401

Re: OpenVPN keenetic

Всем привет. Попытался настроить возможность аутентификации через логин пароль, добавил на сервер скрипт проверки аутентификации с отрытым паролем на sh, все запустилось но при коннекте, коннект рушиться, в логах WARNING: Failed running command (--auth-user-pass-verify): could not execute external program; по гуглил поставил security level 3, не помогло. Предполагаю есть нюансы. Плиз хелп, какие мысли будут по этому? neutral
Конфиг сервера

port xxxx
proto tcp-server
dev tun0

dh dh1024.pem
ca ca.crt
cert server.crt
key server.key

tls-server
mode server

server 10.3.0.0 255.255.255.0
push "route 192.168.59.0 255.255.255.0"

script-security 3
auth-user-pass-verify verify.sh via-env
client-cert-not-required
username-as-common-name
tmp-dir /media/DISK_A1/system/etc/openvpn/tmp

client-to-client

cipher AES-128-CBC
keepalive 10 120

persist-key
persist-tun
comp-lzo
status logs/status.log
log logs/openvpn.log
verb 3
mute 5

Конфиг клиента

client
dev tun
proto tcp
port xxxx
nobind
remote xxxx.xx
ca client.ca.crt
cert client.crt
key client.key
tls-client
client
resolv-retry infinite
ns-cert-type server
cipher AES-128-CBC
persist-key
persist-tun
comp-lzo
verb 3
mute 5
auth-user-pass

Лог сервера

Fri Dec 27 21:45:52 2013 OpenVPN 2.3.2 mipsel-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Jul 29 2013
Fri Dec 27 21:45:52 2013 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Fri Dec 27 21:45:52 2013 Diffie-Hellman initialized with 1024 bit key
Fri Dec 27 21:45:52 2013 WARNING: POTENTIALLY DANGEROUS OPTION --client-cert-not-required may accept clients which do not present a certificate
Fri Dec 27 21:45:52 2013 WARNING: file 'server.key' is group or others accessible
Fri Dec 27 21:45:52 2013 Socket Buffers: R=[87380->131072] S=[16384->131072]
Fri Dec 27 21:45:52 2013 TUN/TAP device tun0 opened
Fri Dec 27 21:45:52 2013 TUN/TAP TX queue length set to 100
Fri Dec 27 21:45:52 2013 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Fri Dec 27 21:45:52 2013 /sbin/ifconfig tun0 10.3.0.1 pointopoint 10.3.0.2 mtu 1500
Fri Dec 27 21:45:52 2013 /sbin/route add -net 10.3.0.0 netmask 255.255.255.0 gw 10.3.0.2
Fri Dec 27 21:45:52 2013 Listening for incoming TCP connection on [undef]
Fri Dec 27 21:45:52 2013 TCPv4_SERVER link local (bound): [undef]
Fri Dec 27 21:45:52 2013 TCPv4_SERVER link remote: [undef]
Fri Dec 27 21:45:52 2013 MULTI: multi_init called, r=256 v=256
Fri Dec 27 21:45:52 2013 IFCONFIG POOL: base=10.3.0.4 size=62, ipv6=0
Fri Dec 27 21:45:52 2013 MULTI: TCP INIT maxclients=1024 maxevents=1028
Fri Dec 27 21:45:52 2013 Initialization Sequence Completed
Fri Dec 27 21:46:29 2013 TCP connection established with [AF_INET]XXX.XXX.XXX.XXX:52327
Fri Dec 27 21:46:29 2013 XXX.XXX.XXX.XXX:52327 TLS: Initial packet from [AF_INET]XXX.XXX.XXX.XXX:52327, sid=986febc1 d04c036b
Fri Dec 27 21:46:30 2013 XXX.XXX.XXX.XXX:52327 WARNING: Failed running command (--auth-user-pass-verify): could not execute external program
Fri Dec 27 21:46:30 2013 XXX.XXX.XXX.XXX:52327 TLS Auth Error: Auth Username/Password verification failed for peer
Fri Dec 27 21:46:30 2013 XXX.XXX.XXX.XXX:52327 SIGTERM[soft,auth-control-exit] received, client-instance exiting
Fri Dec 27 21:46:35 2013 TCP connection established with [AF_INET]XXX.XXX.XXX.XXX:52332
Fri Dec 27 21:46:35 2013 XXX.XXX.XXX.XXX:52332 Connection reset, restarting [0]
Fri Dec 27 21:46:35 2013 XXX.XXX.XXX.XXX2:52332 SIGUSR1[soft,connection-reset] received, client-instance restarting

P.S Права на выполнение скрипта давал chmod +X verify.sh; Делал файл чтоб возвращал 0 (1 тоже пробовал).

Отредактировано darkfloppy (2013-12-28 10:10:57)

402

Re: OpenVPN keenetic

darkfloppy, такие вопросы следует задавать на форумах, посвященных openvpn. Я уже давал ссылку на такой. Лично я бы прописал полный путь к скрипту verify.sh в конфиге сервера.

403

Re: OpenVPN keenetic

Zyxmon :

XAP9I, так я тыкал (в прикрепленные темы - а их всего 8). По названию тема по прошивкам видна сразу. Исходите пока из админского принципа - "работает - не трогай!".

Уже нашел, но менять не стал, принцип правилен;)
P.s. не находил из-за необходимости авторизации на форуме, гость перенаправляется в другое место((

Отредактировано XAP9I (2013-12-29 12:51:08)

404

Re: OpenVPN keenetic

XAP9I, опять Вы не то нашли. Архивы с модулями ядра собирал я и выложены они на dropbox. Никакой авторизации.

405

Re: OpenVPN keenetic

господа линуксойды, при всём уважении, не являюсь техническим специалистом,  по вышеуказанным советам в топике решить проблему с tun.ko не удалось, однозначных советов и инструкций решающих проблему я так и не нашёл

Итак, роутер Zyxel Keenetic, V1.00(BFW.4.4)D0(последняя официальная 1.0 доступная на оффсайте zyxel)
Делал всё по инструкции
http://www.3dnews.ru/workshop/612504
естественно, наткнулся на ту же проблему что и ТС, далее, на 14-й странице данного топика наткнулся на совет
г-на Maltar-a

Решение:
редактируем файл: K11openvpn
вставляем строчку : rnmod tun в ветке start
и исправляем строчку в ветке stop:
rmmod $MOUNT/lib/modules/2.6.22-tc/tun.ko на rmmod  tun

не помогло, как я я понял из-за проблемы с tun.ko,

opkg install --force-reinstall kmod-tun
не помогло
отключение аппаратного nat-a не помогло

логи девайса касательно запуска демона
6 янв 03:23:31    openvpn[1451]    OpenVPN 2.3.2 mipsel-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Jul 29 2013
6 янв 03:23:31    openvpn[1451]    WARNING: file '/media/DISK_A1/system/var/static.key' is group or others accessible
6 янв 03:23:31    openvpn[1451]    ERROR: Cannot open TUN/TAP dev /dev/net/tun: No such device (errno=19)
6 янв 03:23:31    openvpn[1451]    Exiting due to fatal error

Что делать, где взять "правильный" tun для моей версии ПО и как его установить?
Только если можно на уровне чайника а не гуру, ядра там всякие и мануалы это нереально для меня сейчас.  hmm
lsmod


/media/DISK_A1/system/root # lsmod
Module                  Size  Used by    Tainted: P
igmpsn                 57712  0
swlink                  2512  0
fastnat                 3744  0
rt2860v2_ap           675808  1
hfsplus               102160  0
sierra                 12432  0
dwc_otg                92384  0
lm                      2176  1 dwc_otg,[permanent]
powerstat               3040  0
ralink_wdt              1888  0
xt_mark                 1344  0
xt_mac                  1536  0
ipt_webstr              4128  0
ipt_ipp2p               9728  0
rtled                   4896  1 rt2860v2_ap
nf_nat_pptp             2496  0
nf_nat_proto_gre        2032  1 nf_nat_pptp
nf_conntrack_pptp       5168  1 nf_nat_pptp
nf_conntrack_proto_gre     3840  1 nf_conntrack_pptp
nf_nat_h323             7136  0
nf_conntrack_h323      38912  1 nf_nat_h323

406

Re: OpenVPN keenetic

vanyaivanov :

....
Делал всё по инструкции
http://www.3dnews.ru/workshop/612504....

Где читаете инструкцию - там и вопросы задавайту. У нас тут свои инструкции - а та устаревшая. Скорее всего Вы намешали солянку из разных инструкций.

407

Re: OpenVPN keenetic

Zyxmon :
vanyaivanov :

....
Делал всё по инструкции
http://www.3dnews.ru/workshop/612504....

Где читаете инструкцию - там и вопросы задавайту. У нас тут свои инструкции - а та устаревшая. Скорее всего Вы намешали солянку из разных инструкций.

"Ваша" инструкция это имеется ввиду вот эта?
http://keenetic.zyxmon.org/wiki/doku.ph … ka_openvpn
или какая-то другая ссылка есть?

408

Re: OpenVPN keenetic

vanyaivanov, это инструкция одного из форумчан, вполне актуальная. Но начинать нужно с установки правильной системы opkg - у Вас, скорее всего, все изначально установлено неправильно.

409

Re: OpenVPN keenetic

Zyxmon :

vanyaivanov, это инструкция одного из форумчан, вполне актуальная. Но начинать нужно с установки правильной системы opkg - у Вас, скорее всего, все изначально установлено неправильно.

устанавливать "правильно" okpg нужно по следующей инструкции?
http://keenetic.zyxmon.org/wiki/doku.ph … ka_paketov
и что значит "правильная" okpg, она вроде одна и та же для всех версий прошивки ВЫПУЩЕННЫХ ПОСЛЕ 10 НОЯБРЯ 2011 ГОДА

вот этот файл.
И какую прошивку устанавливать чтобы было меньше гемора- последнюю официальную V1.00(BFW.4.4)D0
или новые кастомные 1.11 или какая там последняя стабильная?
Заранее благодарность и уважение. smile

410

Re: OpenVPN keenetic

vanyaivanov, для белых кинетиков все прошивки стабильные. В последних прошивках модуль tun.ko есть в папке /lib/modules/current.
Инсталятор - правильный, но выше у Вас вылезли в сообщении строчки для черных моделей. Внимательно все делайте и все выйдет.

411

Re: OpenVPN keenetic

Zyxmon :

vanyaivanov, для белых кинетиков все прошивки стабильные. В последних прошивках модуль tun.ko есть в папке /lib/modules/current.
Инсталятор - правильный, но выше у Вас вылезли в сообщении строчки для черных моделей. Внимательно все делайте и все выйдет.

Спасибо огромное за помощь, туннель до роутера поднялся, теперь основной вопрос...
туннель то поднялся но хотелось бы чтобы весь интернет траффик с ноутбука и на ноутбук шел через этот шифрованный туннель, а сейчас всё по прежнему, туннель поднят но при серфинге траффик идёт, страницы грузятся в обход туннеля, по-старому.

Я конечно понимаю что вопрос тупой, но за помощь был бы благодарен, как я понимаю, нужно что то прописать в config.ovpn клиента, если не прав, поправьте что нужно сделать, smile

412

Re: OpenVPN keenetic

Это уже конечно за рамки темы, но
можно в командной строке ноута вбить:
route add 87.240.0.0 mask 255.255.0.0 10.8.0.5
адреса из примера:
87.240.0.0 - адрес подсетки в которую хотим идти через ВПН
255.255.0.0 - маска этой подсетки (примеры реальные от серверов вконтакте, которые обычно заблочены в организациях)
10.8.0.5 - виртуальный адрес шлюза. вот тут внимание! это пример если вы работаете через "dev tun". если ipconfig на ноуте показывает 10.8.0.6, то виртуальный адрес шлюза будет 10.8.0.5 (на единичку меньше и он не пингуется!)
Как назначить маршрут для всего интернета - догадайтесь сами. И да, команды route можно описать в конфиге OpenVPn, так чтобы они передавались каждому клиенту, который подключается (команда push "route add 87.240.0.0 mask 255.255.0.0 10.8.0.5" вроде бы).

PS: на самом кинетике, еще вероятно придется пошаманить с iptables, чтобы трафик из VPN ретранслировался в inet.

Отредактировано SkyKilla (2014-01-20 06:15:23)

413

Re: OpenVPN keenetic

SkyKilla :

Это уже конечно за рамки темы, но

спасибо гуру но что то не получается,

мои данные подключения с монитора кинетика
IP-адрес:    46.188.55.189
Маска подсети:    255.255.255.0
Основной шлюз:    46.188.55.1

а мои действующие маршруты на мониторе кинетика выглядят вот так:
10.8.0.2    255.255.255.255    0.0.0.0    tun0
46.188.55.0    255.255.255.0    0.0.0.0    WAN
192.168.1.0    255.255.255.0    0.0.0.0    LAN
0.0.0.0    0.0.0.0    46.188.55.1    WAN

следовательно, насколько я понимаю, чтобы завернуть абсолютно весь траффик на клиентской машине на этот туннель
в командной строке нужно вбивать  route add 46.188.55.0 mask 255.255.0.0 10.8.0.1?
вбиваю, пишет сбой добавления маршрута: параметр задан неверно

где ошибка?

Как назначить маршрут для всего интернета - догадайтесь сами.

суровы вы как то к нам чайникам. big_smile

PS: на самом кинетике, еще вероятно придется пошаманить с iptables, чтобы трафик из VPN ретранслировался в inet.

эээ, а более конкретно никак нельзя, исходя из моей карты маршрутов указанной сверху, а то "подшаманить" то легко сказать, а чайнику мануалы дня три читать  wink

P.S. посмотрел клиентский конфиг программы Comodo TrustConnect которой я пользуюсь иногда, так там протокол тоннеля указан tcp, а в нашем поднятом тоннеле протокол стоит udp, а я хочу чтобы абсолютно весь траффик с ноутбука шел через тоннель(включая скайп , сайты и т.д.), т.е. выход во внешний интернет с клиентского ноутбука должен быть только через кинетик(все протоколы весь траффик вообще) , как такое устроить , я конечно понимаю, тупой вопрос, мануалы читать просто из-за занятости не могу себе позволить на данный момент:o .

P.P.S. если всё получится то с меня пиво big_smile

414

Re: OpenVPN keenetic

vanyaivanov, в конфиге сервера

push "default-gateway"
Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn...
Keenetic Giga & WD Mybook Live user

415

Re: OpenVPN keenetic

vanyaivanov :

я хочу чтобы абсолютно весь траффик с ноутбука шел через тоннель(включая скайп , сайты и т.д.), т.е. выход во внешний интернет с клиентского ноутбука должен быть только через кинетик(все протоколы весь траффик вообще) , как такое устроить , я конечно понимаю, тупой вопрос

Действительно, очень тупой вопрос, так как ты перепутал транспортный протокол и то, что по нему будет передаваться. "Узбагойзя", передастся не только UDP.

Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn...
Keenetic Giga & WD Mybook Live user

416

Re: OpenVPN keenetic

Мой серверный openvpn.conf:

mlock
nice -5
fast-io
tls-server

######################################################################

port 1194
proto udp
dev tun
tun-mtu 1500
tun-mtu-extra 32
mssfix maybe
fragment maybe

######################################################################

float
client-to-client
keepalive 10 120
comp-lzo
persist-key
persist-tun
replay-window 64 15

######################################################################

server 192.168.1.0 255.255.255.0

push "comp-lzo"
push "persist-tun"

push "ping 10"
push "ping-restart 60"
push "route-delay 3"
push "route-method exe"
push "route 192.168.0.0 255.255.255.0" # Сеть LAN
push "dhcp-option DNS 192.168.0.1"
push "redirect-gateway"

######################################################################

ifconfig-pool-persist "/opt/var/lib/openvpn/openvpn.ipp"

status-version 2
status "/var/run/openvpn.status"


######################################################################

ca "/opt/etc/openvpn/keys/ca.crt"

dh "/opt/etc/openvpn/keys/dh2048.pem"

tls-auth "/opt/etc/openvpn/keys/ta.key" 0

cert "/opt/etc/openvpn/keys/server.crt"
key "/opt/etc/openvpn/keys/server.key"

#crl-verify "/opt/etc/openvpn/keys/crl.pem" # Раскомментировать, если есть отозванные сертификаты

######################################################################

client-config-dir "/opt/etc/openvpn/ccd"

######################################################################

#verb 0 # Раскомментировать, когда всё отладите
#mute 10 # Раскомментировать, когда всё отладите

Сертификаты генерировались по мануалу на офсайте. Ради интереса, в этот раз я их на роутере и сгенерил.

Отредактировано ZimniY (2014-01-20 15:47:08)

Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn...
Keenetic Giga & WD Mybook Live user

417

Re: OpenVPN keenetic

ZimniY :

push "default-gateway"

не помогает, с клиентского ноутбука продолжает лезть в интернет напрямую, а не через туннель

мой серверный openvpn.conf(ключ пока один файл -простейший static.key, когда с ним всё поднимется- буду дальше с ключами разбираться.)
######################################################################
port 1194
proto udp
dev tun
secret /media/DISK_A1/system/var/static.key
ifconfig 10.8.0.1 10.8.0.2
keepalive 10 120
persist-key
persist-tun
comp-lzo
push "default-gateway"
status /media/DISK_A1/data/status.log
log /media/DISK_A1/data/openvpn.log
verb 3
mute 5

может еще что то добавить сюда?

задача то в принципе простая- при поднятии туннеля на клиентском ноутбуке выход во внешний инет должен осуществляться ТОЛЬКО через туннель(роутер)

p.s. клиентский конфиг(router.ovpn):


remote ИМЯ_СЕРВЕРА_DYNDNS
dev tun
ifconfig 10.8.0.2 10.8.0.1
secret "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\static.key"
comp-lzo
keepalive 10 120
ping-timer-rem
persist-tun
persist-key
route 192.168.1.0 255.255.255.0

Отредактировано vanyaivanov (2014-01-20 17:20:35)

418

Re: OpenVPN keenetic

vanyaivanov, у тебя point-to-point конфигурация, емнип. Там некуда приделывать "default-gateway".

Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn...
Keenetic Giga & WD Mybook Live user

419

Re: OpenVPN keenetic

Имеется клиент, которому пров динамически выдает реальник, но т.к. там бывают довольно часто разрывы то при переподключении PPoE IP может измениться за час до 3 раз, а может и сутки быть не изменным. Задача такова, что б при подключении этого клиента выполнялся скрипт(желательно на клиенте), который бы обновлял запись А в доменной зоне на этот хост. Сооответственно срабатывал при ip up. Можно ли это как-то прикрутить к лиенту? Добавил сегодня в конфиг клиента "up-restart ", но после ребута ovpn на стороне клиента он больше не вернулся.

Можно конечно этот скрипт к крону привязать, но не охото, что б он постоянно долбил DNS зону на сервере.

Или же как-то это прикрутить к серверу, но как вытащить IP c которого коннектится именно этот конкретный клиент?

420

Re: OpenVPN keenetic

Keenetic выступает в роли сервера.
Подскажите, пожалуйста, какие из строк, приведенных ниже, нужно оставить по минимуму, чтобы:
1) клиент мог выходить через keenetic в Интернет
2) из домашней сети можно было обращаться к клиенту (в частности удаленный рабочий стол)
3) клиент не имел доступа к ресурсам домашней сети (в частности к USB-диску, подключенному к Keenetic)
Необходимо выполнение всех 3-х условий, т.к. клиент поднимается на работе и в теории возможна ситуация, когда к рабочему компу будут иметь доступ 3-и лица.

#!/bin/sh
iptables -I FORWARD 1 --source 172.10.0.0/24 -j ACCEPT
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
iptables -I INPUT -i tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -j ACCEPT
iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE
iptables -t filter -A INPUT -i lo -j ACCEPT

Отредактировано WiMAX (2014-02-19 00:41:20)

421

Re: OpenVPN keenetic

/media/DISK_A1/system/root # /media/DISK_A1/system/etc/init.d/K11openvpn start

Loading OpenVPN kernel modules:
rmmod: tun: No such file or directory
insmod: cannot insert '/media/DISK_A1/system/lib/modules/2.6.22-tc/tun.ko': invalid module format (-1): Exec format error

Starting OpenVPN in daemon mode....failed
/media/DISK_A1/system/root #
/media/DISK_A1/system/root # lsmod tun.ko
Module                  Size  Used by    Tainted: P
cc                     37632  0
fastvpn                 5712  0
fastnat                 3200  0
swlink                  2976  0
hw_nat                 32624  0
rt5390ap             1014480  1
pppol2tp               11744  2
uvcvideo               67296  0
videodev               86608  1 uvcvideo
hfsplus               100592  0
sierra                 12912  0
tntfs                 491328  16
powerstat               2656  0
ipt_webstr              4160  0
ipt_ipp2p               9728  0
xt_mark                 1344  0
xt_mac                  1440  0
raeth                 121152  2 swlink
rtled                   4848  1 rt5390ap
/media/DISK_A1/system/root #
/media/DISK_A1/system/root # rmmod tun.ko
rmmod: tun.ko: No such file or directory
/media/DISK_A1/system/root # ls /media/DISK_A1/system/lib/
modules  upgrade
/media/DISK_A1/system/root # ls /media/DISK_A1/system/lib/modules
2.6.22-tc
/media/DISK_A1/system/root # ls /media/DISK_A1/system/lib/modules/2.6.22-tc/
tun.ko
/media/DISK_A1/system/root # uname -a
Linux Giga2-KMS 2.6.22.15 #1 SMP Sun Dec 29 19:10:23 MSK 2013 mips GNU/Linux 

Пробовал все версии tun, найденные на данном форуме. Вопрос так и не решился?

422

Re: OpenVPN keenetic

komsmol :

Пробовал все версии tun

А зачем их пробовать, если последние версии прошивки 1.11 идут с tun.ko в папке /lib/modules.....
PS Выложенные мной модули на dropbox совпадают бинарно с модулями из прошивки.

423

Re: OpenVPN keenetic

Скопировал из прошивки модуль-завелось всё. Пошел настраивать.

424

Re: OpenVPN keenetic

komsmol, зачем глупостями занимаетесь. Нужно путь в скрипте исправить, копировать ничего не нужно, даже вредно.

425

Re: OpenVPN keenetic

Добрый день! Несколько часов поисков нужной версии tun.ko не дали результата, потратил время впустую. Желаю всем кто столкнется с проблемой запуска openvpn сэкономить время.
Указываю явно что нужно сделать:
Проблема

insmod: cannot insert '/media/DISK_A1/system/lib/modules/2.6.22-tc/tun.ko': invalid module format (-1): Exec format

Решение
Исправить скрипт инициализации /media/DISK_A1/system/etc/init.d/K11openvpn (или похожий путь)

#       insmod $MOUNT/lib/modules/2.6.22-tc/tun.ko  заменить на
        insmod /lib/modules/current/tun.ko

затем успешный запуск /media/DISK_A1/system/etc/init.d/K11openvpn start
Выражаем благодарность Zyxmon'у.