Вопросы по интеграции OpenVPN в NDMS

[r13]

20 минут назад, SSTP сказал:

chacha20 использовать !

Оно с прошивки 3.3 доступно

 

Edited December 28, 2020 by r13

[Oleg Nekrylov]

Вопрос, надо ли делать “ip nat OpenVPNx”, для tap, если мне надо попасть внутрь сети подключённого клиента (на стороне клиента входящий трафик разрешён). Точнее, будет ли в принципе работать, тк в таблице маршрутизации tap не виден, тк сидит на Bridge0? При этом я тоже являюсь клиентом и в конфигурации сервера клиент-клиент разрешён.

Edited July 5, 2021 by Oleg Nekrylov

[Oleg Nekrylov]

Извиняюсь, затупил, тяжелый день был, сам же ответ и написал в последнем предложении  

[SSTP]

почему опенвпн не подключается по порту 53 ??? и поддерживает ли openvpn клиент tls-crypt v2  ??? openvpn уже 2.5.3 есть ! а  кенетик 2.4.6 !

[Le ecureuil]

16 часов назад, SSTP сказал:

почему опенвпн не подключается по порту 53 ??? и поддерживает ли openvpn клиент tls-crypt v2  ??? openvpn уже 2.5.3 есть ! а  кенетик 2.4.6 !

Давайте по шагам.

 - OpenVPN на 53 порту по идее не работает, это порт для DNS.

 - tls-crypt-v2 поддерживает.

 - в нашей версии 2.4.6 есть все патчи по CVE и принесена поддержка chapoly. Что еще вам не хватает в 2.4.6 из 2.5.3?

[SSTP]

1 час назад, Le ecureuil сказал:

OpenVPN на 53 порту по идее не работает

этот порт не работает только на кенетике на остальнов всем работает

1 час назад, Le ecureuil сказал:

Давайте по шагам.

 - tls-crypt-v2 поддерживает.

это хорошо !

1 час назад, Le ecureuil сказал:

Что еще вам не хватает в 2.4.6 из 2.5.3?

мне та хвотает просто вы почитайте что нового в последних версиях много чего ввели . и новое она и есть новое

[Andy Moore]

tls-crypt-v2  работает только начиная с версии 2.5.0 и он не может работать на версии  2.4.х 

может перепутали просто tls-crypt ??? На 2.4.x  работает tls-crypt и tls-auth

[Andy Moore]

Unrecognized option or missing or extra parameter(s) in configuration: (line 24): tls-crypt-v2 (2.4.6)

[Le ecureuil]

18 минут назад, Andy Moore сказал:

tls-crypt-v2  работает только начиная с версии 2.5.0 и он не может работать на версии  2.4.х 

может перепутали просто tls-crypt ??? На 2.4.x  работает tls-crypt и tls-auth

Хм, да, появилась такая тема.
А реально какие-то серверы ее требуют (покупные, а не самодельные)?

Я лично жду версии 2.6, чтобы сразу с dco все добавить. Если сейчас добавлять на месяца-полтора 2.5, а потом снова 2.6 - это лишняя работа. Прошу немного обождать.

[Andy Moore]

4 минуты назад, Le ecureuil сказал:

Хм, да, появилась такая тема.
А реально какие-то серверы ее требуют (покупные, а не самодельные)?

Есть и самодельные и покупные , есть те кто не стоит на месте 

 

5 минут назад, Le ecureuil сказал:

Я лично жду версии 2.6

не думаю что в ближайшие года 2 мы ее увидим 

[vadimbn]

20 часов назад, SSTP сказал:

почему опенвпн не подключается по порту 53 ???

Потому что...

~ # lsof -P -i |grep ndnproxy 
================================== Skiped ==================================
ndnproxy   1438   root    4u  IPv4     13102      0t0  UDP *:53 
ndnproxy   1438   root    5u  IPv4     13103      0t0  UDP *:56298 
ndnproxy   1438   root    6u  IPv6     13104      0t0  UDP *:53 
ndnproxy   1438   root    8u  IPv4     13106      0t0  TCP *:53 (LISTEN)
ndnproxy   1438   root    9u  IPv6     13107      0t0  TCP *:53 (LISTEN)
================================== Skiped ==================================
 

Что вы будете делать с DNS proxy?  Свой DNS-сервер ставить?

[Le ecureuil]

54 минуты назад, Andy Moore сказал:

есть те кто не стоит на месте 

Тот, кто не стоит на месте может спокойно в opkg замутить что хочет (или в sdk).

Если массовой потребности нет, то пока я смысла вижу мало.

[Andy Moore]

Мое дело предложить, как потребителю продукта , а решать уже вам, релиз 2.4.6 был в апреле 2018 если не ошибаюсь, а нынче грядет 2022

[zhidkovu]

5 часов назад, Le ecureuil сказал:

Хм, да, появилась такая тема.
А реально какие-то серверы ее требуют (покупные, а не самодельные)?

Я лично жду версии 2.6, чтобы сразу с dco все добавить. Если сейчас добавлять на месяца-полтора 2.5, а потом снова 2.6 - это лишняя работа. Прошу немного обождать.

Полностью за такое решение!

Лучше бросьте ресурсы на действительно важную функцию - на ускорение OpenVPN (dco)

Думаю многие вам за это скажут спасибо и для кого-то это будет плюс для выбора кинетика для покупки, т.к. у остальных роутеров эта функция думаю появится намного позже, судя по скорости развития вами NDMS..

Я например жду ускорения OVPN с момента покупки Giga уже пару лет, т.к. сейчас скорость 100мбит канала утилизируется только на четверть.. а другие VPN утилизируют канал на 100% но по разным причинам не подходят.. например Wireguard работал-работал, а потом резко перестал и мне так и не удалось его больше заставить работать... пришлось вернуться на медленный но надежный OVPN

[Le ecureuil]

15 часов назад, Yury Zhidkov сказал:

Полностью за такое решение!

Лучше бросьте ресурсы на действительно важную функцию - на ускорение OpenVPN (dco)

Думаю многие вам за это скажут спасибо и для кого-то это будет плюс для выбора кинетика для покупки, т.к. у остальных роутеров эта функция думаю появится намного позже, судя по скорости развития вами NDMS..

Я например жду ускорения OVPN с момента покупки Giga уже пару лет, т.к. сейчас скорость 100мбит канала утилизируется только на четверть.. а другие VPN утилизируют канал на 100% но по разным причинам не подходят.. например Wireguard работал-работал, а потом резко перестал и мне так и не удалось его больше заставить работать... пришлось вернуться на медленный но надежный OVPN

Я уже пробовал dco в январе 2021, и на тот момент там было очень "сыро" + в ветке ovpn 2.x не было поддержки, я ее приделал сам, но все равно там далеко от того, что можно показать пользователям было. Сейчас уже стало вроде постабильнее, будем ждать и надеятся что в 2.6 таки допилят сами разработчики (а если нет, то я может и реанимирую код январский и доделаю).

[Le ecureuil]

Согласно официальному roadmap обещают 2.6 alpha к "End of December 2021": https://community.openvpn.net/openvpn/wiki/StatusOfOpenvpn26

Ждем с нетерпением.

[drk]

Добрый день. Надеюсь - не ошибся тредом и прошу извинить, если информация избыточна.

Имеется центральный офис, в котором в локальной сети на сервере VmWare развернут Open VPN сервер на FreeBSD (используется pfSense 2.4.4). С этим сервером успешно работают филиалы, в качестве клиентов - Mikrotik, FreeBSD(pfSense) и т.д, Keenetic в этой сети пока не было.
Исользуется конфигурация Open VPN site-to-site, филиалы видят сеть офиса за Open VPN, офис видит сети клиентов.
Планируя очередной филиал, решил выбрать Keenetic Viva KN-1910 для подключения к Интернет, развертывания mesh и поднятия на нем Open VPN клиента.
Столкнулся с тем, что сеть за этим клиентом не видит сеть офиса за Open VPN сервером, а сеть офиса - сеть за клиентом. Туннель поднимается, но из сети клиента доступен только LAN IP сервера VPN 192.168.7.65. Маршруты в сеть за сервером клиент Keenetic получает.

Keenetic Viva KN-1910 (3.6.12)
Сеть за сервером 192.168.0.0/21
Сеть туннеля 10.20.20.0/24
Сеть за клиентом, на котором тестировался Keenetic 10.10.5.0/24

Конфиг сервера:
 

Spoiler

dev ovpns1
verb 1
dev-type tun
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto tcp4-server
cipher none
auth SHA1
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local 192.168.7.65
engine cryptodev
tls-server
server 10.20.20.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc/server1
ifconfig 10.20.20.1 10.20.20.2
tls-verify "/usr/local/sbin/ovpn_auth_verify tls '......' 1"
lport 31194
management /var/etc/openvpn/server1.sock unix
push "route 192.168.0.0 255.255.248.0"
route 192.168.110.0 255.255.255.0
route 192.168.82.0 255.255.255.0
#
#еще много route
#
route 10.10.5.0 255.255.255.0 #тестируемый клиент Keenetic

ca /var/etc/openvpn/server1.ca
cert /var/etc/openvpn/server1.cert
key /var/etc/openvpn/server1.key
dh /etc/dh-parameters.1024
crl-verify /var/etc/openvpn/server1.crl-verify
ncp-ciphers AES-128-GCM
persist-remote-ip
float
topology subnet
sndbuf 524288
rcvbuf 524288
push "sndbuf 393216"
push "rcvbuf 393216"

iroute для всех сетей филиалов на сервере в /ccd указаны

Конфиг клиента Keenetic:

Spoiler

dev tun
persist-tun
persist-key
cipher none
auth SHA1
tls-client
client
resolv-retry infinite
remote-cert-tls server
remote aa.aa.cc.dd 31194 tcp4
<ca>
-----BEGIN CERTIFICATE-----
....................
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
....................
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
...................
-----END PRIVATE KEY-----
</key>

Клиент с данным конфигом успешно проверен на Mikrotik,Padavan

Пингуя хост удаленной сети делал захват пакетов. 

Пообщался с поддержкой.  Ответили так:

Я могу предположить, что сервер ожидает в качестве источника ip не адрес в OVPN туннеле клиента, а непосредственно адрес хоста клиента в сети 10.10.5.0/24

При конфигурации site-to-site вполне естественно, что сервер ожидает адрес хоста клиента в сети 10.10.5.0/24. Однако в туннель  IP хостов не уходят. NAT?

Поддержка:

Проверить это можно отключив NAT
no ip nat Home
ip static Home ISP
system configuration save

Естественно, при отключенном NAT все работает. Но тогда, что естественно, с ПК за Кинетик теряется доступ в интернет.

Решаема ли эта проблема?

 

[Le ecureuil]

Если вопрос только в NAT, то отлючаете его совсем для домашней сети:
> no ip nat Home
и включаете только между теми интерфейсами, где он нужен:
> ip static Home ISP

в таком случае у вас из Home в ISP NAT будет, а в OpenVPN - нет.

[Le ecureuil]

Поддержка, кстати, все правильно сказала.

[drk]

5 minutes ago, Le ecureuil said:

Поддержка, кстати, все правильно сказала.

Поддержка на то и поддержка. 😃

Home и Home ISP - это универсальные наименования интерфейсов?

11 minutes ago, Le ecureuil said:

в таком случае у вас из Home в ISP NAT будет, а в OpenVPN - нет

Да, вероятно нужно отключть NAT только для OpenVPN, оставив доступ с LAN\Wi-Fi и в туннель и в интернет.

Приведенные вами и поддержкой команды, как писал выше, делают интернет недоступным

[Le ecureuil]

1 минуту назад, drk сказал:

Поддержка на то и поддержка. 😃

Home и Home ISP - это универсальные наименования интерфейсов?

Да, вероятно нужно отключть NAT только для OpenVPN, оставив доступ с LAN\Wi-Fi и в туннель и в интернет.

Приведенные вами и поддержкой команды, как писал выше, делают интернет недоступным

Покажите тогда self-test с введенными этими командами, посмотрим что не так.

[drk]

52 минуты назад, Le ecureuil сказал:

Покажите тогда self-test с введенными этими командами, посмотрим что не так.

Теструю в сети 10.0.7.0/24.

После применения

no ip nat Home

ip static Home ISP

Хосты за OVPN доступны. Интернета в 10.0.7.0/24 нет.

self-test приложен.

Спасибо за помощь!

 

[Le ecureuil]

14 минуты назад, drk сказал:

Теструю в сети 10.0.7.0/24.

После применения

no ip nat Home

ip static Home ISP

Хосты за OVPN доступны. Интернета в 10.0.7.0/24 нет.

self-test приложен.

Спасибо за помощь!

Такс, а вот и ответ.

Поскольку вы явно не акцентировали, что у вас WAN это WISP, то и команду дали вам немного неточную.

Попробуйте
> ip static Home WifiMaster0/WifiStation0

[drk]

16 minutes ago, Le ecureuil said:

что у вас WAN это WISP

Это тестовый сетап, раздаю интернет с телефона. На площадке будет PPPOE или IPOE.

Спасибо! Теперь все работает для LAN -  и доступ в сеть за OVPN сервером, и интернет.

Позволю сразу пару вопросов:

1.При смене WAN мне нужно будет выполнить

ip static Home

для нужного интерфейса вместо  WifiMaster0/WifiStation0, так?

2. Планируется выделенный сегмент в котором будет только доступ в интернет из LAN и Wi-Fi этого сегмента. Потребуются для этого корректировки в CLI?

Еще раз большое спасибо!

 

Edited November 23, 2021 by drk

[Le ecureuil]

35 минут назад, drk сказал:

Это тестовый сетап, раздаю интернет с телефона. На площадке будет PPPOE или IPOE.

Спасибо! Теперь все работает для LAN -  и доступ в сеть за OVPN сервером, и интернет.

Позволю сразу пару вопросов:

1.При смене WAN мне нужно будет выполнить

ip static Home

для нужного интерфейса вместо  WifiMaster0/WifiStation0, так?

2. Планируется выделенный сегмент в котором будет только доступ в интернет из LAN и Wi-Fi этого сегмента. Потребуются для этого корректировки в CLI?

Еще раз большое спасибо!

 

1. Да, выполните эту команду для нового WAN и дело в шляпе.

2. По идее нет. Если вы для него явно не выключите ip nat <new segment>, то все заработает сразу.

[drk]

3 hours ago, Le ecureuil said:

Да, выполните эту команду для нового WAN и дело в шляпе.

Да, все именно так, работает. Еще раз спасибо.

Если можно, еще🙂:

1. Для резервного канала я ведь тоже могу выполнить:

ip static Home %нужный_интерфейс% ?

2. Всё это будет работать в mesh?

[Le ecureuil]

12 часа назад, drk сказал:

Да, все именно так, работает. Еще раз спасибо.

Если можно, еще🙂:

1. Для резервного канала я ведь тоже могу выполнить:

ip static Home %нужный_интерфейс% ?

2. Всё это будет работать в mesh?

 Да.

[drk]

On 11/24/2021 at 9:54 AM, Le ecureuil said:

 Да.

Чтобы вернуть настройки на дефолтные,если понадобиться, нужно выполнить:

no ip static Home %нужный_интерфейс%
ip nat Home

Так?

[Le ecureuil]

1 час назад, drk сказал:

Чтобы вернуть настройки на дефолтные,если понадобиться, нужно выполнить:

no ip static Home %нужный_интерфейс%
ip nat Home

Так?

Верно.

[SSTP]

В 01.10.2021 в 17:48, Le ecureuil сказал:

Я лично жду версии 2.6, чтобы сразу с dco все добавить. Если сейчас добавлять на месяца-полтора 2.5, а потом снова 2.6 - это лишняя работа. Прошу немного обождать

Слишком рано говорить, но мы надеемся сделать это быстрее, чем 2.4 и 2.5, поэтому ориентировочно:

• весь обязательный код (кроме подтверждения TLS): конец декабря 2021 г.
• Кандидаты в РК: январь / февраль? 2022 г.
• Релиз 2.6.0: март 2022 г.

И не факт что в марте будет . лучше бы Keenetic добавили 2.5.4 щас и на долго бы хватило 

Edited November 28, 2021 by SSTP