Вопросы по интеграции OpenVPN в NDMS

[Le ecureuil]

7 часов назад, SSTP сказал:

Слишком рано говорить, но мы надеемся сделать это быстрее, чем 2.4 и 2.5, поэтому ориентировочно:

• весь обязательный код (кроме подтверждения TLS): конец декабря 2021 г.
• Кандидаты в РК: январь / февраль? 2022 г.
• Релиз 2.6.0: март 2022 г.

И не факт что в марте будет . лучше бы Keenetic добавили 2.5.4 щас и на долго бы хватило 

Вполне себе нормальный срок, чтобы мы могли рассчитывать на 3.9 к примеру.

[Le ecureuil]

Текущая версия 2.4.6 добавлена в июне 2018, потому подождать еще 3-4 месяца не будет сколь-либо фатальным.

[SSTP]

1 час назад, Le ecureuil сказал:

Вполне себе нормальный срок

не чего не нормально ! в бесплатных ПО уже давно обновлено . а с таким ценником программисты Keenetic не как не мог обновить . 

 

1 час назад, Le ecureuil сказал:

мы могли рассчитывать на 3.9 к примеру

3.9 года так через 2 может будет . и не факт что обнову эту получат роутеры нынешние бюджетные 

Edited November 29, 2021 by SSTP

[SSTP]

4 минуты назад, Le ecureuil сказал:

потому подождать еще 3-4 месяца не будет сколь-либо фатальным

через 4 мес я уверен что 2.6 не будет через год может быть а потом жди когда добавить Keenetic + еще 1 год 

Edited November 29, 2021 by SSTP

[Le ecureuil]

Кроме tlscrypt-v2 что там еще такого горящего в 2.5?

[SSTP]

16 минут назад, Le ecureuil сказал:

Кроме tlscrypt-v2 что там еще такого горящего в 2.5

chachapoly нету ! не говоря уже о безопасности! в старых думаю дыр много !

Edited November 29, 2021 by SSTP

[Le ecureuil]

55 минут назад, SSTP сказал:

chachapoly нету ! не говоря уже о безопасности! в старых думаю дыр много !

Есть, бекпортировано и работает, две страницы назад тесты выложены.

Все исправления безопасности тоже я сразу заношу, благо их было всего два за это время.

[SSTP]

10 часов назад, Le ecureuil сказал:

Есть, бекпортировано и работает, две страницы назад тесты выложены.

ок еще проверю . 

 

10 часов назад, Le ecureuil сказал:

Все исправления безопасности тоже я сразу заношу

tls-crypt2 более безопаснее чем первый . а это вы добавляете новую версию ? тогда думаю вам легко будет добавить новую версию !

 

Команда проекта сообщества OpenVPN с гордостью выпускает OpenVPN 2.4.11. Он исправляет две связанные уязвимости безопасности (CVE-2020-15078), которые при очень определенных обстоятельствах позволяют обмануть сервер, используя отложенную аутентификацию (плагин или управление), чтобы он возвращал PUSH_REPLY перед сообщением AUTH_FAILED, которое может быть использовано для сбора информации о VPN. настраивать. Этот выпуск также включает другие исправления ошибок и улучшения.

 

Edited November 29, 2021 by SSTP

[vmaloy86]

Добрый день. Должен ли работать OpenVPN с Express VPN на Zyxel Keenetic Ultra II NMDS 3.5.10

Подключение никак не поднимается, уже все испробовал что можно.

Конфиг брал с их сайта, добавлял логин и пароль.

Ошибка:

[E] Mar 13 13:45:10 OpenVPN0: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
[E] Mar 13 13:45:10 OpenVPN0: TLS Error: TLS handshake failed

Скрытый текст

[E] Mar 13 13:44:07 ndm: Service: "OpenVPN0": unexpectedly stopped.
[W] Mar 13 13:44:10 OpenVPN0: WARNING: --keysize is DEPRECATED and will be removed in OpenVPN 2.6
[I] Mar 13 13:44:10 OpenVPN0: OpenVPN 2.4.6 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD]
[I] Mar 13 13:44:10 OpenVPN0: library versions: OpenSSL 1.1.1k  25 Mar 2021, LZO 2.10
[W] Mar 13 13:44:10 OpenVPN0: WARNING: --ns-cert-type is DEPRECATED.  Use --remote-cert-tls instead.
[I] Mar 13 13:44:10 OpenVPN0: Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
[I] Mar 13 13:44:10 OpenVPN0: Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
[I] Mar 13 13:44:10 OpenVPN0: Socket Buffers: R=[155648->1048576] S=[155648->1048576]
[I] Mar 13 13:44:10 OpenVPN0: UDP link local: (not bound)
[I] Mar 13 13:44:10 OpenVPN0: UDP link remote: [AF_INET]45.135.187.244:1195
[I] Mar 13 13:44:10 OpenVPN0: NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
[I] Mar 13 13:44:10 OpenVPN0: TLS: Initial packet from [AF_INET]45.135.187.244:1195, sid=f0fb3969 729c7cc2
[I] Mar 13 13:44:40 wmond: WifiMaster0/AccessPoint0: (MT76x2) STA(00:07:a8:cd:6d:0a) had associated successfully.
[I] Mar 13 13:44:40 wmond: WifiMaster0/AccessPoint0: (MT76x2) STA(00:07:a8:cd:6d:0a) MIC differs in key handshaking.
[I] Mar 13 13:44:43 wmond: Core::Syslog: last message repeated 3 times.
[I] Mar 13 13:44:45 wmond: WifiMaster0/AccessPoint0: (MT76x2) STA(00:07:a8:cd:6d:0a) had disassociated by STA (reason: STA is leaving or has left BSS).
[E] Mar 13 13:45:10 OpenVPN0: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
[E] Mar 13 13:45:10 OpenVPN0: TLS Error: TLS handshake failed
[I] Mar 13 13:45:10 OpenVPN0: SIGTERM[soft,tls-error] received, process exiting
[E] Mar 13 13:45:10 ndm: Service: "OpenVPN0": unexpectedly stopped.
[W] Mar 13 13:45:13 OpenVPN0: WARNING: --keysize is DEPRECATED and will be removed in OpenVPN 2.6
[I] Mar 13 13:45:13 OpenVPN0: OpenVPN 2.4.6 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD]
[I] Mar 13 13:45:13 OpenVPN0: library versions: OpenSSL 1.1.1k  25 Mar 2021, LZO 2.10
[W] Mar 13 13:45:13 OpenVPN0: WARNING: --ns-cert-type is DEPRECATED.  Use --remote-cert-tls instead.
[I] Mar 13 13:45:13 OpenVPN0: Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
[I] Mar 13 13:45:13 OpenVPN0: Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
[I] Mar 13 13:45:13 OpenVPN0: Socket Buffers: R=[155648->1048576] S=[155648->1048576]
[I] Mar 13 13:45:13 OpenVPN0: UDP link local: (not bound)
[I] Mar 13 13:45:13 OpenVPN0: UDP link remote: [AF_INET]45.135.187.244:1195
[I] Mar 13 13:45:13 OpenVPN0: NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
[I] Mar 13 13:45:13 OpenVPN0: TLS: Initial packet from [AF_INET]45.135.187.244:1195, sid=19ace41a a54667fc
[I] Mar 13 13:45:40 wmond: WifiMaster0/AccessPoint0: (MT76x2) STA(00:07:a8:cd:6d:0a) had associated successfully.
[I] Mar 13 13:45:40 wmond: WifiMaster0/AccessPoint0: (MT76x2) STA(00:07:a8:cd:6d:0a) MIC differs in key handshaking.
[I] Mar 13 13:45:43 wmond: Core::Syslog: last message repeated 3 times.
[I] Mar 13 13:45:45 wmond: WifiMaster0/AccessPoint0: (MT76x2) STA(00:07:a8:cd:6d:0a) had disassociated by STA (reason: STA is leaving or has left BSS).
 

Это уже Роскомнадзор работает? Или у меня с руками проблемы?

Edited March 13, 2022 by vmaloy86

[SSTP]

Админы когда обновите уже openvpn до 2.5.6 очень отстаете

[Configurator]

vmaloy86, вы разобрались с проблемой? Аналогичная ситуация: приобрел ExpressVPN, пытаюсь настроить подключение на Keenetic 1010, но ничего не выходит:

 

При этом если выбрать просто протокол L2TP, то статус становится "Готов", интернет работает, меня определяет из другой страны, но есть ли смысл вобще использовать L2TP без IPSec?

Edited March 27, 2022 by Configurator

[Mixin]

Тема-то про OpenVPN, что у вас аналогичного? Да и лог показать не мешало бы. 

[Configurator]

16 минут назад, Mixin сказал:

Тема-то про OpenVPN, что у вас аналогичного? Да и лог показать не мешало бы. 

То, что сервис один и тот же. Ни OpenVpn, ни L2TP \ IPsec не заводятся. Лог приложил

L2TP IPSec log.txt

[Mixin]

Для IPSEC/L2TP есть отдельная тема, вообще говоря. И в вашем случае, вам не отвечает та сторона, у нее и нужно спрашивать.

[zhartaunik]

Порекомендуйте какой-нибудь ВПН который настроится на роутере без проблем? Пробовал 2 сервиса, суппорт этих сервисов не смогли побороть проблему. Соединение вроде установлено, но IP адрес у меня по прежнему текущий.

[Кинетиковод]

1 час назад, zhartaunik сказал:

но IP адрес у меня по прежнему текущий.

Приоритет надо поменять.

[zhartaunik]

А можно подробнее, что имеется ввиду?

[loginella]

https://help.keenetic.com/hc/ru/articles/360000521799-Приоритеты-подключений

[zhartaunik]

8 часов назад, loginella сказал:

https://help.keenetic.com/hc/ru/articles/360000521799-Приоритеты-подключений

Большое спасибо, помогло! В прошивку я бы добавил сообщение, мол когда вы настроите ВПН, его нужно сделать приоритетным. Т.к. это ни разу не очевидно

[loginella]

15 часов назад, zhartaunik сказал:

В прошивку я бы добавил сообщение, мол когда вы настроите ВПН, его нужно сделать приоритетным

Зачем, если есть целая статья с картинками? И не одна. Пример: https://help.keenetic.com/hc/ru/articles/360012067279-Доступ-в-Интернет-через-VPN-провайдера-по-протоколу-WireGuard

[Кинетиковод]

18 часов назад, zhartaunik сказал:

когда вы настроите ВПН, его нужно сделать приоритетным

Кто сказал что нужно? Кому-то нужно, а кому-то не совсем.

[zhartaunik]

18 часов назад, Кинетиковод сказал:

Кто сказал что нужно? Кому-то нужно, а кому-то не совсем.

Вы не поняли мою мысль. 

Я говорю о том, что процесс установки приорететов и в принципе его существование - ну вообще не очевидно.

Следовательно человеку, который настраивает OpenVPN полезно знать, что после настройки для того чтобы заколосилось - нужно провести дополнительные настройки.

[vk11]

В 16.04.2022 в 21:26, zhartaunik сказал:

В прошивку я бы добавил сообщение, мол когда вы настроите ВПН, его нужно сделать приоритетным. Т.к. это ни разу не очевидно

А кто сказал, что это нужно - делать его приоритетным? 😄

[vk11]

4 часа назад, zhartaunik сказал:

Следовательно человеку, который настраивает OpenVPN полезно знать, что после настройки для того чтобы заколосилось - нужно провести дополнительные настройки.

Ему не полезно, а необходимо это знать. Что делаешь, зачем и как.

[zhartaunik]

1 минуту назад, vk11 сказал:

Ему не полезно, а необходимо это знать. Что делаешь, зачем и как.

А откуда ему простите об этом узнать?)

 

3 минуты назад, vk11 сказал:

А кто сказал, что это нужно - делать его приоритетным? 😄

А это уже аккордеон, выше было.

[loginella]

13 минуты назад, zhartaunik сказал:

А откуда ему простите об этом узнать?)

https://help.keenetic.com/hc/ru

[zhartaunik]

Скажите по вашему очевидный UX - это недостаток? Или к чему кидаться документацией, если сами страницы могут быть самодокументирвоанными?) Или предложение добавить этот нотис как-то перегрузит страницу или спор ради спора?

Я лишь указал на то, что это неудобно. Я дурил голову одному суппорту ВПНа, дурил другому, а после оказалось что вся проблема в какой-то неочевидной настройке, которую по вашему нужно было копать где-то в недрах хелпов. Причем интерфейс роутра ну вот честно 10 из 10, всё очевидно, удобно и под рукой.

[loginella]

Только что, zhartaunik сказал:

которую по вашему нужно было копать где-то в недрах хелпов

Это не по-моему: это - стандартная практика начинать с чтения инструкции. А в Базе Знаний Центра Поддержки этих инструкций, подробных, актуальных да с картинками, - предостаточно.

2 минуты назад, zhartaunik сказал:

этот нотис как-то перегрузит страницу

Да. Кроме того, он будет сбивать с толку: или создаётся отдельный профиль и туда помещается как основное соединение интересующий VPN, или в основном профиле VPN интересующий делают основным. Это - как кому удобно, и единственно правильного решения нет, хоть Вам и кажется иначе. Ваш случай - частный: Вам - надо делать VPN основным, но в ряде случае это, наоборот, не надо. Потому есть База Знаний, где все случаи описаны, и можно, почитав разные варианты и способы их реализации, выбрать для себя подходящий.

[loginella]

8 минут назад, zhartaunik сказал:

Или к чему кидаться документацией, если сами страницы могут быть самодокументирвоанными?)

Когда все Кинетики будут собираться на многоядерных ARM-процессорах, Ваше предложение, возможно, увидит реализацию. Но не раньше.

[zhartaunik]

Может мы не понимаем друг друга. Я не совсем понимаю как многоядерность процессоров влияет на добавление такой вот строчки на страницу?

Заколхозил отредактировав html.