Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Официальное хранилище ПО в виде файлов

Вопросы по интеграции OpenVPN в NDMS

KorDen
 Поделиться

Рекомендуемые сообщения

mephistophel Новичок

mephistophel

Опубликовано
Опубликовано

Может ли кто-нибудь поделится данными по производительности Keenetic при использовании в качестве клиента OpenVPN?

Более всего интересуют модели:

1) Keenetic Omni (KN-1410, MT7628N)
2) Keenetic Giga (KN-1010,  MT7621A)
3) Keenetic Giga III (MT7621S)

Как сильно сказывается на производительности изменение cipher с AES-128-CBC на AES-256-CBC и auth SHA-256?

 

  • Ответов 769
  • Создана
  • Последний ответ

Топ авторов темы

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

Le ecureuil
Le ecureuil

Небольшие новости. По результатам моих тестов выяснилась такая картина :   7621 7513 7628 NONE 68

Le ecureuil
Le ecureuil

Я уже пробовал dco в январе 2021, и на тот момент там было очень "сыро" + в ветке ovpn 2.x не было поддержки, я ее приделал сам, но все равно там далеко от того, что можно показать пользователям было.

Le ecureuil
Le ecureuil

Окольным путем это возможно: - создаете профиль доступа, где есть только openvpn как wan, а остальных нет - туда добавляете нужные устройства В профилях доступа используются только dns, полу

Изображения в теме

Le ecureuil NetFriend

Le ecureuil

Опубликовано
Опубликовано
  В 14.04.2018 в 07:56, mephistophel сказал:

Может ли кто-нибудь поделится данными по производительности Keenetic при использовании в качестве клиента OpenVPN?

Более всего интересуют модели:

1) Keenetic Omni (KN-1410, MT7628N)
2) Keenetic Giga (KN-1010,  MT7621A)
3) Keenetic Giga III (MT7621S)

Как сильно сказывается на производительности изменение cipher с AES-128-CBC на AES-256-CBC и auth SHA-256?

 

Показать  

Omni довольно печален - до 7-8 Мбит/с. Устройства на 7621 могут показать до 15 Мбит/с.

Да, чем круче шифрование, тем меньше скорость. Именно поэтому для слабых устройств и тех, кому важна именно скорость я оставил возможность настроить blowfish и md5 - то примерно в 2 раза быстрее AES/SHA2.

Ждем новую версию openvpn + openssl с chacha20-poly1305, он будет безопасен как AES256/SHA256, но быстрее от 2 до 3 раз.

  • Спасибо 1
Сергей Молоков Продвинутый пользователь

Сергей Молоков

Опубликовано
Опубликовано

Keenetic Extra II 2.12.A.5.0-4

В конфиге клиента:

remote xxx.xxx.xxx.xxx

remote yyy.yyy.yyy.yyy

При отсутствии доступа на xxx.xxx.xxx.xxx, попыток подключиться на yyy.yyy.yyy.yyy нет

Думаю на прошивках ранее, так же, не было времени разобраться, сейчас уже напрягает

Le ecureuil NetFriend

Le ecureuil

Опубликовано
Опубликовано
  В 16.04.2018 в 03:39, Сергей Молоков сказал:

Keenetic Extra II 2.12.A.5.0-4

В конфиге клиента:

remote xxx.xxx.xxx.xxx

remote yyy.yyy.yyy.yyy

При отсутствии доступа на xxx.xxx.xxx.xxx, попыток подключиться на yyy.yyy.yyy.yyy нет

Думаю на прошивках ранее, так же, не было времени разобраться, сейчас уже напрягает

Показать  

А оно так разве должно работать на обычном linux? Приведите-ка пример в виде статьи с описанием настройки.

dvg_lab Продвинутый пользователь

dvg_lab

Опубликовано
Опубликовано (изменено)

Тестирую скорость, клиент на Extra II (2.12.A.5.0-4) WAN статика 100Мб и сервер на FreeBSD 11.1 (OpenVPN 2.4.5) 1 Гбит  фактически подключены к одному свитчу, показывает скорость закачки в районе 1Мб, это так и должно быть или я где-то чего-то недокрутил? В обход OpenVPN с того же сервера скорость честные 100Мбит. Конфиг сервера

  Показать контент

Конфиг клиента 

  Показать контент

 

И что странно, при применении параметров chipher none и ncp-disable скорость вырастает всего до 16 мегабит... 

Изменено пользователем dvg_lab
Сергей Молоков Продвинутый пользователь

Сергей Молоков

Опубликовано
Опубликовано
  В 16.04.2018 в 07:33, Le ecureuil сказал:

А оно так разве должно работать на обычном linux? Приведите-ка пример в виде статьи с описанием настройки.

Показать  

Извиняюсь, за не понимание темы :(

У меня более двадцати клиентов было под windows_xp, данная настройка на них работала исправно,

сейчас почти всех перенес на кинетики, рассчитывал, что будет так же. Сегодня основная линия отключилась и смотрю, что на резерв переключились только windows_xp клиенты.

Я с linux не знаком, поэтому не в теме, сорри. Скажите, получается при недоступности одного канала нельзя подключиться к другому?

Le ecureuil NetFriend

Le ecureuil

Опубликовано
Опубликовано
  В 16.04.2018 в 09:03, dvg_lab сказал:

Тестирую скорость, клиент на Extra II (2.12.A.5.0-4) WAN статика 100Мб и сервер на FreeBSD 11.1 (OpenVPN 2.4.5) 1 Гбит  фактически подключены к одному свитчу, показывает скорость закачки в районе 1Мб, это так и должно быть или я где-то чего-то недокрутил? В обход OpenVPN с того же сервера скорость честные 100Мбит. Конфиг сервера

  Показать контент

Конфиг клиента 

  Показать контент

 

И что странно, при применении параметров chipher none и ncp-disable скорость вырастает всего до 16 мегабит... 

Показать  

На Extra? Все ожидаемо, проц слабый, пакеты мелкие и их много...

Le ecureuil NetFriend

Le ecureuil

Опубликовано
Опубликовано
  В 16.04.2018 в 09:15, Сергей Молоков сказал:

Извиняюсь, за не понимание темы :(

У меня более двадцати клиентов было под windows_xp, данная настройка на них работала исправно,

сейчас почти всех перенес на кинетики, рассчитывал, что будет так же. Сегодня основная линия отключилась и смотрю, что на резерв переключились только windows_xp клиенты.

Я с linux не знаком, поэтому не в теме, сорри. Скажите, получается при недоступности одного канала нельзя подключиться к другому?

Показать  

По идее этот фукционал должен работать как в ванильном клиенте. Почему не работает - другой вопрос. Просьба повторить натурный эксперимент, при этом снять self-test с вариантом когда не произошло переключения на резерв.

Хотя я примерно догадываюсь о возможной сути - после того, как соединение разорвалось обычный openvpn остается жив и продолжает путь по списку дальше, наш же openvpn гасится совсем и стартует заново.

Подумаем, что можно с этим сделать.

dvg_lab Продвинутый пользователь

dvg_lab

Опубликовано
Опубликовано
  В 16.04.2018 в 18:31, Le ecureuil сказал:

На Extra? Все ожидаемо, проц слабый, пакеты мелкие и их много...

Показать  

Понял, уже заказал пару Ultra II... надеюсь выжать поболее, хотелось бы мегабит 30 хотябы...

Le ecureuil NetFriend

Le ecureuil

Опубликовано
Опубликовано
  В 16.04.2018 в 18:38, dvg_lab сказал:

Понял, уже заказал пару Ultra II... надеюсь выжать поболее, хотелось бы мегабит 30 хотябы...

Показать  

Если у вас в приоритете скорость - смотрите на cipher BF-CBC.

  • Спасибо 1
Quadro Rover Пользователь

Quadro Rover

Опубликовано
Опубликовано

У всех в приоритете скорость. Добавьте SoftEtherVPN сервер с космическими скоростями, ovpn в сравнении с ним маленькая улитка. Там на всё уже клиенты есть, и ovpn он тоже поднимать может.

Он уже достаточно развился, скоро пятая версия.

  • Лайк 1
dvg_lab Продвинутый пользователь

dvg_lab

Опубликовано
Опубликовано
  В 17.04.2018 в 05:18, Quadro Rover сказал:

У всех в приоритете скорость. Добавьте SoftEtherVPN сервер с космическими скоростями, ovpn в сравнении с ним маленькая улитка. Там на всё уже клиенты есть, и ovpn он тоже поднимать может.

Он уже достаточно развился, скоро пятая версия.

Показать  

Имхо сервер в таких железках на данном этапе это баловство. А вот скоростной клиент это в приоритете. Как у SoftEther с этим? Я так понимаю там свой клиент, совместимый с OpenVPN.

  • Лайк 1
Le ecureuil NetFriend

Le ecureuil

Опубликовано
Опубликовано
  В 17.04.2018 в 05:18, Quadro Rover сказал:

У всех в приоритете скорость. Добавьте SoftEtherVPN сервер с космическими скоростями, ovpn в сравнении с ним маленькая улитка. Там на всё уже клиенты есть, и ovpn он тоже поднимать может.

Он уже достаточно развился, скоро пятая версия.

Показать  

Есть исследования, как ведет себя SE и OpenVPN на MIPS32R2 с 64М ОЗУ и 580 МГц процессором? Иначе это пока голословные заявления про "космические скорости".

pigovina Продвинутый пользователь

pigovina

Опубликовано
Опубликовано

Прошу помочь.

Не устанавливается Open VPN с Keenetci (сlient) к Mikrotik (server).

Лог с Keenetic:

Apr 24 22:42:07OpenVPN0OpenVPN 2.4.4 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD]
Apr 24 22:42:07OpenVPN0library versions: OpenSSL 1.1.0h  27 Mar 2018, LZO 2.10
Apr 24 22:42:07OpenVPN0using default password "password" for pkcs file
Apr 24 22:42:07OpenVPN0Control Channel MTU parms [ L:1655 D:1210 EF:40 EB:0 ET:0 EL:3 ]
Apr 24 22:42:07OpenVPN0Data Channel MTU parms [ L:1655 D:1450 EF:123 EB:411 ET:32 EL:3 ]
Apr 24 22:42:07OpenVPN0Local Options String (VER=V4): 'V4,dev-type tap,link-mtu 1575,tun-mtu 1532,proto TCPv4_CLIENT,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Apr 24 22:42:07OpenVPN0Expected Remote Options String (VER=V4): 'V4,dev-type tap,link-mtu 1575,tun-mtu 1532,proto TCPv4_SERVER,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Apr 24 22:42:07OpenVPN0Socket Buffers: R=[87380->87380] S=[16384->16384]
Apr 24 22:42:07OpenVPN0Attempting to establish TCP connection with [AF_INET]78.107.91.221:443 [nonblock]
Apr 24 22:42:08OpenVPN0TCP connection established with [AF_INET]78.107.91.221:443
Apr 24 22:42:08OpenVPN0TCP_CLIENT link local: (not bound)
Apr 24 22:42:08OpenVPN0TCP_CLIENT link remote: [AF_INET]78.107.91.221:443
Apr 24 22:42:08OpenVPN0NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
Apr 24 22:42:08OpenVPN0TLS: Initial packet from [AF_INET]78.107.91.221:443, sid=fc9595a0 b275e19b
Apr 24 22:42:08OpenVPN0VERIFY SCRIPT OK: depth=1, CN=test-CA
Apr 24 22:42:08OpenVPN0VERIFY OK: depth=1, CN=test-CA
Apr 24 22:42:08OpenVPN0VERIFY SCRIPT OK: depth=0, CN=test-srv-OVPN
Apr 24 22:42:08OpenVPN0VERIFY OK: depth=0, CN=test-srv-OVPN
Apr 24 22:43:08OpenVPN0TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Apr 24 22:43:08OpenVPN0TLS Error: TLS handshake failed
Apr 24 22:43:08OpenVPN0Fatal TLS error (check_tls_errors_co), restarting
Apr 24 22:43:08OpenVPN0TCP/UDP: Closing socket
Apr 24 22:43:08OpenVPN0SIGTERM[soft,tls-error] received, process exiting
Apr 24 22:43:08ndmService: "OpenVPN0": unexpectedly stopped.

Лог с Mikrotik:

22:42:07 ovpn,info TCP connection established from 31.173.86.100 
22:42:07 ovpn,debug,packet sent P_CONTROL_HARD_RESET_SERVER_V2 kid=0 sid=fc9595a0b275e19b pid=0 DATA len=0 
22:42:08 ovpn,debug,packet rcvd P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 sid=caeb2f1dbff07430 pid=0 DATA len=0 
22:42:08 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [0 sid=caeb2f1dbff07430] DATA len=0 
22:42:08 ovpn,debug,packet rcvd P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 sid=caeb2f1dbff07430 [0 sid=fc9595a0b275e19b] pid=0 DATA len=0 
22:42:08 ovpn,debug,error,684,60448,13244,12696,21884,54028,12032,13240,l2tp,info,13244,debug,79,65535,critical,4176,8600,25488,53520,54104,28008,60448,4043,53428,54028,41920,54028,warning duplicate packet, dropping 
22:42:08 ovpn,debug,packet rcvd P_CONTROL kid=0 sid=caeb2f1dbff07430 pid=1 DATA len=160 
22:42:08 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [1 sid=caeb2f1dbff07430] DATA len=0 
22:42:08 ovpn,debug,packet sent P_CONTROL kid=0 sid=fc9595a0b275e19b pid=1 DATA len=1400 
22:42:08 ovpn,debug,packet sent P_CONTROL kid=0 sid=fc9595a0b275e19b pid=2 DATA len=559 
22:42:08 ovpn,debug,packet rcvd P_ACK kid=0 sid=caeb2f1dbff07430 [1 sid=fc9595a0b275e19b] DATA len=0 
22:42:09 ovpn,debug,packet rcvd P_CONTROL kid=0 sid=caeb2f1dbff07430 [2 sid=fc9595a0b275e19b] pid=2 DATA len=1170 
22:42:09 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [2 sid=caeb2f1dbff07430] DATA len=0 
22:42:09 ovpn,debug,packet rcvd P_CONTROL kid=0 sid=caeb2f1dbff07430 pid=3 DATA len=436 
22:42:09 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [3 sid=caeb2f1dbff07430] DATA len=0 
22:42:10 ovpn,debug,packet sent P_CONTROL kid=0 sid=fc9595a0b275e19b pid=3 DATA len=51 
22:42:10 ovpn,debug,packet rcvd P_CONTROL kid=0 sid=caeb2f1dbff07430 [3 sid=fc9595a0b275e19b] pid=4 DATA len=396 
22:42:10 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [4 sid=caeb2f1dbff07430] DATA len=0 
22:42:10 ovpn,info : using encoding - BF-128-CBC/SHA1 
22:43:08 ovpn,debug <31.173.86.100>: disconnected <peer disconnected> 
 

При этом PPTP и L2TP между данными устройства отлично устанавливается.

Le ecureuil NetFriend

Le ecureuil

Опубликовано
Опубликовано
  В 24.04.2018 в 19:50, pigovina сказал:

Прошу помочь.

Не устанавливается Open VPN с Keenetci (сlient) к Mikrotik (server).

Лог с Keenetic:

Apr 24 22:42:07OpenVPN0OpenVPN 2.4.4 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD]
Apr 24 22:42:07OpenVPN0library versions: OpenSSL 1.1.0h  27 Mar 2018, LZO 2.10
Apr 24 22:42:07OpenVPN0using default password "password" for pkcs file
Apr 24 22:42:07OpenVPN0Control Channel MTU parms [ L:1655 D:1210 EF:40 EB:0 ET:0 EL:3 ]
Apr 24 22:42:07OpenVPN0Data Channel MTU parms [ L:1655 D:1450 EF:123 EB:411 ET:32 EL:3 ]
Apr 24 22:42:07OpenVPN0Local Options String (VER=V4): 'V4,dev-type tap,link-mtu 1575,tun-mtu 1532,proto TCPv4_CLIENT,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Apr 24 22:42:07OpenVPN0Expected Remote Options String (VER=V4): 'V4,dev-type tap,link-mtu 1575,tun-mtu 1532,proto TCPv4_SERVER,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Apr 24 22:42:07OpenVPN0Socket Buffers: R=[87380->87380] S=[16384->16384]
Apr 24 22:42:07OpenVPN0Attempting to establish TCP connection with [AF_INET]78.107.91.221:443 [nonblock]
Apr 24 22:42:08OpenVPN0TCP connection established with [AF_INET]78.107.91.221:443
Apr 24 22:42:08OpenVPN0TCP_CLIENT link local: (not bound)
Apr 24 22:42:08OpenVPN0TCP_CLIENT link remote: [AF_INET]78.107.91.221:443
Apr 24 22:42:08OpenVPN0NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
Apr 24 22:42:08OpenVPN0TLS: Initial packet from [AF_INET]78.107.91.221:443, sid=fc9595a0 b275e19b
Apr 24 22:42:08OpenVPN0VERIFY SCRIPT OK: depth=1, CN=test-CA
Apr 24 22:42:08OpenVPN0VERIFY OK: depth=1, CN=test-CA
Apr 24 22:42:08OpenVPN0VERIFY SCRIPT OK: depth=0, CN=test-srv-OVPN
Apr 24 22:42:08OpenVPN0VERIFY OK: depth=0, CN=test-srv-OVPN
Apr 24 22:43:08OpenVPN0TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Apr 24 22:43:08OpenVPN0TLS Error: TLS handshake failed
Apr 24 22:43:08OpenVPN0Fatal TLS error (check_tls_errors_co), restarting
Apr 24 22:43:08OpenVPN0TCP/UDP: Closing socket
Apr 24 22:43:08OpenVPN0SIGTERM[soft,tls-error] received, process exiting
Apr 24 22:43:08ndmService: "OpenVPN0": unexpectedly stopped.

Лог с Mikrotik:

22:42:07 ovpn,info TCP connection established from 31.173.86.100 
22:42:07 ovpn,debug,packet sent P_CONTROL_HARD_RESET_SERVER_V2 kid=0 sid=fc9595a0b275e19b pid=0 DATA len=0 
22:42:08 ovpn,debug,packet rcvd P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 sid=caeb2f1dbff07430 pid=0 DATA len=0 
22:42:08 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [0 sid=caeb2f1dbff07430] DATA len=0 
22:42:08 ovpn,debug,packet rcvd P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 sid=caeb2f1dbff07430 [0 sid=fc9595a0b275e19b] pid=0 DATA len=0 
22:42:08 ovpn,debug,error,684,60448,13244,12696,21884,54028,12032,13240,l2tp,info,13244,debug,79,65535,critical,4176,8600,25488,53520,54104,28008,60448,4043,53428,54028,41920,54028,warning duplicate packet, dropping 
22:42:08 ovpn,debug,packet rcvd P_CONTROL kid=0 sid=caeb2f1dbff07430 pid=1 DATA len=160 
22:42:08 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [1 sid=caeb2f1dbff07430] DATA len=0 
22:42:08 ovpn,debug,packet sent P_CONTROL kid=0 sid=fc9595a0b275e19b pid=1 DATA len=1400 
22:42:08 ovpn,debug,packet sent P_CONTROL kid=0 sid=fc9595a0b275e19b pid=2 DATA len=559 
22:42:08 ovpn,debug,packet rcvd P_ACK kid=0 sid=caeb2f1dbff07430 [1 sid=fc9595a0b275e19b] DATA len=0 
22:42:09 ovpn,debug,packet rcvd P_CONTROL kid=0 sid=caeb2f1dbff07430 [2 sid=fc9595a0b275e19b] pid=2 DATA len=1170 
22:42:09 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [2 sid=caeb2f1dbff07430] DATA len=0 
22:42:09 ovpn,debug,packet rcvd P_CONTROL kid=0 sid=caeb2f1dbff07430 pid=3 DATA len=436 
22:42:09 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [3 sid=caeb2f1dbff07430] DATA len=0 
22:42:10 ovpn,debug,packet sent P_CONTROL kid=0 sid=fc9595a0b275e19b pid=3 DATA len=51 
22:42:10 ovpn,debug,packet rcvd P_CONTROL kid=0 sid=caeb2f1dbff07430 [3 sid=fc9595a0b275e19b] pid=4 DATA len=396 
22:42:10 ovpn,debug,packet sent P_ACK kid=0 sid=fc9595a0b275e19b [4 sid=caeb2f1dbff07430] DATA len=0 
22:42:10 ovpn,info : using encoding - BF-128-CBC/SHA1 
22:43:08 ovpn,debug <31.173.86.100>: disconnected <peer disconnected> 
 

При этом PPTP и L2TP между данными устройства отлично устанавливается.

Показать  

Советую вам сперва попробовать настроить ovpn между обычным linux (скажем, ubuntu в виртуалке) и m. Если заработает, тогда будем смотреть, что не так.

Stasmin Новичок

Stasmin

Опубликовано
Опубликовано (изменено)
  В 16.04.2018 в 09:03, dvg_lab сказал:

Тестирую скорость, клиент на Extra II (2.12.A.5.0-4) WAN статика 100Мб и сервер на FreeBSD 11.1 (OpenVPN 2.4.5) 1 Гбит  фактически подключены к одному свитчу, показывает скорость закачки в районе 1Мб, это так и должно быть или я где-то чего-то недокрутил? В обход OpenVPN с того же сервера скорость честные 100Мбит. Конфиг сервера

  Показать контент

Конфиг клиента 

  Показать контент

 

И что странно, при применении параметров chipher none и ncp-disable скорость вырастает всего до 16 мегабит... 

Показать  

У меня на Lite 3 при подключении к удаленному серверу выдает ~9Мбит входящая и ~12Мбит исходящая при загрузке проца 80% и 100% соответственно (AES-256-CBC, AES-128-CBC и GCM не сказывается никак на скорости). Процы одинаковые, так что явно не так что-то. Попробуй с обеих сторон в конфиге прописать

sndbuf 0
rcvbuf 0

Что это такое и почему так почитайте по ссылке

https://habr.com/post/246953/

В процессе экспериментов установил, что малые значения этого параметра действительно уменьшают скорость, правда у меня ovpn поднят на Debian и без этих настроек работает примерно также.

прописывать "mssfix 0" на клиенте не советую, скорость падает. Я просто галочку убрал "Автоподстройка TCP-MSS" на кинетике, также не влияет толком.

Изменено пользователем Stasmin
  • Спасибо 1
totikk Пользователь

totikk

Опубликовано
Опубликовано (изменено)

Извините, если не туда....

Может кто-то помочь  примером конфигурации для клиента и сервера, если мне надо чтобы клиент попадал прямо внутрь домашней сети, и весь трафик клиента шел по VPN, и внутрисетевой и интернет...

Т.е я понимаю, что мне нужен tap адаптер и объединить потом его в бридж с Home. 

что я сделал:

На Кинетике 

dev tap
cipher AES-128-CBC
<secret>
ххх
</secret>
verb 3

и потом в командной строке Кинетика = interface Home include OpenVPN0

И разрешил в межсетевом экране UDP = 1194

На Виндовс-клиента: 

dev tap
remote xxx.xxx.xxx.xxx
route-gateway 192.168.1.1
cipher AES-128-CBC
<secret>
xxx
</secret>
verb 3
route 0.0.0.0 0.0.0.0

 

Подключаюсь, IP получаю, но дальше на клиенте никакой трафик никуда не идёт. Ни сеть Кинетика не доступна, ни интернет....

Изменено пользователем totikk
Mixin Продвинутый пользователь

Mixin

Опубликовано
Опубликовано (изменено)
  В 04.05.2018 в 08:22, totikk сказал:

route-gateway 192.168.1.1

Показать  

Если вы настраиваете tap, то для клиента шлюз и все параметры назначаются через DHCP роутера. 

  В 04.05.2018 в 08:22, totikk сказал:

Подключаюсь, IP получаю

Показать  

И он верный, DNS, шлюз?

А то, что вы хотите, видимо, решается нужным вариантом опции redirect-gateway на сервере.

 

 

Изменено пользователем Mixin
totikk Пользователь

totikk

Опубликовано
Опубликовано
  В 04.05.2018 в 21:20, Mixin сказал:

он верный, DNS, шлюз?

Показать  

Да, всё верное назначается. 

Да, я пробовал и без route-gateway 192.168.1.1. Тогда клиент ругается,  что нет никакого шлюза. Ну и я решил, что если укажу ракуми тот же шлюз который назначил кинетике ничего плохого не будет. Не знал я о redirect-gateway. Сейчас попробую,  но мне кажется забыл где-то не тут...

 

totikk Пользователь

totikk

Опубликовано
Опубликовано (изменено)

 

По крайней мере в Виндовс поднимается виртуальный  адаптер и получает IP, DNS и шлюз от Кинетика... 

Но дальше тишина... 

redirect-gateway пробую, оно ругается  NOTE: unable to redirect default gateway -- VPN gateway parameter (--route-gateway or --ifconfig) is missing

 

Если долго пинговать Кинетик, то редкие одиночные пакеты проходят.... 

Статистика Ping для 192.168.1.1:
    Пакетов: отправлено = 41, получено = 12, потеряно = 29
    (70% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 1мсек, Максимальное = 4 мсек, Среднее = 1 мсек


Если пинговать НАС в этой же сети, то ещё хуже... 

Статистика Ping для 192.168.1.35:
    Пакетов: отправлено = 17, получено = 10, потеряно = 7
    (41% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 103мсек, Максимальное = 3898 мсек, Среднее = 1607 мсек


Может надо что-то на самом Кинетике в CLI прописать? 

Помогите, кто-нибудь(((( Пожалкйста.....

Изменено пользователем totikk
Mixin Продвинутый пользователь

Mixin

Опубликовано
Опубликовано

В вашем варианте, опять же, если я правильно понимаю, адреса сервера и пул для выдачи надо прописывать на сервере. У вас же все пусто.

Вот пример варианта с вручную задаваемыми адресами. https://habr.com/post/67209/

Вот пример варианта с адресами назначаемыми роутером непосредственно. https://forum.keenetic.net/topic/2617-вопросы-по-интеграции-openvpn-в-ndms/?do=findComment&comment=51834

Лишнее убрать не забудьте. 

totikk Пользователь

totikk

Опубликовано
Опубликовано
  В 05.05.2018 в 12:34, Mixin сказал:

Вот пример варианта с адресами назначаемыми роутером

Показать  

Так у меня примерно так же как и в этом примере, ну лишнее удалил...Говорю же, не работает оно никак...

Mixin Продвинутый пользователь

Mixin

Опубликовано
Опубликовано (изменено)
  В 05.05.2018 в 14:30, totikk сказал:

Так у меня примерно так же как и в этом примере, ну лишнее удалил...Говорю же, не работает оно никак...

Показать  

Конфиг без ключей покажите тогда еще раз. 

А также ipconfig и route print до/после.

Изменено пользователем Mixin
totikk Пользователь

totikk

Опубликовано
Опубликовано (изменено)

Сервер 

dev tap
proto udp
port 1194
push "redirect-gateway"
cipher none
keepalive 10 120
<secret>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----

-----END OpenVPN Static key V1-----
</secret>
verb 9

Клиент 

dev tap
proto udp4
cipher none
remote a.a.a.a 1194
float
<secret>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----

-----END OpenVPN Static key V1-----
</secret>
verb 4

Смотрю сейчас в логе на клиенте сыпет:

  

Sat May 05 17:42:48 2018 us=213654 Recursive routing detected, drop tun packet to [AF_INET]a.a.a.a:1194

Я тут нашел кое что, это конечно от другого роутера, но меня заставило задуматься.:

https://community.netgear.com/t5/Nighthawk-WiFi-Routers/Recursive-routing-detected-error-in-OpenVPN/td-p/1201469

посмотрите, там в тексте человек даёт ссылку на мануал, если это можно таковым назвать. и в самом конце мануала такие строки:

  Quote

For client devices with Windows, modify the VPN interface name to NETGEAR-VPN:
On your computer, go to the Networks page.
If you are using Windows 10, select Control Panel > Network and Sharing Center > Change adapter settings.
In the local area connection list, find the local area connection with the device name TAP-Windows Adapter.
Select the local area connection and change its name (not its device name) to NETGEAR-VPN.
If you don't change the VPN interface name, the VPN tunnel connection fails.

Показать  

Иначе, как я понял, вылазиет таже самая ерунда, как и у меня, с Recursive routing detected

Толко вот что надо сделать в случае с Кинетиком я не знаю....

Изменено пользователем totikk
totikk Пользователь

totikk

Опубликовано
Опубликовано

Нет. У роутера свой белый ИП от провайдера.

У клиента свой, тоже белый, но динамический. От мобильного оператора, CDMA WIFI роутер

totikk Пользователь

totikk

Опубликовано
Опубликовано

Сервер

внешний IP xxx.xxx.xxx.xxx 

Роутер, 192.168.1.1

Устройства в сети 192.168.1.30-100

----------

Клиент

внешний IP zzz.zzz.zzz.zzz 

WIFI Роутер, 192.168.2.1

Сам клиент 192.168.2.100

----------------------

Конекчусь по VPN. В Виндовсе TAP адаптер получает адреса.

шлюз 192.168.1.1

DNS 192.168.1.1

IP 192.168.1.40

 

Mixin Продвинутый пользователь

Mixin

Опубликовано
Опубликовано (изменено)

route print и смотрите, что у вас там пересекается в маршрутах.

Также параметр allow-recursive-routing можно попробовать, если вы уверены, то все верно.

Изменено пользователем Mixin

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку тем

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю