Вопросы по интеграции OpenVPN в NDMS

[Кинетиковод]

34 минуты назад, zhartaunik сказал:

Может мы не понимаем друг друга.

Соединения использующиеся для выхода в интернет отображаются на главной странице в соответствии с их приоритетами. Верхнее основное и для него рисуется график скорости. Те что не используются находятся в резерве о чём на них и написано. Чего тут непонятного?

[zhartaunik]

Открыл, поменял приоритеты обратно, увидел. Действительно с этого экрана всё понятно. И нажав на ссылку "Интернет" - переносит на эти приоритеты.

Возможно если бы открыл домашку и присмотрелся - то действительно бы всё понял. Я говорю UX у модема прекрасен. 

Но в то же время расскаызваю как было. Покупаю один ВПН, настраиваю сам - не работает, напрягаю их суппорт - мучались час или два - не побороли, сделали мне рефанд. Логи читали и всё такое. Админ знакомый помогал (который мне этот роутер порекомендовал) - не побороли. 

Постучался в другой ВПН сервис, там промучались. Уже вроде собирались тоже рефанд делать, как здесь на форуме помогли. 

Я это всё к тому, что от той подсказки, которую я предложил - явно никому хуже не будет. Не то что бы я из тех, кто стоит на своем до конца, но говорю реальную историю. Не всё бывает очевидно. Настроил соединение, пишет "Готово", но при этом IP адрес рисует как старый.

[loginella]

В 18.04.2022 в 21:43, zhartaunik сказал:

Не всё бывает очевидно.

И не всегда бывает полезно. Потому и существует База Знаний.

[drk]

Не очень понятно, правда, почему на исходящем интерфейсе клиента Open VPN по умолчанию включается NAT.

Очень помешало при создании соединения site-to-site.

[Le ecureuil]

4 часа назад, drk сказал:

Не очень понятно, правда, почему на исходящем интерфейсе клиента Open VPN по умолчанию включается NAT.

Очень помешало при создании соединения site-to-site.

Потому что это дефолтная настройка при создании любого клиентского VPN-соединения.

[drk]

On 4/22/2022 at 2:56 PM, Le ecureuil said:

Потому что это дефолтная настройка при создании любого клиентского VPN-соединения.

Дефолтная для Кинетик?

[Le ecureuil]

3 часа назад, drk сказал:

Дефолтная для Кинетик?

А что мы на этом форуме обсуждаем?

[drk]

27 minutes ago, Le ecureuil said:

А что мы на этом форуме обсуждаем?

Логично. Кинетик.

On 4/22/2022 at 2:56 PM, Le ecureuil said:

это дефолтная настройка при создании любого клиентского VPN-соединения.

В настройках VPN-соединений есть настройка "Использовать для выхода в интернет" Разве не она должна включать NAT?

 

[loginella]

5 минут назад, drk сказал:

Разве не она должна включать NAT?

Она его и включает.

[drk]

52 minutes ago, loginella said:

Она его и включает.

То есть нет галки  на "Использовать для выхода в интернет" - NAT не включен.

 "Использовать для выхода в интернет" не включал. Почему же тогда возникла ситуация, за помощь в решении которой я Le ecureuil бесконечно благодарен?

 

Edited April 27, 2022 by drk

[r13]

2 часа назад, drk сказал:

То есть нет галки  на "Использовать для выхода в интернет" - NAT не включен.

 "Использовать для выхода в интернет" не включал. Почему же тогда возникла ситуация, за помощь в решении которой я Le ecureuil бесконечно благодарен?

 

Не, эта галка включает возможность быть default route для интерейса.

А нат включает галка в private/protected сегментах, например в настройке домашней сети.

[Le ecureuil]

Все верно, галка про "использовать для выхода" включает только default route, а nat всегда включен по-умолчанию.

[fgsfds]

Где в ФС роутера хранится конфиг подключения OpenVPN, и можно ли с ним взаимодействовать через CLI?

[R0cky]

В 28.02.2020 в 19:49, Le ecureuil сказал:

https://airvpn.org/forums/topic/45724-chacha-on-gnome-network-manager/?do=findComment&comment=102838
Вот пример рабочего конфига

С этим конфигом соединение устанавливается, но в лог сыпятся сообщения:

WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1535', remote='link-mtu 1602'
Май 22 13:29:16
OpenVPN0
WARNING: 'cipher' is used inconsistently, local='cipher CHACHA20-POLY1305', remote='cipher AES-256-CBC'
Май 22 13:29:16
OpenVPN0
WARNING: 'auth' is used inconsistently, local='auth [null-digest]', remote='auth SHA512' 

То есть туннель работает некорректно если на сервере стоит 2.5 (как и есть уже практически у все впн провайдеров), а у клиента, желающего использовать чачу стоит устаревшая версия 2.4. Толку от "бэкпорта" CHACHA20-POLY1305 в эту версию немного, если она все равно не умеет работать с командой data-ciphers

[Mixin]

5 часов назад, R0cky сказал:

С этим конфигом соединение устанавливается, но в лог сыпятся сообщения:

А по какой причине нельзя исправить эти три параметра, о которых вам железка сообщает?

[R0cky]

47 минут назад, Mixin сказал:

А по какой причине нельзя исправить эти три параметра, о которых вам железка сообщает?

Все эти ошибки возникают, если принудительно выбрать CHACHA20-POLY1305 в качестве алгоритма шифрования. Сервер (airvpn) это не принимает, со своей стороны выставляет медленный AES-256-CBC, а остальные ошибки производны от этого не соответствия. Толковая поддержка CHACHA20-POLY1305 появилась только в версии 2.5, а нам тут про кривые бэкпорты рассказывают который месяц. И да, это критично, поскольку в процессорах роутеров пока нет поддержки инструкций aes-ni.

[Mixin]

1 час назад, R0cky сказал:

Все эти ошибки возникают, если принудительно выбрать CHACHA20-POLY1305 в качестве алгоритма шифрования. Сервер (airvpn) это не принимает, со своей стороны выставляет медленный AES-256-CBC, а остальные ошибки производны от этого не соответствия.

Зачем вы выставляете на клиенте то, что сервер не поддерживает? Тут нужно либо сменить сервер под свои желания, либо смириться. Роутер тут вообще при чем или я что-то не так понял?

Edited May 22, 2022 by Mixin

[Mixin]

1 час назад, R0cky сказал:

Толковая поддержка CHACHA20-POLY1305 появилась только в версии 2.5

Вы даете ссылку на форум 2019 года, где все как бы работает. Дело ли в версии?

[R0cky]

44 минуты назад, Mixin сказал:

Зачем вы выставляете на клиенте то, что сервер не поддерживает? Тут нужно либо сменить сервер под свои желания, либо смириться. Роутер тут вообще при чем или я что-то не так понял?

Вы предлагаете поменять платную подписку на airvpn на что нибудь другое только из за того, что новейшая модель роутера keenetic в свой прошивке содержит старую версию openvpn, которая не имеет нормальной поддержки алгоритма CHACHA20-POLY1305 предназначенного как раз для таких устройств  как роутеры?

[R0cky]

42 минуты назад, Mixin сказал:

Вы даете ссылку на форум 2019 года, где все как бы работает. Дело ли в версии?

все просто - в 2019 не было Openvpn версии 2.5. Соответственно тогда этот конфиг был актуален. Сейчас (если на сервере openvpn версия 2.5) требуется команда data-ciphers, которую актуальная прошивка не поддерживает.

[Mixin]

21 минуту назад, R0cky сказал:

все просто - в 2019 не было Openvpn версии 2.5. Соответственно тогда этот конфиг был актуален. Сейчас (если на сервере openvpn версия 2.5) требуется команда data-ciphers, которую актуальная прошивка не поддерживает.

Тогда, видимо, нужно попробовать opkg с нужной версией. 

[SSTP]

1 час назад, Mixin сказал:

 Роутер тут вообще при чем или я что-то не так понял?

на роуторе старая версия openvpn 2.4.6 поддержке сколько уже писали что старая версия многое уже не понимает ! а поддержке пофигу ! там сменить на новую версию не сложно если бы хотели быстро сменили ! а они не хотят ждут 2.6 если появится через 2 года то добавят через 3

[SSTP]

9 минут назад, Mixin сказал:

Тогда, видимо, нужно попробовать opkg с нужной версией. 

пишите сюда чтобы сменили ! зачем танцы с бубном делать . пока они обновят openvpn так у нас уже поддержка роутера закончится ! они хотят чтобы новые версии купили ))

[Le ecureuil]

15 часов назад, R0cky сказал:

Все эти ошибки возникают, если принудительно выбрать CHACHA20-POLY1305 в качестве алгоритма шифрования. Сервер (airvpn) это не принимает, со своей стороны выставляет медленный AES-256-CBC, а остальные ошибки производны от этого не соответствия. Толковая поддержка CHACHA20-POLY1305 появилась только в версии 2.5, а нам тут про кривые бэкпорты рассказывают который месяц. И да, это критично, поскольку в процессорах роутеров пока нет поддержки инструкций aes-ni.

Ерунду несете, использую именно airvpn с именно chacha20 для себя уже второй год, работает все отлично.

[R0cky]

10 часов назад, Le ecureuil сказал:

Ерунду несете, использую именно airvpn с именно chacha20 для себя уже второй год, работает все отлично.

поделитесь конфигом клиента под линукс? я использую tls-crypt

[R0cky]

А в ответ тишина

[R0cky]

Посмотрел список изменений в версии 3.8 (бета) и там до сих пор версию OpenVPN не обновили. Грустно.

[SSTP]

В 05.06.2022 в 22:07, R0cky сказал:

Посмотрел список изменений в версии 3.8 (бета) и там до сих пор версию OpenVPN не обновили. Грустно

толку нету им говорить ! не собираются они обновлять ! им походу не интересно мнение пользователей !

[bigbrother72]

Здравствуйте

На keenetic поднят openvpn сервер.

Когда pppoe соединение от провайдера переподключается (раз в два-три дня со стороны провайдера), то openvpn перестает принимать подключения. Помогает только отключить и включить руками openvpn сервер зайдя на keenetic. После этого опять начинает принимать подключения от клиентов.

 

Скрытый текст

port 5190
proto udp
dev tun
keepalive 10 120
ifconfig-pool-persist /storage/ipp.txt
client-config-dir /storage
server 10.7.0.0 255.255.255.0
route 192.168.1.0 255.255.255.0
route 192.168.2.0 255.255.255.0
push "route 192.168.7.0 255.255.255.0"
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.2.0 255.255.255.0"

client-to-client
topology subnet
comp-lzo yes
cipher AES-256-CBC
keepalive 10 120
persist-key
persist-tun
verb 3
mute 20
<ca>
-----BEGIN CERTIFICATE-----

 

[Ural8]

Может есть у кого опыт подключения телефона GXP-1610 к Giga (KN-1011) RU через OpenVPN?

Нихрена не получается соединить их.