vitalik6243

Увы но наличие галочки транзит запросов не решает проблему, проблема сохраняется, ошибки полезли опять в вечернее время. Хотя все те же устройства висели весь день ndnproxy благополучно упал... Ход запуска, вырезал мак адреса устройств к которым применялись конфигурации т.к. там особо дельной информации нет. Добавлю, похоже что ошибка ползет вечером исключительно, но с чем связано поймать не могу поочередно уже отключал устройства от роутера она ползет даже с 1 компом или 1 телефоном, отключение интернет фильтров не помогает, галочка транзит запросов эффекта не дает, после ребута ошибок нет минут 5-10 и опять начинают бежать. На текущий момент смотрю на KN-3812 (4.3.6) и Zyxel Keenetic Ultra 2 (5.0 Beta) Так же вижу на моделях к которым у меня есть доступ с использование интернет фильтра: Extra (KN-1713) EAEU 4.2.6.2 Racer (KN-4010) EAEU 4.3.6 (подключен только 2 принтера HP по Wi-Fi) Hopper SE (KN-3812) EAEU 4.3.6 Racer (KN-4010) EAEU 4.2.6.3 Те модели что повторяются это все разные роутеры где ошибка проявляется.

Ну проблема похоже что не массовая, т.к. заходил примерно на 7-8 роутеров с такой же конфигурацией и таких ошибок у них в логах не вижу. хотя почти везде стоит 4.3.2-4.3.6 и там как mips так и arm роутеры. Сегодня на некоторых роутерах где я видел такую такую ошибку уже ее нет, возможно какое то приложение которое и пускало мусор в 53 порт. А вот факт падения ndnproxy, когда таких ошибок за минуту может прилетать по 50-100шт не очень приятный самое интересное что процесс виснет и сам не перезапускается иногда, пока не перезапустишь вручную либо интернет фильтры выкл/вкл либо сам роутер. Так же когда падает ndnproxy, на роутере ping через диагностику через системный профиль где разрешен транзит тоже не ходит.

Да да, 2 раз утром без DNS сервера просыпаюсь тушу интернет фильтр поднимаю его обратно и полетели, на 5.0 нет компонента на другом адресе приходится роутер ребутать...

На 4.3.6 разрешить транзит помогло на 5.0 не помогло, странная ситуация. Еще склоняюсь что DOT/DOH днс попали под раздачу... UPD: помогло после ребута NDM DNS Proxy, v1.4.16. UPD: спустя 10 минут ошибка продолжила сыпать не помогло на 5.0 Beta

ip static icmp GigabitEthernet1 127.0.0.1 !ICMP ip static ipip GigabitEthernet1 127.0.0.1 !IPIP ip static gre GigabitEthernet1 127.0.0.1 !GRE ip static tcp GigabitEthernet1 280 127.0.0.1 !Web-Keenetic ip static tcp ISP 281 10.84.2.65 80 !Web-Keenetic-2 ip static tcp GigabitEthernet1 211 127.0.0.1 !FTP-Keenetic ip static tcp ISP 7070 10.84.2.65 !AnyDesk ip static tcpudp ISP 47984 through 48010 10.84.2.65 !GameStream ip static tcpudp ISP 7754 through 7765 30:85:a9:ae:18:63 !DSS ip static tcpudp ISP 52695 30:85:a9:ae:18:63 !Torrent ip static GigabitEthernet1 00:15:5d:02:08:00 !ServerOS-AllPorts Настроены таким образом правила переадресации портов, но из за правила ip static GigabitEthernet1 00:15:5d:02:08:00 !ServerOS-AllPorts Правило ip static ipip GigabitEthernet1 127.0.0.1 !IPIP просто игнорируется. И создание туннеля не проходит. Либо их функционал не реализован хотя в терминале он есть, правило выключаешь туннели поднимаются после перезапуска нормально и адекватно. Версия ОС 5.0 Beta 0 Модель Keenetic Ultra II EAEU Так же протестировалось на Keenetic Hooper SE KN-3812 (Прошивка 4.3.6) Результат тот же самый.

При использовании роуминга для сети 2.4 + 5 Возникают траблы с подключением некоторых устройств. Пример: Android приставка не известного производителя + принтер Pantum M6507W В логах: Network::Interface::Mtk::WifiMonitor: "WifiMaster1/AccessPoint2": STA(d4:12:43:01:f5:06) had disassociated by STA (reason: STA is leaving or has left BSS). По итогу проблему удается решить только создание дополнительного сегмента без использования Роуминга вовсе, устройство без проблем подключается и к 2.4 и к 5ггц отключение ax к положительному эффекту не привело. Роутер: Keenetic Giga KN-1012

Апр 5 09:17:58 OpenVPN0 dco_del_peer: netlink reports error (-4): Try again Апр 5 09:17:58 OpenVPN0 Core::Syslog: last message repeated 465 times. Апр 5 09:17:58 kernel tun0: no peer to send data to Апр 5 09:17:58 OpenVPN0 dco_del_peer: netlink reports error (-4): Try again Апр 5 09:17:58 OpenVPN0 Core::Syslog: last message repeated 205 times. Апр 5 09:17:58 kernel tun0: no peer to send data to Апр 5 09:17:58 OpenVPN0 dco_del_peer: netlink reports error (-4): Try again Апр 5 09:17:58 kernel tun0: no peer to send data to Апр 5 09:17:58 OpenVPN0 dco_del_peer: netlink reports error (-4): Try again Апр 5 09:17:59 OpenVPN0 Core::Syslog: last message repeated 120 times. Апр 5 09:17:59 kernel tun0: no peer to send data to Апр 5 09:17:59 OpenVPN0 dco_del_peer: netlink reports error (-4): Try again Апр 5 09:17:59 OpenVPN0 Core::Syslog: last message repeated 34 times. Апр 5 09:17:59 kernel tun0: no peer to send data to Апр 5 09:17:59 OpenVPN0 dco_del_peer: netlink reports error (-4): Try again Апр 5 09:17:59 OpenVPN0 Core::Syslog: last message repeated 402 times. Апр 5 09:17:59 kernel tun0: no peer to send data to Апр 5 09:17:59 OpenVPN0 dco_del_peer: netlink reports error (-4): Try again У провайдера была перезагрузка некоторых систем, вот такие ошибки на клиентском устройстве полетели при подключении OpenVPN TCP + DCO само подключение осталось активно и горит зеленым процессор ушел в 100% загрузку.

[I] Feb 24 21:31:14 kernel: tun0: ovpn_peer_ping: sending ping to peer 0 [I] Feb 24 21:31:14 kernel: tun0: ovpn_decrypt_one: ping received from peer with id 0 [E] Feb 24 21:32:21 OpenVPN0: read UDPv4 [ECONNREFUSED]: Connection refused (fd=4,code=111) [E] Feb 24 21:32:39 OpenVPN0: Core::Syslog: last message repeated 5 times. [I] Feb 24 21:32:42 kernel: tun0: ovpn_peer_expire: peer 0 expired [I] Feb 24 21:32:42 kernel: tun0: deleting peer with id 0, reason 2 [I] Feb 24 21:32:42 OpenVPN0: [VPN] Inactivity timeout (--ping-restart), restarting [W] Feb 24 21:32:42 OpenVPN0: DCO kernel error [I] Feb 24 21:32:42 OpenVPN0: dco_del_peer: netlink reports object not found, ovpn-dco unloaded? [E] Feb 24 21:32:42 OpenVPN0: dco_del_peer: netlink reports error (-4): Try again [E] Feb 24 21:32:46 OpenVPN0: Core::Syslog: last message repeated 141931 times. [I] Feb 24 21:32:46 kernel: tun0: no peer to send data to [E] Feb 24 21:32:46 OpenVPN0: dco_del_peer: netlink reports error (-4): Try again [E] Feb 24 21:32:46 OpenVPN0: Core::Syslog: last message repeated 16385 times. [I] Feb 24 21:32:46 kernel: tun0: no peer to send data to [E] Feb 24 21:32:46 OpenVPN0: dco_del_peer: netlink reports error (-4): Try again [E] Feb 24 21:32:48 OpenVPN0: Core::Syslog: last message repeated 48533 times. [I] Feb 24 21:32:48 kernel: tun0: no peer to send data to [E] Feb 24 21:32:48 OpenVPN0: dco_del_peer: netlink reports error (-4): Try again [E] Feb 24 21:32:48 OpenVPN0: Core::Syslog: last message repeated 16406 times. [I] Feb 24 21:32:48 kernel: tun0: no peer to send data to [E] Feb 24 21:32:48 OpenVPN0: dco_del_peer: netlink reports error (-4): Try again [E] Feb 24 21:32:53 OpenVPN0: Core::Syslog: last message repeated 143436 times. [I] Feb 24 21:32:53 kernel: tun0: no peer to send data to Вот список ошибок при потери соединения с сервером по UDP протоколу, при этом соединение остается зеленое якобы активное и не разрывается.

Да, некоторые провайдера почему то не пропускают tcp сессию по OpenVPN поэтому используется 2. Да в целом то не критично можно пользоваться и без dco без dco Keenetic адекватно понимает разрывы и правильно работает с keepalive 15 30 Но при включении enable-dco такое ощущение что параметр сервера keepalive 15 30 начинает игнорироваться, в логах сервера остается только то что сессия клиента закрыта, новых попыток авторизации от Keenetic не поступает, так что я склоняюсь в текущий момент к тому что проблема с использованием dco именно со стороны Keenetic роутера, т.к. к примеру другой сервер подключен так же по OpenVPN 2.6.13 + dcov2 отрабатывает перезагрузки сервера openvpn адекватно. Вроде как в Keenetic используется схожая конфигурация. Я в текущий момент tcp сессии оставил с dco для разгрузки процессора роутера. Т.к. загрузка процессора реально ниже при использовании dco даже на mips 7621 А udp оставил без dco, вдруг все таки удастся обнаружить проблему и исправить ее в дальнейшем. По поводу pingcheck через cli понятное дело что будет работать без проблем если пинговать шлюз внутри openvpn тунеля, ip сервера закрыт по icmp запросам, а вот шлюз можно, и да такое будет работать т.к. логично что при рестарте соединения провайдера, Keenetic корректно разрывает сессию openvpn + dco UDP. Но вот не понятно почему он не хочет ее разрываться без физического фактора как передергивание линка провайдера или перезапуск самого соединения OpenVPN.

Вообщем удалось мне протестировать dco в разных конфигурациях на mips Keenetic Giant KN-2610 и arm роутере Keenetic Giga KN-1012 Есть как положительные моменты так и отрицательные. При использовании dco на tcp сессии все работает отлично и проблем вообще никаких нет, при разрыве соединения все восстанавливается и скоростные показатели как на arm так и на mips роутере отличные. прошивка при тестировании была на обоих роутерах 4.2.6 Но вот возникли проблемы с udp сессией, при любом разрыве соединения роутер не понимает что сессия разорвалась и продолжает поддерживать мертвое подключение хотя сервер был перезапущен, если перезапустить интернет соединение сессия перезапускается и работает нормально. В логах при этом перестает идти kernel tun0: ovpn_peer_ping: sending ping to peer 1 По скорости mips по tcp скорость с 15 мбит/сек поднялась до 30 мбит/сек. По udp скорость с 15 мбит/сек поднялась до 25 мбит/сек По скорости arm по tcp скорость с 91 мбит/сек поднялась до 160 мбит/сек(возможно упор в сервер или канал), по udp с 73 мбит/сек. поднялась до 155 мбит/сек. Цифры понятное дело примерные т.к. отталкиваются от множества факторов. На текущий момент dco можно без проблем использовать при tcp подключении, но с udp подключением есть явные проблемы, и скорее всего эти проблемы идут от роутера чем от сервера.

На mips еще одну проблему заметил, зависание роутера при включенном dco. Начал вчера тестировать работу WireGuard в схожей конфигурации. И нужно было тушить OVPN включать аналогично и WG роутер зависал на мертво ребут только через CLI помогал. И как назло я не сохранил конфиг после включение debug на интерфейс чтобы посмотреть, и в логах и SelfLog логично что ничего нет... Но тестировал я все это добро на старой доброй Ultra 2. Сегодня протестирую на Giant тоже на mips может не совместимость какая либо с моим роутером... Правда жаль что наши Keenetic при Wireguard подключении не дают авто-маршрутизацию при Allowed IPs отличающемся от стандартного 0.0.0.0/0, маршруты ручками нужно делать)

Да вот походу заметил, чет думал что он на arm... ошибся тогда чутка. Тогда на arm щас нет устройства dco проверить. Но проверил на mips. С DCO на mips разницы в скорости увы нет никакой, есть проблемы с подключением по UDP, но пока описать не могу в self-test чисто WinMTR потерь пакетов тоже не дает. Но к примеру если взять тест скорости или просто сайты все ок. Включаем YouTube будто бы связь с сервером каждые 5-7 секунд теряется. Оставил пока затею решил проверить TCP По TCP проблем нет загрузка проца упала, скорость в пределах 20 мбит/сек. В целом даже того что упала загрузка CPU это уже не плохо. По UDP пока что я не разобрался куда копать и в чем может быть беда.

ну вот на mips я отключил DCO, т.к. при потоковых данных начинаются траблы с вечной подгрузкой и все начинает сильно тупить хотя разрывов в self-log не вижу. Завтра буду дома где стоит giant с arm процессором, для полноты картины там и протестирую.

Завтра протестирую Giant, там проц все таки по бодрее. Отпишусь по результату.

Увеличения скорости нет, но заметно снижена загрузка CPU. С 60-70% до 40 упала. Такое ощущение что скорость на интерфейсе сама подрезана, как будто бы упирается ровно в 25 мбит +-

Так действительно, я чет не то сделал походу Да DCO завелся протестирую. [I] Aug 28 13:33:52 OpenVPN0: DCO device tun1 opened

А стоп щас скачал файл конфига enable-dco есть, странно почему в CLI через sh run не выдал. странно.

На какой прошивке тестировал? В конфиг к подключению добавил enable-dco?

Увы не в CLI не в самом конфиге enable-dco не принимается... Если в сам конфиг в Interface OpenVPN0 enable-dco пропал. Попробовал в корень закинуть, аналогично. В Entware включения DCO тоже не увидел. Прошивка: 4.2 Beta 2 Протестировано на Ultra 2 и Keenetic Giant KN-2610

вообщем почитал информацию я для включения DCO необходим AES-xxx-GCM условия все выполнил, результата не дано, возможно в telnet его возможно включить в entware modprobe ovpn_dco результата не дает, включение должно быть на уровне ядра...

Ну тогда в двойне интересно почему компонент стоит с завода, но при этом не используется в пару с OpenVPN.

DCO version: N/A то что вы написали выше это указано что версия 2.6.7 поддерживает DCO. Вот такой ответ должен быть при опросе: DCO version: 0.2.20240712(взято где используется OpenVPN с DCO)

А еще в идеале дополнить чтобы указанные AllowedIPs маршрутизировались автоматически как например это происходит на клиенте Windows и Android Каждый раз приходится route прописывать ручками..

Заметил такую ситуацию что на наших кинетиках стоит пакет OpenVPN 2.6 Но почему то не добавлен пакет DCO который значительно разгружает процессор при использовании DCO + повышает эффективность работы OpenVPN за счет более высокой скорости передачи данных. Было бы не плохо увидеть такой пакет в будущих прошивках. Да и вроде как есть что-то типо готового решения: kmod-ovpn-dco(судя по всему было когда то реализовано на OpenWRT, но могу ошибаться.)

Возможно ли реализовать аналог или подобие этой команды прямо на Keenetic? без использования OPKG? Или возможно данная команда уже есть? Т.к. ip nat ISP-Vlan не работает должный образом. Дело в том что мне нужно принять трафик с wan интерфейса через внешний ip, и так же само передать в wan интерфейс только уже на серый IP внутри сети провайдера, и единственный выход который есть на данный момент это использование OPKG iptables -t nat -A POSTROUTING -o eth3.100 -j MASQUERADE