vitalik6243

[I] Feb 24 21:31:14 kernel: tun0: ovpn_peer_ping: sending ping to peer 0 [I] Feb 24 21:31:14 kernel: tun0: ovpn_decrypt_one: ping received from peer with id 0 [E] Feb 24 21:32:21 OpenVPN0: read UDPv4 [ECONNREFUSED]: Connection refused (fd=4,code=111) [E] Feb 24 21:32:39 OpenVPN0: Core::Syslog: last message repeated 5 times. [I] Feb 24 21:32:42 kernel: tun0: ovpn_peer_expire: peer 0 expired [I] Feb 24 21:32:42 kernel: tun0: deleting peer with id 0, reason 2 [I] Feb 24 21:32:42 OpenVPN0: [VPN] Inactivity timeout (--ping-restart), restarting [W] Feb 24 21:32:42 OpenVPN0: DCO kernel error [I] Feb 24 21:32:42 OpenVPN0: dco_del_peer: netlink reports object not found, ovpn-dco unloaded? [E] Feb 24 21:32:42 OpenVPN0: dco_del_peer: netlink reports error (-4): Try again [E] Feb 24 21:32:46 OpenVPN0: Core::Syslog: last message repeated 141931 times. [I] Feb 24 21:32:46 kernel: tun0: no peer to send data to [E] Feb 24 21:32:46 OpenVPN0: dco_del_peer: netlink reports error (-4): Try again [E] Feb 24 21:32:46 OpenVPN0: Core::Syslog: last message repeated 16385 times. [I] Feb 24 21:32:46 kernel: tun0: no peer to send data to [E] Feb 24 21:32:46 OpenVPN0: dco_del_peer: netlink reports error (-4): Try again [E] Feb 24 21:32:48 OpenVPN0: Core::Syslog: last message repeated 48533 times. [I] Feb 24 21:32:48 kernel: tun0: no peer to send data to [E] Feb 24 21:32:48 OpenVPN0: dco_del_peer: netlink reports error (-4): Try again [E] Feb 24 21:32:48 OpenVPN0: Core::Syslog: last message repeated 16406 times. [I] Feb 24 21:32:48 kernel: tun0: no peer to send data to [E] Feb 24 21:32:48 OpenVPN0: dco_del_peer: netlink reports error (-4): Try again [E] Feb 24 21:32:53 OpenVPN0: Core::Syslog: last message repeated 143436 times. [I] Feb 24 21:32:53 kernel: tun0: no peer to send data to Вот список ошибок при потери соединения с сервером по UDP протоколу, при этом соединение остается зеленое якобы активное и не разрывается.

Да, некоторые провайдера почему то не пропускают tcp сессию по OpenVPN поэтому используется 2. Да в целом то не критично можно пользоваться и без dco без dco Keenetic адекватно понимает разрывы и правильно работает с keepalive 15 30 Но при включении enable-dco такое ощущение что параметр сервера keepalive 15 30 начинает игнорироваться, в логах сервера остается только то что сессия клиента закрыта, новых попыток авторизации от Keenetic не поступает, так что я склоняюсь в текущий момент к тому что проблема с использованием dco именно со стороны Keenetic роутера, т.к. к примеру другой сервер подключен так же по OpenVPN 2.6.13 + dcov2 отрабатывает перезагрузки сервера openvpn адекватно. Вроде как в Keenetic используется схожая конфигурация. Я в текущий момент tcp сессии оставил с dco для разгрузки процессора роутера. Т.к. загрузка процессора реально ниже при использовании dco даже на mips 7621 А udp оставил без dco, вдруг все таки удастся обнаружить проблему и исправить ее в дальнейшем. По поводу pingcheck через cli понятное дело что будет работать без проблем если пинговать шлюз внутри openvpn тунеля, ip сервера закрыт по icmp запросам, а вот шлюз можно, и да такое будет работать т.к. логично что при рестарте соединения провайдера, Keenetic корректно разрывает сессию openvpn + dco UDP. Но вот не понятно почему он не хочет ее разрываться без физического фактора как передергивание линка провайдера или перезапуск самого соединения OpenVPN.

Вообщем удалось мне протестировать dco в разных конфигурациях на mips Keenetic Giant KN-2610 и arm роутере Keenetic Giga KN-1012 Есть как положительные моменты так и отрицательные. При использовании dco на tcp сессии все работает отлично и проблем вообще никаких нет, при разрыве соединения все восстанавливается и скоростные показатели как на arm так и на mips роутере отличные. прошивка при тестировании была на обоих роутерах 4.2.6 Но вот возникли проблемы с udp сессией, при любом разрыве соединения роутер не понимает что сессия разорвалась и продолжает поддерживать мертвое подключение хотя сервер был перезапущен, если перезапустить интернет соединение сессия перезапускается и работает нормально. В логах при этом перестает идти kernel tun0: ovpn_peer_ping: sending ping to peer 1 По скорости mips по tcp скорость с 15 мбит/сек поднялась до 30 мбит/сек. По udp скорость с 15 мбит/сек поднялась до 25 мбит/сек По скорости arm по tcp скорость с 91 мбит/сек поднялась до 160 мбит/сек(возможно упор в сервер или канал), по udp с 73 мбит/сек. поднялась до 155 мбит/сек. Цифры понятное дело примерные т.к. отталкиваются от множества факторов. На текущий момент dco можно без проблем использовать при tcp подключении, но с udp подключением есть явные проблемы, и скорее всего эти проблемы идут от роутера чем от сервера.

На mips еще одну проблему заметил, зависание роутера при включенном dco. Начал вчера тестировать работу WireGuard в схожей конфигурации. И нужно было тушить OVPN включать аналогично и WG роутер зависал на мертво ребут только через CLI помогал. И как назло я не сохранил конфиг после включение debug на интерфейс чтобы посмотреть, и в логах и SelfLog логично что ничего нет... Но тестировал я все это добро на старой доброй Ultra 2. Сегодня протестирую на Giant тоже на mips может не совместимость какая либо с моим роутером... Правда жаль что наши Keenetic при Wireguard подключении не дают авто-маршрутизацию при Allowed IPs отличающемся от стандартного 0.0.0.0/0, маршруты ручками нужно делать)

Да вот походу заметил, чет думал что он на arm... ошибся тогда чутка. Тогда на arm щас нет устройства dco проверить. Но проверил на mips. С DCO на mips разницы в скорости увы нет никакой, есть проблемы с подключением по UDP, но пока описать не могу в self-test чисто WinMTR потерь пакетов тоже не дает. Но к примеру если взять тест скорости или просто сайты все ок. Включаем YouTube будто бы связь с сервером каждые 5-7 секунд теряется. Оставил пока затею решил проверить TCP По TCP проблем нет загрузка проца упала, скорость в пределах 20 мбит/сек. В целом даже того что упала загрузка CPU это уже не плохо. По UDP пока что я не разобрался куда копать и в чем может быть беда.

ну вот на mips я отключил DCO, т.к. при потоковых данных начинаются траблы с вечной подгрузкой и все начинает сильно тупить хотя разрывов в self-log не вижу. Завтра буду дома где стоит giant с arm процессором, для полноты картины там и протестирую.

Завтра протестирую Giant, там проц все таки по бодрее. Отпишусь по результату.

Увеличения скорости нет, но заметно снижена загрузка CPU. С 60-70% до 40 упала. Такое ощущение что скорость на интерфейсе сама подрезана, как будто бы упирается ровно в 25 мбит +-

Так действительно, я чет не то сделал походу Да DCO завелся протестирую. [I] Aug 28 13:33:52 OpenVPN0: DCO device tun1 opened

А стоп щас скачал файл конфига enable-dco есть, странно почему в CLI через sh run не выдал. странно.

На какой прошивке тестировал? В конфиг к подключению добавил enable-dco?

Увы не в CLI не в самом конфиге enable-dco не принимается... Если в сам конфиг в Interface OpenVPN0 enable-dco пропал. Попробовал в корень закинуть, аналогично. В Entware включения DCO тоже не увидел. Прошивка: 4.2 Beta 2 Протестировано на Ultra 2 и Keenetic Giant KN-2610

вообщем почитал информацию я для включения DCO необходим AES-xxx-GCM условия все выполнил, результата не дано, возможно в telnet его возможно включить в entware modprobe ovpn_dco результата не дает, включение должно быть на уровне ядра...

Ну тогда в двойне интересно почему компонент стоит с завода, но при этом не используется в пару с OpenVPN.

DCO version: N/A то что вы написали выше это указано что версия 2.6.7 поддерживает DCO. Вот такой ответ должен быть при опросе: DCO version: 0.2.20240712(взято где используется OpenVPN с DCO)

А еще в идеале дополнить чтобы указанные AllowedIPs маршрутизировались автоматически как например это происходит на клиенте Windows и Android Каждый раз приходится route прописывать ручками..

Заметил такую ситуацию что на наших кинетиках стоит пакет OpenVPN 2.6 Но почему то не добавлен пакет DCO который значительно разгружает процессор при использовании DCO + повышает эффективность работы OpenVPN за счет более высокой скорости передачи данных. Было бы не плохо увидеть такой пакет в будущих прошивках. Да и вроде как есть что-то типо готового решения: kmod-ovpn-dco(судя по всему было когда то реализовано на OpenWRT, но могу ошибаться.)

Возможно ли реализовать аналог или подобие этой команды прямо на Keenetic? без использования OPKG? Или возможно данная команда уже есть? Т.к. ip nat ISP-Vlan не работает должный образом. Дело в том что мне нужно принять трафик с wan интерфейса через внешний ip, и так же само передать в wan интерфейс только уже на серый IP внутри сети провайдера, и единственный выход который есть на данный момент это использование OPKG iptables -t nat -A POSTROUTING -o eth3.100 -j MASQUERADE

Добрый день всем, вообщем скрипт работает как часы, только вот система route на интерфейс основного интернета не работает от слова совсем. тупо перестают идти пакеты... и единсвенный выход из положения это удалять подсети который пошли через vpn. Пытался доработать скрипт путем добавления дополнительного файла фильтрации белых ip адресов, но это не работает от слова совсем. #!/bin/sh cut_local() { grep -vE 'localhost|^0\.|^127\.|^10\.|^172\.16\.|^192\.168\.|^::|^fc..:|^fd..:|^fe..:' } cat $1 | awk '{print $1}' | awk '/^([0-9]{1,3}\.){3}[0-9]{1,3}$/' | awk -F. -v OFS=. 'NF--' | sed -i '/$1/d' $2 cat $1 | awk '{print $1}' | awk '/^([0-9]{1,3}\.){3}[0-9]{1,3}\/[0-9]{1,2}$/' | awk -F. -v OFS=. 'NF--' | sed -i '/$1/d' $2 until ADDRS=$(dig +short google.com @localhost -p 53) && [ -n "$ADDRS" ] > /dev/null 2>&1; do sleep 5; done echo "$(cat $1 | awk '{print $1}' | awk '!/^([0-9]{1,3}\.){3}[0-9]{1,3}/ && !/^#/')" | { while IFS= read -r line; do ips="`dig A +short $line @localhost -p 53 | awk '/^([0-9]{1,3}\.){3}[0-9]{1,3}$/' | cut_local | awk -F. -v OFS=. 'NF--'`" echo "$ips" sed -i "/$ips/d" $2 done } Может будет вариант посмотреть что сделал не так... т.к. убил более 2-ух суток и ничего дельного у меня не получилось Просто по команде echo я понимаю что ip адреса приходят команде sed для дальнейшего удаления из общего списка. Но вот команда sed удаляет вместо ip адреса символ $ips

Да штука эта офигенная... Мой провайдер дает максимально пиковую скорость это 200 мбит глобального доступа но есть внутрилокальный доступ который не ограничен. Мне приходит гигабитный кабель, а локалка как правило светится вся в нате и можно создать себе впн серверов на микротиках от знакомых которые не против делиться своим 200 мегабитным тарифом. В итоге сумарная скорость в пике составляла 422 мбит.. но заснять не успел. Хотелось бы уточнить планируется устрание проблемы в работе ссылок. Т.к. наблюдаю что если зайти на какой либо сайт и попытаться включить видео выдает ошибку сразу без разговоров))) Что у меня проблемы с сетью. А таким макаром можно сделать себе дома 1 гигабитный канал, жалко что только для скачивания, но при условии большого колличества абонентов, каждый абонент будет автоматически смотреть тот или иной контент через менее нагруженный канал. Очень скажу актуально. Так же актуальная штука для модемов. Учитывая что я их распростроняю так же было бы интересно на это все дело посмотреть)))

Пропускная способность у L2TP все таки по лучше, да и стабильность пинга по интереснее. Почему то через PPTP ping на 10-15мс выше чем, через L2TP/IPSEC поднятом на том же keenetic. Да и стабильность подключения на последних прошивках 2.15 почему то стала хуже, обрывы соединения каждые 30 минут стали. Откатился до 2.14 днями соединения держаться без вопросов, а вот на 2.15 пока что траблы.

Есть ли возможность реализовать использования L2TP сервера к примеру без обязательного использования IPSEC? По принципу работы PPTP сервера, с использованием только логина и пароля?

В моем случае проблема решилась банальным сбросом маршрутизатора клиента. Не понял в чем была проблема, сам факт что заработало...

Дело в том что использую vpn сервер для настройки видеонаблюдения. И чтобы клиенты не могли менять настройки модема, вырезаю все вкладки из веб интерфейса модема, заранее. Да и неудобно выставлять каждому клиенту свой IP адрес:( запутаться можно. С такой проблемой как то раз сталкивался когда поднимал впервые сервер l2tp ipsec на ubuntu OS. Была проблема похожая, но не помню даже как исправлял, но точно помню что решается только на программном уровне iptables. Если есть возможность послать разработчикам запрос был бы вам очень благодарен.

уже сделал да действительно заработало... Такой вопрос возможно ли реализовать подключения в дальнейшем без смены ip адреса модема? Имею ввиду в будущих прошивках 2.15 или выше? не удобно получается менять ip адрес постоянно(