351

Re: OpenVPN keenetic

в вики где надо вводить емайл и прочее это никуда не отправляется? и влияет ли на безопасность? и что писать где 3 имя  сервера айпи или че угодно свое?

upd:вроде все настроил теперь пишет


Loading OpenVPN kernel modules:

Starting OpenVPN in daemon mode....failed


че делать?

Отредактировано ilya (2013-08-17 15:21:13)

352

Re: OpenVPN keenetic

Всем привет, недавно тоже столкнулся с данной проблемой, облазил инет, ничего не помогло. Самая обсуждаемая тема находится на этом форуме, поэтому решение данной проблемы решил написать сюда.
Итак, вот эта заковырка, которая многих мучает, есть счастливчики, которых это не коснулось, но мы не из их числа.

~ # /media/DISK_A1/system/etc/init.d/K11openvpn start

Loading OpenVPN kernel modules:
insmod: cannot insert '/media/DISK_A1/system/lib/modules/2.6.23-rt/tun.ko': File exists (-1): File exists

Starting OpenVPN in daemon mode....failed

Решение:
редактируем файл: K11openvpn

вставляем строчку : rnmod tun в ветке start

start() {
    echo ""
    echo "Loading OpenVPN kernel modules:"
    rmmod tun
    insmod $MOUNT/lib/modules/2.6.22-tc/tun.ko

и исправляем строчку в ветке stop:
    rmmod $MOUNT/lib/modules/2.6.22-tc/tun.ko на rmmod  tun

...
    sleep 1

    echo ""
    echo "Unloading OpenVPN kernel modules... "
    rmmod tun

все правила iptables можно задать в fw.sh не загромождая K11openvpn
надеюсь этот пост поможет многим и навсегда избавит от этой проблемы.

Отредактировано maltar (2013-08-20 07:17:36)

353

Re: OpenVPN keenetic

Протестировал OpenVPN на Гиге II на гигабитном линке iperfом.
28 - 29 Мбит\с
Загрузка процессора 25 - 30%.
Есть ощущение, что не все потоки используются. Про загрузку процессора более 30% на Кинетиках второй серии я не слышал и не видел ни в одном тесте, включая тесты: по smb, ftp, dlna и l2tp на больших скоростях

Отредактировано adxfighter (2013-08-29 09:40:46)

354

Re: OpenVPN keenetic

че делать с ошибкой:

/media/DISK_A1/system/root # /media/DISK_A1/system/etc/firewall.d/fw.sh
-ash: /media/DISK_A1/system/etc/firewall.d/fw.sh: not found

я даже все заново переустановил вместе с резетом роутера не помогло

Отредактировано ilya (2013-09-05 12:42:35)

355

Re: OpenVPN keenetic

chmod a+x /media/DISK_A1/system/etc/firewall.d/fw.sh

как вариант

356

Re: OpenVPN keenetic

Здравствуйте.
Есть задача развернуть openvpn на роутере Zyxel keenetic giga II
Версия прошивки была V2.01 скачал и установил версию V1.11 от 1-ого октября, так как свежая версия насколько я понял содержит большие изменения в ядре и пакеты могли бы не запуститься.

Установил opkg который предлагалось в wiki и установил пакеты openvpn,
При попытке запуска возникает проблема

/media/DISK_A1/system/root # /media/DISK_A1/system/etc/init.d/S11openvpn start

Loading OpenVPN kernel modules:
insmod: cannot insert '/media/DISK_A1/system/lib/modules/2.6.23-rt/tun.ko': invalid module format (-1): Exec format error

Starting OpenVPN in daemon mode....failed

Как я понял что модуль tun.ok не подходит. Пробовал поискать самому  инете но ни один не подошёл.
Просьба у кого более или менее свежая версия прошивки V1 и поднят openvpn, не могли бы его передать  big_smile

357

Re: OpenVPN keenetic

Zizilk, для кого я вчера написал http://forum.zyxmon.org/post15542.html#p15542
Как только разработчики выложат новый SDK - так сразу. А пока ставьте стабильный вариант 1.10
http://l10n.ndl.ru/firmwares/NDMSv1/17062013/

358

Re: OpenVPN keenetic

Спасибо, в принципе VPN поднялся но при этом во всей сети нарушалась связь, то есть невозможно было достучаться даже до роутера big_smile
Возможно это связано с тем что я не прописал iptables -A INPUT -p udp --dport 1194 -j ACCEPT ? roll

Пока флешку вытащил, и перезагрузил

359

Re: OpenVPN keenetic

Ламерский вопрос можно?
В общем настроил OpenVpn на роутере вроде поднялся
выхожу во внешнюю сеть, иду на мобильник и не могу подключиться клиентом...
Айпишник из вне не пингуется на котором роутер стоит (ессно пинговать пробую внешний айпи)

360

Re: OpenVPN keenetic

Подскажите пожалуйста такую вещь: есть бесплатный сервис http://www.vpnbook.com/ . Там дают нахаляву пользоваться OpenVPN. При этом получается, что у всех пользователей одинаковые сертификаты.  Подскажите, как сделать так же, чтоб не генерировать на каждое устройство свои ключи? У меня просто такая ситуация получается: когда с 1м сертификатом подсоединяюсь от 2х клиентов одновременно, клиенты почему-то получают одинаковый IP.

P.S. Если что , конфиг сервера такой:

port 443
proto udp
dev tun

dh keys/dh1024.pem
ca keys/ca.crt
cert keys/server.crt
key keys/server.key

tls-server
mode server
client-to-client
ifconfig 172.16.0.1 172.16.0.20
ifconfig-pool 172.16.0.2 172.16.0.20
cipher AES-128-CBC
keepalive 10 120
persist-key
persist-tun
comp-lzo
status logs/status.log
log logs/openvpn.log
verb 3
mute 5

Я пока нуб в этом деле. Сильно если что не смейтесь.
Кстати. Обнаружил полностью непонятный мне феномен. Когда всунута флешка в кинетик с "полноценным Linux" и пакетом OpenVPN, не работает Counter Strike (проверял GO и Source). Как только отмонтирую флешку и перезагружаю кинетик - всё работает. Как понять, что именно мешает контре подсоединиться к серверу?

UPD: обнаружился ещё 1 глюк. В utorrent при раздаче я отдаю сам себе  hmm . А раньше показывались реальные IP реальных личеров.
http://i60.fastpic.ru/thumb/2013/1014/b2/5a90d49b8530d218bb49811a12251bb2.jpeg (увеличение по клику)

А ещё в произвольное время перестают резолвиться сайты по DNS. Перезагрузка роутера помогает.

Отредактировано matrix9164 (2013-10-14 17:15:45)

361

Re: OpenVPN keenetic

Ответьте пожалуйста, почему после всех действий по настройке OpenVPN не работают исходящие udp соединения на порт 27243?
мой fw.sh:

iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -I FORWARD 1 --source 172.16.1.0/24 -j ACCEPT
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE

iptables

/media/DISK_A1/system/etc/firewall.d # iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     igmp --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     igmp --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:http
ACCEPT     icmp --  anywhere             anywhere            icmp any
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:https
ACCEPT     udp  --  anywhere             anywhere            udp dpt:https

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  172.16.1.0/24        anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  172.16.1.0/24        anywhere
DROP       all  --  anywhere             anywhere
DROP       all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state NEW
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere

Отредактировано matrix9164 (2013-10-19 00:23:54)

362

Re: OpenVPN keenetic

Нужна помощь... Второй ень бьюсь, не знаю что делать.

Есть сервер OpenVPN (Windows)

#dev tun
dev tap
#dev-node "VPN"
proto tcp-server
#proto udp
port 7777
tls-server
server 10.10.10.0 255.255.255.0
comp-lzo
# route-method exe
# маршрут для сервера, чтобы видеть сети за клиентом
# route 192.168.x.0 255.255.255.0 10.10.10.x
# маршрут добавляемый в таблицу маршрутизации каждого клиента, чтобы видеть сеть за сервером
# push "route 192.168.x.0 255.255.255.0"
# разрешает vpn-клиентам видеть друг-друга, в противном случае все vpn-клиенты будут видеть только сервер
client-to-client
# каталог с описаниями конфигураций каждого из клиентов
client-config-dir C:\\OpenVPN\\config\\ccd
# файл с описанием сетей между клиентом и сервером
ifconfig-pool-persist C:\\OpenVPN\\config\\ccd\\ipp.txt
# пути для ключей и сертификатов сервера
dh C:\\OpenVPN\\ssl\\dh1024.pem
ca C:\\OpenVPN\\ssl\\ca.crt
cert C:\\OpenVPN\\ssl\\Server.crt
key C:\\OpenVPN\\ssl\\Server.key
#persist-key
tls-auth C:\\OpenVPN\\ssl\\ta.key 0
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
keepalive 10 120
status C:\\OpenVPN\\log\\openvpn-status.log
log C:\\OpenVPN\\log\\openvpn.log
verb 3

dev-node "VPN" # имя интерфейса openvpn в системе
# правило маршрутизации для КАЖДОГО клиента, основным шлюзом будет наш openvpn-сервер
push "route 0.0.0.0 0.0.0.0"
# DNS-сервера выдающиеся КАЖДОМУ клиенту
# push "dhcp-option DNS 217.18.138.30"
# push "dhcp-option DNS 95.191.130.4"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"

push "redirect-gateway def1"


Есть клиент виндовый:

# decker OpenVPN Config File (c) Duero, rabotaev@gmail.com 
dev tap 
# dev-node "OpenVPN"  
proto tcp  
remote sibdor.tom.ru 7777  
route-delay 3  
client  
tls-client  
ns-cert-type server  
ca C:\\OpenVPN\\ssl\\ca.crt  
cert C:\\OpenVPN\\ssl\\router1.crt  
key C:\\OpenVPN\\ssl\\router1.key  
tls-auth C:\\OpenVPN\\ssl\\ta.key 1  
comp-lzo  
tun-mtu 1500  
tun-mtu-extra 32  
mssfix 1450  
ping-restart 60  
ping 10  
status C:\\OpenVPN\\log\\openvpn-status.log  
log C:\\OpenVPN\\log\\openvpn.log  
verb 3

Все работает.

Как заставить коннектится Zyxel Zeenetic giga (Fw1) к этому VPN'у?
Пробовал так:

# decker OpenVPN Config File (c) Duero, rabotaev@gmail.com 
dev tap0
# dev-node "OpenVPN"
proto tcp

remote sibdor.tom.ru 7777
resolv-retry infinite

client
tls-client

ns-cert-type server

ca /media/DISK_A1/system/etc/openvpn/keys/ca.crt
cert /media/DISK_A1/system/etc/openvpn/keys/router1.crt
key /media/DISK_A1/system/etc/openvpn/keys/router1.key
tls-auth /media/DISK_A1/system/etc/openvpn/keys/ta.key 1

cipher AES-128-CBC
persist-key
persist-tun
comp-lzo  
tun-mtu 1500  
tun-mtu-extra 32  
mssfix 1450  
ping-restart 60  
ping 10 
verb 3
mute 5

Но ничего не вышло...

Лог

29 мая 05:53:51    openvpn[2803]    OpenVPN 2.3.2 mipsel-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Jul 29 2013
29 мая 05:53:51    openvpn[2803]    Control Channel Authentication: using '/media/DISK_A1/system/etc/openvpn/keys/ta.key' as a OpenVPN static key file
29 мая 05:53:51    openvpn[2803]    Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
29 мая 05:53:51    openvpn[2803]    Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
29 мая 05:53:51    openvpn[2803]    Socket Buffers: R=[87380->131072] S=[16384->131072]
29 мая 05:53:51    openvpn[2804]    Attempting to establish TCP connection with [AF_INET]90.188.119.79:7777 [nonblock]
29 мая 05:53:52    openvpn[2804]    TCP connection established with [AF_INET]90.188.119.79:7777
29 мая 05:53:52    openvpn[2804]    TCPv4_CLIENT link local: [undef]
29 мая 05:53:52    openvpn[2804]    TCPv4_CLIENT link remote: [AF_INET]90.188.119.79:7777
29 мая 05:53:52    openvpn[2804]    TLS: Initial packet from [AF_INET]90.188.119.79:7777, sid=5be37d11 41caed10
29 мая 05:53:53    openvpn[2804]    VERIFY ERROR: depth=1, error=certificate is not yet valid: C=RU, ST=Tomsk, L=Tomsk, O=SibDor, OU=SibDor, CN=sibdor.tom.ru, emailAddress=rabotaev@gmail.com
29 мая 05:53:53    openvpn[2804]    TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:lib(20):func(144):reason(134)
29 мая 05:53:53    openvpn[2804]    TLS Error: TLS object -> incoming plaintext read error
29 мая 05:53:53    openvpn[2804]    TLS Error: TLS handshake failed
29 мая 05:53:53    openvpn[2804]    Fatal TLS error (check_tls_errors_co), restarting
29 мая 05:53:53    openvpn[2804]    SIGUSR1[soft,tls-error] received, process restarting

363

Re: OpenVPN keenetic

Duero, для tap нужен совсем другой скрипт запуске. ЕМНИП один из владельцев кинетиков поднимал L2 туннель, но не отписал подробно. Читайте доки openvpn http://openvpn.net/index.php/open-sourc … pn-21.html и адаптируйте под кинетик.
Вот это понадобится - http://openvpn.net/index.php/open-sourc … dging.html

364

Re: OpenVPN keenetic

Скрипт запуска из темы выдрал, забыл выложить.

#!/bin/sh

MOUNTPNT="/media/DISK_A1"
MOUNT="$MOUNTPNT/system"

export PATH=$MOUNT/bin:$MOUNT/sbin:$MOUNT/usr/bin:$MOUNT/usr/sbin:/sbin:/usr/sbin:/bin:/usr/bin
export LD_LIBRARY_PATH=$MOUNT/lib:$MOUNT/usr/lib:/lib:/usr/lib

success() {
        [ -n $1 ] && echo "success" || echo "$1: success"
}

failure() {
        [ -n $1 ] && echo "failed" || echo "$1: failed"
}

start() {
        echo ""
        echo "Loading OpenVPN kernel modules:"
        insmod $MOUNT/lib/modules/2.6.23-rt/tun.ko

        # Make sure IP forwarding is enabled
#       echo 1 > /proc/sys/net/ipv4/ip_forward
        # Proxy arp usuaslly is not needed
#       echo 1 > /proc/sys/net/ipv4/conf/br0/proxy_arp

#       # Make device if not present (not devfs)
        if ( [ ! -c /dev/net/tun ] ) then
        if ( [ ! -d /dev/net ] ) then
        mkdir -m 755 /dev/net
        fi
        mknod /dev/net/tun c 10 200
        fi
openvpn --mktun --dev tap0
brctl addbr "OVPN"
brctl addif br0 tap0
ifconfig tap0 0.0.0.0 promisc up

        echo ""
        echo -n "Starting OpenVPN in daemon mode...."
        $MOUNT/usr/sbin/openvpn --cd $MOUNT/etc/openvpn --daemon --script-security 2 --config openvpn.conf > /dev/null 2>&1
        ret=$?
        [ $ret -eq 0 ] && success || failure
        iptables -A INPUT -p udp --dport 7777 -j ACCEPT
}

stop() {

        echo ""
        echo -n "Killing OpenVPN processes...."
        if [ -n "`pidof openvpn`" ]; then
                killall openvpn 2>/dev/null
        fi
        ret=$?
        [ $ret -eq 0 ] && success || failure

        sleep 1

        echo ""

        echo "Unloading OpenVPN kernel modules... "
        rmmod $MOUNT/lib/modules/2.6.23-rt/tun.ko
        iptables -D INPUT -p udp --dport 7777 -j ACCEPT
}

restart() {
        stop
        sleep 3
        start
}

case "$1" in
        start)
                start
                ;;
        stop)
                stop
                ;;
        restart)
                restart
                ;;
        link_up)
                ;;
        ppp_up)
                ;;
        link_down)
                ;;
        ppp_down)
                ;;
        *)
                echo "Usage: $0 {start|stop|restart|link_up|link_down|ppp_up|ppp_down}"
                ;;
esac

365

Re: OpenVPN keenetic

Если скрипт запускается и все правильно инициализируется, изучайте логи openvpn. При проблеме спрашивайте на ixbt.

366

Re: OpenVPN keenetic

похоже что сертификат не хочет принимать

29 мая 05:53:53    openvpn[2804]    VERIFY ERROR: depth=1, error=certificate is not yet valid: C=RU, ST=Tomsk, L=Tomsk, O=SibDor, OU=SibDor, CN=sibdor.tom.ru, emailAddress=rabotaev@gmail.com
29 мая 05:53:53    openvpn[2804]    TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:lib(20):func(144):reason(134)
29 мая 05:53:53    openvpn[2804]    TLS Error: TLS object -> incoming plaintext read error
29 мая 05:53:53    openvpn[2804]    TLS Error: TLS handshake failed
29 мая 05:53:53    openvpn[2804]    Fatal TLS error (check_tls_errors_co), restarting

367

Re: OpenVPN keenetic

baragoon :

похоже что сертификат не хочет принимать

Для начала следует проверить наличие интерфейса tap0 и его вхождение в br0

368

Re: OpenVPN keenetic

yikes Всё ещё не могу наладить соединение
соединение проходит, адаптер включается, айпишники и шлюз получает, но ничего через соединение не идёт и сервер не пингуется по логам All works fine (почти)

Задача чтобы весь клиентский трафик перенаправлялся через VPN туннель.

Значит конфиг клиента

port 1194
remote ***.***.***.130 
proto udp
dev tun
ca keys/ca.crt
cert keys/Zibook.crt
key keys/Zibook.key
tls-client
client
ifconfig 172.22.0.6 172.22.0.5
resolv-retry infinite
ns-cert-type server

cipher AES-128-CBC
persist-key
persist-tun
comp-lzo
log openvpn.log
verb 3
mute 5

Конфиг сервера

port 1194
proto udp
dev tun
dh /media/DISK_A1/system/etc/openvpn/keys/dh1024.pem
ca /media/DISK_A1/system/etc/openvpn/keys/ca.crt
cert /media/DISK_A1/system/etc/openvpn/keys/Zikeentic.crt
key /media/DISK_A1/system/etc/openvpn/keys/Zikeentic.key
tls-server
mode server
ifconfig 172.22.0.5 172.22.0.6

client-to-client

server 172.22.0.0 255.255.255.0
push "default-gateway def1 bypass-dhcp"
push "dhcp-option dns 8.8.8.8"
push "route 0.0.0.0 0.0.0.0"

cipher AES-128-CBC
keepalive 10 120
persist-key
persist-tun
comp-lzo
log openvpn.log
verb 3
mute 5

Лог клиента

Fri Oct 25 00:09:38 2013 OpenVPN 2.3.2 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [eurephia] [IPv6] built on Aug 22 2013
Enter Management Password:
Fri Oct 25 00:09:38 2013 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Fri Oct 25 00:09:38 2013 Need hold release from management interface, waiting...
Fri Oct 25 00:09:39 2013 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Fri Oct 25 00:09:39 2013 MANAGEMENT: CMD 'state on'
Fri Oct 25 00:09:39 2013 MANAGEMENT: CMD 'log all on'
Fri Oct 25 00:09:39 2013 MANAGEMENT: CMD 'hold off'
Fri Oct 25 00:09:39 2013 MANAGEMENT: CMD 'hold release'
Fri Oct 25 00:09:39 2013 WARNING: using --pull/--client and --ifconfig together is probably not what you want
Fri Oct 25 00:09:39 2013 Socket Buffers: R=[65536->65536] S=[65536->65536]
Fri Oct 25 00:09:39 2013 UDPv4 link local (bound): [undef]
Fri Oct 25 00:09:39 2013 UDPv4 link remote: [AF_INET]***.***.***.130:1194
Fri Oct 25 00:09:39 2013 MANAGEMENT: >STATE:1382645379,WAIT,,,
Fri Oct 25 00:09:40 2013 MANAGEMENT: >STATE:1382645380,AUTH,,,
Fri Oct 25 00:09:40 2013 TLS: Initial packet from [AF_INET]***.***.***.130:1194, sid=44c6330c b0a9ed23
Fri Oct 25 00:09:43 2013 VERIFY OK: depth=1, C=RU, ST=MO, L=Moscow, O=Zi, OU=Zikeentic, CN=Zikeentic, name=Zikeentic, emailAddress=zizilk@yandex.ru
Fri Oct 25 00:09:43 2013 VERIFY OK: nsCertType=SERVER
Fri Oct 25 00:09:43 2013 VERIFY OK: depth=0, C=RU, ST=MO, L=Moscow, O=Zi, OU=Zikeentic, CN=Zikeentic, name=Zikeentic, emailAddress=zizilk@yandex.ru
Fri Oct 25 00:09:50 2013 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Fri Oct 25 00:09:50 2013 NOTE: --mute triggered...
Fri Oct 25 00:09:50 2013 4 variation(s) on previous 5 message(s) suppressed by --mute
Fri Oct 25 00:09:50 2013 [Zikeentic] Peer Connection Initiated with [AF_INET]95.26.203.130:1194
Fri Oct 25 00:09:51 2013 MANAGEMENT: >STATE:1382645391,GET_CONFIG,,,
Fri Oct 25 00:09:52 2013 SENT CONTROL [Zikeentic]: 'PUSH_REQUEST' (status=1)
Fri Oct 25 00:09:56 2013 PUSH: Received control message: 'PUSH_REPLY,default-gateway def1 bypass-dhcp,dhcp-option dns 8.8.8.8,route 0.0.0.0 0.0.0.0,route 172.22.0.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 172.22.0.6 172.22.0.5'
Fri Oct 25 00:09:56 2013 Options error: Unrecognized option or missing parameter(s) in [PUSH-OPTIONS]:1: default-gateway (2.3.2)
Fri Oct 25 00:09:56 2013 Options error: --dhcp-option: unknown option type 'dns' or missing parameter
Fri Oct 25 00:09:56 2013 OPTIONS IMPORT: timers and/or timeouts modified
Fri Oct 25 00:09:56 2013 OPTIONS IMPORT: --ifconfig/up options modified
Fri Oct 25 00:09:56 2013 OPTIONS IMPORT: route options modified
Fri Oct 25 00:09:56 2013 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Fri Oct 25 00:09:56 2013 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Fri Oct 25 00:09:56 2013 MANAGEMENT: >STATE:1382645396,ASSIGN_IP,,172.22.0.6,
Fri Oct 25 00:09:56 2013 open_tun, tt->ipv6=0
Fri Oct 25 00:09:56 2013 TAP-WIN32 device [Подключение по локальной сети] opened: \\.\Global\{B291F9A5-B9BE-48AF-ABB9-76BC92E01797}.tap
Fri Oct 25 00:09:56 2013 TAP-Windows Driver Version 9.9 
Fri Oct 25 00:09:56 2013 Notified TAP-Windows driver to set a DHCP IP/netmask of 172.22.0.6/255.255.255.252 on interface {B291F9A5-B9BE-48AF-ABB9-76BC92E01797} [DHCP-serv: 172.22.0.5, lease-time: 31536000]
Fri Oct 25 00:09:56 2013 Successful ARP Flush on interface [7] {B291F9A5-B9BE-48AF-ABB9-76BC92E01797}
Fri Oct 25 00:10:01 2013 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Fri Oct 25 00:10:01 2013 MANAGEMENT: >STATE:1382645401,ADD_ROUTES,,,
Fri Oct 25 00:10:01 2013 C:\WINDOWS\system32\route.exe ADD 0.0.0.0 MASK 0.0.0.0 172.22.0.5
Fri Oct 25 00:10:01 2013 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Fri Oct 25 00:10:01 2013 Route addition via IPAPI succeeded [adaptive]
Fri Oct 25 00:10:01 2013 C:\WINDOWS\system32\route.exe ADD 172.22.0.0 MASK 255.255.255.0 172.22.0.5
Fri Oct 25 00:10:01 2013 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Fri Oct 25 00:10:01 2013 Route addition via IPAPI succeeded [adaptive]
Fri Oct 25 00:10:01 2013 Initialization Sequence Completed
Fri Oct 25 00:10:01 2013 MANAGEMENT: >STATE:1382645401,CONNECTED,SUCCESS,172.22.0.6,95.26.203.130
Fri Oct 25 00:12:59 2013 C:\WINDOWS\system32\route.exe DELETE 172.22.0.0 MASK 255.255.255.0 172.22.0.5
Fri Oct 25 00:12:59 2013 Route deletion via IPAPI succeeded [adaptive]
Fri Oct 25 00:12:59 2013 C:\WINDOWS\system32\route.exe DELETE 0.0.0.0 MASK 0.0.0.0 172.22.0.5
Fri Oct 25 00:12:59 2013 Route deletion via IPAPI succeeded [adaptive]
Fri Oct 25 00:12:59 2013 Closing TUN/TAP interface
Fri Oct 25 00:12:59 2013 SIGTERM[hard,] received, process exiting
Fri Oct 25 00:12:59 2013 MANAGEMENT: >STATE:1382645579,EXITING,SIGTERM,,

Лог сервера

Fri Oct 25 00:07:21 2013 OpenVPN 2.3.2 mipsel-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Jul 29 2013
Fri Oct 25 00:07:21 2013 Diffie-Hellman initialized with 1024 bit key
Fri Oct 25 00:07:21 2013 WARNING: file '/media/DISK_A1/system/etc/openvpn/keys/Zikeentic.key' is group or others accessible
Fri Oct 25 00:07:21 2013 Socket Buffers: R=[110592->131072] S=[110592->131072]
Fri Oct 25 00:07:21 2013 TUN/TAP device tun0 opened
Fri Oct 25 00:07:21 2013 TUN/TAP TX queue length set to 100
Fri Oct 25 00:07:21 2013 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Fri Oct 25 00:07:21 2013 /sbin/ifconfig tun0 172.22.0.1 pointopoint 172.22.0.2 mtu 1500
Fri Oct 25 00:07:21 2013 /sbin/route add -net 172.22.0.0 netmask 255.255.255.0 gw 172.22.0.2
Fri Oct 25 00:07:21 2013 UDPv4 link local (bound): [undef]
Fri Oct 25 00:07:21 2013 UDPv4 link remote: [undef]
Fri Oct 25 00:07:21 2013 MULTI: multi_init called, r=256 v=256
Fri Oct 25 00:07:21 2013 IFCONFIG POOL: base=172.22.0.4 size=62, ipv6=0
Fri Oct 25 00:07:21 2013 Initialization Sequence Completed
Fri Oct 25 00:09:45 2013 83.149.9.159:46992 TLS: Initial packet from [AF_INET]83.149.9.159:46992, sid=eda2bab3 585c19fb
Fri Oct 25 00:09:52 2013 83.149.9.159:46992 VERIFY OK: depth=1, C=RU, ST=MO, L=Moscow, O=Zi, OU=Zikeentic, CN=Zikeentic, name=Zikeentic, emailAddress=zizilk@yandex.ru
Fri Oct 25 00:09:52 2013 83.149.9.159:46992 VERIFY OK: depth=0, C=RU, ST=MO, L=Moscow, O=Zi, OU=Zibook, CN=Zikeentic, name=Zibook, emailAddress=zizilk@yandex.ru
Fri Oct 25 00:09:55 2013 83.149.9.159:46992 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Fri Oct 25 00:09:55 2013 83.149.9.159:46992 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Oct 25 00:09:55 2013 83.149.9.159:46992 NOTE: --mute triggered...
Fri Oct 25 00:09:56 2013 83.149.9.159:46992 3 variation(s) on previous 5 message(s) suppressed by --mute
Fri Oct 25 00:09:56 2013 83.149.9.159:46992 [Zikeentic] Peer Connection Initiated with [AF_INET]83.149.9.159:46992
Fri Oct 25 00:09:56 2013 Zikeentic/83.149.9.159:46992 MULTI_sva: pool returned IPv4=172.22.0.6, IPv6=(Not enabled)
Fri Oct 25 00:09:56 2013 Zikeentic/83.149.9.159:46992 MULTI: Learn: 172.22.0.6 -> Zikeentic/83.149.9.159:46992
Fri Oct 25 00:09:56 2013 Zikeentic/83.149.9.159:46992 MULTI: primary virtual IP for Zikeentic/83.149.9.159:46992: 172.22.0.6
Fri Oct 25 00:10:01 2013 Zikeentic/83.149.9.159:46992 PUSH: Received control message: 'PUSH_REQUEST'
Fri Oct 25 00:10:01 2013 Zikeentic/83.149.9.159:46992 send_push_reply(): safe_cap=940
Fri Oct 25 00:10:01 2013 Zikeentic/83.149.9.159:46992 SENT CONTROL [Zikeentic]: 'PUSH_REPLY,default-gateway def1 bypass-dhcp,dhcp-option dns 8.8.8.8,route 0.0.0.0 0.0.0.0,route 172.22.0.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 172.22.0.6 172.22.0.5' (status=1)
Fri Oct 25 00:16:59 2013 Zikeentic/83.149.9.159:46992 [Zikeentic] Inactivity timeout (--ping-restart), restarting
Fri Oct 25 00:16:59 2013 Zikeentic/83.149.9.159:46992 SIGUSR1[soft,ping-restart] received, client-instance restarting

Перед запуском сервера выполняю скрипт для фаервола

#!/bin/sh
iptables -A INPUT -p udp --dport 1194 -j ACCEPT
iptables -I FORWARD 1 --source 172.22.0.0/24 -j ACCEPT
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
iptables -t nat -A POSTROUTING -s 172.22.0.0/24 -o eth0 -j MASQUERADE

369

Re: OpenVPN keenetic

Добавте в конфиг клиента строчку
redirect-gateway

370

Re: OpenVPN keenetic

matrix9164 :

redirect-gateway

Спасибо добрый человек)

371

Re: OpenVPN keenetic

staubnull , если у вас уже всё подключается и работает, посмотрите на 2 сообщения выше

372

Re: OpenVPN keenetic

Всем доброго времени суток!
Сразу хочу извиниться перед Zyxmon за создание темы по openvpn.
Переношу сообщения с закрытой темы.

Доброго времени суток!!! 
Возникла такая проблемка, установил на zyxel keenetic openvpn. На кинетике стоить клиент и подключается к серверу.
С кинетика все пингуется, но с машины находящихся за keenetic пингов нет.
Пробовал разные варианты.
в файле S11openvpn прописывал строки в конце 
Start  iptables –A INPUT -p udp --dport 2001 -j ACCEPT
и Stop  iptables –D INPUT -p udp --dport 2001 -j ACCEPT
В файле fw.sh
прописано 
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE
iptables -t filter -A INPUT -i lo -j ACCEPT
Как проверить что скрипт fw.sh выполняется? Подозреваю что он просто не срабатывает.
внутренняя сеть keenetic-а 192.168.33.0/24
192.168.15.0/24 сеть openvpn
192.168.0.0/24 рабочая сеть к которой необходимо получить доступ.
мне нужно чтоб из 192.168.33.0/24 подсети я мог спокойно заходить в 192.168.0.0/24
команда route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.15.1    192.168.15.5    255.255.255.255 UGH   0      0        0 tun0
192.168.15.5    *               255.255.255.255 UH    0      0        0 tun0
192.168.0.0     192.168.15.5    255.255.255.0   UG    0      0        0 tun0
192.168.33.0    *               255.255.255.0   U     0      0        0 br0
192.168.24.0    *               255.255.255.0   U     0      0        0 ra0
default         192.168.24.1    0.0.0.0         UG    0      0        0 ra0
тут видно что в подсеть 0.0 ходить через шлюз openvpn, вроде все нормально должно все быть
с keenetic-а пинги есть.
понимаю что надо разрешить обмен пакетами br0 и tun что вроде и сделал (либо не правильно сделал) в fw.sh но эффекта ноль.

ifconfig
/media/DISK_A1/system/root # ifconfig
br0       Link encap:Ethernet  HWaddr CC:5D:4E:4B:7B:C3
          inet addr:192.168.33.1  Bcast:192.168.33.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:43350 errors:0 dropped:0 overruns:0 frame:0
          TX packets:41144 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:7837221 (7.4 MiB)  TX bytes:17743267 (16.9 MiB)

eth2      Link encap:Ethernet  HWaddr CC:5D:4E:4B:7B:C3
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:43355 errors:0 dropped:0 overruns:0 frame:0
          TX packets:41144 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:8619270 (8.2 MiB)  TX bytes:18007994 (17.1 MiB)
          Interrupt:3

eth2.1    Link encap:Ethernet  HWaddr CC:5D:4E:4B:7B:C3
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:43355 errors:0 dropped:0 overruns:0 frame:0
          TX packets:41144 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:8012300 (7.6 MiB)  TX bytes:17907843 (17.0 MiB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

ra0       Link encap:Ethernet  HWaddr CC:5D:4E:4B:7B:C2
          inet addr:192.168.24.178  Bcast:192.168.24.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:523829 errors:0 dropped:0 overruns:0 frame:0
          TX packets:93162 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:125167347 (119.3 MiB)  TX bytes:14525268 (13.8 MiB)
          Interrupt:4

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:192.168.15.6  P-t-P:192.168.15.5  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:6 errors:0 dropped:0 overruns:0 frame:0
          TX packets:34 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:504 (504.0 B)  TX bytes:2684 (2.6 KiB)
Подскажите что не так, что сделать или как проверить что скрипт fw.sh правильно выполняется.
Или подскажите что прописать и где.
Если что то нужно выслать для полной картины. то говорите.
Буду признателен за помощь.
P.S. перед тем как написать здесь я прочитал не мало инфы и перепробовал кучу вариантов.

Рекомендации dexter не помогли.

Вот правила из fw.sh на сервере.
# OpenVPN
iptables -I INPUT -p tcp --dport ваш порт -j ACCEPT
iptables -A INPUT -i tun0 -j ACCEPT
iptables -I FORWARD 1 --source 192.168.3.0/24 -j ACCEPT # сеть за клиентом
iptables -I FORWARD 1 --source 192.168.5.0/24 -j ACCEPT # сама OVPN подсеть
Вот правила из fw.sh на клиенте.
#OpenVPN
iptables -A INPUT -i tun0 -j ACCEPT
iptables -I FORWARD 1 --source 192.168.100.0/24 -j ACCEPT # Сеть за сервером
iptables -I FORWARD 1 --source 192.168.3.0/24 -j ACCEPT # Сеть за клиентом
iptables -I FORWARD 1 --source 192.168.5.0/24 -j ACCEPT# OVPN подсеть

Если надо могу выложить конфиги сервера и клиента.
Отредактировано dexter (Вчера 16:32:52)

Внесу пояснения. Сервер Openvpn  у меня поднят на pfSeanse в rules все разрешения есть. Если с теми же ключами и сертификатами подключаться на винде то все прекрасно  работает. С самого Keenetic тоже пинги есть.
Проблема именно в том, что из за кинетика я не могу достучаться до рабочей сети.

373

Re: OpenVPN keenetic

А вы traceroute делали? Где звезды начинаются?

374

Re: OpenVPN keenetic

команда пинг с keenetic

/media/DISK_A1/system/root # ping 192.168.0.94
PING 192.168.0.94 (192.168.0.94): 56 data bytes
64 bytes from 192.168.0.94: seq=0 ttl=249 time=4.880 ms
64 bytes from 192.168.0.94: seq=1 ttl=249 time=4.371 ms
64 bytes from 192.168.0.94: seq=2 ttl=249 time=4.542 ms
64 bytes from 192.168.0.94: seq=3 ttl=249 time=4.468 ms
64 bytes from 192.168.0.94: seq=4 ttl=249 time=4.356 ms
64 bytes from 192.168.0.94: seq=5 ttl=249 time=4.467 ms

traceroute с keenetic

/media/DISK_A1/system/root # traceroute 192.168.0.94
traceroute to 192.168.0.94 (192.168.0.94), 30 hops max, 38 byte packets
 1  192.168.15.1 (192.168.15.1)  2.425 ms  2.421 ms  2.258 ms
 2  192.168.0.94 (192.168.0.94)  4.054 ms  3.142 ms  3.165 ms

traceroute запускаю через Putty
ping с ПК во внутренней сети keenetic-а
сразу превышен интервал ожидания
tracert c windows машины
доходит до keenetic и дальше звезды

Отредактировано Aver (2013-11-08 20:33:51)

375

Re: OpenVPN keenetic

Ничего не понимаю, пинги есть, а трассировка нет? А в конфиге сервера есть "route 192.168.0.0 255.255.255.0 192.168.15.5"?