Помогите пожалуйста настроить. 3 дня рою интернет, пробую - иссякли варианты.

Проблема: Соединение успешно устанавливается, но тоннель OpenVPN не работает при использовании мобильных данных, даже с раздачи с другого устройства других мобильных данных.

При этом подключаясь используя wifi проводного интернета обычного провайдера - всё работает.

Включал tcpdump на сервере - пакетов нет при подключении через мобильные данные. При подключении через wifi - пакеты вижу.

Не смог ничего путного добиться с MTU. Занижал его, пробовал разные варианты, какие мог нагуглить.

Пробовал делать подбор MTU, находил какие-то значения через Ping, но они не оживляли тоннель. Может быть я неправильно делал, но как находил в гугле, пробовал.

Да, читал про блокировки vpn и т.п. Но мы то с вами люди технически образованные, мы можем настроить, чтобы наши тоннели не блокировали.

Обфускацию трафика, усложнения можно предлагать, но учитывая, что клиент на iPhone, что там стандартное OpenVPN приложение и конфиг.

Другие VPN протоколы, службы не интересуют.

Сервер на digitalocean, Debian.

port 60156
proto udp
dev tun
user nobody
group nogroup
persist-key
persist-tun
# turn on on prod:
#keepalive 10 120
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "dhcp-option DNS 94.140.14.14"
push "dhcp-option DNS 94.140.15.15"
push "redirect-gateway def1 bypass-dhcp"
dh none
ecdh-curve prime256v1
tls-crypt tls-crypt.key
crl-verify crl.pem
ca ca.crt
cert server_RgP4w3L3VKHmmnzT.crt
key server_RgP4w3L3VKHmmnzT.key
auth SHA256
cipher AES-128-GCM
ncp-ciphers AES-128-GCM
tls-server
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
client-config-dir /etc/openvpn/ccd
status /var/log/openvpn/status.log
log /var/log/openvpn/openvpn.log
verb 3

tls-timeout 5

sndbuf 0
rcvbuf 0

txqueuelen 1024

#mtu-test

#tun-mtu 1300
#tun-mtu-extra 32
#push "tun-mtu 1300"
#mssfix 1300
#push "mssfix 1300"

#mssfix 1330

#sndbuf 1048576
#rcvbuf 1048576

#txqueuelen 250

#tcp-queue-limit 1024
#tcp-nodelay

клиент:

client
proto udp
# on in prod:
#explicit-exit-notify
remote xxx 65156
dev tun
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
verify-x509-name server_RgP4w3L3VKHmmnzT name
auth SHA256
auth-nocache
cipher AES-128-GCM
tls-client
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
#ignore-unknown-option block-outside-dns
#setenv opt block-outside-dns # Prevent Windows 10 DNS leak
verb 3

#tun-mtu 1300

#mssfix 1330
#sndbuf 1048576
#rcvbuf 1048576
#txqueuelen 2048
#tcp-queue-limit 1024
#tcp-nodelay

Закомментаренные строки - это моим попытки решить проблему. Разные варианты перепробовал, ничего не получается.

лог подключения сравнивал спец средством - расхождений нет при подключения из разных сетей:

[Aug 08, 2023, 17:47:11] Connecting to [xxx]:65156 (xxx) via UDPv4

[Aug 08, 2023, 17:47:11] EVENT: CONNECTING

[Aug 08, 2023, 17:47:11] Tunnel Options:V4,dev-type tun,link-mtu 1521,tun-mtu 1500,proto UDPv4,cipher AES-128-GCM,auth [null-digest],keysize 128,key-method 2,tls-client

[Aug 08, 2023, 17:47:11] Creds: UsernameEmpty/PasswordEmpty

[Aug 08, 2023, 17:47:11] Peer Info:
IV_VER=3.git::081bfebe
IV_PLAT=ios
IV_NCP=2
IV_TCPNL=1
IV_PROTO=30
IV_CIPHERS=AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305
IV_IPv6=0
IV_AUTO_SESS=1
IV_GUI_VER=net.openvpn.connect.ios_3.3.4-5176
IV_SSO=webauth,openurl,crtext


[Aug 08, 2023, 17:47:12] VERIFY OK: depth=1, /CN=cn_9XOUiq9yRzgU5l4m, signature: ecdsa-with-SHA256

[Aug 08, 2023, 17:47:12] VERIFY OK: depth=0, /CN=server_RgP4w3L3VKHmmnzT, signature: ecdsa-with-SHA256

[Aug 08, 2023, 17:47:12] SSL Handshake: peer certificate: CN=server_RgP4w3L3VKHmmnzT, 256 bit EC, curve:prime256v1, cipher: TLS_AES_256_GCM_SHA384 TLSv1.3 Kx=any Au=any Enc=AESGCM(256) Mac=AEAD

[Aug 08, 2023, 17:47:12] Session is ACTIVE

[Aug 08, 2023, 17:47:12] EVENT: GET_CONFIG

[Aug 08, 2023, 17:47:12] Sending PUSH_REQUEST to server...

[Aug 08, 2023, 17:47:12] NIP: blocking all IPv6 traffic

[Aug 08, 2023, 17:47:12] Connected via NetworkExtensionTUN

[Aug 08, 2023, 17:47:12] EVENT: CONNECTED 142.93.173.251:60156 (142.93.173.251) via /UDPv4 on NetworkExtensionTUN/10.8.0.5/ gw=[/]

Проприетарный AnyDesk в целом неплох, и главное его достоинство, по моему скромному мнению, что он другим юзерам не светит наш IP, а также существенно упрощает настройку удаленного доступа по сравнению с VNC и т.п., не требуя проброса портов и прочих танцев.

Но и AnyDesk не без недостатков, и главный из них, имхо, даже не платность, а то, что из-за закрытости кода неизвестно, чем его клиент занимается в пользовательском компьютере.
Может, он втихаря собирает некую инфу с ПК и периодически отправляет ее «куда следует».

В-общем, вы поняли, отсюда вопрос - существует ли свободные аналоги AnyDesk с открытым кодом?
Т.е. чтобы он имел не только клиент, но и свой собственный сервер.

Max Payne 2, туда скачан d3d8to9. d3d8.dll переведен в нативный. После загрузки происходит вылет, прошу подтвердить у кого так же.

Система Arch, Ryzen, AMDGPU.

Первые две части нелокализованные без отдельных RU appid продаются в комплекте по вкусной цене до 20 декабря
https://store.steampowered.com/sub/603/

Собственно сабж. Третий андрофон. В первый раз ставил из него судоку. Во второй: блокнот. В этот раз: «Транзистор» для прослушивания радио.

А кто чем ещё пользуется?

Состоялся первый публичный релиз проекта Pi-KVM: набора софта и инструкций, которые позволяют превратить Raspberry Pi в полностью функциональный IP-KVM. Это устройство подключается к HDMI/VGA и USB-порту сервера, чтобы управлять им удаленно, независимо от операционной системы. Можно включить, выключить или перезагрузить сервер, настроить BIOS и даже полностью переустановить ОС с загруженного образа: Pi-KVM умеет эмулировать виртуальный CD-ROM и флеш-накопитель.

Количество необходимых деталей, помимо самого Raspberry Pi, минимально, что позволяет собрать его буквально за полчаса, а общая стоимость окажется в районе $100 даже в самой дорогой конфигурации (в то время как многие проприетарные IP-KVM при меньшей функциональности будут стоить от $500 и выше).

Основные возможности:

• Доступ к серверу через веб-интерфейс обычного браузера или VNC-клиент (никаких Java-апплетов или флеш-плагинов);
• Низкая задержка видео (порядке 100 миллисекунд) и высокий FPS;
• Полная эмуляция клавиатуры и мыши (включая светодиоды и прокрутку колесиком/тачпадом);
• Эмуляция CD-ROM и флешки (можно загрузить несколько образов и подключать их по мере необходимости);
• Управление питанием сервера с помощью ATX-пинов на материнской плате или через Wake-on-LAN; поддерживается IPMI BMC для интеграции в существующую сетевую инфраструктуру;
• Расширяемые механизмы авторизации: начиная от обычной по паролю и заканчивая возможностью использования единого сервера авторизации и PAM.
• Широкая поддержка железа: Raspberry Pi 2, 3, 4 или ZeroW; различные устройства видеозахвата;
• Простой и дружественный тулчейн, который позволяет собрать и установить ОС на карту памяти Raspbery Pi всего парой команд.
• … И многое другое.

Также готовится к релизу специальная плата расширения для Raspberry Pi 4, которая реализует все описанные функции, плюс множество других возможностей (подробности на GitHub). Открытие предзаказов ожидается в четвертом квартале 2020 года. Стоимость ожидается в районе $100 или меньше. Подписаться на новость о предзаказе можно тут.

>>> Подробности на GitHub

openvpn клиент валится если увидит от сервера вот это AUTH_FAILED

Как сделать что бы переподключался при любых ошибках (желательно в клиентском конфиге задать)

Добрый день ! Прошу помощи в решении следующего вопроса : На шлюзе (debian linux) : внешняя карта : eth0 (1.2.3.4), внутренняя : eth1 (192.168.1.254) есть локальная сеть 192.168.1.0/24, в которой стоит сервер обновлений (192.168.1.155), на который проброшен на шлюзе внешний адрес , порт 80. Сервер обновлений в Log файлах фиксирует внутренний адрес шлюза (192.168.1.254), т.к. пакеты приходят от «его имени» Требуется подменить адрес в src пакетов, приходящих на сервер обновлений на внешний Ip адрес удаленного сервера из Internet’а, инициирующего обновления. Фрагмент действующего firewall'а (внешние адреса заменены на «абстрактные») :

iptables -t nat -A PREROUTING -d 1.2.3.4/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.155:80 iptables -t nat -A POSTROUTING -d 192.168.1.155/32 -p tcp -m tcp --dport 80 -j SNAT --to-source 1.2.3.4:80

gentoo amd64, Linux-3.6.6, squid-3.2.3
при работе через прокси очень низкая исходящая скорость, не более 130Кбит/с, но если работать мимо прокси-сервера то скорость нормальная (согласно тарифу).
delay pool'ы не используются, пробовал контролировать через них, результат тот же. с входящей скоростью проблем нет.

Срыв покровов с недавней истории про Линуса и НВидию - не знаю, было это или не было в прошлом треде - я его не читал.

http://www.brightsideofnews.com/news/2012/6/21/china-nvidia-loses-face-and-a-...

Ъ:

... What Went Wrong? Recently, Linus Torvalds, the father of Linux went on a tangent during a talk, gave NVIDIA the middle finger and said «Fuck You, NVIDIA.» While NVIDIA attempted to mitigate the damage by releasing a story, there was a 'behind the curtain' reason why Linus was so frustrated with the company. It did not have to do with open source as much as it did with China.

A rumor appeared from the heart of Beijing that due to the performance of its GPU architecture and its Linux drivers, NVIDIA was approached by one of the leading Chinese CPU teams to use an NV GPU in a pilot school PC project. The Linux would run on the Chinese CPU, while GeForce GPU would provide the graphics power. 'Pilot project' in this case means over 10 million PCs in one order, broken down - 100,000 schools with 100-150 PCs each. The problem was two-fold; NVIDIA never releases source code for its Linux drivers, and the binaries are only X86. Incentivized by the Chinese government, the Chinese CPU team called NVIDIA to come to China and work with them.

To cut the story short, the NV team appeared there, and in very arrogant manner told the Chinese side that they are a large US corporation, and that recompiling the Linux drivers would cost the Chinese a lot of money. The money that Chinese CPU team and the Academy of Science were supposed to fork out was to the tune of several million dollars in incentive that are typically referred to as NRE - Non-recurring Engineering.

Our sources close to the heart of the matter said that was the end of the meeting and of the relationship. While we cannot foresee the consequences of that meeting, bear in mind that back at the day, Intel supplied Chinese government with an Itanium-based cluster that failed miserably, and the Chinese forced Intel to invest heavily in China. To this date, this was one of smartest moves Intel pulled, as they enjoy a very fruitful relationship with the Chinese government.

Epilogue - AMD Wins With NVIDIA back in Santa Clara, California and Southern China, there was no doubt as to who the Chinese would call next. The other GPU vendor, while having mediocre Linux drivers, at least did not make any fuss over source code access. This ended up in being part of a 10-15 million PC project. Even if selling its cheapest DirectX 11 capable GPUs, this is a revenue opportunity of at least 250-350 million dollars. Thus, if the Beijing rumor turns out to be true, this means NVIDIA destroyed a relationship with a potential long term partner, which in turn began working with AMD. All of this was caused by a couple of million dollars in NRE's on GPUs which were already paid out (let's say NVIDIA would end up selling 10 million GeForce GT 520 boards), and for a project that required drivers that NVIDIA needs to develop anyways (after all, CARMA toolkit is consisted out of ARM-powered Tegra 3 processor and a 96-core Quadro GPU)? ...

ЪЪ: Китай решил замутить у себя глобальный школьный линукс причем на разных архитектурах с нвидией в качестве видюх, нвидия как Большая Американская Корпорация запросила лимоны долларов за перекомпиляцию своих блобов под их зоопарк мипсов, арэмов, спарков и т.п, Китай послал нвидию и пришел к АМД, у которой открытые дрова давно работают и так, нвидия теряет как минимум 250 лямов, которые уже лежали у них в зубах, за пилотный проект, как максимум - хрензнаетсколько ярдов в виде просранного из-за блоба рынка, Линус добивает лежачую нвидию в гранит истории средним пальцем.