mephistophel Posted April 14, 2018 Share Posted April 14, 2018 Может ли кто-нибудь поделится данными по производительности Keenetic при использовании в качестве клиента OpenVPN? Более всего интересуют модели: 1) Keenetic Omni (KN-1410, MT7628N) 2) Keenetic Giga (KN-1010, MT7621A) 3) Keenetic Giga III (MT7621S) Как сильно сказывается на производительности изменение cipher с AES-128-CBC на AES-256-CBC и auth SHA-256? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted April 14, 2018 Share Posted April 14, 2018 2 часа назад, mephistophel сказал: Может ли кто-нибудь поделится данными по производительности Keenetic при использовании в качестве клиента OpenVPN? Более всего интересуют модели: 1) Keenetic Omni (KN-1410, MT7628N) 2) Keenetic Giga (KN-1010, MT7621A) 3) Keenetic Giga III (MT7621S) Как сильно сказывается на производительности изменение cipher с AES-128-CBC на AES-256-CBC и auth SHA-256? Omni довольно печален - до 7-8 Мбит/с. Устройства на 7621 могут показать до 15 Мбит/с. Да, чем круче шифрование, тем меньше скорость. Именно поэтому для слабых устройств и тех, кому важна именно скорость я оставил возможность настроить blowfish и md5 - то примерно в 2 раза быстрее AES/SHA2. Ждем новую версию openvpn + openssl с chacha20-poly1305, он будет безопасен как AES256/SHA256, но быстрее от 2 до 3 раз. 1 Quote Link to comment Share on other sites More sharing options...
Сергей Молоков Posted April 16, 2018 Share Posted April 16, 2018 Keenetic Extra II 2.12.A.5.0-4 В конфиге клиента: remote xxx.xxx.xxx.xxx remote yyy.yyy.yyy.yyy При отсутствии доступа на xxx.xxx.xxx.xxx, попыток подключиться на yyy.yyy.yyy.yyy нет Думаю на прошивках ранее, так же, не было времени разобраться, сейчас уже напрягает Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted April 16, 2018 Share Posted April 16, 2018 3 часа назад, Сергей Молоков сказал: Keenetic Extra II 2.12.A.5.0-4 В конфиге клиента: remote xxx.xxx.xxx.xxx remote yyy.yyy.yyy.yyy При отсутствии доступа на xxx.xxx.xxx.xxx, попыток подключиться на yyy.yyy.yyy.yyy нет Думаю на прошивках ранее, так же, не было времени разобраться, сейчас уже напрягает А оно так разве должно работать на обычном linux? Приведите-ка пример в виде статьи с описанием настройки. Quote Link to comment Share on other sites More sharing options...
dvg_lab Posted April 16, 2018 Share Posted April 16, 2018 (edited) Тестирую скорость, клиент на Extra II (2.12.A.5.0-4) WAN статика 100Мб и сервер на FreeBSD 11.1 (OpenVPN 2.4.5) 1 Гбит фактически подключены к одному свитчу, показывает скорость закачки в районе 1Мб, это так и должно быть или я где-то чего-то недокрутил? В обход OpenVPN с того же сервера скорость честные 100Мбит. Конфиг сервера Скрытый текст mode server tls-server port 1194 proto udp dev tun topology subnet route-gateway 10.7.0.1 ifconfig 10.7.0.1 255.255.0.0 ifconfig-pool 10.7.200.0 10.7.250.254 client-config-dir ccd ca easy-rsa/pki/ca.crt cert easy-rsa/pki/issued/xxx.crt key easy-rsa/pki/private/xxx.key dh easy-rsa/pki/dh.pem crl-verify easy-rsa/pki/crl.pem tls-auth easy-rsa/pki/ta.key 0 # This file is secret cipher AES-256-CBC persist-key persist-tun max-routes 1024 ifconfig-pool-persist ipp.txt push "route 192.168.200.0 255.255.255.0 10.7.0.1" status openvpn-status.log keepalive 10 120 compress lz4-v2 push "compress lz4-v2" max-clients 1024 Конфиг клиента Скрытый текст client tls-client dev tun proto udp remote xxx.ru 1194 resolv-retry infinite nobind topology subnet persist-key persist-tun cipher AES-256-CBC key-direction 1 remote-cert-tls server verb 3 #keys И что странно, при применении параметров chipher none и ncp-disable скорость вырастает всего до 16 мегабит... Edited April 16, 2018 by dvg_lab Quote Link to comment Share on other sites More sharing options...
Сергей Молоков Posted April 16, 2018 Share Posted April 16, 2018 1 час назад, Le ecureuil сказал: А оно так разве должно работать на обычном linux? Приведите-ка пример в виде статьи с описанием настройки. Извиняюсь, за не понимание темы У меня более двадцати клиентов было под windows_xp, данная настройка на них работала исправно, сейчас почти всех перенес на кинетики, рассчитывал, что будет так же. Сегодня основная линия отключилась и смотрю, что на резерв переключились только windows_xp клиенты. Я с linux не знаком, поэтому не в теме, сорри. Скажите, получается при недоступности одного канала нельзя подключиться к другому? Quote Link to comment Share on other sites More sharing options...
ICMP Posted April 16, 2018 Share Posted April 16, 2018 Думаю речь идет об этом... http://lithium.opennet.ru/articles/openvpn/openvpn-howto.html#loadbalance Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted April 16, 2018 Share Posted April 16, 2018 9 часов назад, dvg_lab сказал: Тестирую скорость, клиент на Extra II (2.12.A.5.0-4) WAN статика 100Мб и сервер на FreeBSD 11.1 (OpenVPN 2.4.5) 1 Гбит фактически подключены к одному свитчу, показывает скорость закачки в районе 1Мб, это так и должно быть или я где-то чего-то недокрутил? В обход OpenVPN с того же сервера скорость честные 100Мбит. Конфиг сервера Показать содержимое mode server tls-server port 1194 proto udp dev tun topology subnet route-gateway 10.7.0.1 ifconfig 10.7.0.1 255.255.0.0 ifconfig-pool 10.7.200.0 10.7.250.254 client-config-dir ccd ca easy-rsa/pki/ca.crt cert easy-rsa/pki/issued/xxx.crt key easy-rsa/pki/private/xxx.key dh easy-rsa/pki/dh.pem crl-verify easy-rsa/pki/crl.pem tls-auth easy-rsa/pki/ta.key 0 # This file is secret cipher AES-256-CBC persist-key persist-tun max-routes 1024 ifconfig-pool-persist ipp.txt push "route 192.168.200.0 255.255.255.0 10.7.0.1" status openvpn-status.log keepalive 10 120 compress lz4-v2 push "compress lz4-v2" max-clients 1024 Конфиг клиента Показать содержимое client tls-client dev tun proto udp remote xxx.ru 1194 resolv-retry infinite nobind topology subnet persist-key persist-tun cipher AES-256-CBC key-direction 1 remote-cert-tls server verb 3 #keys И что странно, при применении параметров chipher none и ncp-disable скорость вырастает всего до 16 мегабит... На Extra? Все ожидаемо, проц слабый, пакеты мелкие и их много... Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted April 16, 2018 Share Posted April 16, 2018 9 часов назад, Сергей Молоков сказал: Извиняюсь, за не понимание темы У меня более двадцати клиентов было под windows_xp, данная настройка на них работала исправно, сейчас почти всех перенес на кинетики, рассчитывал, что будет так же. Сегодня основная линия отключилась и смотрю, что на резерв переключились только windows_xp клиенты. Я с linux не знаком, поэтому не в теме, сорри. Скажите, получается при недоступности одного канала нельзя подключиться к другому? По идее этот фукционал должен работать как в ванильном клиенте. Почему не работает - другой вопрос. Просьба повторить натурный эксперимент, при этом снять self-test с вариантом когда не произошло переключения на резерв. Хотя я примерно догадываюсь о возможной сути - после того, как соединение разорвалось обычный openvpn остается жив и продолжает путь по списку дальше, наш же openvpn гасится совсем и стартует заново. Подумаем, что можно с этим сделать. Quote Link to comment Share on other sites More sharing options...
dvg_lab Posted April 16, 2018 Share Posted April 16, 2018 4 минуты назад, Le ecureuil сказал: На Extra? Все ожидаемо, проц слабый, пакеты мелкие и их много... Понял, уже заказал пару Ultra II... надеюсь выжать поболее, хотелось бы мегабит 30 хотябы... Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted April 16, 2018 Share Posted April 16, 2018 1 минуту назад, dvg_lab сказал: Понял, уже заказал пару Ultra II... надеюсь выжать поболее, хотелось бы мегабит 30 хотябы... Если у вас в приоритете скорость - смотрите на cipher BF-CBC. 1 Quote Link to comment Share on other sites More sharing options...
Quadro Rover Posted April 17, 2018 Share Posted April 17, 2018 У всех в приоритете скорость. Добавьте SoftEtherVPN сервер с космическими скоростями, ovpn в сравнении с ним маленькая улитка. Там на всё уже клиенты есть, и ovpn он тоже поднимать может. Он уже достаточно развился, скоро пятая версия. 1 Quote Link to comment Share on other sites More sharing options...
dvg_lab Posted April 17, 2018 Share Posted April 17, 2018 16 минут назад, Quadro Rover сказал: У всех в приоритете скорость. Добавьте SoftEtherVPN сервер с космическими скоростями, ovpn в сравнении с ним маленькая улитка. Там на всё уже клиенты есть, и ovpn он тоже поднимать может. Он уже достаточно развился, скоро пятая версия. Имхо сервер в таких железках на данном этапе это баловство. А вот скоростной клиент это в приоритете. Как у SoftEther с этим? Я так понимаю там свой клиент, совместимый с OpenVPN. 1 Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted April 17, 2018 Share Posted April 17, 2018 13 часа назад, Quadro Rover сказал: У всех в приоритете скорость. Добавьте SoftEtherVPN сервер с космическими скоростями, ovpn в сравнении с ним маленькая улитка. Там на всё уже клиенты есть, и ovpn он тоже поднимать может. Он уже достаточно развился, скоро пятая версия. Есть исследования, как ведет себя SE и OpenVPN на MIPS32R2 с 64М ОЗУ и 580 МГц процессором? Иначе это пока голословные заявления про "космические скорости". Quote Link to comment Share on other sites More sharing options...
pigovina Posted April 24, 2018 Share Posted April 24, 2018 Прошу помочь. Не устанавливается Open VPN с Keenetci (сlient) к Mikrotik (server). Лог с Keenetic: Apr 24 22:42:07OpenVPN0OpenVPN 2.4.4 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD] Apr 24 22:42:07OpenVPN0library versions: OpenSSL 1.1.0h 27 Mar 2018, LZO 2.10 Apr 24 22:42:07OpenVPN0using default password "password" for pkcs file Apr 24 22:42:07OpenVPN0Control Channel MTU parms [ L:1655 D:1210 EF:40 EB:0 ET:0 EL:3 ] Apr 24 22:42:07OpenVPN0Data Channel MTU parms [ L:1655 D:1450 EF:123 EB:411 ET:32 EL:3 ] Apr 24 22:42:07OpenVPN0Local Options String (VER=V4): 'V4,dev-type tap,link-mtu 1575,tun-mtu 1532,proto TCPv4_CLIENT,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client' Apr 24 22:42:07OpenVPN0Expected Remote Options String (VER=V4): 'V4,dev-type tap,link-mtu 1575,tun-mtu 1532,proto TCPv4_SERVER,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server' Apr 24 22:42:07OpenVPN0Socket Buffers: R=[87380->87380] S=[16384->16384] Apr 24 22:42:07OpenVPN0Attempting to establish TCP connection with [AF_INET]78.107.91.221:443 [nonblock] Apr 24 22:42:08OpenVPN0TCP connection established with [AF_INET]78.107.91.221:443 Apr 24 22:42:08OpenVPN0TCP_CLIENT link local: (not bound) Apr 24 22:42:08OpenVPN0TCP_CLIENT link remote: [AF_INET]78.107.91.221:443 Apr 24 22:42:08OpenVPN0NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay Apr 24 22:42:08OpenVPN0TLS: Initial packet from [AF_INET]78.107.91.221:443, sid=fc9595a0 b275e19b Apr 24 22:42:08OpenVPN0VERIFY SCRIPT OK: depth=1, CN=test-CA Apr 24 22:42:08OpenVPN0VERIFY OK: depth=1, CN=test-CA Apr 24 22:42:08OpenVPN0VERIFY SCRIPT OK: depth=0, CN=test-srv-OVPN Apr 24 22:42:08OpenVPN0VERIFY OK: depth=0, CN=test-srv-OVPN Apr 24 22:43:08OpenVPN0TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) Apr 24 22:43:08OpenVPN0TLS Error: TLS handshake failed Apr 24 22:43:08OpenVPN0Fatal TLS error (check_tls_errors_co), restarting Apr 24 22:43:08OpenVPN0TCP/UDP: Closing socket Apr 24 22:43:08OpenVPN0SIGTERM[soft,tls-error] received, process exiting Apr 24 22:43:08ndmService: "OpenVPN0": unexpectedly stopped. Лог с Mikrotik: 22:42:07 ovpn,info TCP connection established from 31.173.86.100 22:42:07 ovpn,debug,packet sent P_CONTROL_HARD_RESET_SERVER_V2 kid=0 sid=fc9595a0b275e19b pid=0 DATA len=0 22:42:08 ovpn,debug,packet rcvd P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 sid=caeb2f1dbff07430 pid=0 DATA len=0 22:42:08 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [0 sid=caeb2f1dbff07430] DATA len=0 22:42:08 ovpn,debug,packet rcvd P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 sid=caeb2f1dbff07430 [0 sid=fc9595a0b275e19b] pid=0 DATA len=0 22:42:08 ovpn,debug,error,684,60448,13244,12696,21884,54028,12032,13240,l2tp,info,13244,debug,79,65535,critical,4176,8600,25488,53520,54104,28008,60448,4043,53428,54028,41920,54028,warning duplicate packet, dropping 22:42:08 ovpn,debug,packet rcvd P_CONTROL kid=0 sid=caeb2f1dbff07430 pid=1 DATA len=160 22:42:08 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [1 sid=caeb2f1dbff07430] DATA len=0 22:42:08 ovpn,debug,packet sent P_CONTROL kid=0 sid=fc9595a0b275e19b pid=1 DATA len=1400 22:42:08 ovpn,debug,packet sent P_CONTROL kid=0 sid=fc9595a0b275e19b pid=2 DATA len=559 22:42:08 ovpn,debug,packet rcvd P_ACK kid=0 sid=caeb2f1dbff07430 [1 sid=fc9595a0b275e19b] DATA len=0 22:42:09 ovpn,debug,packet rcvd P_CONTROL kid=0 sid=caeb2f1dbff07430 [2 sid=fc9595a0b275e19b] pid=2 DATA len=1170 22:42:09 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [2 sid=caeb2f1dbff07430] DATA len=0 22:42:09 ovpn,debug,packet rcvd P_CONTROL kid=0 sid=caeb2f1dbff07430 pid=3 DATA len=436 22:42:09 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [3 sid=caeb2f1dbff07430] DATA len=0 22:42:10 ovpn,debug,packet sent P_CONTROL kid=0 sid=fc9595a0b275e19b pid=3 DATA len=51 22:42:10 ovpn,debug,packet rcvd P_CONTROL kid=0 sid=caeb2f1dbff07430 [3 sid=fc9595a0b275e19b] pid=4 DATA len=396 22:42:10 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [4 sid=caeb2f1dbff07430] DATA len=0 22:42:10 ovpn,info : using encoding - BF-128-CBC/SHA1 22:43:08 ovpn,debug <31.173.86.100>: disconnected <peer disconnected> При этом PPTP и L2TP между данными устройства отлично устанавливается. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted April 25, 2018 Share Posted April 25, 2018 22 часа назад, pigovina сказал: Прошу помочь. Не устанавливается Open VPN с Keenetci (сlient) к Mikrotik (server). Лог с Keenetic: Apr 24 22:42:07OpenVPN0OpenVPN 2.4.4 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD] Apr 24 22:42:07OpenVPN0library versions: OpenSSL 1.1.0h 27 Mar 2018, LZO 2.10 Apr 24 22:42:07OpenVPN0using default password "password" for pkcs file Apr 24 22:42:07OpenVPN0Control Channel MTU parms [ L:1655 D:1210 EF:40 EB:0 ET:0 EL:3 ] Apr 24 22:42:07OpenVPN0Data Channel MTU parms [ L:1655 D:1450 EF:123 EB:411 ET:32 EL:3 ] Apr 24 22:42:07OpenVPN0Local Options String (VER=V4): 'V4,dev-type tap,link-mtu 1575,tun-mtu 1532,proto TCPv4_CLIENT,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client' Apr 24 22:42:07OpenVPN0Expected Remote Options String (VER=V4): 'V4,dev-type tap,link-mtu 1575,tun-mtu 1532,proto TCPv4_SERVER,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server' Apr 24 22:42:07OpenVPN0Socket Buffers: R=[87380->87380] S=[16384->16384] Apr 24 22:42:07OpenVPN0Attempting to establish TCP connection with [AF_INET]78.107.91.221:443 [nonblock] Apr 24 22:42:08OpenVPN0TCP connection established with [AF_INET]78.107.91.221:443 Apr 24 22:42:08OpenVPN0TCP_CLIENT link local: (not bound) Apr 24 22:42:08OpenVPN0TCP_CLIENT link remote: [AF_INET]78.107.91.221:443 Apr 24 22:42:08OpenVPN0NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay Apr 24 22:42:08OpenVPN0TLS: Initial packet from [AF_INET]78.107.91.221:443, sid=fc9595a0 b275e19b Apr 24 22:42:08OpenVPN0VERIFY SCRIPT OK: depth=1, CN=test-CA Apr 24 22:42:08OpenVPN0VERIFY OK: depth=1, CN=test-CA Apr 24 22:42:08OpenVPN0VERIFY SCRIPT OK: depth=0, CN=test-srv-OVPN Apr 24 22:42:08OpenVPN0VERIFY OK: depth=0, CN=test-srv-OVPN Apr 24 22:43:08OpenVPN0TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) Apr 24 22:43:08OpenVPN0TLS Error: TLS handshake failed Apr 24 22:43:08OpenVPN0Fatal TLS error (check_tls_errors_co), restarting Apr 24 22:43:08OpenVPN0TCP/UDP: Closing socket Apr 24 22:43:08OpenVPN0SIGTERM[soft,tls-error] received, process exiting Apr 24 22:43:08ndmService: "OpenVPN0": unexpectedly stopped. Лог с Mikrotik: 22:42:07 ovpn,info TCP connection established from 31.173.86.100 22:42:07 ovpn,debug,packet sent P_CONTROL_HARD_RESET_SERVER_V2 kid=0 sid=fc9595a0b275e19b pid=0 DATA len=0 22:42:08 ovpn,debug,packet rcvd P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 sid=caeb2f1dbff07430 pid=0 DATA len=0 22:42:08 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [0 sid=caeb2f1dbff07430] DATA len=0 22:42:08 ovpn,debug,packet rcvd P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 sid=caeb2f1dbff07430 [0 sid=fc9595a0b275e19b] pid=0 DATA len=0 22:42:08 ovpn,debug,error,684,60448,13244,12696,21884,54028,12032,13240,l2tp,info,13244,debug,79,65535,critical,4176,8600,25488,53520,54104,28008,60448,4043,53428,54028,41920,54028,warning duplicate packet, dropping 22:42:08 ovpn,debug,packet rcvd P_CONTROL kid=0 sid=caeb2f1dbff07430 pid=1 DATA len=160 22:42:08 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [1 sid=caeb2f1dbff07430] DATA len=0 22:42:08 ovpn,debug,packet sent P_CONTROL kid=0 sid=fc9595a0b275e19b pid=1 DATA len=1400 22:42:08 ovpn,debug,packet sent P_CONTROL kid=0 sid=fc9595a0b275e19b pid=2 DATA len=559 22:42:08 ovpn,debug,packet rcvd P_ACK kid=0 sid=caeb2f1dbff07430 [1 sid=fc9595a0b275e19b] DATA len=0 22:42:09 ovpn,debug,packet rcvd P_CONTROL kid=0 sid=caeb2f1dbff07430 [2 sid=fc9595a0b275e19b] pid=2 DATA len=1170 22:42:09 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [2 sid=caeb2f1dbff07430] DATA len=0 22:42:09 ovpn,debug,packet rcvd P_CONTROL kid=0 sid=caeb2f1dbff07430 pid=3 DATA len=436 22:42:09 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [3 sid=caeb2f1dbff07430] DATA len=0 22:42:10 ovpn,debug,packet sent P_CONTROL kid=0 sid=fc9595a0b275e19b pid=3 DATA len=51 22:42:10 ovpn,debug,packet rcvd P_CONTROL kid=0 sid=caeb2f1dbff07430 [3 sid=fc9595a0b275e19b] pid=4 DATA len=396 22:42:10 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [4 sid=caeb2f1dbff07430] DATA len=0 22:42:10 ovpn,info : using encoding - BF-128-CBC/SHA1 22:43:08 ovpn,debug <31.173.86.100>: disconnected <peer disconnected> При этом PPTP и L2TP между данными устройства отлично устанавливается. Советую вам сперва попробовать настроить ovpn между обычным linux (скажем, ubuntu в виртуалке) и m. Если заработает, тогда будем смотреть, что не так. Quote Link to comment Share on other sites More sharing options...
Stasmin Posted April 29, 2018 Share Posted April 29, 2018 (edited) В 16.04.2018 в 12:03, dvg_lab сказал: Тестирую скорость, клиент на Extra II (2.12.A.5.0-4) WAN статика 100Мб и сервер на FreeBSD 11.1 (OpenVPN 2.4.5) 1 Гбит фактически подключены к одному свитчу, показывает скорость закачки в районе 1Мб, это так и должно быть или я где-то чего-то недокрутил? В обход OpenVPN с того же сервера скорость честные 100Мбит. Конфиг сервера Показать содержимое mode server tls-server port 1194 proto udp dev tun topology subnet route-gateway 10.7.0.1 ifconfig 10.7.0.1 255.255.0.0 ifconfig-pool 10.7.200.0 10.7.250.254 client-config-dir ccd ca easy-rsa/pki/ca.crt cert easy-rsa/pki/issued/xxx.crt key easy-rsa/pki/private/xxx.key dh easy-rsa/pki/dh.pem crl-verify easy-rsa/pki/crl.pem tls-auth easy-rsa/pki/ta.key 0 # This file is secret cipher AES-256-CBC persist-key persist-tun max-routes 1024 ifconfig-pool-persist ipp.txt push "route 192.168.200.0 255.255.255.0 10.7.0.1" status openvpn-status.log keepalive 10 120 compress lz4-v2 push "compress lz4-v2" max-clients 1024 Конфиг клиента Показать содержимое client tls-client dev tun proto udp remote xxx.ru 1194 resolv-retry infinite nobind topology subnet persist-key persist-tun cipher AES-256-CBC key-direction 1 remote-cert-tls server verb 3 #keys И что странно, при применении параметров chipher none и ncp-disable скорость вырастает всего до 16 мегабит... У меня на Lite 3 при подключении к удаленному серверу выдает ~9Мбит входящая и ~12Мбит исходящая при загрузке проца 80% и 100% соответственно (AES-256-CBC, AES-128-CBC и GCM не сказывается никак на скорости). Процы одинаковые, так что явно не так что-то. Попробуй с обеих сторон в конфиге прописать sndbuf 0 rcvbuf 0 Что это такое и почему так почитайте по ссылке https://habr.com/post/246953/ В процессе экспериментов установил, что малые значения этого параметра действительно уменьшают скорость, правда у меня ovpn поднят на Debian и без этих настроек работает примерно также. прописывать "mssfix 0" на клиенте не советую, скорость падает. Я просто галочку убрал "Автоподстройка TCP-MSS" на кинетике, также не влияет толком. Edited April 29, 2018 by Stasmin 1 Quote Link to comment Share on other sites More sharing options...
totikk Posted May 4, 2018 Share Posted May 4, 2018 (edited) Извините, если не туда.... Может кто-то помочь примером конфигурации для клиента и сервера, если мне надо чтобы клиент попадал прямо внутрь домашней сети, и весь трафик клиента шел по VPN, и внутрисетевой и интернет... Т.е я понимаю, что мне нужен tap адаптер и объединить потом его в бридж с Home. что я сделал: На Кинетике dev tap cipher AES-128-CBC <secret> ххх </secret> verb 3 и потом в командной строке Кинетика = interface Home include OpenVPN0 И разрешил в межсетевом экране UDP = 1194 На Виндовс-клиента: dev tap remote xxx.xxx.xxx.xxx route-gateway 192.168.1.1 cipher AES-128-CBC <secret> xxx </secret> verb 3 route 0.0.0.0 0.0.0.0 Подключаюсь, IP получаю, но дальше на клиенте никакой трафик никуда не идёт. Ни сеть Кинетика не доступна, ни интернет.... Edited May 4, 2018 by totikk Quote Link to comment Share on other sites More sharing options...
Mixin Posted May 4, 2018 Share Posted May 4, 2018 (edited) 13 часа назад, totikk сказал: route-gateway 192.168.1.1 Если вы настраиваете tap, то для клиента шлюз и все параметры назначаются через DHCP роутера. 13 часа назад, totikk сказал: Подключаюсь, IP получаю И он верный, DNS, шлюз? А то, что вы хотите, видимо, решается нужным вариантом опции redirect-gateway на сервере. Edited May 4, 2018 by Mixin Quote Link to comment Share on other sites More sharing options...
totikk Posted May 5, 2018 Share Posted May 5, 2018 6 hours ago, Mixin said: он верный, DNS, шлюз? Да, всё верное назначается. Да, я пробовал и без route-gateway 192.168.1.1. Тогда клиент ругается, что нет никакого шлюза. Ну и я решил, что если укажу ракуми тот же шлюз который назначил кинетике ничего плохого не будет. Не знал я о redirect-gateway. Сейчас попробую, но мне кажется забыл где-то не тут... Quote Link to comment Share on other sites More sharing options...
totikk Posted May 5, 2018 Share Posted May 5, 2018 (edited) По крайней мере в Виндовс поднимается виртуальный адаптер и получает IP, DNS и шлюз от Кинетика... Но дальше тишина... redirect-gateway пробую, оно ругается NOTE: unable to redirect default gateway -- VPN gateway parameter (--route-gateway or --ifconfig) is missing Если долго пинговать Кинетик, то редкие одиночные пакеты проходят.... Статистика Ping для 192.168.1.1: Пакетов: отправлено = 41, получено = 12, потеряно = 29 (70% потерь) Приблизительное время приема-передачи в мс: Минимальное = 1мсек, Максимальное = 4 мсек, Среднее = 1 мсек Если пинговать НАС в этой же сети, то ещё хуже... Статистика Ping для 192.168.1.35: Пакетов: отправлено = 17, получено = 10, потеряно = 7 (41% потерь) Приблизительное время приема-передачи в мс: Минимальное = 103мсек, Максимальное = 3898 мсек, Среднее = 1607 мсек Может надо что-то на самом Кинетике в CLI прописать? Помогите, кто-нибудь(((( Пожалкйста..... Edited May 5, 2018 by totikk Quote Link to comment Share on other sites More sharing options...
Mixin Posted May 5, 2018 Share Posted May 5, 2018 В вашем варианте, опять же, если я правильно понимаю, адреса сервера и пул для выдачи надо прописывать на сервере. У вас же все пусто. Вот пример варианта с вручную задаваемыми адресами. https://habr.com/post/67209/ Вот пример варианта с адресами назначаемыми роутером непосредственно. https://forum.keenetic.net/topic/2617-вопросы-по-интеграции-openvpn-в-ndms/?do=findComment&comment=51834 Лишнее убрать не забудьте. Quote Link to comment Share on other sites More sharing options...
totikk Posted May 5, 2018 Share Posted May 5, 2018 1 hour ago, Mixin said: Вот пример варианта с адресами назначаемыми роутером Так у меня примерно так же как и в этом примере, ну лишнее удалил...Говорю же, не работает оно никак... Quote Link to comment Share on other sites More sharing options...
Mixin Posted May 5, 2018 Share Posted May 5, 2018 (edited) 25 минут назад, totikk сказал: Так у меня примерно так же как и в этом примере, ну лишнее удалил...Говорю же, не работает оно никак... Конфиг без ключей покажите тогда еще раз. А также ipconfig и route print до/после. Edited May 5, 2018 by Mixin Quote Link to comment Share on other sites More sharing options...
totikk Posted May 5, 2018 Share Posted May 5, 2018 (edited) Сервер dev tap proto udp port 1194 push "redirect-gateway" cipher none keepalive 10 120 <secret> # # 2048 bit OpenVPN static key # -----BEGIN OpenVPN Static key V1----- -----END OpenVPN Static key V1----- </secret> verb 9 Клиент dev tap proto udp4 cipher none remote a.a.a.a 1194 float <secret> # # 2048 bit OpenVPN static key # -----BEGIN OpenVPN Static key V1----- -----END OpenVPN Static key V1----- </secret> verb 4 Смотрю сейчас в логе на клиенте сыпет: Sat May 05 17:42:48 2018 us=213654 Recursive routing detected, drop tun packet to [AF_INET]a.a.a.a:1194 Я тут нашел кое что, это конечно от другого роутера, но меня заставило задуматься.: https://community.netgear.com/t5/Nighthawk-WiFi-Routers/Recursive-routing-detected-error-in-OpenVPN/td-p/1201469 посмотрите, там в тексте человек даёт ссылку на мануал, если это можно таковым назвать. и в самом конце мануала такие строки: Quote For client devices with Windows, modify the VPN interface name to NETGEAR-VPN: On your computer, go to the Networks page. If you are using Windows 10, select Control Panel > Network and Sharing Center > Change adapter settings. In the local area connection list, find the local area connection with the device name TAP-Windows Adapter. Select the local area connection and change its name (not its device name) to NETGEAR-VPN. If you don't change the VPN interface name, the VPN tunnel connection fails. Иначе, как я понял, вылазиет таже самая ерунда, как и у меня, с Recursive routing detected Толко вот что надо сделать в случае с Кинетиком я не знаю.... Edited May 5, 2018 by totikk Quote Link to comment Share on other sites More sharing options...
Mixin Posted May 5, 2018 Share Posted May 5, 2018 У вас сеть клиента и сеть назначения одинаковые что ли? Quote Link to comment Share on other sites More sharing options...
totikk Posted May 5, 2018 Share Posted May 5, 2018 Нет. У роутера свой белый ИП от провайдера. У клиента свой, тоже белый, но динамический. От мобильного оператора, CDMA WIFI роутер Quote Link to comment Share on other sites More sharing options...
Mixin Posted May 5, 2018 Share Posted May 5, 2018 Внутренняя сеть клиента и та сеть за роутером, куда подключаетесь. Quote Link to comment Share on other sites More sharing options...
totikk Posted May 5, 2018 Share Posted May 5, 2018 Сервер внешний IP xxx.xxx.xxx.xxx Роутер, 192.168.1.1 Устройства в сети 192.168.1.30-100 ---------- Клиент внешний IP zzz.zzz.zzz.zzz WIFI Роутер, 192.168.2.1 Сам клиент 192.168.2.100 ---------------------- Конекчусь по VPN. В Виндовсе TAP адаптер получает адреса. шлюз 192.168.1.1 DNS 192.168.1.1 IP 192.168.1.40 Quote Link to comment Share on other sites More sharing options...
Mixin Posted May 5, 2018 Share Posted May 5, 2018 (edited) route print и смотрите, что у вас там пересекается в маршрутах. Также параметр allow-recursive-routing можно попробовать, если вы уверены, то все верно. Edited May 5, 2018 by Mixin Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.