Сообщения mio_linux

OpenVpn странно работает

Кто шарит за Ovpn? Ситуация сложная с плавающей проблемой. В общем как-то странно подключается к бесплатным vpn с аутентификацией паролем. С сертификатами не пробовал. В общем vpn vpnbook и protonvpn оба с бесплатными тарифами. подключается только нормально к vpnbook по tcp remote 80 443 порту и работает нормально, ну может пару раз переподключиться в начале. По udp remote порты 53 25000 подключается, но постоянно переподключается и нет подключения, хотя интерфейс поднимается и ошибок нет.

Initialization Sequence Completed
[server.vpnbook.com] Inactivity timeout (--ping-restart), restarting
2024-03-22 21:17:04 SIGUSR1[soft,ping-restart] received, process restarting
2024-03-22 21:17:04 Restart pause, 1 second(s)
2024-03-22 21:17:05 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
2024-03-22 21:17:05 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
2024-03-22 21:17:05 TCP/UDP: Preserving recently used remote address: [AF_INET]144.217.253.149:25000
2024-03-22 21:17:05 Socket Buffers: R=[212992->212992] S=[212992->212992]
2024-03-22 21:17:05 UDPv4 link local: (not bound)
2024-03-22 21:17:05 UDPv4 link remote: [AF_INET]144.217.253.149:25000
2024-03-22 21:17:07 TLS: Initial packet from [AF_INET]144.217.253.149:25000, sid=037fd144 bf25e1ee
2024-03-22 21:17:07 VERIFY OK: depth=1, CN=vpnbook.com
2024-03-22 21:17:07 VERIFY OK: depth=0, CN=server.vpnbook.com
2024-03-22 21:17:08 Control Channel: TLSv1.3, cipher TLSv1.3 TLS_AES_256_GCM_SHA384, peer certificate: 2048 bits RSA, signature: RSA-SHA256, peer temporary key: 253 bits X25519
2024-03-22 21:17:08 [server.vpnbook.com] Peer Connection Initiated with [AF_INET]144.217.253.149:25000
2024-03-22 21:17:08 TLS: move_session: dest=TM_ACTIVE src=TM_INITIAL reinit_src=1
2024-03-22 21:17:08 TLS: tls_multi_process: initial untrusted session promoted to trusted
2024-03-22 21:17:08 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1,dhcp-option DNS  213.186.33.99,dhcp-option DNS  91.239.100.100,route 10.10.0.1,topology net30,ping 5,ping-restart 30,ifconfig 10.10.0.6 10.10.0.5,peer-id 30,cipher AES-256-GCM'
2024-03-22 21:17:08 WARNING: You have specified redirect-gateway and redirect-private at the same time (or the same option multiple times). This is not well supported and may lead to unexpected results
2024-03-22 21:17:08 OPTIONS IMPORT: --ifconfig/up options modified
2024-03-22 21:17:08 OPTIONS IMPORT: route options modified
2024-03-22 21:17:08 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
2024-03-22 21:17:08 Preserving previous TUN/TAP instance: tun2
2024-03-22 21:17:08 NOTE: Pulled options changed on restart, will need to close and reopen TUN/TAP device.
2024-03-22 21:17:08 net_route_v4_del: 10.10.0.1/32 via 10.10.0.97 dev [NULL] table 0 metric -1
2024-03-22 21:17:08 net_route_v4_del: 144.217.253.149/32 via 192.168.191.209 dev [NULL] table 0 metric -1
2024-03-22 21:17:08 net_route_v4_del: 0.0.0.0/1 via 10.10.0.97 dev [NULL] table 0 metric -1
2024-03-22 21:17:08 net_route_v4_del: 128.0.0.0/1 via 10.10.0.97 dev [NULL] table 0 metric -1
2024-03-22 21:17:08 /home/mio/Документы/SyncDiscsAll/Systems/SyncCloud/VpnConnections/VpnBook/update-systemd-resolved tun2 1500 0 10.10.0.98 10.10.0.97 init
<14>Mar 22 21:17:08 update-systemd-resolved: Link 'tun2' going down
2024-03-22 21:17:08 Closing TUN/TAP interface
2024-03-22 21:17:08 net_addr_ptp_v4_del: 10.10.0.98 dev tun2
2024-03-22 21:17:09 net_route_v4_best_gw query: dst 0.0.0.0
2024-03-22 21:17:09 net_route_v4_best_gw result: via 192.168.191.209 dev wlo1
2024-03-22 21:17:09 ROUTE_GATEWAY 192.168.191.209/255.255.255.0 IFACE=wlo1 HWADDR=f0:9e:4a:3b:18:98
2024-03-22 21:17:09 TUN/TAP device tun2 opened
2024-03-22 21:17:09 net_iface_mtu_set: mtu 1500 for tun2
2024-03-22 21:17:09 net_iface_up: set tun2 up
2024-03-22 21:17:09 net_addr_ptp_v4_add: 10.10.0.6 peer 10.10.0.5 dev tun2
2024-03-22 21:17:09 /home/mio/Документы/SyncDiscsAll/Systems/SyncCloud/VpnConnections/VpnBook/update-systemd-resolved tun2 1500 0 10.10.0.6 10.10.0.5 init
<14>Mar 22 21:17:09 update-systemd-resolved: Link 'tun2' coming up
<14>Mar 22 21:17:09 update-systemd-resolved: Adding DNS Routed Domain DOMAIN-ROUTE
<14>Mar 22 21:17:09 update-systemd-resolved: Adding IPv4 DNS Server 213.186.33.99
<14>Mar 22 21:17:09 update-systemd-resolved: Adding IPv4 DNS Server 91.239.100.100
<14>Mar 22 21:17:09 update-systemd-resolved: SetLinkDNS(134 2 2 4 213 186 33 99 2 4 91 239 100 100)
<14>Mar 22 21:17:09 update-systemd-resolved: SetLinkDomains(134 1 DOMAIN-ROUTE true)
2024-03-22 21:17:09 Data Channel: cipher 'AES-256-GCM', peer-id: 30, compression: 'lzo'
2024-03-22 21:17:09 Timers: ping 5, ping-restart 30
2024-03-22 21:17:11 net_route_v4_add: 144.217.253.149/32 via 192.168.191.209 dev [NULL] table 0 metric -1
2024-03-22 21:17:11 net_route_v4_add: 0.0.0.0/1 via 10.10.0.5 dev [NULL] table 0 metric -1
2024-03-22 21:17:11 net_route_v4_add: 128.0.0.0/1 via 10.10.0.5 dev [NULL] table 0 metric -1
2024-03-22 21:17:11 net_route_v4_add: 10.10.0.1/32 via 10.10.0.5 dev [NULL] table 0 metric -1
2024-03-22 21:17:11 Initialization Sequence Completed

Конфиг системы такой: Arch 6.8.1 все обновлено прям по максимуму, firewalld зоны везде drop. Dnsotls, Dnssec настроен через system resolve

Конфиг клиента openvpn такой, но там через PUSH подтягиваются еще дополнительные опции от сервера:

PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1,dhcp-option DNS  213.186.33.99,dhcp-option DNS  91.239.100.100,route 10.10.0.1,topology net30,ping 5,ping-restart 30,ifconfig 10.10.0.6 10.10.0.5,peer-id 3,cipher AES-256-GCM'

client
dev tun2
proto udp
remote 145.239.255.68 25000
resolv-retry infinite
nobind
persist-key
persist-tun
auth-user-pass /home/mio/Документы/SyncDiscsAll/Systems/SyncCloud/VpnConnections/VpnBook/login.conf
comp-lzo
verb 3
cipher AES-256-CBC
fast-io
pull
route-delay 2
redirect-gateway

script-security 2
setenv PATH /usr/bin
up /home/mio/Документы/SyncDiscsAll/Systems/SyncCloud/VpnConnections/VpnBook/update-systemd-resolved
down /home/mio/Документы/SyncDiscsAll/Systems/SyncCloud/VpnConnections/VpnBook/update-systemd-resolved
down-pre
dhcp-option DOMAIN-ROUTE

<ca>
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----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-----END PRIVATE KEY-----
</key>

Пробовал на манжаро live с флешки загружался все нормально работает с этим конфигом на чистой манжаро, у меня в системе какой-то косяк.

Firewalld отрубал, dnsotls и dnssec тоже - без изменений.

К Proton vpn иногда подключается по tcp, по udp также нет, в общем все как-то странно и без ошибок. На протоне иногда бывают ошибки Tls auth, но не всегда.

arch

mio_linux
(23.03.24 14:30:54 MSK)

16 комментариев

Не требует пароля после хука encrypt

Здравствуйте. Устанавливаю arch с шифрованием. в общем конфиг такой: efi отдельный не шифрованный раздел, boot шифрованный luks1 отдельный раздел, root шифрованный luks2 а внутри lvm диск.

Все делал по инструкции из вики arch, загружается хук encrypt, но пароль при этом не запрашивается от root раздела для расшифровки и понятно потом не может найти это устройство. Хуки пробовал и на systemd и на udev, на обойх ничего не загружается вот с вики хуки эти прописывал:

Как правило, создание нового образа initramfs не требуется, поскольку pacstrap автоматически запускает mkinitcpio после установки пакета ядра.
Если вы используете LVM, шифрование системы или RAID, отредактируйте файл mkinitcpio.conf(5)
/etc/mkinitcpio.conf
A typical /etc/mkinitcpio.conf configuration using encrypt hook
HOOKS=(base udev autodetect modconf kms keyboard keymap consolefont block encrypt lvm2 filesystems fsck)
A configuration with systemd-based initramfs using sd-encrypt hook: 
HOOKS=(base systemd autodetect modconf kms keyboard sd-vconsole block sd-encrypt lvm2 filesystems fsck)
и пересоздайте образ initramfs:
# mkinitcpio -P

загрузчик grub в cmdline тоже прописывал все как в инструкции:

In order to unlock the encrypted root partition at boot, the following kernel parameters need to be set by the boot loader:
cryptdevice=UUID=device-UUID:cryptlvm root=/dev/MyVolGroup/root
If using the sd-encrypt hook, the following needs to be set instead:
rd.luks.name=device-UUID=cryptlvm root=/dev/MyVolGroup/root
The device-UUID refers to the UUID of the LUKS superblock, in this example it is the UUID of /dev/sda1. See Persistent block device naming for details.
If using dracut, you may need a more extensive list of parameters, try:
kernel_cmdline="rd.luks.uuid=luks-deviceUUID rd.lvm.lv=MyVolGroup/root  rd.lvm.lv=MyVolGroup/swap  root=/dev/mapper/MyVolGroup-root rootfstype=ext4 rootflags=rw,relatime"

вот результат загрузки:

https://drive.google.com/file/d/101_1d_ryqac2VhD9DSa58RxV9Ne-f58b/view?usp=sharing

cryptsetup, grub

mio_linux
(04.03.24 13:53:33 MSK)

6 комментариев

Драйвера для amd

Всем привет. Вопрос по решению проблем с драйверами на процессоре amd ryzen 5 4500u. В общем при установке система не грузится в обычном режиме. Грузится только с функцией ядра safe graphics(nomodeset).

Что я делал:

Устанавливал скрипт Radeon™ Software for Linux® installer version 22.20 for Ubuntu 22.04(других драйверов нет для моей графики).
Ставил ppa oibaf/graphics-drivers

В первом случае на сервере amd ничего не находилось и соответственно ничего не устанавливалось. Во втором все нормально установилось, но так же не грузит в обычном режиме.

Собственно вопрос стоит один: есть ли какие-нибудь ещё варианты завести linux на моем ноуте.

Конфиг ноута: проц. ryzen 5 4500u со встроенной графикой(дискретной нет), установка в efi, efi от h2o insyde, установка Ubuntu 22.04

ryzen

mio_linux
(24.07.22 22:13:18 MSK)

45 комментариев

IPv6 DNS server

Проверяю сайт на доступность по ipv6 на этом ресурсе https://ipv6-test.com/validate.php Там 3 пункта.

AAAA DNS record здесь мой ip
IPv6 web server nginx
IPv6 DNS server This domain has no IPv6 DNS server, this may prevent some IPv6-only users from reaching it.

В общем с первыми 2 все ок. С 3 небольшая проблема. Типа нет ipv6 dns сервера для домена. Я че-то не могу понять, чтт нужно конкретно делать: прописывать еще что-то, кроме записи AAAA у регистратора или у себя что-то поднимать. У меня ubuntu 20.04 сначала был поднят systemd-resolve на ipv4 на 127.0.0.53(по умолчанию он идет), потом добавил LLMNR в /etc/systemd/resolved.conf и поднялся еще systemd-resolve ipv6 на [::]:5355, но я не уверен, что это то что нужно, т.е проверка на 3 пункте опять была неудачной.

Вопрос собственно такой: что нужно делать, чтобы 3 пункт завершился успешно. В нете ничего не нашёл.

dns, ipv6

mio_linux
(02.01.21 21:20:54 MSK)

2 комментария

OpenVpn интересные моменты

Хотел бы проконсультироваться у профи(я любитель если что). Возможна ли такая ситуация при работе туннеля OpenVPN. В общем сервер и клиент настроены и работают. Клиент настроен на пуск всего трафика через шлюз openvnp опцией redirect-gateway def1.

Оператор интернета мегафон и он везде пихает свои страницы если что, например 404. Меня смущает ситуация, когда я захожу на сайт(на свой) по http не защищенному протоколу и там ошибка 404 при работающем туннеле, мне мегафон сует свою страницу , хотя на мой взгляд должна открыться страница 404 сайта(в данном случае дефолтная 404 nginx) и мегафон вообще не должен это все видеть.

В общем исходя из вышесказанного появляются ряд вопросов: Я гоню и так должно быть? Или настроено что-то неправильно?

openvpn

mio_linux
(28.12.20 17:30:40 MSK)

20 комментариев

location nginx

Не могу че-то разобраться с location, чтобы все работало правильно. Исходные данные:ubuntu 20.04, nginx 1.18, php 7.4, сайт на joomla 3.6-3.8. В общем проблема в не работающих(у меня) директивах location в серверных конфигах вот мой конфиг

server {
  listen 80;
  listen [::]:80;
  server_name mysite www.mysite;
  root /var/www/html/mysite;
  index index.php index.html index.htm index.nginx-debian.html;

  location / {
 # try_files $uri $uri/ /index.php;
    try_files $uri $uri/ /index.php?$args;
  }

  location ~* \.php$ {
    fastcgi_pass unix:/run/php/php7.4-fpm.sock;
    fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
    include fastcgi_params;
    include snippets/fastcgi-php.conf;
  }

  location ~* /\. {
      deny all;
  }

  location = /robots.txt {
    allow all;
    }

 # deny running scripts inside writable directories
  location ^~ /(images|cache|media|logs|tmp)/.*\.(php|pl|py|jsp|asp|sh|cgi)$ {
     return 403;
     }

 # caching of files 
   location ~* \.(ico|pdf|flv)$ {
      expires 1m;
        }

   location ~* \.(js|css|png|jpg|jpeg|gif|swf|xml|txt)$ {
      expires 14d;
        }

 # add global x-content-type-options header
     add_header X-Content-Type-Options nosniff;

  location = /configuration.php {
      deny all;
  }

  location ^~ /(components|includes|administrator/includes|language|libraries|modules|plugins|templates|cli)/.*\.(php|ini|xml)$ {
     deny all;
     }

}

По документации последний в конфиге location должен переопределять в указанных директориях файлы php на параметры этого location. Но почему-то не переопределяет. Работает последний location, если отключаю вот этот

location ~* \.php$ {
    fastcgi_pass unix:/run/php/php7.4-fpm.sock;
    fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
    include fastcgi_params;
    include snippets/fastcgi-php.conf;

По ходу этот тоже не работает

# deny running scripts inside writable directories
  location ^~ /(images|cache|media|logs|tmp)/.*\.(php|pl|py|jsp|asp|sh|cgi)$ {
     return 403;
     }

location, nginx

mio_linux
(23.12.20 00:42:12 MSK)

1 комментарий

tls-crypt-v2 openvpn

Здорова всем. Решил воспользоваться новой версией openvpn 2.5 и сделать ключи tls-crypt-v2 версии 2 со всякими плюшками типа метаданных и их верификации. В общем все работает, но есть одна проблема: как то рандомно пропадает скорость канала вообще до невозможности что-то загрузить(в норм режиме 40 мбит) при этом туннель не рвется keepalive 10 43 установлен и explicit-exit-notify 2 . Переподключаюсь и все нормально. Пробовал только на udp. На tls-crypt таких проблем нет. Я понимаю, что пока мало опыта у всех с этой версией, но может уже решали как-то эту проблему. В логах ничего необычного нет.

конфиг сервера

port 1196
proto udp
;proto tcp
block-ipv6
;mode server
auth-nocache

# поддерживается в системах, отличных от Windows, улучшает использование вашего ЦП
# при работе с UDP-пакетами, используя неблокирующие операции записи. Это относится только к UDP-туннелям.
fast-io
 
#"dev tun" создаст маршрутизируемый IP туннель, "dev tap" создаст ethernet туннель. Используйте "dev tap0" 
# если вам нужен мост и объедините полученный tap0 виртуальный интерфейс в режиме моста с вашим ethernet интерфейсом.
;dev tap1
dev tun1

ca /etc/openvpn/certs/ca.crt
cert /etc/openvpn/certs/server.crt
key /etc/openvpn/certs/server.key
dh /etc/openvpn/certs/dh.pem
crl-verify /etc/openvpn/certs/crl.pem
 
# Виртуальная сеть, которая будет установлена между клиентом и сервером. Закоментируйте эту строку, если вы используете ethernet мост. 
server 10.10.1.0 255.255.255.0
 
# Укажите хранить соответствие клиент <-> виртуальный IP адрес в файле. Если OpenVPN будет остановлен или
# перезапущен, переприсоединившиеся клиенты смогут получить тот же виртуальный IP адрес из пула, что был назначен ранее.
ifconfig-pool-persist /etc/openvpn/ccd/ipp.txt
# путь к каталогу индивидуальных клиентских конфигураций
client-config-dir /etc/openvpn/ccd 
# Specify a directory dir for temporary files. This directory will be used by openvpn processes and script to communicate temporary data
# with openvpn main process. Note that the directory must be writable by the OpenVPN process after it has dropped it's root privileges.
tmp-dir /etc/openvpn/ccd 

# Установите серверный режим для ethernet моста. Вы должны сначала в своей ОС настроить мост
# между TAP и NIC интерфейсом. Затем вы должны вручную установить IP/маску на мост, к примеру 10.8.0.4/255.255.255.0. 
# В заключении мы должны установить диапазон IP адресов в этой подсети для выделения клиентам
# (начало=10.8.0.50 конец=10.8.0.100). Оставьте эту строку закоментированной, если вы не используете ethernet мост.
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100

# Установите клиенту соответствующие маршруты для возможности работать с другими подсетями за сервером. Помните, что эти подсети так же
# должны знать маршрут к клиентам адресного пула OpenVPN (10.10.10.0/255.255.255.0)
;push "route 10.10.2.0 255.255.255.0"
;push "route 10.10.3.0 255.255.255.0"

;learn-address ./script
 
# Разрешаем клиентам обмениваться пакетами(по умолчанию клиент видит только сервер)
client-to-client

# Расскомментировать,если используется один ключ/сертификат или одно имя клиента(common name) на несколько клиентов
;duplicate-cn
# Максимальное количество клиентов
max-clients 2

# Allow remote to change its IP address/port, such as through DHCP (this is the default if --remote is not used)
;float
 
# Проверяем соединение каждые 10 секунд, если его нет то через 120 секунд переподключаем в режиме server mode
keepalive 10 43

#то же что и keepalive
;inactive 60
;ping 10
;ping-exit 2
;ping-restart 20
;ping-timer-rem

#Configure a multi-homed UDP server
;multihome

#Disable Paging -- ensures key material and tunnel data will never be written to disk.
mlock

#In UDP server mode send [RESTART] command on exit/restart to connected clients. n = 1 - reconnect to same server, 2 - advance 
explicit-exit-notify 2
 
# Включаем TLS
tls-crypt-v2 /etc/openvpn/certs/tlsv2_server.key
tls-crypt-v2-verify /etc/openvpn/ccd/metadata
script-security 2
tls-crypt /etc/openvpn/certs/tls.key 
;tls-timeout 120
tls-server
tls-version-min 1.2
;tls-version-max 1.3
#For OpenSSL, the --tls-cipher is used for TLS 1.2 and below. For TLS 1.3 and up, the --tls-ciphersuites setting is used. mbed TLS has no TLS 1.3 support yet and only the --tls-cipher setting is used.
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384
tls-ciphersuites TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256

# шифрование
auth SHA512
;whirlpool:SHA512:RSA-SHA512:BLAKE2b512:SHA3-512
;cipher AES-256-GCM
data-ciphers CHACHA20-POLY1305:AES-256-GCM:AES-128-GCM

# сжатие 
;compress lz4-v2
;compress lzo
;push "compress lz4-v2" 
;push "compress lzo"
 
# Назначаем пользователя и группу для работы с OpenVPN
;user nobody
;group nogroup
 
# Не перечитывать ключи после получения SIGUSR1 или ping-restart
;persist-key
# Не закрывать или переоткрывать TUN\TAP устройство, после получения SIGUSR1 или ping-restart
;persist-tun
 
# Write operational status to file every n seconds.
status /var/log/openvpn/server_status.log 60
# Choose the status file format version number. Currently, n can be 1, 2, or 3 (default=1).
status-version 3

# "log" будет обрезать файл журнала при запуске OpenVPN. Использовать один или другой (но не оба).
log /var/log/openvpn/server.log
# "log-append" будет добавляться. Использовать один или другой (но не оба).
;log-append /var/log/openvpn/server_log_append.log
 
# Установите необходимый уровень логирования. 0 - ничего, за исключением фатальных ошибок 4 - подойдет для получения общих сведений
# 5 и 6 пригодяться для отладки проблем соединения 9 - максимально возможная информация
verb 6

# Запрещает повтор сообщений.  Не более 20 идущих друг за другом сообщений одного типа будут направлены в лог. 
mute 20

# весь трафик идет через впн local опция в одной беспроводной сети
push "redirect-gateway def1 bypass-dhcp bypass-dns"
;push "redirect-gateway def1 autolocal local bypass-dhcp bypass-dns"

# устанавливает виртуальный адрес сервера
;ifconfig 192.168.10.1 255.255.255.0 
# устанавливает диапазон виртуальных адресов для клиентов
;ifconfig-pool 192.168.10.2 192.168.10.99 

# Топология сети tun только Должна быть подсетью (адресация по IP) если клиенты Windows v2.0.9 и ниже не должны
# поддерживаться (тогда net30, то есть / 30 для каждого клиента) По умолчанию net30 (не рекомендуется)
topology subnet

push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"

#утечка dns
push "block-outside-dns" 

#realtime получить разного рода информацию о текущих клиентских подключениях к серверу
#нужно установить telnet сначала на сервере
;management localhost 7778

#повышаем скорость
;sndbuf 524288
;rcvbuf 524288
;tun-mtu 1472
;fragment 0 
;mssfix 1431

конфиг клиента

windows-driver wintun

remote-cert-tls server
client
auth-nocache

#On exit/restart, send exit signal to server/remote. n = # of retries, default=1. udp only
explicit-exit-notify 1

# Uncomment this is you are not on Windows udp only
;fast-io

#Accept certain config file options from the peer as if they were part of the local config file. Must be specified when connecting to a '--mode server' remote host
;pull

#Filter each option received from the server if it starts with the text t. The action flag accept, ignore or reject causes the option
#to be allowed, removed or rejected with error. May be specified multiple times, and each filter is applied in the order of appearance.
;pull-filter accept|ignore|reject text

#When this option is set, OpenVPN will not drop incoming tun packets with same destination as host
;allow-recursive-routing 

block-ipv6

dev tun1
proto udp
remote мой айпи
 
# необходимо для DynDNS
resolv-retry infinite

nobind
;persist-key
;persist-tun

auth SHA512
;cipher AES-256-GCM
data-ciphers CHACHA20-POLY1305:AES-256-GCM:AES-128-GCM
 
tls-client
tls-version-min 1.2
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384
tls-ciphersuites TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256

;keepalive 10 43

;compress lz4-v2
;compress lzo

verb 6
mute 20
;float

#повышаем скорость
;sndbuf 524288
;rcvbuf 524288
;tun-mtu 1472
;fragment 1472
#для udp ошибки bad packet id  
;mssfix 1431

;<tls-crypt>
;</tls-crypt>
<tls-crypt-v2>
здесь ключ
</tls-crypt-v2> 
<ca>
здесь ключ
</ca>
<cert>
здесь ключ
</cert>
<key>
здесь ключ
</key>

openvpn

mio_linux
(19.11.20 22:46:02 MSK)

10 комментариев

openvpn

Ребят. помогите разобраться с директивой redirect-gateway в openvpn. С такой опцией push «redirect-gateway def1» ставится дефолтный маршрут на клиенте. Вопрос про флаг bypass-dhcp. Что это? В хэлпе нашел вот это: Add 'bypass-dhcp' flag to add a direct route to DHCP server, bypassing tunnel. Т.е пускать весь трафик в обход тунеля до dhcp сервера моего подключения в локальной сети? Объясните пожалуйста по-подробней, кто знает что это за флаг и зачем он нужен или наоборот не нужен

openvpn

mio_linux
(13.07.19 23:36:32 MSK)

40 комментариев

tls chiper openvpn

ребят. подскажите какой tls chiper лучше использовать для openvpn. в нете что-то толкового ничего не нашел. вот доступные методы для 1.2

TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384
TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384
TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA384
TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA384
TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA
TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA
TLS-DHE-RSA-WITH-AES-256-GCM-SHA384
TLS-DHE-RSA-WITH-AES-256-CBC-SHA256
TLS-DHE-RSA-WITH-AES-256-CBC-SHA
TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA
TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256
TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
TLS-ECDHE-RSA-WITH-AES-128-CBC-SHA256
TLS-ECDHE-ECDSA-WITH-AES-128-CBC-SHA256
TLS-ECDHE-RSA-WITH-AES-128-CBC-SHA
TLS-ECDHE-ECDSA-WITH-AES-128-CBC-SHA
TLS-DHE-RSA-WITH-AES-128-GCM-SHA256
TLS-DHE-RSA-WITH-AES-128-CBC-SHA256
TLS-DHE-RSA-WITH-AES-128-CBC-SHA
TLS-DHE-RSA-WITH-CAMELLIA-128-CBC-SHA

openvpn, tls chiper

mio_linux
(19.05.19 02:41:55 MSK)

11 комментариев

нет интернета с клиента андроид openvpn

Пытаюсь подключить одновременно tcp и udp openvpn. Udp 1994 port, tcp 554. ребят такая проблема: подключается нормально с андроида (8.1) на tcp соединение, а интернета нет. При этом соединяюсь с этих конфигов с винды, все работает нормально, но через какое-то время интернет пропадает и что очень странно в логах ошибки не появляются. Есть еще отдельный конфинг сервера и клиента по udp, и виндовс, и андроид все работает нормально. Т.е. из 4 клиентов (2 tcp и 2 udp (клиенты андроид и виндовс)) не работает(подключается,но интернета нет) только один клиент на андроиде по tcp. В чем может быть проблема? Приложение андроид 3.0.5.

конфиг tcp server

#  Внешний IP-адрес OpenVPN-сервера, на котором слушать запросы
local (ip servera)
port 554
proto tcp
dev tun
tls-server
 
# Расположение сертификатов и ключей
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh2048.pem
 

server 10.10.11.0 255.255.255.0
ifconfig-pool-persist /etc/openvpn/ipp.txt
client-to-client
;duplicate-cn
keepalive 10 120
 
# На стороне сервера 0, на стороне клиента 1
tls-auth /etc/openvpn/keys/ta.key 0 
tls-timeout 120

comp-lzo
 
# Максимальное количество клиентов
max-clients 2
 
# Назначаем пользователя и группу для работы с OpenVPN
user nobody
group nogroup
 
# Не перечитывать ключи после получения SIGUSR1 или ping-restart
persist-key
 
# Не закрывать или переоткрывать TUN\TAP устройство, после получения SIGUSR1 или ping-restart
persist-tun
 
# Записывать статус сервера OpenVPN
status /var/log/openvpn/openvpn-status.log
 
# Логи
log         /var/log/openvpn/openvpn.log
 

verb 4
mute 20

# шифрование
auth SHA512
cipher AES-256-CBC

# весь трафик идет через впн
# local опция в одной беспроводной сети
push "redirect-gateway def1 bypass-dhcp"

конфиг tcp клиента

remote-cert-tls server
client
auth-nocache

#Windows route method
;route-method exe
;route-delay 3

dev tun

proto tcp 
;proto udp

remote (ip servera) 554
 

resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert user1.crt
key user1.key
tls-auth ta.key 1
keepalive 10 120
comp-lzo
verb 4
mute 20
auth SHA512
cipher AES-256-CBC

надеюсь понятно обьяснил

openvpn

mio_linux
(06.04.19 22:50:38 MSK)

9 комментариев

RSS подписка на новые темы