LINUX.ORG.RU

38
Всего сообщений: 1280

Как выбрать vps по скорости доступа

Мне нужен сервер где-нибудь в европе для бекапов баз и образов. Я просто уже второй сервер натыкаюсь на такую штуку. Я ищу лукинг гласс для сервера, проверяю скорость. Вроде все отлично. А потом беру сервер, а там скорость передачи до него в десятки раз меньше. Могу по лукинг гласс видеть доступ с локального сервера под 150 Мбит, а на деле получить какие нибудь 10-12 Мбит. А если нужен еще опенвпн до сервера, так там вообще 2-3 Мбита. И что делать в такой ситуации? Как надежно проверить скорость до сервера не проплачивая каждый раз месяц аренды? Есть где нибудь пользовательская статистика или типо того? Я последний раз браз хетзнер сторедж бокс в германии. Вот результат измерения скорости до него

[  5]   0.00-411.91  sec   101 MBytes  2.2 Mbits/sec  1352             sender
[  5]   0.00-411.96  sec  98.7 MBytes  1.9 Mbits/sec                  receiver

Просто треш.

 , ,

knd ()

transport error openvpn socket protect error udp

в windows не подключается в vpn, пишет
transport error openvpn socket protect error udp
фаирвол commodo отклбчил вроде, толку нет.
с телефона и линукса все норм подключается.

 

Regacar ()

Ошибка в конфиге .openvpn Спасите помогите)

День добрый, был дан клиентский конфиг .openvpn и копия конфига сервера(незнаю зачем), после удачного импорта конфига клиентом у него в логах при запуске

[17:58]
    Mon Jan 25 17:55:15 2021 us=632361 There is a problem in your selection of --ifconfig endpoints [local=10.0.1.48, remote=10.0.1.47].  The local and remote VPN endpoints must exist within the same 255.255.255.252 subnet.  This is a limitation of --dev tun when used with the TAP-WIN32 driver.  Try 'openvpn --show-valid-subnets' option for more info.
Mon Jan 25 17:55:15 2021 us=632361 Exiting due to fatal error

сервер:

dev tun75
ifconfig 10.0.1.47 10.0.1.48
script-security 2
up ./name_10322901.up
secret name_10322901.key
port 30079
comp-lzo
ping 30
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
verb 3
mute-replay-warnings
status /etc/openvpn/log/name_10322901.log
log-append /etc/openvpn/log/name_10322901 

серверный скрипт, добавляющий маршрут и лежащий в одной директории c серверным конфигом:

#!/bin/sh
/sbin/route add -net 1.1.69.0 netmask 255.255.255.0 gw 10.0.1.47
exit 0

клиент

remote КАКОЙТОИП

--script-security 2

port 30079

dev tun

ifconfig 10.0.1.48 10.0.1.47

secret name_10322901.key

ping 30

ping-restart 120

comp-lzo

verb 4

mute 10

клиентский скрипт name_10322901.up лежащий в одной директории c клиенским конфигом, добавляющий маршрут:

#!/bin/sh
/sbin/route add -net 1.1.69.0 netmask 255.255.255.0 gw 10.0.1.48
exit 0

Ошибка на клиенте, что его IP находится не в одной подсети с сервером, ошибка в клиенском конфиге или в серверном? Буду рад если кто то поможет найти ошибку.

Очень буду благодарен за помощь.

 , , ,

TesterTester ()

OPENVPN не видно сеть за клиентом

Доброго времени суток. Есть роутер pfsense 2.4.5-RELEASE-p1, на нем настроен openvpn. Клиент подключаеться и полуает полный доступ к сети за pfsense, но со стороны pfsene я не могу пропинговать внутрений ip клиента, пинг проходит только до ip тунеля.

Сеть pfsense IP тунеля сервер IP тунеля клиент IP локальный клиента

192.168.1.0/24———–192.168.2.1—————192.168.2.2————-192.168.10.3

dev ovpns1
verb 1
dev-type tun
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp4
cipher AES-256-CBC
auth SHA1
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
client-connect /usr/local/sbin/openvpn.attributes.sh
client-disconnect /usr/local/sbin/openvpn.attributes.sh
local WAN IP
tls-server
server 192.168.2.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc/server1
username-as-common-name
plugin /usr/local/lib/openvpn/plugins/openvpn-plugin-auth-script.so /usr/local/sbin/ovpn_auth_verify_async user TG9jYWwgRGF0YWJhc2U= false server1 1194
tls-verify "/usr/local/sbin/ovpn_auth_verify tls VPNServer' 1"
lport 1194
management /var/etc/openvpn/server1.sock unix
push "route 192.168.1.0 255.255.255.0"
client-to-client
ca /var/etc/openvpn/server1.ca 
cert /var/etc/openvpn/server1.cert 
key /var/etc/openvpn/server1.key 
dh /etc/dh-parameters.2048
tls-auth /var/etc/openvpn/server1.tls-auth 0
ncp-ciphers AES-128-GCM
compress lz4-v2
persist-remote-ip
float
topology subnet
route 192.168.10.0 255.255.225.0

ОС клиента ubuntu server 20.04

 

atel ()

Openvpn на Openwrt и клиент iOS

Доброй день, друзья!

Есть роутер Асус rt-51u, прошит OpenWrt. На нем поднят openvpn сервер, проблема в том, что я не могу подключиться к нему с iOS устройства (клиент на устройстве родной). С винды соединяется и работает, незнаю насколько полноценно, но ip меняется и к локальным хостам в домашней сети доступ есть. Самое интересное в этом, что с асусовской прошивкой все работало на ура. Но, в родной есть особенности, заставившие ее менять.

Вот конфиг сервера:

local 0.0.0.0
port 1194
proto udp
dev tun

topology subnet

ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key

dh /etc/openvpn/dh.pem

server 10.8.0.0 255.255.255.0

ifconfig-pool-persist ipp.txt

push "redirect-gateway def1"

cipher AES-256-CBC


client-to-client

keepalive 15 60

max-clients 2

persist-key
persist-tun

status openvpn-status.log

verb 0
mute 20

Вот клиента(виндового, работающего)
client
dev tun
proto udp
remote 0.0.0.0 1194
persist-key
persist-tun
cipher AES-256-CBC
keepalive 15 60
auth-user-pass
verb 3

Ключи и сертификаты в теле файла лежат

Вот его лог из винды:

21-01-26 06:27:50 DEPRECATED OPTION: --cipher set to 'AES-256-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add 'AES-256-CBC' to --data-ciphers or change --cipher 'AES-256-CBC' to --data-ciphers-fallback 'AES-256-CBC' to silence this warning.

2021-01-26 06:27:50 OpenVPN 2.5.0 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Oct 28 2020

2021-01-26 06:27:50 Windows version 10.0 (Windows 10 or greater) 64bit

2021-01-26 06:27:50 library versions: OpenSSL 1.1.1h  22 Sep 2020, LZO 2.10
Enter Management Password:

2021-01-26 06:27:50 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340

2021-01-26 06:27:50 Need hold release from management interface, waiting...

2021-01-26 06:27:51 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340

2021-01-26 06:27:51 MANAGEMENT: CMD 'state on'

2021-01-26 06:27:51 MANAGEMENT: CMD 'log all on'

2021-01-26 06:27:51 MANAGEMENT: CMD 'echo all on'

2021-01-26 06:27:51 MANAGEMENT: CMD 'bytecount 5'

2021-01-26 06:27:51 MANAGEMENT: CMD 'hold off'

2021-01-26 06:27:51 MANAGEMENT: CMD 'hold release'

2021-01-26 06:27:51 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.

2021-01-26 06:27:51 TCP/UDP: Preserving recently used remote address: [AF_INET]0.0.0.0:1194

2021-01-26 06:27:51 Socket Buffers: R=[65536->65536] S=[65536->65536]

2021-01-26 06:27:51 UDP link local (bound): [AF_INET][undef]:1194

2021-01-26 06:27:51 UDP link remote: [AF_INET]0.0.0.0:1194

2021-01-26 06:27:51 MANAGEMENT: >STATE:1611631671,WAIT,,,,,,

2021-01-26 06:27:53 MANAGEMENT: >STATE:1611631673,AUTH,,,,,,

2021-01-26 06:27:53 TLS: Initial packet from [AF_INET]0.0.0.0:1194, sid=fb3d5349 1a6f6327

2021-01-26 06:27:53 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this

2021-01-26 06:27:53 VERIFY OK: depth=0, CN=server

2021-01-26 06:27:53 Control Channel: TLSv1.3, cipher TLSv1.3 TLS_CHACHA20_POLY1305_SHA256, 1024 bit RSA

2021-01-26 06:27:53 [server] Peer Connection Initiated with [AF_INET]0.0.0.0:1194

2021-01-26 06:27:54 MANAGEMENT: >STATE:1611631674,GET_CONFIG,,,,,,

2021-01-26 06:27:54 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)

2021-01-26 06:28:00 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)

2021-01-26 06:28:00 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1,route-gateway 10.8.0.1,topology subnet,ping 15,ping-restart 60,ifconfig 10.8.0.2 255.255.255.0,peer-id 0,cipher AES-256-GCM'

2021-01-26 06:28:00 OPTIONS IMPORT: timers and/or timeouts modified

2021-01-26 06:28:00 OPTIONS IMPORT: --ifconfig/up options modified

2021-01-26 06:28:00 OPTIONS IMPORT: route options modified

2021-01-26 06:28:00 OPTIONS IMPORT: route-related options modified

2021-01-26 06:28:00 OPTIONS IMPORT: peer-id set

2021-01-26 06:28:00 OPTIONS IMPORT: adjusting link_mtu to 1624

2021-01-26 06:28:00 OPTIONS IMPORT: data channel crypto options modified

2021-01-26 06:28:00 Data Channel: using negotiated cipher 'AES-256-GCM'

2021-01-26 06:28:00 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key

2021-01-26 06:28:00 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key

2021-01-26 06:28:00 interactive service msg_channel=620

2021-01-26 06:28:00 ROUTE_GATEWAY 172.16.197.211/255.255.255.0 I=12 HWADDR=82:15:13:6f:70:78

2021-01-26 06:28:00 open_tun

2021-01-26 06:28:00 tap-windows6 device [OpenVPN TAP-Windows6] opened

2021-01-26 06:28:00 TAP-Windows Driver Version 9.24 

2021-01-26 06:28:00 Set TAP-Windows TUN subnet mode network/local/netmask = 10.8.0.0/10.8.0.2/255.255.255.0 [SUCCEEDED]

2021-01-26 06:28:00 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.8.0.2/255.255.255.0 on interface {BCC9137E-C3AD-4C43-AB91-DE8F8B4686CB} [DHCP-serv: 10.8.0.254, lease-time: 31536000]

2021-01-26 06:28:00 Successful ARP Flush on interface [45] {BCC9137E-C3AD-4C43-AB91-DE8F8B4686CB}
2021-01-26 06:28:00 MANAGEMENT: >STATE:1611631680,ASSIGN_IP,,10.8.0.2,,,,

2021-01-26 06:28:00 IPv4 MTU set to 1500 on interface 45 using service

2021-01-26 06:28:05 TEST ROUTES: 1/1 succeeded len=0 ret=1 a=0 u/d=up

2021-01-26 06:28:05 C:\Windows\system32\route.exe ADD 0.0.0.0 MASK 255.255.255.255 172.16.197.211
2021-01-26 06:28:05 Route addition via service succeeded

2021-01-26 06:28:05 C:\Windows\system32\route.exe ADD 0.0.0.0 MASK 128.0.0.0 10.8.0.1

2021-01-26 06:28:05 Route addition via service succeeded

2021-01-26 06:28:05 C:\Windows\system32\route.exe ADD 128.0.0.0 MASK 128.0.0.0 10.8.0.1

2021-01-26 06:28:05 Route addition via service succeeded

2021-01-26 06:28:05 Initialization Sequence Completed

2021-01-26 06:28:05 MANAGEMENT: >STATE:1611631685,CONNECTED,SUCCESS,10.8.0.2,0.0.0.0,1194,,

2021-01-26 06:34:02 MANAGEMENT: CMD 'signal SIGHUP'

2021-01-26 06:34:02 C:\Windows\system32\route.exe DELETE 0.0.0.0 MASK 255.255.255.255 172.16.197.211

2021-01-26 06:34:02 Route deletion via service succeeded

2021-01-26 06:34:02 C:\Windows\system32\route.exe DELETE 0.0.0.0 MASK 128.0.0.0 10.8.0.1

2021-01-26 06:34:02 Route deletion via service succeeded

2021-01-26 06:34:02 C:\Windows\system32\route.exe DELETE 128.0.0.0 MASK 128.0.0.0 10.8.0.1

2021-01-26 06:34:02 Route deletion via service succeeded

2021-01-26 06:34:02 Closing TUN/TAP interface

2021-01-26 06:34:02 TAP: DHCP address released

2021-01-26 06:34:02 SIGHUP[hard,] received, process restarting

2021-01-26 06:34:02 MANAGEMENT: >STATE:1611632042,RECONNECTING,SIGHUP,,,,,

2021-01-26 06:34:02 DEPRECATED OPTION: --cipher set to 'AES-256-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add 'AES-256-CBC' to --data-ciphers or change --cipher 'AES-256-CBC' to --data-ciphers-fallback 'AES-256-CBC' to silence this warning.

2021-01-26 06:34:02 OpenVPN 2.5.0 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Oct 28 2020

2021-01-26 06:34:02 Windows version 10.0 (Windows 10 or greater) 64bit

2021-01-26 06:34:02 library versions: OpenSSL 1.1.1h  22 Sep 2020, LZO 2.10

2021-01-26 06:34:02 Restart pause, 5 second(s)

2021-01-26 06:34:07 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.

2021-01-26 06:34:07 TCP/UDP: Preserving recently used remote address: [AF_INET]0.0.0.0:1194
2021-01-26 06:34:07 Socket Buffers: R=[65536->65536] S=[65536->65536]

2021-01-26 06:34:07 UDP link local (bound): [AF_INET][undef]:1194

2021-01-26 06:34:07 UDP link remote: [AF_INET]0.0.0.01194

2021-01-26 06:34:07  MANAGEMENT: >STATE:1611632047,WAIT,,,,,,

2021-01-26 06:34:07 MANAGEMENT: >STATE:1611632047,AUTH,,,,,,

2021-01-26 06:34:07 TLS: Initial packet from [AF_INET]0.0.0.01194, sid=f07a9c09 1ca93b66

2021-01-26 06:34:07 VERIFY OK: depth=0, CN=server

2021-01-26 06:34:07 WARNING: 'dev-type' is used inconsistently, local='dev-type tap', remote='dev-type tun'

2021-01-26 06:34:07 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1589', remote='link-mtu 1557'

2021-01-26 06:34:07 WARNING: 'tun-mtu' is used inconsistently, local='tun-mtu 1532', remote='tun-mtu 1500'

2021-01-26 06:34:07 Control Channel: TLSv1.3, cipher TLSv1.3 TLS_CHACHA20_POLY1305_SHA256, 1024 bit RSA

2021-01-26 06:34:07 [server] Peer Connection Initiated with [AF_INET]0.0.0.0:1194

2021-01-26 06:34:08 MANAGEMENT: >STATE:1611632048,GET_CONFIG,,,,,,
2021-01-26 06:34:08 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)

2021-01-26 06:34:08 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1,route-gateway 10.8.0.1,topology subnet,ping 15,ping-restart 60,ifconfig 10.8.0.2 255.255.255.0,peer-id 0,cipher AES-256-GCM'
2021-01-26 06:34:08 OPTIONS IMPORT: timers and/or timeouts modified

2021-01-26 06:34:08 OPTIONS IMPORT: --ifconfig/up options modified

2021-01-26 06:34:08 OPTIONS IMPORT: route options modified

2021-01-26 06:34:08 OPTIONS IMPORT: route-related options modified

2021-01-26 06:34:08 OPTIONS IMPORT: peer-id set

2021-01-26 06:34:08 OPTIONS IMPORT: adjusting link_mtu to 1656

2021-01-26 06:34:08 OPTIONS IMPORT: data channel crypto options modified

2021-01-26 06:34:08 Data Channel: using negotiated cipher 'AES-256-GCM'

2021-01-26 06:34:08 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key

2021-01-26 06:34:08 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key

2021-01-26 06:34:08 interactive service msg_channel=620

2021-01-26 06:34:08 ROUTE_GATEWAY 172.16.197.211/255.255.255.0 I=12 HWADDR=82:15:13:6f:70:78

2021-01-26 06:34:08 open_tun

2021-01-26 06:34:08 tap-windows6 device [OpenVPN TAP-Windows6] opened

2021-01-26 06:34:08 TAP-Windows Driver Version 9.24 

2021-01-26 06:34:08 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.8.0.2/255.255.255.0 on interface {BCC9137E-C3AD-4C43-AB91-DE8F8B4686CB} [DHCP-serv: 10.8.0.0, lease-time: 31536000]

2021-01-26 06:34:08 Successful ARP Flush on interface [45] {BCC9137E-C3AD-4C43-AB91-DE8F8B4686CB}

2021-01-26 06:34:08 MANAGEMENT: >STATE:1611632048,ASSIGN_IP,,10.8.0.2,,,,

2021-01-26 06:34:08 IPv4 MTU set to 1500 on interface 45 using service

2021-01-26 06:34:13 TEST ROUTES: 1/1 succeeded len=0 ret=1 a=0 u/d=up

2021-01-26 06:34:13 C:\Windows\system32\route.exe ADD 0.0.0.0 MASK 255.255.255.255 172.16.197.211
2021-01-26 06:34:13 Route addition via service succeeded


2021-01-26 06:34:13 C:\Windows\system32\route.exe ADD 0.0.0.0 MASK 128.0.0.0 10.8.0.1

2021-01-26 06:34:13 Route addition via service succeeded
2021-01-26 06:34:13 C:\Windows\system32\route.exe ADD 128.0.0.0 MASK 128.0.0.0 10.8.0.1

2021-01-26 06:34:13 Route addition via service succeeded

Всё, что знал перепробовал, создавал отдельные ключи для каждого из клиентов, отсылал ключи на iOS в виде контейнера, как советовали на хабре, переводил iOS-ключ в rsa-формат, все тщетно:(

Потом нашёл такой же роутер с родной прошивкой и через ssh вытащил из него конфиги

Вот они:

daemon
server 0.0.0.0 255.255.255.0
proto udp
multihome
port 1194
dev tun21
cipher AES-128-CBC
comp-lzo adaptive
keepalive 15 60
verb 3
push "route 192.168.1.0 255.255.255.0 vpn_gateway 500"
duplicate-cn
plugin /usr/lib/openvpn-plugin-auth-pam.so openvpn

status-version 2
status status 10

Клиент:

client
dev tun
proto udp
remote 0.0.0.0 1194
float
cipher AES-128-CBC
comp-lzo adaptive
keepalive 15 60
auth-user-pass
ns-cert-type server
<ca>

Ключи у клиента тоже в теле файла. Вроде и различий особых нет, разве что авторизация, тем не менее один работает, другой нет.

Помогите разобраться, плиз...

 , ,

gringa ()

Трафик мимо OpenVPN

ВПН блокировки обходит, а 2ip.ru показывает IP сервера. Но сайт, размещённый на этом сервере, видит мой внешний IP, а не сервера.И так как сайт без https, то если залогинится, Wireshack покажет логин и пароль. Да если и на чужих http сайтах что-либо ввожу, Wireshark на tun0 всё это видит.

route -n на клиенте:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.8.0.5        128.0.0.0       UG    0      0        0 tun0
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 wlan0
10.8.0.1        10.8.0.5        255.255.255.255 UGH   0      0        0 tun0
10.8.0.5        0.0.0.0         255.255.255.255 UH    0      0        0 tun0
128.0.0.0       10.8.0.5        128.0.0.0       UG    0      0        0 tun0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 wlan0
192.32.52.123   192.168.1.1     255.255.255.255 UGH   0      0        0 wlan0

server.conf

port 3000
proto udp
dev tun
ca /etc/openvpn/certs/ca.crt
cert /etc/openvpn/certs/192.32.52.123.crt
key /etc/openvpn/certs/192.32.52.123.key
crl-verify /etc/openvpn/certs/crl.pem
dh /etc/openvpn/certs/dh.pem
tls-auth /etc/openvpn/certs/ta.key 0
#client-config-dir ccd
cipher AES-256-CBC

compress lz4-v2
push "compress lz4-v2"

persist-key
persist-tun

server 10.8.0.0 255.255.255.0

#ifconfig-pool-persist ipp.txt

max-clients 20
keepalive 10 120

verb 3
explicit-exit-notify 1
push "redirect-gateway def1"
push "dhcp-option DNS 77.88.8.7"
push "dhcp-option DNS 77.88.8.3"
#push "route ip 10.8.0.0 255.255.255.0"
sndbuf 524288
rcvbuf 524288

Если зайти на сайт с смартфона подключенного к этому серверу VPN, то сайт видит IP 10.8.0.10

 

UriyZenkov ()

Доступ в локальную сеть через VPS с белым ip.

Доброго времени суток. Сталкнился с задачей организации доступа клиента к сети (как бы клиент подключен к сети по кабелю ) что бы видеть компы в сетевом окружении и доступ к сетевым папкам. Серый ip.

Клиент—-VPS—-Openwrt—-Lan

Не могу понять как настроить данную структуру. Я предпологал построить на openvpn? Если есть более быстрые альтернативы (скорость соединения)… Буду рад рассмотреть. Wireguard настроил… но … как то скорость не ахти и клиент не видит машины в сетевом окружении.

VPS есть… А вот как настроить хз в Ethernet-bridge openvpn?

Если есть ссылки на манулы буду рад.

 , , , ,

bakteriums ()

Работает ли в ру openvpn от vpnbook?

Перепробовал уже США, Германию, Польшу и Францию - все 4 порта в каждом. Соединение установлено Initialization Sequence Completed , но на сайты зайти не могу. Пишет «We’re having trouble finding that site». У нас конкретно vpnbook не пашет или я дебик что-то делаю не так? Врубаю openvpn через терминал путем openvpn –config ну и путь с названием конфиг файла

 ,

Benj2000 ()

OpenVpn интересные моменты

Хотел бы проконсультироваться у профи(я любитель если что). Возможна ли такая ситуация при работе туннеля OpenVPN. В общем сервер и клиент настроены и работают. Клиент настроен на пуск всего трафика через шлюз openvnp опцией redirect-gateway def1.

Оператор интернета мегафон и он везде пихает свои страницы если что, например 404. Меня смущает ситуация, когда я захожу на сайт(на свой) по http не защищенному протоколу и там ошибка 404 при работающем туннеле, мне мегафон сует свою страницу , хотя на мой взгляд должна открыться страница 404 сайта(в данном случае дефолтная 404 nginx) и мегафон вообще не должен это все видеть.

В общем исходя из вышесказанного появляются ряд вопросов: Я гоню и так должно быть? Или настроено что-то неправильно?

 

mio_linux ()

OpenVPN - При подключении нового пользователя, старый теряет соединение.

Добрый день. Требуется провести OpenVPN соединение для мобильного ВПН приложеня, но каждый раз сталкиваюсь с одной проблемой, когда первый пользователь подключен к .opvn профилю, у него идут пакеты к vps, а когда подключается второй пользователь, у первого связь теряется и пакеты перестают идти, тоже самое если и 3-й подключится. Подскажите пожалуйста, как можно исправить эту проблему? Пробовал на VPS ubuntu16/18 и debian9/10

 ,

zachika1337 ()

Openvpn: кто последний встал, того и тапки?

Всем привет, подскажите как обратить поведение сервера openvpn , а то если возникает клон клиента, то он перетягивает static/ccd IP на себя.

Поведение описано ниже, выделено жирным поведение, которое надо обратить. Чтоб старый клиент оставался, пока новый долбится .

–duplicate-cn Allow multiple clients with the same common name to concurrently connect. In the absence of this option, OpenVPN will disconnect a client instance upon connection of a new client having the same common name.

В интернете был совет таки разрешить duplicate-cn, но наколхозить up скрипт, чтоб нового клиента отфутболивать, если старый с таким же CN уже присоединён. Но неохота мутить маня-скрипты.

 

Bers666 ()

OpenWRT/LibreCMC или что-то другое для роутера

Привет. Немного специфичные требований к роутеру для дома. По разным агрегаторам прошелся, но они не предоставляют всех нужных фильтров, а по тем, которые удалось подобрать, замучаюсь искать нужное.

Нужен готовый роутер или совет по прошивке+железу под роутер со следующими фичами:

  1. Работа одровременно как клиент pptp/l2tp/pppoe + openvpn/wireguard («/» это «или»).

  2. Гибкая настройка фаервола на уровне фильтра входящих/исходящих/транзитных и желательно командная настройка максимально похожая по синтаксису и сематнике с iptables/nftables.

  3. Хороший логгер для фаервола с кастомными тагами (хотя бы встроенный, если есть возможность отдавать клиенту в сети - еще лучше).

  4. Встроенный ftp/samba сервер.

  5. Встроенный принт сервер.

  6. Вафай в двух диапазонах с хорошим передатчиком.

  7. Очень хотелось бы реализацию шифрования dns вроде dnscrypt или на крайняк Do*.

  8. Хотя бы 5 портов (1 wan + 4 lan).

  9. Встроенный шедулер.

  10. Какая-нибудь встроенная простая скриптуха для простеньких циклов проверки, переключения между сетями и т.п.

Самое близкое, что сейчас нашел - mikrotik, но у них openvpn клиент только через tcp и другие ограничения, вроде отсутствия сертификатов и lzo. Wireguard вроде обещают в 5-той версии завезти, в бете пока нестабильно, а когда выйдет 5 версия не понятно. Ждать можно долго. А, еще жалуются люди на слабый передачик вайфай.

По openwrt много инфы не нашел, особенно по поводу работоспособности одного vpn поверх другого из п. 1. Ну и на форуме жалуются на проблемы с одновременной работой в двух диапазонах.

Насоветуйте, пожалуйста, что-то конкретное и проверенное. Знаю, что многого хочу, но раз уж что-то выбирать, то под все хотелки. Бюджет до 15к.

 , , ,

TSFH ()

доступ из вне на веб морду микротика внутри OpenVPN

Добрый день. Есть сервер ubuntu с внешним белым айпишником на котором крутится OpenVPN Server, к нему подключаются микротики внутри туннеля соответственно. Смысл вопроса заключается в том, что бы достучаться до веб морды или winbox до конкретного микротика из интернета. Куда смотреть подскажи?

 , ,

forzasakh ()

Openvpn через прокси

Добрый день уважаемые форумчане. Уже долгое время бьюсь над одним вопросом. Мне нужно осуществить следующую цепочку client—dynamic proxy—openvpn—internet. Я хочу спрятать свой openvpn сервер за прокси.Допустим я куплю 30 прокси адресов, нужно сделать так, чтобы при каждом подключении к Openvpn, я ходил в ин ернет с новым ip прокси. Направьте меня пожалуйста, куда смотреть. Заранее благодарю

 

Yuska ()

настройка openvpn с upnp

есть динамический IP адрес, провайдер периодически помещает за свою нат сеть, после чего порты перестают быть доступны. решается только путем перезагрузки роутера, ожидания что провайдер даст «нормальный» IP адрес. есть ли возможность включить upnp для впн сервера на Ubuntu server, чтобы соединение было и после смены адреса на «ненормальный»? сервер подключен к роутеру, на роутере upnp enabled, но необходимо видимо еще его настройка на Ubuntu

 , , ,

Gavriil ()

OpenVPN клиент на TAP а не TUN

В связи с «короной» у нас тут есть «незаменимые сотрудники», которые в больничку попали (хорошо пока один такой, и возможно скоро выйдет даже). Так вот возник вопрос. Что бы ему достучаться до рабочего компа с планшета на андроиде какой клиент надо поставить? Все, что находил, что работает под андроид - через TUN, а мне надо через TAP. Есть там какой-то, который умеет, но он платный за эту функцию (остальной почти весь функционал бесплатен). Мне то задача не ограничения РК обходить, а сотрудника из больнички с планшета подцепить к рабочему компу. Ладно, тут вопрос по другому решили, но я на будущее, если еще будет такое

 

deys ()

tls-crypt-v2 openvpn

Здорова всем. Решил воспользоваться новой версией openvpn 2.5 и сделать ключи tls-crypt-v2 версии 2 со всякими плюшками типа метаданных и их верификации. В общем все работает, но есть одна проблема: как то рандомно пропадает скорость канала вообще до невозможности что-то загрузить(в норм режиме 40 мбит) при этом туннель не рвется keepalive 10 43 установлен и explicit-exit-notify 2 . Переподключаюсь и все нормально. Пробовал только на udp. На tls-crypt таких проблем нет. Я понимаю, что пока мало опыта у всех с этой версией, но может уже решали как-то эту проблему. В логах ничего необычного нет.

конфиг сервера

port 1196
proto udp
;proto tcp
block-ipv6
;mode server
auth-nocache

# поддерживается в системах, отличных от Windows, улучшает использование вашего ЦП
# при работе с UDP-пакетами, используя неблокирующие операции записи. Это относится только к UDP-туннелям.
fast-io
 
#"dev tun" создаст маршрутизируемый IP туннель, "dev tap" создаст ethernet туннель. Используйте "dev tap0" 
# если вам нужен мост и объедините полученный tap0 виртуальный интерфейс в режиме моста с вашим ethernet интерфейсом.
;dev tap1
dev tun1

ca /etc/openvpn/certs/ca.crt
cert /etc/openvpn/certs/server.crt
key /etc/openvpn/certs/server.key
dh /etc/openvpn/certs/dh.pem
crl-verify /etc/openvpn/certs/crl.pem
 
# Виртуальная сеть, которая будет установлена между клиентом и сервером. Закоментируйте эту строку, если вы используете ethernet мост. 
server 10.10.1.0 255.255.255.0
 
# Укажите хранить соответствие клиент <-> виртуальный IP адрес в файле. Если OpenVPN будет остановлен или
# перезапущен, переприсоединившиеся клиенты смогут получить тот же виртуальный IP адрес из пула, что был назначен ранее.
ifconfig-pool-persist /etc/openvpn/ccd/ipp.txt
# путь к каталогу индивидуальных клиентских конфигураций
client-config-dir /etc/openvpn/ccd 
# Specify a directory dir for temporary files. This directory will be used by openvpn processes and script to communicate temporary data
# with openvpn main process. Note that the directory must be writable by the OpenVPN process after it has dropped it's root privileges.
tmp-dir /etc/openvpn/ccd 

# Установите серверный режим для ethernet моста. Вы должны сначала в своей ОС настроить мост
# между TAP и NIC интерфейсом. Затем вы должны вручную установить IP/маску на мост, к примеру 10.8.0.4/255.255.255.0. 
# В заключении мы должны установить диапазон IP адресов в этой подсети для выделения клиентам
# (начало=10.8.0.50 конец=10.8.0.100). Оставьте эту строку закоментированной, если вы не используете ethernet мост.
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100

# Установите клиенту соответствующие маршруты для возможности работать с другими подсетями за сервером. Помните, что эти подсети так же
# должны знать маршрут к клиентам адресного пула OpenVPN (10.10.10.0/255.255.255.0)
;push "route 10.10.2.0 255.255.255.0"
;push "route 10.10.3.0 255.255.255.0"

;learn-address ./script
 
# Разрешаем клиентам обмениваться пакетами(по умолчанию клиент видит только сервер)
client-to-client

# Расскомментировать,если используется один ключ/сертификат или одно имя клиента(common name) на несколько клиентов
;duplicate-cn
# Максимальное количество клиентов
max-clients 2

# Allow remote to change its IP address/port, such as through DHCP (this is the default if --remote is not used)
;float
 
# Проверяем соединение каждые 10 секунд, если его нет то через 120 секунд переподключаем в режиме server mode
keepalive 10 43

#то же что и keepalive
;inactive 60
;ping 10
;ping-exit 2
;ping-restart 20
;ping-timer-rem

#Configure a multi-homed UDP server
;multihome

#Disable Paging -- ensures key material and tunnel data will never be written to disk.
mlock

#In UDP server mode send [RESTART] command on exit/restart to connected clients. n = 1 - reconnect to same server, 2 - advance 
explicit-exit-notify 2
 
# Включаем TLS
tls-crypt-v2 /etc/openvpn/certs/tlsv2_server.key
tls-crypt-v2-verify /etc/openvpn/ccd/metadata
script-security 2
tls-crypt /etc/openvpn/certs/tls.key 
;tls-timeout 120
tls-server
tls-version-min 1.2
;tls-version-max 1.3
#For OpenSSL, the --tls-cipher is used for TLS 1.2 and below. For TLS 1.3 and up, the --tls-ciphersuites setting is used. mbed TLS has no TLS 1.3 support yet and only the --tls-cipher setting is used.
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384
tls-ciphersuites TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256

# шифрование
auth SHA512
;whirlpool:SHA512:RSA-SHA512:BLAKE2b512:SHA3-512
;cipher AES-256-GCM
data-ciphers CHACHA20-POLY1305:AES-256-GCM:AES-128-GCM

# сжатие 
;compress lz4-v2
;compress lzo
;push "compress lz4-v2" 
;push "compress lzo"
 
# Назначаем пользователя и группу для работы с OpenVPN
;user nobody
;group nogroup
 
# Не перечитывать ключи после получения SIGUSR1 или ping-restart
;persist-key
# Не закрывать или переоткрывать TUN\TAP устройство, после получения SIGUSR1 или ping-restart
;persist-tun
 
# Write operational status to file every n seconds.
status /var/log/openvpn/server_status.log 60
# Choose the status file format version number. Currently, n can be 1, 2, or 3 (default=1).
status-version 3

# "log" будет обрезать файл журнала при запуске OpenVPN. Использовать один или другой (но не оба).
log /var/log/openvpn/server.log
# "log-append" будет добавляться. Использовать один или другой (но не оба).
;log-append /var/log/openvpn/server_log_append.log
 
# Установите необходимый уровень логирования. 0 - ничего, за исключением фатальных ошибок 4 - подойдет для получения общих сведений
# 5 и 6 пригодяться для отладки проблем соединения 9 - максимально возможная информация
verb 6

# Запрещает повтор сообщений.  Не более 20 идущих друг за другом сообщений одного типа будут направлены в лог. 
mute 20

# весь трафик идет через впн local опция в одной беспроводной сети
push "redirect-gateway def1 bypass-dhcp bypass-dns"
;push "redirect-gateway def1 autolocal local bypass-dhcp bypass-dns"

# устанавливает виртуальный адрес сервера
;ifconfig 192.168.10.1 255.255.255.0 
# устанавливает диапазон виртуальных адресов для клиентов
;ifconfig-pool 192.168.10.2 192.168.10.99 

# Топология сети tun только Должна быть подсетью (адресация по IP) если клиенты Windows v2.0.9 и ниже не должны
# поддерживаться (тогда net30, то есть / 30 для каждого клиента) По умолчанию net30 (не рекомендуется)
topology subnet

push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"

#утечка dns
push "block-outside-dns" 

#realtime получить разного рода информацию о текущих клиентских подключениях к серверу
#нужно установить telnet сначала на сервере
;management localhost 7778

#повышаем скорость
;sndbuf 524288
;rcvbuf 524288
;tun-mtu 1472
;fragment 0 
;mssfix 1431
конфиг клиента
windows-driver wintun

remote-cert-tls server
client
auth-nocache

#On exit/restart, send exit signal to server/remote. n = # of retries, default=1. udp only
explicit-exit-notify 1

# Uncomment this is you are not on Windows udp only
;fast-io

#Accept certain config file options from the peer as if they were part of the local config file. Must be specified when connecting to a '--mode server' remote host
;pull

#Filter each option received from the server if it starts with the text t. The action flag accept, ignore or reject causes the option
#to be allowed, removed or rejected with error. May be specified multiple times, and each filter is applied in the order of appearance.
;pull-filter accept|ignore|reject text

#When this option is set, OpenVPN will not drop incoming tun packets with same destination as host
;allow-recursive-routing 

block-ipv6

dev tun1
proto udp
remote мой айпи
 
# необходимо для DynDNS
resolv-retry infinite

nobind
;persist-key
;persist-tun

auth SHA512
;cipher AES-256-GCM
data-ciphers CHACHA20-POLY1305:AES-256-GCM:AES-128-GCM
 
tls-client
tls-version-min 1.2
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384
tls-ciphersuites TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256

;keepalive 10 43

;compress lz4-v2
;compress lzo

verb 6
mute 20
;float

#повышаем скорость
;sndbuf 524288
;rcvbuf 524288
;tun-mtu 1472
;fragment 1472
#для udp ошибки bad packet id  
;mssfix 1431

;<tls-crypt>
;</tls-crypt>
<tls-crypt-v2>
здесь ключ
</tls-crypt-v2> 
<ca>
здесь ключ
</ca>
<cert>
здесь ключ
</cert>
<key>
здесь ключ
</key>

 

mio_linux ()

отключение/переподключения vpn в openvpn  

Если происходит отключение по каким либо причинам vpn, нужно сделать что бы openvpn пытался снова и снова подключаться к нему, но главное не давать обращаться без vpn в сеть.
Каикм образом такое можно реализовать в openvpn?

 , , ,

foozzi ()

Как экспортировать конфигурации OpenVPN в Android?

Всем доброго вечерочка! Не нашел такой функции в OpenVPN for Android. Там есть только создание конфигурации и импорт. А как же экспорт? Мне что, лезть на сайт VPN провайдера, заново перекачивать все эти конфигурации, подсоединять смартфон и перебрасывать файлы?

 , ,

boris_delaet_site ()

Openvpn на роутере

Поднял Openvpn. Сконфигурировал. Из винды работает, с роутера не хочет цепляться:

Nov 9 13:12:17 openvpn-cli[577]: TCP connection established with [AF_INET]135.181.146.36:443 Nov 9 13:12:17 openvpn-cli[577]: TCPv4_CLIENT link local: [undef] Nov 9 13:12:17 openvpn-cli[577]: TCPv4_CLIENT link remote: [AF_INET]135.181.146.36:443 Nov 9 13:12:17 openvpn-cli[577]: Connection reset, restarting [0] Nov 9 13:12:17 openvpn-cli[577]: SIGUSR1[soft,connection-reset] received, process restarting Nov 9 13:12:17 openvpn-cli[577]: Restart pause, 5 second(s) Nov 9 13:12:22 openvpn-cli[577]: NOTE: the current –script-security setting may allow this configuration to call user-defined scripts Nov 9 13:12:22 openvpn-cli[577]: Socket Buffers: R=[87380->87380] S=[16384->16384]

 

sinicyn ()