Jump to content

Вопросы по интеграции OpenVPN в NDMS


Recommended Posts

В 6/10/2017 в 01:00, ndm сказал:

Поддержка OpenVPN добавлена в версии 2.10.A.1.0-0

Ох ты ж.. Вот это было неожиданно. Еще не ставил.. Поддерживается и tun и tap или только tun? Как с интерфейсами дела обстоят?

Правильно ли я понимаю, что OpenVPN будет даже на MT7628N, например 4G III rev. B или Start II? Интересует подключение удаленной точки с достаточной скоростью 4-8 мбит/с, если учесть что IPsec там сломан на уровне присутствующего интернет-канала (аккурат по посту @gik), и хочется избавиться от лишних флешек-entware/openwrt/etc.

Link to comment
Share on other sites

5 минут назад, KorDen сказал:

Ох ты ж.. Вот это было неожиданно. Еще не ставил.. Поддерживается и tun и tap или только tun? Как с интерфейсами дела обстоят?

Правильно ли я понимаю, что OpenVPN будет даже на MT7628N, например 4G III rev. B или Start II? Интересует подключение удаленной точки с достаточной скоростью 4-8 мбит/с, если учесть что IPsec там сломан на уровне присутствующего интернет-канала (аккурат по посту @gik), и хочется избавиться от лишних флешек-entware/openwrt/etc.

Поддерживается tun и tap. Скорость до 30 МБит/с на ультре2, но конечно фидбек хотелось бы получить. @Le ecureuil немного в отпуске, правда.. 

  • Thanks 1
Link to comment
Share on other sites

Собственно, первый же вопрос по OpenVPN. Конфиг, я так понимаю необходимо брать из *.ovpn? Залил его через веб-морду, но в журнале такие сообщения:

Jun 10 02:09:42ndmNetwork::Interface::Repository: created interface OpenVPN0.
Jun 10 02:09:42ndmNetwork::Interface::Supplicant: authnentication is unchanged.
Jun 10 02:09:42ndmNetwork::Interface::Base: "OpenVPN0": interface is up.
Jun 10 02:09:42ndmNetwork::Interface::Base: "OpenVPN0": description saved.
Jun 10 02:09:42ndmNetwork::Interface::IP: "OpenVPN0": interface is non-global.
Jun 10 02:09:42ndmNetwork::Interface::IP: TCP-MSS adjustment enabled.
Jun 10 02:09:42ndmNetwork::Interface::IP: "OpenVPN0": IP address cleared.
Jun 10 02:09:42ndmNetwork::Interface::Base: "OpenVPN0": schedule cleared.
Jun 10 02:09:42ndmNetwork::Interface::OpenVpn: "OpenVPN0": set connection via any interface.
Jun 10 02:09:42ndmNetwork::Interface::OpenVpn: "OpenVPN0": configuration successfully saved.
Jun 10 02:09:42ndmNetwork::Interface::OpenVpn: "OpenVPN0": disable automatic routes accept via tunnel.
Jun 10 02:09:43ndmCore::ConfigurationSaver: saving configuration...
Jun 10 02:09:45OpenVPN0Unrecognized option or missing or extra parameter(s) in configuration: (line 10): block-outside-dns (2.4.2)
Jun 10 02:09:45OpenVPN0Exiting due to fatal error
Jun 10 02:09:45ndmService: "OpenVPN": unexpectedly stopped.
Jun 10 02:09:45ndmNetwork::Interface::OpenVpn: "OpenVPN0": configuration is invalid.
Jun 10 02:09:46ndmCore::ConfigurationSaver: configuration saved.

В итоге интерфейс не поднимается. Пробовал через telnet поднимать, тоже ошибку выдает. Нуждаюсь в помощи.

upd: убрал "setenv opt block-outside-dns", интерфейс стратовал, получил внешний IP, но находится в статусе "Резервирование" и не имеет выхода в интернет.

 

Конфиг выглядит так:

Скрытый текст

nobind
client

# Remote server here
remote vpn.zaborona.help

remote-cert-tls server
cipher AES-128-CBC
setenv opt ncp-ciphers AES-128-GCM
setenv opt block-outside-dns
dev tun
proto tcp


<ca>
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
</ca>

<cert>
-----BEGIN CERTIFICATE-----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=
-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN PRIVATE KEY-----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-----END PRIVATE KEY-----
</key>
 

 

Edited by AlexUnder2010
  • Thanks 1
Link to comment
Share on other sites

7 часов назад, AlexUnder2010 сказал:

Собственно, первый же вопрос по OpenVPN. Конфиг, я так понимаю необходимо брать из *.ovpn? Залил его через веб-морду, но в журнале такие сообщения:


Jun 10 02:09:42ndmNetwork::Interface::Repository: created interface OpenVPN0.
Jun 10 02:09:42ndmNetwork::Interface::Supplicant: authnentication is unchanged.
Jun 10 02:09:42ndmNetwork::Interface::Base: "OpenVPN0": interface is up.
Jun 10 02:09:42ndmNetwork::Interface::Base: "OpenVPN0": description saved.
Jun 10 02:09:42ndmNetwork::Interface::IP: "OpenVPN0": interface is non-global.
Jun 10 02:09:42ndmNetwork::Interface::IP: TCP-MSS adjustment enabled.
Jun 10 02:09:42ndmNetwork::Interface::IP: "OpenVPN0": IP address cleared.
Jun 10 02:09:42ndmNetwork::Interface::Base: "OpenVPN0": schedule cleared.
Jun 10 02:09:42ndmNetwork::Interface::OpenVpn: "OpenVPN0": set connection via any interface.
Jun 10 02:09:42ndmNetwork::Interface::OpenVpn: "OpenVPN0": configuration successfully saved.
Jun 10 02:09:42ndmNetwork::Interface::OpenVpn: "OpenVPN0": disable automatic routes accept via tunnel.
Jun 10 02:09:43ndmCore::ConfigurationSaver: saving configuration...
Jun 10 02:09:45OpenVPN0Unrecognized option or missing or extra parameter(s) in configuration: (line 10): block-outside-dns (2.4.2)
Jun 10 02:09:45OpenVPN0Exiting due to fatal error
Jun 10 02:09:45ndmService: "OpenVPN": unexpectedly stopped.
Jun 10 02:09:45ndmNetwork::Interface::OpenVpn: "OpenVPN0": configuration is invalid.
Jun 10 02:09:46ndmCore::ConfigurationSaver: configuration saved.

В итоге интерфейс не поднимается. Пробовал через telnet поднимать, тоже ошибку выдает. Нуждаюсь в помощи.

upd: убрал "setenv opt block-outside-dns", интерфейс стратовал, получил внешний IP, но находится в статусе "Резервирование" и не имеет выхода в интернет.

KII все завелось с полпинка, conf взял ранее который описывал тут от OpenVPN

Скрытый текст

!
interface OpenVPN0
    description OpenTest
    security-level public
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ip global 350
    ip tcp adjust-mss pmtu
    openvpn accept-routes
    openvpn connect via PPPoE0
    up

Конфиг в WEB

client
dev tun1
persist-key
persist-tun
nobind
proto tcp4-client
remote vpn.xxxxx.xxx yyyy
remote-cert-tls server
comp-lzo no
verb 3
cipher aes-128-cbc
auth sha1
ca /opt/etc/openvpn/ca.crt
cert /opt/etc/openvpn/client.crt
key /opt/etc/openvpn/client.key
#management 127.0.0.1 16
#management-log-cache 100
mute 3
syslog
writepid "/opt/var/run/openvpn.pid"
resolv-retry infinite
script-security 2
tun-mtu 1500
mtu-disc yes
setenv opt ncp-ciphers AES-128-GCM
resolv-retry infinite

серт. положил готовые, маршруты от VPN сервера

 

 1001 nobody    3980 S    /usr/sbin/openvpn --syslog OpenVPN0 --config /tmp/openvpn/OpenVPN0/openvpn.config --user nobody --group nobody --syslog OpenVPN0

ovpn_br0  Link encap:Ethernet  HWaddr 76:7F:30:76:F8:84  
          inet addr:192.168.221.7  Bcast:192.168.221.255  Mask:255.255.252.0
          inet6 addr: fe80::747f:30ff:fe76:f884/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:68 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:30024 (29.3 KiB)

tun1      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          UP POINTOPOINT RUNNING  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:68 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 B)  TX bytes:30024 (29.3 KiB)

 

/ # ip ro
default dev ppp0  scope link
хх.хх.хх.0/18 via 192.168.220.1 dev ovpn_br0

...

192.168.220.0/22 dev ovpn_br0  proto kernel  scope link  src 192.168.221.7

 

Edited by vasek00
Link to comment
Share on other sites

9 часов назад, KorDen сказал:

Ох ты ж.. Вот это было неожиданно. Еще не ставил.. Поддерживается и tun и tap или только tun? Как с интерфейсами дела обстоят?

Правильно ли я понимаю, что OpenVPN будет даже на MT7628N, например 4G III rev. B или Start II? Интересует подключение удаленной точки с достаточной скоростью 4-8 мбит/с, если учесть что IPsec там сломан на уровне присутствующего интернет-канала (аккурат по посту @gik), и хочется избавиться от лишних флешек-entware/openwrt/etc.

И tun, и tap. В системе представляется для совместимости в виде Ethernet-интерфейса, можно включать в Bridge (даже tun ;)), но для tun недоступны VLAN.

OpenVPN уже есть в 2.10 на всем, для чего она собралась.

Единственное ограничение - все ключи должны быть интегрированы в один файл конфига (пример ниже).

Дерзайте! А если что, я хоть и в отпуске, но периодически буду посматривать форум и подскажу с особо непонятными местами.

Если что-то идет не так, то 
> interface OpenVPNX debug

и потом self-test в тему.

remote 172.16.1.1
dev tun
proto udp
nobind
persist-tun
cipher AES-128-CBC
comp-lzo no
verb 3
ifconfig 10.8.0.2 10.8.0.1
<secret>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
caacc3274dfc05c41f9086261903bb68
adbdd7520caa89ec84a3314eb6eaff5d
49367611a9ec657dbacd47b148ae9f23
cbbbba43ccfc6c6149ee8453a5552944
e31eb1b928c96d9a515dd3f5d486a040
71ccf6a363d94368fb43023c6dcbbb75
3ef0e6fb69525689f3c9bae1ed1fe3b4
72875ae045fe284d70d5388cca730893
c30d4d0d7dd17aafd2e173afd257ab89
9ae308b40cca1f27093e186a59b9f6eb
aca37680e01156dd54cd740fb830c994
eaea8a15074b49e85e126841dea57636
f627d50398e5dc756b07806a9f7374a4
a52016cc3ed51c3ae8ba021e26dba3d5
cc5b0e29472961ec0af0ab76b7270e83
ed27316a395fef6ca5f883850f10632e
-----END OpenVPN Static key V1-----
</secret>

 

Link to comment
Share on other sites

9 часов назад, AlexUnder2010 сказал:

Собственно, первый же вопрос по OpenVPN. Конфиг, я так понимаю необходимо брать из *.ovpn? Залил его через веб-морду, но в журнале такие сообщения:


Jun 10 02:09:42ndmNetwork::Interface::Repository: created interface OpenVPN0.
Jun 10 02:09:42ndmNetwork::Interface::Supplicant: authnentication is unchanged.
Jun 10 02:09:42ndmNetwork::Interface::Base: "OpenVPN0": interface is up.
Jun 10 02:09:42ndmNetwork::Interface::Base: "OpenVPN0": description saved.
Jun 10 02:09:42ndmNetwork::Interface::IP: "OpenVPN0": interface is non-global.
Jun 10 02:09:42ndmNetwork::Interface::IP: TCP-MSS adjustment enabled.
Jun 10 02:09:42ndmNetwork::Interface::IP: "OpenVPN0": IP address cleared.
Jun 10 02:09:42ndmNetwork::Interface::Base: "OpenVPN0": schedule cleared.
Jun 10 02:09:42ndmNetwork::Interface::OpenVpn: "OpenVPN0": set connection via any interface.
Jun 10 02:09:42ndmNetwork::Interface::OpenVpn: "OpenVPN0": configuration successfully saved.
Jun 10 02:09:42ndmNetwork::Interface::OpenVpn: "OpenVPN0": disable automatic routes accept via tunnel.
Jun 10 02:09:43ndmCore::ConfigurationSaver: saving configuration...
Jun 10 02:09:45OpenVPN0Unrecognized option or missing or extra parameter(s) in configuration: (line 10): block-outside-dns (2.4.2)
Jun 10 02:09:45OpenVPN0Exiting due to fatal error
Jun 10 02:09:45ndmService: "OpenVPN": unexpectedly stopped.
Jun 10 02:09:45ndmNetwork::Interface::OpenVpn: "OpenVPN0": configuration is invalid.
Jun 10 02:09:46ndmCore::ConfigurationSaver: configuration saved.

В итоге интерфейс не поднимается. Пробовал через telnet поднимать, тоже ошибку выдает. Нуждаюсь в помощи.

upd: убрал "setenv opt block-outside-dns", интерфейс стратовал, получил внешний IP, но находится в статусе "Резервирование" и не имеет выхода в интернет.

 

Конфиг выглядит так:

  Скрыть содержимое

nobind
client

# Remote server here
remote vpn.zaborona.help

remote-cert-tls server
cipher AES-128-CBC
setenv opt ncp-ciphers AES-128-GCM
setenv opt block-outside-dns
dev tun
proto tcp


<ca>
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
</ca>

<cert>
-----BEGIN CERTIFICATE-----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=
-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN PRIVATE KEY-----
MIIEvwIBADANBgkqhkiG9w0BAQEFAASCBKkwggSlAgEAAoIBAQDREwxkcSBSYfky
976U4+sAhV9uYs0/73cncbKa2Brim7+Jrjj/7uFCITTVp3XdG6iKmUjUrJABodSJ
iHZgpfor5lNDAdZhcFdWxuZBWOp+1I6VqRZJZbSBmr2pXwNvFrWE/nUpN2Px8+Ta
N+K/8PY3rQVqpKD+kvj5eOOjaiAEu8e6Oc15s5pnZUkVBPVyESlP1yH8fQZYxLeo
rq8ESdcFzGKjwPF/JExqvBvMV9Izimu/hUTsF+An7kWbYgSwu1YoAzWQf7Ws9doG
VlsOPijOVXiBgPWslhcveeDMyPn9PKa3c6P9FWwzV+XbkloD2FBKvStj/ZBvc+66
5CJSSTrjAgMBAAECggEBAJBE6603ns0aTCJOcFU/fP8sCXEbfnRa4sb2Hv/YlZy/
SolQDocUqJ3AWjwARUWg+0lAgtA2j1yA9i89WipQ/fNjCRtY3jz4j1wS/fojyBRi
yk0dk4JsSwWP6MZCCRWT/wfZqrEZRr9DxCyMmcxHEy/SFcXD+lAQzPsg3zv5VETO
q67S2s/njkSWyA9woRJLztld/Az/Rgh5VP2TxDCIHb0dTE6648lIUO0VkVfg8+G4
3BLXXA86YCFmRdTfs6rywf9jPN6V1gnyICk198/2Ne+jM3kNxNMn8jBDbjTkxT1b
ovBKDDpNNuLbBTjtlxEm3Q1CPuAH+0L8nfb9ZtSoISkCgYEA6rvgqTwAX272LXZi
jJuE6tJtOB47tih8HRgzQbCLPRduwz7P7ObtUSD88fSYsKCEb3T3kiUeMVADbWnR
DLqUetcDUAjPe0l/KcR0pef0mVvP1CnsTY+i9yGAOMkfrLqIBrLRd+8KRs85DHYm
/NYDHptDdGHjBW8Olc4L6+Wq/4cCgYEA5AQOlD9oWQuvrWhX1K1sK0JQxu36phrD
w5JuS5TJKyWxzABkgHJx8ZVIOhNUtXLSAkVQlaM5hKj/gVgf+DZsKaIcxWT7xLZZ
Qdiz3bRFtigxyZD67oRvzxBWg5XBnrgieM/C5+EiNQ3iRDjbvL228+cDIYPpwwtD
7/hHA15uqMUCgYEAgEZngVQeyAg1U6bMOBaMzl5r/SzYaLU7DhM5f35guOPjTaM3
sTiJG7qxP+/wuSUe+mGrIRxToZMeLF6VNSWJGpABaW1HJRKHAWYwcLGPg3ce3cyD
K+eAoRiXn3CZdKUCzNZPjgD9VrDLdjnjGGxDjChA9oq/qyqDh+3vqdv6VGUCgYBX
qIOeVJ4eFZMNPF7/wUgjfVQmlhjVQNbf2eyTG/kWoGAxCDma8+SANp7UzNe1BhZc
jx9C18RmDr5jkGiB+RIuE0eyT3dHEb9QxCmp4wMl22AAmL8PcVS2qxZHcgxEo4+F
GIJauL943ASPq7g2YEz0iWw3t0noFO2iVLWgQu6R7QKBgQCp9SedsiPJXQADFVln
7j5yLj7qBdATuZHbqfCt4CI7GO+5kjtNqFdZAZphP+gFJe49srS17WPLEFYpQpix
T77eOw4U3iIgoJoxn545CkMdH4H0lsQhfBOTqFJ8rdAzLTAa4pzgAOvLMsZWxM32
c+bjFxzMVzfVFOx30yZN8YbX6Q==
-----END PRIVATE KEY-----
</key>
 

 

Пока наш OpenVPN не умеет получать DNS снаружи, потому пропишите их руками.

А вообще если он поднялся, то поднимите у него приоритет на странице broadband.globals. У OpenVPN должно быть самое больше число (при создании оно обычно самое низкое). Тогда все будет работать через него.

И не забудьте поставить галку "Получать маршруты от удаленной стороны".

Link to comment
Share on other sites

Столкнулся с тем же, что и у @AlexUnder2010 - ругается на block-outside-dns и не запускается. При этом в моем случае опция пушится с сервера, и по мануалу "Note that pushing unknown options from server does not trigger fatal errors".

После добавления в конфиг "ignore-unknown-option block-outside-dns" запустился.

При включении получения маршрутов с удаленной стороны, насколько я понимаю, получает максимум 64 маршрута.

Edited by KorDen
Link to comment
Share on other sites

5 минут назад, KorDen сказал:

Столкнулся с тем же, что и у @AlexUnder2010 - ругается на block-outside-dns и не запускается. При этом в моем случае опция пушится с сервера, и по мануалу "Note that pushing unknown options from server does not trigger fatal errors".

После добавления в конфиг "ignore-unknown-option block-outside-dns" запустился.

При включении получения маршрутов с удаленной стороны, насколько я понимаю, получает максимум 64 маршрута.

У нас спецально пропатчено, чтобы неизвестные опции вызывали фатальные ошибки - так проще выявить неработоспособность вместо иллюзии что "все хорошо".

Ну а добавив в игнор человек показывает, что он понимает что делает.

Link to comment
Share on other sites

6 минут назад, KorDen сказал:

При включении получения маршрутов с удаленной стороны, насколько я понимаю, получает максимум 64 маршрута.

Насчет числа маршрутов - все ограничено только самим OpenVPN, система примет столько, сколько он ей передаст.

Link to comment
Share on other sites

Еще из ограничений: сейчас вообще не поддерживается IPv6 внутри и снаружи туннеля. Если кому-то это важно, то приведите нам пример туннельного провайдера с IPv6, чтобы мы тестировали на реальной конфигурации.

 

Короче у вас есть две недели на обсуждение хотелок и проблем, а потом я вернусь в работу и начнем реализовывать.

Link to comment
Share on other sites

1 час назад, Le ecureuil сказал:

Насчет числа маршрутов - все ограничено только самим OpenVPN, система примет столько, сколько он ей передаст.

Да, проверил - нормально получает более 64. Видимо на первоначальном тестовом сервере какой-то баг..

1 час назад, Le ecureuil сказал:

У нас спецально пропатчено, чтобы неизвестные опции вызывали фатальные ошибки - так проще выявить неработоспособность вместо иллюзии что "все хорошо".

Если эти ошибки в локальном конфигурационном файле - логично. Но если это ошибки в пропушенных с сервера опциях, зачем?

Традиционно провайдеры VPN пушат опции и для Win, соответственно такие конфиги будут по-умолчанию фелиться.

 

mode server планируется, или пока нет? В текущем виде "Options error: --ipchange cannot be used with --mode server (use --client-connect instead)"

Ах да, еще интересный вопрос: Возможно ли напрячь аппаратный криптомодуль обработкой AES[/hmac]? Или EIP умеет только в ESP? Или улучшения производительности не будет из-за юзерспейсности и прочих костылей сабжа?

Edited by KorDen
Link to comment
Share on other sites

Как настроить OpenVPN?

Имеются файл с расширением ovpn. 2 файла с расширением crt и файл с расширением key. Что с ними надо делать?

Link to comment
Share on other sites

39 минут назад, pachalia сказал:

Имеются файл с расширением ovpn. 2 файла с расширением crt и файл с расширением key. Что с ними надо делать?

Вариант 1: положить файлы crt/key куда-нибудь на флешку, открыть ovpn блокнотом, поправить пути в директивах ca, cert и key (и возможно tls-auth, если есть hmac), закинуть содержимое в конфиг.

Вариант 2, более правильный: засунуть содержимое crt и key в ovpn: Открываем все файлы на редактирование в блокноте, смотрим в ovpn, какой файл указан в директиве ca (например ca serverca.crt). Удаляем эту строчку, вместо этого помещаем содержимое нужного файла в <ca> </ca> в конце ovpn файла. Аналогично делаем для key (<key>) и cert (<cert>).

Например:

Скрытый текст

#содержимое ovpn
client
tls-client
nobind
........
........
#надо удалить строчки ca, cert и key
........
#конец содержимого ovpn

<ca>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</ca>

<cert>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN PRIVATE KEY-----
...
-----END PRIVATE KEY-----
</key>

 

Содержимое ovpn кидаем в таком виде в вебморду

Edited by KorDen
Link to comment
Share on other sites

1 час назад, KorDen сказал:

Вариант 1: положить файлы crt/key куда-нибудь на флешку, открыть ovpn блокнотом, поправить пути в директивах ca, cert и key (и возможно tls-auth, если есть hmac), закинуть содержимое в конфиг.

Вариант 2, более правильный: засунуть содержимое crt и key в ovpn: Открываем все файлы на редактирование в блокноте, смотрим в ovpn, какой файл указан в директиве ca (например ca serverca.crt). Удаляем эту строчку, вместо этого помещаем содержимое нужного файла в <ca> </ca> в конце ovpn файла. Аналогично делаем для key (<key>) и cert (<cert>).

Например:

  Показать содержимое


#содержимое ovpn
client
tls-client
nobind
........
........
#надо удалить строчки ca, cert и key
........
#конец содержимого ovpn

<ca>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</ca>

<cert>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN PRIVATE KEY-----
...
-----END PRIVATE KEY-----
</key>

 

Содержимое ovpn кидаем в таком виде в вебморду

Ну ,а если конфигурация такая? Как быть с файлами ca-4k.crt, user-4k.crt, user-4k.key ?

2017-06-10_171445.png.6f6cb2b8a82949d7986644553c5c35c0.png

Link to comment
Share on other sites

8 часов назад, Le ecureuil сказал:

Короче у вас есть две недели на обсуждение хотелок и проблем, а потом я вернусь в работу и начнем реализовывать.

Ну, пожалуй начнём.

1 - Загрузка информации должна идти не через копирование-вставка, а через выбор файла(ов). 

2 - Нужно чтобы была проверка синтаксиса. А сейчас приходиться лесть в лог и смотреть где что не так.

Link to comment
Share on other sites

11 минуту назад, pachalia сказал:

Ну, пожалуй начнём.

1 - Загрузка информации должна идти не через копирование-вставка, а через выбор файла(ов). 

Соглашусь. Реализовать подобное было бы уж точно не лишним.

  • Thanks 1
Link to comment
Share on other sites

1 час назад, T@rkus сказал:

Как быть с файлами ca-4k.crt, user-4k.crt, user-4k.key ?

Так а какие именно файлы у вас указаны в ca, cert и key в ovpn-файле? с 4k или без? Я так понимаю просто файлы - длина ключа 2048bit, а которые 4k - 4096bit. Чем больше длина ключа, тем типа безопаснее и тем медленее. Это уже на вкус и цвет.

И да, лучше юзайте 443 или 1194, 53 порт пров может перенаправлять к себе

Edited by KorDen
Link to comment
Share on other sites

35 минут назад, KorDen сказал:

Так а какие именно файлы у вас указаны в ca, cert и key в ovpn-файле? с 4k или без? Я так понимаю просто файлы - длина ключа 2048bit, а которые 4k - 4096bit. Чем больше длина ключа, тем типа безопаснее и тем медленее. Это уже на вкус и цвет.

И да, лучше юзайте 443 или 1194, 53 порт пров может перенаправлять к себе

Без 4к. Но соединение поднялось с ошибками.

client

dev tun1

proto udp

remote 5.45.80.25 53

resolv-retry infinite

redirect-gateway def1

nobind

tun-mtu 1500

tun-mtu-extra 32

ca ca.crt

cert user.crt

key user.key

cipher AES-256-CBC

ns-cert-type server

persist-key

persist-tun

verb 3

explicit-exit-notify

route-method  exe

route-delay 3

route-metric 512 

ping 45

ping-restart 225
 

 

2017-06-10_192713.png.4c881c74c74c60e124b4dab82ee56ea4.png

 

Jun 10 19:28:03

OpenVPN0

OpenVPN 2.4.2 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD]
Jun 10 19:28:03OpenVPN0
library versions: OpenSSL 1.0.2k 26 Jan 2017, LZO 2.10
Jun 10 19:28:03OpenVPN0
WARNING: --ns-cert-type is DEPRECATED. Use --remote-cert-tls instead.
Jun 10 19:28:03OpenVPN0
TCP/UDP: Preserving recently used remote address: [AF_INET]5.45.80.25:53
Jun 10 19:28:03OpenVPN0
Socket Buffers: R=[155648->155648] S=[155648->155648]
Jun 10 19:28:03OpenVPN0
UDP link local: (not bound)
Jun 10 19:28:03OpenVPN0
UDP link remote: [AF_INET]5.45.80.25:53
Jun 10 19:28:03OpenVPN0
NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
Jun 10 19:28:03OpenVPN0
TLS: Initial packet from [AF_INET]5.45.80.25:53, sid=173d0de3 d3e9f67f
Jun 10 19:28:03OpenVPN0
VERIFY OK: depth=1, C=RU, ST=RU-LEN, L=Saint Petersburg, O=ShadeYou.com, CN=ShadeYou.com CA, emailAddress=support@shadeyou.com
Jun 10 19:28:03OpenVPN0
VERIFY OK: nsCertType=SERVER
Jun 10 19:28:03OpenVPN0
VERIFY OK: depth=0, C=RU, ST=RU-LEN, L=Saint Petersburg, O=ShadeYou.com, CN=shadeyou.com, emailAddress=support@shadeyou.com
Jun 10 19:28:03OpenVPN0
Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Jun 10 19:28:03OpenVPN0
[shadeyou.com] Peer Connection Initiated with [AF_INET]5.45.80.25:53
Jun 10 19:28:04ndm
Network::Interface::OpenVpn: "OpenVPN0": added host route to remote endpoint 5.45.80.25 via PPTP2.
Jun 10 19:28:04ndm
Core::ConfigurationSaver: configuration saved.
Jun 10 19:28:05OpenVPN0
SENT CONTROL [shadeyou.com]: 'PUSH_REQUEST' (status=1)
Jun 10 19:28:05OpenVPN0
PUSH: Received control message: 'PUSH_REPLY,route 10.202.0.0 255.255.0.0,redirect-gateway def1,dhcp-option DNS 10.202.0.1,route 10.202.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.202.0.22 10.202.0.21'
Jun 10 19:28:05OpenVPN0
OPTIONS IMPORT: timers and/or timeouts modified
Jun 10 19:28:05OpenVPN0
OPTIONS IMPORT: --ifconfig/up options modified
Jun 10 19:28:05OpenVPN0
OPTIONS IMPORT: route options modified
Jun 10 19:28:05OpenVPN0
OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Jun 10 19:28:05OpenVPN0
Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Jun 10 19:28:05OpenVPN0
Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Jun 10 19:28:05OpenVPN0
Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Jun 10 19:28:05OpenVPN0
Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Jun 10 19:28:05OpenVPN0
TUN/TAP device tun1 opened
Jun 10 19:28:05OpenVPN0
TUN/TAP TX queue length set to 100
Jun 10 19:28:05OpenVPN0
do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Jun 10 19:28:05ndm
Network::Interface::IP: "OpenVPN0": IP address is 10.202.0.22/32.
Jun 10 19:28:05ndm
Network::Interface::OpenVpn: "OpenVPN0": TUN peer address is 10.202.0.21.
Jun 10 19:28:05ndm
Network::Interface::OpenVpn: "OpenVPN0": added host route to peer 10.202.0.21 via 10.202.0.22.
Jun 10 19:28:07ndm
Network::Interface::IP: "PPTP2": global priority is 990.
Jun 10 19:28:07ndm
Network::Interface::IP: "OpenVPN0": global priority is 1000.
Jun 10 19:28:07ndm
Core::ConfigurationSaver: saving configuration...
Jun 10 19:28:09ndm
Network::RoutingTable: gateway 10.202.0.21 is unreachable via OpenVPN0.
Jun 10 19:28:09ndm
Network::Interface::OpenVpn: "OpenVPN0": system failed [0xcffd053c].
Jun 10 19:28:10ndm
Network::RoutingTable: gateway 10.202.0.21 is unreachable via OpenVPN0.
Jun 10 19:28:10ndm
Network::Interface::OpenVpn: "OpenVPN0": system failed [0xcffd05b2].
Jun 10 19:28:10ndm
Network::RoutingTable: gateway 10.202.0.21 is unreachable via OpenVPN0.
Jun 10 19:28:10ndm
Network::Interface::OpenVpn: "OpenVPN0": system failed [0xcffd05b2].
Jun 10 19:28:10OpenVPN0
GID set to nobody
Jun 10 19:28:10OpenVPN0
UID set to nobody
Jun 10 19:28:10OpenVPN0
Initialization Sequence Completed
Jun 10 19:28:11ndm
Core::ConfigurationSaver: configuration saved.
 

Edited by T@rkus
Link to comment
Share on other sites

32 минуты назад, KorDen сказал:

И да, лучше юзайте 443 или 1194, 53 порт пров может перенаправлять к себе

А как порты прописать?

Link to comment
Share on other sites

12 минуты назад, T@rkus сказал:

gateway 10.202.0.21 is unreachable via OpenVPN0

А на эти ошибки и я натыкался. нажмите еще раз "сохранить" и наверняка будет уже без них. Похоже баг, периодически при сохранении он почему-то пытается добавить маршруты еще до установки IP или чего-то еще.

9 минут назад, T@rkus сказал:

А как порты прописать?

Судя по сайту, там должны были быть готовые разные ovpn-файлы. Но вообще, достаточно подправить строчку remote, например просто уберите 53 в конце (подключится на дефолтный 1194), или замените на 443.

12 минуты назад, T@rkus сказал:

tun-mtu 1500

tun-mtu-extra 32

Хоспаде, ну и писатели у этих впн-сервисов... Или это типа шобы враг не догадался, что впн?

Edited by KorDen
Link to comment
Share on other sites

47 минут назад, KorDen сказал:

А на эти ошибки и я натыкался. нажмите еще раз "сохранить" и наверняка будет уже без них. Похоже баг, периодически при сохранении он почему-то пытается добавить маршруты еще до установки IP или чего-то еще.

Судя по сайту, там должны были быть готовые разные ovpn-файлы. Но вообще, достаточно подправить строчку remote, например просто уберите 53 в конце (подключится на дефолтный 1194), или замените на 443.

Хоспаде, ну и писатели у этих впн-сервисов... Или это типа шобы враг не догадался, что впн?

Прописал конфигурацию под 443 порт. У них под UDP 53 под TCP 443. Ошибки все те же 

Jun 10 20:29:46ndm
Network::RoutingTable: gateway 10.102.0.41 is unreachable via OpenVPN0.
Jun 10 20:29:46ndm
Network::Interface::OpenVpn: "OpenVPN0": system failed [0xcffd053c].
Jun 10 20:29:46ndm
Network::RoutingTable: gateway 10.102.0.41 is unreachable via OpenVPN0.
Jun 10 20:29:46ndm
Network::Interface::OpenVpn: "OpenVPN0": system failed [0xcffd05b2].
Jun 10 20:29:46ndm
Network::RoutingTable: gateway 10.102.0.41 is unreachable via OpenVPN0.
Jun 10 20:29:46ndm
Network::Interface::OpenVpn: "OpenVPN0": system failed [0xcffd05b2].

Edited by T@rkus
Link to comment
Share on other sites

Если сервер не доступен, то у меня завис намертво роутер. Вот конфиг на котором роутер повис намертво:

Скрытый текст

client
auth SHA1
auth-user-pass
dev tun
proto tcp
remote 195.154.69.175 443
resolv-retry infinite
nobind
persist-key
persist-tun
ns-cert-type server
cipher AES-128-CBC
comp-lzo
verb 3
<ca>
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----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-----END PRIVATE KEY-----
</key>

 

Link to comment
Share on other sites

7 часов назад, KorDen сказал:

Да, проверил - нормально получает более 64. Видимо на первоначальном тестовом сервере какой-то баг..

Если эти ошибки в локальном конфигурационном файле - логично. Но если это ошибки в пропушенных с сервера опциях, зачем?

Традиционно провайдеры VPN пушат опции и для Win, соответственно такие конфиги будут по-умолчанию фелиться.

 

mode server планируется, или пока нет? В текущем виде "Options error: --ipchange cannot be used with --mode server (use --client-connect instead)"

Ах да, еще интересный вопрос: Возможно ли напрячь аппаратный криптомодуль обработкой AES[/hmac]? Или EIP умеет только в ESP? Или улучшения производительности не будет из-за юзерспейсности и прочих костылей сабжа?

mode server планируется, но чуть позже

Link to comment
Share on other sites

7 часов назад, KorDen сказал:

Ах да, еще интересный вопрос: Возможно ли напрячь аппаратный криптомодуль обработкой AES[/hmac]? Или EIP умеет только в ESP? Или улучшения производительности не будет из-за юзерспейсности и прочих костылей сабжа?

Это все требует исследования, и явно не в ближайший месяц.

Link to comment
Share on other sites

4 часа назад, pachalia сказал:

Ну, пожалуй начнём.

1 - Загрузка информации должна идти не через копирование-вставка, а через выбор файла(ов). 

2 - Нужно чтобы была проверка синтаксиса. А сейчас приходиться лесть в лог и смотреть где что не так.

1. Да, выбор файла приделаем (возможно), все равно  - только одного файла. Клеить их нужно самостоятельно.

2. Проверка синтаксиса осуществляется через загрузку и один цикл поднятия. Пока достаточно, потом расширим.

 

Link to comment
Share on other sites

27 минут назад, pachalia сказал:

Если сервер не доступен, то у меня завис намертво роутер. Вот конфиг на котором роутер повис намертво:

  Скрыть содержимое

client
auth SHA1
auth-user-pass
dev tun
proto tcp
remote 195.154.69.175 443
resolv-retry infinite
nobind
persist-key
persist-tun
ns-cert-type server
cipher AES-128-CBC
comp-lzo
verb 3
<ca>
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----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-----END PRIVATE KEY-----
</key>

 

Зависания добится не удалось, однако интерактивный запрос логина и пароля не поддерживаются. Надо напрямую прописать в конфиг через секцию <up> (пока не поддерживается, сделаем потом).

Link to comment
Share on other sites

1 час назад, T@rkus сказал:

Прописал конфигурацию под 443 порт. У них под UDP 53 под TCP 443. Ошибки все те же 

 

  Показать содержимое

 

Суть понятна, починим.

Link to comment
Share on other sites

7 часов назад, KorDen сказал:

Да, проверил - нормально получает более 64. Видимо на первоначальном тестовом сервере какой-то баг..

Если эти ошибки в локальном конфигурационном файле - логично. Но если это ошибки в пропушенных с сервера опциях, зачем?

Традиционно провайдеры VPN пушат опции и для Win, соответственно такие конфиги будут по-умолчанию фелиться.

Потому что у нас альфа-тестирование. Сейчас это специально эскалировано до статуса ошибки и требует ручного вмешательства (надеюсь в данной теме на это все способны, иначе вам еще рано пробовать OpenVPN), а потом, когда отловим основные баги и будет работать нормально - расслабим проверки.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...