Вопросы по интеграции OpenVPN в NDMS

[Le ecureuil]

1 минуту назад, drk сказал:

Поддержка на то и поддержка. 😃

Home и Home ISP - это универсальные наименования интерфейсов?

Да, вероятно нужно отключть NAT только для OpenVPN, оставив доступ с LAN\Wi-Fi и в туннель и в интернет.

Приведенные вами и поддержкой команды, как писал выше, делают интернет недоступным

Покажите тогда self-test с введенными этими командами, посмотрим что не так.

[drk]

52 минуты назад, Le ecureuil сказал:

Покажите тогда self-test с введенными этими командами, посмотрим что не так.

Теструю в сети 10.0.7.0/24.

После применения

no ip nat Home

ip static Home ISP

Хосты за OVPN доступны. Интернета в 10.0.7.0/24 нет.

self-test приложен.

Спасибо за помощь!

 

[Le ecureuil]

14 минуты назад, drk сказал:

Теструю в сети 10.0.7.0/24.

После применения

no ip nat Home

ip static Home ISP

Хосты за OVPN доступны. Интернета в 10.0.7.0/24 нет.

self-test приложен.

Спасибо за помощь!

Такс, а вот и ответ.

Поскольку вы явно не акцентировали, что у вас WAN это WISP, то и команду дали вам немного неточную.

Попробуйте
> ip static Home WifiMaster0/WifiStation0

[drk]

16 minutes ago, Le ecureuil said:

что у вас WAN это WISP

Это тестовый сетап, раздаю интернет с телефона. На площадке будет PPPOE или IPOE.

Спасибо! Теперь все работает для LAN -  и доступ в сеть за OVPN сервером, и интернет.

Позволю сразу пару вопросов:

1.При смене WAN мне нужно будет выполнить

ip static Home

для нужного интерфейса вместо  WifiMaster0/WifiStation0, так?

2. Планируется выделенный сегмент в котором будет только доступ в интернет из LAN и Wi-Fi этого сегмента. Потребуются для этого корректировки в CLI?

Еще раз большое спасибо!

 

Изменено 23 ноября, 2021 пользователем drk

[Le ecureuil]

35 минут назад, drk сказал:

Это тестовый сетап, раздаю интернет с телефона. На площадке будет PPPOE или IPOE.

Спасибо! Теперь все работает для LAN -  и доступ в сеть за OVPN сервером, и интернет.

Позволю сразу пару вопросов:

1.При смене WAN мне нужно будет выполнить

ip static Home

для нужного интерфейса вместо  WifiMaster0/WifiStation0, так?

2. Планируется выделенный сегмент в котором будет только доступ в интернет из LAN и Wi-Fi этого сегмента. Потребуются для этого корректировки в CLI?

Еще раз большое спасибо!

 

1. Да, выполните эту команду для нового WAN и дело в шляпе.

2. По идее нет. Если вы для него явно не выключите ip nat <new segment>, то все заработает сразу.

[drk]

3 hours ago, Le ecureuil said:

Да, выполните эту команду для нового WAN и дело в шляпе.

Да, все именно так, работает. Еще раз спасибо.

Если можно, еще🙂:

1. Для резервного канала я ведь тоже могу выполнить:

ip static Home %нужный_интерфейс% ?

2. Всё это будет работать в mesh?

[Le ecureuil]

12 часа назад, drk сказал:

Да, все именно так, работает. Еще раз спасибо.

Если можно, еще🙂:

1. Для резервного канала я ведь тоже могу выполнить:

ip static Home %нужный_интерфейс% ?

2. Всё это будет работать в mesh?

 Да.

[drk]

On 11/24/2021 at 9:54 AM, Le ecureuil said:

 Да.

Чтобы вернуть настройки на дефолтные,если понадобиться, нужно выполнить:

no ip static Home %нужный_интерфейс%
ip nat Home

Так?

[Le ecureuil]

1 час назад, drk сказал:

Чтобы вернуть настройки на дефолтные,если понадобиться, нужно выполнить:

no ip static Home %нужный_интерфейс%
ip nat Home

Так?

Верно.

[SSTP]

В 01.10.2021 в 17:48, Le ecureuil сказал:

Я лично жду версии 2.6, чтобы сразу с dco все добавить. Если сейчас добавлять на месяца-полтора 2.5, а потом снова 2.6 - это лишняя работа. Прошу немного обождать

Слишком рано говорить, но мы надеемся сделать это быстрее, чем 2.4 и 2.5, поэтому ориентировочно:

• весь обязательный код (кроме подтверждения TLS): конец декабря 2021 г.
• Кандидаты в РК: январь / февраль? 2022 г.
• Релиз 2.6.0: март 2022 г.

И не факт что в марте будет . лучше бы Keenetic добавили 2.5.4 щас и на долго бы хватило 

Изменено 28 ноября, 2021 пользователем SSTP

[Le ecureuil]

7 часов назад, SSTP сказал:

Слишком рано говорить, но мы надеемся сделать это быстрее, чем 2.4 и 2.5, поэтому ориентировочно:

• весь обязательный код (кроме подтверждения TLS): конец декабря 2021 г.
• Кандидаты в РК: январь / февраль? 2022 г.
• Релиз 2.6.0: март 2022 г.

И не факт что в марте будет . лучше бы Keenetic добавили 2.5.4 щас и на долго бы хватило 

Вполне себе нормальный срок, чтобы мы могли рассчитывать на 3.9 к примеру.

[Le ecureuil]

Текущая версия 2.4.6 добавлена в июне 2018, потому подождать еще 3-4 месяца не будет сколь-либо фатальным.

[SSTP]

1 час назад, Le ecureuil сказал:

Вполне себе нормальный срок

не чего не нормально ! в бесплатных ПО уже давно обновлено . а с таким ценником программисты Keenetic не как не мог обновить . 

 

1 час назад, Le ecureuil сказал:

мы могли рассчитывать на 3.9 к примеру

3.9 года так через 2 может будет . и не факт что обнову эту получат роутеры нынешние бюджетные 

Изменено 29 ноября, 2021 пользователем SSTP

[SSTP]

4 минуты назад, Le ecureuil сказал:

потому подождать еще 3-4 месяца не будет сколь-либо фатальным

через 4 мес я уверен что 2.6 не будет через год может быть а потом жди когда добавить Keenetic + еще 1 год 

Изменено 29 ноября, 2021 пользователем SSTP

[Le ecureuil]

Кроме tlscrypt-v2 что там еще такого горящего в 2.5?

[SSTP]

16 минут назад, Le ecureuil сказал:

Кроме tlscrypt-v2 что там еще такого горящего в 2.5

chachapoly нету ! не говоря уже о безопасности! в старых думаю дыр много !

Изменено 29 ноября, 2021 пользователем SSTP

[Le ecureuil]

55 минут назад, SSTP сказал:

chachapoly нету ! не говоря уже о безопасности! в старых думаю дыр много !

Есть, бекпортировано и работает, две страницы назад тесты выложены.

Все исправления безопасности тоже я сразу заношу, благо их было всего два за это время.

[SSTP]

10 часов назад, Le ecureuil сказал:

Есть, бекпортировано и работает, две страницы назад тесты выложены.

ок еще проверю . 

 

10 часов назад, Le ecureuil сказал:

Все исправления безопасности тоже я сразу заношу

tls-crypt2 более безопаснее чем первый . а это вы добавляете новую версию ? тогда думаю вам легко будет добавить новую версию !

 

Команда проекта сообщества OpenVPN с гордостью выпускает OpenVPN 2.4.11. Он исправляет две связанные уязвимости безопасности (CVE-2020-15078), которые при очень определенных обстоятельствах позволяют обмануть сервер, используя отложенную аутентификацию (плагин или управление), чтобы он возвращал PUSH_REPLY перед сообщением AUTH_FAILED, которое может быть использовано для сбора информации о VPN. настраивать. Этот выпуск также включает другие исправления ошибок и улучшения.

 

Изменено 29 ноября, 2021 пользователем SSTP

[vmaloy86]

Добрый день. Должен ли работать OpenVPN с Express VPN на Zyxel Keenetic Ultra II NMDS 3.5.10

Подключение никак не поднимается, уже все испробовал что можно.

Конфиг брал с их сайта, добавлял логин и пароль.

Ошибка:

[E] Mar 13 13:45:10 OpenVPN0: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
[E] Mar 13 13:45:10 OpenVPN0: TLS Error: TLS handshake failed

Скрытый текст

[E] Mar 13 13:44:07 ndm: Service: "OpenVPN0": unexpectedly stopped.
[W] Mar 13 13:44:10 OpenVPN0: WARNING: --keysize is DEPRECATED and will be removed in OpenVPN 2.6
[I] Mar 13 13:44:10 OpenVPN0: OpenVPN 2.4.6 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD]
[I] Mar 13 13:44:10 OpenVPN0: library versions: OpenSSL 1.1.1k  25 Mar 2021, LZO 2.10
[W] Mar 13 13:44:10 OpenVPN0: WARNING: --ns-cert-type is DEPRECATED.  Use --remote-cert-tls instead.
[I] Mar 13 13:44:10 OpenVPN0: Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
[I] Mar 13 13:44:10 OpenVPN0: Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
[I] Mar 13 13:44:10 OpenVPN0: Socket Buffers: R=[155648->1048576] S=[155648->1048576]
[I] Mar 13 13:44:10 OpenVPN0: UDP link local: (not bound)
[I] Mar 13 13:44:10 OpenVPN0: UDP link remote: [AF_INET]45.135.187.244:1195
[I] Mar 13 13:44:10 OpenVPN0: NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
[I] Mar 13 13:44:10 OpenVPN0: TLS: Initial packet from [AF_INET]45.135.187.244:1195, sid=f0fb3969 729c7cc2
[I] Mar 13 13:44:40 wmond: WifiMaster0/AccessPoint0: (MT76x2) STA(00:07:a8:cd:6d:0a) had associated successfully.
[I] Mar 13 13:44:40 wmond: WifiMaster0/AccessPoint0: (MT76x2) STA(00:07:a8:cd:6d:0a) MIC differs in key handshaking.
[I] Mar 13 13:44:43 wmond: Core::Syslog: last message repeated 3 times.
[I] Mar 13 13:44:45 wmond: WifiMaster0/AccessPoint0: (MT76x2) STA(00:07:a8:cd:6d:0a) had disassociated by STA (reason: STA is leaving or has left BSS).
[E] Mar 13 13:45:10 OpenVPN0: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
[E] Mar 13 13:45:10 OpenVPN0: TLS Error: TLS handshake failed
[I] Mar 13 13:45:10 OpenVPN0: SIGTERM[soft,tls-error] received, process exiting
[E] Mar 13 13:45:10 ndm: Service: "OpenVPN0": unexpectedly stopped.
[W] Mar 13 13:45:13 OpenVPN0: WARNING: --keysize is DEPRECATED and will be removed in OpenVPN 2.6
[I] Mar 13 13:45:13 OpenVPN0: OpenVPN 2.4.6 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD]
[I] Mar 13 13:45:13 OpenVPN0: library versions: OpenSSL 1.1.1k  25 Mar 2021, LZO 2.10
[W] Mar 13 13:45:13 OpenVPN0: WARNING: --ns-cert-type is DEPRECATED.  Use --remote-cert-tls instead.
[I] Mar 13 13:45:13 OpenVPN0: Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
[I] Mar 13 13:45:13 OpenVPN0: Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
[I] Mar 13 13:45:13 OpenVPN0: Socket Buffers: R=[155648->1048576] S=[155648->1048576]
[I] Mar 13 13:45:13 OpenVPN0: UDP link local: (not bound)
[I] Mar 13 13:45:13 OpenVPN0: UDP link remote: [AF_INET]45.135.187.244:1195
[I] Mar 13 13:45:13 OpenVPN0: NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
[I] Mar 13 13:45:13 OpenVPN0: TLS: Initial packet from [AF_INET]45.135.187.244:1195, sid=19ace41a a54667fc
[I] Mar 13 13:45:40 wmond: WifiMaster0/AccessPoint0: (MT76x2) STA(00:07:a8:cd:6d:0a) had associated successfully.
[I] Mar 13 13:45:40 wmond: WifiMaster0/AccessPoint0: (MT76x2) STA(00:07:a8:cd:6d:0a) MIC differs in key handshaking.
[I] Mar 13 13:45:43 wmond: Core::Syslog: last message repeated 3 times.
[I] Mar 13 13:45:45 wmond: WifiMaster0/AccessPoint0: (MT76x2) STA(00:07:a8:cd:6d:0a) had disassociated by STA (reason: STA is leaving or has left BSS).
 

Это уже Роскомнадзор работает? Или у меня с руками проблемы?

Изменено 13 марта, 2022 пользователем vmaloy86

[SSTP]

Админы когда обновите уже openvpn до 2.5.6 очень отстаете

[Mixin]

Тема-то про OpenVPN, что у вас аналогичного? Да и лог показать не мешало бы. 

[Configurator]

16 минут назад, Mixin сказал:

Тема-то про OpenVPN, что у вас аналогичного? Да и лог показать не мешало бы. 

То, что сервис один и тот же. Ни OpenVpn, ни L2TP \ IPsec не заводятся. Лог приложил

L2TP IPSec log.txt

[Mixin]

Для IPSEC/L2TP есть отдельная тема, вообще говоря. И в вашем случае, вам не отвечает та сторона, у нее и нужно спрашивать.

[zhartaunik]

Порекомендуйте какой-нибудь ВПН который настроится на роутере без проблем? Пробовал 2 сервиса, суппорт этих сервисов не смогли побороть проблему. Соединение вроде установлено, но IP адрес у меня по прежнему текущий.

[Кинетиковод]

1 час назад, zhartaunik сказал:

но IP адрес у меня по прежнему текущий.

Приоритет надо поменять.

[zhartaunik]

А можно подробнее, что имеется ввиду?

[loginella]

https://help.keenetic.com/hc/ru/articles/360000521799-Приоритеты-подключений

[zhartaunik]

8 часов назад, loginella сказал:

https://help.keenetic.com/hc/ru/articles/360000521799-Приоритеты-подключений

Большое спасибо, помогло! В прошивку я бы добавил сообщение, мол когда вы настроите ВПН, его нужно сделать приоритетным. Т.к. это ни разу не очевидно

[loginella]

15 часов назад, zhartaunik сказал:

В прошивку я бы добавил сообщение, мол когда вы настроите ВПН, его нужно сделать приоритетным

Зачем, если есть целая статья с картинками? И не одна. Пример: https://help.keenetic.com/hc/ru/articles/360012067279-Доступ-в-Интернет-через-VPN-провайдера-по-протоколу-WireGuard

[Кинетиковод]

18 часов назад, zhartaunik сказал:

когда вы настроите ВПН, его нужно сделать приоритетным

Кто сказал что нужно? Кому-то нужно, а кому-то не совсем.