51

Re: OpenVPN keenetic

Здравствуйте, помогите пожалуйста, на кинетике клиент vpn, поключается к серверу получает ip, все вроде как нармально но при пинге с кинетика на любой адрес он перезагружается. Вот что пишет при поднятии интерфейса:

TUN/TAP device tun0 opened
21 мар 12:30:57    openvpn[1002]    /sbin/ifconfig tun0 10.10.100.10 pointopoint 10.10.100.9 mtu 1500
21 мар 12:30:57    openvpn[1002]    WARNING: potential route subnet conflict between local LAN [10.10.100.0/255.255.255.0] and remote VPN [10.10.100.1/255.255.255.255]

Таблица маршрутизации:
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.10.100.9     *               255.255.255.255 UH    0      0        0 tun0
184.73.53.236   ralink.ralinkte 255.255.255.255 UGH   0      0        0 eth2.2
10.10.100.1     10.10.100.9     255.255.255.255 UGH   0      0        0 tun0
192.168.0.0     *               255.255.255.0   U     0      0        0 eth2.2
172.16.1.0      *               255.255.255.0   U     0      0        0 br0
default         10.10.100.9     0.0.0.0         UG    0      0        0 tun0

Re: OpenVPN keenetic

Та же проблема что и в начале топика

Loading OpenVPN kernel modules:
insmod: cannot insert '/media/DISK_A1/system/lib/modules/2.6.23-rt/tun.ko': File exists (-1): File exists
Starting OpenVPN in daemon mode....failed

аппаратную маршрутизацию отключал, не помогло.
вывод каких команд нужен?

Re: OpenVPN keenetic

мне вообще нужно настроить только клиент, для соединения с работой.

54

Re: OpenVPN keenetic

Сергей В. :

Та же проблема что и в начале топика

Loading OpenVPN kernel modules:
insmod: cannot insert '/media/DISK_A1/system/lib/modules/2.6.23-rt/tun.ko': File exists (-1): File exists
Starting OpenVPN in daemon mode....failed

аппаратную маршрутизацию отключал, не помогло.
вывод каких команд нужен?

Как отключить аппаратную маршрутизацию?

55

Re: OpenVPN keenetic

Здравствуйте!

Прошу помощи в решении проблемы.

На Keenetic Giga установлен OpenVPN. Поднимается туннель до рабочей сети (149.232.22.0/24) через tun интерфейс (192.168.0.0/24). Кинетик в режиме клиента, сеть 192.168.1.0/24.
На стороне сервера включена маршрутизация, маскарадинг на интерфейс в локалку, на клиенте разрешен форвард пакетов между tun0 и br0.

Пинги бегают от любой машины за кинетиком на любую машину в локалке на работе и обратно - вроде как все нормально.

Теперь о проблемах.

В локальной сети есть DNS сервер 149.232.22.2 - резолвит имена машин в локалке. Пинг и с кинетика, и с машины за кинетиком туда идет без проблем. Этот DNS прописан в кинетике (первым, два других - DNS провайдера). Но кинетик не может получить адрес от этого сервера:

/media/DISK_A1/system/etc/init.d$ nslookup bodun.quantum.biz.tm 149.232.22.2
Server:    149.232.22.2
Address 1: 149.232.22.2

nslookup: can't resolve 'bodun.quantum.biz.tm': Name or service not known

В то же время такой же запрос на машине за кинетиком (Windows 7) дает нормальный результат:

d:\>nslookup bodun.quantum.biz.tm 149.232.22.2
Server:  UnKnown
Address:  149.232.22.2

Name:    bodun.quantum.biz.tm
Addresses:  2002:95e8:160a::95e8:160a
          149.232.22.10

Проверял, что слышно на tun0 интерфейсе на сервере с помощью tcpdump - вот результат:
запрос имени с клиентской машины

00:00:00.000000 IP 192.168.1.38.60633 > 149.232.22.2.53: 1+ PTR? 2.22.232.149.in-addr.arpa. (43)
00:00:00.000305 IP 149.232.22.2.53 > 192.168.1.38.60633: 1 NXDomain 0/1/0 (123)
00:00:00.021795 IP 192.168.1.38.60634 > 149.232.22.2.53: 2+ A? bodun.quantum.biz.tm. (38)
00:00:00.000222 IP 149.232.22.2.53 > 192.168.1.38.60634: 2* 1/0/0 A 149.232.22.10 (54)
00:00:00.019717 IP 192.168.1.38.60635 > 149.232.22.2.53: 3+ AAAA? bodun.quantum.biz.tm. (38)
00:00:00.000181 IP 149.232.22.2.53 > 192.168.1.38.60635: 3* 1/0/0 AAAA 2002:95e8:160a::95e8:160a (66)

запрос имени с кинетика

00:00:00.000000 IP 192.168.100.6.33171 > 149.232.22.2.53: 2+ PTR? 2.22.232.149.in-addr.arpa. (43)
00:00:00.000313 IP 149.232.22.2.53 > 192.168.100.6.33171: 2 NXDomain 0/1/0 (123)
00:00:00.010414 IP 192.168.100.6.33173 > 149.232.22.2.53: 2+ PTR? 2.22.232.149.in-addr.arpa. (43)
00:00:00.000261 IP 149.232.22.2.53 > 192.168.100.6.33173: 2 NXDomain 0/1/0 (123)
00:00:00.010358 IP 192.168.100.6.33175 > 149.232.22.2.53: 2+ PTR? 2.22.232.149.in-addr.arpa. (43)
00:00:00.000189 IP 149.232.22.2.53 > 192.168.100.6.33175: 2 NXDomain 0/1/0 (123)
00:00:00.013388 IP 192.168.100.6.33177 > 149.232.22.2.53: 3+ AAAA? bodun.quantum.biz.tm. (38)
00:00:00.000190 IP 149.232.22.2.53 > 192.168.100.6.33177: 3* 1/0/0 AAAA 2002:95e8:160a::95e8:160a (66)
00:00:00.010418 IP 192.168.100.6.33179 > 149.232.22.2.53: 3+ AAAA? bodun.quantum.biz.tm. (38)
00:00:00.000187 IP 149.232.22.2.53 > 192.168.100.6.33179: 3* 1/0/0 AAAA 2002:95e8:160a::95e8:160a (66)
00:00:00.010561 IP 192.168.100.6.33181 > 149.232.22.2.53: 3+ AAAA? bodun.quantum.biz.tm. (38)
00:00:00.000183 IP 149.232.22.2.53 > 192.168.100.6.33181: 3* 1/0/0 AAAA 2002:95e8:160a::95e8:160a (66)
00:00:00.010498 IP 192.168.100.6.33183 > 149.232.22.2.53: 4+ A? bodun.quantum.biz.tm. (38)
00:00:00.000161 IP 149.232.22.2.53 > 192.168.100.6.33183: 4* 1/0/0 A 149.232.22.10 (54)
00:00:00.010526 IP 192.168.100.6.33185 > 149.232.22.2.53: 4+ A? bodun.quantum.biz.tm. (38)
00:00:00.000175 IP 149.232.22.2.53 > 192.168.100.6.33185: 4* 1/0/0 A 149.232.22.10 (54)
00:00:00.010515 IP 192.168.100.6.33187 > 149.232.22.2.53: 4+ A? bodun.quantum.biz.tm. (38)
00:00:00.000141 IP 149.232.22.2.53 > 192.168.100.6.33187: 4* 1/0/0 A 149.232.22.10 (54)

Тут моих познаний уже недостаточно - почему клиентская машина получает результат, а кинетик - нет, хотя из его общения с DNS сервером видно, что адрес таки сообщается?

Ну и подробности:
Прошивка кинетика V1.00(USD.2b)D0 1-мар-2012 01:24
OpenVPN: 2.2.1-2
Конфиг сервера:

port 2000
proto udp
dev tun
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/vodka.crt
key /etc/openvpn/easy-rsa/keys/vodka.key
dh /etc/openvpn/easy-rsa/keys/dh1024.pem
server 192.168.100.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 149.232.22.0 255.255.255.0"
client-config-dir ccd
route 192.168.1.0 255.255.255.0
client-to-client
keepalive 10 120
tls-auth /etc/openvpn/easy-rsa/keys/ta.key 0
cipher AES-128-CBC
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3
mute 5

Конфиг клиента:

client
dev tun
proto udp
remote XXX.XXX.XXX.XXX 2000
resolv-retry infinite
nobind
persist-key
persist-tun
ca /media/DISK_A1/system/etc/openvpn/keys/ca.crt
cert /media/DISK_A1/system/etc/openvpn/keys/gate.crt
key /media/DISK_A1/system/etc/openvpn/keys/gate.key
tls-auth /media/DISK_A1/system/etc/openvpn/keys/ta.key 1
cipher AES-128-CBC
verb 3
mute 5

Буду благодарен за любую помощь!

56

Re: OpenVPN keenetic

bodun666, разработчики писали в теме на ixbt, что в кинетике используется асинхронный механизм dns запросов. Запрос посылается всем dns серверам, принимается первый ответ. Это вольное изложение от меня, возможно, не совсем точное. Для более точной информации - ищите в темах на ixbt.

57

Re: OpenVPN keenetic

Zyxmon, благодарю за ответ.
Про асинхронный механизм DNS я читал. Мне кажется, что вряд ли тут проблема в этом. Как Вы указали - запрос посылается всем dns серверам, принимается первый ответ. Тут же ответа нет - разве что за ответ принимать сообщение первого же сервера об ошибке.
Для чистоты эксперимента я оставил в настройках кинетика только один DNS сервер, свой внутренний 149.232.22.2.
После применения настроек на клиентских машинах ничего не поменялось - имя резолвится. На кинетике - та же ошибка, только nslookup ожидает ответа гораздо дольше.
Собственно из этого, как мне кажется, следует, что проблема в кинетике - вернее в том, что я что-то упускаю. Он тупо не может получить ответ.
Так что вопрос пока открыт, может у кого-то появятся еще какие мысли.

58

Re: OpenVPN keenetic

bodun666 :

разве что за ответ принимать сообщение первого же сервера об ошибке.

Насколько помню, так и есть - обсуждалось на ixbt.

59

Re: OpenVPN keenetic

Zyxmon :

Насколько помню, так и есть - обсуждалось на ixbt.

Понятно, значит отправляюсь туда, рыться в первоисточниках smile
Благодарю за наводку!

60

Re: OpenVPN keenetic

Оставлю на всякий случай решение моей проблемы здесь - может кому пригодится. Все, что нужно было сделать - добавить следующее правило в iptables:

iptables -I INPUT -i tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT

61

Re: OpenVPN keenetic

Доброго времени суток.

Установил на роутер OpenVPN. Тунель до рабочей сети поднимается, роутер пингует машины в рабоче сети.
Но вот машины за роутером (в домашней сети) не видят компьютеры в рабочей сети.
Понимаю, что надо буквально несколько движений сделать и будет счастье, но никак не пойму что именно.

Подскажите в каком направлении копать, что бы машины за роутером могли видеть машины в рабочей сети.

62

Re: OpenVPN keenetic

Опять же iptables.
На роутере нужно разрешить форвард пакетов между интерфейсами:

iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT 

63

Re: OpenVPN keenetic

bodun666 :

Опять же iptables.
На роутере нужно разрешить форвард пакетов между интерфейсами:

iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT 

К сожалению не помогло ( Пока всё безрезультатно.

64

Re: OpenVPN keenetic

Здравствуйте!
Такой вопрос
Есть Zyxel Keenetic к нему подключен 3G от Мегафона и подключена IP-камера. Т.к. Мегафон интернет идет через NAT то доступа к камере через интернет нет.
Скажите пожалуйста - поможет ли мне установка OpenVPN на роутер?
Я думаю нужен OpenVPN клиент - т.к. у меня есть аккаунт на https://www.privatetunnel.com/ - т.е. этот сервис выступит в качестве OpenVPN сервера.
В идеале вижу решение такое - ставлю OpenVPN клиент на роутер - каким-то образом настриваю его для подключение к privatetunnel , добавляю сервис ddns и в итоге у меня получится что веб интерфейс камеры будет на адресе - http://ddns-name.dyndns.com:10200
С vpn сталкиваюсь впервые - почему есть аккаунт на сервисе - провайдер на работе всё пасет ну соответственно и выводы)
Заранее спасибо за ответы!

65

Re: OpenVPN keenetic

RuslanJ :

Есть Zyxel Keenetic к нему подключен 3G от Мегафона и подключена IP-камера. Т.к. Мегафон интернет идет через NAT то доступа к камере через интернет нет.
..... добавляю сервис ddns и в итоге у меня получится что веб интерфейс камеры будет на адресе - http://ddns-name.dyndns.com:10200

Если это dyndns (или no-ip) - тогда не нужен опенвпн. На роутере прописываем имя и пароль учетки в динднс или ноайпи. Делаем проброс портов на камеру - должно работать.

Linux KEENETIC 2.6.23.17  -  xmail, samba, transmission, ftp, lighttp, wol, owfs, iftop, jabber-server, icecast, smstools, aprx

66

Re: OpenVPN keenetic

ur3ckr, какой еще dyndns для серых ip от мегафона.
RuslanJ, мысль Ваша в правильном направлении движется. Если внешний сервис поддерживает два openvpn подключения с client-to-client, то думайте дальше в этом направлении.

67

Re: OpenVPN keenetic

Ну относительно мегафона не в курсе - я с Украины.
Отсюда вопрос: а как тогда можно человеку у кого провайдер мегафон - зайти на роутер с интернета? Какой-то динамический адрес выдает мегафон или нет?

Linux KEENETIC 2.6.23.17  -  xmail, samba, transmission, ftp, lighttp, wol, owfs, iftop, jabber-server, icecast, smstools, aprx

68

Re: OpenVPN keenetic

ur3ckr :

Ну относительно мегафона не в курсе - я с Украины.
Отсюда вопрос: а как тогда можно человеку у кого провайдер мегафон - зайти на роутер с интернета? Какой-то динамический адрес выдает мегафон или нет?

На Украине, думаю, аналогично. Белые ip мобильные операторы дают за приличные бабки. Без белых ip простых схем "зайти на роутер" нет.
И не путайте пушистое (белый ip) со сладким (динамический ip).

69

Re: OpenVPN keenetic

Да уж, с серым ip вообще поднять у себя какой-либо сервер не реально. Простой путь - купить белый ip (за бабки, на это и расчёт у операторов), альтернативный путь - мутить с OpenVPN. Интересно, получится-ли...

70

Re: OpenVPN keenetic

ZimniY :
andrey__s :

"Ну никак не выходит каменный цветок" openvpn
Все делал по схеме http://www.3dnews.ru/workshop/612504/

/me задумчиво смотрит на телефон, в данный момент подключенный к домашней сети по openvpn, и показывающий текущие закачки в клиенте трансмишена

P.S.: настроено по той самой инструкции.

P.P.S.: никаких модулей не доустанавливал, ибо и так всё заработало.

Пробовал настроить по схеме http://www.3dnews.ru/workshop/612504/. Клиент коннектися, но иконки желтого цвета (connecting to: router)

Sat May 05 14:12:55 2012 OpenVPN 2.2.2 Win32-MSVC++ [SSL] [LZO2] [PKCS11] built on Dec 15 2011
Sat May 05 14:12:55 2012 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Sat May 05 14:12:55 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sat May 05 14:12:55 2012 LZO compression initialized
Sat May 05 14:12:55 2012 TAP-WIN32 device [VPN] opened: \\.\Global\{A43F75AB-5B3A-45C5-81C0-1BBCD87A27F7}.tap
Sat May 05 14:12:55 2012 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.2/255.255.255.252 on interface {A43F75AB-5B3A-45C5-81C0-1BBCD87A27F7} [DHCP-serv: 10.8.0.1, lease-time: 31536000]
Sat May 05 14:12:55 2012 Successful ARP Flush on interface [18] {A43F75AB-5B3A-45C5-81C0-1BBCD87A27F7}
Sat May 05 14:12:55 2012 UDPv4 link local (bound): [undef]:1194
Sat May 05 14:12:55 2012 UDPv4 link remote: 95.77.100.35:1194
Sat May 05 14:14:55 2012 Inactivity timeout (--ping-restart), restarting
Sat May 05 14:14:55 2012 SIGUSR1[soft,ping-restart] received, process restarting

что-то не так, а где копать не могу разобраться

71

Re: OpenVPN keenetic

Anatolyj :

что-то не так, а где копать не могу разобраться

копать логи и показать конфиги, для начала

Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn...
Keenetic Giga & WD Mybook Live user

72

Re: OpenVPN keenetic

Прошу вашего терпения и помощи. Поставил open vpn и настроил при помощи ddns по статье с 3dnews. Долго ошибался с настройками, но в итоге получилось. удалось подключение к домашнему пк и к установленному на нем appserv. Но я заметил что  машина , с которой я подключался не видит в сетевом окружении домашний пк. И домашний  тоже не видит машину. Извиняюсь, если где-то несу бред или это уже обсуждалось,  только недавно начал вникать во все настройки. Что нужно для решения моей проблемы? прописать iptables или поставить samba? в общем тыкните нужную ссылку или поделитесь информацией. Буду очень благодарен

73

Re: OpenVPN keenetic

Staff3D :

в общем тыкните нужную ссылку

Тыкаю, может, и поймёте, почему Вам пока никто не поможет...

Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn...
Keenetic Giga & WD Mybook Live user

74

Re: OpenVPN keenetic

ZimniY :
Anatolyj :

что-то не так, а где копать не могу разобраться

копать логи и показать конфиги, для начала

модем бридж, 192.168.2.1,
кинетик 
77.0.0.0       255.255.255.255    0.0.0.0    PPP
10.8.0.2            255.255.255.255    0.0.0.0    tun0
192.168.2.2    255.255.255.0    0.0.0.0    WAN
192.168.1.1    255.255.255.0    0.0.0.0    LAN


HARDWARE_REVISION=""
FIRMWARE_VERSION="V1.00(BFW.4.2)D0"
DEVICE_NAME="KEENETIC"
BUILD_DATE="2012-04-21 00:34:07"
BUILD_CODE="120421003407"
REVISION="1f7b05b"

nano /media/DISK_A1/system/etc/firewall.d/fw.sh

#!/bin/sh
iptables -I FORWARD 1 --source 10.8.0.0/24 -j ACCEPT
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE

opkg update" + "opkg upgrade

# md5sum /media/DISK_A1/system/lib/modules/2.6.23-rt/tun.ko
2e5213f2c51bc537fb51516599b3c8e7  /media/DISK_A1/system/lib/modules/2.6.23-rt/tun.ko

при запуске выдает ошибку:
Starting OpenVPN in daemon mode....success
Bad argument `–A'
Try `iptables -h' or 'iptables --help' for more information.

клиент:
remote "______"-ip.com
dev tun
ifconfig 10.8.0.2 10.8.0.1
secret "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\static.key"
comp-lzo
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
route 192.168.1.0 255.255.255.0

На роутере:
port 1194.
proto udp.
dev tun.
secret /media/DISK_A1/system/var/static.key.
ifconfig 10.8.0.1 10.8.0.2.
keepalive 10 120.
comp-lzo.
persist-key.
persist-tun

часть лога
Tue Mar 13 08:55:58 2012 UDPv4 link local (bound): [undef]:1194
Tue Mar 13 08:55:58 2012 UDPv4 link remote: keenetic_ip:1194
Tue Mar 13 08:56:01 2012 TCP/UDP: Incoming packet rejected from 192.168.1.1:1194[2], expected peer address: keenetic_ip:1194 (allow this incoming source address/port by removing --remote or adding --float)

75

Re: OpenVPN keenetic

Anatolyj :

Starting OpenVPN in daemon mode....success
Bad argument `–A'
Try `iptables -h' or 'iptables --help' for more information.

/media/DISK_A1/system/etc/init.d/XXopenvpn - там искать строчки c iptables, скинуть сюда.  Помнится, там лишняя точка была где-то

Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn...
Keenetic Giga & WD Mybook Live user