1

Тема: OpenVPN keenetic

помогите настроить openvpn на кинетике.делаю все по инструкции http://www.3dnews.ru/workshop/612504
при запуске openvpn

/media/DISK_A1/system/etc/init.d/S11openvpn start

выводит такую ошибку:

~ # /media/DISK_A1/system/etc/init.d/S11openvpn start

Loading OpenVPN kernel modules:
insmod: cannot insert '/media/DISK_A1/system/lib/modules/2.6.23-rt/tun.ko': File exists (-1): File exists

Starting OpenVPN in daemon mode....failed

2

Re: OpenVPN keenetic

Zulu, поиск по форуму привел бы Вас к посту http://forum.zyxmon.org/post1103.html#p1103 (читать дальше).
Причина проблемы осталась невыясненной, но проблема была решена. Выясните причину проблемы - отпишитесь.

3

Re: OpenVPN keenetic

перепробовал все перечисленные варианты - ничего не помогло  sad

4

Re: OpenVPN keenetic

Zulu, ничем не помогу. Переставляейте модуль tun, выполняйте sync, мучайте команды lsmod, rmmod, insmod.
У меня со всеми прошивками, что стояли модуль tun грузился. На очень древних прошивках не пробовал.
Проверьте usb носитель на ошибки на ББ (fsck). Найдите флешку, отформатируйте в ext2. Поставьте только kmod-tun, и выясняйте, почему insmod не прорабатывает, что ему мешает.
Можем сравнить md5. У меня

/media/DISK_A1/system/root # md5sum /media/DISK_A1/system/lib/modules/2.6.23-rt/tun.ko
5aa8949699405903647cd80854b19640  /media/DISK_A1/system/lib/modules/2.6.23-rt/tun.ko

Модуль загружен

# lsmod
Module                  Size  Used by    Tainted: P
tun                     7264  1
igmpsn                 50112  0
rt2860v2_ap           615808  1
hfsplus               102384  0
sierra                  9584  0
dwc_otg                72064  0
lm                      1344  1 dwc_otg,[permanent]
powerstat               1984  0
ralink_wdt               896  0
xt_mark                  736  0
xt_mac                   928  0
ipt_webstr              3200  0
ipt_ipp2p               7936  0
rtled                   3040  1 rt2860v2_ap
nf_nat_pptp             1632  0
nf_nat_proto_gre        1200  1 nf_nat_pptp
nf_conntrack_pptp       3920  1 nf_nat_pptp
nf_conntrack_proto_gre     2784  1 nf_conntrack_pptp
nf_nat_h323             5792  0
nf_conntrack_h323      36320  1 nf_nat_h323

Прошивка

# cat /etc/version
FIRMWARE_VERSION="V1.00-BFW.4b-D0"
DEVICE_NAME="KEENETIC"
BUILD_DATE="17.09.2011 01:49"
REVISION="3059"

PS Завтра возможно обновлю на последнюю.

5

Re: OpenVPN keenetic

Если не сложно, дайте ссылку на свежую прошивку. На сайте только KEENETIC-V1.00[BFW.3]D0

6

Re: OpenVPN keenetic

Странно, остановил vpn

/media/DISK_A1/system/etc/init.d/S11openvpn stop

Снова запустил

/media/DISK_A1/system/etc/init.d/S11openvpn start

И все норм запустилось. Причину такого поведения так и не удалось выяснить.
Есть пару мыслей. Когда в первый раз стартовал и модуль не грузился, в процессах модуль был, но rmmod tun писал что нет такого файла (процесса). Т.е. вроде как модуль загружен а вроде как нет. После остановки и запуска vpn модуль видимо загрузился удачно. Предполагаю что ошибка происходит при первом запуске модуля.

7

Re: OpenVPN keenetic

Zulu :

Если не сложно, дайте ссылку на свежую прошивку. На сайте только KEENETIC-V1.00[BFW.3]D0

Ссылки на прошивки с форма ixbt дублирую в соседней теме. http://forum.zyxmon.org/topic54-zyxel-k … da-p6.html

Сегодня вышла новая прошивка, по положительным отзывам с форумов решена проблема с hw_nat. Поставил эту прошивку, модуль tun грузится.

Zulu :

Предполагаю что ошибка происходит при первом запуске модуля.

Ждем других, кто столкнется с аналогичной проблемой.

8

Re: OpenVPN keenetic

Есть задача.

Keenetic подключен по pppoe. Нужно внутри поднять OpenVPN-канал, и весь траф пустить по этому каналу.

Канал поднят, Keenetic - клиент. Но при попытке разрезолвить имя:
#ping www.ru
ping: bad address 'www.ru'

при этом пинг по ip проходит, и даже трассировка показывает что запрос идет по тунелю.

на nslookup тоже ругань.

opkg update от 17.10.2011
busybox - 1.17.3-8

Может есть какие-нибудь мысли на этот счет?

Отредактировано Gamb_Urger (2011-10-17 16:36:43)

9

Re: OpenVPN keenetic

Gamb_Urger, хочется послать Вас за ответом сюда по причине отсутствия такого прибора.
Попробуйте опцию со стороны сервера
push "dhcp-option DNS XX.XX.XX.XX"
посмотрите таблицу маршрутизации на кинетике.

10

Re: OpenVPN keenetic

Zyxmon, как же приятно, что еще не разучились посылать, на просторах И-нета.

Если всмотреться, то я указал что трассировка проходит. Соответственно и маршрутизация настроена верно. В обе стороны клиент и сервер пингуются.

Опция push "dhcp-option DNS XX.XX.XX.XX" используется на VPN-сервере, но тем не менее, даже ручное добавление записей в /etc/resolv.conf не приносит успеха.
К серверу завязаны различные клиенты, как Win так и *nix. Проблем до этого не возникало.

Собственно мой расширенный вопрос будет звучать следующим образом:
Не сталкивался ли кто-нибудь с подобного рода задачей приведшей к таким же ошибкам, при том что есть гипотеза, что на текущий момент проблема может содержатся в доставке пакетов по 53 порту?

наглядность ситуации из консоли до построения vpn-тунеля:
Из первоначально описаной ситуации исключен pppoe и построение происходит через выделенный ip.

/media/DISK_A1/system/root # route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.12.14.0      *               255.255.255.0   U     0      0        0 br0
10.230.146.0    *               255.255.254.0   U     0      0        0 eth2.2
239.0.0.0       *               255.0.0.0       U     0      0        0 br0
default         10.230.147.254  0.0.0.0         UG    0      0        0 eth2.2

!!!_________________________________________________________

/media/DISK_A1/system/root # iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     igmp --  anywhere             anywhere
DROP       icmp --  anywhere             anywhere            icmp echo-request
ACCEPT     icmp --  anywhere             anywhere            icmp any

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state NEW
ACCEPT     all  --  anywhere             anywhere            state NEW
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

!!!_________________________________________________________

/media/DISK_A1/system/root # nslookup www.ru
Server:    109.71.231.38
Address 1: 109.71.231.38 ns1.megacom.kg

Name:      www.ru
Address 1: 194.87.0.50 www.ru

!!!_________________________________________________________

/media/DISK_A1/system/root # ping www.ru
PING www.ru (194.87.0.50): 56 data bytes
64 bytes from 194.87.0.50: seq=0 ttl=52 time=88.341 ms
64 bytes from 194.87.0.50: seq=1 ttl=52 time=88.586 ms
64 bytes from 194.87.0.50: seq=2 ttl=52 time=89.263 ms
64 bytes from 194.87.0.50: seq=3 ttl=52 time=88.100 ms

--- www.ru ping statistics ---
4 packets transmitted, 4 packets received, 0% packet loss
round-trip min/avg/max = 88.100/88.572/89.263 ms

!!!_________________________________________________________

/media/DISK_A1/system/root # ping 194.87.0.50
PING 194.87.0.50 (194.87.0.50): 56 data bytes
64 bytes from 194.87.0.50: seq=0 ttl=52 time=88.734 ms
64 bytes from 194.87.0.50: seq=1 ttl=52 time=88.568 ms
64 bytes from 194.87.0.50: seq=2 ttl=52 time=89.158 ms
64 bytes from 194.87.0.50: seq=3 ttl=52 time=88.812 ms
64 bytes from 194.87.0.50: seq=4 ttl=52 time=88.877 ms
^C64 bytes from 194.87.0.50: seq=6 ttl=52 time=88.070 ms
64 bytes from 194.87.0.50: seq=7 ttl=52 time=88.714 ms

--- 194.87.0.50 ping statistics ---
8 packets transmitted, 7 packets received, 12% packet loss
round-trip min/avg/max = 88.070/88.704/89.158 ms

Картина после построения тунеля

/media/DISK_A1/system/root # /media/DISK_A1/system/etc/init.d/S11openvpn start

Loading OpenVPN kernel modules:

Starting OpenVPN in daemon mode....success

!!!_________________________________________________________

/media/DISK_A1/system/root # netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
192.168.60.5    0.0.0.0         255.255.255.255 UH        0 0          0 tun0
192.168.60.1    192.168.60.5    255.255.255.255 UGH       0 0          0 tun0
82.98.86.169     10.230.147.254  255.255.255.255 UGH       0 0          0 eth2.2
192.168.53.0    192.168.60.5    255.255.255.0   UG        0 0          0 tun0
10.12.14.0      0.0.0.0         255.255.255.0   U         0 0          0 br0
10.230.146.0    0.0.0.0         255.255.254.0   U         0 0          0 eth2.2
239.0.0.0       0.0.0.0         255.0.0.0       U         0 0          0 br0
0.0.0.0         192.168.60.5    0.0.0.0         UG        0 0          0 tun0

!!!_________________________________________________________

/media/DISK_A1/system/root # iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     igmp --  anywhere             anywhere
DROP       icmp --  anywhere             anywhere            icmp echo-request
ACCEPT     icmp --  anywhere             anywhere            icmp any
ACCEPT     udp  --  anywhere             anywhere            udp dpt:5000
ACCEPT     udp  --  anywhere             anywhere            udp dpt:5000

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state NEW
ACCEPT     all  --  anywhere             anywhere            state NEW
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

!!!_________________________________________________________

/media/DISK_A1/system/root # nslookup www.ru
Server:    109.71.231.38
Address 1: 109.71.231.38

nslookup: can't resolve 'www.ru': Name or service not known

!!!_________________________________________________________

/media/DISK_A1/system/root # ping www.ru
ping: bad address 'www.ru'

!!!_________________________________________________________

/media/DISK_A1/system/root # ping 194.87.0.50
PING 194.87.0.50 (194.87.0.50): 56 data bytes
64 bytes from 194.87.0.50: seq=1 ttl=245 time=83.827 ms
64 bytes from 194.87.0.50: seq=2 ttl=245 time=87.130 ms
64 bytes from 194.87.0.50: seq=3 ttl=245 time=82.130 ms
64 bytes from 194.87.0.50: seq=4 ttl=245 time=81.136 ms
64 bytes from 194.87.0.50: seq=5 ttl=245 time=86.910 ms

--- 194.87.0.50 ping statistics ---
6 packets transmitted, 5 packets received, 16% packet loss
round-trip min/avg/max = 81.136/84.226/87.130 ms

Если кто-нибудь сможет смоделировать подобную ситуацию и поделится достижениями - буду очень признателен.

Отредактировано Gamb_Urger (2011-10-17 18:21:26)

11

Re: OpenVPN keenetic

Gamb_Urger,

Gamb_Urger :

как же приятно, что еще не разучились посылать, на просторах И-нета.

Сейчас пошлю Вас читать ixbt начинать с - http://forum.ixbt.com/topic.cgi?id=14:54600:2905#2905, читать страницы две. (Примечание:  McMCC один из разработчиков прошивки).

На мой взгляд не очень страшно, что dns не работает на кинетике, на клиентах, подключенных к кинетику достаточно руками правильные прописать.
DNS сервер на openvpn сервере доступен? Работает? Никого не блокирует? C клиентов, подключенных к кинетику адреса резолвит. Пинг с кинетика до него доходит?
Что можно попробовать сделать: Если /etc/resolv.conf выглядит правильным, то сохранить его, прописать в /etc/resolv.conf только dns сервер, предоставляемый openvpn сервером, перезапустить dnsmasq на кинетике. Покопать приблизительно в этом направлении. Если все заработает - добавить в скрипт запуска openvpn или в скрипт, выполняемый после поднятия туннеля.

Не помню где (может и на своем форуме) читал, что нормально запускали openvpn клиента на кинетике, правда может не весь трафик в туннель не загоняли.

Я использую на кинетике openvpn сервер для доступа с работы в квартирную сеть.

12

Re: OpenVPN keenetic

Установил на кинетике openvpn. Установил openvpn на ноутбуке.
(все вот по этой инструкции)
VPN соединение между ноутбуком и роутером устанавливается насколько я могу судить (иконка openvpn gui становится зеленой)
в сетевых интерфейсах появляется подсеть с адресом 10.8.0.2
Но ни по какому адресу не могу достучаться пр и этом до  самого кинетика..

В локальной сети кинетик имеет адрес 172.27.27.1

На компе:
remote abcdef.dyndns.org
dev tun
ifconfig 10.8.0.2 10.8.0.1
secret "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\static.key"
comp-lzo
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
route 172.27.27.0 255.255.255.0

На роутере:
port 1194.
proto udp.
dev tun.
secret /media/DISK_A1/system/var/static.key.
ifconfig 10.8.0.1 10.8.0.2.
keepalive 10 120.
comp-lzo.
persist-key.
persist-tun

Подскажите pls на каком ip искать роутер после того как установится vpn соединение, что может быть не так..
С openvpn раньше не работал, с linux знаком на уровне "зайти через putty - запустить/скопировать  файл"

Лог openvpn с ноутбука:
Thu Oct 20 22:33:40 2011 OpenVPN 2.2.1 Win32-MSVC++ [SSL] [LZO2] built on Jul  1 2011
Thu Oct 20 22:33:40 2011 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Thu Oct 20 22:33:40 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Thu Oct 20 22:33:40 2011 LZO compression initialized
Thu Oct 20 22:33:42 2011 TAP-WIN32 device [Подключение по локальной сети 2] opened: \\.\Global\{6FA00DD5-A665-4C7C-BB62-1DC129543A3E}.tap
Thu Oct 20 22:33:42 2011 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.2/255.255.255.252 on interface {6FA00DD5-A665-4C7C-BB62-1DC129543A3E} [DHCP-serv: 10.8.0.1, lease-time: 31536000]
Thu Oct 20 22:33:42 2011 Successful ARP Flush on interface [43] {6FA00DD5-A665-4C7C-BB62-1DC129543A3E}
Thu Oct 20 22:33:42 2011 UDPv4 link local (bound): [undef]:1194
Thu Oct 20 22:33:42 2011 UDPv4 link remote: 93.80.123.6:1194
Thu Oct 20 22:33:53 2011 Peer Connection Initiated with 93.80.123.6:1194
Thu Oct 20 22:33:58 2011 Initialization Sequence Completed

Отредактировано ASteZ (2011-10-20 21:35:47)

13

Re: OpenVPN keenetic

ASteZ :

Установил openvpn на ноутбуке.
(все вот по этой инструкции)

Дальше имеет смысл спрашивать автора инструкции. Я использую другие настройки, описанные в соседнем разделе в этой теме.

ASteZ :

С openvpn раньше не работал, с linux знаком на уровне "зайти через putty - запустить/скопировать  файл"

Порекомендую разобраться с openvpn. Начните изучение с FAQ из этой темы. Напишите сами свой конфиг. Соединение у Вас работает. Осталось сделать конфиг для себя.

14

Re: OpenVPN keenetic

Zyxmon :

Соединение у Вас работает. Осталось сделать конфиг для себя.

После нескольких ненаучных тыков пришел к выводу что дело похоже в iptables

В том примере было написано сделать вот так:

nano /media/DISK_A1/system/etc/firewall.d/fw.sh

В этот файл надо скопировать следующие строки:
#!/bin/sh
iptables -I FORWARD 1 --source 10.8.0.0/24 -j ACCEPT
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE

и строчка

iptables –A INPUT -p udp --dport 1194 -j ACCEPT

в скриптtе автозапуска.


Так оно не работало..

После выполнения команды
    iptables -I INPUT 1 --source 10.8.0.0/24 -j ACCEPT
telnet стал коннектиться на адрес 10.8.0.1, выводить приглашение на ввод пароля, после чего чоединение сбрасывается.
Подозреваю что надо еще что-то разрешить в iptables, но что - не знаю... :-(

PS. При этом, как оказалось WEB-интерфейс роутера работает через openvpn

Отредактировано ASteZ (2011-10-21 01:38:31)

15

Re: OpenVPN keenetic

ASteZ, для того, чтобы снаружи был доступ до кинетика достаточно строки iptables в скрипте автозапуска (разрешить входящие пакеты до openvpn). Все остальное (маскарад=MASQUERADE) может потребоваться для доступа снаружи до компов за кинетиком. У Вас в конфиге есть "route 172.27.27.0 255.255.255.0". Что в нем за сеть 172.27.27.0/24? Подумайте на эту тему.

16

Re: OpenVPN keenetic

Помогите, пожалуйста, с настройкой openVPN на 3х машинах - сервер на кинетике с внешним адресом, клиенты - две машины с 7 на борту. У меня не выходит, по всей видимости, манипуляции с сертификатами - на 4 машинах и все не удачные. Цель - пробить NAT и таки поиграть с другом в Borderlands, даже лицензию купили, в надежде на то, что это поможет.
Сегодня с 14 часов настраиваю - все нервы истратил...

17

Re: OpenVPN keenetic

nivs, почитайте тему на форуме ixbt (2я ссылка в 13 посте). Если не поможет чтение, там и спросите. Приведите при этом конфиги сервера и клиентов и логи.

18

Re: OpenVPN keenetic

Zyxmon :

nivs, почитайте тему на форуме ixbt (2я ссылка в 13 посте). Если не поможет чтение, там и спросите. Приведите при этом конфиги сервера и клиентов и логи.

спасибо, но чего-то мозга не хватает, будет время - попробую более углубиться

19

Re: OpenVPN keenetic

Здравствуйте, а можно несколько соединений установить по VPN?, если можно то как сделать.
Соединение по VPN есть но никак в домашнюю сеть попасть немогу, домашние компы невидны по ipадресам.

20

Re: OpenVPN keenetic

Семён :

можно несколько соединений установить по VPN

Я Ваш вопрос не понял. Но скорее всего ответ "да".

Семён :

никак в домашнюю сеть попасть немогу

Изучайте openvpn. Прочтите http://forum.ixbt.com/topic.cgi?id=14:49976:64#64
Возможно еще потребуется создать дополнительные правила iptables на кинетике.

21

Re: OpenVPN keenetic

Как я понял из всего там написанного, вроде можно сделать несколько соединений. Это все прописывается в файле конфигурации, но как я пока до конца не понял, а по поводу маршрутизации вообще запутался.

22

Re: OpenVPN keenetic

Будьте добры требуется помощь. На 4й странице было нечто похожее но не совсем то. При установки опенвпн такая ошибка:

/media/DISK_A1/system/root # /media/DISK_A1/system/etc/init.d/S11openvpn start

Loading OpenVPN kernel modules:
insmod: cannot insert '/media/DISK_A1/system/lib/modules/2.6.23-rt/tun.ko': invalid module format (-1): Exec format error

Starting OpenVPN in daemon mode....failed
Bad argument `–A'
Try `iptables -h' or 'iptables --help' for more information.

23

Re: OpenVPN keenetic

Sav, если у Вас свежая прошивка (финальная BFW.4 или бета от 10 ноября), то Вам читать тему
http://forum.zyxmon.org/topic131-vniman … torye.html
Если более раняя, то тему
http://forum.zyxmon.org/topic110-openvpn-keenetic.html
Если прошивка "старая", то попробуйте просто выполнить в консоли "sync" и перезагрузить кинетик.

24

Re: OpenVPN keenetic

Прошу прощения вопрос нуба что сделать теперь с новыми пакетами ? я просто взял из архива по этой ссылке модуль tun.ko заменил им старый и перезагрузил роутер. Ошибка таже. Наверное надо как-то компилировать новый модель с ядром ? Подскажите?

25

Re: OpenVPN keenetic

Sav :

я просто взял из архива по этой ссылке модуль tun.ko заменил им старый и перезагрузил роутер.

Это нужно только для прошивок от 11 ноября и более новых. Ничего компилировать не нужно, все собрано.
Для нубов есть специальная тема - http://forum.zyxmon.org/topic68-voprosy-po-linux.html
Перед тем, как запускать скрипт openvpn, пробуйте загружать tun.ko руками с помощью insmod. В теме http://forum.zyxmon.org/topic110-openvpn-keenetic.html не выяснили почему иногда модуль не грузится и после каких манипуляций начинает грузиться. Выясните - отпишите.