Sprzęt: ASUS RTN18U
Oprogramowanie: Tomato Firmware 1.28.0000 -140 K26ARM USB AIO-64K
Dokładnie na takim samym sprzęcie oprogramowaniu miałem innego dostawcę VPN i wszystko działało bezbłednie, prócz tego, ze mieli tylko 1 serwer PL, który został wszędzie zbanowany i nawet google co chwila kazał captcha robić. Nord mnie skusił duża listą PL serwerów. Od początku (koło stycznia) nie wszystko działało perfekcyjnie, bo połączenie miało tendencję do zrywania. Tzn tunel był stabilny, ale co jakiś czas zrywało w nim internet na amen (już nie wracał). Trochę rozmawiałem z supportem, ale jakoś nie miałem siły ciągnąć tego ping-ponga, tym bardziej, ze to było relatywnie rzadkie, raz na 1-3 dni, uznałem, ze nie jest problemem jak sobie ręcznie OpenVPN zrestartuje. Ale jakiś miesiąc temu częstośc problemu wzrosła do ok raz na godzinę! Setup zupełnie nie ruszany, prócz zmiany ich DNS na google (ale to było o wiele wcześniej i tylko dlatego, ze ich dnsy przestały działać, ale nie sądze, ze to ma coś z tym wspólnego, bo miesiące działało po staremu, czyli konieczność restartu raz na dzien do trzech). Rozmowa z supportem nic nie daje, typowy ping-pong. Zrób to, spróbuj tamto, do nieczego to nie prowadzi. Typowy pasywny sposób olania klienta.
To jest log, który zastałem w chwili kiedy zerwało internet w tunelu (internet na WANie działa):
Oct 30 16:00:00 Router syslog.info root: -- MARK --
Oct 30 16:34:17 Router daemon.notice openvpn[32582]: VERIFY OK: depth=2, C=PA, O=NordVPN, CN=NordVPN Root CA
Oct 30 16:34:17 Router daemon.notice openvpn[32582]: VERIFY OK: depth=1, C=PA, O=NordVPN, CN=NordVPN CA7
Oct 30 16:34:17 Router daemon.notice openvpn[32582]: VERIFY KU OK
Oct 30 16:34:17 Router daemon.notice openvpn[32582]: Validating certificate extended key usage
Oct 30 16:34:17 Router daemon.notice openvpn[32582]: ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Oct 30 16:34:17 Router daemon.notice openvpn[32582]: VERIFY EKU OK
Oct 30 16:34:17 Router daemon.notice openvpn[32582]: VERIFY OK: depth=0, CN=pl141.nordvpn.com
Oct 30 16:34:18 Router daemon.warn openvpn[32582]: WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1633', remote='link-mtu 1634'
Oct 30 16:34:18 Router daemon.warn openvpn[32582]: WARNING: 'comp-lzo' is present in remote config but missing in local config, remote='comp-lzo'
Oct 30 16:34:18 Router daemon.notice openvpn[32582]: Data Channel Encrypt: Cipher 'AES-256-GCM' initialized with 256 bit key
Oct 30 16:34:18 Router daemon.notice openvpn[32582]: Data Channel Decrypt: Cipher 'AES-256-GCM' initialized with 256 bit key
Oct 30 16:34:18 Router daemon.notice openvpn[32582]: Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 4096 bit RSA
Oct 30 17:00:00 Router syslog.info root: -- MARK --
Oct 30 17:31:38 Router daemon.notice openvpn[32582]: VERIFY OK: depth=2, C=PA, O=NordVPN, CN=NordVPN Root CA
Oct 30 17:31:38 Router daemon.notice openvpn[32582]: VERIFY OK: depth=1, C=PA, O=NordVPN, CN=NordVPN CA7
Oct 30 17:31:38 Router daemon.notice openvpn[32582]: VERIFY KU OK
Oct 30 17:31:38 Router daemon.notice openvpn[32582]: Validating certificate extended key usage
Oct 30 17:31:38 Router daemon.notice openvpn[32582]: ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Oct 30 17:31:38 Router daemon.notice openvpn[32582]: VERIFY EKU OK
Oct 30 17:31:38 Router daemon.notice openvpn[32582]: VERIFY OK: depth=0, CN=pl141.nordvpn.com
Oct 30 17:31:38 Router daemon.warn openvpn[32582]: WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1633', remote='link-mtu 1634'
Oct 30 17:31:38 Router daemon.warn openvpn[32582]: WARNING: 'comp-lzo' is present in remote config but missing in local config, remote='comp-lzo'
Oct 30 17:31:38 Router daemon.notice openvpn[32582]: Data Channel Encrypt: Cipher 'AES-256-GCM' initialized with 256 bit key
Oct 30 17:31:38 Router daemon.notice openvpn[32582]: Data Channel Decrypt: Cipher 'AES-256-GCM' initialized with 256 bit key
Oct 30 17:31:38 Router daemon.notice openvpn[32582]: Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 4096 bit RSA
Oct 30 18:00:00 Router syslog.info root: -- MARK --
Oct 30 18:28:59 Router daemon.notice openvpn[32582]: VERIFY OK: depth=2, C=PA, O=NordVPN, CN=NordVPN Root CA
Oct 30 18:28:59 Router daemon.notice openvpn[32582]: VERIFY OK: depth=1, C=PA, O=NordVPN, CN=NordVPN CA7
Oct 30 18:28:59 Router daemon.notice openvpn[32582]: VERIFY KU OK
Oct 30 18:28:59 Router daemon.notice openvpn[32582]: Validating certificate extended key usage
Oct 30 18:28:59 Router daemon.notice openvpn[32582]: ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Oct 30 18:28:59 Router daemon.notice openvpn[32582]: VERIFY EKU OK
Oct 30 18:28:59 Router daemon.notice openvpn[32582]: VERIFY OK: depth=0, CN=pl141.nordvpn.com
Oct 30 18:28:59 Router daemon.warn openvpn[32582]: WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1633', remote='link-mtu 1634'
Oct 30 18:28:59 Router daemon.warn openvpn[32582]: WARNING: 'comp-lzo' is present in remote config but missing in local config, remote='comp-lzo'
Oct 30 18:28:59 Router daemon.notice openvpn[32582]: Data Channel Encrypt: Cipher 'AES-256-GCM' initialized with 256 bit key
Oct 30 18:28:59 Router daemon.notice openvpn[32582]: Data Channel Decrypt: Cipher 'AES-256-GCM' initialized with 256 bit key
Oct 30 18:28:59 Router daemon.notice openvpn[32582]: Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 4096 bit RSA
a to log po tym jak ręcznie zrestartowałem klienta openVPN:
Szczerze to masz oprogramowanie na routerku które ma ponad 5 lat i cokolwiek jest nie tak możliwe że jest już naprawione w nowym. Nie obraź się ale jak Tobie nie chce sie wgrac nowego oprogramowania, wyczyścic nvram i ustawic wszystkiego z palca to ... sam sobie dopowiedz. Możliwe że jest konflikt z jakąś 5 letnią paczką, dziurą bezpieczeństwa, itd. Ogólnie to nie jest bezpiecznie nieaktualizowanie routera.
Dziękuję za pomoc. Wgrałem nowa wersję tak jak mówiłeś, ale nic nie pomogło, sytuacja bez zmian. Już nie wiem, co mogę zrobić.
Scalony z 20 listopada 2022 20:28:29:
Czy to jakiś bug tej wersji, jak włącze killswitch w ustawieniach VPN, a potem chce go wyłączyć to się nie da. trzeba ręcznie iptables edytować.
Scalony z 27 listopada 2022 11:28:02:
Problem cały czas występuje, zauważyłem w logach, ze co 56-57 minut występuję dokładnie ta sama wymuszona procedura:
Nov 27 07:49:00 Router daemon.notice openvpn-client1[2303]: VERIFY OK: depth=2, C=PA, O=NordVPN, CN=NordVPN Root CA
Nov 27 07:49:00 Router daemon.notice openvpn-client1[2303]: VERIFY OK: depth=1, C=PA, O=NordVPN, CN=NordVPN CA7
Nov 27 07:49:00 Router daemon.notice openvpn-client1[2303]: VERIFY KU OK
Nov 27 07:49:00 Router daemon.notice openvpn-client1[2303]: Validating certificate extended key usage
Nov 27 07:49:00 Router daemon.notice openvpn-client1[2303]: ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Nov 27 07:49:00 Router daemon.notice openvpn-client1[2303]: VERIFY EKU OK
Nov 27 07:49:00 Router daemon.notice openvpn-client1[2303]: VERIFY OK: depth=0, CN=pl214.nordvpn.com
Nov 27 07:49:01 Router daemon.warn openvpn-client1[2303]: WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1619', remote='link-mtu 1636'
Nov 27 07:49:01 Router daemon.warn openvpn-client1[2303]: WARNING: 'keysize' is used inconsistently, local='keysize 128', remote='keysize 256'
Nov 27 07:49:01 Router daemon.warn openvpn-client1[2303]: WARNING: 'comp-lzo' is present in remote config but missing in local config, remote='comp-lzo'
Nov 27 07:49:01 Router daemon.notice openvpn-client1[2303]: Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Nov 27 07:49:01 Router daemon.notice openvpn-client1[2303]: Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Nov 27 07:49:01 Router daemon.notice openvpn-client1[2303]: Control Channel: TLSv1.3, cipher TLSv1.3 TLS_AES_256_GCM_SHA384, peer certificate: 4096 bit RSA, signature: RSA-SHA512
w tym momencie jest "losowanie", albo będzie internet w tunelu, albo go nie będzie. Jak go nie ma i nic się nie zrobi, to w następnym podejściu za 56-57 minut może być przywrócony lub nie. Logi w żaden sposób nie różnicują sytuacji, co zostanie "wylosowane".
Czy ktoś wie, czy tym czymś, co podałem w logach da się sterowac z pozycji klienta jakoś?
Edytowany przez the_foe dnia 27-11-2022 11:28
· Łącznie użytkowników: 24,115 · Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.
zakk87
31-12-2022 19:13
Życzę wszystkim Szczęśliwego Nowego Roku, oby był jeszcze lepszy niż poprzedni.
Maniek91PL
27-12-2022 18:35
Wesołych Szczęśliwego Nowego Roku!
tamtosiamto
24-12-2022 17:17
Wesolych swiat wszytskim uzytkownikom ol
shibby
18-12-2022 23:02
potrzebuję czegoś z 2.5G
p1vo
16-12-2022 17:31
Na co zamieniasz?
shibby
14-12-2022 09:48
btw, przed świętami będę miał ER-12 na sprzedaż jakby ktoś był zainteresowany
shibby
14-12-2022 09:15
@damianssj661 - tomato trzyma cały config w zmiennych nvram zaś sam firewall jest budowany "w locie" na podstawie tych zmiennych. Łatwiej ci będzie zrobić tunnel przez ssh do gui
Adooni
07-12-2022 21:54
juz od pewnego czasu nie siedize na tomato osobscie tylko mam u innych postawione - jest taka sciezka prerouting/postrou ting/nat//mangle ?
Adooni
07-12-2022 21:53
nie kumam why? przeciez mozesz latwo dodac i pozmienaic wszysko przez ssh - wpisz w google iptables commands.
damianssj661
07-12-2022 14:20
Gdzie tomato trzyma plik z konfiguracją firewall? Potrzebuje zmienić przekierowanie portu i wyłączyć hsts a mam dostęp tylko przez ssh