Jump to content
TheRock666

Помогите настроить OpenVPN клиент.

25 posts in this topic

Помогите разобраться с настройкой OpenVPN клиента, вероятнее всего проблема в itables потому как сам клиент запускается но зайти на сайты не могу. Делал все по этой инструкции https://habrahabr.ru/post/306378/ , правила itables оттуда же. Роутер обычный Keenetic 3, прошивка  v2.08(AAUU.0)B0.

Лог запуска OpenVPN

Скрытый текст

Dec 31 14:45:56dropbear[1692]Child connection from 192.168.10.2:49699
Dec 31 14:46:03dropbear[1692]Password auth succeeded for 'root' from 192.168.10.2:49699
Dec 31 14:46:10openvpn[1719]OpenVPN 2.3.13 mipsel-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6]
Dec 31 14:46:10openvpn[1719]library versions: OpenSSL 1.0.2j  26 Sep 2016, LZO 2.09
Dec 31 14:46:10openvpn[1719]WARNING: file 'pass.txt' is group or others accessible
Dec 31 14:46:10openvpn[1722]Control Channel Authentication: tls-auth using INLINE static key file
Dec 31 14:46:10openvpn[1722]Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Dec 31 14:46:10openvpn[1722]Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Dec 31 14:46:10openvpn[1722]UDPv4 link local: [undef]
Dec 31 14:46:10openvpn[1722]UDPv4 link remote: [AF_INET]89.163.208.94:19699
Dec 31 14:46:10rootStarted openvpn from .
Dec 31 14:46:10openvpn[1722]WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Dec 31 14:46:11openvpn[1722]VERIFY OK: depth=1, O=574402f8c928ee09e1e0776c, CN=574402f8c928ee09e1e07770
Dec 31 14:46:11openvpn[1722]Validating certificate key usage
Dec 31 14:46:11openvpn[1722]++ Certificate has key usage  00a0, expects 00a0
Dec 31 14:46:11openvpn[1722]NOTE: --mute triggered...
Dec 31 14:46:13openvpn[1722]10 variation(s) on previous 3 message(s) suppressed by --mute
Dec 31 14:46:13openvpn[1722][574402f8c928ee09e1e07788] Peer Connection Initiated with [AF_INET]89.163.208.94:19699
Dec 31 14:46:15openvpn[1722]TUN/TAP device tun0 opened
Dec 31 14:46:15openvpn[1722]do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Dec 31 14:46:15openvpn[1722]/opt/sbin/ifconfig tun0 192.168.226.252 netmask 255.255.255.0 mtu 1500 broadcast 192.168.226.255
Dec 31 14:46:15openvpn[1722]Initialization Sequence Completed

 

Share this post


Link to post
Share on other sites

А вот этой фигней начинает сыпать периодически как только вставляю скрипт из той инструкции(после перезагрузки тоже самое), так до бесконечности. Соответственно ничего не работает 

Скрытый текст

Dec 31 14:51:15pure-ftpd(?@192.168.10.2) [INFO] New connection from 192.168.10.2
Dec 31 14:51:15ndmCore::Server: started Session /var/run/ndm.core.socket.
Dec 31 14:51:15pure-ftpd(?@192.168.10.2) [INFO] anonymous is now logged in
Dec 31 14:51:15ndmCore::Server: client disconnected.
Dec 31 14:51:25pure-ftpd(anonymous@192.168.10.2) [NOTICE] /openvpnfil.sh uploaded (191 bytes, 44.93KB/sec).
Dec 31 14:51:25ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: /opt/etc/ndm/netfilter.d/openvpnfil.sh: exit: line 3: Illegal number: 0.
Dec 31 14:51:25ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: exit code 2.
Dec 31 14:51:25ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information.
Dec 31 14:51:25ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information.
Dec 31 14:51:25ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: /opt/etc/ndm/netfilter.d/openvpnfil.sh: exit: line 3: Illegal number: 0.
Dec 31 14:51:25ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: exit code 2.
Dec 31 14:51:25ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information.
Dec 31 14:51:25ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information.
Dec 31 14:51:25ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information.
Dec 31 14:51:30ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: /opt/etc/ndm/netfilter.d/openvpnfil.sh: exit: line 3: Illegal number: 0.
Dec 31 14:51:30ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: exit code 2.
Dec 31 14:51:30ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information.
Dec 31 14:51:30ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information.
Dec 31 14:51:31ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: /opt/etc/ndm/netfilter.d/openvpnfil.sh: exit: line 3: Illegal number: 0.
Dec 31 14:51:31ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: exit code 2.
Dec 31 14:51:31ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information.
Dec 31 14:51:31ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information.
Dec 31 14:51:36ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: /opt/etc/ndm/netfilter.d/openvpnfil.sh: exit: line 3: Illegal number: 0.
Dec 31 14:51:36ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: exit code 2.
Dec 31 14:51:36ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information.
Dec 31 14:51:36ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information.
Dec 31 14:51:36ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: /opt/etc/ndm/netfilter.d/openvpnfil.sh: exit: line 3: Illegal number: 0.
Dec 31 14:51:36ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: exit code 2.

 
 
Edited by TheRock666

Share this post


Link to post
Share on other sites

Для начала освойте форум и приведите логи в читаемый вид.

Share this post


Link to post
Share on other sites
1 час назад, zyxmon сказал:

Для начала освойте форум и приведите логи в читаемый вид.

Так нормально? Сори, не совсем понимаю что вы имели в виду под "читаемый вид"

Share this post


Link to post
Share on other sites

Так лучше, хотя ...

Ищите ошибку в 3й строке скрипта  /opt/etc/ndm/netfilter.d/openvpnfil.sh

Share this post


Link to post
Share on other sites
2 часа назад, zyxmon сказал:

Ищите ошибку в 3й строке скрипта  /opt/etc/ndm/netfilter.d/openvpnfil.sh

[ "$table" != filter ] && exit 0 , если бы я не был нубом и имел дело с iptables до этого, а так только методом тыка пробовать. Тогда другой вопрос, где можно найти полный список команд для iptables? Через "iptables -h" похоже список не полный, так-как в том скрипте который создаю по инструкции есть команды которых нет в списке хелпа.

Share this post


Link to post
Share on other sites

Так вроде все правильно в скрипте, во всяком случае в последних 3 строках, но единственное что tun+ поменял на tun0 по названию интерфейса, только это нечего не дало. Если в 3 строке которая  "[ "$table" != filter ] && exit 0" поставить любое слово после "0" то ошибки уже нет, точно так же ее нет и если вообще удалить строчку. Если менять 0 на любое другое однозначное число то ошибка так же есть но уже ссылается не на "0", а на то число которое поставил. Так вот если там после "0" еще слово и ошибка пропадает, все равно идет спам одним и тем же сообщением

Opkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information.

и не чего не работает. Как вообще должен выглядеть лог если скрипт нормально включится? Спама ведь быть не должно?

P/S. С наступившим :)

 

UPD: Попробовал без скрипта запустить openvpn и в терминале прописать

iptables -I FORWARD -i br0 -o tun0 -j ACCEPT

iptables -I FORWARD -i tun0 -o br0 -j ACCEPT

iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

тоже самое в итоге, только в консоли вебморды вообще никакой реакции, как будто и не писал ничего.  Может быть такое что проблема где-то в настройках основной прошивки роутера скрыта?

Edited by TheRock666

Share this post


Link to post
Share on other sites

Если лог вот такой фигней сыпет это значит что скрипт не применяется я правильно понимаю? Неужели тут не кто не настраивал openvpn на новых версиях прошивки? 

Скрытый текстOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information.
Opkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information.
Opkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information.
Opkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information.
Opkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information.
Opkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information.
Core::Syslog: last message repeated 62 times.

Share this post


Link to post
Share on other sites
40 минут назад, TheRock666 сказал:

Неужели тут не кто не настраивал openvpn на новых версиях прошивки? 

Настройка от версии прошивки не зависит.

Share this post


Link to post
Share on other sites
Цитата

Настройка от версии прошивки не зависит.

Ну так в чем тогда может быть дело? Хоть какие-то наводки можете дать? Я читал тот мануал по iptables, много там всего, сразу естественно все не усвоишь. Но как понял строки из инструкции в интернете(кстати она просто доработка вашей судя по всему, видел на вашем форуме ее тоже) должны работать. Ибо идет проброс br0(роутер) на tun0(vpn) и в обратную сторону. Маскарадинг как понял из вашего-же форума не нужен вообще, так-как он уже вшит в само ядро. Так чего ему не хватает? Я пробовал уже правила и в терминале прописывать, и кучу других вариантов, весь гугл обшарил. Все должно работать, но не работает.

Share this post


Link to post
Share on other sites

Спустя пол месяца я таки настроил эту фигню, но скорость подозрительно мала. Через роутер жмет около 5 мегабит, при этом с теми-же настройками на ПК выжимает 15-20 мегабит без проблем(больше не могу сказать, так-как 20 мегабит тариф ограничивает). Это нормально что на роутере скорость ниже чем на ПК или я где-то с настройкой лапухнулся и нужно искать косяк? 

Edited by TheRock666

Share this post


Link to post
Share on other sites

А загрузка процессора какая при этом? 

Share this post


Link to post
Share on other sites
39 минут назад, TheRock666 сказал:

Через роутер жмет около 5 мегабит

Маловато будет. Около 10 получали на белых кинетиках (первых, старых) давным давно. А на новых можно получить и 100

http://forums.zyxmon.org/viewtopic.php?p=16291#p16291

Share this post


Link to post
Share on other sites
25 минут назад, zyxmon сказал:

Маловато будет. Около 10 получали на белых кинетиках (первых, старых) давным давно. А на новых можно получить и 100

http://forums.zyxmon.org/viewtopic.php?p=16291#p16291

В наших тестах на 7621 можно получить не более 20 Мбит/с :)

А результаты как у товарища по ссылке можно получить лишь на OpenVPN/TCP, что в целом не рекомендуется для массового применения.

Share this post


Link to post
Share on other sites
10 часов назад, r13 сказал:

А загрузка процессора какая при этом? 

От ~20 до 92, постоянно прыгает.

Протокол UDP., похожу что это нормально. Главное чтоб не существенно ниже было как 100 мегабит против 5...

Share this post


Link to post
Share on other sites
В 20.01.2017 в 16:04, TheRock666 сказал:

Спустя пол месяца я таки настроил эту фигню

@TheRock666, покажи свой файл конфигурации. Я такую же ошибку ловлю.

Избавляюсь от неё путём добавления символа ";" в конец строк, но такое решение неправильно на мой взгляд

Кстати, как избавиться от дублирования правила в таблицу nat. В filter дублирования не происходит.

Вот мой файл:

Скрытый текст

#!/bin/sh
echo "Table 1:: $table";
[ "$table" != "filter" ] && exit 0;   # check the table name
# Доступ к серверу с VPN
iptables -I INPUT -i tun0 -s 10.15.0.0/24 -j ACCEPT;
# Так как трафик транзитный, то позволяем пакетам ходить между LAN и VPN
iptables -I FORWARD 1 -i br0 -o tun0 -j ACCEPT;
iptables -I FORWARD 2 -i tun0 -o br0 -j ACCEPT;
iptables -t nat -I POSTROUTING -s 10.15.0.0/24 -j MASQUERADE;
echo "Iptables: changed!";

 

Share this post


Link to post
Share on other sites

@kekych При таком скрипте nat правило создается только на хуке filter.

В результате у вас nat правила замножаются, а при срабатывании хука nat очищаются и не восстанавливаются.

Пишите отдельный скрипт для nat или меняйте логику в этом скрипте.

Edited by r13

Share this post


Link to post
Share on other sites
5 минут назад, r13 сказал:

Пишите отдельный скрипт для nat

То есть, если я правильно понял, то надо в папке netfilter.d создать ещё один скрипт с такой структурой:

Скрытый текст

#!/bin/sh

iptables -t nat -I POSTROUTING -s 10.15.0.0/24 -j MASQUERADE;
echo "Iptables: NAT changed!";

 

Share this post


Link to post
Share on other sites

И кодом в начале скрипта по ангиологии с первым иначе опять будет замножаться:

[ "$table" != "nat" ] && exit 0;   # check the table name

Share this post


Link to post
Share on other sites

@r13, да точно! Второпях написал :)

Сейчас попробую.

UPD: отлично отработало! Однако в лог теперь пишется ошибка из прошлого файла ( Opkg::Manager: /opt/etc/ndm/netfilter.d/fw.sh: exit code 127. ) , хотя правила устанавливаются в iptables o_O. Ошибка говорит, что команда найдена, но библиотека, требуемая командой, не найдена.

И так и сяк посмотрел, покрутил скрипт. Ошибка лезет, но все исправно работает. Ну и фиг с ней :)

 

@r13, а получается что в скрипте каждую строчку надо завершать знаком ";"? Без них скрипт в ошибку почему-то валится

Edited by kekych

Share this post


Link to post
Share on other sites

windows? блокнот? "дружелюбный" vim отложим в сторону... есть ещё nano и mcedit (всё равно стоит система пакетов, так?) чем не редакторы?

Share this post


Link to post
Share on other sites

Добрый день.

 

Помогите переделать правила iptables для OpenVPN  из NDMSv1 в NDMSv2.

 

Скрипт NDMSv1:

#!/bin/sh

 

# Разрешаем внутрисетевой обмен

iptables -I INPUT -i lo -j ACCEPT

 

# SSH

iptables -I INPUT -p tcp --dport 45017 -j ACCEPT

 

# OpenVPN

iptables -I INPUT -p udp --dport 45015 -j ACCEPT

iptables -I FORWARD 1 --source 172.16.10.0/24 -j ACCEPT

iptables -I FORWARD -i br0 -o tun0 -j ACCEPT

iptables -I FORWARD -i tun0 -o br0 -j ACCEPT

iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE

 

 

 

При подключении клиента к серверу OpenVPN был доступ к внутренней сети домашнего роутера(172.16.7.0/24) и к интернету через домашний роутер.

 

Роутер: Zyxel Keenetic Ultra

Прошивка: 2.08 + Entware-3x

Share this post


Link to post
Share on other sites
В 20.01.2017 в 17:09, Le ecureuil сказал:

В наших тестах на 7621 можно получить не более 20 Мбит/с :)

А результаты как у товарища по ссылке можно получить лишь на OpenVPN/TCP, что в целом не рекомендуется для массового применения.

А с чем это связано? А то перелез сегодня с Lite iii на последнюю гигу с 7621A и крайне удивился:) Входящая 12-13 Мбит/с, исх. 23 Мбит/с при загрузке ЦП 20-25% против 70-80 Мбит/с напрямую с компа

Edited by Stasmin

Share this post


Link to post
Share on other sites
В 5/15/2018 в 22:54, Stasmin сказал:

А с чем это связано? А то перелез сегодня с Lite iii на последнюю гигу с 7621A и крайне удивился:) Входящая 12-13 Мбит/с, исх. 23 Мбит/с при загрузке ЦП 20-25% против 70-80 Мбит/с напрямую с компа

Процессор слабоват для openvpn.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

×