301

Re: OpenVPN keenetic

Dr.Acid :

Я, конечно, не гуру, но рискну предположить следующее:
В строках типа

Mon Jun 03 21:35:08 2013 TCP/UDP: Incoming packet rejected from [AF_INET]192.168.0.1:1194[2], expected peer address: [AF_INET]109.86.13.80:1194 (allow this incoming source address/port by removing --remote or adding --float)

содержится намек на то, что нужно либо удалить параметр remote (а он есть в router.ovpn :

remote 109.86.13.80 1194 # Или адрес DDNS сервера

), либо добавить параметр float (видимо туда же, про его формат/назначение можно нагуглить)
Что то такое.

это гениально!!)
я наконец-то увидел зелененькие мониторчики в углу экрана))
спасибо за подсказку!,- для меня Вы гуру)

з.ы. добавил float 

dev tun
proto udp
remote 109.86.13.80 1194 # Или адрес DDNS сервера
nobind
ifconfig 10.8.0.2 10.8.0.1
secret "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\static.key" # Можно куда угодно, хоть в корень С:
comp-lzo
keepalive 10 120
ping-timer-rem
persist-tun
float
persist-key
route 10.111.1.0 255.255.255.0
route-method exe
verb 3
mute 20
dhcp-option DNS 10.8.0.1
redirect-gateway
verb 3

з.з.ы. смотрю лог, а там какие-то ошибки периодически идут..

Mon Jun 03 22:50:44 2013 Warning: cannot open --log file: C:\Program Files\OpenVPN\log\router1.log: Îòêàçàíî â äîñòóïå.   (errno=5)
Mon Jun 03 22:50:44 2013 OpenVPN 2.3.1 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [eurephia] [IPv6] built on Mar 28 2013
Mon Jun 03 22:50:44 2013 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Mon Jun 03 22:50:44 2013 Need hold release from management interface, waiting...
Mon Jun 03 22:50:45 2013 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Mon Jun 03 22:50:45 2013 MANAGEMENT: CMD 'state on'
Mon Jun 03 22:50:45 2013 MANAGEMENT: CMD 'log all on'
Mon Jun 03 22:50:45 2013 MANAGEMENT: CMD 'hold off'
Mon Jun 03 22:50:45 2013 MANAGEMENT: CMD 'hold release'
Mon Jun 03 22:50:45 2013 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Mon Jun 03 22:50:45 2013 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Jun 03 22:50:45 2013 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Jun 03 22:50:45 2013 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Jun 03 22:50:45 2013 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Jun 03 22:50:45 2013 Socket Buffers: R=[8192->8192] S=[8192->8192]
Mon Jun 03 22:50:45 2013 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Mon Jun 03 22:50:45 2013 MANAGEMENT: >STATE:1370289045,ASSIGN_IP,,10.8.0.2,
Mon Jun 03 22:50:45 2013 open_tun, tt->ipv6=0
Mon Jun 03 22:50:45 2013 TAP-WIN32 device [Ïîäêëþ÷åíèå ïî ëîêàëüíîé ñåòè 2] opened: \\.\Global\{BF8E62E0-9754-4F8A-A1B2-4B39A60E2D16}.tap
Mon Jun 03 22:50:45 2013 TAP-Windows Driver Version 9.9
Mon Jun 03 22:50:45 2013 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.8.0.2/255.255.255.252 on interface {BF8E62E0-9754-4F8A-A1B2-4B39A60E2D16} [DHCP-serv: 10.8.0.1, lease-time: 31536000]
Mon Jun 03 22:50:45 2013 NOTE: FlushIpNetTable failed on interface [17] {BF8E62E0-9754-4F8A-A1B2-4B39A60E2D16} (status=5) : Îòêàçàíî â äîñòóïå. 
Mon Jun 03 22:50:45 2013 UDPv4 link local: [undef]
Mon Jun 03 22:50:45 2013 UDPv4 link remote: [AF_INET]109.86.13.80:1194
Mon Jun 03 22:50:50 2013 Peer Connection Initiated with [AF_INET]192.168.0.1:1194
Mon Jun 03 22:50:56 2013 TEST ROUTES: 2/2 succeeded len=1 ret=1 a=0 u/d=up
Mon Jun 03 22:50:56 2013 C:\Windows\system32\route.exe ADD 109.86.13.80 MASK 255.255.255.255 192.168.0.1
Mon Jun 03 22:50:56 2013 env_block: add PATH=C:\Windows\System32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
Mon Jun 03 22:50:56 2013 ERROR: Windows route add command failed: returned error code 1
Mon Jun 03 22:50:56 2013 C:\Windows\system32\route.exe DELETE 0.0.0.0 MASK 0.0.0.0 192.168.0.1
Mon Jun 03 22:50:56 2013 env_block: add PATH=C:\Windows\System32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
Mon Jun 03 22:50:56 2013 ERROR: Windows route delete command failed: returned error code 1
Mon Jun 03 22:50:56 2013 C:\Windows\system32\route.exe ADD 0.0.0.0 MASK 0.0.0.0 10.8.0.1
Mon Jun 03 22:50:56 2013 env_block: add PATH=C:\Windows\System32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
Mon Jun 03 22:50:56 2013 ERROR: Windows route add command failed: returned error code 1
Mon Jun 03 22:50:56 2013 MANAGEMENT: >STATE:1370289056,ADD_ROUTES,,,
Mon Jun 03 22:50:56 2013 C:\Windows\system32\route.exe ADD 10.111.1.0 MASK 255.255.255.0 10.8.0.1
Mon Jun 03 22:50:56 2013 env_block: add PATH=C:\Windows\System32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
Mon Jun 03 22:50:56 2013 ERROR: Windows route add command failed: returned error code 1
Mon Jun 03 22:50:56 2013 Initialization Sequence Completed
Mon Jun 03 22:50:56 2013 MANAGEMENT: >STATE:1370289056,CONNECTED,SUCCESS,10.8.0.2,192.168.0.1

302

Re: OpenVPN keenetic

manja4ok :

з.з.ы. смотрю лог, а там какие-то ошибки периодически идут..

Это на виндовой стороне... не может добавить маршрут, надо разбираться. Может быть, путь другой(не C:\Windows\system32\route.exe)? Попробуйте поиграться с route , вручную что-нибудь подобавлять.

Отредактировано Dr.Acid (2013-06-04 11:26:40)

303

Re: OpenVPN keenetic

Решил выложить свои конфиги OpenVPN клиента и сервера. Может, кому-то пригодится.
Настройки для подключения нескольких клиентов (VPN всегда можно настроить для подключений только одного клиента или нескольких - это уже по мере необходимости, на 3Dnews описан способ настройки для подключения только одного клиента)
Конфиг клиента:


dev tap
proto udp
remote [тут.адрес.вашего.роутера]
port 7500
client
nobind
tls-client
comp-lzo
ns-cert-type server
ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\cmepx.work.crt"
key "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\cmepx.work.key"
ping 15
ping-restart 120
ping-timer-rem
persist-key
persist-tun
verb 3
route 192.168.1.0 255.255.255.0

Конфиг сервера:

dev tap
proto udp
port 7500
mode server
tls-server
comp-lzo
log-append openvpn.log
daemon
ifconfig-pool 10.8.0.2 10.8.0.5
ifconfig 10.8.0.1 255.255.255.0
dh key/dh1024.pem
ca key/ca.crt
cert key/cmepx.no-ip.org.crt
key key/cmepx.no-ip.org.key
persist-tun
persist-key
verb 3

После установки связи, на компе надо настроить маршрутизацию:


route add вписать.ИП.роутера mask 255.255.255.255 вписать.ИП.ДНС.сервера.на.работе
route change 0.0.0.0 mask 0.0.0.0 10.8.0.1
После этих двух команд появится инет с домашнего роутера.

Чтобы на работе при поднятом ВПН работала локалка рабочая, нужно прописать маршруты и к ней, например, если на работе 3 подсети:
route add 192.168.1.0 mask вписать.ИП.ДНС.сервера.на.работе
route add 192.168.2.0 mask вписать.ИП.ДНС.сервера.на.работе
route add 192.168.3.0 mask вписать.ИП.ДНС.сервера.на.работе

Если на работе есть рабочая прокси и вы хотите ей параллельно тоже пользоваться при поднятом ВПН, то выполняем команду:
route add ИП.адресс.рабочей.прокси mask 255.255.255.255 вписать.ИП.ДНС.сервера.на.работе

Данные команды выполняются в командной строке. Так же, для удобства их можно оформить в bat файл. К сожалению, винда не умеет работать с адресами типа мой_сервер.сом, поэтому приходится вписывать ИП роутера, а не адрес, который вы используете при помощи DDNS

P.S. В конфигах указаны МОИ ключи шифрования и их расположение. У вас они БУДУТ СВОИМИ, поэтому думайте, пережде тем как говорить, что что-то не работает. Естественно, вы можете воспользоваться методом шифрования, предложенным в 3Dnews, но я, как параноик, решил воспользоваться более надёжным методом.

P.P.S.
Так же на роутере нужно создать (если ещё не создали) файл, содержащий правила iptables.
Лежать он должен по пути: /DISK_A1/system/etc/firewall.d/firewall.sh
Достаточное для VPN содержание:

#!/bin/sh
iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 7500 -j ACCEPT
iptables -A INPUT -p udp --dport 7500 -j ACCEPT
iptables -I FORWARD 1 --source 10.8.0.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE
iptables -I INPUT -i lo -j ACCEPT

Отредактировано cmepx (2013-06-04 13:49:33)

304

Re: OpenVPN keenetic

manja4ok, гугл Вам в помощь. Без умения пользоваться поисковиками ставить пакеты безполезно. Ошибка 100 миллионов раз разжевана. Вроде и на этом форуме отвечали.

305

Re: OpenVPN keenetic

Zyxmon :

manja4ok, гугл Вам в помощь. Без умения пользоваться поисковиками ставить пакеты безполезно. Ошибка 100 миллионов раз разжевана. Вроде и на этом форуме отвечали.

яндекс мне нравится больше))

добавил в клиент  "route-delay 2"  (+ "route-method exe"  уже был прописан) и запустил openvpn-gui.exe от имени администратора -теперь в логах все красиво.

такой вопрос... вот я подключился по vpn с машины, которая в локальной сети роутера. Соединение произошло, в логах все красиво и т.п.. появилось еще одно подключение в "центре управления сетями..", но оно "без доступа к интернету" и соответственно браузеры в оффе.. Так и должно быть? а то сейчас нету возможности протестировать  работоспособность"снаружи"..

306

Re: OpenVPN keenetic

manja4ok, Ваши вопросы уже не имеют отношения к кинетику. Я приводил ссылку, где стоит задавать вопросы по openvpn, если поисковики не помогают.

307

Re: OpenVPN keenetic

Zyxmon :

manja4ok, Ваши вопросы уже не имеют отношения к кинетику. Я приводил ссылку, где стоит задавать вопросы по openvpn, если поисковики не помогают.

как это не имеют?
кинетик - одно из неотъемлемых звенев в цепочке доступа в интернет посредствам openvpn, который установлен непосредственно на самом кинетике)   
да и название этой темы этого не отрицает  wink

з.ы. поисковики это не панацея.. ведь иногда доходит до банального, некорректный поисковый запрос - бесполезная выдача, и когда ты новичок в этом деле, то можно только запутаться. Целесообразней спросить на "профильном" форуме, где люди стыкавшиеся с такими проблемами могут на пальцах обьяснить что и куда.

308

Re: OpenVPN keenetic

manja4ok :

как это не имеют?

manja4ok, Zyxmon имеет в виду, что ваш вопрос относится к настройке openvpn как такового, без привязки к конкретному устройству(Кинетику). Вам надо прописать дефолтный маршрут, т.е. шлюз по умолчанию(естественно, у вас это будет vpn туннель) - это вполне стандартная вещь, хоть для компа с Линуксом, хоть для Винды. Соответственно, и искать это имеет смысл, привязываясь лишь к openvpn, и не привязываясь к Кинетику.

309

Re: OpenVPN keenetic

а с помощью чего можно создавать туннель из под mac os?

Отредактировано manja4ok (2013-06-04 22:58:37)

310

Re: OpenVPN keenetic

Openvpn он и в Африке, и на кинетике, и на макбуке - openvpn!
Offtopic - удалю.

311

Re: OpenVPN keenetic

Zyxmon :

Openvpn он и в Африке, и на кинетике, и на макбуке - openvpn!
Offtopic - удалю.

я это понимаю, но в сети на многих сайтах написан один и тот же манул для мак оси..
в результате - с нескольких машин (из вне) попробовал подключиться к кинетику через терминал

ssh -N -D 1194 root@109.86.13.80

в ответ Timeout

почему я спрашивал о способах подключения. в случае с кинетиком и openvpn на нем этот способ должен работать? если да, то получается, что сервер на кинетике настроен неверно или ошибка в правилах фаирвола... ход мыслей правильный?)

312

Re: OpenVPN keenetic

Подскажите какая скорость канала по openvpn получается? по железке ZyXEL Keenetic GIGA II или ZyXEL Keenetic GIGA

313

Re: OpenVPN keenetic

avtogen :

Подскажите какая скорость канала по openvpn получается? по железке ZyXEL Keenetic GIGA II или ZyXEL Keenetic GIGA

10Mbps

Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn...
Keenetic Giga & WD Mybook Live user

314

Re: OpenVPN keenetic

ZimniY :
avtogen :

Подскажите какая скорость канала по openvpn получается? по железке ZyXEL Keenetic GIGA II или ZyXEL Keenetic GIGA

10Mbps

я так понял это  ZyXEL Keenetic GIGA получаться упирается в железку? больше не как не сделать?

315

Re: OpenVPN keenetic

avtogen :

больше не как не сделать?

Я не смог. Но мне и этого за глаза обычно хватает.

Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn...
Keenetic Giga & WD Mybook Live user

316

Re: OpenVPN keenetic

Обычный Keenetic: 5Mb/s максимум по VPN, канал инета 50 мб, загрузка 100%, часто зависает при использовании на максимальной скорости.

Отредактировано gidiara (2013-06-21 21:43:24)

317

Re: OpenVPN keenetic

добрый вечер.
настроил vpn, всё работает.
только есть одно но - с впн клиента недоступны ssh и расшаренные ресурсы на роутере, которые открыты для внутренней сети.
Надо прописать разрешения для впн сети. А где это сделать?  roll

Отредактировано zordon (2013-06-23 22:30:00)

318

Re: OpenVPN keenetic

zordon :

А где это сделать?

Читайте эту тему, смотрите правила iptables.

319

Re: OpenVPN keenetic

Может кому пригодятся мои рабочие конфиги для соединения двух подсетей находящихся за роутерами c настроенным OpenVPN сервером и клиентом

Описание настроек:
Сеть 172.22.0.0 создана для туннеля VPN.
Сеть 172.22.1.0 находится за сервером.
Сеть 172.22.2.0 находится за клиентом.

С этими настройками все клиенты обеих подсетей будут иметь доступ друг к другу как будто бы они находятся в одной подсети.


Конфиг сервера:

port 1194
proto udp
dev tun

dh keys/dh1024.pem
ca keys/ca.crt
cert keys/server.crt
key keys/server.key

tls-server

ifconfig 172.22.0.1 172.22.0.2
route 172.22.2.0 255.255.255.0

cipher AES-128-CBC

keepalive 10 120
persist-key
persist-tun
comp-lzo
status logs/status.log
log logs/openvpn.log
verb 3

Конфиг клиента:

port 1194
proto udp
dev tun
remote ЗДЕСЬ_ВАШ_IP

ca keys/ca.crt
cert keys/client.crt
key keys/client.key

tls-client
 
ifconfig 172.22.0.2 172.22.0.1
route 172.22.1.0 255.255.255.0

cipher AES-128-CBC

keepalive 10 120
persist-key
persist-tun
comp-lzo
status logs/status.log
log logs/openvpn.log
verb 3

Правила iptables:

#!/bin/sh
iptables -A INPUT -p tcp --dport 1194 -j ACCEPT
iptables -A INPUT -p udp --dport 1194 -j ACCEPT

iptables -A INPUT -i tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -j ACCEPT
iptables -A FORWARD -o tun0 -j ACCEPT

iptables -I FORWARD 1 --source 172.22.0.0/24 -j ACCEPT
iptables -I FORWARD 1 --source 172.22.1.0/24 -j ACCEPT
iptables -I FORWARD 1 --source 172.22.2.0/24 -j ACCEPT

320

Re: OpenVPN keenetic

Хорошо бы в wiki http://keenetic.zyxmon.org/wiki/doku.php кто нибудь статью по openvpn написал!

К последним правилам я бы добавил

iptables -A INPUT -i lo -j ACCEPT


для доступа к сервисам кинетика.

321

Re: OpenVPN keenetic

большое спасибо, мне не доставало только одной строчки

iptables -A INPUT -i tun0 -j ACCEPT

322

Re: OpenVPN keenetic

Zyxmon, возможно ли пробросить на кинетике порт до сети находящейся за клиентом OpenVPN (при том что доступ к этой сети имеется)?

Сервер: 172.22.1.0/24
Клиент: 172.22.2.0/24

Мне нужно чтобы при обращении на внешний IP сервера отображался сервис на IP 172.22.2.11

323

Re: OpenVPN keenetic

Я уже рекомендовал задавать вопросы по openvpn в теме ixbt. И ссылку давал.

324

Re: OpenVPN keenetic

Zyxmon, дело в том, что здесь именно настройка Keenetic меня интересует. OpenVPN уже настроен и работает. Я хочу узнать можно ли пробросить порт в Keenetic'e в сетку находящуюся в отдельной от него самого. Проброс портов через web позволяет сделать проброс только до сети 172.22.1.0/24 в которой находится сервер, а мне нужно пробросить до сети 172.22.2.0/24. Т.е. нужен какой-то обходной способ или как-то прописать через консоль - это возможно?

325

Re: OpenVPN keenetic

purepower, iptables. Есть отдельная тема по subj. И отличное руководство на русском.
Есть еще iproute2 (пакет ip) - он до конца не оттестирован.