Настройка OpenVpn только до нужных сайтов

Страницы :   Пред.  1, 2, 3
Ответить
 

crafic

Стаж: 12 лет 10 месяцев

Сообщений: 6


crafic · 21-Июн-22 14:46 (2 года 4 месяца назад)

прописал
Код:

route-nopull
route yandex.ru
но тогда zen.yandex.ru не работает. это что для каждого поддомена нужно прописывать правило?
мне нужно подсеть прописать.
route 185.50.0.0/16 не сработало. и так route 185.50.0.0/16 255.255.255.0 vpn_gateway и так route 185.50.0.0/16 255.255.255.255 vpn_gateway
голову можно сломать. с проксифиер как то проще
[Профиль]  [ЛС] 

PReTor1aN

Старожил

Стаж: 12 лет 8 месяцев

Сообщений: 235

PReTor1aN · 21-Июн-22 17:41 (спустя 2 часа 54 мин., ред. 21-Июн-22 17:41)

crafic
Цитата:
и так route 185.50.0.0/16 255.255.255.0 vpn_gateway и так route 185.50.0.0/16 255.255.255.255 vpn_gateway
Неудивительно, что не работает!
У подсети 185.50.0.0 с префиксом /16 маска 255.255.0.0. И никак не может быть по-другому! Или тогда там префикс не /16.
И не надо писать фактически маску дважды! Либо 185.50.0.0/16 либо 185.50.0.0 255.255.0.0 Это абсолютно одно и то же написанное по разному.
https://ip-calculator.ru/ в помощь...
[Профиль]  [ЛС] 

crafic

Стаж: 12 лет 10 месяцев

Сообщений: 6


crafic · 21-Июн-22 18:05 (спустя 23 мин., ред. 21-Июн-22 18:05)

Спасибо бро. с етим я разобрался. 185.50.0.0/16 так неработает. только 185.50.0.0 255.255.0.0
может из-за того что у меня вин 8.1
на 10 ке может и в формате CIDR работает. не проверял
Но. Есть очень большая проблема. Вот я с Украины и щас у нас все ру ip в блоке. я скинул все российские ip адреса в файл config но OpenVPN так и не запустился.
Их там 13к +
И не запустился он скорее всего потому что добавляет по одному
В логах видно route add 185.50.0.0 255.255.0.0 и т д...
Если у кого есть идеи как скормить такой большой список быстро, буду рад услышать советы
P.S Кстати хорошие мы с тобой пользователи. За 10 лет на форуме умудрились так много комментов нахерачить
[Профиль]  [ЛС] 

kambala

Стаж: 18 лет 7 месяцев

Сообщений: 1142

kambala · 18-Июл-22 12:55 (спустя 26 дней)

здравствуйте. с этим методом наблюдаются проблемы, но почему-то только с рутрекером: часто браузер (пробовал сафари и вивальди) не может открыть сайт, но после 5-10 обновлений страницы наконец открывает (иногда и с первого раза открывает); после успешного открытия через какое-то время опять перестает.
у меня макос 12.4, использую дефолтные файлы конфигурации от PIA (их приложением не пользуюсь). модифицировал конфигурацию следующим образом: в самое начало файла добавлено (другие сайты опущены)
Код:
route-nopull
route rutr.life
route static.rutracker.cc
route rutrk.org
route bt.t-ru.org
route bt2.t-ru.org
route bt3.t-ru.org
route bt4.t-ru.org
route 1.1.1.1
route 1.0.0.1
конфигурация днс (mDNS резолверы удалены для сокращения текста):
Код:
> scutil --dns
DNS configuration
resolver #1
  nameserver[0] : 1.1.1.1
  nameserver[1] : 1.0.0.1
  nameserver[2] : 2606:4700:4700::1111
  nameserver[3] : 2606:4700:4700::1001
  flags    : Request A records, Request AAAA records
  reach    : 0x00000002 (Reachable)
DNS configuration (for scoped queries)
resolver #1
  nameserver[0] : 1.1.1.1
  nameserver[1] : 1.0.0.1
  nameserver[2] : 2606:4700:4700::1111
  nameserver[3] : 2606:4700:4700::1001
  if_index : 4 (en0)
  flags    : Scoped, Request A records, Request AAAA records
  reach    : 0x00000002 (Reachable)
при этом route показывает правильную информацию:
Код:
> route get rutr.life
   route to: 172.67.137.176
destination: 172.67.137.176
       mask: 255.255.255.255
    gateway: 10.25.112.1
  interface: utun3
      flags: <UP,GATEWAY,DONE,STATIC,PRCLONING>
recvpipe  sendpipe  ssthresh  rtt,msec    rttvar  hopcount      mtu     expire
       0         0         0         0         0         0      1500         0
как-то можно исправить? щас в качестве альтернативного решения использую расширение PIA в вивальди.
[Профиль]  [ЛС] 

dio199

Стаж: 13 лет 3 месяца

Сообщений: 76


dio199 · 26-Июл-22 03:15 (спустя 7 дней)

kambala
А если ip прописать
route 104.21.56.234 #rutr.life
route 172.67.137.176 #rutr.life
[Профиль]  [ЛС] 

kambala

Стаж: 18 лет 7 месяцев

Сообщений: 1142

kambala · 27-Июл-22 11:26 (спустя 1 день 8 часов)

dio199
спасибо.
я кажется понял в чем дело: у машины есть IPv6 адрес, у рутрекера тоже, а мой впн (PIA) игнорирует IPv6. через tcpdump видно, что идут попытки открыть по IPv6.
единственным решением будет отключение IPv6 на машине, чего я делать не хочу
[Профиль]  [ЛС] 

termo78

Старожил

Стаж: 17 лет 7 месяцев

Сообщений: 108

termo78 · 28-Июл-22 18:46 (спустя 1 день 7 часов)

Цитата:
единственным решением будет отключение IPv6 на машине, чего я делать не хочу
Так себе решение ) Можно взять другой впн, который предоставляет на интерфейс ipv6/64 внешних, белых адресов. С ним у тебя всё будет работать даже если твой провайдер вообще не предоставляет тебе ipv6. )
[Профиль]  [ЛС] 

kambala

Стаж: 18 лет 7 месяцев

Сообщений: 1142

kambala · 28-Июл-22 18:57 (спустя 10 мин.)

termo78
спасибо, но менять впн провайдера пока смысла не вижу
[Профиль]  [ЛС] 

alexbrovkin

Стаж: 1 год 6 месяцев

Сообщений: 4


alexbrovkin · 06-Май-23 19:08 (спустя 9 месяцев, ред. 06-Май-23 19:08)

Help!
При соединении с сервером пишет это
Sat May 6 10:45:15 2023 Restart pause, 16 second(s)
Sat May 6 10:45:31 2023 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Sat May 6 10:45:31 2023 TCP/UDP: Preserving recently used remote address: [AF_INET]219.100.37.83:443
Sat May 6 10:45:31 2023 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sat May 6 10:45:31 2023 Attempting to establish TCP connection with [AF_INET]219.100.37.83:443
Sat May 6 10:45:31 2023 MANAGEMENT: >STATE:1683359131,TCP_CONNECT,,,,,,
Sat May 6 10:47:33 2023 TCP: connect to [AF_INET]219.100.37.83:443 failed: Unknown error
Sat May 6 10:47:33 2023 SIGUSR1[connection failed(soft),connection-failed] received, process restarting
Sat May 6 10:47:33 2023 MANAGEMENT: >STATE:1683359253,RECONNECTING,connection-failed,,,,,
Sat May 6 10:47:33 2023 Restart pause, 32 second(s)
Sat May 6 10:48:05 2023 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Sat May 6 10:48:05 2023 TCP/UDP: Preserving recently used remote address: [AF_INET]219.100.37.83:443
Sat May 6 10:48:05 2023 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sat May 6 10:48:05 2023 Attempting to establish TCP connection with [AF_INET]219.100.37.83:443
Sat May 6 10:48:05 2023 MANAGEMENT: >STATE:1683359285,TCP_CONNECT,,,,,,
Как и где указать сертификат сервера? В more info
ничего не ясно.
[Профиль]  [ЛС] 

PReTor1aN

Старожил

Стаж: 12 лет 8 месяцев

Сообщений: 235

PReTor1aN · 06-Май-23 21:13 (спустя 2 часа 5 мин.)

alexbrovkin
Написано же, не выбран метод проверки ключа сервера!
В гугл же первые штук 10 ссылок вам говорят, что нужно дописать:
remote-cert-tls server
[Профиль]  [ЛС] 

alexbrovkin

Стаж: 1 год 6 месяцев

Сообщений: 4


alexbrovkin · 07-Май-23 11:13 (спустя 14 часов)

Извините, я чайник. Подскажите, в какое место нужно дописать:
remote-cert-tls server? Заранее благодарен.
[Профиль]  [ЛС] 

Krosky

Старожил

Стаж: 14 лет 2 месяца

Сообщений: 167

Krosky · 07-Май-23 17:20 (спустя 6 часов)

alexbrovkin писал(а):
84688709Подскажите, в какое место нужно дописать: remote-cert-tls server?
В файл .ovpn
скрытый текст
client
dev tun
proto udp
remote 175.16.108.73 443
nobind
persist-key
persist-tun
remote-cert-tls server
auth SHA512
cipher AES-256-GCM
auth-nocache
block-outside-dns
verb 3
[Профиль]  [ЛС] 

alexbrovkin

Стаж: 1 год 6 месяцев

Сообщений: 4


alexbrovkin · 07-Май-23 20:12 (спустя 2 часа 52 мин., ред. 07-Май-23 20:12)

Krosky писал(а):
84690206
alexbrovkin писал(а):
84688709Подскажите, в какое место нужно дописать: remote-cert-tls server?
В файл .ovpn
скрытый текст
client
dev tun
proto udp
remote 175.16.108.73 443
nobind
persist-key
persist-tun
remote-cert-tls server
auth SHA512
cipher AES-256-GCM
auth-nocache
block-outside-dns
verb 3
Я получил это
..........................
2023-05-07 19:59:36 OPTIONS IMPORT: --ifconfig/up options modified
2023-05-07 19:59:36 OPTIONS IMPORT: route options modified
2023-05-07 19:59:36 OPTIONS IMPORT: route-related options modified
2023-05-07 19:59:36 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
2023-05-07 19:59:36 OPTIONS ERROR: failed to negotiate cipher with server. Add the server's cipher ('AES-128-CBC') to --data-ciphers (currently 'AES-256-GCM:AES-128-GCM') if you want to connect to this server.
2023-05-07 19:59:36 ERROR: Failed to apply push options
2023-05-07 19:59:36 Failed to open tun/tap interface
........................
И подключения не случилось?
Конфигурация на всякий случай такая
# Downloaded from https://ipspeed.info
dev tun
client
dev tun
proto tcp
remote 219.100.37.10 443
nobind
persist-key
persist-tun
remote-cert-tls server
auth SHA512
cipher AES-256-GCM
auth-nocache
block-outside-dns
verb 3
[Профиль]  [ЛС] 

PReTor1aN

Старожил

Стаж: 12 лет 8 месяцев

Сообщений: 235

PReTor1aN · 07-Май-23 22:09 (спустя 1 час 56 мин., ред. 07-Май-23 22:09)

alexbrovkin
Вот так:
скрытый текст
client
proto udp
dev tun
windows-driver wintun
remote ip_address port
sndbuf 0
rcvbuf 0
resolv-retry infinite
nobind
persist-key
persist-tun
data-ciphers AES-256-CBC
data-ciphers-fallback AES-256-CBC
key-direction 1
remote-cert-tls server
auth SHA1
auth-nocache
verb 3
1. Конкретно для таких параметров требуется OpenVPN не ниже версии 2.5.8!! Иначе может не работать.
2. Параметр windows-driver wintun только для ОС Windows! С ним работает немного быстрее. Если не работает - удалите или закомментируйте!
3. Эта тема настройки только до нужных сайтов, у вас же с такими настройками ВЕСЬ трафик идёт в тоннель. Или вы пишите не в ту тему тогда.
[Профиль]  [ЛС] 

alexbrovkin

Стаж: 1 год 6 месяцев

Сообщений: 4


alexbrovkin · 11-Май-23 20:11 (спустя 3 дня)

PReTor1aN писал(а):
84691235alexbrovkin
Вот так:
скрытый текст
client
proto udp
dev tun
windows-driver wintun
remote ip_address port
sndbuf 0
rcvbuf 0
resolv-retry infinite
nobind
persist-key
persist-tun
data-ciphers AES-256-CBC
data-ciphers-fallback AES-256-CBC
key-direction 1
remote-cert-tls server
auth SHA1
auth-nocache
verb 3
1. Конкретно для таких параметров требуется OpenVPN не ниже версии 2.5.8!! Иначе может не работать.
2. Параметр windows-driver wintun только для ОС Windows! С ним работает немного быстрее. Если не работает - удалите или закомментируйте!
3. Эта тема настройки только до нужных сайтов, у вас же с такими настройками ВЕСЬ трафик идёт в тоннель. Или вы пишите не в ту тему тогда.
Получилось так
скрытый текст
2023-05-11 20:04:23 Note: --data-cipher-fallback with cipher 'AES-256-CBC' disables data channel offload.
2023-05-11 20:04:23 OpenVPN 2.6.3 [git:v2.6.3/94aad8c51043a805] Windows-MSVC [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] [DCO] built on Apr 26 2023
2023-05-11 20:04:23 Windows version 6.1 (Windows 7), amd64 executable
2023-05-11 20:04:23 library versions: OpenSSL 3.1.0 14 Mar 2023, LZO 2.10
2023-05-11 20:04:23 DCO version: v0
2023-05-11 20:04:23 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25342
2023-05-11 20:04:23 Need hold release from management interface, waiting...
2023-05-11 20:04:24 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:55792
2023-05-11 20:04:24 MANAGEMENT: CMD 'state on'
2023-05-11 20:04:24 MANAGEMENT: CMD 'log on all'
2023-05-11 20:04:24 MANAGEMENT: CMD 'echo on all'
2023-05-11 20:04:24 MANAGEMENT: CMD 'bytecount 5'
2023-05-11 20:04:24 MANAGEMENT: CMD 'state'
2023-05-11 20:04:24 MANAGEMENT: CMD 'hold off'
2023-05-11 20:04:24 MANAGEMENT: CMD 'hold release'
2023-05-11 20:04:24 MANAGEMENT: >STATE:1683824664,RESOLVE,,,,,,
2023-05-11 20:04:24 RESOLVE: Cannot resolve host address: ip_address:port (Указанный класс не найден. )
2023-05-11 20:04:24 MANAGEMENT: >STATE:1683824664,RESOLVE,,,,,,
2023-05-11 20:04:24 RESOLVE: Cannot resolve host address: ip_address:port (Указанный класс не найден. )
2023-05-11 20:04:24 Could not determine IPv4/IPv6 protocol
2023-05-11 20:04:24 SIGUSR1[soft,Could not determine IPv4/IPv6 protocol] received, process restarting
2023-05-11 20:04:24 MANAGEMENT: >STATE:1683824664,RECONNECTING,Could not determine IPv4/IPv6 protocol,,,,,
2023-05-11 20:04:24 Restart pause, 1 second(s)
2023-05-11 20:04:25 MANAGEMENT: >STATE:1683824665,RESOLVE,,,,,,
2023-05-11 20:04:25 RESOLVE: Cannot resolve host address: ip_address:port (Указанный класс не найден. )
2023-05-11 20:04:25 MANAGEMENT: >STATE:1683824665,RESOLVE,,,,,,
2023-05-11 20:04:25 RESOLVE: Cannot resolve host address: ip_address:port (Указанный класс не найден. )
2023-05-11 20:04:25 Could not determine IPv4/IPv6 protocol
2023-05-11 20:04:25 SIGUSR1[soft,Could not determine IPv4/IPv6 protocol] received, process restarting
2023-05-11 20:04:25 MANAGEMENT: >STATE:1683824665,RECONNECTING,Could not determine IPv4/IPv6 protocol,,,,,
2023-05-11 20:04:25 Restart pause, 1 second(s)
2023-05-11 20:04:26 MANAGEMENT: >STATE:1683824666,RESOLVE,,,,,,
2023-05-11 20:04:26 RESOLVE: Cannot resolve host address: ip_address:port (Указанный класс не найден. )
2023-05-11 20:04:26 MANAGEMENT: >STATE:1683824666,RESOLVE,,,,,,
2023-05-11 20:04:26 RESOLVE: Cannot resolve host address: ip_address:port (Указанный класс не найден. )
2023-05-11 20:04:26 Could not determine IPv4/IPv6 protocol
2023-05-11 20:04:26 SIGUSR1[soft,Could not determine IPv4/IPv6 protocol] received, process restarting
2023-05-11 20:04:26 MANAGEMENT: >STATE:1683824666,RECONNECTING,Could not determine IPv4/IPv6 protocol,,,,,
2023-05-11 20:04:26 Restart pause, 1 second(s)
2023-05-11 20:04:27 MANAGEMENT: >STATE:1683824667,RESOLVE,,,,,,
2023-05-11 20:04:27 RESOLVE: Cannot resolve host address: ip_address:port (Указанный класс не найден. )
2023-05-11 20:04:27 MANAGEMENT: >STATE:1683824667,RESOLVE,,,,,,
2023-05-11 20:04:27 RESOLVE: Cannot resolve host address: ip_address:port (Указанный класс не найден. )
2023-05-11 20:04:27 Could not determine IPv4/IPv6 protocol
2023-05-11 20:04:27 SIGUSR1[soft,Could not determine IPv4/IPv6 protocol] received, process restarting
2023-05-11 20:04:27 MANAGEMENT: >STATE:1683824667,RECONNECTING,Could not determine IPv4/IPv6 protocol,,,,,
2023-05-11 20:04:27 Restart pause, 1 second(s)
2023-05-11 20:04:28 MANAGEMENT: >STATE:1683824668,RESOLVE,,,,,,
2023-05-11 20:04:28 RESOLVE: Cannot resolve host address: ip_address:port (Указанный класс не найден. )
2023-05-11 20:04:28 MANAGEMENT: >STATE:1683824668,RESOLVE,,,,,,
2023-05-11 20:04:28 RESOLVE: Cannot resolve host address: ip_address:port (Указанный класс не найден. )
2023-05-11 20:04:28 Could not determine IPv4/IPv6 protocol
2023-05-11 20:04:28 SIGUSR1[soft,Could not determine IPv4/IPv6 protocol] received, process restarting
2023-05-11 20:04:28 MANAGEMENT: >STATE:1683824668,RECONNECTING,Could not determine IPv4/IPv6 protocol,,,,,
2023-05-11 20:04:28 Restart pause, 2 second(s)
2023-05-11 20:04:30 MANAGEMENT: >STATE:1683824670,RESOLVE,,,,,,
2023-05-11 20:04:30 RESOLVE: Cannot resolve host address: ip_address:port (Указанный класс не найден. )
2023-05-11 20:04:30 MANAGEMENT: >STATE:1683824670,RESOLVE,,,,,,
2023-05-11 20:04:30 RESOLVE: Cannot resolve host address: ip_address:port (Указанный класс не найден. )
2023-05-11 20:04:30 Could not determine IPv4/IPv6 protocol
2023-05-11 20:04:30 SIGUSR1[soft,Could not determine IPv4/IPv6 protocol] received, process restarting
2023-05-11 20:04:30 MANAGEMENT: >STATE:1683824670,RECONNECTING,Could not determine IPv4/IPv6 protocol,,,,,
2023-05-11 20:04:30 Restart pause, 4 second(s)
2023-05-11 20:04:34 MANAGEMENT: >STATE:1683824674,RESOLVE,,,,,,
2023-05-11 20:04:34 RESOLVE: Cannot resolve host address: ip_address:port (Указанный класс не найден. )
2023-05-11 20:04:34 MANAGEMENT: >STATE:1683824674,RESOLVE,,,,,,
2023-05-11 20:04:34 RESOLVE: Cannot resolve host address: ip_address:port (Указанный класс не найден. )
2023-05-11 20:04:34 Could not determine IPv4/IPv6 protocol
2023-05-11 20:04:34 SIGUSR1[soft,Could not determine IPv4/IPv6 protocol] received, process restarting
2023-05-11 20:04:34 MANAGEMENT: >STATE:1683824674,RECONNECTING,Could not determine IPv4/IPv6 protocol,,,,,
2023-05-11 20:04:34 Restart pause, 8 second(s)
[Профиль]  [ЛС] 

Krosky

Старожил

Стаж: 14 лет 2 месяца

Сообщений: 167

Krosky · 11-Май-23 23:04 (спустя 2 часа 52 мин., ред. 11-Май-23 23:04)

Не прописал адрес и порт сервера.
alexbrovkin писал(а):
скрытый текст
client
proto udp
dev tun
windows-driver wintun
remote 219.100.37.10 443
sndbuf 0
rcvbuf 0
resolv-retry infinite
nobind
persist-key
persist-tun
data-ciphers AES-256-CBC
data-ciphers-fallback AES-256-CBC
key-direction 1
remote-cert-tls server
auth SHA1
auth-nocache
verb 3
А зачем ты файл редактируешь? Там скачиваются уже готовые конфигурационные файлы.
Вот например бери любой.
[Профиль]  [ЛС] 

.ramzes

Стаж: 17 лет 6 месяцев

Сообщений: 39


.ramzes · 24-Авг-23 10:01 (спустя 3 месяца 12 дней, ред. 24-Авг-23 10:01)

Помогите, пожалуйста, с VPN на роутере разобраться. Сделал всё по инструкции из темы - если профиль загружать в VPN-клиент ASUS'а с мерлиновской прошивкой, то трафик почему-то идет весь через VPN, хотя при проверке на винде через OpenVPN GUI профиль работает как надо (через VPN идет траф только на указанные в .ovpn сайты). Возможно, накосепорил в настройках самого конфига или роутера.

[Профиль]  [ЛС] 

CoolAller

Стаж: 14 лет 7 месяцев

Сообщений: 110


CoolAller · 16-Дек-23 04:00 (спустя 3 месяца 22 дня, ред. 16-Дек-23 04:00)

Да, прочитал посты этой темы и понял как же люди далеки от самой темы выборочной маршрутизации. Для того, чтобы понять проблематику гуглите о том, что такое CDN (content delivery network), Cloudflare, etc и балансировка нагрузки, потом придет понимание того, как именно нужно это делать и насколько это непросто. Прописывать статичные роуты это борьба с ветряными мельницами и пустая трата времени, как и указание списков доменных имен заблокированных ресурсов. Прописывание пулов адресов очень нехорошая затея, убивающая саму цель выборочной маршрутизации, учитывая современные web-технологии. Блокировки есть не только от ISP/РКН, но и региональные от самих web-ресурсов, соответственно и подход к обходу блокировки разный.
[Профиль]  [ЛС] 

Art'usha

Top Bonus 02* 500GB

Стаж: 14 лет 9 месяцев

Сообщений: 186

Art'usha · 21-Дек-23 03:04 (спустя 4 дня)

.ramzes
коллега, раз у вас асус, мой совет - openwrt ставьте. Это займет полчаса.
Затем приглашаю сюда. Предлагаю что-то на основе sing-box ставить. )
[Профиль]  [ЛС] 
 
Ответить
Loading...
Error