451

Re: OpenVPN keenetic

Zyxmon, скрипт из entware не запускает версию OpenVPN 2.3.6 ругаясь на

29 окт 00:00:39    openvpn[1732]    OpenVPN 2.3.6 mipsel-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Feb 24 2015
29 окт 00:00:39    openvpn[1732]    library versions: OpenSSL 1.0.2 22 Jan 2015, LZO 2.08
29 окт 00:00:39    openvpn[1732]    WARNING: file 'keys/router.key' is group or others accessible
29 окт 00:00:39    openvpn[1732]    ERROR: Cannot open TUN/TAP dev /dev/net/tun: No such device (errno=19)
29 окт 00:00:39    openvpn[1732]    Exiting due to fatal error

При этом версия OpenVPN 2.3.2 этим же скриптом на отлично запускается.

Можете помочь запустить OpenVPN 2.3.6. Про пути до модуля ядра рассказывать не надо - это проверил в первую очередь.

452

Re: OpenVPN keenetic

dexter, как же мне помочь, если у меня запускается:

~ # ps
  PID USER       VSZ STAT COMMAND
    1 root       700 S    init
.....
 8480 nobody    3680 S    openvpn --daemon --cd /opt/etc/openvpn --config openvpn.conf
 8481 root      1520 R    ps
~ # opkg list-installed | grep openvpn
openvpn-openssl - 2.3.6-3
~ #

Специально обновился с 2.3.4 до 2.3.6. Скрипт не менял. В нем (то, что относится к tun)

~ # cat /opt/etc/init.d/S20openvpn
#!/bin/sh
#
# Startup script for openvpn server
#

# Make sure IP forwarding is enabled
echo 1 > /proc/sys/net/ipv4/ip_forward

# Make device if not present (not devfs)
if ( [ ! -c /dev/net/tun ] ) then
  # Make /dev/net directory if needed
  if ( [ ! -d /dev/net ] ) then
        mkdir -m 755 /dev/net
  fi
  mknod /dev/net/tun c 10 200
fi

# Make sure the tunnel driver is loaded
if ( !(lsmod | grep -q "^tun") ); then
        insmod /opt/lib/modules/tun.ko
fi

ENABLED=yes
PROCS=openvpn
ARGS="--daemon --cd /opt/etc/openvpn --config openvpn.conf"
PREARGS=""
DESC=$PROCS
PATH=/opt/sbin:/opt/bin:/opt/usr/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin

. /opt/etc/init.d/rc.func

Даже проверил, что соединение снаружи проходит после обновления:

Mon Mar  2 16:43:09 2015 OpenVPN 2.3.6 mipsel-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Feb 24 2015
Mon Mar  2 16:43:09 2015 library versions: OpenSSL 1.0.1i 6 Aug 2014, LZO 2.08
Mon Mar  2 16:43:09 2015 Diffie-Hellman initialized with 1024 bit key
Mon Mar  2 16:43:09 2015 WARNING: file 'NAS.key' is group or others accessible
Mon Mar  2 16:43:09 2015 Socket Buffers: R=[110592->131072] S=[110592->131072]
Mon Mar  2 16:43:09 2015 WARNING: potential conflict between --local address [10.0.0.1] and --ifconfig address pair [10.0.0.81
, 255.255.255.240] -- this is a warning only that is triggered when local/remote addresses exist within the same /24 subnet as
 --ifconfig endpoints. (silence this warning with --ifconfig-nowarn)
Mon Mar  2 16:43:09 2015 TUN/TAP device tun0 opened
Mon Mar  2 16:43:09 2015 TUN/TAP TX queue length set to 100
Mon Mar  2 16:43:09 2015 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Mon Mar  2 16:43:09 2015 /sbin/ifconfig tun0 10.0.0.81 netmask 255.255.255.240 mtu 1500 broadcast 10.0.0.95
Mon Mar  2 16:43:09 2015 UID set to nobody
Mon Mar  2 16:43:09 2015 UDPv4 link local (bound): [AF_INET]10.0.0.1:42401
Mon Mar  2 16:43:09 2015 UDPv4 link remote: [undef]
Mon Mar  2 16:43:09 2015 MULTI: multi_init called, r=256 v=256
Mon Mar  2 16:43:09 2015 IFCONFIG POOL: base=10.0.0.82 size=12, ipv6=0
Mon Mar  2 16:43:09 2015 Initialization Sequence Completed
Mon Mar  2 16:51:49 2015 89.208.XXXXX:63531 TLS: Initial packet from [AF_INET]89.208.18.14:63531, sid=17a41ea5 120e55c4
Mon Mar  2 16:51:49 2015 89.208.XXXXX:63531 VERIFY OK: depth=1, C=RU, ST=RU, L=Moscow, O=Poles, emailAddress=zyxmon@gmail.com
Mon Mar  2 16:51:49 2015 89.208.XXXXX:63531 VERIFY OK: depth=0, C=RU, ST=RU, O=Poles, CN=work, emailAddress=zyxmon@gmail.com
Mon Mar  2 16:51:49 2015 89.208.XXXXX:63531 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Mar  2 16:51:49 2015 89.208.XXXXX:63531 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Mar  2 16:51:49 2015 89.208.XXXXX:63531 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Mar  2 16:51:49 2015 89.208.XXXXX:63531 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Mar  2 16:51:49 2015 89.208.XXXXX:63531 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Mon Mar  2 16:51:49 2015 89.208.XXXXX:63531 [work] Peer Connection Initiated with [AF_INET]89.208.18.14:63531
Mon Mar  2 16:51:49 2015 work/89.208.XXXXX:63531 MULTI_sva: pool returned IPv4=10.0.0.82, IPv6=(Not enabled)
Mon Mar  2 16:51:49 2015 work/89.208.XXXXX:63531 MULTI: Learn: 10.0.0.82 -> work/89.208.18.14:63531
Mon Mar  2 16:51:49 2015 work/89.208.XXXXX:63531 MULTI: primary virtual IP for work/89.208.18.14:63531: 10.0.0.82
Mon Mar  2 16:51:52 2015 work/89.208.XXXXX:63531 PUSH: Received control message: 'PUSH_REQUEST'
Mon Mar  2 16:51:52 2015 work/89.208.XXXXX:63531 send_push_reply(): safe_cap=940
Mon Mar  2 16:51:52 2015 work/89.208.XXXXX:63531 SENT CONTROL [work]: 'PUSH_REPLY,route 10.0.0.0 255.255.255.0,route-gateway 1
0.0.0.81,topology subnet,ping 20,ping-restart 180,ifconfig 10.0.0.82 255.255.255.240' (status=1)

453

Re: OpenVPN keenetic

Во первых у Вас:
# Make sure the tunnel driver is loaded
if ( !(lsmod | grep -q "^tun") ); then
        insmod /opt/lib/modules/tun.ko

Я же прописывал:
# Make sure the tunnel driver is loaded
if ( !(lsmod | grep -q "^tun") ); then
        insmod /lib/modules/current/tun.ko

Скопировал Ваш скрипт, закинул tun.ko в /opt/lib/modules/.

Ошибка осталась та же самая, плюс в консоли добавилось

~ # /opt/etc/init.d/S20openvpn start
insmod: no gzip magic
Starting openvpn...              done.

Поставил gzip, но ничего не изменилось.

Отредактировано dexter (2015-03-02 17:05:59)

454

Re: OpenVPN keenetic

dexter :

no gzip magic

Про это (глюк bb) уже писали. Разберитесь с insmod и модулем. Наверняка тут собака порылась.
PS у меня bb старый.

455

Re: OpenVPN keenetic

Zyxmon, спасибо. Я просто в тему про белые не часто заглядываю. Все заработало.

456

Re: OpenVPN keenetic

Хочу выразить огромную признательность человеку, создавшему и поддерживающему этот ресурс и группе энтузиастов, активно участвующих в работе форума! smile Собственно, всё, что требовалось для решения поставленной задачи, было здесь найдено и использовано по прямому назначению. В процессе изучения материалов проникся концепцией подачи информации, используемой г-ном Zyxmon'ом. Очень похоже на принципы работы преподавателей ВУЗов старой школы, добивавшихся от студентов понимая материала. smile
Задача была следующая:
1) Дано: две домашние сети за "серыми" адресами, одна в RU, другая за ее пределами + один OpenVPN сервер с реальным IP, живущий на VDS в виде бесплатного довеска; в качестве домосечных роутеров - Ultra.
2) Требуется: доступ к сетевым устройствам, находящимся за роутерами, как из одной сети в другую и наоборот, так и в обе сразу при подключении к серверу из произвольной места.
3) Дополнительные условия: наличие головы и в меру прямых рук у автора при отсутствии навыков работы с linux, понимания логики работы iptables и времени на изучение вышеупомянутой логики.
Необходимо установить пакеты во внутреннюю память кинетика, чтобы избежать вероятности потери usb flash disk.
Ответственно заявляю, что все грабли, по которым пришлось пропрыгать автору имели место быть в большинстве своем из-за его элементарной невнимательности... Теперь список граблей:
1.  Загрузил  на диск скипт инсталляции для первой серии кинетиков. При этом система установиласть, пакеты обновились и все в первом приближении заработало. Затем был развернут storage.tar.gz, тоже для первой серии кинетиков. И тоже все было ровно и dropbear взлетел нормально. Проблема возникла с загрузкой tun.ko, после установки openvpn. Ну да ничего страшного, благо тут же на форуме есть ссылка на архив модулей ядра для конкретной прошивки. Заменил и модуль начал загружаться. :-) И openvpn начал запускаться и подключаться к серверу, только вот сеть за роутером не была видна, но тут очевидно было, что пора приступать к курению iptables...
2. Попытка переноса openvpn на storage закончилась плачевно... Во-первых, storage у меня 1Mb, а мне казалось, что здесь видел информацию о том, что он должен быть 2Mb, ну да что выросло, то выросло... Во-вторых, запуск opkg update и opkg upgrade привели к установке в систему свежего openssl, так что openvpn, при переносе, потребовал его либы, а впихнуть невпихуемое - это, видимо, за рамками моих возможностей... smile  Благо нашел здесь же маленькую вику, где было сказано о том, что openvpn в storage должен жить в согласии с либами openssl, входящими в состав прошивки, и тогда места хватит. Пришлось отказаться от обновлений в пользу работы бинарника из storage. Openssl при этом, понятно, что vulnerable, но да кому я нужен, что бы его полезли ковырять? ;-)
3. Все вышеизложенные изыскания привели к обнаружению граблей №1. Установка правильных пакетов и архивов исключила грабли с tun.ko и дала абсолютно корректный запуск бинарников.
4. Осталось понять, как побороть iptables, так как с роутами все было в порядке. Использование на стороне сервера push и iroute срабатывало на клиенте 100% корректно:


S11Openvpn stop:
/storage/system/etc/openvpn # netstat -nr
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
10.203.44.0     0.0.0.0         255.255.255.0   U         0 0          0 eth2.2
192.168.167.0   0.0.0.0         255.255.255.0   U         0 0          0 br0
0.0.0.0         10.203.44.254   0.0.0.0         UG        0 0          0 eth2.2

S11Openvpn start:
/var/tmp # netstat -nr
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
172.16.167.5    0.0.0.0         255.255.255.255 UH        0 0          0 tun0
10.203.44.0     0.0.0.0         255.255.255.0   U         0 0          0 eth2.2
172.16.167.0    172.16.167.5    255.255.255.0   UG        0 0          0 tun0
192.168.167.0   0.0.0.0         255.255.255.0   U         0 0          0 br0
10.0.167.0      172.16.167.5    255.255.255.0   UG        0 0          0 tun0
0.0.0.0         10.203.44.254   0.0.0.0         UG        0 0          0 eth2.2

Относительно iptables оговорюсь сразу, что добавлять в секции start и stop скрипта запуска openvpn правила, разрешающие и запрещающие, соответственно, udp трафик от OpenVPN сервера, я счел слишком параноидальным решением и пошел по пути разрешения этого трафика вне зависимости от работы сервиса openvpn. Спасибо товарищу purepower за его подсказку! smile
Моя версия исключает работу туннеля по tcp


#!/bin/sh
iptables -A INPUT -p udp --dport 1234 -j ACCEPT
iptables -A INPUT -i tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -j ACCEPT
iptables -A FORWARD -o tun0 -j ACCEPT
iptables -I FORWARD 1 --source 172.16.167.0/24 -j ACCEPT
iptables -I FORWARD 1 --source 10.0.167.0/24 -j ACCEPT
iptables -I FORWARD 1 --source 192.168.167.0/24 -j ACCEPT
iptables -A INPUT -i tun0 -j ACCEPT

З.Ы. Особо внимательные заметят отсутствие маршрута до второй домосечной сети. Пока работает только сегмент одна сеть и сервер, плюс доступ к серверу из любого места с устройства, умеющего openvpn client. На первом этапе я разделил эти сервисы на сервере, сделав p2p между домосечным роутером и сервером и topology subnet на отдельной подсети для клиентов, настроив между этими сетями корректную маршрутизацию. Просто не было времени уточнять, понимает ли версия openvpn из opkg, что такое topology subnet.
Еще раз море благодарностей! :-)

457

Re: OpenVPN keenetic

Macmep :

Очень похоже на принципы работы преподавателей ВУЗов старой школы, добивавшихся от студентов понимая материала.

Спасибо за добрые слова. Никогда не был преподавателем, но учили меня именно такие.

458

Re: OpenVPN keenetic

Zyxmon :

...но учили меня именно такие.

Меня, к счастью, тоже. wink
P.S. Получилось, что последнее правило в скрипте fw.sh дублирует второе. Вместо тун интерфейса должен быть лупбэк, согласно комментарию Zyxmon. Вполне логично, хотя я не обнаружил ни одного сервиса, который бы биндился исключительно к локалхосту, по крайне мере, работающего по tcp:


/var/tmp # netstat -na | grep LISTEN
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:53              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:1022            0.0.0.0:*               LISTEN
tcp        0      0 :::53                   :::*                    LISTEN
tcp        0      0 :::23                   :::*                    LISTEN
tcp        0      0 :::1022                 :::*                    LISTEN
unix  2      [ ACC ]     STREAM     LISTENING     979    /tmp/superd.socket

Вот бы еще IPv6 отключить, да не знаю как... Подозреваю, что он в ядро вкомпилирован, так как в списке модулей похожего названия не обнаружил.

459

Re: OpenVPN keenetic

Macmep :

Хочу выразить огромную признательность человеку, создавшему и поддерживающему этот ресурс и группе энтузиастов, активно участвующих в работе форума! smile

Присоединяюсь к благодарностям!

P.S.: схему Вашей получившейся сети не нарисуете на досуге?

Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn...
Keenetic Giga & WD Mybook Live user

460

Re: OpenVPN keenetic

ZimniY, приведу ка я свой конфиг. Не могу сказать, что он "прямой". Когда то давно поднимал openvpn на НАСе за adsl роутером. И ничего не помогало, была на роутере определенная "кривость" и не хватало там iproute2.
Конфиг tun (L3), но имеет много общего и с tap (L2), т.к. клиенты получают ip из подсети сервера.
Итак.
1) В скрипте запуска Openvpn включаем proxyarp (и IP forwarding на всякий пожарный, если не включено)

echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/conf/br0/proxy_arp

У меня квартирная сеть 10.0.0.0/24. Конфиг openvpn (сервера) примерно такой

port XXXX
proto udp
dev tun
ca ca.crt
cert NAS.crt
key NAS.key
dh dh1024.pem
topology subnet
local 10.0.0.8
server 10.0.0.56 255.255.255.248
push "route 10.0.0.0 255.255.255.0"
client-to-client
keepalive 20 180
comp-lzo
max-clients 10
user nobody
reneg-sec 0
persist-key
persist-tun
status openvpn-status.log
log-append openvpn.log
verb 3
mute 20

Тут xxxx - порт сервера;
topology subnet - экономим адреса;
local 10.0.0.8 - локальный IP адрес сервера;
server 10.0.0.56 255.255.255.248 - подсеть для клиентов. Не из DHCP диапазона роутера.

При такой конфигурации достаточно пробросить единственный udp порт до НАСа, точки доступа с openvpn сервером. Всё! Клиенты в квартирной сети (без шумового брокдкастного трафика).

Один раз столкнулся с тем, что на точке доступа с прошивкой Tomato в режиме точки доступа

Chain INPUT - policy DROP

Пришлось это исправлять скриптом. Для цепочки FORWARD исправлять проще, нужно переключить режим Tomato с Gateway на Router. На кинетиках в режиме точки доступа это не нужно. На мой взгляд очень простая и работающая схема для openvpn за роутером. Немного "кривоватая".
По идее (может с минимальными изменениями и парой правил iptables) будет работать и на роутере. Никаких маскарадингов и SNAT!  big_smile

PS Это решение (openvpn + proxyarp) я нашел на французском сайте лет 7 назад. Его предложил пользователь роутера с аналогичным глюком. Я это решение приводил, но очень давно.

461

Re: OpenVPN keenetic

Zyxmon, у меня проще и сложнее одновременно: два сервера, один из которых косит под https-сайт

Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn...
Keenetic Giga & WD Mybook Live user

462

Re: OpenVPN keenetic

2 ZimniY, на досуге обязательно нарисую. smile

ZimniY :

...один из которых косит под https-сайт

Хорошее решение. Очень оживляется прикручиванием сертификата от startssl.com, CA которого принимается большинством браузеров. Получается такой добротный фейк. smile
При наличии копеечных VDS можно строить мегапараноидальные конструкции типа "концы в воду", когда соединение между двумя сетями можно осуществлять не напрямую, а через промежуточный сервер, на котором topology subnet и client-to-client.

463

Re: OpenVPN keenetic

Macmep :

Хорошее решение. Очень оживляется прикручиванием сертификата от startssl.com, CA которого принимается большинством браузеров. Получается такой добротный фейк.

Кококой такой фейк? Всё рабочее. Там морда от Proxmox вывешена с авторизацией. Всё честно. Man sslh.

Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn...
Keenetic Giga & WD Mybook Live user

464

Re: OpenVPN keenetic

Ваша гордость скоро Вас погубит!
Вы лучше форум приведите в порядок, бардак такой, все смешалась entware zyxware

Отредактировано yuoras (2015-04-24 07:01:48)

Белый-Белый  ZyXEL Keenetic I серии  Zyxware перешёл на Entware

465

Re: OpenVPN keenetic

yuoras :

Вы лучше форум приведите в порядок, бардак такой, все смешалась

Бардак разводите Вы и похожие пользователи. Найти ответ поиском Вы не в состоянии (про /sbin/insmod раза 3 минимум писали) . Пишите в первую попавшую тему. Приходится удалять за вами мусор.

Лучше бы взяли бы и в wiki написали статью, чем здесь флейм разводить. Или поиском научились тут пользоваться.

466

Re: OpenVPN keenetic

Вы сами прекрасно знаете, как работает ваш поиск.
Так не надо шум поднимать .
По мере своих знаний , я редактирую и вики.
К примеру разобрался с кроном и отредактировал в вики.

Почему бы вам не отредактировать вики с опенвпн?

Отредактировано yuoras (2015-04-24 09:40:05)

Белый-Белый  ZyXEL Keenetic I серии  Zyxware перешёл на Entware

467

Re: OpenVPN keenetic

yuoras :

Вы сами прекрасно знаете, как работает ваш поиск.

Знаю, отлично! Нужно результаты как сообщения выдавать! Иногда индекс слетает - чиню. Всегда можно так
https://www.google.ru/search?q=site:for … gzip+magic

yuoras :

Почему бы вам не отредактировать вики с опенвпн?

Я сделал начальное заполнение. Все остальное в руках пользователей.

468

Re: OpenVPN keenetic

Имею Keenetic Giga с прошивкой "V1.00(USD.1.4)D0 30-мая-2012". Доступ в интернет PPPoE. Внешний IP куплен у провайдера.  Включен  DHCP-сервер с раздачей IP по MAC адресам, то есть сначала смотрю у нового устройства МАС, потом прописываю руками его в "Арендованные адреса" (IP, которое будет ему отдавать DHCP-сервер, сам назначаю, из диапазона пула) . При включении устройства DHCP-сервер присваивает ему отведенный  IP.
Есть ноут (на OS X 10.10), который является клиентом этой локальной сети (в "Арендованных адресах" его МАС карты Wi-Fi).
Задача - из любого места мирового пространства, где есть инет, иметь возможность подключаться к своей локальной сети и выходить в инет с фиксированного IP. Точнее, все ресурсы локалки не нужны, а надо лишь инет с фиксированного адреса.
Поставил OpenVPN. Так как клиент будет всегда один - использую static.key
Перепробовал, наверное, почти все настройки, которые перечислены в этой ветке.
Коннект устанавливается, но IP локалки ноуту не присваивается. То есть инет не идет.
Я вначале, по простоте, думал что так как ноут уже "прописан" в роутере, то ему будет отдаваться его IP. Но долгое и безрезультатное битье об стенку навело на мысль, что надо прописать в роутер еще какой-то МАС.
При включенном клиенте OpenVPN, команда ifconfig в терминале ноута, выдает кучу интерфейсов и соответственно МАС адресов...
В этой теме описаний подобных задач не встречал. Поэтому решил спросить:
1. Возможно ли вообще решить поставленную задачу при имеющихся настройках локальной сети?
2. Если "Да", то какой МАС прописать в роутер чтобы он присвоил клиенту IP адрес локальной сети?
3. Или, если решение задачи другое, что мне тогда надо сделать, куда "копать"?
Заранее спасибо всем уделившим время.

469

Re: OpenVPN keenetic

e61263
1. Да. Постановка задачи дурацкая и почти на албанском. Какая Вам разница, какой внутренний ip будет у клиента.
2. У Вас роутер локальным клиентам все присваивает, что нужно.
3. Копать в интернет, статей и топиков по openvpn в интернете вагон и маленькая тележка.

Сначала стоит подумать, что нужно. А уже потом - как реализовать. С первым у Вас "не очень".

470

Re: OpenVPN keenetic

1. Разницы никакой, просто локальная сеть с IP которые раздаются по МАС адресам. То есть DHCP смотрит какой мак стучится, сравнивает его со своей таблицей, и если находит - присваивает IP и разрешает ему инет (ну и доступ к ЛС).
2. Я знаю что он присваивает. И даже знаю то, что он присваивает что нужно, для имеющихся клиентов ЛС.
3. Копаю, да что-то такого не встречал.

Вопрос в том, какой МАС прописать в роутер, чтобы он выделил IP локалки?

Отредактировано e61263 (2015-05-02 13:06:04)

471

Re: OpenVPN keenetic

e61263, TAP интерфейс сбриджеванный в br0 кинетика, при должной крнфикурации Ovpn должны вам помоч.

472

Re: OpenVPN keenetic

Кто-нибудь себе уже делал файл запуска для нескольких демонов? Текущий стандартный делает killall openvpn и подобные вещи, хочу запустить три демона (клиент+2 сервера), и чтобы каждым из них можно было независимо управлять (start/stop), не трогая остальные - т.е. создать несколько файлов запуска с сохранением pid'ов и чот там еще нужно... Знания bash плохие, написать подобное пока для меня сложновато. Или киньте, где можно найти подобный файл, чтобы его подправить под openvpn

--------------------

Продолжая вопрос, поднятый мною несколькими сообщениями ранее
Коротко: openvpn-клиент на роутере, один и тот же конфиг, белая гига - работает, черная гига - такое ощущение что не создается tun (в ifconfig его нет)

Продолжение банкета: попробовал на черной гиге создать сервер - tun в ifconfig появился и все работает, а клиент никак не хочет запускаться, после подключения падает из-за невозможности конфигурирования tun.
Конфиг клиента:

client
tls-client

log openvpn.log

dev tun
proto udp
remote 1.1.1.1 11111
resolv-retry infinite
topology subnet

nobind
pull

max-routes 5000
persist-key
persist-tun

ca ca.crt
cert zyx1.crt
key zyx1.key
cipher BF-CBC
tls-auth hmac.key 1
ns-cert-type server

comp-lzo

verb 3

В связи с этим вопрос - кто-либо вообще использует на черных кинетиках OpenVPN в качестве клиента tun? А то у меня создается ощущение, что у всех наповал серверы, а с клиентом что-то не то (zyxware)...

Отредактировано KorDen (2015-05-03 00:54:32)

473

Re: OpenVPN keenetic

Хм, повторю свой вопрос, скорректировав (редакцию прошлого сообщения возможно многие не заметили, эту редакцию не заметят тоже...):

Кто-либо вообще использует на черных кинетиках OpenVPN в качестве клиента tun? (если конкретно - на гиге с прошивкой V1.11.RU.NOSMTC.NDMS)

Теперь проверил и с Zyxware и с Entware - результат один - к серверу подключается, настройки получает, tun0 не создается. Если же создать сервер - tun0 появляется и корректно конфигурируется (но подключаться и проверять работу не пробовал)

---
ну и тут будет
UPD: Методом тыка обнаружил, что tun0 создается и тунель работает при количестве маршрутов менее 1200 (да, у меня так много маршрутов...). При этом первая гига спокойно переваривает 4.5к маршрутов. Возможно перваривает и больше. Но на ~2к падало, а на ~1100 подключается
В логах видно, что клиент получает все маршруты, но дальше падает из-за невозможности сконфигурировать tun.

Отредактировано KorDen (2015-05-05 00:44:49)

474

Re: OpenVPN keenetic

Отвечу сам себе, если вдруг кто-то в будущем будет подобное делать

KorDen :

Кто-нибудь себе уже делал файл запуска для нескольких демонов?

На Entware надо создать символьные ссылки (или скопировать..) на /opt/sbin/openvpn - например /opt/sbin/openvpn-cl  /opt/sbin/openvpn-srv1  /opt/sbin/openvpn-srv2
Главное чтобы имена не пересекались, например нельзя сделать openvpn-srv и openvpn-srv2 - остановка первого будет останавливать и второй (я поначалу запутался именно здесь, не догадавшись)

А дальше создать несколько файлов запуска в init.d с соответствующими названиями файлов в PROCS и разными конфигами

Только нужно не забыть, что порядок появления устройств tun может быть любой, и если есть правила iptables, указывающие на конкретные устройства, то их нужно выполнять в up-script ($1 - имя устройства)

475

Re: OpenVPN keenetic

KorDen,  спасибо , забрал себе

Белый-Белый  ZyXEL Keenetic I серии  Zyxware перешёл на Entware