Добавить OpenVPN клиент в прошивку

[Sfut]

Большая просьба добавить OpenVPN клиент в прошивку. Чем не устраивает Entware:

- во-первых не всем хочется разбираться с Entware;

- во-вторых порты USB могут быть просто заняты модемом, принтером и это пожалуй главное;

- в-третьих решение из прошивки будет протестировано и отлажено разработчиками;

- и наконец, у конкурентов то есть.

[ndm]

Поддержка OpenVPN добавлена в версии 2.10.A.1.0-0.

[Александр Рыжов]

12 часа назад, Le ecureuil сказал:

Собственно именно сложность и многогранность OpenVPN не позволяет нам его нахрапом добавить.

Хотя бы импорт *.ovpn как у Азуса.

[gik]

По поводу аргумента, что есть ipsec. Реальная ситуация такова, что ipsec далеко не везде получается использовать. Однажды рано утром я проснулся. Мне в голову ударило. Свежая мысль, естественно. Решил я сделать всё правильно, и в одной крупной компании сделать туннели в центральный офис из примерно 100 филиалов с помощью ipsec и x509 сертификатов. Заодно и ключевым сотрудникам выдать сертификаты и разрешить из дома подключаться к корпоративной сети. Даже начали покупать недорогие маршрутизаторы с поддержкой ipsec. Но тут начинаются суровые будни.

Проблем нет:

1. Офисы в бизнес-центрах, где дорогой и качественный интернет.

2. Москва, квартиры с крупными провайдерами.

3. Регионы, культурные провайдеры.

В остальных местах начинается такой зоопарк, что мало не покажется. Есть предприятия в чистом поле, которым интернет дают по WiMAX  соседние предприятия. Есть договорённости с физ лицами, что те, через радио-реле из своей квартиры транслируют интернет. Есть провайдеры, наверное, с очень хорошими фотографами, но с плохими администраторами. Есть point-to-point xDSL с кривыми модемами. У всех у них категорическая проблема с ipsec.

Выражается она, в основном, в неправильной настройке mtu (когда используются всякие туннели внутри туннелей и все это поверх туннеля), в блокировке icmp трафика, из-за которой невозможно pmtu, в настройки слишком маленького значения mtu (якобы для производительности) в результате которого не помещается сертификат x509 в один пакет и не устанавливается соединение.

Короче. Примерно в 30%-40% случаев за МКАД ipsec туннель нам запустить не удалось. Сначала мы аккуратно разговаривали с провайдерами и выполняющими их функции всякими лицами. В некоторых случаях удалось убеждать. Было даже "вот тебе клавиатура, садись, настрой наше оборудование как тебе надо". Затем в очередной раз, когда не было связи из филиала в центральный офис, получили по шее от руководства. Начали делать типовую конфигурацию l2tp  поверх ipsec, где нет ipsec тупо его отрубали и оставался хотя бы не криптованный туннель. Потом нашлись провайдеры, которые умудрялись l2tp пакеты присылать в разном порядке, туннель постоянно падал. На такие точки, перекрестясь, прося прощения в демонических и пингвиньих богов, поднимали PPTP. Где-то находились клиенты, которые не поддерживают шифрование  MPE, убирали шифрование везде. В результате на сервере был поднят ipsec, l2tp-сервер, pptp сервер.

Это совершенно не укладывалось в спокойную жизнь порядочного системного администратора, который всё настроил и спит спокойно. Мы поставили openvpn. Причём через TCP. Я начал высыпаться. Обнаружил, что на улице есть времена года. Трава весной, оказывается не такая зелёная, как осенью. А (sic!) в пищи есть вкус и её можно есть просто за столом болтая с кем-нибудь и ничего при этом не делая и не пялясь в монитор.

Вот не надо мне рассказывать, что ipsec спасёт человечество. Может быть потом, но не скоро. OpenVPN очень нужен. Entware-keenetic поставил себе из-за него. Ну и теперь просто приятно делать ssh на роутер и чувствовать себя хозяином

 

 

 

[dexter]

Голосовать не буду, но выскажу свое мнение.

OVPN очень гибкая штука и там где клиент, сервер очень рядом и наоборот. Если нужен OVPN проще его из ентваре поставить со всеми сопутсвующими плюшками, чем, что-то прошивочное(не в обиду разработчикам).

Нужно убить чуть-чуть времени и настроить все под себя.

Edited September 13, 2016 by dexter

[Sfut]

2 минуты назад, vadimbn сказал:

зачем вообще это медленное неоптимизируемое нечто, работающее в userspace, когда есть IPsec с аппаратной разгрузкой?

Все просто, речь идет в первую очередь о клиенте. Какое подключение предоставляет удаленный сервер такое и используется, не всегда можно выбрать.

[Dmitry Znamensky]

Конечно надо сделать

[Le ecureuil]

Всем спасибо за фидбек, он был учтен  

Дальше обсуждаем уже реализованную вещь: 

 

[Le ecureuil]

4 часа назад, Sfut сказал:

- в-третьих решение из прошивки будет протестировано и отлажено разработчиками;

То есть хотите нас еще нагрузить лишней работой?

Цитата

- и наконец, у конкурентов то есть.

Это какие еще примеры кроме полуживого в микротике есть?

[Le ecureuil]

Собственно именно сложность и многогранность OpenVPN не позволяет нам его нахрапом добавить. Всем нужны абсолютно разные конфигурации. Плюс у нас прошивка до сих пор не умеет работать с PKI и ключами.

[Sfut]

14 часа назад, Le ecureuil сказал:

Это какие еще примеры кроме полуживого в микротике есть?

У средних и старших асусов есть и  OpenVPN client и OpenVPN Server, например у   RT-AC58U, RT-AC1200HP, RT-AC66R,, RT-AC55U, RT-AC66U. Можно еще с десяток моделей набрать. Даже у N56 насколько я знаю на альтернативной прошивке есть. Несколько моих знакомых предпочли купить асусы именно потому,что там был  OpenVPN из коробки. Посмотрите на ассортимент крупнейшего украинского магазина http://rozetka.com.ua/routers/zyxel/c80193/v787/ и сравните с количеством предлагаемых асусов и тп-линков, а предлагают то что покупают.

 

13 часа назад, dexter сказал:

проще его из ентваре поставить со всеми сопутсвующими плюшками

Порты USB могут быть  заняты модемом, принтером. Кинетики продаются сотнями тысяч, как утверждал представитель Zyxel на ixbt. Число людей хотя бы минимально знающих линукс и что-то слышавших об ентваре в процентном отношении к числу пользователей роутеров примерно равно загрузке процессора моей Giga III с включенным HW NAT на IPoE по проводу при тарифе 10 Мбит.

 

14 часа назад, Le ecureuil сказал:

То есть хотите нас еще нагрузить лишней работой?

Нет, лишней работой нагружать не хотим.  Хотим по делу. Хотим чтобы Zyxel были лучшими.  Раз рестайлинг провели, "чтобы оставаться на вашей стороне" то и оставайтесь на стороне пользователей.

Предлагаю пока добавить OpenVPN client в какой-то минимальной конфигурации, а насчет сервера и чего-то расширенного дальше видно будет.  Если кому понадобятся какие-нибудь нестандартные конфигурации вот тогда можно и ентваре. 

Давайте голосовать.

Edited September 14, 2016 by Sfut

[vadimbn]

56 минут назад, Sfut сказал:

Число людей хотя бы минимально знающих линукс и что-то слышавших об ентваре

...примерно равно числу людей, которым нужен OpenVPN. Мое личное мнение - зачем вообще это медленное неоптимизируемое нечто, работающее в userspace, когда есть IPsec с аппаратной разгрузкой?

[viktorkruglov]

Как средний юзер скажу - OpenVPN очень сложное решение (я смог разобраться, но была потрачена не одна неделя). Один "не тот" пункт в многострочном конфиг-файле и полный затык. Замучают глупыми и не очень вопросами.

Кроме того, оффтопом скажу, что скажем в Китае handshake OpenVPN прекрасно детектируется DPI и режется. С учётом трендов на родине пушкина - есть веские основания считать, что OpenVPN будут резать также.

 

[zyxmon]

16 минут назад, viktorkruglov сказал:

Как средний юзер скажу - OpenVPN очень сложное решение (я смог разобраться, но была потрачена не одна неделя). Один "не тот" пункт в многострочном конфиг-файле и полный затык.

Раньше считали, что web морду к openvpn не прикрутить. Сейчас прикручивают, но очень ограниченную. Openvpn настраивается через конфиги ручками. Что сервер, что клиент. Нормально через морду не настроить.

Edited October 6, 2016 by zyxmon

[kpox]

23 часа назад, zyxmon сказал:

Раньше считали, что web морду к openvpn не прикрутить. Сейчас прикручивают, но очень ограниченную. Openvpn настраивается через конфиги ручками. Что сервер, что клиент. Нормально через морду не настроить.

Это скрин от какого web-gui ?

[zyxmon]

на нас от qnap

[Sfut]

Голоса росли, а сейчас почему-то начали таять прямо на глазах. Неужели не нужен  OpenVPN клиент в прошивке?

В 14.09.2016 в 09:15, Александр Рыжов сказал:

Хотя бы импорт *.ovpn как у Азуса.

Ведь многие VPN серверы предоставляют подключение по этому протоколу, и выбора иногда просто нет.

Edited October 24, 2016 by Sfut

[cmdmn]

Очень нужен! Хотя бы клиент.

Sent from my GT-I9192 using Tapatalk

[Sfut]

7 часов назад, cmdmn сказал:

Очень нужен! Хотя бы клиент

Так голосуйте

[dmitrya]

Основная проблема, как я понимаю, это интерфейс. В том же ASUS'е убогий интерфейс для OpenVPN сервера

[m__a__l]

5 часов назад, dmitrya сказал:

Основная проблема, как я понимаю, это интерфейс. В том же ASUS'е убогий интерфейс для OpenVPN сервера

У asus'a был вполне вменяемый интерфейс в альтернативной прошивке от мерлина, зашел, поставил галочку, нажал кнопку применить, а далее кнопку сгенерировать сертификат, и ты через две минуты спокойно подключаешься к своему серверу даже с iphone. 

Рас уж лень делать балансировщик нагрузки на 2 канала, казалось бы это прямая функция "Интернет центра", которая кстати в asus'e идет из коробки, так запилите хотя бы вменяемый OpenVPN, а то с огрызков подключаться не удобно. 

Edited December 8, 2016 by m__a__l

[TheRock666]

Искал сообщения по настройке Entware клиента по форуму с запросом OpenVPN и наткнулся на эту тему. Тоже проголосую, очень нужен именно клиент, сервак имхо вообще до лампочки. 

[ariss]

И я присоединяюсь - VPN клиент нужен! И лучше и PPTP и OpenVPN

 

Скрытый текст

зы -  сервером постоянно пользуюсь

 

Edited February 26, 2017 by ariss

[Le ecureuil]

В 2/26/2017 в 09:46, ariss сказал:

И я присоединяюсь - VPN клиент нужен! И лучше и PPTP и OpenVPN

 

  Показать содержимое

зы -  сервером постоянно пользуюсь

 

PPTP же есть o_O

[tolpol]

Присоединяюсь.OpenVPN клиент нужен.

[Sfut]

1 час назад, tolpol сказал:

Присоединяюсь.OpenVPN клиент нужен

Вверху страницы есть голосовалка, вот там и надо присоединяться, а точнее голосовать .

[Imagava]

столкнулся с бедой... опенвпн клиент нужен, т.к. работаю именно через него, и очень неудобно когда приходится его каждый раз ставить на новую машину, и это отнимает время, вместо того, чтобы просто залить конфиг на роутер и все...

[Le ecureuil]

11 час назад, Imagava сказал:

столкнулся с бедой... опенвпн клиент нужен, т.к. работаю именно через него, и очень неудобно когда приходится его каждый раз ставить на новую машину, и это отнимает время, вместо того, чтобы просто залить конфиг на роутер и все...

Вы понимаете, что на Lite III rev. B реальная скорость будет в лушем случае мегабит 10-15?