Вопросы по интеграции OpenVPN в NDMS

[zhartaunik]

  В 17.04.2022 в 12:39, Кинетиковод сказал:

Кто сказал что нужно? Кому-то нужно, а кому-то не совсем.

Показать  

Вы не поняли мою мысль. 

Я говорю о том, что процесс установки приорететов и в принципе его существование - ну вообще не очевидно.

Следовательно человеку, который настраивает OpenVPN полезно знать, что после настройки для того чтобы заколосилось - нужно провести дополнительные настройки.

[vk11]

  В 16.04.2022 в 18:26, zhartaunik сказал:

В прошивку я бы добавил сообщение, мол когда вы настроите ВПН, его нужно сделать приоритетным. Т.к. это ни разу не очевидно

Показать  

А кто сказал, что это нужно - делать его приоритетным? 😄

[vk11]

  В 18.04.2022 в 06:57, zhartaunik сказал:

Следовательно человеку, который настраивает OpenVPN полезно знать, что после настройки для того чтобы заколосилось - нужно провести дополнительные настройки.

Показать  

Ему не полезно, а необходимо это знать. Что делаешь, зачем и как.

[zhartaunik]

  В 18.04.2022 в 11:40, vk11 сказал:

Ему не полезно, а необходимо это знать. Что делаешь, зачем и как.

Показать  

А откуда ему простите об этом узнать?)

 

  В 18.04.2022 в 11:38, vk11 сказал:

А кто сказал, что это нужно - делать его приоритетным? 😄

Показать  

А это уже аккордеон, выше было.

[loginella]

  В 18.04.2022 в 11:42, zhartaunik сказал:

А откуда ему простите об этом узнать?)

Показать  

https://help.keenetic.com/hc/ru

[zhartaunik]

Скажите по вашему очевидный UX - это недостаток? Или к чему кидаться документацией, если сами страницы могут быть самодокументирвоанными?) Или предложение добавить этот нотис как-то перегрузит страницу или спор ради спора?

Я лишь указал на то, что это неудобно. Я дурил голову одному суппорту ВПНа, дурил другому, а после оказалось что вся проблема в какой-то неочевидной настройке, которую по вашему нужно было копать где-то в недрах хелпов. Причем интерфейс роутра ну вот честно 10 из 10, всё очевидно, удобно и под рукой.

[loginella]

  В 18.04.2022 в 12:00, zhartaunik сказал:

которую по вашему нужно было копать где-то в недрах хелпов

Показать  

Это не по-моему: это - стандартная практика начинать с чтения инструкции. А в Базе Знаний Центра Поддержки этих инструкций, подробных, актуальных да с картинками, - предостаточно.

  В 18.04.2022 в 12:00, zhartaunik сказал:

этот нотис как-то перегрузит страницу

Показать  

Да. Кроме того, он будет сбивать с толку: или создаётся отдельный профиль и туда помещается как основное соединение интересующий VPN, или в основном профиле VPN интересующий делают основным. Это - как кому удобно, и единственно правильного решения нет, хоть Вам и кажется иначе. Ваш случай - частный: Вам - надо делать VPN основным, но в ряде случае это, наоборот, не надо. Потому есть База Знаний, где все случаи описаны, и можно, почитав разные варианты и способы их реализации, выбрать для себя подходящий.

[loginella]

  В 18.04.2022 в 12:00, zhartaunik сказал:

Или к чему кидаться документацией, если сами страницы могут быть самодокументирвоанными?)

Показать  

Когда все Кинетики будут собираться на многоядерных ARM-процессорах, Ваше предложение, возможно, увидит реализацию. Но не раньше.

[zhartaunik]

Может мы не понимаем друг друга. Я не совсем понимаю как многоядерность процессоров влияет на добавление такой вот строчки на страницу?

Заколхозил отредактировав html.

 

[Кинетиковод]

  В 18.04.2022 в 13:41, zhartaunik сказал:

Может мы не понимаем друг друга.

Показать  

Соединения использующиеся для выхода в интернет отображаются на главной странице в соответствии с их приоритетами. Верхнее основное и для него рисуется график скорости. Те что не используются находятся в резерве о чём на них и написано. Чего тут непонятного?

[zhartaunik]

Открыл, поменял приоритеты обратно, увидел. Действительно с этого экрана всё понятно. И нажав на ссылку "Интернет" - переносит на эти приоритеты.

Возможно если бы открыл домашку и присмотрелся - то действительно бы всё понял. Я говорю UX у модема прекрасен. 

Но в то же время расскаызваю как было. Покупаю один ВПН, настраиваю сам - не работает, напрягаю их суппорт - мучались час или два - не побороли, сделали мне рефанд. Логи читали и всё такое. Админ знакомый помогал (который мне этот роутер порекомендовал) - не побороли. 

Постучался в другой ВПН сервис, там промучались. Уже вроде собирались тоже рефанд делать, как здесь на форуме помогли. 

Я это всё к тому, что от той подсказки, которую я предложил - явно никому хуже не будет. Не то что бы я из тех, кто стоит на своем до конца, но говорю реальную историю. Не всё бывает очевидно. Настроил соединение, пишет "Готово", но при этом IP адрес рисует как старый.

[loginella]

  В 18.04.2022 в 18:43, zhartaunik сказал:

Не всё бывает очевидно.

Показать  

И не всегда бывает полезно. Потому и существует База Знаний.

[drk]

Не очень понятно, правда, почему на исходящем интерфейсе клиента Open VPN по умолчанию включается NAT.

Очень помешало при создании соединения site-to-site.

[Le ecureuil]

  В 22.04.2022 в 07:52, drk сказал:

Не очень понятно, правда, почему на исходящем интерфейсе клиента Open VPN по умолчанию включается NAT.

Очень помешало при создании соединения site-to-site.

Показать  

Потому что это дефолтная настройка при создании любого клиентского VPN-соединения.

[drk]

  В 22.04.2022 в 11:56, Le ecureuil сказал:

Потому что это дефолтная настройка при создании любого клиентского VPN-соединения.

Показать  

Дефолтная для Кинетик?

[Le ecureuil]

  В 27.04.2022 в 08:18, drk сказал:

Дефолтная для Кинетик?

Показать  

А что мы на этом форуме обсуждаем?

[drk]

  В 27.04.2022 в 12:01, Le ecureuil сказал:

А что мы на этом форуме обсуждаем?

Показать  

Логично. Кинетик.

  В 22.04.2022 в 11:56, Le ecureuil сказал:

это дефолтная настройка при создании любого клиентского VPN-соединения.

Показать  

В настройках VPN-соединений есть настройка "Использовать для выхода в интернет" Разве не она должна включать NAT?

 

[loginella]

  В 27.04.2022 в 12:32, drk сказал:

Разве не она должна включать NAT?

Показать  

Она его и включает.

[drk]

  В 27.04.2022 в 12:37, loginella сказал:

Она его и включает.

Показать  

То есть нет галки  на "Использовать для выхода в интернет" - NAT не включен.

 "Использовать для выхода в интернет" не включал. Почему же тогда возникла ситуация, за помощь в решении которой я Le ecureuil бесконечно благодарен?

 

Изменено 27 апреля, 2022 пользователем drk

[r13]

  В 27.04.2022 в 13:05, drk сказал:

То есть нет галки  на "Использовать для выхода в интернет" - NAT не включен.

 "Использовать для выхода в интернет" не включал. Почему же тогда возникла ситуация, за помощь в решении которой я Le ecureuil бесконечно благодарен?

 

Показать  

Не, эта галка включает возможность быть default route для интерейса.

А нат включает галка в private/protected сегментах, например в настройке домашней сети.

[Le ecureuil]

Все верно, галка про "использовать для выхода" включает только default route, а nat всегда включен по-умолчанию.

[fgsfds]

Где в ФС роутера хранится конфиг подключения OpenVPN, и можно ли с ним взаимодействовать через CLI?

[R0cky]

  В 28.02.2020 в 14:49, Le ecureuil сказал:

https://airvpn.org/forums/topic/45724-chacha-on-gnome-network-manager/?do=findComment&comment=102838
Вот пример рабочего конфига

Показать  

С этим конфигом соединение устанавливается, но в лог сыпятся сообщения:

WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1535', remote='link-mtu 1602'
Май 22 13:29:16
OpenVPN0
WARNING: 'cipher' is used inconsistently, local='cipher CHACHA20-POLY1305', remote='cipher AES-256-CBC'
Май 22 13:29:16
OpenVPN0
WARNING: 'auth' is used inconsistently, local='auth [null-digest]', remote='auth SHA512' 

То есть туннель работает некорректно если на сервере стоит 2.5 (как и есть уже практически у все впн провайдеров), а у клиента, желающего использовать чачу стоит устаревшая версия 2.4. Толку от "бэкпорта" CHACHA20-POLY1305 в эту версию немного, если она все равно не умеет работать с командой data-ciphers

[Mixin]

  В 22.05.2022 в 08:34, R0cky сказал:

С этим конфигом соединение устанавливается, но в лог сыпятся сообщения:

Показать  

А по какой причине нельзя исправить эти три параметра, о которых вам железка сообщает?

[R0cky]

  В 22.05.2022 в 14:28, Mixin сказал:

А по какой причине нельзя исправить эти три параметра, о которых вам железка сообщает?

Показать  

Все эти ошибки возникают, если принудительно выбрать CHACHA20-POLY1305 в качестве алгоритма шифрования. Сервер (airvpn) это не принимает, со своей стороны выставляет медленный AES-256-CBC, а остальные ошибки производны от этого не соответствия. Толковая поддержка CHACHA20-POLY1305 появилась только в версии 2.5, а нам тут про кривые бэкпорты рассказывают который месяц. И да, это критично, поскольку в процессорах роутеров пока нет поддержки инструкций aes-ni.

[Mixin]

  В 22.05.2022 в 15:20, R0cky сказал:

Все эти ошибки возникают, если принудительно выбрать CHACHA20-POLY1305 в качестве алгоритма шифрования. Сервер (airvpn) это не принимает, со своей стороны выставляет медленный AES-256-CBC, а остальные ошибки производны от этого не соответствия.

Показать  

Зачем вы выставляете на клиенте то, что сервер не поддерживает? Тут нужно либо сменить сервер под свои желания, либо смириться. Роутер тут вообще при чем или я что-то не так понял?

Изменено 22 мая, 2022 пользователем Mixin

[Mixin]

  В 22.05.2022 в 15:20, R0cky сказал:

Толковая поддержка CHACHA20-POLY1305 появилась только в версии 2.5

Показать  

Вы даете ссылку на форум 2019 года, где все как бы работает. Дело ли в версии?

[R0cky]

  В 22.05.2022 в 16:51, Mixin сказал:

Зачем вы выставляете на клиенте то, что сервер не поддерживает? Тут нужно либо сменить сервер под свои желания, либо смириться. Роутер тут вообще при чем или я что-то не так понял?

Показать  

Вы предлагаете поменять платную подписку на airvpn на что нибудь другое только из за того, что новейшая модель роутера keenetic в свой прошивке содержит старую версию openvpn, которая не имеет нормальной поддержки алгоритма CHACHA20-POLY1305 предназначенного как раз для таких устройств  как роутеры?

[R0cky]

  В 22.05.2022 в 16:58, Mixin сказал:

Вы даете ссылку на форум 2019 года, где все как бы работает. Дело ли в версии?

Показать  

все просто - в 2019 не было Openvpn версии 2.5. Соответственно тогда этот конфиг был актуален. Сейчас (если на сервере openvpn версия 2.5) требуется команда data-ciphers, которую актуальная прошивка не поддерживает.

[Mixin]

  В 22.05.2022 в 17:42, R0cky сказал:

все просто - в 2019 не было Openvpn версии 2.5. Соответственно тогда этот конфиг был актуален. Сейчас (если на сервере openvpn версия 2.5) требуется команда data-ciphers, которую актуальная прошивка не поддерживает.

Показать  

Тогда, видимо, нужно попробовать opkg с нужной версией.