[Entware] Поднимаем OpenVPN сервер

[Александр Рыжов]

Faizrakhmanov, если стоит одна из последних прошивок, то ядро в ней будет явно не 2.6.36. Посмотрите где именно лежит нужный модуль и поправьте скрипт запуска.

Код: Выделить всё

find /lib/modules -name tun.ko

[Faizrakhmanov]

Александр Рыжов, благодарю за ответ.

При выполнении запроса:

Код: Выделить всё

find /lib/modules -name tun.ko

В ответ пустота:

Скриншот

Свернуть

[Александр Рыжов]

Скорее всего модуль tun уже включен в образ ядра и отдельным файлом не лежит. В этом случае можно удалить те три строчки из скрипта запуска:

Источник цитаты Добрый день.

Источник цитаты Для кинетиков с NDMS V2 скрипт запуска выглядит так

Код: Выделить всё

# Make sure the tunnel driver is loaded
if ( !(lsmod | grep -q "^tun") ); then
        insmod /lib/modules/2.6.36/tun.ko
fi

OpenVPN у вас работает, верно?

[Faizrakhmanov]

Источник цитаты OpenVPN у вас работает, верно?

Да, сервер OpenVPN запустил, сейчас настраиваю клиент.

Если не сложно, пожалуйста, подскажите. Вот при подключение клиента на Android через официальный софт в логах рутера вижу:

Код: Выделить всё

[*]Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
[*]WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
[*]Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
[*]Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
[*]WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
[*]Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
[*]WARNING: cipher with small block size in use, reducing reneg-bytes to 64MB to mitigate SWEET32 attacks.
[*]Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-GCM-SHA384, 2048 bit RSA

Вот мои настройки конфига *.ovpn для клиента:

Код: Выделить всё

client
dev tun
proto udp
sndbuf 0
rcvbuf 0
remote *.*.*.* 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
comp-lzo
verb 3
<caca>
<certсert>
<keykey>

Каким образом можно выполнить рекомендации системы?

Заранее благодарен.

[Zyxmon]

Faizrakhmanov, в google находится достаточно информации по этим строкам.

[Faizrakhmanov]

Zyxmon, перечитал много материала, но никак не могу победить данную рекомендацию.

Выставлял в конфиге сервера и клиента эти варианты:

Код: Выделить всё

cipher AES-256-CBC
cipher AES-128-CBC 

, но тогда в логе идет ошибка:

Код: Выделить всё

WARNING: 'cipher' is used inconsistently, local='cipher AES-128-CBC', remote='cipher BF-CBC'
Authenticate/Decrypt packet error: cipher final failed

и с этой ошибкой отпадает интернет на андроид устройстве.

PS. Установлен

Код: Выделить всё

opkg install openvpn-openssl

, настройка произведена с помощью скрипта

Код: Выделить всё

wget https://raw.githubusercontent.com/kpoxxx/openvpn-install/master/openvpn-install.sh -O openvpn-install.sh && bash openvpn-install.sh

Прошу Вашей помощи.

[Zyxmon]

Faizrakhmanov, предлагаю продолжить поиски на форуме openvpn. Это же не ошибка!

[Faizrakhmanov]

Разобрался сейчас с данным вопросом, дело было в конфиге клиентского *.ovpn. Правда, сейчас столкнулся с ошибкой при тестировании скорости подключения через сервис speedtest.net. При замере скорости скачивания все проходит гладко, но стоит начаться тесту скорости отдачи - ловлю ошибку:

Код: Выделить всё

client/*.*.*.*:* Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #12757 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings

Вычитал что это ошибка связанная с MTU, но как её перебороть не знаю. Перепробовал все варианты описанные в мануалах. Единственное, что помогло избавиться от ошибки - ключ mssfix 1340, но скорость отдачи колеблется на 0,2 Mbps, хотя скорость скачивания 9,59 Mbps.

Заранее спасибо.

[Yrzorg]

немного оффтопа про скорость
сервер Ultra2 (padavan)
клиент Giga2 (NDMS V1+entware)
шифрование BF-CBC, конфиг простейший
провайдер один и тот же, тарифная скорость 100 мбит/с
скорость в туннеле не превышала 20-25 мбит/с в обе стороны
почитав эту статью добавил в конфиги сервера и клиента

Код: Выделить всё

tun-mtu 48000
fragment 0
mssfix 0

после этого скорость возросла до 160-200 мбит/с (замерялось через iperf)

[Sergej]

Коллеги, два вопроса подскажите, плс. Особенно kpox как майнтэйнер скрипта.

Обязательно ли иметь статистический адрес от провайдера? Или можно настроить сервер чтобы к нему подключались на DDNS? DDNS прописан в ZyXel стандартными средствами (через веб-интерфейс).
На вопрос скрипта

Код: Выделить всё

First I need to know the IPv4 address of the network interface you want OpenVPN
listening to.

сдуру подтвердил текущий адрес (записал себе его на всякий). Теперь думаю брать статику и везде перепрописать.
Или всё же есть способ завязаться на домен DDNS?

Второй вопрос: Можно генерить ключи с использованием десктопа, и что в двух словах для этого мне надо. С этим должно мозгов хватит. Но пока сил не хватило мануалы вкурить. =(