[Entware] Поднимаем OpenVPN сервер

Используем пакеты, расширяющие возможности оборудования
Vladimir
Сообщения: 38
Зарегистрирован: 28 янв 2016, 13:07

Сообщение Vladimir » 19 фев 2016, 12:55

kpox писал(а):Источник цитаты
Yrzorg писал(а):Источник цитаты kpox писал(а):
Источник цитаты Добавил выбор размера 2048 или 1024

не работает, при выборе 1024 всё равно генерятся ключи длиной 2048

Хм...вроде проверял даже. Сделал по другому - проверяйте.
 
init-pki complete; you may now create a CA or requests.
Your newly created PKI dir is: /opt/etc/openvpn/easy-rsa/pki

Generating a 1024 bit RSA private key
.......................++++++
........++++++
writing new private key to '/opt/etc/openvpn/easy-rsa/pki/private/ca.key.XXXXWmIC6N'
-----

Note: using Easy-RSA configuration from: ./vars
Generating DH parameters, 1024 bit long safe prime, generator 2
This is going to take a long time
Свернуть

Кстати я с этим тоже столкнулся. При выборе 1024 все равно генерируются 2048.

Makemeroot
Сообщения: 2
Зарегистрирован: 17 мар 2016, 09:49

Сообщение Makemeroot » 17 мар 2016, 11:41

Доброго времени суток.

Столкнулся с проблемой на KEENETIC GIGA V1.00(USD.1.4)D0

Настроил по мануалу OpenVPN клиент.
Подключение с удалённым сервером(на Ubuntu) происходит, tun поднимается, но "пропадает интернет" за маршрутизатором.
Хотя на самом Zyxel интернет есть:
- через ssh пинги проходят
- через меню диагностика тоже
ping -c3 google.com
# ping -c3 google.com
PING google.com (173.194.32.128): 56 data bytes
64 bytes from 173.194.32.128: seq=0 ttl=53 time=129.544 ms
64 bytes from 173.194.32.128: seq=1 ttl=53 time=111.835 ms
64 bytes from 173.194.32.128: seq=2 ttl=53 time=135.940 ms

--- google.com ping statistics ---
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max = 111.835/125.773/135.940 ms
Свернуть

nslookup google.com
# nslookup google.com
Server: 192.168.1.5
Address 1: 192.168.1.5

Name: google.com
Address 1: 2a00:1450:4010:c04::71 lb-in-x71.1e100.net
Address 2: 173.194.32.128
Address 3: 173.194.32.136
Address 4: 173.194.32.130
Address 5: 173.194.32.135
Address 6: 173.194.32.133
Address 7: 173.194.32.134
Address 8: 173.194.32.142
Address 9: 173.194.32.129
Address 10: 173.194.32.131
Address 11: 173.194.32.132
Address 12: 173.194.32.137
Свернуть


Пинг с клиентской машины
C:\Users\User>ping google.com

Обмен пакетами с google.com [173.194.32.136] с 32 байтами данных:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для 173.194.32.136:
Пакетов: отправлено = 4, получено = 0, потеряно = 4
(100% потерь)
Свернуть

Маршрутизация на роутере:
Маршруты без подключения к OpenVPN
Сетевой адрес Маска Шлюз Интерфейс
192.168.1.0 255.255.255.0 0.0.0.0 WAN
192.210.1.0 255.255.255.0 0.0.0.0 LAN
0.0.0.0 0.0.0.0 192.168.1.5 WAN
Свернуть


Маршруты с подключением к OpenVPN
Сетевой адрес Маска Шлюз Интерфейс
10.8.0.21 255.255.255.255 0.0.0.0 tun0
37.139.24.133 255.255.255.255 192.168.1.5 WAN
10.8.0.0 255.255.255.0 10.8.0.21 tun0
192.168.1.0 255.255.255.0 0.0.0.0 WAN
192.210.1.0 255.255.255.0 0.0.0.0 LAN
0.0.0.0 0.0.0.0 10.8.0.21 tun0
Свернуть


ifconfig
BusyBox v1.8.2 (2012-05-20 00:25:17 MSK) built-in shell (ash)
Enter 'help' for a list of built-in commands.

/media/DISK_A1/system/root # ifconfig
br0 Link encap:Ethernet HWaddr CC:5D:4E:99:FE:8A
inet addr:192.210.1.1 Bcast:192.210.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:34492 errors:0 dropped:0 overruns:0 frame:0
TX packets:26504 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:6146511 (5.8 MiB) TX bytes:9663486 (9.2 MiB)

eth2 Link encap:Ethernet HWaddr CC:5D:4E:99:FE:8A
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:52403 errors:0 dropped:0 overruns:0 frame:0
TX packets:42236 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:13019687 (12.4 MiB) TX bytes:13363488 (12.7 MiB)
Interrupt:3

eth2.1 Link encap:Ethernet HWaddr CC:5D:4E:99:FE:8A
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:34514 errors:0 dropped:0 overruns:0 frame:0
TX packets:26504 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:6150987 (5.8 MiB) TX bytes:9769502 (9.3 MiB)

eth2.2 Link encap:Ethernet HWaddr CC:5D:4E:99:FE:8B
inet addr:192.168.1.34 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:22828 errors:0 dropped:0 overruns:0 frame:0
TX packets:15750 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:12549705 (11.9 MiB) TX bytes:3497923 (3.3 MiB)

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

ra0 Link encap:Ethernet HWaddr CC:5D:4E:99:FE:8A
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:58 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:12413 (12.1 KiB) TX bytes:0 (0.0 B)
Interrupt:4

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 -00
inet addr:10.8.0.22 P-t-P:10.8.0.21 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:5 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:320 (320.0 B)
Свернуть


iptables
/media/DISK_A1/system/root # iptables -L -v --line-numbers
Chain INPUT (policy DROP 1390 packets, 135K bytes)
num pkts bytes target prot opt in out source destination
1 18701 2449K ACCEPT all -- br0 any anywhere anywhere
2 2195 186K ACCEPT all -- eth2.2 any anywhere anywhere state RELATED,ESTABLISHED
3 0 0 ACCEPT igmp -- eth2.2 any anywhere anywhere
4 0 0 ACCEPT tcp -- eth2.2 any anywhere anywhere state NEW tcp dpt:ftp
5 3 252 ACCEPT icmp -- any any anywhere anywhere icmp any
6 0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:ftp

Chain FORWARD (policy DROP 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 0 0 DROP all -- !br0 eth2.2 anywhere anywhere
2 2727 410K ACCEPT all -- br0 any anywhere anywhere state NEW
3 22183 7717K ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED
4 0 0 MINIUPNPD all -- eth2.2 !eth2.2 anywhere anywhere

Chain OUTPUT (policy ACCEPT 15740 packets, 4285K bytes)
num pkts bytes target prot opt in out source destination

Chain MINIUPNPD (1 references)
num pkts bytes target prot opt in out source destination
Свернуть


Подскажите, пожалуйста, что я делаю не так?

Аватара пользователя
Zyxmon
Администратор
Сообщения: 1331
Зарегистрирован: 09 авг 2015, 14:33

Сообщение Zyxmon » 17 мар 2016, 11:44

Makemeroot писал(а):Источник цитаты Подскажите, пожалуйста, что я делаю не так?

Рекомендую обсуждать настройку openvpn тут - http://forum.ixbt.com/topic.cgi?id=14:56078
Совершенно не важно, где поднят openvpn. При создании на ixbt темы рекомендую сразу приложить конфиги.

Makemeroot
Сообщения: 2
Зарегистрирован: 17 мар 2016, 09:49

Сообщение Makemeroot » 17 мар 2016, 12:17

Спасибо. Но с OpenVPN как таковых проблем нет. Напрямую подключение пользователей происходит, NAT работает.
Задача состоит в том, чтобы посадить пользователей за маршрутизатор, а не выдавать каждому ключи. Мне нужна помощь именно по настройке маршрутизации Keenetic giga, потому сюда и обратился.

Аватара пользователя
Zyxmon
Администратор
Сообщения: 1331
Зарегистрирован: 09 авг 2015, 14:33

Сообщение Zyxmon » 17 мар 2016, 13:02

Makemeroot писал(а):Источник цитаты Мне нужна помощь именно по настройке маршрутизации Keenetic giga, потому сюда и обратился.

Тогда не понятно, почему обратились в эту тему. Маршрутизация настраивается одинаково во всех версиях linux. Вам в другой раздел.

hikimore
Сообщения: 1
Зарегистрирован: 19 мар 2016, 13:49

Сообщение hikimore » 20 мар 2016, 15:59

БПриветствую ,вас, уважаемые господа. Прошу у вас консультацию.
Что имею:
Кинетик 2, мартовская прошивка mdsn v 2.05 с opkg, получен рут, из пакетов поставил только iptables, тот что zyxmon выкладывал в одной из тем.
Что требуется:
Поставить и настроить опенвпн сервер, иметь защищённый и приватный доступ к кинетику и подключенному к нему nas synology, с рабочего компьютера или со смартфона, или например выходить в открытых кафешных сетяхях через домашний впн.
В чем суть проблемы:
Сильно ли нагружает работу роутера впн демон?
Имею динамический ип, в настройка роутера, есть функция дднс от no-ip, смогу ли я соединятся с впн по этому доменному имени? На каком этапе и где его нужно будет прописать?
Прошу расписать алгоритм моего мероприятия, саму настройку впн думаю не нужно.

Аватара пользователя
Zyxmon
Администратор
Сообщения: 1331
Зарегистрирован: 09 авг 2015, 14:33

Сообщение Zyxmon » 20 мар 2016, 18:06

hikimore писал(а):Источник цитаты Прошу расписать алгоритм моего мероприятия, саму настройку впн думаю не нужно.

Попрошу изучить руководство - http://maddog.sitengine.ru/smart-question-ru.html
После этого приступите самостоятельно к выполнению мероприятия. Если возникнут проблемы на этапах, после этого уже спрашивать.

Resquer
Сообщения: 1
Зарегистрирован: 14 апр 2016, 10:05

Сообщение Resquer » 19 апр 2016, 11:24

Yrzorg писал(а):Источник цитаты Компонент IPv6 у меня стоит; правило, на которое ругается - закомментировал
как я тут уже писал - не удаётся сделать, чтобы запросы в удалённую сеть были от устройств домашней сети (192.168.1.0/24), а не от самого клиента openvpn (10.0.0.2)
 
к примеру, telnet на 192.168.222.5:25 с адреса 192.168.1.10 выдаёт такое

Код: Выделить всё

"TCPIP"	1492	"2016-02-05 11:24:24.191"	"TCP - 10.0.0.2 connected to 192.168.222.5:25."
Свернуть


а в целом всё работает

Третий день бьюсь с кинетиком, проблема та же - запросы в удалённую сеть приходят с IP адреса openvpn клиента, а не с фактического компа в локальной сети. То есть трафик на интерфейсе tun - натится. А должен роутиться. Есть кто-нить, кто смог победить это?

thefox
Сообщения: 5
Зарегистрирован: 31 янв 2016, 12:40

Сообщение thefox » 03 май 2016, 07:14

Всем привет!
Поднял на белой гиге openvpn, прошивка версии 1.11 от декабря 2013, последняя 'неофициальная'. И все даже работает до определенного момента... момент заключается в том, что у провайдера соединение по pppoe которое он раз в сутки сбрасывает. Так вот после переподключения интернета vpn-сервер отваливается. Точнее со стороны клиентов это просто выглядит как wait и затем disconnect по кругу.
Сам процесс на роутере висит в памяти, интерфейс tun0 тоже.
В принципе после рестарта openvpn все начинает работать.
Можно ли что-то с этим сделать?

Аватара пользователя
Zyxmon
Администратор
Сообщения: 1331
Зарегистрирован: 09 авг 2015, 14:33

Сообщение Zyxmon » 03 май 2016, 08:18

thefox писал(а):Источник цитаты Можно ли что-то с этим сделать?

Можно, разрешаю! Правила iptables поместить в /opt/etc/firewall.d чтобы они применялись после переконнекта pppoe.


Вернуться в «Entware/Qnapware/Optware/Zyxware - обсуждаем репозитории пакетов»

Кто сейчас на конференции

Всего 1 посетитель :: 0 зарегистрированных, 0 скрытых и 1 гость (основано на активности пользователей за последние 5 минут)
Больше всего посетителей (121) здесь было 18 май 2016, 18:19

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 1 гость