Jump to content

Search the Community

Showing results for tags 'openvpn'.

  • Search By Tags

    Type tags separated by commas.
  • Search By Author

Content Type


Forums

  • Keenetic Community
    • Keenetic Development
    • Keenetic Community Support
    • KeeneticOS Testing
    • Mobile App
    • Keenetic RMM
  • Open Package Support
    • Opkg Help
    • Opkg Cookbook
    • Opkg Cookbook RUS

Find results in...

Find results that contain...


Date Created

  • Start

    End


Last Updated

  • Start

    End


Filter by number of...

Joined

  • Start

    End


Group


Location


Web-site


Interests


Occupation


AOL Account


ICQ Account


WLM


YAHOO


Facebook Account


Twitter Account


Skype Account


Youtube Account


Google+ Account


Keenetic

  1. Пишу по мотивам моего поста в курилке, который сейчас уже в архиве, а мог бы быть многим полезен. Иногда на форуме и в канале я вижу вопросы по реализации выборочной маршрутизации некоторых ресурсов через поднятый на роутере VPN туннель, такой как OpenVPN или Wireguard. Мой скрипт очень простой и эффективный способ перейти на любимый ресурс, даже если он по какой-то причине заблокирован на территории страны. Многие инструкции предлагают обойти блокировку вообще всего, что заблокировано. Но вряд ли кто-то постоянно посещает все эти заблокированные ресурсы. Многим достаточно разблокировать лишь несколько своих нужных ресурсов. Небольшие комментарии по скрипту. /opt/root/vpnsitelist.txt - это обычный текстовый файл, где в каждой строке находится адрес заблокированного ресурса 127.0.0.1 - это ваш DNS сервер. У меня используется AdGuardDNS в режиме DoT/DoH из прошивки. У вас может быть другой. Узнать какой у вас можно выполнив команда nslookup ya.ru на роутере. ovpn_br0 - имя интерфейса туннеля OpenVPN. У вас может немного отличаться, чтобы посмотреть какой именно у вас воспользуйтесь командой ifconfig nwg0 - имя интерфейса туннеля Wireguard. У вас может немного отличаться, чтобы посмотреть какой именно у вас воспользуйтесь командой ifconfig Для тех у кого OpenVPN скрипт удобно разместить в директории /opt/etc/ndm/openvpn-up.d/ и сделать симлинк в крон ln -s /opt/etc/ndm/openvpn-up.d/1-unblock-static-route /opt/etc/cron.hourly/01unblock Выполнять скрипт в кроне с какой-либо периодичностью я рекомендую потому, что IP адреса заблокированных ресурсов могут часто меняться и нужно добавлять маршруты для них. У тех у кого Wireguard можно разместить скрипт в /opt/etc/ndm/ifstatechanged.d но тут нужна доработка по отслеживанию поднятия туннеля. Дополнения и улучшения скрипта приветствуются.
  2. Всем привет. Не сильно пинайте, но перенес этот вопрос из другой темы. Keenetic Giga KN-1010 - 3.6.10 Начал экспериментировать с профилями и VPN, т.к. без них сейчас никак. Исходные данные. 1) интернет приходит в маршрутизатор по средствам PPPOE через Ethernet. ETHERNET_INTERNET 2) в разделе другие подключения созданы 2 дополниьельных подключения. Первый (VPN_WITH_CERTIFICATE) использует блоки сертификатов <ca></ca> <cert></cert> <key></key> для подключения к уделенному серверу. Второй (VPN_WITH_USER_PASSWORD) использует блок <auth-user-pass></auth-user-pass> в который добавлены логин и пароль от ресурса который предоставляет VPN. Все флажки вклчены в настройках OpenVPN соединений. Не путайте c TLS auth - с auth по логину и паролю 3) Также к маршрутизаторe подключены 3 устройства (DHCP регистрация с привязкой IP <-> MAC) - PC1 / PC2 / PC3 Случай первый: Начнем с того, что у меня в системе не создано никаких профилей. В системе присутствует только однин заводской (так его назовем) профиль Основной профиль Все выше указанные подключения находятся в разделе Приоритеты подключений / Профили доступа в Интернет в следующем порядке: ETHERNET_INTERNET VPN_WITH_CERTIFICATE VPN_WITH_USER_PASSWORD В разделе Приоритеты подключений / Привязка устройств к профилям к Основной профиль привязаны 2 устройства В случае когда подключения расположены в указанном выше порядке и если другие подключения вкл/выкл основным является ETHERNET_INTERNET и IP адрес система получает от локального провайдера Все выше указанные подключения в разделе Приоритеты подключений / Профили доступа в Интернет в расположем в другом порядке: VPN_WITH_CERTIFICATE VPN_WITH_USER_PASSWORD ETHERNET_INTERNET В случае когда подключения расположены в указанном выше порядке и если другие подключения вкл/выкл основным является то подключение которое вышеи активно и IP адрес система получает в зависимости от приоритета. Вкл / Выкл регулилуется в разделе Другие подключения. VPN_WITH_CERTIFICATE - вкл - система получает IP от этого подключения VPN_WITH_USER_PASSWORD - вкл ETHERNET_INTERNET - всегда вкл VPN_WITH_CERTIFICATE - вкл - система получает IP от этого подключения VPN_WITH_USER_PASSWORD - выкл ETHERNET_INTERNET - всегда вкл VPN_WITH_CERTIFICATE - выкл VPN_WITH_USER_PASSWORD - вкл - система получает IP от этого подключения ETHERNET_INTERNET - всегда вкл VPN_WITH_CERTIFICATE - выкл VPN_WITH_USER_PASSWORD - выкл ETHERNET_INTERNET - всегда вкл - система получает IP от этого подключения VPN_WITH_USER_PASSWORD - вкл - система получает IP от этого подключения VPN_WITH_CERTIFICATE - вкл ETHERNET_INTERNET - всегда вкл VPN_WITH_USER_PASSWORD - вкл - система получает IP от этого подключения VPN_WITH_CERTIFICATE - выкл ETHERNET_INTERNET - всегда вкл VPN_WITH_USER_PASSWORD - выкл VPN_WITH_CERTIFICATE - вкл - система получает IP от этого подключения ETHERNET_INTERNET - всегда вкл VPN_WITH_USER_PASSWORD - выкл VPN_WITH_CERTIFICATE - выкл ETHERNET_INTERNET - всегда вкл - система получает IP от этого подключения ВСЕ УСТРОЙСТВА РАБОТАЮТ ПРАВИЛЬНО И У ВСЕХ ЕСТЬ ИНТЕРНЕТ, А ТАКЖЕ НА ВЫХОДЕ (2ip.ru) ПОЛУЧАЮТ НУЖНЫЕ IP АДРЕСА. ✔️ Случай второй: Создадим в системе 2 новых профиля в разделе Приоритеты подключений / Профили доступа в Интернет ONLY_CERF_VPN ONLY_USER_PASS_VPN В профилях установим подключения в следующем порядке: Основной профиль ETHERNET_INTERNET - используется в профиле по умолчанию VPN_WITH_CERTIFICATE- используется в профиле по умолчанию VPN_WITH_USER_PASSWORD- используется в профиле по умолчанию ONLY_CERF_VPN VPN_WITH_CERTIFICATE - используется в профиле VPN_WITH_USER_PASSWORD - не используется в профиле ETHERNET_INTERNET - не используется в профиле ONLY_USER_PASS_VPN VPN_WITH_USER_PASSWORD - используется в профиле VPN_WITH_CERTIFICATE - не используется в профиле ETHERNET_INTERNET - не используется в профиле В разделе Другие подключения все дополнительные подключения включены. В разделе Приоритеты подключений / Привязка устройств к профилям установим привязку устройств Основной профиль привязан только PC1 ONLY_CERF_VPN привязан только PC2 ONLY_USER_PASS_VPN привязан только PC3 Ну вот и всё. Проверяем то что у нас получилось. Устройство PC1 - интернет есть - IP получает от ETHERNET_INTERNET✔️ - когда хосту PC1 потребуется подключиться к сети Интернет, интернет-центр отправит его запрос через ETHERNET_INTERNET-подключение Устройство PC2 - интернет есть - IP получает от VPN_WITH_CERTIFICATE ✔️ - когда хосту PC2 потребуется подключиться к сети Интернет, интернет-центр отправит его запрос через VPN_WITH_CERTIFICATE -подключение Устройство PC3 - интернет отсутствует - а по идее должно подниматься соединение через VPN_WITH_USER_PASSWORD ❌ Все настройки я выполнял в соответствии с разделом в базе знаний Приоритеты подключений – Keenetic Отличие профилей только в том, что используют немного разные шаблоны openVPN подключения. В одном случае используются в шаблоне блоки сертификатов <ca></ca> <cert></cert> <key></key> для подключения к уделенному серверу (hideme.name). Во втором случае используется блок сертификата <ca></ca> и <auth-user-pass></auth-user-pass> в который добавлены логин и пароль от ресурса который предоставляет VPN (tunnelbear.com). Хочу заметить, что когда профиль с логин и паролем находится в основном профиле, это случай первый, то интернет работает и все ок. файлы конфигов прикрепил. Логин и Пароль нужно указать от tunnelbear.com. Для hideme.name может просто заэкспайриться сертификат и нужно будет найти новый конфиг VPN_WITH_CERTIFICATE.txt VPN_WITH_USER_PASSWORD.txt
  3. Смотрите такая ситуация. Omni KN-1410 ( 3.1.10 ). OpenVPN подключение. Конфигурация работает локально на устройствах стабильно. Вношу данные в роутер, ставлю "Использовать для выхода в интернет". В основном профиле доступа размещаю это подключение в самом низу. Создаю новый профиль, в котором из подключений активно только это VPN-подключение. В привязке устройств к профилям привязываю конкретное устройство к этому профилю. И получаю отсутствие выхода в интернет на выбранном устройстве. Если в созданном профиле выбрать еще и основного провайдера и разместить его вторым по списку, то на устройстве, привязанном к этому профилю интернет будет идти через основной канал. Если же указанное VPN-подключение поставить первым в основном профиле, то, разумеется весь трафик идет через него нормально. Это баг?
  4. Настроил OpenVPN как в этом видео. Также на сервере прописал push "redirect-gateway def1 bypass-dhcp" для смены ip-адреса в клиенте на сервер, но ничего не выходит...Если конкретней, то у меня на клиенте просто пропал интернет и всё. Как можно это исправить?Сервер: dev-node "ServerVPN" mode server port 12345 proto tcp4-server dev tun tls-server tls-auth "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ta.key" 0 tun-mtu 1500 tun-mtu-extra 32 mssfix 1450 ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt" cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ServerVPN.crt" key "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ServerVPN.key" dh "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\dh2048.pem" server 10.10.10.0 255.255.255.0 client-to-client keepalive 10 120 cipher AES-128-CBC comp-lzo persist-key persist-tun client-config-dir "C:\\Program Files\\OpenVPN\\config" verb 3 route-delay 5 route-method exe push "route 192.168.0.0 255.255.255.0" push "redirect-gateway def1 bypass-dhcp" route 192.168.182.0 255.255.255.0 Клиент: remote 192.168.1.1 ip для примера client port 12345 proto tcp4-client dev tun tls-client tls-auth "C:\\Program Files\\OpenVPN\\config\\ta.key" 1 remote-cert-tls server tun-mtu 1500 tun-mtu-extra 32 mssfix 1450 ca "C:\\Program Files\\OpenVPN\\config\\ca.crt" cert "C:\\Program Files\\OpenVPN\\config\\ClientVPN.crt" key "C:\\Program Files\\OpenVPN\\config\\ClientVPN.key" cipher AES-128-CBC comp-lzo persist-key persist-tun verb 3 mute 20 Route print:После подключения: =========================================================================== Список интерфейсов 15...00 ff cb c6 07 3a ......TAP-Windows Adapter V9 14...d8 f2 ca c4 2e 9a ......Microsoft Wi-Fi Direct Virtual Adapter 2...da f2 ca c4 2e 99 ......Microsoft Wi-Fi Direct Virtual Adapter #2 10...d8 f2 ca c4 2e 99 ......Intel(R) Wireless-AC 9560 160MHz 18...d8 f2 ca c4 2e 9d ......Bluetooth Device (Personal Area Network) 1...........................Software Loopback Interface 1 =========================================================================== IPv4 таблица маршрута =========================================================================== Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика 0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.122 35 0.0.0.0 128.0.0.0 10.10.10.5 10.10.10.6 281 10.10.10.0 255.255.255.0 10.10.10.5 10.10.10.6 281 10.10.10.4 255.255.255.252 On-link 10.10.10.6 281 10.10.10.6 255.255.255.255 On-link 10.10.10.6 281 10.10.10.7 255.255.255.255 On-link 10.10.10.6 281 127.0.0.0 255.0.0.0 On-link 127.0.0.1 331 127.0.0.1 255.255.255.255 On-link 127.0.0.1 331 127.255.255.255 255.255.255.255 On-link 127.0.0.1 331 128.0.0.0 128.0.0.0 10.10.10.5 10.10.10.6 281 178.44.196.105 255.255.255.255 192.168.1.1 192.168.1.122 291 192.168.0.0 255.255.255.0 10.10.10.5 10.10.10.6 281 192.168.1.0 255.255.255.0 On-link 192.168.1.122 291 192.168.1.122 255.255.255.255 On-link 192.168.1.122 291 192.168.1.255 255.255.255.255 On-link 192.168.1.122 291 224.0.0.0 240.0.0.0 On-link 127.0.0.1 331 224.0.0.0 240.0.0.0 On-link 10.10.10.6 281 224.0.0.0 240.0.0.0 On-link 192.168.1.122 291 255.255.255.255 255.255.255.255 On-link 127.0.0.1 331 255.255.255.255 255.255.255.255 On-link 10.10.10.6 281 255.255.255.255 255.255.255.255 On-link 192.168.1.122 291 =========================================================================== Постоянные маршруты: Отсутствует IPv6 таблица маршрута =========================================================================== Активные маршруты: Метрика Сетевой адрес Шлюз 1 331 ::1/128 On-link 15 281 fe80::/64 On-link 10 291 fe80::/64 On-link 15 281 fe80::5105:7c9d:a5c0:c8dc/128 On-link 10 291 fe80::e1e3:a6c6:ab15:60c8/128 On-link 1 331 ff00::/8 On-link 15 281 ff00::/8 On-link 10 291 ff00::/8 On-link =========================================================================== Постоянные маршруты: Отсутствует До подключения: =========================================================================== Список интерфейсов 15...00 ff cb c6 07 3a ......TAP-Windows Adapter V9 14...d8 f2 ca c4 2e 9a ......Microsoft Wi-Fi Direct Virtual Adapter 2...da f2 ca c4 2e 99 ......Microsoft Wi-Fi Direct Virtual Adapter #2 10...d8 f2 ca c4 2e 99 ......Intel(R) Wireless-AC 9560 160MHz 18...d8 f2 ca c4 2e 9d ......Bluetooth Device (Personal Area Network) 1...........................Software Loopback Interface 1 =========================================================================== IPv4 таблица маршрута =========================================================================== Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика 0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.122 35 127.0.0.0 255.0.0.0 On-link 127.0.0.1 331 127.0.0.1 255.255.255.255 On-link 127.0.0.1 331 127.255.255.255 255.255.255.255 On-link 127.0.0.1 331 192.168.1.0 255.255.255.0 On-link 192.168.1.122 291 192.168.1.122 255.255.255.255 On-link 192.168.1.122 291 192.168.1.255 255.255.255.255 On-link 192.168.1.122 291 224.0.0.0 240.0.0.0 On-link 127.0.0.1 331 224.0.0.0 240.0.0.0 On-link 192.168.1.122 291 255.255.255.255 255.255.255.255 On-link 127.0.0.1 331 255.255.255.255 255.255.255.255 On-link 192.168.1.122 291 =========================================================================== Постоянные маршруты: Отсутствует IPv6 таблица маршрута =========================================================================== Активные маршруты: Метрика Сетевой адрес Шлюз 1 331 ::1/128 On-link 10 291 fe80::/64 On-link 10 291 fe80::e1e3:a6c6:ab15:60c8/128 On-link 1 331 ff00::/8 On-link 10 291 ff00::/8 On-link =========================================================================== Постоянные маршруты: Отсутствует Благодаря настройкам маршрутизации добился дохода трафика до роутера, но он дальше никуда не отправляет. Вот вывод tracert google.ru: Трассировка маршрута к google.com [64.233.165.138] с максимальным числом прыжков 30: 1 6 ms * 2 ms DESKTOP-72H6NNI [10.10.10.1] 2 3 ms 2 ms 2 ms KEENETIC-7313 [192.168.1.1] 3 * * * Превышен интервал ожидания для запроса. 4 * * * Превышен интервал ожидания для запроса. 5 * * * Превышен интервал ожидания для запроса. 6 * * * Превышен интервал ожидания для запроса. 7 * * * Превышен интервал ожидания для запроса. 8 * * * Превышен интервал ожидания для запроса. 9 * * * Превышен интервал ожидания для запроса. 10 * * * Превышен интервал ожидания для запроса. 11 * * * Превышен интервал ожидания для запроса. После 11ого всё также идёт Как дальше отправить весь трафик в сеть дальше?
  5. Доброго дня, Есть работающий OpenVPN сервер (pfSense). Используется в режиме Remote Access TLS для доступа из нескольких магазинов (Keenetic 4G) к серверам в офисе (пусть будет 192.168.2.0/24). Типовая конфигурация магазина: Keenetic 4G (KN-1210) ver. 3.5.6; Настройки OpenVPN - TUN, subnet, 10.11.12.0/24; Домашняя сеть магазина - 192.168.172.0/24; Весь трафик из домашней сети магазина заворачивается в OpenVPN - redirect-gateway def1,route-gateway 10.11.12.1; Хосты в офисе и в магазинах видят друг-друга; Локальный NAT на Keenetic отключен (no ip nat Home, no ip nat OpenVPN0) - NAT выполняется на Firewall в офисе. Приоритеты подключений: OpenVPN ISP LTE Всё было хорошо и тут возник вопрос: есть ли возможность трафик на некоторые IP - эквайринг, ОФД и т.п. (н-р 185.15.172.18) таки выпускать через локальный NAT на Keenetic? Пробовал включить NAT для Home и вместо IP из домашней сети магазина (н-р 192.168.117.4) в офис стал отдаваться IP назначенный самому Keenetic в OpenVPN (н-р 10.11.12.14). Т.е. было Касса -> Keenetic -> OpenVPN -> pfSense -> NAT+Firewall -> Internet, а стало Касса -> Keenetic+NAT -> OpenVPN -> pfSense -> ??? Так же пробовал указать в настройках OpenVPN - push "route 185.15.172.18 255.255.255.255 net_gateway"; но в логах на Keenetic "Фев 3 01:53:04 ndm Network::RoutingTable: gateway is unreachable." =( Настройки интерфейсов Home и OpenVPN. Interface, name = "Home" id: Bridge0 index: 0 type: Bridge description: *Shop interface-name: Home link: up connected: yes state: up mtu: 1500 tx-queue: 0 address: 192.168.117.1 mask: 255.255.255.0 uptime: 740 global: no security-level: private mac: *:*:*:*:*:* auth-type: none bridge: interface, link = yes, inherited = yes: FastEthernet0/Vlan1 Interface, name = "OpenVPN0" id: OpenVPN0 index: 0 type: OpenVPN description: *Gate interface-name: OpenVPN0 link: up connected: yes state: up role: misc mtu: 1500 tx-queue: 0 address: 10.11.12.14 mask: 255.255.255.0 uptime: 6430 global: yes defaultgw: yes priority: 33117 security-level: private mac: *:*:*:*:*:* auth-type: none country: RU organization: *Retail common-name: *Retail Server Cert tunnel-protocol: udp via: UsbLte0
  6. Доброго времени суток! Имеется Giga II (2.16.D.8.0-2) + OpenVPN (2.4.6). Подключены WAN ISP как основной и Wifistation (WISP;тезеринг) как резервный интерфейсы. Понадобилась VPN через резервную сеть (многие догадываются зачем). Указал в настройках "Подключаться через WISP". Авторизация проходит, а на PUSH_REQUEST ответа нет. Не сразу догнал, что почем, но потом по логам понял, что маршрут через вафлю прописывается уже после авторизации, непосредственно перед PUSH_REQUEST, а для самой авторизации используется основной интерфейс. Логично, что при таком раскладе сервер мне не ответит. Конечно же все решается мануальным прописыванием маршрута перед соединением с VPN, но что если его IP меняется и/или этих серверов с десяток? Тем более нет желания каждый раз лезть в настройки при отвале основного канала, и хочется, чтобы переключение было как можно более быстрым, следовательно VPN уже должен быть подключен. Так и должно быть или что-то не так делаю? Спасибо. Настройки подключения Конфиг OpenVPN (малоли имеет значение) client dev tun proto udp remote 1.2.3.4 443 remote-random resolv-retry infinite nobind cipher AES-256-CBC auth SHA512 comp-lzo no verb 3 tun-mtu 1500 tun-mtu-extra 32 mssfix 1450 persist-key persist-tun reneg-sec 0 remote-cert-tls server <auth-user-pass> user pass </auth-user-pass> pull fast-io <ca> -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- </ca> key-direction 1 <tls-auth> # 2048 bit OpenVPN static key -----BEGIN OpenVPN Static key V1----- -----END OpenVPN Static key V1----- </tls-auth>
  7. Доброго всем дня, Постоянно при использовании OpenVPN натыкаюсь вот на такие ошибки: После чего VPN отваливается и переподключается, ситуация повторяется. Но на эти минут 20 когда он залипает получаю отсутствие связи с рабочей сетью. Лечится перезагрузкой роутера, после чего связь держится еще какое то время до залипания. Без VPN все ок. MTR работает с минимальными потерями. Прошивка стоит 3.4.12 устройство KN-1211 + свисток с симкой Теле2. Прикладываю файлы диагностики. log.txt self-test.txt Просьба помочь разобраться, всю голову сломал.
  8. Добрый день. Хочу предложить всем скрипт, который я доработал. Изначально ссылкой поделился zyxmon, а на том форуме еще кто-то, а он взял еще у кого-то. По этому сразу прошу прощения, за то, что не уловил всю длинную цепочку авторов, но, если надо, то меня поправят в этом вопросе. Не ругайте сильно, если где-то опечатался, все желательно проверить, мне пока негде. Готов к замечаниям, я старался, надеюсь кому поможет. Скрипту требуется bash и wget . (opkg install bash wget openssl-util openvpn-openssl) Что было сделано: Добавлена генерация ta.key. Содержимое этого файла включено в конфигурацию сервера и клиента. Все файлы с ключами, используемые сервером, включены внутрь конфига сервера. (ранее было отдельными файлами со ссылками в конфиге). Выключена компрессия lzo перенесены логи в другой каталог status /opt/var/log/openvpn-status.log и log-append /opt/var/log/openvpn.log сам файл: #!/opt/bin/bash #OpenVPN road warrior installer for Entware-NG running on NDMS v.2. Please see http://keenopt.ru and http://forums.zyxmon.org #This script will let you setup your own VPN server in a few minutes, even if you haven't used OpenVPN before if [[ ! -e /dev/net/tun ]]; then echo "TUN/TAP is not available" exit 1 fi newclient () { # Generates the custom client.ovpn cp /opt/etc/openvpn/client-common.txt ~/$1.ovpn echo "<ca>" >> ~/$1.ovpn cat /opt/etc/openvpn/easy-rsa/pki/ca.crt >> ~/$1.ovpn echo "</ca>" >> ~/$1.ovpn echo "<cert>" >> ~/$1.ovpn cat /opt/etc/openvpn/easy-rsa/pki/issued/$1.crt >> ~/$1.ovpn echo "</cert>" >> ~/$1.ovpn echo "<key>" >> ~/$1.ovpn cat /opt/etc/openvpn/easy-rsa/pki/private/$1.key >> ~/$1.ovpn echo "</key>" >> ~/$1.ovpn echo "key-direction 1" >> ~/$1.ovpn echo "<tls-auth>" >> ~/$1.ovpn cat ta.key >> ~/$1.ovpn echo "</tls-auth>" >> ~/$1.ovpn } echo "Getting your ip address....please wait." IP=$(wget -qO- ipv4.icanhazip.com) if [[ -e /opt/etc/openvpn/openvpn.conf ]]; then while : do clear echo "Looks like OpenVPN is already installed" echo "" echo "What do you want to do?" echo " 1) Add a cert for a new user" echo " 2) Revoke existing user cert" echo " 3) Exit" read -p "Select an option [1-3]: " option case $option in 1) echo "" echo "Tell me a name for the client cert" echo "Please, use one word only, no special characters" read -p "Client name: " -e -i client CLIENT cd /opt/etc/openvpn/easy-rsa/ ./easyrsa build-client-full $CLIENT nopass # Generates the custom client.ovpn newclient "$CLIENT" echo "" echo "Client $CLIENT added, certs available at ~/$CLIENT.ovpn" exit ;; 2) # This option could be documented a bit better and maybe even be simplimplified # ...but what can I say, I want some sleep too NUMBEROFCLIENTS=$(tail -n +2 /opt/etc/openvpn/easy-rsa/pki/index.txt | grep -c "^V") if [[ "$NUMBEROFCLIENTS" = '0' ]]; then echo "" echo "You have no existing clients!" exit 5 fi echo "" echo "Select the existing client certificate you want to revoke" tail -n +2 /opt/etc/openvpn/easy-rsa/pki/index.txt | grep "^V" | cut -d '=' -f 2 if [[ "$NUMBEROFCLIENTS" = '1' ]]; then read -p "Select one client [1]: " CLIENTNUMBER else read -p "Select one client [1-$NUMBEROFCLIENTS]: " CLIENTNUMBER fi CLIENT=$(tail -n +2 /opt/etc/openvpn/easy-rsa/pki/index.txt | grep "^V" | cut -d '=' -f 2 | sed -n "$CLIENTNUMBER"p) cd /opt/etc/openvpn/easy-rsa/ ./easyrsa --batch revoke $CLIENT ./easyrsa gen-crl rm -rf pki/reqs/$CLIENT.req rm -rf pki/private/$CLIENT.key rm -rf pki/issued/$CLIENT.crt # And restart /opt/etc/init.d/S20openvpn restart echo "" echo "Certificate for client $CLIENT revoked" exit ;; 3) exit;; esac done else clear echo 'Welcome to this quick OpenVPN "road warrior" installer' echo "" # OpenVPN setup and first user creation echo "I need to ask you a few questions before starting the setup" echo "You can leave the default options and just press enter if you are ok with them" echo "" echo "First I need to know the IPv4 address of the network interface you want OpenVPN" echo "listening to." read -p "IP address: " -e -i $IP IP echo "" echo "What protocol do you want for OpenVPN?" echo "1) UDP" echo "2) TCP" read -p "Protocol (1 or 2): " -e -i 1 PROTOCOL echo "What VPN NET do you want?" read -p "VPN network: " -e -i 10.8.0.0 VPN_NET echo "Add VPN IP to getaway?" echo "y or n" read -p "VPN GW? " -e -i no VPN_GW echo "" if [ "$PROTOCOL" = 2 ]; then PROTOCOL=tcp PORT=443 else PROTOCOL=udp PORT=1194 fi echo "What port do you want for OpenVPN?" read -p "Port: " -e -i $PORT PORT echo "" if ["$VPN_GW" = "y" ]; then echo "What DNS do you want to use with the VPN?" echo " 1) Current system resolvers" echo " 2) Yandex DNS" echo " 3) Google" read -p "DNS [1-3]: " -e -i 1 DNS echo "" fi echo "RSA key size 2048 or 1024 ?" echo "1) 2048" echo "2) 1024" read -p "RSA key size (1 or 2): " -e -i 1 RSA_KEY_SIZE echo "" if [ "$RSA_KEY_SIZE" = 2 ]; then RSA_KEY_SIZE=1024 else RSA_KEY_SIZE=2048 fi echo "" echo "Finally, tell me your name for the client cert" echo "Please, use one word only, no special characters" read -p "Client name: " -e -i client CLIENT echo "" echo "Okay, that was all I needed. We are ready to setup your OpenVPN server now" read -n1 -r -p "Press any key to continue..." # An old version of easy-rsa was available by default in some openvpn packages if [[ -d /opt/etc/openvpn/easy-rsa/ ]]; then mv /opt/etc/openvpn/easy-rsa/ /opt/etc/openvpn/easy-rsa-old/ fi # Get easy-rsa wget --no-check-certificate -O ~/EasyRSA-3.0.4.tgz https://github.com/OpenVPN/easy-rsa/releases/download/v3.0.4/EasyRSA-3.0.4.tgz tar xzf ~/EasyRSA-3.0.4.tgz -C ~/ mv ~/EasyRSA-3.0.4 /opt/etc/openvpn/easy-rsa/ chown -R root:root /opt/etc/openvpn/easy-rsa/ rm -rf ~/EasyRSA-3.0.4.tgz cd /opt/etc/openvpn/easy-rsa/ if [ "$RSA_KEY_SIZE" = 1024 ]; then cp vars.example vars echo "set_var EASYRSA_KEY_SIZE 1024" >> vars fi # Create the PKI, set up the CA, the DH params and the server + client certificates ./easyrsa init-pki ./easyrsa --batch build-ca nopass ./easyrsa gen-dh ./easyrsa build-server-full server nopass ./easyrsa build-client-full $CLIENT nopass ./easyrsa gen-crl openvpn --genkey --secret ta.key echo "local $IP" > /opt/etc/openvpn/openvpn.conf echo "port $PORT proto $PROTOCOL dev tun sndbuf 0 rcvbuf 0 topology subnet server $VPN_NET 255.255.255.0 ifconfig-pool-persist ipp.txt" >> /opt/etc/openvpn/openvpn.conf if ["$VPN_GW" = "y" ]; then echo 'push "redirect-gateway def1 bypass-dhcp"' >> /opt/etc/openvpn/openvpn.conf # DNS case $DNS in 1) # Obtain the resolvers from resolv.conf and use them for OpenVPN grep -v '#' /etc/resolv.conf | grep 'nameserver' | grep -E -o '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' | while read line; do echo "push \"dhcp-option DNS $line\"" >> /opt/etc/openvpn/openvpn.conf done ;; 2) echo 'push "dhcp-option DNS 77.88.8.8"' >> /opt/etc/openvpn/openvpn.conf echo 'push "dhcp-option DNS 77.88.8.1"' >> /opt/etc/openvpn/openvpn.conf ;; 3) echo 'push "dhcp-option DNS 8.8.8.8"' >> /opt/etc/openvpn/openvpn.conf echo 'push "dhcp-option DNS 8.8.4.4"' >> /opt/etc/openvpn/openvpn.conf ;; esac fi echo "keepalive 10 120 push \"route 192.168.1.0 255.255.255.0\" cipher AES-256-CBC compress status /opt/var/log/openvpn-status.log log-append /opt/var/log/openvpn.log client-to-client persist-key persist-tun verb 3 explicit-exit-notify 1 crl-verify /opt/etc/openvpn/easy-rsa/pki/crl.pem" >> /opt/etc/openvpn/openvpn.conf echo '<ca>' >> /opt/etc/openvpn/openvpn.conf cat pki/ca.crt >> /opt/etc/openvpn/openvpn.conf echo '</ca>' >> /opt/etc/openvpn/openvpn.conf echo '<cert>' >> /opt/etc/openvpn/openvpn.conf cat pki/issued/server.crt >> /opt/etc/openvpn/openvpn.conf echo '</cert>' >> /opt/etc/openvpn/openvpn.conf echo '<key>' >> /opt/etc/openvpn/openvpn.conf cat pki/private/server.key >> /opt/etc/openvpn/openvpn.conf echo '</key>' >> /opt/etc/openvpn/openvpn.conf echo '<dh>' >> /opt/etc/openvpn/openvpn.conf cat pki/dh.pem >> /opt/etc/openvpn/openvpn.conf echo '</dh>' >> /opt/etc/openvpn/openvpn.conf echo 'key-direction 0' >> /opt/etc/openvpn/openvpn.conf echo '<tls-auth>' >> /opt/etc/openvpn/openvpn.conf cat ta.key >> /opt/etc/openvpn/openvpn.conf echo '</tls-auth>' >> /opt/etc/openvpn/openvpn.conf echo "#!/bin/sh [ \"\$table\" != "filter" ] && exit 0 # check the table name iptables -I INPUT -i tun0 -j ACCEPT iptables -I FORWARD -s $VPN_NET/24 -j ACCEPT iptables -I INPUT -p $PROTOCOL --dport $PORT -j ACCEPT iptables -A INPUT -i lo -j ACCEPT" >> /opt/etc/ndm/netfilter.d/052-openvpn-filter.sh chmod +x /opt/etc/ndm/netfilter.d/052-openvpn-filter.sh echo "#!/bin/sh [ \"\$table\" != "nat" ] && exit 0 # check the table name iptables -t nat -A POSTROUTING -s $VPN_NET/24 -j SNAT --to $IP" >> /opt/etc/ndm/netfilter.d/053-openvpn-nat.sh chmod +x /opt/etc/ndm/netfilter.d/053-openvpn-nat.sh echo "client dev tun proto $PROTOCOL sndbuf 0 rcvbuf 0 remote $IP $PORT resolv-retry infinite nobind persist-key persist-tun remote-cert-tls server cipher AES-256-CBC compress verb 3" > /opt/etc/openvpn/client-common.txt # Generates the custom client.ovpn newclient "$CLIENT" echo "" echo "Finished!" echo "" echo "Your client config is available at ~/$CLIENT.ovpn" echo "If you want to add more clients, you simply need to run this script another time!" fi
  9. Добрый день. Поднят OpenVPN- сервер - N-1010 (192.168.1.1, прошивки 2.10 все последние перепробовал), на другой стороне Асус (192.168.6.1) с прошивкой Падавана. Туннельные IP доступны (10.8.0.1 и 10.8.0.2). На стороне клиента нет пакетов с сервера, смотрели tcpdump-ом. Все возможные сочетания маршрутизаций из веб-морды Кинетика проверили. Самое интересное, что со стороны клиента все прекрасно пингуется и видится - и сервер, и подсеть за ним. Маршруты на сервере (config)> show ip route ================================================================================ Destination Gateway Interface Metric ================================================================================ 0.0.0.0/0 0.0.0.0 PPPoE0 0 10.1.30.0/24 0.0.0.0 Guest 0 10.8.0.0/24 0.0.0.0 OpenVPN0 0 83.217.192.2/32 0.0.0.0 PPPoE0 0 83.217.193.2/32 0.0.0.0 PPPoE0 0 89.109.200.59/32 0.0.0.0 PPPoE0 0 89.169.0.1/32 0.0.0.0 PPPoE0 0 93.123.222.141/32 0.0.0.0 PPPoE0 0 94.25.168.128/32 0.0.0.0 PPPoE0 0 178.173.115.248/32 0.0.0.0 PPPoE0 0 192.168.1.0/24 0.0.0.0 Home 0 192.168.6.0/24 0.0.0.0 OpenVPN0 0 (config)> 3.74.27 show ip route Маршруты на клиенте. /home/root # route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface default 10.0.0.1 0.0.0.0 UG 1 0 0 weth0 10.0.0.0 * 255.255.255.0 U 0 0 0 weth0 10.8.0.0 * 255.255.255.0 U 0 0 0 tun0 127.0.0.0 * 255.0.0.0 U 0 0 0 lo 192.168.1.0 10.8.0.1 255.255.255.0 UG 0 0 0 tun0 192.168.6.0 * 255.255.255.0 U 0 0 0 br0 Конфиги. Сервер. port 5190 proto udp dev tun tls-server server 10.8.0.0 255.255.255.0 push "route 192.168.1.0 255.255.255.0" #client-to-client topology subnet comp-lzo yes keepalive 10 120 cipher AES-256-CBC persist-key persist-tun verb 3 mute 20 explicit-exit-notify 1 Клиент картинкой, т.к. там все из веб-морды делается. Скажите, почему так может происходить, и как с этим бороться. Спасибо.
  10. Настроил два OpenVPN подключения на KN-1010 к разным серверам для выхода в Интернет, пусть будут VPN1 и VPN2. Указав в приоритетах подключений для моего ПК подключаться только через VPN2, а в настройках VPN2 подключаться через VPN1, правильно понимаю, что будет соблюдён принцип дабл впн? Т.е. трафик будет идти ПК-VPN1-VPN2-Интернет? Просто при данной связке трафик в Кинетике для VPN1 не учитывается, только в VPN2. И на ПК в командной строке tracert показывает, что траф идет только через VPN2. Но если правильно понимаю, то так и должно быть, потому что это ВПН и всё что в промежутке шифруется, поэтому в маршруте и не видно промежуточного ВПН сервера, только выход на конце) При этом соответственно, если отключить VPN1 то коннект для VPN2 пропадает.
  11. Доброго времени суток, друзья! Есть KN-1010, на котором OpenVPN-клиент подключается к серверу, на котором крутится какой-либо сервис, скажем SSH. Сам Keenetic не является шлюзом по-умолчанию для домашней сети, просто как дополнительный роутер с выходом в интернет. Могу ли я перенаправить, к примеру, 2222 порт из LAN-интерфейса на 22 порт OpenVPN-сервера, через OpenVPN-клиента? Необходимо делать и DNAT на входе в LAN, и SNAT на выходе из OpenVPN-клиента. Подскажите, как данное реализовать? З.Ы. Заранее спасибо всем ответившим
  12. На сервере OpenVPN постоянно меняется адрес шлюза. Соответственно на клиенте Кинетике 2.16D.1 при этом "пользовательские маршруты", что в верхней части, пропадают из нижней части и их приходится постоянно редактировать. OpenVPN при подключении автоматически добавляет маршрут с 10.12.0.1 на актуальный шлюз. А ещё зачем-то на один адрес меньше, на скрине 10.12.0.205... Но пользовательские исправить на 10.12.0.1 нельзя! При этом не появляются в нижнем списке. Это нормально, и что с этим можно сделать?
  13. Добавьте ,по возможности, хотя бы выбор Encryption cipher
  14. Добавьте пожалуйста статус OpenVPN и ip в подключения Иногда он отваливается и неудобно каждый раз заходить в web админку
  15. Добрый день! Столкнулся с такой проблемой, роутер Keenetic Viva перестал сохранять конфигурацию сервера OpenVPN. Подробнее: 1. Создаю подключение OpenVPN 2. Вставялю конфиг 3. Жму сохранить 4. Открываю конфиг чтобы проверить, конфиг пустой В журнале следующие записи Роутер перезагружал, компонент OpenVPN удалял и снова устанавливал - не помогает. Прошу помощи
  16. Всем привет! Развернул OpenVPN сервер в режиме TAP на Zyxel Keenetic Giga II c прошивкой 2.15.A.3.0-0 (Подсеть 192.168.0.0, ip=192.168.0.1) Имеются три клиента : 1) Zyxel Keenetic Giga II c прошивкой 2.15.A.3.0-0. (Подсеть 192.168.1.0, ip=192.168.1.1) , 2) Мобильный клиент на Android. 3) Windows Со стороны клиентов сервер и подсеть сервера пингуется, всё исправно работает. В обратную сторону не работает, так как сервер выдаёт IP-адрес клиенту (шлюзу) из выделенного диапазона 192.168.0.67-192.168.0.71 в порядке подключения. При попытке регистрации клиента в подсети сервера каждый раз возникает новый MAC-адрес клиента, поэтому нет возможности “жёсткой” привязки ip адреса и назначения статического маршрута к подсети клиента. В чём причина возникновения новых MAC-адресов у клиентов при установлении туннеля? CONFIG Сервера port 1194 proto udp dev tap0 <ca></ca> <cert></cert> <key></key> <dh></dh> server-bridge 192.168.0.1 255.255.255.0 192.168.0.67 192.168.0.71 client-to-client keepalive 10 600 <tls-auth></tls-auth> key-direction 0 cipher AES-256-CBC compress lz4-v2 push "compress lz4-v2" persist-key persist-tun verb 5 explicit-exit-notify 1 CONFIG CLIENT client dev tap0 proto udp remote xxx.xxx.xxx.xxx 1194 resolv-retry infinite nobind persist-key persist-tun <ca></ca> <cert></cert> <key></key> remote-cert-tls server <tls-auth></tls-auth> key-direction 1 cipher AES-256-CBC verb 5
  17. Решил заняться обходом блокировок у себя на роутере, тем более что сторонний VPN имеется. Попробовал по этой инструкции: OpenWRT + OpenVPN: точечный обход блокировок (entware есть). Получилось, но захотелось сделать красивее (чем 8к маршрутов) по другой инструкции: Использование OpenVPN для обхода блокировок. А вот по ней не получается: Добавляю правило iptables -A PREROUTING -t mangle -m set --match-set rublock dst,src -j MARK --set-mark 1 и через несколько секунд оно пропадает - вижу это по двум выводам tracert (с клиентского по отношению к роутеру виндового компа) 1. До пропадания (успешно уходит в 10.72.0.1 - VPN gateway): C:\!keenetic>tracert 195.82.146.120 Tracing route to bt.rutracker.org [195.82.146.120] over a maximum of 30 hops: 1 <1 ms <1 ms <1 ms KEENETIC [192.168.1.1] 2 46 ms 45 ms 45 ms 10.72.0.1 2. После пропадания (уходит в ISP): C:\!keenetic>tracert 195.82.146.120 Tracing route to bt.rutracker.org [195.82.146.120] over a maximum of 30 hops: 1 <1 ms <1 ms <1 ms KEENETIC [192.168.1.1] 2 2 ms 1 ms 1 ms broadband-90-154-77-226.ip.moscow.rt.ru [90.154.77.226] Кроме того, по iptables-save | grep rublock тоже видно, что правило пропадает через несколько секунд после добавления. Что делать? Прошивка - последняя stable - 2.12.C.1.0-3, на последнем (сегодняшнем) draft всё также. Сетевой ускоритель отключен. Из selftest set net.ipv4.ip_forward 1 set net.ipv4.netfilter.ip_conntrack_fastnat 0
  18. Доброго времени суток. Есть такая конфигурация: 1. Keenetic Air, все пользователи подключены через кабель и wi-fi 2. LTE-модем через USB вставлен в роутер из пункта 1. 3. VPN через LTE-модем, сейчас работает через OpenVPN, но если нужно будет - можно выбрать PPTP или пр. Все неплохо работает, но иногда рвется связь и отваливается VPN. Это происходит на 5-10 секунд, мало, но все равно не очень приятно, трафик утекает. Сейчас на роутере три интерфейса: 1. Ethernet 192.168.1.0/24 2. Хуавей lte-модем 192.168.8.0/24 3. OpenVPN 10.8.8.0/24 Можно сделать, чтобы на момент отключения OpenVPN доступ в интернет через LTE-модем ограничивался только ip-адресами VPN-серверов и их DNS. А когда связь с ними восстанавливалась, то поднимался весь интернет уже через VPN, т.е. обычный килл-свитч. Или предложить какое-то аналогичное решение данной проблемы. Заранее благодарен.
  19. Здравствуйте! Подскажите, пожалуйста, как добраться к внутренностям кинетика через поднятый на нём openvpn client? Под внутренностями я имею в виду ssh и web-gui, которые доступны по адресу my.keenetic.net/78.47.125.180 изнутри сети, обслуживаемой раутером. У меня есть свой openvpn сервер, куда я подключил кинетика, но по vpn адресу, выдаваемому сервером кинетику, он откликается только "сам в себя". Т.е. зайдя на кинетик по ssh на 78.47.125.180 можно открыть там ssh сессию на него самого на его vpn адрес, но с других машин - клиентов этого же vpn server'а, попытка зайти по vpn адресу кинетика обламывается (timeout). P.S. У меня KN-1010, 2.13.C.0.0-1, OpenVPN 2.4.5 (подключается через dev tap, если это имеет какое-то значение) других пакетов не установлено
  20. Админчики добрые! Люд простой! Помогите! Как увидел на форуме - 10.06.2017 00:00 Версия 2.10.A.1.0-0: Экспериментальная версия, Добавлена поддержка OpenVPN. Так сразу закупил 87 штук Keenetic III. Идеальное для нашей компании решение. 18 передо мной уже лежат и ждут настройки, а остальные по разным городам и странам даже разойдутся на следующей неделе. А нет прошивочки долгожданной ни тут https://cloud.mail.ru/public/7rAB/ineftbhek ни тут files.keenopt.ru Помогите, дайте прошивочку на Keenetic III !!!! Через opkg - нереально на всех настроить!
  21. Помогите разобраться с настройкой OpenVPN клиента, вероятнее всего проблема в itables потому как сам клиент запускается но зайти на сайты не могу. Делал все по этой инструкции https://habrahabr.ru/post/306378/ , правила itables оттуда же. Роутер обычный Keenetic 3, прошивка v2.08(AAUU.0)B0. Лог запуска OpenVPN
  22. Всем привет!Помогите разобраться с проблемой. На роутере Giga III с прошивкой 2.12.A.4.0-9 настроен OpenVPN server,с внешней сети клиенты подключаются нормально.Клиентом является телефон на котором openvpn работает всегда,так вот как только я прихожу домой и телефон подключается к домашней сети,то пропадает интернет и доступ на веб интерфейс роутера.На остальных утсройствах домашней сети интернет и доступ к сети есть,все пропадает только на клиенте с включенным openvpn внутри локальной сети.Заметил что в маршрутах добавляется сеть с локальным адресом клиента.На скриншоте видно.Сеть восстанавливается только после перезагрузки роутера и отключения Openvpn клиента на телефоне.Селф-тест и конфиги прилагаю. В сетях не силЁн. " push "dhcp-option DNS 8.8.8.8" keepalive 10 120 persist-key persist-tun comp-lzo no compress lz4-v2 push "compress lz4-v2" mute 5 verb 0 self-test.txt
  23. Собственно, сабж: Простой метод установки OpenVPN. Должен знать каждый бабушкин "программист", разбанивающий ей сайты с рецептиками, хостящиеся на Amazon, который РКМ успешно положили. Зачем, есть же PPTP? Во-первых, нет нормально работающего и бесплатного российского PPTP. Ну, а опен есть. В принципе, мой выбор сразу пал на Freeopenvpn, но не на оригинальный. Почему частник? Да потому что частники не меняют пароли, в отличии от оригинальных. Для оригинального нужно писать скрипт, который будет каждые 10 часов стопать сервис, качать картинку с капчей, отправлять её на API, получать пароль, проиписывать его, куда надо и наконец, запускать VPN обратно. Установим же его! Итак, сначала поставим все пакеты: opkg update opkg install dropbear findutils iptables ldconfig libc libgcc liblzo libndm libopenssl libpthread librt libssp libstdcpp ndmq openvpn-openssl opt-ndmsv2 terminfo zlib openvpn #Это просто все депенды, не пинайте. Реально вам мало чего из этого понадобится ставить. Большинство пакетов есть даже в старых прошивках. В /opt/etc/openvpn положим конфиг, и назовём его, к примеру: russia.ovpn. А теперь изменим файл /opt/etc/init.d/S20openvpn, указав именно то имя конфига, которым мы его обозвали. ARGS="--daemon --cd /opt/etc/openvpn --config russia.ovpn" Теперь с помощью команды ifconfig посмотрим интерфейсы и найдём тот, где будет адрес 192.168.1.1. У меня лично это был br0. Тогда скрипт /opt/etc/ndm/netfilter.d/vpn.sh будет выглядеть так: #!/bin/sh [ "$table" != filter ] && exit 0 iptables -I FORWARD -i br0 -o tun+ -j ACCEPT iptables -I FORWARD -i tun+ -o br0 -j ACCEPT iptables -t nat -A POSTROUTING -o tun+ -j MASQUERADE
  24. Вот дошли руки нормально проверить работу openvpn. Коннектится нормально, пинги через туннель проходят в подсети 10.8.0.0, но домашняя сеть не видна и инет не работает. Вот правила firewall, которые работали на V1, а сейчас не хотят. iptables -I FORWARD -i br0 -o tun0 -j ACCEPT iptables -I FORWARD -i tun0 -o br0 -j ACCEPT iptables -I INPUT -i tun0 -j ACCEPT iptables -I INPUT -p udp --dport 1194 -j ACCEPT iptables -I FORWARD -i tun0 -j ACCEPT iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE iptables -A INPUT -i lo -j ACCEPT А вот такой вариант дал доступ к домашней сети iptables -I FORWARD -o tun0 -j ACCEPT iptables -I FORWARD -i tun0 -j ACCEPT iptables -I INPUT -i tun0 -j ACCEPT Есть какие то "подводные камни" использования iptables на V2 ?
  25. Добрый день! не получается настроить, есть свой сервер в облаке https://azure.microsoft.com/ru-ru/resources/templates/openvpn-access-server-ubuntu/ Windows и ios работаю отлично. В кинетике ошибка. NDMS 2.12 Что не так сделано? Apr 14 12:30:47OpenVPN0 OpenVPN 2.4.4 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD] Apr 14 12:30:47OpenVPN0 library versions: OpenSSL 1.1.0h 27 Mar 2018, LZO 2.10 Apr 14 12:30:47OpenVPN0 WARNING: --ns-cert-type is DEPRECATED. Use --remote-cert-tls instead. Apr 14 12:30:47OpenVPN0 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication Apr 14 12:30:47OpenVPN0 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication Apr 14 12:30:47OpenVPN0 Socket Buffers: R=[155648->200000] S=[155648->200000] Apr 14 12:30:47OpenVPN0 UDP link local: (not bound) Apr 14 12:30:47OpenVPN0 UDP link remote: [AF_INET]11.23.174.121:1194 Apr 14 12:30:47OpenVPN0 NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay Apr 14 12:30:47OpenVPN0 TLS: Initial packet from [AF_INET]11.23.174.121:1194, sid=66224f4f d9a7ca42 Apr 14 12:30:47OpenVPN0 VERIFY SCRIPT OK: depth=1, CN=OpenVPN CA Apr 14 12:30:47OpenVPN0 VERIFY OK: depth=1, CN=OpenVPN CA Apr 14 12:30:47OpenVPN0 VERIFY OK: nsCertType=SERVER Apr 14 12:30:47OpenVPN0 VERIFY SCRIPT OK: depth=0, CN=OpenVPN Server Apr 14 12:30:47OpenVPN0 VERIFY OK: depth=0, CN=OpenVPN Server Apr 14 12:30:49ndm Core::ConfigurationSaver: configuration saved. Apr 14 12:30:50OpenVPN0 Control Channel: TLSv1.2, cipher TLSv1.2 DHE-RSA-AES256-GCM-SHA384, 2048 bit RSA Apr 14 12:30:50OpenVPN0 [OpenVPN Server] Peer Connection Initiated with [AF_INET]11.23.174.121:1194 Apr 14 12:30:50ndm Network::Interface::OpenVpn: "OpenVPN0": added host route to remote endpoint 11.23.174.121:1194 via 192.168.8.1. Apr 14 12:30:51OpenVPN0 SENT CONTROL [OpenVPN Server]: 'PUSH_REQUEST' (status=1) Apr 14 12:30:51OpenVPN0 PUSH: Received control message: 'PUSH_REPLY,explicit-exit-notify,topology subnet,route-delay 5 30,dhcp-pre-release,dhcp-renew,dhcp-release,route-metric 101,ping 12,ping-restart 50,comp-lzo yes,redirect-gateway def1,redirect-gateway bypass-dhcp,redirect-gateway autolocal,route-gateway 172.27.232.1,dhcp-option DNS 168.63.129.16,register-dns,block-ipv6,ifconfig 172.27.232.56 255.255.248.0' Apr 14 12:30:51OpenVPN0 Option 'explicit-exit-notify' in line 1 is ignored by previous <connection> blocks Apr 14 12:30:51OpenVPN0 Unrecognized option or missing or extra parameter(s) in configuration: (line 4): dhcp-pre-release (2.4.4) Apr 14 12:30:51OpenVPN0 Exiting due to fatal error Apr 14 12:30:51ndm Service: "OpenVPN0": unexpectedly stopped.
×
×
  • Create New...