[Entware] Поднимаем OpenVPN сервер

Используем пакеты, расширяющие возможности оборудования
ICMP
Сообщения: 4
Зарегистрирован: 07 сен 2017, 18:12

Сообщение ICMP » 09 сен 2017, 14:53

Вообщем по новой настроил и все завелось :D
Не хватало iptables и openvpn-openssl ,кстати скрипт для запуска сам подтянулся S20openvpn
Хочу объеденить две сети чтобы клиенты с каждой подсети общались с друг с другом но nat был у каждого свой
Объясните что делают эти правила:

Код: Выделить всё

#/opt/etc/ndm/netfilter.d/052-openvpn-filter.sh
#!/bin/sh

[ "$table" != filter ] && exit 0   # check the table name
iptables -I INPUT -i tun0 -j ACCEPT
iptables -I FORWARD -s 10.8.0.0/24 -j ACCEPT
iptables -I INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT


Код: Выделить всё

#/opt/etc/ndm/netfilter.d/053-openvpn-nat.sh
#!/bin/sh

[ "$table" != nat ] && exit 0   # check the table name
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to my.ddns.net

Faizrakhmanov
Сообщения: 7
Зарегистрирован: 04 янв 2017, 05:58
Откуда: Казань

Сообщение Faizrakhmanov » 27 ноя 2017, 22:04

Почему так, подскажите, пожалуйста

Код: Выделить всё

~ # /opt/etc/init.d/S20openvpn restart
insmod: can't insert '/lib/modules/2.6.36/tun.ko': No such file or directory
 Starting openvpn...              done.


Keenetic Ultra II, mipsel.
<Keenetic Ultra II> <Entware-3х>

Аватара пользователя
Zyxmon
Администратор
Сообщения: 1353
Зарегистрирован: 09 авг 2015, 14:33

Сообщение Zyxmon » 28 ноя 2017, 09:59

Faizrakhmanov писал(а):Источник цитаты Почему так, подскажите, пожалуйста

Теперь модуль tun входит в ядро. Грузить его не нужно как и раньше, но проверка, загружен ли модуль, на современных прошивках не проходит.

zyxeluser
Сообщения: 26
Зарегистрирован: 29 авг 2017, 14:18

Сообщение zyxeluser » 02 дек 2017, 17:55

Код: Выделить всё

Warning: ip program not found. Please, install it before using OpenVPN.

Надо после:

Код: Выделить всё

opkg install openvpn-openssl

установить iptables:

Код: Выделить всё

opkg install iptables

zyxeluser
Сообщения: 26
Зарегистрирован: 29 авг 2017, 14:18

Сообщение zyxeluser » 05 дек 2017, 14:55

Поднял сервер, работать он не хочет, пишет что ему нужен протокол IPV6 и не может он UDP открыть, как победить бяку эту?

Could not determine IPv4/IPv6 protocol. Using AF_INET6
UDP: Cannot create UDP/UDP6 socket: Address family not supported by protocol (errno=124)


Полный лог:
5 дек 14:27:40 openvpn[16443] OpenVPN 2.4.4 mipsel-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD]
5 дек 14:27:40 openvpn[16443] library versions: OpenSSL 1.0.2l 25 May 2017, LZO 2.10
5 дек 14:27:40 openvpn[16447] Diffie-Hellman initialized with 2048 bit key
5 дек 14:27:40 openvpn[16447] TUN/TAP device tun0 opened
5 дек 14:27:40 openvpn[16447] TUN/TAP TX queue length set to 100
5 дек 14:27:40 openvpn[16447] do_ifconfig, tt->did_ifconfig_ipv6_setup=0
5 дек 14:27:40 openvpn[16447] /opt/sbin/ifconfig tun0 10.240.0.1 pointopoint 10.240.0.2 mtu 1500
5 дек 14:27:40 openvpn[16447] /opt/sbin/route add -net 10.240.0.0 netmask 255.255.255.0 gw 10.240.0.2
5 дек 14:27:40 openvpn[16447] Could not determine IPv4/IPv6 protocol. Using AF_INET6
5 дек 14:27:40 openvpn[16447] UDP: Cannot create UDP/UDP6 socket: Address family not supported by protocol (errno=124)
5 дек 14:27:40 openvpn[16447] Exiting due to fatal error
5 дек 14:27:40 openvpn[16447] /opt/sbin/route del -net 10.240.0.0 netmask 255.255.255.0
5 дек 14:27:40 openvpn[16447] Closing TUN/TAP interface
5 дек 14:27:40 openvpn[16447] /opt/sbin/ifconfig tun0 0.0.0.0

Аватара пользователя
Zyxmon
Администратор
Сообщения: 1353
Зарегистрирован: 09 авг 2015, 14:33

Сообщение Zyxmon » 05 дек 2017, 15:21

Я бы спросил у Google. Если не ошибаюсь, он советует присать `proto udp4`

zyxeluser
Сообщения: 26
Зарегистрирован: 29 авг 2017, 14:18

Сообщение zyxeluser » 05 дек 2017, 18:03

Конечно же я спрашивал гугл, но моя мысль пошла не в ту сторону - я пытался установить IPV6, а вы подсказали вариант принудительно использовать IPV4, спасибо! Так сервер завелся. Но, почему то, неверно работает правило для порта UDP.
Содержимое /opt/etc/firewall.d/:

Код: Выделить всё

#!/bin/sh

iptables -A INPUT -p udp --dport 1195 -j ACCEPT

Флаг "исполняемый" на скрипте стоит. Правило появилось, но не для того интерфейса, клиент не соединяется, даже в логах сервера ничего не появляется.

Код: Выделить всё

/opt/etc/firewall.d # iptables -nvL
...
    1    42 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:1195
...

Аватара пользователя
Zyxmon
Администратор
Сообщения: 1353
Зарегистрирован: 09 авг 2015, 14:33

Сообщение Zyxmon » 06 дек 2017, 18:10

zyxeluser писал(а):Источник цитаты Правило появилось, но не для того интерфейса

Что попросили, то и появилось. Может ip у Вас серый?

zyxeluser
Сообщения: 26
Зарегистрирован: 29 авг 2017, 14:18

Сообщение zyxeluser » 07 дек 2017, 11:07

Схема сети:
Первым стоит кинетик, OpenVPN Сервер S1 запущен на порту 1195. Через него проброшен порт 1194 на второй роутер в подсети, на котором также запущен OpenVPN сервер S2. Ключи и настройки на 1-м и 2-м сервере совпадают.
Изображение

При попытке подключения клиента к OpenVPN роутера DIR300 по 1194 все работает:
Ответ клиента при вызове сервера S2 через порт 1194

Код: Выделить всё

Thu Dec 07 11:22:51 2017 OpenVPN 2.4.1 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Mar 22 2017
Thu Dec 07 11:22:51 2017 Windows version 6.2 (Windows 8 or greater) 64bit
Thu Dec 07 11:22:51 2017 library versions: OpenSSL 1.0.2k  26 Jan 2017, LZO 2.09
Thu Dec 07 11:22:51 2017 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Thu Dec 07 11:22:51 2017 Need hold release from management interface, waiting...
Thu Dec 07 11:22:52 2017 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Thu Dec 07 11:22:52 2017 MANAGEMENT: CMD 'state on'
Thu Dec 07 11:22:52 2017 MANAGEMENT: CMD 'log all on'
Thu Dec 07 11:22:52 2017 MANAGEMENT: CMD 'echo all on'
Thu Dec 07 11:22:52 2017 MANAGEMENT: CMD 'hold off'
Thu Dec 07 11:22:52 2017 MANAGEMENT: CMD 'hold release'
Thu Dec 07 11:22:52 2017 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Thu Dec 07 11:22:52 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]95.30.251.242:1194
Thu Dec 07 11:22:52 2017 Socket Buffers: R=[65536->65536] S=[65536->65536]
Thu Dec 07 11:22:52 2017 UDP link local: (not bound)
Thu Dec 07 11:22:52 2017 UDP link remote: [AF_INET]XXXXXXXXXXXX:1194
Thu Dec 07 11:22:52 2017 MANAGEMENT: >STATE:1512634972,WAIT,,,,,,
Thu Dec 07 11:22:52 2017 MANAGEMENT: >STATE:1512634972,AUTH,,,,,,
Thu Dec 07 11:22:52 2017 TLS: Initial packet from [AF_INET]XXXXXXXXXXXXXXXX:1194, sid=97c0e8b3 7daf9677
Thu Dec 07 11:22:54 2017 VERIFY OK: depth=1, C=RU, ST=MO, XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Thu Dec 07 11:22:54 2017 VERIFY OK: depth=0, C=RU, ST=MO, XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Thu Dec 07 11:22:55 2017 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA256, 2048 bit RSA
Thu Dec 07 11:22:55 2017 [GUARDHOUSE-VPN] Peer Connection Initiated with [AF_INET]95.30.251.242:1194
Thu Dec 07 11:22:56 2017 MANAGEMENT: >STATE:1512634976,GET_CONFIG,,,,,,
Thu Dec 07 11:22:56 2017 SENT CONTROL [GUARDHOUSE-VPN]: 'PUSH_REQUEST' (status=1)
Thu Dec 07 11:22:56 2017 PUSH: Received control message: 'PUSH_REPLY,route 10.240.0.0 255.255.255.0,route 10.240.0.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 10.240.0.6 10.240.0.5'
Thu Dec 07 11:22:56 2017 OPTIONS IMPORT: timers and/or timeouts modified
Thu Dec 07 11:22:56 2017 OPTIONS IMPORT: --ifconfig/up options modified
Thu Dec 07 11:22:56 2017 OPTIONS IMPORT: route options modified
Thu Dec 07 11:22:56 2017 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Thu Dec 07 11:22:56 2017 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Dec 07 11:22:56 2017 Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Thu Dec 07 11:22:56 2017 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Dec 07 11:22:56 2017 interactive service msg_channel=700
Thu Dec 07 11:22:56 2017 ROUTE_GATEWAY 192.168.1.1/255.255.255.0 I=11 HWADDR=0c:8b:fd:67:28:8e
Thu Dec 07 11:22:56 2017 open_tun
Thu Dec 07 11:22:56 2017 TAP-WIN32 device [Ethernet 3] opened: \\.\Global\{674ED6DA-1F10-46B1-8FAD-A559548EF3B3}.tap
Thu Dec 07 11:22:56 2017 TAP-Windows Driver Version 9.21 
Thu Dec 07 11:22:56 2017 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.240.0.6/255.255.255.252 on interface {674ED6DA-1F10-46B1-8FAD-A559548EF3B3} [DHCP-serv: 10.240.0.5, lease-time: 31536000]
Thu Dec 07 11:22:56 2017 Successful ARP Flush on interface [9] {674ED6DA-1F10-46B1-8FAD-A559548EF3B3}
Thu Dec 07 11:22:56 2017 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Thu Dec 07 11:22:56 2017 MANAGEMENT: >STATE:1512634976,ASSIGN_IP,,10.240.0.6,,,,
Thu Dec 07 11:23:01 2017 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Thu Dec 07 11:23:01 2017 MANAGEMENT: >STATE:1512634981,ADD_ROUTES,,,,,,
Thu Dec 07 11:23:01 2017 C:\WINDOWS\system32\route.exe ADD 10.240.0.0 MASK 255.255.255.0 10.240.0.5
Thu Dec 07 11:23:01 2017 Route addition via service succeeded
Thu Dec 07 11:23:01 2017 C:\WINDOWS\system32\route.exe ADD 10.240.0.0 MASK 255.255.255.0 10.240.0.5
Thu Dec 07 11:23:01 2017 ROUTE: route addition failed using service: Ýòîò îáúåêò óæå ñóùåñòâóåò.   [status=5010 if_index=9]
Thu Dec 07 11:23:01 2017 Route addition via service failed
Thu Dec 07 11:23:01 2017 Initialization Sequence Completed
Thu Dec 07 11:23:01 2017 MANAGEMENT: >STATE:1512634981,CONNECTED,SUCCESS,10.240.0.6,95.30.251.242,1194,,
Свернуть


При попытке подключения клиента к OpenVPN кинетика по 1195 получаю вот что:
Ответ клиента при вызове OpenVPN Сервера S1 на Keenetic порт 1195

Код: Выделить всё

Thu Dec 07 11:04:29 2017 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Thu Dec 07 11:04:29 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]XX.XX.XX.XX:1195
Thu Dec 07 11:04:29 2017 Socket Buffers: R=[65536->65536] S=[65536->65536]
Thu Dec 07 11:04:29 2017 UDP link local: (not bound)
Thu Dec 07 11:04:29 2017 UDP link remote: [AF_INET]XX.XX.XX.XX:1195
Thu Dec 07 11:04:29 2017 MANAGEMENT: >STATE:1512633869,WAIT,,,,,,
Thu Dec 07 11:05:29 2017 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Thu Dec 07 11:05:29 2017 TLS Error: TLS handshake failed
Thu Dec 07 11:05:29 2017 SIGUSR1[soft,tls-error] received, process restarting
Thu Dec 07 11:05:29 2017 MANAGEMENT: >STATE:1512633929,RECONNECTING,tls-error,,,,,
Thu Dec 07 11:05:29 2017 Restart pause, 10 second(s)
Свернуть



В журанле кинетика нет даже намека на вызов OpenVPN:

Код: Выделить всё

7 дек 10:35:12	udhcpd[1002]	Found static lease ip address: 192.168.1.102
7 дек 10:35:12	udhcpd[1002]	Sending ACK to 192.168.1.102
7 дек 10:41:41	miniupnpd[2327]	removed 23 unused rules
7 дек 10:43:08	udhcpc[1949]	Sending renew...
7 дек 10:53:08	udhcpc[1949]	Sending renew...
7 дек 10:58:08	udhcpc[1949]	Sending renew...
7 дек 11:00:38	udhcpc[1949]	Sending renew...
7 дек 11:01:53	udhcpc[1949]	Sending renew...
7 дек 11:02:30	udhcpc[1949]	Sending renew...
7 дек 11:02:49	udhcpc[1949]	Sending renew...
7 дек 11:02:58	udhcpc[1949]	Sending renew...
7 дек 11:03:03	udhcpc[1949]	Sending renew...
7 дек 11:03:05	udhcpc[1949]	Sending renew...
7 дек 11:03:06	udhcpc[1949]	Sending renew...
7 дек 11:03:08	udhcpc[1949]	Sending renew...
7 дек 11:09:48	udhcpc[1949]	Sending renew...
7 дек 11:13:08	udhcpc[1949]	Sending renew...
7 дек 11:14:48	udhcpc[1949]	Sending renew...
7 дек 11:15:38	udhcpc[1949]	Sending renew...
7 дек 11:16:03	udhcpc[1949]	Sending renew...
7 дек 11:16:15	udhcpc[1949]	Sending renew...
7 дек 11:16:21	udhcpc[1949]	Sending renew...
7 дек 11:16:24	udhcpc[1949]	Sending renew...
7 дек 11:16:26	udhcpc[1949]	Sending renew...
7 дек 11:16:27	udhcpc[1949]	Lease lost, entering init state
7 дек 11:16:27	udhcpc[1949]	Sending select for 10.216.28.191...
7 дек 11:16:27	udhcpc[1949]	Lease of 10.216.28.191 obtained, lease time 6401
7 дек 11:21:41	miniupnpd[2327]	removed 26 unused rules
7 дек 11:28:14	httpd[1558]	User logged in (66.102.9.62/'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.94 Safari/537.36')
7 дек 11:28:15	httpd[1558]	User logged in (66.102.9.32/'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.94 Safari/537.36')
7 дек 11:28:32	httpd[1558]	User logged in (213.247.153.142/'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.94 Safari/537.36')
7 дек 11:28:34	httpd[1558]	User logged in (66.102.9.35/'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.94 Safari/537.36')
7 дек 11:31:21	httpd[1558]	User logged in (192.168.1.111/'Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.94 Safari/537.36')
Свернуть


Проверяем, запущен ли сервер на кинеткие? Запущен!

Код: Выделить всё

/opt/root # /opt/etc/init.d/S20openvpn check
 Checking openvpn...              alive.
/opt/root # 

Смотрим логи опенвпн кинетика:
В логах после поднятия сервера от клиента нет ничего ((((

Код: Выделить всё

Wed Dec  6 11:32:02 2017 WARNING: file 'keys/GUARDHOUSEVPN.key' is group or others accessible
Wed Dec  6 11:32:02 2017 OpenVPN 2.4.4 mipsel-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD]
Wed Dec  6 11:32:02 2017 library versions: OpenSSL 1.0.2l  25 May 2017, LZO 2.10
Wed Dec  6 11:32:02 2017 Diffie-Hellman initialized with 2048 bit key
Wed Dec  6 11:32:02 2017 TUN/TAP device tun0 opened
Wed Dec  6 11:32:02 2017 TUN/TAP TX queue length set to 100
Wed Dec  6 11:32:02 2017 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Wed Dec  6 11:32:02 2017 /opt/sbin/ifconfig tun0 10.240.0.1 pointopoint 10.240.0.2 mtu 1500
Wed Dec  6 11:32:02 2017 /opt/sbin/route add -net 10.240.0.0 netmask 255.255.255.0 gw 10.240.0.2
Wed Dec  6 11:32:02 2017 Socket Buffers: R=[112640->112640] S=[112640->112640]
Wed Dec  6 11:32:02 2017 UDPv4 link local (bound): [AF_INET][undef]:1195
Wed Dec  6 11:32:02 2017 UDPv4 link remote: [AF_UNSPEC]
Wed Dec  6 11:32:02 2017 MULTI: multi_init called, r=256 v=256
Wed Dec  6 11:32:02 2017 IFCONFIG POOL: base=10.240.0.4 size=62, ipv6=0
Wed Dec  6 11:32:02 2017 ifconfig_pool_read(), in='LENOVOU430P,10.240.0.4', TODO: IPv6
Wed Dec  6 11:32:02 2017 succeeded -> ifconfig_pool_set()
Wed Dec  6 11:32:02 2017 IFCONFIG POOL LIST
Wed Dec  6 11:32:02 2017 LENOVOU430P,10.240.0.4
Wed Dec  6 11:32:02 2017 Initialization Sequence Completed
Свернуть
Последний раз редактировалось zyxeluser 07 дек 2017, 11:47, всего редактировалось 1 раз.

Аватара пользователя
Zyxmon
Администратор
Сообщения: 1353
Зарегистрирован: 09 авг 2015, 14:33

Сообщение Zyxmon » 07 дек 2017, 11:35

Напоминаю, что прошивки V1 кинетиков не поддерживаются, т.к. авторами Entware они не используются. Читайте старый форум и тему про Openvpn на старом форуме.


Вернуться в «Entware/Qnapware/Optware/Zyxware - обсуждаем репозитории пакетов»

Кто сейчас на конференции

Всего 1 посетитель :: 1 зарегистрированный, 0 скрытых и 0 гостей (основано на активности пользователей за последние 5 минут)
Больше всего посетителей (121) здесь было 18 май 2016, 18:19

Сейчас этот форум просматривают: CommonCrawl [Bot] и 0 гостей