T@rkus Posted August 18, 2017 Share Posted August 18, 2017 7 минут назад, r13 сказал: Просто warning что сервер использует не стойкое шифрование. Изменил на 256 битное. Предупреждение исчезло. Появилось новое. Option 'explicit-exit-notify' in line 3 is ignored by previous <connection> blocks Quote Link to comment Share on other sites More sharing options...
ICMP Posted August 18, 2017 Share Posted August 18, 2017 (edited) Удалось подключить Giga II (Server) + K II (Клиент) 1) На сервере динамический IP, как на клиенте прописать DDNS? вот тут: remote x.x.x.x 1194 2) Как настроить NAT на клиенте? Сервер port 1194 proto udp dev tun sndbuf 0 rcvbuf 0 ca ca.crt cert server.crt key server.key dh dh.pem topology subnet server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 8.8.8.8" push "dhcp-option DNS 8.8.4.4" keepalive 10 120 comp-lzo persist-key persist-tun status openvpn-status.log verb 3 crl-verify crl.pem <ca> </ca> <cert> </cert> <key> </key> <dh> </dh> <crl-verify> </crl-verify> Клиент client dev tun proto udp sndbuf 0 rcvbuf 0 remote x.x.x.x 1194 resolv-retry infinite nobind persist-key persist-tun remote-cert-tls server comp-lzo verb 3 <ca> </ca> <cert> </cert> <key> </key> Edited August 18, 2017 by ICMP Quote Link to comment Share on other sites More sharing options...
r13 Posted August 18, 2017 Share Posted August 18, 2017 (edited) @ICMP 1)Просто прописываете ddns имя вместо ip в настройке 2) nat надо прописать на сервере в cli(имя интерфейса подставьте свое): interface OpenVPN1 security-level private ip nat OpenVPN1 system configuration save Edited August 18, 2017 by r13 1 Quote Link to comment Share on other sites More sharing options...
ICMP Posted August 18, 2017 Share Posted August 18, 2017 2 минуты назад, r13 сказал: 1)Просто прописываете ddns имя вместо ip в настройке Я так пробовал не завелось... remote my.ddns.net 1194 Quote Link to comment Share on other sites More sharing options...
r13 Posted August 18, 2017 Share Posted August 18, 2017 (edited) 6 минут назад, ICMP сказал: Я так пробовал не завелось... remote my.ddns.net 1194 тогда смотрите логи, в чем проблема, должно работать. Edited August 18, 2017 by r13 Quote Link to comment Share on other sites More sharing options...
ICMP Posted August 18, 2017 Share Posted August 18, 2017 Странно второй раз попробовал все завелось Quote Link to comment Share on other sites More sharing options...
ICMP Posted August 18, 2017 Share Posted August 18, 2017 (edited) @r13 Подскажите если планирую nat на клиенте: 1) Где надо ставить галку "Получать маршрут от удаленной стороны" на сервере / клиенте? 2) Подключаться надо через определенный интерфейс или оставить "Любое интернет-подключение" на сервере / клиенте? Edited August 18, 2017 by ICMP Quote Link to comment Share on other sites More sharing options...
r13 Posted August 18, 2017 Share Posted August 18, 2017 58 минут назад, ICMP сказал: @r13 Подскажите если планирую nat на клиенте: 1) Где надо ставить галку "Получать маршрут от удаленной стороны" на сервере / клиенте? 2) Подключаться надо через определенный интерфейс или оставить "Любое интернет-подключение" на сервере / клиенте? 1 Думаю ставьте, хуже не будет, и не бойтесь экспериментировать, я также как и вы занимаюсь экспериментами 2 зависит от вашей специфики, есть ли резервный канал, какието доугие каналы через которые надо или не надо устанавливать туннель в самом простом случае можете выбрать ваше основное интернет подключение 1 Quote Link to comment Share on other sites More sharing options...
utya Posted August 20, 2017 Share Posted August 20, 2017 Ребят а openvpn в роли сервера настраивается только через cli или в web тоже можно вставить конфиг? Quote Link to comment Share on other sites More sharing options...
r13 Posted August 20, 2017 Share Posted August 20, 2017 (edited) 56 минут назад, utya сказал: Ребят а openvpn в роли сервера настраивается только через cli или в web тоже можно вставить конфиг? Конфиг через веб, но доработать напильником через cli Edited August 20, 2017 by r13 Quote Link to comment Share on other sites More sharing options...
utya Posted August 21, 2017 Share Posted August 21, 2017 Ребят, скинь-те кто-нибудь рабочий конфиг для сервера и клиента, а то всё которые здесь были не помогли пока(( Quote Link to comment Share on other sites More sharing options...
Сергей Молоков Posted August 24, 2017 Share Posted August 24, 2017 При перезагрузке кинетика (клиент) или перезапуске сервиса сервера под виндой (переконнект клиента), клиент теряет шлюза, так происходит не всегда, 10 перезагрузок кинетика, три удачно, 7 - шлюза нет. конфиг клиента: Цитата remote 10.2.9.84 port 1194 proto udp dev tun route-method exe route-delay 3 client tls-client ns-cert-type server keepalive 10 120 comp-lzo persist-key persist-tun redirect-gateway def1 key-direction 1 <tls-auth> </tls-auth> <dh> </dh> <pkcs12> </pkcs12> удачный коннект: Цитата Aug 23 16:55:58OpenVPN0OpenVPN 2.4.3 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD] Aug 23 16:55:58OpenVPN0library versions: OpenSSL 1.0.2l 25 May 2017, LZO 2.10 Aug 23 16:55:58OpenVPN0WARNING: --ns-cert-type is DEPRECATED. Use --remote-cert-tls instead. Aug 23 16:55:58OpenVPN0TCP/UDP: Preserving recently used remote address: [AF_INET]10.2.9.84:1194 Aug 23 16:55:58OpenVPN0UDP link local (bound): [AF_INET][undef]:1194 Aug 23 16:55:58OpenVPN0UDP link remote: [AF_INET]10.2.9.84:1194 Aug 23 16:55:58OpenVPN0NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay Aug 23 16:55:58ndhcpcFastEthernet0/Vlan2: received OFFER for 10.2.63.18 from 10.2.0.1. Aug 23 16:55:58ndhcpcFastEthernet0/Vlan2: received ACK for 10.2.63.18 from 10.2.0.1. Aug 23 16:55:58ndmDhcp::Client: configuring interface ISP. Aug 23 16:55:58ndmNetwork::Interface::IP: "FastEthernet0/Vlan2": IP address is 10.2.63.18/16. Aug 23 16:55:58ndmDhcp::Client: obtained IP address 10.2.63.18/16. Aug 23 16:55:58ndmDhcp::Client: interface "ISP" is global, priority 700. Aug 23 16:55:58ndmDhcp::Client: no default routes received. Aug 23 16:55:58ndmDhcp::Client: adding name server 10.2.1.2. Aug 23 16:55:58ndmDns::Manager: name server 10.2.1.2 added, domain (default). Aug 23 16:55:58ndmDhcp::Client: adding route 10.3.0.0/255.255.0.0/10.2.0.1. Aug 23 16:55:58ndmDhcp::Client: adding route 10.3.0.0/255.255.0.0/10.2.0.1. Aug 23 16:56:00OpenVPN0TLS Error: local/remote TLS keys are out of sync: [AF_INET]10.2.9.84:1194 [0] Aug 23 16:56:00OpenVPN0[ServerVPN] Peer Connection Initiated with [AF_INET]10.2.9.84:1194 Aug 23 16:56:00ndmNetwork::Interface::OpenVpn: "OpenVPN0": added host route to remote endpoint 10.2.9.84 via ISP. Aug 23 16:56:01OpenVPN0TUN/TAP device tun0 opened Aug 23 16:56:01OpenVPN0do_ifconfig, tt->did_ifconfig_ipv6_setup=0 Aug 23 16:56:01ndmkernel: ADDRCONF(NETDEV_CHANGE): ovpn_br0: link becomes ready Aug 23 16:56:01ndmNetwork::Interface::IP: "OpenVPN0": IP address is 192.168.0.28/24. Aug 23 16:56:04ndmNetwork::Interface::OpenVpn: "OpenVPN0": install accepted default route via 192.168.0.1. Aug 23 16:56:04OpenVPN0GID set to nobody Aug 23 16:56:04OpenVPN0UID set to nobody Aug 23 16:56:04OpenVPN0Initialization Sequence Completed не удачный коннект: Цитата Aug 24 08:14:36OpenVPN0SIGINT[hard,init_instance] received, process exiting Aug 24 08:14:38OpenVPN0OpenVPN 2.4.3 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD] Aug 24 08:14:38OpenVPN0library versions: OpenSSL 1.0.2l 25 May 2017, LZO 2.10 Aug 24 08:14:38OpenVPN0WARNING: --ns-cert-type is DEPRECATED. Use --remote-cert-tls instead. Aug 24 08:14:38OpenVPN0TCP/UDP: Preserving recently used remote address: [AF_INET]10.2.9.84:1194 Aug 24 08:14:38OpenVPN0UDP link local (bound): [AF_INET][undef]:1194 Aug 24 08:14:38OpenVPN0UDP link remote: [AF_INET]10.2.9.84:1194 Aug 24 08:14:38OpenVPN0NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay Aug 24 08:14:38OpenVPN0[ServerVPN] Peer Connection Initiated with [AF_INET]10.2.9.84:1194 Aug 24 08:14:38ndmNetwork::Interface::OpenVpn: "OpenVPN0": added host route to remote endpoint 10.2.9.84 via ISP. Aug 24 08:15:00OpenVPN0TUN/TAP device tun0 opened Aug 24 08:15:00OpenVPN0do_ifconfig, tt->did_ifconfig_ipv6_setup=0 Aug 24 08:15:00ndmNetwork::Interface::IP: "OpenVPN0": IP address is 192.168.0.28/24. Aug 24 08:15:04OpenVPN0NOTE: unable to redirect default gateway -- Cannot read current default gateway from system Aug 24 08:15:04OpenVPN0GID set to nobody Aug 24 08:15:04OpenVPN0UID set to nobody Aug 24 08:15:04OpenVPN0Initialization Sequence Completed Прошу помочь, что я делаю не правильно? Спасибо! Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted August 24, 2017 Share Posted August 24, 2017 @Сергей Молоков понятно, постараемся починить. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted August 25, 2017 Share Posted August 25, 2017 В следующем draft должно стать получше, проверьте. Quote Link to comment Share on other sites More sharing options...
Lordmaster Posted August 25, 2017 Share Posted August 25, 2017 (edited) Подскажите, пожалуйста: OpenVPN сервер установлен на офисном ПК (ip 10.8.0.1). Подключение идет через tap адаптер Windows. В офисе есть рабочая сеть (10.32.20.0). На Keenetic все подключилось и работает. Адреса 10.8.0.1 пингует без проблем. С офисного ПК тоже доступ имеется. Вопрос в следующем, как можно получить доступ к сети 10.32.20.0 с Keenetic? Возможно нужно прописать маршрутизацию, но не могу найти где и как. Сервер: Скрытый текст port 1194 proto tcp dev tun ca C:\\OpenVPN\\server\\ca.crt cert C:\\OpenVPN\\server\\server.crt key C:\\OpenVPN\\server\\server.key dh C:\\OpenVPN\\server\\dh1024.pem tls-auth C:\\OpenVPN\\server\\ta.key 0 client-to-client cipher DES-EDE3-CBC server 10.8.0.0 255.255.255.0 ifconfig-pool-persist C:\\OpenVPN\\log\\ipp.txt keepalive 10 120 comp-lzo persist-key persist-tun status openvpn-status.log log C:\\OpenVPN\\log\\openvpn.log verb 3 Клиент: Скрытый текст client dev tun proto tcp remote IP 1194 resolv-retry infinite nobind persist-key persist-tun remote-cert-tls server tls-client key-direction 1 cipher DES-EDE3-CBC comp-lzo verb 3 <ca> ******* </ca> <cert> ******* </cert> <key> ******* </key> <tls-auth> ******* </tls-auth> Edited August 25, 2017 by Lordmaster Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted August 25, 2017 Share Posted August 25, 2017 5 часов назад, Lordmaster сказал: Подскажите, пожалуйста: OpenVPN сервер установлен на офисном ПК (ip 10.8.0.1). Подключение идет через tap адаптер Windows. В офисе есть рабочая сеть (10.32.20.0). На Keenetic все подключилось и работает. Адреса 10.8.0.1 пингует без проблем. С офисного ПК тоже доступ имеется. Вопрос в следующем, как можно получить доступ к сети 10.32.20.0 с Keenetic? Возможно нужно прописать маршрутизацию, но не могу найти где и как. Сервер: Показать содержимое port 1194 proto tcp dev tun ca C:\\OpenVPN\\server\\ca.crt cert C:\\OpenVPN\\server\\server.crt key C:\\OpenVPN\\server\\server.key dh C:\\OpenVPN\\server\\dh1024.pem tls-auth C:\\OpenVPN\\server\\ta.key 0 client-to-client cipher DES-EDE3-CBC server 10.8.0.0 255.255.255.0 ifconfig-pool-persist C:\\OpenVPN\\log\\ipp.txt keepalive 10 120 comp-lzo persist-key persist-tun status openvpn-status.log log C:\\OpenVPN\\log\\openvpn.log verb 3 Клиент: Показать содержимое client dev tun proto tcp remote IP 1194 resolv-retry infinite nobind persist-key persist-tun remote-cert-tls server tls-client key-direction 1 cipher DES-EDE3-CBC comp-lzo verb 3 <ca> ******* </ca> <cert> ******* </cert> <key> ******* </key> <tls-auth> ******* </tls-auth> Так и пропишите в маршрутах в Web в Keenetic: добавьте маршрут к сети 10.32.20.0 (маску обязательно не забудьте) через интерфейс OpenVPNX. Quote Link to comment Share on other sites More sharing options...
Lordmaster Posted August 25, 2017 Share Posted August 25, 2017 1 час назад, Le ecureuil сказал: Так и пропишите в маршрутах в Web в Keenetic: добавьте маршрут к сети 10.32.20.0 (маску обязательно не забудьте) через интерфейс OpenVPNX. В том то и дело что не получилось так сделать. Маршрут прописал, но все равно пинг не идет Quote Link to comment Share on other sites More sharing options...
ICMP Posted August 26, 2017 Share Posted August 26, 2017 Уважаемые разработчики можете написать пример настройки Серверной и Клиентской части по этой аналогии https://help.keenetic.net/hc/ru/articles/213967789-Объединение-двух-локальных-сетей-при-помощи-интернет-центров-используя-встроенное-приложение-Сервер-VPN Бился около недели так и не смог, NAT не нужен просто объединение всех... Quote Link to comment Share on other sites More sharing options...
ICMP Posted August 27, 2017 Share Posted August 27, 2017 Обновил Сервер и Клиент до 2.10.A.7.0-0 Теперь не могу удалить в них Компонент ipv6 и кажется из за этого не поднимется туннель... Кто нибудь может помочь с вопросом который я описал выше? Quote Link to comment Share on other sites More sharing options...
AndreBA Posted August 27, 2017 Share Posted August 27, 2017 3 минуты назад, ICMP сказал: Обновил Сервер и Клиент до 2.10.A.7.0-0 Теперь не могу удалить в них Компонент ipv6 и кажется из за этого не поднимется туннель... Кто нибудь может помочь с вопросом который я описал выше? IPv6 связан с одним из компонентов Opkg. 1 Quote Link to comment Share on other sites More sharing options...
AndreBA Posted August 27, 2017 Share Posted August 27, 2017 В 08.04.2017 в 17:56, Le ecureuil сказал: @Goblin opkg-ndm-kmod-netfilter тянет за собой ndm-ipv6, потому что в netfilter добавляются все модули и для IPv6 тоже. Так что если вам не нужен ipv6 - то будет висеть мертвым грузом. 1 Quote Link to comment Share on other sites More sharing options...
ICMP Posted August 28, 2017 Share Posted August 28, 2017 (edited) Помогите! Что делаю не так? Сервер port 1194 proto udp dev tun sndbuf 0 rcvbuf 0 topology subnet server 10.8.0.0 255.255.255.0 push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 127.0.0.1" keepalive 10 120 comp-lzo persist-key persist-tun verb 3 <ca> -----BEGIN CERTIFICATE----- ****************** -----END CERTIFICATE----- </ca> <cert> Certificate: Data: Version: 3 (0x2) Serial Number: 1 (0x1) Signature Algorithm: sha256WithRSAEncryption Issuer: CN=ChangeMe Validity Not Before: Aug 28 12:57:22 2017 GMT Not After : Aug 26 12:57:22 2027 GMT Subject: CN=server Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:b9:f8:bc:d3:b7:1c:fe:2d:9f:45:3d:96:d9:05: ec:39:63:4e:54:f8:22:76:1f:5f:c9:fa:02:f8:49: 5d:a7:08:fc:1d:7b:ff:6c:30:ba:e8:70:cf:d4:ee: c7:b3:09:91:a0:49:0b:7b:22:f4:26:bf:91:64:15: 79:72:83:4c:e2:66:71:14:ed:a9:b0:5f:84:9d:18: c8:87:98:1c:f6:bd:53:a5:4e:10:76:dd:cb:c2:ab: be:8f:32:7a:68:e1:67:f0:8c:d5:7c:90:40:5a:9f: 5e:d3:cc:2a:44:04:72:ff:9d:3f:8d:f6:2d:8f:bf: 47:7b:be:05:e0:10:b2:c2:0d:74:a8:7a:c0:44:1e: ca:ac:bc:5c:34:7b:ca:b4:63:89:4f:9e:bf:97:44: 61:86:1c:6c:66:85:ae:7e:c7:c7:5a:85:17:ec:ce: 90:1c:0a:fc:32:0f:4c:2f:fd:04:18:68:d7:cf:d9: 20:ea:e9:c9:45:7b:89:c5:1f:5d:fc:06:1b:ff:3f: f7:d7:ce:b3:f5:1d:b4:42:e0:c5:a1:28:24:03:2a: 38:f0:df:0f:cb:3a:15:8a:fd:9f:eb:8e:d1:a7:b5: 20:8e:9d:45:57:1d:85:f5:ff:59:a1:46:5e:6c:05: fc:37:38:2e:cc:af:dc:52:ef:5d:d6:9c:63:f6:65: 4f:3b Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE X509v3 Subject Key Identifier: CA:FD:4D:08:CD:F1:07:81:5B:29:64:AB:40:09:16:01:7D:22:FA:59 X509v3 Authority Key Identifier: keyid:DA:02:DC:04:7F:07:FE:F1:78:69:43:9E:92:6C:2E:5C:AA:DF:C5:4B DirName:/CN=ChangeMe serial:96:55:60:02:53:7D:2F:EE X509v3 Extended Key Usage: TLS Web Server Authentication X509v3 Key Usage: Digital Signature, Key Encipherment Signature Algorithm: sha256WithRSAEncryption 24:70:e1:6c:e5:b0:3f:6a:39:09:85:a3:5b:2e:dd:7d:57:7c: f3:e0:cc:bd:69:35:5e:df:0c:77:0f:da:94:b8:b7:3c:f3:ab: cc:13:e5:ba:fe:51:2f:78:cf:4d:56:27:42:06:bc:28:3b:21: a4:d4:3a:7b:f6:30:14:b9:03:41:0e:f5:6e:25:19:c7:bc:46: 6c:23:62:e0:3a:f7:0d:88:1e:3e:0e:94:41:40:f7:4e:c0:9b: c9:6d:43:2c:1d:c9:ff:3d:61:f3:51:9d:74:f1:ec:c7:0a:9b: db:ba:67:0d:be:b6:ff:6d:81:15:b7:c8:e1:8f:37:97:22:2c: 1b:54:fb:d9:af:45:86:8f:6e:e2:51:9e:12:e2:d4:60:d0:12: a1:6a:92:36:da:2d:50:16:81:de:60:e4:40:f0:55:54:de:86: e8:af:c2:1f:a7:4e:35:71:91:22:77:fe:2d:0b:da:0a:e2:ed: b0:de:4a:1f:3e:75:fa:08:5b:5e:7d:62:c4:91:e1:e4:e6:0d: 23:26:a9:3d:dd:15:fc:74:4d:f0:45:f3:90:ac:6e:cd:aa:74: 57:79:63:af:09:56:ae:ab:66:87:f4:0b:f7:e8:58:65:6b:68: 39:72:be:4f:78:d9:4c:01:3d:9d:57:2e:ea:4b:45:51:ee:94: 05:3c:01:50 -----BEGIN CERTIFICATE----- ******************* -----END CERTIFICATE----- </cert> <key> -----BEGIN PRIVATE KEY----- ************************* -----END PRIVATE KEY----- </key> <dh> -----BEGIN DH PARAMETERS----- ************************ -----END DH PARAMETERS----- </dh> Клиент client dev tun proto udp sndbuf 0 rcvbuf 0 remote *.*.*.* 1194 resolv-retry infinite nobind persist-key persist-tun remote-cert-tls server comp-lzo verb 3 <ca> -----BEGIN CERTIFICATE----- ****************** -----END CERTIFICATE----- </ca> <cert> Certificate: Data: Version: 3 (0x2) Serial Number: 2 (0x2) Signature Algorithm: sha256WithRSAEncryption Issuer: CN=ChangeMe Validity Not Before: Aug 28 12:57:28 2017 GMT Not After : Aug 26 12:57:28 2027 GMT Subject: CN=client2 Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:d1:37:10:12:ae:9f:f3:25:87:18:7c:d9:38:e0: c4:49:82:d6:cb:f9:c5:24:0b:a3:bd:7c:55:cd:ff: 7b:5c:f0:fb:78:fb:ab:3e:f1:a9:f7:37:08:0b:0e: aa:dc:b8:fa:11:ee:00:e4:38:ab:e9:3b:d2:ed:d7: e3:f5:7e:e7:4c:21:63:de:99:22:d5:d4:73:e1:7e: da:eb:55:40:ae:0e:97:b7:8e:4f:59:41:3e:ac:52: e5:36:77:40:f3:96:dd:d9:45:bf:a3:ee:6e:4f:2b: 59:8b:02:04:97:0b:30:e9:32:a8:27:05:61:7e:31: 1c:05:7c:06:23:37:c3:3c:e1:31:72:51:9a:95:d2: 06:72:c8:12:95:91:79:f9:07:81:c0:7e:0f:e9:76: 46:dc:d5:00:9f:ae:c9:5c:7d:42:97:4a:e7:9f:6e: f5:9b:f3:a4:9b:2b:5f:12:32:fd:f6:b8:93:33:7f: f0:ed:61:f4:10:8d:22:96:9b:77:91:f7:5c:4f:62: bf:00:c3:21:98:79:0c:cf:c8:22:7b:de:31:df:5b: 78:47:04:b7:8d:d0:cb:c7:78:27:31:66:33:c7:9a: 06:f2:63:1a:f1:71:df:cb:df:aa:06:7d:cf:cd:de: 90:85:5e:91:a1:ad:bc:6a:f4:ad:fa:4f:dc:1e:5c: f4:43 Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE X509v3 Subject Key Identifier: 8F:AB:56:BE:DC:84:82:82:F0:3E:C5:1C:9C:9D:EC:CE:85:26:3C:39 X509v3 Authority Key Identifier: keyid:DA:02:DC:04:7F:07:FE:F1:78:69:43:9E:92:6C:2E:5C:AA:DF:C5:4B DirName:/CN=ChangeMe serial:96:55:60:02:53:7D:2F:EE X509v3 Extended Key Usage: TLS Web Client Authentication X509v3 Key Usage: Digital Signature Signature Algorithm: sha256WithRSAEncryption e4:cd:bf:a0:f7:5d:fa:7b:54:6c:4d:d0:5e:a1:8f:cb:44:4f: 52:bd:45:08:ac:b6:71:50:ed:ff:ab:22:d6:e8:57:40:b8:97: 45:8a:27:b5:e4:b0:8b:39:5a:7b:dd:0e:98:8f:e8:d3:8d:51: 7d:d8:ed:aa:2e:32:85:34:17:f6:c5:c6:f6:0e:91:a7:3f:e0: 5c:d8:14:76:98:d2:ae:c8:68:ef:0b:ca:bd:80:2a:84:02:92: 4c:37:7a:e1:a5:eb:56:e8:57:82:71:1c:57:1a:b4:29:40:95: da:b8:55:61:28:5c:54:ef:35:e1:54:e0:6e:d0:97:48:89:ce: b9:ff:c8:57:62:6d:86:a1:7f:ed:94:79:84:4f:3c:4d:4e:7f: bb:40:64:27:1a:84:ca:a3:77:70:bc:67:d9:aa:ff:d2:94:d4: 6f:f9:08:c1:65:f6:46:60:5e:c9:a6:b6:d5:db:ea:e7:4d:b8: c3:2d:f7:72:28:4a:62:a8:55:e7:c3:16:ad:5b:92:25:41:88: d0:fe:96:6c:dd:94:1d:3a:38:5b:a4:3c:17:8e:fe:9c:16:af: db:21:f4:44:16:f5:35:73:fb:2b:4d:53:60:b4:60:fd:39:9e: aa:61:2a:c2:2d:12:d0:a9:1c:d8:9b:61:72:67:a2:3d:82:6b: 7a:be:6b:81 -----BEGIN CERTIFICATE----- ************************ -----END CERTIFICATE----- </cert> <key> -----BEGIN PRIVATE KEY----- ******************* -----END PRIVATE KEY----- </key> Лог Сервер Aug 28 19:07:25OpenVPN0OpenVPN 2.4.3 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD] Aug 28 19:07:25OpenVPN0library versions: OpenSSL 1.0.2l 25 May 2017, LZO 2.10 Aug 28 19:07:25OpenVPN0Diffie-Hellman initialized with 2048 bit key Aug 28 19:07:25OpenVPN0TUN/TAP device tun0 opened Aug 28 19:07:25OpenVPN0TUN/TAP TX queue length set to 100 Aug 28 19:07:25OpenVPN0do_ifconfig, tt->did_ifconfig_ipv6_setup=0 Aug 28 19:07:25ndmNetwork::Interface::IP: "OpenVPN0": IP address is 10.8.0.1/24. Aug 28 19:07:25OpenVPN0Could not determine IPv4/IPv6 protocol. Using AF_INET6 Aug 28 19:07:25OpenVPN0Socket Buffers: R=[155648->155648] S=[155648->155648] Aug 28 19:07:25OpenVPN0setsockopt(IPV6_V6ONLY=0) Aug 28 19:07:25OpenVPN0UDPv6 link local (bound): [AF_INET6][undef]:1194 Aug 28 19:07:25OpenVPN0UDPv6 link remote: [AF_UNSPEC] Aug 28 19:07:25OpenVPN0GID set to nobody Aug 28 19:07:25OpenVPN0UID set to nobody Aug 28 19:07:25OpenVPN0MULTI: multi_init called, r=256 v=256 Aug 28 19:07:25OpenVPN0IFCONFIG POOL: base=10.8.0.2 size=252, ipv6=0 Aug 28 19:07:25OpenVPN0Initialization Sequence Completed Aug 28 19:07:26ndmCore::ConfigurationSaver: configuration saved. Aug 28 19:07:29ndhcpcGigabitEthernet0/Vlan40: received ACK for *.*.*.* from *.*.*.*. Aug 28 19:08:09wmondWifiMaster0/AccessPoint0: (RT2860) STA(*:*:*:*:*:*) had disassociated. Aug 28 19:09:00OpenVPN0*.*.*.* TLS: Initial packet from [AF_INET6]::ffff:*.*.*.*:39902, sid=f5097f9d 87c43951 Aug 28 19:09:05OpenVPN0*.*.*.* TLS: Initial packet from [AF_INET6]::ffff:*.*.*.*:58124, sid=a2190dd4 6517f580 Aug 28 19:09:14OpenVPN0*.*.*.* TLS: Initial packet from [AF_INET6]::ffff:*.*.*.*:60226, sid=415e0067 026d011e Aug 28 19:09:19OpenVPN0*.*.*.* TLS: Initial packet from [AF_INET6]::ffff:*.*.*.*:52433, sid=2aceac8c cb3f73d9 Aug 28 19:09:24OpenVPN0*.*.*.* TLS: Initial packet from [AF_INET6]::ffff:*.*.*.*:40792, sid=27b1ca7b b53c8105 Aug 28 19:09:37OpenVPN0*.*.*.* TLS: Initial packet from [AF_INET6]::ffff:*.*.*.*:48955, sid=45321181 f6f0fd23 Aug 28 19:10:00OpenVPN0*.*.*.* TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) Aug 28 19:10:00OpenVPN0*.*.*.* TLS Error: TLS handshake failed Aug 28 19:10:00OpenVPN0*.*.*.* SIGUSR1[soft,tls-error] received, client-instance restarting Aug 28 19:10:03OpenVPN0*.*.*.* TLS: Initial packet from [AF_INET6]::ffff:*.*.*.*:58879, sid=73d923c3 0e8b2189 Aug 28 19:10:05OpenVPN0*.*.*.* TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) Aug 28 19:10:05OpenVPN0*.*.*.* TLS Error: TLS handshake failed Aug 28 19:10:05OpenVPN0*.*.*.* SIGUSR1[soft,tls-error] received, client-instance restarting Лог Клиент Aug 18 02:57:58OpenVPN0SIGUSR1[soft,tls-error] received, process restarting Aug 18 02:57:58OpenVPN0Restart pause, 10 second(s) Aug 18 02:58:08OpenVPN0TCP/UDP: Preserving recently used remote address: [AF_INET]*.*.*.*:1194 Aug 18 02:58:08OpenVPN0Socket Buffers: R=[155648->155648] S=[155648->155648] Aug 18 02:58:08OpenVPN0UDP link local: (not bound) Aug 18 02:58:08OpenVPN0UDP link remote: [AF_INET]*.*.*.*:1194 Aug 18 02:58:13OpenVPN0TLS: Initial packet from [AF_INET]*.*.*.*:1194, sid=e9d9834e 4905a11e Aug 18 02:58:14OpenVPN0VERIFY ERROR: depth=1, error=certificate is not yet valid: CN=ChangeMe Aug 18 02:58:14OpenVPN0OpenSSL: error:14090086:lib(20):func(144):reason(134) Aug 18 02:58:14OpenVPN0TLS_ERROR: BIO read tls_read_plaintext error Aug 18 02:58:14OpenVPN0TLS Error: TLS object -> incoming plaintext read error Aug 18 02:58:14OpenVPN0TLS Error: TLS handshake failed Edited August 28, 2017 by ICMP Quote Link to comment Share on other sites More sharing options...
r13 Posted August 28, 2017 Share Posted August 28, 2017 (edited) @ICMP Я конечно не специалист, но возможно из-за этой настройки: remote-cert-tls server Выдержка из конфига: # To use this feature, you will need to generate # your server certificates with the nsCertType # field set to "server". The build-key-server # script in the easy-rsa folder will do this. #ns-cert-type server #remote-cert-tls server ЗЫ а зачем такой хитрый dns? push "dhcp-option DNS 127.0.0.1" Edited August 28, 2017 by r13 Quote Link to comment Share on other sites More sharing options...
ICMP Posted August 28, 2017 Share Posted August 28, 2017 @r13 Я конфигурации делаю так: 1)Подключаю usb с Enware 3x на него ставлю OpenVpn Road Warrior из github и он мне все генерит конфиги для Сервера и Клиента... 2)Отключаю этот диск и раскидываю их по Keenetic Можете подсказать какой нибудь онлайн ресурс для генерации настроек? Quote Link to comment Share on other sites More sharing options...
r13 Posted August 28, 2017 Share Posted August 28, 2017 Только что, ICMP сказал: @r13 Я конфигурации делаю так: Можете подсказать какой нибудь онлайн ресурс для генерации настроек? Не, это не ко мне. Я OpenVPN исключительно в академических целя гоняю. Так что ресурсов по его настройке не ведаю. Все гугол + ручками конфиги. Quote Link to comment Share on other sites More sharing options...
ICMP Posted August 28, 2017 Share Posted August 28, 2017 Скорей бы уже официальная серверная часть Quote Link to comment Share on other sites More sharing options...
r13 Posted August 28, 2017 Share Posted August 28, 2017 (edited) 5 минут назад, ICMP сказал: Скорей бы уже официальная серверная часть А в чем по вашему будут отличия от текущей реализации? Конфиги все равно вам подготавливать. Edited August 28, 2017 by r13 Quote Link to comment Share on other sites More sharing options...
ICMP Posted August 28, 2017 Share Posted August 28, 2017 4 минуты назад, r13 сказал: А в чем по вашему будут отличия от текущей реализации? Ну я обновил клиента и сервера до 2.10.A.7.0-0 предварительно сохранив настройки И теперь они уже не работают и переделывал по разному везде одна ошибка.. Quote Link to comment Share on other sites More sharing options...
r13 Posted August 28, 2017 Share Posted August 28, 2017 10 минут назад, ICMP сказал: Ну я обновил клиента и сервера до 2.10.A.7.0-0 предварительно сохранив настройки И теперь они уже не работают и переделывал по разному везде одна ошибка.. Странно это, а воспроизводимость проблемы с откатом к предыдущей прошивке поверяли? Если воспроизводится, то выдавайте селфтесты @Le ecureuil для анализа. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted August 28, 2017 Share Posted August 28, 2017 1 час назад, ICMP сказал: Скорей бы уже официальная серверная часть Она уже есть, если что не работает - пишите. Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.