Alexashka Posted February 27, 2020 Share Posted February 27, 2020 добрый день! запустил встроенный OpenVPN на прошивке 2.16.D.1.0-1 на Keenetic II, указал шифр CHACHA20-POLY1305. Клиент - смартфон на 9 Android (4G интернет, 15-20mbps), приложение - OpenVPN Connect (скачал последнюю с маркета 0.7.8, в логах пишет OpenVPN версии 2.5, OpenSSL 1.1.1a). Подключаюсь, сеть есть. Данные гоняются. Скорость не прибавилась, как была ДО 1МБайт/с, так и осталась. правда субъективно показалось, что нагрузка на ЦП сервера снизилась. Однако в логах на сервере фигурирует шифр 'AES-256-GCM', на клиенте пишет только [AEAD]. Включено LZO, TLS-аутентификация по ключу. Почему в логах сервера пишет другой шифр? он не использует ChaCha20? Quote OpenVPN1 Mi9Lite/176.59.193.132:42454 Data Channel: using negotiated cipher 'AES-256-GCM' Фев 27 22:01:11 OpenVPN1 Mi9Lite/176.59.193.132:42454 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key Фев 27 22:01:11 OpenVPN1 Mi9Lite/176.59.193.132:42454 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key Установлен OPKG, захожу в ssh, набираю /usr/sbin/openvpn --show-ciphers и вижу AES-128-CBC (128 bit key, 128 bit block) AES-128-CFB (128 bit key, 128 bit block, TLS client/server mode only) AES-128-CFB1 (128 bit key, 128 bit block, TLS client/server mode only) AES-128-CFB8 (128 bit key, 128 bit block, TLS client/server mode only) AES-128-GCM (128 bit key, 128 bit block, TLS client/server mode only) AES-128-OFB (128 bit key, 128 bit block, TLS client/server mode only) AES-192-CBC (192 bit key, 128 bit block) AES-192-CFB (192 bit key, 128 bit block, TLS client/server mode only) AES-192-CFB1 (192 bit key, 128 bit block, TLS client/server mode only) AES-192-CFB8 (192 bit key, 128 bit block, TLS client/server mode only) AES-192-GCM (192 bit key, 128 bit block, TLS client/server mode only) AES-192-OFB (192 bit key, 128 bit block, TLS client/server mode only) AES-256-CBC (256 bit key, 128 bit block) AES-256-CFB (256 bit key, 128 bit block, TLS client/server mode only) AES-256-CFB1 (256 bit key, 128 bit block, TLS client/server mode only) AES-256-CFB8 (256 bit key, 128 bit block, TLS client/server mode only) AES-256-GCM (256 bit key, 128 bit block, TLS client/server mode only) AES-256-OFB (256 bit key, 128 bit block, TLS client/server mode only) CHACHA20-POLY1305 (256 bit key, 8 bit block, TLS client/server mode only) The following ciphers have a block size of less than 128 bits, and are therefore deprecated. Do not use unless you have to. BF-CBC (128 bit key by default, 64 bit block) BF-CFB (128 bit key by default, 64 bit block, TLS client/server mode only) BF-OFB (128 bit key by default, 64 bit block, TLS client/server mode only) CAST5-CBC (128 bit key by default, 64 bit block) CAST5-CFB (128 bit key by default, 64 bit block, TLS client/server mode only) CAST5-OFB (128 bit key by default, 64 bit block, TLS client/server mode only) DES-CBC (64 bit key, 64 bit block) DES-CFB (64 bit key, 64 bit block, TLS client/server mode only) DES-CFB1 (64 bit key, 64 bit block, TLS client/server mode only) DES-CFB8 (64 bit key, 64 bit block, TLS client/server mode only) DES-EDE-CBC (128 bit key, 64 bit block) DES-EDE-CFB (128 bit key, 64 bit block, TLS client/server mode only) DES-EDE-OFB (128 bit key, 64 bit block, TLS client/server mode only) DES-EDE3-CBC (192 bit key, 64 bit block) DES-EDE3-CFB (192 bit key, 64 bit block, TLS client/server mode only) DES-EDE3-CFB1 (192 bit key, 64 bit block, TLS client/server mode only) DES-EDE3-CFB8 (192 bit key, 64 bit block, TLS client/server mode only) DES-EDE3-OFB (192 bit key, 64 bit block, TLS client/server mode only) DES-OFB (64 bit key, 64 bit block, TLS client/server mode only) DESX-CBC (192 bit key, 64 bit block) RC2-40-CBC (40 bit key by default, 64 bit block) RC2-64-CBC (64 bit key by default, 64 bit block) RC2-CBC (128 bit key by default, 64 bit block) RC2-CFB (128 bit key by default, 64 bit block, TLS client/server mode only) RC2-OFB (128 bit key by default, 64 bit block, TLS client/server mode only) т.е. вижу что сервер поддерживает CHACHA20-POLY1305 тогда в чем проблема? Quote Link to comment Share on other sites More sharing options...
Alexashka Posted February 27, 2020 Share Posted February 27, 2020 UPD. Странно, но помогло ncp-ciphers CHACHA20-POLY1305 на сервере. Без этого в упор не хотел шифр ставиться, сбрасывался на AES-256-GCM. Теперь вижу в логе Quote Фев 27 22:33:40 OpenVPN1 KeeneticDSL/195.69.218.66:56606 Outgoing Data Channel: Cipher 'CHACHA20-POLY1305' initialized with 256 bit key Фев 27 22:33:40 OpenVPN1 KeeneticDSL/195.69.218.66:56606 Incoming Data Channel: Cipher 'CHACHA20-POLY1305' initialized with 256 bit ke однако радовался я рано, скорость черепашья, максимум что я видел ~100КБ/с. чтояделаюнетак? 1 Quote Link to comment Share on other sites More sharing options...
Кинетиковод Posted February 27, 2020 Share Posted February 27, 2020 44 минуты назад, Alexashka сказал: ncp-ciphers CHACHA20-POLY1305 С этим параметром тоже завелось. До этого писал ciphers не поддерживается. Скорость не изменилась. Quote Link to comment Share on other sites More sharing options...
Alexashka Posted February 27, 2020 Share Posted February 27, 2020 2 minutes ago, Кинетиковод said: С этим параметром тоже завелось. До этого писал ciphers не поддерживается. Скорость не изменилась. а подскажите, у вас TLS-аутентификация включена? Если как написано делать, ставить auth none То получаю ошибку Quote tls-auth enabled, but no valid --auth algorithm specified ('none') т.е. auth none несовместим TLS-аутентификацией по ключу. Сейчас auth вообще отсутствует в конфиге, сервер выставляет ее на SHA1. C ChaCha20 получается нельзя использовать tls-auth? Я кстати отключал TLS-аутентификацию, чтобы проверить скорость. Не заметил прироста. Вообще честно не заметил прироста по сравнению с тем, что было до ChaCha20. Либо я неправильно его приготовил ( Quote Link to comment Share on other sites More sharing options...
Кинетиковод Posted February 27, 2020 Share Posted February 27, 2020 12 минуты назад, Alexashka сказал: а подскажите, у вас TLS-аутентификация включена? Включена. 12 минуты назад, Alexashka сказал: То получаю ошибку Цитата tls-auth enabled, but no valid --auth algorithm specified ('none') Аналогично. 13 минуты назад, Alexashka сказал: C ChaCha20 получается нельзя использовать tls-auth? Я пробовал с простым ключом, говорит использовать только с tls. Мутная Чача какая-то, но с ncp-ciphers работает. Quote Link to comment Share on other sites More sharing options...
Alexashka Posted February 27, 2020 Share Posted February 27, 2020 4 minutes ago, Кинетиковод said: Включена. поделитесь серверным конфигом, если не жалко, пожалуйста) хочу сравнить, может я чего напутал. у меня TLS-auth работает только если я не задаю 'auth none', но в этой ветке выше мне писали, что для использования ChaCha20 на keeneticII надо ставить 'auth none' чтобы добиться скорости. Если auth оставить пустым, он выставляется в SHA1 и если я правильно понимаю получается двойная работа, т.к. ChaCha20-POLY1305 уже является шифром с аутентификацией. Видимо отсюда и низкая скорость. Вообще, я бы хотел оставить включенным TLS, и использовать ChaCha20 для прироста скорости. Пока что сделать мне этого не удалось. Либо такая же скорость, либо даже хуже. жертвовать безопасностью в угоду скорости я не хочу Quote Link to comment Share on other sites More sharing options...
Кинетиковод Posted February 27, 2020 Share Posted February 27, 2020 1 час назад, Alexashka сказал: у меня TLS-auth работает только если я не задаю 'auth none' Так у меня так же. У нас всё одинаково работает. Quote Link to comment Share on other sites More sharing options...
Alexashka Posted February 28, 2020 Share Posted February 28, 2020 (edited) 6 hours ago, Кинетиковод said: Так у меня так же. У нас всё одинаково работает. ждём ещё кого-нибудь, кто все объяснит Edited February 28, 2020 by Alexashka Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted February 28, 2020 Share Posted February 28, 2020 Попробуйте auth NONE капсом. Quote Link to comment Share on other sites More sharing options...
Кинетиковод Posted February 28, 2020 Share Posted February 28, 2020 1 час назад, Le ecureuil сказал: Попробуйте auth NONE капсом. Message hash algorithm 'NONE' not found Exiting due to fatal error Service: "OpenVPN0": unexpectedly stopped. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted February 28, 2020 Share Posted February 28, 2020 https://airvpn.org/forums/topic/45724-chacha-on-gnome-network-manager/?do=findComment&comment=102838 Вот пример рабочего конфига Quote Link to comment Share on other sites More sharing options...
Rbuha Posted March 15, 2020 Share Posted March 15, 2020 Как на 2.11 подключить openvpn только для одного сегмента сети? Quote Link to comment Share on other sites More sharing options...
Gary Komarov Posted March 15, 2020 Share Posted March 15, 2020 Подскажите каким образом во встроенном OpenVPN клиенте (kn-1910) можно программно устанавливать логин/пароль перед подключением? Суть что есть секция <auth-user-pass> login otp_code </auth-user-pass> Но на сервере используется TOTP через алгоритм Google Authenticator и надо как то подменять otp_code на правильный перед каждым подключением. Если поднимаю OpenVPN клиента скриптами из OPKG (Entware) то там такой проблемы нет. А где же хранятся настройки конфига встроенного OpenVPN и каким образом их можно править из OPKG. Ну или чтобы цеплял login/otp_code из файлика или еще как но была возможность менять их не только через веб-интерфейс. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted March 15, 2020 Share Posted March 15, 2020 47 минут назад, Gary Komarov сказал: Подскажите каким образом во встроенном OpenVPN клиенте (kn-1910) можно программно устанавливать логин/пароль перед подключением? Суть что есть секция <auth-user-pass> login otp_code </auth-user-pass> Но на сервере используется TOTP через алгоритм Google Authenticator и надо как то подменять otp_code на правильный перед каждым подключением. Если поднимаю OpenVPN клиента скриптами из OPKG (Entware) то там такой проблемы нет. А где же хранятся настройки конфига встроенного OpenVPN и каким образом их можно править из OPKG. Ну или чтобы цеплял login/otp_code из файлика или еще как но была возможность менять их не только через веб-интерфейс. Для таких случаев есть opkg. Quote Link to comment Share on other sites More sharing options...
Gary Komarov Posted March 15, 2020 Share Posted March 15, 2020 Just now, Le ecureuil said: Для таких случаев есть opkg. Вот через opkg, скрипт и бинарник на golang или код под nodejs у меня и формируется нужный otp_code от текущего времени и секретки. Как его подсунуть во встроенный openvpn клиент, чтобы не поднимать еще свой в opkg? При поднятии встроенного клиента настройки пишутся в "/tmp/openvpn/OpenVPN0/openvpn.config". Можно конечно попробовать их там успевать перехватывать и подменять но это изврат же. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted March 15, 2020 Share Posted March 15, 2020 58 минут назад, Gary Komarov сказал: Вот через opkg, скрипт и бинарник на golang или код под nodejs у меня и формируется нужный otp_code от текущего времени и секретки. Как его подсунуть во встроенный openvpn клиент, чтобы не поднимать еще свой в opkg? При поднятии встроенного клиента настройки пишутся в "/tmp/openvpn/OpenVPN0/openvpn.config". Можно конечно попробовать их там успевать перехватывать и подменять но это изврат же. Правильнее будет поднять свой. Quote Link to comment Share on other sites More sharing options...
Gary Komarov Posted March 15, 2020 Share Posted March 15, 2020 1 hour ago, Le ecureuil said: Правильнее будет поднять свой. Нафик свой, я уже решил проблему. Прога на golang запускается при старте на роутере, постоянно проверяет каждую секунду наличие файла /var/openvpn/OpenVPN0/openvpn.config. Если файлик есть то каждые 10 миллисекунд проверяем otp_code внутри и подменяем если не правильный. В результате встроенный OpenVPN клиент сначала не может подключиться потом подключается с нескольких попыток и все ок. Встроенный клиент после подключения удаляет файлик openvpn.config и моя прога переходит в режим ожидания с проверкой через 1 секунду. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted March 15, 2020 Share Posted March 15, 2020 Завтра я изменю название этого файла и у вас все разломается. Серьезно, не нужно костылять. Это все негаранированные вещи, и могут сломаться на ровном месте. Хотите сделать хорошо - поднимите свой. Quote Link to comment Share on other sites More sharing options...
Кинетиковод Posted March 24, 2020 Share Posted March 24, 2020 Вышла предварительная версия официального openvpn клиента для Windows с поддержкой "чачи". С Кинетиком "чачу" использует, хоть и ругается при старте на неправильные параметры сервера. Также в новой версии добавлен новый более скоростной драйвер Windows. Скрытый текст his is a "technology preview" release meant to facilitate testing of the wintun driver. As the name implies, it is only interesting for Windows users. The OpenVPN version in the installer is based on Git master branch, which means that it contains features that have not been thoroughly tested. Some parts of OpenVPN's wintun support code haven't underwent full code review process, which means that some things may not work and there could still be bugs. The upside is that performance of the wintun driver should be significantly higher than that of the tap-windows6 driver. To use wintun driver instead of tap-windows6 driver you should: Add "windows-driver wintun" to .ovpn config, or Add "--windows-driver wintun" to openvpn.exe command line Quote Link to comment Share on other sites More sharing options...
Алексей Воловиков Posted April 25, 2020 Share Posted April 25, 2020 Подскажите, пожалуйста, пытаюсь поднять VPN (от prostovpn), вот что пишет лог: Это с UDP, с TCP всё окей но нужен именно UDP. Apr 26 08:52:08 OpenVPN1 OpenVPN 2.4.6 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD] Apr 26 08:52:08 OpenVPN1 library versions: OpenSSL 1.1.1d 10 Sep 2019, LZO 2.10 Apr 26 08:52:08 OpenVPN1 UDP link local: (not bound) Apr 26 08:52:08 OpenVPN1 UDP link remote: [AF_INET6]2a00:d880:5:a29::2:1194 Apr 26 08:52:08 OpenVPN1 NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay Apr 26 08:52:08 OpenVPN1 write UDP: Network is unreachable (code=128) Apr 26 08:52:08 OpenVPN1 Network unreachable, restarting Apr 26 08:52:08 OpenVPN1 SIGTERM received, sending exit notification to peer Apr 26 08:52:09 OpenVPN1 SIGTERM[soft,exit-with-notification] received, process exiting Apr 26 08:52:09 ndm Service: "OpenVPN1": unexpectedly stopped. Quote Link to comment Share on other sites More sharing options...
AndreBA Posted April 26, 2020 Share Posted April 26, 2020 4 часа назад, Алексей Воловиков сказал: Подскажите, пожалуйста, пытаюсь поднять VPN (от prostovpn), вот что пишет лог: Это с UDP, с TCP всё окей но нужен именно UDP. Apr 26 08:52:08 OpenVPN1 OpenVPN 2.4.6 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD] Apr 26 08:52:08 OpenVPN1 library versions: OpenSSL 1.1.1d 10 Sep 2019, LZO 2.10 Apr 26 08:52:08 OpenVPN1 UDP link local: (not bound) Apr 26 08:52:08 OpenVPN1 UDP link remote: [AF_INET6]2a00:d880:5:a29::2:1194 Apr 26 08:52:08 OpenVPN1 NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay Apr 26 08:52:08 OpenVPN1 write UDP: Network is unreachable (code=128) Apr 26 08:52:08 OpenVPN1 Network unreachable, restarting Apr 26 08:52:08 OpenVPN1 SIGTERM received, sending exit notification to peer Apr 26 08:52:09 OpenVPN1 SIGTERM[soft,exit-with-notification] received, process exiting Apr 26 08:52:09 ndm Service: "OpenVPN1": unexpectedly stopped. Здесь не смотрели? Как использовать antizapret.prostovpn.org на роутере? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted April 26, 2020 Share Posted April 26, 2020 Он у вас по ipv6 пытается соединиться. Я бы в вашем случае форсировал ipv4. Quote Link to comment Share on other sites More sharing options...
Alexashka Posted April 26, 2020 Share Posted April 26, 2020 14 hours ago, Алексей Воловиков said: Подскажите, пожалуйста, пытаюсь поднять VPN (от prostovpn), вот что пишет лог: Это с UDP, с TCP всё окей но нужен именно UDP. Apr 26 08:52:08 OpenVPN1 OpenVPN 2.4.6 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD] Apr 26 08:52:08 OpenVPN1 library versions: OpenSSL 1.1.1d 10 Sep 2019, LZO 2.10 Apr 26 08:52:08 OpenVPN1 UDP link local: (not bound) Apr 26 08:52:08 OpenVPN1 UDP link remote: [AF_INET6]2a00:d880:5:a29::2:1194 Apr 26 08:52:08 OpenVPN1 NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay Apr 26 08:52:08 OpenVPN1 write UDP: Network is unreachable (code=128) Apr 26 08:52:08 OpenVPN1 Network unreachable, restarting Apr 26 08:52:08 OpenVPN1 SIGTERM received, sending exit notification to peer Apr 26 08:52:09 OpenVPN1 SIGTERM[soft,exit-with-notification] received, process exiting Apr 26 08:52:09 ndm Service: "OpenVPN1": unexpectedly stopped. proto udp4 1 Quote Link to comment Share on other sites More sharing options...
Алексей Воловиков Posted May 12, 2020 Share Posted May 12, 2020 (edited) А подскажите, пожалуйста, что с этим делать? По совету выше исправил на udp4, все прекрасно работало день, на следующий перестало - пишет на странице соединения No IP Address. Хотя в логе ничего критичного не вижу. Куда копать? Spoiler May 12 20:23:59 ndm Core::Syslog: the system log has been cleared. May 12 20:24:03 kernel IPv6: ADDRCONF(NETDEV_UP): ovpn_br0: link is not ready May 12 20:24:03 ndm Network::Interface::Base: "OpenVPN0": interface is up. May 12 20:24:03 ndm Core::ConfigurationSaver: saving configuration... May 12 20:24:06 OpenVPN0 OpenVPN 2.4.6 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD] May 12 20:24:06 OpenVPN0 library versions: OpenSSL 1.1.1d 10 Sep 2019, LZO 2.10 May 12 20:24:06 OpenVPN0 UDPv4 link local: (not bound) May 12 20:24:06 OpenVPN0 UDPv4 link remote: [AF_INET]185.14.28.10:1194 May 12 20:24:06 OpenVPN0 NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay May 12 20:24:07 ndm Core::ConfigurationSaver: configuration saved. May 12 20:24:11 OpenVPN0 [nl6.pvpn.pw] Peer Connection Initiated with [AF_INET]185.14.28.10:1194 May 12 20:24:11 ndm Network::Interface::OpenVpn: "OpenVPN0": connecting via PPPoE0 (PPPoE0). May 12 20:24:11 ndm Network::Interface::OpenVpn: "OpenVPN0": added host route to remote endpoint 185.14.28.10 via PPPoE0. May 12 20:24:17 OpenVPN0 WARNING: INSECURE cipher with block size less than 128 bit (64 bit). This allows attacks like SWEET32. Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC). May 12 20:24:17 OpenVPN0 WARNING: INSECURE cipher with block size less than 128 bit (64 bit). This allows attacks like SWEET32. Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC). May 12 20:24:17 OpenVPN0 WARNING: cipher with small block size in use, reducing reneg-bytes to 64MB to mitigate SWEET32 attacks. May 12 20:24:17 OpenVPN0 TUN/TAP device tun0 opened May 12 20:24:17 OpenVPN0 do_ifconfig, tt->did_ifconfig_ipv6_setup=1 May 12 20:24:17 kernel IPv6: ADDRCONF(NETDEV_CHANGE): ovpn_br0: link becomes ready May 12 20:24:17 ndm Network::Interface::Ip: "OpenVPN0": IP address is 192.168.101.3/24. May 12 20:24:17 OpenVPN0 IPv6 is not supported yet (ifconfig) May 12 20:24:18 OpenVPN0 add_route_ipv6(2000::/3 -> 2002:b90e:1c0a:1::1 metric -1) dev tun0 May 12 20:24:18 OpenVPN0 IPv6 is not supported yet (add route) May 12 20:24:18 OpenVPN0 add_route_ipv6(::/3 -> 2002:b90e:1c0a:1::1 metric -1) dev tun0 May 12 20:24:18 OpenVPN0 IPv6 is not supported yet (add route) May 12 20:24:18 OpenVPN0 add_route_ipv6(2000::/4 -> 2002:b90e:1c0a:1::1 metric -1) dev tun0 May 12 20:24:18 OpenVPN0 IPv6 is not supported yet (add route) May 12 20:24:18 OpenVPN0 add_route_ipv6(3000::/4 -> 2002:b90e:1c0a:1::1 metric -1) dev tun0 May 12 20:24:18 OpenVPN0 IPv6 is not supported yet (add route) May 12 20:24:18 OpenVPN0 add_route_ipv6(fc00::/7 -> 2002:b90e:1c0a:1::1 metric -1) dev tun0 May 12 20:24:18 OpenVPN0 IPv6 is not supported yet (add route) May 12 20:24:18 ndm Network::Interface::OpenVpn: "OpenVPN0": adding nameserver 192.168.101.1. May 12 20:24:18 ndm Dns::Manager: name server 192.168.101.1 added, domain (default). May 12 20:24:18 ndm Network::Interface::OpenVpn: "OpenVPN0": add route to nameserver 192.168.101.1 via 0.0.0.0 (OpenVPN0). May 12 20:24:18 OpenVPN0 GID set to nobody May 12 20:24:18 OpenVPN0 UID set to nobody May 12 20:24:18 OpenVPN0 Initialization Sequence Completed May 12 20:24:18 ndm Http::Nginx: loaded SSL certificate for "61eefb62507a4b30d21eb455.keenetic.io". May 12 20:24:18 ndm Http::Nginx: loaded SSL certificate for "hench.keenetic.pro". May 12 20:24:18 ndm Core::Server: started Session /var/run/ndm.core.socket. May 12 20:24:18 ndm Core::Session: client disconnected. May 12 20:24:19 ndm Http::Manager: updated configuration. May 12 20:24:19 ndm Core::Server: started Session /var/run/ndm.core.socket. May 12 20:24:19 ndm Core::Session: client disconnected. May 12 20:24:21 ndhcpc OpenVPN0: NDM DHCP client (version 3.2.37) started. May 12 20:24:21 ndhcpc OpenVPN0: created PID file "/var/run/ndhcpc-ovpn_br0.pid". May 12 20:24:22 ndm Network::Interface::Ip: "OpenVPN0": IP address cleared. May 12 20:24:22 ndm Http::Nginx: loaded SSL certificate for "61eefb62507a4b30d21eb455.keenetic.io". May 12 20:24:22 ndm Http::Nginx: loaded SSL certificate for "hench.keenetic.pro". May 12 20:24:23 ndm Core::Server: started Session /var/run/ndm.core.socket. May 12 20:24:23 ndm Core::Session: client disconnected. May 12 20:24:23 ndm Http::Manager: updated configuration. May 12 20:24:23 ndm Core::Server: started Session /var/run/ndm.core.socket. May 12 20:24:23 ndm Core::Session: client disconnected. Edited May 12, 2020 by Алексей Воловиков Quote Link to comment Share on other sites More sharing options...
maxvit Posted June 22, 2020 Share Posted June 22, 2020 Имеется Keenetic 4G, KeeneticOS: 3.4.6. Есть проблема с подключением к OpenVPN серверу. Конфиг: client dev tun proto udp remote 192.168.0.1 1195 resolv-retry infinite auth SHA1 cipher BF-CBC comp-lzo verb 5 <ca> ... </ca> <cert> ... </cert> <key> ... </key> Лог: [I] Jun 22 16:06:34 OpenVPN1: Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client' [I] Jun 22 16:06:34 OpenVPN1: Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server' [I] Jun 22 16:06:34 OpenVPN1: Socket Buffers: R=[155648->155648] S=[155648->155648] [I] Jun 22 16:06:34 OpenVPN1: UDP link local (bound): [AF_INET][undef]:1194 [I] Jun 22 16:06:34 OpenVPN1: UDP link remote: [AF_INET]192.168.0.1:1195 [I] Jun 22 16:06:34 OpenVPN1: NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay [I] Jun 22 16:06:34 OpenVPN1: TLS: Initial packet from [AF_INET]192.168.0.1:1195, sid=c399bbe9 6b9069d9 [E] Jun 22 16:06:35 OpenVPN1: OpenSSL: error:1425F102:lib(20):func(607):reason(258) [E] Jun 22 16:06:35 OpenVPN1: TLS_ERROR: BIO read tls_read_plaintext error [E] Jun 22 16:06:35 OpenVPN1: TLS Error: TLS object -> incoming plaintext read error [E] Jun 22 16:06:35 OpenVPN1: TLS Error: TLS handshake failed [I] Jun 22 16:06:35 OpenVPN1: TCP/UDP: Closing socket [I] Jun 22 16:06:35 OpenVPN1: SIGTERM[soft,tls-error] received, process exiting [E] Jun 22 16:06:35 ndm: Service: "OpenVPN1": unexpectedly stopped Я так понимаю, проблема в том, что на сервере OpenVPN используется TLSv1, а на Keenetic openssl без поддержки TLSv1. Можно ли как-то включить поддержку TLSv1? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted June 23, 2020 Share Posted June 23, 2020 23 часа назад, maxvit сказал: Имеется Keenetic 4G, KeeneticOS: 3.4.6. Есть проблема с подключением к OpenVPN серверу. Конфиг: client dev tun proto udp remote 192.168.0.1 1195 resolv-retry infinite auth SHA1 cipher BF-CBC comp-lzo verb 5 <ca> ... </ca> <cert> ... </cert> <key> ... </key> Лог: [I] Jun 22 16:06:34 OpenVPN1: Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client' [I] Jun 22 16:06:34 OpenVPN1: Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server' [I] Jun 22 16:06:34 OpenVPN1: Socket Buffers: R=[155648->155648] S=[155648->155648] [I] Jun 22 16:06:34 OpenVPN1: UDP link local (bound): [AF_INET][undef]:1194 [I] Jun 22 16:06:34 OpenVPN1: UDP link remote: [AF_INET]192.168.0.1:1195 [I] Jun 22 16:06:34 OpenVPN1: NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay [I] Jun 22 16:06:34 OpenVPN1: TLS: Initial packet from [AF_INET]192.168.0.1:1195, sid=c399bbe9 6b9069d9 [E] Jun 22 16:06:35 OpenVPN1: OpenSSL: error:1425F102:lib(20):func(607):reason(258) [E] Jun 22 16:06:35 OpenVPN1: TLS_ERROR: BIO read tls_read_plaintext error [E] Jun 22 16:06:35 OpenVPN1: TLS Error: TLS object -> incoming plaintext read error [E] Jun 22 16:06:35 OpenVPN1: TLS Error: TLS handshake failed [I] Jun 22 16:06:35 OpenVPN1: TCP/UDP: Closing socket [I] Jun 22 16:06:35 OpenVPN1: SIGTERM[soft,tls-error] received, process exiting [E] Jun 22 16:06:35 ndm: Service: "OpenVPN1": unexpectedly stopped Я так понимаю, проблема в том, что на сервере OpenVPN используется TLSv1, а на Keenetic openssl без поддержки TLSv1. Можно ли как-то включить поддержку TLSv1? Поддержка TLS 1.0 есть, равно как и 1.2. Нет только SSL3 и TLS1.1. Quote Link to comment Share on other sites More sharing options...
maxvit Posted June 23, 2020 Share Posted June 23, 2020 8 hours ago, Le ecureuil said: Поддержка TLS 1.0 есть, равно как и 1.2. Нет только SSL3 и TLS1.1. Удалось обновить openssl и openvpn на сервере. Проблема вопроизводится при указании в конфигурации сервера: tls-version-max 1.0 Quote Link to comment Share on other sites More sharing options...
SSTP Posted December 27, 2020 Share Posted December 27, 2020 скажите а версия openvpn будет обновлена до 2.5.0 ? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted December 28, 2020 Share Posted December 28, 2020 20 часов назад, SSTP сказал: скажите а версия openvpn будет обновлена до 2.5.0 ? Ощутимые причины? Quote Link to comment Share on other sites More sharing options...
SSTP Posted December 28, 2020 Share Posted December 28, 2020 5 часов назад, Le ecureuil сказал: Ощутимые причины? chacha20 использовать ! Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.