john ibsuser
-
Постов
29 -
Зарегистрирован
-
Посещение
Тип контента
Профили
Форумы
Галерея
Загрузки
Блоги
События
Сообщения, опубликованные john ibsuser
-
-
13 hours ago, Denys said:
Спасибо, я видел что его можно запустить. Однако в текущей реализации это userspace и даже без opkgtun, который поддавался бы управлению через web UI.
-
+1, раньше работало, сейчас приходится вбивать номер модели, чтобы посмотреть changelog. Добавлю, что это не какая-то прихоть, а обычный флоу если основное устройство выходит в интернет всегде с "зарубежного" IP.
-
Как аналог OpenConnect с меньшим latency (в режиме TCP only)
https://github.com/TrustTunnel/TrustTunnel/blob/master/README.md#client-setup
-
sad but true, видимо разумное количество деградирующих серверов имеется ввиду )
-
On 8/31/2024 at 7:16 PM, john ibsuser said:
100Мбит на OpenConnect выдает при загрузке проца около 60%.
Это se (3812)
-
1 hour ago, slydiman said:
При "-AES-256-GCM:-AES-128-GCM" на сервере не коннектится мобильная (Android) и яблочная версия Cisco AnyConnect.
При этом Windows версия Cisco AnyConnect коннектится без проблем. "-CIPHER-ALL" не проверял, но стоит проверить.А там в новом дефолте +AES-128-GCM, а не минус ).
-
Да тут все палево и вопрос времени, зафингерпринтить этот GnuTLS при использовании только по TCP тоже не составит проблем
-
А в логе подключается по какому cipher? И у меня hopper SE, UDP включено, без него пинг неюзабельный
-
В общем не удержался, перенес настройки со старого роутера уже на этой неделе ). 100Мбит на OpenConnect выдает при загрузке проца около 60%.
-
На древней Omni (KN-1410) тоже 20мбит, но с такой настройкой сервера
On 6/15/2024 at 1:49 AM, john ibsuser said:В ocserv.conf:
tls-priorities = "LEGACY:-AES-256-GCM:-AES-128-GCM:+CHACHA20-POLY1305:%SERVER_PRECEDENCE:%COMPAT:-VERS-SSL3.0:-VERS-TLS1.0:-VERS-TLS1.1"
keenetic hopper se протестирую в ближайшие пару недель
-
On 5/28/2024 at 8:01 PM, passwd said:
Как ты это сделал?
В ocserv.conf:
tls-priorities = "LEGACY:-AES-256-GCM:-AES-128-GCM:+CHACHA20-POLY1305:%SERVER_PRECEDENCE:%COMPAT:-VERS-SSL3.0:-VERS-TLS1.0:-VERS-TLS1.1"
-
Что написано в конфиге про accept routes / no accept routes?
-
@Le ecureuil спасибо за клиента, все работает! А как добавить корневой let's encrypt куда надо без opkg и настроить клиент так, чтобы не игнорировал signer not found.
edit: похоже, все там есть в ca store. надо было только ocserv подсунуть fullchain.pem вместо cert.pem
Поскольку у клиента настроек ciphersuites нет, пошаманил с сервером и в итоге работает в 3 раза быстрее, чем AES-GCM:
connected with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(RSA-PSS-RSAE-SHA256)-(CHACHA20-POLY1305)
-
update: по какой-то причине в момент включения vpn zerotier теряет пиров / mac-адреса. На кинетике:
wps - display WPS interface info
zerotier - display ZeroTier interface info(config)> show interface ZeroTier0 mac ================================================================================ Port MAC Aging VLAN ================================================================================ ZeroT [удОлил]:e0 0 0 (config)> show interface ZeroTier0 mac (config)> show interface ZeroTier0 mac (config)> show interface ZeroTier0 mac (config)> show interface ZeroTier0 mac (config)> show interface ZeroTier0 mac (config)> show interface ZeroTier0 mac (config)> show interface ZeroTier0 mac (config)> show interface ZeroTier0 mac (config)> show interface ZeroTier0 mac (config)> show interface ZeroTier0 mac ================================================================================ Port MAC Aging VLAN ================================================================================ ZeroT [удОлил]:e0 0 0 (config)> show interface ZeroTier0 mac ================================================================================
Курил tcpdump, кто-нибудь может пояснить как трафик (часть трафика?) zerotier начинает течь через WireGuard. Зачем тогда для zerotier настройка Connect via...
tcpdump на интерфейсе WireGuard:
-
Привет! Прошивка 4.1.0 Dev. Хотел использовать WireGuard поверх ZeroTier, на моем роутере нет места под entware а USB порт уже занят, так что был рад, когда появилась встроенная поддержка ZT. Столкнулся со странными проблемами при попытке пустить что WireGuard, что OpenVPN (UDP), что L2TP поверх ZeroTier. Сам ZeroTier интерфейс пингом и по tcp работает стабильно, потерь нет, пинг почти такой же как на VPS напрямую.
Далее на примере L2TP, быстрее всего в докере на VPS (перед запуском создать /etc/l2tp.env ), 10.1.1.2 - интерфейс zerotier. Можно оставить и все интерфейсы,. но цель чтобы наружу никакие порты VPN не торчали.
docker run -d --privileged -p 10.1.1.2:500:500/udp -p 10.1.1.2:4500:4500/udp --name l2tp --restart=always --env-file /etc/l2tp.env -v /lib/modules:/lib/modules teddysun/l2tp
Создаем wireguard/ovpn/l2tp на кинетике обычным образом, использовать для выхода в интернет, и.т.п. Дополнительно телнетом (думал, что фича для wireguard peer [xxx] via решит проблему, но нет):
interface ZeroTier0 zerotier connect via ISP
interface L2TP0 connect via ZeroTier0
А дальше соединение поднимается, работает от нескольких секунд (для wireguard) до десятков секунд (для l2tp) и глючит примерно таким образом (для l2tp), с устройства подключенному к кинетику которое пустил через VPN:
SpoilerReply from 1.1.1.1: bytes=32 time=2ms TTL=57
Reply from 1.1.1.1: bytes=32 time=2ms TTL=57
Reply from 1.1.1.1: bytes=32 time=2ms TTL=57
Reply from 1.1.1.1: bytes=32 time=2ms TTL=57
Reply from 1.1.1.1: bytes=32 time=2ms TTL=57
[включили VPN]
Reply from 1.1.1.1: bytes=32 time=42ms TTL=56
Reply from 1.1.1.1: bytes=32 time=42ms TTL=56
Reply from 1.1.1.1: bytes=32 time=42ms TTL=56
Reply from 1.1.1.1: bytes=32 time=41ms TTL=56
Reply from 1.1.1.1: bytes=32 time=300ms TTL=56
Reply from 1.1.1.1: bytes=32 time=400ms TTL=56
Reply from 1.1.1.1: bytes=32 time=42ms TTL=56
Reply from 1.1.1.1: bytes=32 time=41ms TTL=56
Reply from 1.1.1.1: bytes=32 time=1200ms TTL=56
Reply from 1.1.1.1: bytes=32 time=1356ms TTL=56
[далее долго no reply, иногда прорывается 3-4 ответа, но функционально VPN умер до перезапуска]С этим же конфигом, только не на zerotier а на внешнем интерфейсе VPS все работает. Коннект у zt0 не идет через сеть zerotier, так как один из пиров имеет внешний IP.
Есть ли идеи, куда копать?
-
Aloha!
Быть может, поможет -
У меня тоже сейчас на 3.6 осталось
-
Некоторая статистика по ошибкам за день:
Quote2020-11-06 17:43:07 Daemon.Error 192.168.77.1 Nov 6 17:43:21 https-dns-proxy: TLS certificate verify error: Error
06/11/2020 18:02.29 Syslogd/Logs grep -i "tls certificate verify" 2020-11-06.txt | wc -l
241
Quote 06/11/2020 18:02.32 Syslogd/Logs grep -i "https-dns-proxy: Core::Syslog: last message" 2020-11-06.txt | wc -l
4400
Это то что видно на скриншоте. Плюс Сергей из поддержки подсказал по ошибке, если сервер не отвечает длительное время. Но их немного
Quote2020-11-06 16:55:15 User.Error 192.168.77.1 Nov 6 16:55:29 ndm: Service: "DoH "Policy0" proxy #0": unexpectedly stopped.
✔ 06/11/2020 18:20.49 Syslogd/Logs grep -i "unexpectedly stopped" 2020-11-06.txt | grep DoH | wc -l
12
-
48 minutes ago, r777ay said:
@john ibsuser На Билайн при включении статического внешнего IP, DoH cloudflare-dns.com практически мерт, попробуйте заменить на security.cloudflare-dns.com
С этим все понятно, что с внешим IP, что с внутренним, ну не пользуюсь я сейчас *.cloudflare-dns.com, а пчелы за NAT, штош, могу посочувствовать, к теме это не относится.
-
А с чего оба-два взяли, что я пользуюсь CloudFlare и именно DoH? Конфиг я на почту отправли внутрь кинетиковцев, надеюсь посмотрят )).
Собственно, и при создании этой темы в июне D-o-TLS CF был один из нескольких. Сейчас всего 2 DoH но этого достаточно чтобы роутер с ума сходил
9 minutes ago, r777ay said:После перехода пчел за NAT, сплошные грабли.
Так у меня статический IP теперь, кинетик нормально видит внешний IP адрес.
-
В поддержке создались тикеты 516242 и 516241, старый похерился наверное. @enpa может переместить в ветку 3.6, чтобы кому надо смог ловчее найти эту проблемку?
-
1
-
-
On 6/23/2020 at 3:31 PM, enpa said:
@john ibsuser скачайте self-test файл, в котором зафиксирована описанная вами проблема и пришлите нам в поддержку https://help.keenetic.com/hc/ru/requests/new
Доброго дня! Присылал, пока не помогли. Было тихо с проблемой какое-то время, сейчас опять появилась.... Подозреваю, облегчение могло быть связано с переходом билайна за NAT, в общем весь проброс портов и белый айпи пропадали, включил статический внешний IP и началось опять, стабильно воспроизводима, только перегружаю (кинетик) и понеслась...
Сейчас DoTLS вообще компонент не установлен, только DoH.
Беглый парсинг лога/syslog:
---------------------------------------------------
+ Messages received - Total: 154453
+ Messages received - Last 24 hours: 11186
+ Messages received - Since Midnight: 7635
+ Messages received - Last hour: 303
+ Message queue overflow - Last hour: 0
+ Messages received - This hour: 191
+ Message queue overflow - This hour: 0
+ Messages per hour - Average: 458
Breakdown of Syslog messages by severity
+--------------------+------------+------------+
| Message Level | Messages | Percentage |
+--------------------+------------+------------+
| 0 - Emerg | 0 | 0.00% |
| 1 - Alert | 0 | 0.00% |
| 2 - Critical | 0 | 0.00% |
| 3 - Error (это вот как раз core shit и иже с ними) | 2284 | 29.91% |
| 4 - Warning | 1403 | 18.38% |
| 5 - Notice | 587 | 7.69% |
| 6 - Info | 3361 | 44.02% |
| 7 - Debug | 0 | 0.00% |
+--------------------+------------+------------+Кто может помочь?
-
Камрады, алоха & mahalo! Шо кто-нито начал посматривать в сторону этой траблы? У людей якобы даже без модулей DNS ndmsproxy все жрет. https://4pda.ru/forum/index.php?s=&showtopic=895513&view=findpost&p=97530549
И хто такой @enpa
Тем временем типичная картина для роутера, свежак
(config)> show processes ndnproxy process, id = Dns::Proxy: name: ndnproxy oom-adj: -6 oom-score: 0 oom-score-adj: -400 arg: -c arg: /var/ndnproxymain.conf arg: -p arg: /var/ndnproxymain.pid arg: -s arg: /var/ndnproxysafe.conf state: R (running) pid: 389 ppid: 191 vm-size: 1844 kB vm-rss: 1512 kB vm-data: 608 kB vm-stk: 132 kB vm-exe: 116 kB vm-lib: 744 kB vm-swap: 0 kB threads: 1 fds: 149 statistics: interval: 30 cpu: now: 1128778.585776 min: 86 max: 93 avg: 91 cur: 92 service: configured: yes alive: yes started: yes state: STARTED process, id = Dns::Proxy::Policy0: name: ndnproxy oom-adj: -6 oom-score: 0 oom-score-adj: -400 arg: -c arg: /var/ndnproxy_Policy0.conf arg: -p arg: /var/ndnproxy_Policy0.pid state: S (sleeping) pid: 426 ppid: 191 vm-size: 1724 kB vm-rss: 1388 kB vm-data: 488 kB vm-stk: 132 kB vm-exe: 116 kB vm-lib: 744 kB vm-swap: 0 kB threads: 1 fds: 10 statistics: interval: 30 cpu: now: 1128778.585798 min: 0 max: 0 avg: 0 cur: 0 service: configured: yes alive: yes started: yes state: STARTED process, id = Dns::Proxy::Policy1: name: ndnproxy oom-adj: -6 oom-score: 0 oom-score-adj: -400 arg: -c arg: /var/ndnproxy_Policy1.conf arg: -p arg: /var/ndnproxy_Policy1.pid state: S (sleeping) pid: 428 ppid: 191 vm-size: 1440 kB vm-rss: 1100 kB vm-data: 204 kB vm-stk: 132 kB vm-exe: 116 kB vm-lib: 744 kB vm-swap: 0 kB threads: 1 fds: 10 statistics: interval: 30 cpu: now: 1128778.585810 min: 0 max: 0 avg: 0 cur: 0 service: configured: yes alive: yes started: yes state: STARTED (config)> -
Ругается, когда не указывал номер порта. В полном формате "https://dnsse.alekberg.net:443" какие-то ядреные ошибки и повторяется сообщение TLS certificate verify error: Error
-
On 6/9/2020 at 12:31 PM, cmisha said:
Все работает. Не мешает почитать - Настройка DoT/DoH
Для Quad нет сертификата в прошивке поэтому и ругается, пропишите ручками в SPKI
Не помогает все-таки
r# openssl s_client -servername dnsse.alekberg.net -connect dnsse.alekberg.net:443 | openssl x509 -pubkey -noout | openssl rsa -pubin -outform der | openssl dgst -sha256 -binary | openssl enc -base64 depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
verify return:1
depth=0 CN = *.alekberg.net
verify return:1
writing RSA key
SPKI: 9t2Sh2MQExDdZrzDzke2ZGipVYCjp6p0S2wogKgRh7M=
2020-06-19 02:16:15 Daemon.Info 192.168.77.1 Jun 19 02:16:21 https-dns-proxy: Starting.
2020-06-19 02:16:15 Daemon.Info 192.168.77.1 Jun 19 02:16:21 https-dns-proxy: Using DNS-wire DoH request format
2020-06-19 02:16:15 Daemon.Info 192.168.77.1 Jun 19 02:16:21 https-dns-proxy: Resolver prefix 'https://dnsse.alekberg.net?' doesn't appear to contain a hostname. DNS polling disabled.
2020-06-19 02:16:15 Daemon.Info 192.168.77.1 Jun 19 02:16:21 https-dns-proxy: Starting.
2020-06-19 02:16:16 Daemon.Info 192.168.77.1 Jun 19 02:16:21 https-dns-proxy: Using DNS-wire DoH request format
2020-06-19 02:16:16 Daemon.Info 192.168.77.1 Jun 19 02:16:21 https-dns-proxy: Resolver prefix 'https://dnsse.alekberg.net?' doesn't appear to contain a hostname. DNS polling disabled.
2020-06-19 02:16:21 Daemon.Error 192.168.77.1 Jun 19 02:16:27 https-dns-proxy: TLS certificate verify error: Error
2020-06-19 02:16:21 Daemon.Error 192.168.77.1 Jun 19 02:16:27 https-dns-proxy: TLS certificate verify error: Error
2020-06-19 02:16:21 Daemon.Error 192.168.77.1 Jun 19 02:16:27 https-dns-proxy: Core::Syslog: last message repeated 2 times.
2020-06-19 02:16:21 Daemon.Error 192.168.77.1 Jun 19 02:16:27 https-dns-proxy: Core::Syslog: last message repeated 3 times.
2020-06-19 02:16:21 Daemon.Error 192.168.77.1 Jun 19 02:16:27 https-dns-proxy: Core::Syslog: last message repeated 4 times.
2020-06-19 02:16:24 Daemon.Error 192.168.77.1 Jun 19 02:16:30 https-dns-proxy: Core::Syslog: last message repeated 5 times.
218:04 User.Info 192.168.77.1 Jun 19 02:18:10 ndm: Dns::Secure::ManagerDoh: DNS-over-HTTPS name server "https://dnsse.alekberg.net:443" (dnsm) added.
2020-06-19 02:18:04 User.Info 192.168.77.1 Jun 19 02:18:10 ndm: Core::ConfigurationSaver: saving configuration...
2020-06-19 02:18:04 User.Info 192.168.77.1 Jun 19 02:18:10 ndm: Core::ConfigurationSaver: saving configuration...
2020-06-19 02:18:05 Daemon.Error 192.168.77.1 Jun 19 02:18:10 https-dns-proxy: TLS certificate verify error: Error
2020-06-19 02:18:05 Daemon.Error 192.168.77.1 Jun 19 02:18:10 https-dns-proxy: TLS certificate verify error: Error
2020-06-19 02:18:05 Daemon.Error 192.168.77.1 Jun 19 02:18:10 https-dns-proxy: Core::Syslog: last message repeated 2 times.
2020-06-19 02:18:05 Daemon.Error 192.168.77.1 Jun 19 02:18:10 https-dns-proxy: Core::Syslog: last message repeated 3 times.
2020-06-19 02:18:07 User.Warning 192.168.77.1 Jun 19 02:18:12 ndm: Process: "DoH "System" proxy #0" has been killed.
2020-06-19 02:18:07 Kernel.Warning 192.168.77.1 Jun 19 02:18:13 kernel: do_page_fault(): sending SIGSEGV to https_dns_proxy for invalid read access from 00001190
2020-06-19 02:18:07 Kernel.Warning 192.168.77.1 Jun 19 02:18:13 kernel: epc = 00414bac in https_dns_proxy[400000+23000]
2020-06-19 02:18:07 Kernel.Warning 192.168.77.1 Jun 19 02:18:13 kernel: ra = 0041b8f4 in https_dns_proxy[400000+23000]
2020-06-19 02:18:08 Kernel.Warning 192.168.77.1 Jun 19 02:18:13 kernel: do_page_fault(): sending SIGSEGV to https_dns_proxy for invalid read access from 00001190
2020-06-19 02:18:08 Kernel.Warning 192.168.77.1 Jun 19 02:18:13 kernel: epc = 00414bac in https_dns_proxy[400000+23000]
2020-06-19 02:18:08 Kernel.Warning 192.168.77.1 Jun 19 02:18:13 kernel: ra = 0041b8f4 in https_dns_proxy[400000+23000]
2020-06-19 02:18:08 Kernel.Warning 192.168.77.1 Jun 19 02:18:13 kernel: do_page_fault(): sending SIGSEGV to https_dns_proxy for invalid read access from 00001190
2020-06-19 02:18:08 Kernel.Warning 192.168.77.1 Jun 19 02:18:13 kernel: epc = 00414bac in https_dns_proxy[400000+23000]
2020-06-19 02:18:08 Kernel.Warning 192.168.77.1 Jun 19 02:18:13 kernel: ra = 0041b8f4 in https_dns_proxy[400000+23000]
2020-06-19 02:18:09 User.Info 192.168.77.1 Jun 19 02:18:14 ndm: Core::Configura
2020-06-19 02:18:10 Daemon.Info 192.168.77.1 Jun 19 02:18:15 https-dns-proxy: Using DNS-wire DoH request format
2020-06-19 02:18:10 Daemon.Info 192.168.77.1 Jun 19 02:18:15 https-dns-proxy: DNS polling initialized for 'dnsse.alekberg.net'
2020-06-19 02:18:10 Daemon.Info 192.168.77.1 Jun 19 02:18:15 https-dns-proxy: Starting.
2020-06-19 02:18:30 Daemon.Error 192.168.77.1 Jun 19 02:18:36 https-dns-proxy: Core::Syslog: last message repeated 30 times.
2020-06-19 02:18:33 Daemon.Error 192.168.77.1 Jun 19 02:18:38 https-dns-proxy: Core::Syslog: last message repeated 31 times.
2020-06-19 02:
Нативная поддержка TrustTunnel
в Развитие
Опубликовано
При чем тут это? Это же тема по trusttunnel. fastd ненужен, по UDP прекрасно работает и openconnect уже имеющийся, да и wg в геолокациях без деградации интернета.