mirror/openvpn-android
0
0
Fork 0
mirror of https://github.com/schwabe/ics-openvpn.git synced 2024-09-20 03:52:27 +02:00
Code
a506c989e7
openvpn-android/FAQ-sv.html
Arne Schwabe d87ecdee67 Update FAQ
2019-04-08 12:00:22 +02:00

276 lines
22 KiB
HTML
Raw Blame History

<h2>
<a name="faq_howto_title"></a>
Snabbstart
<a href="#faq_howto_title" class="section_anchor"> </a>
</h2>
<p>Hämta en fungerande konfiguration (testad på din dator eller nerladdad från din leverantör/organisation)</p><p>Om det är en enda fil utan extra pem/pks12 filer kan du maila den till dig själv och öppna den bifogade filen. Om du har flera filer lägg dem på ditt sd-kort.</p><p>Klicka på den i mailet bifogade filen/Användning mappikonen i VPN-listan för att importera konfigurationsfilen</p><p>Om det ger fel ang. saknade filer lägg dessa på ditt sd-kort.</p><p>Klicka på spara symbolen för att lägga till den importerade konfigurationen i VPN-listan</p><p>Anslut din VPN genom att klicka på konfigurationsnamnet</p><p>Om det finns fel eller varningar i loggen försöka förstå dessa varningar/fel och försök att åtgärda dem</p>
<h2>
<a name="faq_killswitch_title"></a>
Block non VPN connection ("Killswitch")
<a href="#faq_killswitch_title" class="section_anchor"> </a>
</h2>
It is often desired to block connections without VPN. Other apps often use markting terms like "Killswitch" or "Seamless tunnel" for this feature. OpenVPN and this app offer persist-tun, a feature to implement this functionality.<p>The problem with all these methods offered by apps is that they can only provide best effort and are no complete solutions. On boot, app crashing and other corner cases the app cannot ensure that this block of non VPN connection works. Thus giving the user a false sense of security.<p>The <b>only</b> reliable way to ensure non VPN connections are blocked is to use Android 8.0 or later and use the "block connections without VPN" setting that can be found under Settings > Network & Internet > Advanced/VPN > OpenVPN for Android > Enable Always ON VPN, Enable Block Connections without VPN
<h2>
<a name="faq_remote_api_title"></a>
Fjärr-API
<a href="#faq_remote_api_title" class="section_anchor"> </a>
</h2>
OpenVPN för Android stöder två fjärr API, ett sofistikerat API med hjälp av AIDL (remoteexample i git repository) och en enkel med Intents. <p>Exempel med adb shell och intentionerna. Ersätt profilnamn med ditt profilnamn<p><p> adb shell am start-activity -a android.intent.action.MAIN de.blinkt.openvpn/.api.DisconnectVPN<p> adb shell am start-activity -a android.intent.action.MAIN -e de.blinkt.openvpn.api.profileName Blinkt de.blinkt.openvpn/.api.ConnectVPN
<h2>
<a name="weakmd_title"></a>
Svag (MD5) hashes i certifikat signatur (SSL_CTX_use_certificate md för svag)
<a href="#weakmd_title" class="section_anchor"> </a>
</h2>
<p>Börjar med OpenSSL version 1.1, Avvisar OpenSSL svaga signaturer i certifikat som
MD5.</p><p><b>MD5-signaturer är helt osäkra och borde inte användas längre.</b> MD5
kollisioner kan skapas om <a
href="https://natmchugh.blogspot.de/2015/02/create-your-own-md5-collisions.html">få timmar till en minimal kostnad.</a>.
Du ska uppdatera VPN-certifikaten så snart som möjligt.</p><p>Tyvärr inkluderade äldre easy-rsa
distributioner config-alternativet "default_md md5". Om du använder en gammal easy-rsa-version, uppdatera till
<a href="https://github.com/OpenVPN/easy-rsa/releases">senaste versionen</a>) eller ändra md5 till sha256 och
regenerera dina certifikat.</p><p>Om du verkligen vill använda gamla och brutna certifikat använder du anpassade
konfigurationsalternativet tls-cipher "DEFAULT: @ SECLEVEL = 0" under avancerad konfiguration eller som extra rad i din
importerade konfiguration</p>
<h2>
<a name="samsung_broken_title"></a>
Samsung-telefoner
<a href="#samsung_broken_title" class="section_anchor"> </a>
</h2>
<small><i>5.0 (Lollipop) och senare</i></small> <br/>
Även om Samsung telefoner är bland de mest säljande Android-telefoner, Samsungs mjukvara är också bland de mest buggiga Android mjukvarorna. Buggarna är inte begränsade till VPN driften på dessa enheter, men många av dem kan gås runt. Till följd beskrivs några av dessa buggar.<p><p>DNS fungerar inte om inte DNS-servern finns VPN intervallet.<p><p>På många Samsung 5.x enheter fungerar inte de tillåtna/otillåtna programmen.<p>Samsung 6.x VPN har rapporteras att inte fungera om VPN-appen är undantagen från energisparfunktioner.
<h2>
<a name="faq_duplicate_notification_title"></a>
Dubbla noteringar
<a href="#faq_duplicate_notification_title" class="section_anchor"> </a>
</h2>
Om Android tillfälligt har brist på systemminne (RAM), tas program och tjänster som inte behövs just nu bort från aktiva minnet. Detta avslutar en pågående VPN-anslutning. För att se till att pågående anslutning/OpenVPN överlever körs denna tjänst med högre prioritet. För att köra med högre prioritet måste applikationen visa en notifikation. Nyckelikonen visas av systemet, som beskrivs i Vanliga frågor tidigare, och räknas inte som ett meddelande som ger rättighet att köra med högre prioritet.
<h2>
<a name="faq_androids_clients_title"></a>
Skillnader mellan OpenVPN Android klienterna
<a href="#faq_androids_clients_title" class="section_anchor"> </a>
</h2>
Flera OpenVPN klienter för Android finns. Den vanligaste är OpenVPN för Android (denna klient), OpenVPN Connect och OpenVPN Settings.<p>Klienterna kan delas in i två grupper: OpenVPN för Android och OpenVPN Connect använder den officiella VPNService API:n (Android 4.0+) och kräver ingen rot och OpenVPN Settings som använder rot.<p>OpenVPN for Android är en klient med öppen källkod som har utvecklats av Arne Schwabe. Den riktar sig till mer avancerade användare och erbjuder många inställningar och möjligheten som att importera profiler från filer och konfigurera/ändra profiler inuti appen. Klienten bygger på den gemensamma versionen av OpenVPN. Den är baserad på OpenVPN 2.x källkod. Denna klient kan ses som den halvt officiella klienten i gemenskapen. <p>OpenVPN Connect har inte öppen källkod klient och är utvecklad av OpenVPN Technologies, Inc. Klienten indragen för allmänt bruk och mer inriktad på den genomsnittlige användaren och tillåter importering av OpenVPN profiler. Denna klient är baserad på OpenVPN C ++ reimplementation av OpenVPN protokollet (detta krävdes för att tillåta OpenVPN Technologies, Inc att publicera en iOS OpenVPN app). Denna klient är den officiella klienten av OpenVPN teknik <p> OpenVPN Settings är den äldsta av klienterna och även för UI för OpenVPN öppna källkod. I motsats till OpenVPN för Android kräver den rot och använder inte VPNService API. Den beror inte på Android 4.0+
<h2>
<a name="ab_lollipop_reinstall_title"></a>
Installera om VPN appar
<a href="#ab_lollipop_reinstall_title" class="section_anchor"> </a>
</h2>
<small><i>5.0 (Lollipop) - 5.1 (Lollipop MR1)</i></small> <br/>
VPN appar kan sluta fungera när avinstalleras och installeras igen. För mer information se # 80074
<h2>
<a name="vpn_tethering_title"></a>
VPN och Internetdelning
<a href="#vpn_tethering_title" class="section_anchor"> </a>
</h2>
<small><i>5.0 (Lollipop) - 5.1 (Lollipop MR1)</i></small> <br/>
<small><i>4.3 (Jelly Bean MR2) och tidigare</i></small> <br/>
Funktionen Internetdelning i Android (över WiFi, USB eller Bluetooth) och VPNService API (används av denna applikation) fungerar inte tillsammans. För mer information se <a href="http://code.google.com/p/ics-openvpn/issues/detail?id=34">ärende #34</a>
<h2>
<a name="broken_images"></a>
Trasiga ROM
<a href="#broken_images" class="section_anchor"> </a>
</h2>
<small><i>5.0 (Lollipop) - 5.1 (Lollipop MR1)</i></small> <br/>
<small><i>4.3 (Jelly Bean MR2) och tidigare</i></small> <br/>
<small><i>4.3 (Jelly Bean MR2) och tidigare</i></small> <br/>
<p>Officiella HTC ROM är kända för att ha ett konstigt rutt problem som orsakar att trafik inte går genom tunneln (Se även <a href="http://code.google.com/p/ics-openvpn/issues/detail?id=18">Ärende 18</a> i äredehanteringen.)</p><p>Äldre officiella SONY ROM för Xperia Arc S och Xperia Ray har rapporterats sakna VPNService helt. (Se även <a href="http://code.google.com/p/ics-openvpn/issues/detail?id=29">Ärende 29</a> i ärendehanteringen.)</p><p>I anpassade/modifierade ROM kan tun modulen saknas eller rättigheterna på /dev/tun kan vara fel. Vissa CM9 ROM behöver alternativet "Fixa ägande" under "Modellanpassade hack" ikryssat.</p><p>Viktigt: Om du har en trasig ROM, rapportera det till din leverantör. Ju fler människor som rapportera problemet till leverantören desto mer sannolikt är det att det kommer en rättning.</p>
<h2>
<a name="battery_consumption_title"></a>
Batteriförbrukning
<a href="#battery_consumption_title" class="section_anchor"> </a>
</h2>
I mina personliga tester är den främsta orsaken till hög batteriförbrukning vid användning av OpenVPN hållvidliv-paketen. De flesta OpenVPN servrar har en konfiguration med "keepalive 10 60" som leder till att hållvidliv-paket skickas från klienten till servern och från servern till klienten var tionde sekund. <p> Även om dessa paket är små och inte använder mycket datatrafik håller de det mobila radionätet upptaget och ökar på så vis energiförbrukningen. (Se även <a href="http://developer.android.com/training/efficient-downloads/efficient-network-access.html#RadioStateMachine">The Radio State Machine | Android Developers</a>) <p> Denna hållvidliv-inställning kan inte ändras i klienten. Endast systemadministratören för OpenVPN kan ändra inställningen. <p> Tyvärr leder en hållvidliv som är större än 60 sekunder med UDP till att vissa NAT-gateways tappar anslutningen efter en kort timeout (60 sekunder i mina tester). Via TCP med lång hållvidliv fungerar men ger TCP över TCP problem. (Se <a href="http://sites.inka.de/bigred/devel/tcp-tcp.html">varför TCP över TCP är en dålig idé</a>)
<h2>
<a name="faq_system_dialogs_title"></a>
Anslutnings varning och ljud
<a href="#faq_system_dialogs_title" class="section_anchor"> </a>
</h2>
<small><i>4.4 (Kit Kat) och tidigare</i></small> <br/>
Varningen vid VPN-anslutning som berättar att denna app kan avlyssna all trafik utfärdas av systemet för att förhindra missbruk av VPNService API.<p>Notifieringen om VPN-anslutning (nyckelsymbolen) tillhandahålles också av Android-systemet för att signalera en pågående VPN-anslutning. På vissa ROM spelar denna notifiering ett ljud.<p>Android har infört dessa dialogrutor och notifieringar för din egen säkerhet och kan inte undvikas. (På vissa ROM innehåller dessa tyvärr ljud)
<h2>
<a name="tap_mode"></a>
Tap-läge
<a href="#tap_mode" class="section_anchor"> </a>
</h2>
Tap-läge är inte möjligt med icke root VPN-API. Därför kan inte denna applikation stödja tap-läge
<h2>
<a name="ab_secondary_users_title"></a>
Sekundära surfplattsanvändare
<a href="#ab_secondary_users_title" class="section_anchor"> </a>
</h2>
<small><i>4.3 (Jelly Bean MR2)</i></small> <br/>
VPN fungerar inte över huvud taget för extra användarkonton.
<h2>
<a name="faq_vpndialog43_title"></a>
Vpn Bekräftelse Dialog
<a href="#faq_vpndialog43_title" class="section_anchor"> </a>
</h2>
<small><i>4.3 (Jelly Bean MR2)</i></small> <br/>
<small><i>4.3 (Jelly Bean MR2) och senare</i></small> <br/>
"Från och med Android 4.3, så är dialogrutan för att godkänna VPN-anslutning skyddad mot "appar som lägger sig över". Detta gör att dialogen spärras mot tryckningar. Om du använder en app som lägger sig över andra appar, så kan detta orsaka det beteendet. Om du hittar den trilskande appen, kontakta skaparen av den appen. Detta problem påverkar alla VPN-appar på Android 4.3 och senare. Se också <a href="https://github.com/schwabe/ics-openvpn/issues/185">Ärende 185<a> för mer information"
<h2>
<a name="tls_cipher_alert_title"></a>
Anslutningar misslyckas med SSL23_GET_SERVER_HELLO:SSLv3 alert handskakningsfel
<a href="#tls_cipher_alert_title" class="section_anchor"> </a>
</h2>
Nyare OpenVPN för Android-versioner (0.6.29/mars 2015) använder en säkrare standard för de tillåtna krypteringssviter (tls-chiffer "DEFAULT:!EXP:!PSK:!SRP:!kRSA"). Tyvärr, utelämna mindre säker krypteringssviter och exportchiffersviter, särskilt utelämnandet av chiffersviter som inte stöder Perfect Forward Secrecy (Diffie-Hellman) orsakar några problem. Detta orsakas oftast av en välmenande men dåligt utförda försök att stärka TLS-säkerhet genom att tls-chiffer på servern eller några inbäddade operativsystem med avskalad SSL (t.ex. MikroTik).<p>För att lösa problemet, ställa in tls-chiffer inställningar på servern till rimlig standard som tls-siffran "DEFAULT:!EXP:!PSK:!SRP:!kRSA". För att komma runt problemet med klienten lägg till anpassad alternativ tls-chiffer DEFAULT i Android-klienten.
<h2>
<a name="faq_security_title"></a>
Säkerhetsaspekter
<a href="#faq_security_title" class="section_anchor"> </a>
</h2>
"Eftersom OpenVPN är säkerhets känslig kan några om säkerhet vara vettiga. Alla data på sd-kortet är potentiellt osäkra. Varje app kan läsa datan (till exempel kräver detta program inga särskilda sd-korts rättigheter). Datat som tillhör denna applikation kan endast läsas av applikationen själv. Genom att använda alternativet import för cacerts/cert/nyckel i fildialogrutan lagras datat i VPN-profilen. VPN-profiler kan bara läsas av denna applikation. (Glöm inte att ta bort kopiorna på sd-kortet efteråt). Även om datat endast är tillgängligt för denna applikation så är data fortfarande okrypterat. Genom att roota telefon eller med andra hack kan det vara möjligt att få åtkomst till datat. Sparade lösenord lagras också i klartext. För pkcs12 filer rekommenderas det starkt att du importerar dem till Android nyckering."
<h2>
<a name="faq_shortcut"></a>
Genväg för att starta
<a href="#faq_shortcut" class="section_anchor"> </a>
</h2>
Du kan placera en genväg för att starta OpenVPN på skrivbordet. Beroende på ditt hemskärmsprogram måste du lägga till antingen en genväg eller en widget.
<h2>
<a name="tap_mode"></a>
Tap-läge
<a href="#tap_mode" class="section_anchor"> </a>
</h2>
Igen? Skämtar du? Nej, tap-läge stöds verkligen inte och det hjälper inte att skicka fler mail och fråga om det kommer att stödjas i framtiden.
<h2>
<a name="vpn_tethering_title"></a>
VPN och Internetdelning
<a href="#vpn_tethering_title" class="section_anchor"> </a>
</h2>
<small><i>4.4 (Kit Kat) och senare</i></small> <br/>
Internetdelning fungerar medans VPNet är aktivt. Den delade anslutningen kommer INTE gå via VPNet.
<h2>
<a name="ab_kitkat_mss_title"></a>
Fel MSS-värde för VPN-anslutning
<a href="#ab_kitkat_mss_title" class="section_anchor"> </a>
</h2>
<small><i>4.4 (Kit Kat) och senare</i></small> <br/>
<small><i>4.4 (Kit Kat) - 4.4.1 (Kit Kat)</i></small> <br/>
Tidigt KitKat version anger fel MSS värdet på TCP-anslutningar (# 61.948). Försök att göra det möjligt för mssfix möjlighet att kringgå denna bugg.
<h2>
<a name="copying_log_entries"></a>
Kopierar loggposter
<a href="#copying_log_entries" class="section_anchor"> </a>
</h2>
För att kopiera en enda logg post tryck och håll på loggposten. Om du vill kopiera/skicka hela loggen använd alternativet Skicka loggen. Använd hårdvarumenyknappen om menyn inte syns i GUI.
<h2>
<a name="ab_persist_tun_title"></a>
Ihållande tun-läge
<a href="#ab_persist_tun_title" class="section_anchor"> </a>
</h2>
<small><i>4.4 (Kit Kat) - 4.4.2 (Kit Kat)</i></small> <br/>
Att öppna en tun-enhet medans en annan tun-enhet är aktiv, och denna används för ihållande tun, kommer att krascha VPN-funktionen på enheten. Detta innebär att enheten måste startas om för att VPN skall fungera igen. OpenVPN för Android försöker undvika att öppna tun-enheten på nytt, och om det verkligen behövs, då stänga befintliga tun-anslutningar innan den öppnar den nya tun-enheten för att undvika denna krasch. Detta kan leda till ett litet tidsfönster där paket kan läcka ut utanför VPN-anslutningen. Även med denna fix, så kraschar ibland VPN-funktionen, och kräver då att enheten startas om.
<h2>
<a name="faq_routing_title"></a>
Konfiguration för rutter/gränssnitt
<a href="#faq_routing_title" class="section_anchor"> </a>
</h2>
<small><i>4.4 (Kit Kat) - 4.4.2 (Kit Kat)</i></small> <br/>
<small><i>4.4 (Kit Kat) och senare</i></small> <br/>
Omdirigering och gränssnittskonfiguration görs inte via traditionella ifconfig/rutt kommandon men med hjälp av VPNService API. Detta resulterar i en annan omdirigering konfigurering än på andra operativsystem. <p>Konfiguration av VPN-tunneln består av IP-adressen och de nätverk som ska dirigeras över detta gränssnitt. Speciellt behövs eller krävs ingen inbördes partner adress eller gatewayadress. Särskilda rutter för att nå VPN-server (t.ex. när du använder omdirigera-gateway) behövs inte heller. Applikationen kommer följaktligen ignorera dessa inställningar när du importerar en konfiguration. Applikationen försäkrar med VPNService API att anslutningen till servern inte dirigeras genom VPN-tunnel.<p>VPNService API tillåter inte att specificera nätverk som inte ska dirigeras via VPN. Som en lösning försöker applikationen att identifiera nätverk som inte ska dirigeras över tunneln (t.ex. rutt x.x.x.x y.y.y.y net_gateway) och beräknar en uppsättning av rutter som utesluter dessa rutter att efterlikna beteendet hos andra plattformar. Loggnings fönstret visar konfigurationen av VPNService då en upprättning av anslutning.<p>Bakom kulisserna. Android 4.4+ använder policy omdirigering. Användning av rutt/ifconfig kommer inte att visa installerade rutter. Använd istället ip regel, iptables -t mangle -L
<h2>
<a name="ab_kitkat_reconnect_title"></a>
Intermittienta frånkopplingar från mobilnätverk
<a href="#ab_kitkat_reconnect_title" class="section_anchor"> </a>
</h2>
<small><i>4.4 (Kit Kat) - 4.4.2 (Kit Kat)</i></small> <br/>
<small><i>4.4 (Kit Kat) och senare</i></small> <br/>
<small><i>4.4 (Kit Kat)</i></small> <br/>
"Flera användare har rapporterat att anslutningen till mobilnätverket går ner då och då medans denna VPN-app används. Detta beteende verkar bara påverka vissa kombinationer av operatörer/enheter, och vi har hittils inte hittat någon orsak/lösning för buggen."
<h2>
<a name="ab_vpn_reachability_44_title"></a>
VPN-nätverket är inte nåbart
<a href="#ab_vpn_reachability_44_title" class="section_anchor"> </a>
</h2>
<small><i>4.4 (Kit Kat) - 4.4.2 (Kit Kat)</i></small> <br/>
<small><i>4.4 (Kit Kat) och senare</i></small> <br/>
<small><i>4.4 (Kit Kat)</i></small> <br/>
<small><i>4.4 (Kit Kat)</i></small> <br/>
Bara destination kan nås över VPN som kan nås utan VPN. IPv6-VPN fungerar inte alls.
<h2>
<a name="ab_only_cidr_title"></a>
Icke CIDR rutter
<a href="#ab_only_cidr_title" class="section_anchor"> </a>
</h2>
Android stödjer bara rutter specifierade i CIDR-format för VPNet. Eftersom rutter specifierade utan CIDR nästan aldrig används, så kommer OpenVPN för Android använda /32 för dessa rutter, och ge en varning.
<h2>
<a name="ab_proxy_title"></a>
Proxy beteende för VPN
<a href="#ab_proxy_title" class="section_anchor"> </a>
</h2>
Android kommer att använda de proxyinställningar som har ställts in för anslutningen över mobilnät/trådlöst när inga DNS-servrar är inställda. OpenVPN kommer att varna för detta i loggen.
<h2>
<a name="ab_not_route_to_vpn_title"></a>
Rutt till den konfigurerade IP-adressen
<a href="#ab_not_route_to_vpn_title" class="section_anchor"> </a>
</h2>
<small><i>5.0 (Lollipop) och senare</i></small> <br/>
Det konfigurerade klient-IPt och de IP-nummer som omfattas av dess nätmask är inte ruttade via VPNet. OpenVPN kommer att motarbeta denna bugg genom att explicit lägga till en rutt som omfattar klient-IPt och dess nätmask
<h2>
<a name="tap_mode"></a>
Tap-läge
<a href="#tap_mode" class="section_anchor"> </a>
</h2>
En tredje gång? Man skulle kunda skriva en tap-emulator baserat på tun som skulle lägga till layer2 information vid skicka och ta bort layer2 information vid ta emot. Men denna tap emulator skulle också behöva implementera ARP och eventuellt också en DHCP-klient. Jag är inte medveten om att någon gjort något arbete i denna riktning. Kontakta mig om du vill börja koda på detta.
View Git Blame Copy Permalink