Вопросы по интеграции OpenVPN в NDMS

[Le ecureuil]

В 28.08.2019 в 12:47, test tesko сказал:

Добрый день! 

Подскажите пожалуйста, провайдер дает доступ в интернет по кабелю, через L2TP соединение (PROV_L2TP - помечен галочкой использовать для выхода в интернет). Настроены два OpenVPN (1VPN и 2VPN  - оба помечены галочкой использовать для выхода в интернет) подключения на разные сервера. В приоритетах подключений, расположены по убыванию 1VPN, 2VPN, PROV_L2TP.

При пропадании доступа в интернет у 1VPN, не переходит автоматически на 2VPN или PROV_L2TP (просто остается подключенным к 1VPN). Ping Check в VPN1 и VPN2, опция недоступна.

Как настроить автоматическое переключение с 1VPN на 2VPN? А в случае недоступности 1VPN и 2VPN, переключаться на PROV_L2TP?

Конфигурация VPN 1 и VPN2

client
proto udp
remote XXX.XXX.XXX.XXX 1194
dev tun
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
verify-x509-name server_gowW2aMP6RyAnNnt name
auth SHA256
auth-nocache
cipher AES-128-CBC
tls-client
tls-version-min 1.2
tls-cipher TLS-DHE-RSA-WITH-AES-128-GCM-SHA256
verb 3

(далее данные ключей)

 

А почему pingcheck недоступен?

Может self-test приложите, когда пропадает связь, но не переходит на другой.

[dvg_lab]

11 минуту назад, Le ecureuil сказал:

Это очень странно.

Пожалуйста, обратитесь в официальную поддержку.

BF-CBC на 1310 точно должен работать.

Да в телеге уже пообщались с народом, вроде как пока только в 1210 выпилили, у меня слава Богу таких нет, но я на всякий случай перешел на aes-128-gcm

[Byuri]

11 час назад, Le ecureuil сказал:

BF-CBC на 1310 точно должен работать.

прошу прощения, на 1210 перестало работать

[Byuri]

11 час назад, dvg_lab сказал:

но я на всякий случай перешел на aes-128-gcm

Изменили в настройках сервера тип шифрования?

 

[dvg_lab]

1 час назад, Byuri сказал:

Изменили в настройках сервера тип шифрования?

 

Да, строка cipher

[dvg_lab]

1 час назад, Byuri сказал:

прошу прощения, на 1210 перестало работать

 Это да, не хватило памяти...

[Le ecureuil]

Если очень нужно, попробуем вернуть BF.

[dvg_lab]

 

2 часа назад, Le ecureuil сказал:

Если очень нужно, попробуем вернуть BF.

Было бы неплохо, так как должен быть выбор скорость vs безопасность.  Дело в том что даже дырявый bf-cbc для некоторых данных например вполне достаточен, а вот скорости cpu может уже и не хватать.

[Le ecureuil]

1 час назад, dvg_lab сказал:

 

Было бы неплохо, так как должен быть выбор скорость vs безопасность.  Дело в том что даже дырявый bf-cbc для некоторых данных например вполне достаточен, а вот скорости cpu может уже и не хватать.

Вернул, скоро появится.

[parkan]

В 28.09.2018 в 11:51, ittiger сказал:

Может кому пригодиться. Была аналогичная проблема: ip.src в соединениях из домашней сети (192.168.12.0/24) подменяется на ip openvpn туннеля (172.16.0.12). 

Решение, как описано в статье https://help.keenetic.com/hc/ru/articles/115000045869:

no ip nat Home
interface PPTP0 security-level private
no isolate-private
ip static Home PPPoE1
system configuration save

Правило ip static появляться в веб-панели в разделе переадресация.

Спасибо, по вашей рекомендации дошел до победы

Напомню, первоначально мой вопрос звучал так: 

Цитата

Доброго всем. Вопрос небольшой. 
Есть сетка с сервером OpenVPN 192.168.0.x (Pfsense)
Шлюз OpenVPN  10.0.6.1-10.0.6.2, tun
Сетка с клиентом OpenVPN, 192.168.6.x (Keenetic III, 2.11.A.4.0-0)

Как бы всё работает, в обе стороны, пингуется, открывается. Есть одно но: Компы за Кинетиком выходят в сетку с сервером под адресом OpenVPN, т.е. 10.0.6.2. Всё бы ничего, но голос VoIP в сторону Кинетика не проходит. Так было и на версии 2.08 с Entware.

Я уж интерфейс OpenVPN0 сделал private, и "no ip nat OpenVPN0", всё равно...

В итоге для OpenVPN   делается так: 

(config)> no ip nat Home
(config)> interface OpenVPN0 security-level private
(config)> no isolate-private
(config)> ip static Home ISP    
(config)> system configuration save

Тут небольшое уточнение: 
Начиная с версии ОС NDMS v2.09 более не требуется наличие статического IP-адреса на интерфейсе ISP. Теперь можно использовать команду ip static для включения NAT не только между интерфейсом и IP-адресом, но и между двумя интерфейсами (например: ip static Home ISP).

[Le ecureuil]

Небольшие новости.

По результатам моих тестов выяснилась такая картина :

	7621	7513	7628
NONE	68	40	23
BF-CBC	23.3	16.4	10.7
AES-128-CBC	25	18.2	10.6
AES-GCM-128	23.8	17.9	10
AES-128-OFB	28.2	21.2	11.3
AES-128-CFB	30.5	19.8	11.3
CHACHA20-POLY1305	38.3	26.5	14.4

 

Краткие выводы (цифры сами говорят за себя, но все же):

 - NONE - это теоретически максимальная скорость OpenVPN на данном ЦПУ без шифрования и аутентификации трафика вообще. Быстрее точно не будет.

 - BF-CBC - старый кал, он не оправдывает надежд как "быстрейший шифр".

- если вам прямо сейчас нужен быстрейший шифр, то на обеих сторонах туннеля выберите "cipher AES-128-CFB / auth SHA1" и можете получить прирост до 8 Мбит нахаляву.
- прямо сейчас везде добавлен шифр CHACHA20-POLY1305, который кладет всех на лопатки (пользователи Wireguard уже это увидели). Он появится в следующих выпусках 3.4, 3.3 beta 7, 2.16 и 2.11. Настроить его просто: "cipher CHACHA20-POLY1305 / auth none" (на обоих сторонах канала!). Из сервисов VPN его уже поддерживает как минимум AirVPN (тема с рекомендациями по настройке, рабочий конфиг в конце).

[dmitry.a]

В 17.12.2019 в 18:38, Le ecureuil сказал:

Небольшие новости.

По результатам моих тестов выяснилась такая картина :

	7621	7513	7628
NONE	68	40	23
BF-CBC	23.3	16.4	10.7
AES-128-CBC	25	18.2	10.6
AES-GCM-128	23.8	17.9	10
AES-128-OFB	28.2	21.2	11.3
AES-128-CFB	30.5	19.8	11.3
CHACHA20-POLY1305	38.3	26.5	14.4

 

Краткие выводы (цифры сами говорят за себя, но все же):

 - NONE - это теоретически максимальная скорость OpenVPN на данном ЦПУ без шифрования и аутентификации трафика вообще. Быстрее точно не будет.

 - BF-CBC - старый кал, он не оправдывает надежд как "быстрейший шифр".

- если вам прямо сейчас нужен быстрейший шифр, то на обеих сторонах туннеля выберите "cipher AES-128-CFB / auth SHA1" и можете получить прирост до 8 Мбит нахаляву.
- прямо сейчас везде добавлен шифр CHACHA20-POLY1305, который кладет всех на лопатки (пользователи Wireguard уже это увидели). Он появится в следующих выпусках 3.4, 3.3 beta 7, 2.16 и 2.11. Настроить его просто: "cipher CHACHA20-POLY1305 / auth none" (на обоих сторонах канала!). Из сервисов VPN его уже поддерживает как минимум AirVPN (тема с рекомендациями по настройке, рабочий конфиг в конце).

А можно сравнить с Wireguard? Интересна разница.

[keenet07]

26 минут назад, dmitry.a сказал:

А можно сравнить с Wireguard? Интересна разница.

Ну это по сути и есть CHACHA20-POLY1305

https://xakinfo.ru/os/wireguard-как-замена-openvpn/

[Кинетиковод]

28 минут назад, keenet07 сказал:

Ну это по сути и есть CHACHA20-POLY1305

Как бы не совсем. WG быстрее OpenVPN в 3 раза, по крайней мере на 7628. Прибавка же на OpenVPN от CHACHA20-POLY1305 не особо большая.

[keenet07]

4 минуты назад, Кинетиковод сказал:

Как бы не совсем. WG быстрее OpenVPN в 3 раза, по крайней мере на 7628. Прибавка же на OpenVPN от CHACHA20-POLY1305 не особо большая.

Согласен. На OpenVPN помимо самого шифрования ещё много всего навешано. Тормозящего процесс.

Edited February 12, 2020 by keenet07

[dmitry.a]

Вот у меня сейчас планшет через Wireguard upload 104 Mb/s, download 78 Mb/s. Wireguard показывает, что перекачено больше 100 Мб.

Если я отключаю wireguard, то уже 200-250.

Включаю openVPN и уже 15-17. Разница уж сильно большая.

 

 

Edited February 12, 2020 by dmitry.a

[Alexashka]

Доброго дня, товарищи!

 

Вопрос по теме, подскажите, пожалуйста:

 

Имею два маршрутизатора с OpenVPN:

Keenetic DSL:
Current 2.11.C.1.0-3
Available: 2.11.D.5.0-1 (debug)

Keenetic II:
Current: 2.16.D.1.0-0
Available: 2.16.D.1.0-1
 

Keenetic II является сервером, сервер OpenVPN поднят из OPKG, использую cipher AES-256-CBC и auth Sha1, скорость никакая.

Если перейду на последние версии прошивок, станет доступно шифрование CHACHA20-POLY1305? 

Как я понял нужно просто обновить ОС и в конфиге выбрать новый тип шифра?

Если перейду на

Доброго дня, товарищи!

Вопрос по теме, подскажите, пожалуйста:

Имею два маршрутизатора с OpenVPN:

Keenetic DSL:
Current 2.11.C.1.0-3
Available: 2.11.D.5.0-1 (debug)

Keenetic II:
Current: 2.16.D.1.0-0
Available: 2.16.D.1.0-1

Keenetic II является сервером, сервер OpenVPN поднят из OPKG, использую cipher AES-256-CBC и auth Sha1, скорость никакая.

Если перейду на последние версии прошивок, станет доступно шифрование CHACHA20-POLY1305? 

Как я понял нужно просто обновить ОС и в конфиге выбрать новый тип шифра?

[Alezzzander]

В 23.11.2018 в 05:10, Alezzzander сказал:

По сути это баг,т.к.на Win,Linux устройствах мультисерверный конфиг работает.Просьба разработчиков пофиксить.

Добрый день! Прошло почти чуть больше года с момента моего вопроса,но проблема с переключением на второй remote сервер в конфиге еще не пофикшена.Можно уже не ждать?)

[Le ecureuil]

5 часов назад, Alexashka сказал:

Доброго дня, товарищи!

 

Вопрос по теме, подскажите, пожалуйста:

 

Имею два маршрутизатора с OpenVPN:

Keenetic DSL:
Current 2.11.C.1.0-3
Available: 2.11.D.5.0-1 (debug)

Keenetic II:
Current: 2.16.D.1.0-0
Available: 2.16.D.1.0-1
 

Keenetic II является сервером, сервер OpenVPN поднят из OPKG, использую cipher AES-256-CBC и auth Sha1, скорость никакая.

Если перейду на последние версии прошивок, станет доступно шифрование CHACHA20-POLY1305? 

Как я понял нужно просто обновить ОС и в конфиге выбрать новый тип шифра?

Если перейду на

Доброго дня, товарищи!

Вопрос по теме, подскажите, пожалуйста:

Имею два маршрутизатора с OpenVPN:

Keenetic DSL:
Current 2.11.C.1.0-3
Available: 2.11.D.5.0-1 (debug)

Keenetic II:
Current: 2.16.D.1.0-0
Available: 2.16.D.1.0-1

Keenetic II является сервером, сервер OpenVPN поднят из OPKG, использую cipher AES-256-CBC и auth Sha1, скорость никакая.

Если перейду на последние версии прошивок, станет доступно шифрование CHACHA20-POLY1305? 

Как я понял нужно просто обновить ОС и в конфиге выбрать новый тип шифра?

Да, на версиях 2.11.D.5.0-1 и 2.16.D.1.0-1 доступен шифр CHACHA20-POLY1305.

Устанавливаете эту версию, ставите в поле cipher CHACHA20-POLY1305 и полe auth NONE на обоих концах -> готово.

[Alexashka]

27 minutes ago, Le ecureuil said:

Да, на версиях 2.11.D.5.0-1 и 2.16.D.1.0-1 доступен шифр CHACHA20-POLY1305.

Устанавливаете эту версию, ставите в поле cipher CHACHA20-POLY1305 и полe auth NONE на обоих концах -> готово.

о, спасибо! 

>auth NONE

это как же, вообще без аунтификации? поясните пожалуйста, или этому шифру это не требуется (без потерь в безопасности)

Edited February 13, 2020 by Alexashka
уточнение

[Le ecureuil]

3 минуты назад, Alexashka сказал:

о, спасибо! 

>auth NONE

это как же, вообще без аунтификации? поясните пожалуйста, или этому шифру это не требуется (без потерь в безопасности)

Потому что это AEAD - другой тип, когда шифрование и аутентификация являются единой операцией.

В данном случае ChaCha20 - это шифр, Poly1305 - это аутентификатор.

[Alexashka]

5 minutes ago, Le ecureuil said:

Потому что это AEAD - другой тип, когда шифрование и аутентификация являются единой операцией.

В данном случае ChaCha20 - это шифр, Poly1305 - это аутентификатор.

все понятно, больше спасибо за разъяснение! 

[Alexashka]

On 2/13/2020 at 1:57 PM, Le ecureuil said:

Да, на версиях 2.11.D.5.0-1 и 2.16.D.1.0-1 доступен шифр CHACHA20-POLY1305.

Добрый день!

Keenetic II, Прошивка 2.16.D.1.0-1

Включаю ChaCha20, пишет, что он не поддерживается.

В конфиге ставлю:

cipher CHACHA20-POLY1305

auth NONE

openvpn2.log ciphers.txt

[Alexashka]

17 minutes ago, Alexashka said:

Добрый день!

Keenetic II, Прошивка 2.16.D.1.0-1

Включаю ChaCha20, пишет, что он не поддерживается.

В конфиге ставлю:

cipher CHACHA20-POLY1305

auth NONE

openvpn2.log 387 B · 1 download ciphers.txt 3.15 kB · 0 downloads

Upd. Обновил libopenssl с 1.0.2k до 1.0.2n (opkg update, opkg list-upgradable), то же самое, только версия openssl в логе поменялась.

Где взять openssl 1.1.0?

Edited February 18, 2020 by Alexashka

[Le ecureuil]

В 18.02.2020 в 12:41, Alexashka сказал:

Upd. Обновил libopenssl с 1.0.2k до 1.0.2n (opkg update, opkg list-upgradable), то же самое, только версия openssl в логе поменялась.

Где взять openssl 1.1.0?

Так вы про opkg/entware? Там ничего этого нет, я про стандартный компонент только говорил.

[Alexashka]

On 2/20/2020 at 12:15 AM, Le ecureuil said:

Так вы про opkg/entware? Там ничего этого нет, я про стандартный компонент только говорил.

Жаль, а я уж было обрадовался. Но потом все же решил все перенастроить на встроенный OpenVPN, без использования opkg.

Сгенерировал ключи, создал новый конфиг с встроенными в него ключами (все в одном), добавил новое VPN соединение на другом порту (444 пока) и вставил конфиг, запускаю...

И получаю:

"Error opening configuration file: /tmp/openvpn/OpenVPN0/openvpn.config"

И ещё кучу таких же в логе. В чем причина?

[Alexashka]

В соседней ветке нашел, что предлагали убрать client-to-client,  и client-config-dir, сделал, теперь другая проблема: пишет что порт уже занят, но он свободен, я взял 60443. Похоже дело в ipv6, который он судя по логам пытается использовать

"Could not determine IPv4/IPv6 protocol. Using AF_INET6.

 

[Alexashka]

И да, а как все таки в случае all-in-one файла использовать конфиги для клиентов (client-config-dir). У меня клиенты разные, одни просто хосты, а один - роутер и за ним подсесть, и надо маршрутизацию делать

[Alexashka]

Указал протокол (proto udp4), собственно, ничего не поменялось, сервер так и не завелся, ругается на занятый порт. Пробовал и бинд делать к локальному интерфейсу, все одно. 

netstat -lp показывает, что порт свободен, до включения. после включения сервера в вебе порт становится занят самим сервером, и если его отключить в вебе, он остаётся забинденным.

При этом не важно, первое это включение или нет, сервер неизменно валится с этой ошибкой. Добавил исключение в файрволл, думал может это поможет, нет.

Насчёт отсутствующего файла конфигурации, я вроде разобрался, ругань идёт на временный файл в /tmp/openvpn/..., видимо, если в основном конфиге отсутствуют некоторые минимально необходимые настройки, файл этот не создаётся, и сервер ругается на его отсутствие, а не на неверный конфиг. В моем случае помогло добавление key-direction, который я забыл добавить при изменении параметра tls-auth на секцию.

Мой конфиг:

dev tun

port 60443

proto udp4

ifconfig 10.4.0.1 10.4.0.8

topology subnet

cipher CHACHA20-POLY1305

server 10.4.0.0 255.255.255.0

key-direction 0

tls-server

tls-timeout 120

keepalive 45 120

max-clients 32

persist-key

persist-tun

verb 3

mute 20

daemon

mode server

comp-lzo

tun-mtu 1500

fragment 1300

mssfix 1300

fast-io

txqueuelen 300

sndbuf 26000

rcvbuf 26000

auth-nocache

push "route 192.168.0.0 255.255.255.0"

route 192.168.1.0 255.255.255.0 10.4.0.8

<ca>...</ca>

<cert> ...</cert>

<key>...</key>

<dh>...</dh>

<tls-auth>...</tls-auth>

[Alexashka]

Привет! Так я и не понял в чем проблема, но я ее решил, точнее, тактически выждал) сегодня включаю после 3 дней перерыва, и все работает. Ничего не менял (по крайней мере, я так считаю), я даже начал с того, что хотел поэтапно удалять параметры из конфига, добиваясь его запуска. А он взял и запустился с ходу. Что это было, я так и не понял, но на порт он ругаться перестал 

В итоге, мой рабочий текущий конфиг почти такой же, как я постил выше, за небольшими исключениями.

Прикладываю, вдруг кому-то понадобится

Server.txt