Jump to content

Вопросы по интеграции OpenVPN в NDMS


Recommended Posts

20 минут назад, SSTP сказал:

chacha20 использовать !

Оно с прошивки 3.3 доступно

 

Edited by r13
Link to comment
Share on other sites

  • 6 months later...
Posted (edited)

Вопрос, надо ли делать “ip nat OpenVPNx”, для tap, если мне надо попасть внутрь сети подключённого клиента (на стороне клиента входящий трафик разрешён). Точнее, будет ли в принципе работать, тк в таблице маршрутизации tap не виден, тк сидит на Bridge0? При этом я тоже являюсь клиентом и в конфигурации сервера клиент-клиент разрешён.

Edited by Oleg Nekrylov
Link to comment
Share on other sites

Извиняюсь, затупил, тяжелый день был, сам же ответ и написал в последнем предложении ;) 

Link to comment
Share on other sites

  • 2 months later...

почему опенвпн не подключается по порту 53 ??? и поддерживает ли openvpn клиент tls-crypt v2  ??? openvpn уже 2.5.3 есть ! а  кенетик 2.4.6 !

  • Confused 1
Link to comment
Share on other sites

16 часов назад, SSTP сказал:

почему опенвпн не подключается по порту 53 ??? и поддерживает ли openvpn клиент tls-crypt v2  ??? openvpn уже 2.5.3 есть ! а  кенетик 2.4.6 !

Давайте по шагам.

 - OpenVPN на 53 порту по идее не работает, это порт для DNS.

 - tls-crypt-v2 поддерживает.

 - в нашей версии 2.4.6 есть все патчи по CVE и принесена поддержка chapoly. Что еще вам не хватает в 2.4.6 из 2.5.3?

  • Upvote 1
Link to comment
Share on other sites

1 час назад, Le ecureuil сказал:

OpenVPN на 53 порту по идее не работает

этот порт не работает только на кенетике на остальнов всем работает

1 час назад, Le ecureuil сказал:

Давайте по шагам.

 - tls-crypt-v2 поддерживает.

это хорошо !

1 час назад, Le ecureuil сказал:

Что еще вам не хватает в 2.4.6 из 2.5.3?

мне та хвотает просто вы почитайте что нового в последних версиях много чего ввели . и новое она и есть новое

Link to comment
Share on other sites

tls-crypt-v2  работает только начиная с версии 2.5.0 и он не может работать на версии  2.4.х 

может перепутали просто tls-crypt ??? На 2.4.x  работает tls-crypt и tls-auth

Link to comment
Share on other sites

18 минут назад, Andy Moore сказал:

tls-crypt-v2  работает только начиная с версии 2.5.0 и он не может работать на версии  2.4.х 

может перепутали просто tls-crypt ??? На 2.4.x  работает tls-crypt и tls-auth

Хм, да, появилась такая тема.
А реально какие-то серверы ее требуют (покупные, а не самодельные)?

Я лично жду версии 2.6, чтобы сразу с dco все добавить. Если сейчас добавлять на месяца-полтора 2.5, а потом снова 2.6 - это лишняя работа. Прошу немного обождать.

  • Upvote 2
Link to comment
Share on other sites

4 минуты назад, Le ecureuil сказал:

Хм, да, появилась такая тема.
А реально какие-то серверы ее требуют (покупные, а не самодельные)?

Есть и самодельные и покупные , есть те кто не стоит на месте 

 

5 минут назад, Le ecureuil сказал:

Я лично жду версии 2.6

не думаю что в ближайшие года 2 мы ее увидим 

  • Upvote 1
Link to comment
Share on other sites

20 часов назад, SSTP сказал:

почему опенвпн не подключается по порту 53 ???

Потому что...

~ # lsof -P -i |grep ndnproxy 
================================== Skiped ==================================
ndnproxy   1438   root    4u  IPv4     13102      0t0  UDP *:53 
ndnproxy   1438   root    5u  IPv4     13103      0t0  UDP *:56298 
ndnproxy   1438   root    6u  IPv6     13104      0t0  UDP *:53 
ndnproxy   1438   root    8u  IPv4     13106      0t0  TCP *:53 (LISTEN)
ndnproxy   1438   root    9u  IPv6     13107      0t0  TCP *:53 (LISTEN)
================================== Skiped ==================================
 

Что вы будете делать с DNS proxy?  Свой DNS-сервер ставить?

Link to comment
Share on other sites

54 минуты назад, Andy Moore сказал:

есть те кто не стоит на месте 

Тот, кто не стоит на месте может спокойно в opkg замутить что хочет (или в sdk).

Если массовой потребности нет, то пока я смысла вижу мало.

  • Upvote 1
Link to comment
Share on other sites

Мое дело предложить, как потребителю продукта , а решать уже вам, релиз 2.4.6 был в апреле 2018 если не ошибаюсь, а нынче грядет 2022

  • Upvote 1
Link to comment
Share on other sites

5 часов назад, Le ecureuil сказал:

Хм, да, появилась такая тема.
А реально какие-то серверы ее требуют (покупные, а не самодельные)?

Я лично жду версии 2.6, чтобы сразу с dco все добавить. Если сейчас добавлять на месяца-полтора 2.5, а потом снова 2.6 - это лишняя работа. Прошу немного обождать.

Полностью за такое решение!

Лучше бросьте ресурсы на действительно важную функцию - на ускорение OpenVPN (dco)

Думаю многие вам за это скажут спасибо и для кого-то это будет плюс для выбора кинетика для покупки, т.к. у остальных роутеров эта функция думаю появится намного позже, судя по скорости развития вами NDMS..

Я например жду ускорения OVPN с момента покупки Giga уже пару лет, т.к. сейчас скорость 100мбит канала утилизируется только на четверть.. а другие VPN утилизируют канал на 100% но по разным причинам не подходят.. например Wireguard работал-работал, а потом резко перестал и мне так и не удалось его больше заставить работать... пришлось вернуться на медленный но надежный OVPN

  • Upvote 1
  • Y'r wrong 1
Link to comment
Share on other sites

15 часов назад, Yury Zhidkov сказал:

Полностью за такое решение!

Лучше бросьте ресурсы на действительно важную функцию - на ускорение OpenVPN (dco)

Думаю многие вам за это скажут спасибо и для кого-то это будет плюс для выбора кинетика для покупки, т.к. у остальных роутеров эта функция думаю появится намного позже, судя по скорости развития вами NDMS..

Я например жду ускорения OVPN с момента покупки Giga уже пару лет, т.к. сейчас скорость 100мбит канала утилизируется только на четверть.. а другие VPN утилизируют канал на 100% но по разным причинам не подходят.. например Wireguard работал-работал, а потом резко перестал и мне так и не удалось его больше заставить работать... пришлось вернуться на медленный но надежный OVPN

Я уже пробовал dco в январе 2021, и на тот момент там было очень "сыро" + в ветке ovpn 2.x не было поддержки, я ее приделал сам, но все равно там далеко от того, что можно показать пользователям было. Сейчас уже стало вроде постабильнее, будем ждать и надеятся что в 2.6 таки допилят сами разработчики (а если нет, то я может и реанимирую код январский и доделаю).

  • Upvote 5
Link to comment
Share on other sites

  • 1 month later...
  • 2 weeks later...

Добрый день. Надеюсь - не ошибся тредом и прошу извинить, если информация избыточна.

Имеется центральный офис, в котором в локальной сети на сервере VmWare развернут Open VPN сервер на FreeBSD (используется pfSense 2.4.4). С этим сервером успешно работают филиалы, в качестве клиентов - Mikrotik, FreeBSD(pfSense) и т.д, Keenetic в этой сети пока не было.
Исользуется конфигурация Open VPN site-to-site, филиалы видят сеть офиса за Open VPN, офис видит сети клиентов.
Планируя очередной филиал, решил выбрать Keenetic Viva KN-1910 для подключения к Интернет, развертывания mesh и поднятия на нем Open VPN клиента.
Столкнулся с тем, что сеть за этим клиентом не видит сеть офиса за Open VPN сервером, а сеть офиса - сеть за клиентом. Туннель поднимается, но из сети клиента доступен только LAN IP сервера VPN 192.168.7.65. Маршруты в сеть за сервером клиент Keenetic получает.

Keenetic Viva KN-1910 (3.6.12)
Сеть за сервером 192.168.0.0/21
Сеть туннеля 10.20.20.0/24
Сеть за клиентом, на котором тестировался Keenetic 10.10.5.0/24

Конфиг сервера:
 

Spoiler

dev ovpns1
verb 1
dev-type tun
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto tcp4-server
cipher none
auth SHA1
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local 192.168.7.65
engine cryptodev
tls-server
server 10.20.20.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc/server1
ifconfig 10.20.20.1 10.20.20.2
tls-verify "/usr/local/sbin/ovpn_auth_verify tls '......' 1"
lport 31194
management /var/etc/openvpn/server1.sock unix
push "route 192.168.0.0 255.255.248.0"
route 192.168.110.0 255.255.255.0
route 192.168.82.0 255.255.255.0
#
#еще много route
#
route 10.10.5.0 255.255.255.0 #тестируемый клиент Keenetic

ca /var/etc/openvpn/server1.ca
cert /var/etc/openvpn/server1.cert
key /var/etc/openvpn/server1.key
dh /etc/dh-parameters.1024
crl-verify /var/etc/openvpn/server1.crl-verify
ncp-ciphers AES-128-GCM
persist-remote-ip
float
topology subnet
sndbuf 524288
rcvbuf 524288
push "sndbuf 393216"
push "rcvbuf 393216"

iroute для всех сетей филиалов на сервере в /ccd указаны

Конфиг клиента Keenetic:

Spoiler

dev tun
persist-tun
persist-key
cipher none
auth SHA1
tls-client
client
resolv-retry infinite
remote-cert-tls server
remote aa.aa.cc.dd 31194 tcp4
<ca>
-----BEGIN CERTIFICATE-----
....................
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
....................
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
...................
-----END PRIVATE KEY-----
</key>

Клиент с данным конфигом успешно проверен на Mikrotik,Padavan

Пингуя хост удаленной сети делал захват пакетов. 

Пообщался с поддержкой.  Ответили так:

Я могу предположить, что сервер ожидает в качестве источника ip не адрес в OVPN туннеле клиента, а непосредственно адрес хоста клиента в сети 10.10.5.0/24

При конфигурации site-to-site вполне естественно, что сервер ожидает адрес хоста клиента в сети 10.10.5.0/24. Однако в туннель  IP хостов не уходят. NAT?

Поддержка:

Проверить это можно отключив NAT
no ip nat Home
ip static Home ISP
system configuration save

Естественно, при отключенном NAT все работает. Но тогда, что естественно, с ПК за Кинетик теряется доступ в интернет.

Решаема ли эта проблема?

 

Link to comment
Share on other sites

Если вопрос только в NAT, то отлючаете его совсем для домашней сети:
> no ip nat Home
и включаете только между теми интерфейсами, где он нужен:
> ip static Home ISP

в таком случае у вас из Home в ISP NAT будет, а в OpenVPN - нет.

Link to comment
Share on other sites

5 minutes ago, Le ecureuil said:

Поддержка, кстати, все правильно сказала.

Поддержка на то и поддержка. 😃

Home и Home ISP - это универсальные наименования интерфейсов?

11 minutes ago, Le ecureuil said:

в таком случае у вас из Home в ISP NAT будет, а в OpenVPN - нет

Да, вероятно нужно отключть NAT только для OpenVPN, оставив доступ с LAN\Wi-Fi и в туннель и в интернет.

Приведенные вами и поддержкой команды, как писал выше, делают интернет недоступным

Link to comment
Share on other sites

1 минуту назад, drk сказал:

Поддержка на то и поддержка. 😃

Home и Home ISP - это универсальные наименования интерфейсов?

Да, вероятно нужно отключть NAT только для OpenVPN, оставив доступ с LAN\Wi-Fi и в туннель и в интернет.

Приведенные вами и поддержкой команды, как писал выше, делают интернет недоступным

Покажите тогда self-test с введенными этими командами, посмотрим что не так.

Link to comment
Share on other sites

52 минуты назад, Le ecureuil сказал:

Покажите тогда self-test с введенными этими командами, посмотрим что не так.

Теструю в сети 10.0.7.0/24.

После применения

no ip nat Home

ip static Home ISP

Хосты за OVPN доступны. Интернета в 10.0.7.0/24 нет.

self-test приложен.

Спасибо за помощь!

 

Link to comment
Share on other sites

14 минуты назад, drk сказал:

Теструю в сети 10.0.7.0/24.

После применения

no ip nat Home

ip static Home ISP

Хосты за OVPN доступны. Интернета в 10.0.7.0/24 нет.

self-test приложен.

Спасибо за помощь!

Такс, а вот и ответ.

Поскольку вы явно не акцентировали, что у вас WAN это WISP, то и команду дали вам немного неточную.

Попробуйте
> ip static Home WifiMaster0/WifiStation0

  • Thanks 1
Link to comment
Share on other sites

16 minutes ago, Le ecureuil said:

что у вас WAN это WISP

Это тестовый сетап, раздаю интернет с телефона. На площадке будет PPPOE или IPOE.

Спасибо! Теперь все работает для LAN -  и доступ в сеть за OVPN сервером, и интернет.

Позволю сразу пару вопросов:

1.При смене WAN мне нужно будет выполнить

ip static Home

для нужного интерфейса вместо  WifiMaster0/WifiStation0, так?

2. Планируется выделенный сегмент в котором будет только доступ в интернет из LAN и Wi-Fi этого сегмента. Потребуются для этого корректировки в CLI?

Еще раз большое спасибо!

 

Edited by drk
Link to comment
Share on other sites

35 минут назад, drk сказал:

Это тестовый сетап, раздаю интернет с телефона. На площадке будет PPPOE или IPOE.

Спасибо! Теперь все работает для LAN -  и доступ в сеть за OVPN сервером, и интернет.

Позволю сразу пару вопросов:

1.При смене WAN мне нужно будет выполнить

ip static Home

для нужного интерфейса вместо  WifiMaster0/WifiStation0, так?

2. Планируется выделенный сегмент в котором будет только доступ в интернет из LAN и Wi-Fi этого сегмента. Потребуются для этого корректировки в CLI?

Еще раз большое спасибо!

 

1. Да, выполните эту команду для нового WAN и дело в шляпе.

2. По идее нет. Если вы для него явно не выключите ip nat <new segment>, то все заработает сразу.

  • Thanks 1
Link to comment
Share on other sites

3 hours ago, Le ecureuil said:

Да, выполните эту команду для нового WAN и дело в шляпе.

Да, все именно так, работает. Еще раз спасибо.

Если можно, еще🙂:

1. Для резервного канала я ведь тоже могу выполнить:

ip static Home %нужный_интерфейс% ?

2. Всё это будет работать в mesh?

Link to comment
Share on other sites

12 часа назад, drk сказал:

Да, все именно так, работает. Еще раз спасибо.

Если можно, еще🙂:

1. Для резервного канала я ведь тоже могу выполнить:

ip static Home %нужный_интерфейс% ?

2. Всё это будет работать в mesh?

 Да.

  • Thanks 1
Link to comment
Share on other sites

On 11/24/2021 at 9:54 AM, Le ecureuil said:

 Да.

Чтобы вернуть настройки на дефолтные,если понадобиться, нужно выполнить:

no ip static Home %нужный_интерфейс%
ip nat Home

Так?

Link to comment
Share on other sites

1 час назад, drk сказал:

Чтобы вернуть настройки на дефолтные,если понадобиться, нужно выполнить:

no ip static Home %нужный_интерфейс%
ip nat Home

Так?

Верно.

Link to comment
Share on other sites

В 01.10.2021 в 17:48, Le ecureuil сказал:

Я лично жду версии 2.6, чтобы сразу с dco все добавить. Если сейчас добавлять на месяца-полтора 2.5, а потом снова 2.6 - это лишняя работа. Прошу немного обождать

Слишком рано говорить, но мы надеемся сделать это быстрее, чем 2.4 и 2.5, поэтому ориентировочно:

  • весь обязательный код (кроме подтверждения TLS): конец декабря 2021 г.
  • Кандидаты в РК: январь / февраль? 2022 г.
  • Релиз 2.6.0: март 2022 г.

И не факт что в марте будет . лучше бы Keenetic добавили 2.5.4 щас и на долго бы хватило 

Edited by SSTP
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...