1 Temat przez piter

  • piter
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-06-29
  • Posty: 52

Temat: OpenVPN DCO w OpenWRT 24.10

Cześć.
Jakie macie doświadczenia z DCO w OpenVPN na OpenWRT 24.10? U mnie (ZTE MF286D) DCO całkowicie uniemożliwia nawiązanie połączenia z serwerem OpenVPN (moje OpenWRT jest klientem VPN). Takie rzeczy się dzieją:

Sun Jan  5 13:20:23 2025 kern.err kernel: [ 1227.307947] ovpn_aead_decrypt: decrypt failed: -74
Sun Jan  5 13:20:23 2025 kern.err kernel: [ 1227.308008] ovpn_decrypt_one: error during decryption for peer 14221, key-id 0: -74
Sun Jan  5 13:21:23 2025 daemon.notice openvpn(connector01)[4112]: dco_get_peer_stats: netlink reports object not found, ovpn-dco unloaded?
Sun Jan  5 13:21:23 2025 daemon.notice openvpn(connector01)[4112]: dco_get_peer_stats: failed to send netlink message: No such file or directory (-2)
Sun Jan  5 13:21:37 2025 daemon.err openvpn(connector01)[4112]: Connection reset, restarting [0]
Sun Jan  5 13:21:37 2025 daemon.notice openvpn(connector01)[4112]: dco_del_peer: netlink reports object not found, ovpn-dco unloaded?
Sun Jan  5 13:21:37 2025 daemon.notice openvpn(connector01)[4112]: dco_del_peer: failed to send netlink message: No such file or directory (-2)

Oczywiście po dodaniu dyrektywy "disable-dco" do konfiguracji OpenVPN wszystko działa poprawnie.

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,008

Odp: OpenVPN DCO w OpenWRT 24.10

dco jest po to żeby przyśpieszyć openvpn bo samo w sobie jest nikczemnie wolne. Jak serwer nie obsługuje to siłą rzeczy musisz to wyłączyć...

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez piter

  • piter
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-06-29
  • Posty: 52

Odp: OpenVPN DCO w OpenWRT 24.10

Faktycznie, masz rację - zapomniałem o tym, że DCO musi być wspierane po obu stronach.

4 Odpowiedź przez _michal

  • Skąd: Wlkp.
  • Zarejestrowany: 2014-04-03
  • Posty: 185

Odp: OpenVPN DCO w OpenWRT 24.10

Wrzuciłem dzisiaj do ZTE MF289F OpenWrt 24.10-SNAPSHOT, r28364-1e079d790a. Na serwerze OpenVPN DCO jest wyłączone (jak i na pozostałych klientach). To samo chciałbym zrobić w tej wersji. Niestety bez skutku. Dobrze wpisałem opcję disable-code ? Szukałem w kilku miejscach ni nie znalazłem przykładu użycia w configu. Czy DCO version: N/A jest poprawnym rezultatem? Route -n zwraca poprawną tabeleę routingu - połączenie do serwera jest.

config openvpn 'vpn_client_lan4'
        option enabled '1'
        option dev 'tun0'
        option proto 'udp'
        option log '/tmp/openvpn.log'
        option verb '3'
        option ca '/etc/openvpn/ca.crt'
        option cert '/etc/openvpn/vpn_client_lan4.crt'
        option key '/etc/openvpn/vpn_client_lan4.key'
        option client '1'
        option remote_cert_tls 'server'
        option remote 'aa.bb.cc.dd 1194'
        option keepalive '10 20'
        option resolv_retry 'infinite'
        option nobind '1'
        option persist_key '1'
        option persist_tun '1'
        option disable-dco '1'
root@OpenWrt:~# cat /tmp/openvpn.log | grep 'dco\|DCO'
2025-02-03 16:53:06 OpenVPN 2.6.12 arm-openwrt-linux-gnu [SSL (mbed TLS)] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD] [DCO]
2025-02-03 16:53:06 DCO version: N/A
2025-02-03 16:53:17 net_iface_new: add tun0 type ovpn-dco
2025-02-03 16:53:17 DCO device tun0 opened
2025-02-03 19:07:48 dco_del_peer: netlink reports object not found, ovpn-dco unloaded?
2025-02-03 19:07:48 dco_del_peer: failed to send netlink message: No such file or directory (-2)
2025-02-03 19:08:43 dco_get_peer_stats: netlink reports object not found, ovpn-dco unloaded?
2025-02-03 19:08:43 dco_get_peer_stats: failed to send netlink message: No such file or directory (-2)
2025-02-03 19:09:44 dco_get_peer_stats: netlink reports object not found, ovpn-dco unloaded?
2025-02-03 19:09:44 dco_get_peer_stats: failed to send netlink message: No such file or directory (-2)
2025-02-03 19:10:44 dco_get_peer_stats: netlink reports object not found, ovpn-dco unloaded?
2025-02-03 19:10:44 dco_get_peer_stats: failed to send netlink message: No such file or directory (-2)
2025-02-03 19:11:44 dco_get_peer_stats: netlink reports object not found, ovpn-dco unloaded?
2025-02-03 19:11:44 dco_get_peer_stats: failed to send netlink message: No such file or directory (-2)

5 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,008

Odp: OpenVPN DCO w OpenWRT 24.10

option disable_dco '1'

Zamiast disable-dco

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

6 Odpowiedź przez _michal

  • Skąd: Wlkp.
  • Zarejestrowany: 2014-04-03
  • Posty: 185

Odp: OpenVPN DCO w OpenWRT 24.10

Dziękuję za pomoc.
Sugerowałem się tym wpisem, gdzie jest myślnik. Na stornie OpenVPN jest wspomniana opcja przełącznika --disable-dco, która użyta w składni: "/etc/init.d/openvpn restart --disable-dco" również nie zadziałała.
https://eko.one.pl/forum/viewtopic.php? … 40#p306640

7 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,008

Odp: OpenVPN DCO w OpenWRT 24.10

Jest czysty/natywny konfig openvpn i config uci przetwarzany na konfig openvpn.  W konfigu openvpn jest disable-dco. Ale jak robisz przez uci to stosuje się podkreślenie zamiast myślnika, taki urok uci.

A samo /etc/init.d/openvpn restart --disable-dco jest niepoprawne - to skrypt statowy openvpn, ale on nie przyjmuje takich parametrów, sam openvpn przyjmuje, ale one są z kolei przetwarzane przez ten skrypt startowy i nie wiele ich rozpoznaje.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona