[Entware] Поднимаем OpenVPN сервер

Yrzorg · Сообщение **Yrzorg** » 03 фев 2016, 11:47

Zyxmon писал(а):Источник цитаты Даже на них первый запуск (генерация ключей) идет долго. А на роутере сколько - час, два часа?

на U2 генерация заняла 1,5 часа

Yrzorg · Сообщение **Yrzorg** » 03 фев 2016, 15:34

kpox писал(а):Источник цитаты Правила iptables тоже прописываются.

что-то у меня поругивается на скрипт

Код: Выделить всё

Feb 02 22:17:04syslogOpkg::Manager: /opt/etc/ndm/netfilter.d/052-openvpn-filter.sh: iptables: Protocol wrong type for socket.

сам скрипт с правилами слегка изменён

Код: Выделить всё

#!/bin/sh

[ "$table" != filter ] && exit 0   # check the table name
iptables -I INPUT -i tun+ -j ACCEPT
iptables -I FORWARD -o tun+ -j ACCEPT
iptables -I FORWARD -i tun+ -j ACCEPT
iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -I INPUT -p udp --dport 12345 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT

UPD опытным путём выяснил, что ругается на это

Код: Выделить всё

iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

Сообщение **Zyxmon** » 03 фев 2016, 18:38

Yrzorg писал(а):Источник цитаты опытным путём выяснил, что ругается на это

Может не нравится отсутствие указания на интерфейс (-i tun+) в правиле. Но по большому счету это правило, не нужно, как и правило для lo (в NDMS1 - для lo нужно).

Yrzorg,

Yrzorg писал(а):Источник цитаты Feb 02 22:17:04syslogOpkg::Manager: /opt/etc/ndm/netfilter.d/052-openvpn-filter.sh: iptables: Protocol wrong type for socket.

Доставляйте компонент IPv6, без него iptables в кинетиках работать не будет.

Сообщение **Zyxmon** » 05 фев 2016, 09:59

Александр Рыжов писал(а):Источник цитаты Доставляйте компонент IPv6, без него iptables в кинетиках работать не будет.

На мой взгляд это относится только к iptables из keenopt. Вариант из Entware работает и без компонента.
Проверить, есть ли компонент (для прошивок с keenopt) можно командой

Код: Выделить всё

grep IPv6 /etc/components.xml

Если компонент установлен, получите

Код: Выделить всё

[root@Extra ~]# grep IPv6 /etc/components.xml
        <description>IPv6</description>
        <details>Provides IPv6 protocol support and related services.</details>
        <description lang="RU">IPv6</description>
        <details lang="RU">Поддержка протокола IPv6 и связанных с ним служб</details>

Если не установлен - ничего не получите.
Сравните выдачу iptables in entware с вариантом из keenop в теме по ссылке Александра

iptables из Entware на Ultra II без IPv6

Код: Выделить всё

~ # grep IPv6 /etc/components.xml
~ # iptables -nvL
Chain INPUT (policy DROP 1132 packets, 186K bytes)
 pkts bytes target     prot opt in     out     source               destination
 2544  388K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
  943  213K ACCEPT     all  --  *      *       0.0.0.0/0            224.0.0.0/4
    0     0 ACCEPT     2    --  *      *       0.0.0.0/0            0.0.0.0/0
 7466 1376K _NDM_IPSEC_INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0
 7466 1376K _NDM_IPSEC_INPUT_FILTER  all  --  *      *       0.0.0.0/0            0.0.0.0/0
 7466 1376K _NDM_IN_EXCEPTIONS  all  --  *      *       0.0.0.0/0            0.0.0.0/0
 7466 1376K _NDM_IN    all  --  *      *       0.0.0.0/0            0.0.0.0/0
  136  6753 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID
 2136  536K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate DNAT
 5194  834K _NDM_INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0
 4272  700K SL_PRIVATE  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            224.0.0.0/4
50227 3027K _NDM_IPSEC_FORWARD  all  --  *      *       0.0.0.0/0            0.0.0.0/0
50227 3027K _NDM_IN    all  --  *      *       0.0.0.0/0            0.0.0.0/0
50227 3027K _NDM_OUT   all  --  *      *       0.0.0.0/0            0.0.0.0/0
 2696  135K DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID
  364 33497 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
12563  751K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate DNAT
34604 2107K _NDM_FORWARD  all  --  *      *       0.0.0.0/0            0.0.0.0/0
34604 2107K SL_FORWARD  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     all  --  br0    br0     0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT 9855 packets, 2704K bytes)
 pkts bytes target     prot opt in     out     source               destination
 9855 2704K _NDM_IPSEC_OUTPUT_FILTER  all  --  *      *       0.0.0.0/0            0.0.0.0/0
 9855 2704K _NDM_OUT   all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain CLOUD_UDP_SERVICE_NF_CHAIN_ (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain SL_FORWARD (1 references)
 pkts bytes target     prot opt in     out     source               destination
34604 2107K SL_PROTECT  all  --  *      eth2    0.0.0.0/0            0.0.0.0/0            ctstate NEW
    0     0 SL_PROTECT  all  --  *      apcli0  0.0.0.0/0            0.0.0.0/0            ctstate NEW
    0     0 SL_PROTECT  all  --  *      apclii0  0.0.0.0/0            0.0.0.0/0            ctstate NEW

Chain SL_PRIVATE (2 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  ra0    *       0.0.0.0/0            0.0.0.0/0            ctstate NEW
    0     0 ACCEPT     all  --  ra1    *       0.0.0.0/0            0.0.0.0/0            ctstate NEW
    0     0 ACCEPT     all  --  ra2    *       0.0.0.0/0            0.0.0.0/0            ctstate NEW
    0     0 ACCEPT     all  --  ra3    *       0.0.0.0/0            0.0.0.0/0            ctstate NEW
    0     0 ACCEPT     all  --  rai0   *       0.0.0.0/0            0.0.0.0/0            ctstate NEW
    0     0 ACCEPT     all  --  eth3.1 *       0.0.0.0/0            0.0.0.0/0            ctstate NEW
38564 2678K ACCEPT     all  --  br0    *       0.0.0.0/0            0.0.0.0/0            ctstate NEW

Chain SL_PROTECT (5 references)
 pkts bytes target     prot opt in     out     source               destination
35427 2163K SL_PRIVATE  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain _NDM_FORWARD (1 references)
 pkts bytes target     prot opt in     out     source               destination
34604 2107K _NDM_UPNP_FORWARD  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain _NDM_IN (2 references)
 pkts bytes target     prot opt in     out     source               destination

Chain _NDM_INPUT (1 references)
 pkts bytes target     prot opt in     out     source               destination
  819 54799 SL_PROTECT  udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:53
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp spt:67 dpt:68
    4  1330 SL_PROTECT  udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp spts:67:68 dpts:67:68
 4374  778K _NDM_TORRENT_INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0
  101 77502 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:5060
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:5061
    1    40 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:5060

Chain _NDM_IN_EXCEPTIONS (1 references)
 pkts bytes target     prot opt in     out     source               destination
 7466 1376K CLOUD_UDP_SERVICE_NF_CHAIN_  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain _NDM_IPSEC_FORWARD (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain _NDM_IPSEC_INPUT (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain _NDM_IPSEC_INPUT_FILTER (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain _NDM_IPSEC_OUTPUT_FILTER (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain _NDM_OUT (2 references)
 pkts bytes target     prot opt in     out     source               destination

Chain _NDM_TORRENT_INPUT (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:51413

Chain _NDM_UPNP_FORWARD (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     tcp  --  eth2   *       0.0.0.0/0            10.0.0.140           tcp dpt:22000
~ #

Вариант iptables из keenopt не всегда работает и с установленным Ipv6 судя по отзывам.

Yrzorg · Сообщение **Yrzorg** » 05 фев 2016, 12:43

Компонент IPv6 у меня стоит; правило, на которое ругается - закомментировал
как я тут уже писал - не удаётся сделать, чтобы запросы в удалённую сеть были от устройств домашней сети (192.168.1.0/24), а не от самого клиента openvpn (10.0.0.2)

к примеру, telnet на 192.168.222.5:25 с адреса 192.168.1.10 выдаёт такое

Код: Выделить всё

"TCPIP"	1492	"2016-02-05 11:24:24.191"	"TCP - 10.0.0.2 connected to 192.168.222.5:25."

а в целом всё работает

Сообщение **Zyxmon** » 08 фев 2016, 15:37

Yrzorg писал(а):Источник цитаты на U2 генерация заняла 1,5 часа

Можно попробовать ускорить процесс, отредактировав файл /opt/etc/easy-rsa/vars и заменив в нем строку `export KEY_SIZE=2048` на `export KEY_SIZE=1024`.

Yrzorg · Сообщение **Yrzorg** » 08 фев 2016, 21:34

Zyxmon писал(а):Источник цитаты Можно попробовать ускорить процесс, отредактировав файл /opt/etc/easy-rsa/vars и заменив в нем строку `export KEY_SIZE=2048` на `export KEY_SIZE=1024`.

до начала работы скрипта этой папки и файла не существует же
добавлю, что полтора часа ушло на генерацию пары Диффи-Хельмана, а клиентские сертификаты быстро генерятся

Сообщение **Zyxmon** » 08 фев 2016, 22:48

Yrzorg писал(а):Источник цитаты до начала работы скрипта этой папки и файла не существует же

Никто не мешает поставить пакет openvpn-easy-rsa и модифицировать скрипт - пусть ставит пакет, а не скачивает easy-rsa.

Yrzorg · Сообщение **Yrzorg** » 09 фев 2016, 00:26

Zyxmon писал(а):Источник цитаты Никто не мешает поставить пакет openvpn-easy-rsa и модифицировать скрипт - пусть ставит пакет, а не скачивает easy-rsa.

это уже не для чайников )

Форумы Zyxmon`а

[Entware] Поднимаем OpenVPN сервер

Кто сейчас на конференции