Jump to content
KorDen

Вопросы по интеграции OpenVPN в NDMS

Recommended Posts

1 час назад, raf сказал:

Как тогда в /storage создать ccd/ каталог и его содержимое для реализации работы опции openvpn "client-config-dir"? Команда cli "copy STORAGE1:ccd storage:" не работает

Пробовал в конфигурации openvpn указать раздел с usb-drive 'client-config-dir /STORAGE1/ccd' - не работает

У меня на  Keenetic Omni II /storage это часть внутренней памяти (/dev/mtdblock/7         512.0K    204.0K    308.0K  40% /storage), через встроенный FTP сервер файлы там можно создать и папку тоже.

В OpenVPN стоит просто "client-config-dir  /storage" и все работает. 

Edited by User254

Share this post


Link to post
Share on other sites
6 часов назад, User254 сказал:

У меня на  Keenetic Omni II /storage это часть внутренней памяти (/dev/mtdblock/7         512.0K    204.0K    308.0K  40% /storage), через встроенный FTP сервер файлы там можно создать и папку тоже.

В OpenVPN стоит просто "client-config-dir  /storage" и все работает. 

У меня Viva. FTP дает доступ только к разделам на USB.

Пришлось установить Entware. И подключившись по ssh уже создать на /storage каталог ccd/ и файлы клиентов в нем

Share this post


Link to post
Share on other sites
13 часа назад, Le ecureuil сказал:

.

Так как же сделать tun мост (interface Home include OpenVPN0) чтобы клиенты ovpn получали адреса от DHCP сервера кинетика?

Как понял, если писать какие-то маршруты, то это уже будет не так работать, мультикаст DLNA работает только в своей (одной) подсети.

Share this post


Link to post
Share on other sites
23 минуты назад, Quadro Rover сказал:

Так как же сделать tun мост (interface Home include OpenVPN0) чтобы клиенты ovpn получали адреса от DHCP сервера кинетика?

FAQ вам не помогает?

https://community.openvpn.net/openvpn/wiki/311-what-are-the-fundamental-differences-between-bridging-and-routing-in-terms-of-configuration

Share this post


Link to post
Share on other sites
2 часа назад, Mixin сказал:

FAQ

Да зачем мне этот фак, это даже не фак.

Если Le ecureuil написал что даже tun можно в мост, то непонятно тольто можно ли сделать получение ip с роутера. Конфиг server side нужен. topology subnet или p2p в таком случае. Просил бы я помочь если бы в гугле было..

Edited by Quadro Rover

Share this post


Link to post
Share on other sites
6 минут назад, Quadro Rover сказал:

Да зачем мне этот фак, это даже не фак.

Я, конечно, не специалист, но там прямо написано, как оно работает. Вы же упорно хотите иначе.

9 минут назад, Quadro Rover сказал:

Если Le ecureuil написал что даже tun можно в мост

Тут написано про tap + мост с Home

https://forum.keenetic.net/topic/2617-вопросы-по-интеграции-openvpn-в-ndms/?do=findComment&comment=45075

Где вы нашли иное?

Share this post


Link to post
Share on other sites
20 часов назад, Quadro Rover сказал:

Так как же сделать tun мост (interface Home include OpenVPN0) чтобы клиенты ovpn получали адреса от DHCP сервера кинетика?

Как понял, если писать какие-то маршруты, то это уже будет не так работать, мультикаст DLNA работает только в своей (одной) подсети.

Это не будет работать, нужно перейти на tap-режим.

Share this post


Link to post
Share on other sites

Теперь понятно.

Вычитал если используется шифрование AES-GCM то HMAC (ta.key) не нужен.

Вопрос по OpenVPN Server @ TCP 443 снят таким образом:

2.png.ecc3db3dd72cc2a1f8d51dfa62a756c2.png

Edited by Quadro Rover

Share this post


Link to post
Share on other sites

Может ли кто-нибудь поделится данными по производительности Keenetic при использовании в качестве клиента OpenVPN?

Более всего интересуют модели:

1) Keenetic Omni (KN-1410, MT7628N)
2) Keenetic Giga (KN-1010,  MT7621A)
3) Keenetic Giga III (MT7621S)

Как сильно сказывается на производительности изменение cipher с AES-128-CBC на AES-256-CBC и auth SHA-256?

 

Share this post


Link to post
Share on other sites
2 часа назад, mephistophel сказал:

Может ли кто-нибудь поделится данными по производительности Keenetic при использовании в качестве клиента OpenVPN?

Более всего интересуют модели:

1) Keenetic Omni (KN-1410, MT7628N)
2) Keenetic Giga (KN-1010,  MT7621A)
3) Keenetic Giga III (MT7621S)

Как сильно сказывается на производительности изменение cipher с AES-128-CBC на AES-256-CBC и auth SHA-256?

 

Omni довольно печален - до 7-8 Мбит/с. Устройства на 7621 могут показать до 15 Мбит/с.

Да, чем круче шифрование, тем меньше скорость. Именно поэтому для слабых устройств и тех, кому важна именно скорость я оставил возможность настроить blowfish и md5 - то примерно в 2 раза быстрее AES/SHA2.

Ждем новую версию openvpn + openssl с chacha20-poly1305, он будет безопасен как AES256/SHA256, но быстрее от 2 до 3 раз.

  • Thanks 1

Share this post


Link to post
Share on other sites

Keenetic Extra II 2.12.A.5.0-4

В конфиге клиента:

remote xxx.xxx.xxx.xxx

remote yyy.yyy.yyy.yyy

При отсутствии доступа на xxx.xxx.xxx.xxx, попыток подключиться на yyy.yyy.yyy.yyy нет

Думаю на прошивках ранее, так же, не было времени разобраться, сейчас уже напрягает

Share this post


Link to post
Share on other sites
3 часа назад, Сергей Молоков сказал:

Keenetic Extra II 2.12.A.5.0-4

В конфиге клиента:

remote xxx.xxx.xxx.xxx

remote yyy.yyy.yyy.yyy

При отсутствии доступа на xxx.xxx.xxx.xxx, попыток подключиться на yyy.yyy.yyy.yyy нет

Думаю на прошивках ранее, так же, не было времени разобраться, сейчас уже напрягает

А оно так разве должно работать на обычном linux? Приведите-ка пример в виде статьи с описанием настройки.

Share this post


Link to post
Share on other sites

Тестирую скорость, клиент на Extra II (2.12.A.5.0-4) WAN статика 100Мб и сервер на FreeBSD 11.1 (OpenVPN 2.4.5) 1 Гбит  фактически подключены к одному свитчу, показывает скорость закачки в районе 1Мб, это так и должно быть или я где-то чего-то недокрутил? В обход OpenVPN с того же сервера скорость честные 100Мбит. Конфиг сервера

Скрытый текст

mode server
tls-server
port 1194
proto udp
dev tun

topology subnet
route-gateway 10.7.0.1
ifconfig 10.7.0.1 255.255.0.0
ifconfig-pool 10.7.200.0 10.7.250.254

client-config-dir ccd

ca easy-rsa/pki/ca.crt
cert easy-rsa/pki/issued/xxx.crt
key easy-rsa/pki/private/xxx.key  
dh easy-rsa/pki/dh.pem
crl-verify easy-rsa/pki/crl.pem
tls-auth easy-rsa/pki/ta.key 0 # This file is secret
cipher AES-256-CBC
persist-key
persist-tun
max-routes 1024
ifconfig-pool-persist ipp.txt

push "route 192.168.200.0 255.255.255.0 10.7.0.1"

status openvpn-status.log
keepalive 10 120

compress lz4-v2
push "compress lz4-v2"

max-clients 1024

 

Конфиг клиента 

Скрытый текст

client
tls-client
dev tun
proto udp
remote xxx.ru 1194
resolv-retry infinite
nobind
topology subnet
persist-key
persist-tun
cipher AES-256-CBC
key-direction 1
remote-cert-tls server
verb 3
#keys

 

 

И что странно, при применении параметров chipher none и ncp-disable скорость вырастает всего до 16 мегабит... 

Edited by dvg_lab

Share this post


Link to post
Share on other sites
1 час назад, Le ecureuil сказал:

А оно так разве должно работать на обычном linux? Приведите-ка пример в виде статьи с описанием настройки.

Извиняюсь, за не понимание темы :(

У меня более двадцати клиентов было под windows_xp, данная настройка на них работала исправно,

сейчас почти всех перенес на кинетики, рассчитывал, что будет так же. Сегодня основная линия отключилась и смотрю, что на резерв переключились только windows_xp клиенты.

Я с linux не знаком, поэтому не в теме, сорри. Скажите, получается при недоступности одного канала нельзя подключиться к другому?

Share this post


Link to post
Share on other sites
9 часов назад, dvg_lab сказал:

Тестирую скорость, клиент на Extra II (2.12.A.5.0-4) WAN статика 100Мб и сервер на FreeBSD 11.1 (OpenVPN 2.4.5) 1 Гбит  фактически подключены к одному свитчу, показывает скорость закачки в районе 1Мб, это так и должно быть или я где-то чего-то недокрутил? В обход OpenVPN с того же сервера скорость честные 100Мбит. Конфиг сервера

  Показать содержимое

Конфиг клиента 

  Показать содержимое

 

И что странно, при применении параметров chipher none и ncp-disable скорость вырастает всего до 16 мегабит... 

На Extra? Все ожидаемо, проц слабый, пакеты мелкие и их много...

Share this post


Link to post
Share on other sites
9 часов назад, Сергей Молоков сказал:

Извиняюсь, за не понимание темы :(

У меня более двадцати клиентов было под windows_xp, данная настройка на них работала исправно,

сейчас почти всех перенес на кинетики, рассчитывал, что будет так же. Сегодня основная линия отключилась и смотрю, что на резерв переключились только windows_xp клиенты.

Я с linux не знаком, поэтому не в теме, сорри. Скажите, получается при недоступности одного канала нельзя подключиться к другому?

По идее этот фукционал должен работать как в ванильном клиенте. Почему не работает - другой вопрос. Просьба повторить натурный эксперимент, при этом снять self-test с вариантом когда не произошло переключения на резерв.

Хотя я примерно догадываюсь о возможной сути - после того, как соединение разорвалось обычный openvpn остается жив и продолжает путь по списку дальше, наш же openvpn гасится совсем и стартует заново.

Подумаем, что можно с этим сделать.

Share this post


Link to post
Share on other sites
4 минуты назад, Le ecureuil сказал:

На Extra? Все ожидаемо, проц слабый, пакеты мелкие и их много...

Понял, уже заказал пару Ultra II... надеюсь выжать поболее, хотелось бы мегабит 30 хотябы...

Share this post


Link to post
Share on other sites
1 минуту назад, dvg_lab сказал:

Понял, уже заказал пару Ultra II... надеюсь выжать поболее, хотелось бы мегабит 30 хотябы...

Если у вас в приоритете скорость - смотрите на cipher BF-CBC.

  • Thanks 1

Share this post


Link to post
Share on other sites

У всех в приоритете скорость. Добавьте SoftEtherVPN сервер с космическими скоростями, ovpn в сравнении с ним маленькая улитка. Там на всё уже клиенты есть, и ovpn он тоже поднимать может.

Он уже достаточно развился, скоро пятая версия.

Share this post


Link to post
Share on other sites
16 минут назад, Quadro Rover сказал:

У всех в приоритете скорость. Добавьте SoftEtherVPN сервер с космическими скоростями, ovpn в сравнении с ним маленькая улитка. Там на всё уже клиенты есть, и ovpn он тоже поднимать может.

Он уже достаточно развился, скоро пятая версия.

Имхо сервер в таких железках на данном этапе это баловство. А вот скоростной клиент это в приоритете. Как у SoftEther с этим? Я так понимаю там свой клиент, совместимый с OpenVPN.

Share this post


Link to post
Share on other sites
13 часа назад, Quadro Rover сказал:

У всех в приоритете скорость. Добавьте SoftEtherVPN сервер с космическими скоростями, ovpn в сравнении с ним маленькая улитка. Там на всё уже клиенты есть, и ovpn он тоже поднимать может.

Он уже достаточно развился, скоро пятая версия.

Есть исследования, как ведет себя SE и OpenVPN на MIPS32R2 с 64М ОЗУ и 580 МГц процессором? Иначе это пока голословные заявления про "космические скорости".

Share this post


Link to post
Share on other sites

Прошу помочь.

Не устанавливается Open VPN с Keenetci (сlient) к Mikrotik (server).

Лог с Keenetic:

Apr 24 22:42:07OpenVPN0OpenVPN 2.4.4 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD]
Apr 24 22:42:07OpenVPN0library versions: OpenSSL 1.1.0h  27 Mar 2018, LZO 2.10
Apr 24 22:42:07OpenVPN0using default password "password" for pkcs file
Apr 24 22:42:07OpenVPN0Control Channel MTU parms [ L:1655 D:1210 EF:40 EB:0 ET:0 EL:3 ]
Apr 24 22:42:07OpenVPN0Data Channel MTU parms [ L:1655 D:1450 EF:123 EB:411 ET:32 EL:3 ]
Apr 24 22:42:07OpenVPN0Local Options String (VER=V4): 'V4,dev-type tap,link-mtu 1575,tun-mtu 1532,proto TCPv4_CLIENT,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Apr 24 22:42:07OpenVPN0Expected Remote Options String (VER=V4): 'V4,dev-type tap,link-mtu 1575,tun-mtu 1532,proto TCPv4_SERVER,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Apr 24 22:42:07OpenVPN0Socket Buffers: R=[87380->87380] S=[16384->16384]
Apr 24 22:42:07OpenVPN0Attempting to establish TCP connection with [AF_INET]78.107.91.221:443 [nonblock]
Apr 24 22:42:08OpenVPN0TCP connection established with [AF_INET]78.107.91.221:443
Apr 24 22:42:08OpenVPN0TCP_CLIENT link local: (not bound)
Apr 24 22:42:08OpenVPN0TCP_CLIENT link remote: [AF_INET]78.107.91.221:443
Apr 24 22:42:08OpenVPN0NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
Apr 24 22:42:08OpenVPN0TLS: Initial packet from [AF_INET]78.107.91.221:443, sid=fc9595a0 b275e19b
Apr 24 22:42:08OpenVPN0VERIFY SCRIPT OK: depth=1, CN=test-CA
Apr 24 22:42:08OpenVPN0VERIFY OK: depth=1, CN=test-CA
Apr 24 22:42:08OpenVPN0VERIFY SCRIPT OK: depth=0, CN=test-srv-OVPN
Apr 24 22:42:08OpenVPN0VERIFY OK: depth=0, CN=test-srv-OVPN
Apr 24 22:43:08OpenVPN0TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Apr 24 22:43:08OpenVPN0TLS Error: TLS handshake failed
Apr 24 22:43:08OpenVPN0Fatal TLS error (check_tls_errors_co), restarting
Apr 24 22:43:08OpenVPN0TCP/UDP: Closing socket
Apr 24 22:43:08OpenVPN0SIGTERM[soft,tls-error] received, process exiting
Apr 24 22:43:08ndmService: "OpenVPN0": unexpectedly stopped.

Лог с Mikrotik:

22:42:07 ovpn,info TCP connection established from 31.173.86.100 
22:42:07 ovpn,debug,packet sent P_CONTROL_HARD_RESET_SERVER_V2 kid=0 sid=fc9595a0b275e19b pid=0 DATA len=0 
22:42:08 ovpn,debug,packet rcvd P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 sid=caeb2f1dbff07430 pid=0 DATA len=0 
22:42:08 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [0 sid=caeb2f1dbff07430] DATA len=0 
22:42:08 ovpn,debug,packet rcvd P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 sid=caeb2f1dbff07430 [0 sid=fc9595a0b275e19b] pid=0 DATA len=0 
22:42:08 ovpn,debug,error,684,60448,13244,12696,21884,54028,12032,13240,l2tp,info,13244,debug,79,65535,critical,4176,8600,25488,53520,54104,28008,60448,4043,53428,54028,41920,54028,warning duplicate packet, dropping 
22:42:08 ovpn,debug,packet rcvd P_CONTROL kid=0 sid=caeb2f1dbff07430 pid=1 DATA len=160 
22:42:08 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [1 sid=caeb2f1dbff07430] DATA len=0 
22:42:08 ovpn,debug,packet sent P_CONTROL kid=0 sid=fc9595a0b275e19b pid=1 DATA len=1400 
22:42:08 ovpn,debug,packet sent P_CONTROL kid=0 sid=fc9595a0b275e19b pid=2 DATA len=559 
22:42:08 ovpn,debug,packet rcvd P_ACK kid=0 sid=caeb2f1dbff07430 [1 sid=fc9595a0b275e19b] DATA len=0 
22:42:09 ovpn,debug,packet rcvd P_CONTROL kid=0 sid=caeb2f1dbff07430 [2 sid=fc9595a0b275e19b] pid=2 DATA len=1170 
22:42:09 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [2 sid=caeb2f1dbff07430] DATA len=0 
22:42:09 ovpn,debug,packet rcvd P_CONTROL kid=0 sid=caeb2f1dbff07430 pid=3 DATA len=436 
22:42:09 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [3 sid=caeb2f1dbff07430] DATA len=0 
22:42:10 ovpn,debug,packet sent P_CONTROL kid=0 sid=fc9595a0b275e19b pid=3 DATA len=51 
22:42:10 ovpn,debug,packet rcvd P_CONTROL kid=0 sid=caeb2f1dbff07430 [3 sid=fc9595a0b275e19b] pid=4 DATA len=396 
22:42:10 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [4 sid=caeb2f1dbff07430] DATA len=0 
22:42:10 ovpn,info : using encoding - BF-128-CBC/SHA1 
22:43:08 ovpn,debug <31.173.86.100>: disconnected <peer disconnected> 
 

При этом PPTP и L2TP между данными устройства отлично устанавливается.

Share this post


Link to post
Share on other sites
22 часа назад, pigovina сказал:

Прошу помочь.

Не устанавливается Open VPN с Keenetci (сlient) к Mikrotik (server).

Лог с Keenetic:

Apr 24 22:42:07OpenVPN0OpenVPN 2.4.4 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD]
Apr 24 22:42:07OpenVPN0library versions: OpenSSL 1.1.0h  27 Mar 2018, LZO 2.10
Apr 24 22:42:07OpenVPN0using default password "password" for pkcs file
Apr 24 22:42:07OpenVPN0Control Channel MTU parms [ L:1655 D:1210 EF:40 EB:0 ET:0 EL:3 ]
Apr 24 22:42:07OpenVPN0Data Channel MTU parms [ L:1655 D:1450 EF:123 EB:411 ET:32 EL:3 ]
Apr 24 22:42:07OpenVPN0Local Options String (VER=V4): 'V4,dev-type tap,link-mtu 1575,tun-mtu 1532,proto TCPv4_CLIENT,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Apr 24 22:42:07OpenVPN0Expected Remote Options String (VER=V4): 'V4,dev-type tap,link-mtu 1575,tun-mtu 1532,proto TCPv4_SERVER,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Apr 24 22:42:07OpenVPN0Socket Buffers: R=[87380->87380] S=[16384->16384]
Apr 24 22:42:07OpenVPN0Attempting to establish TCP connection with [AF_INET]78.107.91.221:443 [nonblock]
Apr 24 22:42:08OpenVPN0TCP connection established with [AF_INET]78.107.91.221:443
Apr 24 22:42:08OpenVPN0TCP_CLIENT link local: (not bound)
Apr 24 22:42:08OpenVPN0TCP_CLIENT link remote: [AF_INET]78.107.91.221:443
Apr 24 22:42:08OpenVPN0NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
Apr 24 22:42:08OpenVPN0TLS: Initial packet from [AF_INET]78.107.91.221:443, sid=fc9595a0 b275e19b
Apr 24 22:42:08OpenVPN0VERIFY SCRIPT OK: depth=1, CN=test-CA
Apr 24 22:42:08OpenVPN0VERIFY OK: depth=1, CN=test-CA
Apr 24 22:42:08OpenVPN0VERIFY SCRIPT OK: depth=0, CN=test-srv-OVPN
Apr 24 22:42:08OpenVPN0VERIFY OK: depth=0, CN=test-srv-OVPN
Apr 24 22:43:08OpenVPN0TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Apr 24 22:43:08OpenVPN0TLS Error: TLS handshake failed
Apr 24 22:43:08OpenVPN0Fatal TLS error (check_tls_errors_co), restarting
Apr 24 22:43:08OpenVPN0TCP/UDP: Closing socket
Apr 24 22:43:08OpenVPN0SIGTERM[soft,tls-error] received, process exiting
Apr 24 22:43:08ndmService: "OpenVPN0": unexpectedly stopped.

Лог с Mikrotik:

22:42:07 ovpn,info TCP connection established from 31.173.86.100 
22:42:07 ovpn,debug,packet sent P_CONTROL_HARD_RESET_SERVER_V2 kid=0 sid=fc9595a0b275e19b pid=0 DATA len=0 
22:42:08 ovpn,debug,packet rcvd P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 sid=caeb2f1dbff07430 pid=0 DATA len=0 
22:42:08 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [0 sid=caeb2f1dbff07430] DATA len=0 
22:42:08 ovpn,debug,packet rcvd P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 sid=caeb2f1dbff07430 [0 sid=fc9595a0b275e19b] pid=0 DATA len=0 
22:42:08 ovpn,debug,error,684,60448,13244,12696,21884,54028,12032,13240,l2tp,info,13244,debug,79,65535,critical,4176,8600,25488,53520,54104,28008,60448,4043,53428,54028,41920,54028,warning duplicate packet, dropping 
22:42:08 ovpn,debug,packet rcvd P_CONTROL kid=0 sid=caeb2f1dbff07430 pid=1 DATA len=160 
22:42:08 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [1 sid=caeb2f1dbff07430] DATA len=0 
22:42:08 ovpn,debug,packet sent P_CONTROL kid=0 sid=fc9595a0b275e19b pid=1 DATA len=1400 
22:42:08 ovpn,debug,packet sent P_CONTROL kid=0 sid=fc9595a0b275e19b pid=2 DATA len=559 
22:42:08 ovpn,debug,packet rcvd P_ACK kid=0 sid=caeb2f1dbff07430 [1 sid=fc9595a0b275e19b] DATA len=0 
22:42:09 ovpn,debug,packet rcvd P_CONTROL kid=0 sid=caeb2f1dbff07430 [2 sid=fc9595a0b275e19b] pid=2 DATA len=1170 
22:42:09 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [2 sid=caeb2f1dbff07430] DATA len=0 
22:42:09 ovpn,debug,packet rcvd P_CONTROL kid=0 sid=caeb2f1dbff07430 pid=3 DATA len=436 
22:42:09 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [3 sid=caeb2f1dbff07430] DATA len=0 
22:42:10 ovpn,debug,packet sent P_CONTROL kid=0 sid=fc9595a0b275e19b pid=3 DATA len=51 
22:42:10 ovpn,debug,packet rcvd P_CONTROL kid=0 sid=caeb2f1dbff07430 [3 sid=fc9595a0b275e19b] pid=4 DATA len=396 
22:42:10 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [4 sid=caeb2f1dbff07430] DATA len=0 
22:42:10 ovpn,info : using encoding - BF-128-CBC/SHA1 
22:43:08 ovpn,debug <31.173.86.100>: disconnected <peer disconnected> 
 

При этом PPTP и L2TP между данными устройства отлично устанавливается.

Советую вам сперва попробовать настроить ovpn между обычным linux (скажем, ubuntu в виртуалке) и m. Если заработает, тогда будем смотреть, что не так.

Share this post


Link to post
Share on other sites
В 16.04.2018 в 12:03, dvg_lab сказал:

Тестирую скорость, клиент на Extra II (2.12.A.5.0-4) WAN статика 100Мб и сервер на FreeBSD 11.1 (OpenVPN 2.4.5) 1 Гбит  фактически подключены к одному свитчу, показывает скорость закачки в районе 1Мб, это так и должно быть или я где-то чего-то недокрутил? В обход OpenVPN с того же сервера скорость честные 100Мбит. Конфиг сервера

  Показать содержимое


mode server
tls-server
port 1194
proto udp
dev tun

topology subnet
route-gateway 10.7.0.1
ifconfig 10.7.0.1 255.255.0.0
ifconfig-pool 10.7.200.0 10.7.250.254

client-config-dir ccd

ca easy-rsa/pki/ca.crt
cert easy-rsa/pki/issued/xxx.crt
key easy-rsa/pki/private/xxx.key  
dh easy-rsa/pki/dh.pem
crl-verify easy-rsa/pki/crl.pem
tls-auth easy-rsa/pki/ta.key 0 # This file is secret
cipher AES-256-CBC
persist-key
persist-tun
max-routes 1024
ifconfig-pool-persist ipp.txt

push "route 192.168.200.0 255.255.255.0 10.7.0.1"

status openvpn-status.log
keepalive 10 120

compress lz4-v2
push "compress lz4-v2"

max-clients 1024

 

Конфиг клиента 

  Показать содержимое


client
tls-client
dev tun
proto udp
remote xxx.ru 1194
resolv-retry infinite
nobind
topology subnet
persist-key
persist-tun
cipher AES-256-CBC
key-direction 1
remote-cert-tls server
verb 3
#keys

 

 

И что странно, при применении параметров chipher none и ncp-disable скорость вырастает всего до 16 мегабит... 

У меня на Lite 3 при подключении к удаленному серверу выдает ~9Мбит входящая и ~12Мбит исходящая при загрузке проца 80% и 100% соответственно (AES-256-CBC, AES-128-CBC и GCM не сказывается никак на скорости). Процы одинаковые, так что явно не так что-то. Попробуй с обеих сторон в конфиге прописать

sndbuf 0
rcvbuf 0

Что это такое и почему так почитайте по ссылке

https://habr.com/post/246953/

В процессе экспериментов установил, что малые значения этого параметра действительно уменьшают скорость, правда у меня ovpn поднят на Debian и без этих настроек работает примерно также.

прописывать "mssfix 0" на клиенте не советую, скорость падает. Я просто галочку убрал "Автоподстройка TCP-MSS" на кинетике, также не влияет толком.

Edited by Stasmin
  • Thanks 1

Share this post


Link to post
Share on other sites

Извините, если не туда....

Может кто-то помочь  примером конфигурации для клиента и сервера, если мне надо чтобы клиент попадал прямо внутрь домашней сети, и весь трафик клиента шел по VPN, и внутрисетевой и интернет...

Т.е я понимаю, что мне нужен tap адаптер и объединить потом его в бридж с Home. 

что я сделал:

На Кинетике

dev tap
cipher AES-128-CBC
<secret>
ххх
</secret>
verb 3

и потом в командной строке Кинетика = interface Home include OpenVPN0

И разрешил в межсетевом экране UDP = 1194

На Виндовс-клиента:

dev tap
remote xxx.xxx.xxx.xxx
route-gateway 192.168.1.1
cipher AES-128-CBC
<secret>
xxx
</secret>
verb 3
route 0.0.0.0 0.0.0.0

 

Подключаюсь, IP получаю, но дальше на клиенте никакой трафик никуда не идёт. Ни сеть Кинетика не доступна, ни интернет....

Edited by totikk

Share this post


Link to post
Share on other sites
13 часа назад, totikk сказал:

route-gateway 192.168.1.1

Если вы настраиваете tap, то для клиента шлюз и все параметры назначаются через DHCP роутера. 

13 часа назад, totikk сказал:

Подключаюсь, IP получаю

И он верный, DNS, шлюз?

А то, что вы хотите, видимо, решается нужным вариантом опции redirect-gateway на сервере.

 

 

Edited by Mixin

Share this post


Link to post
Share on other sites
6 hours ago, Mixin said:

он верный, DNS, шлюз?

Да, всё верное назначается. 

Да, я пробовал и без route-gateway 192.168.1.1. Тогда клиент ругается,  что нет никакого шлюза. Ну и я решил, что если укажу ракуми тот же шлюз который назначил кинетике ничего плохого не будет. Не знал я о redirect-gateway. Сейчас попробую,  но мне кажется забыл где-то не тут...

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...