Jump to content

Вопросы по интеграции OpenVPN в NDMS


Recommended Posts

18 часов назад, Кинетиковод сказал:

Кто сказал что нужно? Кому-то нужно, а кому-то не совсем.

Вы не поняли мою мысль. 

Я говорю о том, что процесс установки приорететов и в принципе его существование - ну вообще не очевидно.

Следовательно человеку, который настраивает OpenVPN полезно знать, что после настройки для того чтобы заколосилось - нужно провести дополнительные настройки.

  • Upvote 1
Link to comment
Share on other sites

В 16.04.2022 в 21:26, zhartaunik сказал:

В прошивку я бы добавил сообщение, мол когда вы настроите ВПН, его нужно сделать приоритетным. Т.к. это ни разу не очевидно

А кто сказал, что это нужно - делать его приоритетным? 😄

Link to comment
Share on other sites

4 часа назад, zhartaunik сказал:

Следовательно человеку, который настраивает OpenVPN полезно знать, что после настройки для того чтобы заколосилось - нужно провести дополнительные настройки.

Ему не полезно, а необходимо это знать. Что делаешь, зачем и как.

Link to comment
Share on other sites

1 минуту назад, vk11 сказал:

Ему не полезно, а необходимо это знать. Что делаешь, зачем и как.

А откуда ему простите об этом узнать?)

 

3 минуты назад, vk11 сказал:

А кто сказал, что это нужно - делать его приоритетным? 😄

А это уже аккордеон, выше было.

Link to comment
Share on other sites

Скажите по вашему очевидный UX - это недостаток? Или к чему кидаться документацией, если сами страницы могут быть самодокументирвоанными?) Или предложение добавить этот нотис как-то перегрузит страницу или спор ради спора?

Я лишь указал на то, что это неудобно. Я дурил голову одному суппорту ВПНа, дурил другому, а после оказалось что вся проблема в какой-то неочевидной настройке, которую по вашему нужно было копать где-то в недрах хелпов. Причем интерфейс роутра ну вот честно 10 из 10, всё очевидно, удобно и под рукой.

Link to comment
Share on other sites

Только что, zhartaunik сказал:

которую по вашему нужно было копать где-то в недрах хелпов

Это не по-моему: это - стандартная практика начинать с чтения инструкции. А в Базе Знаний Центра Поддержки этих инструкций, подробных, актуальных да с картинками, - предостаточно.

2 минуты назад, zhartaunik сказал:

этот нотис как-то перегрузит страницу

Да. Кроме того, он будет сбивать с толку: или создаётся отдельный профиль и туда помещается как основное соединение интересующий VPN, или в основном профиле VPN интересующий делают основным. Это - как кому удобно, и единственно правильного решения нет, хоть Вам и кажется иначе. Ваш случай - частный: Вам - надо делать VPN основным, но в ряде случае это, наоборот, не надо. Потому есть База Знаний, где все случаи описаны, и можно, почитав разные варианты и способы их реализации, выбрать для себя подходящий.

Link to comment
Share on other sites

8 минут назад, zhartaunik сказал:

Или к чему кидаться документацией, если сами страницы могут быть самодокументирвоанными?)

Когда все Кинетики будут собираться на многоядерных ARM-процессорах, Ваше предложение, возможно, увидит реализацию. Но не раньше.

Link to comment
Share on other sites

Может мы не понимаем друг друга. Я не совсем понимаю как многоядерность процессоров влияет на добавление такой вот строчки на страницу?

Заколхозил отредактировав html.

 

Screenshot from 2022-04-18 16-39-45.png

Link to comment
Share on other sites

34 минуты назад, zhartaunik сказал:

Может мы не понимаем друг друга.

Соединения использующиеся для выхода в интернет отображаются на главной странице в соответствии с их приоритетами. Верхнее основное и для него рисуется график скорости. Те что не используются находятся в резерве о чём на них и написано. Чего тут непонятного?

Link to comment
Share on other sites

Открыл, поменял приоритеты обратно, увидел. Действительно с этого экрана всё понятно. И нажав на ссылку "Интернет" - переносит на эти приоритеты.

Возможно если бы открыл домашку и присмотрелся - то действительно бы всё понял. Я говорю UX у модема прекрасен. 

Но в то же время расскаызваю как было. Покупаю один ВПН, настраиваю сам - не работает, напрягаю их суппорт - мучались час или два - не побороли, сделали мне рефанд. Логи читали и всё такое. Админ знакомый помогал (который мне этот роутер порекомендовал) - не побороли. 

Постучался в другой ВПН сервис, там промучались. Уже вроде собирались тоже рефанд делать, как здесь на форуме помогли. 

Я это всё к тому, что от той подсказки, которую я предложил - явно никому хуже не будет. Не то что бы я из тех, кто стоит на своем до конца, но говорю реальную историю. Не всё бывает очевидно. Настроил соединение, пишет "Готово", но при этом IP адрес рисует как старый.

Screenshot from 2022-04-18 21-37-29.png

Link to comment
Share on other sites

Не очень понятно, правда, почему на исходящем интерфейсе клиента Open VPN по умолчанию включается NAT.

Очень помешало при создании соединения site-to-site.

Link to comment
Share on other sites

4 часа назад, drk сказал:

Не очень понятно, правда, почему на исходящем интерфейсе клиента Open VPN по умолчанию включается NAT.

Очень помешало при создании соединения site-to-site.

Потому что это дефолтная настройка при создании любого клиентского VPN-соединения.

Link to comment
Share on other sites

On 4/22/2022 at 2:56 PM, Le ecureuil said:

Потому что это дефолтная настройка при создании любого клиентского VPN-соединения.

Дефолтная для Кинетик?

Link to comment
Share on other sites

27 minutes ago, Le ecureuil said:

А что мы на этом форуме обсуждаем?

Логично. Кинетик.

On 4/22/2022 at 2:56 PM, Le ecureuil said:

это дефолтная настройка при создании любого клиентского VPN-соединения.

В настройках VPN-соединений есть настройка "Использовать для выхода в интернет" Разве не она должна включать NAT?

 

Link to comment
Share on other sites

52 minutes ago, loginella said:

Она его и включает.

То есть нет галки  на "Использовать для выхода в интернет" - NAT не включен.

 "Использовать для выхода в интернет" не включал. Почему же тогда возникла ситуация, за помощь в решении которой я Le ecureuil бесконечно благодарен?

 

Edited by drk
Link to comment
Share on other sites

2 часа назад, drk сказал:

То есть нет галки  на "Использовать для выхода в интернет" - NAT не включен.

 "Использовать для выхода в интернет" не включал. Почему же тогда возникла ситуация, за помощь в решении которой я Le ecureuil бесконечно благодарен?

 

Не, эта галка включает возможность быть default route для интерейса.

А нат включает галка в private/protected сегментах, например в настройке домашней сети.

Link to comment
Share on other sites

  • 3 weeks later...
В 28.02.2020 в 19:49, Le ecureuil сказал:

С этим конфигом соединение устанавливается, но в лог сыпятся сообщения:

WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1535', remote='link-mtu 1602'
Май 22 13:29:16
OpenVPN0
WARNING: 'cipher' is used inconsistently, local='cipher CHACHA20-POLY1305', remote='cipher AES-256-CBC'
Май 22 13:29:16
OpenVPN0
WARNING: 'auth' is used inconsistently, local='auth [null-digest]', remote='auth SHA512' 

То есть туннель работает некорректно если на сервере стоит 2.5 (как и есть уже практически у все впн провайдеров), а у клиента, желающего использовать чачу стоит устаревшая версия 2.4. Толку от "бэкпорта" CHACHA20-POLY1305 в эту версию немного, если она все равно не умеет работать с командой data-ciphers

Link to comment
Share on other sites

5 часов назад, R0cky сказал:

С этим конфигом соединение устанавливается, но в лог сыпятся сообщения:

А по какой причине нельзя исправить эти три параметра, о которых вам железка сообщает?

Link to comment
Share on other sites

47 минут назад, Mixin сказал:

А по какой причине нельзя исправить эти три параметра, о которых вам железка сообщает?

Все эти ошибки возникают, если принудительно выбрать CHACHA20-POLY1305 в качестве алгоритма шифрования. Сервер (airvpn) это не принимает, со своей стороны выставляет медленный AES-256-CBC, а остальные ошибки производны от этого не соответствия. Толковая поддержка CHACHA20-POLY1305 появилась только в версии 2.5, а нам тут про кривые бэкпорты рассказывают который месяц. И да, это критично, поскольку в процессорах роутеров пока нет поддержки инструкций aes-ni.

Link to comment
Share on other sites

1 час назад, R0cky сказал:

Все эти ошибки возникают, если принудительно выбрать CHACHA20-POLY1305 в качестве алгоритма шифрования. Сервер (airvpn) это не принимает, со своей стороны выставляет медленный AES-256-CBC, а остальные ошибки производны от этого не соответствия.

Зачем вы выставляете на клиенте то, что сервер не поддерживает? Тут нужно либо сменить сервер под свои желания, либо смириться. Роутер тут вообще при чем или я что-то не так понял?

Edited by Mixin
Link to comment
Share on other sites

1 час назад, R0cky сказал:

Толковая поддержка CHACHA20-POLY1305 появилась только в версии 2.5

Вы даете ссылку на форум 2019 года, где все как бы работает. Дело ли в версии?

Link to comment
Share on other sites

44 минуты назад, Mixin сказал:

Зачем вы выставляете на клиенте то, что сервер не поддерживает? Тут нужно либо сменить сервер под свои желания, либо смириться. Роутер тут вообще при чем или я что-то не так понял?

Вы предлагаете поменять платную подписку на airvpn на что нибудь другое только из за того, что новейшая модель роутера keenetic в свой прошивке содержит старую версию openvpn, которая не имеет нормальной поддержки алгоритма CHACHA20-POLY1305 предназначенного как раз для таких устройств  как роутеры?

Link to comment
Share on other sites

42 минуты назад, Mixin сказал:

Вы даете ссылку на форум 2019 года, где все как бы работает. Дело ли в версии?

все просто - в 2019 не было Openvpn версии 2.5. Соответственно тогда этот конфиг был актуален. Сейчас (если на сервере openvpn версия 2.5) требуется команда data-ciphers, которую актуальная прошивка не поддерживает.

Link to comment
Share on other sites

21 минуту назад, R0cky сказал:

все просто - в 2019 не было Openvpn версии 2.5. Соответственно тогда этот конфиг был актуален. Сейчас (если на сервере openvpn версия 2.5) требуется команда data-ciphers, которую актуальная прошивка не поддерживает.

Тогда, видимо, нужно попробовать opkg с нужной версией. 

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...