76

Re: OpenVPN keenetic

ZimniY :
Anatolyj :

Starting OpenVPN in daemon mode....success
Bad argument `–A'
Try `iptables -h' or 'iptables --help' for more information.

/media/DISK_A1/system/etc/init.d/XXopenvpn - там искать строчки c iptables, скинуть сюда.  Помнится, там лишняя точка была где-то


нет там точек, я прочитав тему проверил, там все нормально

iptables –A INPUT -p udp --dport 1194 -j ACCEPT

iptables –D INPUT -p udp --dport 1194 -j ACCEPT

еще раз проверил, но нет этих точек!

77

Re: OpenVPN keenetic

Подскажите пожалуйста. Поставил openvpn - кинетик в роли сервера, соединение есть. Инет с клиента через vpn есть. Сеть за кинетиком пингуется, но зайти на веб кинетика с клиента через впн не удается. При попытке зайти на веб медиплеера - forbidden.
firewall

iptables -I FORWARD 1 --source 10.8.0.0/24 -j ACCEPT
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT

строчка в серипте запуска

iptables -A INPUT -p udp --dport 1194 -j ACCEPT

конфиг сервера

port 1194
proto udp 
dev tun 
secret /media/DISK_A1/system/etc/openvpn/static.key 
ifconfig 10.8.0.1 10.8.0.2
push "route 192.168.1.0 255.255.255.0"
keepalive 10 120 
comp-lzo 
persist-key 

Хочется получить доступ к ресурсам домашней сети за кинетиком 192.168.1.0/24. Подозреваю, что не хватает правила iptables, но какого?

78

Re: OpenVPN keenetic

zinger :

Подозреваю, что не хватает правила iptables, но какого?

Может этого?

iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE

Пруф

79

Re: OpenVPN keenetic

zinger :

Сеть за кинетиком пингуется, но зайти на веб кинетика с клиента через впн не удается.

У меня следующие правила:

iptables -I INPUT -i tun+ -j ACCEPT
iptables -I FORWARD -i tun+ -j ACCEPT
iptables -I INPUT -p $PROTO --dport $PORT -j ACCEPT
iptables -t filter -A INPUT -i lo -j ACCEPT

С ними у меня проблем с доступом на веб кинетика через OpenVPN нету.
Значения PROTO и PORT у Вас будут свои.
Т.е. для Вашего случая:

PROTO=udp
PORT=1194

PS. У меня по ряду причин используется tcp.

Конфиг у меня немного отличается от Вашего:

port 1194
proto tcp
dev tun
ca /media/DISK_A1/system/var/openvpn/ca.crt
cert "/media/DISK_A1/system/var/openvpn/server.crt"
key "/media/DISK_A1/system/var/openvpn/server.key"  # This file should be kept secret
crl-verify /media/DISK_A1/system/var/openvpn/crl.pem
dh /media/DISK_A1/system/var/openvpn/dh1024.pem
tls-auth "/media/DISK_A1/system/var/openvpn/ta_server.key" 0 # This file is secret
cipher BF-CBC
comp-lzo
max-clients 4
server 192.168.100.0 255.255.255.0
ifconfig-pool-persist /media/DISK_A1/system/var/openvpn/ipp.txt
client-config-dir /media/DISK_A1/system/var/openvpn/ccd
push "redirect-gateway def1 bypass-dhcp"
push "route 192.168.1.0 255.255.255.0"
push "dhcp-option DNS 192.168.1.1"
client-to-client
keepalive 10 120
status /media/DISK_A1/system/var/log/openvpn/openvpn-status.log
log /media/DISK_A1/system/var/log/openvpn/openvpn.log
verb 3
mute 20 

Отредактировано BigHercules (2012-06-05 11:29:13)

80

Re: OpenVPN keenetic

oneFB :

Может этого?

iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE

это я так понимаю, что бы завернуть vpn трафик через нат. пробовал, ничего не меняется, только перестает работать инет из сети за кинетиком. работает только если из этой же сети подключиться к впн.

BigHercules :

У меня следующие правила:

iptables -I INPUT -i tun+ -j ACCEPT
iptables -I FORWARD -i tun+ -j ACCEPT

добавил, увидел веб кинетика. но веб медиплеера все равно - 403 forbidden. плюс все еще не вижу шары кинетика.

Отредактировано zinger (2012-06-05 12:27:38)

81

Re: OpenVPN keenetic

Уважаемые профи! Пишу впервые, но читаю форум давно.
Я не занимаюсь линуксом, моя работа связана с MSSQL, но есть большое желание получить от кинетика одну очень полезную штуку, а именно OVPN-сервер! Здесь много пишут на эту тему, также есть большое количество вопросов по его настройке. Пытался проследить и прочитать все, куда отправляют профи, но не могу все разложить в голове (простите уж). К сожалению, производитель, сделав великолепное устройство, не "включил" полезную опцию "в коробку". Поэтому и столько вопросов у многих. Форумчане, если у кого-то будет время и желание, прошу можно как-то структурировать все описанное и выложить (простите за наглость) "готовую инструкцию" для распространенного случая. Ведь наверняка уже у всех стоят новые прошивки от 2012 года и у многих стандартная схема: роутер, за ним несколько виндовых машин в сетке 192.168.х.х, один-два подключающихся клиента... Думаю, имея в FAQ некоторое "готовое" решение (как например описано в одной из статей с ресурса 3dnews,) и вопросов убавится, и вам, профессионалам, благодарностей насыпется миллион!!! smile Спасибо.

82

Re: OpenVPN keenetic

Доброе время суток, форумчане!
Уже 3-й день ковыряю OpenVPN на кинетике и доступ через него, но все равно не выходит, поэтому решил попросить помощи у более искушенных в этом вопросе, в кинетике и вообще в линуксах  big_smile  Буду безмерно благодарен за помощь в данном вопросе.

Итак, дано:
одна сторона туннеля:
[корпоративная сеть с ограничениями Х.Х.Х.Х/24,
компьютер в этой сети X.X.X.X1/24,
на компьютере стоит виртуальная машина с NAT-доступом в корпоративную сеть,
на виртуальной машине стоит OpenVPN - клиент]
вторая сторона туннеля:
[домашняя сеть на несколько компов Y.Y.Y.Y/24, соединяются по Wi-Fi
выход в интернет через Keenetic (кабельное соединение с провайдером, L2TP)]

Задача:
Настроить OpenVPN сервер и клиентов так, чтобы несколько пользователей из корпоративной сети могли создавать туннель до Кинетика и через этот же Кинетик выходить в интернет.
В первоначальном виде, для усвоения, можно попробовать с одним клиентом и статическим ключем.

В чем загвостки:
В роутинге. Видимость и коннект к серверу уже работают на статическом ключе. Но дальше начинаются проблемы от незнания - как заставить пакеты с туннеля идти в Интернет, а ответы на них - возвращаться в туннель? как заставить работать на виртуальной машине ДНС с кинетика, а не из корпоративной сети? как направить весь траффик на виртуальной машине в туннель, чтобы при этом сам туннель оставался рабочим? При этом как не нарушить работу домашней сети?

ЗЫ. Буду благодарен именно за детальное разъяснение, как обойти выше названные нюансы, конфиги способен сам написать  smile

83

Re: OpenVPN keenetic

Awful_Genius,  в кинетике по умолчанию блокируется маршрутизация пакетов кроме разрешенных направлений, вам как минимум необходимо добавить несколько разрешающих правил в таблицу FORWARD утилитой iptables.

84

Re: OpenVPN keenetic

Всем привет, пошу помощи в настройке openvpn так как сам не понимаю((  если кто то может помочь мой скайп pimenoviii  , а эмей yandekar@yandex.ru

85

Re: OpenVPN keenetic

Буду благодарен за помощь.
Есть удаленный сервер, роутер Keenetic Zyxel Giga т домашний ПК, с роутера(версия 1.4) настроен OpenVPN на удаленный сервер, коннект есть. проверялось через трейс, в то же время домашний ПК сеть не видит, пингует только роутер и удаленный сервер, ничего более.

ifconfig роутера
/media/DISK_A1/system/root # ifconfig
br0       Link encap:Ethernet  HWaddr CC:5D:4E:4E :D4:2A
          inet addr:192.168.1.209  Bcast:192.168.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:80808 errors:0 dropped:0 overruns:0 frame:0
          TX packets:63472 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:13866168 (13.2 MiB)  TX bytes:31827710 (30.3 MiB)
 
eth2      Link encap:Ethernet  HWaddr CC:5D:4E:4E :D4:2A
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2687787 errors:0 dropped:0 overruns:0 frame:0
          TX packets:247994 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:368742261 (351.6 MiB)  TX bytes:47083007 (44.9 MiB)
          Interrupt:3
 
eth2.1    Link encap:Ethernet  HWaddr CC:5D:4E:4E :D4:2A
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1541 errors:0 dropped:0 overruns:0 frame:0
          TX packets:19306 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:334391 (326.5 KiB)  TX bytes:3610800 (3.4 MiB)
 
eth2.2    Link encap:Ethernet  HWaddr CC:5D:4E:4E :D4:2B
          inet addr:109.86.173.114  Bcast:109.86.173.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2624629 errors:0 dropped:0 overruns:0 frame:0
          TX packets:106180 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:357206947 (340.6 MiB)  TX bytes:18927316 (18.0 MiB)
 
lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:35 errors:0 dropped:0 overruns:0 frame:0
          TX packets:35 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:3372 (3.2 KiB)  TX bytes:3372 (3.2 KiB)
 
ra0       Link encap:Ethernet  HWaddr CC:5D:4E:4E :D4:2A
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:221692 errors:0 dropped:0 overruns:0 frame:0
          TX packets:241695 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:43173416 (41.1 MiB)  TX bytes:214338807 (204.4 MiB)
          Interrupt:4
 
tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00                      -00
          inet addr:192.168.101.6  P-t-P:192.168.101.5  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:78 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 B)  TX bytes:30318 (29.6 KiB)\
конфиг сервера
 
port 1140
proto tcp
dev tun
#tls-server
server 192.168.101.0 255.255.255.0
keepalive 10 120
persist-key
persist-tun
client-config-dir /etc/openvpn/ccd
push "route 192.168.101.0 255.255.255.0"
push "redirect-gateway def1"
#duplicate-cn
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/openvpn.server.crt
key /etc/openvpn/keys/openvpn.server.key
dh /etc/openvpn/keys/dh1024.pem
status openvpn-status.log
keepalive 10 120
конфиг клиента
client
tls-client
verb 3
dev tun
proto tcp
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote 82.221.96.219 1140

Стоит отметить что если настройки клиента перенести на ПК то все работает как часы, то есть просьба помочь с пернаправлением трафика через tun0, потратил несколько часов на поиск решения в на форуме zyxmon но на удивление работающие там решение не помогли. Спасибо.

Прописаны правила
iptables -I INPUT -p udp --dport 1140 -j ACCEPT
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
iptables -I INPUT -i tun0 -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -p tcp --dport 22 -j ACCEPT

Отредактировано simer (2012-07-26 22:46:25)

86

Re: OpenVPN keenetic

simer :

Стоит отметить что если настройки клиента перенести на ПК то все работает как часы,


я заметил такую особенность, что openvpn в keenetic-е не хочет поднимать маршруты через директиву route из конфига следовательно я у себя сделал через скрипты на директиву up и sh скрипт.

87

Re: OpenVPN keenetic

Я установил OpenVPN на Keenetic и подключился к нему с компьютера-клиента.
Для меня доступна с клинта внутренняя сеть, однако из внутренней сети клиент не доступен.
Как это можно полечить?
Спасибо.

88

Re: OpenVPN keenetic

Evgeniy-sk, а Вы сообщение, которое перед Вашим, прочли. Нужно задать маршрут до клиентов. Если не работает, то через скрипт.

89

Re: OpenVPN keenetic

Evgeniy-sk, а Вы сообщение, которое перед Вашим, прочли. Нужно задать маршрут до клиентов. Если не работает, то через скрипт.

Zyxmon, маршрут до клиента задавал, но не заработало.
Как можно сделать через скрипт? Из предыдущего сообщения этого не понял. Подскажите, пожалуйста.

90

Re: OpenVPN keenetic

В Firewall.d прописан следующий скрипт:

#!/bin/sh
iptables -I FORWARD 1 --source 192.168.254.0/24 -j ACCEPT
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE
iptables -A INPUT -i  tun0 -j ACCEPT

192.168.254.0/24 - подсеть OpenVPN.
Keenetic в качестве OpenVPN сервера.
Чего в скрепте не хватает для доступа из внутренней сети к клиенту OpenVPN?

91

Re: OpenVPN keenetic

ИМХО Не хватает маршрута от LAN клиента до OpenVPN клиента. Пакеты от LAN клиентов уйдут в WAN, а не в tun. Задается командой route в скрипте подключения клиента (пост 86) или в конфиге сервера (это правильнее, но как пишут - может не работать).
Тут в теме я давал ссылки на FAQ по openvpn. Изучите. Я Вашу схему не использую. Отвечаю из "теоретических соображений".

92

Re: OpenVPN keenetic

Zyxmon, Вот текущее состояние route на keenetic:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.254.2   *               255.255.255.255 UH    0      0        0 tun0
192.168.1.0     *               255.255.255.0   U     0      0        0 br0
192.168.254.0   192.168.254.2   255.255.255.0   UG    0      0        0 tun0
37.110.48.0     *               255.255.248.0   U     0      0        0 eth2.2
default         broadband-37-11 0.0.0.0         UG    0      0        0 eth2.2

192.168.254.0 - сетка OpenVPN. Судя по маршрутам все должно быть ок.
Но при этом клиент не пингуется ни с Кинетика, ни из локальной сети.
При этом клиенты кинетик видят и друг друга тоже.
Я уже голову себе сломал, в чем может быть проблема?

М.б. следует добавить следующие правила?

iptables -I OUTPUT -o tun0 -j ACCEPT
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

Подскажите, плиз.

Отредактировано Evgeniy-sk (2012-08-11 00:50:55)

93

Re: OpenVPN keenetic

Камрады, а скажите, на последней прошивке 1.00(USD.1.4)D0 OpenVPN работает? А то у меня не заводился никак. Конфиги рабочие, в данный момент в интернете через VPN)

Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn...
Keenetic Giga & WD Mybook Live user

94

Re: OpenVPN keenetic

ZimniY, работает (на 4.4 на простом кинетике).

~$ ps aux
USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
.....
nobody    1263  0.0  6.0   3244  1748 ?        Ss   Sep03   1:31 /media/DISK_A1/system/usr/sbin/openvpn --cd /media/DISK_A1/sy
.....
root      2716  0.7  3.8   2016  1108 pts/0    Ss+  14:53   0:00 -bash
root      2718  0.0  1.5   1256   452 pts/0    R+   14:53   0:00 ps aux
~$ cat /etc/version
HARDWARE_REVISION=""
FIRMWARE_VERSION="V1.00(BFW.4.4)D0"
DEVICE_NAME="KEENETIC"
BUILD_DATE="2012-05-30 01:01:29"
BUILD_CODE="120530010129"
REVISION="76eb5d9"

Через него сейчас и соединился, чтобы показать эту инфу.

95

Re: OpenVPN keenetic

ZimniY :

1.00(USD.1.4)D0 OpenVPN работает?

да работает, стабильно.

96

Re: OpenVPN keenetic

Спасибо, товарищи, обновился - всё работает. Раньше флешка не определялась.

Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn...
Keenetic Giga & WD Mybook Live user

97

Re: OpenVPN keenetic

убил 2 дня жизни... Очень жалею, что купил Keenetic, а не роутер с возможностью прошивки DD-WRT, приятелю настроил OVPN за пару минут. Но раз уж так...
Выяснил причину Starting OpenVPN in daemon mode....failed
Не форматируйте флешки в FAT32, NTFS или ext2. При этом файл подкачки не создаётся и модуль tun не загружается. На 4-й раз с ext3 получилось.
Мой конфиг сервера:

Вы должны зайти под своим именем, чтобы увидеть скрытый текст.

Клиент: апплет openvpn к network manager в Ubuntu 12.04, указан файл и адреса.
пробовал в Windows, там клиент таков:

Вы должны зайти под своим именем, чтобы увидеть скрытый текст.

В роутере прописана локальная сеть WIFI с DHCP сервером 192.168.10.1
запускается при старте:
#!/bin/sh
iptables -I FORWARD 1 --source 10.8.0.0/24 -j ACCEPT
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE
из файла /media/DISK_A1/system/etc/firewall.d/fw.sh
В файле: /media/DISK_A1/system/etc/init.d/S11openvpn
iptables –A INPUT -p udp --dport 3002 -j ACCEPT
консоль ubuntu ругается так:
Thu Oct 11 02:16:40 2012 Control Channel MTU parms [ L:1543 D:140 EF:40 EB:0 ET:0 EL:0 ]
Thu Oct 11 02:16:40 2012 Socket Buffers: R=[87380->131072] S=[16384->131072]
Thu Oct 11 02:16:41 2012 Data Channel MTU parms [ L:1543 D:1450 EF:43 EB:4 ET:0 EL:0 ]
Thu Oct 11 02:16:41 2012 Local Options hash (VER=V4): 'db02a8f8'
Thu Oct 11 02:16:41 2012 Expected Remote Options hash (VER=V4): '7e068940'
Thu Oct 11 02:16:41 2012 Attempting to establish TCP connection with [AF_INET]37.203.12.8:3002 [nonblock]
Thu Oct 11 02:16:45 2012 TCP: connect to [AF_INET]37.203.12.8:3002 failed, will try again in 5 seconds: No route to host
^CThu Oct 11 02:16:49 2012 SIGINT[hard,init_instance] received, process exiting

Нет работает! Пишет: соединён, но браузер не открывает страницы. КАК сделать, помогите, пожалуйста...

Отредактировано gidiara (2012-10-11 02:20:35)

98

Re: OpenVPN keenetic

gidiara :

Очень жалею, что купил Keenetic, а не роутер с возможностью прошивки DD-WRT

Так поменяйте кинетик на другой роутер. Настройка openvpn принципиально не отличается на кинетике и *wrt.

gidiara :

Не форматируйте флешки в FAT32, NTFS или ext2. При этом файл подкачки не создаётся и модуль tun не загружается.

Бред. На fat нет символических ссылок, не поддерживается. На ext2 и ntfs все отлично работает.

gidiara :

Пишет: соединён, но браузер не открывает страницы.

К сожалению имеющийся прибор имеет небольшое дальнодействие - трудно Вам помочь. Если пишет, что соединен и пинги между клиентом и сервером ходят, настраивайте iptables, маршрутизацию.

99

Re: OpenVPN keenetic

Спасибо за неоценимую помощь! К сожалению, ларёк по обмену zyxel на нормальные роутеры закрылся на обед, поменять, как Вы советовали, не получилось. Почему всё модули сделаны без надлежащей документации? Если так делать, так лучше вообще не начинать... О назначении модулей можно догадываться по очень информативным названиям на 3 буквы, конфигураций для примера нет,  единственная информация- от таких же zyxel-страдальцев, тратящих многие дни своей жизни на присобачивание модулей и борьбу с конфигами методом проб и ошибок. Какой-то пионерский подход. Как надо: каждый модуль оснащён подробной инструкцией с примерами настройки, скриптом по установке настроек iptables  и предложением сделать дополнительные настройки за деньги. А прибор, на который здесь посылают - не единственный в русской мифологии, так что имеются и встречные предложения smile

100

Re: OpenVPN keenetic

gidiara, все пакеты берутся в Openwrt. Там и документация (wiki + forum). Плюс пользователи кинетика пишут тут свою. Впрочем linux он и в Африке linux - документацией завален инет.
Если ларек не откроется, ждем документацию (подробную инструкцию) от Вас. Например, по openvpn. Потом можно и деньги с других начать собирать. Только, чур, не использовать этот форум для поиска клиентов.

PS Есть несколько пакетов, для которых нет аналогов в Openwrt. Как правило, по таким пакетам тут отдельные темы.