Jump to content

Вопросы по интеграции OpenVPN в NDMS


Recommended Posts

 

По крайней мере в Виндовс поднимается виртуальный  адаптер и получает IP, DNS и шлюз от Кинетика... 

Но дальше тишина... 

redirect-gateway пробую, оно ругается  NOTE: unable to redirect default gateway -- VPN gateway parameter (--route-gateway or --ifconfig) is missing

 

Если долго пинговать Кинетик, то редкие одиночные пакеты проходят....

Статистика Ping для 192.168.1.1:
    Пакетов: отправлено = 41, получено = 12, потеряно = 29
    (70% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 1мсек, Максимальное = 4 мсек, Среднее = 1 мсек


Если пинговать НАС в этой же сети, то ещё хуже...

Статистика Ping для 192.168.1.35:
    Пакетов: отправлено = 17, получено = 10, потеряно = 7
    (41% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 103мсек, Максимальное = 3898 мсек, Среднее = 1607 мсек


Может надо что-то на самом Кинетике в CLI прописать? 

Помогите, кто-нибудь(((( Пожалкйста.....

Edited by totikk
Link to comment
Share on other sites

В вашем варианте, опять же, если я правильно понимаю, адреса сервера и пул для выдачи надо прописывать на сервере. У вас же все пусто.

Вот пример варианта с вручную задаваемыми адресами. https://habr.com/post/67209/

Вот пример варианта с адресами назначаемыми роутером непосредственно. https://forum.keenetic.net/topic/2617-вопросы-по-интеграции-openvpn-в-ndms/?do=findComment&comment=51834

Лишнее убрать не забудьте. 

Link to comment
Share on other sites

1 hour ago, Mixin said:

Вот пример варианта с адресами назначаемыми роутером

Так у меня примерно так же как и в этом примере, ну лишнее удалил...Говорю же, не работает оно никак...

Link to comment
Share on other sites

25 минут назад, totikk сказал:

Так у меня примерно так же как и в этом примере, ну лишнее удалил...Говорю же, не работает оно никак...

Конфиг без ключей покажите тогда еще раз. 

А также ipconfig и route print до/после.

Edited by Mixin
Link to comment
Share on other sites

Сервер

dev tap
proto udp
port 1194
push "redirect-gateway"
cipher none
keepalive 10 120
<secret>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----

-----END OpenVPN Static key V1-----
</secret>
verb 9

Клиент

dev tap
proto udp4
cipher none
remote a.a.a.a 1194
float
<secret>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----

-----END OpenVPN Static key V1-----
</secret>
verb 4

Смотрю сейчас в логе на клиенте сыпет:

 

Sat May 05 17:42:48 2018 us=213654 Recursive routing detected, drop tun packet to [AF_INET]a.a.a.a:1194

Я тут нашел кое что, это конечно от другого роутера, но меня заставило задуматься.:

https://community.netgear.com/t5/Nighthawk-WiFi-Routers/Recursive-routing-detected-error-in-OpenVPN/td-p/1201469

посмотрите, там в тексте человек даёт ссылку на мануал, если это можно таковым назвать. и в самом конце мануала такие строки:

Quote

For client devices with Windows, modify the VPN interface name to NETGEAR-VPN:
On your computer, go to the Networks page.
If you are using Windows 10, select Control Panel > Network and Sharing Center > Change adapter settings.
In the local area connection list, find the local area connection with the device name TAP-Windows Adapter.
Select the local area connection and change its name (not its device name) to NETGEAR-VPN.
If you don't change the VPN interface name, the VPN tunnel connection fails.

Иначе, как я понял, вылазиет таже самая ерунда, как и у меня, с Recursive routing detected

Толко вот что надо сделать в случае с Кинетиком я не знаю....

Edited by totikk
Link to comment
Share on other sites

Нет. У роутера свой белый ИП от провайдера.

У клиента свой, тоже белый, но динамический. От мобильного оператора, CDMA WIFI роутер

Link to comment
Share on other sites

Сервер

внешний IP xxx.xxx.xxx.xxx 

Роутер, 192.168.1.1

Устройства в сети 192.168.1.30-100

----------

Клиент

внешний IP zzz.zzz.zzz.zzz 

WIFI Роутер, 192.168.2.1

Сам клиент 192.168.2.100

----------------------

Конекчусь по VPN. В Виндовсе TAP адаптер получает адреса.

шлюз 192.168.1.1

DNS 192.168.1.1

IP 192.168.1.40

 

Link to comment
Share on other sites

route print и смотрите, что у вас там пересекается в маршрутах.

Также параметр allow-recursive-routing можно попробовать, если вы уверены, то все верно.

Edited by Mixin
Link to comment
Share on other sites

C:\Users\Kate>route print
===========================================================================
Список интерфейсов
 14...c8 21 58 95 5e 49 ......Microsoft Wi-Fi Direct Virtual Adapter
 10...00 ff 7c 3a c5 96 ......TAP-Windows Adapter V9
  3...c8 21 58 95 5e 48 ......Intel(R) Dual Band Wireless-AC 7265
  1...........................Software Loopback Interface 1
  9...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.2.1    192.168.2.100     55
          0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.40     35
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    331
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    331
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    331
      192.168.1.0    255.255.255.0         On-link      192.168.1.40    291
     192.168.1.40  255.255.255.255         On-link      192.168.1.40    291
    192.168.1.255  255.255.255.255         On-link      192.168.1.40    291
      192.168.2.0    255.255.255.0         On-link     192.168.2.100    311
    192.168.2.100  255.255.255.255         On-link     192.168.2.100    311
    192.168.2.255  255.255.255.255         On-link     192.168.2.100    311
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    331
        224.0.0.0        240.0.0.0         On-link      192.168.1.40    291
        224.0.0.0        240.0.0.0         On-link     192.168.2.100    311
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    331
  255.255.255.255  255.255.255.255         On-link      192.168.1.40    291
  255.255.255.255  255.255.255.255         On-link     192.168.2.100    311
===========================================================================
Постоянные маршруты:
  Отсутствует

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
 Метрика   Сетевой адрес            Шлюз
  9    331 ::/0                     On-link
  1    331 ::1/128                  On-link
  9    331 2001::/32                On-link
  9    331 2001:0:9d38:78cf:2ca4:38f9:3f57:fd9b/128
                                    On-link
  3    311 fe80::/64                On-link
  9    331 fe80::/64                On-link
  3    311 fe80::21c4:bfc8:a0d3:29fd/128
                                    On-link
  9    331 fe80::2ca4:38f9:3f57:fd9b/128
                                    On-link
  1    331 ff00::/8                 On-link
  3    311 ff00::/8                 On-link
  9    331 ff00::/8                 On-link
===========================================================================
Постоянные маршруты:
  Отсутствует

 

Link to comment
Share on other sites

На клиенте установил виртуальную Вин7х64.

Соединил бриджем виртуальный адаптер Вин7 и Вайфай клиента. Дальше как обычно подключился к мобильному роутеру с интернетом. 

IP клиента(бывшего) так и остался 192.168.2.100

IP нового клиента который Виртуальная Вин7. назначился вайфай роутером, 192.168.2.101

Поднял на нём (Виртаульная Вин7) тот же OpenVPN клиент, с тем же конфигом. А сервер вообще не трогал.

Трафик  идёт без проблем.... ошибки Recursive routing detected нету...

Даже попробовал  внутри одной сети. Т.е. когда на ПК с виртуалкой интернет через этот же кинетик (адрес 192.168.1.37) и адрес клиента в Виртуальной Вин7 192.168.1.38

ВПН  поднимается, интерфейс получает свой IP и хоть и присутствует  ошибка Recursive routing detected в логах, трафик спокойно идёт через tap интерфейс...

Теперь не знаю что и делать с Win10....

Edited by totikk
Link to comment
Share on other sites

5 часов назад, totikk сказал:

Так и  в конфиге похоже тоже... 

Нет, нашел. В сервер добавить push "route-gateway dhcp". 

Link to comment
Share on other sites

5 hours ago, Mixin said:

В сервер добавить push "route-gateway dhcp". 

Почему-то если в сервер через push оно не работает.... Вообще через push не работают команды похоже... может надо где-то что-то ещё включать...

Зато добавил в клиент route-gateway dhcp и заработало!

Огромная Вам благодарность за помощь и ваше упорство. Не забили, спасибо!

Edited by totikk
Link to comment
Share on other sites

В 29.04.2018 в 15:06, Stasmin сказал:

У меня на Lite 3 при подключении к удаленному серверу выдает ~9Мбит входящая и ~12Мбит исходящая при загрузке проца 80% и 100% соответственно (AES-256-CBC, AES-128-CBC и GCM не сказывается никак на скорости). Процы одинаковые, так что явно не так что-то. Попробуй с обеих сторон в конфиге прописать

sndbuf 0
rcvbuf 0

Что это такое и почему так почитайте по ссылке

https://habr.com/post/246953/

В процессе экспериментов установил, что малые значения этого параметра действительно уменьшают скорость, правда у меня ovpn поднят на Debian и без этих настроек работает примерно также.

прописывать "mssfix 0" на клиенте не советую, скорость падает. Я просто галочку убрал "Автоподстройка TCP-MSS" на кинетике, также не влияет толком.

Спасибо, изучил вопрос, прописал везде sndbuf и rcvbuf в 0. На Ultra II и BF-CBC получилось теже 45 мегабит, этого нам более чем.

Link to comment
Share on other sites

auth BLAKE2s256 он самый быстрый, прописан в конфигах.

а в логе при подключении пишет auth [null-digest], почему подскажет кто? так же и с MD5. Это типа не поддерживается сборкой именно на NDMS?

Link to comment
Share on other sites

8 минут назад, Quadro Rover сказал:

auth BLAKE2s256 он самый быстрый, прописан в конфигах.

а в логе при подключении пишет auth [null-digest], почему подскажет кто? так же и с MD5. Это типа не поддерживается сборкой именно на NDMS?

И MD5, и BLAKE поддерживаются. Ищите ошибку в конфигах.

Вот то, что поддерживается (сейчас, и всегда до этого):

Цитата

~ # openvpn --show-ciphers
AES-128-CBC  (128 bit key, 128 bit block)
AES-128-CFB  (128 bit key, 128 bit block, TLS client/server mode only)
AES-128-CFB1  (128 bit key, 128 bit block, TLS client/server mode only)
AES-128-CFB8  (128 bit key, 128 bit block, TLS client/server mode only)
AES-128-GCM  (128 bit key, 128 bit block, TLS client/server mode only)
AES-128-OFB  (128 bit key, 128 bit block, TLS client/server mode only)
AES-192-CBC  (192 bit key, 128 bit block)
AES-192-CFB  (192 bit key, 128 bit block, TLS client/server mode only)
AES-192-CFB1  (192 bit key, 128 bit block, TLS client/server mode only)
AES-192-CFB8  (192 bit key, 128 bit block, TLS client/server mode only)
AES-192-GCM  (192 bit key, 128 bit block, TLS client/server mode only)
AES-192-OFB  (192 bit key, 128 bit block, TLS client/server mode only)
AES-256-CBC  (256 bit key, 128 bit block)
AES-256-CFB  (256 bit key, 128 bit block, TLS client/server mode only)
AES-256-CFB1  (256 bit key, 128 bit block, TLS client/server mode only)
AES-256-CFB8  (256 bit key, 128 bit block, TLS client/server mode only)
AES-256-GCM  (256 bit key, 128 bit block, TLS client/server mode only)
AES-256-OFB  (256 bit key, 128 bit block, TLS client/server mode only)

The following ciphers have a block size of less than 128 bits, 
and are therefore deprecated.  Do not use unless you have to.

BF-CBC  (128 bit key by default, 64 bit block)
BF-CFB  (128 bit key by default, 64 bit block, TLS client/server mode only)
BF-OFB  (128 bit key by default, 64 bit block, TLS client/server mode only)
CAST5-CBC  (128 bit key by default, 64 bit block)
CAST5-CFB  (128 bit key by default, 64 bit block, TLS client/server mode only)
CAST5-OFB  (128 bit key by default, 64 bit block, TLS client/server mode only)
DES-CBC  (64 bit key, 64 bit block)
DES-CFB  (64 bit key, 64 bit block, TLS client/server mode only)
DES-CFB1  (64 bit key, 64 bit block, TLS client/server mode only)
DES-CFB8  (64 bit key, 64 bit block, TLS client/server mode only)
DES-EDE-CBC  (128 bit key, 64 bit block)
DES-EDE-CFB  (128 bit key, 64 bit block, TLS client/server mode only)
DES-EDE-OFB  (128 bit key, 64 bit block, TLS client/server mode only)
DES-EDE3-CBC  (192 bit key, 64 bit block)
DES-EDE3-CFB  (192 bit key, 64 bit block, TLS client/server mode only)
DES-EDE3-CFB1  (192 bit key, 64 bit block, TLS client/server mode only)
DES-EDE3-CFB8  (192 bit key, 64 bit block, TLS client/server mode only)
DES-EDE3-OFB  (192 bit key, 64 bit block, TLS client/server mode only)
DES-OFB  (64 bit key, 64 bit block, TLS client/server mode only)
DESX-CBC  (192 bit key, 64 bit block)
RC2-40-CBC  (40 bit key by default, 64 bit block)
RC2-64-CBC  (64 bit key by default, 64 bit block)
RC2-CBC  (128 bit key by default, 64 bit block)
RC2-CFB  (128 bit key by default, 64 bit block, TLS client/server mode only)
RC2-OFB  (128 bit key by default, 64 bit block, TLS client/server mode only)

Цитата

~ # openvpn --show-digests
MD5 128 bit digest size
RSA-MD5 128 bit digest size
SHA1 160 bit digest size
RSA-SHA1 160 bit digest size
MD5-SHA1 288 bit digest size
RSA-SHA1-2 160 bit digest size
MD4 128 bit digest size
RSA-MD4 128 bit digest size
RSA-SHA256 256 bit digest size
RSA-SHA384 384 bit digest size
RSA-SHA512 512 bit digest size
RSA-SHA224 224 bit digest size
SHA256 256 bit digest size
SHA384 384 bit digest size
SHA512 512 bit digest size
SHA224 224 bit digest size
BLAKE2b512 512 bit digest size
BLAKE2s256 256 bit digest size

 

Link to comment
Share on other sites

Нет ошибки, оказалось при использовании AES-GCM, auth выключается сам, и получается HMAC не используется ибо не нужен при таком шифровании.. Так чтоли?

Link to comment
Share on other sites

27 минут назад, Quadro Rover сказал:

Нет ошибки, оказалось при использовании AES-GCM, auth выключается сам, и получается HMAC не используется ибо не нужен при таком шифровании.. Так чтоли?

GCM это так называемый AEAD-режим, при котором одновременно обеспечивается и шифрование и аутентификация. Да, при этом auth не нужен.

Link to comment
Share on other sites

Понятно. Вместе с тем, только вычитал что CBC значительно быстрее чем GCM, если не используется аппаратное ускорение. https://kazoo.ga/quick-benchmark-cbc-vs-gcm/

А где-то тут отвечали, что на кинетиках OpenVPN аппаратно не ускорен, тогда логично использовать AES-CBC и auth BLAKE2b512 (как самый быстрый, надёжный дайджест https://blake2.net/). Наверно.

Хотя AES-GCM исключает необходимость в HMAC. Как жить теперь, что выбрать..

Link to comment
Share on other sites

16 минут назад, Quadro Rover сказал:

Понятно. Вместе с тем, только вычитал что CBC значительно быстрее чем GCM, если не используется аппаратное ускорение. https://kazoo.ga/quick-benchmark-cbc-vs-gcm/

А где-то тут отвечали, что на кинетиках OpenVPN аппаратно не ускорен, тогда логично использовать AES-CBC и auth BLAKE2b512 (как самый быстрый, надёжный дайджест https://blake2.net/). Наверно.

Хотя AES-GCM исключает необходимость в HMAC. Как жить теперь, что выбрать..

BF-CBC + BLAKE2s256.

Быстрее всего.

Link to comment
Share on other sites

Да что-то не особо, где-то на 300 кбайт медленей чем SHA1, странно. Пока на GCM, чуть больше 2 мегабайт при копировани с самбы в винде.

Там может и больше, просто провайдер Соседтелеком, тариф "Вайфай".

tun-mtu ещё подбирал по логам так, чтобы в итоге link-mtu был равен максимальному для интерфейса на котором интернет. Как определить оптимальный размер MTU? – Keenetic

Link to comment
Share on other sites

  • 2 weeks later...

Просьба не кидаться тряпками,тут уже серьезные вопросы, а я с банальным вопросом. Поставлена задача убрать vpn сервер с роутера, и поднять его непосредственно на машине-сервере. Соответственно взгляд пал на openvpn, с ним знаком,генерируем ключики раскидываем по клиентам,  не нашел информации в гугле и тут ( может проглядел) как сертификат и ключ клиента перенести в сам роутер. Понятно что они заносятся в это окно, только какими тегами их закрыть, или иначе как то делает. Заранее спасибо.

Снимок.JPG

Link to comment
Share on other sites

5 часов назад, Capeyka сказал:

Просьба не кидаться тряпками,тут уже серьезные вопросы, а я с банальным вопросом. Поставлена задача убрать vpn сервер с роутера, и поднять его непосредственно на машине-сервере. Соответственно взгляд пал на openvpn, с ним знаком,генерируем ключики раскидываем по клиентам,  не нашел информации в гугле и тут ( может проглядел) как сертификат и ключ клиента перенести в сам роутер. Понятно что они заносятся в это окно, только какими тегами их закрыть, или иначе как то делает. Заранее спасибо.

Снимок.JPG

Oткройте файл конфигурации в текстовом редакторе, например, Блокнот (Notepad).Скопируйте всё содержимое файла конфигурации и вставьте в окно (указанное вами вопросительным знаком).

Можно также почитать статью: https://help.keenetic.com/hc/ru/articles/115005717009-Использование-клиента-OpenVPN

Edited by AndreBA
Link to comment
Share on other sites

6 часов назад, AndreBA сказал:

Oткройте файл конфигурации в текстовом редакторе, например, Блокнот (Notepad).Скопируйте всё содержимое файла конфигурации и вставьте в окно (указанное вами вопросительным знаком).

Можно также почитать статью: https://help.keenetic.com/hc/ru/articles/115005717009-Использование-клиента-OpenVPN

Да, благодарю, эту статью я видел, и вот как раз возник вопрос, в этом окне сначала закоментировать эти 3 строки, потом просто скопировать содержимое 3 файлов и все?

И сразу еще вопрос, есть ли у Zyxel железка со встроенными сертификатами безопасности ФСБ по ГОСТУ для VPN?

Edited by Capeyka
Link to comment
Share on other sites

9 минут назад, Capeyka сказал:

Да, благодарю, эту статью я видел, и вот как раз возник вопрос, в этом окне сначала закоментировать эти 3 строки, потом просто скопировать содержимое 3 файлов и все?

Делайте по инструкции и должно все получится.

 

10 минут назад, Capeyka сказал:

И сразу еще вопрос, есть ли у Zyxel железка со встроенными сертификатами безопасности ФСБ по ГОСТУ для VPN?

По этому поводу я не знаю, но должно все по закону. Лучше спросить у @ndm @Le ecureuil

Link to comment
Share on other sites

7 hours ago, AndreBA said:

По этому поводу я не знаю, но должно все по закону.

Закон законом (официальная сертификация и т.д.) — этим пока никто не будет заниматься. @Capeyka Пара вопросов:

  1. Вы умеете это настраивать под Linux?
  2. Сможете предоставить оборудование, с которым мы будем проверять совместимость?
Link to comment
Share on other sites

1 час назад, ndm сказал:

Сможете предоставить оборудование, с которым мы будем проверять совместимость?

Я вот именно и спрашиваю есть ли готовое решение, вроде натыкался на статью про Zyxel Wall 5 , но не нашел достоверной информации

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...