Le ecureuil

Это дикое старье мамонта, перейдите на 2.09 / 2.10 / 2.11.

Спасибо еще раз за тесты, мы пока расследуем ситуацию.

@Andreevskiy Во-первых, везде отключите агрессивный режим, используйте main mode. Во-вторых, попытайтесь настроить IKEv2. В-третьих, выключите PFS на Keenetic для 2 фазы, у вас на cisco он не включен. В-четвертых, если ничего из вышеперечисленного не поможет, то приложите нормальные конфиги и логи (скрытым постом например), разбираться по "замазкам" и обрубкам я не собираюсь. Или обратитесь с ними в техподдержку, если не доверяете форуму. Они все равно дойдут до меня.

В конце-концов есть L2TP/IPsec, клиенты для которого есть практически везде.

Примерно вот так. Только не забудьте расшифровать ключ (я не знаю вашего пароля от него) и заменить его на расшифрованный или зашифрованный с паролем "password".

Еще раз - формат self-test продиктован нашей производственной необходимостью в расследовании инцидентов. Если вас он не устраивает, значит не пользуйтесь поддержкой, только и всего. Мы же не вынуждаем вас этот файл загружать куда бы то ни было под угрозой расстрела.

Этот параметр введен для другого, и вам врядли поможет. MTU определяется как MTU интерфейса для связи - (оверхед от ESP (ESP/UDP) + оверхед от шифрования).

Я о том, что прокси дальше (с upstream) может пытаться работать по IPv6. Отключите в его конфиге или в опциях командной строки, или целиком в роутере. В роутере для полного выключения введите команду > system set net.ipv6.conf.all.disable_ipv6 1 > system config-save

В 2.11 это уже давно исправлено, минимум месяц. Если по-прежнему воспроизводится, то заводите новую тему с указанием шагов для воспроизведения.

@Александр Сухоруков у вас IPv6 не включен и не настроен случаем? Если так, то попробуйте его полностью отключить.

На этом форуме можете не выкладывать этот файл вообще в таком случае (по крайней мере я даже разбираться не буду, если юзер сознательно все затер). Собственно в техподдержке ваc тоже завернут, если вы все затрете, разве что там канал связи надежнее и ваши селфтесты видят только сотрудники. Этот файл не зря создан именно таким, если бы было можно убрать часть важной информации без ущерба - ее бы убрали. Как собственно уже сейчас из него вырезаются все пароли и сертификаты OpenVPN.

Вам в Opkg. Стандартные средства прошивки пока такое не позволяют.

Поставил в очередь, пока времени маловато для исследований.

Минимальный конфиг сервера: dev tun proto udp cipher AES-256-CBC comp-lzo no persist-tun verb 3 ifconfig 10.8.0.1 10.8.0.2 <secret> # # 2048 bit OpenVPN static key # -----BEGIN OpenVPN Static key V1----- caacc3274dfc05c41f9086261903bb68 adbdd7520caa89ec84a3314eb6eaff5d 49367611a9ec657dbacd47b148ae9f23 cbbbba43ccfc6c6149ee8453a5552944 e31eb1b928c96d9a515dd3f5d486a040 71ccf6a363d94368fb43023c6dcbbb75 3ef0e6fb69525689f3c9bae1ed1fe3b4 72875ae045fe284d70d5388cca730893 c30d4d0d7dd17aafd2e173afd257ab89 9ae308b40cca1f27093e186a59b9f6eb aca37680e01156dd54cd740fb830c994 eaea8a15074b49e85e126841dea57636 f627d50398e5dc756b07806a9f7374a4 a52016cc3ed51c3ae8ba021e26dba3d5 cc5b0e29472961ec0af0ab76b7270e83 ed27316a395fef6ca5f883850f10632e -----END OpenVPN Static key V1----- </secret> А дальше идем в https://openvpn.net/index.php/open-source/documentation/manuals/65-openvpn-20x-manpage.html

А почему я не вижу у inline-блоков заголовков и трейлеров навроде -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- -----BEGIN RSA PRIVATE KEY----- -----END RSA PRIVATE KEY----- -----BEGIN DH PARAMETERS----- -----END DH PARAMETERS----- ? А вообще, похоже на "битый" файл с данными DH: error:0906D06C:lib(9):func(109):reason(108) error:0906D06C:PEM routines:PEM_read_bio:no start line Начните с расставления правильных заголовков.

Ну и славно.

@Хосе Де Чекитос Скиньте настройки от dlink, иначе непонятно ничего. Тоже скрытым постом.

Подключение не из WAN может показывать странные результаты, поскольку на это не рассчитано. Для правильных тестов нужно подключаться ко всем VPN из WAN. Почему из гостевой сети доступен SMB - разбираемся по другому запросу, видимо где-то недонастроен firewall. Спасибо за исследование, разбираемся.

В прочих прописывайте 127.0.0.1, там же и dnsmasq повесьте.

Копируете через соединение к серверу L2TP/IPsec? Вообще винда очень странно себя ведет, а именно постоянно пересогласовывает параметры после каждых 250 мегабайт переданных данных. Как видно из лога, инициатива по разрыву постоянно приходит от нее.

Поведение скопировано с уже существующего PPTP-сервера. Просьба проверить этот сценарий с ним и описать, что различается, а что совпадает.

Сделано, появится в ближайшем draft.

Скиньте ваши логи при подключении 88179, с которым не работает (наподобие первого лога, что скинул я), и модель роутера.

С моим 88179 все прекрасно работает: kernel: usb 2-1: new SuperSpeed USB device number 2 using xhci-hcd kernel: usb 2-1: New USB device found, idVendor=0b95, idProduct=1790 kernel: usb 2-1: Product: AX88179 kernel: usb 2-1: Manufacturer: ASIX Elec. Corp. kernel: usb 2-1: SerialNumber: 0000000000076B kernel: ax88179_178a 2-1:1.0: eth0: register 'ax88179_178a' at usb-xhci-hcd-1, ASIX AX88179 USB 3.0 Gigabit Ethernet, 9c:eb:e8:10:83:07 Network::Interface::Usb: "AsixEthernet0": interface "AsixEthernet0" is plugged (port 2). AsixEthernet0: NDM DHCP client (version 3.2.14) started. AsixEthernet0: created PID file "/var/run/ndhcpc-asx_br0.pid". kernel: ax88179_178a 2-1:1.0: eth0: ax88179 - Link status is: 1 kernel: ADDRCONF(NETDEV_CHANGE): eth0: link becomes ready # cat /proc/fastvpn/binds - SWNAT bind entry (flags: FNTX: 1 PPPTX: 0 RTX: 1 RRX: 1 BIND: 2) #0 - --> is L2TP: 0, is PPTP: 0, is PPPoE: 0, is IPoE: 1, is USB CDC/DSL: 1 --> Original LAN src: 192.168.1.237:52036 --> New WAN src: 172.16.110.124:52036 --> WAN dst (proto): 172.16.110.59:80 (6 : TCP) --> WAN UBridge device: asx_br0 --> WAN MACs: src (CPE) => dst (BRAS) (WAN vlan_id @ dev): 9c:eb:e8:10:83:07 => 00:90:0b:3a:42:32 (0 @ eth0) --> LAN MACs: src (USER) => dst (CPE) (LAN vlan_id @ dev): ec:08:6b:00:92:ef => ec:43:f6:91:2b:a6 (1 HWTX @ eth2) --> Traffic LAN => WAN (bytes / packets): 114956 / 2137 --> Traffic WAN => LAN (bytes / packets): 6113140 / 4070 $ wget -O /dev/null http://172.16.110.59/test.img --2017-11-28 16:40:32-- http://172.16.110.59/test.img Connecting to 172.16.110.59:80... connected. HTTP request sent, awaiting response... 200 OK Length: 10737418240 (10G) [application/octet-stream] Saving to: ‘/dev/null’ /dev/null 67%[============> ] 6,76G 77,1MB/s eta 43s

Ага, к следующему драфту наколдую