Jump to content

Вопросы по интеграции OpenVPN в NDMS


Recommended Posts

1 минуту назад, drk сказал:

Поддержка на то и поддержка. 😃

Home и Home ISP - это универсальные наименования интерфейсов?

Да, вероятно нужно отключть NAT только для OpenVPN, оставив доступ с LAN\Wi-Fi и в туннель и в интернет.

Приведенные вами и поддержкой команды, как писал выше, делают интернет недоступным

Покажите тогда self-test с введенными этими командами, посмотрим что не так.

Link to comment
Share on other sites

52 минуты назад, Le ecureuil сказал:

Покажите тогда self-test с введенными этими командами, посмотрим что не так.

Теструю в сети 10.0.7.0/24.

После применения

no ip nat Home

ip static Home ISP

Хосты за OVPN доступны. Интернета в 10.0.7.0/24 нет.

self-test приложен.

Спасибо за помощь!

 

Link to comment
Share on other sites

14 минуты назад, drk сказал:

Теструю в сети 10.0.7.0/24.

После применения

no ip nat Home

ip static Home ISP

Хосты за OVPN доступны. Интернета в 10.0.7.0/24 нет.

self-test приложен.

Спасибо за помощь!

Такс, а вот и ответ.

Поскольку вы явно не акцентировали, что у вас WAN это WISP, то и команду дали вам немного неточную.

Попробуйте
> ip static Home WifiMaster0/WifiStation0

  • Thanks 1
Link to comment
Share on other sites

16 minutes ago, Le ecureuil said:

что у вас WAN это WISP

Это тестовый сетап, раздаю интернет с телефона. На площадке будет PPPOE или IPOE.

Спасибо! Теперь все работает для LAN -  и доступ в сеть за OVPN сервером, и интернет.

Позволю сразу пару вопросов:

1.При смене WAN мне нужно будет выполнить

ip static Home

для нужного интерфейса вместо  WifiMaster0/WifiStation0, так?

2. Планируется выделенный сегмент в котором будет только доступ в интернет из LAN и Wi-Fi этого сегмента. Потребуются для этого корректировки в CLI?

Еще раз большое спасибо!

 

Edited by drk
Link to comment
Share on other sites

35 минут назад, drk сказал:

Это тестовый сетап, раздаю интернет с телефона. На площадке будет PPPOE или IPOE.

Спасибо! Теперь все работает для LAN -  и доступ в сеть за OVPN сервером, и интернет.

Позволю сразу пару вопросов:

1.При смене WAN мне нужно будет выполнить

ip static Home

для нужного интерфейса вместо  WifiMaster0/WifiStation0, так?

2. Планируется выделенный сегмент в котором будет только доступ в интернет из LAN и Wi-Fi этого сегмента. Потребуются для этого корректировки в CLI?

Еще раз большое спасибо!

 

1. Да, выполните эту команду для нового WAN и дело в шляпе.

2. По идее нет. Если вы для него явно не выключите ip nat <new segment>, то все заработает сразу.

  • Thanks 1
Link to comment
Share on other sites

3 hours ago, Le ecureuil said:

Да, выполните эту команду для нового WAN и дело в шляпе.

Да, все именно так, работает. Еще раз спасибо.

Если можно, еще🙂:

1. Для резервного канала я ведь тоже могу выполнить:

ip static Home %нужный_интерфейс% ?

2. Всё это будет работать в mesh?

Link to comment
Share on other sites

12 часа назад, drk сказал:

Да, все именно так, работает. Еще раз спасибо.

Если можно, еще🙂:

1. Для резервного канала я ведь тоже могу выполнить:

ip static Home %нужный_интерфейс% ?

2. Всё это будет работать в mesh?

 Да.

  • Thanks 1
Link to comment
Share on other sites

On 11/24/2021 at 9:54 AM, Le ecureuil said:

 Да.

Чтобы вернуть настройки на дефолтные,если понадобиться, нужно выполнить:

no ip static Home %нужный_интерфейс%
ip nat Home

Так?

Link to comment
Share on other sites

В 01.10.2021 в 17:48, Le ecureuil сказал:

Я лично жду версии 2.6, чтобы сразу с dco все добавить. Если сейчас добавлять на месяца-полтора 2.5, а потом снова 2.6 - это лишняя работа. Прошу немного обождать

Слишком рано говорить, но мы надеемся сделать это быстрее, чем 2.4 и 2.5, поэтому ориентировочно:

  • весь обязательный код (кроме подтверждения TLS): конец декабря 2021 г.
  • Кандидаты в РК: январь / февраль? 2022 г.
  • Релиз 2.6.0: март 2022 г.

И не факт что в марте будет . лучше бы Keenetic добавили 2.5.4 щас и на долго бы хватило 

Edited by SSTP
Link to comment
Share on other sites

7 часов назад, SSTP сказал:

Слишком рано говорить, но мы надеемся сделать это быстрее, чем 2.4 и 2.5, поэтому ориентировочно:

  • весь обязательный код (кроме подтверждения TLS): конец декабря 2021 г.
  • Кандидаты в РК: январь / февраль? 2022 г.
  • Релиз 2.6.0: март 2022 г.

И не факт что в марте будет . лучше бы Keenetic добавили 2.5.4 щас и на долго бы хватило 

Вполне себе нормальный срок, чтобы мы могли рассчитывать на 3.9 к примеру.

Link to comment
Share on other sites

1 час назад, Le ecureuil сказал:

Вполне себе нормальный срок

не чего не нормально ! в бесплатных ПО уже давно обновлено . а с таким ценником программисты Keenetic не как не мог обновить . 

 

1 час назад, Le ecureuil сказал:

мы могли рассчитывать на 3.9 к примеру

3.9 года так через 2 может будет . и не факт что обнову эту получат роутеры нынешние бюджетные 

Edited by SSTP
  • Upvote 1
Link to comment
Share on other sites

4 минуты назад, Le ecureuil сказал:

потому подождать еще 3-4 месяца не будет сколь-либо фатальным

через 4 мес я уверен что 2.6 не будет через год может быть а потом жди когда добавить Keenetic + еще 1 год 

Edited by SSTP
Link to comment
Share on other sites

16 минут назад, Le ecureuil сказал:

Кроме tlscrypt-v2 что там еще такого горящего в 2.5

chachapoly нету ! не говоря уже о безопасности! в старых думаю дыр много !

Edited by SSTP
Link to comment
Share on other sites

55 минут назад, SSTP сказал:

chachapoly нету ! не говоря уже о безопасности! в старых думаю дыр много !

Есть, бекпортировано и работает, две страницы назад тесты выложены.

Все исправления безопасности тоже я сразу заношу, благо их было всего два за это время.

  • Upvote 1
Link to comment
Share on other sites

10 часов назад, Le ecureuil сказал:

Есть, бекпортировано и работает, две страницы назад тесты выложены.

ок еще проверю . 

 

10 часов назад, Le ecureuil сказал:

Все исправления безопасности тоже я сразу заношу

tls-crypt2 более безопаснее чем первый . а это вы добавляете новую версию ? тогда думаю вам легко будет добавить новую версию !

 

Команда проекта сообщества OpenVPN с гордостью выпускает OpenVPN 2.4.11. Он исправляет две связанные уязвимости безопасности (CVE-2020-15078), которые при очень определенных обстоятельствах позволяют обмануть сервер, используя отложенную аутентификацию (плагин или управление), чтобы он возвращал PUSH_REPLY перед сообщением AUTH_FAILED, которое может быть использовано для сбора информации о VPN. настраивать. Этот выпуск также включает другие исправления ошибок и улучшения.

 

Edited by SSTP
Link to comment
Share on other sites

  • 3 months later...

Добрый день. Должен ли работать OpenVPN с Express VPN на Zyxel Keenetic Ultra II NMDS 3.5.10

Подключение никак не поднимается, уже все испробовал что можно.

Конфиг брал с их сайта, добавлял логин и пароль.

Ошибка:

[E] Mar 13 13:45:10 OpenVPN0: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
[E] Mar 13 13:45:10 OpenVPN0: TLS Error: TLS handshake failed

Скрытый текст


[E] Mar 13 13:44:07 ndm: Service: "OpenVPN0": unexpectedly stopped.
[W] Mar 13 13:44:10 OpenVPN0: WARNING: --keysize is DEPRECATED and will be removed in OpenVPN 2.6
[I] Mar 13 13:44:10 OpenVPN0: OpenVPN 2.4.6 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD]
[I] Mar 13 13:44:10 OpenVPN0: library versions: OpenSSL 1.1.1k  25 Mar 2021, LZO 2.10
[W] Mar 13 13:44:10 OpenVPN0: WARNING: --ns-cert-type is DEPRECATED.  Use --remote-cert-tls instead.
[I] Mar 13 13:44:10 OpenVPN0: Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
[I] Mar 13 13:44:10 OpenVPN0: Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
[I] Mar 13 13:44:10 OpenVPN0: Socket Buffers: R=[155648->1048576] S=[155648->1048576]
[I] Mar 13 13:44:10 OpenVPN0: UDP link local: (not bound)
[I] Mar 13 13:44:10 OpenVPN0: UDP link remote: [AF_INET]45.135.187.244:1195
[I] Mar 13 13:44:10 OpenVPN0: NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
[I] Mar 13 13:44:10 OpenVPN0: TLS: Initial packet from [AF_INET]45.135.187.244:1195, sid=f0fb3969 729c7cc2
[I] Mar 13 13:44:40 wmond: WifiMaster0/AccessPoint0: (MT76x2) STA(00:07:a8:cd:6d:0a) had associated successfully.
[I] Mar 13 13:44:40 wmond: WifiMaster0/AccessPoint0: (MT76x2) STA(00:07:a8:cd:6d:0a) MIC differs in key handshaking.
[I] Mar 13 13:44:43 wmond: Core::Syslog: last message repeated 3 times.
[I] Mar 13 13:44:45 wmond: WifiMaster0/AccessPoint0: (MT76x2) STA(00:07:a8:cd:6d:0a) had disassociated by STA (reason: STA is leaving or has left BSS).
[E] Mar 13 13:45:10 OpenVPN0: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
[E] Mar 13 13:45:10 OpenVPN0: TLS Error: TLS handshake failed
[I] Mar 13 13:45:10 OpenVPN0: SIGTERM[soft,tls-error] received, process exiting
[E] Mar 13 13:45:10 ndm: Service: "OpenVPN0": unexpectedly stopped.
[W] Mar 13 13:45:13 OpenVPN0: WARNING: --keysize is DEPRECATED and will be removed in OpenVPN 2.6
[I] Mar 13 13:45:13 OpenVPN0: OpenVPN 2.4.6 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD]
[I] Mar 13 13:45:13 OpenVPN0: library versions: OpenSSL 1.1.1k  25 Mar 2021, LZO 2.10
[W] Mar 13 13:45:13 OpenVPN0: WARNING: --ns-cert-type is DEPRECATED.  Use --remote-cert-tls instead.
[I] Mar 13 13:45:13 OpenVPN0: Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
[I] Mar 13 13:45:13 OpenVPN0: Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
[I] Mar 13 13:45:13 OpenVPN0: Socket Buffers: R=[155648->1048576] S=[155648->1048576]
[I] Mar 13 13:45:13 OpenVPN0: UDP link local: (not bound)
[I] Mar 13 13:45:13 OpenVPN0: UDP link remote: [AF_INET]45.135.187.244:1195
[I] Mar 13 13:45:13 OpenVPN0: NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
[I] Mar 13 13:45:13 OpenVPN0: TLS: Initial packet from [AF_INET]45.135.187.244:1195, sid=19ace41a a54667fc
[I] Mar 13 13:45:40 wmond: WifiMaster0/AccessPoint0: (MT76x2) STA(00:07:a8:cd:6d:0a) had associated successfully.
[I] Mar 13 13:45:40 wmond: WifiMaster0/AccessPoint0: (MT76x2) STA(00:07:a8:cd:6d:0a) MIC differs in key handshaking.
[I] Mar 13 13:45:43 wmond: Core::Syslog: last message repeated 3 times.
[I] Mar 13 13:45:45 wmond: WifiMaster0/AccessPoint0: (MT76x2) STA(00:07:a8:cd:6d:0a) had disassociated by STA (reason: STA is leaving or has left BSS).
 

Это уже Роскомнадзор работает? Или у меня с руками проблемы?

Edited by vmaloy86
Link to comment
Share on other sites

16 минут назад, Mixin сказал:

Тема-то про OpenVPN, что у вас аналогичного? Да и лог показать не мешало бы. 

То, что сервис один и тот же. Ни OpenVpn, ни L2TP \ IPsec не заводятся. Лог приложил

L2TP IPSec log.txt

Link to comment
Share on other sites

Для IPSEC/L2TP есть отдельная тема, вообще говоря. И в вашем случае, вам не отвечает та сторона, у нее и нужно спрашивать.

Link to comment
Share on other sites

  • 3 weeks later...

Порекомендуйте какой-нибудь ВПН который настроится на роутере без проблем? Пробовал 2 сервиса, суппорт этих сервисов не смогли побороть проблему. Соединение вроде установлено, но IP адрес у меня по прежнему текущий.

Link to comment
Share on other sites

8 часов назад, loginella сказал:

Большое спасибо, помогло! В прошивку я бы добавил сообщение, мол когда вы настроите ВПН, его нужно сделать приоритетным. Т.к. это ни разу не очевидно

  • Upvote 1
Link to comment
Share on other sites

15 часов назад, zhartaunik сказал:

В прошивку я бы добавил сообщение, мол когда вы настроите ВПН, его нужно сделать приоритетным

Зачем, если есть целая статья с картинками? И не одна. Пример: https://help.keenetic.com/hc/ru/articles/360012067279-Доступ-в-Интернет-через-VPN-провайдера-по-протоколу-WireGuard

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...