arbayten Posted September 11, 2017 Share Posted September 11, 2017 спасибо Quote Link to comment Share on other sites More sharing options...
ICMP Posted September 12, 2017 Share Posted September 12, 2017 @r13То есть если со стороны сервера у меня открывается веб морда клиента по адресу 10.8.0.2 ,то можно объявить маршрут используя его шлюзом? Quote Link to comment Share on other sites More sharing options...
r13 Posted September 12, 2017 Share Posted September 12, 2017 Только что, ICMP сказал: @r13То есть если со стороны сервера у меня открывается веб морда клиента по адресу 10.8.0.2 ,то можно объявить маршрут используя его шлюзом? Да, и обратный маршрут тоже нужен, если OpenVPN с той стороны не является default route Quote Link to comment Share on other sites More sharing options...
ICMP Posted September 12, 2017 Share Posted September 12, 2017 Ок ,попробую сейчас, спасиб Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 12, 2017 Share Posted September 12, 2017 Для ccd на устройствах с storage-разделом можете попробовать использовать его. Он располагается по адресу /storage Использование USB-drive неразумно, поскольку порядок поднятия интерфейсов и монтирования дисков не связан, и у вас будут рандомные глюки. 1 Quote Link to comment Share on other sites More sharing options...
ICMP Posted September 12, 2017 Share Posted September 12, 2017 /storage это тоже самое что и /opt/etc/openvpn/ccd ? Создаю в /storage/client2.txt и вписываю iroute? iroute 192.168.2.0 255.255.255.0 Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 12, 2017 Share Posted September 12, 2017 1 минуту назад, ICMP сказал: /storage это тоже самое что и /opt/etc/openvpn/ccd ? Создаю в /storage/client2.txt и вписываю iroute? iroute 192.168.2.0 255.255.255.0 Пробуйте, сообщайте о наблюдениях. 1 Quote Link to comment Share on other sites More sharing options...
ICMP Posted September 12, 2017 Share Posted September 12, 2017 (edited) @Le ecureuilНе пингует сеть за клиентом (172.16.2.0), хотя на 10.8.0.2 идут Селф тесты оба у вас в ЛС! Вот что добавил в конфиг сервера: port 443 proto tcp dev tun sndbuf 0 rcvbuf 0 topology subnet server 10.8.0.0 255.255.255.0 ifconfig-pool-persist /storage/ipp.txt client-config-dir /storage/ccd route 172.16.2.0 255.255.255.0 keepalive 10 120 comp-lzo persist-key persist-tun verb 3 <ca> </ca> <cert> </cert> <key> </key> <dh> </dh> В /storage/cdd/client2.txt iroute 172.16.2.0 255.255.255.0 ipp.txt работает и запоминает... Edited September 12, 2017 by ICMP Quote Link to comment Share on other sites More sharing options...
r13 Posted September 12, 2017 Share Posted September 12, 2017 (edited) 8 часов назад, ICMP сказал: @Le ecureuilНе пингует сеть за клиентом (172.16.2.0), хотя на 10.8.0.2 идут Селф тесты оба у вас в ЛС! Вот что добавил в конфиг сервера: port 443 proto tcp dev tun sndbuf 0 rcvbuf 0 topology subnet server 10.8.0.0 255.255.255.0 ifconfig-pool-persist /storage/ipp.txt client-config-dir /storage/ccd route 172.16.2.0 255.255.255.0 keepalive 10 120 comp-lzo persist-key persist-tun verb 3 <ca> </ca> <cert> </cert> <key> </key> <dh> </dh> В /storage/cdd/client2.txt iroute 172.16.2.0 255.255.255.0 ipp.txt работает и запоминает... вести с полей! ccd в storage работает, iroute подхватился. Ковыряю передачу маршрутов host`у @ICMP зачем вы /storage/cdd/client2.txt создали с расширение txt? создайте без расширения. Edited September 12, 2017 by r13 1 Quote Link to comment Share on other sites More sharing options...
ICMP Posted September 12, 2017 Share Posted September 12, 2017 @r13 да можно и без txt расширения, с чего вы взяли что сервер читает что в ccd? У меня добавляет маршруты в таблицу но сервер не разбирается какого клиента эти маршруты... Quote Link to comment Share on other sites More sharing options...
r13 Posted September 12, 2017 Share Posted September 12, 2017 (edited) 10 минут назад, ICMP сказал: @r13 да можно и без txt расширения, с чего вы взяли что сервер читает что в ccd? У меня добавляет маршруты в таблицу но сервер не разбирается какого клиента эти маршруты... так как раз смысл ccd в том что сервер считывает от туда конфиг актуальный для конкретного клиента в частности iroute указывает что данная подсеть за эти клиентом, и ее пушить не надо. PS что читает видно в логе: Sep 12 21:25:22OpenVPN1 r13_ios/192.168.1.104 OPTIONS IMPORT: reading client specific options from: /storage/ccd/r13_ios Edited September 12, 2017 by r13 1 Quote Link to comment Share on other sites More sharing options...
ICMP Posted September 12, 2017 Share Posted September 12, 2017 Надо еще раз проверить у меня в логах не читал специфику клиента Quote Link to comment Share on other sites More sharing options...
ICMP Posted September 12, 2017 Share Posted September 12, 2017 (edited) Блин теперь только завтра смогу проверить, у вас клиенты тоже кинетики? Пинги идут на 10.8.1.2 и 10.8.1.3 со стороны сервера? Edited September 12, 2017 by ICMP Quote Link to comment Share on other sites More sharing options...
r13 Posted September 12, 2017 Share Posted September 12, 2017 13 минуты назад, ICMP сказал: Блин теперь только завтра смогу проверить, у вас клиенты тоже кинетики? Пинги идут на 10.8.1.2 и 10.8.1.3 со стороны сервера? пинги идут в обе стороны, если у вас не идут, то проверьте правила firewall, разрешили ли вы доступ на соответствующем интерфейсе. Quote Link to comment Share on other sites More sharing options...
ICMP Posted September 12, 2017 Share Posted September 12, 2017 (edited) @r13Нет у меня тоже норма с ними, если у вас клиент кинетик поставьте ему самый высокий приоритет, укажите интерфейс который в данный момент ISP ну и галку на маршруты тогда все должно заработать по крайней мере со стороны сервера Edited September 12, 2017 by ICMP Quote Link to comment Share on other sites More sharing options...
r13 Posted September 12, 2017 Share Posted September 12, 2017 (edited) 16 минут назад, ICMP сказал: @r13Нет у меня тоже норма с ними, если у вас клиент кинетик поставьте ему самый высокий приоритет, укажите интерфейс который в данный момент ISP ну и галку на маршруты тогда все должно заработать... а, да спасибо, про галку забыл, на клиенте появились. но по маршрутам со стороны сервера вопрос остается открытым. Edited September 12, 2017 by r13 Quote Link to comment Share on other sites More sharing options...
ICMP Posted September 12, 2017 Share Posted September 12, 2017 Ну на сервере тоже поставьте галку... Quote Link to comment Share on other sites More sharing options...
r13 Posted September 12, 2017 Share Posted September 12, 2017 (edited) 14 минуты назад, ICMP сказал: Ну на сервере тоже поставьте галку... Гениально! маршруты появились Правда ip шлюза не верный Подставился клиентский ip @Le ecureuil Конструкция в конфиге сервера почему то легла с клиентским ip в качестве шлюза в таблицу маршрутов.: route 192.168.4.0 255.255.255.0 route 192.168.2.0 255.255.255.0 селф далее Edited September 12, 2017 by r13 Quote Link to comment Share on other sites More sharing options...
ICMP Posted September 12, 2017 Share Posted September 12, 2017 Днем до этого момента дошел Все я ушел спать завтра продолжу Quote Link to comment Share on other sites More sharing options...
Сергей Молоков Posted September 13, 2017 Share Posted September 13, 2017 В 05.09.2017 в 15:03, Le ecureuil сказал: Примерно понятна ситуация, будем воспроизводить и чинить. Обновился, перезагрузился по 2 раза (в свитчах рабочие компы, не всегда могу перегрузить), все законнектились, спасибо за работу! Quote Link to comment Share on other sites More sharing options...
ICMP Posted September 13, 2017 Share Posted September 13, 2017 (edited) @Le ecureuil @r13 Короче разобрался! У меня тоже показывает не те шлюзы но это только визуально на деле все работает! Ошибка получается только визуальная... Sep 13 14:26:53ndmNetwork::Interface::OpenVpn: "OpenVPN0": install accepted route to 172.16.2.0/255.255.255.0 via 10.8.0.2. Sep 13 14:26:54ndmNetwork::Interface::OpenVpn: "OpenVPN0": install accepted route to 172.16.3.0/255.255.255.0 via 10.8.0.2. Но сам openvpn делает все как надо: Client2 Sep 13 14:26:58OpenVPN0client2/*.*.*.* OPTIONS IMPORT: reading client specific options from: /storage/ccd/client2 Sep 13 14:26:58OpenVPN0client2/*.*.*.* MULTI_sva: pool returned IPv4=10.8.0.2, IPv6=(Not enabled) Sep 13 14:26:58OpenVPN0client2/*.*.*.* OPTIONS IMPORT: reading client specific options from: /tmp/openvpn_cc_1402c472d8996386f6bb503d744f1db9.tmp Sep 13 14:26:58OpenVPN0client2/*.*.*.* MULTI: Learn: 10.8.0.2 -> client2/*.*.*.* Sep 13 14:26:58OpenVPN0client2/*.*.*.* MULTI: primary virtual IP for client2/*.*.*.*: 10.8.0.2 Sep 13 14:26:58OpenVPN0client2/*.*.*.* MULTI: internal route 172.16.2.0/24 -> client2/*.*.*.* Sep 13 14:26:58OpenVPN0client2/*.*.*.* MULTI: Learn: 172.16.2.0/24 -> client2/*.*.*.* Client3 Sep 13 14:27:03OpenVPN0client3/*.*.*.* OPTIONS IMPORT: reading client specific options from: /storage/ccd/client3 Sep 13 14:27:03OpenVPN0client3/*.*.*.* MULTI_sva: pool returned IPv4=10.8.0.3, IPv6=(Not enabled) Sep 13 14:27:03OpenVPN0client3/*.*.*.* OPTIONS IMPORT: reading client specific options from: /tmp/openvpn_cc_35714a41a51933dd8ac99b7d099d8e6d.tmp Sep 13 14:27:03OpenVPN0client3/*.*.*.* MULTI: Learn: 10.8.0.3 -> client3/*.*.*.* Sep 13 14:27:03OpenVPN0client3/*.*.*.* MULTI: primary virtual IP for client3/*.*.*.*: 10.8.0.3 Sep 13 14:27:03OpenVPN0client3/*.*.*.* MULTI: internal route 172.16.3.0/24 -> client3/*.*.*.* Sep 13 14:27:03OpenVPN0client3/*.*.*.* MULTI: Learn: 172.16.3.0/24 -> client3/*.*.*.* Edited September 13, 2017 by ICMP Quote Link to comment Share on other sites More sharing options...
Saymer Posted September 13, 2017 Share Posted September 13, 2017 (edited) Доброго времени суток! Есть такой замечательный сервис talk37.ru, он же rovoip.net. Не так давно даже был добавлен в список провайдеров для Keenetic DECT, по просьбам, за что отдельное спасибо. Так вот некоторое время назад там был организован VPN сервер средствами SoftEtherVPN. На сайте talk37 есть инструкция, как это настроить, в том числе там есть и OpenVPN файл, конфигурационный файл. https://talk37.ru/voip/settings/vpn/ Обычно как делал я, когда проверял, брал этот файл, открывал его в блокноте, брал оттуда все данные, и как тут рекомендовали выше, логин и пароль указать в тегах. <auth-user-pass> "указать логин, а во второй пароль от устройства или внешней учётной записи."</auth-user-pass> На прошивке 2.10 данная схема завелась, и работала. На прошивке 2.11.A.1.0-1, возникает интересная проблема. Соединение так же устанавливается и работает, пакеты ходят, соединение есть. IP адрес роутер от сервера получает, всё с виду так же как и раньше было на 2.10. Но, если бы не одно но, SIP программы на сервере регистрируются, работают, даже делают исходящие вызовы, но нет звука. Не ходят пакеты RTP. Вот как такое может быть? И есть ли какие то пути решения этой проблемы? Из за того, что не ходят пакеты RTP, нет звука в обе стороны, а Gigaset 510 телефон вообще отказывается звонить и принимать вызовы. Edited September 13, 2017 by Saymer Quote Link to comment Share on other sites More sharing options...
AndreBA Posted September 13, 2017 Share Posted September 13, 2017 4 минуты назад, Saymer сказал: На прошивке 1.10 4 минуты назад, Saymer сказал: На прошивке 1.11 У вас опечатка? Или это не версия прошивки роутера? Quote Link to comment Share on other sites More sharing options...
arbayten Posted September 13, 2017 Share Posted September 13, 2017 В 11.09.2017 в 22:45, Le ecureuil сказал: Потолок на 7628 - 70 Мбит/с (это когда шифрование и хэш равны NULL, openvpn только переклеиванием заголовков занимается). Не сильно-то и разгуляешься. На 7621 наверное в такой синтетике можно выжать 100 Мбит/с. В таких условиях блок шифрования применять смысла нет, потому что ускорение с условных 30 до условных 40 Мбит/с (а выше 70 не прыгнешь даже в теории - см. выше + overhead на копирование в ядро/обратно) - очень жидко для столь большого объема работы. Потому все полностью программно. Если нужна максимальная скорость с шифрованием - тогда нужно выбирать BF-CBC/MD5 или AES-GCM - по тестам они самые лучшие. просто тут такое дело:https://community.openvpn.net/openvpn/wiki/Gigabit_Networks_Linux и понятно, что с openssl м.б. что-то попробовать решить (интересно):https://forum.lede-project.org/t/hardware-crypto-for-mediatek-missing/3314/19https://forum.lede-project.org/t/hardware-crypto-for-mediatek-missing/3314/27 не то чтобы я спешил и не мог посмотреть базовые твики для буферов:https://wiki.openwrt.org/toh/d-link/dir-860l#supported_versions мне кажется, что у OVPN на наших хороших железках гораздо бОльший потенциал. Quote Link to comment Share on other sites More sharing options...
r13 Posted September 13, 2017 Share Posted September 13, 2017 @Saymer Можете еще L2TP/IPSec попробовать. Quote Link to comment Share on other sites More sharing options...
r13 Posted September 13, 2017 Share Posted September 13, 2017 2 часа назад, ICMP сказал: @Le ecureuil @r13 Короче разобрался! У меня тоже показывает не те шлюзы но это только визуально на деле все работает! Ошибка получается только визуальная... Sep 13 14:26:53ndmNetwork::Interface::OpenVpn: "OpenVPN0": install accepted route to 172.16.2.0/255.255.255.0 via 10.8.0.2. Sep 13 14:26:54ndmNetwork::Interface::OpenVpn: "OpenVPN0": install accepted route to 172.16.3.0/255.255.255.0 via 10.8.0.2. Надо смотреть трафик, вдруг он работает, но весь трафик через 10.8.0.2 гуляет Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 13, 2017 Share Posted September 13, 2017 11 минуту назад, arbayten сказал: просто тут такое дело:https://community.openvpn.net/openvpn/wiki/Gigabit_Networks_Linux и понятно, что с openssl м.б. что-то попробовать решить (интересно):https://forum.lede-project.org/t/hardware-crypto-for-mediatek-missing/3314/19https://forum.lede-project.org/t/hardware-crypto-for-mediatek-missing/3314/27 не то чтобы я спешил и не мог посмотреть базовые твики для буферов:https://wiki.openwrt.org/toh/d-link/dir-860l#supported_versions мне кажется, что у OVPN на наших хороших железках гораздо бОльший потенциал. Я же говорю, что там даже без шифрования ускорение максимум до 70 - 100 Мбит/с. С шифрованием обязательно добавляйте overhead на копирование в ядро / обратно, причем пакетики у openvpn мелкие и эффективность тоже будет низкая. В итоге получаем выйгрыш процентов в 20-30, проделав большую работу. Смысл на текущих процессорах виден слабо. Для нормального результата с криптоускорителем нужны пакеты в 1400 (а желательно вообще в 10К - вот там можно и 800 Мбит достичь в теории). А OpenVPN сильно дробит пакеты на блоки перед шифрованием. Скорее добавим поддержку OpenSSL 1.1 с Chacha20/Poly1305, она программно очень неплохо работает. Quote Link to comment Share on other sites More sharing options...
Saymer Posted September 13, 2017 Share Posted September 13, 2017 28 минут назад, AndreBA сказал: У вас опечатка? Или это не версия прошивки роутера? Да, спасибо, опечатка. Сейчас (у меня на U II) прошивка 2.11.A.1.0-1. Но изначально я настраивал человеку, у него Z K 4GIII Rev.A. Quote Link to comment Share on other sites More sharing options...
Saymer Posted September 13, 2017 Share Posted September 13, 2017 25 минут назад, r13 сказал: Можете еще L2TP/IPSec попробовать. Я бы с радостью, но на сайте написано: Цитата L2TP/IPsec тут будет текст. Общий ключ: ruvoip Я как то пробовал настроить, но у меня не получилось, а там не написано как. А с OpenVPN сразу начало работать (после редактирования файла), и работало вполне успешно, пока пользователь не обновил прошивку, которому я и настраивал это. А вообще, почему так нужно делать, почему без этого не работает. Пользователь находится в СНГ, и его провайдер не пропускает SIP трафик, режет. Приходится заворачивать трафик в туннель. что бы провайдер не резал. Quote Link to comment Share on other sites More sharing options...
ICMP Posted September 13, 2017 Share Posted September 13, 2017 22 минуты назад, r13 сказал: Надо смотреть трафик, вдруг он работает А я по вашему просто так что ли пост написал Я же говорю что работает, просто ndm не правильно отрабатывает... Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.