Вопросы по интеграции OpenVPN в NDMS

[protos69]

6 минут назад, keenet07 сказал:

В приоритеты подключений загляните.  Есть там ваш VPN? Подвигайте его, выше-ниже.

да, все на месте.  Двигал ВПН туда-сюда, не помогает.  

Изменено 1 февраля, 2023 пользователем protos69

[keenet07]

3 минуты назад, protos69 сказал:

да, все на месте.  Двигал ВПН туда-сюда, не помогает.  

Политику VPN создайте в соседней вкладке и переместите туда устройства которые должны ходить через VPN. В статье всё есть.

Изменено 1 февраля, 2023 пользователем keenet07

[keenet07]

35 минут назад, protos69 сказал:

да, все на месте.  Двигал ВПН туда-сюда, не помогает.  

Это замечательно. Но то что у вас сейчас настроено подразумевает лишь то, что когда ваш Оператор мобильной связи станет вдруг офлайн. Шлюзом по умолчанию будет назначен ВПН. Но он не сможет им стать, т.к. без интернета также станет оффлайн. И останется только Эзернет провайдера.

Поэтому создайте новую политику, назовите её москва или ВПН, да как угодно и переместите в неё ВПН соединение Moscow. А дальше уже в соседней вкладке настройте применение политики по устройствам.

Изменено 1 февраля, 2023 пользователем keenet07

[protos69]

Уфф!   

Спасибо огромное!   Кажется проблема решилась.  Не нужен никакой статический маршрут. 

1. В Приоритетах подключений создаем новую политику доступа и включаем в ней VPN

2. В Политике применения перетаскиваем устройства или сегмент сети в эту политику.

ВАЖНО! - в настройках OpenVPN подключения должна быть проставлена галочка "Получать маршруты от удаленной стороны".  В случае со статическим маршрутом эта галочка наоборот не нужна.  

При перезагрузке все работает как настроили, ничего не сбрасывается. 

[keenet07]

9 минут назад, protos69 сказал:

Спасибо огромное!   Кажется проблема решилась.  Не нужен никакой статический маршрут. 

Хорошо. В следующий раз только создавайте свою тему с вопросом, если не нашли похожей. А то мы тут нафлудили не по теме. )) Хотя тут и без нас уже всё подряд со словом OpenVPN.

Изменено 1 февраля, 2023 пользователем keenet07

[pankov]

Здравствуйте.
Устройство: keenetic extra
Установленная версия: 3.8.7
Клиент и сервер OpenVPN установлен

Хочу сделать так: у меня есть 2 точки доступа вайфай, одна из них работает без впн, а другая строго по впн.

У меня пока не выходит, я делаю так:

1) Купил VPN и мне выдали openvpn профиль
2) согласно инструкции я его загрузил в роутер

статус пишет готов, вроде никаких ошибок (в конфиге указал логин и пароль, тип tcp)

3) Далее иду в приоритеты подключений и настраиваю новую политику как на скриншоте

4) после этого на вкладке "применение политик" настраиваю, что все устройства wifi сети (сегмента) должны использовать openVPN политику

Великобритания - это сегмент с wifi точкой доступа к которой я подключаюсь

Вроде все, подключаюсь с другого устройства к wifi, ожидаю что доступ в интернет будет через VPN но у меня вообще доступа в интернет нет, почему?

Пробовал по разному, даже менял политики и строго указывал что использовать устройству 

Результата нет, не могу выйти в интернет, кстати попробовал через спец клиенты openVPN - с ними все работает (те конфиг рабочий), но хочется сделать отдельную wifi сеть для выхода в интернет через vpn?

Когда подключаюсь с wifi (великобритания) то у меня ошибка в барузере err_name_not_resolved
похоже что-то с DNS, куда копать дальше и что делать не могу понять.
Помню что год назад все настроил минут за 5, не было никаких проблем, а сейчас уже сутки сижу...


В логах тоже ничего криминального не вижу, даже ip получаю от vpn
Но смущает все же ipшник DNS:
 

Фев 18 15:42:11

OpenVPN0

++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication

Фев 18 15:42:11

 

OpenVPN0

VERIFY EKU OK

Фев 18 15:42:11

 

OpenVPN0

VERIFY SCRIPT OK: depth=0, CN=server

Фев 18 15:42:11

 

OpenVPN0

VERIFY OK: depth=0, CN=server

Фев 18 15:42:12

 

OpenVPN0

Control Channel: TLSv1.3, cipher TLSv1.3 TLS_AES_256_GCM_SHA384, 2048 bit RSA

Фев 18 15:42:12

 

OpenVPN0

[server] Peer Connection Initiated with [AF_INET]51.89.151.241:443

Фев 18 15:42:12

 

ndm

Network::Interface::OpenVpn: "OpenVPN0": connecting via PPPoE0 (PPPoE0).

Фев 18 15:42:12

 

ndm

Network::Interface::OpenVpn: "OpenVPN0": added host route to remote endpoint 51.89.151.241 via PPPoE0.

Фев 18 15:42:12

 

ndm

Core::System::StartupConfig: configuration saved.

Фев 18 15:42:13

 

OpenVPN0

SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)

Фев 18 15:42:18

 

OpenVPN0

SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)

Фев 18 15:42:18

 

OpenVPN0

PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1,dhcp-option DNS 216.146.35.35,dhcp-option DNS 1.1.1.1,dhcp-option DNS 74.82.42.42,block-outside-dns,route 10.9.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.9.0.30 10.9.0.29,peer-id 6,cipher AES-256-GCM'

Вот тут вот dhcp-option dhcp-option DNS 216.146.35.35,dhcp-option DNS 1.1.1.1,dhcp-option DNS 74.82.42.42

Изменено 18 февраля, 2023 пользователем pankov

[keenet07]

1 час назад, pankov сказал:

Вроде все, подключаюсь с другого устройства к wifi, ожидаю что доступ в интернет будет через VPN но у меня вообще доступа в интернет нет, почему?

Галочка  на "Использовать для выхода в интернет" в настройках VPN стоит?

[SergeIv]

всем привет

подскажите - в openvpn можно как-то включить поддержку аппаратной шифрации?

а то с AES-128-GCM на чистом 100Мб канале всего 20Мб и одно из ядер загружено на 100%.

в то время как если запустить с компа - ~80Мб.

[krass]

22 минуты назад, SergeIv сказал:

всем привет

подскажите - в openvpn можно как-то включить поддержку аппаратной шифрации?

а то с AES-128-GCM на чистом 100Мб канале всего 20Мб и одно из ядер загружено на 100%.

в то время как если запустить с компа - ~80Мб.

Если вы хотите  более скоростной openvpn то из представленных моделей это либо 2710  либо 1811. В остальных гораздо более слабый cpu

[SergeIv]

45 minutes ago, krass said:

Если вы хотите  более скоростной openvpn то из представленных моделей это либо 2710  либо 1811. В остальных гораздо более слабый cpu

поэтому я и спросил про возможность подключения аппаратной шифрации, зачем это делать на процессоре если есть аппаратная поддержка крипто движка…

openvpn поддерживает (openvpn --show-engines), в роутере галочка на hardware network accel стоит.

возмножно просто собран без неё или надо явно что-то указать в "engine <engine-name>"?

[SergeIv]

6 minutes ago, ANDYBOND said:

Всё, что можно, уже включено на новейшей прошивке. Но мощности процессору это не добавляет.

 

грусть-печаль… спасибо.

[SSTP]

в опенвпн не возможно добавить несколько файлов с rsa 4096 b 8192 в одном файле .ovpn keenetic duo

Изменено 23 июля пользователем SSTP

[operkot]

Добрый день.

Есть арендованный сервер в Амстердаме с openVPN, на своем роутере настроил ВПН подключение, в приоритетах указал, что все телевизоры\телефоны\планшеты сидят на ВПН, а все компьтера без ВПН. Все это работает. Но так же на роутере установлен торрент клиент стандартный, и он всегда качает через ВПН, что абсолютно не нужно. Можно торрент клиент пустить в обход ВПН?