Вопросы по интеграции OpenVPN в NDMS

[Сергей Евгеньевич]

Добрый день, решил попробовать OVPN в качестве клиента на Giga II, на работе OVPN сервер, с windows приложения подключаюсь нормально, а вот с роутреа не получается.

Сделал конфиг но подключится не могу.

Конфиг.

dev tun
proto tcp-client
remote gw.ogn.in
cipher AES-256-CBC
auth SHA1
resolv-retry infinite
nobind
persist-key
persist-tun
ping 10
ping-restart 30
verb 3
pull
#auth-user-pass
<auth-user-pass>
user
password
</auth-user-pass>
route-method exe 
route-delay 2 
route 10.56.100.0 255.255.255.0 172.16.16.1
route 10.56.0.0 255.255.255.0 172.16.16.1
route 10.56.1.0 255.255.255.0 172.16.16.1
route 10.56.2.0 255.255.255.0 172.16.16.1
route 192.168.122.1 255.255.255.255 172.16.16.1

<ca>
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

</ca>

<cert>
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

</cert>

<key>
-----BEGIN RSA PRIVATE KEY-----

-----END RSA PRIVATE KEY-----

</key>

Ругается вот на что, погуглил не нашёл решения, подскажите куда копать.

Options error: Parameter ca_file can only be specified in TLS-mode, i.e. where --tls-server or --tls-client is also specified

[Le ecureuil]

tls-client не хватает в конфиге, он же вроде красным по-белому пишет что не так.

[Alexander_74]

Добрый день, господа.

Подскажите, есть ли разница в работе OpenVPN сервера на Keenetic II (2.12.C.1.0-6) при настройке его как компонента NDMS, и из под opkg. Интересует скорость работы туннеля, загрузка ЦП, поддерживаемые шифры. 

Пытался установить как компонент: но возникла проблема, компонент скачивается, роутер перезагружается, а компонента нету. Пробовал два раза. Я недолго думая, завёл все из opkg. Но заметил, что скорость передачи очень низкая, ~1.5MiB, при почти 70мбитном канале, и высокая загрузка Цп (50-60% во время интенсивного обмена). Подозреваю, что используется программный алгоритм шифрования. ..В правильную сторону думаю?Пробовал менять шифрование BF-CBC и AES-CBC (cipher). Хотя, прочитал, что данный SoC имеет аппаратный кодер AeS(возможно, я не прав? Или он задействуется только для IPSec?)

Что я делаю не так? Если кто откликнется, залью конфиги , сейчас нет возможности загрузить их. Спасибо

[Сергей Молоков]

У меня Keenetic II (2.11.C.1.0-3). Работает на компоненте. Единственное, какой вопрос приходит в голову, вы компонент Клиент PPPoE установили?

[che100]

Приветствую вас, помогите пожалуйста если не сложно, а то мозг уже кипит.

Надо из андрофона сделать прокси-сервер, чтобы раздавать удаленно(через интернет, при помощи тунеля) 3G-интернет на браузер Firefox(пк Windows,соединен lan кабелем с keenetic-ом,т.е.в одной сети).

Поднят OpenVPN сервер на кинетике согласно этой статьи , он имеет белый ip.  На адрофоне установлен прокси сервер, подключаюсь к OpenVPN keetenic-у через 3G, устанавливаеться соединение, пк с виндовым браузером и андрофон  обмениваються пингами,

но сайт  whoer.net/ru  показывает белый ip адрес keenetic-a , а нужно чтобы светился адрес 3G опсоса. Конфиги OpenVPN серевера и андрофона(клиента) прикрепляю.

srv keenetic.txt

client android.txt

[r13]

@Alexander_74 аппаратно только ipsec

[Alexander_74]

1 час назад, r13 сказал:

@Alexander_74 аппаратно только ipsec

значит, высокой загрузки ЦП не избежать при любом сценарии использования OpenVPN? (имеется ввиду с шифрованием).

 

[r13]

1 час назад, Alexander_74 сказал:

значит, высокой загрузки ЦП не избежать при любом сценарии использования OpenVPN? (имеется ввиду с шифрованием).

 

да, ждем поддержки более скоростных алгоритмов в openvpn(chacha20 -poly1305)

Edited September 19, 2018 by r13

[Alexander_74]

21 минуту назад, r13 сказал:

да, ждем поддержки более скоростных алгоритмов в openvpn(chacha20 -poly1305)

Хорошо, спасибо. Хоть какая-то определенность, ведь я не мог понять, толи я накосячил, толи лыжи не едут. Возможно, вы также подскажете, почему загрузка не падает, если сменить AES-256-CBC на BF-CBC? Я предполагал хоть какое-то ускорение, а такое впечатление, что загрузка и скорость вообще от типа шифрования не зависят. Как грузил на 60% с 1.5MiB/s, так и грузит. Может быть, дело не только в шифровании?

[r13]

11 минуту назад, Alexander_74 сказал:

Хорошо, спасибо. Хоть какая-то определенность, ведь я не мог понять, толи я накосячил, толи лыжи не едут. Возможно, вы также подскажете, почему загрузка не падает, если сменить AES-256-CBC на BF-CBC? Я предполагал хоть какое-то ускорение, а такое впечатление, что загрузка и скорость вообще от типа шифрования не зависят. Как грузил на 60% с 1.5MiB/s, так и грузит. Может быть, дело не только в шифровании?

 

[Alexander_74]

36 минут назад, r13 сказал:

 

Чтож, тут нечего добавить, осталось ждать "новую версию openvpn + openssl с chacha20-poly1305, он будет безопасен как AES256/SHA256, но быстрее от 2 до 3 раз."

Спасибо

[Le ecureuil]

Новый OpenSSL 1.1.1 уже в 2.14, а вот когда chacha20-poly1305 добавят в openvpn - ждемс...

[ittiger]

В 06.10.2017 в 00:23, parkan сказал:

Доброго всем. Вопрос небольшой. 
Есть сетка с сервером OpenVPN 192.168.0.x (Pfsense)
Шлюз OpenVPN  10.0.6.1-10.0.6.2, tun
Сетка с клиентом OpenVPN, 192.168.6.x (Keenetic III, 2.11.A.4.0-0)

Как бы всё работает, в обе стороны, пингуется, открывается. Есть одно но: Компы за Кинетиком выходят в сетку с сервером под адресом OpenVPN, т.е. 10.0.6.2. Всё бы ничего, но голос VoIP в сторону Кинетика не проходит. Так было и на версии 2.08 с Entware.

Я уж интерфейс OpenVPN0 сделал private, и "no ip nat OpenVPN0", всё равно...

К этому же серверу подключено куча клиентов, и на dd-wrt, и на Giga II c v2.06(AAFS.7)C2. На них всё нормально, клиенты приходят со своими IP. 
Конфиг клиента: 

  Показать содержимое

remote xxx 1200
port 1200
dev tun
proto udp
nobind
persist-tun
cipher AES-128-CBC
verb 3
comp-lzo
keepalive 15 60
ifconfig 10.0.6.2 10.0.6.1
route 192.168.0.0 255.255.255.0
<secret>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
...
-----END OpenVPN Static key V1-----
</secret>

Это что-то в прошивках после 2.06 поменялось? Возможно ли поправить?

Может кому пригодиться. Была аналогичная проблема: ip.src в соединениях из домашней сети (192.168.12.0/24) подменяется на ip openvpn туннеля (172.16.0.12). 

Решение, как описано в статье https://help.keenetic.com/hc/ru/articles/115000045869:

no ip nat Home
interface PPTP0 security-level private
no isolate-private
ip static Home PPPoE1
system configuration save

Правило ip static появляться в веб-панели в разделе переадресация.

[Вежливый Снайпер]

Роутер режет скорость VPN или конфиг клиента кривой?... или роутер пора менять? ...

Всем привет!

Кинетик 2, драфт 2.14.A.4.0-2

Купил VPS, "настроил" OpenVPN через веб-морду Pritunl (конфиг дефолтный), сгенерированный конфиг скормил роутеру. Роутер подключается, но режет скорость до 1 МБ/с вообще на все, включая и торренты и скачивания по HTTP/S.

Если подключаться к VPN с ноутбука - скорость, как и положено - 100 Мбит/с. Пробовал убирать некоторые опции конфига, на которые роутер выдавал WARNING'и в своих логах, но это не помогло. Возможно, что-то упустил. Не особо понимаю что нужно делать. self-test (с interface OpenVPN1 debug) будет ниже, в скрытом посте. Вот дефолтный конфиг клиента:

Скрытый текст

setenv UV_ID z6dtbz6dtb7f6zstb76zsgvs
setenv UV_NAME y7szgy8z7stgs78tgf87szt
client
dev tun
dev-type tun
remote 2a02:2a02:2a02::2a02:2a02 7007 udp6
remote 185.185.185.185 7007 udp
remote-random
nobind
persist-tun
cipher AES-128-CBC
auth SHA1
verb 2
mute 3
push-peer-info
ping 10
ping-restart 60
hand-window 70
server-poll-timeout 4
reneg-sec 2592000
sndbuf 393216
rcvbuf 393216
max-routes 1000
remote-cert-tls server
comp-lzo no
ignore-unknown-option block-outside-dns
block-outside-dns
key-direction 1
<ca>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</ca>
<tls-auth>
#
# * bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
...
-----END OpenVPN Static key V1-----
</tls-auth>
<cert>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
...
-----END PRIVATE KEY-----
</key>

 

Раньше пользовался именно на самом роутере платным VPN от prostovpn, но там маршруты прописывались только к заблокированным сайтам, по другому не работало, да и не нужно было. Сейчас, если капризному кинетику нужны какие-то изменения на VPN сервере - их можно сделать, хоть и нежелательно.

Не знаю, правильно ли это, но чтобы VPN заработал, пришлось в приоритетах "подвинуть" провайдерское подключение на второе место, VPN на первое. По другому к VPN подключение было, но трафик шел в обход VPN (через провайдера).

И отдельно вопрос по поводу этой строчки в конфиге:

remote 2a02:2a02:2a02::2a02:2a02 7007 udp6

Если на роутере настроен 6to4, трафик ведь через него пойдет? По другому ведь никак по идее. Можно добавить исключение какое-то?

p.s. Айпишники я конечно поменял, не смущайтесь абракадабре.

Буду благодарен за любую помощь.

[Le ecureuil]

В 22.10.2018 в 15:44, Вежливый Снайпер сказал:

Роутер режет скорость VPN или конфиг клиента кривой?... или роутер пора менять? ...

Всем привет!

Кинетик 2, драфт 2.14.A.4.0-2

Купил VPS, "настроил" OpenVPN через веб-морду Pritunl (конфиг дефолтный), сгенерированный конфиг скормил роутеру. Роутер подключается, но режет скорость до 1 МБ/с вообще на все, включая и торренты и скачивания по HTTP/S.

Если подключаться к VPN с ноутбука - скорость, как и положено - 100 Мбит/с. Пробовал убирать некоторые опции конфига, на которые роутер выдавал WARNING'и в своих логах, но это не помогло. Возможно, что-то упустил. Не особо понимаю что нужно делать. self-test (с interface OpenVPN1 debug) будет ниже, в скрытом посте. Вот дефолтный конфиг клиента:

  Показать содержимое

setenv UV_ID z6dtbz6dtb7f6zstb76zsgvs
setenv UV_NAME y7szgy8z7stgs78tgf87szt
client
dev tun
dev-type tun
remote 2a02:2a02:2a02::2a02:2a02 7007 udp6
remote 185.185.185.185 7007 udp
remote-random
nobind
persist-tun
cipher AES-128-CBC
auth SHA1
verb 2
mute 3
push-peer-info
ping 10
ping-restart 60
hand-window 70
server-poll-timeout 4
reneg-sec 2592000
sndbuf 393216
rcvbuf 393216
max-routes 1000
remote-cert-tls server
comp-lzo no
ignore-unknown-option block-outside-dns
block-outside-dns
key-direction 1
<ca>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</ca>
<tls-auth>
#
# * bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
...
-----END OpenVPN Static key V1-----
</tls-auth>
<cert>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
...
-----END PRIVATE KEY-----
</key>

 

Раньше пользовался именно на самом роутере платным VPN от prostovpn, но там маршруты прописывались только к заблокированным сайтам, по другому не работало, да и не нужно было. Сейчас, если капризному кинетику нужны какие-то изменения на VPN сервере - их можно сделать, хоть и нежелательно.

Не знаю, правильно ли это, но чтобы VPN заработал, пришлось в приоритетах "подвинуть" провайдерское подключение на второе место, VPN на первое. По другому к VPN подключение было, но трафик шел в обход VPN (через провайдера).

И отдельно вопрос по поводу этой строчки в конфиге:

remote 2a02:2a02:2a02::2a02:2a02 7007 udp6

Если на роутере настроен 6to4, трафик ведь через него пойдет? По другому ведь никак по идее. Можно добавить исключение какое-то?

p.s. Айпишники я конечно поменял, не смущайтесь абракадабре.

Буду благодарен за любую помощь.

Вообще удалите настройку с ipv6 - такое может заработать, но мы это не гарантируем. Оставьте только udp4.

А вообще давайте поточнее в показаниях - 1 МБ/с это у вас 1 Мбит/с или 1 Мбайт/с?

[Вежливый Снайпер]

22 часа назад, Le ecureuil сказал:

Вообще удалите настройку с ipv6 - такое может заработать, но мы это не гарантируем. Оставьте только udp4.

А вообще давайте поточнее в показаниях - 1 МБ/с это у вас 1 Мбит/с или 1 Мбайт/с? 

Удалил. Дополнительно попробовал подключиться по TCP - скорость так и осталась не выше 1 Мбайт/с.. чаще скорость бегает даже в районе 600-900 КБ/с.

Можно было бы на "древний" роутер грешить, но нагрузка на проц с памятью не превышает даже 50%, и это при активном VPN с торрентами и Entware.

Могу выложить для тестов в скрытом посте ссылку на профиль для подключения к моему VPN. Вдруг проблема не на моей стороне, а в реализации OpenVPN.

[r13]

32 минуты назад, Вежливый Снайпер сказал:

Удалил. Дополнительно попробовал подключиться по TCP - скорость так и осталась не выше 1 Мбайт/с.. чаще скорость бегает даже в районе 600-900 КБ/с.

Можно было бы на "древний" роутер грешить, но нагрузка на проц с памятью не превышает даже 50%, и это при активном VPN с торрентами и Entware.

Могу выложить для тестов в скрытом посте ссылку на профиль для подключения к моему VPN. Вдруг проблема не на моей стороне, а в реализации OpenVPN.

1Мегабайт вполне нормальная скорость для кинетика

На топовых около 2х ?

ЗЫ 50% это считайте в полку(проц 2х поточный)

Edited October 24, 2018 by r13

[Le ecureuil]

1 час назад, Вежливый Снайпер сказал:

Удалил. Дополнительно попробовал подключиться по TCP - скорость так и осталась не выше 1 Мбайт/с.. чаще скорость бегает даже в районе 600-900 КБ/с.

Можно было бы на "древний" роутер грешить, но нагрузка на проц с памятью не превышает даже 50%, и это при активном VPN с торрентами и Entware.

Могу выложить для тестов в скрытом посте ссылку на профиль для подключения к моему VPN. Вдруг проблема не на моей стороне, а в реализации OpenVPN.

Да, 1 Мбайт/с - это вполне нормальная скорость.

[Alezzzander]

Здравствуйте!

Вопрос простой,есть keenetiс Giga III и новый ,прошивка последняя рекомендованная, есть конфиг с двумя remote  серверами. Первый сервер отключаю, впн не переподключается на второй сервер.Какие настройки необходимо добавить в конфиг ниже?

client
tls-client
dev tun
proto udp
remote 1.2.3.4 1196
remote 2.2.3.3 1196
remote-cert-tls server
cipher AES-256-CBC
auth SHA256
resolv-retry infinite
nobind
persist-key
persist-tun
compress lz4-v2
verb 3
auth-nocache
reneg-sec 0
connect-timeout 10

 

Спасибо!

[Сергей Молоков]

9 часов назад, Alezzzander сказал:

Первый сервер отключаю, впн не переподключается на второй сервер.

выше обсуждали это, нет такой возможности.

[Alezzzander]

3 часа назад, Сергей Молоков сказал:

выше обсуждали это, нет такой возможности.

По сути это баг,т.к.на Win,Linux устройствах мультисерверный конфиг работает.Просьба разработчиков пофиксить.

[Le ecureuil]

7 часов назад, Alezzzander сказал:

По сути это баг,т.к.на Win,Linux устройствах мультисерверный конфиг работает.Просьба разработчиков пофиксить.

Да, знаем, но в низком приоритете.

[Legoos]

В 20.09.2018 в 16:41, Le ecureuil сказал:

Новый OpenSSL 1.1.1 уже в 2.14, а вот когда chacha20-poly1305 добавят в openvpn - ждемс...

Уже добавили. Энтузиасты ставят эксперименты: https://4pda.ru/forum/index.php?s=&amp;showtopic=714487&amp;view=findpost&amp;p=79682591 и https://4pda.ru/forum/index.php?s=&amp;showtopic=714487&amp;view=findpost&amp;p=79817926

[Le ecureuil]

2 часа назад, Legoos сказал:

Уже добавили. Энтузиасты ставят эксперименты: https://4pda.ru/forum/index.php?s=&amp;showtopic=714487&amp;view=findpost&amp;p=79682591 и https://4pda.ru/forum/index.php?s=&amp;showtopic=714487&amp;view=findpost&amp;p=79817926

Как только выйдет релиз с этим - сразу появится в draft.

[Дмитрий Воронцов]

Почему не хочет работать конфиг от antizapret?

Вроде бы всё правильно,но соединение не устанавливается)))

##############################################
# ProstoVPN.AntiZapret                       #
# http://antizapret.prostovpn.org #
##############################################

nobind
client

# Remote server here
remote vpn.antizapret.prostovpn.org

# Uncomment this is you are not on Windows
;fast-io

# Windows route method
;route-method exe

remote-cert-tls server

dev tun
proto udp

resolv-retry infinite
persist-key
persist-tun

explicit-exit-notify

comp-lzo
max-routes 30000

# Keys
<ca>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</ca>

<cert>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN PRIVATE KEY-----
...
-----END PRIVATE KEY-----
</key>

 

[AndreBA]

19 часов назад, Дмитрий Воронцов сказал:

Почему не хочет работать конфиг от antizapret?

Вроде бы всё правильно,но соединение не устанавливается)))

##############################################
# ProstoVPN.AntiZapret                       #
# http://antizapret.prostovpn.org #
##############################################

nobind
client

# Remote server here
remote vpn.antizapret.prostovpn.org

# Uncomment this is you are not on Windows
;fast-io

# Windows route method
;route-method exe

remote-cert-tls server

dev tun
proto udp

resolv-retry infinite
persist-key
persist-tun

explicit-exit-notify

comp-lzo
max-routes 30000

# Keys
<ca>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</ca>

<cert>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN PRIVATE KEY-----
...
-----END PRIVATE KEY-----
</key>

 

Здесь почитайте(обсуждение), может поможет:

Цитата

 

 

[Вежливый Снайпер]

23 часа назад, Дмитрий Воронцов сказал:

Почему не хочет работать конфиг от antizapret?

Вроде бы всё правильно,но соединение не устанавливается)))

 

Ну не хотят в кинетиках нормальную реализацию OpenVPN делать, да и смысл при скорости 30 Мбит/с максимум на топ моделях...

[Дмитрий Воронцов]

С AntiZapret  не работет это уже понятно)))

Вообще существует реально рабочий способ на этом роутере(без юсби)настроить обход блокировок....

Понятно,что с впн настроить можно,но хочется,что бы только заблокированные ресурсы через него открывались,а остальное напрямую ходило))

[Кинетиковод]

31 минуту назад, Дмитрий Воронцов сказал:

С AntiZapret  не работет это уже понятно)))

Работает. Вам даже ссылку на инструкцию дали.

[Вежливый Снайпер]

38 минут назад, Дмитрий Воронцов сказал:

С AntiZapret  не работет это уже понятно)))

Вообще существует реально рабочий способ на этом роутере(без юсби)настроить обход блокировок....

Понятно,что с впн настроить можно,но хочется,что бы только заблокированные ресурсы через него открывались,а остальное напрямую ходило))

Без проблем, но придется в ручную настраивать маршруты. Либо через конфиг файл, например:

Цитата

route-nopull

route 8.8.8.8 255.255.255.255

либо напрямую, в интерфейсе роутера Сетевые правила > Маршрутизация с выбором интерфейса.

Собственно только так у меня antizapret и работал. Потом купил VPS за 4 еврика и сам все настроил. Без роутера, ибо не помощник он при канале 100 Мбит/с до VPN.

Edited December 9, 2018 by Вежливый Снайпер