totikk Posted May 5, 2018 Share Posted May 5, 2018 C:\Users\Kate>route print =========================================================================== Список интерфейсов 14...c8 21 58 95 5e 49 ......Microsoft Wi-Fi Direct Virtual Adapter 10...00 ff 7c 3a c5 96 ......TAP-Windows Adapter V9 3...c8 21 58 95 5e 48 ......Intel(R) Dual Band Wireless-AC 7265 1...........................Software Loopback Interface 1 9...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface =========================================================================== IPv4 таблица маршрута =========================================================================== Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика 0.0.0.0 0.0.0.0 192.168.2.1 192.168.2.100 55 0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.40 35 127.0.0.0 255.0.0.0 On-link 127.0.0.1 331 127.0.0.1 255.255.255.255 On-link 127.0.0.1 331 127.255.255.255 255.255.255.255 On-link 127.0.0.1 331 192.168.1.0 255.255.255.0 On-link 192.168.1.40 291 192.168.1.40 255.255.255.255 On-link 192.168.1.40 291 192.168.1.255 255.255.255.255 On-link 192.168.1.40 291 192.168.2.0 255.255.255.0 On-link 192.168.2.100 311 192.168.2.100 255.255.255.255 On-link 192.168.2.100 311 192.168.2.255 255.255.255.255 On-link 192.168.2.100 311 224.0.0.0 240.0.0.0 On-link 127.0.0.1 331 224.0.0.0 240.0.0.0 On-link 192.168.1.40 291 224.0.0.0 240.0.0.0 On-link 192.168.2.100 311 255.255.255.255 255.255.255.255 On-link 127.0.0.1 331 255.255.255.255 255.255.255.255 On-link 192.168.1.40 291 255.255.255.255 255.255.255.255 On-link 192.168.2.100 311 =========================================================================== Постоянные маршруты: Отсутствует IPv6 таблица маршрута =========================================================================== Активные маршруты: Метрика Сетевой адрес Шлюз 9 331 ::/0 On-link 1 331 ::1/128 On-link 9 331 2001::/32 On-link 9 331 2001:0:9d38:78cf:2ca4:38f9:3f57:fd9b/128 On-link 3 311 fe80::/64 On-link 9 331 fe80::/64 On-link 3 311 fe80::21c4:bfc8:a0d3:29fd/128 On-link 9 331 fe80::2ca4:38f9:3f57:fd9b/128 On-link 1 331 ff00::/8 On-link 3 311 ff00::/8 On-link 9 331 ff00::/8 On-link =========================================================================== Постоянные маршруты: Отсутствует Quote Link to comment Share on other sites More sharing options...
totikk Posted May 5, 2018 Share Posted May 5, 2018 (edited) На клиенте установил виртуальную Вин7х64. Соединил бриджем виртуальный адаптер Вин7 и Вайфай клиента. Дальше как обычно подключился к мобильному роутеру с интернетом. IP клиента(бывшего) так и остался 192.168.2.100 IP нового клиента который Виртуальная Вин7. назначился вайфай роутером, 192.168.2.101 Поднял на нём (Виртаульная Вин7) тот же OpenVPN клиент, с тем же конфигом. А сервер вообще не трогал. Трафик идёт без проблем.... ошибки Recursive routing detected нету... Даже попробовал внутри одной сети. Т.е. когда на ПК с виртуалкой интернет через этот же кинетик (адрес 192.168.1.37) и адрес клиента в Виртуальной Вин7 192.168.1.38 ВПН поднимается, интерфейс получает свой IP и хоть и присутствует ошибка Recursive routing detected в логах, трафик спокойно идёт через tap интерфейс... Теперь не знаю что и делать с Win10.... Edited May 5, 2018 by totikk Quote Link to comment Share on other sites More sharing options...
Mixin Posted May 5, 2018 Share Posted May 5, 2018 Извините, мои познания закончились. В маршрутах у вас все нормально. Quote Link to comment Share on other sites More sharing options...
totikk Posted May 5, 2018 Share Posted May 5, 2018 Так и в конфиге похоже тоже... Неужели на Win10 надо что-то по особенному делать.... Quote Link to comment Share on other sites More sharing options...
Mixin Posted May 5, 2018 Share Posted May 5, 2018 5 часов назад, totikk сказал: Так и в конфиге похоже тоже... Нет, нашел. В сервер добавить push "route-gateway dhcp". Quote Link to comment Share on other sites More sharing options...
totikk Posted May 6, 2018 Share Posted May 6, 2018 (edited) 5 hours ago, Mixin said: В сервер добавить push "route-gateway dhcp". Почему-то если в сервер через push оно не работает.... Вообще через push не работают команды похоже... может надо где-то что-то ещё включать... Зато добавил в клиент route-gateway dhcp и заработало! Огромная Вам благодарность за помощь и ваше упорство. Не забили, спасибо! Edited May 6, 2018 by totikk Quote Link to comment Share on other sites More sharing options...
dvg_lab Posted May 10, 2018 Share Posted May 10, 2018 В 29.04.2018 в 15:06, Stasmin сказал: У меня на Lite 3 при подключении к удаленному серверу выдает ~9Мбит входящая и ~12Мбит исходящая при загрузке проца 80% и 100% соответственно (AES-256-CBC, AES-128-CBC и GCM не сказывается никак на скорости). Процы одинаковые, так что явно не так что-то. Попробуй с обеих сторон в конфиге прописать sndbuf 0 rcvbuf 0 Что это такое и почему так почитайте по ссылке https://habr.com/post/246953/ В процессе экспериментов установил, что малые значения этого параметра действительно уменьшают скорость, правда у меня ovpn поднят на Debian и без этих настроек работает примерно также. прописывать "mssfix 0" на клиенте не советую, скорость падает. Я просто галочку убрал "Автоподстройка TCP-MSS" на кинетике, также не влияет толком. Спасибо, изучил вопрос, прописал везде sndbuf и rcvbuf в 0. На Ultra II и BF-CBC получилось теже 45 мегабит, этого нам более чем. Quote Link to comment Share on other sites More sharing options...
Quadro Rover Posted May 11, 2018 Share Posted May 11, 2018 auth BLAKE2s256 он самый быстрый, прописан в конфигах. а в логе при подключении пишет auth [null-digest], почему подскажет кто? так же и с MD5. Это типа не поддерживается сборкой именно на NDMS? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted May 11, 2018 Share Posted May 11, 2018 8 минут назад, Quadro Rover сказал: auth BLAKE2s256 он самый быстрый, прописан в конфигах. а в логе при подключении пишет auth [null-digest], почему подскажет кто? так же и с MD5. Это типа не поддерживается сборкой именно на NDMS? И MD5, и BLAKE поддерживаются. Ищите ошибку в конфигах. Вот то, что поддерживается (сейчас, и всегда до этого): Цитата ~ # openvpn --show-ciphers AES-128-CBC (128 bit key, 128 bit block) AES-128-CFB (128 bit key, 128 bit block, TLS client/server mode only) AES-128-CFB1 (128 bit key, 128 bit block, TLS client/server mode only) AES-128-CFB8 (128 bit key, 128 bit block, TLS client/server mode only) AES-128-GCM (128 bit key, 128 bit block, TLS client/server mode only) AES-128-OFB (128 bit key, 128 bit block, TLS client/server mode only) AES-192-CBC (192 bit key, 128 bit block) AES-192-CFB (192 bit key, 128 bit block, TLS client/server mode only) AES-192-CFB1 (192 bit key, 128 bit block, TLS client/server mode only) AES-192-CFB8 (192 bit key, 128 bit block, TLS client/server mode only) AES-192-GCM (192 bit key, 128 bit block, TLS client/server mode only) AES-192-OFB (192 bit key, 128 bit block, TLS client/server mode only) AES-256-CBC (256 bit key, 128 bit block) AES-256-CFB (256 bit key, 128 bit block, TLS client/server mode only) AES-256-CFB1 (256 bit key, 128 bit block, TLS client/server mode only) AES-256-CFB8 (256 bit key, 128 bit block, TLS client/server mode only) AES-256-GCM (256 bit key, 128 bit block, TLS client/server mode only) AES-256-OFB (256 bit key, 128 bit block, TLS client/server mode only) The following ciphers have a block size of less than 128 bits, and are therefore deprecated. Do not use unless you have to. BF-CBC (128 bit key by default, 64 bit block) BF-CFB (128 bit key by default, 64 bit block, TLS client/server mode only) BF-OFB (128 bit key by default, 64 bit block, TLS client/server mode only) CAST5-CBC (128 bit key by default, 64 bit block) CAST5-CFB (128 bit key by default, 64 bit block, TLS client/server mode only) CAST5-OFB (128 bit key by default, 64 bit block, TLS client/server mode only) DES-CBC (64 bit key, 64 bit block) DES-CFB (64 bit key, 64 bit block, TLS client/server mode only) DES-CFB1 (64 bit key, 64 bit block, TLS client/server mode only) DES-CFB8 (64 bit key, 64 bit block, TLS client/server mode only) DES-EDE-CBC (128 bit key, 64 bit block) DES-EDE-CFB (128 bit key, 64 bit block, TLS client/server mode only) DES-EDE-OFB (128 bit key, 64 bit block, TLS client/server mode only) DES-EDE3-CBC (192 bit key, 64 bit block) DES-EDE3-CFB (192 bit key, 64 bit block, TLS client/server mode only) DES-EDE3-CFB1 (192 bit key, 64 bit block, TLS client/server mode only) DES-EDE3-CFB8 (192 bit key, 64 bit block, TLS client/server mode only) DES-EDE3-OFB (192 bit key, 64 bit block, TLS client/server mode only) DES-OFB (64 bit key, 64 bit block, TLS client/server mode only) DESX-CBC (192 bit key, 64 bit block) RC2-40-CBC (40 bit key by default, 64 bit block) RC2-64-CBC (64 bit key by default, 64 bit block) RC2-CBC (128 bit key by default, 64 bit block) RC2-CFB (128 bit key by default, 64 bit block, TLS client/server mode only) RC2-OFB (128 bit key by default, 64 bit block, TLS client/server mode only) Цитата ~ # openvpn --show-digests MD5 128 bit digest size RSA-MD5 128 bit digest size SHA1 160 bit digest size RSA-SHA1 160 bit digest size MD5-SHA1 288 bit digest size RSA-SHA1-2 160 bit digest size MD4 128 bit digest size RSA-MD4 128 bit digest size RSA-SHA256 256 bit digest size RSA-SHA384 384 bit digest size RSA-SHA512 512 bit digest size RSA-SHA224 224 bit digest size SHA256 256 bit digest size SHA384 384 bit digest size SHA512 512 bit digest size SHA224 224 bit digest size BLAKE2b512 512 bit digest size BLAKE2s256 256 bit digest size Quote Link to comment Share on other sites More sharing options...
Quadro Rover Posted May 11, 2018 Share Posted May 11, 2018 Нет ошибки, оказалось при использовании AES-GCM, auth выключается сам, и получается HMAC не используется ибо не нужен при таком шифровании.. Так чтоли? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted May 11, 2018 Share Posted May 11, 2018 27 минут назад, Quadro Rover сказал: Нет ошибки, оказалось при использовании AES-GCM, auth выключается сам, и получается HMAC не используется ибо не нужен при таком шифровании.. Так чтоли? GCM это так называемый AEAD-режим, при котором одновременно обеспечивается и шифрование и аутентификация. Да, при этом auth не нужен. Quote Link to comment Share on other sites More sharing options...
Quadro Rover Posted May 11, 2018 Share Posted May 11, 2018 Понятно. Вместе с тем, только вычитал что CBC значительно быстрее чем GCM, если не используется аппаратное ускорение. https://kazoo.ga/quick-benchmark-cbc-vs-gcm/ А где-то тут отвечали, что на кинетиках OpenVPN аппаратно не ускорен, тогда логично использовать AES-CBC и auth BLAKE2b512 (как самый быстрый, надёжный дайджест https://blake2.net/). Наверно. Хотя AES-GCM исключает необходимость в HMAC. Как жить теперь, что выбрать.. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted May 11, 2018 Share Posted May 11, 2018 16 минут назад, Quadro Rover сказал: Понятно. Вместе с тем, только вычитал что CBC значительно быстрее чем GCM, если не используется аппаратное ускорение. https://kazoo.ga/quick-benchmark-cbc-vs-gcm/ А где-то тут отвечали, что на кинетиках OpenVPN аппаратно не ускорен, тогда логично использовать AES-CBC и auth BLAKE2b512 (как самый быстрый, надёжный дайджест https://blake2.net/). Наверно. Хотя AES-GCM исключает необходимость в HMAC. Как жить теперь, что выбрать.. BF-CBC + BLAKE2s256. Быстрее всего. Quote Link to comment Share on other sites More sharing options...
Quadro Rover Posted May 11, 2018 Share Posted May 11, 2018 Да что-то не особо, где-то на 300 кбайт медленей чем SHA1, странно. Пока на GCM, чуть больше 2 мегабайт при копировани с самбы в винде. Там может и больше, просто провайдер Соседтелеком, тариф "Вайфай". tun-mtu ещё подбирал по логам так, чтобы в итоге link-mtu был равен максимальному для интерфейса на котором интернет. Как определить оптимальный размер MTU? – Keenetic Quote Link to comment Share on other sites More sharing options...
Capeyka Posted May 22, 2018 Share Posted May 22, 2018 Просьба не кидаться тряпками,тут уже серьезные вопросы, а я с банальным вопросом. Поставлена задача убрать vpn сервер с роутера, и поднять его непосредственно на машине-сервере. Соответственно взгляд пал на openvpn, с ним знаком,генерируем ключики раскидываем по клиентам, не нашел информации в гугле и тут ( может проглядел) как сертификат и ключ клиента перенести в сам роутер. Понятно что они заносятся в это окно, только какими тегами их закрыть, или иначе как то делает. Заранее спасибо. Quote Link to comment Share on other sites More sharing options...
AndreBA Posted May 23, 2018 Share Posted May 23, 2018 (edited) 5 часов назад, Capeyka сказал: Просьба не кидаться тряпками,тут уже серьезные вопросы, а я с банальным вопросом. Поставлена задача убрать vpn сервер с роутера, и поднять его непосредственно на машине-сервере. Соответственно взгляд пал на openvpn, с ним знаком,генерируем ключики раскидываем по клиентам, не нашел информации в гугле и тут ( может проглядел) как сертификат и ключ клиента перенести в сам роутер. Понятно что они заносятся в это окно, только какими тегами их закрыть, или иначе как то делает. Заранее спасибо. Oткройте файл конфигурации в текстовом редакторе, например, Блокнот (Notepad).Скопируйте всё содержимое файла конфигурации и вставьте в окно (указанное вами вопросительным знаком). Можно также почитать статью: https://help.keenetic.com/hc/ru/articles/115005717009-Использование-клиента-OpenVPN Edited May 23, 2018 by AndreBA Quote Link to comment Share on other sites More sharing options...
Capeyka Posted May 23, 2018 Share Posted May 23, 2018 (edited) 6 часов назад, AndreBA сказал: Oткройте файл конфигурации в текстовом редакторе, например, Блокнот (Notepad).Скопируйте всё содержимое файла конфигурации и вставьте в окно (указанное вами вопросительным знаком). Можно также почитать статью: https://help.keenetic.com/hc/ru/articles/115005717009-Использование-клиента-OpenVPN Да, благодарю, эту статью я видел, и вот как раз возник вопрос, в этом окне сначала закоментировать эти 3 строки, потом просто скопировать содержимое 3 файлов и все? И сразу еще вопрос, есть ли у Zyxel железка со встроенными сертификатами безопасности ФСБ по ГОСТУ для VPN? Edited May 23, 2018 by Capeyka Quote Link to comment Share on other sites More sharing options...
AndreBA Posted May 23, 2018 Share Posted May 23, 2018 9 минут назад, Capeyka сказал: Да, благодарю, эту статью я видел, и вот как раз возник вопрос, в этом окне сначала закоментировать эти 3 строки, потом просто скопировать содержимое 3 файлов и все? Делайте по инструкции и должно все получится. 10 минут назад, Capeyka сказал: И сразу еще вопрос, есть ли у Zyxel железка со встроенными сертификатами безопасности ФСБ по ГОСТУ для VPN? По этому поводу я не знаю, но должно все по закону. Лучше спросить у @ndm @Le ecureuil Quote Link to comment Share on other sites More sharing options...
ndm Posted May 23, 2018 Share Posted May 23, 2018 7 hours ago, AndreBA said: По этому поводу я не знаю, но должно все по закону. Закон законом (официальная сертификация и т.д.) — этим пока никто не будет заниматься. @Capeyka Пара вопросов: Вы умеете это настраивать под Linux? Сможете предоставить оборудование, с которым мы будем проверять совместимость? Quote Link to comment Share on other sites More sharing options...
Capeyka Posted May 23, 2018 Share Posted May 23, 2018 1 час назад, ndm сказал: Сможете предоставить оборудование, с которым мы будем проверять совместимость? Я вот именно и спрашиваю есть ли готовое решение, вроде натыкался на статью про Zyxel Wall 5 , но не нашел достоверной информации Quote Link to comment Share on other sites More sharing options...
Сергей Молоков Posted June 11, 2018 Share Posted June 11, 2018 Extra II Обновился с 2.12.A.6.0-2 до 2.12.B.0.0-4 При загрузке роутера OVPN не подключается Июн 11 16:54:57 OpenVPN0 WARNING: Ignoring option 'dh' in tls-client mode, please only include this in your server configuration Июн 11 16:54:57 OpenVPN0 OpenVPN 2.4.4 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD] Июн 11 16:54:57 OpenVPN0 library versions: OpenSSL 1.1.0h 27 Mar 2018, LZO 2.10 Июн 11 16:54:57 OpenVPN0 WARNING: --ns-cert-type is DEPRECATED. Use --remote-cert-tls instead. Июн 11 16:54:57 OpenVPN0 UDP link local (bound): [AF_INET][undef]:1194 Июн 11 16:54:57 OpenVPN0 UDP link remote: [AF_INET]xxx.xxx.xxx.xxx:1194 Июн 11 16:54:57 OpenVPN0 NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay Июн 11 16:54:57 OpenVPN0 write UDP: Network is unreachable (code=128) Июн 11 16:54:57 OpenVPN0 Network unreachable, restarting Июн 11 16:54:57 OpenVPN0 SIGTERM[soft,network-unreachable] received, process exiting Июн 11 16:54:57 ndm Service: "OpenVPN0": unexpectedly stopped. в других подключениях отключаем ovpn подключение и снова подключаем, соединение устанавливается. Quote Link to comment Share on other sites More sharing options...
vladrnd Posted June 15, 2018 Share Posted June 15, 2018 (edited) столкнулся с такой проблемой на 2.11.C.1.0-3 с OpenVPN. получаю по DHCP от провайдера белый IP адрес. настроен OpenVPN, установлены свои статические маршруты в него нужного мне траффика. Все бы хорошо, но вот со временем OpenVPN перестает обрабатывать эти маршруты. решается проблема путем выкл / вкл его и тогда все начинает работать исправно. как с этим бороться не понимаю. при первом осмотре VPN активен и получает IP 10.x.x.x адрес, но вот так ли это ... хотелось бы стабильного нормального openVPN. небольшой лог (после выкл / вкл) сервиса OpenVPN Jun 15 13:35:31ndm Network::Interface::Supplicant: "OpenVPN1": authnentication is unchanged. Jun 15 13:35:31ndm Network::Interface::Base: "OpenVPN1": description saved. Jun 15 13:35:31ndm Network::Interface::IP: "OpenVPN1": IP address cleared. Jun 15 13:35:31ndm Network::Interface::IP: "OpenVPN1": global priority unchanged. Jun 15 13:35:31ndm Network::Interface::IP: "OpenVPN1": global priority cleared. Jun 15 13:35:31ndm Network::Interface::IP: "OpenVPN1": TCP-MSS adjustment enabled. Jun 15 13:35:31ndm Network::Interface::OpenVpn: "OpenVPN1": configuration successfully saved. Jun 15 13:35:31ndm Network::Interface::OpenVpn: "OpenVPN1": disable automatic routes accept via tunnel. Jun 15 13:35:31ndm Network::Interface::OpenVpn: "OpenVPN1": set connection via ISP. Jun 15 13:35:31ndm Network::Interface::Base: "OpenVPN1": interface is up. Jun 15 13:35:31ndm Network::Interface::Base: "OpenVPN1": schedule cleared. Jun 15 13:35:31ndm Core::ConfigurationSaver: saving configuration... Jun 15 13:35:32ndm Network::Interface::IP: "OpenVPN1": IP address cleared. Jun 15 13:35:32ndm Network::Interface::OpenVpn: "OpenVPN1": remove installed accepted routes. Jun 15 13:35:32OpenVPN1 event_wait : Interrupted system call (code=4) Jun 15 13:35:32OpenVPN1 Closing TUN/TAP interface Jun 15 13:35:32OpenVPN1 SIGINT[hard,] received, process exiting Jun 15 13:35:35OpenVPN1 OpenVPN 2.4.4 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD] Jun 15 13:35:35OpenVPN1 library versions: OpenSSL 1.1.0h 27 Mar 2018, LZO 2.10 Jun 15 13:35:35OpenVPN1 Socket Buffers: R=[155648->155648] S=[155648->155648] Jun 15 13:35:35OpenVPN1 UDP link local: (not bound) Jun 15 13:35:35OpenVPN1 UDP link remote: [AF_INET]118.216.61.125:1597 Jun 15 13:35:35OpenVPN1 NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay Jun 15 13:35:35OpenVPN1 TLS: Initial packet from [AF_INET]118.216.61.125:1597, sid=50f97caa 465803f8 Jun 15 13:35:35ndm Core::ConfigurationSaver: configuration saved. Jun 15 13:35:35OpenVPN1 VERIFY SCRIPT OK: depth=2, C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO RSA Certification Authority Jun 15 13:35:35OpenVPN1 VERIFY OK: depth=2, C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO RSA Certification Authority Jun 15 13:35:35OpenVPN1 VERIFY SCRIPT OK: depth=1, C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO RSA Domain Validation Secure Server CA Jun 15 13:35:35OpenVPN1 VERIFY OK: depth=1, C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO RSA Domain Validation Secure Server CA Jun 15 13:35:35OpenVPN1 VERIFY SCRIPT OK: depth=0, OU=Domain Control Validated, OU=PositiveSSL Wildcard, CN=*.opengw.net Jun 15 13:35:35OpenVPN1 VERIFY OK: depth=0, OU=Domain Control Validated, OU=PositiveSSL Wildcard, CN=*.opengw.net Jun 15 13:35:36OpenVPN1 Control Channel: TLSv1.2, cipher TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA Jun 15 13:35:36OpenVPN1 [*.opengw.net] Peer Connection Initiated with [AF_INET]118.216.61.125:1597 Jun 15 13:35:36ndm Network::Interface::OpenVpn: "OpenVPN1": added host route to remote endpoint 118.216.61.125 via 188.130.140.1. Jun 15 13:35:37OpenVPN1 SENT CONTROL [*.opengw.net]: 'PUSH_REQUEST' (status=1) Jun 15 13:35:38OpenVPN1 PUSH: Received control message: 'PUSH_REPLY,ping 3,ping-restart 10,ifconfig 10.211.1.253 10.211.1.254,dhcp-option DNS 10.211.254.254,dhcp-option DNS 8.8.8.8,route-gateway 10.211.1.254,redirect-gateway def1' Jun 15 13:35:38OpenVPN1 OPTIONS IMPORT: timers and/or timeouts modified Jun 15 13:35:38OpenVPN1 OPTIONS IMPORT: --ifconfig/up options modified Jun 15 13:35:38OpenVPN1 OPTIONS IMPORT: route options modified Jun 15 13:35:38OpenVPN1 OPTIONS IMPORT: route-related options modified Jun 15 13:35:38OpenVPN1 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified Jun 15 13:35:38OpenVPN1 Outgoing Data Channel: Cipher 'AES-128-CBC' initialized with 128 bit key Jun 15 13:35:38OpenVPN1 Outgoing Data Channel: Using 160 bit message hash 'SHA1' for HMAC authentication Jun 15 13:35:38OpenVPN1 Incoming Data Channel: Cipher 'AES-128-CBC' initialized with 128 bit key Jun 15 13:35:38OpenVPN1 Incoming Data Channel: Using 160 bit message hash 'SHA1' for HMAC authentication Jun 15 13:35:38OpenVPN1 TUN/TAP device tun0 opened Jun 15 13:35:38OpenVPN1 TUN/TAP TX queue length set to 100 Jun 15 13:35:38OpenVPN1 do_ifconfig, tt->did_ifconfig_ipv6_setup=0 Jun 15 13:35:38ndm Network::Interface::IP: "OpenVPN1": IP address is 10.211.1.253/32. Jun 15 13:35:38ndm Network::Interface::OpenVpn: "OpenVPN1": TUN peer address is 10.211.1.254. Jun 15 13:35:38ndm Network::Interface::OpenVpn: "OpenVPN1": added host route to peer 10.211.1.254 via 10.211.1.253. Jun 15 13:35:39OpenVPN1 GID set to nobody Jun 15 13:35:39OpenVPN1 UID set to nobody Jun 15 13:35:39OpenVPN1 Initialization Sequence Completed настройки сервер openvpn ############################################################################### # OpenVPN 2.0 Sample Configuration File # for PacketiX VPN / SoftEther VPN Server # # !!! AUTO-GENERATED BY SOFTETHER VPN SERVER MANAGEMENT TOOL !!! # # !!! YOU HAVE TO REVIEW IT BEFORE USE AND MODIFY IT AS NECESSARY !!! # # This configuration file is auto-generated. You might use this config file # in order to connect to the PacketiX VPN / SoftEther VPN Server. # However, before you try it, you should review the descriptions of the file # to determine the necessity to modify to suitable for your real environment. # If necessary, you have to modify a little adequately on the file. # For example, the IP address or the hostname as a destination VPN Server # should be confirmed. # # Note that to use OpenVPN 2.0, you have to put the certification file of # the destination VPN Server on the OpenVPN Client computer when you use this # config file. Please refer the below descriptions carefully. ############################################################################### # Specify the type of the layer of the VPN connection. # # To connect to the VPN Server as a "Remote-Access VPN Client PC", # specify 'dev tun'. (Layer-3 IP Routing Mode) # # To connect to the VPN Server as a bridging equipment of "Site-to-Site VPN", # specify 'dev tap'. (Layer-2 Ethernet Bridgine Mode) dev tun ############################################################################### # Specify the underlying protocol beyond the Internet. # Note that this setting must be correspond with the listening setting on # the VPN Server. # # Specify either 'proto tcp' or 'proto udp'. proto udp ############################################################################### # The destination hostname / IP address, and port number of # the target VPN Server. # # You have to specify as 'remote <HOSTNAME> <PORT>'. You can also # specify the IP address instead of the hostname. # # Note that the auto-generated below hostname are a "auto-detected # IP address" of the VPN Server. You have to confirm the correctness # beforehand. # # When you want to connect to the VPN Server by using TCP protocol, # the port number of the destination TCP port should be same as one of # the available TCP listeners on the VPN Server. # # When you use UDP protocol, the port number must same as the configuration # setting of "OpenVPN Server Compatible Function" on the VPN Server. remote 118.216.61.125 1597 ############################################################################### # The HTTP/HTTPS proxy setting. # # Only if you have to use the Internet via a proxy, uncomment the below # two lines and specify the proxy address and the port number. # In the case of using proxy-authentication, refer the OpenVPN manual. ;http-proxy-retry ;http-proxy [proxy server] [proxy port] ############################################################################### # The encryption and authentication algorithm. # # Default setting is good. Modify it as you prefer. # When you specify an unsupported algorithm, the error will occur. # # The supported algorithms are as follows: # cipher: [NULL-CIPHER] NULL AES-128-CBC AES-192-CBC AES-256-CBC BF-CBC # CAST-CBC CAST5-CBC DES-CBC DES-EDE-CBC DES-EDE3-CBC DESX-CBC # RC2-40-CBC RC2-64-CBC RC2-CBC # auth: SHA SHA1 MD5 MD4 RMD160 cipher AES-128-CBC auth SHA1 ############################################################################### # Other parameters necessary to connect to the VPN Server. # # It is not recommended to modify it unless you have a particular need. resolv-retry infinite nobind persist-key persist-tun client verb 3 #auth-user-pass ############################################################################### # The certificate file of the destination VPN Server. # # The CA certificate file is embedded in the inline format. # You can replace this CA contents if necessary. # Please note that if the server certificate is not a self-signed, you have to # specify the signer's root certificate (CA) here. <ca> -----END CERTIFICATE----- </ca> ############################################################################### # The client certificate file (dummy). # # In some implementations of OpenVPN Client software # (for example: OpenVPN Client for iOS), # a pair of client certificate and private key must be included on the # configuration file due to the limitation of the client. # So this sample configuration file has a dummy pair of client certificate # and private key as follows. <cert> -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- </cert> <key> -----BEGIN RSA PRIVATE KEY----- -----END RSA PRIVATE KEY----- </key> Edited June 15, 2018 by vladrnd Quote Link to comment Share on other sites More sharing options...
vladrnd Posted June 18, 2018 Share Posted June 18, 2018 ну так спецы здесь имеются ??? Quote Link to comment Share on other sites More sharing options...
Сергей Молоков Posted June 19, 2018 Share Posted June 19, 2018 В 11.06.2018 в 17:06, Сергей Молоков сказал: Extra II Обновился с 2.12.A.6.0-2 до 2.12.B.0.0-4 При загрузке роутера OVPN не подключается Откатился на 2.11.C.1.0-3, все работает. В системном мониторе нет сведений о OVPN, это норма? 16 часов назад, vladrnd сказал: ну так спецы здесь имеются ??? видимо в отпуске, они тоже люди Quote Link to comment Share on other sites More sharing options...
Stasmin Posted June 21, 2018 Share Posted June 21, 2018 В 15.06.2018 в 13:22, vladrnd сказал: столкнулся с такой проблемой на 2.11.C.1.0-3 с OpenVPN. получаю по DHCP от провайдера белый IP адрес. настроен OpenVPN, установлены свои статические маршруты в него нужного мне траффика. Все бы хорошо, но вот со временем OpenVPN перестает обрабатывать эти маршруты. решается проблема путем выкл / вкл его и тогда все начинает работать исправно. как с этим бороться не понимаю. при первом осмотре VPN активен и получает IP 10.x.x.x адрес, но вот так ли это ... хотелось бы стабильного нормального openVPN. небольшой лог (после выкл / вкл) сервиса OpenVPN Скрытый текст Jun 15 13:35:31ndm Network::Interface::Supplicant: "OpenVPN1": authnentication is unchanged. Jun 15 13:35:31ndm Network::Interface::Base: "OpenVPN1": description saved. Jun 15 13:35:31ndm Network::Interface::IP: "OpenVPN1": IP address cleared. Jun 15 13:35:31ndm Network::Interface::IP: "OpenVPN1": global priority unchanged. Jun 15 13:35:31ndm Network::Interface::IP: "OpenVPN1": global priority cleared. Jun 15 13:35:31ndm Network::Interface::IP: "OpenVPN1": TCP-MSS adjustment enabled. Jun 15 13:35:31ndm Network::Interface::OpenVpn: "OpenVPN1": configuration successfully saved. Jun 15 13:35:31ndm Network::Interface::OpenVpn: "OpenVPN1": disable automatic routes accept via tunnel. Jun 15 13:35:31ndm Network::Interface::OpenVpn: "OpenVPN1": set connection via ISP. Jun 15 13:35:31ndm Network::Interface::Base: "OpenVPN1": interface is up. Jun 15 13:35:31ndm Network::Interface::Base: "OpenVPN1": schedule cleared. Jun 15 13:35:31ndm Core::ConfigurationSaver: saving configuration... Jun 15 13:35:32ndm Network::Interface::IP: "OpenVPN1": IP address cleared. Jun 15 13:35:32ndm Network::Interface::OpenVpn: "OpenVPN1": remove installed accepted routes. Jun 15 13:35:32OpenVPN1 event_wait : Interrupted system call (code=4) Jun 15 13:35:32OpenVPN1 Closing TUN/TAP interface Jun 15 13:35:32OpenVPN1 SIGINT[hard,] received, process exiting Jun 15 13:35:35OpenVPN1 OpenVPN 2.4.4 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD] Jun 15 13:35:35OpenVPN1 library versions: OpenSSL 1.1.0h 27 Mar 2018, LZO 2.10 Jun 15 13:35:35OpenVPN1 Socket Buffers: R=[155648->155648] S=[155648->155648] Jun 15 13:35:35OpenVPN1 UDP link local: (not bound) Jun 15 13:35:35OpenVPN1 UDP link remote: [AF_INET]118.216.61.125:1597 Jun 15 13:35:35OpenVPN1 NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay Jun 15 13:35:35OpenVPN1 TLS: Initial packet from [AF_INET]118.216.61.125:1597, sid=50f97caa 465803f8 Jun 15 13:35:35ndm Core::ConfigurationSaver: configuration saved. Jun 15 13:35:35OpenVPN1 VERIFY SCRIPT OK: depth=2, C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO RSA Certification Authority Jun 15 13:35:35OpenVPN1 VERIFY OK: depth=2, C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO RSA Certification Authority Jun 15 13:35:35OpenVPN1 VERIFY SCRIPT OK: depth=1, C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO RSA Domain Validation Secure Server CA Jun 15 13:35:35OpenVPN1 VERIFY OK: depth=1, C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO RSA Domain Validation Secure Server CA Jun 15 13:35:35OpenVPN1 VERIFY SCRIPT OK: depth=0, OU=Domain Control Validated, OU=PositiveSSL Wildcard, CN=*.opengw.net Jun 15 13:35:35OpenVPN1 VERIFY OK: depth=0, OU=Domain Control Validated, OU=PositiveSSL Wildcard, CN=*.opengw.net Jun 15 13:35:36OpenVPN1 Control Channel: TLSv1.2, cipher TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA Jun 15 13:35:36OpenVPN1 [*.opengw.net] Peer Connection Initiated with [AF_INET]118.216.61.125:1597 Jun 15 13:35:36ndm Network::Interface::OpenVpn: "OpenVPN1": added host route to remote endpoint 118.216.61.125 via 188.130.140.1. Jun 15 13:35:37OpenVPN1 SENT CONTROL [*.opengw.net]: 'PUSH_REQUEST' (status=1) Jun 15 13:35:38OpenVPN1 PUSH: Received control message: 'PUSH_REPLY,ping 3,ping-restart 10,ifconfig 10.211.1.253 10.211.1.254,dhcp-option DNS 10.211.254.254,dhcp-option DNS 8.8.8.8,route-gateway 10.211.1.254,redirect-gateway def1' Jun 15 13:35:38OpenVPN1 OPTIONS IMPORT: timers and/or timeouts modified Jun 15 13:35:38OpenVPN1 OPTIONS IMPORT: --ifconfig/up options modified Jun 15 13:35:38OpenVPN1 OPTIONS IMPORT: route options modified Jun 15 13:35:38OpenVPN1 OPTIONS IMPORT: route-related options modified Jun 15 13:35:38OpenVPN1 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified Jun 15 13:35:38OpenVPN1 Outgoing Data Channel: Cipher 'AES-128-CBC' initialized with 128 bit key Jun 15 13:35:38OpenVPN1 Outgoing Data Channel: Using 160 bit message hash 'SHA1' for HMAC authentication Jun 15 13:35:38OpenVPN1 Incoming Data Channel: Cipher 'AES-128-CBC' initialized with 128 bit key Jun 15 13:35:38OpenVPN1 Incoming Data Channel: Using 160 bit message hash 'SHA1' for HMAC authentication Jun 15 13:35:38OpenVPN1 TUN/TAP device tun0 opened Jun 15 13:35:38OpenVPN1 TUN/TAP TX queue length set to 100 Jun 15 13:35:38OpenVPN1 do_ifconfig, tt->did_ifconfig_ipv6_setup=0 Jun 15 13:35:38ndm Network::Interface::IP: "OpenVPN1": IP address is 10.211.1.253/32. Jun 15 13:35:38ndm Network::Interface::OpenVpn: "OpenVPN1": TUN peer address is 10.211.1.254. Jun 15 13:35:38ndm Network::Interface::OpenVpn: "OpenVPN1": added host route to peer 10.211.1.254 via 10.211.1.253. Jun 15 13:35:39OpenVPN1 GID set to nobody Jun 15 13:35:39OpenVPN1 UID set to nobody Jun 15 13:35:39OpenVPN1 Initialization Sequence Completed настройки сервер openvpn ############################################################################### # OpenVPN 2.0 Sample Configuration File # for PacketiX VPN / SoftEther VPN Server # # !!! AUTO-GENERATED BY SOFTETHER VPN SERVER MANAGEMENT TOOL !!! # # !!! YOU HAVE TO REVIEW IT BEFORE USE AND MODIFY IT AS NECESSARY !!! # # This configuration file is auto-generated. You might use this config file # in order to connect to the PacketiX VPN / SoftEther VPN Server. # However, before you try it, you should review the descriptions of the file # to determine the necessity to modify to suitable for your real environment. # If necessary, you have to modify a little adequately on the file. # For example, the IP address or the hostname as a destination VPN Server # should be confirmed. # # Note that to use OpenVPN 2.0, you have to put the certification file of # the destination VPN Server on the OpenVPN Client computer when you use this # config file. Please refer the below descriptions carefully. ############################################################################### # Specify the type of the layer of the VPN connection. # # To connect to the VPN Server as a "Remote-Access VPN Client PC", # specify 'dev tun'. (Layer-3 IP Routing Mode) # # To connect to the VPN Server as a bridging equipment of "Site-to-Site VPN", # specify 'dev tap'. (Layer-2 Ethernet Bridgine Mode) dev tun ############################################################################### # Specify the underlying protocol beyond the Internet. # Note that this setting must be correspond with the listening setting on # the VPN Server. # # Specify either 'proto tcp' or 'proto udp'. proto udp ############################################################################### # The destination hostname / IP address, and port number of # the target VPN Server. # # You have to specify as 'remote <HOSTNAME> <PORT>'. You can also # specify the IP address instead of the hostname. # # Note that the auto-generated below hostname are a "auto-detected # IP address" of the VPN Server. You have to confirm the correctness # beforehand. # # When you want to connect to the VPN Server by using TCP protocol, # the port number of the destination TCP port should be same as one of # the available TCP listeners on the VPN Server. # # When you use UDP protocol, the port number must same as the configuration # setting of "OpenVPN Server Compatible Function" on the VPN Server. remote 118.216.61.125 1597 ############################################################################### # The HTTP/HTTPS proxy setting. # # Only if you have to use the Internet via a proxy, uncomment the below # two lines and specify the proxy address and the port number. # In the case of using proxy-authentication, refer the OpenVPN manual. ;http-proxy-retry ;http-proxy [proxy server] [proxy port] ############################################################################### # The encryption and authentication algorithm. # # Default setting is good. Modify it as you prefer. # When you specify an unsupported algorithm, the error will occur. # # The supported algorithms are as follows: # cipher: [NULL-CIPHER] NULL AES-128-CBC AES-192-CBC AES-256-CBC BF-CBC # CAST-CBC CAST5-CBC DES-CBC DES-EDE-CBC DES-EDE3-CBC DESX-CBC # RC2-40-CBC RC2-64-CBC RC2-CBC # auth: SHA SHA1 MD5 MD4 RMD160 cipher AES-128-CBC auth SHA1 ############################################################################### # Other parameters necessary to connect to the VPN Server. # # It is not recommended to modify it unless you have a particular need. resolv-retry infinite nobind persist-key persist-tun client verb 3 #auth-user-pass ############################################################################### # The certificate file of the destination VPN Server. # # The CA certificate file is embedded in the inline format. # You can replace this CA contents if necessary. # Please note that if the server certificate is not a self-signed, you have to # specify the signer's root certificate (CA) here. <ca> -----END CERTIFICATE----- </ca> ############################################################################### # The client certificate file (dummy). # # In some implementations of OpenVPN Client software # (for example: OpenVPN Client for iOS), # a pair of client certificate and private key must be included on the # configuration file due to the limitation of the client. # So this sample configuration file has a dummy pair of client certificate # and private key as follows. <cert> -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- </cert> <key> -----BEGIN RSA PRIVATE KEY----- -----END RSA PRIVATE KEY----- </key> Проявите уважение, вы не на ответы майл.ру, здесь на вопросы в основном отвечают люди, которые пишут программное обеспечение для данных девайсов, а их не так много и они не всегда свободны. У меня на данной прошивке тоже замечена схожая проблема, но весьма своеобразная. Вдруг перестает направлять через себя рутрекер, хотя остальное работает. Решение пока не нашел (это происходит в случайном порядке), но заметил, что маршрут в тоннель пропадает при полной работоспособности OVPN. Советую делать бекап вашей прошивки, когда всё устраивает. А то бывает, что после обновления на новую версию что-то работает не так. Quote Link to comment Share on other sites More sharing options...
vladrnd Posted June 27, 2018 Share Posted June 27, 2018 В 21.06.2018 в 22:40, Le ecureuil сказал: Скиньте два sefl-test: сразу после установления соединения, когда все хорошо, и второй, снятый в момент, когда "пропали маршруты". Посмотрим, что там не так со стороны прошивки. скинул в приват. 7 день ни ответа ни привета. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted June 29, 2018 Share Posted June 29, 2018 В 27.06.2018 в 15:48, vladrnd сказал: скинул в приват. 7 день ни ответа ни привета. Да, я пока занят. Но все записано, будет возможность - посмотрю. Quote Link to comment Share on other sites More sharing options...
I2M Posted July 2, 2018 Share Posted July 2, 2018 Друзья подскажите в какую сторону копать. Есть VPS в германии с поднятым OpenVPN сервером. На работе стоит клиент на windows, трафик ходит через VPN все отлично, сайты открываются. Поднял на Kenetic II аналогичного клиента, все подключилось, маршруты прописались вроде бы все ок. Но заблокированные сайты не открывает, кидает на заглушку провайдера. Настройки клиента: client dev tun proto udp remote X.X.X.X 1194 nobind <ca> </ca> <cert> </cert> <key> </key> <tls-auth> </tls-auth> key-direction 1 remote-cert-tls server cipher AES-256-CBC auth SHA256 compress persist-key persist-tun verb 3 mute 20 Настройки сервера port 1194 proto udp dev tun dev-node VPNDEV1 ca ca.crt cert server.crt key server.key # This file should be kept secret dh dh2048.pem server 10.10.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt client-config-dir ccd push "redirect-gateway def1" push "dhcp-option DNS 8.8.8.8" push "dhcp-option DNS 8.8.4.4" keepalive 10 120 tls-server tls-auth ta.key 0 # This file is secret cipher AES-256-CBC auth SHA256 comp-lzo ;user nobody ;group nogroup persist-key persist-tun verb 3 mute 20 explicit-exit-notify 1 Трассировка на неработающем сайте. starting traceroute to nnm-club.me... traceroute to nnm-club.me (78.29.1.40), 30 hops maximum, 84 byte packets. 1 10.10.0.1 (10.10.0.1) 75.777 ms 74.989 ms 75.711 ms 2 * * * 3 static.57.3.201.138.clients.your-server.de (138.201.3.57) 76.042 ms 75.226 ms 75.594 ms 4 core24.fsn1.hetzner.com (213.239.229.21) 75.686 ms 75.908 ms 76.182 ms 5 core5.fra.hetzner.com (213.239.224.254) 84.920 ms 80.604 ms 80.230 ms 6 ae6-229.RT.IRX.FKT.DE.retn.net (87.245.245.113) 81.226 ms 80.887 ms 81.463 ms 7 ae3-8.RT.HPN.CEK.RU.retn.net (87.245.234.82) 142.581 ms 142.850 ms 144.944 ms 8 GW-InterSvyaz.retn.net (87.245.230.93) 148.920 ms 148.799 ms 149.059 ms 9 78.29.1.40 (78.29.1.40) 147.130 ms 147.515 ms 152.906 ms Как я попадаю на заглушку от провайдера так и не пойму. Если нужны еще какие то данные, могу предоставить. Спасибо. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted July 3, 2018 Share Posted July 3, 2018 Проверьте DNS-ы. Quote Link to comment Share on other sites More sharing options...
I2M Posted July 4, 2018 Share Posted July 4, 2018 В 03.07.2018 в 15:41, Le ecureuil сказал: Проверьте DNS-ы. Решил проблемы тем, что прописал DNS в настройках DHCP. сервера и только такой вариант и работает. Прописывание DNS в настройках основного провайдера, а так же в настройках OpenVPN результата не дает. Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.