LINUX.ORG.RU
ФорумTalks

Купил cudy самый мощный с OpenWRT 24, решил клиента l2tp/IKEV1 поднять... Да какой же это ад!

 , , ,


0

3

subj. Там вручную надо конфигурировать отдельно IPSEC, отдельно l2tp, и ещё у него (OpenWRT в такой схеме) MTU автоматом уменьшить лапки, тоже надо самому вручную. И хер прассышь, пока не увидишь тормоза на картинках и больших скриптах.

Это я к чему - когда кто-то пишет «да зачем keenetic? а зачем ещё и левое железо прошивкой кинетика прошивать??» - вот затем. 7 часов извращённого секса с самостоятельным дописыванием кусков для uci. Только чтобы подключиться по популярному (раньше, но раньше в OpenWRT также было) VPN протоколу.

PS. Я лох. До конца не разобрался в политиках сетей и интерфейсов кинетика. Всё там можно сделать. Теперь у меня есть wireguard сервер. Всем спасибо.

★★★★★

Последнее исправление: Shadow (всего исправлений: 3)

l2tp+ipsec всегда так настраивался. Не знаю, правда, куда тут семь часов ушло, но, возможно, мне проще, потому что я эту связку ещё с нулевых настривал неоднократно.

shell-script ★★★★★
()
Ответ на: комментарий от shell-script

Ты, наверно, ещё и LFS используешь... network-manager давно делает это всё за тебя, если что, ты просто вводишь ему параметры. В FreeBSD возможно даже без оного всё работает.

В итоге дело не в MTU, оно так и не заработало нормально, пакеты теряет где-то. теперь пробую pptp - сцуко, в свежем pppd какая-то жопа ещё...

Shadow ★★★★★
() автор топика
Последнее исправление: Shadow (всего исправлений: 2)
Ответ на: комментарий от shell-script

Коллега видимо первый раз ipsec настраивал. Когда я это первый раз делал четверть века назад (в обычном Дебиане) у меня тоже целый рабочий день ушел на разбирательство.

watchcat382 ★★
()
Ответ на: комментарий от Shadow

Я настраивал и сервер, и клиентов. Причём в качестве клиентов иногда выступали пользовательские машины, в том числе с оффтопиком(там я просто отдавал настройки и сертификат, пользователи настраивали сами), а иногда другие сервера. NM тут, как можно понять, ни разу не панацея.

shell-script ★★★★★
()
Ответ на: комментарий от shell-script

в том числе с оффтопиком

С сентября 2025 там ещё и несколько ключей реестра надо править, чтобы оно подключалось. Но OpenWRT бьёт все рекорды.

Shadow ★★★★★
() автор топика
Ответ на: комментарий от shell-script

Одно то, что это «связка» (да ещё и третий элемент в виде приклееного изолентой pppd встречается), уже ненормально. Оно конечно работает, но это груда костылей, где сходу непонятно даже где чья ответственность, и к которой совсем не хочется притрагиваться.

Нормально это так: вот listen ip:port (один, и который не требует никаких спец. обработок для натов, главное чтобы прокинут был до клиента как-нить), вот список юзеров с их реквизитами (пароли/ключи), вот виртуальные (или реальные) интерфейсы куда их подключаем при подключении. Опционально - какие-нить настройки раздачи ip-адресов и небольшой файлвол вида «этому можно общаться с таким-то списком ip:port». И один бинарник, которому даёшь файл конфига и он сразу работает (и логи пишет понятные и нормально структурированные, а не горы невразумительного мусора которые от ipsec-ов валятся).

firkax ★★★★★
()
Последнее исправление: firkax (всего исправлений: 1)
Ответ на: комментарий от firkax

Это всё прекрасно. Вот только когда стоит задача, чтобы работало из коробки и на любой ОС без сторонних экзотических клиентов, приходим к l2tp+ipsec(во всяком случае раньше так было, сейчас я в другой области работаю, мог отстать от сетевых технологий).

shell-script ★★★★★
()
Ответ на: комментарий от Shadow

С сентября 2025 там ещё и несколько ключей реестра надо править, чтобы оно подключалось. Но OpenWRT бьёт все рекорды.

Что за новости? У меня вин - пожизненная рабочая осъ, а ikev2 самый распространенный коннект. Ничего никогда нигде не правил, коннекты коннектятся, новые создаются и туда же.

lomaster
()
Ответ на: комментарий от firkax

таки всё близкое к описанному pppd делает. И ещё, OpenVPN мало того, что жрёт CPU как не в себя, так ещё и для ТСПУ как красная тряпка даже внутри чебурнета. А остальные современные VPN ещё и валидного домена (для сертификата) хотят. Тьфу.

Shadow ★★★★★
() автор топика
Ответ на: комментарий от shell-script

без сторонних экзотических клиентов, приходим к l2tp+ipsec(во всяком случае раньше так было

openvpn вцелом, ikev2 для мобилок, awg для нынешних реалий на 1/6.

lomaster
()
Ответ на: комментарий от lomaster

ikev1, l2tp и pptp. По-гугли, был неприятно удивлён - типа не секурно, просто втихую перестали подключаться.

Shadow ★★★★★
() автор топика
Ответ на: комментарий от Shadow

Да фигли это гуглить там лет 20+ критические уязвимости в этих версиях, я пптп менял по этой причине примерно в 2004:)

Но это точно не про л2тп, он же сам по себе транспорт же

lomaster
()
Последнее исправление: lomaster (всего исправлений: 1)
Ответ на: комментарий от Shadow

OpenVPN мало того, что жрёт CPU как не в себя, так ещё и для ТСПУ как красная тряпка даже внутри чебурнета

На мобильном i3 6 поколения (nuc6i3) этот протокол вполне тянет по 100 мегабайт в секунду (да, под гигабит), внутри страны работает хорошо, у меня сотня входящих подключений на нем живет.

А вообще vpn проще и удобнее под pfsense строить

lomaster
()
Последнее исправление: lomaster (всего исправлений: 2)
Ответ на: комментарий от Shadow

Так pptp же кусок несекурного говна. Пока на ржавый не перепишут лучше держаться подальше. Да и после тоже

cobold ★★★★★
()
Ответ на: комментарий от lomaster

На мобильном i3 6 поколения (nuc6i3) этот протокол вполне тянет по 100 мегабайт

У меня в теме назван роутер, назначение которого - питаться от маленького powerbank нескольлко часов. Какой i3????!!!

Shadow ★★★★★
() автор топика
Ответ на: комментарий от Shadow

У меня этот нук потребляет в среднем чуть меньше 4 ватт. А вот скотлько всего на нем крутится - ух.

Зы, сходил посмотрел - i3 дремучего 6 поколнения с 32гб рам и 1тб ссд жрет меньше любого куди, и по размеру намного меньше среднего.

lomaster
()
Последнее исправление: lomaster (всего исправлений: 2)
Ответ на: комментарий от shell-script

на любой ОС без сторонних экзотических клиентов, приходим к l2tp+ipsec

В новых андроидах убрали в связи с безопасностью

NyXzOr ★★★★★
()
Ответ на: комментарий от NyXzOr

После 11-го android стал чем-то неюзабельным.

Shadow ★★★★★
() автор топика
Ответ на: комментарий от thesis

У кинетика эта фигня тоже к SSL сертификату домена и первому по метрике интерфейсу гвоздями прибита. Думаю, не просто так.

Shadow ★★★★★
() автор топика
Ответ на: комментарий от thesis

У меня кинетик - сервер, openwrt - клиент. И всё идёт к тому, что openwrt на двухъядерном ARM - глючный хлам. Правда, у кинетика свои приколы, хато что работает, то работает очень хорошо.

Shadow ★★★★★
() автор топика
Последнее исправление: Shadow (всего исправлений: 1)
Ответ на: комментарий от Shadow

OpenVPN мало того, что жрёт CPU как не в себя

нет

для ТСПУ как красная тряпка даже внутри чебурнета

нет

остальные современные VPN ещё и валидного домена (для сертификата) хотят

нет

Lordwind ★★★★★
()
Ответ на: комментарий от thesis

удивляюсь малой популярностью SSTP

Нормальная скорость только на оффтопике, порт менять низя, хендшейк легко палится. В общем это OpenVPN для виндузятников.

Lordwind ★★★★★
()
Ответ на: комментарий от Lordwind

остальные современные VPN ещё и валидного домена (для сертификата) хотятнет

https://support.keenetic.com/hero/kn-1011/en/25350-ikev2-ipsec-vpn-server.html - вот это г...о генерит свой сертификат и вешается на интерфейс с верхней метрикой. При попытке подсоединиться к другому интерфейсу сертификат не срабатывает. Свои сертификаты туда нельзя. Задолбали с мегасекьюрностью, мне просто тоннель нужен.

Shadow ★★★★★
() автор топика
Последнее исправление: Shadow (всего исправлений: 1)
Ответ на: комментарий от NyXzOr

В новых андроидах убрали в связи с безопасностью

Чистый ipsec оставили. Прекрасно работает там где работают обычные протоколы (интранет, чебурнет). Самая мякотка во всеядности и скорости подключения.

Lordwind ★★★★★
()
Ответ на: комментарий от Shadow

когда кто-то пишет «да зачем keenetic? а зачем ещё и левое железо прошивкой кинетика прошивать??» - вот затем

Lordwind ★★★★★
()
Ответ на: комментарий от Lordwind

Чистый ipsec оставили.

Только второй. Первый убрали.

Shadow ★★★★★
() автор топика
Ответ на: комментарий от Lordwind

порт менять низя, хендшейк легко палится

Не вижу проблемы; первое утверждение к тому же сомнительно.

Нормальная скорость только на оффтопике

для виндузятников

Ну кто что осилил реализовать, да.

thesis ★★★★★
()
Ответ на: комментарий от thesis

Он ikev2 делает генерацией сертификата домена и цепляет к первому интерфейсу. А у меня там PPPOE провайдера и две амнезии, из которых одна - с высшей метрикой. И мне ikev2+ipsec в Сербии нафиг не сдался - да там вообще почти все VPN протоколы не дают выбрать интерфейс, я использую те, которые на всех биндятся. А l2tp в OpenWRT кривой и унылый, pptp заброшен и глючный. Сейчас мучаю ikev1+ipsec.

Shadow ★★★★★
() автор топика
Последнее исправление: Shadow (всего исправлений: 2)
Ответ на: комментарий от thesis

Не, мы ругаем OpenWRT и их кривую поддержку устаревших протоколов - они проводят огромную работу, выкидывая из программ всё ненужное, но не зря же keenetic свою реализауию l2tp запилили и не только. Если сейчас IKEV1 подниму, вопрос исчерпан.

Shadow ★★★★★
() автор топика
Последнее исправление: Shadow (всего исправлений: 2)

успехов!

может напилить свой дистрибутив OpenWRT с кнопками «Далее», «Далее», «Готово» и заработать все деньги?

unclestephen ★★★★★
()
Ответ на: комментарий от BceM_IIpuBeT

Я лучше перенесу kl2tpd на openwrt и напишу морды к luci. Реально, после openwrt 14 весь userland скатился в какую-то роллинг бету

Shadow ★★★★★
() автор топика
Последнее исправление: Shadow (всего исправлений: 1)
Ответ на: комментарий от lomaster

Lordwind, shell-script, watchcat382

Коллеги, я давно отстал от ip стека в linux, подскажите, почему после настройки ipsec для того, чтобы всё заработало, надо ВОТ ЭТО (192.168.1.1 - это сервер VPN с ништяками, 192.168.10.1 - это дорожный роутер-клиент, в usb телефон или модем):


ip addr add 172.20.0.1/32 dev usb0 2>/dev/null
ip route replace 192.168.1.0/24 via 192.168.14.19 dev usb0 src 172.20.0.1
ip route add 192.168.1.0/24 dev usb0 src 172.20.0.1

uci add_list firewall.@zone[1].masq_dest='!192.168.1.0/24'
uci commit firewall
/etc/init.d/firewall restart


nft insert rule inet fw4 srcnat_wan ip saddr 172.20.0.1 ip daddr 192.168.1.0/24 return
nft add rule inet fw4 srcnat_wan ip saddr 192.168.10.0/24 ip daddr 192.168.1.0/24 snat to 172.20.0.1
- вопросы у меня к тому, почему оно само как-то не поднимает нормально ip в сети, и если так и задумано, наверняка есть какой-то нормальный «волшебный софт» на баш-портянках, чтоб было как у людей?

Ну и последнее - как это ПРАВИЛЬНО в панель роутера запаковать, пока выглядит как суперкостыль.

Shadow ★★★★★
() автор топика
Последнее исправление: Shadow (всего исправлений: 1)
Ответ на: комментарий от watchcat382

Нет, там буквально эффект как от ТСПУ с 16 кб. На Cisco IKEV1/IPSEC нормально заработало, портянку запихал в init скрипт, запускаю вручную после подъёма сети (телефон-модем-гостевая сеть в коворкинге и т.п.)

Shadow ★★★★★
() автор топика
Последнее исправление: Shadow (всего исправлений: 1)
Ответ на: комментарий от Shadow

надо ВОТ ЭТО

Дело в том, что туннель - это такое же сетевое соединение как и те, которые должны потом идти внутри туннеля. Именно поэтому и приходится тем или иным способом объяснять сетевому стеку куда какие пакетики роутить. Иначе туннель «заворачивается сам в себя». В вашем примере через source routing сделали, но раньше и без него обходились.

как это ПРАВИЛЬНО в панель роутера запаковать

По моим ощущениям - графический конфигуратор в OpenWRT - это для совсем-совсем простых случаев применения. Если нужно что-то более сложное - то надо просто писать скрипты с нужными командами. Благо что OpenWRT это вполне обычный линукс.

watchcat382 ★★
()
Ответ на: комментарий от watchcat382

Именно поэтому и приходится тем или иным способом объяснять сетевому стеку куда какие пакетики роутить.

...но у меня не поднимается никакого tun0 или tap0. С которыми я привык иметь дело. Вот это я и спрашиваю, а не очевидные вещи.

Shadow ★★★★★
() автор топика
Ответ на: комментарий от Shadow

там буквально эффект как от ТСПУ с 16 кб.

Обычно такое случается в случае необычного значениям МТU в сочетании с непрохождением icmp пакетов которые и должны заставлять отправителя подстроиться к значению mtu. Посмотрите, не заблокировано ли у вас где-нибудь по пути icmp «в целях безопасности». Напомню, что внезапно icmp это не только ping и ответ на него. Кстати пинговать можно пакетами разного размера и спотреть какие еще проходят, а какие уже нет. Так выяснить реальный mtu.

watchcat382 ★★
()
Ответ на: комментарий от watchcat382

По моим ощущениям - графический конфигуратор в OpenWRT - это для совсем-совсем простых случаев применения. Если нужно что-то более сложное - то надо просто писать скрипты с нужными командами.

Вот, на досуге буду пилить панель для этого и портировать kl2tpd.

Shadow ★★★★★
() автор топика
Ответ на: комментарий от watchcat382

Обычно такое случается в случае необычного значениям МТU в сочетании с непрохождением icmp пакетов которые и должны заставлять отправителя подстроиться к значению mtu.

Ха-ха. Думаешь, я это не исследовал? Надо глубже копать в работу l2tp, ipsec над ним в порядке, как видно из результатов.

Shadow ★★★★★
() автор топика
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)