[Entware] Поднимаем OpenVPN сервер

Используем пакеты, расширяющие возможности оборудования
Аватара пользователя
Александр Рыжов
Сообщения: 289
Зарегистрирован: 12 авг 2015, 13:14
Откуда: Смоленск

Сообщение Александр Рыжов » 04 янв 2017, 19:15

Faizrakhmanov, если стоит одна из последних прошивок, то ядро в ней будет явно не 2.6.36. Посмотрите где именно лежит нужный модуль и поправьте скрипт запуска.

Код: Выделить всё

find /lib/modules -name tun.ko

Faizrakhmanov
Сообщения: 6
Зарегистрирован: 04 янв 2017, 05:58
Откуда: Казань

Сообщение Faizrakhmanov » 04 янв 2017, 20:24

Александр Рыжов, благодарю за ответ.

При выполнении запроса:

Код: Выделить всё

find /lib/modules -name tun.ko


В ответ пустота:
Скриншот
Изображение
Свернуть
<Keenetic Ultra II> <Entware-3х>

Аватара пользователя
Александр Рыжов
Сообщения: 289
Зарегистрирован: 12 авг 2015, 13:14
Откуда: Смоленск

Сообщение Александр Рыжов » 04 янв 2017, 20:37

Скорее всего модуль tun уже включен в образ ядра и отдельным файлом не лежит. В этом случае можно удалить те три строчки из скрипта запуска:
Faizrakhmanov писал(а):Источник цитаты Добрый день.

Zyxmon писал(а):Источник цитаты Для кинетиков с NDMS V2 скрипт запуска выглядит так

Код: Выделить всё

# Make sure the tunnel driver is loaded
if ( !(lsmod | grep -q "^tun") ); then
        insmod /lib/modules/2.6.36/tun.ko
fi

OpenVPN у вас работает, верно?

Faizrakhmanov
Сообщения: 6
Зарегистрирован: 04 янв 2017, 05:58
Откуда: Казань

Сообщение Faizrakhmanov » 04 янв 2017, 21:24

Александр Рыжов писал(а):Источник цитаты OpenVPN у вас работает, верно?

Да, сервер OpenVPN запустил, сейчас настраиваю клиент.

Если не сложно, пожалуйста, подскажите. Вот при подключение клиента на Android через официальный софт в логах рутера вижу:

Код: Выделить всё

[*]Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
[*]WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
[*]Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
[*]Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
[*]WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
[*]Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
[*]WARNING: cipher with small block size in use, reducing reneg-bytes to 64MB to mitigate SWEET32 attacks.
[*]Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-GCM-SHA384, 2048 bit RSA


Вот мои настройки конфига *.ovpn для клиента:

Код: Выделить всё

client
dev tun
proto udp
sndbuf 0
rcvbuf 0
remote *.*.*.* 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
comp-lzo
verb 3
<caca>
<certсert>
<keykey>


Каким образом можно выполнить рекомендации системы?

Заранее благодарен.
<Keenetic Ultra II> <Entware-3х>

Аватара пользователя
Zyxmon
Администратор
Сообщения: 1148
Зарегистрирован: 09 авг 2015, 14:33

Сообщение Zyxmon » 04 янв 2017, 22:30

Faizrakhmanov, в google находится достаточно информации по этим строкам.

Faizrakhmanov
Сообщения: 6
Зарегистрирован: 04 янв 2017, 05:58
Откуда: Казань

Сообщение Faizrakhmanov » 05 янв 2017, 00:54

Zyxmon, перечитал много материала, но никак не могу победить данную рекомендацию.

Выставлял в конфиге сервера и клиента эти варианты:

Код: Выделить всё

cipher AES-256-CBC
cipher AES-128-CBC 
, но тогда в логе идет ошибка:

Код: Выделить всё

WARNING: 'cipher' is used inconsistently, local='cipher AES-128-CBC', remote='cipher BF-CBC'
Authenticate/Decrypt packet error: cipher final failed
и с этой ошибкой отпадает интернет на андроид устройстве.

PS. Установлен

Код: Выделить всё

opkg install openvpn-openssl
, настройка произведена с помощью скрипта

Код: Выделить всё

wget https://raw.githubusercontent.com/kpoxxx/openvpn-install/master/openvpn-install.sh -O openvpn-install.sh && bash openvpn-install.sh


Прошу Вашей помощи.
<Keenetic Ultra II> <Entware-3х>

Аватара пользователя
Zyxmon
Администратор
Сообщения: 1148
Зарегистрирован: 09 авг 2015, 14:33

Сообщение Zyxmon » 05 янв 2017, 00:58

Faizrakhmanov, предлагаю продолжить поиски на форуме openvpn. Это же не ошибка!

Faizrakhmanov
Сообщения: 6
Зарегистрирован: 04 янв 2017, 05:58
Откуда: Казань

Сообщение Faizrakhmanov » 05 янв 2017, 16:12

Разобрался сейчас с данным вопросом, дело было в конфиге клиентского *.ovpn. Правда, сейчас столкнулся с ошибкой при тестировании скорости подключения через сервис speedtest.net. При замере скорости скачивания все проходит гладко, но стоит начаться тесту скорости отдачи - ловлю ошибку:

Код: Выделить всё

client/*.*.*.*:* Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #12757 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings


Вычитал что это ошибка связанная с MTU, но как её перебороть не знаю. Перепробовал все варианты описанные в мануалах. Единственное, что помогло избавиться от ошибки - ключ mssfix 1340, но скорость отдачи колеблется на 0,2 Mbps, хотя скорость скачивания 9,59 Mbps.

Заранее спасибо.
<Keenetic Ultra II> <Entware-3х>

Yrzorg
Сообщения: 58
Зарегистрирован: 05 окт 2015, 12:23

Сообщение Yrzorg » 17 янв 2017, 13:57

немного оффтопа про скорость
сервер Ultra2 (padavan)
клиент Giga2 (NDMS V1+entware)
шифрование BF-CBC, конфиг простейший
провайдер один и тот же, тарифная скорость 100 мбит/с
скорость в туннеле не превышала 20-25 мбит/с в обе стороны
почитав эту статью добавил в конфиги сервера и клиента

Код: Выделить всё

tun-mtu 48000
fragment 0
mssfix 0

после этого скорость возросла до 160-200 мбит/с (замерялось через iperf)
Keenetic Ultra II+Entware
padavan 3.4.3.9-099

Sergej
Сообщения: 2
Зарегистрирован: 24 фев 2017, 15:45

Сообщение Sergej » 24 фев 2017, 15:57

Коллеги, два вопроса подскажите, плс. Особенно kpox как майнтэйнер скрипта.

Обязательно ли иметь статистический адрес от провайдера? Или можно настроить сервер чтобы к нему подключались на DDNS? DDNS прописан в ZyXel стандартными средствами (через веб-интерфейс).
На вопрос скрипта

Код: Выделить всё

First I need to know the IPv4 address of the network interface you want OpenVPN
listening to.

сдуру подтвердил текущий адрес (записал себе его на всякий). Теперь думаю брать статику и везде перепрописать.
Или всё же есть способ завязаться на домен DDNS?

Второй вопрос: Можно генерить ключи с использованием десктопа, и что в двух словах для этого мне надо. С этим должно мозгов хватит. Но пока сил не хватило мануалы вкурить. =(


Вернуться в «Entware/Qnapware/Optware/Zyxware - обсуждаем репозитории пакетов»

Кто сейчас на конференции

Всего 1 посетитель :: 0 зарегистрированных, 0 скрытых и 1 гость (основано на активности пользователей за последние 5 минут)
Больше всего посетителей (121) здесь было 18 май 2016, 18:19

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 1 гость