Перейти к содержанию

Mnior

Участники форума
 Профиль  Обзор контента

  • Постов

    13

  • Зарегистрирован

  • Посещение

Оборудование

  • Кинетик
    Giga (KN-1010) UA

Посетители профиля

Блок последних пользователей отключён и не показывается другим пользователям.

Достижения Mnior

Пользователь

Пользователь (2/5)

1

Репутация

  1. Mnior
    Есть подозрение что нужно что-то похожее как тут: Wireguard, не уходит трафик от локальной сети к удаленным клиентам Но меня смущает то что приведённый там show ip nat адекватный в отличие от моего ... Связаная докуха
  2. Mnior
    Есть тут на форуме темы где это спрашивают: 8654: port-forwarding-через-vpn 4924: Помогите настроить port forwarding 12218: NAT на другую подсеть через WireGaurd-тунель (дубль) Несколько топиков где это через SSH хотят/спрашивают Были ещё более сложные вопросы с пробросом
  3. Mnior
    И чем всё закончилось? Проброс портов в другие интерфейсы всё? Сильно не бейте (не сильно разбираюсь), но когда смотрю show ip nat то вобще не понимаю что происходит - In/Out не сходится, зеркально, в случае указания IP из другой сети. Для локальной всё норм. PS: Буду рад если в двух словах опишите почему In/Out в show ip nat не всегда зеркален.
  4. Mnior
    Скорее всего правильнее поменять файл: /opt/etc/init.d/S42avahi-daemon yes на no: ENABLED=no Сработало: ~ # /opt/etc/init.d/rc.unslung restart Shutting down cupsd... done. Starting cupsd... done. Shutting down dbus-daemon... done. Starting dbus-daemon... done. Shutting down xinetd... done. Starting xinetd... done.
  5. Mnior
    Даже не знаю кому на что отвечать. Но есть проблема с этим avahi. В логах вижу такое Май 29 08:18:19 avahi-daemon[837] Host name conflict, retrying with XX_MyNetName_XX-40 Май 29 08:18:19 avahi-daemon[837] Registering new address record for 192.168.XXX.XXX on XXX_VPN_XXX.IPv4 Май 29 08:18:19 avahi-daemon[837] Registering new address record for XXX.XXX.XXX.XXX on XXXX.IPv4. Май 29 08:18:19 avahi-daemon[837] Registering new address record for 192.168.XXX.XXX (local) on br0.IPv4. Май 29 08:18:19 avahi-daemon[837] Registering new address record for 192.168.XXX.XXX on eth3.IPv4. Май 29 08:18:19 avahi-daemon[837] Registering new address record for XXX.WTF.???.XXX on ezcfg0.IPv4. Май 29 08:18:19 avahi-daemon[837] Registering new address record for 127.0.0.1 on lo.IPv4. Май 29 08:18:19 avahi-daemon[837] Registering HINFO record with values 'MIPS'/'LINUX'. И эта пачка крутится по кругу, увеличивая счётчик 40,41,42 ... до бесконечности, пока не остановишь avahi. Что-то неправильно сконфигурячено. Не конфликтует ли сам Keenetic c этим avahi в entware? (скорее глупость сморозил) Может есть более элегантное решение? Вот что ещё пишется, при запуске: Май 29 09:41:25 avahi-daemon[2234] WARNING: No NSS support for mDNS detected, consider installing nss-mdns! Май 29 09:41:25 avahi-daemon[2234] No service file found in /opt/etc/avahi/services. Май 29 09:41:25 avahi-daemon[2234] *** WARNING: Detected another IPv4 mDNS stack running on this host. This makes mDNS unreliable and is thus not recommended. *** В итоге я просто задизейблил avahi поменяв наугад такие строки в файле: /opt/etc/avahi/avahi-daemon.conf [Server] ... #use-ipv4=yes use-ipv4=no #use-ipv6=yes use-ipv6=no ... [publish] #publish-addresses=yes publish-addresses=no ... #publish-domain=yes publish-domain=no ... Перегрузил: /opt/etc/init.d/rc.unslung restart Оно конечно руганулось: Shutting down cupsd... done. Starting cupsd... done. Starting avahi-daemon... failed. Shutting down dbus-daemon... done. Starting dbus-daemon... done. Shutting down xinetd... done. Starting xinetd... done. Но для сетевой работы сканера оно не нужно (AirPrint не используется). Пакет avahi сидит тут насильно как dependency. Правильнее вообще исключить запуск avahi-daemon, но я не спец, нужно ковырять. Сейчас пробую оставить avahi рабочим, вернуть обратно только строку: use-ipv4=yes Видимо отлючение publish-addresses и publish-domain также работает. PS: Принтер итак работает нормально стандартными средствами Keenetic. Но обсуждение сильно приветствуется. Т.к. AirPrint наврено кому-то нужен и вероятно будут те же проблемы с "Host name conflict".
  6. Mnior
    Denis P Спасибо! Конструктор - это интересно. Самое главное что уже разбито первое впечатление 10 летней давности, когда я нифига не смог законфигурить nginx, хотя меня там пугали что он довольно непонятный ... И я таки воспользовался конфигом из nginx-extras, о чём писал выше. Меня больше удивило именно то что разбросанные по всему нету руководства, короткие на 5 минут чтения. И они полностью теряют смысл если надо докуху учить дня два. И второе, каждая вещь ограничена, имеет свои область применения и следовательно свои умолчания. Обычный чел если возьмёт тупо с сайта полный пример, то 90% ресурсов сожрёт то что вообще не используется. Если вообще взлетит, т.к. монструозный конфиг затребует того до чего по незнанию не догадаешься. В итоге я именно так и сделал, взял тяжеловесный nginx-extras вписал несколько строк того что мне нужно и забил. Забил потому что даже эти пару строк дались мне тяжело, т.к. каждая из них это просто обход багов/фичей, урезаных телевизоров, не доделенного модуля rtmp и куча всякий мелочей. И мне просто уже нету никакой мотивации сделать казалось бы банальную вещь, скопировать конфиги, откатиться на nginx-ssl порезать конфиг до минимума и обойти ещё пару "фичей", которые обязательно всплывут. Жаль что нельзя посмотреть историю пакетов и выяснить когда/если пропал файл в пакете. 😕
  7. Mnior
    Посмотрел разницу в пакетах nginx-ssl и nginx-extras. Таки в extras есть файл конфига ... Видимо с какой-то версии потерялся
  8. Mnior
    Тоже самое. Зря я новую тему создал, только сейчас нашёл что вами было уже озвучено.
  9. Mnior
    Во всех руководствах всё топорно: Просто поменяйте пару строк в файле конфига и будет счастье. И никто не показывает полный nginx.conf. И так 100500 руководств. И нигде нету, скопируй вот этот фал или сгенерируй его такой командой. Может всё таки кто-то выложит дефолтный, или ткнёт пальцем?
  10. Mnior
    Всё больше и больше склоняюсь к этому что несовместимо. https://community.openvpn.net/openvpn/ticket/1349 Почему я начал играться с "AES-256-GCM". Вот из-за этого: https://forums.openvpn.net/viewtopic.php?t=33536 Как я понял с клиентской стороны сделать практически ничего нельзя, какие либо логи можно получить в основном с серверной части. Там даже затрагивается что роутеры частенько неправильно параметры обрабатываю. Но это так, вряд ли оно к делу относится. И эта фигня лечится только с серверной стороны. 1. Типа нельзя указать что-то в клиенте, что бы как-то подстроиться под сервер. Только сервер может допускать вариации клиентов, при помощи этих особых параметров. 2. Возможно не все параметры OpenVPN поддерживает роутер (keenetic в частности). (compat-mode 2.4.6 - не катит) Возможно это такая политика именно OpenVPN. Может это специально так устроено. Что бы нагибать админов обновляться хаем "тупых" пользователей. Но это не всегда работает. А так как я знаю людей "с той стороны" (админы серверов) в этих двух конторках. То маловероятно что решить проблему удастся в скором времени. Пытаюсь пробиться, но как обычно горохом об ...
  11. Mnior
    Такая комбинашка на старом не идёт, только так cipher AES-256-CBC Думаю в этом и проблема, в новом версии оно не поддерживается, просто уже попадал на какой-то форму где заменяли на cipher AES-256-GCM Но там меняли и серверную часть. Пока склоняюсь к тому что надо заставить их сменить версию сервера.
  12. Mnior
    Оба клиента. Думаю что конфиги серверов не смогу достать. :`( Если есть чуйка хоть примерно где корявые, как вариант, то хоть что-то смогу начать пробывать/перебирать. А пока опять откатываюсь ...
  13. Mnior
    Mnior присоединился к сообществу
  14. Mnior
    Изначально читал что в 3.9 идёт упор на обновление OpenVPN. Так что оно как бэ было ожидаемо. Но была надежда что люди пользуют массово и фидбек быстро появиться и пофиксят. Но уже 3.9.4, а только тут одна ветка на форуме намекает что всё не так радужно. Так что уже ни на 3.9.5 ни на 100.500 версию надежды нет. Надеялся что логи ткнут на какой-то Deprecated, но нет. Connection reset, restarting [0] OpenVPN0: SIGTERM[soft,connection-reset] received, process exiting ndm: Service: "OpenVPN0": unexpectedly stopped. И назло оба OpenVPN-а что имею - оба одинаково отвалились. Мар 17 01:45:53 OpenVPN0 OpenVPN 2.6_git [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD] Мар 17 01:45:53 OpenVPN0 library versions: OpenSSL 3.0.8 7 Feb 2023, LZO 2.10 Мар 17 01:45:53 OpenVPN0 Socket Buffers: R=[87000->87000] S=[16000->16000] Мар 17 01:45:53 OpenVPN0 Attempting to establish TCP connection with [AF_INET]81.XXX.XX.XXX:YYYY Мар 17 01:45:53 OpenVPN0 TCP connection established with [AF_INET]81.XXX.XX.XXX:YYYY Мар 17 01:45:53 OpenVPN0 TCPv4_CLIENT link local: (not bound) Мар 17 01:45:53 OpenVPN0 TCPv4_CLIENT link remote: [AF_INET]81.XXX.XX.XXX:YYYY Мар 17 01:45:53 OpenVPN0 NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay Мар 17 01:45:53 OpenVPN0 TLS: Initial packet from [AF_INET]81.XXX.XX.XXX:YYYY, sid=00z00z00 00z0z000 Мар 17 01:45:53 OpenVPN0 VERIFY SCRIPT OK: depth=1, C=ZZ, ST=ZZ, L=City, O=XXX, CN=Name-CA Мар 17 01:45:53 OpenVPN0 VERIFY OK: depth=1, C=ZZ, ST=ZZ, L=City, O=XXX, CN=Name-CA Мар 17 01:45:53 OpenVPN0 VERIFY SCRIPT OK: depth=0, C=ZZ, ST=ZZ, L=City, O=XXX, CN=Name-SRV-OVPN Мар 17 01:45:53 OpenVPN0 VERIFY OK: depth=0, C=ZZ, ST=ZZ, L=City, O=XXX, CN=Name-SRV-OVPN Мар 17 01:45:54 OpenVPN0 Connection reset, restarting [0] Мар 17 01:45:54 OpenVPN0 SIGTERM[soft,connection-reset] received, process exiting Мар 17 01:45:54 ndm Service: "OpenVPN0": unexpectedly stopped. ----------------------------------------------------------------------------------- [I] Mar 17 01:28:27 OpenVPN1: OpenVPN 2.6_git [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD] [I] Mar 17 01:28:27 OpenVPN1: library versions: OpenSSL 3.0.8 7 Feb 2023, LZO 2.10 [I] Mar 17 01:28:28 OpenVPN1: Socket Buffers: R=[87000->87000] S=[16000->16000] [I] Mar 17 01:28:28 OpenVPN1: Attempting to establish TCP connection with [AF_INET]86.XXX.XX.XX:YYYY [I] Mar 17 01:28:28 OpenVPN1: TCP connection established with [AF_INET]86.XXX.XX.XX:YYYY [I] Mar 17 01:28:28 OpenVPN1: TCPv4_CLIENT link local: (not bound) [I] Mar 17 01:28:28 OpenVPN1: TCPv4_CLIENT link remote: [AF_INET]86.XXX.XX.XX:YYYY [I] Mar 17 01:28:28 OpenVPN1: NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay [I] Mar 17 01:28:28 OpenVPN1: TLS: Initial packet from [AF_INET]86.XXX.XX.XX:YYYY, sid=z0zz0z00 z00z000Z [I] Mar 17 01:28:28 OpenVPN1: VERIFY SCRIPT OK: depth=1, C=ZZ, ST=Country, L=City, O=The Name, OU=IT, CN=CA [I] Mar 17 01:28:28 OpenVPN1: VERIFY OK: depth=1, C=ZZ, ST=Country, L=City, O=The Name, OU=IT, CN=CA [I] Mar 17 01:28:28 OpenVPN1: VERIFY KU OK [I] Mar 17 01:28:28 OpenVPN1: Validating certificate extended key usage [I] Mar 17 01:28:28 OpenVPN1: ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication [I] Mar 17 01:28:28 OpenVPN1: VERIFY EKU OK [I] Mar 17 01:28:28 OpenVPN1: VERIFY SCRIPT OK: depth=0, C=ZZ, ST=Country, L=City, O=IThe Name, OU=IT, CN=Server [I] Mar 17 01:28:28 OpenVPN1: VERIFY OK: depth=0, C=ZZ, ST=Country, L=City, O=The Name, OU=IT, CN=Server [E] Mar 17 01:28:29 OpenVPN1: Connection reset, restarting [0] [I] Mar 17 01:28:29 OpenVPN1: SIGTERM[soft,connection-reset] received, process exiting [E] Mar 17 01:28:29 ndm: Service: "OpenVPN1": unexpectedly stopped. [I] Mar 17 01:28:29 ndm: Network::Interface::Base: "OpenVPN1": interface is down. Конечно текущее мировое бытие определяет общественное сознание, но надеюсь что ктось откликнется. Ткнёт на очевидные вещи полному профану в OpenVPN. А то как-то не хочется прилипнуть к 3.8.5 навсегда. client dev tun proto tcp-client remote 81.XXX.XX.XXX YYYY resolv-retry infinite nobind persist-key persist-tun ;cipher AES-256-CBC ;data-ciphers-fallback AES-256-CBC cipher AES-256-GCM auth SHA1 auth-nocache tls-client <auth-user-pass/> verb 3 pull route-delay 5 route 192.168.X.0 255.255.255.0 route 192.168.X.0 255.255.255.0 route 192.168.X.0 255.255.255.0 route 192.168.X.0 255.255.255.0 <ca/> <cert/> <key/> ----------------------------------------- client dev tun proto tcp remote 86.XXX.XX.XX YYYY resolv-retry infinite nobind persist-key persist-tun ;cipher AES-256-CBC ;data-ciphers-fallback AES-256-CBC cipher AES-256-GCM <auth-user-pass/> verb 3 remote-cert-tls server route X.XXX.XXX.XX 255.255.255.255 vpn_gateway <ca/> <cert/> <key/> Цыферики некоторые прикрыл, может даже черезчур. На счёт cipher. Это я игрался, изначально было просто "cipher AES-256-CBC", разница лишь в варнинге: DEPRECATED OPTION: --cipher set to 'AES-256-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305). OpenVPN ignores --cipher for cipher negotiations. Возможно в этом и трабла, шо AES-256-CBC не поддерживает и никак с ним невозможно поднять (только бесполезно просить поменять сервер). Но хотелось бы явного пинка в нужное место где это написано (хоть как-то прикрываться ею). Но странно что соффременные прогеры это подразумевают в очень информативной ошибке "unexpectedly stopped". Если ошибся форумом, звиняйте и маякните куды лучше податься. Заранее спасибо.
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю