ittiger Posted September 28, 2018 Share Posted September 28, 2018 В 06.10.2017 в 00:23, parkan сказал: Доброго всем. Вопрос небольшой. Есть сетка с сервером OpenVPN 192.168.0.x (Pfsense) Шлюз OpenVPN 10.0.6.1-10.0.6.2, tun Сетка с клиентом OpenVPN, 192.168.6.x (Keenetic III, 2.11.A.4.0-0) Как бы всё работает, в обе стороны, пингуется, открывается. Есть одно но: Компы за Кинетиком выходят в сетку с сервером под адресом OpenVPN, т.е. 10.0.6.2. Всё бы ничего, но голос VoIP в сторону Кинетика не проходит. Так было и на версии 2.08 с Entware. Я уж интерфейс OpenVPN0 сделал private, и "no ip nat OpenVPN0", всё равно... К этому же серверу подключено куча клиентов, и на dd-wrt, и на Giga II c v2.06(AAFS.7)C2. На них всё нормально, клиенты приходят со своими IP. Конфиг клиента: Показать содержимое remote xxx 1200 port 1200 dev tun proto udp nobind persist-tun cipher AES-128-CBC verb 3 comp-lzo keepalive 15 60 ifconfig 10.0.6.2 10.0.6.1 route 192.168.0.0 255.255.255.0 <secret> # # 2048 bit OpenVPN static key # -----BEGIN OpenVPN Static key V1----- ... -----END OpenVPN Static key V1----- </secret> Это что-то в прошивках после 2.06 поменялось? Возможно ли поправить? Может кому пригодиться. Была аналогичная проблема: ip.src в соединениях из домашней сети (192.168.12.0/24) подменяется на ip openvpn туннеля (172.16.0.12). Решение, как описано в статье https://help.keenetic.com/hc/ru/articles/115000045869: no ip nat Home interface PPTP0 security-level private no isolate-private ip static Home PPPoE1 system configuration save Правило ip static появляться в веб-панели в разделе переадресация. Quote Link to comment Share on other sites More sharing options...
Вежливый Снайпер Posted October 22, 2018 Share Posted October 22, 2018 Роутер режет скорость VPN или конфиг клиента кривой?... или роутер пора менять? ... Всем привет! Кинетик 2, драфт 2.14.A.4.0-2 Купил VPS, "настроил" OpenVPN через веб-морду Pritunl (конфиг дефолтный), сгенерированный конфиг скормил роутеру. Роутер подключается, но режет скорость до 1 МБ/с вообще на все, включая и торренты и скачивания по HTTP/S. Если подключаться к VPN с ноутбука - скорость, как и положено - 100 Мбит/с. Пробовал убирать некоторые опции конфига, на которые роутер выдавал WARNING'и в своих логах, но это не помогло. Возможно, что-то упустил. Не особо понимаю что нужно делать. self-test (с interface OpenVPN1 debug) будет ниже, в скрытом посте. Вот дефолтный конфиг клиента: Скрытый текст setenv UV_ID z6dtbz6dtb7f6zstb76zsgvs setenv UV_NAME y7szgy8z7stgs78tgf87szt client dev tun dev-type tun remote 2a02:2a02:2a02::2a02:2a02 7007 udp6 remote 185.185.185.185 7007 udp remote-random nobind persist-tun cipher AES-128-CBC auth SHA1 verb 2 mute 3 push-peer-info ping 10 ping-restart 60 hand-window 70 server-poll-timeout 4 reneg-sec 2592000 sndbuf 393216 rcvbuf 393216 max-routes 1000 remote-cert-tls server comp-lzo no ignore-unknown-option block-outside-dns block-outside-dns key-direction 1 <ca> -----BEGIN CERTIFICATE----- ... -----END CERTIFICATE----- </ca> <tls-auth> # # * bit OpenVPN static key # -----BEGIN OpenVPN Static key V1----- ... -----END OpenVPN Static key V1----- </tls-auth> <cert> -----BEGIN CERTIFICATE----- ... -----END CERTIFICATE----- </cert> <key> -----BEGIN PRIVATE KEY----- ... -----END PRIVATE KEY----- </key> Раньше пользовался именно на самом роутере платным VPN от prostovpn, но там маршруты прописывались только к заблокированным сайтам, по другому не работало, да и не нужно было. Сейчас, если капризному кинетику нужны какие-то изменения на VPN сервере - их можно сделать, хоть и нежелательно. Не знаю, правильно ли это, но чтобы VPN заработал, пришлось в приоритетах "подвинуть" провайдерское подключение на второе место, VPN на первое. По другому к VPN подключение было, но трафик шел в обход VPN (через провайдера). И отдельно вопрос по поводу этой строчки в конфиге: remote 2a02:2a02:2a02::2a02:2a02 7007 udp6 Если на роутере настроен 6to4, трафик ведь через него пойдет? По другому ведь никак по идее. Можно добавить исключение какое-то? p.s. Айпишники я конечно поменял, не смущайтесь абракадабре. Буду благодарен за любую помощь. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted October 23, 2018 Share Posted October 23, 2018 В 22.10.2018 в 15:44, Вежливый Снайпер сказал: Роутер режет скорость VPN или конфиг клиента кривой?... или роутер пора менять? ... Всем привет! Кинетик 2, драфт 2.14.A.4.0-2 Купил VPS, "настроил" OpenVPN через веб-морду Pritunl (конфиг дефолтный), сгенерированный конфиг скормил роутеру. Роутер подключается, но режет скорость до 1 МБ/с вообще на все, включая и торренты и скачивания по HTTP/S. Если подключаться к VPN с ноутбука - скорость, как и положено - 100 Мбит/с. Пробовал убирать некоторые опции конфига, на которые роутер выдавал WARNING'и в своих логах, но это не помогло. Возможно, что-то упустил. Не особо понимаю что нужно делать. self-test (с interface OpenVPN1 debug) будет ниже, в скрытом посте. Вот дефолтный конфиг клиента: Показать содержимое setenv UV_ID z6dtbz6dtb7f6zstb76zsgvs setenv UV_NAME y7szgy8z7stgs78tgf87szt client dev tun dev-type tun remote 2a02:2a02:2a02::2a02:2a02 7007 udp6 remote 185.185.185.185 7007 udp remote-random nobind persist-tun cipher AES-128-CBC auth SHA1 verb 2 mute 3 push-peer-info ping 10 ping-restart 60 hand-window 70 server-poll-timeout 4 reneg-sec 2592000 sndbuf 393216 rcvbuf 393216 max-routes 1000 remote-cert-tls server comp-lzo no ignore-unknown-option block-outside-dns block-outside-dns key-direction 1 <ca> -----BEGIN CERTIFICATE----- ... -----END CERTIFICATE----- </ca> <tls-auth> # # * bit OpenVPN static key # -----BEGIN OpenVPN Static key V1----- ... -----END OpenVPN Static key V1----- </tls-auth> <cert> -----BEGIN CERTIFICATE----- ... -----END CERTIFICATE----- </cert> <key> -----BEGIN PRIVATE KEY----- ... -----END PRIVATE KEY----- </key> Раньше пользовался именно на самом роутере платным VPN от prostovpn, но там маршруты прописывались только к заблокированным сайтам, по другому не работало, да и не нужно было. Сейчас, если капризному кинетику нужны какие-то изменения на VPN сервере - их можно сделать, хоть и нежелательно. Не знаю, правильно ли это, но чтобы VPN заработал, пришлось в приоритетах "подвинуть" провайдерское подключение на второе место, VPN на первое. По другому к VPN подключение было, но трафик шел в обход VPN (через провайдера). И отдельно вопрос по поводу этой строчки в конфиге: remote 2a02:2a02:2a02::2a02:2a02 7007 udp6 Если на роутере настроен 6to4, трафик ведь через него пойдет? По другому ведь никак по идее. Можно добавить исключение какое-то? p.s. Айпишники я конечно поменял, не смущайтесь абракадабре. Буду благодарен за любую помощь. Вообще удалите настройку с ipv6 - такое может заработать, но мы это не гарантируем. Оставьте только udp4. А вообще давайте поточнее в показаниях - 1 МБ/с это у вас 1 Мбит/с или 1 Мбайт/с? Quote Link to comment Share on other sites More sharing options...
Вежливый Снайпер Posted October 24, 2018 Share Posted October 24, 2018 22 часа назад, Le ecureuil сказал: Вообще удалите настройку с ipv6 - такое может заработать, но мы это не гарантируем. Оставьте только udp4. А вообще давайте поточнее в показаниях - 1 МБ/с это у вас 1 Мбит/с или 1 Мбайт/с? Удалил. Дополнительно попробовал подключиться по TCP - скорость так и осталась не выше 1 Мбайт/с.. чаще скорость бегает даже в районе 600-900 КБ/с. Можно было бы на "древний" роутер грешить, но нагрузка на проц с памятью не превышает даже 50%, и это при активном VPN с торрентами и Entware. Могу выложить для тестов в скрытом посте ссылку на профиль для подключения к моему VPN. Вдруг проблема не на моей стороне, а в реализации OpenVPN. Quote Link to comment Share on other sites More sharing options...
r13 Posted October 24, 2018 Share Posted October 24, 2018 (edited) 32 минуты назад, Вежливый Снайпер сказал: Удалил. Дополнительно попробовал подключиться по TCP - скорость так и осталась не выше 1 Мбайт/с.. чаще скорость бегает даже в районе 600-900 КБ/с. Можно было бы на "древний" роутер грешить, но нагрузка на проц с памятью не превышает даже 50%, и это при активном VPN с торрентами и Entware. Могу выложить для тестов в скрытом посте ссылку на профиль для подключения к моему VPN. Вдруг проблема не на моей стороне, а в реализации OpenVPN. 1Мегабайт вполне нормальная скорость для кинетика На топовых около 2х ? ЗЫ 50% это считайте в полку(проц 2х поточный) Edited October 24, 2018 by r13 1 Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted October 24, 2018 Share Posted October 24, 2018 1 час назад, Вежливый Снайпер сказал: Удалил. Дополнительно попробовал подключиться по TCP - скорость так и осталась не выше 1 Мбайт/с.. чаще скорость бегает даже в районе 600-900 КБ/с. Можно было бы на "древний" роутер грешить, но нагрузка на проц с памятью не превышает даже 50%, и это при активном VPN с торрентами и Entware. Могу выложить для тестов в скрытом посте ссылку на профиль для подключения к моему VPN. Вдруг проблема не на моей стороне, а в реализации OpenVPN. Да, 1 Мбайт/с - это вполне нормальная скорость. 1 Quote Link to comment Share on other sites More sharing options...
Alezzzander Posted November 22, 2018 Share Posted November 22, 2018 Здравствуйте! Вопрос простой,есть keenetiс Giga III и новый ,прошивка последняя рекомендованная, есть конфиг с двумя remote серверами. Первый сервер отключаю, впн не переподключается на второй сервер.Какие настройки необходимо добавить в конфиг ниже? client tls-client dev tun proto udp remote 1.2.3.4 1196 remote 2.2.3.3 1196 remote-cert-tls server cipher AES-256-CBC auth SHA256 resolv-retry infinite nobind persist-key persist-tun compress lz4-v2 verb 3 auth-nocache reneg-sec 0 connect-timeout 10 Спасибо! Quote Link to comment Share on other sites More sharing options...
Сергей Молоков Posted November 23, 2018 Share Posted November 23, 2018 9 часов назад, Alezzzander сказал: Первый сервер отключаю, впн не переподключается на второй сервер. выше обсуждали это, нет такой возможности. Quote Link to comment Share on other sites More sharing options...
Alezzzander Posted November 23, 2018 Share Posted November 23, 2018 3 часа назад, Сергей Молоков сказал: выше обсуждали это, нет такой возможности. По сути это баг,т.к.на Win,Linux устройствах мультисерверный конфиг работает.Просьба разработчиков пофиксить. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted November 23, 2018 Share Posted November 23, 2018 7 часов назад, Alezzzander сказал: По сути это баг,т.к.на Win,Linux устройствах мультисерверный конфиг работает.Просьба разработчиков пофиксить. Да, знаем, но в низком приоритете. Quote Link to comment Share on other sites More sharing options...
Legoos Posted December 6, 2018 Share Posted December 6, 2018 В 20.09.2018 в 16:41, Le ecureuil сказал: Новый OpenSSL 1.1.1 уже в 2.14, а вот когда chacha20-poly1305 добавят в openvpn - ждемс... Уже добавили. Энтузиасты ставят эксперименты: https://4pda.ru/forum/index.php?s=&showtopic=714487&view=findpost&p=79682591 и https://4pda.ru/forum/index.php?s=&showtopic=714487&view=findpost&p=79817926 Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted December 6, 2018 Share Posted December 6, 2018 2 часа назад, Legoos сказал: Уже добавили. Энтузиасты ставят эксперименты: https://4pda.ru/forum/index.php?s=&showtopic=714487&view=findpost&p=79682591 и https://4pda.ru/forum/index.php?s=&showtopic=714487&view=findpost&p=79817926 Как только выйдет релиз с этим - сразу появится в draft. Quote Link to comment Share on other sites More sharing options...
AndreBA Posted December 9, 2018 Share Posted December 9, 2018 19 часов назад, Дмитрий Воронцов сказал: Почему не хочет работать конфиг от antizapret? Вроде бы всё правильно,но соединение не устанавливается))) ############################################## # ProstoVPN.AntiZapret # # http://antizapret.prostovpn.org # ############################################## nobind client # Remote server here remote vpn.antizapret.prostovpn.org # Uncomment this is you are not on Windows ;fast-io # Windows route method ;route-method exe remote-cert-tls server dev tun proto udp resolv-retry infinite persist-key persist-tun explicit-exit-notify comp-lzo max-routes 30000 # Keys <ca> -----BEGIN CERTIFICATE----- ... -----END CERTIFICATE----- </ca> <cert> -----BEGIN CERTIFICATE----- ... -----END CERTIFICATE----- </cert> <key> -----BEGIN PRIVATE KEY----- ... -----END PRIVATE KEY----- </key> Здесь почитайте(обсуждение), может поможет: Цитата Quote Link to comment Share on other sites More sharing options...
Вежливый Снайпер Posted December 9, 2018 Share Posted December 9, 2018 23 часа назад, Дмитрий Воронцов сказал: Почему не хочет работать конфиг от antizapret? Вроде бы всё правильно,но соединение не устанавливается))) Ну не хотят в кинетиках нормальную реализацию OpenVPN делать, да и смысл при скорости 30 Мбит/с максимум на топ моделях... Quote Link to comment Share on other sites More sharing options...
Дмитрий Воронцов Posted December 9, 2018 Share Posted December 9, 2018 (edited) дайте пожалуйста рабочий конфиг для антизапрета уже с ключами......пробовал по инструкции соединение устанавливается но сайты не открывает....может я с конфигом,что напортачил)))) Edited December 9, 2018 by Дмитрий Воронцов Quote Link to comment Share on other sites More sharing options...
matterai Posted December 22, 2018 Share Posted December 22, 2018 Господа, добрый вечер! Настраиваю OpenVPN клиент на своём Keenetic Extra. Что-то голову сломал - не могу понять в чём дело. Стоит свой Ubuntu 16.04 со сконфигурированный OpenVPN сервером, телефон и ноут цепляются без вопросов через OpenVPN приложения, а вот роутер ведёт себя странно. Подскажите пожалуйста, в чем может быть проблема. Забавно то, что соединение как будто происходит, в UI написано, что соединение установлено, написан по идее внутренний адрес роутера, но на деле ping этого адреса с машины-сервера 100% packet loss: Вот конфигурация клиента: client dev tun proto tcp remote 168.63.78.151 443 resolv-retry infinite nobind persist-key persist-tun remote-cert-tls server comp-lzo verb 3 cipher AES-128-CBC auth SHA256 key-direction 1 <tls-auth> </tls-auth> <ca> </ca> <cert> -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- </cert> <key> -----BEGIN PRIVATE KEY----- -----END PRIVATE KEY----- </key> Вот лог с роутера: Dec 22 23:07:56 OpenVPN0 OpenVPN 2.4.6 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD] Dec 22 23:07:56 OpenVPN0 library versions: OpenSSL 1.1.1a 20 Nov 2018, LZO 2.10 Dec 22 23:07:56 OpenVPN0 Outgoing Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication Dec 22 23:07:56 OpenVPN0 Incoming Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication Dec 22 23:07:56 OpenVPN0 Socket Buffers: R=[87380->87380] S=[16384->16384] Dec 22 23:07:56 OpenVPN0 Attempting to establish TCP connection with [AF_INET]168.63.78.151:443 [nonblock] Dec 22 23:07:57 OpenVPN0 TCP connection established with [AF_INET]168.63.78.151:443 Dec 22 23:07:57 OpenVPN0 TCP_CLIENT link local: (not bound) Dec 22 23:07:57 OpenVPN0 TCP_CLIENT link remote: [AF_INET]168.63.78.151:443 Dec 22 23:07:57 OpenVPN0 NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay Dec 22 23:07:57 OpenVPN0 TLS: Initial packet from [AF_INET]168.63.78.151:443, sid=75da2256 3936274e Dec 22 23:07:58 OpenVPN0 VERIFY SCRIPT OK: depth=1, C=UK, ST=UK, L=London, O=m, OU=m, CN=m CA, name=server, emailAddress=m@m.com Dec 22 23:07:58 OpenVPN0 VERIFY OK: depth=1, C=UK, ST=UK, L=London, O=m, OU=m, CN=m CA, name=server, emailAddress=m@m.com Dec 22 23:07:58 OpenVPN0 VERIFY KU OK Dec 22 23:07:58 OpenVPN0 Validating certificate extended key usage Dec 22 23:07:58 OpenVPN0 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication Dec 22 23:07:58 OpenVPN0 VERIFY EKU OK Dec 22 23:07:58 OpenVPN0 VERIFY SCRIPT OK: depth=0, C=UK, ST=UK, L=London, O=m, OU=m, CN=m, name=server, emailAddress=m@m.com Dec 22 23:07:58 OpenVPN0 VERIFY OK: depth=0, C=UK, ST=UK, L=London, O=m, OU=m, CN=m, name=server, emailAddress=m@m.com Dec 22 23:07:59 OpenVPN0 Control Channel: TLSv1.2, cipher TLSv1.2 DHE-RSA-AES256-GCM-SHA384, 2048 bit RSA Dec 22 23:07:59 OpenVPN0 [matteraiserver] Peer Connection Initiated with [AF_INET]168.63.78.151:443 Dec 22 23:07:59 ndm Network::Interface::OpenVpn: "OpenVPN0": connecting via ISP (FastEthernet0/Vlan2). Dec 22 23:07:59 ndm Network::Interface::OpenVpn: "OpenVPN0": added host route to remote endpoint 168.63.78.151 via 188.243.88.1. Dec 22 23:08:00 OpenVPN0 SENT CONTROL [matteraiserver]: 'PUSH_REQUEST' (status=1) Dec 22 23:08:00 OpenVPN0 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 208.67.222.222,dhcp-option DNS 208.67.220.220,route 10.8.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.14 10.8.0.13' Dec 22 23:08:00 OpenVPN0 OPTIONS IMPORT: timers and/or timeouts modified Dec 22 23:08:00 OpenVPN0 OPTIONS IMPORT: --ifconfig/up options modified Dec 22 23:08:00 OpenVPN0 OPTIONS IMPORT: route options modified Dec 22 23:08:00 OpenVPN0 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified Dec 22 23:08:00 OpenVPN0 Outgoing Data Channel: Cipher 'AES-128-CBC' initialized with 128 bit key Dec 22 23:08:00 OpenVPN0 Outgoing Data Channel: Using 256 bit message hash 'SHA256' for HMAC authentication Dec 22 23:08:00 OpenVPN0 Incoming Data Channel: Cipher 'AES-128-CBC' initialized with 128 bit key Dec 22 23:08:00 OpenVPN0 Incoming Data Channel: Using 256 bit message hash 'SHA256' for HMAC authentication Dec 22 23:08:00 OpenVPN0 TUN/TAP device tun0 opened Dec 22 23:08:00 OpenVPN0 TUN/TAP TX queue length set to 100 Dec 22 23:08:00 OpenVPN0 do_ifconfig, tt->did_ifconfig_ipv6_setup=0 Dec 22 23:08:00 ndm Network::Interface::IP: "OpenVPN0": IP address is 10.8.0.14/32. Dec 22 23:08:00 ndm Network::Interface::OpenVpn: "OpenVPN0": TUN peer address is 10.8.0.13. Dec 22 23:08:00 ndm Network::Interface::OpenVpn: "OpenVPN0": added host route to peer 10.8.0.13 via 10.8.0.14. Dec 22 23:08:00 ndm Network::Interface::OpenVpn: "OpenVPN0": install accepted default route via 10.8.0.14. Dec 22 23:08:00 ndm Network::Interface::OpenVpn: "OpenVPN0": install accepted route to 10.8.0.1/255.255.255.255 via 10.8.0.14. Dec 22 23:08:01 ndm Network::Interface::OpenVpn: "OpenVPN0": adding nameserver 208.67.222.222. Dec 22 23:08:01 ndm Dns::Manager: name server 208.67.222.222 added, domain (default). Dec 22 23:08:01 ndm Network::RoutingTable: gateway 10.8.0.13 is unreachable via OpenVPN0. Dec 22 23:08:01 ndm Network::Interface::OpenVpn: "OpenVPN0": failed to add a nameserver route. Dec 22 23:08:01 ndm Network::Interface::OpenVpn: "OpenVPN0": adding nameserver 208.67.220.220. Dec 22 23:08:01 ndm Dns::Manager: name server 208.67.220.220 added, domain (default). Dec 22 23:08:01 ndm Network::RoutingTable: gateway 10.8.0.13 is unreachable via OpenVPN0. Dec 22 23:08:01 ndm Network::Interface::OpenVpn: "OpenVPN0": failed to add a nameserver route. Dec 22 23:08:01 OpenVPN0 GID set to nobody Dec 22 23:08:01 OpenVPN0 UID set to nobody Dec 22 23:08:01 OpenVPN0 Initialization Sequence Completed А, и еще. Забавно то, что сервис Whatismyip выдаёт правильный IP, как будто бы я подключен! Но при этом в linkedin не зайти, например. А на телефоне и ноутбуке порядок. Буду вам очень благодарен за терпение, даже если вопрос был. Я прочитал бОльшую часть темы, и честно говоря не нашел ответа, хотя попробовал разные предлагаемые решения. Quote Link to comment Share on other sites More sharing options...
zyxmon Posted December 22, 2018 Share Posted December 22, 2018 @matterai обратите внимание на строки лога, где options modified некоторые опции конфига и те, которые идут через push/pull могут игнорироваться. Нужно настраивать такое иначе. Вот мои рабочие конфиги сервера и клиента port 2195 proto udp dev tun sndbuf 0 rcvbuf 0 ca ca.crt cert server.crt key server.key dh dh.pem topology subnet server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 4.2.2.2" push "dhcp-option DNS 8.8.8.8" keepalive 10 120 comp-lzo persist-key persist-tun status openvpn-status.log verb 3 crl-verify crl.pem и client dev tun proto udp sndbuf 0 rcvbuf 0 remote xx.xx.xx.xx 2195 resolv-retry infinite nobind persist-key persist-tun remote-cert-tls server comp-lzo verb 3 <ca> -----BEGIN CERTIFICATE----- .... Quote Link to comment Share on other sites More sharing options...
matterai Posted December 22, 2018 Share Posted December 22, 2018 (edited) Клиентские настройки у нас более менее одинаковые, за исключением наличия в ваших следующих строк, касающихся буфера: sndbuf 0 rcvbuf 0 Из options modified у меня 4 потенциально изменяемых параметра, насколько я могу судить: Dec 22 23:08:00 OpenVPN0 OPTIONS IMPORT: timers and/or timeouts modified Dec 22 23:08:00 OpenVPN0 OPTIONS IMPORT: --ifconfig/up options modified Dec 22 23:08:00 OpenVPN0 OPTIONS IMPORT: route options modified Dec 22 23:08:00 OpenVPN0 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified Черт с ним с timers/timeouts. Но что значит --ifconfig/up options modified? И почему вдруг (и где) изменился route? Про 4-ый параметр вообще молчу, не очень понимаю вообще о чём в нём речь. Возможно, меня не очень вразумил ваш ответ, прошу прощения, не могли бы вы чуть конкретнее разъяснить в чем проблемы изменяющихся опций, или подсказать какой-то мануал/гайд, где бы это как-то было освещено? Спасибо. UPD Надо было на строчку выше взглянуть: из push_reply от сервера импортируются опции и изменяются на клиенте, поэтому и modified. Выглядит весьма логично. В чём подвох?.. Почему я далее по логам получаю: gateway 10.8.0.13 is unreachable via OpenVPN0. Edited December 22, 2018 by matterai Дополнение к посту. Quote Link to comment Share on other sites More sharing options...
zyxmon Posted December 22, 2018 Share Posted December 22, 2018 51 минуту назад, matterai сказал: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 208.67.222.222,dhcp-option DNS 208.67.220.220,route 10.8.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.14 10.8.0.13' Сюда смотрите - Вы пушите опцию, и она, похоже не срабатывает. Это в настройках сервера. Все это мои предположения. У меня заработало фактически из коробки. Одну строку конфига клиента пришлось выбросить. Quote Link to comment Share on other sites More sharing options...
zyxmon Posted December 22, 2018 Share Posted December 22, 2018 А может быть ошибка и не попала в лог, ниже смотрите.... Quote Link to comment Share on other sites More sharing options...
matterai Posted December 22, 2018 Share Posted December 22, 2018 Я проверял - это все логи, что доступны после отключения и включения VPN. Пока не вижу проблемы, к сожалению. PUSH_REPLY пришёл, опции изменились, порядок. Меня больше вот эти строки смущают, потому что я пока не очень понимаю что происходит на этом этапе: Dec 22 23:08:00 ndm Network::Interface::IP: "OpenVPN0": IP address is 10.8.0.14/32. Dec 22 23:08:00 ndm Network::Interface::OpenVpn: "OpenVPN0": TUN peer address is 10.8.0.13. Dec 22 23:08:00 ndm Network::Interface::OpenVpn: "OpenVPN0": added host route to peer 10.8.0.13 via 10.8.0.14. Правильно ли я понимаю, что мне назначен IP: 10.8.0.14? И если да, то что происходит дальше? К слову, если пинговать с сервера, то ни 10.8.0.13, ни 10.8.0.14 недоступны. Гадость какая-то =( Quote Link to comment Share on other sites More sharing options...
zyxmon Posted December 22, 2018 Share Posted December 22, 2018 3 минуты назад, matterai сказал: Гадость какая-то =( Я предпочитаю topology=subnet. Все прозрачно тогда и понятно. Попробуйте перезагрузить роутер, ну и другие пляски с бубном. В начале темы описано, что пересохранение конфига клиента (без изменений) решило подобную проблему. Quote Link to comment Share on other sites More sharing options...
matterai Posted December 22, 2018 Share Posted December 22, 2018 Хорошо, спасибо больше за уделенное время и то, что подкинули идеи, куда глядеть. Пойду колдовать над этим чудом дальше. Отпишусь попозже, если что-нибудь придумаю. Quote Link to comment Share on other sites More sharing options...
matterai Posted December 22, 2018 Share Posted December 22, 2018 (edited) В продолжении своего вопроса. Достал со стороны сервера openvpn.log, и вот что нашел: Sat Dec 22 22:05:31 2018 us=992261 home-network/xxx.xxx.xx.xx:50164 SENT CONTROL [home-network]: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 208.67.222.222,dhcp-option DNS 208.67.220.220,route 10.8.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.14 10.8.0.13' (status=1) Sat Dec 22 22:05:32 2018 us=837164 home-network/xxx.xxx.xx.xx:50164 MULTI: bad source address from client [xxx.xxx.xx.xx], packet dropped где xxx.xxx.xx.xx - это IP моего компьютера, очевидно. Согласно этой и этой ссылкам, сделал необходимые изменения в конфигурационном файле на сервере: client-config-dir ccd route 192.168.1.0 255.255.255.0 Перезапустил OpenVPN сервер, перезапустил роутер - ничего не изменилось. Разве что строчка 50164 MULTI: bad source address from client [xxx.xxx.xx.xx], packet dropped ушла из логов. Может ли быть такое, что OpenVPN по указанному IP xxx.xxx.xx.xx найти не может мою машину? Может ему белый IP нужен? Тогда почему телефон и бук напрямую через VPN приложения могут подключиться без проблем? Edited December 22, 2018 by matterai Quote Link to comment Share on other sites More sharing options...
Сергей Молоков Posted December 23, 2018 Share Posted December 23, 2018 Доброго времени! Я особо не вчитывался и не вникал в логи, просто промелькнула шальная мысль, попробуйте в межсетевом экране, на интерфейсе OVPN разрешить ICMP. Quote Link to comment Share on other sites More sharing options...
zyxmon Posted December 23, 2018 Share Posted December 23, 2018 @matterai 1. Включите verb=5 (через DebugLog - есть в теме) и посмотрите подробный лог со стороны клиента. или 2. попробуйте завести openvpn через Entware с тем же конфигом клиента. Почти наверняка заработает. У меня на одном из кинетиков крутится openvpn из Entware. Правда в качестве сервера. Тема по настройке клиента у меня на форуме. Quote Link to comment Share on other sites More sharing options...
alxbz Posted March 9, 2019 Share Posted March 9, 2019 (edited) А есть ли возможность сделать так, чтобы dns-proxy использовал dhcp dns только до подключения, а после подключения openvpn клиента и получения push dhcp-option dns (ну, или при указании в клиентском openvpn конфиге dhcp-option DNS) кинетик использовал только DNS, полученный от сервера (или явно указанный в конфиге)? Сейчас удалось добиться более-менее удобного поведения только полностью отключив dhcp-dns на основном интерфейсе. Если этого не сделать, даже не смотря на то, что vpn dns висит выше в списке show ip name-server, dns реквесты всё равно утекают в сервер, полученный по dhcp, видимо потому что он отвечает быстрее. Однако это приводит к тому, что до подключения vpn dns не работает, и я не могу, например, указать в конфиге openvpn адрес сервера по доменному имени. Спасибо. Edited March 9, 2019 by alxbz Уточнил случай при указании dhcp-option в клиентском конфиге Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted March 26, 2019 Share Posted March 26, 2019 В 09.03.2019 в 21:11, alxbz сказал: А есть ли возможность сделать так, чтобы dns-proxy использовал dhcp dns только до подключения, а после подключения openvpn клиента и получения push dhcp-option dns (ну, или при указании в клиентском openvpn конфиге dhcp-option DNS) кинетик использовал только DNS, полученный от сервера (или явно указанный в конфиге)? Сейчас удалось добиться более-менее удобного поведения только полностью отключив dhcp-dns на основном интерфейсе. Если этого не сделать, даже не смотря на то, что vpn dns висит выше в списке show ip name-server, dns реквесты всё равно утекают в сервер, полученный по dhcp, видимо потому что он отвечает быстрее. Однако это приводит к тому, что до подключения vpn dns не работает, и я не могу, например, указать в конфиге openvpn адрес сервера по доменному имени. Спасибо. Окольным путем это возможно: - создаете профиль доступа, где есть только openvpn как wan, а остальных нет - туда добавляете нужные устройства В профилях доступа используются только dns, полученные от интерфейсов в этом профиле. 3 Quote Link to comment Share on other sites More sharing options...
T3ch Cat Posted April 14, 2019 Share Posted April 14, 2019 Добрый день После обновления с 2.15.C.3.0-(0?) до 2.15.C.3.0-2 - перестал работать openvpn [I] Apr 14 11:15:23 OpenVPN1: OpenVPN 2.4.6 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD] [I] Apr 14 11:15:23 OpenVPN1: library versions: OpenSSL 1.1.1b 26 Feb 2019, LZO 2.10 [I] Apr 14 11:15:23 OpenVPN1: Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication [I] Apr 14 11:15:23 OpenVPN1: Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication [I] Apr 14 11:15:23 OpenVPN1: Socket Buffers: R=[155648->155648] S=[155648->155648] [I] Apr 14 11:15:23 OpenVPN1: UDP link local: (not bound) [I] Apr 14 11:15:23 OpenVPN1: UDP link remote: [AF_INET]X.X.X.X:4911 [I] Apr 14 11:15:23 OpenVPN1: NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay [E] Apr 14 11:15:23 OpenVPN1: write UDP: Network is unreachable (code=128) [I] Apr 14 11:15:23 OpenVPN1: Network unreachable, restarting [I] Apr 14 11:15:23 OpenVPN1: SIGTERM[soft,network-unreachable] received, process exiting [E] Apr 14 11:15:23 ndm: Service: "OpenVPN1": unexpectedly stopped. При этом другие устройства (и лэптоп, и телефоны) успешно коннектятся как и раньше. Quote Link to comment Share on other sites More sharing options...
yuoras Posted May 5, 2019 Share Posted May 5, 2019 Ребята, такая ситуация. Есть проводное интернет соединиение , резерв настрен на usb 4G. Все прекрасно работает, пропадает основной проводной интернет, мгновенно переключается на 4G. Суть вопроса, когда основной канал интернет работает, могу поднять openvpn соединение, а вот на резервном 4G нивкакую неподнимается. Думал, может с 4G какая проблема, на компьютере без проблем, через 4G поднимается openvpn. Что порекомендуете? Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.