totikk Posted May 5, 2018 Share Posted May 5, 2018 (edited) По крайней мере в Виндовс поднимается виртуальный адаптер и получает IP, DNS и шлюз от Кинетика... Но дальше тишина... redirect-gateway пробую, оно ругается NOTE: unable to redirect default gateway -- VPN gateway parameter (--route-gateway or --ifconfig) is missing Если долго пинговать Кинетик, то редкие одиночные пакеты проходят.... Статистика Ping для 192.168.1.1: Пакетов: отправлено = 41, получено = 12, потеряно = 29 (70% потерь) Приблизительное время приема-передачи в мс: Минимальное = 1мсек, Максимальное = 4 мсек, Среднее = 1 мсек Если пинговать НАС в этой же сети, то ещё хуже... Статистика Ping для 192.168.1.35: Пакетов: отправлено = 17, получено = 10, потеряно = 7 (41% потерь) Приблизительное время приема-передачи в мс: Минимальное = 103мсек, Максимальное = 3898 мсек, Среднее = 1607 мсек Может надо что-то на самом Кинетике в CLI прописать? Помогите, кто-нибудь(((( Пожалкйста..... Edited May 5, 2018 by totikk Quote Link to comment Share on other sites More sharing options...
Mixin Posted May 5, 2018 Share Posted May 5, 2018 В вашем варианте, опять же, если я правильно понимаю, адреса сервера и пул для выдачи надо прописывать на сервере. У вас же все пусто. Вот пример варианта с вручную задаваемыми адресами. https://habr.com/post/67209/ Вот пример варианта с адресами назначаемыми роутером непосредственно. https://forum.keenetic.net/topic/2617-вопросы-по-интеграции-openvpn-в-ndms/?do=findComment&comment=51834 Лишнее убрать не забудьте. Quote Link to comment Share on other sites More sharing options...
totikk Posted May 5, 2018 Share Posted May 5, 2018 1 hour ago, Mixin said: Вот пример варианта с адресами назначаемыми роутером Так у меня примерно так же как и в этом примере, ну лишнее удалил...Говорю же, не работает оно никак... Quote Link to comment Share on other sites More sharing options...
Mixin Posted May 5, 2018 Share Posted May 5, 2018 (edited) 25 минут назад, totikk сказал: Так у меня примерно так же как и в этом примере, ну лишнее удалил...Говорю же, не работает оно никак... Конфиг без ключей покажите тогда еще раз. А также ipconfig и route print до/после. Edited May 5, 2018 by Mixin Quote Link to comment Share on other sites More sharing options...
totikk Posted May 5, 2018 Share Posted May 5, 2018 (edited) Сервер dev tap proto udp port 1194 push "redirect-gateway" cipher none keepalive 10 120 <secret> # # 2048 bit OpenVPN static key # -----BEGIN OpenVPN Static key V1----- -----END OpenVPN Static key V1----- </secret> verb 9 Клиент dev tap proto udp4 cipher none remote a.a.a.a 1194 float <secret> # # 2048 bit OpenVPN static key # -----BEGIN OpenVPN Static key V1----- -----END OpenVPN Static key V1----- </secret> verb 4 Смотрю сейчас в логе на клиенте сыпет: Sat May 05 17:42:48 2018 us=213654 Recursive routing detected, drop tun packet to [AF_INET]a.a.a.a:1194 Я тут нашел кое что, это конечно от другого роутера, но меня заставило задуматься.: https://community.netgear.com/t5/Nighthawk-WiFi-Routers/Recursive-routing-detected-error-in-OpenVPN/td-p/1201469 посмотрите, там в тексте человек даёт ссылку на мануал, если это можно таковым назвать. и в самом конце мануала такие строки: Quote For client devices with Windows, modify the VPN interface name to NETGEAR-VPN: On your computer, go to the Networks page. If you are using Windows 10, select Control Panel > Network and Sharing Center > Change adapter settings. In the local area connection list, find the local area connection with the device name TAP-Windows Adapter. Select the local area connection and change its name (not its device name) to NETGEAR-VPN. If you don't change the VPN interface name, the VPN tunnel connection fails. Иначе, как я понял, вылазиет таже самая ерунда, как и у меня, с Recursive routing detected Толко вот что надо сделать в случае с Кинетиком я не знаю.... Edited May 5, 2018 by totikk Quote Link to comment Share on other sites More sharing options...
Mixin Posted May 5, 2018 Share Posted May 5, 2018 У вас сеть клиента и сеть назначения одинаковые что ли? Quote Link to comment Share on other sites More sharing options...
totikk Posted May 5, 2018 Share Posted May 5, 2018 Нет. У роутера свой белый ИП от провайдера. У клиента свой, тоже белый, но динамический. От мобильного оператора, CDMA WIFI роутер Quote Link to comment Share on other sites More sharing options...
Mixin Posted May 5, 2018 Share Posted May 5, 2018 Внутренняя сеть клиента и та сеть за роутером, куда подключаетесь. Quote Link to comment Share on other sites More sharing options...
totikk Posted May 5, 2018 Share Posted May 5, 2018 Сервер внешний IP xxx.xxx.xxx.xxx Роутер, 192.168.1.1 Устройства в сети 192.168.1.30-100 ---------- Клиент внешний IP zzz.zzz.zzz.zzz WIFI Роутер, 192.168.2.1 Сам клиент 192.168.2.100 ---------------------- Конекчусь по VPN. В Виндовсе TAP адаптер получает адреса. шлюз 192.168.1.1 DNS 192.168.1.1 IP 192.168.1.40 Quote Link to comment Share on other sites More sharing options...
Mixin Posted May 5, 2018 Share Posted May 5, 2018 (edited) route print и смотрите, что у вас там пересекается в маршрутах. Также параметр allow-recursive-routing можно попробовать, если вы уверены, то все верно. Edited May 5, 2018 by Mixin Quote Link to comment Share on other sites More sharing options...
totikk Posted May 5, 2018 Share Posted May 5, 2018 C:\Users\Kate>route print =========================================================================== Список интерфейсов 14...c8 21 58 95 5e 49 ......Microsoft Wi-Fi Direct Virtual Adapter 10...00 ff 7c 3a c5 96 ......TAP-Windows Adapter V9 3...c8 21 58 95 5e 48 ......Intel(R) Dual Band Wireless-AC 7265 1...........................Software Loopback Interface 1 9...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface =========================================================================== IPv4 таблица маршрута =========================================================================== Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика 0.0.0.0 0.0.0.0 192.168.2.1 192.168.2.100 55 0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.40 35 127.0.0.0 255.0.0.0 On-link 127.0.0.1 331 127.0.0.1 255.255.255.255 On-link 127.0.0.1 331 127.255.255.255 255.255.255.255 On-link 127.0.0.1 331 192.168.1.0 255.255.255.0 On-link 192.168.1.40 291 192.168.1.40 255.255.255.255 On-link 192.168.1.40 291 192.168.1.255 255.255.255.255 On-link 192.168.1.40 291 192.168.2.0 255.255.255.0 On-link 192.168.2.100 311 192.168.2.100 255.255.255.255 On-link 192.168.2.100 311 192.168.2.255 255.255.255.255 On-link 192.168.2.100 311 224.0.0.0 240.0.0.0 On-link 127.0.0.1 331 224.0.0.0 240.0.0.0 On-link 192.168.1.40 291 224.0.0.0 240.0.0.0 On-link 192.168.2.100 311 255.255.255.255 255.255.255.255 On-link 127.0.0.1 331 255.255.255.255 255.255.255.255 On-link 192.168.1.40 291 255.255.255.255 255.255.255.255 On-link 192.168.2.100 311 =========================================================================== Постоянные маршруты: Отсутствует IPv6 таблица маршрута =========================================================================== Активные маршруты: Метрика Сетевой адрес Шлюз 9 331 ::/0 On-link 1 331 ::1/128 On-link 9 331 2001::/32 On-link 9 331 2001:0:9d38:78cf:2ca4:38f9:3f57:fd9b/128 On-link 3 311 fe80::/64 On-link 9 331 fe80::/64 On-link 3 311 fe80::21c4:bfc8:a0d3:29fd/128 On-link 9 331 fe80::2ca4:38f9:3f57:fd9b/128 On-link 1 331 ff00::/8 On-link 3 311 ff00::/8 On-link 9 331 ff00::/8 On-link =========================================================================== Постоянные маршруты: Отсутствует Quote Link to comment Share on other sites More sharing options...
totikk Posted May 5, 2018 Share Posted May 5, 2018 (edited) На клиенте установил виртуальную Вин7х64. Соединил бриджем виртуальный адаптер Вин7 и Вайфай клиента. Дальше как обычно подключился к мобильному роутеру с интернетом. IP клиента(бывшего) так и остался 192.168.2.100 IP нового клиента который Виртуальная Вин7. назначился вайфай роутером, 192.168.2.101 Поднял на нём (Виртаульная Вин7) тот же OpenVPN клиент, с тем же конфигом. А сервер вообще не трогал. Трафик идёт без проблем.... ошибки Recursive routing detected нету... Даже попробовал внутри одной сети. Т.е. когда на ПК с виртуалкой интернет через этот же кинетик (адрес 192.168.1.37) и адрес клиента в Виртуальной Вин7 192.168.1.38 ВПН поднимается, интерфейс получает свой IP и хоть и присутствует ошибка Recursive routing detected в логах, трафик спокойно идёт через tap интерфейс... Теперь не знаю что и делать с Win10.... Edited May 5, 2018 by totikk Quote Link to comment Share on other sites More sharing options...
Mixin Posted May 5, 2018 Share Posted May 5, 2018 Извините, мои познания закончились. В маршрутах у вас все нормально. Quote Link to comment Share on other sites More sharing options...
totikk Posted May 5, 2018 Share Posted May 5, 2018 Так и в конфиге похоже тоже... Неужели на Win10 надо что-то по особенному делать.... Quote Link to comment Share on other sites More sharing options...
Mixin Posted May 5, 2018 Share Posted May 5, 2018 5 часов назад, totikk сказал: Так и в конфиге похоже тоже... Нет, нашел. В сервер добавить push "route-gateway dhcp". Quote Link to comment Share on other sites More sharing options...
totikk Posted May 6, 2018 Share Posted May 6, 2018 (edited) 5 hours ago, Mixin said: В сервер добавить push "route-gateway dhcp". Почему-то если в сервер через push оно не работает.... Вообще через push не работают команды похоже... может надо где-то что-то ещё включать... Зато добавил в клиент route-gateway dhcp и заработало! Огромная Вам благодарность за помощь и ваше упорство. Не забили, спасибо! Edited May 6, 2018 by totikk Quote Link to comment Share on other sites More sharing options...
dvg_lab Posted May 10, 2018 Share Posted May 10, 2018 В 29.04.2018 в 15:06, Stasmin сказал: У меня на Lite 3 при подключении к удаленному серверу выдает ~9Мбит входящая и ~12Мбит исходящая при загрузке проца 80% и 100% соответственно (AES-256-CBC, AES-128-CBC и GCM не сказывается никак на скорости). Процы одинаковые, так что явно не так что-то. Попробуй с обеих сторон в конфиге прописать sndbuf 0 rcvbuf 0 Что это такое и почему так почитайте по ссылке https://habr.com/post/246953/ В процессе экспериментов установил, что малые значения этого параметра действительно уменьшают скорость, правда у меня ovpn поднят на Debian и без этих настроек работает примерно также. прописывать "mssfix 0" на клиенте не советую, скорость падает. Я просто галочку убрал "Автоподстройка TCP-MSS" на кинетике, также не влияет толком. Спасибо, изучил вопрос, прописал везде sndbuf и rcvbuf в 0. На Ultra II и BF-CBC получилось теже 45 мегабит, этого нам более чем. Quote Link to comment Share on other sites More sharing options...
Quadro Rover Posted May 11, 2018 Share Posted May 11, 2018 auth BLAKE2s256 он самый быстрый, прописан в конфигах. а в логе при подключении пишет auth [null-digest], почему подскажет кто? так же и с MD5. Это типа не поддерживается сборкой именно на NDMS? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted May 11, 2018 Share Posted May 11, 2018 8 минут назад, Quadro Rover сказал: auth BLAKE2s256 он самый быстрый, прописан в конфигах. а в логе при подключении пишет auth [null-digest], почему подскажет кто? так же и с MD5. Это типа не поддерживается сборкой именно на NDMS? И MD5, и BLAKE поддерживаются. Ищите ошибку в конфигах. Вот то, что поддерживается (сейчас, и всегда до этого): Цитата ~ # openvpn --show-ciphers AES-128-CBC (128 bit key, 128 bit block) AES-128-CFB (128 bit key, 128 bit block, TLS client/server mode only) AES-128-CFB1 (128 bit key, 128 bit block, TLS client/server mode only) AES-128-CFB8 (128 bit key, 128 bit block, TLS client/server mode only) AES-128-GCM (128 bit key, 128 bit block, TLS client/server mode only) AES-128-OFB (128 bit key, 128 bit block, TLS client/server mode only) AES-192-CBC (192 bit key, 128 bit block) AES-192-CFB (192 bit key, 128 bit block, TLS client/server mode only) AES-192-CFB1 (192 bit key, 128 bit block, TLS client/server mode only) AES-192-CFB8 (192 bit key, 128 bit block, TLS client/server mode only) AES-192-GCM (192 bit key, 128 bit block, TLS client/server mode only) AES-192-OFB (192 bit key, 128 bit block, TLS client/server mode only) AES-256-CBC (256 bit key, 128 bit block) AES-256-CFB (256 bit key, 128 bit block, TLS client/server mode only) AES-256-CFB1 (256 bit key, 128 bit block, TLS client/server mode only) AES-256-CFB8 (256 bit key, 128 bit block, TLS client/server mode only) AES-256-GCM (256 bit key, 128 bit block, TLS client/server mode only) AES-256-OFB (256 bit key, 128 bit block, TLS client/server mode only) The following ciphers have a block size of less than 128 bits, and are therefore deprecated. Do not use unless you have to. BF-CBC (128 bit key by default, 64 bit block) BF-CFB (128 bit key by default, 64 bit block, TLS client/server mode only) BF-OFB (128 bit key by default, 64 bit block, TLS client/server mode only) CAST5-CBC (128 bit key by default, 64 bit block) CAST5-CFB (128 bit key by default, 64 bit block, TLS client/server mode only) CAST5-OFB (128 bit key by default, 64 bit block, TLS client/server mode only) DES-CBC (64 bit key, 64 bit block) DES-CFB (64 bit key, 64 bit block, TLS client/server mode only) DES-CFB1 (64 bit key, 64 bit block, TLS client/server mode only) DES-CFB8 (64 bit key, 64 bit block, TLS client/server mode only) DES-EDE-CBC (128 bit key, 64 bit block) DES-EDE-CFB (128 bit key, 64 bit block, TLS client/server mode only) DES-EDE-OFB (128 bit key, 64 bit block, TLS client/server mode only) DES-EDE3-CBC (192 bit key, 64 bit block) DES-EDE3-CFB (192 bit key, 64 bit block, TLS client/server mode only) DES-EDE3-CFB1 (192 bit key, 64 bit block, TLS client/server mode only) DES-EDE3-CFB8 (192 bit key, 64 bit block, TLS client/server mode only) DES-EDE3-OFB (192 bit key, 64 bit block, TLS client/server mode only) DES-OFB (64 bit key, 64 bit block, TLS client/server mode only) DESX-CBC (192 bit key, 64 bit block) RC2-40-CBC (40 bit key by default, 64 bit block) RC2-64-CBC (64 bit key by default, 64 bit block) RC2-CBC (128 bit key by default, 64 bit block) RC2-CFB (128 bit key by default, 64 bit block, TLS client/server mode only) RC2-OFB (128 bit key by default, 64 bit block, TLS client/server mode only) Цитата ~ # openvpn --show-digests MD5 128 bit digest size RSA-MD5 128 bit digest size SHA1 160 bit digest size RSA-SHA1 160 bit digest size MD5-SHA1 288 bit digest size RSA-SHA1-2 160 bit digest size MD4 128 bit digest size RSA-MD4 128 bit digest size RSA-SHA256 256 bit digest size RSA-SHA384 384 bit digest size RSA-SHA512 512 bit digest size RSA-SHA224 224 bit digest size SHA256 256 bit digest size SHA384 384 bit digest size SHA512 512 bit digest size SHA224 224 bit digest size BLAKE2b512 512 bit digest size BLAKE2s256 256 bit digest size Quote Link to comment Share on other sites More sharing options...
Quadro Rover Posted May 11, 2018 Share Posted May 11, 2018 Нет ошибки, оказалось при использовании AES-GCM, auth выключается сам, и получается HMAC не используется ибо не нужен при таком шифровании.. Так чтоли? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted May 11, 2018 Share Posted May 11, 2018 27 минут назад, Quadro Rover сказал: Нет ошибки, оказалось при использовании AES-GCM, auth выключается сам, и получается HMAC не используется ибо не нужен при таком шифровании.. Так чтоли? GCM это так называемый AEAD-режим, при котором одновременно обеспечивается и шифрование и аутентификация. Да, при этом auth не нужен. Quote Link to comment Share on other sites More sharing options...
Quadro Rover Posted May 11, 2018 Share Posted May 11, 2018 Понятно. Вместе с тем, только вычитал что CBC значительно быстрее чем GCM, если не используется аппаратное ускорение. https://kazoo.ga/quick-benchmark-cbc-vs-gcm/ А где-то тут отвечали, что на кинетиках OpenVPN аппаратно не ускорен, тогда логично использовать AES-CBC и auth BLAKE2b512 (как самый быстрый, надёжный дайджест https://blake2.net/). Наверно. Хотя AES-GCM исключает необходимость в HMAC. Как жить теперь, что выбрать.. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted May 11, 2018 Share Posted May 11, 2018 16 минут назад, Quadro Rover сказал: Понятно. Вместе с тем, только вычитал что CBC значительно быстрее чем GCM, если не используется аппаратное ускорение. https://kazoo.ga/quick-benchmark-cbc-vs-gcm/ А где-то тут отвечали, что на кинетиках OpenVPN аппаратно не ускорен, тогда логично использовать AES-CBC и auth BLAKE2b512 (как самый быстрый, надёжный дайджест https://blake2.net/). Наверно. Хотя AES-GCM исключает необходимость в HMAC. Как жить теперь, что выбрать.. BF-CBC + BLAKE2s256. Быстрее всего. Quote Link to comment Share on other sites More sharing options...
Quadro Rover Posted May 11, 2018 Share Posted May 11, 2018 Да что-то не особо, где-то на 300 кбайт медленей чем SHA1, странно. Пока на GCM, чуть больше 2 мегабайт при копировани с самбы в винде. Там может и больше, просто провайдер Соседтелеком, тариф "Вайфай". tun-mtu ещё подбирал по логам так, чтобы в итоге link-mtu был равен максимальному для интерфейса на котором интернет. Как определить оптимальный размер MTU? – Keenetic Quote Link to comment Share on other sites More sharing options...
Capeyka Posted May 22, 2018 Share Posted May 22, 2018 Просьба не кидаться тряпками,тут уже серьезные вопросы, а я с банальным вопросом. Поставлена задача убрать vpn сервер с роутера, и поднять его непосредственно на машине-сервере. Соответственно взгляд пал на openvpn, с ним знаком,генерируем ключики раскидываем по клиентам, не нашел информации в гугле и тут ( может проглядел) как сертификат и ключ клиента перенести в сам роутер. Понятно что они заносятся в это окно, только какими тегами их закрыть, или иначе как то делает. Заранее спасибо. Quote Link to comment Share on other sites More sharing options...
AndreBA Posted May 23, 2018 Share Posted May 23, 2018 (edited) 5 часов назад, Capeyka сказал: Просьба не кидаться тряпками,тут уже серьезные вопросы, а я с банальным вопросом. Поставлена задача убрать vpn сервер с роутера, и поднять его непосредственно на машине-сервере. Соответственно взгляд пал на openvpn, с ним знаком,генерируем ключики раскидываем по клиентам, не нашел информации в гугле и тут ( может проглядел) как сертификат и ключ клиента перенести в сам роутер. Понятно что они заносятся в это окно, только какими тегами их закрыть, или иначе как то делает. Заранее спасибо. Oткройте файл конфигурации в текстовом редакторе, например, Блокнот (Notepad).Скопируйте всё содержимое файла конфигурации и вставьте в окно (указанное вами вопросительным знаком). Можно также почитать статью: https://help.keenetic.com/hc/ru/articles/115005717009-Использование-клиента-OpenVPN Edited May 23, 2018 by AndreBA Quote Link to comment Share on other sites More sharing options...
Capeyka Posted May 23, 2018 Share Posted May 23, 2018 (edited) 6 часов назад, AndreBA сказал: Oткройте файл конфигурации в текстовом редакторе, например, Блокнот (Notepad).Скопируйте всё содержимое файла конфигурации и вставьте в окно (указанное вами вопросительным знаком). Можно также почитать статью: https://help.keenetic.com/hc/ru/articles/115005717009-Использование-клиента-OpenVPN Да, благодарю, эту статью я видел, и вот как раз возник вопрос, в этом окне сначала закоментировать эти 3 строки, потом просто скопировать содержимое 3 файлов и все? И сразу еще вопрос, есть ли у Zyxel железка со встроенными сертификатами безопасности ФСБ по ГОСТУ для VPN? Edited May 23, 2018 by Capeyka Quote Link to comment Share on other sites More sharing options...
AndreBA Posted May 23, 2018 Share Posted May 23, 2018 9 минут назад, Capeyka сказал: Да, благодарю, эту статью я видел, и вот как раз возник вопрос, в этом окне сначала закоментировать эти 3 строки, потом просто скопировать содержимое 3 файлов и все? Делайте по инструкции и должно все получится. 10 минут назад, Capeyka сказал: И сразу еще вопрос, есть ли у Zyxel железка со встроенными сертификатами безопасности ФСБ по ГОСТУ для VPN? По этому поводу я не знаю, но должно все по закону. Лучше спросить у @ndm @Le ecureuil Quote Link to comment Share on other sites More sharing options...
ndm Posted May 23, 2018 Share Posted May 23, 2018 7 hours ago, AndreBA said: По этому поводу я не знаю, но должно все по закону. Закон законом (официальная сертификация и т.д.) — этим пока никто не будет заниматься. @Capeyka Пара вопросов: Вы умеете это настраивать под Linux? Сможете предоставить оборудование, с которым мы будем проверять совместимость? Quote Link to comment Share on other sites More sharing options...
Capeyka Posted May 23, 2018 Share Posted May 23, 2018 1 час назад, ndm сказал: Сможете предоставить оборудование, с которым мы будем проверять совместимость? Я вот именно и спрашиваю есть ли готовое решение, вроде натыкался на статью про Zyxel Wall 5 , но не нашел достоверной информации Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.