Page 7 of 8 FirstFirst ... 5678 LastLast
Results 91 to 105 of 109

Thread: OpenVPN в составе прошивки от энтузиастов

  1. #91
    Quote Originally Posted by QuickeneR2 View Post
    Как обещал когда-то давно, провел небольшую серию экспериментов. Целью было установление максимально достижимой скорости сравнительно безопасного (а значит шифрованного) VPN на недорогом оборудовании, и сравнение производительности оборудования и технологий.

    Участники: Asus RT-N16, TP-Link TL-WDR4300 и Ubiquiti EdgeRouter Lite. N16 с местной прошивкой 5066 и openvpn 2.2.2 из Entware. 4300 прошит OpenWRT 12.09, openvpn 2.2.2 и strongswan 5.0.0. ERL с прошивкой 1.1.0, openvpn 2.2.1 и strongswan 4.4.1
    Типы VPN: OpenVPN и IPsec
    Второй роутер ("сервер"): Celeron D 3GHz под управлением Scientific Linux 6.4, openvpn 2.3.1 и openswan 2.6.32
    Компьютеры-трафикогенераторы: Celeron 2.8GHz и Core2Duo E6850 3GHz, оба под Windows XP

    В ходе эксперимента тестируемый роутер подключался к роутеру-серверу патч-кордом, к каждому из роутеров подключался патч-кордом трафикогенератор, устанавливалось VPN соединение и определялась его скорость с помощью запущенного на трафикогенераторах iperf 1.7.0. Тестирование велось в течение 100 секунд, трафик подавался в обе стороны. Команды:
    iperf -s -i 3 (на одном)
    iperf -c адрес-первого-компа -i 3 -t 100 -d (на другом)

    Общие для всех экспериментов опции OpenVPN: proto udp, comp-lzo adaptive, no tls-auth
    Для IPsec менялось шифрование только второй фазы (SA), первая же (ISAKMP) оставалась на усмотрение устройств. Время жизни ключей - 1 час.

    Результаты, МБ/сек, в обе стороны, через двоеточие:
    VPN RT-N16 TL-WDR4300 ERL
    OpenVPN, cipher/hash
    aes128/sha1 5:6 9:8.5 9:7.5
    aes128/md5 6:5.5 9:8.5 9:8
    aes128/none 6.5:8 10.5:11 11:11
    blowfish/none 7:8 11.5:11 11:11.5
    none/sha1 9.5:8 16:16 14:13
    none/md5 10:10 18:16 13:13
    none/none 13.5:12 24:27 21.5:23
    IPsec, cipher/hash
    aes128/sha1 - 16.5:14.5 41:40
    aes128/md5 - 18:15.5 41:39
    Примечание: точность (суммарная в обе стороны) могла скакнуть на плюс-минус пару мегабайт, приведены средние значения.
    Ого! TP-Link демонстрирует какие-то невообразимые результаты...

    Надо будет сделать тест именно на этих алгоритмах AES-128 / SHA-1, я так понимаю это опции

    Code:
    cipher AES-128-CBC
    hmac = SHA1 дефолтный?

  2. #92
    Quote Originally Posted by staticroute View Post
    Ого! TP-Link демонстрирует какие-то невообразимые результаты...

    Надо будет сделать тест именно на этих алгоритмах AES-128 / SHA-1, я так понимаю это опции

    Code:
    cipher AES-128-CBC
    hmac = SHA1 дефолтный?
    Если я правильно понимаю, hmac - это то, что в таблице обозначено как hash, а в конфиге параметр auth. Шифр, да, указывался в виде алгоритм-длина-режим, например aes-128-cbc, режим был всегда cbc.

  3. #93
    Наткнулся на интересный проект - http://www.softether.org/

    скоро должен стать open source.

    Сравнение по скорости с OpenVPN:



    Надеюсь, что он действительно стоящий и будет иметь применение на наших с вами роутерах.

  4. #94
    Quote Originally Posted by njachaj View Post
    Странно ведет себя сервер openvpn на последних билдах:
    1.Все пинги ходят.
    2.Все ресурсы за сервером доступны.
    3.На самом роутере все ресурсы недоступны.
    Похоже, что пакеты с tun0 на роутер погибают.
    На 5066 все работает как надо.
    Конфиги и выхлоп tcpdump, смогу выложить только вечером.
    Та же проблема. Думал, что проблема в том, что стояли пакеты из старого репозитория. Не было времени разбираться. Сейчас перешел на новый репозиторий Entware и установил 5233 билд - проблема осталась. При этом откатываюсь на билды до 5099 все работает на ура.

  5. #95
    Join Date
    Nov 2006
    Location
    Russia, Moscow
    Posts
    3,640
    Уже было и на этом форуме, и в issue 406 - после r5099 временно надо отключать fastNAT.

  6. #96
    Quote Originally Posted by lly View Post
    Уже было и на этом форуме, и в issue 406 - после r5099 временно надо отключать fastNAT.
    Пробовал - не помогает.
    nvram show | grep misc_fastnat_x
    misc_fastnat_x=0
    Last edited by stvladimir; 09-08-2013 at 13:07.

  7. #97
    на r5297 с отключенным fastnat openvpn/tun на первый взгляд работает, как и прежде.

    неожиданно не смог собрать openvpn 2.3.2 - перекроенный авторами configure не находит либы ssl. развёрнутый тут же openvpn 2.2.2 конфигурится, собирается и работает без проблем.

    либы openssl 1.0.1e на месте:
    Code:
    -rw-r--r-- 1 4096826 Oct 15 21:05 /opt/brcm/hndtools-mipsel-uclibc/lib/libcrypto.a
    -rw-r--r-- 1 681998 Oct 15 21:05 /opt/brcm/hndtools-mipsel-uclibc/lib/libssl.a
    конфигурю openvpn так:
    Code:
    AR=/opt/brcm/hndtools-mipsel-uclibc/bin/mipsel-uclibc-ar \
    AS=/opt/brcm/hndtools-mipsel-uclibc/bin/bin/mipsel-uclibc-as \
    LD=/opt/brcm/hndtools-mipsel-uclibc/bin/mipsel-uclibc-ld \
    NM=/opt/brcm/hndtools-mipsel-uclibc/bin/mipsel-uclibc-nm \
    CC=/opt/brcm/hndtools-mipsel-uclibc/bin/mipsel-uclibc-gcc \
    CPP="/opt/brcm/hndtools-mipsel-uclibc/bin/mipsel-uclibc-gcc -E" \
    GCC=/opt/brcm/hndtools-mipsel-uclibc/bin/mipsel-uclibc-gcc \
    CXX=/opt/brcm/hndtools-mipsel-uclibc/bin/mipsel-uclibc-g++ \
    RANLIB=/opt/brcm/hndtools-mipsel-uclibc/bin/mipsel-uclibc-ranlib \
    STRIP=/opt/brcm/hndtools-mipsel-uclibc/bin/mipsel-uclibc-strip \
    CFLAGS=" -O -ffunction-sections -fdata-sections " \
    LDFLAGS="-Wl,-rpath,/opt/brcm/hndtools-mipsel-uclibc,-gc-sections" \
    ./configure \
    --host=mipsel-linux \
    --target=mipsel-linux \
    --with-crypto-library=openssl \
    --disable-selinux \
    --disable-plugins \
    --disable-eurephia \
    --disable-management \
    --disable-debug \
    --disable-socks \
    --enable-small \
    --disable-pkcs11
    в результате получаю: https://gist.github.com/anonymous/a4.../gistfile1.txt

    config.log: https://gist.github.com/anonymous/5d.../gistfile1.txt

    подскажите, куда копнуть?

  8. #98
    Quote Originally Posted by oblikoamorale View Post
    либы openssl 1.0.1e на месте:
    Code:
    -rw-r--r-- 1 4096826 Oct 15 21:05 /opt/brcm/hndtools-mipsel-uclibc/lib/libcrypto.a
    -rw-r--r-- 1 681998 Oct 15 21:05 /opt/brcm/hndtools-mipsel-uclibc/lib/libssl.a
    Зачем было класть stage-код в папку тулчейна? Боюсь, теперь там полная каша.

  9. #99
    Quote Originally Posted by ryzhov_al View Post
    Зачем было класть stage-код в папку тулчейна? Боюсь, теперь там полная каша.
    а как правильно?
    штатный make install сложил собранные openssl и lzo в тулчейн, и раньше проблем это не создавало. смотрел я невнимательно, но, вроде бы, файлы ни в include, ни в lib не перезаписывались.

    для простоты сборка openvpn и прочих нужных штук у меня происходит отдельно от сборки прошивки. я просто кладу бинарники в gateway/others
    Last edited by oblikoamorale; 17-10-2013 at 16:04.

  10. #100

    Настройка OpenVPN

    Здравствуйте!

    Установил сервер OpenVPN (openvpn-openssl) на роутер wl500gp (прошивка 1.9.2.7-rtn-r5066).
    На удаленной машине Win7 соответственно клиент.

    Подключение извне вроде происходит нормально, но сайты некоторые вообще не открываются, некоторые открываются с трудом, в общем все тормозит.
    К странице роутера подключиться не удается.
    Из локалки вообще не хочет подключаться.

    В логе роутера такие строки:
    Code:
    Oct 29 12:57:48 openvpn[395]: TCP connection established with [AF_INET]хх.хх.хх.130:55938
    Oct 29 12:57:48 openvpn[395]: TCPv4_SERVER link local (bound): [undef]
    Oct 29 12:57:48 openvpn[395]: TCPv4_SERVER link remote: [AF_INET]хх.хх.хх.130:55938
    Oct 29 12:57:48 openvpn[395]: WARNING: Bad encapsulated packet length from peer (5635), which must be > 0 and <= 1546 -- please ensure that --tun-mtu or --link-mtu is equal on both peers -- this condition could also indicate a possible active attack on the TCP link -- [Attempting restart...]
    Oct 29 12:57:48 openvpn[395]: Connection reset, restarting [0]
    Oct 29 12:57:48 openvpn[395]: /sbin/ifconfig tun0 0.0.0.0
    Oct 29 12:57:48 openvpn[395]: SIGUSR1[soft,connection-reset] received, process restarting
    Oct 29 12:57:49 openvpn[395]: TUN/TAP device tun0 opened
    Oct 29 12:57:49 openvpn[395]: do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
    Oct 29 12:57:49 openvpn[395]: /sbin/ifconfig tun0 10.8.0.2 pointopoint 10.8.0.1 mtu 1500
    Oct 29 12:57:49 openvpn[395]: Listening for incoming TCP connection on [undef]
    post-firewall:
    Code:
    #!/bin/sh
    vpnPort=443
    vpnProto=tcp
    vpnDevice=tun0
    iptables -P INPUT DROP
    iptables -D INPUT -j DROP
    iptables -A INPUT -p $vpnProto --dport $vpnPort --tcp-flags FIN,SYN,RST,ACK SYN -j BRUTE
    iptables -A INPUT -p $vpnProto --dport $vpnPort -j ACCEPT
    iptables -I INPUT -i $vpnDevice -j ACCEPT
    iptables -I FORWARD -i $vpnDevice -j ACCEPT
    iptables -I FORWARD -o $vpnDevice -j ACCEPT
    iptables -I OUTPUT -o $vpnDevice -j ACCEPT
    конфиг сервера:
    Code:
    proto tcp-server
    dev tun0
    port 443
    ifconfig 10.8.0.2 10.8.0.1
    keepalive 10 120
    secret static.key
    конфиг клиента:
    Code:
    remote myhost.dlinkddns.com 443
    dev tun0
    secret static.key
    proto tcp-client
    ifconfig 10.8.0.2 10.8.0.1
    redirect-gateway
    Куда копать, что посоветуете?

    P.S.
    Вышеуказанный лог похоже показывает какое-то чужое подключение...
    Вот лог точно моего:
    Code:
    Oct 29 15:02:42 openvpn[395]: TCP connection established with [AF_INET]188.хх.хх.242:33030
    Oct 29 15:02:42 openvpn[395]: TCPv4_SERVER link local (bound): [undef]
    Oct 29 15:02:42 openvpn[395]: TCPv4_SERVER link remote: [AF_INET]188.хх.хх.242:33030
    Oct 29 15:02:42 openvpn[395]: Peer Connection Initiated with [AF_INET]188.хх.хх.242:33030
    Oct 29 15:02:43 openvpn[395]: Initialization Sequence Completed
    Oct 29 15:12:39 openvpn[395]: Connection reset, restarting [0]
    Oct 29 15:12:39 openvpn[395]: /sbin/ifconfig tun0 0.0.0.0
    Oct 29 15:12:40 openvpn[395]: SIGUSR1[soft,connection-reset] received, process restarting
    Oct 29 15:12:41 openvpn[395]: TUN/TAP device tun0 opened
    Oct 29 15:12:41 openvpn[395]: do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
    Oct 29 15:12:41 openvpn[395]: /sbin/ifconfig tun0 10.8.0.2 pointopoint 10.8.0.1 mtu 1500
    Oct 29 15:12:41 openvpn[395]: Listening for incoming TCP connection on [undef]
    Клиент подключается, но сайты не открываются, к веб-интерфейсу роутера 192.168.1.1 также достучаться не могу.
    Last edited by konnmor; 29-10-2013 at 12:31.

  11. #101
    Вроде нашел в чем косяк - в конфигах сервера и клиента строка ifconfig 10.8.0.2 10.8.0.1
    была одинаковая. Поменял местами IP у клиента и всё заработало. Почти.
    В локалку за роутером удаленно с клиента теперь захожу нормально. Но сайты открываются только разрешенные админом. Те, которые блокировались на стороне клиента без vpn так и блокируются c vpn.
    В связи с этим вопрос - получается мой трафик в vpn-туннеле далеко не приватен, раз он всё-таки фильтруется? Или я где-то не включил шифрование? Зачем тогда создавался statiс.key?

  12. #102
    Quote Originally Posted by konnmor View Post
    Но сайты открываются только разрешенные админом. Те, которые блокировались на стороне клиента без vpn так и блокируются c vpn.
    Копайте в сторону DNS! Сервер должен браться через тоннель, а не локальный.
    Думаю, для вашей задачи больше подойдёт sock прокси на основе ssh и тюнинг браузера, чтобы разрешал DNS через прокси.

  13. #103
    Quote Originally Posted by AlexeyS View Post
    Копайте в сторону DNS! Сервер должен браться через тоннель, а не локальный.
    Попробовал вставить в конфиг сервера push "dhcp-option DNS 10.8.0.2".
    Ничего не изменилось, как часть сайтов блокировалась, так и блокируется. Или нужно как-то по другому?

    Quote Originally Posted by AlexeyS View Post
    тюнинг браузера, чтобы разрешал DNS через прокси.
    А можно про это поподробнее, что за тюнинг?

  14. #104
    Join Date
    Oct 2009
    Posts
    529
    Blog Entries
    1
    Quote Originally Posted by konnmor View Post
    А можно про это поподробнее, что за тюнинг?
    Для Firefox - параметр network.proxy.socks_remote_dns
    Должен быть true

  15. #105
    Quote Originally Posted by MercuryV View Post
    Для Firefox - параметр network.proxy.socks_remote_dns
    Проверял настройки Firefox - вышеуказанный параметр true.
    Пробовал установить DNS принудительно в настройках соединения tun0 - 10.8.0.2 и 8.8.8.8. Результат отрицательный, корпоративная защита по прежнему блокирует запрещенные сайты. Может быть с помощью Openvpn в нашей корпоративной сети её нельзя обойти в принципе? Уточню, что на клиентском компе системные настройки хранятся на сервере организации, выход в инет через ISA прокси. Из плюсов - права у меня админские. Кстати, через ТОР абсолютно все сайты доступны, всё работает (putty, WinSCP).

Page 7 of 8 FirstFirst ... 5678 LastLast

Similar Threads

  1. Настройка клиента и сервера OpenVPN на роутере
    By OlegSV in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 211
    Last Post: 05-05-2017, 09:17
  2. Проблемы с OpenVPN. Прошу помощи!
    By idtelecom in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 296
    Last Post: 02-05-2016, 19:10
  3. Replies: 83
    Last Post: 11-12-2012, 19:31
  4. HowTo install OpenVPN server
    By Tamadite in forum WL-500g/WL-500gx Tutorials
    Replies: 41
    Last Post: 31-05-2012, 21:41

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •