426

Re: OpenVPN keenetic

ner0, так об этом предыдущий мой пост. Если же понадобяться другие модули ядра, то они лежат в папках с прошивками. Читаем прикрепленную тему http://forum.zyxmon.org/topic627-posled … tikov.html
Для последних прошивок от января 2014г они тут https://www.dropbox.com/sh/idacrb5n9icx … 1.11final2
Отдельные архивы для белых, черных без SMTC и черных с SMTC кинетиков.

Re: OpenVPN keenetic

Вопрос по OpenVPN
Возникла необходимость иметь на одном роутере и клиент, и сервер, которые работали бы независимо друг от друга. Единственный доступный мне вариант - поднять на Keenetic два tun-интерфейса для этого, так бы я сделал на десктопе. Каким образом это можно реализовать? Или есть другой путь?
Спасибо.

428

Re: OpenVPN keenetic

Вопрос аналогичный поднятому в этой теме ранее: http://forum.zyxmon.org/post2302.html#p2302, т.е. проблема с разрешением имен . Хотя, подозреваю, что сам openvpn не виноват. Вкратце имеется две сети: маленькая и большая. Маленькая выходит в интернет через Zyxel Keenetic Giga II (1.10.B.RU.NDMS). В большой сети находится DNS сервер (отдельно стоящая машина, контроллер домена Win2008), большая сеть ходит наружу через шлюз на ubuntu. Между сетями был организован туннель посредством Openvpn. И вот, захотелось машины из маленькой сети ввести в домен из большой сети. И тут обнаружилось то, о чем говорилось еще в самом начале этой темы. Если прописать на клиентах из маленькой сети dns-сервер из большой - разрешение имен не работает.
Проведя трассировку на сервере DNS, обнаружил что запросы от клиентов из маленькой сети успешно обрабатываются, ответы отправляются клиентам. Проверил iptables как на шлюзе в большой сети , так и на zyxel'е в малой. Правил достаточно для успешного прохождения пакетов. После этого поставил на zyxel tcpdump и стал проверять что проходит по интерфейсам tun0 и eth2
Натравив tcpdump на eth2 и затем прописав на клиенте адрес dns-сервера, получил такое: (предварительно поясню, что 192.168.136.33 - клиент в малой сети, на котором пытаюсь разрешить имя, 192.168.96.124 - DNS-сервер в большой сети)

14:39:59.998940 IP 192.168.136.33.62998 > 192.168.96.124.53: 12058+ SOA? www.microsoft.com. (35)
14:40:00.178168 IP 192.168.96.124.53 > 192.168.136.33.62998: 12058 3/0/0 CNAME toggle.www.ms.akadns.net., CNAME g.www.ms.akadns.net., CNAME lb1.www.ms.akadns.net. (107)
14:40:00.180240 IP 192.168.136.33.60655 > 192.168.96.124.53: Flags [S], seq 3883711783, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
14:40:00.210856 IP 192.168.96.124.53 > 192.168.136.33.60655: Flags [S.], seq 2579151769, ack 3883711784, win 8192, options [mss 1368,nop,wscale 8,nop,nop,sackOK], length 0
14:40:00.211437 IP 192.168.136.33.60655 > 192.168.96.124.53: Flags [.], ack 1, win 256, length 0
14:40:00.211577 IP 192.168.136.33.60655 > 192.168.96.124.53: Flags [P.], seq 1:38, ack 1, win 256, length 375842+ SOA? www.microsoft.com. (35)
14:40:00.223560 IP 192.168.96.124.53 > 192.168.136.33.60655: Flags [P.], seq 1:173, ack 38, win 513, length 1725842 3/1/0 CNAME toggle.www.ms.akadns.net., CNAME g.www.ms.akadns.net., CNAME lb1.www.ms.akadns.net. (170)
14:40:00.224315 IP 192.168.136.33.60655 > 192.168.96.124.53: Flags [F.], seq 38, ack 173, win 255, length 0
14:40:00.245311 IP 192.168.96.124.53 > 192.168.136.33.60655: Flags [.], ack 39, win 513, length 0
14:40:00.245844 IP 192.168.96.124.53 > 192.168.136.33.60655: Flags [F.], seq 173, ack 39, win 513, length 0
14:40:00.246413 IP 192.168.136.33.60655 > 192.168.96.124.53: Flags [.], ack 174, win 255, length 0
14:40:05.313090 IP 192.168.136.33.62999 > 192.168.96.124.53: 1+ PTR? 124.96.168.192.in-addr.arpa. (45)
14:40:05.352969 IP 192.168.96.124.53 > 192.168.136.33.62998: 1 NXDomain 0/0/0 (45)
14:40:05.353502 IP 192.168.136.33 > 192.168.96.124: ICMP 192.168.136.33 udp port 62998 unreachable, length 81
14:40:07.311487 IP 192.168.136.33.63000 > 192.168.96.124.53: 2+ A? ixbt.com. (26)
14:40:07.356518 IP 192.168.96.124.53 > 192.168.136.33.62998: 2 1/0/0 A 91.208.42.67 (42)
14:40:07.357084 IP 192.168.136.33 > 192.168.96.124: ICMP 192.168.136.33 udp port 62998 unreachable, length 78
14:40:09.311208 IP 192.168.136.33.63001 > 192.168.96.124.53: 3+ AAAA? ixbt.com. (26)
14:40:09.313917 IP 192.168.96.124.53 > 192.168.136.33.62998: 3 0/1/0 (91)
14:40:09.314693 IP 192.168.136.33 > 192.168.96.124: ICMP 192.168.136.33 udp port 62998 unreachable, length 127
14:40:11.311171 IP 192.168.136.33.63002 > 192.168.96.124.53: 4+ A? ixbt.com. (26)
14:40:11.313520 IP 192.168.96.124.53 > 192.168.136.33.62998: 4 1/0/0 A 91.208.42.67 (42)
14:40:11.314079 IP 192.168.136.33 > 192.168.96.124: ICMP 192.168.136.33 udp port 62998 unreachable, length 78
14:40:13.311235 IP 192.168.136.33.63003 > 192.168.96.124.53: 5+ AAAA? ixbt.com. (26)
14:40:13.313786 IP 192.168.96.124.53 > 192.168.136.33.62998: 5 0/1/0 (91)
14:40:13.314356 IP 192.168.136.33 > 192.168.96.124: ICMP 192.168.136.33 udp port 62998 unreachable, length 127

Т.е. когда я указываю на клиенте адрес DNS-сервера, ОС (как видим это windows) проверяет наличие доступа в интернет послав запрос по поводу www.microsoft.com с порта 62998.  Ответы на последующие запросы , в т.ч. на мои потуги разрешить ixbt.com, приходят не на порты с которых эти запросы отправлялись, а на все тот же порт 62998, с которого все началось.
Отсюда вопрос: как это исправить (имею в виду , как сделать чтобы ответы возвращались на "правильные порты", а не на те, где никто уже не ждет ответа) ?

Отредактировано sparky (2014-05-28 15:22:40)

429

Re: OpenVPN keenetic

Добрый день!
На http://openvpn.net/ пишут, что обновили OpenSSL с целью исключить небезызвестную уязвимость. Есть надежда, что обновка будет и для кинетиков?

430

Re: OpenVPN keenetic

SkyKilla, в Entware все давно обновили. Для Zyxware - http://forum.zyxmon.org/post18793.html#p18793
Если используете Zyxware - отпишитесь по результатам проверки.

431

Re: OpenVPN keenetic

Ну что-же, отписываюсь. У меня Zyxware и Giga II. OpenVPN в качестве сервера. Обновил libopenssl до 1.0.1g-1 по вашей ссылке. Все работает.

432

Re: OpenVPN keenetic

Подскажите пожалуйста, что и где надо подкрутить, чтобы подключившись к OpenVPN серверу на кинетике, была возможность видеть расшаренные папки в сети и содержимое флешки, которая в роутере.
На данный момент у меня локальная сеть 192.168.1.x , провайдер выдаёт IP вида 10.x.x.x , а под OpenVPN я выбрал 172.16.0.0.
В fw.sh прописано следующее

iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -I FORWARD 1 --source 172.16.0.0/24 -j ACCEPT
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE

Вроде как насколько я понимаю это позволяет ходить пакетам между tun интерфейсом и br0, тоесть вроде как всё должно работать. Правда не ясно пока какие подключения объединяются в br0...

433

Re: OpenVPN keenetic

matrix9164, для начала купите белый ip у провайдера.

434

Re: OpenVPN keenetic

Zyxmon, у меня есть белый динамический IP + DDNS. OpenVPN сейчас успешно работает, но хотелось бы упомянутого выше функционала.

Отредактировано matrix9164 (2014-06-11 15:05:35)

435

Re: OpenVPN keenetic

matrix9164, если есть белый ip ( не 10.х.х.х), то читайте эту тему и тему ixbt.

436

Re: OpenVPN keenetic

matrix9164, я тоже пробовал ту копипасту, которую вы привели, но у меня на кинетике за эту функцию отвечают такие строчки:

iptables -A INPUT -i tun -p tcp --source 10.8.1.0/24 -j ACCEPT #открыть хождение из ВПН к самому роутеру
iptables -I FORWARD 1 --source 10.8.1.0/24 -j ACCEPT  #открыть хождение из ВПН в локалку за роутером

10.8.1.0/24 - та подсеть, которая настроена и обслуживается в OpenVPN

437

Re: OpenVPN keenetic

Тыкните на инструкцию как установить openvpn вот без этой ошибки на чёрном кинетики

Loading OpenVPN kernel modules:
insmod: cannot insert '/media/DISK_A1/system/lib/modules/2.6.22-tc/tun.ko': inva                    lid module format (-1): Exec format error

438

Re: OpenVPN keenetic

va5ya, об этом уже писалось. У Вас 2 решения
1. Замените модуль tun.ko на правильный из архива.
2. Используйте tun.ko из прошивки.

Третье решение - поставить NOSMP прошивку.

Перед тем, как задать вопрос рекомендую прочесть прикрепленные темы (темы с пометкой Важно). Этот совет относится ко всем форумам. Не только этому.

439

Re: OpenVPN keenetic

Добрый день!
Пытаюсь прикрутить OpenVPN по мануалу из wiki http://keenetic.zyxmon.org/wiki/doku.ph … ka_openvpn.

Первая проблема началась на этапе "Подготовка OpenVPN" при вводе команды
mv /media/DISK_A1/system/etc/init.d/K11openvpn /media/DISK_A1/system/etc/init.d/S11openvpn. Появляется ошибка: mv: can't rename '/media/disk_a1/system/etc/init.d/k11openvpn': No such file or directory. Переименовал файл K11openvpn в S11openvpn руками.

Дальше пункт: Необходимо отредактировать основной файл настроек OpenVPN, находящийся по адресу »/media/DISK_A1/system/etc/openvpn/openvpn.conf». У меня такого файла не было.
Установил nano, пишу  nano /media/disk_a1/system/etc/openvpn/openvpn.conf, заполняю нужным текстом. При сохранении опять же ошибка [ Error writing /media/disk_a1/system/etc/openvpn/openvpn.conf: No such file or directory ].
Что я делаю не так? Я хоть и программист, но именно в этих делах не сильно разбираюсь. Заранее спасибо  smile

440

Re: OpenVPN keenetic

нет папки /media/disk_a1/system/etc/openvpn потому и не может сохранить файл

Zyxel keenetic первой серии Entware

441

Re: OpenVPN keenetic

Обратите внимание на регистр букв. В частности "DISK_A1". В линуксе важен регистр.

442

Re: OpenVPN keenetic

dexter :

Обратите внимание на регистр букв. В частности "DISK_A1". В линуксе важен регистр.

Большое спасибо. Ковыряюсь дальше  smile

443

Re: OpenVPN keenetic

Дальше всё получилось. Путаюсь запустить
/media/DISK_A1/system/root # /media/DISK_A1/system/etc/init.d/S11openvpn start

Loading OpenVPN kernel modules:

Starting OpenVPN in daemon mode....failed

Каких-то логов я не нашёл.

444

Re: OpenVPN keenetic

EvgenPRM, в последних прошивках модуль ядра tun следует брать "заводской", из прошивки. Нужно соответсвенно немного отредактировать скрипт запуска.

Только не спрашивайте, где взять tun и как отредактировать скрипт. Если Вы эту детскую задачу не решите, то система пакетов не для Вас.

445

Re: OpenVPN keenetic

EvgenPRM, в S11openvpn строку запуска
$MOUNT/usr/sbin/openvpn --cd $MOUNT/etc/openvpn --daemon --script-security 2 --config openvpn.conf > /dev/null 2>&1
можно исправить на
$MOUNT/usr/sbin/openvpn --cd $MOUNT/etc/openvpn --daemon --script-security 2 --config openvpn.conf
чтобы с экрана прочитать то, почему openvpn не хочет стартовать
Потом все вернуть в исходное состояние

446

Re: OpenVPN keenetic

Что-то я ничего не понимаю.. Может чего упустил?
Есть белая гига на последней 1.11, openvpn работает исправно в качестве клиента (маршрутизируются некоторые айпишники через сервер)
Хотел поставить то же самое на черную гигу тоже с 1.11, пробовал прошивки и с SMTC и без, одна и та же фигня - к серверу присоединяется, маршруты получает и потом падает

Sun Dec 14 14:18:14 2014 us=506842 OPTIONS IMPORT: timers and/or timeouts modified
Sun Dec 14 14:18:14 2014 us=506977 OPTIONS IMPORT: --ifconfig/up options modified
Sun Dec 14 14:18:14 2014 us=507054 OPTIONS IMPORT: route options modified
Sun Dec 14 14:18:27 2014 us=643960 TUN/TAP device tun0 opened
Sun Dec 14 14:18:27 2014 us=644183 TUN/TAP TX queue length set to 100
Sun Dec 14 14:18:27 2014 us=644318 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Sun Dec 14 14:18:27 2014 us=644539 /sbin/ifconfig tun0 192.168.200.10 pointopoint 192.168.200.9 mtu 1500
Sun Dec 14 14:18:27 2014 us=653846 Linux ifconfig failed: could not execute external program
Sun Dec 14 14:18:27 2014 us=654044 Exiting due to fatal error

Я так понимаю не создается tun0... Но из-за чего? На белом кинетике абсолютно такой же конфиг и файл запуска (tun.ko подгружается через /lib/modules/current и загружается корректно везде) отрабатывает нормально

Отредактировано KorDen (2014-12-14 14:33:21)

447

Re: OpenVPN keenetic

KorDen, модуль ядра tun.ko выложен отдельно для прошивок с SMTC и без. Но он и не нужен, т.к. tun.ko есть в прошивке.
PS Уже много месяцев использую без проблем openvpn на Ultra с 1.11 без SMTC (Entware).

448

Re: OpenVPN keenetic

Zyxmon :

KorDen, модуль ядра tun.ko выложен отдельно для прошивок с SMTC и без. Но он и не нужен, т.к. tun.ko есть в прошивке.
PS Уже много месяцев использую без проблем openvpn на Ultra с 1.11 без SMTC (Entware).

Ну так я же и говорю, что использую из прошивки... Но использую не entware а zyxware - с entware еще не разбирался, а на белом стоял openvpn (как и система на черном) с тех пор,  когда еще entware не было для кинетиков. Как-то можно продиагностировать, почему тунель не создается? с verb 11 в логах openvpn каких-то ошибок про это не вижу (лог вверху)
Или проще перейти на optware и разбираться уже с ним?

Отредактировано KorDen (2014-12-14 18:19:38)

449

Re: OpenVPN keenetic

KorDen :

Или проще перейти на optware и разбираться уже с ним?

Кто же знает, кроме Вас, что Вам проще. Искать ошибку в скрипте или конфиге или собрать optware.
Я бы не рекомендовал собирать optware. Есть же zyxware и entware.

450

Re: OpenVPN keenetic

Zyxmon :
KorDen :

Или проще перейти на optware и разбираться уже с ним?

Кто же знает, кроме Вас, что Вам проще. Искать ошибку в скрипте или конфиге или собрать optware.
Я бы не рекомендовал собирать optware. Есть же zyxware и entware.

Ой, я хотел сказать entware... В том-то и проблема, что один и тот же скрипт запуска и конфиг на белом кинетике работает, на черном отказывается, уже не знаю что и проверять.. Думал вдруг действительно была какая проблема с tun на черных...