Jump to content
  • 49

Добавить OpenVPN клиент в прошивку


Sfut

Question

Большая просьба добавить OpenVPN клиент в прошивку. Чем не устраивает Entware:

- во-первых не всем хочется разбираться с Entware;

- во-вторых порты USB могут быть просто заняты модемом, принтером и это пожалуй главное;

- в-третьих решение из прошивки будет протестировано и отлажено разработчиками;

- и наконец, у конкурентов то есть.

  • Thanks 3
  • Upvote 3
Link to comment
Share on other sites

27 answers to this question

Recommended Posts

  • 4

По поводу аргумента, что есть ipsec. Реальная ситуация такова, что ipsec далеко не везде получается использовать. Однажды рано утром я проснулся. Мне в голову ударило. Свежая мысль, естественно. Решил я сделать всё правильно, и в одной крупной компании сделать туннели в центральный офис из примерно 100 филиалов с помощью ipsec и x509 сертификатов. Заодно и ключевым сотрудникам выдать сертификаты и разрешить из дома подключаться к корпоративной сети. Даже начали покупать недорогие маршрутизаторы с поддержкой ipsec. Но тут начинаются суровые будни.

Проблем нет:

1. Офисы в бизнес-центрах, где дорогой и качественный интернет.

2. Москва, квартиры с крупными провайдерами.

3. Регионы, культурные провайдеры.

В остальных местах начинается такой зоопарк, что мало не покажется. Есть предприятия в чистом поле, которым интернет дают по WiMAX  соседние предприятия. Есть договорённости с физ лицами, что те, через радио-реле из своей квартиры транслируют интернет. Есть провайдеры, наверное, с очень хорошими фотографами, но с плохими администраторами. Есть point-to-point xDSL с кривыми модемами. У всех у них категорическая проблема с ipsec.

Выражается она, в основном, в неправильной настройке mtu (когда используются всякие туннели внутри туннелей и все это поверх туннеля), в блокировке icmp трафика, из-за которой невозможно pmtu, в настройки слишком маленького значения mtu (якобы для производительности) в результате которого не помещается сертификат x509 в один пакет и не устанавливается соединение.

Короче. Примерно в 30%-40% случаев за МКАД ipsec туннель нам запустить не удалось. Сначала мы аккуратно разговаривали с провайдерами и выполняющими их функции всякими лицами. В некоторых случаях удалось убеждать. Было даже "вот тебе клавиатура, садись, настрой наше оборудование как тебе надо". Затем в очередной раз, когда не было связи из филиала в центральный офис, получили по шее от руководства. Начали делать типовую конфигурацию l2tp  поверх ipsec, где нет ipsec тупо его отрубали и оставался хотя бы не криптованный туннель. Потом нашлись провайдеры, которые умудрялись l2tp пакеты присылать в разном порядке, туннель постоянно падал. На такие точки, перекрестясь, прося прощения в демонических и пингвиньих богов, поднимали PPTP. Где-то находились клиенты, которые не поддерживают шифрование  MPE, убирали шифрование везде. В результате на сервере был поднят ipsec, l2tp-сервер, pptp сервер.

Это совершенно не укладывалось в спокойную жизнь порядочного системного администратора, который всё настроил и спит спокойно. Мы поставили openvpn. Причём через TCP. Я начал высыпаться. Обнаружил, что на улице есть времена года. Трава весной, оказывается не такая зелёная, как осенью. А (sic!) в пищи есть вкус и её можно есть просто за столом болтая с кем-нибудь и ничего при этом не делая и не пялясь в монитор.

Вот не надо мне рассказывать, что ipsec спасёт человечество. Может быть потом, но не скоро. OpenVPN очень нужен. Entware-keenetic поставил себе из-за него. Ну и теперь просто приятно делать ssh на роутер и чувствовать себя хозяином :)

 

 

 

  • Thanks 5
Link to comment
Share on other sites

  • 1

Голосовать не буду, но выскажу свое мнение.

OVPN очень гибкая штука и там где клиент, сервер очень рядом и наоборот. Если нужен OVPN проще его из ентваре поставить со всеми сопутсвующими плюшками, чем, что-то прошивочное(не в обиду разработчикам).

Нужно убить чуть-чуть времени и настроить все под себя.

Edited by dexter
  • Thanks 2
Link to comment
Share on other sites

  • 1
2 минуты назад, vadimbn сказал:

зачем вообще это медленное неоптимизируемое нечто, работающее в userspace, когда есть IPsec с аппаратной разгрузкой?

Все просто, речь идет в первую очередь о клиенте. Какое подключение предоставляет удаленный сервер такое и используется, не всегда можно выбрать.

Link to comment
Share on other sites

  • 0
4 часа назад, Sfut сказал:

- в-третьих решение из прошивки будет протестировано и отлажено разработчиками;

То есть хотите нас еще нагрузить лишней работой?

Цитата

- и наконец, у конкурентов то есть.

Это какие еще примеры кроме полуживого в микротике есть?

Link to comment
Share on other sites

  • 0

Собственно именно сложность и многогранность OpenVPN не позволяет нам его нахрапом добавить. Всем нужны абсолютно разные конфигурации. Плюс у нас прошивка до сих пор не умеет работать с PKI и ключами.

Link to comment
Share on other sites

  • 0
14 часа назад, Le ecureuil сказал:

Это какие еще примеры кроме полуживого в микротике есть?

У средних и старших асусов есть и  OpenVPN client и OpenVPN Server, например у   RT-AC58U, RT-AC1200HP, RT-AC66R,, RT-AC55U, RT-AC66U. Можно еще с десяток моделей набрать. Даже у N56 насколько я знаю на альтернативной прошивке есть. Несколько моих знакомых предпочли купить асусы именно потому,что там был  OpenVPN из коробки. Посмотрите на ассортимент крупнейшего украинского магазина http://rozetka.com.ua/routers/zyxel/c80193/v787/ и сравните с количеством предлагаемых асусов и тп-линков, а предлагают то что покупают.

 

13 часа назад, dexter сказал:

проще его из ентваре поставить со всеми сопутсвующими плюшками

Порты USB могут быть  заняты модемом, принтером. Кинетики продаются сотнями тысяч, как утверждал представитель Zyxel на ixbt. Число людей хотя бы минимально знающих линукс и что-то слышавших об ентваре в процентном отношении к числу пользователей роутеров примерно равно загрузке процессора моей Giga III с включенным HW NAT на IPoE по проводу при тарифе 10 Мбит.:-D

 

14 часа назад, Le ecureuil сказал:

То есть хотите нас еще нагрузить лишней работой?

Нет, лишней работой нагружать не хотим.  Хотим по делу. Хотим чтобы Zyxel были лучшими.  Раз рестайлинг провели, "чтобы оставаться на вашей стороне" то и оставайтесь на стороне пользователей.

Предлагаю пока добавить OpenVPN client в какой-то минимальной конфигурации, а насчет сервера и чего-то расширенного дальше видно будет.  Если кому понадобятся какие-нибудь нестандартные конфигурации вот тогда можно и ентваре. 

Давайте голосовать.

Edited by Sfut
Link to comment
Share on other sites

  • 0
56 минут назад, Sfut сказал:

Число людей хотя бы минимально знающих линукс и что-то слышавших об ентваре

...примерно равно числу людей, которым нужен OpenVPN. Мое личное мнение - зачем вообще это медленное неоптимизируемое нечто, работающее в userspace, когда есть IPsec с аппаратной разгрузкой?

Link to comment
Share on other sites

  • 0

Как средний юзер скажу - OpenVPN очень сложное решение (я смог разобраться, но была потрачена не одна неделя). Один "не тот" пункт в многострочном конфиг-файле и полный затык. Замучают глупыми и не очень вопросами.

Кроме того, оффтопом скажу, что скажем в Китае handshake OpenVPN прекрасно детектируется DPI и режется. С учётом трендов на родине пушкина - есть веские основания считать, что OpenVPN будут резать также.

 

Link to comment
Share on other sites

  • 0
16 минут назад, viktorkruglov сказал:

Как средний юзер скажу - OpenVPN очень сложное решение (я смог разобраться, но была потрачена не одна неделя). Один "не тот" пункт в многострочном конфиг-файле и полный затык.

Раньше считали, что web морду к openvpn не прикрутить. Сейчас прикручивают, но очень ограниченную. Openvpn настраивается через конфиги ручками. Что сервер, что клиент. Нормально через морду не настроить.

nasvpn.png

Edited by zyxmon
Link to comment
Share on other sites

  • 0
23 часа назад, zyxmon сказал:

Раньше считали, что web морду к openvpn не прикрутить. Сейчас прикручивают, но очень ограниченную. Openvpn настраивается через конфиги ручками. Что сервер, что клиент. Нормально через морду не настроить.

Это скрин от какого web-gui ?

Link to comment
Share on other sites

  • 0

Голоса росли, а сейчас почему-то начали таять прямо на глазах. Неужели не нужен  OpenVPN клиент в прошивке?

В 14.09.2016 в 09:15, Александр Рыжов сказал:

Ведь многие VPN серверы предоставляют подключение по этому протоколу, и выбора иногда просто нет.

Edited by Sfut
Link to comment
Share on other sites

  • 0
5 часов назад, dmitrya сказал:

Основная проблема, как я понимаю, это интерфейс. В том же ASUS'е убогий интерфейс для OpenVPN сервера

У asus'a был вполне вменяемый интерфейс в альтернативной прошивке от мерлина, зашел, поставил галочку, нажал кнопку применить, а далее кнопку сгенерировать сертификат, и ты через две минуты спокойно подключаешься к своему серверу даже с iphone. 

Рас уж лень делать балансировщик нагрузки на 2 канала, казалось бы это прямая функция "Интернет центра", которая кстати в asus'e идет из коробки, так запилите хотя бы вменяемый OpenVPN, а то с огрызков подключаться не удобно. 

Edited by m__a__l
Link to comment
Share on other sites

  • 0

Искал сообщения по настройке Entware клиента по форуму с запросом OpenVPN и наткнулся на эту тему. Тоже проголосую, очень нужен именно клиент, сервак имхо вообще до лампочки. 

  • Thanks 1
Link to comment
Share on other sites

  • 0

И я присоединяюсь - VPN клиент нужен! И лучше и PPTP и OpenVPN :)

 

Скрытый текст

зы -  сервером постоянно пользуюсь

 

Edited by ariss
Link to comment
Share on other sites

  • 0
1 час назад, tolpol сказал:

Присоединяюсь.OpenVPN клиент нужен

Вверху страницы есть голосовалка, вот там и надо присоединяться, а точнее голосовать :-D.

Link to comment
Share on other sites

  • 0

столкнулся с бедой... опенвпн клиент нужен, т.к. работаю именно через него, и очень неудобно когда приходится его каждый раз ставить на новую машину, и это отнимает время, вместо того, чтобы просто залить конфиг на роутер и все...

Link to comment
Share on other sites

  • 0
11 час назад, Imagava сказал:

столкнулся с бедой... опенвпн клиент нужен, т.к. работаю именно через него, и очень неудобно когда приходится его каждый раз ставить на новую машину, и это отнимает время, вместо того, чтобы просто залить конфиг на роутер и все...

Вы понимаете, что на Lite III rev. B реальная скорость будет в лушем случае мегабит 10-15?

  • Thanks 1
Link to comment
Share on other sites

Guest
This topic is now closed to further replies.
  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...