Jump to content

Search the Community

Showing results for tags 'openvpn'.



More search options

  • Search By Tags

    Type tags separated by commas.
  • Search By Author

Content Type


Forums

  • Keenetic Community
    • NDMS Development
    • NDMS Community Support
    • NDMS Testing
    • Mobile App
  • Open Package Support
    • Opkg Help
    • Opkg Cookbook
    • Opkg Cookbook RUS

YAHOO


Facebook Account


Twitter Account


Skype Account


Youtube Account


Google+ Account


Keenetic

Found 25 results

  1. Было бы здорово при настроенном туннеле OpenVPN (клиент-клиент) иметь доступ в локальные сети за ним (наверное, это роутинг называется). Сейчас это настраивается очень сложно для OpenVPN, а туннель зачастую поднимается как раз с целью объединения локальных сетей. Для IPSec все замечательно. Настроил подключение и уже есть доступ в локальные сети. Запилите, пожалуйста, и для OpenVPN так же ))
  2. Добрый день. Хочу предложить всем скрипт, который я доработал. Изначально ссылкой поделился zyxmon, а на том форуме еще кто-то, а он взял еще у кого-то. По этому сразу прошу прощения, за то, что не уловил всю длинную цепочку авторов, но, если надо, то меня поправят в этом вопросе. Не ругайте сильно, если где-то опечатался, все желательно проверить, мне пока негде. Готов к замечаниям, я старался, надеюсь кому поможет. Скрипту требуется bash (opkg install bash) и wget (opkg install wget). Что было сделано: Добавлена генерация ta.key. Содержимое этого файла включено в конфигурацию сервера и клиента. Все файлы с ключами, используемые сервером, включены внутрь конфига сервера. (ранее было отдельными файлами со ссылками в конфиге). Выключена компрессия lzo перенесены логи в другой каталог status /opt/var/log/openvpn-status.log и log-append /opt/var/log/openvpn.log сам файл: #!/opt/bin/bash #OpenVPN road warrior installer for Entware-NG running on NDMS v.2. Please see http://keenopt.ru and http://forums.zyxmon.org #This script will let you setup your own VPN server in a few minutes, even if you haven't used OpenVPN before if [[ ! -e /dev/net/tun ]]; then echo "TUN/TAP is not available" exit 1 fi newclient () { # Generates the custom client.ovpn cp /opt/etc/openvpn/client-common.txt ~/$1.ovpn echo "<ca>" >> ~/$1.ovpn cat /opt/etc/openvpn/easy-rsa/pki/ca.crt >> ~/$1.ovpn echo "</ca>" >> ~/$1.ovpn echo "<cert>" >> ~/$1.ovpn cat /opt/etc/openvpn/easy-rsa/pki/issued/$1.crt >> ~/$1.ovpn echo "</cert>" >> ~/$1.ovpn echo "<key>" >> ~/$1.ovpn cat /opt/etc/openvpn/easy-rsa/pki/private/$1.key >> ~/$1.ovpn echo "</key>" >> ~/$1.ovpn echo "key-direction 1" >> ~/$1.ovpn echo "<tls-auth>" >> ~/$1.ovpn cat ta.key >> ~/$1.ovpn echo "</tls-auth>" >> ~/$1.ovpn } echo "Getting your ip address....please wait." IP=$(wget -qO- ipv4.icanhazip.com) if [[ -e /opt/etc/openvpn/openvpn.conf ]]; then while : do clear echo "Looks like OpenVPN is already installed" echo "" echo "What do you want to do?" echo " 1) Add a cert for a new user" echo " 2) Revoke existing user cert" echo " 3) Exit" read -p "Select an option [1-3]: " option case $option in 1) echo "" echo "Tell me a name for the client cert" echo "Please, use one word only, no special characters" read -p "Client name: " -e -i client CLIENT cd /opt/etc/openvpn/easy-rsa/ ./easyrsa build-client-full $CLIENT nopass # Generates the custom client.ovpn newclient "$CLIENT" echo "" echo "Client $CLIENT added, certs available at ~/$CLIENT.ovpn" exit ;; 2) # This option could be documented a bit better and maybe even be simplimplified # ...but what can I say, I want some sleep too NUMBEROFCLIENTS=$(tail -n +2 /opt/etc/openvpn/easy-rsa/pki/index.txt | grep -c "^V") if [[ "$NUMBEROFCLIENTS" = '0' ]]; then echo "" echo "You have no existing clients!" exit 5 fi echo "" echo "Select the existing client certificate you want to revoke" tail -n +2 /opt/etc/openvpn/easy-rsa/pki/index.txt | grep "^V" | cut -d '=' -f 2 if [[ "$NUMBEROFCLIENTS" = '1' ]]; then read -p "Select one client [1]: " CLIENTNUMBER else read -p "Select one client [1-$NUMBEROFCLIENTS]: " CLIENTNUMBER fi CLIENT=$(tail -n +2 /opt/etc/openvpn/easy-rsa/pki/index.txt | grep "^V" | cut -d '=' -f 2 | sed -n "$CLIENTNUMBER"p) cd /opt/etc/openvpn/easy-rsa/ ./easyrsa --batch revoke $CLIENT ./easyrsa gen-crl rm -rf pki/reqs/$CLIENT.req rm -rf pki/private/$CLIENT.key rm -rf pki/issued/$CLIENT.crt # And restart /opt/etc/init.d/S20openvpn restart echo "" echo "Certificate for client $CLIENT revoked" exit ;; 3) exit;; esac done else clear echo 'Welcome to this quick OpenVPN "road warrior" installer' echo "" # OpenVPN setup and first user creation echo "I need to ask you a few questions before starting the setup" echo "You can leave the default options and just press enter if you are ok with them" echo "" echo "First I need to know the IPv4 address of the network interface you want OpenVPN" echo "listening to." read -p "IP address: " -e -i $IP IP echo "" echo "What protocol do you want for OpenVPN?" echo "1) UDP" echo "2) TCP" read -p "Protocol (1 or 2): " -e -i 1 PROTOCOL echo "What VPN NET do you want?" read -p "VPN network: " -e -i 10.8.0.0 VPN_NET echo "Add VPN IP to getaway?" echo "y or n" read -p "VPN GW? " -e -i no VPN_GW echo "" if [ "$PROTOCOL" = 2 ]; then PROTOCOL=tcp PORT=443 else PROTOCOL=udp PORT=1194 fi echo "What port do you want for OpenVPN?" read -p "Port: " -e -i $PORT PORT echo "" if ["$VPN_GW" = "y" ]; then echo "What DNS do you want to use with the VPN?" echo " 1) Current system resolvers" echo " 2) Yandex DNS" echo " 3) Google" read -p "DNS [1-3]: " -e -i 1 DNS echo "" fi echo "RSA key size 2048 or 1024 ?" echo "1) 2048" echo "2) 1024" read -p "RSA key size (1 or 2): " -e -i 1 RSA_KEY_SIZE echo "" if [ "$RSA_KEY_SIZE" = 2 ]; then RSA_KEY_SIZE=1024 else RSA_KEY_SIZE=2048 fi echo "" echo "Finally, tell me your name for the client cert" echo "Please, use one word only, no special characters" read -p "Client name: " -e -i client CLIENT echo "" echo "Okay, that was all I needed. We are ready to setup your OpenVPN server now" read -n1 -r -p "Press any key to continue..." # An old version of easy-rsa was available by default in some openvpn packages if [[ -d /opt/etc/openvpn/easy-rsa/ ]]; then mv /opt/etc/openvpn/easy-rsa/ /opt/etc/openvpn/easy-rsa-old/ fi # Get easy-rsa wget --no-check-certificate -O ~/EasyRSA-3.0.1.tgz https://github.com/OpenVPN/easy-rsa/releases/download/3.0.1/EasyRSA-3.0.1.tgz tar xzf ~/EasyRSA-3.0.1.tgz -C ~/ mv ~/EasyRSA-3.0.1 /opt/etc/openvpn/easy-rsa/ chown -R root:root /opt/etc/openvpn/easy-rsa/ rm -rf ~/EasyRSA-3.0.1.tgz cd /opt/etc/openvpn/easy-rsa/ if [ "$RSA_KEY_SIZE" = 1024 ]; then cp vars.example vars echo "set_var EASYRSA_KEY_SIZE 1024" >> vars fi # Create the PKI, set up the CA, the DH params and the server + client certificates ./easyrsa init-pki ./easyrsa --batch build-ca nopass ./easyrsa gen-dh ./easyrsa build-server-full server nopass ./easyrsa build-client-full $CLIENT nopass ./easyrsa gen-crl openvpn --genkey --secret ta.key echo "local $IP" > /opt/etc/openvpn/openvpn.conf echo "port $PORT proto $PROTOCOL dev tun sndbuf 0 rcvbuf 0 topology subnet server $VPN_NET 255.255.255.0 ifconfig-pool-persist ipp.txt" >> /opt/etc/openvpn/openvpn.conf if ["$VPN_GW" = "y" ]; then echo 'push "redirect-gateway def1 bypass-dhcp"' >> /opt/etc/openvpn/openvpn.conf # DNS case $DNS in 1) # Obtain the resolvers from resolv.conf and use them for OpenVPN grep -v '#' /etc/resolv.conf | grep 'nameserver' | grep -E -o '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' | while read line; do echo "push \"dhcp-option DNS $line\"" >> /opt/etc/openvpn/openvpn.conf done ;; 2) echo 'push "dhcp-option DNS 77.88.8.8"' >> /opt/etc/openvpn/openvpn.conf echo 'push "dhcp-option DNS 77.88.8.1"' >> /opt/etc/openvpn/openvpn.conf ;; 3) echo 'push "dhcp-option DNS 8.8.8.8"' >> /opt/etc/openvpn/openvpn.conf echo 'push "dhcp-option DNS 8.8.4.4"' >> /opt/etc/openvpn/openvpn.conf ;; esac fi echo "keepalive 10 120 'push "route 192.168.1.0 255.255.255.0" compress status /opt/var/log/openvpn-status.log log-append /opt/var/log/openvpn.log client-to-client persist-key persist-tun verb 3 crl-verify /opt/etc/openvpn/easy-rsa/pki/crl.pem" >> /opt/etc/openvpn/openvpn.conf echo '<ca>' >> /opt/etc/openvpn/openvpn.conf cat pki/ca.crt >> /opt/etc/openvpn/openvpn.conf echo '</ca>' >> /opt/etc/openvpn/openvpn.conf echo '<cert>' >> /opt/etc/openvpn/openvpn.conf cat pki/issued/server.crt >> /opt/etc/openvpn/openvpn.conf echo '</cert>' >> /opt/etc/openvpn/openvpn.conf echo '<key>' >> /opt/etc/openvpn/openvpn.conf cat pki/private/server.key >> /opt/etc/openvpn/openvpn.conf echo '</key>' >> /opt/etc/openvpn/openvpn.conf echo '<dh>' >> /opt/etc/openvpn/openvpn.conf cat pki/dh.pem >> /opt/etc/openvpn/openvpn.conf echo '</dh>' >> /opt/etc/openvpn/openvpn.conf echo 'key-direction 0' >> /opt/etc/openvpn/openvpn.conf echo '<tls-auth>' >> /opt/etc/openvpn/openvpn.conf cat ta.key >> /opt/etc/openvpn/openvpn.conf echo '</tls-auth>' >> /opt/etc/openvpn/openvpn.conf echo "#!/bin/sh [ \"\$table\" != "filter" ] && exit 0 # check the table name iptables -I INPUT -i tun0 -j ACCEPT iptables -I FORWARD -s $VPN_NET/24 -j ACCEPT iptables -I INPUT -p $PROTOCOL --dport $PORT -j ACCEPT iptables -A INPUT -i lo -j ACCEPT" >> /opt/etc/ndm/netfilter.d/052-openvpn-filter.sh chmod +x /opt/etc/ndm/netfilter.d/052-openvpn-filter.sh echo "#!/bin/sh [ \"\$table\" != "nat" ] && exit 0 # check the table name iptables -t nat -A POSTROUTING -s $VPN_NET/24 -j SNAT --to $IP" >> /opt/etc/ndm/netfilter.d/053-openvpn-nat.sh chmod +x /opt/etc/ndm/netfilter.d/053-openvpn-nat.sh echo "client dev tun proto $PROTOCOL sndbuf 0 rcvbuf 0 remote $IP $PORT resolv-retry infinite nobind persist-key persist-tun remote-cert-tls server compress verb 3" > /opt/etc/openvpn/client-common.txt # Generates the custom client.ovpn newclient "$CLIENT" echo "" echo "Finished!" echo "" echo "Your client config is available at ~/$CLIENT.ovpn" echo "If you want to add more clients, you simply need to run this script another time!" fi
  3. Добавьте пожалуйста статус OpenVPN и ip в подключения Иногда он отваливается и неудобно каждый раз заходить в web админку
  4. Добрый день! Есть две сети 192.168.0.0/24 и 192.168.2.0/24. Между поднят туннель OpenVPN с ip 172.18.1.1 и 172.18.2.0 соответственно. Нет пинга между 172.18.1.1 и 172.18.2.0, ну и, соответственно, доступа в локальные сети. Как сделать, чтобы был доступ по ip между локальными сетями? Я, на сколько понял, проблема в PPPoE и/или APN, у которых маршрут прописывается автоматически, который OpenVPN не понимает. Для настройки использовал статью c настройками из варианта 1 (PSK).
  5. Добрый день! В первый раз настраиваю OpenVPN вообще. Пользуюсь следующей статьей. Файлы конфигурации из статьи не рабочие (при их запуске сервер, например, ругается на то, что ему нужно указать явно версию протокола). Допилил файлы с настройками из статьи PSK, но туннель не поднимается. OpenVPN SERVER (GIGA 3, 2.10.C.1.0-0) - белый IP - локальная сеть за NAT 192.168.0.0/24 - адрес интерфейса конца туннеля 172.18.1.1 - подключение PPPoE dev tun #port 443 proto udp4 ifconfig 172.18.1.1 172.18.1.2 route 192.168.2.0 255.255.255.0 verb 9 cipher AES-128-CBC <secret> -----BEGIN OpenVPN Static key V1----- 2520ee2fa2f5eb19a0236474f80c5e41 42d1ffb535e5fc2ae592a7e7052689e9 4bbf142c5740cb68100f2c37ddc8fa1a c6ebc9c4257da9ab044982b5042f5312 22fdb682311b875b174b1eef3aa7c42a 7642c24fee084446be23da6392a2fc74 7e0f09baef68f920fba3c05f6eaa5dbd ababd04abca4d9299d9ceb1e63296b6b b183bce7b810cae326b57012f199a972 ab48c254dcbfa464597c2053c0897291 950391c9f61c9d95dba15ae8a5506bb3 30493da3f54e220356ce8969a1b1be11 899515cfc9f343234b7c6006be4e0b50 13038ef2379c6fc28c812664975f9b23 313dd709c8190c0240faaf2facfd8187 6e0f6bec0016e9211f3a132bbef26cf9 -----END OpenVPN Static key V1----- </secret> keepalive 5 120 persist-tun comp-lzo no OpenVPN CLIENT (4G 3 rev.B, 2.10.C.1.0-0) - серый IP (NAT провайдера) - локальная сеть за NAT 192.168.2.0/24 - адрес интерфейса конца туннеля 172.18.1.2 - подключение через 3G модем dev tun remote 217.53.74.197 #remote 217.53.74.197 443 #proto tcp-client ifconfig 172.18.1.2 172.18.1.1 route 192.168.0.0 255.255.255.0 verb 9 #float cipher AES-128-CBC <secret> -----BEGIN OpenVPN Static key V1----- 2520ee2fa2f5eb19a0236474f80c5e41 42d1ffb535e5fc2ae592a7e7052689e9 4bbf142c5740cb68100f2c37ddc8fa1a c6ebc9c4257da9ab044982b5042f5312 22fdb682311b875b174b1eef3aa7c42a 7642c24fee084446be23da6392a2fc74 7e0f09baef68f920fba3c05f6eaa5dbd ababd04abca4d9299d9ceb1e63296b6b b183bce7b810cae326b57012f199a972 ab48c254dcbfa464597c2053c0897291 950391c9f61c9d95dba15ae8a5506bb3 30493da3f54e220356ce8969a1b1be11 899515cfc9f343234b7c6006be4e0b50 13038ef2379c6fc28c812664975f9b23 313dd709c8190c0240faaf2facfd8187 6e0f6bec0016e9211f3a132bbef26cf9 -----END OpenVPN Static key V1----- </secret> keepalive 5 120 persist-tun comp-lzo no На обоих роутерах правила firewall'a для прохождения UDP1194 и TCP443 созданы. Настройки вроде простые, как хозяйственное мыло, но не работает: Установка интерфейса сервера Jan 20 07:33:13OpenVPN0disabling NCP mode (--ncp-disable) because not in P2MP client or server mode Jan 20 07:33:13OpenVPN0OpenVPN 2.4.3 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD] Jan 20 07:33:13OpenVPN0library versions: OpenSSL 1.1.0g 2 Nov 2017, LZO 2.10 Jan 20 07:33:13OpenVPN0Outgoing Static Key Encryption: Cipher 'AES-128-CBC' initialized with 128 bit key Jan 20 07:33:13OpenVPN0Outgoing Static Key Encryption: Using 160 bit message hash 'SHA1' for HMAC authentication Jan 20 07:33:13OpenVPN0Incoming Static Key Encryption: Cipher 'AES-128-CBC' initialized with 128 bit key Jan 20 07:33:13OpenVPN0Incoming Static Key Encryption: Using 160 bit message hash 'SHA1' for HMAC authentication Jan 20 07:33:13OpenVPN0crypto_adjust_frame_parameters: Adjusting frame parameters for crypto by 60 bytes Jan 20 07:33:13OpenVPN0TUN/TAP device tun0 opened Jan 20 07:33:13OpenVPN0TUN/TAP TX queue length set to 100 Jan 20 07:33:13OpenVPN0do_ifconfig, tt->did_ifconfig_ipv6_setup=0 Jan 20 07:33:13ndmNetwork::Interface::IP: "OpenVPN0": IP address is 172.18.1.1/32. Jan 20 07:33:13ndmNetwork::Interface::OpenVpn: "OpenVPN0": TUN peer address is 172.18.1.2. Jan 20 07:33:13ndmNetwork::Interface::OpenVpn: "OpenVPN0": added host route to peer 172.18.1.2 via 172.18.1.1. Jan 20 07:33:14ndmNetwork::Interface::OpenVpn: "OpenVPN0": install accepted route to 192.168.2.0/255.255.255.0 via 172.18.1.2. Jan 20 07:33:14OpenVPN0Data Channel MTU parms [ L:1561 D:1450 EF:61 EB:396 ET:0 EL:3 ] Jan 20 07:33:14OpenVPN0Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1561,tun-mtu 1500,proto UDPv4,ifconfig 172.18.1.2 172.18.1.1,comp-lzo,cipher AES-128-CBC,auth SHA1,keysize 128,secret' Jan 20 07:33:14OpenVPN0Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1561,tun-mtu 1500,proto UDPv4,ifconfig 172.18.1.1 172.18.1.2,comp-lzo,cipher AES-128-CBC,auth SHA1,keysize 128,secret' Jan 20 07:33:14OpenVPN0Socket Buffers: R=[155648->155648] S=[155648->155648] Jan 20 07:33:14OpenVPN0UDPv4 link local (bound): [AF_INET][undef]:1194 Jan 20 07:33:14OpenVPN0UDPv4 link remote: [AF_UNSPEC] Jan 20 07:33:14OpenVPN0GID set to nobody Jan 20 07:33:14OpenVPN0UID set to nobody Jan 20 07:33:14ndmCore::ConfigurationSaver: configuration saved. Вроде все классно, кроме disabling NCP mode (--ncp-disable) because not in P2MP client or server mode. Но это вроде не ошибка, на сколько понимаю, поскольку TLS сервера нет. ЛОГИ сервера Jan 20 07:24:42OpenVPN0UDPv4 READ [116] from [AF_INET]85.141.7.150:47641: DATA d2444921 41253bc3 442c3c2b 0741ccc1 992b823e f666ebf2 eff2cbd2 792654c[more...] Jan 20 07:24:42OpenVPN0 event_wait returned 1 Jan 20 07:24:42OpenVPN0 write to TUN/TAP returned 56 Jan 20 07:24:46OpenVPN0 event_wait returned 0 Jan 20 07:24:46OpenVPN0 event_wait returned 1 Jan 20 07:24:46OpenVPN0UDPv4 WRITE [68] to [AF_INET]85.141.7.150:47641: DATA 3a93be48 57c9b70f 1df6dcb5 e701a8d0 7e3dd999 f364febe aad1e38c 892b73d[more...] Jan 20 07:24:46OpenVPN0UDPv4 write returned 68 Jan 20 07:24:48OpenVPN0 event_wait returned 1 Jan 20 07:24:48OpenVPN0UDPv4 read returned 68 Jan 20 07:24:48OpenVPN0UDPv4 READ [68] from [AF_INET]85.141.7.150:47641: DATA a5c978fb b42f3ac2 7a4e9f59 587589c0 8a88011e 2467f2a8 6609af16 2605583[more...] Jan 20 07:24:51OpenVPN0 event_wait returned 0 Jan 20 07:24:51OpenVPN0 event_wait returned 1 ЛОГИ клиента Jan 20 11:24:42OpenVPN0UDP WRITE [116] to [AF_INET]217.53.74.197:1194: DATA d2444921 41253bc3 442c3c2b 0741ccc1 992b823e f666ebf2 eff2cbd2 792654c[more...] Jan 20 11:24:42OpenVPN0UDP write returned 116 Jan 20 11:24:46OpenVPN0 event_wait returned 0 Jan 20 11:24:46OpenVPN0 event_wait returned 1 Jan 20 11:24:46OpenVPN0UDP read returned 68 Jan 20 11:24:46OpenVPN0UDP READ [68] from [AF_INET]217.53.74.197:1194: DATA 3a93be48 57c9b70f 1df6dcb5 e701a8d0 7e3dd999 f364febe aad1e38c 892b73d[more...] Jan 20 11:24:47OpenVPN0 event_wait returned 0 Jan 20 11:24:47OpenVPN0 event_wait returned 1 Jan 20 11:24:47OpenVPN0UDP WRITE [68] to [AF_INET]217.53.74.197:1194: DATA a5c978fb b42f3ac2 7a4e9f59 587589c0 8a88011e 2467f2a8 6609af16 2605583[more...] Jan 20 11:24:47OpenVPN0UDP write returned 68 Jan 20 11:24:51OpenVPN0 event_wait returned 1 Jan 20 11:24:51OpenVPN0UDP read returned 68 Пробовал крутить MTU (поскольку PPPoE имеет ограничения на него) Пробовал другие порты. Профи, подскажите, пожалуйста, почему не поднимается туннель? Так же буду благодарен за проверенные рабочие настройки конфигурационных файлов для поднятия туннеля с возможностью доступа в локальные сети.
  6. Запрошенной страницы не существует #broadband.ppp 2.11.A.9.0-2, на 2.11.A.9.0-1 было также. startup-config(2).txt self-test(1).txt UPD: Удаление компонента Клиент OpenVPN удаляет и страницу настройки PPPoE, PPTP #broadband.ppp Кроме того при редактировании существующего подключения Тип (протокол) вместо списка является текстовым полем. Не баг, а фича.
  7. @ndm @Le ecureuil @Padavan Keenetic Ultra II 2.11.A.9.0-1 - поднимаем интерфейс OpenVPN via ISP (сервер взят с http://www.vpngate.net/), в начале подключения получаем ошибки Dec 6 11:25:37 ndm: Network::RoutingTable: gateway 10.211.1.46 is unreachable via OpenVPN0. [E] Dec 6 11:25:37 ndm: Network::Interface::OpenVpn: "OpenVPN0": failed to add a nameserver route. Dec 6 11:25:37 ndm: Network::Interface::OpenVpn: "OpenVPN0": adding nameserver 8.8.8.8. Dec 6 11:25:37 ndm: Dns::Manager: name server 8.8.8.8 added, domain (default). [E] Dec 6 11:25:37 ndm: Network::RoutingTable: gateway 10.211.1.46 is unreachable via OpenVPN0. [E] Dec 6 11:25:37 ndm: Network::Interface::OpenVpn: "OpenVPN0": failed to add a nameserver route. подключение проходит, все работает, резолв идет, все отлично. Далее, отключаем интерфейс OpenVPN и сразу же вылезает ошибка в логе: [E] Dec 6 11:26:04 transmissiond: Couldn't connect socket 33 to 212.220.15.228, port 11000 (errno 128 - Network is unreachable) [E] Dec 6 11:26:04 transmissiond: Couldn't connect socket 33 to 212.220.15.228, port 11000 (errno 128 - Network is unreachable) и так до бесконечности. при этом ISP подключение не становится активным. self-test ниже
  8. Добрый день. Имеется большая необходимость запустить в своей сети OpenVPN сервер на Keenetic Ultra II, для получения в дороге, со смартфона, белого IP своего роутера. Всё имеющиеся мануалы по встроенному в прошивку OVPN помогают поднять клиент, но не сервер. Служба поддержки Zyxel отписалась, что у них так же нет инструкции. Прошу Вас помочь с поднятием OVPN. Заранее благодарен.
  9. Keenetic Giga II 2.11.A.8.0-5 Доброго времени суток. После перезагрузки бывает не с первого раза поднимаются статические маршруты. Если переподключить OpenVPN в ручную или перезагрузить железку, то все приходит в норму.
  10. openvpn

    Вырисовалась небольшая проблема. Настроил Entware чётко по этой инструкции: https://habrahabr.ru/post/306378/ Но вместо своего файла использовал овпн конфиг присланный сервыером. Но проблема в том, что сам Кинетик отказывается давать доступ к файлу ключа, в результате чего невозможно подключиться к сети. В общем, вот что он выдаёт: Oct 21 12:53:44root Started openvpn from . Oct 21 13:19:55openvpn[2120] WARNING: file 'jaa.key' is group or others accessible Oct 21 13:19:55openvpn[2120] OpenVPN 2.4.4 mipsel-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD] Oct 21 13:19:55openvpn[2120] library versions: OpenSSL 1.0.2l 25 May 2017, LZO 2.10 Oct 21 13:19:55openvpn[2123] WARNING: --ns-cert-type is DEPRECATED. Use --remote-cert-tls instead. Oct 21 13:19:55openvpn[2123] neither stdin nor stderr are a tty device and you have neither a controlling tty nor systemd - can't ask for 'Enter Private Key Password:'. If you used --daemon, you need to use --askpass to make passphrase-protected keys work, and you can not use --auth-nocache. Oct 21 13:19:55openvpn[2123] Exiting due to fatal error
  11. Использую 4G-модем и OpenVPN для выхода в интернет. Настроил OpenVPN клиента, соединяется и работает хорошо. Проблемы начинаются при разрыве или переподключении OpenVPN соединения. Следующее по приоритету подключение (модем) остается резервным, активным не становится. Значок подключения модема остается серым, а OpenVPN не может снова наладить соединение через модем. В логах пишет что нет подключения к интернету: Тем временем пингчек сообщает, что подключение через модем доступно, превосходно пингует внешние ip. Так продолжается пока вручную не перезагрузишь модем. После перезагрузки модема его значок подключения снова становится зеленым, и OpenVPN соединяется на ура. С другими шифрованиями такой проблемы нет, после отключения текущего следующее по приоритету зеленеет, да и через резервные (серые) подключения всё отлично соединяется.. И еще вопрос - при подключении OpenVPN всегда одна еругда в логах вылезает. Что это и как лечится?
  12. Здравствуйте! Имеется viva с прошивкой 2.10.A.3.0-3, а так же настроенный клиент openvpn. Проблема такая: некоторые flash игры из соц.сетей (одноклассники) не запускаются, одни бесконечно "загружаются", другие требуют обновить flash- плагин. Конечно пробовал и установить плагин и разные браузеры, и даже разные ОС (на linux mint 18, браузер chromium), но толку это не принесло. При запуске и подключении клиента к серверу openvpn на компьютере игры начинают запускаться как обычно, что меня не устраивает. Есть варианты решения или с чем хотя бы это связано? Благодарю!
  13. Коллеги, благодаря уважаемым Le ecureuil, ndm и другим добрым людям, я получил 2.10 с OpenVPN на Keenetic III. Результаты тестов не тривиальны. Имеем 4G модем со стабильной скоростью 20-22 Mbps. Подключаем Компьютер с OpenVPN клиентом. Потери скорости минимальны и сравнимы с погрешностью. AES-256-CBC UDP подключаем модем к Keenetic III и получаем 20-22 MBps при загрузке процессора до 15%. Включаем на Кинетике IPSEC и получаем немного за 7MBps с загрузкой ЦП от 80 до 100% Включаем на кинетике OPENVPN UDP и получаем до 10 MBps с загрузкой ЦП от 80 до 100% Включаем Кинетике OPENVPN TCP и получаем до 10 MBps с загрузкой ЦП от 70 до 85% не правда ли, удивительно, что в моем случае, получается, что OPENVPN может быть шустрее IPSEC? В ДОГОНКУ - ((((Слава админам! Практически все мои 87 Кинетика III на 2.10 по Open VPN получили скорость свыше 3MBPS, чего нам достаточно!))))
  14. Админчики добрые! Люд простой! Помогите! Как увидел на форуме - 10.06.2017 00:00 Версия 2.10.A.1.0-0: Экспериментальная версия, Добавлена поддержка OpenVPN. Так сразу закупил 87 штук Keenetic III. Идеальное для нашей компании решение. 18 передо мной уже лежат и ждут настройки, а остальные по разным городам и странам даже разойдутся на следующей неделе. А нет прошивочки долгожданной ни тут https://cloud.mail.ru/public/7rAB/ineftbhek ни тут files.keenopt.ru Помогите, дайте прошивочку на Keenetic III !!!! Через opkg - нереально на всех настроить!
  15. Помогите разобраться с настройкой OpenVPN клиента, вероятнее всего проблема в itables потому как сам клиент запускается но зайти на сайты не могу. Делал все по этой инструкции https://habrahabr.ru/post/306378/ , правила itables оттуда же. Роутер обычный Keenetic 3, прошивка v2.08(AAUU.0)B0. Лог запуска OpenVPN
  16. Здравствуйте. Стала потребность поднять OpenVPN на роутере, ip динамический. До этого поднимал openvpn на windows только. Немного далек от этого всего, но посидев несколько дней на форуме вроде что-то понимаю. Поставил entware 3-x, установил OpenVPN через скрипт из темы Все установилось нормально вроде как, ошибок не видел. Логи с вебинтерфейса после перезапуска системы Выполнил ~ # route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface default * 0.0.0.0 U 0 0 0 ppp1 10.1.30.0 * 255.255.255.0 U 0 0 0 br1 77.82.96.1 * 255.255.255.255 UH 0 0 0 ppp1 85.28.195.60 * 255.255.255.255 UH 0 0 0 ppp1 192.168.1.0 * 255.255.255.0 U 0 0 0 br0 195.72.250.15 * 255.255.255.255 UH 0 0 0 ppp1 Openvpn вроде как не поднялся. В чем может быть причина? Приложу S20openvpn из init.d и firewall.sh из netfilter.d/. (Как настраивать iptables не разобрался, внутри то что на форуме нашел) Извиняюсь, что подымаю тему которую обсуждалась, но разобраться не могу что не так. S20openvpn firewall.sh
  17. Продолжение из http://forum.keenetic.net/topic/61-правила-iptables-для-openvpn/?do=findComment&comment=11451 Лог в прикрепленном файле При этом если запускаешь вручную (sh 051-openvpn-iptables.sh) - все в порядке. Содержание скриптов: Если не запускать - пинга до кинетика с сервера нет. Запуск filter.sh этого не меняет. Запуск 051-openvpn-iptables.sh - дает пинг. iptables: Таблицы маршрутизации: 192.168.1.0/24 - локалка, где находится сервер(192.168.1.5) 192.168.137.0/24 - локалка, где находится клиент(192.168.137.1) 192.168.3.0/24 - VPN-локалка.(192.168.3.1-сервер, 192.168.3.4 - клиент) P.S. Был вопрос про проброс - это в локальной сети сервера. log.txt
  18. debian

    Настройку OpenVPN-сервера в Debian-среде сильно облегчает скрипт OpenVPN road warrior. Рабочий сервер можно получить за несколько действий. Белый IP-адрес является необходимым условием для того, чтобы можно было подключаться к серверу. Скачайте скрипт, установите желаемую длину ключа для шифрование трафика и запустите его на исполнение: apt-get update apt-get install wget cd ~ export EASYRSA_KEY_SIZE=1024 wget https://git.io/vpn -O openvpn-install.sh chmod +x openvpn-install.sh ./openvpn-install.sh Скрипт задаст несколько вопросов. Если не уверены что отвечать, то согласитесь с предлагаемыми значениями по умолчанию. Когда скрипт получит необходимые сведения начнётся генерация ключей для сервера и первого клиента, что на слабом роутере может занять несколько минут. Пример вывода скрипта ниже: Сформированный скриптом файл *.ovpn необходимо перенести на клиента, который будет подключаться к серверу. Сделать это можно по FTP, сетевому окружению или выводом его в консоль с последующей копипастой текста в новый файл. Для того, чтобы сервер openvpn запускался автоматически при перезагрузке роутера, выполните: echo 'openvpn' >> /chroot-services.list Не забудьте открыть выбранный порт в файерволе для того, чтобы сервер был доступен из интернета. По умолчанию это UDP 1194. Последнее — это настройка правила файервола, которое должно применяться прошивкой автоматически: echo '#!/bin/sh' > /opt/etc/ndm/wan.d/010-openvpn.sh echo 'iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to $address' >> /opt/etc/ndm/wan.d/010-openvpn.sh chmod +x /opt/etc/ndm/wan.d/010-openvpn.sh Всё!. С помощью повторного запуска скрипта можно добавить ещё одного клиента, отозвать любой из сформированных ранее клиентских сертификатов или удалить с роутера openvpn-сервер.
  19. Здравствуйте, стоклнулся с такой проблемой: нужно подключить GIGA 3 к удаленному серверу посредством Openvpn с авторизацией по ключу. Опыта с перепрошивкой и модингом увы нет, хочу спросить совета у знающих людей, сам не разобрался как и что
  20. Здравствуйте! По всем инструкциям добавил в роутер поддержку opkg, поставил репозиторий Entware, из него установил пакет openvpn-openssl. До запуска туннеля с помощью /opt/etc/init.d/S20openvpn start доступ в Интернет работал. После запуска OpenVPN он поднимается, даже в самом кинетике видно по логам, да и пинги и трассировки идут с роутера через туннель, а с клиентских устройств в локальной сети - нет. То есть выход трафика в туннель отсутствует. ~ # traceroute 8.8.8.8 traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 38 byte packets 1 * * 10.9.0.1 (10.9.0.1) 56.467 ms 2 176.126.237.193 (176.126.237.193) 58.495 ms * * 3 185.57.80.77 (185.57.80.77) 87.309 ms 67.047 ms * 4 * buc-ird-01c.voxility.net (195.60.76.125) 1363.005 ms * 5 buc-ird-01gw.voxility.net (109.163.235.57) 98.596 ms * 62.950 ms 6 * fra-eq5-01gw.voxility.net (195.60.76.62) 117.580 ms 114.592 ms 7 fra-anc-06gw.voxility.net (93.115.89.6) 86.889 ms * * 8 de-cix10.net.google.com (80.81.192.108) 98.586 ms 91.649 ms 92.394 ms 9 216.239.47.84 (216.239.47.84) 90.270 ms Пробовал ставить iptables и связывать интерфейсы локальной сети роутера (172.22.0.1/27) с tun1 - не вышло. Оказалось, тут реализована маршрутизация с помощью route. Прошу помощи, как организовать доступ устройствам из локальной сети в Интернет через туннель поверх существующего соединения с провайдером eth2.1923. Вот мои интерфейсы: Вот, что происходит с таблицей route после старта OpenVPN: а) когда всё работало, была такая ~ # route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 178.168.190.2 134.17.160.1 255.255.255.255 UGH 0 0 0 eth2.1923 87.252.243.193 134.17.160.1 255.255.255.255 UGH 0 0 0 eth2.1923 172.22.0.0 * 255.255.255.224 U 0 0 0 br0 192.168.0.0 * 255.255.255.0 U 0 0 0 apcli0 134.17.160.0 * 255.255.224.0 U 0 0 0 eth2.1923 default 134.17.160.1 0.0.0.0 UG 0 0 0 eth2.1923 ~ # б) после запуска туннеля стала такая: (почему-то два шлюза по умолчанию. пробовал удалять их и прописывать один на default 10.9.0.89 128.0.0.0 UG 0 0 0 tun1 - не помогло) ~ # route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 176.126.237.214 134.17.160.1 255.255.255.255 UGH 0 0 0 eth2.1923 10.9.0.1 10.9.0.89 255.255.255.255 UGH 0 0 0 tun1 10.9.0.89 * 255.255.255.255 UH 0 0 0 tun1 178.168.190.2 134.17.160.1 255.255.255.255 UGH 0 0 0 eth2.1923 87.252.243.193 134.17.160.1 255.255.255.255 UGH 0 0 0 eth2.1923 172.22.0.0 * 255.255.255.224 U 0 0 0 br0 192.168.0.0 * 255.255.255.0 U 0 0 0 apcli0 134.17.160.0 * 255.255.224.0 U 0 0 0 eth2.1923 default 10.9.0.89 128.0.0.0 UG 0 0 0 tun1 128.0.0.0 10.9.0.89 128.0.0.0 UG 0 0 0 tun1 default 134.17.160.1 0.0.0.0 UG 0 0 0 eth2.1923 ~ #
  21. Добрый день! Имеется модем Модель Keenetic VOX Версия NDMS v2.05(AAGN.0)C4 Поставил пакет openvpn-openssl, но не может поднять интерфейс. вот что в логах Sat Jun 18 13:23:19 2016 PUSH: Received control message: 'PUSH_REPLY,route 10.50.19.1,topology net30,ping 10,ping-restart 30,ifconfig 10.50.19.10 10.50.19.9' Sat Jun 18 13:23:19 2016 OPTIONS IMPORT: timers and/or timeouts modified Sat Jun 18 13:23:19 2016 OPTIONS IMPORT: --ifconfig/up options modified Sat Jun 18 13:23:19 2016 OPTIONS IMPORT: route options modified Sat Jun 18 13:23:19 2016 TUN/TAP device tun0 opened Sat Jun 18 13:23:19 2016 TUN/TAP TX queue length set to 100 Sat Jun 18 13:23:19 2016 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0 Sat Jun 18 13:23:19 2016 /opt/sbin/ifconfig tun0 10.50.19.10 pointopoint 10.50.19.9 mtu 1500 /opt/sbin/ifconfig: error while loading shared libraries: libcrypt.so.1: cannot open shared object file: No such file or directory Sat Jun 18 13:23:19 2016 Linux ifconfig failed: could not execute external program Sat Jun 18 13:23:19 2016 Exiting due to fatal error сам файлик (т.е. симлинк) libcrypt.so.1 есть. root@Keenetic_VOX:/opt/etc/init.d# ls -l /opt/lib/libc* -rwxrwxr-x 1 root 1000 1462896 Jun 16 18:27 /opt/lib/libc-2.19.so lrwxrwxrwx 1 root 1000 12 Jun 16 18:27 /opt/lib/libc.so.6 -> libc-2.19.so -rwxrwxr-x 1 root 1000 37120 Jun 16 18:27 /opt/lib/libcrypt-2.19.so lrwxrwxrwx 1 root 1000 16 Jun 16 18:27 /opt/lib/libcrypt.so.1 -> libcrypt-2.19.so root@Keenetic_VOX:/opt/etc/init.d# env LD_LIBRARY_PATH=/opt/lib:/opt/usr/lib:/lib:/usr/lib SHLVL=2 OLDPWD=/opt/etc PS1=$(eval $PRECMD)\u@\h:\w\$ ENV=.profile MC_SID=7375 TERM=xterm PATH=/opt/bin:/opt/sbin:/opt/usr/bin:/opt/usr/sbin:/bin:/sbin:/usr/bin:/usr/sbin MC_TMPDIR=/opt/tmp/mc-root SHELL=/opt/bin/sh PWD=/opt/etc/init.d TZ=MSK-3 Где же засада?
  22. Имею IPv6 туннель и префикс 2001:DB8:804e::/48 через него. LAN IPv4: 192.168.0.0/24 через SLAAC/static LAN IPv6: 2001:DB8:804e::/64 хочу раздать клиентам IPv4 192.168.1.0/24 и IPv6 2001:DB8:804e:1::/64 Клиент адреса получил но пакетов нет (могу только с роутера сделать ping 192.168.1.4) Как настроить iptables/ip6tables і маршрут чтоб была связь между LAN и клиентами, ну и інтернет трафик через тунель был? Мой openvpn.conf local port 1194 proto udp dev tun ca ca.crt cert keenetic.crt key keenetic.key dh dh.pem user nobody group nobody keepalive 10 90 persist-key persist-tun topology subnet server 192.168.1.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "redirect-gateway def1" push "remote-gateway 192.168.1.1" push "dhcp-option DNS 192.168.1.1" server-ipv6 2001:DB8:804e:1::/64 push "route-ipv6 2000::/3" keepalive 10 120 client-to-client comp-lzo verb 4
  23. Такая проблема. Как запустить VPN клиент(PPTP-подключение к серверу) на Белом Кенетеке Entware. Суть , нужно объединить две сетки. Раньше всё работало посредством OpenVPN , сейчас админ закрыл доступ через OpenVPN, а вот PPTP-подключение работает. Спасибо
  24. Вот дошли руки нормально проверить работу openvpn. Коннектится нормально, пинги через туннель проходят в подсети 10.8.0.0, но домашняя сеть не видна и инет не работает. Вот правила firewall, которые работали на V1, а сейчас не хотят. iptables -I FORWARD -i br0 -o tun0 -j ACCEPT iptables -I FORWARD -i tun0 -o br0 -j ACCEPT iptables -I INPUT -i tun0 -j ACCEPT iptables -I INPUT -p udp --dport 1194 -j ACCEPT iptables -I FORWARD -i tun0 -j ACCEPT iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE iptables -A INPUT -i lo -j ACCEPT А вот такой вариант дал доступ к домашней сети iptables -I FORWARD -o tun0 -j ACCEPT iptables -I FORWARD -i tun0 -j ACCEPT iptables -I INPUT -i tun0 -j ACCEPT Есть какие то "подводные камни" использования iptables на V2 ?
  25. Подскажите пожалуйста, каким образом можно привязать сервис sip к интерфейсу tap0 (OpenVPN)? Клиент openvpn успешно прописывает нужный маршрут к серверу, в настрой ках sip для Линии1 (FXS порт) указываем адрес, но в логах: Nov 12 20:13:36 vapp line 0: unable to register with 192.168.1.15: 480 (Timeout). Nov 12 20:14:06 vapp line 0: trying to register with 192.168.1.15. Nov 12 20:14:38 vapp line 0: unable to register with 192.168.1.15: 480 (Timeout). Nov 12 20:15:07 vapp line 0: trying to register with 192.168.1.15. Из ssh консоли АТС пингуется и telnet порт открывает...
×