RSS Feed

Posts Tagged ‘openvpn’

  1. OpenVPN, Mikrotik i Bad LZO decompression header byte

    Marzec 25, 2013 by 0verlord

    mikrotik

    Mikrotik to ogólnie fajny sprzęt i sporo może. Niestety kilka rzeczy jest nie do końca zaimplementowanych. Jedną z tych rzeczy jest OpenVPN.

    Mimo najnowszej wersji softu i na wydawałoby się – poprawnego konfiga, tym razem nie chciał się połączyć.
    Objawy były takie, że łączyło mnie, a po jakimś czasie do loga szedł komunikat
    Inactivity timeout (--ping-restart)
    i oczywiście rozłączało, potem łączyło znowu, znowu nie mogłem nic pingnąć po drugiej stronie i tak w kółko.

    Logi śmiecił jeszcze komunikat pt:
    Bad LZO decompression header byte: (numerek)

    To już w ogóle było pozornie bez związku, ale poszedłem tropem tegoż węża. Po stronie klienta próbowałem to wyłączyć ustawiając
    use-compression=no

    w /ppp profile, ale to nic nie dało. Rzut oka do konfiga po stronie serwera ujawnił straszliwa prawdę – była tam odkomentowana dyrektywa comp-lzo.
    Zakoment, restart openvpna i tadam.wav.

    Podsumowując:

    1. mikrotik obsługuje OpenVPNa w trybie klienta, ale tylko po TCP, udp nie jest zaimplementowane.
    2. … za to obsługuje autoryzację zarówno po certyfikacie, jak i po userze/haśle.
    3. klient nie rozumie kompresji – po stronie serwera trzeba wyłaczyć comp-lzo
    4. jeżeli nie mamy kontroli nad serwerem, i nie możemy tam dodać trasy do podsieci zza naszego vpna, trzeba dodać regułkę maskarady na interfejsie ovpn-out1 (czy też jakkolwiek się u Was nazywa)


  2. OpenVPN i WrwrWrwrWrwrWrwr w logu oraz Need IPv6

    Marzec 6, 2012 by 0verlord

    Jeżeli przy konfiguracji OpenVPNa w logu pojawiają się długie linijki jak w temacie przy każdym ruchu sieciowym (najlepiej widać na przykładzie pinga) to należy zmniejszyć poziom debuga w konfigu. Poziom debuga „verb 2” załatwi problem.

    Need IPv6 code in mroute_extract_addr_from_packet – ten komunikat jest trochę głupszy, bo rozwiązaniem jest wyłączenie protokołu ipv6 na interfejsie tun. Problemem jest sterownik tun pod Windowsy, nie obsługuje jeszcze ipv6 wystarczająco stabilnie, żeby chłopaki puścili go do produkcji. Albo zrobi się jak w przypadku innych narzędzi opensourcowych – nowe wersje tylko dla płacących klientów. Taki los.

    Jak na razie nie musiałem pchać ipv6 po tunelach OpenVPNowych, więc nawet ciężko mi się wypowiedzieć.