Вопросы по интеграции OpenVPN в NDMS

[Le ecureuil]

1 минуту назад, drk сказал:

Поддержка на то и поддержка. 😃

Home и Home ISP - это универсальные наименования интерфейсов?

Да, вероятно нужно отключть NAT только для OpenVPN, оставив доступ с LAN\Wi-Fi и в туннель и в интернет.

Приведенные вами и поддержкой команды, как писал выше, делают интернет недоступным

Покажите тогда self-test с введенными этими командами, посмотрим что не так.

[drk]

52 минуты назад, Le ecureuil сказал:

Покажите тогда self-test с введенными этими командами, посмотрим что не так.

Теструю в сети 10.0.7.0/24.

После применения

no ip nat Home

ip static Home ISP

Хосты за OVPN доступны. Интернета в 10.0.7.0/24 нет.

self-test приложен.

Спасибо за помощь!

 

[Le ecureuil]

14 минуты назад, drk сказал:

Теструю в сети 10.0.7.0/24.

После применения

no ip nat Home

ip static Home ISP

Хосты за OVPN доступны. Интернета в 10.0.7.0/24 нет.

self-test приложен.

Спасибо за помощь!

Такс, а вот и ответ.

Поскольку вы явно не акцентировали, что у вас WAN это WISP, то и команду дали вам немного неточную.

Попробуйте
> ip static Home WifiMaster0/WifiStation0

[drk]

16 minutes ago, Le ecureuil said:

что у вас WAN это WISP

Это тестовый сетап, раздаю интернет с телефона. На площадке будет PPPOE или IPOE.

Спасибо! Теперь все работает для LAN -  и доступ в сеть за OVPN сервером, и интернет.

Позволю сразу пару вопросов:

1.При смене WAN мне нужно будет выполнить

ip static Home

для нужного интерфейса вместо  WifiMaster0/WifiStation0, так?

2. Планируется выделенный сегмент в котором будет только доступ в интернет из LAN и Wi-Fi этого сегмента. Потребуются для этого корректировки в CLI?

Еще раз большое спасибо!

 

Изменено 23 ноября, 2021 пользователем drk

[Le ecureuil]

35 минут назад, drk сказал:

Это тестовый сетап, раздаю интернет с телефона. На площадке будет PPPOE или IPOE.

Спасибо! Теперь все работает для LAN -  и доступ в сеть за OVPN сервером, и интернет.

Позволю сразу пару вопросов:

1.При смене WAN мне нужно будет выполнить

ip static Home

для нужного интерфейса вместо  WifiMaster0/WifiStation0, так?

2. Планируется выделенный сегмент в котором будет только доступ в интернет из LAN и Wi-Fi этого сегмента. Потребуются для этого корректировки в CLI?

Еще раз большое спасибо!

 

1. Да, выполните эту команду для нового WAN и дело в шляпе.

2. По идее нет. Если вы для него явно не выключите ip nat <new segment>, то все заработает сразу.

[drk]

3 hours ago, Le ecureuil said:

Да, выполните эту команду для нового WAN и дело в шляпе.

Да, все именно так, работает. Еще раз спасибо.

Если можно, еще🙂:

1. Для резервного канала я ведь тоже могу выполнить:

ip static Home %нужный_интерфейс% ?

2. Всё это будет работать в mesh?

[Le ecureuil]

12 часа назад, drk сказал:

Да, все именно так, работает. Еще раз спасибо.

Если можно, еще🙂:

1. Для резервного канала я ведь тоже могу выполнить:

ip static Home %нужный_интерфейс% ?

2. Всё это будет работать в mesh?

 Да.

[drk]

On 11/24/2021 at 9:54 AM, Le ecureuil said:

 Да.

Чтобы вернуть настройки на дефолтные,если понадобиться, нужно выполнить:

no ip static Home %нужный_интерфейс%
ip nat Home

Так?

[Le ecureuil]

1 час назад, drk сказал:

Чтобы вернуть настройки на дефолтные,если понадобиться, нужно выполнить:

no ip static Home %нужный_интерфейс%
ip nat Home

Так?

Верно.

[SSTP]

В 01.10.2021 в 17:48, Le ecureuil сказал:

Я лично жду версии 2.6, чтобы сразу с dco все добавить. Если сейчас добавлять на месяца-полтора 2.5, а потом снова 2.6 - это лишняя работа. Прошу немного обождать

Слишком рано говорить, но мы надеемся сделать это быстрее, чем 2.4 и 2.5, поэтому ориентировочно:

• весь обязательный код (кроме подтверждения TLS): конец декабря 2021 г.
• Кандидаты в РК: январь / февраль? 2022 г.
• Релиз 2.6.0: март 2022 г.

И не факт что в марте будет . лучше бы Keenetic добавили 2.5.4 щас и на долго бы хватило 

Изменено 28 ноября, 2021 пользователем SSTP

[Le ecureuil]

7 часов назад, SSTP сказал:

Слишком рано говорить, но мы надеемся сделать это быстрее, чем 2.4 и 2.5, поэтому ориентировочно:

• весь обязательный код (кроме подтверждения TLS): конец декабря 2021 г.
• Кандидаты в РК: январь / февраль? 2022 г.
• Релиз 2.6.0: март 2022 г.

И не факт что в марте будет . лучше бы Keenetic добавили 2.5.4 щас и на долго бы хватило 

Вполне себе нормальный срок, чтобы мы могли рассчитывать на 3.9 к примеру.

[Le ecureuil]

Текущая версия 2.4.6 добавлена в июне 2018, потому подождать еще 3-4 месяца не будет сколь-либо фатальным.

[SSTP]

1 час назад, Le ecureuil сказал:

Вполне себе нормальный срок

не чего не нормально ! в бесплатных ПО уже давно обновлено . а с таким ценником программисты Keenetic не как не мог обновить . 

 

1 час назад, Le ecureuil сказал:

мы могли рассчитывать на 3.9 к примеру

3.9 года так через 2 может будет . и не факт что обнову эту получат роутеры нынешние бюджетные 

Изменено 29 ноября, 2021 пользователем SSTP

[SSTP]

4 минуты назад, Le ecureuil сказал:

потому подождать еще 3-4 месяца не будет сколь-либо фатальным

через 4 мес я уверен что 2.6 не будет через год может быть а потом жди когда добавить Keenetic + еще 1 год 

Изменено 29 ноября, 2021 пользователем SSTP

[Le ecureuil]

Кроме tlscrypt-v2 что там еще такого горящего в 2.5?

[SSTP]

16 минут назад, Le ecureuil сказал:

Кроме tlscrypt-v2 что там еще такого горящего в 2.5

chachapoly нету ! не говоря уже о безопасности! в старых думаю дыр много !

Изменено 29 ноября, 2021 пользователем SSTP

[Le ecureuil]

55 минут назад, SSTP сказал:

chachapoly нету ! не говоря уже о безопасности! в старых думаю дыр много !

Есть, бекпортировано и работает, две страницы назад тесты выложены.

Все исправления безопасности тоже я сразу заношу, благо их было всего два за это время.

[SSTP]

10 часов назад, Le ecureuil сказал:

Есть, бекпортировано и работает, две страницы назад тесты выложены.

ок еще проверю . 

 

10 часов назад, Le ecureuil сказал:

Все исправления безопасности тоже я сразу заношу

tls-crypt2 более безопаснее чем первый . а это вы добавляете новую версию ? тогда думаю вам легко будет добавить новую версию !

 

Команда проекта сообщества OpenVPN с гордостью выпускает OpenVPN 2.4.11. Он исправляет две связанные уязвимости безопасности (CVE-2020-15078), которые при очень определенных обстоятельствах позволяют обмануть сервер, используя отложенную аутентификацию (плагин или управление), чтобы он возвращал PUSH_REPLY перед сообщением AUTH_FAILED, которое может быть использовано для сбора информации о VPN. настраивать. Этот выпуск также включает другие исправления ошибок и улучшения.

 

Изменено 29 ноября, 2021 пользователем SSTP

[SSTP]

Админы когда обновите уже openvpn до 2.5.6 очень отстаете

[Mixin]

Тема-то про OpenVPN, что у вас аналогичного? Да и лог показать не мешало бы. 

[Configurator]

16 минут назад, Mixin сказал:

Тема-то про OpenVPN, что у вас аналогичного? Да и лог показать не мешало бы. 

То, что сервис один и тот же. Ни OpenVpn, ни L2TP \ IPsec не заводятся. Лог приложил

L2TP IPSec log.txt

[Mixin]

Для IPSEC/L2TP есть отдельная тема, вообще говоря. И в вашем случае, вам не отвечает та сторона, у нее и нужно спрашивать.

[zhartaunik]

Порекомендуйте какой-нибудь ВПН который настроится на роутере без проблем? Пробовал 2 сервиса, суппорт этих сервисов не смогли побороть проблему. Соединение вроде установлено, но IP адрес у меня по прежнему текущий.

[Кинетиковод]

1 час назад, zhartaunik сказал:

но IP адрес у меня по прежнему текущий.

Приоритет надо поменять.

[zhartaunik]

А можно подробнее, что имеется ввиду?

[loginella]

https://help.keenetic.com/hc/ru/articles/360000521799-Приоритеты-подключений

[zhartaunik]

8 часов назад, loginella сказал:

https://help.keenetic.com/hc/ru/articles/360000521799-Приоритеты-подключений

Большое спасибо, помогло! В прошивку я бы добавил сообщение, мол когда вы настроите ВПН, его нужно сделать приоритетным. Т.к. это ни разу не очевидно

[loginella]

15 часов назад, zhartaunik сказал:

В прошивку я бы добавил сообщение, мол когда вы настроите ВПН, его нужно сделать приоритетным

Зачем, если есть целая статья с картинками? И не одна. Пример: https://help.keenetic.com/hc/ru/articles/360012067279-Доступ-в-Интернет-через-VPN-провайдера-по-протоколу-WireGuard

[Кинетиковод]

18 часов назад, zhartaunik сказал:

когда вы настроите ВПН, его нужно сделать приоритетным

Кто сказал что нужно? Кому-то нужно, а кому-то не совсем.

[zhartaunik]

18 часов назад, Кинетиковод сказал:

Кто сказал что нужно? Кому-то нужно, а кому-то не совсем.

Вы не поняли мою мысль. 

Я говорю о том, что процесс установки приорететов и в принципе его существование - ну вообще не очевидно.

Следовательно человеку, который настраивает OpenVPN полезно знать, что после настройки для того чтобы заколосилось - нужно провести дополнительные настройки.