[Entware] Поднимаем OpenVPN сервер

Сообщение **Zyxmon** » 24 фев 2017, 18:07

Sergej писал(а):Источник цитаты Обязательно ли иметь статистический адрес от провайдера?

Нет. Но нужен публичный=белый ip.

Sergej писал(а):Источник цитаты можно настроить сервер чтобы к нему подключались на DDNS?

Можно, разрешаю.

Sergej писал(а):Источник цитаты Можно генерить ключи с использованием десктопа

И тут разрешается. Инструкций в интернете вагон и маленькая тележка. Не пробовали найти?

После этого вопроса рекомендую забыть о скрипте и настроить все по найденной инструкции. Если не ошибаюсь, Ваш текущий адрес скрипт будет прописывать в конфиге клиента, а не сервера.

Sergej · Сообщение **Sergej** » 24 фев 2017, 23:31

Zyxmon писал(а):Источник цитаты
Sergej писал(а):Источник цитаты Обязательно ли иметь статический адрес от провайдера?

Нет. Но нужен публичный=белый ip.
Sergej писал(а):Источник цитаты можно настроить сервер чтобы к нему подключались на DDNS?

Можно, разрешаю.
Sergej писал(а):Источник цитаты Можно генерить ключи с использованием десктопа

И тут разрешается. Инструкций в интернете вагон и маленькая тележка. Не пробовали найти?

После этого вопроса рекомендую забыть о скрипте и настроить все по найденной инструкции. Если не ошибаюсь, Ваш текущий адрес скрипт будет прописывать в конфиге клиента, а не сервера.

Даёте надежду! =)
Как я понимаю, раз адрес, который ZyXel определяет как "Адрес IPv4 93.80.120.102" на своём дэш-борде совпадает с адресом, который видят узлы снаружи (какая-то ip-address чекалка), то он уже не серый.
Тогда вопрос: какой степенью искусства надо обладать чтобы сориентировать OpenVPN server на имя ddns, которым пользуется ZyXel? Ведь если я его прямо пропишу в конфиге этого будет мало, что ещё надо? В обсуждении OpenVPN динамические ДНС сейчас помечены как работающие только у пользователей с сильным навыком траблшутинга. Или с нашим ZyXel всё может оказаться проще?

Пробовал и генерить когда-то на компе, но на нём же и сервер был. Поскольку тонкостей не знаю, то не понимаю ещё: надо что-то делать для совместимости параметров ключа с сервером, или достаточно некий сертификат импортировать. Почитаю, в конце концов минимум и роутер нагенерит.

Спасибо!

Сообщение **Zyxmon** » 25 фев 2017, 08:54

Sergej, есть общепринятые правила написания постов - не нужно цитировать пост полностью, цитируйте только то, на что отвечаете. Иначе нарушаете (overquoting)!

Sergej писал(а):Источник цитаты Или с нашим ZyXel всё может оказаться проще?

Openvpn он и в Африке openvpn и на zyxel, и на нормальном компе - настройки везде одинаковы.

winniepooh · Сообщение **winniepooh** » 16 мар 2017, 12:47

Поднял Openvpn сервер на Keenetic Ultra II v2.08(AAUX.0)C1. Установил Entware-3, openvpn, и все вроде работает... клиенты подключаются, трафик ходит... НО! Через несколько дней сервис openvpn на роутере останавливается сам по себе... соответственно все перестает работать. Если его перезапустить руками, то все опять работает... вот лог:

I] Mar 15 12:55:21 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/052-openvpn-filter.sh: iptables: Resource temporarily unavailable.
[C] Mar 15 12:56:12 ndm: Netfilter::Table: IPT_SO_SET_REPLACE failed: resource temporarily unavailable.
[C] Mar 15 12:58:22 ndm: Core::Syslog: last message repeated 2 times.
[I] Mar 15 12:59:02 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/052-openvpn-filter.sh: iptables: Resource temporarily unavailable.
[I] Mar 15 13:03:54 ndm: Core::Syslog: last message repeated 3 times.
[C] Mar 15 13:05:24 ndm: Netfilter::Table: IPT_SO_SET_REPLACE failed: resource temporarily unavailable.
[I] Mar 15 13:06:55 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/052-openvpn-filter.sh: iptables: Resource temporarily unavailable.
[C] Mar 15 13:07:15 ndm: Netfilter::Table: IPT_SO_SET_REPLACE failed: resource temporarily unavailable.
[I] Mar 15 13:20:49 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/052-openvpn-filter.sh: iptables: Resource temporarily unavailable.
[I] Mar 15 13:20:59 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/052-openvpn-filter.sh: iptables: Resource temporarily unavailable.
[C] Mar 15 13:21:09 ndm: Netfilter::Table: IPT_SO_SET_REPLACE failed: resource temporarily unavailable.
[I] Mar 15 13:25:20 ndm: UPnP::Manager: redirect rule discarded: tcp GigabitEthernet1:51413 -> 192.168.1.70:51413.
[I] Mar 15 13:25:20 ndm: UPnP::Manager: redirect rule discarded: tcp GigabitEthernet1 -> 192.168.1.70:51413.
[I] Mar 15 13:31:11 ipsec: 07[KNL] interface tun0 deactivated
[I] Mar 15 13:31:11 ipsec: 10[KNL] 10.23.100.1 disappeared from tun0
[I] Mar 15 13:31:11 ipsec: 11[KNL] interface tun0 deleted

клиентов подключенных порядка 3-5
в логе постоянно валятся сообщения от iptables: Resource temporarily unavailable., но вроде как работе это не мешает (я так понимаю, это от запуска iptables в момент, когда еще старый не отработал. Судя по логам скрипт постоянно запускается (каждые 10 секунд на одного абонента) и иногда они накладываются друг на друга.

что это может быть? отваливания сервиса напрягает...

Сообщение **Zyxmon** » 16 мар 2017, 13:51

winniepooh писал(а):Источник цитаты что это может быть?

Попробуйте на 2.09. Раньше прошивка очень часто (100+ раз в час) переинициализировала netfilter и приходилось перезапускать создание правил iptables.
Сейчас на 2.09 более 10 суток - ни разу (для контроля добавьте вызов logger в хук).

winniepooh · Сообщение **winniepooh** » 17 мар 2017, 00:03

обновился до последней 2.09
скрипт из /netfilter.d/ так и запускается постоянно, в логах осталось:
Mar 16 23:00:01ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/052-openvpn-filter.sh: iptables: Resource temporarily unavailable.

посмотрю будет ли сервис openvpn отваливаться со временем... обычно он через 1-2 дня останавливается

Сообщение **Zyxmon** » 17 мар 2017, 00:14

iptables: Resource temporarily unavailable - погуглите. Информация есть. Я бы продублировал сообщение на https://forum.keenetic.net/ и привел бы там логи и другие подробности.

ICMP · Сообщение **ICMP** » 07 сен 2017, 19:16

Ставлю на чистый Enware 3.* под NDMS V2
в логе такое:

Код: Выделить всё

Sep 07 21:10:27ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/052-openvpn-filter.sh: Segmentation fault.
Sep 07 21:10:27ndmCore::Syslog: last message repeated 3 times.
Sep 07 21:10:27ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/052-openvpn-filter.sh: exit code 139.

Скжаите надо еще iptables установить?
Да еще такой вопрос по моему скрипт сам отрывает порт наружу, если нет подскжите чет не могу запустить коннект...

Сообщение **Zyxmon** » 07 сен 2017, 21:08

Нужно iptables установить обязательно!

ICMP · Сообщение **ICMP** » 07 сен 2017, 21:31

Zyxmon писал(а):Источник цитаты Нужно iptables установить обязательно!

Все установил но на клиенте Connectioun refused
У меня на gigaII 2.10.A.7.0-5 b и установлены на ней такие компоненты для OPKG:
1)Модули ядра подсистемы Netfilter
2)Пакет расширения Xtables-addons для Netfilter
Теперь мне как открывать tcp 443 ? Через штатный firewall на NDMS v2?
Пожалуйста не направляйти меня на форумы я уже 10 дней только openvpn ом занимаюсь и уже почти рядом...

Да забыл вот история после уcтановки Enware3.X сразу запустил Road warior, предварительно создав папку opt/etc/openvpn (сам так и не создал, выдает ошибку)

Код: Выделить всё

opkg update
opkg install bash wget openssl-util
wget --no-check-certificate https://raw.githubusercontent.com/kpoxxx/openvpn-install/master/openvpn-install.sh -O openvpn-install.sh && bash openvpn-install.sh

После же в установил iptables

З.Ы. хотел как вы писали поставить openvpn-zyx но его уже нет, или напишите пожалуйста как правильно поднимать Openvpn server на чистый Enware 3.X...

Форумы Zyxmon`а

[Entware] Поднимаем OpenVPN сервер

Кто сейчас на конференции