vitalik6243
-
Постов
130 -
Зарегистрирован
-
Посещение
Тип контента
Профили
Форумы
Галерея
Загрузки
Блоги
События
Сообщения, опубликованные vitalik6243
-
-
Заметил такую интересную картину, что роутеры Keenetic физически не загружают ipv6 маршруты и не получают ipv6 адрес от сервера. Хотя по push видно что маршрут был отправлен. Аналогично и с IP адресом, получает устройство только ipv4 адрес от сервера, ipv6 отказывается. Я так понимаю что поддержка ipv6 физически не реализован в OpenVPN? И планируется ли реализация в дальнейшем? Т.к. в Wireguard в целом все было реализовано.
Прошивка: Версия ОС 5.0.5
OpenVpn::Routing6: "OpenVPN2": install accepted route to 2a03:2880::/32 via ::Network::Interface::Ip: "OpenVPN2": IP address is 192.25.3.134/24. -
2 минуты назад, Илья Картавенко сказал:
Возможно. Я проверял, отключив все потребители wifi, а потом проверял подключая по одному. Выявил, что два телефона вызывают такую проблему. Дальше стал ковырять телефон, выключая приложения
Если выявить на какой IP или домен обращается можно просто блокнуть эти запросы в локальной сети, но что интересно я не вижу каких то не естественных запросов в захвате пакетов на 53 порт
-
4 минуты назад, Илья Картавенко сказал:
Попробуйте ватсаппу закрытть доступ к wifi, у меня после этого прекратились ошибки.
Пробовал не помогает я отключал на ночь все мобильные телефоны и оставлял только 1 комп, и ошибка была все равно на компе вацаппа нет. Я уже грешил и на устройства умного дома и тд и тп, тупо даже вырубал Wi-Fi. Да ошибка пропадает после сохранения конфигурации но ровно в 4-5 утра начинает бежать и примерно до 11 т.е. когда трафика практически нет. Ощущение такое что идет опрос DNS серверов интернет фильтра и где то тут возникает нюанс)
P.S. вообще без устройств тоже есть ошибка если например на роутер зайти через внешник или Keendns. -
3 минуты назад, Илья Картавенко сказал:
Может в вашем случае на них реагирует.
Да наврядли оставил на ночь выключенные колонки и все что связано с яндексом, утром проснулся ошибка с 5 утра сыпала.
СпойлерСен 14 11:18:21
ndnproxy
[CBD6] unable to extract domain from request.
Сен 14 11:18:22
https-dns-proxy
BD90: curl response code: 413, content length: 17
Сен 14 11:18:22
ndnproxy
[C800] unable to extract domain from request.
Самое интересное что в процессе еще появляется ошибка с curl
https-dns-proxy
BD90: curl response code: 413, content length: 17
но появляется только на 5.0 на 4.3.6 ее не вижу
А на 4.3.6 даже если ошибок по этой теме нет появляется вот такая вот песня от куда и предположение возникло что яндекс чет шлет:
СпойлерСен 14 11:19:12
stubby
"77.88.8.8": too many failed requests, try to reload process
Сен 14 11:19:12
ndm
Service: "DoT "System" proxy #0": unexpectedly stopped.
-
3 часа назад, Илья Картавенко сказал:
Нет
Тогда вариант с яндексом отпадает) А то вчера отключил колонки и перестало сыпать ошибку, совпадение похоже.
-
Народ, те кто фиксирует проблемы устройства есть от яндекса?
-
Спойлер
Сен 11 20:05:07
stubby
"77.88.8.8": too many failed requests, try to reload process
Сен 11 20:05:07
ndm
Service: "DoT "System" proxy #0": unexpectedly stopped.
Сен 11 20:32:13
ndnproxy
[F361] unable to extract domain from request.
Сен 11 20:32:13
ndnproxy
[9665] unable to extract domain from request.
Сен 11 20:32:13
ndnproxy
[B2D1] unable to extract domain from request.
Сен 11 20:32:14
ndnproxy
[2D07] unable to extract domain from request.
Сен 11 20:32:14
ndnproxy
[18A6] unable to extract domain from request.
Сен 11 20:32:15
ndnproxy
[7BAE] unable to extract domain from request.
Сен 11 20:32:15
ndnproxy
[6FEB] unable to extract domain from request.
Сен 11 20:32:16
ndnproxy
[EB60] unable to extract domain from request.
Сен 11 20:32:16
ndnproxy
[7438] unable to extract domain from request.
Сен 11 20:32:19
ndnproxy
[30BE] unable to extract domain from request.
Сен 11 20:32:19
ndnproxy
[E72A] unable to extract domain from request.
Сен 11 20:32:35
ndnproxy
[2066] unable to extract domain from request.
Сен 11 20:32:35
ndnproxy
[96D4] unable to extract domain from request.
Сен 11 20:33:11
ndnproxy
[C000] unable to extract domain from request.
Сен 11 20:33:11
ndnproxy
[CA00] unable to extract domain from request.
Сен 11 20:33:11
ndnproxy
[CD00] unable to extract domain from request.
Сен 11 20:33:12
ndnproxy
[C500] unable to extract domain from request.
Сен 11 20:33:12
ndnproxy
[CC00] unable to extract domain from request.
Сен 11 20:33:13
ndnproxy
[C900] unable to extract domain from request.
Сен 11 20:33:13
ndnproxy
[CC00] unable to extract domain from request.
Сен 11 20:33:15
ndnproxy
[C100] unable to extract domain from request.
Сен 11 20:33:15
ndnproxy
[C100] unable to extract domain from request.
Сен 11 20:33:15
ndnproxy
[382F] unable to extract domain from request.
Сен 11 20:33:15
ndnproxy
[25ED] unable to extract domain from request.Увы но наличие галочки транзит запросов не решает проблему, проблема сохраняется, ошибки полезли опять в вечернее время. Хотя все те же устройства висели весь день ndnproxy благополучно упал...
СпойлерСен 11 20:39:37
ndm
Core::System::StartupConfig: saving (http/rci).
Сен 11 20:39:38
ndm
Core::System::StartupConfig: configuration saved.
Сен 11 20:39:53
ndm
Process: "Dns::Proxy" has been killed.
Сен 11 20:39:53
ndm
Dns::Manager: disable DNS filter engine.
Сен 11 20:39:53
ndm
Dns::Manager: proxy reload.
Сен 11 20:39:53
ndm
Dns::Manager: disable DNS filter engine.
Сен 11 20:39:53
ndm
Dns::Filter::Public: disabled.
Сен 11 20:39:53
ndm
Core::System::StartupConfig: saving (http/rci).
Сен 11 20:39:55
ndm
Dns::Manager: enable DNS filter engine "public".
Сен 11 20:39:55
ndm
Dns::Manager: proxy reload.
Сен 11 20:39:55
ndm
Dns::Filter::Public: enabled.
Сен 11 20:39:55
ndm
Dns::Filter::Public: associated interface "Bridge0" with profile "DnsProfile0".
Сен 11 20:39:55
ndm
Core::System::StartupConfig: saving (http/rci).
Сен 11 20:39:55
ndnproxy
NDM DNS Proxy, v1.4.14.
Сен 11 20:39:55
ndnproxy
PID file: /var/ndnproxymain.pid.
Сен 11 20:39:55
ndnproxy
stats. file: /var/ndnproxymain.stat.
Сен 11 20:39:56
ndnproxy
stopped.
Сен 11 20:39:57
ndm
Core::System::StartupConfig: configuration saved.
Сен 11 20:39:58
ndnproxy
NDM DNS Proxy, v1.4.14.
Сен 11 20:39:58
ndnproxy
PID file: /var/ndnproxymain.pid.
Сен 11 20:39:58
ndnproxy
stats. file: /var/ndnproxymain.stat.
Ход запуска, вырезал мак адреса устройств к которым применялись конфигурации т.к. там особо дельной информации нет.
Добавлю, похоже что ошибка ползет вечером исключительно, но с чем связано поймать не могу поочередно уже отключал устройства от роутера она ползет даже с 1 компом или 1 телефоном, отключение интернет фильтров не помогает, галочка транзит запросов эффекта не дает, после ребута ошибок нет минут 5-10 и опять начинают бежать.
На текущий момент смотрю на KN-3812 (4.3.6) и Zyxel Keenetic Ultra 2 (5.0 Beta)
Так же вижу на моделях к которым у меня есть доступ с использование интернет фильтра:
Extra (KN-1713) EAEU 4.2.6.2
Racer (KN-4010) EAEU 4.3.6 (подключен только 2 принтера HP по Wi-Fi)
Hopper SE (KN-3812) EAEU 4.3.6
Racer (KN-4010) EAEU 4.2.6.3
Те модели что повторяются это все разные роутеры где ошибка проявляется.-
1
-
-
1 час назад, Le ecureuil сказал:
Такое ощущение, что там IPsec они на DNS-портах пытаются гнать, или какой другой обход блокировок.
После тестов со случайными данным я на выявил каких-то проблем с ndnproxy.
Ну проблема похоже что не массовая, т.к. заходил примерно на 7-8 роутеров с такой же конфигурацией и таких ошибок у них в логах не вижу. хотя почти везде стоит 4.3.2-4.3.6 и там как mips так и arm роутеры. Сегодня на некоторых роутерах где я видел такую такую ошибку уже ее нет, возможно какое то приложение которое и пускало мусор в 53 порт. А вот факт падения ndnproxy, когда таких ошибок за минуту может прилетать по 50-100шт не очень приятный самое интересное что процесс виснет и сам не перезапускается иногда, пока не перезапустишь вручную либо интернет фильтры выкл/вкл либо сам роутер. Так же когда падает ndnproxy, на роутере ping через диагностику через системный профиль где разрешен транзит тоже не ходит.
-
7 минут назад, Le ecureuil сказал:
То есть утверждается, что если слать мусор на 53 порт Keenetic, то это роняет ndnproxy?
Да да, 2 раз утром без DNS сервера просыпаюсь тушу интернет фильтр поднимаю его обратно и полетели, на 5.0 нет компонента на другом адресе приходится роутер ребутать...
-
1
-
-
На 4.3.6 разрешить транзит помогло на 5.0 не помогло, странная ситуация. Еще склоняюсь что DOT/DOH днс попали под раздачу...
UPD: помогло после ребута NDM DNS Proxy, v1.4.16.
UPD: спустя 10 минут ошибка продолжила сыпать не помогло на 5.0 Beta-
1
-
-
ip static icmp GigabitEthernet1 127.0.0.1 !ICMP
ip static ipip GigabitEthernet1 127.0.0.1 !IPIP
ip static gre GigabitEthernet1 127.0.0.1 !GRE
ip static tcp GigabitEthernet1 280 127.0.0.1 !Web-Keenetic
ip static tcp ISP 281 10.84.2.65 80 !Web-Keenetic-2
ip static tcp GigabitEthernet1 211 127.0.0.1 !FTP-Keenetic
ip static tcp ISP 7070 10.84.2.65 !AnyDesk
ip static tcpudp ISP 47984 through 48010 10.84.2.65 !GameStream
ip static tcpudp ISP 7754 through 7765 30:85:a9:ae:18:63 !DSS
ip static tcpudp ISP 52695 30:85:a9:ae:18:63 !Torrent
ip static GigabitEthernet1 00:15:5d:02:08:00 !ServerOS-AllPorts
Настроены таким образом правила переадресации портов, но из за правила ip static GigabitEthernet1 00:15:5d:02:08:00 !ServerOS-AllPorts
Правило ip static ipip GigabitEthernet1 127.0.0.1 !IPIP просто игнорируется. И создание туннеля не проходит.
Либо их функционал не реализован хотя в терминале он есть, правило выключаешь туннели поднимаются после перезапуска нормально и адекватно.
Версия ОС 5.0 Beta 0Модель Keenetic Ultra II EAEU
Так же протестировалось на Keenetic Hooper SE KN-3812 (Прошивка 4.3.6)
Результат тот же самый. -
При использовании роуминга для сети 2.4 + 5
Возникают траблы с подключением некоторых устройств.
Пример: Android приставка не известного производителя + принтер Pantum M6507W
В логах:
Network::Interface::Mtk::WifiMonitor: "WifiMaster1/AccessPoint2": STA(d4:12:43:01:f5:06) had disassociated by STA (reason: STA is leaving or has left BSS).
По итогу проблему удается решить только создание дополнительного сегмента без использования Роуминга вовсе, устройство без проблем подключается и к 2.4 и к 5ггц отключение ax к положительному эффекту не привело.
Роутер: Keenetic Giga KN-1012-
1
-
-
В 25.02.2025 в 16:42, Le ecureuil сказал:
Спасибо за репорты, посмотрим.
Апр 5 09:17:58 OpenVPN0 dco_del_peer: netlink reports error (-4): Try again Апр 5 09:17:58 OpenVPN0 Core::Syslog: last message repeated 465 times. Апр 5 09:17:58 kernel tun0: no peer to send data to Апр 5 09:17:58 OpenVPN0 dco_del_peer: netlink reports error (-4): Try again Апр 5 09:17:58 OpenVPN0 Core::Syslog: last message repeated 205 times. Апр 5 09:17:58 kernel tun0: no peer to send data to Апр 5 09:17:58 OpenVPN0 dco_del_peer: netlink reports error (-4): Try again Апр 5 09:17:58 kernel tun0: no peer to send data to Апр 5 09:17:58 OpenVPN0 dco_del_peer: netlink reports error (-4): Try again Апр 5 09:17:59 OpenVPN0 Core::Syslog: last message repeated 120 times. Апр 5 09:17:59 kernel tun0: no peer to send data to Апр 5 09:17:59 OpenVPN0 dco_del_peer: netlink reports error (-4): Try again Апр 5 09:17:59 OpenVPN0 Core::Syslog: last message repeated 34 times. Апр 5 09:17:59 kernel tun0: no peer to send data to Апр 5 09:17:59 OpenVPN0 dco_del_peer: netlink reports error (-4): Try again Апр 5 09:17:59 OpenVPN0 Core::Syslog: last message repeated 402 times. Апр 5 09:17:59 kernel tun0: no peer to send data to Апр 5 09:17:59 OpenVPN0 dco_del_peer: netlink reports error (-4): Try againУ провайдера была перезагрузка некоторых систем, вот такие ошибки на клиентском устройстве полетели при подключении OpenVPN TCP + DCO само подключение осталось активно и горит зеленым процессор ушел в 100% загрузку.
-
[I] Feb 24 21:31:14 kernel: tun0: ovpn_peer_ping: sending ping to peer 0 [I] Feb 24 21:31:14 kernel: tun0: ovpn_decrypt_one: ping received from peer with id 0 [E] Feb 24 21:32:21 OpenVPN0: read UDPv4 [ECONNREFUSED]: Connection refused (fd=4,code=111) [E] Feb 24 21:32:39 OpenVPN0: Core::Syslog: last message repeated 5 times. [I] Feb 24 21:32:42 kernel: tun0: ovpn_peer_expire: peer 0 expired [I] Feb 24 21:32:42 kernel: tun0: deleting peer with id 0, reason 2 [I] Feb 24 21:32:42 OpenVPN0: [VPN] Inactivity timeout (--ping-restart), restarting [W] Feb 24 21:32:42 OpenVPN0: DCO kernel error [I] Feb 24 21:32:42 OpenVPN0: dco_del_peer: netlink reports object not found, ovpn-dco unloaded? [E] Feb 24 21:32:42 OpenVPN0: dco_del_peer: netlink reports error (-4): Try again [E] Feb 24 21:32:46 OpenVPN0: Core::Syslog: last message repeated 141931 times. [I] Feb 24 21:32:46 kernel: tun0: no peer to send data to [E] Feb 24 21:32:46 OpenVPN0: dco_del_peer: netlink reports error (-4): Try again [E] Feb 24 21:32:46 OpenVPN0: Core::Syslog: last message repeated 16385 times. [I] Feb 24 21:32:46 kernel: tun0: no peer to send data to [E] Feb 24 21:32:46 OpenVPN0: dco_del_peer: netlink reports error (-4): Try again [E] Feb 24 21:32:48 OpenVPN0: Core::Syslog: last message repeated 48533 times. [I] Feb 24 21:32:48 kernel: tun0: no peer to send data to [E] Feb 24 21:32:48 OpenVPN0: dco_del_peer: netlink reports error (-4): Try again [E] Feb 24 21:32:48 OpenVPN0: Core::Syslog: last message repeated 16406 times. [I] Feb 24 21:32:48 kernel: tun0: no peer to send data to [E] Feb 24 21:32:48 OpenVPN0: dco_del_peer: netlink reports error (-4): Try again [E] Feb 24 21:32:53 OpenVPN0: Core::Syslog: last message repeated 143436 times. [I] Feb 24 21:32:53 kernel: tun0: no peer to send data toВот список ошибок при потери соединения с сервером по UDP протоколу, при этом соединение остается зеленое якобы активное и не разрывается.
-
17 минут назад, Leshiyart сказал:
Тут есть повод посмотреть на эту ситуацию разработчикам.
Так же можно попробовать повесить пинг чек на такое соединение через cli
судя по всему udp не выигрывает в скорости, принципиально надо udp?Да, некоторые провайдера почему то не пропускают tcp сессию по OpenVPN поэтому используется 2.
Да в целом то не критично можно пользоваться и без dco без dco Keenetic адекватно понимает разрывы и правильно работает с keepalive 15 30
Но при включении enable-dco такое ощущение что параметр сервера keepalive 15 30 начинает игнорироваться, в логах сервера остается только то что сессия клиента закрыта, новых попыток авторизации от Keenetic не поступает, так что я склоняюсь в текущий момент к тому что проблема с использованием dco именно со стороны Keenetic роутера, т.к. к примеру другой сервер подключен так же по OpenVPN 2.6.13 + dcov2 отрабатывает перезагрузки сервера openvpn адекватно.
Вроде как в Keenetic используется схожая конфигурация.
Я в текущий момент tcp сессии оставил с dco для разгрузки процессора роутера. Т.к. загрузка процессора реально ниже при использовании dco даже на mips 7621
А udp оставил без dco, вдруг все таки удастся обнаружить проблему и исправить ее в дальнейшем.
По поводу pingcheck через cli понятное дело что будет работать без проблем если пинговать шлюз внутри openvpn тунеля, ip сервера закрыт по icmp запросам, а вот шлюз можно, и да такое будет работать т.к. логично что при рестарте соединения провайдера, Keenetic корректно разрывает сессию openvpn + dco UDP.
Но вот не понятно почему он не хочет ее разрываться без физического фактора как передергивание линка провайдера или перезапуск самого соединения OpenVPN. -
В 11.12.2024 в 12:04, Le ecureuil сказал:
Сколько была скорость до, и сколько после?
Вообщем удалось мне протестировать dco в разных конфигурациях на mips Keenetic Giant KN-2610 и arm роутере Keenetic Giga KN-1012
Есть как положительные моменты так и отрицательные.
При использовании dco на tcp сессии все работает отлично и проблем вообще никаких нет, при разрыве соединения все восстанавливается и скоростные показатели как на arm так и на mips роутере отличные. прошивка при тестировании была на обоих роутерах 4.2.6
Но вот возникли проблемы с udp сессией, при любом разрыве соединения роутер не понимает что сессия разорвалась и продолжает поддерживать мертвое подключение хотя сервер был перезапущен, если перезапустить интернет соединение сессия перезапускается и работает нормально. В логах при этом перестает идти kernel tun0: ovpn_peer_ping: sending ping to peer 1
По скорости mips по tcp скорость с 15 мбит/сек поднялась до 30 мбит/сек. По udp скорость с 15 мбит/сек поднялась до 25 мбит/сек
По скорости arm по tcp скорость с 91 мбит/сек поднялась до 160 мбит/сек(возможно упор в сервер или канал), по udp с 73 мбит/сек. поднялась до 155 мбит/сек.
Цифры понятное дело примерные т.к. отталкиваются от множества факторов.
На текущий момент dco можно без проблем использовать при tcp подключении, но с udp подключением есть явные проблемы, и скорее всего эти проблемы идут от роутера чем от сервера. -
45 минут назад, Le ecureuil сказал:
По UDP, вероятно, есть вопрос с фрагментацией. Попробуйте MTU поставить пониже на OpenVPN, скажем 1300.
На mips еще одну проблему заметил, зависание роутера при включенном dco.
Начал вчера тестировать работу WireGuard в схожей конфигурации.
И нужно было тушить OVPN включать аналогично и WG роутер зависал на мертво ребут только через CLI помогал. И как назло я не сохранил конфиг после включение debug на интерфейс чтобы посмотреть, и в логах и SelfLog логично что ничего нет...
Но тестировал я все это добро на старой доброй Ultra 2.
Сегодня протестирую на Giant тоже на mips может не совместимость какая либо с моим роутером...
Правда жаль что наши Keenetic при Wireguard подключении не дают авто-маршрутизацию при Allowed IPs отличающемся от стандартного 0.0.0.0/0, маршруты ручками нужно делать) -
3 часа назад, drugold сказал:
У KN-2610 CPU=MT7621AT (mipsel).
Да вот походу заметил, чет думал что он на arm... ошибся тогда чутка.
Тогда на arm щас нет устройства dco проверить. Но проверил на mips.
С DCO на mips разницы в скорости увы нет никакой, есть проблемы с подключением по UDP, но пока описать не могу в self-test чисто WinMTR потерь пакетов тоже не дает. Но к примеру если взять тест скорости или просто сайты все ок. Включаем YouTube будто бы связь с сервером каждые 5-7 секунд теряется. Оставил пока затею решил проверить TCP
По TCP проблем нет загрузка проца упала, скорость в пределах 20 мбит/сек.
В целом даже того что упала загрузка CPU это уже не плохо.
По UDP пока что я не разобрался куда копать и в чем может быть беда. -
28 минут назад, Le ecureuil сказал:
Тестировать стоит на arm. На mips все упрется или в eip93, или в низкую скорость CPU.
ну вот на mips я отключил DCO, т.к. при потоковых данных начинаются траблы с вечной подгрузкой и все начинает сильно тупить хотя разрывов в self-log не вижу. Завтра буду дома где стоит giant с arm процессором, для полноты картины там и протестирую.
-
Завтра протестирую Giant, там проц все таки по бодрее. Отпишусь по результату.
-
Увеличения скорости нет, но заметно снижена загрузка CPU. С 60-70% до 40 упала.
Такое ощущение что скорость на интерфейсе сама подрезана, как будто бы упирается ровно в 25 мбит +- -
14 минуты назад, Denis P сказал:
потому что там только настройки интерфейса, а не сам конфиг ovpn
Так действительно, я чет не то сделал походу
Да DCO завелся протестирую.
[I] Aug 28 13:33:52 OpenVPN0: DCO device tun1 opened -
А стоп щас скачал файл конфига enable-dco есть, странно почему в CLI через sh run не выдал. странно.
-
11 минуту назад, Denis P сказал:
добавил enable-dco в конфиг
ничего не потерялось, конфиг применился, интерфейс с dco поднялся
I [Aug 28 12:55:47] OpenVPN1: net_iface_new: add tun1 type ovpn-dco
I [Aug 28 12:55:47] OpenVPN1: DCO device tun1 opened
интерфейс tun1 наряду с ovpn_br1 присутстсвует, пакетики бегают.Прироста в скорости не замечено
Hopper SE fw 4.2b2
На какой прошивке тестировал? В конфиг к подключению добавил enable-dco?
OpenVPN и ipv6
в Развитие
Опубликовано
Да действительно interface OpenVPN0 ipv6 address auto спокойно помогло и все маршруты подгрузились ipv6 адрес получен роутером. Странно почему по умолчанию в прошивках не включено если полноценная поддержка по сути реализована.
Спасибо за информацию надеюсь в будущих прошивках уже добавят чтобы включалось автоматически)