Jump to content
KorDen

Вопросы по интеграции OpenVPN в NDMS

Recommended Posts

Добрый день, решил попробовать OVPN в качестве клиента на Giga II, на работе OVPN сервер, с windows приложения подключаюсь нормально, а вот с роутреа не получается.

Сделал конфиг но подключится не могу.

Конфиг.

dev tun
proto tcp-client
remote gw.ogn.in
cipher AES-256-CBC
auth SHA1
resolv-retry infinite
nobind
persist-key
persist-tun
ping 10
ping-restart 30
verb 3
pull
#auth-user-pass
<auth-user-pass>
user
password
</auth-user-pass>
route-method exe 
route-delay 2 
route 10.56.100.0 255.255.255.0 172.16.16.1
route 10.56.0.0 255.255.255.0 172.16.16.1
route 10.56.1.0 255.255.255.0 172.16.16.1
route 10.56.2.0 255.255.255.0 172.16.16.1
route 192.168.122.1 255.255.255.255 172.16.16.1

<ca>
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

</ca>

<cert>
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

</cert>

<key>
-----BEGIN RSA PRIVATE KEY-----

-----END RSA PRIVATE KEY-----

</key>

Ругается вот на что, погуглил не нашёл решения, подскажите куда копать.

Options error: Parameter ca_file can only be specified in TLS-mode, i.e. where --tls-server or --tls-client is also specified

Share this post


Link to post
Share on other sites

tls-client не хватает в конфиге, он же вроде красным по-белому пишет что не так.

Share this post


Link to post
Share on other sites

Добрый день, господа.

Подскажите, есть ли разница в работе OpenVPN сервера на Keenetic II (2.12.C.1.0-6) при настройке его как компонента NDMS, и из под opkg. Интересует скорость работы туннеля, загрузка ЦП, поддерживаемые шифры. 

Пытался установить как компонент: но возникла проблема, компонент скачивается, роутер перезагружается, а компонента нету. Пробовал два раза. Я недолго думая, завёл все из opkg. Но заметил, что скорость передачи очень низкая, ~1.5MiB, при почти 70мбитном канале, и высокая загрузка Цп (50-60% во время интенсивного обмена). Подозреваю, что используется программный алгоритм шифрования. ..В правильную сторону думаю?Пробовал менять шифрование BF-CBC и AES-CBC (cipher). Хотя, прочитал, что данный SoC имеет аппаратный кодер AeS(возможно, я не прав? Или он задействуется только для IPSec?)

Что я делаю не так? Если кто откликнется, залью конфиги , сейчас нет возможности загрузить их. Спасибо

Share this post


Link to post
Share on other sites

У меня Keenetic II (2.11.C.1.0-3). Работает на компоненте. Единственное, какой вопрос приходит в голову, вы компонент Клиент PPPoE установили?

Share this post


Link to post
Share on other sites

Приветствую вас, помогите пожалуйста если не сложно, а то мозг уже кипит.

Надо из андрофона сделать прокси-сервер, чтобы раздавать удаленно(через интернет, при помощи тунеля) 3G-интернет на браузер Firefox(пк Windows,соединен lan кабелем с keenetic-ом,т.е.в одной сети).

Поднят OpenVPN сервер на кинетике согласно этой статьи , он имеет белый ip.  На адрофоне установлен прокси сервер, подключаюсь к OpenVPN keetenic-у через 3G, устанавливаеться соединение, пк с виндовым браузером и андрофон  обмениваються пингами,

но сайт  whoer.net/ru  показывает белый ip адрес keenetic-a , а нужно чтобы светился адрес 3G опсоса. Конфиги OpenVPN серевера и андрофона(клиента) прикрепляю.

srv keenetic.txt

client android.txt

Share this post


Link to post
Share on other sites
1 час назад, r13 сказал:

@Alexander_74 аппаратно только ipsec

значит, высокой загрузки ЦП не избежать при любом сценарии использования OpenVPN? (имеется ввиду с шифрованием).

 

Share this post


Link to post
Share on other sites
1 час назад, Alexander_74 сказал:

значит, высокой загрузки ЦП не избежать при любом сценарии использования OpenVPN? (имеется ввиду с шифрованием).

 

да, ждем поддержки более скоростных алгоритмов в openvpn(chacha20 -poly1305)

Edited by r13

Share this post


Link to post
Share on other sites
21 минуту назад, r13 сказал:

да, ждем поддержки более скоростных алгоритмов в openvpn(chacha20 -poly1305)

Хорошо, спасибо. Хоть какая-то определенность, ведь я не мог понять, толи я накосячил, толи лыжи не едут. Возможно, вы также подскажете, почему загрузка не падает, если сменить AES-256-CBC на BF-CBC? Я предполагал хоть какое-то ускорение, а такое впечатление, что загрузка и скорость вообще от типа шифрования не зависят. Как грузил на 60% с 1.5MiB/s, так и грузит. Может быть, дело не только в шифровании?

Share this post


Link to post
Share on other sites
11 минуту назад, Alexander_74 сказал:

Хорошо, спасибо. Хоть какая-то определенность, ведь я не мог понять, толи я накосячил, толи лыжи не едут. Возможно, вы также подскажете, почему загрузка не падает, если сменить AES-256-CBC на BF-CBC? Я предполагал хоть какое-то ускорение, а такое впечатление, что загрузка и скорость вообще от типа шифрования не зависят. Как грузил на 60% с 1.5MiB/s, так и грузит. Может быть, дело не только в шифровании?

 

Share this post


Link to post
Share on other sites
36 минут назад, r13 сказал:

 

Чтож, тут нечего добавить, осталось ждать "новую версию openvpn + openssl с chacha20-poly1305, он будет безопасен как AES256/SHA256, но быстрее от 2 до 3 раз."

Спасибо

Share this post


Link to post
Share on other sites

Новый OpenSSL 1.1.1 уже в 2.14, а вот когда chacha20-poly1305 добавят в openvpn - ждемс...

Share this post


Link to post
Share on other sites
В 06.10.2017 в 00:23, parkan сказал:

Доброго всем. Вопрос небольшой. 
Есть сетка с сервером OpenVPN 192.168.0.x (Pfsense)
Шлюз OpenVPN  10.0.6.1-10.0.6.2, tun
Сетка с клиентом OpenVPN, 192.168.6.x (Keenetic III, 2.11.A.4.0-0)

Как бы всё работает, в обе стороны, пингуется, открывается. Есть одно но: Компы за Кинетиком выходят в сетку с сервером под адресом OpenVPN, т.е. 10.0.6.2. Всё бы ничего, но голос VoIP в сторону Кинетика не проходит. Так было и на версии 2.08 с Entware.

Я уж интерфейс OpenVPN0 сделал private, и "no ip nat OpenVPN0", всё равно...

К этому же серверу подключено куча клиентов, и на dd-wrt, и на Giga II c v2.06(AAFS.7)C2. На них всё нормально, клиенты приходят со своими IP. 
Конфиг клиента: 

  Показать содержимое

remote xxx 1200
port 1200
dev tun
proto udp
nobind
persist-tun
cipher AES-128-CBC
verb 3
comp-lzo
keepalive 15 60
ifconfig 10.0.6.2 10.0.6.1
route 192.168.0.0 255.255.255.0
<secret>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
...
-----END OpenVPN Static key V1-----
</secret>

Это что-то в прошивках после 2.06 поменялось? Возможно ли поправить?

Может кому пригодиться. Была аналогичная проблема: ip.src в соединениях из домашней сети (192.168.12.0/24) подменяется на ip openvpn туннеля (172.16.0.12). 

Решение, как описано в статье https://help.keenetic.com/hc/ru/articles/115000045869:

no ip nat Home
interface PPTP0 security-level private
no isolate-private
ip static Home PPPoE1
system configuration save

Правило ip static появляться в веб-панели в разделе переадресация.

Share this post


Link to post
Share on other sites

Роутер режет скорость VPN или конфиг клиента кривой?... или роутер пора менять? ...

Всем привет!

Кинетик 2, драфт 2.14.A.4.0-2

Купил VPS, "настроил" OpenVPN через веб-морду Pritunl (конфиг дефолтный), сгенерированный конфиг скормил роутеру. Роутер подключается, но режет скорость до 1 МБ/с вообще на все, включая и торренты и скачивания по HTTP/S.

Если подключаться к VPN с ноутбука - скорость, как и положено - 100 Мбит/с. Пробовал убирать некоторые опции конфига, на которые роутер выдавал WARNING'и в своих логах, но это не помогло. Возможно, что-то упустил. Не особо понимаю что нужно делать. self-test (с interface OpenVPN1 debug) будет ниже, в скрытом посте. Вот дефолтный конфиг клиента:

Скрытый текст

setenv UV_ID z6dtbz6dtb7f6zstb76zsgvs
setenv UV_NAME y7szgy8z7stgs78tgf87szt
client
dev tun
dev-type tun
remote 2a02:2a02:2a02::2a02:2a02 7007 udp6
remote 185.185.185.185 7007 udp
remote-random
nobind
persist-tun
cipher AES-128-CBC
auth SHA1
verb 2
mute 3
push-peer-info
ping 10
ping-restart 60
hand-window 70
server-poll-timeout 4
reneg-sec 2592000
sndbuf 393216
rcvbuf 393216
max-routes 1000
remote-cert-tls server
comp-lzo no
ignore-unknown-option block-outside-dns
block-outside-dns
key-direction 1
<ca>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</ca>
<tls-auth>
#
# * bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
...
-----END OpenVPN Static key V1-----
</tls-auth>
<cert>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
...
-----END PRIVATE KEY-----
</key>

 

Раньше пользовался именно на самом роутере платным VPN от prostovpn, но там маршруты прописывались только к заблокированным сайтам, по другому не работало, да и не нужно было. Сейчас, если капризному кинетику нужны какие-то изменения на VPN сервере - их можно сделать, хоть и нежелательно.

Не знаю, правильно ли это, но чтобы VPN заработал, пришлось в приоритетах "подвинуть" провайдерское подключение на второе место, VPN на первое. По другому к VPN подключение было, но трафик шел в обход VPN (через провайдера).

И отдельно вопрос по поводу этой строчки в конфиге:

remote 2a02:2a02:2a02::2a02:2a02 7007 udp6

Если на роутере настроен 6to4, трафик ведь через него пойдет? По другому ведь никак по идее. Можно добавить исключение какое-то?

p.s. Айпишники я конечно поменял, не смущайтесь абракадабре.

Буду благодарен за любую помощь.

Share this post


Link to post
Share on other sites
В 22.10.2018 в 15:44, Вежливый Снайпер сказал:

Роутер режет скорость VPN или конфиг клиента кривой?... или роутер пора менять? ...

Всем привет!

Кинетик 2, драфт 2.14.A.4.0-2

Купил VPS, "настроил" OpenVPN через веб-морду Pritunl (конфиг дефолтный), сгенерированный конфиг скормил роутеру. Роутер подключается, но режет скорость до 1 МБ/с вообще на все, включая и торренты и скачивания по HTTP/S.

Если подключаться к VPN с ноутбука - скорость, как и положено - 100 Мбит/с. Пробовал убирать некоторые опции конфига, на которые роутер выдавал WARNING'и в своих логах, но это не помогло. Возможно, что-то упустил. Не особо понимаю что нужно делать. self-test (с interface OpenVPN1 debug) будет ниже, в скрытом посте. Вот дефолтный конфиг клиента:

  Показать содержимое

Раньше пользовался именно на самом роутере платным VPN от prostovpn, но там маршруты прописывались только к заблокированным сайтам, по другому не работало, да и не нужно было. Сейчас, если капризному кинетику нужны какие-то изменения на VPN сервере - их можно сделать, хоть и нежелательно.

Не знаю, правильно ли это, но чтобы VPN заработал, пришлось в приоритетах "подвинуть" провайдерское подключение на второе место, VPN на первое. По другому к VPN подключение было, но трафик шел в обход VPN (через провайдера).

И отдельно вопрос по поводу этой строчки в конфиге:


remote 2a02:2a02:2a02::2a02:2a02 7007 udp6

Если на роутере настроен 6to4, трафик ведь через него пойдет? По другому ведь никак по идее. Можно добавить исключение какое-то?

p.s. Айпишники я конечно поменял, не смущайтесь абракадабре.

Буду благодарен за любую помощь.

Вообще удалите настройку с ipv6 - такое может заработать, но мы это не гарантируем. Оставьте только udp4.

А вообще давайте поточнее в показаниях - 1 МБ/с это у вас 1 Мбит/с или 1 Мбайт/с?

Share this post


Link to post
Share on other sites
22 часа назад, Le ecureuil сказал:

Вообще удалите настройку с ipv6 - такое может заработать, но мы это не гарантируем. Оставьте только udp4.

А вообще давайте поточнее в показаниях - 1 МБ/с это у вас 1 Мбит/с или 1 Мбайт/с? 

Удалил. Дополнительно попробовал подключиться по TCP - скорость так и осталась не выше 1 Мбайт/с.. чаще скорость бегает даже в районе 600-900 КБ/с.

Можно было бы на "древний" роутер грешить, но нагрузка на проц с памятью не превышает даже 50%, и это при активном VPN с торрентами и Entware.

Могу выложить для тестов в скрытом посте ссылку на профиль для подключения к моему VPN. Вдруг проблема не на моей стороне, а в реализации OpenVPN.

Share this post


Link to post
Share on other sites
32 минуты назад, Вежливый Снайпер сказал:

Удалил. Дополнительно попробовал подключиться по TCP - скорость так и осталась не выше 1 Мбайт/с.. чаще скорость бегает даже в районе 600-900 КБ/с.

Можно было бы на "древний" роутер грешить, но нагрузка на проц с памятью не превышает даже 50%, и это при активном VPN с торрентами и Entware.

Могу выложить для тестов в скрытом посте ссылку на профиль для подключения к моему VPN. Вдруг проблема не на моей стороне, а в реализации OpenVPN.

1Мегабайт вполне нормальная скорость для кинетика

На топовых около 2х ?

ЗЫ 50% это считайте в полку(проц 2х поточный)

Edited by r13
  • Thanks 1

Share this post


Link to post
Share on other sites
1 час назад, Вежливый Снайпер сказал:

Удалил. Дополнительно попробовал подключиться по TCP - скорость так и осталась не выше 1 Мбайт/с.. чаще скорость бегает даже в районе 600-900 КБ/с.

Можно было бы на "древний" роутер грешить, но нагрузка на проц с памятью не превышает даже 50%, и это при активном VPN с торрентами и Entware.

Могу выложить для тестов в скрытом посте ссылку на профиль для подключения к моему VPN. Вдруг проблема не на моей стороне, а в реализации OpenVPN.

Да, 1 Мбайт/с - это вполне нормальная скорость.

  • Upvote 1

Share this post


Link to post
Share on other sites

Здравствуйте!

Вопрос простой,есть keenetiс Giga III и новый ,прошивка последняя рекомендованная, есть конфиг с двумя remote  серверами. Первый сервер отключаю, впн не переподключается на второй сервер.Какие настройки необходимо добавить в конфиг ниже?

client
tls-client
dev tun
proto udp
remote 1.2.3.4 1196
remote 2.2.3.3 1196
remote-cert-tls server
cipher AES-256-CBC
auth SHA256
resolv-retry infinite
nobind
persist-key
persist-tun
compress lz4-v2
verb 3
auth-nocache
reneg-sec 0
connect-timeout 10

 

Спасибо!

Share this post


Link to post
Share on other sites
9 часов назад, Alezzzander сказал:

Первый сервер отключаю, впн не переподключается на второй сервер.

выше обсуждали это, нет такой возможности.

Share this post


Link to post
Share on other sites
3 часа назад, Сергей Молоков сказал:

выше обсуждали это, нет такой возможности.

По сути это баг,т.к.на Win,Linux устройствах мультисерверный конфиг работает.Просьба разработчиков пофиксить.

Share this post


Link to post
Share on other sites
7 часов назад, Alezzzander сказал:

По сути это баг,т.к.на Win,Linux устройствах мультисерверный конфиг работает.Просьба разработчиков пофиксить.

Да, знаем, но в низком приоритете.

Share this post


Link to post
Share on other sites
В 20.09.2018 в 16:41, Le ecureuil сказал:

Новый OpenSSL 1.1.1 уже в 2.14, а вот когда chacha20-poly1305 добавят в openvpn - ждемс...

Уже добавили. Энтузиасты ставят эксперименты: https://4pda.ru/forum/index.php?s=&amp;showtopic=714487&amp;view=findpost&amp;p=79682591 и https://4pda.ru/forum/index.php?s=&amp;showtopic=714487&amp;view=findpost&amp;p=79817926

Share this post


Link to post
Share on other sites
2 часа назад, Legoos сказал:

Как только выйдет релиз с этим - сразу появится в draft.

Share this post


Link to post
Share on other sites

Почему не хочет работать конфиг от antizapret?

Вроде бы всё правильно,но соединение не устанавливается)))

##############################################
# ProstoVPN.AntiZapret                       #
# http://antizapret.prostovpn.org #
##############################################

nobind
client

# Remote server here
remote vpn.antizapret.prostovpn.org

# Uncomment this is you are not on Windows
;fast-io

# Windows route method
;route-method exe

remote-cert-tls server

dev tun
proto udp

resolv-retry infinite
persist-key
persist-tun

explicit-exit-notify

comp-lzo
max-routes 30000

# Keys
<ca>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</ca>

<cert>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN PRIVATE KEY-----
...
-----END PRIVATE KEY-----
</key>

 

Share this post


Link to post
Share on other sites
19 часов назад, Дмитрий Воронцов сказал:

Почему не хочет работать конфиг от antizapret?

Вроде бы всё правильно,но соединение не устанавливается)))

##############################################
# ProstoVPN.AntiZapret                       #
# http://antizapret.prostovpn.org #
##############################################

nobind
client

# Remote server here
remote vpn.antizapret.prostovpn.org

# Uncomment this is you are not on Windows
;fast-io

# Windows route method
;route-method exe

remote-cert-tls server

dev tun
proto udp

resolv-retry infinite
persist-key
persist-tun

explicit-exit-notify

comp-lzo
max-routes 30000

# Keys
<ca>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</ca>

<cert>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN PRIVATE KEY-----
...
-----END PRIVATE KEY-----
</key>

 

Здесь почитайте(обсуждение), может поможет:

Цитата

 

 

Share this post


Link to post
Share on other sites
23 часа назад, Дмитрий Воронцов сказал:

Почему не хочет работать конфиг от antizapret?

Вроде бы всё правильно,но соединение не устанавливается)))

 

Ну не хотят в кинетиках нормальную реализацию OpenVPN делать, да и смысл при скорости 30 Мбит/с максимум на топ моделях...

Share this post


Link to post
Share on other sites

С AntiZapret  не работет это уже понятно)))

Вообще существует реально рабочий способ на этом роутере(без юсби)настроить обход блокировок....

Понятно,что с впн настроить можно,но хочется,что бы только заблокированные ресурсы через него открывались,а остальное напрямую ходило))

Share this post


Link to post
Share on other sites
31 минуту назад, Дмитрий Воронцов сказал:

С AntiZapret  не работет это уже понятно)))

Работает. Вам даже ссылку на инструкцию дали.

Share this post


Link to post
Share on other sites
38 минут назад, Дмитрий Воронцов сказал:

С AntiZapret  не работет это уже понятно)))

Вообще существует реально рабочий способ на этом роутере(без юсби)настроить обход блокировок....

Понятно,что с впн настроить можно,но хочется,что бы только заблокированные ресурсы через него открывались,а остальное напрямую ходило))

Без проблем, но придется в ручную настраивать маршруты. Либо через конфиг файл, например:

Цитата

route-nopull

route 8.8.8.8 255.255.255.255

либо напрямую, в интерфейсе роутера Сетевые правила > Маршрутизация с выбором интерфейса.

Собственно только так у меня antizapret и работал. Потом купил VPS за 4 еврика и сам все настроил. Без роутера, ибо не помощник он при канале 100 Мбит/с до VPN.

Edited by Вежливый Снайпер

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...