Jump to content
  • Announcements

    • Как правильно добавить self-test и прочую отладку в тему   08/18/2016

      self-test и логи могут содержать непубличную информацию, потому их не стоит прикреплять к постам бездумно. Однако, слать селф-тесты в личку абсолютно неправильно, поскольку это усложняет координацию между разработчиками и отрывает диагностику от темы с проблемой. Потому следует делать так: Пишете пост или создаете тему с описанием проблемы. Сразу после этого в этой же теме создаете сообщение с приложенным self-test, логами и прочей отладкой. В это же сообщение добавляете ссылку на предыдущее, чтобы не приходилось искать описание. Скрываете сообщение с отладкой. Эта функция доступна всем юзерам. Выбираете в меню поста (спасибо @KorDen):

      После этого эти сообщения станут доступны только администрации, а все пользователи не будут иметь к ней доступ.
KorDen

Настройка OpenVPN в прошивке

305 posts in this topic

30 минут назад, ndm сказал:

Поддержка OpenVPN добавлена в версии 2.10.A.1.0-0

Ох ты ж.. Вот это было неожиданно. Еще не ставил.. Поддерживается и tun и tap или только tun? Как с интерфейсами дела обстоят?

Правильно ли я понимаю, что OpenVPN будет даже на MT7628N, например 4G III rev. B или Start II? Интересует подключение удаленной точки с достаточной скоростью 4-8 мбит/с, если учесть что IPsec там сломан на уровне присутствующего интернет-канала (аккурат по посту @gik), и хочется избавиться от лишних флешек-entware/openwrt/etc.

Share this post


Link to post
Share on other sites
5 минут назад, KorDen сказал:

Ох ты ж.. Вот это было неожиданно. Еще не ставил.. Поддерживается и tun и tap или только tun? Как с интерфейсами дела обстоят?

Правильно ли я понимаю, что OpenVPN будет даже на MT7628N, например 4G III rev. B или Start II? Интересует подключение удаленной точки с достаточной скоростью 4-8 мбит/с, если учесть что IPsec там сломан на уровне присутствующего интернет-канала (аккурат по посту @gik), и хочется избавиться от лишних флешек-entware/openwrt/etc.

Поддерживается tun и tap. Скорость до 30 МБит/с на ультре2, но конечно фидбек хотелось бы получить. @Le ecureuil немного в отпуске, правда.. 

  • Thanks 1

Share this post


Link to post
Share on other sites

Собственно, первый же вопрос по OpenVPN. Конфиг, я так понимаю необходимо брать из *.ovpn? Залил его через веб-морду, но в журнале такие сообщения:

Jun 10 02:09:42ndmNetwork::Interface::Repository: created interface OpenVPN0.
Jun 10 02:09:42ndmNetwork::Interface::Supplicant: authnentication is unchanged.
Jun 10 02:09:42ndmNetwork::Interface::Base: "OpenVPN0": interface is up.
Jun 10 02:09:42ndmNetwork::Interface::Base: "OpenVPN0": description saved.
Jun 10 02:09:42ndmNetwork::Interface::IP: "OpenVPN0": interface is non-global.
Jun 10 02:09:42ndmNetwork::Interface::IP: TCP-MSS adjustment enabled.
Jun 10 02:09:42ndmNetwork::Interface::IP: "OpenVPN0": IP address cleared.
Jun 10 02:09:42ndmNetwork::Interface::Base: "OpenVPN0": schedule cleared.
Jun 10 02:09:42ndmNetwork::Interface::OpenVpn: "OpenVPN0": set connection via any interface.
Jun 10 02:09:42ndmNetwork::Interface::OpenVpn: "OpenVPN0": configuration successfully saved.
Jun 10 02:09:42ndmNetwork::Interface::OpenVpn: "OpenVPN0": disable automatic routes accept via tunnel.
Jun 10 02:09:43ndmCore::ConfigurationSaver: saving configuration...
Jun 10 02:09:45OpenVPN0Unrecognized option or missing or extra parameter(s) in configuration: (line 10): block-outside-dns (2.4.2)
Jun 10 02:09:45OpenVPN0Exiting due to fatal error
Jun 10 02:09:45ndmService: "OpenVPN": unexpectedly stopped.
Jun 10 02:09:45ndmNetwork::Interface::OpenVpn: "OpenVPN0": configuration is invalid.
Jun 10 02:09:46ndmCore::ConfigurationSaver: configuration saved.

В итоге интерфейс не поднимается. Пробовал через telnet поднимать, тоже ошибку выдает. Нуждаюсь в помощи.

upd: убрал "setenv opt block-outside-dns", интерфейс стратовал, получил внешний IP, но находится в статусе "Резервирование" и не имеет выхода в интернет.

 

Конфиг выглядит так:

Скрытый текст

nobind
client

# Remote server here
remote vpn.zaborona.help

remote-cert-tls server
cipher AES-128-CBC
setenv opt ncp-ciphers AES-128-GCM
setenv opt block-outside-dns
dev tun
proto tcp


<ca>
-----BEGIN CERTIFICATE-----
MIIDOzCCAiOgAwIBAgIJAOZ+WWiLZjjVMA0GCSqGSIb3DQEBCwUAMBgxFjAUBgNV
BAMMDVphYm9yb25hLmhlbHAwHhcNMTcwNTE5MTk0MzI3WhcNMjcwNTE3MTk0MzI3
WjAYMRYwFAYDVQQDDA1aYWJvcm9uYS5oZWxwMIIBIjANBgkqhkiG9w0BAQEFAAOC
AQ8AMIIBCgKCAQEA4BufraaBWWD5M8h7vt+4wGw/7OHeKOqZN4hS/OmqfwOIEJV3
5OWtzLmL5OpT5kIZ+NetF3ooc2pWRSZ+642IlzjIC2GqT/V5p/VXKjZsAZXQaaVo
OuWXlVmJFpR9nO3PIDn4wQvhQPPnJIYQgCl/vMV7TE9ZkpziEBAY9v3chwXHJ8+w
DyXkFn/BIMBdDamz+K7ffH17CM4aLr59W9AKc/DVox9ogdXmiVwCXag6byENZZEz
1LgpU+YtH/GnVyLSsaXC/fZQ12/NMjI/XXIM6x02pR/F4faOCLHHdYaWp3XJTQPj
vdPp7ve/8qWNijdkRma7y8TbmRYEut/JbiLFyQIDAQABo4GHMIGEMB0GA1UdDgQW
BBR7+jwpIvjCvbSi5cDxbig/UkYIuDBIBgNVHSMEQTA/gBR7+jwpIvjCvbSi5cDx
big/UkYIuKEcpBowGDEWMBQGA1UEAwwNWmFib3JvbmEuaGVscIIJAOZ+WWiLZjjV
MAwGA1UdEwQFMAMBAf8wCwYDVR0PBAQDAgEGMA0GCSqGSIb3DQEBCwUAA4IBAQCA
HG//Q5HrOuucEdqQqmxUhyXp+wZgcHMkDmqaXD2kgbhaa6L7M68yGryDsHFh+pZ6
1ePabk7kmvJnYWEY7veQzWJgBNfHBja+2wTEOEQTJW0DCeJw9QUpajrBcrRQz5DJ
BGrXcKAWZvqYjgp3fIDGtxZh0KCaJrPT2jmj3qM+aq8LEhM2mlqpvLVq6FLvUYiU
/iTdNpVL6Xdd16839G1VatvnZlCoGTc/6iBwbs9+xt7BkCVdY2gb3egB833gAxwv
DMwC41oj8XJlY2N5ieqhINYCtNOa+9REoJP9fycoNMpcejbF/UeEdZtpCfRHAE7h
BvStsSqP1Gl9ZeCtmntI
-----END CERTIFICATE-----
</ca>

<cert>
-----BEGIN CERTIFICATE-----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=
-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN PRIVATE KEY-----
MIIEvwIBADANBgkqhkiG9w0BAQEFAASCBKkwggSlAgEAAoIBAQDREwxkcSBSYfky
976U4+sAhV9uYs0/73cncbKa2Brim7+Jrjj/7uFCITTVp3XdG6iKmUjUrJABodSJ
iHZgpfor5lNDAdZhcFdWxuZBWOp+1I6VqRZJZbSBmr2pXwNvFrWE/nUpN2Px8+Ta
N+K/8PY3rQVqpKD+kvj5eOOjaiAEu8e6Oc15s5pnZUkVBPVyESlP1yH8fQZYxLeo
rq8ESdcFzGKjwPF/JExqvBvMV9Izimu/hUTsF+An7kWbYgSwu1YoAzWQf7Ws9doG
VlsOPijOVXiBgPWslhcveeDMyPn9PKa3c6P9FWwzV+XbkloD2FBKvStj/ZBvc+66
5CJSSTrjAgMBAAECggEBAJBE6603ns0aTCJOcFU/fP8sCXEbfnRa4sb2Hv/YlZy/
SolQDocUqJ3AWjwARUWg+0lAgtA2j1yA9i89WipQ/fNjCRtY3jz4j1wS/fojyBRi
yk0dk4JsSwWP6MZCCRWT/wfZqrEZRr9DxCyMmcxHEy/SFcXD+lAQzPsg3zv5VETO
q67S2s/njkSWyA9woRJLztld/Az/Rgh5VP2TxDCIHb0dTE6648lIUO0VkVfg8+G4
3BLXXA86YCFmRdTfs6rywf9jPN6V1gnyICk198/2Ne+jM3kNxNMn8jBDbjTkxT1b
ovBKDDpNNuLbBTjtlxEm3Q1CPuAH+0L8nfb9ZtSoISkCgYEA6rvgqTwAX272LXZi
jJuE6tJtOB47tih8HRgzQbCLPRduwz7P7ObtUSD88fSYsKCEb3T3kiUeMVADbWnR
DLqUetcDUAjPe0l/KcR0pef0mVvP1CnsTY+i9yGAOMkfrLqIBrLRd+8KRs85DHYm
/NYDHptDdGHjBW8Olc4L6+Wq/4cCgYEA5AQOlD9oWQuvrWhX1K1sK0JQxu36phrD
w5JuS5TJKyWxzABkgHJx8ZVIOhNUtXLSAkVQlaM5hKj/gVgf+DZsKaIcxWT7xLZZ
Qdiz3bRFtigxyZD67oRvzxBWg5XBnrgieM/C5+EiNQ3iRDjbvL228+cDIYPpwwtD
7/hHA15uqMUCgYEAgEZngVQeyAg1U6bMOBaMzl5r/SzYaLU7DhM5f35guOPjTaM3
sTiJG7qxP+/wuSUe+mGrIRxToZMeLF6VNSWJGpABaW1HJRKHAWYwcLGPg3ce3cyD
K+eAoRiXn3CZdKUCzNZPjgD9VrDLdjnjGGxDjChA9oq/qyqDh+3vqdv6VGUCgYBX
qIOeVJ4eFZMNPF7/wUgjfVQmlhjVQNbf2eyTG/kWoGAxCDma8+SANp7UzNe1BhZc
jx9C18RmDr5jkGiB+RIuE0eyT3dHEb9QxCmp4wMl22AAmL8PcVS2qxZHcgxEo4+F
GIJauL943ASPq7g2YEz0iWw3t0noFO2iVLWgQu6R7QKBgQCp9SedsiPJXQADFVln
7j5yLj7qBdATuZHbqfCt4CI7GO+5kjtNqFdZAZphP+gFJe49srS17WPLEFYpQpix
T77eOw4U3iIgoJoxn545CkMdH4H0lsQhfBOTqFJ8rdAzLTAa4pzgAOvLMsZWxM32
c+bjFxzMVzfVFOx30yZN8YbX6Q==
-----END PRIVATE KEY-----
</key>
 

 

Edited by AlexUnder2010
  • Thanks 1

Share this post


Link to post
Share on other sites
7 часов назад, AlexUnder2010 сказал:

Собственно, первый же вопрос по OpenVPN. Конфиг, я так понимаю необходимо брать из *.ovpn? Залил его через веб-морду, но в журнале такие сообщения:


Jun 10 02:09:42ndmNetwork::Interface::Repository: created interface OpenVPN0.
Jun 10 02:09:42ndmNetwork::Interface::Supplicant: authnentication is unchanged.
Jun 10 02:09:42ndmNetwork::Interface::Base: "OpenVPN0": interface is up.
Jun 10 02:09:42ndmNetwork::Interface::Base: "OpenVPN0": description saved.
Jun 10 02:09:42ndmNetwork::Interface::IP: "OpenVPN0": interface is non-global.
Jun 10 02:09:42ndmNetwork::Interface::IP: TCP-MSS adjustment enabled.
Jun 10 02:09:42ndmNetwork::Interface::IP: "OpenVPN0": IP address cleared.
Jun 10 02:09:42ndmNetwork::Interface::Base: "OpenVPN0": schedule cleared.
Jun 10 02:09:42ndmNetwork::Interface::OpenVpn: "OpenVPN0": set connection via any interface.
Jun 10 02:09:42ndmNetwork::Interface::OpenVpn: "OpenVPN0": configuration successfully saved.
Jun 10 02:09:42ndmNetwork::Interface::OpenVpn: "OpenVPN0": disable automatic routes accept via tunnel.
Jun 10 02:09:43ndmCore::ConfigurationSaver: saving configuration...
Jun 10 02:09:45OpenVPN0Unrecognized option or missing or extra parameter(s) in configuration: (line 10): block-outside-dns (2.4.2)
Jun 10 02:09:45OpenVPN0Exiting due to fatal error
Jun 10 02:09:45ndmService: "OpenVPN": unexpectedly stopped.
Jun 10 02:09:45ndmNetwork::Interface::OpenVpn: "OpenVPN0": configuration is invalid.
Jun 10 02:09:46ndmCore::ConfigurationSaver: configuration saved.

В итоге интерфейс не поднимается. Пробовал через telnet поднимать, тоже ошибку выдает. Нуждаюсь в помощи.

upd: убрал "setenv opt block-outside-dns", интерфейс стратовал, получил внешний IP, но находится в статусе "Резервирование" и не имеет выхода в интернет.

KII все завелось с полпинка, conf взял ранее который описывал тут от OpenVPN

Скрытый текст

!
interface OpenVPN0
    description OpenTest
    security-level public
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ip global 350
    ip tcp adjust-mss pmtu
    openvpn accept-routes
    openvpn connect via PPPoE0
    up

Конфиг в WEB

client
dev tun1
persist-key
persist-tun
nobind
proto tcp4-client
remote vpn.xxxxx.xxx yyyy
remote-cert-tls server
comp-lzo no
verb 3
cipher aes-128-cbc
auth sha1
ca /opt/etc/openvpn/ca.crt
cert /opt/etc/openvpn/client.crt
key /opt/etc/openvpn/client.key
#management 127.0.0.1 16
#management-log-cache 100
mute 3
syslog
writepid "/opt/var/run/openvpn.pid"
resolv-retry infinite
script-security 2
tun-mtu 1500
mtu-disc yes
setenv opt ncp-ciphers AES-128-GCM
resolv-retry infinite

серт. положил готовые, маршруты от VPN сервера

 

 1001 nobody    3980 S    /usr/sbin/openvpn --syslog OpenVPN0 --config /tmp/openvpn/OpenVPN0/openvpn.config --user nobody --group nobody --syslog OpenVPN0

ovpn_br0  Link encap:Ethernet  HWaddr 76:7F:30:76:F8:84  
          inet addr:192.168.221.7  Bcast:192.168.221.255  Mask:255.255.252.0
          inet6 addr: fe80::747f:30ff:fe76:f884/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:68 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:30024 (29.3 KiB)

tun1      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          UP POINTOPOINT RUNNING  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:68 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 B)  TX bytes:30024 (29.3 KiB)

 

/ # ip ro
default dev ppp0  scope link
хх.хх.хх.0/18 via 192.168.220.1 dev ovpn_br0

...

192.168.220.0/22 dev ovpn_br0  proto kernel  scope link  src 192.168.221.7

 

Edited by vasek00

Share this post


Link to post
Share on other sites
9 часов назад, KorDen сказал:

Ох ты ж.. Вот это было неожиданно. Еще не ставил.. Поддерживается и tun и tap или только tun? Как с интерфейсами дела обстоят?

Правильно ли я понимаю, что OpenVPN будет даже на MT7628N, например 4G III rev. B или Start II? Интересует подключение удаленной точки с достаточной скоростью 4-8 мбит/с, если учесть что IPsec там сломан на уровне присутствующего интернет-канала (аккурат по посту @gik), и хочется избавиться от лишних флешек-entware/openwrt/etc.

И tun, и tap. В системе представляется для совместимости в виде Ethernet-интерфейса, можно включать в Bridge (даже tun ;)), но для tun недоступны VLAN.

OpenVPN уже есть в 2.10 на всем, для чего она собралась.

Единственное ограничение - все ключи должны быть интегрированы в один файл конфига (пример ниже).

Дерзайте! А если что, я хоть и в отпуске, но периодически буду посматривать форум и подскажу с особо непонятными местами.

Если что-то идет не так, то 
> interface OpenVPNX debug

и потом self-test в тему.

remote 172.16.1.1
dev tun
proto udp
nobind
persist-tun
cipher AES-128-CBC
comp-lzo no
verb 3
ifconfig 10.8.0.2 10.8.0.1
<secret>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
caacc3274dfc05c41f9086261903bb68
adbdd7520caa89ec84a3314eb6eaff5d
49367611a9ec657dbacd47b148ae9f23
cbbbba43ccfc6c6149ee8453a5552944
e31eb1b928c96d9a515dd3f5d486a040
71ccf6a363d94368fb43023c6dcbbb75
3ef0e6fb69525689f3c9bae1ed1fe3b4
72875ae045fe284d70d5388cca730893
c30d4d0d7dd17aafd2e173afd257ab89
9ae308b40cca1f27093e186a59b9f6eb
aca37680e01156dd54cd740fb830c994
eaea8a15074b49e85e126841dea57636
f627d50398e5dc756b07806a9f7374a4
a52016cc3ed51c3ae8ba021e26dba3d5
cc5b0e29472961ec0af0ab76b7270e83
ed27316a395fef6ca5f883850f10632e
-----END OpenVPN Static key V1-----
</secret>

 

Share this post


Link to post
Share on other sites
9 часов назад, AlexUnder2010 сказал:

Собственно, первый же вопрос по OpenVPN. Конфиг, я так понимаю необходимо брать из *.ovpn? Залил его через веб-морду, но в журнале такие сообщения:


Jun 10 02:09:42ndmNetwork::Interface::Repository: created interface OpenVPN0.
Jun 10 02:09:42ndmNetwork::Interface::Supplicant: authnentication is unchanged.
Jun 10 02:09:42ndmNetwork::Interface::Base: "OpenVPN0": interface is up.
Jun 10 02:09:42ndmNetwork::Interface::Base: "OpenVPN0": description saved.
Jun 10 02:09:42ndmNetwork::Interface::IP: "OpenVPN0": interface is non-global.
Jun 10 02:09:42ndmNetwork::Interface::IP: TCP-MSS adjustment enabled.
Jun 10 02:09:42ndmNetwork::Interface::IP: "OpenVPN0": IP address cleared.
Jun 10 02:09:42ndmNetwork::Interface::Base: "OpenVPN0": schedule cleared.
Jun 10 02:09:42ndmNetwork::Interface::OpenVpn: "OpenVPN0": set connection via any interface.
Jun 10 02:09:42ndmNetwork::Interface::OpenVpn: "OpenVPN0": configuration successfully saved.
Jun 10 02:09:42ndmNetwork::Interface::OpenVpn: "OpenVPN0": disable automatic routes accept via tunnel.
Jun 10 02:09:43ndmCore::ConfigurationSaver: saving configuration...
Jun 10 02:09:45OpenVPN0Unrecognized option or missing or extra parameter(s) in configuration: (line 10): block-outside-dns (2.4.2)
Jun 10 02:09:45OpenVPN0Exiting due to fatal error
Jun 10 02:09:45ndmService: "OpenVPN": unexpectedly stopped.
Jun 10 02:09:45ndmNetwork::Interface::OpenVpn: "OpenVPN0": configuration is invalid.
Jun 10 02:09:46ndmCore::ConfigurationSaver: configuration saved.

В итоге интерфейс не поднимается. Пробовал через telnet поднимать, тоже ошибку выдает. Нуждаюсь в помощи.

upd: убрал "setenv opt block-outside-dns", интерфейс стратовал, получил внешний IP, но находится в статусе "Резервирование" и не имеет выхода в интернет.

 

Конфиг выглядит так:

  Скрыть содержимое

nobind
client

# Remote server here
remote vpn.zaborona.help

remote-cert-tls server
cipher AES-128-CBC
setenv opt ncp-ciphers AES-128-GCM
setenv opt block-outside-dns
dev tun
proto tcp


<ca>
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
</ca>

<cert>
-----BEGIN CERTIFICATE-----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=
-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN PRIVATE KEY-----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-----END PRIVATE KEY-----
</key>
 

 

Пока наш OpenVPN не умеет получать DNS снаружи, потому пропишите их руками.

А вообще если он поднялся, то поднимите у него приоритет на странице broadband.globals. У OpenVPN должно быть самое больше число (при создании оно обычно самое низкое). Тогда все будет работать через него.

И не забудьте поставить галку "Получать маршруты от удаленной стороны".

Share this post


Link to post
Share on other sites

Столкнулся с тем же, что и у @AlexUnder2010 - ругается на block-outside-dns и не запускается. При этом в моем случае опция пушится с сервера, и по мануалу "Note that pushing unknown options from server does not trigger fatal errors".

После добавления в конфиг "ignore-unknown-option block-outside-dns" запустился.

При включении получения маршрутов с удаленной стороны, насколько я понимаю, получает максимум 64 маршрута.

Edited by KorDen

Share this post


Link to post
Share on other sites
5 минут назад, KorDen сказал:

Столкнулся с тем же, что и у @AlexUnder2010 - ругается на block-outside-dns и не запускается. При этом в моем случае опция пушится с сервера, и по мануалу "Note that pushing unknown options from server does not trigger fatal errors".

После добавления в конфиг "ignore-unknown-option block-outside-dns" запустился.

При включении получения маршрутов с удаленной стороны, насколько я понимаю, получает максимум 64 маршрута.

У нас спецально пропатчено, чтобы неизвестные опции вызывали фатальные ошибки - так проще выявить неработоспособность вместо иллюзии что "все хорошо".

Ну а добавив в игнор человек показывает, что он понимает что делает.

Share this post


Link to post
Share on other sites
6 минут назад, KorDen сказал:

При включении получения маршрутов с удаленной стороны, насколько я понимаю, получает максимум 64 маршрута.

Насчет числа маршрутов - все ограничено только самим OpenVPN, система примет столько, сколько он ей передаст.

Share this post


Link to post
Share on other sites

Еще из ограничений: сейчас вообще не поддерживается IPv6 внутри и снаружи туннеля. Если кому-то это важно, то приведите нам пример туннельного провайдера с IPv6, чтобы мы тестировали на реальной конфигурации.

 

Короче у вас есть две недели на обсуждение хотелок и проблем, а потом я вернусь в работу и начнем реализовывать.

Share this post


Link to post
Share on other sites
1 час назад, Le ecureuil сказал:

Насчет числа маршрутов - все ограничено только самим OpenVPN, система примет столько, сколько он ей передаст.

Да, проверил - нормально получает более 64. Видимо на первоначальном тестовом сервере какой-то баг..

1 час назад, Le ecureuil сказал:

У нас спецально пропатчено, чтобы неизвестные опции вызывали фатальные ошибки - так проще выявить неработоспособность вместо иллюзии что "все хорошо".

Если эти ошибки в локальном конфигурационном файле - логично. Но если это ошибки в пропушенных с сервера опциях, зачем?

Традиционно провайдеры VPN пушат опции и для Win, соответственно такие конфиги будут по-умолчанию фелиться.

 

mode server планируется, или пока нет? В текущем виде "Options error: --ipchange cannot be used with --mode server (use --client-connect instead)"

Ах да, еще интересный вопрос: Возможно ли напрячь аппаратный криптомодуль обработкой AES[/hmac]? Или EIP умеет только в ESP? Или улучшения производительности не будет из-за юзерспейсности и прочих костылей сабжа?

Edited by KorDen

Share this post


Link to post
Share on other sites

Как настроить OpenVPN?

Имеются файл с расширением ovpn. 2 файла с расширением crt и файл с расширением key. Что с ними надо делать?

Share this post


Link to post
Share on other sites
39 минут назад, pachalia сказал:

Имеются файл с расширением ovpn. 2 файла с расширением crt и файл с расширением key. Что с ними надо делать?

Вариант 1: положить файлы crt/key куда-нибудь на флешку, открыть ovpn блокнотом, поправить пути в директивах ca, cert и key (и возможно tls-auth, если есть hmac), закинуть содержимое в конфиг.

Вариант 2, более правильный: засунуть содержимое crt и key в ovpn: Открываем все файлы на редактирование в блокноте, смотрим в ovpn, какой файл указан в директиве ca (например ca serverca.crt). Удаляем эту строчку, вместо этого помещаем содержимое нужного файла в <ca> </ca> в конце ovpn файла. Аналогично делаем для key (<key>) и cert (<cert>).

Например:

Скрытый текст

#содержимое ovpn
client
tls-client
nobind
........
........
#надо удалить строчки ca, cert и key
........
#конец содержимого ovpn

<ca>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</ca>

<cert>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN PRIVATE KEY-----
...
-----END PRIVATE KEY-----
</key>

 

Содержимое ovpn кидаем в таком виде в вебморду

Edited by KorDen

Share this post


Link to post
Share on other sites
1 час назад, KorDen сказал:

Вариант 1: положить файлы crt/key куда-нибудь на флешку, открыть ovpn блокнотом, поправить пути в директивах ca, cert и key (и возможно tls-auth, если есть hmac), закинуть содержимое в конфиг.

Вариант 2, более правильный: засунуть содержимое crt и key в ovpn: Открываем все файлы на редактирование в блокноте, смотрим в ovpn, какой файл указан в директиве ca (например ca serverca.crt). Удаляем эту строчку, вместо этого помещаем содержимое нужного файла в <ca> </ca> в конце ovpn файла. Аналогично делаем для key (<key>) и cert (<cert>).

Например:

  Показать содержимое


#содержимое ovpn
client
tls-client
nobind
........
........
#надо удалить строчки ca, cert и key
........
#конец содержимого ovpn

<ca>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</ca>

<cert>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN PRIVATE KEY-----
...
-----END PRIVATE KEY-----
</key>

 

Содержимое ovpn кидаем в таком виде в вебморду

Ну ,а если конфигурация такая? Как быть с файлами ca-4k.crt, user-4k.crt, user-4k.key ?

2017-06-10_171445.png.6f6cb2b8a82949d7986644553c5c35c0.png

Share this post


Link to post
Share on other sites
8 часов назад, Le ecureuil сказал:

Короче у вас есть две недели на обсуждение хотелок и проблем, а потом я вернусь в работу и начнем реализовывать.

Ну, пожалуй начнём.

1 - Загрузка информации должна идти не через копирование-вставка, а через выбор файла(ов). 

2 - Нужно чтобы была проверка синтаксиса. А сейчас приходиться лесть в лог и смотреть где что не так.

Share this post


Link to post
Share on other sites
11 минуту назад, pachalia сказал:

Ну, пожалуй начнём.

1 - Загрузка информации должна идти не через копирование-вставка, а через выбор файла(ов). 

Соглашусь. Реализовать подобное было бы уж точно не лишним.

  • Thanks 1

Share this post


Link to post
Share on other sites
1 час назад, T@rkus сказал:

Как быть с файлами ca-4k.crt, user-4k.crt, user-4k.key ?

Так а какие именно файлы у вас указаны в ca, cert и key в ovpn-файле? с 4k или без? Я так понимаю просто файлы - длина ключа 2048bit, а которые 4k - 4096bit. Чем больше длина ключа, тем типа безопаснее и тем медленее. Это уже на вкус и цвет.

И да, лучше юзайте 443 или 1194, 53 порт пров может перенаправлять к себе

Edited by KorDen

Share this post


Link to post
Share on other sites
35 минут назад, KorDen сказал:

Так а какие именно файлы у вас указаны в ca, cert и key в ovpn-файле? с 4k или без? Я так понимаю просто файлы - длина ключа 2048bit, а которые 4k - 4096bit. Чем больше длина ключа, тем типа безопаснее и тем медленее. Это уже на вкус и цвет.

И да, лучше юзайте 443 или 1194, 53 порт пров может перенаправлять к себе

Без 4к. Но соединение поднялось с ошибками.

client

dev tun1

proto udp

remote 5.45.80.25 53

resolv-retry infinite

redirect-gateway def1

nobind

tun-mtu 1500

tun-mtu-extra 32

ca ca.crt

cert user.crt

key user.key

cipher AES-256-CBC

ns-cert-type server

persist-key

persist-tun

verb 3

explicit-exit-notify

route-method  exe

route-delay 3

route-metric 512 

ping 45

ping-restart 225
 

 

2017-06-10_192713.png.4c881c74c74c60e124b4dab82ee56ea4.png

 

Jun 10 19:28:03

OpenVPN0

OpenVPN 2.4.2 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD]
Jun 10 19:28:03OpenVPN0
library versions: OpenSSL 1.0.2k 26 Jan 2017, LZO 2.10
Jun 10 19:28:03OpenVPN0
WARNING: --ns-cert-type is DEPRECATED. Use --remote-cert-tls instead.
Jun 10 19:28:03OpenVPN0
TCP/UDP: Preserving recently used remote address: [AF_INET]5.45.80.25:53
Jun 10 19:28:03OpenVPN0
Socket Buffers: R=[155648->155648] S=[155648->155648]
Jun 10 19:28:03OpenVPN0
UDP link local: (not bound)
Jun 10 19:28:03OpenVPN0
UDP link remote: [AF_INET]5.45.80.25:53
Jun 10 19:28:03OpenVPN0
NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
Jun 10 19:28:03OpenVPN0
TLS: Initial packet from [AF_INET]5.45.80.25:53, sid=173d0de3 d3e9f67f
Jun 10 19:28:03OpenVPN0
VERIFY OK: depth=1, C=RU, ST=RU-LEN, L=Saint Petersburg, O=ShadeYou.com, CN=ShadeYou.com CA, emailAddress=support@shadeyou.com
Jun 10 19:28:03OpenVPN0
VERIFY OK: nsCertType=SERVER
Jun 10 19:28:03OpenVPN0
VERIFY OK: depth=0, C=RU, ST=RU-LEN, L=Saint Petersburg, O=ShadeYou.com, CN=shadeyou.com, emailAddress=support@shadeyou.com
Jun 10 19:28:03OpenVPN0
Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Jun 10 19:28:03OpenVPN0
[shadeyou.com] Peer Connection Initiated with [AF_INET]5.45.80.25:53
Jun 10 19:28:04ndm
Network::Interface::OpenVpn: "OpenVPN0": added host route to remote endpoint 5.45.80.25 via PPTP2.
Jun 10 19:28:04ndm
Core::ConfigurationSaver: configuration saved.
Jun 10 19:28:05OpenVPN0
SENT CONTROL [shadeyou.com]: 'PUSH_REQUEST' (status=1)
Jun 10 19:28:05OpenVPN0
PUSH: Received control message: 'PUSH_REPLY,route 10.202.0.0 255.255.0.0,redirect-gateway def1,dhcp-option DNS 10.202.0.1,route 10.202.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.202.0.22 10.202.0.21'
Jun 10 19:28:05OpenVPN0
OPTIONS IMPORT: timers and/or timeouts modified
Jun 10 19:28:05OpenVPN0
OPTIONS IMPORT: --ifconfig/up options modified
Jun 10 19:28:05OpenVPN0
OPTIONS IMPORT: route options modified
Jun 10 19:28:05OpenVPN0
OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Jun 10 19:28:05OpenVPN0
Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Jun 10 19:28:05OpenVPN0
Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Jun 10 19:28:05OpenVPN0
Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Jun 10 19:28:05OpenVPN0
Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Jun 10 19:28:05OpenVPN0
TUN/TAP device tun1 opened
Jun 10 19:28:05OpenVPN0
TUN/TAP TX queue length set to 100
Jun 10 19:28:05OpenVPN0
do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Jun 10 19:28:05ndm
Network::Interface::IP: "OpenVPN0": IP address is 10.202.0.22/32.
Jun 10 19:28:05ndm
Network::Interface::OpenVpn: "OpenVPN0": TUN peer address is 10.202.0.21.
Jun 10 19:28:05ndm
Network::Interface::OpenVpn: "OpenVPN0": added host route to peer 10.202.0.21 via 10.202.0.22.
Jun 10 19:28:07ndm
Network::Interface::IP: "PPTP2": global priority is 990.
Jun 10 19:28:07ndm
Network::Interface::IP: "OpenVPN0": global priority is 1000.
Jun 10 19:28:07ndm
Core::ConfigurationSaver: saving configuration...
Jun 10 19:28:09ndm
Network::RoutingTable: gateway 10.202.0.21 is unreachable via OpenVPN0.
Jun 10 19:28:09ndm
Network::Interface::OpenVpn: "OpenVPN0": system failed [0xcffd053c].
Jun 10 19:28:10ndm
Network::RoutingTable: gateway 10.202.0.21 is unreachable via OpenVPN0.
Jun 10 19:28:10ndm
Network::Interface::OpenVpn: "OpenVPN0": system failed [0xcffd05b2].
Jun 10 19:28:10ndm
Network::RoutingTable: gateway 10.202.0.21 is unreachable via OpenVPN0.
Jun 10 19:28:10ndm
Network::Interface::OpenVpn: "OpenVPN0": system failed [0xcffd05b2].
Jun 10 19:28:10OpenVPN0
GID set to nobody
Jun 10 19:28:10OpenVPN0
UID set to nobody
Jun 10 19:28:10OpenVPN0
Initialization Sequence Completed
Jun 10 19:28:11ndm
Core::ConfigurationSaver: configuration saved.
 

Edited by T@rkus

Share this post


Link to post
Share on other sites
32 минуты назад, KorDen сказал:

И да, лучше юзайте 443 или 1194, 53 порт пров может перенаправлять к себе

А как порты прописать?

Share this post


Link to post
Share on other sites
12 минуты назад, T@rkus сказал:

gateway 10.202.0.21 is unreachable via OpenVPN0

А на эти ошибки и я натыкался. нажмите еще раз "сохранить" и наверняка будет уже без них. Похоже баг, периодически при сохранении он почему-то пытается добавить маршруты еще до установки IP или чего-то еще.

9 минут назад, T@rkus сказал:

А как порты прописать?

Судя по сайту, там должны были быть готовые разные ovpn-файлы. Но вообще, достаточно подправить строчку remote, например просто уберите 53 в конце (подключится на дефолтный 1194), или замените на 443.

12 минуты назад, T@rkus сказал:

tun-mtu 1500

tun-mtu-extra 32

Хоспаде, ну и писатели у этих впн-сервисов... Или это типа шобы враг не догадался, что впн?

Edited by KorDen

Share this post


Link to post
Share on other sites
47 минут назад, KorDen сказал:

А на эти ошибки и я натыкался. нажмите еще раз "сохранить" и наверняка будет уже без них. Похоже баг, периодически при сохранении он почему-то пытается добавить маршруты еще до установки IP или чего-то еще.

Судя по сайту, там должны были быть готовые разные ovpn-файлы. Но вообще, достаточно подправить строчку remote, например просто уберите 53 в конце (подключится на дефолтный 1194), или замените на 443.

Хоспаде, ну и писатели у этих впн-сервисов... Или это типа шобы враг не догадался, что впн?

Прописал конфигурацию под 443 порт. У них под UDP 53 под TCP 443. Ошибки все те же 

Jun 10 20:29:46ndm
Network::RoutingTable: gateway 10.102.0.41 is unreachable via OpenVPN0.
Jun 10 20:29:46ndm
Network::Interface::OpenVpn: "OpenVPN0": system failed [0xcffd053c].
Jun 10 20:29:46ndm
Network::RoutingTable: gateway 10.102.0.41 is unreachable via OpenVPN0.
Jun 10 20:29:46ndm
Network::Interface::OpenVpn: "OpenVPN0": system failed [0xcffd05b2].
Jun 10 20:29:46ndm
Network::RoutingTable: gateway 10.102.0.41 is unreachable via OpenVPN0.
Jun 10 20:29:46ndm
Network::Interface::OpenVpn: "OpenVPN0": system failed [0xcffd05b2].

Edited by T@rkus

Share this post


Link to post
Share on other sites

Если сервер не доступен, то у меня завис намертво роутер. Вот конфиг на котором роутер повис намертво:

Скрытый текст

client
auth SHA1
auth-user-pass
dev tun
proto tcp
remote 195.154.69.175 443
resolv-retry infinite
nobind
persist-key
persist-tun
ns-cert-type server
cipher AES-128-CBC
comp-lzo
verb 3
<ca>
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----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-----END PRIVATE KEY-----
</key>

 

Share this post


Link to post
Share on other sites
7 часов назад, KorDen сказал:

Да, проверил - нормально получает более 64. Видимо на первоначальном тестовом сервере какой-то баг..

Если эти ошибки в локальном конфигурационном файле - логично. Но если это ошибки в пропушенных с сервера опциях, зачем?

Традиционно провайдеры VPN пушат опции и для Win, соответственно такие конфиги будут по-умолчанию фелиться.

 

mode server планируется, или пока нет? В текущем виде "Options error: --ipchange cannot be used with --mode server (use --client-connect instead)"

Ах да, еще интересный вопрос: Возможно ли напрячь аппаратный криптомодуль обработкой AES[/hmac]? Или EIP умеет только в ESP? Или улучшения производительности не будет из-за юзерспейсности и прочих костылей сабжа?

mode server планируется, но чуть позже

Share this post


Link to post
Share on other sites
7 часов назад, KorDen сказал:

Ах да, еще интересный вопрос: Возможно ли напрячь аппаратный криптомодуль обработкой AES[/hmac]? Или EIP умеет только в ESP? Или улучшения производительности не будет из-за юзерспейсности и прочих костылей сабжа?

Это все требует исследования, и явно не в ближайший месяц.

Share this post


Link to post
Share on other sites
4 часа назад, pachalia сказал:

Ну, пожалуй начнём.

1 - Загрузка информации должна идти не через копирование-вставка, а через выбор файла(ов). 

2 - Нужно чтобы была проверка синтаксиса. А сейчас приходиться лесть в лог и смотреть где что не так.

1. Да, выбор файла приделаем (возможно), все равно  - только одного файла. Клеить их нужно самостоятельно.

2. Проверка синтаксиса осуществляется через загрузку и один цикл поднятия. Пока достаточно, потом расширим.

 

Share this post


Link to post
Share on other sites
27 минут назад, pachalia сказал:

Если сервер не доступен, то у меня завис намертво роутер. Вот конфиг на котором роутер повис намертво:

  Скрыть содержимое

client
auth SHA1
auth-user-pass
dev tun
proto tcp
remote 195.154.69.175 443
resolv-retry infinite
nobind
persist-key
persist-tun
ns-cert-type server
cipher AES-128-CBC
comp-lzo
verb 3
<ca>
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----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-----END PRIVATE KEY-----
</key>

 

Зависания добится не удалось, однако интерактивный запрос логина и пароля не поддерживаются. Надо напрямую прописать в конфиг через секцию <up> (пока не поддерживается, сделаем потом).

Share this post


Link to post
Share on other sites
1 час назад, T@rkus сказал:

Прописал конфигурацию под 443 порт. У них под UDP 53 под TCP 443. Ошибки все те же 

 

  Показать содержимое

 

Суть понятна, починим.

Share this post


Link to post
Share on other sites
7 часов назад, KorDen сказал:

Да, проверил - нормально получает более 64. Видимо на первоначальном тестовом сервере какой-то баг..

Если эти ошибки в локальном конфигурационном файле - логично. Но если это ошибки в пропушенных с сервера опциях, зачем?

Традиционно провайдеры VPN пушат опции и для Win, соответственно такие конфиги будут по-умолчанию фелиться.

Потому что у нас альфа-тестирование. Сейчас это специально эскалировано до статуса ошибки и требует ручного вмешательства (надеюсь в данной теме на это все способны, иначе вам еще рано пробовать OpenVPN), а потом, когда отловим основные баги и будет работать нормально - расслабим проверки.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now


  • Recently Browsing   0 members

    No registered users viewing this page.

×