Вопросы по интеграции OpenVPN в NDMS

[Le ecureuil]

В 12/20/2017 в 21:33, Вежливый Снайпер сказал:

Похоже эту проблему решать не собираются?! Жаль нельзя OpenWRT накатить, нормальные прошивки только для тплинков делают ((

Это не проблема, а особенность настроки вашего сервиса OpenVPN. Однако никто не мешает вам немного подумать и настроить все руками.

Вполне можете сами удалить из DNS-proxy удалить все сторонние адреса и запретить их добавление + добавить только IP DNS, которые резолвятся только через туннель.

Делать для этого автоматику немного проблематично, потому что у многих DNS-proxy еще отвечает за Yandex/SkyDNS.

[Денис Бузин]

Цитата

Клиент OpenVPN с версии 2.10 (кроме Keenetic Omni, Omni II, 4G III revA/B)

Как понимаю клиент OpenVPN на Omni 2 получить невозможно?

Edited January 3, 2018 by Денис Бузин

[kavtemp]

Пытаюсь создать OpenVPN сервер типа tap.

Конфиг сервера:

tls-server
port 1194
proto udp
dev tap0
server_bridge 192.168.12.1 255.255.255.0 192.168.12.32 192.168.12.40
push 'dhcp-option DNS 192.168.12.1'
push 'redirect-gateway def1'
push 'route 192.168.12.0 255.255.255.0'
push 'route-gateway 192.168.12.1'
comp-lzo yes
keepalive 10 120
persist-key
persist-tun
verb 3

<ca>
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE----- 
</ca>

<dh>
-----BEGIN DH PARAMETERS-----

-----END DH PARAMETERS----- 
</dh>

<cert>
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN PRIVATE KEY-----

-----END PRIVATE KEY----- 
</key>

 

Конфиг клиента:

dev tap
client
proto udp
remote XXX.net 1194
resolv-retry infinite
mute-replay-warnings
comp-lzo
verb 3
keepalive 10 120
persist-key
persist-tun
nobind
ca ca.crt
cert crt.crt
key key.key

 

На старом кинетике с прошивкой OpenWRT всё работало. На новом Extra II подключается отлично, но в итоге ничего не работает. Может что-то еще нужно прописать/настроить?

[Le ecureuil]

В 1/4/2018 в 15:39, kavtemp сказал:

Пытаюсь создать OpenVPN сервер типа tap.

Конфиг сервера:

tls-server
port 1194
proto udp
dev tap0
server_bridge 192.168.12.1 255.255.255.0 192.168.12.32 192.168.12.40
push 'dhcp-option DNS 192.168.12.1'
push 'redirect-gateway def1'
push 'route 192.168.12.0 255.255.255.0'
push 'route-gateway 192.168.12.1'
comp-lzo yes
keepalive 10 120
persist-key
persist-tun
verb 3

<ca>
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE----- 
</ca>

<dh>
-----BEGIN DH PARAMETERS-----

-----END DH PARAMETERS----- 
</dh>

<cert>
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN PRIVATE KEY-----

-----END PRIVATE KEY----- 
</key>

 

Конфиг клиента:

dev tap
client
proto udp
remote XXX.net 1194
resolv-retry infinite
mute-replay-warnings
comp-lzo
verb 3
keepalive 10 120
persist-key
persist-tun
nobind
ca ca.crt
cert crt.crt
key key.key

 

На старом кинетике с прошивкой OpenWRT всё работало. На новом Extra II подключается отлично, но в итоге ничего не работает. Может что-то еще нужно прописать/настроить?

Скорее всего да, нужно. На OpenWRT можно не кивать, реализация отличается кардинально.

Опишите, что вы хотите получить в итоге.

[kavtemp]

9 часов назад, Le ecureuil сказал:

Скорее всего да, нужно. На OpenWRT можно не кивать, реализация отличается кардинально.

Опишите, что вы хотите получить в итоге.

Дома есть DLNA сервер. Нужно сделать VPN-сервер, чтобы DLNA работал и на VPN-клиентах. Фактически клиент должен попадать прямо внутрь домашней сети

[Le ecureuil]

Тогда сделайте простой tap-сервер, но без раздачи адресов, и засуньте его в мост Home командой
> interface Home include OpenVPN0
Получите желаемое. Адреса будет раздавать DHCP-сервер кинетика.

[kavtemp]

28 минут назад, Le ecureuil сказал:

Тогда сделайте простой tap-сервер, но без раздачи адресов, и засуньте его в мост Home командой
> interface Home include OpenVPN0
Получите желаемое. Адреса будет раздавать DHCP-сервер кинетика.

Спасибо большое! Всё заработало

[Денис Бузин]

В 03.01.2018 в 21:51, Денис Бузин сказал:

Как понимаю клиент OpenVPN на Omni 2 получить невозможно?

Отвечу сам на свой вопрос: OpenVPN клиент в Omni 2 присутствует.

[esetnod]

Какие-то странные проблемы при работе по UDP, соединяется через раз, после старта роутера может часами не соединяться, потом таки подключиться.

Ошибки а-ля  [AF_INET] failed, will try again in 5 seconds. По TCP проблем нет, в то же время, при подключении с компа по UDP также никаких проблем нет, связь стабильная.

Куда копать?

Edited January 13, 2018 by esetnod

[Le ecureuil]

В 1/13/2018 в 08:00, esetnod сказал:

Какие-то странные проблемы при работе по UDP, соединяется через раз, после старта роутера может часами не соединяться, потом таки подключиться.

Ошибки а-ля  [AF_INET] failed, will try again in 5 seconds. По TCP проблем нет, в то же время, при подключении с компа по UDP также никаких проблем нет, связь стабильная.

Куда копать?

Нужно хотя бы с self-test начать в таком случае.

Может у вас провайдер включил DPI и блокирует OpenVPN?

[esetnod]

Ну с компа же нормально ходит, на тот же сервер и с тем же конфигом, через тот же линк 

Тест попробую.

[rert03]

Решил тут написать, чтобы не плодить темы про openVPN, если ошибся, поправьте пожалуйста куда идти.

Возникла острая необходимость в этом виде подключения.

Сервером выступает Start II клиентом Giga III внутри одного провайдера. Соединение по WISP. 

На стороне клиента не устанавливается ip, постоянно дёргается. Само соединение на клиенте горит серым. Записи в журнале при этом:

Скрытый текст

 

Jan 16 06:38:07OpenVPN0

RESOLVE: Cannot resolve host address: KEENETIC-1.mykeenetic.ru:<--192.168.124.118 (Servname not supported for ai_socktype)

Jan 16 06:38:07OpenVPN0

Could not determine IPv4/IPv6 protocol

Jan 16 06:38:07OpenVPN0

GID set to nobody

Jan 16 06:38:07OpenVPN0

UID set to nobody

Jan 16 06:38:07OpenVPN0

Closing TUN/TAP interface

Jan 16 06:38:07OpenVPN0

SIGUSR1[soft,init_instance] received, process restarting

Jan 16 06:38:07OpenVPN0

Restart pause, 5 second(s)

Jan 16 06:38:08ndm

Network::Interface::OpenVpn: "OpenVPN0": system failed [0xcffd0820], unable to set down tunnel interface: no such device.

Jan 16 06:38:08ndm

Network::Interface::IP: "OpenVPN0": IP address cleared.

Jan 16 06:38:08OpenVPN0

SIGINT[hard,init_instance] received, process exiting

 

На стороне сервера нет ошибок.

Конфиг для сервера как есть:

Скрытый текст

dev tun
ifconfig 10.31.0.1 10.31.0.2
cipher AES-128-CBC
<secret>
  <--#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
39ff83bce1eee6bbfe5cfc79574dc33d
17aa55b6924c7cf997fbc5756de3f7bf
d6d2f77af643e88f1398efdf412c7590
f4e128cb4dad3200450be31784238970
4c3d7a251c4f44b71ee334bd3de97c83
557402f106ed4baa8a82442add73a1f4
60067903bbaa0fedeb607cae0878ec16
b465d640cd0de8e3267a116bce505782
54a1ac2a9cecfb76f3a2680dd7e85744
c7b9beda0265bd59bd6a7b25b9f74ab1
96395729a648dbab82183b53e896dd39
33a9a4cc7efa948eccdeb98e078c521e
1f525b7ee79593b11e4e063991921967
7bfde24160f555a3090cdacac7fc3a98
c9337f991e2681012dc8de29b5d8e2f6
5d45ee03ba1218ba30afc963caa46fdc
-----END OpenVPN Static key V1-----
</secret>
verb 3
route 192.168.1.0 255.255.255.0

Конфиг для клиента как есть:

Скрытый текст

dev tun
remote KEENETIC-1.mykeenetic.ru <--192.168.124.118
ifconfig 10.31.0.2 10.31.0.1
cipher AES-128-CBC
<secret>
  <--#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
39ff83bce1eee6bbfe5cfc79574dc33d
17aa55b6924c7cf997fbc5756de3f7bf
d6d2f77af643e88f1398efdf412c7590
f4e128cb4dad3200450be31784238970
4c3d7a251c4f44b71ee334bd3de97c83
557402f106ed4baa8a82442add73a1f4
60067903bbaa0fedeb607cae0878ec16
b465d640cd0de8e3267a116bce505782
54a1ac2a9cecfb76f3a2680dd7e85744
c7b9beda0265bd59bd6a7b25b9f74ab1
96395729a648dbab82183b53e896dd39
33a9a4cc7efa948eccdeb98e078c521e
1f525b7ee79593b11e4e063991921967
7bfde24160f555a3090cdacac7fc3a98
c9337f991e2681012dc8de29b5d8e2f6
5d45ee03ba1218ba30afc963caa46fdc
-----END OpenVPN Static key V1-----
</secret>
verb 3
route 192.168.221.0 255.255.255.0

Все делал по  статье

Что я недопонял?

Self test пока не прикрепляю, так как уверен что ошибся с конфигом где-то...

 

 

 

 

 

 

 

Edited January 16, 2018 by rert03

[rert03]

Только что, rert03 сказал:

внутри одного провайдера

Лишняя фраза, извиняюсь.

[r13]

1 час назад, rert03 сказал:

 

 

<--192.168.124.118

Эту часть из кофига клиента удалите. 

Оставьте либо доменное имя либо ip адрес. 

И вот это «  <-- « в ключе

Edited January 16, 2018 by r13

[rert03]

Только что, r13 сказал:

Эту часть из кофига клиента удалите. 

А как тогда должна правильно писаться строка, если у меня ip ?

Делал-же по статье, как там.

[r13]

9 минут назад, rert03 сказал:

А как тогда должна правильно писаться строка, если у меня ip ?

Делал-же по статье, как там.

remote 1.1.1.1

В статье это коментарии

Edited January 16, 2018 by r13

[rert03]

Да, благодарю.

Туннель вроде поднялся, инет то есть то нет, прыгает. и Пинги не ходят ни в какую сторону ни на однин ip.

Вот текущий конфиг для сервера:

Скрытый текст

dev tun
ifconfig 10.3.0.1 10.3.0.2
cipher AES-128-CBC
<secret>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
39ff83bce1eee6bbfe5cfc79574dc33d
17aa55b6924c7cf997fbc5756de3f7bf
d6d2f77af643e88f1398efdf412c7590
f4e128cb4dad3200450be31784238970
4c3d7a251c4f44b71ee334bd3de97c83
557402f106ed4baa8a82442add73a1f4
60067903bbaa0fedeb607cae0878ec16
b465d640cd0de8e3267a116bce505782
54a1ac2a9cecfb76f3a2680dd7e85744
c7b9beda0265bd59bd6a7b25b9f74ab1
96395729a648dbab82183b53e896dd39
33a9a4cc7efa948eccdeb98e078c521e
1f525b7ee79593b11e4e063991921967
7bfde24160f555a3090cdacac7fc3a98
c9337f991e2681012dc8de29b5d8e2f6
5d45ee03ba1218ba30afc963caa46fdc
-----END OpenVPN Static key V1-----
</secret>
verb 3
route 192.168.1.0 255.255.255.0

И для клиента:

Скрытый текст

dev tun
remote 10.25.1.1
ifconfig 10.3.0.2 10.3.0.1
cipher AES-128-CBC
<secret>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
39ff83bce1eee6bbfe5cfc79574dc33d
17aa55b6924c7cf997fbc5756de3f7bf
d6d2f77af643e88f1398efdf412c7590
f4e128cb4dad3200450be31784238970
4c3d7a251c4f44b71ee334bd3de97c83
557402f106ed4baa8a82442add73a1f4
60067903bbaa0fedeb607cae0878ec16
b465d640cd0de8e3267a116bce505782
54a1ac2a9cecfb76f3a2680dd7e85744
c7b9beda0265bd59bd6a7b25b9f74ab1
96395729a648dbab82183b53e896dd39
33a9a4cc7efa948eccdeb98e078c521e
1f525b7ee79593b11e4e063991921967
7bfde24160f555a3090cdacac7fc3a98
c9337f991e2681012dc8de29b5d8e2f6
5d45ee03ba1218ba30afc963caa46fdc
-----END OpenVPN Static key V1-----
</secret>
verb 3
route 192.168.220.0 255.255.252.0

И тот ip который был присвоен по WISP теперь не доступен. Отключаю openVPN на сервере и клиент становиться доступен по этому ip.

 

Edited January 16, 2018 by rert03

[rert03]

Вообще у меня какой-то бред с этим подключением выходит.

Вот что я постоянно наблюдаю во вкладке подключения:

 

Скрытый текст

 

А это постоянно, но если обновить страницу, на пару секунд будет активно с присвоенным ip:

сис монитор.bmp

 

 

 

 

Эо при том, что на стороне сервера подключение дезактивировано (галка включить снята)

[Alezzzander]

Здравствуйте!

Подскажите,возможно ли использовать openvpn-клиент только для доступа к определенным белым ip,а весь остальной трафик пускать в обход тунелля?

[Le ecureuil]

6 часов назад, Alezzzander сказал:

Здравствуйте!

Подскажите,возможно ли использовать openvpn-клиент только для доступа к определенным белым ip,а весь остальной трафик пускать в обход тунелля?

Да, делаете его public и global (но приоритетом ниже, чем ваш WAN), а затем прописываете роутинг на эти адреса через туннель. Готово.

[Le ecureuil]

В 1/16/2018 в 10:42, rert03 сказал:

Вообще у меня какой-то бред с этим подключением выходит.

Вот что я постоянно наблюдаю во вкладке подключения:

 

  Показать содержимое

 

А это постоянно, но если обновить страницу, на пару секунд будет активно с присвоенным ip:

сис монитор.bmp

 

 

 

 

Эо при том, что на стороне сервера подключение дезактивировано (галка включить снята)

OpenVPN вышел в релиз, попробуйте сперва с техподдержкой поговорить по этому поводу.

Я здесь только явные проблемы или тонкости с интеграцией в NDMS обсуждаю, вопросы конфигурации теперь не ко мне.

[r13]

15 минут назад, Le ecureuil сказал:

Да, делаете его public и global (но приоритетом ниже, чем ваш WAN), а затем прописываете роутинг на эти адреса через туннель. Готово.

Для общего развития, а global его делать зачем?

[Le ecureuil]

2 минуты назад, r13 сказал:

Для общего развития, а global его делать зачем?

В данном случае особой необходимости нет, можно и не делать.

[Keenetic]

OpenVPN-сервер будет реализован?

[r13]

5 минут назад, ydzhus сказал:

OpenVPN-сервер будет реализован?

Он изначально был реализован, почитайте тему.

[Keenetic]

3 минуты назад, r13 сказал:

Он изначально был реализован, почитайте тему.

Сейчас рнализован только клиент

[Le ecureuil]

Только что, ydzhus сказал:

Сейчас рнализован только клиент

Не пишите ерунды, сервер тоже работает, еще с 2.10. Надо только составить правильный конфиг.

Начните копать отсюда: https://help.keenetic.net/hc/ru/articles/115005822629-OpenVPN-сервер-на-Keenetic

[ShadoW]

Название компонента - Клиент OpenVPN. Оно и вносит сумятицу

[Keenetic]

10 минут назад, Le ecureuil сказал:

Не пишите ерунды, сервер тоже работает, еще с 2.10. Надо только составить правильный конфиг.

Начните копать отсюда: https://help.keenetic.net/hc/ru/articles/115005822629-OpenVPN-сервер-на-Keenetic

Спасибо

[Le ecureuil]

5 часов назад, ShadoW сказал:

Название компонента - Клиент OpenVPN. Оно и вносит сумятицу

Потому что для 99,9% пользователей он нужен именно как клиент для доступа к готовому VPN - это мы хорошо видим по вопросам в поддержке.

А человек, который понимает как работает ovpn и как создать серверный конфиг, сам разберется что к чему.

Хотите конфигурялки в Web навроде "натыкал галочек - получил рабочую систему" - обсуждайте это с @Dmitry Tishkin. Возможности для этого вобщем-то есть.