User254 Posted April 9, 2018 Share Posted April 9, 2018 (edited) 1 час назад, raf сказал: Как тогда в /storage создать ccd/ каталог и его содержимое для реализации работы опции openvpn "client-config-dir"? Команда cli "copy STORAGE1:ccd storage:" не работает Пробовал в конфигурации openvpn указать раздел с usb-drive 'client-config-dir /STORAGE1/ccd' - не работает У меня на Keenetic Omni II /storage это часть внутренней памяти (/dev/mtdblock/7 512.0K 204.0K 308.0K 40% /storage), через встроенный FTP сервер файлы там можно создать и папку тоже. В OpenVPN стоит просто "client-config-dir /storage" и все работает. Edited April 9, 2018 by User254 Quote Link to comment Share on other sites More sharing options...
raf Posted April 9, 2018 Share Posted April 9, 2018 6 часов назад, User254 сказал: У меня на Keenetic Omni II /storage это часть внутренней памяти (/dev/mtdblock/7 512.0K 204.0K 308.0K 40% /storage), через встроенный FTP сервер файлы там можно создать и папку тоже. В OpenVPN стоит просто "client-config-dir /storage" и все работает. У меня Viva. FTP дает доступ только к разделам на USB. Пришлось установить Entware. И подключившись по ssh уже создать на /storage каталог ccd/ и файлы клиентов в нем Quote Link to comment Share on other sites More sharing options...
Quadro Rover Posted April 9, 2018 Share Posted April 9, 2018 13 часа назад, Le ecureuil сказал: . Так как же сделать tun мост (interface Home include OpenVPN0) чтобы клиенты ovpn получали адреса от DHCP сервера кинетика? Как понял, если писать какие-то маршруты, то это уже будет не так работать, мультикаст DLNA работает только в своей (одной) подсети. Quote Link to comment Share on other sites More sharing options...
Mixin Posted April 9, 2018 Share Posted April 9, 2018 23 минуты назад, Quadro Rover сказал: Так как же сделать tun мост (interface Home include OpenVPN0) чтобы клиенты ovpn получали адреса от DHCP сервера кинетика? FAQ вам не помогает? https://community.openvpn.net/openvpn/wiki/311-what-are-the-fundamental-differences-between-bridging-and-routing-in-terms-of-configuration Quote Link to comment Share on other sites More sharing options...
Quadro Rover Posted April 9, 2018 Share Posted April 9, 2018 (edited) 2 часа назад, Mixin сказал: FAQ Да зачем мне этот фак, это даже не фак. Если Le ecureuil написал что даже tun можно в мост, то непонятно тольто можно ли сделать получение ip с роутера. Конфиг server side нужен. topology subnet или p2p в таком случае. Просил бы я помочь если бы в гугле было.. Edited April 10, 2018 by Quadro Rover Quote Link to comment Share on other sites More sharing options...
Mixin Posted April 9, 2018 Share Posted April 9, 2018 6 минут назад, Quadro Rover сказал: Да зачем мне этот фак, это даже не фак. Я, конечно, не специалист, но там прямо написано, как оно работает. Вы же упорно хотите иначе. 9 минут назад, Quadro Rover сказал: Если Le ecureuil написал что даже tun можно в мост Тут написано про tap + мост с Home https://forum.keenetic.net/topic/2617-вопросы-по-интеграции-openvpn-в-ndms/?do=findComment&comment=45075 Где вы нашли иное? Quote Link to comment Share on other sites More sharing options...
Quadro Rover Posted April 10, 2018 Share Posted April 10, 2018 (edited) Здесь *** Edited April 10, 2018 by TheBB Quote Link to comment Share on other sites More sharing options...
Mixin Posted April 10, 2018 Share Posted April 10, 2018 Тяжело вам, наверное. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted April 10, 2018 Share Posted April 10, 2018 20 часов назад, Quadro Rover сказал: Так как же сделать tun мост (interface Home include OpenVPN0) чтобы клиенты ovpn получали адреса от DHCP сервера кинетика? Как понял, если писать какие-то маршруты, то это уже будет не так работать, мультикаст DLNA работает только в своей (одной) подсети. Это не будет работать, нужно перейти на tap-режим. Quote Link to comment Share on other sites More sharing options...
Quadro Rover Posted April 13, 2018 Share Posted April 13, 2018 (edited) Теперь понятно. Вычитал если используется шифрование AES-GCM то HMAC (ta.key) не нужен. Вопрос по OpenVPN Server @ TCP 443 снят таким образом: Edited April 13, 2018 by Quadro Rover Quote Link to comment Share on other sites More sharing options...
mephistophel Posted April 14, 2018 Share Posted April 14, 2018 Может ли кто-нибудь поделится данными по производительности Keenetic при использовании в качестве клиента OpenVPN? Более всего интересуют модели: 1) Keenetic Omni (KN-1410, MT7628N) 2) Keenetic Giga (KN-1010, MT7621A) 3) Keenetic Giga III (MT7621S) Как сильно сказывается на производительности изменение cipher с AES-128-CBC на AES-256-CBC и auth SHA-256? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted April 14, 2018 Share Posted April 14, 2018 2 часа назад, mephistophel сказал: Может ли кто-нибудь поделится данными по производительности Keenetic при использовании в качестве клиента OpenVPN? Более всего интересуют модели: 1) Keenetic Omni (KN-1410, MT7628N) 2) Keenetic Giga (KN-1010, MT7621A) 3) Keenetic Giga III (MT7621S) Как сильно сказывается на производительности изменение cipher с AES-128-CBC на AES-256-CBC и auth SHA-256? Omni довольно печален - до 7-8 Мбит/с. Устройства на 7621 могут показать до 15 Мбит/с. Да, чем круче шифрование, тем меньше скорость. Именно поэтому для слабых устройств и тех, кому важна именно скорость я оставил возможность настроить blowfish и md5 - то примерно в 2 раза быстрее AES/SHA2. Ждем новую версию openvpn + openssl с chacha20-poly1305, он будет безопасен как AES256/SHA256, но быстрее от 2 до 3 раз. 1 Quote Link to comment Share on other sites More sharing options...
Сергей Молоков Posted April 16, 2018 Share Posted April 16, 2018 Keenetic Extra II 2.12.A.5.0-4 В конфиге клиента: remote xxx.xxx.xxx.xxx remote yyy.yyy.yyy.yyy При отсутствии доступа на xxx.xxx.xxx.xxx, попыток подключиться на yyy.yyy.yyy.yyy нет Думаю на прошивках ранее, так же, не было времени разобраться, сейчас уже напрягает Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted April 16, 2018 Share Posted April 16, 2018 3 часа назад, Сергей Молоков сказал: Keenetic Extra II 2.12.A.5.0-4 В конфиге клиента: remote xxx.xxx.xxx.xxx remote yyy.yyy.yyy.yyy При отсутствии доступа на xxx.xxx.xxx.xxx, попыток подключиться на yyy.yyy.yyy.yyy нет Думаю на прошивках ранее, так же, не было времени разобраться, сейчас уже напрягает А оно так разве должно работать на обычном linux? Приведите-ка пример в виде статьи с описанием настройки. Quote Link to comment Share on other sites More sharing options...
dvg_lab Posted April 16, 2018 Share Posted April 16, 2018 (edited) Тестирую скорость, клиент на Extra II (2.12.A.5.0-4) WAN статика 100Мб и сервер на FreeBSD 11.1 (OpenVPN 2.4.5) 1 Гбит фактически подключены к одному свитчу, показывает скорость закачки в районе 1Мб, это так и должно быть или я где-то чего-то недокрутил? В обход OpenVPN с того же сервера скорость честные 100Мбит. Конфиг сервера Скрытый текст mode server tls-server port 1194 proto udp dev tun topology subnet route-gateway 10.7.0.1 ifconfig 10.7.0.1 255.255.0.0 ifconfig-pool 10.7.200.0 10.7.250.254 client-config-dir ccd ca easy-rsa/pki/ca.crt cert easy-rsa/pki/issued/xxx.crt key easy-rsa/pki/private/xxx.key dh easy-rsa/pki/dh.pem crl-verify easy-rsa/pki/crl.pem tls-auth easy-rsa/pki/ta.key 0 # This file is secret cipher AES-256-CBC persist-key persist-tun max-routes 1024 ifconfig-pool-persist ipp.txt push "route 192.168.200.0 255.255.255.0 10.7.0.1" status openvpn-status.log keepalive 10 120 compress lz4-v2 push "compress lz4-v2" max-clients 1024 Конфиг клиента Скрытый текст client tls-client dev tun proto udp remote xxx.ru 1194 resolv-retry infinite nobind topology subnet persist-key persist-tun cipher AES-256-CBC key-direction 1 remote-cert-tls server verb 3 #keys И что странно, при применении параметров chipher none и ncp-disable скорость вырастает всего до 16 мегабит... Edited April 16, 2018 by dvg_lab Quote Link to comment Share on other sites More sharing options...
Сергей Молоков Posted April 16, 2018 Share Posted April 16, 2018 1 час назад, Le ecureuil сказал: А оно так разве должно работать на обычном linux? Приведите-ка пример в виде статьи с описанием настройки. Извиняюсь, за не понимание темы У меня более двадцати клиентов было под windows_xp, данная настройка на них работала исправно, сейчас почти всех перенес на кинетики, рассчитывал, что будет так же. Сегодня основная линия отключилась и смотрю, что на резерв переключились только windows_xp клиенты. Я с linux не знаком, поэтому не в теме, сорри. Скажите, получается при недоступности одного канала нельзя подключиться к другому? Quote Link to comment Share on other sites More sharing options...
ICMP Posted April 16, 2018 Share Posted April 16, 2018 Думаю речь идет об этом... http://lithium.opennet.ru/articles/openvpn/openvpn-howto.html#loadbalance Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted April 16, 2018 Share Posted April 16, 2018 9 часов назад, dvg_lab сказал: Тестирую скорость, клиент на Extra II (2.12.A.5.0-4) WAN статика 100Мб и сервер на FreeBSD 11.1 (OpenVPN 2.4.5) 1 Гбит фактически подключены к одному свитчу, показывает скорость закачки в районе 1Мб, это так и должно быть или я где-то чего-то недокрутил? В обход OpenVPN с того же сервера скорость честные 100Мбит. Конфиг сервера Показать содержимое mode server tls-server port 1194 proto udp dev tun topology subnet route-gateway 10.7.0.1 ifconfig 10.7.0.1 255.255.0.0 ifconfig-pool 10.7.200.0 10.7.250.254 client-config-dir ccd ca easy-rsa/pki/ca.crt cert easy-rsa/pki/issued/xxx.crt key easy-rsa/pki/private/xxx.key dh easy-rsa/pki/dh.pem crl-verify easy-rsa/pki/crl.pem tls-auth easy-rsa/pki/ta.key 0 # This file is secret cipher AES-256-CBC persist-key persist-tun max-routes 1024 ifconfig-pool-persist ipp.txt push "route 192.168.200.0 255.255.255.0 10.7.0.1" status openvpn-status.log keepalive 10 120 compress lz4-v2 push "compress lz4-v2" max-clients 1024 Конфиг клиента Показать содержимое client tls-client dev tun proto udp remote xxx.ru 1194 resolv-retry infinite nobind topology subnet persist-key persist-tun cipher AES-256-CBC key-direction 1 remote-cert-tls server verb 3 #keys И что странно, при применении параметров chipher none и ncp-disable скорость вырастает всего до 16 мегабит... На Extra? Все ожидаемо, проц слабый, пакеты мелкие и их много... Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted April 16, 2018 Share Posted April 16, 2018 9 часов назад, Сергей Молоков сказал: Извиняюсь, за не понимание темы У меня более двадцати клиентов было под windows_xp, данная настройка на них работала исправно, сейчас почти всех перенес на кинетики, рассчитывал, что будет так же. Сегодня основная линия отключилась и смотрю, что на резерв переключились только windows_xp клиенты. Я с linux не знаком, поэтому не в теме, сорри. Скажите, получается при недоступности одного канала нельзя подключиться к другому? По идее этот фукционал должен работать как в ванильном клиенте. Почему не работает - другой вопрос. Просьба повторить натурный эксперимент, при этом снять self-test с вариантом когда не произошло переключения на резерв. Хотя я примерно догадываюсь о возможной сути - после того, как соединение разорвалось обычный openvpn остается жив и продолжает путь по списку дальше, наш же openvpn гасится совсем и стартует заново. Подумаем, что можно с этим сделать. Quote Link to comment Share on other sites More sharing options...
dvg_lab Posted April 16, 2018 Share Posted April 16, 2018 4 минуты назад, Le ecureuil сказал: На Extra? Все ожидаемо, проц слабый, пакеты мелкие и их много... Понял, уже заказал пару Ultra II... надеюсь выжать поболее, хотелось бы мегабит 30 хотябы... Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted April 16, 2018 Share Posted April 16, 2018 1 минуту назад, dvg_lab сказал: Понял, уже заказал пару Ultra II... надеюсь выжать поболее, хотелось бы мегабит 30 хотябы... Если у вас в приоритете скорость - смотрите на cipher BF-CBC. 1 Quote Link to comment Share on other sites More sharing options...
Quadro Rover Posted April 17, 2018 Share Posted April 17, 2018 У всех в приоритете скорость. Добавьте SoftEtherVPN сервер с космическими скоростями, ovpn в сравнении с ним маленькая улитка. Там на всё уже клиенты есть, и ovpn он тоже поднимать может. Он уже достаточно развился, скоро пятая версия. 1 Quote Link to comment Share on other sites More sharing options...
dvg_lab Posted April 17, 2018 Share Posted April 17, 2018 16 минут назад, Quadro Rover сказал: У всех в приоритете скорость. Добавьте SoftEtherVPN сервер с космическими скоростями, ovpn в сравнении с ним маленькая улитка. Там на всё уже клиенты есть, и ovpn он тоже поднимать может. Он уже достаточно развился, скоро пятая версия. Имхо сервер в таких железках на данном этапе это баловство. А вот скоростной клиент это в приоритете. Как у SoftEther с этим? Я так понимаю там свой клиент, совместимый с OpenVPN. 1 Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted April 17, 2018 Share Posted April 17, 2018 13 часа назад, Quadro Rover сказал: У всех в приоритете скорость. Добавьте SoftEtherVPN сервер с космическими скоростями, ovpn в сравнении с ним маленькая улитка. Там на всё уже клиенты есть, и ovpn он тоже поднимать может. Он уже достаточно развился, скоро пятая версия. Есть исследования, как ведет себя SE и OpenVPN на MIPS32R2 с 64М ОЗУ и 580 МГц процессором? Иначе это пока голословные заявления про "космические скорости". Quote Link to comment Share on other sites More sharing options...
pigovina Posted April 24, 2018 Share Posted April 24, 2018 Прошу помочь. Не устанавливается Open VPN с Keenetci (сlient) к Mikrotik (server). Лог с Keenetic: Apr 24 22:42:07OpenVPN0OpenVPN 2.4.4 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD] Apr 24 22:42:07OpenVPN0library versions: OpenSSL 1.1.0h 27 Mar 2018, LZO 2.10 Apr 24 22:42:07OpenVPN0using default password "password" for pkcs file Apr 24 22:42:07OpenVPN0Control Channel MTU parms [ L:1655 D:1210 EF:40 EB:0 ET:0 EL:3 ] Apr 24 22:42:07OpenVPN0Data Channel MTU parms [ L:1655 D:1450 EF:123 EB:411 ET:32 EL:3 ] Apr 24 22:42:07OpenVPN0Local Options String (VER=V4): 'V4,dev-type tap,link-mtu 1575,tun-mtu 1532,proto TCPv4_CLIENT,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client' Apr 24 22:42:07OpenVPN0Expected Remote Options String (VER=V4): 'V4,dev-type tap,link-mtu 1575,tun-mtu 1532,proto TCPv4_SERVER,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server' Apr 24 22:42:07OpenVPN0Socket Buffers: R=[87380->87380] S=[16384->16384] Apr 24 22:42:07OpenVPN0Attempting to establish TCP connection with [AF_INET]78.107.91.221:443 [nonblock] Apr 24 22:42:08OpenVPN0TCP connection established with [AF_INET]78.107.91.221:443 Apr 24 22:42:08OpenVPN0TCP_CLIENT link local: (not bound) Apr 24 22:42:08OpenVPN0TCP_CLIENT link remote: [AF_INET]78.107.91.221:443 Apr 24 22:42:08OpenVPN0NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay Apr 24 22:42:08OpenVPN0TLS: Initial packet from [AF_INET]78.107.91.221:443, sid=fc9595a0 b275e19b Apr 24 22:42:08OpenVPN0VERIFY SCRIPT OK: depth=1, CN=test-CA Apr 24 22:42:08OpenVPN0VERIFY OK: depth=1, CN=test-CA Apr 24 22:42:08OpenVPN0VERIFY SCRIPT OK: depth=0, CN=test-srv-OVPN Apr 24 22:42:08OpenVPN0VERIFY OK: depth=0, CN=test-srv-OVPN Apr 24 22:43:08OpenVPN0TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) Apr 24 22:43:08OpenVPN0TLS Error: TLS handshake failed Apr 24 22:43:08OpenVPN0Fatal TLS error (check_tls_errors_co), restarting Apr 24 22:43:08OpenVPN0TCP/UDP: Closing socket Apr 24 22:43:08OpenVPN0SIGTERM[soft,tls-error] received, process exiting Apr 24 22:43:08ndmService: "OpenVPN0": unexpectedly stopped. Лог с Mikrotik: 22:42:07 ovpn,info TCP connection established from 31.173.86.100 22:42:07 ovpn,debug,packet sent P_CONTROL_HARD_RESET_SERVER_V2 kid=0 sid=fc9595a0b275e19b pid=0 DATA len=0 22:42:08 ovpn,debug,packet rcvd P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 sid=caeb2f1dbff07430 pid=0 DATA len=0 22:42:08 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [0 sid=caeb2f1dbff07430] DATA len=0 22:42:08 ovpn,debug,packet rcvd P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 sid=caeb2f1dbff07430 [0 sid=fc9595a0b275e19b] pid=0 DATA len=0 22:42:08 ovpn,debug,error,684,60448,13244,12696,21884,54028,12032,13240,l2tp,info,13244,debug,79,65535,critical,4176,8600,25488,53520,54104,28008,60448,4043,53428,54028,41920,54028,warning duplicate packet, dropping 22:42:08 ovpn,debug,packet rcvd P_CONTROL kid=0 sid=caeb2f1dbff07430 pid=1 DATA len=160 22:42:08 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [1 sid=caeb2f1dbff07430] DATA len=0 22:42:08 ovpn,debug,packet sent P_CONTROL kid=0 sid=fc9595a0b275e19b pid=1 DATA len=1400 22:42:08 ovpn,debug,packet sent P_CONTROL kid=0 sid=fc9595a0b275e19b pid=2 DATA len=559 22:42:08 ovpn,debug,packet rcvd P_ACK kid=0 sid=caeb2f1dbff07430 [1 sid=fc9595a0b275e19b] DATA len=0 22:42:09 ovpn,debug,packet rcvd P_CONTROL kid=0 sid=caeb2f1dbff07430 [2 sid=fc9595a0b275e19b] pid=2 DATA len=1170 22:42:09 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [2 sid=caeb2f1dbff07430] DATA len=0 22:42:09 ovpn,debug,packet rcvd P_CONTROL kid=0 sid=caeb2f1dbff07430 pid=3 DATA len=436 22:42:09 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [3 sid=caeb2f1dbff07430] DATA len=0 22:42:10 ovpn,debug,packet sent P_CONTROL kid=0 sid=fc9595a0b275e19b pid=3 DATA len=51 22:42:10 ovpn,debug,packet rcvd P_CONTROL kid=0 sid=caeb2f1dbff07430 [3 sid=fc9595a0b275e19b] pid=4 DATA len=396 22:42:10 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [4 sid=caeb2f1dbff07430] DATA len=0 22:42:10 ovpn,info : using encoding - BF-128-CBC/SHA1 22:43:08 ovpn,debug <31.173.86.100>: disconnected <peer disconnected> При этом PPTP и L2TP между данными устройства отлично устанавливается. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted April 25, 2018 Share Posted April 25, 2018 22 часа назад, pigovina сказал: Прошу помочь. Не устанавливается Open VPN с Keenetci (сlient) к Mikrotik (server). Лог с Keenetic: Apr 24 22:42:07OpenVPN0OpenVPN 2.4.4 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD] Apr 24 22:42:07OpenVPN0library versions: OpenSSL 1.1.0h 27 Mar 2018, LZO 2.10 Apr 24 22:42:07OpenVPN0using default password "password" for pkcs file Apr 24 22:42:07OpenVPN0Control Channel MTU parms [ L:1655 D:1210 EF:40 EB:0 ET:0 EL:3 ] Apr 24 22:42:07OpenVPN0Data Channel MTU parms [ L:1655 D:1450 EF:123 EB:411 ET:32 EL:3 ] Apr 24 22:42:07OpenVPN0Local Options String (VER=V4): 'V4,dev-type tap,link-mtu 1575,tun-mtu 1532,proto TCPv4_CLIENT,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client' Apr 24 22:42:07OpenVPN0Expected Remote Options String (VER=V4): 'V4,dev-type tap,link-mtu 1575,tun-mtu 1532,proto TCPv4_SERVER,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server' Apr 24 22:42:07OpenVPN0Socket Buffers: R=[87380->87380] S=[16384->16384] Apr 24 22:42:07OpenVPN0Attempting to establish TCP connection with [AF_INET]78.107.91.221:443 [nonblock] Apr 24 22:42:08OpenVPN0TCP connection established with [AF_INET]78.107.91.221:443 Apr 24 22:42:08OpenVPN0TCP_CLIENT link local: (not bound) Apr 24 22:42:08OpenVPN0TCP_CLIENT link remote: [AF_INET]78.107.91.221:443 Apr 24 22:42:08OpenVPN0NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay Apr 24 22:42:08OpenVPN0TLS: Initial packet from [AF_INET]78.107.91.221:443, sid=fc9595a0 b275e19b Apr 24 22:42:08OpenVPN0VERIFY SCRIPT OK: depth=1, CN=test-CA Apr 24 22:42:08OpenVPN0VERIFY OK: depth=1, CN=test-CA Apr 24 22:42:08OpenVPN0VERIFY SCRIPT OK: depth=0, CN=test-srv-OVPN Apr 24 22:42:08OpenVPN0VERIFY OK: depth=0, CN=test-srv-OVPN Apr 24 22:43:08OpenVPN0TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) Apr 24 22:43:08OpenVPN0TLS Error: TLS handshake failed Apr 24 22:43:08OpenVPN0Fatal TLS error (check_tls_errors_co), restarting Apr 24 22:43:08OpenVPN0TCP/UDP: Closing socket Apr 24 22:43:08OpenVPN0SIGTERM[soft,tls-error] received, process exiting Apr 24 22:43:08ndmService: "OpenVPN0": unexpectedly stopped. Лог с Mikrotik: 22:42:07 ovpn,info TCP connection established from 31.173.86.100 22:42:07 ovpn,debug,packet sent P_CONTROL_HARD_RESET_SERVER_V2 kid=0 sid=fc9595a0b275e19b pid=0 DATA len=0 22:42:08 ovpn,debug,packet rcvd P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 sid=caeb2f1dbff07430 pid=0 DATA len=0 22:42:08 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [0 sid=caeb2f1dbff07430] DATA len=0 22:42:08 ovpn,debug,packet rcvd P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 sid=caeb2f1dbff07430 [0 sid=fc9595a0b275e19b] pid=0 DATA len=0 22:42:08 ovpn,debug,error,684,60448,13244,12696,21884,54028,12032,13240,l2tp,info,13244,debug,79,65535,critical,4176,8600,25488,53520,54104,28008,60448,4043,53428,54028,41920,54028,warning duplicate packet, dropping 22:42:08 ovpn,debug,packet rcvd P_CONTROL kid=0 sid=caeb2f1dbff07430 pid=1 DATA len=160 22:42:08 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [1 sid=caeb2f1dbff07430] DATA len=0 22:42:08 ovpn,debug,packet sent P_CONTROL kid=0 sid=fc9595a0b275e19b pid=1 DATA len=1400 22:42:08 ovpn,debug,packet sent P_CONTROL kid=0 sid=fc9595a0b275e19b pid=2 DATA len=559 22:42:08 ovpn,debug,packet rcvd P_ACK kid=0 sid=caeb2f1dbff07430 [1 sid=fc9595a0b275e19b] DATA len=0 22:42:09 ovpn,debug,packet rcvd P_CONTROL kid=0 sid=caeb2f1dbff07430 [2 sid=fc9595a0b275e19b] pid=2 DATA len=1170 22:42:09 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [2 sid=caeb2f1dbff07430] DATA len=0 22:42:09 ovpn,debug,packet rcvd P_CONTROL kid=0 sid=caeb2f1dbff07430 pid=3 DATA len=436 22:42:09 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [3 sid=caeb2f1dbff07430] DATA len=0 22:42:10 ovpn,debug,packet sent P_CONTROL kid=0 sid=fc9595a0b275e19b pid=3 DATA len=51 22:42:10 ovpn,debug,packet rcvd P_CONTROL kid=0 sid=caeb2f1dbff07430 [3 sid=fc9595a0b275e19b] pid=4 DATA len=396 22:42:10 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [4 sid=caeb2f1dbff07430] DATA len=0 22:42:10 ovpn,info : using encoding - BF-128-CBC/SHA1 22:43:08 ovpn,debug <31.173.86.100>: disconnected <peer disconnected> При этом PPTP и L2TP между данными устройства отлично устанавливается. Советую вам сперва попробовать настроить ovpn между обычным linux (скажем, ubuntu в виртуалке) и m. Если заработает, тогда будем смотреть, что не так. Quote Link to comment Share on other sites More sharing options...
Stasmin Posted April 29, 2018 Share Posted April 29, 2018 (edited) В 16.04.2018 в 12:03, dvg_lab сказал: Тестирую скорость, клиент на Extra II (2.12.A.5.0-4) WAN статика 100Мб и сервер на FreeBSD 11.1 (OpenVPN 2.4.5) 1 Гбит фактически подключены к одному свитчу, показывает скорость закачки в районе 1Мб, это так и должно быть или я где-то чего-то недокрутил? В обход OpenVPN с того же сервера скорость честные 100Мбит. Конфиг сервера Показать содержимое mode server tls-server port 1194 proto udp dev tun topology subnet route-gateway 10.7.0.1 ifconfig 10.7.0.1 255.255.0.0 ifconfig-pool 10.7.200.0 10.7.250.254 client-config-dir ccd ca easy-rsa/pki/ca.crt cert easy-rsa/pki/issued/xxx.crt key easy-rsa/pki/private/xxx.key dh easy-rsa/pki/dh.pem crl-verify easy-rsa/pki/crl.pem tls-auth easy-rsa/pki/ta.key 0 # This file is secret cipher AES-256-CBC persist-key persist-tun max-routes 1024 ifconfig-pool-persist ipp.txt push "route 192.168.200.0 255.255.255.0 10.7.0.1" status openvpn-status.log keepalive 10 120 compress lz4-v2 push "compress lz4-v2" max-clients 1024 Конфиг клиента Показать содержимое client tls-client dev tun proto udp remote xxx.ru 1194 resolv-retry infinite nobind topology subnet persist-key persist-tun cipher AES-256-CBC key-direction 1 remote-cert-tls server verb 3 #keys И что странно, при применении параметров chipher none и ncp-disable скорость вырастает всего до 16 мегабит... У меня на Lite 3 при подключении к удаленному серверу выдает ~9Мбит входящая и ~12Мбит исходящая при загрузке проца 80% и 100% соответственно (AES-256-CBC, AES-128-CBC и GCM не сказывается никак на скорости). Процы одинаковые, так что явно не так что-то. Попробуй с обеих сторон в конфиге прописать sndbuf 0 rcvbuf 0 Что это такое и почему так почитайте по ссылке https://habr.com/post/246953/ В процессе экспериментов установил, что малые значения этого параметра действительно уменьшают скорость, правда у меня ovpn поднят на Debian и без этих настроек работает примерно также. прописывать "mssfix 0" на клиенте не советую, скорость падает. Я просто галочку убрал "Автоподстройка TCP-MSS" на кинетике, также не влияет толком. Edited April 29, 2018 by Stasmin 1 Quote Link to comment Share on other sites More sharing options...
totikk Posted May 4, 2018 Share Posted May 4, 2018 (edited) Извините, если не туда.... Может кто-то помочь примером конфигурации для клиента и сервера, если мне надо чтобы клиент попадал прямо внутрь домашней сети, и весь трафик клиента шел по VPN, и внутрисетевой и интернет... Т.е я понимаю, что мне нужен tap адаптер и объединить потом его в бридж с Home. что я сделал: На Кинетике dev tap cipher AES-128-CBC <secret> ххх </secret> verb 3 и потом в командной строке Кинетика = interface Home include OpenVPN0 И разрешил в межсетевом экране UDP = 1194 На Виндовс-клиента: dev tap remote xxx.xxx.xxx.xxx route-gateway 192.168.1.1 cipher AES-128-CBC <secret> xxx </secret> verb 3 route 0.0.0.0 0.0.0.0 Подключаюсь, IP получаю, но дальше на клиенте никакой трафик никуда не идёт. Ни сеть Кинетика не доступна, ни интернет.... Edited May 4, 2018 by totikk Quote Link to comment Share on other sites More sharing options...
Mixin Posted May 4, 2018 Share Posted May 4, 2018 (edited) 13 часа назад, totikk сказал: route-gateway 192.168.1.1 Если вы настраиваете tap, то для клиента шлюз и все параметры назначаются через DHCP роутера. 13 часа назад, totikk сказал: Подключаюсь, IP получаю И он верный, DNS, шлюз? А то, что вы хотите, видимо, решается нужным вариантом опции redirect-gateway на сервере. Edited May 4, 2018 by Mixin Quote Link to comment Share on other sites More sharing options...
totikk Posted May 5, 2018 Share Posted May 5, 2018 6 hours ago, Mixin said: он верный, DNS, шлюз? Да, всё верное назначается. Да, я пробовал и без route-gateway 192.168.1.1. Тогда клиент ругается, что нет никакого шлюза. Ну и я решил, что если укажу ракуми тот же шлюз который назначил кинетике ничего плохого не будет. Не знал я о redirect-gateway. Сейчас попробую, но мне кажется забыл где-то не тут... Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.