Asus RT-AC1750U

InCher · March 19, 2022, 10:57am

Добрый день, подскажите, имеется роутер Asus RT-AC1750U с провайдером Билайн, есть необходимость настроить VPN клиент на данном роутере, загружаю файл конфигурации с сайта, происходит бесконечное подключение, если из файла конфигурации удалить строчку setenv opt tls-cipher “DEFAULT:@SECLEVEL=0” , тогда подключение проходит успешно, однако запрещенные сайты не открываются. К сожалению на данный роутер нет альтернативных заводской прошивок, т.е мерлина не накатить. Если в настройках интернета прописать DNS например гугла, как советовали на форуме (по умолчанию у Билайна стоит автоматический), то пропадает интернет вообще (интернет настроен через L2TP).
Лог:
Mar 19 13:54:11 rc_service: httpds 423:notify_rc restart_vpncall
Mar 19 13:54:11 vpnclient4[2074]: event_wait : Interrupted system call (code=4)
Mar 19 13:54:11 vpnclient4[2074]: Closing TUN/TAP interface
Mar 19 13:54:11 vpnclient4[2074]: /sbin/ifconfig tun14 0.0.0.0
Mar 19 13:54:11 vpnclient4[2074]: /etc/openvpn/ovpn-down tun14 1500 1554 192.168.116.176 255.255.248.0 init
Mar 19 13:54:11 vpnclient4[2074]: SIGTERM[hard,] received, process exiting
Mar 19 13:54:27 rc_service: httpds 423:notify_rc restart_vpncall
Mar 19 13:54:27 vpnclient4[2356]: OpenVPN 2.4.7 mipsel-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD] built on Mar 4 2021
Mar 19 13:54:27 vpnclient4[2356]: library versions: OpenSSL 1.0.2u 20 Dec 2019, LZO 2.03
Mar 19 13:54:27 vpnclient4[2358]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Mar 19 13:54:27 vpnclient4[2358]: OpenSSL: error:140E6118:lib(20):func(230):reason(280)
Mar 19 13:54:27 vpnclient4[2358]: Failed to set restricted TLS cipher list: DEFAULT:@SECLEVEL=0
Mar 19 13:54:27 vpnclient4[2358]: Exiting due to fatal error

IVAN-DODIK · March 19, 2022, 6:12pm

с помощью notepad++ или с помощью другого текстового редактора, найдите и удалите строку: setenv opt tls-cipher “DEFAULT:@SECLEVEL=0”, после этого сохраните файл и заново загрузите его на роутер и все будет работать.

User69 · March 19, 2022, 7:05pm

Да не надо.
Можно просто внизу в окошке Custom перед ней поставить #.
И проверьте, чтобы Accept DNS стоял в Exclusive.

Лишних DNS в настройках WAN тоже не надо.
DNSSEC, DoT, DoH должны быть везде выключены.

ValdikSS · March 19, 2022, 9:21pm

Добавил подсказку о необходимости комментирования строки в конфигурационный файл на сайте.

InCher · March 19, 2022, 11:57pm

Так написал же, что это не помогло

InCher · March 20, 2022, 12:03am

Так и выставлено, но не помогает

К сожалению дополнительных параметров нет т.к нет прошивки Мерлина (ее нет на этот роутер)

InCher · March 20, 2022, 12:10am

К сожалению это помогает просто подключится к серверу, но пользоваться его фукционалом-нет.

т.е я не могу зайти на сайт https://nnmclub.to/ или на сайт инстаграмм.
Мне кажется, что дело в галочке DNS автоматически, в настройках WAN. Но если его убрать, то интернет вообще перестает работать.

Лог:
Mar 20 11:04:28 rc_service: httpds 422:notify_rc restart_vpncall
Mar 20 11:04:29 vpnclient4[3116]: OpenVPN 2.4.7 mipsel-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD] built on Mar 4 2021
Mar 20 11:04:29 vpnclient4[3116]: library versions: OpenSSL 1.0.2u 20 Dec 2019, LZO 2.03
Mar 20 11:04:29 vpnclient4[3118]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Mar 20 11:04:29 vpnclient4[3118]: TCP/UDP: Preserving recently used remote address: [AF_INET]51.75.75.245:1194
Mar 20 11:04:29 vpnclient4[3118]: Socket Buffers: R=[87380->87380] S=[16384->16384]
Mar 20 11:04:29 vpnclient4[3118]: Attempting to establish TCP connection with [AF_INET]51.75.75.245:1194 [nonblock]
Mar 20 11:04:30 vpnclient4[3118]: TCP connection established with [AF_INET]51.75.75.245:1194
Mar 20 11:04:30 vpnclient4[3118]: TCP_CLIENT link local: (not bound)
Mar 20 11:04:30 vpnclient4[3118]: TCP_CLIENT link remote: [AF_INET]51.75.75.245:1194
Mar 20 11:04:30 vpnclient4[3118]: TLS: Initial packet from [AF_INET]51.75.75.245:1194, sid=62a59d15 2b422cf6
Mar 20 11:04:31 vpnclient4[3118]: VERIFY OK: depth=1, C=RU, ST=RU, L=Internet, O=ProstoVPN.ru, OU=AntiZapret, CN=ProstoVPN.AntiZapret CA, name=ProstoVPN.AntiZapret CA, emailAddress=admin@prostovpn.ru
Mar 20 11:04:31 vpnclient4[3118]: VERIFY KU OK
Mar 20 11:04:31 vpnclient4[3118]: Validating certificate extended key usage
Mar 20 11:04:31 vpnclient4[3118]: ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Mar 20 11:04:31 vpnclient4[3118]: VERIFY EKU OK
Mar 20 11:04:31 vpnclient4[3118]: VERIFY OK: depth=0, C=RU, ST=RU, L=Internet, O=ProstoVPN.org, OU=AntiZapret, CN=antizapret-server, name=changeme, emailAddress=antizapret@prostovpn.org
Mar 20 11:04:32 vpnclient4[3118]: Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Mar 20 11:04:32 vpnclient4[3118]: [antizapret-server] Peer Connection Initiated with [AF_INET]51.75.75.245:1194
Mar 20 11:04:33 vpnclient4[3118]: SENT CONTROL [antizapret-server]: ‘PUSH_REQUEST’ (status=1)
Mar 20 11:04:34 vpnclient4[3118]: PUSH: Received control message: 'PUSH_REPLY,route 10.224.0.0 255.254.0.0,dhcp-option DNS 192.168.104.1,block-outside-dns,route-gateway 192.168.104.1,topology subnet,ping 110,ping-restart 360,route 103.246.200.0 255.255.252.0,route 178.239.88.0 255.255.248.0,route 185.104.45.0 255.255.255.0,route 193.105.213.36 255.255.255.252,route 203.104.128.0 255.255.240.0,route 203.104.144.0 255.255.248.0,route 203.104.152.0 255.255.252.0,route 68.171.224.0 255.255.224.0,route 74.8
Mar 20 11:04:34 vpnclient4[3118]: Options error: Unrecognized option or missing or extra parameter(s) in [PUSH-OPTIONS]:3: block-outside-dns (2.4.7)
Mar 20 11:04:34 vpnclient4[3118]: OPTIONS IMPORT: timers and/or timeouts modified
Mar 20 11:04:34 vpnclient4[3118]: OPTIONS IMPORT: --ifconfig/up options modified
Mar 20 11:04:34 vpnclient4[3118]: OPTIONS IMPORT: route options modified
Mar 20 11:04:34 vpnclient4[3118]: OPTIONS IMPORT: route-related options modified
Mar 20 11:04:34 vpnclient4[3118]: OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Mar 20 11:04:34 vpnclient4[3118]: OPTIONS IMPORT: peer-id set
Mar 20 11:04:34 vpnclient4[3118]: OPTIONS IMPORT: adjusting link_mtu to 1626
Mar 20 11:04:34 vpnclient4[3118]: OPTIONS IMPORT: data channel crypto options modified
Mar 20 11:04:34 vpnclient4[3118]: Data Channel: using negotiated cipher ‘AES-128-GCM’
Mar 20 11:04:34 vpnclient4[3118]: Outgoing Data Channel: Cipher ‘AES-128-GCM’ initialized with 128 bit key
Mar 20 11:04:34 vpnclient4[3118]: Incoming Data Channel: Cipher ‘AES-128-GCM’ initialized with 128 bit key
Mar 20 11:04:34 vpnclient4[3118]: TUN/TAP device tun14 opened
Mar 20 11:04:34 vpnclient4[3118]: TUN/TAP TX queue length set to 100
Mar 20 11:04:34 vpnclient4[3118]: /sbin/ifconfig tun14 192.168.108.106 netmask 255.255.248.0 mtu 1500 broadcast 192.168.111.255
Mar 20 11:04:34 vpnclient4[3118]: /etc/openvpn/ovpn-up tun14 1500 1554 192.168.108.106 255.255.248.0 init
Mar 20 11:04:34 vpnclient4[3118]: WARNING: this configuration may cache passwords in memory – use the auth-nocache option to prevent this
Mar 20 11:04:34 vpnclient4[3118]: Initialization Sequence Completed

InCher · March 20, 2022, 11:08am

Добавление pull-filter ignore block-outside-dns не помогает, точнее ошибку Options error: Unrecognized option or missing or extra parameter(s) in [PUSH-OPTIONS]:3: block-outside-dns (2.4.7) убирает, но к сайтам не коннектится, так же прописывал:
route 8.8.8.8 255.255.255.255 vpn_gateway
route 77.88.8.8 255.255.255.255 vpn_gateway
тоже не помогает.