Report post 06/09/2017 10:33 PM В 6/10/2017 в 01:00, ndm сказал: Поддержка OpenVPN добавлена в версии 2.10.A.1.0-0 Ох ты ж.. Вот это было неожиданно. Еще не ставил.. Поддерживается и tun и tap или только tun? Как с интерфейсами дела обстоят? Правильно ли я понимаю, что OpenVPN будет даже на MT7628N, например 4G III rev. B или Start II? Интересует подключение удаленной точки с достаточной скоростью 4-8 мбит/с, если учесть что IPsec там сломан на уровне присутствующего интернет-канала (аккурат по посту @gik), и хочется избавиться от лишних флешек-entware/openwrt/etc. Quote Share this post Link to post Share on other sites
Report post 06/09/2017 10:38 PM 5 минут назад, KorDen сказал: Ох ты ж.. Вот это было неожиданно. Еще не ставил.. Поддерживается и tun и tap или только tun? Как с интерфейсами дела обстоят? Правильно ли я понимаю, что OpenVPN будет даже на MT7628N, например 4G III rev. B или Start II? Интересует подключение удаленной точки с достаточной скоростью 4-8 мбит/с, если учесть что IPsec там сломан на уровне присутствующего интернет-канала (аккурат по посту @gik), и хочется избавиться от лишних флешек-entware/openwrt/etc. Поддерживается tun и tap. Скорость до 30 МБит/с на ультре2, но конечно фидбек хотелось бы получить. @Le ecureuil немного в отпуске, правда.. 1 Quote Share this post Link to post Share on other sites
Report post 06/09/2017 11:13 PM (edited) Собственно, первый же вопрос по OpenVPN. Конфиг, я так понимаю необходимо брать из *.ovpn? Залил его через веб-морду, но в журнале такие сообщения: Jun 10 02:09:42ndmNetwork::Interface::Repository: created interface OpenVPN0. Jun 10 02:09:42ndmNetwork::Interface::Supplicant: authnentication is unchanged. Jun 10 02:09:42ndmNetwork::Interface::Base: "OpenVPN0": interface is up. Jun 10 02:09:42ndmNetwork::Interface::Base: "OpenVPN0": description saved. Jun 10 02:09:42ndmNetwork::Interface::IP: "OpenVPN0": interface is non-global. Jun 10 02:09:42ndmNetwork::Interface::IP: TCP-MSS adjustment enabled. Jun 10 02:09:42ndmNetwork::Interface::IP: "OpenVPN0": IP address cleared. Jun 10 02:09:42ndmNetwork::Interface::Base: "OpenVPN0": schedule cleared. Jun 10 02:09:42ndmNetwork::Interface::OpenVpn: "OpenVPN0": set connection via any interface. Jun 10 02:09:42ndmNetwork::Interface::OpenVpn: "OpenVPN0": configuration successfully saved. Jun 10 02:09:42ndmNetwork::Interface::OpenVpn: "OpenVPN0": disable automatic routes accept via tunnel. Jun 10 02:09:43ndmCore::ConfigurationSaver: saving configuration... Jun 10 02:09:45OpenVPN0Unrecognized option or missing or extra parameter(s) in configuration: (line 10): block-outside-dns (2.4.2) Jun 10 02:09:45OpenVPN0Exiting due to fatal error Jun 10 02:09:45ndmService: "OpenVPN": unexpectedly stopped. Jun 10 02:09:45ndmNetwork::Interface::OpenVpn: "OpenVPN0": configuration is invalid. Jun 10 02:09:46ndmCore::ConfigurationSaver: configuration saved. В итоге интерфейс не поднимается. Пробовал через telnet поднимать, тоже ошибку выдает. Нуждаюсь в помощи. upd: убрал "setenv opt block-outside-dns", интерфейс стратовал, получил внешний IP, но находится в статусе "Резервирование" и не имеет выхода в интернет. Конфиг выглядит так: Скрытый текст nobind client # Remote server here remote vpn.zaborona.help remote-cert-tls server cipher AES-128-CBC setenv opt ncp-ciphers AES-128-GCM setenv opt block-outside-dns dev tun proto tcp <ca> -----BEGIN CERTIFICATE----- MIIDOzCCAiOgAwIBAgIJAOZ+WWiLZjjVMA0GCSqGSIb3DQEBCwUAMBgxFjAUBgNV BAMMDVphYm9yb25hLmhlbHAwHhcNMTcwNTE5MTk0MzI3WhcNMjcwNTE3MTk0MzI3 WjAYMRYwFAYDVQQDDA1aYWJvcm9uYS5oZWxwMIIBIjANBgkqhkiG9w0BAQEFAAOC AQ8AMIIBCgKCAQEA4BufraaBWWD5M8h7vt+4wGw/7OHeKOqZN4hS/OmqfwOIEJV3 5OWtzLmL5OpT5kIZ+NetF3ooc2pWRSZ+642IlzjIC2GqT/V5p/VXKjZsAZXQaaVo OuWXlVmJFpR9nO3PIDn4wQvhQPPnJIYQgCl/vMV7TE9ZkpziEBAY9v3chwXHJ8+w DyXkFn/BIMBdDamz+K7ffH17CM4aLr59W9AKc/DVox9ogdXmiVwCXag6byENZZEz 1LgpU+YtH/GnVyLSsaXC/fZQ12/NMjI/XXIM6x02pR/F4faOCLHHdYaWp3XJTQPj vdPp7ve/8qWNijdkRma7y8TbmRYEut/JbiLFyQIDAQABo4GHMIGEMB0GA1UdDgQW BBR7+jwpIvjCvbSi5cDxbig/UkYIuDBIBgNVHSMEQTA/gBR7+jwpIvjCvbSi5cDx big/UkYIuKEcpBowGDEWMBQGA1UEAwwNWmFib3JvbmEuaGVscIIJAOZ+WWiLZjjV MAwGA1UdEwQFMAMBAf8wCwYDVR0PBAQDAgEGMA0GCSqGSIb3DQEBCwUAA4IBAQCA HG//Q5HrOuucEdqQqmxUhyXp+wZgcHMkDmqaXD2kgbhaa6L7M68yGryDsHFh+pZ6 1ePabk7kmvJnYWEY7veQzWJgBNfHBja+2wTEOEQTJW0DCeJw9QUpajrBcrRQz5DJ BGrXcKAWZvqYjgp3fIDGtxZh0KCaJrPT2jmj3qM+aq8LEhM2mlqpvLVq6FLvUYiU /iTdNpVL6Xdd16839G1VatvnZlCoGTc/6iBwbs9+xt7BkCVdY2gb3egB833gAxwv DMwC41oj8XJlY2N5ieqhINYCtNOa+9REoJP9fycoNMpcejbF/UeEdZtpCfRHAE7h BvStsSqP1Gl9ZeCtmntI -----END CERTIFICATE----- </ca> <cert> -----BEGIN CERTIFICATE----- MIIDWzCCAkOgAwIBAgIBAjANBgkqhkiG9w0BAQsFADAYMRYwFAYDVQQDDA1aYWJv cm9uYS5oZWxwMB4XDTE3MDUxOTE5NDQxMloXDTI3MDUxNzE5NDQxMlowETEPMA0G A1UEAwwGcHVibGljMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA0RMM ZHEgUmH5Mve+lOPrAIVfbmLNP+93J3Gymtga4pu/ia44/+7hQiE01ad13RuoiplI 1KyQAaHUiYh2YKX6K+ZTQwHWYXBXVsbmQVjqftSOlakWSWW0gZq9qV8Dbxa1hP51 KTdj8fPk2jfiv/D2N60FaqSg/pL4+Xjjo2ogBLvHujnNebOaZ2VJFQT1chEpT9ch /H0GWMS3qK6vBEnXBcxio8DxfyRMarwbzFfSM4prv4VE7BfgJ+5Fm2IEsLtWKAM1 kH+1rPXaBlZbDj4ozlV4gYD1rJYXL3ngzMj5/Tymt3Oj/RVsM1fl25JaA9hQSr0r Y/2Qb3PuuuQiUkk64wIDAQABo4G2MIGzMAkGA1UdEwQCMAAwHQYDVR0OBBYEFBHa Ph6sI0eq0z6O+E2KFdLA2fPnMEgGA1UdIwRBMD+AFHv6PCki+MK9tKLlwPFuKD9S Rgi4oRykGjAYMRYwFAYDVQQDDA1aYWJvcm9uYS5oZWxwggkA5n5ZaItmONUwHQYD VR0lBBYwFAYIKwYBBQUHAwIGCCsGAQUFBwMRMAsGA1UdDwQEAwIHgDARBgNVHREE CjAIggZwdWJsaWMwDQYJKoZIhvcNAQELBQADggEBAFWlN/iFntyrXC6GA/VY9sWF aah7FUTZ7axd/qL70x+s62VcohddX4qFdETdeAPPva7Z60lKQdXwjXynJ/DiLiS5 UoALMD1bSzDBqA69GrSDTMsYvVU3QvNmUgBvPHjXqqj9ZT287KxYzRPWNY9m8IBA 4T8Q3zJFOtKZH0gijoMUWI10fnwU1olkt5d28ldRC2EYuE+Gdm8jAZDvfQ4XwkvD CfG+gSIJ8Gg1VfsaX2qKgoBNW5or6RSxdBKCiVgLL3GSITlkrrN0O7VvT8C/qDJs pk/mgRCDARL8jLwtaRV0xrDAnSPyuctRpHc6BFJzDKerX7ABCgOOcTUAr8SbbSc= -----END CERTIFICATE----- </cert> <key> -----BEGIN PRIVATE KEY----- MIIEvwIBADANBgkqhkiG9w0BAQEFAASCBKkwggSlAgEAAoIBAQDREwxkcSBSYfky 976U4+sAhV9uYs0/73cncbKa2Brim7+Jrjj/7uFCITTVp3XdG6iKmUjUrJABodSJ iHZgpfor5lNDAdZhcFdWxuZBWOp+1I6VqRZJZbSBmr2pXwNvFrWE/nUpN2Px8+Ta N+K/8PY3rQVqpKD+kvj5eOOjaiAEu8e6Oc15s5pnZUkVBPVyESlP1yH8fQZYxLeo rq8ESdcFzGKjwPF/JExqvBvMV9Izimu/hUTsF+An7kWbYgSwu1YoAzWQf7Ws9doG VlsOPijOVXiBgPWslhcveeDMyPn9PKa3c6P9FWwzV+XbkloD2FBKvStj/ZBvc+66 5CJSSTrjAgMBAAECggEBAJBE6603ns0aTCJOcFU/fP8sCXEbfnRa4sb2Hv/YlZy/ SolQDocUqJ3AWjwARUWg+0lAgtA2j1yA9i89WipQ/fNjCRtY3jz4j1wS/fojyBRi yk0dk4JsSwWP6MZCCRWT/wfZqrEZRr9DxCyMmcxHEy/SFcXD+lAQzPsg3zv5VETO q67S2s/njkSWyA9woRJLztld/Az/Rgh5VP2TxDCIHb0dTE6648lIUO0VkVfg8+G4 3BLXXA86YCFmRdTfs6rywf9jPN6V1gnyICk198/2Ne+jM3kNxNMn8jBDbjTkxT1b ovBKDDpNNuLbBTjtlxEm3Q1CPuAH+0L8nfb9ZtSoISkCgYEA6rvgqTwAX272LXZi jJuE6tJtOB47tih8HRgzQbCLPRduwz7P7ObtUSD88fSYsKCEb3T3kiUeMVADbWnR DLqUetcDUAjPe0l/KcR0pef0mVvP1CnsTY+i9yGAOMkfrLqIBrLRd+8KRs85DHYm /NYDHptDdGHjBW8Olc4L6+Wq/4cCgYEA5AQOlD9oWQuvrWhX1K1sK0JQxu36phrD w5JuS5TJKyWxzABkgHJx8ZVIOhNUtXLSAkVQlaM5hKj/gVgf+DZsKaIcxWT7xLZZ Qdiz3bRFtigxyZD67oRvzxBWg5XBnrgieM/C5+EiNQ3iRDjbvL228+cDIYPpwwtD 7/hHA15uqMUCgYEAgEZngVQeyAg1U6bMOBaMzl5r/SzYaLU7DhM5f35guOPjTaM3 sTiJG7qxP+/wuSUe+mGrIRxToZMeLF6VNSWJGpABaW1HJRKHAWYwcLGPg3ce3cyD K+eAoRiXn3CZdKUCzNZPjgD9VrDLdjnjGGxDjChA9oq/qyqDh+3vqdv6VGUCgYBX qIOeVJ4eFZMNPF7/wUgjfVQmlhjVQNbf2eyTG/kWoGAxCDma8+SANp7UzNe1BhZc jx9C18RmDr5jkGiB+RIuE0eyT3dHEb9QxCmp4wMl22AAmL8PcVS2qxZHcgxEo4+F GIJauL943ASPq7g2YEz0iWw3t0noFO2iVLWgQu6R7QKBgQCp9SedsiPJXQADFVln 7j5yLj7qBdATuZHbqfCt4CI7GO+5kjtNqFdZAZphP+gFJe49srS17WPLEFYpQpix T77eOw4U3iIgoJoxn545CkMdH4H0lsQhfBOTqFJ8rdAzLTAa4pzgAOvLMsZWxM32 c+bjFxzMVzfVFOx30yZN8YbX6Q== -----END PRIVATE KEY----- </key> Edited June 9, 2017 by AlexUnder2010 1 Quote Share this post Link to post Share on other sites
Report post 06/10/2017 06:40 AM (edited) 7 часов назад, AlexUnder2010 сказал: Собственно, первый же вопрос по OpenVPN. Конфиг, я так понимаю необходимо брать из *.ovpn? Залил его через веб-морду, но в журнале такие сообщения: Jun 10 02:09:42ndmNetwork::Interface::Repository: created interface OpenVPN0. Jun 10 02:09:42ndmNetwork::Interface::Supplicant: authnentication is unchanged. Jun 10 02:09:42ndmNetwork::Interface::Base: "OpenVPN0": interface is up. Jun 10 02:09:42ndmNetwork::Interface::Base: "OpenVPN0": description saved. Jun 10 02:09:42ndmNetwork::Interface::IP: "OpenVPN0": interface is non-global. Jun 10 02:09:42ndmNetwork::Interface::IP: TCP-MSS adjustment enabled. Jun 10 02:09:42ndmNetwork::Interface::IP: "OpenVPN0": IP address cleared. Jun 10 02:09:42ndmNetwork::Interface::Base: "OpenVPN0": schedule cleared. Jun 10 02:09:42ndmNetwork::Interface::OpenVpn: "OpenVPN0": set connection via any interface. Jun 10 02:09:42ndmNetwork::Interface::OpenVpn: "OpenVPN0": configuration successfully saved. Jun 10 02:09:42ndmNetwork::Interface::OpenVpn: "OpenVPN0": disable automatic routes accept via tunnel. Jun 10 02:09:43ndmCore::ConfigurationSaver: saving configuration... Jun 10 02:09:45OpenVPN0Unrecognized option or missing or extra parameter(s) in configuration: (line 10): block-outside-dns (2.4.2) Jun 10 02:09:45OpenVPN0Exiting due to fatal error Jun 10 02:09:45ndmService: "OpenVPN": unexpectedly stopped. Jun 10 02:09:45ndmNetwork::Interface::OpenVpn: "OpenVPN0": configuration is invalid. Jun 10 02:09:46ndmCore::ConfigurationSaver: configuration saved. В итоге интерфейс не поднимается. Пробовал через telnet поднимать, тоже ошибку выдает. Нуждаюсь в помощи. upd: убрал "setenv opt block-outside-dns", интерфейс стратовал, получил внешний IP, но находится в статусе "Резервирование" и не имеет выхода в интернет. KII все завелось с полпинка, conf взял ранее который описывал тут от OpenVPN Скрытый текст ! interface OpenVPN0 description OpenTest security-level public ip dhcp client dns-routes ip dhcp client name-servers ip global 350 ip tcp adjust-mss pmtu openvpn accept-routes openvpn connect via PPPoE0 up Конфиг в WEB client dev tun1 persist-key persist-tun nobind proto tcp4-client remote vpn.xxxxx.xxx yyyy remote-cert-tls server comp-lzo no verb 3 cipher aes-128-cbc auth sha1 ca /opt/etc/openvpn/ca.crt cert /opt/etc/openvpn/client.crt key /opt/etc/openvpn/client.key #management 127.0.0.1 16 #management-log-cache 100 mute 3 syslog writepid "/opt/var/run/openvpn.pid" resolv-retry infinite script-security 2 tun-mtu 1500 mtu-disc yes setenv opt ncp-ciphers AES-128-GCM resolv-retry infinite серт. положил готовые, маршруты от VPN сервера 1001 nobody 3980 S /usr/sbin/openvpn --syslog OpenVPN0 --config /tmp/openvpn/OpenVPN0/openvpn.config --user nobody --group nobody --syslog OpenVPN0 ovpn_br0 Link encap:Ethernet HWaddr 76:7F:30:76:F8:84 inet addr:192.168.221.7 Bcast:192.168.221.255 Mask:255.255.252.0 inet6 addr: fe80::747f:30ff:fe76:f884/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:68 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 B) TX bytes:30024 (29.3 KiB) tun1 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 UP POINTOPOINT RUNNING MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:68 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:0 (0.0 B) TX bytes:30024 (29.3 KiB) / # ip ro default dev ppp0 scope link хх.хх.хх.0/18 via 192.168.220.1 dev ovpn_br0 ... 192.168.220.0/22 dev ovpn_br0 proto kernel scope link src 192.168.221.7 Edited June 10, 2017 by vasek00 Quote Share this post Link to post Share on other sites
Report post 06/10/2017 07:49 AM 9 часов назад, KorDen сказал: Ох ты ж.. Вот это было неожиданно. Еще не ставил.. Поддерживается и tun и tap или только tun? Как с интерфейсами дела обстоят? Правильно ли я понимаю, что OpenVPN будет даже на MT7628N, например 4G III rev. B или Start II? Интересует подключение удаленной точки с достаточной скоростью 4-8 мбит/с, если учесть что IPsec там сломан на уровне присутствующего интернет-канала (аккурат по посту @gik), и хочется избавиться от лишних флешек-entware/openwrt/etc. И tun, и tap. В системе представляется для совместимости в виде Ethernet-интерфейса, можно включать в Bridge (даже tun ), но для tun недоступны VLAN. OpenVPN уже есть в 2.10 на всем, для чего она собралась. Единственное ограничение - все ключи должны быть интегрированы в один файл конфига (пример ниже). Дерзайте! А если что, я хоть и в отпуске, но периодически буду посматривать форум и подскажу с особо непонятными местами. Если что-то идет не так, то > interface OpenVPNX debug и потом self-test в тему. remote 172.16.1.1 dev tun proto udp nobind persist-tun cipher AES-128-CBC comp-lzo no verb 3 ifconfig 10.8.0.2 10.8.0.1 <secret> # # 2048 bit OpenVPN static key # -----BEGIN OpenVPN Static key V1----- caacc3274dfc05c41f9086261903bb68 adbdd7520caa89ec84a3314eb6eaff5d 49367611a9ec657dbacd47b148ae9f23 cbbbba43ccfc6c6149ee8453a5552944 e31eb1b928c96d9a515dd3f5d486a040 71ccf6a363d94368fb43023c6dcbbb75 3ef0e6fb69525689f3c9bae1ed1fe3b4 72875ae045fe284d70d5388cca730893 c30d4d0d7dd17aafd2e173afd257ab89 9ae308b40cca1f27093e186a59b9f6eb aca37680e01156dd54cd740fb830c994 eaea8a15074b49e85e126841dea57636 f627d50398e5dc756b07806a9f7374a4 a52016cc3ed51c3ae8ba021e26dba3d5 cc5b0e29472961ec0af0ab76b7270e83 ed27316a395fef6ca5f883850f10632e -----END OpenVPN Static key V1----- </secret> Quote Share this post Link to post Share on other sites
Report post 06/10/2017 08:01 AM 9 часов назад, AlexUnder2010 сказал: Собственно, первый же вопрос по OpenVPN. Конфиг, я так понимаю необходимо брать из *.ovpn? Залил его через веб-морду, но в журнале такие сообщения: Jun 10 02:09:42ndmNetwork::Interface::Repository: created interface OpenVPN0. Jun 10 02:09:42ndmNetwork::Interface::Supplicant: authnentication is unchanged. Jun 10 02:09:42ndmNetwork::Interface::Base: "OpenVPN0": interface is up. Jun 10 02:09:42ndmNetwork::Interface::Base: "OpenVPN0": description saved. Jun 10 02:09:42ndmNetwork::Interface::IP: "OpenVPN0": interface is non-global. Jun 10 02:09:42ndmNetwork::Interface::IP: TCP-MSS adjustment enabled. Jun 10 02:09:42ndmNetwork::Interface::IP: "OpenVPN0": IP address cleared. Jun 10 02:09:42ndmNetwork::Interface::Base: "OpenVPN0": schedule cleared. Jun 10 02:09:42ndmNetwork::Interface::OpenVpn: "OpenVPN0": set connection via any interface. Jun 10 02:09:42ndmNetwork::Interface::OpenVpn: "OpenVPN0": configuration successfully saved. Jun 10 02:09:42ndmNetwork::Interface::OpenVpn: "OpenVPN0": disable automatic routes accept via tunnel. Jun 10 02:09:43ndmCore::ConfigurationSaver: saving configuration... Jun 10 02:09:45OpenVPN0Unrecognized option or missing or extra parameter(s) in configuration: (line 10): block-outside-dns (2.4.2) Jun 10 02:09:45OpenVPN0Exiting due to fatal error Jun 10 02:09:45ndmService: "OpenVPN": unexpectedly stopped. Jun 10 02:09:45ndmNetwork::Interface::OpenVpn: "OpenVPN0": configuration is invalid. Jun 10 02:09:46ndmCore::ConfigurationSaver: configuration saved. В итоге интерфейс не поднимается. Пробовал через telnet поднимать, тоже ошибку выдает. Нуждаюсь в помощи. upd: убрал "setenv opt block-outside-dns", интерфейс стратовал, получил внешний IP, но находится в статусе "Резервирование" и не имеет выхода в интернет. Конфиг выглядит так: Скрыть содержимое nobind client # Remote server here remote vpn.zaborona.help remote-cert-tls server cipher AES-128-CBC setenv opt ncp-ciphers AES-128-GCM setenv opt block-outside-dns dev tun proto tcp <ca> -----BEGIN CERTIFICATE----- MIIDOzCCAiOgAwIBAgIJAOZ+WWiLZjjVMA0GCSqGSIb3DQEBCwUAMBgxFjAUBgNV BAMMDVphYm9yb25hLmhlbHAwHhcNMTcwNTE5MTk0MzI3WhcNMjcwNTE3MTk0MzI3 WjAYMRYwFAYDVQQDDA1aYWJvcm9uYS5oZWxwMIIBIjANBgkqhkiG9w0BAQEFAAOC AQ8AMIIBCgKCAQEA4BufraaBWWD5M8h7vt+4wGw/7OHeKOqZN4hS/OmqfwOIEJV3 5OWtzLmL5OpT5kIZ+NetF3ooc2pWRSZ+642IlzjIC2GqT/V5p/VXKjZsAZXQaaVo OuWXlVmJFpR9nO3PIDn4wQvhQPPnJIYQgCl/vMV7TE9ZkpziEBAY9v3chwXHJ8+w DyXkFn/BIMBdDamz+K7ffH17CM4aLr59W9AKc/DVox9ogdXmiVwCXag6byENZZEz 1LgpU+YtH/GnVyLSsaXC/fZQ12/NMjI/XXIM6x02pR/F4faOCLHHdYaWp3XJTQPj vdPp7ve/8qWNijdkRma7y8TbmRYEut/JbiLFyQIDAQABo4GHMIGEMB0GA1UdDgQW BBR7+jwpIvjCvbSi5cDxbig/UkYIuDBIBgNVHSMEQTA/gBR7+jwpIvjCvbSi5cDx big/UkYIuKEcpBowGDEWMBQGA1UEAwwNWmFib3JvbmEuaGVscIIJAOZ+WWiLZjjV MAwGA1UdEwQFMAMBAf8wCwYDVR0PBAQDAgEGMA0GCSqGSIb3DQEBCwUAA4IBAQCA HG//Q5HrOuucEdqQqmxUhyXp+wZgcHMkDmqaXD2kgbhaa6L7M68yGryDsHFh+pZ6 1ePabk7kmvJnYWEY7veQzWJgBNfHBja+2wTEOEQTJW0DCeJw9QUpajrBcrRQz5DJ BGrXcKAWZvqYjgp3fIDGtxZh0KCaJrPT2jmj3qM+aq8LEhM2mlqpvLVq6FLvUYiU /iTdNpVL6Xdd16839G1VatvnZlCoGTc/6iBwbs9+xt7BkCVdY2gb3egB833gAxwv DMwC41oj8XJlY2N5ieqhINYCtNOa+9REoJP9fycoNMpcejbF/UeEdZtpCfRHAE7h BvStsSqP1Gl9ZeCtmntI -----END CERTIFICATE----- </ca> <cert> -----BEGIN CERTIFICATE----- MIIDWzCCAkOgAwIBAgIBAjANBgkqhkiG9w0BAQsFADAYMRYwFAYDVQQDDA1aYWJv cm9uYS5oZWxwMB4XDTE3MDUxOTE5NDQxMloXDTI3MDUxNzE5NDQxMlowETEPMA0G A1UEAwwGcHVibGljMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA0RMM ZHEgUmH5Mve+lOPrAIVfbmLNP+93J3Gymtga4pu/ia44/+7hQiE01ad13RuoiplI 1KyQAaHUiYh2YKX6K+ZTQwHWYXBXVsbmQVjqftSOlakWSWW0gZq9qV8Dbxa1hP51 KTdj8fPk2jfiv/D2N60FaqSg/pL4+Xjjo2ogBLvHujnNebOaZ2VJFQT1chEpT9ch /H0GWMS3qK6vBEnXBcxio8DxfyRMarwbzFfSM4prv4VE7BfgJ+5Fm2IEsLtWKAM1 kH+1rPXaBlZbDj4ozlV4gYD1rJYXL3ngzMj5/Tymt3Oj/RVsM1fl25JaA9hQSr0r Y/2Qb3PuuuQiUkk64wIDAQABo4G2MIGzMAkGA1UdEwQCMAAwHQYDVR0OBBYEFBHa Ph6sI0eq0z6O+E2KFdLA2fPnMEgGA1UdIwRBMD+AFHv6PCki+MK9tKLlwPFuKD9S Rgi4oRykGjAYMRYwFAYDVQQDDA1aYWJvcm9uYS5oZWxwggkA5n5ZaItmONUwHQYD VR0lBBYwFAYIKwYBBQUHAwIGCCsGAQUFBwMRMAsGA1UdDwQEAwIHgDARBgNVHREE CjAIggZwdWJsaWMwDQYJKoZIhvcNAQELBQADggEBAFWlN/iFntyrXC6GA/VY9sWF aah7FUTZ7axd/qL70x+s62VcohddX4qFdETdeAPPva7Z60lKQdXwjXynJ/DiLiS5 UoALMD1bSzDBqA69GrSDTMsYvVU3QvNmUgBvPHjXqqj9ZT287KxYzRPWNY9m8IBA 4T8Q3zJFOtKZH0gijoMUWI10fnwU1olkt5d28ldRC2EYuE+Gdm8jAZDvfQ4XwkvD CfG+gSIJ8Gg1VfsaX2qKgoBNW5or6RSxdBKCiVgLL3GSITlkrrN0O7VvT8C/qDJs pk/mgRCDARL8jLwtaRV0xrDAnSPyuctRpHc6BFJzDKerX7ABCgOOcTUAr8SbbSc= -----END CERTIFICATE----- </cert> <key> -----BEGIN PRIVATE KEY----- MIIEvwIBADANBgkqhkiG9w0BAQEFAASCBKkwggSlAgEAAoIBAQDREwxkcSBSYfky 976U4+sAhV9uYs0/73cncbKa2Brim7+Jrjj/7uFCITTVp3XdG6iKmUjUrJABodSJ iHZgpfor5lNDAdZhcFdWxuZBWOp+1I6VqRZJZbSBmr2pXwNvFrWE/nUpN2Px8+Ta N+K/8PY3rQVqpKD+kvj5eOOjaiAEu8e6Oc15s5pnZUkVBPVyESlP1yH8fQZYxLeo rq8ESdcFzGKjwPF/JExqvBvMV9Izimu/hUTsF+An7kWbYgSwu1YoAzWQf7Ws9doG VlsOPijOVXiBgPWslhcveeDMyPn9PKa3c6P9FWwzV+XbkloD2FBKvStj/ZBvc+66 5CJSSTrjAgMBAAECggEBAJBE6603ns0aTCJOcFU/fP8sCXEbfnRa4sb2Hv/YlZy/ SolQDocUqJ3AWjwARUWg+0lAgtA2j1yA9i89WipQ/fNjCRtY3jz4j1wS/fojyBRi yk0dk4JsSwWP6MZCCRWT/wfZqrEZRr9DxCyMmcxHEy/SFcXD+lAQzPsg3zv5VETO q67S2s/njkSWyA9woRJLztld/Az/Rgh5VP2TxDCIHb0dTE6648lIUO0VkVfg8+G4 3BLXXA86YCFmRdTfs6rywf9jPN6V1gnyICk198/2Ne+jM3kNxNMn8jBDbjTkxT1b ovBKDDpNNuLbBTjtlxEm3Q1CPuAH+0L8nfb9ZtSoISkCgYEA6rvgqTwAX272LXZi jJuE6tJtOB47tih8HRgzQbCLPRduwz7P7ObtUSD88fSYsKCEb3T3kiUeMVADbWnR DLqUetcDUAjPe0l/KcR0pef0mVvP1CnsTY+i9yGAOMkfrLqIBrLRd+8KRs85DHYm /NYDHptDdGHjBW8Olc4L6+Wq/4cCgYEA5AQOlD9oWQuvrWhX1K1sK0JQxu36phrD w5JuS5TJKyWxzABkgHJx8ZVIOhNUtXLSAkVQlaM5hKj/gVgf+DZsKaIcxWT7xLZZ Qdiz3bRFtigxyZD67oRvzxBWg5XBnrgieM/C5+EiNQ3iRDjbvL228+cDIYPpwwtD 7/hHA15uqMUCgYEAgEZngVQeyAg1U6bMOBaMzl5r/SzYaLU7DhM5f35guOPjTaM3 sTiJG7qxP+/wuSUe+mGrIRxToZMeLF6VNSWJGpABaW1HJRKHAWYwcLGPg3ce3cyD K+eAoRiXn3CZdKUCzNZPjgD9VrDLdjnjGGxDjChA9oq/qyqDh+3vqdv6VGUCgYBX qIOeVJ4eFZMNPF7/wUgjfVQmlhjVQNbf2eyTG/kWoGAxCDma8+SANp7UzNe1BhZc jx9C18RmDr5jkGiB+RIuE0eyT3dHEb9QxCmp4wMl22AAmL8PcVS2qxZHcgxEo4+F GIJauL943ASPq7g2YEz0iWw3t0noFO2iVLWgQu6R7QKBgQCp9SedsiPJXQADFVln 7j5yLj7qBdATuZHbqfCt4CI7GO+5kjtNqFdZAZphP+gFJe49srS17WPLEFYpQpix T77eOw4U3iIgoJoxn545CkMdH4H0lsQhfBOTqFJ8rdAzLTAa4pzgAOvLMsZWxM32 c+bjFxzMVzfVFOx30yZN8YbX6Q== -----END PRIVATE KEY----- </key> Пока наш OpenVPN не умеет получать DNS снаружи, потому пропишите их руками. А вообще если он поднялся, то поднимите у него приоритет на странице broadband.globals. У OpenVPN должно быть самое больше число (при создании оно обычно самое низкое). Тогда все будет работать через него. И не забудьте поставить галку "Получать маршруты от удаленной стороны". Quote Share this post Link to post Share on other sites
Report post 06/10/2017 08:53 AM (edited) Столкнулся с тем же, что и у @AlexUnder2010 - ругается на block-outside-dns и не запускается. При этом в моем случае опция пушится с сервера, и по мануалу "Note that pushing unknown options from server does not trigger fatal errors". После добавления в конфиг "ignore-unknown-option block-outside-dns" запустился. При включении получения маршрутов с удаленной стороны, насколько я понимаю, получает максимум 64 маршрута. Edited June 10, 2017 by KorDen Quote Share this post Link to post Share on other sites
Report post 06/10/2017 08:59 AM 5 минут назад, KorDen сказал: Столкнулся с тем же, что и у @AlexUnder2010 - ругается на block-outside-dns и не запускается. При этом в моем случае опция пушится с сервера, и по мануалу "Note that pushing unknown options from server does not trigger fatal errors". После добавления в конфиг "ignore-unknown-option block-outside-dns" запустился. При включении получения маршрутов с удаленной стороны, насколько я понимаю, получает максимум 64 маршрута. У нас спецально пропатчено, чтобы неизвестные опции вызывали фатальные ошибки - так проще выявить неработоспособность вместо иллюзии что "все хорошо". Ну а добавив в игнор человек показывает, что он понимает что делает. Quote Share this post Link to post Share on other sites
Report post 06/10/2017 09:00 AM 6 минут назад, KorDen сказал: При включении получения маршрутов с удаленной стороны, насколько я понимаю, получает максимум 64 маршрута. Насчет числа маршрутов - все ограничено только самим OpenVPN, система примет столько, сколько он ей передаст. Quote Share this post Link to post Share on other sites
Report post 06/10/2017 09:02 AM Еще из ограничений: сейчас вообще не поддерживается IPv6 внутри и снаружи туннеля. Если кому-то это важно, то приведите нам пример туннельного провайдера с IPv6, чтобы мы тестировали на реальной конфигурации. Короче у вас есть две недели на обсуждение хотелок и проблем, а потом я вернусь в работу и начнем реализовывать. Quote Share this post Link to post Share on other sites
Report post 06/10/2017 10:52 AM (edited) 1 час назад, Le ecureuil сказал: Насчет числа маршрутов - все ограничено только самим OpenVPN, система примет столько, сколько он ей передаст. Да, проверил - нормально получает более 64. Видимо на первоначальном тестовом сервере какой-то баг.. 1 час назад, Le ecureuil сказал: У нас спецально пропатчено, чтобы неизвестные опции вызывали фатальные ошибки - так проще выявить неработоспособность вместо иллюзии что "все хорошо". Если эти ошибки в локальном конфигурационном файле - логично. Но если это ошибки в пропушенных с сервера опциях, зачем? Традиционно провайдеры VPN пушат опции и для Win, соответственно такие конфиги будут по-умолчанию фелиться. mode server планируется, или пока нет? В текущем виде "Options error: --ipchange cannot be used with --mode server (use --client-connect instead)" Ах да, еще интересный вопрос: Возможно ли напрячь аппаратный криптомодуль обработкой AES[/hmac]? Или EIP умеет только в ESP? Или улучшения производительности не будет из-за юзерспейсности и прочих костылей сабжа? Edited June 10, 2017 by KorDen Quote Share this post Link to post Share on other sites
Report post 06/10/2017 12:03 PM Как настроить OpenVPN? Имеются файл с расширением ovpn. 2 файла с расширением crt и файл с расширением key. Что с ними надо делать? Quote Share this post Link to post Share on other sites
Report post 06/10/2017 12:43 PM (edited) 39 минут назад, pachalia сказал: Имеются файл с расширением ovpn. 2 файла с расширением crt и файл с расширением key. Что с ними надо делать? Вариант 1: положить файлы crt/key куда-нибудь на флешку, открыть ovpn блокнотом, поправить пути в директивах ca, cert и key (и возможно tls-auth, если есть hmac), закинуть содержимое в конфиг. Вариант 2, более правильный: засунуть содержимое crt и key в ovpn: Открываем все файлы на редактирование в блокноте, смотрим в ovpn, какой файл указан в директиве ca (например ca serverca.crt). Удаляем эту строчку, вместо этого помещаем содержимое нужного файла в <ca> </ca> в конце ovpn файла. Аналогично делаем для key (<key>) и cert (<cert>). Например: Скрытый текст #содержимое ovpn client tls-client nobind ........ ........ #надо удалить строчки ca, cert и key ........ #конец содержимого ovpn <ca> -----BEGIN CERTIFICATE----- ... -----END CERTIFICATE----- </ca> <cert> -----BEGIN CERTIFICATE----- ... -----END CERTIFICATE----- </cert> <key> -----BEGIN PRIVATE KEY----- ... -----END PRIVATE KEY----- </key> Содержимое ovpn кидаем в таком виде в вебморду Edited June 10, 2017 by KorDen Quote Share this post Link to post Share on other sites
Report post 06/10/2017 02:21 PM 1 час назад, KorDen сказал: Вариант 1: положить файлы crt/key куда-нибудь на флешку, открыть ovpn блокнотом, поправить пути в директивах ca, cert и key (и возможно tls-auth, если есть hmac), закинуть содержимое в конфиг. Вариант 2, более правильный: засунуть содержимое crt и key в ovpn: Открываем все файлы на редактирование в блокноте, смотрим в ovpn, какой файл указан в директиве ca (например ca serverca.crt). Удаляем эту строчку, вместо этого помещаем содержимое нужного файла в <ca> </ca> в конце ovpn файла. Аналогично делаем для key (<key>) и cert (<cert>). Например: Показать содержимое #содержимое ovpn client tls-client nobind ........ ........ #надо удалить строчки ca, cert и key ........ #конец содержимого ovpn <ca> -----BEGIN CERTIFICATE----- ... -----END CERTIFICATE----- </ca> <cert> -----BEGIN CERTIFICATE----- ... -----END CERTIFICATE----- </cert> <key> -----BEGIN PRIVATE KEY----- ... -----END PRIVATE KEY----- </key> Содержимое ovpn кидаем в таком виде в вебморду Ну ,а если конфигурация такая? Как быть с файлами ca-4k.crt, user-4k.crt, user-4k.key ? Quote Share this post Link to post Share on other sites
Report post 06/10/2017 02:26 PM 8 часов назад, Le ecureuil сказал: Короче у вас есть две недели на обсуждение хотелок и проблем, а потом я вернусь в работу и начнем реализовывать. Ну, пожалуй начнём. 1 - Загрузка информации должна идти не через копирование-вставка, а через выбор файла(ов). 2 - Нужно чтобы была проверка синтаксиса. А сейчас приходиться лесть в лог и смотреть где что не так. Quote Share this post Link to post Share on other sites
Report post 06/10/2017 02:38 PM 11 минуту назад, pachalia сказал: Ну, пожалуй начнём. 1 - Загрузка информации должна идти не через копирование-вставка, а через выбор файла(ов). Соглашусь. Реализовать подобное было бы уж точно не лишним. 1 Quote Share this post Link to post Share on other sites
Report post 06/10/2017 04:00 PM (edited) 1 час назад, T@rkus сказал: Как быть с файлами ca-4k.crt, user-4k.crt, user-4k.key ? Так а какие именно файлы у вас указаны в ca, cert и key в ovpn-файле? с 4k или без? Я так понимаю просто файлы - длина ключа 2048bit, а которые 4k - 4096bit. Чем больше длина ключа, тем типа безопаснее и тем медленее. Это уже на вкус и цвет. И да, лучше юзайте 443 или 1194, 53 порт пров может перенаправлять к себе Edited June 10, 2017 by KorDen Quote Share this post Link to post Share on other sites
Report post 06/10/2017 04:31 PM (edited) 35 минут назад, KorDen сказал: Так а какие именно файлы у вас указаны в ca, cert и key в ovpn-файле? с 4k или без? Я так понимаю просто файлы - длина ключа 2048bit, а которые 4k - 4096bit. Чем больше длина ключа, тем типа безопаснее и тем медленее. Это уже на вкус и цвет. И да, лучше юзайте 443 или 1194, 53 порт пров может перенаправлять к себе Без 4к. Но соединение поднялось с ошибками. client dev tun1 proto udp remote 5.45.80.25 53 resolv-retry infinite redirect-gateway def1 nobind tun-mtu 1500 tun-mtu-extra 32 ca ca.crt cert user.crt key user.key cipher AES-256-CBC ns-cert-type server persist-key persist-tun verb 3 explicit-exit-notify route-method exe route-delay 3 route-metric 512 ping 45 ping-restart 225 Jun 10 19:28:03 OpenVPN0 OpenVPN 2.4.2 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD] Jun 10 19:28:03OpenVPN0 library versions: OpenSSL 1.0.2k 26 Jan 2017, LZO 2.10 Jun 10 19:28:03OpenVPN0 WARNING: --ns-cert-type is DEPRECATED. Use --remote-cert-tls instead. Jun 10 19:28:03OpenVPN0 TCP/UDP: Preserving recently used remote address: [AF_INET]5.45.80.25:53 Jun 10 19:28:03OpenVPN0 Socket Buffers: R=[155648->155648] S=[155648->155648] Jun 10 19:28:03OpenVPN0 UDP link local: (not bound) Jun 10 19:28:03OpenVPN0 UDP link remote: [AF_INET]5.45.80.25:53 Jun 10 19:28:03OpenVPN0 NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay Jun 10 19:28:03OpenVPN0 TLS: Initial packet from [AF_INET]5.45.80.25:53, sid=173d0de3 d3e9f67f Jun 10 19:28:03OpenVPN0 VERIFY OK: depth=1, C=RU, ST=RU-LEN, L=Saint Petersburg, O=ShadeYou.com, CN=ShadeYou.com CA, emailAddress=support@shadeyou.com Jun 10 19:28:03OpenVPN0 VERIFY OK: nsCertType=SERVER Jun 10 19:28:03OpenVPN0 VERIFY OK: depth=0, C=RU, ST=RU-LEN, L=Saint Petersburg, O=ShadeYou.com, CN=shadeyou.com, emailAddress=support@shadeyou.com Jun 10 19:28:03OpenVPN0 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA Jun 10 19:28:03OpenVPN0 [shadeyou.com] Peer Connection Initiated with [AF_INET]5.45.80.25:53 Jun 10 19:28:04ndm Network::Interface::OpenVpn: "OpenVPN0": added host route to remote endpoint 5.45.80.25 via PPTP2. Jun 10 19:28:04ndm Core::ConfigurationSaver: configuration saved. Jun 10 19:28:05OpenVPN0 SENT CONTROL [shadeyou.com]: 'PUSH_REQUEST' (status=1) Jun 10 19:28:05OpenVPN0 PUSH: Received control message: 'PUSH_REPLY,route 10.202.0.0 255.255.0.0,redirect-gateway def1,dhcp-option DNS 10.202.0.1,route 10.202.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.202.0.22 10.202.0.21' Jun 10 19:28:05OpenVPN0 OPTIONS IMPORT: timers and/or timeouts modified Jun 10 19:28:05OpenVPN0 OPTIONS IMPORT: --ifconfig/up options modified Jun 10 19:28:05OpenVPN0 OPTIONS IMPORT: route options modified Jun 10 19:28:05OpenVPN0 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified Jun 10 19:28:05OpenVPN0 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key Jun 10 19:28:05OpenVPN0 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Jun 10 19:28:05OpenVPN0 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key Jun 10 19:28:05OpenVPN0 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Jun 10 19:28:05OpenVPN0 TUN/TAP device tun1 opened Jun 10 19:28:05OpenVPN0 TUN/TAP TX queue length set to 100 Jun 10 19:28:05OpenVPN0 do_ifconfig, tt->did_ifconfig_ipv6_setup=0 Jun 10 19:28:05ndm Network::Interface::IP: "OpenVPN0": IP address is 10.202.0.22/32. Jun 10 19:28:05ndm Network::Interface::OpenVpn: "OpenVPN0": TUN peer address is 10.202.0.21. Jun 10 19:28:05ndm Network::Interface::OpenVpn: "OpenVPN0": added host route to peer 10.202.0.21 via 10.202.0.22. Jun 10 19:28:07ndm Network::Interface::IP: "PPTP2": global priority is 990. Jun 10 19:28:07ndm Network::Interface::IP: "OpenVPN0": global priority is 1000. Jun 10 19:28:07ndm Core::ConfigurationSaver: saving configuration... Jun 10 19:28:09ndm Network::RoutingTable: gateway 10.202.0.21 is unreachable via OpenVPN0. Jun 10 19:28:09ndm Network::Interface::OpenVpn: "OpenVPN0": system failed [0xcffd053c]. Jun 10 19:28:10ndm Network::RoutingTable: gateway 10.202.0.21 is unreachable via OpenVPN0. Jun 10 19:28:10ndm Network::Interface::OpenVpn: "OpenVPN0": system failed [0xcffd05b2]. Jun 10 19:28:10ndm Network::RoutingTable: gateway 10.202.0.21 is unreachable via OpenVPN0. Jun 10 19:28:10ndm Network::Interface::OpenVpn: "OpenVPN0": system failed [0xcffd05b2]. Jun 10 19:28:10OpenVPN0 GID set to nobody Jun 10 19:28:10OpenVPN0 UID set to nobody Jun 10 19:28:10OpenVPN0 Initialization Sequence Completed Jun 10 19:28:11ndm Core::ConfigurationSaver: configuration saved. Edited June 10, 2017 by T@rkus Quote Share this post Link to post Share on other sites
Report post 06/10/2017 04:33 PM 32 минуты назад, KorDen сказал: И да, лучше юзайте 443 или 1194, 53 порт пров может перенаправлять к себе А как порты прописать? Quote Share this post Link to post Share on other sites
Report post 06/10/2017 04:43 PM (edited) 12 минуты назад, T@rkus сказал: gateway 10.202.0.21 is unreachable via OpenVPN0 А на эти ошибки и я натыкался. нажмите еще раз "сохранить" и наверняка будет уже без них. Похоже баг, периодически при сохранении он почему-то пытается добавить маршруты еще до установки IP или чего-то еще. 9 минут назад, T@rkus сказал: А как порты прописать? Судя по сайту, там должны были быть готовые разные ovpn-файлы. Но вообще, достаточно подправить строчку remote, например просто уберите 53 в конце (подключится на дефолтный 1194), или замените на 443. 12 минуты назад, T@rkus сказал: tun-mtu 1500 tun-mtu-extra 32 Хоспаде, ну и писатели у этих впн-сервисов... Или это типа шобы враг не догадался, что впн? Edited June 10, 2017 by KorDen Quote Share this post Link to post Share on other sites
Report post 06/10/2017 05:19 PM (edited) 47 минут назад, KorDen сказал: А на эти ошибки и я натыкался. нажмите еще раз "сохранить" и наверняка будет уже без них. Похоже баг, периодически при сохранении он почему-то пытается добавить маршруты еще до установки IP или чего-то еще. Судя по сайту, там должны были быть готовые разные ovpn-файлы. Но вообще, достаточно подправить строчку remote, например просто уберите 53 в конце (подключится на дефолтный 1194), или замените на 443. Хоспаде, ну и писатели у этих впн-сервисов... Или это типа шобы враг не догадался, что впн? Прописал конфигурацию под 443 порт. У них под UDP 53 под TCP 443. Ошибки все те же Jun 10 20:29:46ndm Network::RoutingTable: gateway 10.102.0.41 is unreachable via OpenVPN0. Jun 10 20:29:46ndm Network::Interface::OpenVpn: "OpenVPN0": system failed [0xcffd053c]. Jun 10 20:29:46ndm Network::RoutingTable: gateway 10.102.0.41 is unreachable via OpenVPN0. Jun 10 20:29:46ndm Network::Interface::OpenVpn: "OpenVPN0": system failed [0xcffd05b2]. Jun 10 20:29:46ndm Network::RoutingTable: gateway 10.102.0.41 is unreachable via OpenVPN0. Jun 10 20:29:46ndm Network::Interface::OpenVpn: "OpenVPN0": system failed [0xcffd05b2]. Edited June 10, 2017 by T@rkus Quote Share this post Link to post Share on other sites
Report post 06/10/2017 06:04 PM Если сервер не доступен, то у меня завис намертво роутер. Вот конфиг на котором роутер повис намертво: Скрытый текст client auth SHA1 auth-user-pass dev tun proto tcp remote 195.154.69.175 443 resolv-retry infinite nobind persist-key persist-tun ns-cert-type server cipher AES-128-CBC comp-lzo verb 3 <ca> -----BEGIN CERTIFICATE----- MIIDVTCCAr6gAwIBAgIJAPtfVPTPFbmAMA0GCSqGSIb3DQEBBQUAMHsxCzAJBgNV BAYTAkZSMQswCQYDVQQIEwJGUjEPMA0GA1UEBxMGRnJhbmNlMQ4wDAYDVQQKEwVW cG5NRTEPMA0GA1UEAxMGc2VydmVyMQ8wDQYDVQQpEwZzZXJ2ZXIxHDAaBgkqhkiG 9w0BCQEWDWluZm9AdnBubWUubWUwHhcNMTYwMTAzMTkyMzI5WhcNMjUxMjMxMTky MzI5WjB7MQswCQYDVQQGEwJGUjELMAkGA1UECBMCRlIxDzANBgNVBAcTBkZyYW5j ZTEOMAwGA1UEChMFVnBuTUUxDzANBgNVBAMTBnNlcnZlcjEPMA0GA1UEKRMGc2Vy dmVyMRwwGgYJKoZIhvcNAQkBFg1pbmZvQHZwbm1lLm1lMIGfMA0GCSqGSIb3DQEB AQUAA4GNADCBiQKBgQCsQGdoMRnFMiLx0dtbSInV4AZf1oCYqVBfbrDM7+9NE7D+ XmTdej86Jk3MIBtD9ttNdmHrIjLijhAmzmWRRoFMf5Dav/6BrE3F7xaKZ9tVKqWp yaPOvzFGdKff5rW49/B24RS2UiP6EWo7cnr8fqXzMspJ+KJqsUysZ5+HCUvtewID AQABo4HgMIHdMB0GA1UdDgQWBBTUuVH0pVFDMhltGgrMw3to2X/3czCBrQYDVR0j BIGlMIGigBTUuVH0pVFDMhltGgrMw3to2X/3c6F/pH0wezELMAkGA1UEBhMCRlIx CzAJBgNVBAgTAkZSMQ8wDQYDVQQHEwZGcmFuY2UxDjAMBgNVBAoTBVZwbk1FMQ8w DQYDVQQDEwZzZXJ2ZXIxDzANBgNVBCkTBnNlcnZlcjEcMBoGCSqGSIb3DQEJARYN aW5mb0B2cG5tZS5tZYIJAPtfVPTPFbmAMAwGA1UdEwQFMAMBAf8wDQYJKoZIhvcN AQEFBQADgYEAiAYYgJHrkeHYJZSBrnPeMY4BpUiWcYR1vt08O2ec4dul6OcPKD5V sFc70LNNZgqFO92AU/KXttgjyPB9nS/E7So+PYMHUapXoBbSaZcStQ0sjdOW3TU/ YjPWwAnXy4eVGVWM+/udHLJD5Juxqhr7By8OyQ+r7f78KKs71pn3uAg= -----END CERTIFICATE----- </ca> <cert> -----BEGIN CERTIFICATE----- MIIDnTCCAwagAwIBAgIBAjANBgkqhkiG9w0BAQUFADB7MQswCQYDVQQGEwJGUjEL MAkGA1UECBMCRlIxDzANBgNVBAcTBkZyYW5jZTEOMAwGA1UEChMFVnBuTUUxDzAN BgNVBAMTBnNlcnZlcjEPMA0GA1UEKRMGc2VydmVyMRwwGgYJKoZIhvcNAQkBFg1p bmZvQHZwbm1lLm1lMB4XDTE2MDEwMzE5MjQyN1oXDTI1MTIzMTE5MjQyN1owezEL MAkGA1UEBhMCRlIxCzAJBgNVBAgTAkZSMQ8wDQYDVQQHEwZGcmFuY2UxDjAMBgNV BAoTBVZwbk1FMQ8wDQYDVQQDEwZjbGllbnQxDzANBgNVBCkTBmNsaWVudDEcMBoG CSqGSIb3DQEJARYNaW5mb0B2cG5tZS5tZTCBnzANBgkqhkiG9w0BAQEFAAOBjQAw gYkCgYEA5rz+0fNRiRsysxaMH70j0yS8Nx+gfULmdZdgX7BoA/nWYeXA8v3JcroP zEx4VXXQghAi3UcEkM2Oi2qIxLajs7J53BHuyRgq335EIEXDaLm8slJuYgTiJ6iP rT2OI1heIr0VrlLrN0VLEINmDnH+KCfBDD4FB+VI41zdzSG1qJECAwEAAaOCAS8w ggErMAkGA1UdEwQCMAAwLQYJYIZIAYb4QgENBCAWHkVhc3ktUlNBIEdlbmVyYXRl ZCBDZXJ0aWZpY2F0ZTAdBgNVHQ4EFgQUxWobSVw7ciPHezhOkoI8b3jbWjUwga0G A1UdIwSBpTCBooAU1LlR9KVRQzIZbRoKzMN7aNl/93Ohf6R9MHsxCzAJBgNVBAYT AkZSMQswCQYDVQQIEwJGUjEPMA0GA1UEBxMGRnJhbmNlMQ4wDAYDVQQKEwVWcG5N RTEPMA0GA1UEAxMGc2VydmVyMQ8wDQYDVQQpEwZzZXJ2ZXIxHDAaBgkqhkiG9w0B CQEWDWluZm9AdnBubWUubWWCCQD7X1T0zxW5gDATBgNVHSUEDDAKBggrBgEFBQcD AjALBgNVHQ8EBAMCB4AwDQYJKoZIhvcNAQEFBQADgYEAU1KEykRw4z1vtHbvgCcD kQaWgCZwxAj3GgD47HHEhQ1G2c02NNLhqa74XeBCE3PAdhp8vZd6KODjn6tpBGWU jzkdcCK9P0G96Mokrfsuim+2Nh8K3AsxdtIpPvqrUwbW8qxILrWbx03UqRD0x38a XhqEXBwzQ48Mn7BsPUqRCcs= -----END CERTIFICATE----- </cert> <key> -----BEGIN PRIVATE KEY----- MIICeAIBADANBgkqhkiG9w0BAQEFAASCAmIwggJeAgEAAoGBAOa8/tHzUYkbMrMW jB+9I9MkvDcfoH1C5nWXYF+waAP51mHlwPL9yXK6D8xMeFV10IIQIt1HBJDNjotq iMS2o7OyedwR7skYKt9+RCBFw2i5vLJSbmIE4ieoj609jiNYXiK9Fa5S6zdFSxCD Zg5x/ignwQw+BQflSONc3c0htaiRAgMBAAECgYAdgPUka3R1j6C//ZYVSN4X1Y6r jcO7wJ4vUxfjpG7ocz3SbsppR8JGhTwX539LjjEHMIEEwlv3GBGuCgVLAf+UcIff G9X9bTePaMzsTd+ogD81ipOOLmbrqo7sV9DP7WoiU2ssT1sj5bHHs6oLX2WoMmic HUP83VeOkG0q0sCYQQJBAPdKVSxIfshqMdeDdVDoEYXPA2hlefqr00wqxdATrcha lQb0XFwt8YWcSWj1T7QuRqcmaSclnWR/3BAH5EDpOo0CQQDu3WwlKGPf6dbR/+5x /IFc/rxsYlScsPNqH4fJdNiYYeWF0SsHQKfYrn2emlIwCJeSa4O//Qtk6WnKVroU YgcVAkEAmpxX+lLtKcLznKotXENsSTvwBoKDrE1n05Rej0Tuf3ja+jkn0d5Lxly7 rSrLBX11YSZr0jT7Xg1u+nrkpAzuNQJBAKQKzMp4Ap80KKPv8AG4N9910lFc9l7l 50VqggaIiHeeQ9Ky46oHbT4SF5NkyCzUucOEsuaXEcwrwMuE5CY7bEECQQCSyrXy AJWBOF2jtnQpMFyjqWrSFMN+i3DwCK9+O790Ss+66GbONzvBEMht+UETNPP8VP8b C9pD215VYhyUeeVQ -----END PRIVATE KEY----- </key> Quote Share this post Link to post Share on other sites
Report post 06/10/2017 06:27 PM 7 часов назад, KorDen сказал: Да, проверил - нормально получает более 64. Видимо на первоначальном тестовом сервере какой-то баг.. Если эти ошибки в локальном конфигурационном файле - логично. Но если это ошибки в пропушенных с сервера опциях, зачем? Традиционно провайдеры VPN пушат опции и для Win, соответственно такие конфиги будут по-умолчанию фелиться. mode server планируется, или пока нет? В текущем виде "Options error: --ipchange cannot be used with --mode server (use --client-connect instead)" Ах да, еще интересный вопрос: Возможно ли напрячь аппаратный криптомодуль обработкой AES[/hmac]? Или EIP умеет только в ESP? Или улучшения производительности не будет из-за юзерспейсности и прочих костылей сабжа? mode server планируется, но чуть позже Quote Share this post Link to post Share on other sites
Report post 06/10/2017 06:27 PM 7 часов назад, KorDen сказал: Ах да, еще интересный вопрос: Возможно ли напрячь аппаратный криптомодуль обработкой AES[/hmac]? Или EIP умеет только в ESP? Или улучшения производительности не будет из-за юзерспейсности и прочих костылей сабжа? Это все требует исследования, и явно не в ближайший месяц. Quote Share this post Link to post Share on other sites
Report post 06/10/2017 06:29 PM 4 часа назад, pachalia сказал: Ну, пожалуй начнём. 1 - Загрузка информации должна идти не через копирование-вставка, а через выбор файла(ов). 2 - Нужно чтобы была проверка синтаксиса. А сейчас приходиться лесть в лог и смотреть где что не так. 1. Да, выбор файла приделаем (возможно), все равно - только одного файла. Клеить их нужно самостоятельно. 2. Проверка синтаксиса осуществляется через загрузку и один цикл поднятия. Пока достаточно, потом расширим. Quote Share this post Link to post Share on other sites
Report post 06/10/2017 06:35 PM 27 минут назад, pachalia сказал: Если сервер не доступен, то у меня завис намертво роутер. Вот конфиг на котором роутер повис намертво: Скрыть содержимое client auth SHA1 auth-user-pass dev tun proto tcp remote 195.154.69.175 443 resolv-retry infinite nobind persist-key persist-tun ns-cert-type server cipher AES-128-CBC comp-lzo verb 3 <ca> -----BEGIN CERTIFICATE----- MIIDVTCCAr6gAwIBAgIJAPtfVPTPFbmAMA0GCSqGSIb3DQEBBQUAMHsxCzAJBgNV BAYTAkZSMQswCQYDVQQIEwJGUjEPMA0GA1UEBxMGRnJhbmNlMQ4wDAYDVQQKEwVW cG5NRTEPMA0GA1UEAxMGc2VydmVyMQ8wDQYDVQQpEwZzZXJ2ZXIxHDAaBgkqhkiG 9w0BCQEWDWluZm9AdnBubWUubWUwHhcNMTYwMTAzMTkyMzI5WhcNMjUxMjMxMTky MzI5WjB7MQswCQYDVQQGEwJGUjELMAkGA1UECBMCRlIxDzANBgNVBAcTBkZyYW5j ZTEOMAwGA1UEChMFVnBuTUUxDzANBgNVBAMTBnNlcnZlcjEPMA0GA1UEKRMGc2Vy dmVyMRwwGgYJKoZIhvcNAQkBFg1pbmZvQHZwbm1lLm1lMIGfMA0GCSqGSIb3DQEB AQUAA4GNADCBiQKBgQCsQGdoMRnFMiLx0dtbSInV4AZf1oCYqVBfbrDM7+9NE7D+ XmTdej86Jk3MIBtD9ttNdmHrIjLijhAmzmWRRoFMf5Dav/6BrE3F7xaKZ9tVKqWp yaPOvzFGdKff5rW49/B24RS2UiP6EWo7cnr8fqXzMspJ+KJqsUysZ5+HCUvtewID AQABo4HgMIHdMB0GA1UdDgQWBBTUuVH0pVFDMhltGgrMw3to2X/3czCBrQYDVR0j BIGlMIGigBTUuVH0pVFDMhltGgrMw3to2X/3c6F/pH0wezELMAkGA1UEBhMCRlIx CzAJBgNVBAgTAkZSMQ8wDQYDVQQHEwZGcmFuY2UxDjAMBgNVBAoTBVZwbk1FMQ8w DQYDVQQDEwZzZXJ2ZXIxDzANBgNVBCkTBnNlcnZlcjEcMBoGCSqGSIb3DQEJARYN aW5mb0B2cG5tZS5tZYIJAPtfVPTPFbmAMAwGA1UdEwQFMAMBAf8wDQYJKoZIhvcN AQEFBQADgYEAiAYYgJHrkeHYJZSBrnPeMY4BpUiWcYR1vt08O2ec4dul6OcPKD5V sFc70LNNZgqFO92AU/KXttgjyPB9nS/E7So+PYMHUapXoBbSaZcStQ0sjdOW3TU/ YjPWwAnXy4eVGVWM+/udHLJD5Juxqhr7By8OyQ+r7f78KKs71pn3uAg= -----END CERTIFICATE----- </ca> <cert> -----BEGIN CERTIFICATE----- MIIDnTCCAwagAwIBAgIBAjANBgkqhkiG9w0BAQUFADB7MQswCQYDVQQGEwJGUjEL MAkGA1UECBMCRlIxDzANBgNVBAcTBkZyYW5jZTEOMAwGA1UEChMFVnBuTUUxDzAN BgNVBAMTBnNlcnZlcjEPMA0GA1UEKRMGc2VydmVyMRwwGgYJKoZIhvcNAQkBFg1p bmZvQHZwbm1lLm1lMB4XDTE2MDEwMzE5MjQyN1oXDTI1MTIzMTE5MjQyN1owezEL MAkGA1UEBhMCRlIxCzAJBgNVBAgTAkZSMQ8wDQYDVQQHEwZGcmFuY2UxDjAMBgNV BAoTBVZwbk1FMQ8wDQYDVQQDEwZjbGllbnQxDzANBgNVBCkTBmNsaWVudDEcMBoG CSqGSIb3DQEJARYNaW5mb0B2cG5tZS5tZTCBnzANBgkqhkiG9w0BAQEFAAOBjQAw gYkCgYEA5rz+0fNRiRsysxaMH70j0yS8Nx+gfULmdZdgX7BoA/nWYeXA8v3JcroP zEx4VXXQghAi3UcEkM2Oi2qIxLajs7J53BHuyRgq335EIEXDaLm8slJuYgTiJ6iP rT2OI1heIr0VrlLrN0VLEINmDnH+KCfBDD4FB+VI41zdzSG1qJECAwEAAaOCAS8w ggErMAkGA1UdEwQCMAAwLQYJYIZIAYb4QgENBCAWHkVhc3ktUlNBIEdlbmVyYXRl ZCBDZXJ0aWZpY2F0ZTAdBgNVHQ4EFgQUxWobSVw7ciPHezhOkoI8b3jbWjUwga0G A1UdIwSBpTCBooAU1LlR9KVRQzIZbRoKzMN7aNl/93Ohf6R9MHsxCzAJBgNVBAYT AkZSMQswCQYDVQQIEwJGUjEPMA0GA1UEBxMGRnJhbmNlMQ4wDAYDVQQKEwVWcG5N RTEPMA0GA1UEAxMGc2VydmVyMQ8wDQYDVQQpEwZzZXJ2ZXIxHDAaBgkqhkiG9w0B CQEWDWluZm9AdnBubWUubWWCCQD7X1T0zxW5gDATBgNVHSUEDDAKBggrBgEFBQcD AjALBgNVHQ8EBAMCB4AwDQYJKoZIhvcNAQEFBQADgYEAU1KEykRw4z1vtHbvgCcD kQaWgCZwxAj3GgD47HHEhQ1G2c02NNLhqa74XeBCE3PAdhp8vZd6KODjn6tpBGWU jzkdcCK9P0G96Mokrfsuim+2Nh8K3AsxdtIpPvqrUwbW8qxILrWbx03UqRD0x38a XhqEXBwzQ48Mn7BsPUqRCcs= -----END CERTIFICATE----- </cert> <key> -----BEGIN PRIVATE KEY----- MIICeAIBADANBgkqhkiG9w0BAQEFAASCAmIwggJeAgEAAoGBAOa8/tHzUYkbMrMW jB+9I9MkvDcfoH1C5nWXYF+waAP51mHlwPL9yXK6D8xMeFV10IIQIt1HBJDNjotq iMS2o7OyedwR7skYKt9+RCBFw2i5vLJSbmIE4ieoj609jiNYXiK9Fa5S6zdFSxCD Zg5x/ignwQw+BQflSONc3c0htaiRAgMBAAECgYAdgPUka3R1j6C//ZYVSN4X1Y6r jcO7wJ4vUxfjpG7ocz3SbsppR8JGhTwX539LjjEHMIEEwlv3GBGuCgVLAf+UcIff G9X9bTePaMzsTd+ogD81ipOOLmbrqo7sV9DP7WoiU2ssT1sj5bHHs6oLX2WoMmic HUP83VeOkG0q0sCYQQJBAPdKVSxIfshqMdeDdVDoEYXPA2hlefqr00wqxdATrcha lQb0XFwt8YWcSWj1T7QuRqcmaSclnWR/3BAH5EDpOo0CQQDu3WwlKGPf6dbR/+5x /IFc/rxsYlScsPNqH4fJdNiYYeWF0SsHQKfYrn2emlIwCJeSa4O//Qtk6WnKVroU YgcVAkEAmpxX+lLtKcLznKotXENsSTvwBoKDrE1n05Rej0Tuf3ja+jkn0d5Lxly7 rSrLBX11YSZr0jT7Xg1u+nrkpAzuNQJBAKQKzMp4Ap80KKPv8AG4N9910lFc9l7l 50VqggaIiHeeQ9Ky46oHbT4SF5NkyCzUucOEsuaXEcwrwMuE5CY7bEECQQCSyrXy AJWBOF2jtnQpMFyjqWrSFMN+i3DwCK9+O790Ss+66GbONzvBEMht+UETNPP8VP8b C9pD215VYhyUeeVQ -----END PRIVATE KEY----- </key> Зависания добится не удалось, однако интерактивный запрос логина и пароля не поддерживаются. Надо напрямую прописать в конфиг через секцию <up> (пока не поддерживается, сделаем потом). Quote Share this post Link to post Share on other sites
Report post 06/10/2017 06:35 PM 1 час назад, T@rkus сказал: Прописал конфигурацию под 443 порт. У них под UDP 53 под TCP 443. Ошибки все те же Показать содержимое Jun 10 20:29:46ndm Network::RoutingTable: gateway 10.102.0.41 is unreachable via OpenVPN0. Jun 10 20:29:46ndm Network::Interface::OpenVpn: "OpenVPN0": system failed [0xcffd053c]. Jun 10 20:29:46ndm Network::RoutingTable: gateway 10.102.0.41 is unreachable via OpenVPN0. Jun 10 20:29:46ndm Network::Interface::OpenVpn: "OpenVPN0": system failed [0xcffd05b2]. Jun 10 20:29:46ndm Network::RoutingTable: gateway 10.102.0.41 is unreachable via OpenVPN0. Jun 10 20:29:46ndm Network::Interface::OpenVpn: "OpenVPN0": system failed [0xcffd05b2]. Суть понятна, починим. Quote Share this post Link to post Share on other sites
Report post 06/10/2017 06:38 PM 7 часов назад, KorDen сказал: Да, проверил - нормально получает более 64. Видимо на первоначальном тестовом сервере какой-то баг.. Если эти ошибки в локальном конфигурационном файле - логично. Но если это ошибки в пропушенных с сервера опциях, зачем? Традиционно провайдеры VPN пушат опции и для Win, соответственно такие конфиги будут по-умолчанию фелиться. Потому что у нас альфа-тестирование. Сейчас это специально эскалировано до статуса ошибки и требует ручного вмешательства (надеюсь в данной теме на это все способны, иначе вам еще рано пробовать OpenVPN), а потом, когда отловим основные баги и будет работать нормально - расслабим проверки. Quote Share this post Link to post Share on other sites
Report post 06/10/2017 07:12 PM 2 часа назад, KorDen сказал: шобы враг не догадался, что впн они все-равно палятся, когда не по форме отвечают:https://www.sslchecker.com/sslchecker Quote Share this post Link to post Share on other sites