Вопросы по интеграции OpenVPN в NDMS

[Кинетиковод]

@yuoras

В настройках может подключаться через провод стоит?

[AndreBA]

22 минуты назад, yuoras сказал:

Думал, может с 4G какая проблема, на компьютере без проблем, через 4G поднимается openvpn.

Что порекомендуете?

Здесь посмотрите:

Цитата

 

[yuoras]

Спасибо.

Подключение стоит из любого канала по умолчанию

Скрытый текст

E] May  5 18:51:27 ndm: Service: "OpenVPN1": unexpectedly stopped.
May  5 18:51:30 OpenVPN1: OpenVPN 2.4.6 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD]
May  5 18:51:30 OpenVPN1: library versions: OpenSSL 1.1.1b  26 Feb 2019, LZO 2.10
[W] May  5 18:51:30 OpenVPN1: ******* WARNING *******: '--cipher none' was specified. This means NO encryption will be performed and tunnelled data WILL be transmitted in clear text over the network! PLEASE DO RECONSIDER THIS SETTING!
May  5 18:51:30 OpenVPN1: UDP link local: (not bound)
May  5 18:51:30 OpenVPN1: UDP link remote: [AF_INET6]64:ff9b::505d:b6a1:1194
May  5 18:51:30 OpenVPN1: NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
[E] May  5 18:51:30 OpenVPN1: write UDP: Network is unreachable (code=128)
May  5 18:51:30 OpenVPN1: Network unreachable, restarting
May  5 18:51:30 OpenVPN1: SIGTERM[soft,network-unreachable] received, process exiting
[E] May  5 18:51:30 ndm: Service: "OpenVPN1": unexpectedly stopped.
May  5 18:51:33 OpenVPN1: OpenVPN 2.4.6 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD]
May  5 18:51:33 OpenVPN1: library versions: OpenSSL 1.1.1b  26 Feb 2019, LZO 2.10
[W] May  5 18:51:33 OpenVPN1: ******* WARNING *******: '--cipher none' was specified. This means NO encryption will be performed and tunnelled data WILL be transmitted in clear text over the network! PLEASE DO RECONSIDER THIS SETTING!
May  5 18:51:33 OpenVPN1: UDP link local: (not bound)
May  5 18:51:33 OpenVPN1: UDP link remote: [AF_INET6]64:ff9b::505d:b6a1:1194
May  5 18:51:33 OpenVPN1: NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
[E] May  5 18:51:33 OpenVPN1: write UDP: Network is unreachable (code=128)
May  5 18:51:33 OpenVPN1: Network unreachable, restarting
May  5 18:51:33 OpenVPN1: SIGTERM[soft,network-unreachable] received, process exiting
[E] May  5 18:51:33 ndm: Service: "OpenVPN1": unexpectedly stopped.

 

И так в цикле.

Повторюсь , что при проводном соединении ,все отлично

Изменено 5 мая, 2019 пользователем yuoras
Дополнил

[wix]

Пробую подключиться к рабочему OpenVPN. Клиент windows цепляется нормально. Keenetic при том же файле конфига со встроенными ключами выдает:

Июл 4 09:56:36 OpenVPN0
OpenVPN 2.4.6 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD]
Июл 4 09:56:36 OpenVPN0
library versions: OpenSSL 1.1.1c 28 May 2019, LZO 2.10
Июл 4 09:56:36 OpenVPN0
Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Июл 4 09:56:36 OpenVPN0
Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Июл 4 09:56:36 OpenVPN0
LZO compression initializing
Июл 4 09:56:36 OpenVPN0
Control Channel MTU parms [ L:1622 D:1184 EF:66 EB:0 ET:0 EL:3 ]
Июл 4 09:56:36 OpenVPN0
Data Channel MTU parms [ L:1622 D:1450 EF:122 EB:406 ET:0 EL:3 ]
Июл 4 09:56:36 OpenVPN0
Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 1,cipher AES-256-CBC,auth SHA1,keysize 256,tls-auth,key-method 2,tls-client'
Июл 4 09:56:36 OpenVPN0
Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 0,cipher AES-256-CBC,auth SHA1,keysize 256,tls-auth,key-method 2,tls-server'
Июл 4 09:56:36 OpenVPN0
Socket Buffers: R=[155648->155648] S=[155648->155648]
Июл 4 09:56:36 OpenVPN0
UDP link local: (not bound)
Июл 4 09:56:36 OpenVPN0
UDP link remote: [AF_INET]222.135.144.155:1195
Июл 4 09:56:36 OpenVPN0
NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
Июл 4 09:57:36 OpenVPN0
TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Июл 4 09:57:36 OpenVPN0
TLS Error: TLS handshake failed
Июл 4 09:57:36 OpenVPN0
TCP/UDP: Closing socket
Июл 4 09:57:36 OpenVPN0
SIGTERM[soft,tls-error] received, process exiting
Июл 4 09:57:36 ndm
Service: "OpenVPN0": unexpectedly stopped.

Конфиг

client
dev tun
proto udp
remote 222.135.144.155 1195
resolv-retry infinite
nobind
persist-key
persist-tun
cipher aes-256-cbc
auth sha1
tls-client
remote-cert-tls server
key-direction 1
comp-lzo
verb 5
<ca>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN RSA PRIVATE KEY-----
-----END RSA PRIVATE KEY-----
</key>
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
-----END OpenVPN Static key V1-----
</tls-auth>

[Le ecureuil]

Нет связи с сервером. Ищите почему.

[El Ruso]

Настройки клиента:

client
proto udp
remote 51.75.68.52 1194
dev tun
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
verify-x509-name server_a1RwfzVq89LhNTnI name
auth SHA256
auth-nocache
cipher AES-128-GCM
tls-client
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
verb 3
<ca>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----
</key>
<tls-crypt>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
-----END OpenVPN Static key V1-----
</tls-crypt>

Нижнее измерение - клиент на ноутбуке, верхнее - клиент на KN-1910 3.1b1

Вопрос: Почему такая низкая скорость на download у KN-1910? Это ок?

[Le ecureuil]

Да, это ок.

[test tesko]

Добрый день! 

Подскажите пожалуйста, провайдер дает доступ в интернет по кабелю, через L2TP соединение (PROV_L2TP - помечен галочкой использовать для выхода в интернет). Настроены два OpenVPN (1VPN и 2VPN  - оба помечены галочкой использовать для выхода в интернет) подключения на разные сервера. В приоритетах подключений, расположены по убыванию 1VPN, 2VPN, PROV_L2TP.

При пропадании доступа в интернет у 1VPN, не переходит автоматически на 2VPN или PROV_L2TP (просто остается подключенным к 1VPN). Ping Check в VPN1 и VPN2, опция недоступна.

Как настроить автоматическое переключение с 1VPN на 2VPN? А в случае недоступности 1VPN и 2VPN, переключаться на PROV_L2TP?

Конфигурация VPN 1 и VPN2

client
proto udp
remote XXX.XXX.XXX.XXX 1194
dev tun
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
verify-x509-name server_gowW2aMP6RyAnNnt name
auth SHA256
auth-nocache
cipher AES-128-CBC
tls-client
tls-version-min 1.2
tls-cipher TLS-DHE-RSA-WITH-AES-128-GCM-SHA256
verb 3

(далее данные ключей)

 

Изменено 28 августа, 2019 пользователем test tesko

[Byuri]

Перестал работать OpenVPN на роутере KN-1310. Обновился до последней прошивки.

В логе такая ошибка:

Сен 3 15:18:54 OpenVPN1
Cipher BF-CBC not supported
Сен 3 15:18:54 OpenVPN1
Exiting due to fatal error
Сен 3 15:18:54 ndm
Service: "OpenVPN1": unexpectedly stopped.

Что делать?

 

Изменено 3 сентября, 2019 пользователем Byuri

[dvg_lab]

1 час назад, Byuri сказал:

Перестал работать OpenVPN на роутере KN-1310. Обновился до последней прошивки.

В логе такая ошибка:

Сен 3 15:18:54 OpenVPN1
Cipher BF-CBC not supported
Сен 3 15:18:54 OpenVPN1
Exiting due to fatal error
Сен 3 15:18:54 ndm
Service: "OpenVPN1": unexpectedly stopped.

Что делать?

 

Ну вот и настал конец лайтовому протоколу шифрования. у меня вся сеть на нём, походу надо готовиться к переходу на новый более ресурсоёмкий шифр.

[Le ecureuil]

6 часов назад, dvg_lab сказал:

Ну вот и настал конец лайтовому протоколу шифрования. у меня вся сеть на нём, походу надо готовиться к переходу на новый более ресурсоёмкий шифр.

Это очень странно.

Пожалуйста, обратитесь в официальную поддержку.

BF-CBC на 1310 точно должен работать.

[Le ecureuil]

В 28.08.2019 в 12:47, test tesko сказал:

Добрый день! 

Подскажите пожалуйста, провайдер дает доступ в интернет по кабелю, через L2TP соединение (PROV_L2TP - помечен галочкой использовать для выхода в интернет). Настроены два OpenVPN (1VPN и 2VPN  - оба помечены галочкой использовать для выхода в интернет) подключения на разные сервера. В приоритетах подключений, расположены по убыванию 1VPN, 2VPN, PROV_L2TP.

При пропадании доступа в интернет у 1VPN, не переходит автоматически на 2VPN или PROV_L2TP (просто остается подключенным к 1VPN). Ping Check в VPN1 и VPN2, опция недоступна.

Как настроить автоматическое переключение с 1VPN на 2VPN? А в случае недоступности 1VPN и 2VPN, переключаться на PROV_L2TP?

Конфигурация VPN 1 и VPN2

client
proto udp
remote XXX.XXX.XXX.XXX 1194
dev tun
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
verify-x509-name server_gowW2aMP6RyAnNnt name
auth SHA256
auth-nocache
cipher AES-128-CBC
tls-client
tls-version-min 1.2
tls-cipher TLS-DHE-RSA-WITH-AES-128-GCM-SHA256
verb 3

(далее данные ключей)

 

А почему pingcheck недоступен?

Может self-test приложите, когда пропадает связь, но не переходит на другой.

[dvg_lab]

11 минуту назад, Le ecureuil сказал:

Это очень странно.

Пожалуйста, обратитесь в официальную поддержку.

BF-CBC на 1310 точно должен работать.

Да в телеге уже пообщались с народом, вроде как пока только в 1210 выпилили, у меня слава Богу таких нет, но я на всякий случай перешел на aes-128-gcm

[Byuri]

11 час назад, Le ecureuil сказал:

BF-CBC на 1310 точно должен работать.

прошу прощения, на 1210 перестало работать

[Byuri]

11 час назад, dvg_lab сказал:

но я на всякий случай перешел на aes-128-gcm

Изменили в настройках сервера тип шифрования?

 

[dvg_lab]

1 час назад, Byuri сказал:

Изменили в настройках сервера тип шифрования?

 

Да, строка cipher

[dvg_lab]

1 час назад, Byuri сказал:

прошу прощения, на 1210 перестало работать

 Это да, не хватило памяти...

[Le ecureuil]

Если очень нужно, попробуем вернуть BF.

[dvg_lab]

 

2 часа назад, Le ecureuil сказал:

Если очень нужно, попробуем вернуть BF.

Было бы неплохо, так как должен быть выбор скорость vs безопасность.  Дело в том что даже дырявый bf-cbc для некоторых данных например вполне достаточен, а вот скорости cpu может уже и не хватать.

[Le ecureuil]

1 час назад, dvg_lab сказал:

 

Было бы неплохо, так как должен быть выбор скорость vs безопасность.  Дело в том что даже дырявый bf-cbc для некоторых данных например вполне достаточен, а вот скорости cpu может уже и не хватать.

Вернул, скоро появится.

[parkan]

В 28.09.2018 в 11:51, ittiger сказал:

Может кому пригодиться. Была аналогичная проблема: ip.src в соединениях из домашней сети (192.168.12.0/24) подменяется на ip openvpn туннеля (172.16.0.12). 

Решение, как описано в статье https://help.keenetic.com/hc/ru/articles/115000045869:

no ip nat Home
interface PPTP0 security-level private
no isolate-private
ip static Home PPPoE1
system configuration save

Правило ip static появляться в веб-панели в разделе переадресация.

Спасибо, по вашей рекомендации дошел до победы

Напомню, первоначально мой вопрос звучал так: 

Цитата

Доброго всем. Вопрос небольшой. 
Есть сетка с сервером OpenVPN 192.168.0.x (Pfsense)
Шлюз OpenVPN  10.0.6.1-10.0.6.2, tun
Сетка с клиентом OpenVPN, 192.168.6.x (Keenetic III, 2.11.A.4.0-0)

Как бы всё работает, в обе стороны, пингуется, открывается. Есть одно но: Компы за Кинетиком выходят в сетку с сервером под адресом OpenVPN, т.е. 10.0.6.2. Всё бы ничего, но голос VoIP в сторону Кинетика не проходит. Так было и на версии 2.08 с Entware.

Я уж интерфейс OpenVPN0 сделал private, и "no ip nat OpenVPN0", всё равно...

В итоге для OpenVPN   делается так: 

(config)> no ip nat Home
(config)> interface OpenVPN0 security-level private
(config)> no isolate-private
(config)> ip static Home ISP    
(config)> system configuration save

Тут небольшое уточнение: 
Начиная с версии ОС NDMS v2.09 более не требуется наличие статического IP-адреса на интерфейсе ISP. Теперь можно использовать команду ip static для включения NAT не только между интерфейсом и IP-адресом, но и между двумя интерфейсами (например: ip static Home ISP).

[Le ecureuil]

Небольшие новости.

По результатам моих тестов выяснилась такая картина :

	7621	7513	7628
NONE	68	40	23
BF-CBC	23.3	16.4	10.7
AES-128-CBC	25	18.2	10.6
AES-GCM-128	23.8	17.9	10
AES-128-OFB	28.2	21.2	11.3
AES-128-CFB	30.5	19.8	11.3
CHACHA20-POLY1305	38.3	26.5	14.4

 

Краткие выводы (цифры сами говорят за себя, но все же):

 - NONE - это теоретически максимальная скорость OpenVPN на данном ЦПУ без шифрования и аутентификации трафика вообще. Быстрее точно не будет.

 - BF-CBC - старый кал, он не оправдывает надежд как "быстрейший шифр".

- если вам прямо сейчас нужен быстрейший шифр, то на обеих сторонах туннеля выберите "cipher AES-128-CFB / auth SHA1" и можете получить прирост до 8 Мбит нахаляву.
- прямо сейчас везде добавлен шифр CHACHA20-POLY1305, который кладет всех на лопатки (пользователи Wireguard уже это увидели). Он появится в следующих выпусках 3.4, 3.3 beta 7, 2.16 и 2.11. Настроить его просто: "cipher CHACHA20-POLY1305 / auth none" (на обоих сторонах канала!). Из сервисов VPN его уже поддерживает как минимум AirVPN (тема с рекомендациями по настройке, рабочий конфиг в конце).

[dmitry.a]

В 17.12.2019 в 18:38, Le ecureuil сказал:

Небольшие новости.

По результатам моих тестов выяснилась такая картина :

	7621	7513	7628
NONE	68	40	23
BF-CBC	23.3	16.4	10.7
AES-128-CBC	25	18.2	10.6
AES-GCM-128	23.8	17.9	10
AES-128-OFB	28.2	21.2	11.3
AES-128-CFB	30.5	19.8	11.3
CHACHA20-POLY1305	38.3	26.5	14.4

 

Краткие выводы (цифры сами говорят за себя, но все же):

 - NONE - это теоретически максимальная скорость OpenVPN на данном ЦПУ без шифрования и аутентификации трафика вообще. Быстрее точно не будет.

 - BF-CBC - старый кал, он не оправдывает надежд как "быстрейший шифр".

- если вам прямо сейчас нужен быстрейший шифр, то на обеих сторонах туннеля выберите "cipher AES-128-CFB / auth SHA1" и можете получить прирост до 8 Мбит нахаляву.
- прямо сейчас везде добавлен шифр CHACHA20-POLY1305, который кладет всех на лопатки (пользователи Wireguard уже это увидели). Он появится в следующих выпусках 3.4, 3.3 beta 7, 2.16 и 2.11. Настроить его просто: "cipher CHACHA20-POLY1305 / auth none" (на обоих сторонах канала!). Из сервисов VPN его уже поддерживает как минимум AirVPN (тема с рекомендациями по настройке, рабочий конфиг в конце).

А можно сравнить с Wireguard? Интересна разница.

[keenet07]

26 минут назад, dmitry.a сказал:

А можно сравнить с Wireguard? Интересна разница.

Ну это по сути и есть CHACHA20-POLY1305

https://xakinfo.ru/os/wireguard-как-замена-openvpn/

[Кинетиковод]

28 минут назад, keenet07 сказал:

Ну это по сути и есть CHACHA20-POLY1305

Как бы не совсем. WG быстрее OpenVPN в 3 раза, по крайней мере на 7628. Прибавка же на OpenVPN от CHACHA20-POLY1305 не особо большая.

[keenet07]

4 минуты назад, Кинетиковод сказал:

Как бы не совсем. WG быстрее OpenVPN в 3 раза, по крайней мере на 7628. Прибавка же на OpenVPN от CHACHA20-POLY1305 не особо большая.

Согласен. На OpenVPN помимо самого шифрования ещё много всего навешано. Тормозящего процесс.

Изменено 12 февраля, 2020 пользователем keenet07

[dmitry.a]

Вот у меня сейчас планшет через Wireguard upload 104 Mb/s, download 78 Mb/s. Wireguard показывает, что перекачено больше 100 Мб.

Если я отключаю wireguard, то уже 200-250.

Включаю openVPN и уже 15-17. Разница уж сильно большая.

 

 

Изменено 12 февраля, 2020 пользователем dmitry.a

[Alexashka]

Доброго дня, товарищи!

 

Вопрос по теме, подскажите, пожалуйста:

 

Имею два маршрутизатора с OpenVPN:

Keenetic DSL:
Current 2.11.C.1.0-3
Available: 2.11.D.5.0-1 (debug)

Keenetic II:
Current: 2.16.D.1.0-0
Available: 2.16.D.1.0-1
 

Keenetic II является сервером, сервер OpenVPN поднят из OPKG, использую cipher AES-256-CBC и auth Sha1, скорость никакая.

Если перейду на последние версии прошивок, станет доступно шифрование CHACHA20-POLY1305? 

Как я понял нужно просто обновить ОС и в конфиге выбрать новый тип шифра?

Если перейду на

Доброго дня, товарищи!

Вопрос по теме, подскажите, пожалуйста:

Имею два маршрутизатора с OpenVPN:

Keenetic DSL:
Current 2.11.C.1.0-3
Available: 2.11.D.5.0-1 (debug)

Keenetic II:
Current: 2.16.D.1.0-0
Available: 2.16.D.1.0-1

Keenetic II является сервером, сервер OpenVPN поднят из OPKG, использую cipher AES-256-CBC и auth Sha1, скорость никакая.

Если перейду на последние версии прошивок, станет доступно шифрование CHACHA20-POLY1305? 

Как я понял нужно просто обновить ОС и в конфиге выбрать новый тип шифра?

[Alezzzander]

В 23.11.2018 в 05:10, Alezzzander сказал:

По сути это баг,т.к.на Win,Linux устройствах мультисерверный конфиг работает.Просьба разработчиков пофиксить.

Добрый день! Прошло почти чуть больше года с момента моего вопроса,но проблема с переключением на второй remote сервер в конфиге еще не пофикшена.Можно уже не ждать?)

[Le ecureuil]

5 часов назад, Alexashka сказал:

Доброго дня, товарищи!

 

Вопрос по теме, подскажите, пожалуйста:

 

Имею два маршрутизатора с OpenVPN:

Keenetic DSL:
Current 2.11.C.1.0-3
Available: 2.11.D.5.0-1 (debug)

Keenetic II:
Current: 2.16.D.1.0-0
Available: 2.16.D.1.0-1
 

Keenetic II является сервером, сервер OpenVPN поднят из OPKG, использую cipher AES-256-CBC и auth Sha1, скорость никакая.

Если перейду на последние версии прошивок, станет доступно шифрование CHACHA20-POLY1305? 

Как я понял нужно просто обновить ОС и в конфиге выбрать новый тип шифра?

Если перейду на

Доброго дня, товарищи!

Вопрос по теме, подскажите, пожалуйста:

Имею два маршрутизатора с OpenVPN:

Keenetic DSL:
Current 2.11.C.1.0-3
Available: 2.11.D.5.0-1 (debug)

Keenetic II:
Current: 2.16.D.1.0-0
Available: 2.16.D.1.0-1

Keenetic II является сервером, сервер OpenVPN поднят из OPKG, использую cipher AES-256-CBC и auth Sha1, скорость никакая.

Если перейду на последние версии прошивок, станет доступно шифрование CHACHA20-POLY1305? 

Как я понял нужно просто обновить ОС и в конфиге выбрать новый тип шифра?

Да, на версиях 2.11.D.5.0-1 и 2.16.D.1.0-1 доступен шифр CHACHA20-POLY1305.

Устанавливаете эту версию, ставите в поле cipher CHACHA20-POLY1305 и полe auth NONE на обоих концах -> готово.