Sprzęt: ASUS RTN18U
Oprogramowanie: Tomato Firmware 1.28.0000 -140 K26ARM USB AIO-64K
Dokładnie na takim samym sprzęcie oprogramowaniu miałem innego dostawcę VPN i wszystko działało bezbłednie, prócz tego, ze mieli tylko 1 serwer PL, który został wszędzie zbanowany i nawet google co chwila kazał captcha robić. Nord mnie skusił duża listą PL serwerów. Od początku (koło stycznia) nie wszystko działało perfekcyjnie, bo połączenie miało tendencję do zrywania. Tzn tunel był stabilny, ale co jakiś czas zrywało w nim internet na amen (już nie wracał). Trochę rozmawiałem z supportem, ale jakoś nie miałem siły ciągnąć tego ping-ponga, tym bardziej, ze to było relatywnie rzadkie, raz na 1-3 dni, uznałem, ze nie jest problemem jak sobie ręcznie OpenVPN zrestartuje. Ale jakiś miesiąc temu częstośc problemu wzrosła do ok raz na godzinę! Setup zupełnie nie ruszany, prócz zmiany ich DNS na google (ale to było o wiele wcześniej i tylko dlatego, ze ich dnsy przestały działać, ale nie sądze, ze to ma coś z tym wspólnego, bo miesiące działało po staremu, czyli konieczność restartu raz na dzien do trzech). Rozmowa z supportem nic nie daje, typowy ping-pong. Zrób to, spróbuj tamto, do nieczego to nie prowadzi. Typowy pasywny sposób olania klienta.
To jest log, który zastałem w chwili kiedy zerwało internet w tunelu (internet na WANie działa):
Oct 30 16:00:00 Router syslog.info root: -- MARK --
Oct 30 16:34:17 Router daemon.notice openvpn[32582]: VERIFY OK: depth=2, C=PA, O=NordVPN, CN=NordVPN Root CA
Oct 30 16:34:17 Router daemon.notice openvpn[32582]: VERIFY OK: depth=1, C=PA, O=NordVPN, CN=NordVPN CA7
Oct 30 16:34:17 Router daemon.notice openvpn[32582]: VERIFY KU OK
Oct 30 16:34:17 Router daemon.notice openvpn[32582]: Validating certificate extended key usage
Oct 30 16:34:17 Router daemon.notice openvpn[32582]: ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Oct 30 16:34:17 Router daemon.notice openvpn[32582]: VERIFY EKU OK
Oct 30 16:34:17 Router daemon.notice openvpn[32582]: VERIFY OK: depth=0, CN=pl141.nordvpn.com
Oct 30 16:34:18 Router daemon.warn openvpn[32582]: WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1633', remote='link-mtu 1634'
Oct 30 16:34:18 Router daemon.warn openvpn[32582]: WARNING: 'comp-lzo' is present in remote config but missing in local config, remote='comp-lzo'
Oct 30 16:34:18 Router daemon.notice openvpn[32582]: Data Channel Encrypt: Cipher 'AES-256-GCM' initialized with 256 bit key
Oct 30 16:34:18 Router daemon.notice openvpn[32582]: Data Channel Decrypt: Cipher 'AES-256-GCM' initialized with 256 bit key
Oct 30 16:34:18 Router daemon.notice openvpn[32582]: Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 4096 bit RSA
Oct 30 17:00:00 Router syslog.info root: -- MARK --
Oct 30 17:31:38 Router daemon.notice openvpn[32582]: VERIFY OK: depth=2, C=PA, O=NordVPN, CN=NordVPN Root CA
Oct 30 17:31:38 Router daemon.notice openvpn[32582]: VERIFY OK: depth=1, C=PA, O=NordVPN, CN=NordVPN CA7
Oct 30 17:31:38 Router daemon.notice openvpn[32582]: VERIFY KU OK
Oct 30 17:31:38 Router daemon.notice openvpn[32582]: Validating certificate extended key usage
Oct 30 17:31:38 Router daemon.notice openvpn[32582]: ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Oct 30 17:31:38 Router daemon.notice openvpn[32582]: VERIFY EKU OK
Oct 30 17:31:38 Router daemon.notice openvpn[32582]: VERIFY OK: depth=0, CN=pl141.nordvpn.com
Oct 30 17:31:38 Router daemon.warn openvpn[32582]: WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1633', remote='link-mtu 1634'
Oct 30 17:31:38 Router daemon.warn openvpn[32582]: WARNING: 'comp-lzo' is present in remote config but missing in local config, remote='comp-lzo'
Oct 30 17:31:38 Router daemon.notice openvpn[32582]: Data Channel Encrypt: Cipher 'AES-256-GCM' initialized with 256 bit key
Oct 30 17:31:38 Router daemon.notice openvpn[32582]: Data Channel Decrypt: Cipher 'AES-256-GCM' initialized with 256 bit key
Oct 30 17:31:38 Router daemon.notice openvpn[32582]: Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 4096 bit RSA
Oct 30 18:00:00 Router syslog.info root: -- MARK --
Oct 30 18:28:59 Router daemon.notice openvpn[32582]: VERIFY OK: depth=2, C=PA, O=NordVPN, CN=NordVPN Root CA
Oct 30 18:28:59 Router daemon.notice openvpn[32582]: VERIFY OK: depth=1, C=PA, O=NordVPN, CN=NordVPN CA7
Oct 30 18:28:59 Router daemon.notice openvpn[32582]: VERIFY KU OK
Oct 30 18:28:59 Router daemon.notice openvpn[32582]: Validating certificate extended key usage
Oct 30 18:28:59 Router daemon.notice openvpn[32582]: ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Oct 30 18:28:59 Router daemon.notice openvpn[32582]: VERIFY EKU OK
Oct 30 18:28:59 Router daemon.notice openvpn[32582]: VERIFY OK: depth=0, CN=pl141.nordvpn.com
Oct 30 18:28:59 Router daemon.warn openvpn[32582]: WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1633', remote='link-mtu 1634'
Oct 30 18:28:59 Router daemon.warn openvpn[32582]: WARNING: 'comp-lzo' is present in remote config but missing in local config, remote='comp-lzo'
Oct 30 18:28:59 Router daemon.notice openvpn[32582]: Data Channel Encrypt: Cipher 'AES-256-GCM' initialized with 256 bit key
Oct 30 18:28:59 Router daemon.notice openvpn[32582]: Data Channel Decrypt: Cipher 'AES-256-GCM' initialized with 256 bit key
Oct 30 18:28:59 Router daemon.notice openvpn[32582]: Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 4096 bit RSA
a to log po tym jak ręcznie zrestartowałem klienta openVPN:
Szczerze to masz oprogramowanie na routerku które ma ponad 5 lat i cokolwiek jest nie tak możliwe że jest już naprawione w nowym. Nie obraź się ale jak Tobie nie chce sie wgrac nowego oprogramowania, wyczyścic nvram i ustawic wszystkiego z palca to ... sam sobie dopowiedz. Możliwe że jest konflikt z jakąś 5 letnią paczką, dziurą bezpieczeństwa, itd. Ogólnie to nie jest bezpiecznie nieaktualizowanie routera.
Dziękuję za pomoc. Wgrałem nowa wersję tak jak mówiłeś, ale nic nie pomogło, sytuacja bez zmian. Już nie wiem, co mogę zrobić.
Scalony z 20 listopada 2022 20:28:29:
Czy to jakiś bug tej wersji, jak włącze killswitch w ustawieniach VPN, a potem chce go wyłączyć to się nie da. trzeba ręcznie iptables edytować.
Scalony z 27 listopada 2022 11:28:02:
Problem cały czas występuje, zauważyłem w logach, ze co 56-57 minut występuję dokładnie ta sama wymuszona procedura:
Nov 27 07:49:00 Router daemon.notice openvpn-client1[2303]: VERIFY OK: depth=2, C=PA, O=NordVPN, CN=NordVPN Root CA
Nov 27 07:49:00 Router daemon.notice openvpn-client1[2303]: VERIFY OK: depth=1, C=PA, O=NordVPN, CN=NordVPN CA7
Nov 27 07:49:00 Router daemon.notice openvpn-client1[2303]: VERIFY KU OK
Nov 27 07:49:00 Router daemon.notice openvpn-client1[2303]: Validating certificate extended key usage
Nov 27 07:49:00 Router daemon.notice openvpn-client1[2303]: ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Nov 27 07:49:00 Router daemon.notice openvpn-client1[2303]: VERIFY EKU OK
Nov 27 07:49:00 Router daemon.notice openvpn-client1[2303]: VERIFY OK: depth=0, CN=pl214.nordvpn.com
Nov 27 07:49:01 Router daemon.warn openvpn-client1[2303]: WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1619', remote='link-mtu 1636'
Nov 27 07:49:01 Router daemon.warn openvpn-client1[2303]: WARNING: 'keysize' is used inconsistently, local='keysize 128', remote='keysize 256'
Nov 27 07:49:01 Router daemon.warn openvpn-client1[2303]: WARNING: 'comp-lzo' is present in remote config but missing in local config, remote='comp-lzo'
Nov 27 07:49:01 Router daemon.notice openvpn-client1[2303]: Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Nov 27 07:49:01 Router daemon.notice openvpn-client1[2303]: Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Nov 27 07:49:01 Router daemon.notice openvpn-client1[2303]: Control Channel: TLSv1.3, cipher TLSv1.3 TLS_AES_256_GCM_SHA384, peer certificate: 4096 bit RSA, signature: RSA-SHA512
w tym momencie jest "losowanie", albo będzie internet w tunelu, albo go nie będzie. Jak go nie ma i nic się nie zrobi, to w następnym podejściu za 56-57 minut może być przywrócony lub nie. Logi w żaden sposób nie różnicują sytuacji, co zostanie "wylosowane".
Czy ktoś wie, czy tym czymś, co podałem w logach da się sterowac z pozycji klienta jakoś?
Scalony z 09 lutego 2023 23:54:33:
Pomogła zmiana dostawcy, gdzie wszystko działa "z palca", testowane od miesiąca. Wygląda na to, ze zlewają temat tomato, nawet ich how-to bazuje na archaicznych wersjach.
Edytowany przez the_foe dnia 09-02-2023 23:54
wróciłem do PIA, kiedyś miałem, ale można narzekać na captcha w wyszukiwaniu google. Znam mydevil z serwerów - dobry stosunek cena/jakość. A jak tam ten ich VPN, polskie adresy? dają radę w kontekście captcha?
Nie wiem szczerze mowiac. Mieszkam w uk i mam na vpn voip, bo musze, i czasem netflix jak potrzeba. Www nie uzywam praktycznie na vpn. Ale mam ich od lat i nie bylo problemow, jak cos sie dzieje bardzo szybko odpowiadaja, jestem zadowolony z moimi malymi wymaganiami.
Zawsze mozesz kontrolnie sprawdzic VPN na custom RMerlinie dla n18u.
Tomato to moze nei jest ale .... aktualne
https://gzenux.github.io/asuswrt-rtn18u/
Czy to wina softu czy raczej po drugiej stronie kabla jest przyczyna.
Edytowany przez jurekk dnia 11-02-2023 17:27
już nie mam dostępu do NordVPN więc już nie sprawdzę. |
Za to ciekawa rzecz wyszła z PIA, bo najpierw kupiłem na miesiąc by mieć pewnośc, ze wszystko hula, no i wszystko działa super duper, procz tych captcha na google. Kupiłem na rok, ale nie przedłuzałem, tylko zupełnie od nowa. Wczoraj chciałem serwer zmienić a tu mi w logach wyrzuciło, ze hasło błędne. Okazalo się, ze nie wpisałem nowego usera/hasło i działało cały czas na starej subskrypcji miesięcznej, jeszcze 10 dni po jej zakończeniu, wystarczało by cały czas utrzymywało połęczenie z jednym serwerem Takie info.
· Łącznie użytkowników: 24,117 · Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.
tamtosiamto
31-03-2024 12:54
Wesolego jajka wszytskim forumowiczom
tamtosiamto
28-03-2024 23:24
tak, tak zgadza sie, ale ja pytam o wykluczenie noda na guest network w first set, i to nie dziala
Adooni
24-03-2024 13:16
Guest network is currently designed to allow the first set of each band (2.4G, 5G, 5G-1) available to the AiMesh node
tamtosiamto
24-03-2024 03:03
ale w 1 jest opcja do wyboru - dla calej sieci albo rutera only i wlasnie o tym mowie, ze nie dziala
Adooni
23-03-2024 16:31
w dokumencie asusa jest ze wlasnie dla 1 ma dzialac na nodach tez
tamtosiamto
23-03-2024 15:39
tak, ale nie zmienia to faktu, ze w pierwszej nie dziala wylaczanie aimesh dla goscinnej( a powinno), czyli jest jakis bug. Mam start soft, bo to dsl-ac68 ktory nie jest juz updateowany
Adooni
22-03-2024 18:07
nie, 1 wsza bedzie wszedzie trzeba 2ga zrobic dla kazdego pasma te nie sa przenoszone
tamtosiamto
19-03-2024 19:57
czyli jak mam jedna siec goscinna to powinno dzialac separowanie gosci od noda -a nie dziala
tamtosiamto
19-03-2024 19:50
@Adooni 'Only one set is available for 1 band' i tak mam-1 set dla 2.4ghz i 1 dla 5ghz-czy czegos nie rozumiemW drugiej sieci goscinnej nie ma opcji wyboru Ruter only/ All nodes
Adooni
19-03-2024 19:14
no to przeczytaj to 2 pod - 1 stet z kazdego pasma jest dopuszczony na nody. zrob 2 siec jako goscinna na danym pasmie i wtedy sprawdz
' target='_blank'>Link
Takie info.