Jump to content

Вопросы по интеграции OpenVPN в NDMS


Recommended Posts

6 минут назад, Saymer сказал:

Я бы с радостью, но на сайте написано:

 

Ну по идее того что написано достаточно(сервер, логин, пароль, общий ключ) ну раз не завелось ну и ладно.

Link to comment
Share on other sites

35 минут назад, Le ecureuil сказал:

Для нормального результата с криптоускорителем нужны пакеты в 1400 (а желательно вообще в 10К - вот там можно и 800 Мбит достичь в теории). А OpenVPN сильно дробит пакеты на блоки перед шифрованием.

вроде чтобы не дробило сильно как раз и используем:

sndbuf 0
rcvbuf 0
fragment 0
mssfix 0

остальной сэтап учитывает:

Цитата

The MTU size on all switches in the gigabit LAN was set to 1500.

The first tweak made was:
- increase the MTU size of the tun adapter ('--tun-mtu') to 6000 bytes. This resembles Jumbo frames on a regular Ethernet LAN. Note that the MTU size on the underlying network switches was not altered.
- disable OpenVPN's internal fragmentation algorithm using '--fragment 0'.
- disable OpenVPN's 'TCP Maximum Segment Size' limitor using '--mssfix 0'.

т.е. клиенты вроде на стандартном MTU.

Link to comment
Share on other sites

6 минут назад, arbayten сказал:

вроде чтобы не дробило сильно как раз и используем:

sndbuf 0
rcvbuf 0
fragment 0
mssfix 0

остальной сэтап учитывает:

т.е. клиенты вроде на стандартном MTU.

В теории может и норм, но на практике я бы посмотрел на такое. Имхо пинг и джиттер сделают такой канал невменяемым.

Link to comment
Share on other sites

20 минут назад, r13 сказал:

Ну по идее того что написано достаточно(сервер, логин, пароль, общий ключ) ну раз не завелось ну и ладно.

При вводе этих значений, как там, ну адрес сервера, логин и пароль и ключ, статус соединения написано "Не готово".

Почему оно не готово я не понял.

 

А есть какое то решение по проблеме с прохождением пакетов?

Link to comment
Share on other sites

20 минут назад, Le ecureuil сказал:

Имхо пинг и джиттер сделают такой канал невменяемым.

ну, пока не попробуешь - не узнаешь =) ... можно попробовать сгладить поставив туннель на tcp, но тоже не самая лучшая идея

Link to comment
Share on other sites

Здравствуйте, все никак не могу победить, помогите пожалуйста.

 

client
dev tun
proto udp
remote vpn.tdural-k.ru 1196
resolv-retry infinite
nobind
persist-key
persist-tun
ns-cert-type server
verb 3
key-direction 1
<ca>
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----

-----END PRIVATE KEY-----
</key>
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----

-----END OpenVPN Static key V1-----
</tls-auth>
Sep 14 13:34:42OpenVPN0Authenticate/Decrypt packet error: cipher final failed
Sep 14 13:35:22OpenVPN0Core::Syslog: last message repeated 4 times.
Sep 14 13:35:32OpenVPN0[ovpns3] Inactivity timeout (--ping-restart), restarting
Sep 14 13:35:32OpenVPN0SIGUSR1[soft,ping-restart] received, process restarting
Sep 14 13:35:32OpenVPN0Restart pause, 5 second(s)
Sep 14 13:35:32ndmNetwork::Interface::IP: "OpenVPN0": IP address cleared.
Sep 14 13:35:33OpenVPN0Closing TUN/TAP interface
Sep 14 13:35:33OpenVPN0SIGINT[hard,init_instance] received, process exiting
Sep 14 13:35:35OpenVPN0OpenVPN 2.4.3 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD]
Sep 14 13:35:35OpenVPN0library versions: OpenSSL 1.0.2l  25 May 2017, LZO 2.10
Sep 14 13:35:35OpenVPN0WARNING: --ns-cert-type is DEPRECATED.  Use --remote-cert-tls instead.
Sep 14 13:35:35OpenVPN0Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sep 14 13:35:35OpenVPN0Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sep 14 13:35:35OpenVPN0TCP/UDP: Preserving recently used remote address: [AF_INET]91.191.231.34:1196
Sep 14 13:35:35OpenVPN0Socket Buffers: R=[155648->155648] S=[155648->155648]
Sep 14 13:35:35OpenVPN0UDP link local: (not bound)
Sep 14 13:35:35OpenVPN0UDP link remote: [AF_INET]91.191.231.34:1196
Sep 14 13:35:35OpenVPN0NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
Sep 14 13:35:35OpenVPN0TLS: Initial packet from [AF_INET]91.191.231.34:1196, sid=3224e7d6 87a15644
Sep 14 13:35:35OpenVPN0VERIFY SCRIPT OK: depth=1, C=RU, ST=Sverdlovskaya, L=Yekaterinburg, O=Ural-K, emailAddress=it-adm@tdural-k.ru, CN=tdural-k.ru-ca
Sep 14 13:35:35OpenVPN0VERIFY OK: depth=1, C=RU, ST=Sverdlovskaya, L=Yekaterinburg, O=Ural-K, emailAddress=it-adm@tdural-k.ru, CN=tdural-k.ru-ca
Sep 14 13:35:35OpenVPN0VERIFY OK: nsCertType=SERVER
Sep 14 13:35:35OpenVPN0VERIFY SCRIPT OK: depth=0, C=RU, ST=Sverdlovskaya, L=Yekaterinburg, O=Ural-K, emailAddress=it-adm@tdural-k.ru, CN=ovpns3
Sep 14 13:35:35OpenVPN0VERIFY OK: depth=0, C=RU, ST=Sverdlovskaya, L=Yekaterinburg, O=Ural-K, emailAddress=it-adm@tdural-k.ru, CN=ovpns3
Sep 14 13:35:35OpenVPN0WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1541', remote='link-mtu 1558'
Sep 14 13:35:35OpenVPN0WARNING: 'cipher' is used inconsistently, local='cipher BF-CBC', remote='cipher AES-256-CBC'
Sep 14 13:35:35OpenVPN0WARNING: 'keysize' is used inconsistently, local='keysize 128', remote='keysize 256'
Sep 14 13:35:35OpenVPN0WARNING: 'comp-lzo' is present in remote config but missing in local config, remote='comp-lzo'
Sep 14 13:35:35OpenVPN0Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Sep 14 13:35:35OpenVPN0[ovpns3] Peer Connection Initiated with [AF_INET]91.191.231.34:1196
Sep 14 13:35:35ndmNetwork::Interface::OpenVpn: "OpenVPN0": added host route to remote endpoint 91.191.231.34 via 192.168.30.1.
Sep 14 13:35:36OpenVPN0SENT CONTROL [ovpns3]: 'PUSH_REQUEST' (status=1)
Sep 14 13:35:36OpenVPN0PUSH: Received control message: 'PUSH_REPLY,route 10.0.8.0 255.255.255.0,route 10.0.9.0 255.255.255.0,route 192.168.20.0 255.255.255.0,route 192.168.30.0 255.255.255.0,route 192.168.33.0 255.255.255.0,dhcp-option DNS 192.168.30.209,route 10.0.10.1,topology net30,ping 10,ping-restart 60,ifconfig 10.0.10.58 10.0.10.57'
Sep 14 13:35:36OpenVPN0OPTIONS IMPORT: timers and/or timeouts modified
Sep 14 13:35:36OpenVPN0OPTIONS IMPORT: --ifconfig/up options modified
Sep 14 13:35:36OpenVPN0OPTIONS IMPORT: route options modified
Sep 14 13:35:36OpenVPN0OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Sep 14 13:35:36OpenVPN0Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sep 14 13:35:36OpenVPN0WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Sep 14 13:35:36OpenVPN0Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sep 14 13:35:36OpenVPN0Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sep 14 13:35:36OpenVPN0WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Sep 14 13:35:36OpenVPN0Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sep 14 13:35:36OpenVPN0WARNING: cipher with small block size in use, reducing reneg-bytes to 64MB to mitigate SWEET32 attacks.
Sep 14 13:35:36OpenVPN0TUN/TAP device tun0 opened
Sep 14 13:35:36OpenVPN0TUN/TAP TX queue length set to 100
Sep 14 13:35:36OpenVPN0do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Sep 14 13:35:36ndmNetwork::Interface::IP: "OpenVPN0": IP address is 10.0.10.58/32.
Sep 14 13:35:36ndmNetwork::Interface::OpenVpn: "OpenVPN0": TUN peer address is 10.0.10.57.
Sep 14 13:35:36ndmNetwork::Interface::OpenVpn: "OpenVPN0": added host route to peer 10.0.10.57 via 10.0.10.58.
Sep 14 13:35:36ndmNetwork::Interface::OpenVpn: "OpenVPN0": install accepted route to 10.0.8.0/255.255.255.0 via 10.0.10.57.
Sep 14 13:35:37ndmNetwork::Interface::OpenVpn: "OpenVPN0": install accepted route to 10.0.9.0/255.255.255.0 via 10.0.10.57.
Sep 14 13:35:37ndmNetwork::Interface::OpenVpn: "OpenVPN0": install accepted route to 192.168.20.0/255.255.255.0 via 10.0.10.57.
Sep 14 13:35:37ndmNetwork::Interface::OpenVpn: "OpenVPN0": install accepted route to 192.168.30.0/255.255.255.0 via 10.0.10.57.
Sep 14 13:35:37ndmNetwork::Interface::OpenVpn: "OpenVPN0": install accepted route to 192.168.33.0/255.255.255.0 via 10.0.10.57.
Sep 14 13:35:37ndmNetwork::Interface::OpenVpn: "OpenVPN0": install accepted route to 10.0.10.1/255.255.255.255 via 10.0.10.57.
Sep 14 13:35:37ndmNetwork::Interface::OpenVpn: "OpenVPN0": adding nameserver 192.168.30.209.
Sep 14 13:35:37ndmDns::Manager: name server 192.168.30.209 added, domain (default).
Sep 14 13:35:37ndmNetwork::RoutingTable: gateway 10.0.10.57 is unreachable via OpenVPN0.
Sep 14 13:35:37ndmNetwork::Interface::OpenVpn: "OpenVPN0": failed to add a nameserver route.
Sep 14 13:35:37OpenVPN0GID set to nobody
Sep 14 13:35:37OpenVPN0UID set to nobody
Sep 14 13:35:37OpenVPN0Initialization Sequence Completed
Sep 14 13:35:47OpenVPN0Authenticate/Decrypt packet error: cipher final failed
Sep 14 13:36:28OpenVPN0Core::Syslog: last message repeated 4 times.

 

Link to comment
Share on other sites

13 минуты назад, Дмитрий Вагин сказал:

Здравствуйте, все никак не могу победить, помогите пожалуйста.

 



Sep 14 13:35:35OpenVPN0WARNING: 'cipher' is used inconsistently, local='cipher BF-CBC', remote='cipher AES-256-CBC'
Sep 14 13:35:35OpenVPN0WARNING: 'keysize' is used inconsistently, local='keysize 128', remote='keysize 256'

 

Все у вас в логе!

добавьте в конфиг 

cipher AES-256-CBC

Link to comment
Share on other sites

Перезагрузил роутер, вроде как заработало, пингуются днс имена внутренней сети, однако в логах вот такое выпадает

 

Sep 14 14:12:54OpenVPN0OpenVPN 2.4.3 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD]
Sep 14 14:12:54OpenVPN0library versions: OpenSSL 1.0.2l  25 May 2017, LZO 2.10
Sep 14 14:12:54OpenVPN0WARNING: --ns-cert-type is DEPRECATED.  Use --remote-cert-tls instead.
Sep 14 14:12:54OpenVPN0Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sep 14 14:12:54OpenVPN0Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sep 14 14:12:54OpenVPN0TCP/UDP: Preserving recently used remote address: [AF_INET]192.168.30.1:1196
Sep 14 14:12:54OpenVPN0Socket Buffers: R=[155648->155648] S=[155648->155648]
Sep 14 14:12:54OpenVPN0UDP link local: (not bound)
Sep 14 14:12:54OpenVPN0UDP link remote: [AF_INET]192.168.30.1:1196
Sep 14 14:12:54OpenVPN0NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
Sep 14 14:15:08ndmCore::System::Clock: system time has been changed.
Sep 14 14:15:08ndmCore::System::Clock: system time has been changed.
Sep 14 14:15:08ndmNtp::Client: time synchronized with "2.pool.ntp.org".
Sep 14 14:15:08OpenVPN0[UNDEF] Inactivity timeout (--ping-restart), restarting
Sep 14 14:15:08OpenVPN0SIGUSR1[soft,ping-restart] received, process restarting
Sep 14 14:15:08OpenVPN0Restart pause, 5 second(s)
Sep 14 14:15:13OpenVPN0WARNING: --ns-cert-type is DEPRECATED.  Use --remote-cert-tls instead.
Sep 14 14:15:13OpenVPN0TCP/UDP: Preserving recently used remote address: [AF_INET]192.168.30.1:1196
Sep 14 14:15:13OpenVPN0Socket Buffers: R=[155648->155648] S=[155648->155648]
Sep 14 14:15:13OpenVPN0UDP link local: (not bound)
Sep 14 14:15:13OpenVPN0UDP link remote: [AF_INET]192.168.30.1:1196
Sep 14 14:16:13OpenVPN0TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sep 14 14:16:13OpenVPN0TLS Error: TLS handshake failed
Sep 14 14:16:13OpenVPN0SIGTERM[soft,tls-error] received, process exiting
Sep 14 14:16:13ndmService: "OpenVPN0": unexpectedly stopped.

 

Link to comment
Share on other sites

Подключил на домашнем интернете, все плохо(

 

client
dev tun
proto udp
cipher AES-256-CBC
remote 91.191.231.34 1196
resolv-retry infinite
nobind
ncp-disable
persist-key
persist-tun
ns-cert-type server
verb 3
key-direction 1
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----

-----END OpenVPN Static key V1-----
</tls-auth>
<ca>
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----


-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----


-----END PRIVATE KEY-----

</key>
Sep 16 23:18:04OpenVPN0SIGINT[hard,] received, process exiting
Sep 16 23:18:07OpenVPN0OpenVPN 2.4.3 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD]
Sep 16 23:18:07OpenVPN0library versions: OpenSSL 1.0.2l  25 May 2017, LZO 2.10
Sep 16 23:18:07OpenVPN0WARNING: --ns-cert-type is DEPRECATED.  Use --remote-cert-tls instead.
Sep 16 23:18:07OpenVPN0Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sep 16 23:18:07OpenVPN0Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sep 16 23:18:07OpenVPN0TCP/UDP: Preserving recently used remote address: [AF_INET]91.191.231.34:1196
Sep 16 23:18:07OpenVPN0Socket Buffers: R=[155648->155648] S=[155648->155648]
Sep 16 23:18:07OpenVPN0UDP link local: (not bound)
Sep 16 23:18:07OpenVPN0UDP link remote: [AF_INET]91.191.231.34:1196
Sep 16 23:18:07OpenVPN0NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
Sep 16 23:18:07OpenVPN0TLS: Initial packet from [AF_INET]91.191.231.34:1196, sid=9d84a6c5 9d847b60
Sep 16 23:18:07OpenVPN0VERIFY SCRIPT OK: depth=1, C=RU, ST=Sverdlovskaya, L=Yekaterinburg, O=Ural-K, emailAddress=it-adm@tdural-k.ru, CN=tdural-k.ru-ca
Sep 16 23:18:07OpenVPN0VERIFY OK: depth=1, C=RU, ST=Sverdlovskaya, L=Yekaterinburg, O=Ural-K, emailAddress=it-adm@tdural-k.ru, CN=tdural-k.ru-ca
Sep 16 23:18:07OpenVPN0VERIFY OK: nsCertType=SERVER
Sep 16 23:18:07OpenVPN0VERIFY SCRIPT OK: depth=0, C=RU, ST=Sverdlovskaya, L=Yekaterinburg, O=Ural-K, emailAddress=it-adm@tdural-k.ru, CN=ovpns3
Sep 16 23:18:07OpenVPN0VERIFY OK: depth=0, C=RU, ST=Sverdlovskaya, L=Yekaterinburg, O=Ural-K, emailAddress=it-adm@tdural-k.ru, CN=ovpns3
Sep 16 23:18:07OpenVPN0WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1557', remote='link-mtu 1558'
Sep 16 23:18:07OpenVPN0WARNING: 'comp-lzo' is present in remote config but missing in local config, remote='comp-lzo'
Sep 16 23:18:07OpenVPN0Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Sep 16 23:18:07OpenVPN0[ovpns3] Peer Connection Initiated with [AF_INET]91.191.231.34:1196
Sep 16 23:18:07ndmNetwork::Interface::OpenVpn: "OpenVPN0": added host route to remote endpoint 91.191.231.34 via 5.189.60.1.
Sep 16 23:18:08ndmCore::ConfigurationSaver: configuration saved.
Sep 16 23:18:08ndmNetwork::Interface::IP: "GigabitEthernet0/Vlan2": global priority is 700.
Sep 16 23:18:08ndmNetwork::Interface::IP: "OpenVPN0": global priority is 1000.
Sep 16 23:18:08ndmCore::ConfigurationSaver: saving configuration...
Sep 16 23:18:08OpenVPN0SENT CONTROL [ovpns3]: 'PUSH_REQUEST' (status=1)
Sep 16 23:18:08OpenVPN0PUSH: Received control message: 'PUSH_REPLY,route 10.0.8.0 255.255.255.0,route 10.0.9.0 255.255.255.0,route 192.168.20.0 255.255.255.0,route 192.168.30.0 255.255.255.0,route 192.168.33.0 255.255.255.0,dhcp-option DNS 192.168.30.209,route 10.0.10.1,topology net30,ping 10,ping-restart 60,ifconfig 10.0.10.58 10.0.10.57'
Sep 16 23:18:08OpenVPN0OPTIONS IMPORT: timers and/or timeouts modified
Sep 16 23:18:08OpenVPN0OPTIONS IMPORT: --ifconfig/up options modified
Sep 16 23:18:08OpenVPN0OPTIONS IMPORT: route options modified
Sep 16 23:18:08OpenVPN0OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Sep 16 23:18:08OpenVPN0Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Sep 16 23:18:08OpenVPN0Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sep 16 23:18:08OpenVPN0Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Sep 16 23:18:08OpenVPN0Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sep 16 23:18:08OpenVPN0TUN/TAP device tun0 opened
Sep 16 23:18:08OpenVPN0TUN/TAP TX queue length set to 100
Sep 16 23:18:08OpenVPN0do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Sep 16 23:18:08ndmNetwork::Interface::IP: "OpenVPN0": IP address is 10.0.10.58/32.
Sep 16 23:18:08ndmNetwork::Interface::OpenVpn: "OpenVPN0": TUN peer address is 10.0.10.57.
Sep 16 23:18:08ndmNetwork::Interface::OpenVpn: "OpenVPN0": added host route to peer 10.0.10.57 via 10.0.10.58.
Sep 16 23:18:09ndmNetwork::Interface::OpenVpn: "OpenVPN0": install accepted route to 10.0.8.0/255.255.255.0 via 10.0.10.57.
Sep 16 23:18:09ndmNetwork::Interface::OpenVpn: "OpenVPN0": install accepted route to 10.0.9.0/255.255.255.0 via 10.0.10.57.
Sep 16 23:18:09ndmNetwork::Interface::OpenVpn: "OpenVPN0": install accepted route to 192.168.20.0/255.255.255.0 via 10.0.10.57.
Sep 16 23:18:09ndmNetwork::Interface::OpenVpn: "OpenVPN0": install accepted route to 192.168.30.0/255.255.255.0 via 10.0.10.57.
Sep 16 23:18:09ndmNetwork::Interface::OpenVpn: "OpenVPN0": install accepted route to 192.168.33.0/255.255.255.0 via 10.0.10.57.
Sep 16 23:18:09ndmNetwork::Interface::OpenVpn: "OpenVPN0": install accepted route to 10.0.10.1/255.255.255.255 via 10.0.10.57.
Sep 16 23:18:09ndmNetwork::Interface::OpenVpn: "OpenVPN0": adding nameserver 192.168.30.209.
Sep 16 23:18:09ndmDns::Manager: name server 192.168.30.209 added, domain (default).
Sep 16 23:18:09ndmNetwork::RoutingTable: gateway 10.0.10.57 is unreachable via OpenVPN0.
Sep 16 23:18:09ndmNetwork::Interface::OpenVpn: "OpenVPN0": failed to add a nameserver route.
Sep 16 23:18:09OpenVPN0GID set to nobody
Sep 16 23:18:09OpenVPN0UID set to nobody
Sep 16 23:18:09OpenVPN0Initialization Sequence Completed
Sep 16 23:18:12ndmCore::ConfigurationSaver: configuration saved.
Sep 16 23:18:18OpenVPN0write to TUN/TAP : Invalid argument (code=22)
Sep 16 23:20:09OpenVPN0Core::Syslog: last message repeated 11 times.

 

Link to comment
Share on other sites

@Le ecureuil Бага в веб интерфейсе:

Если на OpenVPN интерфейсе повесить флаг ipsec ignore

interface OpenVPN1 ipsec ignore

то веб начинает считать данный интерфейс L2TP/IPSec интерфейсом. После удаления флага работоспособность редактирования в веб OpenVPN интерфейса восстанавливается.

2017-09-19.png.eaf7229c42315bb19a6b5bb9df8c662e.png

59c14f3f35bf8_2017-09-19(1).png.243b8844cff58fde0668a9f480192ff0.png

Edited by r13
  • Thanks 1
Link to comment
Share on other sites

@Le ecureuil При соединении с сервером по ipv6 протоколу в лог вываливается какой-то дамп, но при это все работает.

При коннекте к тому же серверу по ipv4 такого дампа нет

Скрытый текст

Sep 19 20:39:17ndm
Network::Interface::OpenVpn: "OpenVPN0": ERR feedback dump: /tmp/openvpn/OpenVPN0/openvpn-ipchange.
Sep 19 20:39:17ndm
Network::Interface::OpenVpn: "OpenVPN0": argv[0] = '[AF_INET6]2001:****:***:***::1 1194'.
Sep 19 20:39:17ndm
Network::Interface::OpenVpn: "OpenVPN0": env[script_type] = 'ipchange'.
Sep 19 20:39:17ndm
Network::Interface::OpenVpn: "OpenVPN0": env[common_name] = '****'.
Sep 19 20:39:17ndm
Network::Interface::OpenVpn: "OpenVPN0": env[trusted_port] = '1194'.
Sep 19 20:39:17ndm
Network::Interface::OpenVpn: "OpenVPN0": env[trusted_ip6] = '2001:****:***:***::1'.
Sep 19 20:39:17ndm
Network::Interface::OpenVpn: "OpenVPN0": env[untrusted_port] = '1194'.
Sep 19 20:39:17ndm
Network::Interface::OpenVpn: "OpenVPN0": env[untrusted_ip6] = '2001:****:***:***::1'.
Sep 19 20:39:17ndm
Network::Interface::OpenVpn: "OpenVPN0": env[tls_serial_hex_0] = '01'.
Sep 19 20:39:17ndm
Network::Interface::OpenVpn: "OpenVPN0": env[tls_serial_0] = '1'.
Sep 19 20:39:17ndm
Network::Interface::OpenVpn: "OpenVPN0": env[tls_digest_sha256_0] = Sep 19 20:39:17ndm
Network::Interface::OpenVpn: "OpenVPN0": ERR feedback dump: /tmp/openvpn/OpenVPN0/openvpn-ipchange.
Sep 19 20:39:17ndm
Network::Interface::OpenVpn: "OpenVPN0": argv[0] = '[AF_INET6]2001:****:***:***::1 1194'.
Sep 19 20:39:17ndm
Network::Interface::OpenVpn: "OpenVPN0": env[script_type] = 'ipchange'.
Sep 19 20:39:17ndm
Network::Interface::OpenVpn: "OpenVPN0": env[common_name] = '****'.
Sep 19 20:39:17ndm
Network::Interface::OpenVpn: "OpenVPN0": env[trusted_port] = '1194'.
Sep 19 20:39:17ndm
Network::Interface::OpenVpn: "OpenVPN0": env[trusted_ip6] = '2001:****:***:***::1'.
Sep 19 20:39:17ndm
Network::Interface::OpenVpn: "OpenVPN0": env[untrusted_port] = '1194'.
Sep 19 20:39:17ndm
Network::Interface::OpenVpn: "OpenVPN0": env[untrusted_ip6] = '2001:****:***:***::1'.
Sep 19 20:39:17ndm
Network::Interface::OpenVpn: "OpenVPN0": env[tls_serial_hex_0] = '01'.
Sep 19 20:39:17ndm
Network::Interface::OpenVpn: "OpenVPN0": env[tls_serial_0] = '1'.
Sep 19 20:39:17ndm
Network::Interface::OpenVpn: "OpenVPN0": env[tls_digest_sha256_0] =

селф далее

  • Thanks 1
Link to comment
Share on other sites

Все верно.

IPv6 как транспортный протокол вообще не поддерживается, и что у вас что-то работает - большая удача.

А дамп специально выводится в случаях, когда "шеф, усе пропало" чтобы потом мне было проще понять где же именно все пропало в self-test'ах юзеров.

Link to comment
Share on other sites

@Le ecureuil Доброе время суток!

Пытаюсь настроить "Трансляцию сетевых адресов (NAT)" на сервере openvpn, до клиентского порта, со стороны ISP сервера, подскажите может чего дополнительно надо сделать?

Со стороны сервера 10.8.0.2 естественно открывается...  

gfg.png

Edited by ICMP
Link to comment
Share on other sites

18 минут назад, Le ecureuil сказал:

верно настроено

Но почему то не работает, скажите "Трансляция сетевых адресов (NAT)" работает только в сторону lan?

20 минут назад, Le ecureuil сказал:

но я не уверен в том, что вы делаете то, что вам нужно, а не то что вам кажется нужным.

Да я тоже долго голову ломал ,этот вариант самый оптимальный, короче все клиенты на Keenetic и в них usb модемы с серыми адресами, у них клиенты IP камеры, я объединил их и пробрасываю (пытаюсь) с белого IP...

Link to comment
Share on other sites

Блин омогите настроить проброс портов в туннель, чтоб когда из вне обращался к белому ип сервера попадал на клиентов, никак не могу завернуть ответы обратно в туннель...

Link to comment
Share on other sites

Добрый день. 

Тестировал OpenVPN на Keenetic III с прошивкой in_rb_draft_2.10.A.5.0-2 - все работало нормально.

Приобрел Keenetic Lite III rev. B обновил на kl_rh_draft_2.10.A.5.0-2 и последующую 2.11.A.3.0-0 и OpenVPN на том же конфиге перестал работать. Выдает ошибку:

Sep 26 10:48:15OpenVPN0OpenVPN 2.4.3 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD]
Sep 26 10:48:15OpenVPN0library versions: OpenSSL 1.1.0f  25 May 2017, LZO 2.10
Sep 26 10:48:15OpenVPN0WARNING: --ns-cert-type is DEPRECATED.  Use --remote-cert-tls instead.
Sep 26 10:48:15OpenVPN0OpenSSL: error:140AB18E:lib(20):func(171):reason(398)
Sep 26 10:48:15OpenVPN0Cannot load inline certificate file
Sep 26 10:48:15OpenVPN0Exiting due to fatal error
Sep 26 10:48:15ndmService: "OpenVPN0": unexpectedly stopped.

Конфиг клиента:

client
dev tun
proto udp
remote xx.xxx.xxx.xx 11194 (порты до сервера проброшены)
resolv-retry infinite
nobind
persist-key
persist-tun
ns-cert-type server
comp-lzo
verb 3
#askpass

key-direction 1
<tls-auth>
</tls-auth>

<ca>
</ca>

<cert>
</cert>

<key>
</key>

Конфиг сервера, на нем висит 200 клиентов как софтовых, так и на DD-WRT

port 1194
proto udp
dev tun

ca c:\\openvpn\\ssl\\ca.crt
cert c:\\openvpn\\ssl\\server.crt
key c:\\openvpn\\ssl\\server.key 
dh c:\\openvpn\\ssl\\dh1024.pem

client-to-client
topology subnet

server 172.16.0.0 255.255.248.0

management 127.0.0.1 54321

ifconfig-pool-persist ipp.txt

push "dhcp-option DNS 172.16.0.1"

keepalive 10 60
tls-auth c:\\openvpn\\ssl\\ta.key 0 # This file is secret
cipher BF-CBC        # Blowfish (default)

comp-lzo

mssfix

max-clients 500
persist-key
persist-tun
status c:\\openvpn\\log\\status.log
log-append c:\\openvpn\\log\\openvpn.log
verb 4
;mute 20

Сейф-тест роутера:

 

Link to comment
Share on other sites

5 часов назад, Byuri сказал:

Добрый день. 

Тестировал OpenVPN на Keenetic III с прошивкой in_rb_draft_2.10.A.5.0-2 - все работало нормально.

Приобрел Keenetic Lite III rev. B обновил на kl_rh_draft_2.10.A.5.0-2 и последующую 2.11.A.3.0-0 и OpenVPN на том же конфиге перестал работать. Выдает ошибку:


Sep 26 10:48:15OpenVPN0OpenVPN 2.4.3 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD]
Sep 26 10:48:15OpenVPN0library versions: OpenSSL 1.1.0f  25 May 2017, LZO 2.10
Sep 26 10:48:15OpenVPN0WARNING: --ns-cert-type is DEPRECATED.  Use --remote-cert-tls instead.
Sep 26 10:48:15OpenVPN0OpenSSL: error:140AB18E:lib(20):func(171):reason(398)
Sep 26 10:48:15OpenVPN0Cannot load inline certificate file
Sep 26 10:48:15OpenVPN0Exiting due to fatal error
Sep 26 10:48:15ndmService: "OpenVPN0": unexpectedly stopped.

Конфиг клиента:


client
dev tun
proto udp
remote xx.xxx.xxx.xx 11194 (порты до сервера проброшены)
resolv-retry infinite
nobind
persist-key
persist-tun
ns-cert-type server
comp-lzo
verb 3
#askpass

key-direction 1
<tls-auth>
</tls-auth>

<ca>
</ca>

<cert>
</cert>

<key>
</key>

Конфиг сервера, на нем висит 200 клиентов как софтовых, так и на DD-WRT


port 1194
proto udp
dev tun

ca c:\\openvpn\\ssl\\ca.crt
cert c:\\openvpn\\ssl\\server.crt
key c:\\openvpn\\ssl\\server.key 
dh c:\\openvpn\\ssl\\dh1024.pem

client-to-client
topology subnet

server 172.16.0.0 255.255.248.0

management 127.0.0.1 54321

ifconfig-pool-persist ipp.txt

push "dhcp-option DNS 172.16.0.1"

keepalive 10 60
tls-auth c:\\openvpn\\ssl\\ta.key 0 # This file is secret
cipher BF-CBC        # Blowfish (default)

comp-lzo

mssfix

max-clients 500
persist-key
persist-tun
status c:\\openvpn\\log\\status.log
log-append c:\\openvpn\\log\\openvpn.log
verb 4
;mute 20

 

Ваши сертификаты подписаны MD5, и новый OpenSSL считает эту подпись слишком слабой - потому и не дает коннекта.

Подробности здесь:

https://forums.openvpn.net/viewtopic.php?t=23979

Вообще я с ними согласен, неплохо бы перевыпустить сертификаты с SHA256 (SHA1 тоже уже устарел), но в качестве обходного решения попробуйте добавить

tls-cipher "DEFAULT:@SECLEVEL=0"

в конфиг OpenVPN для обхода ситуации.

  • Upvote 1
Link to comment
Share on other sites

50 минут назад, Le ecureuil сказал:

Ваши сертификаты подписаны MD5, и новый OpenSSL считает эту подпись слишком слабой - потому и не дает коннекта.

Подробности здесь:

https://forums.openvpn.net/viewtopic.php?t=23979

Вообще я с ними согласен, неплохо бы перевыпустить сертификаты с SHA256 (SHA1 тоже уже устарел), но в качестве обходного решения попробуйте добавить

tls-cipher "DEFAULT:@SECLEVEL=0"

в конфиг OpenVPN для обхода ситуации.

Добавление опции не помогло. Ошибка осталась. 

Последовал рекомендации в данной Вами ссылке:

Цитата

I circumvented/fixed the problem by editing the openssl-1.0.0.cnf file in my easy-rsa directory and changing "default_md" from md5 to sha256 and then regenerating my certificates.

После этого заработало, с сервером соединилось.

Спасибо за помощь. 

Link to comment
Share on other sites

  • 2 weeks later...

Добрый день, не увидел в теме. Подскажите пожалуйста мне нужно подключится по openvpn как клиент(приобрёл на месяц). Сейчас обновился на своём до 2.11.A.4.0-0. Как мне ввести логин и пароль для доступа? или это нужно как-то прописать?


client
dev tun
proto udp
remote xxx.xxxx.xxxxx.xxx
resolv-retry infinite
remote-random
nobind
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
persist-key
persist-tun
ping 15
ping-restart 0
ping-timer-rem
reneg-sec 0
explicit-exit-notify 3

remote-cert-tls server

#mute 10000
auth-user-pass

comp-lzo
verb 3
pull
fast-io
cipher AES-256-CBC

<ca>
-----BEGIN CERTIFICATE-----
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
-----END CERTIFICATE-----
</ca>
key-direction 1
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
-----END OpenVPN Static key V1-----
</tls-auth>

Link to comment
Share on other sites

2 часа назад, Dream сказал:

Добрый день, не увидел в теме. Подскажите пожалуйста мне нужно подключится по openvpn как клиент(приобрёл на месяц). Сейчас обновился на своём до 2.11.A.4.0-0. Как мне ввести логин и пароль для доступа? или это нужно как-то прописать?


client
dev tun
proto udp
remote xxx.xxxx.xxxxx.xxx
resolv-retry infinite
remote-random
nobind
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
persist-key
persist-tun
ping 15
ping-restart 0
ping-timer-rem
reneg-sec 0
explicit-exit-notify 3

remote-cert-tls server

#mute 10000
auth-user-pass

comp-lzo
verb 3
pull
fast-io
cipher AES-256-CBC

<ca>
-----BEGIN CERTIFICATE-----
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
-----END CERTIFICATE-----
</ca>
key-direction 1
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
-----END OpenVPN Static key V1-----
</tls-auth>

Строку 

Цитата

auth-user-pass

в вашем конфиге замените на

<auth-user-pass>
login
password
</auth-user-pass>

И с таким конфигом все должно работать (не забудьте про галочку "получать маршруты от сервера").

Link to comment
Share on other sites

Доброго всем. Вопрос небольшой. 
Есть сетка с сервером OpenVPN 192.168.0.x (Pfsense)
Шлюз OpenVPN  10.0.6.1-10.0.6.2, tun
Сетка с клиентом OpenVPN, 192.168.6.x (Keenetic III, 2.11.A.4.0-0)

Как бы всё работает, в обе стороны, пингуется, открывается. Есть одно но: Компы за Кинетиком выходят в сетку с сервером под адресом OpenVPN, т.е. 10.0.6.2. Всё бы ничего, но голос VoIP в сторону Кинетика не проходит. Так было и на версии 2.08 с Entware.

Я уж интерфейс OpenVPN0 сделал private, и "no ip nat OpenVPN0", всё равно...

К этому же серверу подключено куча клиентов, и на dd-wrt, и на Giga II c v2.06(AAFS.7)C2. На них всё нормально, клиенты приходят со своими IP. 
Конфиг клиента: 

Скрытый текст

remote xxx 1200
port 1200
dev tun
proto udp
nobind
persist-tun
cipher AES-128-CBC
verb 3
comp-lzo
keepalive 15 60
ifconfig 10.0.6.2 10.0.6.1
route 192.168.0.0 255.255.255.0
<secret>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
...
-----END OpenVPN Static key V1-----
</secret>

Это что-то в прошивках после 2.06 поменялось? Возможно ли поправить?

Edited by parkan
Add
Link to comment
Share on other sites

Спасибо большое) Только проблема возникла очень странная, я подключился как клиент, 5 сек соединение работало и всё) Такое ощущение openvpn забирает полностью соединение и отключает основное. Приоритет приходится выставлять равный основному подключению, иначе соединение остаётся резервным. После того как подключается тут же теряет соединение, ставишь для openvpn меньше значение перекидывает на основное соединение и связь восстанавливается

Скрытый текст

 

Oct 06 08:01:46ndm
Network::Interface::Supplicant: "OpenVPN0": authnentication is unchanged.
Oct 06 08:01:47ndm
Network::Interface::Base: "OpenVPN0": description saved.
Oct 06 08:01:47ndm
Network::Interface::IP: "OpenVPN0": IP address cleared.
Oct 06 08:01:47ndm
Network::Interface::IP: "OpenVPN0": global priority enabled.
Oct 06 08:01:47ndm
Network::Interface::IP: "OpenVPN0": TCP-MSS adjustment enabled.
Oct 06 08:01:47ndm
Network::Interface::OpenVpn: "OpenVPN0": configuration successfully saved.
Oct 06 08:01:47ndm
Network::Interface::OpenVpn: "OpenVPN0": enable automatic routes accept via tunnel.
Oct 06 08:01:47ndm
Network::Interface::OpenVpn: "OpenVPN0": set connection via any interface.
Oct 06 08:01:47ndm
Network::Interface::Base: "OpenVPN0": interface is up.
Oct 06 08:01:47ndm
Network::Interface::Base: "OpenVPN0": schedule cleared.
Oct 06 08:01:47ndm
Core::ConfigurationSaver: saving configuration...
Oct 06 08:01:48ndm
Network::Interface::IP: "OpenVPN0": IP address cleared.
Oct 06 08:01:48OpenVPN0
event_wait : Interrupted system call (code=4)
Oct 06 08:01:48OpenVPN0
Closing TUN/TAP interface
Oct 06 08:01:48OpenVPN0
SIGINT[hard,] received, process exiting
Oct 06 08:01:51OpenVPN0
OpenVPN 2.4.4 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD]
Oct 06 08:01:51OpenVPN0
library versions: OpenSSL 1.1.0f 25 May 2017, LZO 2.10
Oct 06 08:01:51OpenVPN0
WARNING: --ping should normally be used with --ping-restart or --ping-exit
Oct 06 08:01:51OpenVPN0
Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Oct 06 08:01:51OpenVPN0
Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Oct 06 08:01:51OpenVPN0
TCP/UDP: Preserving recently used remote address: [AF_INET]91.210.105.101:1194
Oct 06 08:01:51OpenVPN0
Socket Buffers: R=[155648->155648] S=[155648->155648]
Oct 06 08:01:51OpenVPN0
UDP link local: (not bound)
Oct 06 08:01:51OpenVPN0
UDP link remote: [AF_INET]91.210.105.101:1194
Oct 06 08:01:51OpenVPN0
NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
Oct 06 08:01:51OpenVPN0
TLS: Initial packet from [AF_INET]91.210.105.101:1194, sid=XXXXXXX XXXXXXX
Oct 06 08:01:51OpenVPN0
VERIFY SCRIPT OK: depth=1, C=PA, ST=PA, L=Panama, O=NordVPN, OU=NordVPN, CN=ru3.nordvpn.com, name=NordVPN, emailAddress=cert@nordvpn.com
Oct 06 08:01:51OpenVPN0
VERIFY OK: depth=1, C=PA, ST=PA, L=Panama, O=NordVPN, OU=NordVPN, CN=ru3.nordvpn.com, name=NordVPN, emailAddress=cert@nordvpn.com
Oct 06 08:01:51OpenVPN0
VERIFY KU OK
Oct 06 08:01:51OpenVPN0
Validating certificate extended key usage
Oct 06 08:01:51OpenVPN0
++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Oct 06 08:01:51OpenVPN0
VERIFY EKU OK
Oct 06 08:01:51OpenVPN0
VERIFY SCRIPT OK: depth=0, C=PA, ST=PA, L=Panama, O=NordVPN, OU=NordVPN, CN=ru3.nordvpn.com, name=NordVPN, emailAddress=cert@nordvpn.com
Oct 06 08:01:51OpenVPN0
VERIFY OK: depth=0, C=PA, ST=PA, L=Panama, O=NordVPN, OU=NordVPN, CN=ru3.nordvpn.com, name=NordVPN, emailAddress=cert@nordvpn.com
Oct 06 08:01:52OpenVPN0
Control Channel: TLSv1.2, cipher TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Oct 06 08:01:52OpenVPN0
[ru3.nordvpn.com] Peer Connection Initiated with [AF_INET]91.210.105.101:1194
Oct 06 08:01:52ndm
Network::Interface::OpenVpn: "OpenVPN0": added host route to remote endpoint 91.210.105.101 via 192.168.2.1.
Oct 06 08:01:52ndm
Core::ConfigurationSaver: configuration saved.
Oct 06 08:01:53OpenVPN0
SENT CONTROL [ru3.nordvpn.com]: 'PUSH_REQUEST' (status=1)
Oct 06 08:01:53OpenVPN0
PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1,sndbuf 524288,rcvbuf 524288,dhcp-option DNS 78.46.223.24,dhcp-option DNS 162.242.211.137,route-gateway 10.8.8.1,topology subnet,ping 60,ping-restart 180,ifconfig 10.8.8.126 255.255.255.0,peer-id 12,cipher AES-256-GCM'
Oct 06 08:01:53OpenVPN0
OPTIONS IMPORT: timers and/or timeouts modified
Oct 06 08:01:53OpenVPN0
OPTIONS IMPORT: --sndbuf/--rcvbuf options modified
Oct 06 08:01:53OpenVPN0
Socket Buffers: R=[155648->1048576] S=[155648->1048576]
Oct 06 08:01:53OpenVPN0
OPTIONS IMPORT: --ifconfig/up options modified
Oct 06 08:01:53OpenVPN0
OPTIONS IMPORT: route options modified
Oct 06 08:01:53OpenVPN0
OPTIONS IMPORT: route-related options modified
Oct 06 08:01:53OpenVPN0
OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Oct 06 08:01:53OpenVPN0
OPTIONS IMPORT: peer-id set
Oct 06 08:01:53OpenVPN0
OPTIONS IMPORT: adjusting link_mtu to 1657
Oct 06 08:01:53OpenVPN0
OPTIONS IMPORT: data channel crypto options modified
Oct 06 08:01:53OpenVPN0
Data Channel: using negotiated cipher 'AES-256-GCM'
Oct 06 08:01:53OpenVPN0
Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Oct 06 08:01:53OpenVPN0
Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Oct 06 08:01:53OpenVPN0
TUN/TAP device tun0 opened
Oct 06 08:01:53OpenVPN0
TUN/TAP TX queue length set to 100
Oct 06 08:01:53OpenVPN0
do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Oct 06 08:01:53ndm
Network::Interface::IP: "OpenVPN0": IP address is 10.8.8.126/24.
Oct 06 08:01:53ndm
Network::Interface::OpenVpn: "OpenVPN0": install accepted default route via 10.8.8.1.
Oct 06 08:01:54ndm
Network::Interface::OpenVpn: "OpenVPN0": adding nameserver 78.46.223.24.
Oct 06 08:01:54ndm
Dns::Manager: name server 78.46.223.24 added, domain (default).
Oct 06 08:01:54ndm
Network::Interface::OpenVpn: "OpenVPN0": add route to nameserver 78.46.223.24 via 0.0.0.0 (OpenVPN0).
Oct 06 08:01:54ndm
Network::Interface::OpenVpn: "OpenVPN0": adding nameserver 162.242.211.137.
Oct 06 08:01:54ndm
Dns::Manager: name server 162.242.211.137 added, domain (default).
Oct 06 08:01:54ndm
Network::Interface::OpenVpn: "OpenVPN0": add route to nameserver 162.242.211.137 via 0.0.0.0 (OpenVPN0).
Oct 06 08:01:54OpenVPN0
GID set to nobody
Oct 06 08:01:54OpenVPN0
UID set to nobody
Oct 06 08:01:54OpenVPN0
Initialization Sequence Completed
Oct 06 08:01:54ndm
kernel: IPv4 conntrack wan: flushed 65 entries with address 192.168.2.10
Oct 06 08:01:54ndm
Network::InterfaceFlusher: flushed FastEthernet0/Vlan2 conntrack and route cache.
Oct 06 08:01:54upnp
shutting down MiniUPnPd
Oct 06 08:01:54ndm
Core::Server: client disconnected.
Oct 06 08:01:56ndm
Core::Server: started Session /var/run/ndm.core.socket.
Oct 06 08:01:56upnp
HTTP listening on port 41984
Oct 06 08:01:56upnp
Listening for NAT-PMP/PCP traffic on port 5351
Oct 06 08:02:20ndm
Network::InternetChecker: Internet access is disappeared.
Oct 06 08:02:28ndm
Cloud::Agent: can not connect to the cloud server.

 

 
Edited by Dream
Link to comment
Share on other sites

18 часов назад, parkan сказал:

Доброго всем. Вопрос небольшой. 
Есть сетка с сервером OpenVPN 192.168.0.x (Pfsense)
Шлюз OpenVPN  10.0.6.1-10.0.6.2, tun
Сетка с клиентом OpenVPN, 192.168.6.x (Keenetic III, 2.11.A.4.0-0)

Как бы всё работает, в обе стороны, пингуется, открывается. Есть одно но: Компы за Кинетиком выходят в сетку с сервером под адресом OpenVPN, т.е. 10.0.6.2. Всё бы ничего, но голос VoIP в сторону Кинетика не проходит. Так было и на версии 2.08 с Entware.

Я уж интерфейс OpenVPN0 сделал private, и "no ip nat OpenVPN0", всё равно...

К этому же серверу подключено куча клиентов, и на dd-wrt, и на Giga II c v2.06(AAFS.7)C2. На них всё нормально, клиенты приходят со своими IP. 
Конфиг клиента: 

  Показать содержимое

Это что-то в прошивках после 2.06 поменялось? Возможно ли поправить?

Попробуйте отключить nat loopback.

 

Link to comment
Share on other sites

Здравствуйте!

У меня Keenetic Omni с прошивкой 2.11 в связке с 4g модемом. Задача сделать так, чтобы интернет на домашнюю сеть раздавался только через впн, а пока впн соединения нет чтобы устройства из домашней сети не ломились через модем. В настройках модема нет галочки, чтобы отключить раздачу интернета. Решил это удалив строку ip global в файле startup-config, Пока использовал L2TP всё работало как надо, соединение шло через не раздающий интернет модем, весь остальной трафик ждал установления соединение.

Сейчас захотел настроить OpenVPN, но он не видит модема, в логах пишет что не может через него соединиться с сервером. Работает всё очень странным образом - сначала поднимаю L2TP, а уже через него соединяется OpenVPN. 2017-10-06_21-44-09.jpg.356c3acde061b7776bfcb5af0b7a6f1c.jpg

Если потом разорвать OpenVPN, то L2TP не становится активным, остается серым, хотя чекпинг пишет что интерфейс доступен. В тоже время OpenVPN снова не может соединиться, так как L2TP и модем остаются серыми.

2017-10-06_22-19-28.jpg.8ff5b625e78032d7d9886d77097152a5.jpg

Если пересчелкнуть вручную L2TP, то он снова становится зеленым, и следом подгружается OpenVPN.

Не могли бы вы подправить прошивку, чтобы если чекпинг говорит что интернет доступен, то и OpenVPN могло пользоваться, как L2TP. Или хотябы чтобы L2TP становился зеленым после отключения OpenVPN.

Надеюсь не сильно запутал..

 

Edited by alexxx0677
  • Need more info 1
Link to comment
Share on other sites

7 часов назад, Le ecureuil сказал:

Попробуйте отключить nat loopback.

 

(config)> interface OpenVPN0 no ip nat loopback
Network::StaticNat: NAT loopback is explicitly disabled on "OpenVPN0".

Сделал, сохранил, перезагрузил,  не помогло. Все устройства так же выходят под 10.0.6.2.

Может поможет: маршруты с работающей Giga II на 2.06: 
 

~ # route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.110.1      *               255.255.255.255 UH    0      0        0 tun0
192.168.0.0     10.0.110.1      255.255.255.0   UG    0      0        0 tun0
192.168.110.0   *               255.255.255.0   U     0      0        0 br0
10.200.44.0     *               255.255.252.0   U     0      0        0 eth2.2
default         10.200.44.1     0.0.0.0         UG    0      0        0 eth2.2
...

И с "продлемного" Кин. III на 2.11: (почему-то 10.0.6.1 идет через 10.0.6.2)
 

~ # route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         10.20.0.1       0.0.0.0         UG    0      0        0 eth2.2
10.0.6.1        10.0.6.2        255.255.255.255 UGH   0      0        0 ovpn_br0
10.20.0.0       *               255.252.0.0     U     0      0        0 eth2.2
192.168.0.0     10.0.6.1        255.255.255.0   UG    0      0        0 ovpn_br0
192.168.6.0     *               255.255.255.0   U     0      0        0 br0
~ #

 

 

Edited by parkan
add
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...