 sid=caeb2f1dbff07430] DATA len=0 
22:42:10 ovpn,info : using encoding - BF-128-CBC/SHA1 
22:43:08 ovpn,debug <31.173.86.100>: disconnected <peer disconnected> 
 

При этом PPTP и L2TP между данными устройства отлично устанавливается.

Link to comment
Share on other sites

22 часа назад, pigovina сказал:

Прошу помочь.

Не устанавливается Open VPN с Keenetci (сlient) к Mikrotik (server).

Лог с Keenetic:

Apr 24 22:42:07OpenVPN0OpenVPN 2.4.4 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD]
Apr 24 22:42:07OpenVPN0library versions: OpenSSL 1.1.0h  27 Mar 2018, LZO 2.10
Apr 24 22:42:07OpenVPN0using default password "password" for pkcs file
Apr 24 22:42:07OpenVPN0Control Channel MTU parms [ L:1655 D:1210 EF:40 EB:0 ET:0 EL:3 ]
Apr 24 22:42:07OpenVPN0Data Channel MTU parms [ L:1655 D:1450 EF:123 EB:411 ET:32 EL:3 ]
Apr 24 22:42:07OpenVPN0Local Options String (VER=V4): 'V4,dev-type tap,link-mtu 1575,tun-mtu 1532,proto TCPv4_CLIENT,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Apr 24 22:42:07OpenVPN0Expected Remote Options String (VER=V4): 'V4,dev-type tap,link-mtu 1575,tun-mtu 1532,proto TCPv4_SERVER,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Apr 24 22:42:07OpenVPN0Socket Buffers: R=[87380->87380] S=[16384->16384]
Apr 24 22:42:07OpenVPN0Attempting to establish TCP connection with [AF_INET]78.107.91.221:443 [nonblock]
Apr 24 22:42:08OpenVPN0TCP connection established with [AF_INET]78.107.91.221:443
Apr 24 22:42:08OpenVPN0TCP_CLIENT link local: (not bound)
Apr 24 22:42:08OpenVPN0TCP_CLIENT link remote: [AF_INET]78.107.91.221:443
Apr 24 22:42:08OpenVPN0NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
Apr 24 22:42:08OpenVPN0TLS: Initial packet from [AF_INET]78.107.91.221:443, sid=fc9595a0 b275e19b
Apr 24 22:42:08OpenVPN0VERIFY SCRIPT OK: depth=1, CN=test-CA
Apr 24 22:42:08OpenVPN0VERIFY OK: depth=1, CN=test-CA
Apr 24 22:42:08OpenVPN0VERIFY SCRIPT OK: depth=0, CN=test-srv-OVPN
Apr 24 22:42:08OpenVPN0VERIFY OK: depth=0, CN=test-srv-OVPN
Apr 24 22:43:08OpenVPN0TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Apr 24 22:43:08OpenVPN0TLS Error: TLS handshake failed
Apr 24 22:43:08OpenVPN0Fatal TLS error (check_tls_errors_co), restarting
Apr 24 22:43:08OpenVPN0TCP/UDP: Closing socket
Apr 24 22:43:08OpenVPN0SIGTERM[soft,tls-error] received, process exiting
Apr 24 22:43:08ndmService: "OpenVPN0": unexpectedly stopped.

Лог с Mikrotik:

22:42:07 ovpn,info TCP connection established from 31.173.86.100 
22:42:07 ovpn,debug,packet sent P_CONTROL_HARD_RESET_SERVER_V2 kid=0 sid=fc9595a0b275e19b pid=0 DATA len=0 
22:42:08 ovpn,debug,packet rcvd P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 sid=caeb2f1dbff07430 pid=0 DATA len=0 
22:42:08 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [0 sid=caeb2f1dbff07430] DATA len=0 
22:42:08 ovpn,debug,packet rcvd P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 sid=caeb2f1dbff07430 [0 sid=fc9595a0b275e19b] pid=0 DATA len=0 
22:42:08 ovpn,debug,error,684,60448,13244,12696,21884,54028,12032,13240,l2tp,info,13244,debug,79,65535,critical,4176,8600,25488,53520,54104,28008,60448,4043,53428,54028,41920,54028,warning duplicate packet, dropping 
22:42:08 ovpn,debug,packet rcvd P_CONTROL kid=0 sid=caeb2f1dbff07430 pid=1 DATA len=160 
22:42:08 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [1 sid=caeb2f1dbff07430] DATA len=0 
22:42:08 ovpn,debug,packet sent P_CONTROL kid=0 sid=fc9595a0b275e19b pid=1 DATA len=1400 
22:42:08 ovpn,debug,packet sent P_CONTROL kid=0 sid=fc9595a0b275e19b pid=2 DATA len=559 
22:42:08 ovpn,debug,packet rcvd P_ACK kid=0 sid=caeb2f1dbff07430 [1 sid=fc9595a0b275e19b] DATA len=0 
22:42:09 ovpn,debug,packet rcvd P_CONTROL kid=0 sid=caeb2f1dbff07430 [2 sid=fc9595a0b275e19b] pid=2 DATA len=1170 
22:42:09 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [2 sid=caeb2f1dbff07430] DATA len=0 
22:42:09 ovpn,debug,packet rcvd P_CONTROL kid=0 sid=caeb2f1dbff07430 pid=3 DATA len=436 
22:42:09 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [3 sid=caeb2f1dbff07430] DATA len=0 
22:42:10 ovpn,debug,packet sent P_CONTROL kid=0 sid=fc9595a0b275e19b pid=3 DATA len=51 
22:42:10 ovpn,debug,packet rcvd P_CONTROL kid=0 sid=caeb2f1dbff07430 [3 sid=fc9595a0b275e19b] pid=4 DATA len=396 
22:42:10 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [4 sid=caeb2f1dbff07430] DATA len=0 
22:42:10 ovpn,info : using encoding - BF-128-CBC/SHA1 
22:43:08 ovpn,debug <31.173.86.100>: disconnected <peer disconnected> 
 

При этом PPTP и L2TP между данными устройства отлично устанавливается.

Советую вам сперва попробовать настроить ovpn между обычным linux (скажем, ubuntu в виртуалке) и m. Если заработает, тогда будем смотреть, что не так.

Link to comment
Share on other sites

В 16.04.2018 в 12:03, dvg_lab сказал:

Тестирую скорость, клиент на Extra II (2.12.A.5.0-4) WAN статика 100Мб и сервер на FreeBSD 11.1 (OpenVPN 2.4.5) 1 Гбит  фактически подключены к одному свитчу, показывает скорость закачки в районе 1Мб, это так и должно быть или я где-то чего-то недокрутил? В обход OpenVPN с того же сервера скорость честные 100Мбит. Конфиг сервера

  Показать содержимое


mode server
tls-server
port 1194
proto udp
dev tun

topology subnet
route-gateway 10.7.0.1
ifconfig 10.7.0.1 255.255.0.0
ifconfig-pool 10.7.200.0 10.7.250.254

client-config-dir ccd

ca easy-rsa/pki/ca.crt
cert easy-rsa/pki/issued/xxx.crt
key easy-rsa/pki/private/xxx.key  
dh easy-rsa/pki/dh.pem
crl-verify easy-rsa/pki/crl.pem
tls-auth easy-rsa/pki/ta.key 0 # This file is secret
cipher AES-256-CBC
persist-key
persist-tun
max-routes 1024
ifconfig-pool-persist ipp.txt

push "route 192.168.200.0 255.255.255.0 10.7.0.1"

status openvpn-status.log
keepalive 10 120

compress lz4-v2
push "compress lz4-v2"

max-clients 1024

 

Конфиг клиента 

  Показать содержимое


client
tls-client
dev tun
proto udp
remote xxx.ru 1194
resolv-retry infinite
nobind
topology subnet
persist-key
persist-tun
cipher AES-256-CBC
key-direction 1
remote-cert-tls server
verb 3
#keys

 

 

И что странно, при применении параметров chipher none и ncp-disable скорость вырастает всего до 16 мегабит... 

У меня на Lite 3 при подключении к удаленному серверу выдает ~9Мбит входящая и ~12Мбит исходящая при загрузке проца 80% и 100% соответственно (AES-256-CBC, AES-128-CBC и GCM не сказывается никак на скорости). Процы одинаковые, так что явно не так что-то. Попробуй с обеих сторон в конфиге прописать

sndbuf 0
rcvbuf 0

Что это такое и почему так почитайте по ссылке

https://habr.com/post/246953/

В процессе экспериментов установил, что малые значения этого параметра действительно уменьшают скорость, правда у меня ovpn поднят на Debian и без этих настроек работает примерно также.

прописывать "mssfix 0" на клиенте не советую, скорость падает. Я просто галочку убрал "Автоподстройка TCP-MSS" на кинетике, также не влияет толком.

Edited by Stasmin
  • Thanks 1
Link to comment
Share on other sites

Извините, если не туда....

Может кто-то помочь  примером конфигурации для клиента и сервера, если мне надо чтобы клиент попадал прямо внутрь домашней сети, и весь трафик клиента шел по VPN, и внутрисетевой и интернет...

Т.е я понимаю, что мне нужен tap адаптер и объединить потом его в бридж с Home. 

что я сделал:

На Кинетике

dev tap
cipher AES-128-CBC
<secret>
ххх
</secret>
verb 3

и потом в командной строке Кинетика = interface Home include OpenVPN0

И разрешил в межсетевом экране UDP = 1194

На Виндовс-клиента:

dev tap
remote xxx.xxx.xxx.xxx
route-gateway 192.168.1.1
cipher AES-128-CBC
<secret>
xxx
</secret>
verb 3
route 0.0.0.0 0.0.0.0

 

Подключаюсь, IP получаю, но дальше на клиенте никакой трафик никуда не идёт. Ни сеть Кинетика не доступна, ни интернет....

Edited by totikk
Link to comment
Share on other sites

13 часа назад, totikk сказал:

route-gateway 192.168.1.1

Если вы настраиваете tap, то для клиента шлюз и все параметры назначаются через DHCP роутера. 

13 часа назад, totikk сказал:

Подключаюсь, IP получаю

И он верный, DNS, шлюз?

А то, что вы хотите, видимо, решается нужным вариантом опции redirect-gateway на сервере.

 

 

Edited by Mixin
Link to comment
Share on other sites

6 hours ago, Mixin said:

он верный, DNS, шлюз?

Да, всё верное назначается. 

Да, я пробовал и без route-gateway 192.168.1.1. Тогда клиент ругается,  что нет никакого шлюза. Ну и я решил, что если укажу ракуми тот же шлюз который назначил кинетике ничего плохого не будет. Не знал я о redirect-gateway. Сейчас попробую,  но мне кажется забыл где-то не тут...

 

Link to comment
Share on other sites

 

По крайней мере в Виндовс поднимается виртуальный  адаптер и получает IP, DNS и шлюз от Кинетика... 

Но дальше тишина... 

redirect-gateway пробую, оно ругается  NOTE: unable to redirect default gateway -- VPN gateway parameter (--route-gateway or --ifconfig) is missing

 

Если долго пинговать Кинетик, то редкие одиночные пакеты проходят....

Статистика Ping для 192.168.1.1:
    Пакетов: отправлено = 41, получено = 12, потеряно = 29
    (70% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 1мсек, Максимальное = 4 мсек, Среднее = 1 мсек


Если пинговать НАС в этой же сети, то ещё хуже...

Статистика Ping для 192.168.1.35:
    Пакетов: отправлено = 17, получено = 10, потеряно = 7
    (41% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 103мсек, Максимальное = 3898 мсек, Среднее = 1607 мсек


Может надо что-то на самом Кинетике в CLI прописать? 

Помогите, кто-нибудь(((( Пожалкйста.....

Edited by totikk
Link to comment
Share on other sites

В вашем варианте, опять же, если я правильно понимаю, адреса сервера и пул для выдачи надо прописывать на сервере. У вас же все пусто.

Вот пример варианта с вручную задаваемыми адресами. https://habr.com/post/67209/

Вот пример варианта с адресами назначаемыми роутером непосредственно. https://forum.keenetic.net/topic/2617-вопросы-по-интеграции-openvpn-в-ndms/?do=findComment&comment=51834

Лишнее убрать не забудьте. 

Link to comment
Share on other sites

1 hour ago, Mixin said:

Вот пример варианта с адресами назначаемыми роутером

Так у меня примерно так же как и в этом примере, ну лишнее удалил...Говорю же, не работает оно никак...

Link to comment
Share on other sites

25 минут назад, totikk сказал:

Так у меня примерно так же как и в этом примере, ну лишнее удалил...Говорю же, не работает оно никак...

Конфиг без ключей покажите тогда еще раз. 

А также ipconfig и route print до/после.

Edited by Mixin
Link to comment
Share on other sites

Сервер

dev tap
proto udp
port 1194
push "redirect-gateway"
cipher none
keepalive 10 120
<secret>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----

-----END OpenVPN Static key V1-----
</secret>
verb 9

Клиент

dev tap
proto udp4
cipher none
remote a.a.a.a 1194
float
<secret>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----

-----END OpenVPN Static key V1-----
</secret>
verb 4

Смотрю сейчас в логе на клиенте сыпет:

 

Sat May 05 17:42:48 2018 us=213654 Recursive routing detected, drop tun packet to [AF_INET]a.a.a.a:1194

Я тут нашел кое что, это конечно от другого роутера, но меня заставило задуматься.:

https://community.netgear.com/t5/Nighthawk-WiFi-Routers/Recursive-routing-detected-error-in-OpenVPN/td-p/1201469

посмотрите, там в тексте человек даёт ссылку на мануал, если это можно таковым назвать. и в самом конце мануала такие строки:

Quote

For client devices with Windows, modify the VPN interface name to NETGEAR-VPN:
On your computer, go to the Networks page.
If you are using Windows 10, select Control Panel > Network and Sharing Center > Change adapter settings.
In the local area connection list, find the local area connection with the device name TAP-Windows Adapter.
Select the local area connection and change its name (not its device name) to NETGEAR-VPN.
If you don't change the VPN interface name, the VPN tunnel connection fails.

Иначе, как я понял, вылазиет таже самая ерунда, как и у меня, с Recursive routing detected

Толко вот что надо сделать в случае с Кинетиком я не знаю....

Edited by totikk
Link to comment
Share on other sites

Нет. У роутера свой белый ИП от провайдера.

У клиента свой, тоже белый, но динамический. От мобильного оператора, CDMA WIFI роутер

Link to comment
Share on other sites

Сервер

внешний IP xxx.xxx.xxx.xxx 

Роутер, 192.168.1.1

Устройства в сети 192.168.1.30-100

----------

Клиент

внешний IP zzz.zzz.zzz.zzz 

WIFI Роутер, 192.168.2.1

Сам клиент 192.168.2.100

----------------------

Конекчусь по VPN. В Виндовсе TAP адаптер получает адреса.

шлюз 192.168.1.1

DNS 192.168.1.1

IP 192.168.1.40

 

Link to comment
Share on other sites

route print и смотрите, что у вас там пересекается в маршрутах.

Также параметр allow-recursive-routing можно попробовать, если вы уверены, то все верно.

Edited by Mixin
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...