Я так пробывал, но проблема в том что когда рветься соединение тунель заново не поднимается.
Тут надо комплексное решение.
Ну, например, добавить скрипт http://www.hub.ru/wiki/Post-firewall
Только проверку надо поставить, что вызвано ppp0-интерфейсом.
* Wiki *
Я так пробывал, но проблема в том что когда рветься соединение тунель заново не поднимается.
Тут надо комплексное решение.
имею wl-500pPv2 с мегафон свистком
делаю по этой инструкции http://wl500g.info/showthread.php?t=8880
1. сначала на прошивке WL500gpv2-1.9.2.7-d-r2624.trx
OpenVPN ставится но не стартует
-sh: /opt/sbin/openvpn: not found
2. пробывал на прошивке WL500gpv2-1.9.2.7-rtn-r3497.trx
зависает установка на строке
Configuring ncurses
может тут что не так? пакеты может не те: echo "src unslung http://ipkg.nslu2-linux.org/feeds/optware/oleg/cross/stable" > /opt/etc/ipkg.conf
3. в оригинальной олеговской прошивке нет USB modem
на какой прошивке встанет и запустится OpenVPN
Last edited by Slym; 29-11-2011 at 08:49.
Было: WL500gP (fw 1.9.2.7-10-USB-1.71) + Toshiba TravelStar 250Gb 2.5" inside router.
(ADOS + rTorrent WebUI+rtorrent + samba + rrdtool + XMail + QuiXplorer + ClamAV)
> Мои инструкции < Для новичков и ленивых > Wiki переехало сюда < "Ночные" сборки >
Добрый день. Есть задача соединиться по vpn через 3g модем. прошивка от Олега не дает этого сделать .помогите пож-та подскажите прошивочку.
У меня тоже на ncurses установка умирает, пакет даже не скачивается.
Есть предположение, что закончилась память или "неправильная" прошивка.
Опытные товарищи, помогите ответом?Code:[admin@home /tmp]$ ipkg -force-depends install openvpn Installing openvpn (2.2.0-1) to root... Downloading http://ipkg.nslu2-linux.org/feeds/optware/oleg/cross/stable/openvpn_2.2.0-1_mipsel.ipk openvpn: unsatisfied recommendation for kernel-module-tun package openvpn suggests installing xinetd Installing net-tools (1.60-6) to root... Downloading http://ipkg.nslu2-linux.org/feeds/optware/oleg/cross/stable/net-tools_1.60-6_mipsel.ipk Installing psmisc (22.13-1) to root... Downloading http://ipkg.nslu2-linux.org/feeds/optware/oleg/cross/stable/psmisc_22.13-1_mipsel.ipk Installing ncurses (5.7-1) to root... Downloading http://ipkg.nslu2-linux.org/feeds/optware/oleg/cross/stable/ncurses_5.7-1_mipsel.ipk Terminated
PS Прошивка 1.9.2.7-10.7
Спасибо
Last edited by brandser; 27-01-2012 at 10:48. Reason: Указал прошивку
Хочу на даче поставить роутер (к примеру 500gDeluxe), к нему подцепить еще парочку устройств. Но для этого нужно до роутера как-то организовать входящее соединение. Дома работает преиум с прошивкой энтузиастов (wrt), нормальный статический IP. Делюкс также на прошивке от энтузиастов (версия d), интернет через 3G модем уже работает. Какие варианты я вижу (а тут прошу помощи в настройке):
1. Дополнительная услуга в виде статического IP. Начинают работать входящие соединения. Но вариант платный и потому на крайний случай.
2. OpenVPN туннель. Премиум дома - сервер, делюкс на даче - клиент. Доступ к делюксу обеспечивает премиум (пробрасывает порты).
Описание поднятия сервера я нашел, а вот клиента пока не могу...
3. Может быть есть вариант проще?
ЗЫ. у меня одного поиск ничего (вообще) не находит?
пробросить порты можно проще, при помощи SSH (см. насчет Remote Port Forwarding)
поиск на форуме сломан, временный вариант
Камеры чтоль?
По теме - из личного опыта:
1. Связываться с услугой "белый IP" от нашей большой тройки то еще садо-мазо.
После 2-х месяцев разборок с Би и Мегой - плюнул на это дело.
У всех у них APN для RealIP отдельный и тарифы там из основной тарифной сетки не совсем как надо работают.
A МТС у нас вообще только юрикам эту услугу предлагает.
2. Поднятие туннеля со стороны роутера с 3G работает, но есть нюансы.
Есть на форуме тема про site-to-site VPN и с этим проблем меньше всего.
Основная проблема - свистки иногда виснут.
Тогда мы вешаем на роутер скрипт watchdog, пингаем какой-нибудь внешний IP, например нашего VPN-сервера.
Нет реплая - ребут. Но при ребуте свисток как правило не сбрасывается - нужен сброс по питанию. Поэтому:
2.а. Нужен паяльник для реализации схемы сброса по питанию.
2.б. Нужен паяльник для вывода консоли и смарт-упс, которому через консоль можно дать команду на отключение-включение нагрузки.
Вариант б предпочтительней потому, что можно мониторить состояние электросети.
Послать сообщение, если злоумышленники рубанули кабельный ввод
Доброго времени суток!
Имею целью связать две сети воедино.
Первая сеть RT-n16 с белым IP от пчелайна-корбины.
Вторя сеть WL500GPV2 на 3G от мегафона
Сервер крутится на RT-n16.
Пока для тестов пытаюсь подконнектиться к серверу с виндового компа, находящегося в тойже сети, что и сервер.
Делал все почти по инструкции из первого поста.
OpenVpn из нового репозитория.
Конфиг сервера
Конфиг клиента: (клиент: OpenVPN под виндой)Code:dev tun0 port 5190 proto tcp-server ifconfig 10.8.0.1 10.8.0.2 secret static.key
В post-boot (иначе пропадает после перезагрузки):Code:remote XXXXXX.243 dev tun0 port 5190 proto tcp-client ifconfig 10.8.0.2 10.8.0.1 secret static.key redirect-gateway
В post-firewall:Code:mkdir /dev/net mknod /dev/net/tun c 10 200
Проблема:Code:iptables -D INPUT -j DROP iptables -I INPUT -p tcp --dport 5190 -j ACCEPT iptables -t nat -I PREROUTING -i eth1 -p tcp --dport 5190 -j DNAT --to-destination \$4:5190 iptables -A INPUT -j DROP iptables -I INPUT -i tun0 -j ACCEPT iptables -I FORWARD -i tun0 -j ACCEPT iptables -I FORWARD -o tun0 -j ACCEPT iptables -I OUTPUT -o tun0 -j ACCEPT
Пытаюсь подконнектиться, доходит до TCPv4_CLIENT link remote и повисает. если при этом попытатсья попинговать 10.8.0.1 то начинаются чудеса: пингом проходит 1 пакет, и клиент тутже сообщает, что подключился и получил Ip 10.8.0.2, оставшиеся пакеты не идут и клиент тутже отваливается. Дальнейшее подключение возможно только если перезагрузить клиента OpenVPN.
Логе на сервере:
Лог клиента:Code:Thu Jan 1 04:00:28 1970 OpenVPN 2.2.1 mipsel-linux-gnu [SSL] [LZO2] [EPOLL] built on Apr 2 2012 Thu Jan 1 04:00:28 1970 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or exec Thu Jan 1 04:00:28 1970 WARNING: file 'static.key' is group or others accessible Thu Jan 1 04:00:28 1970 TUN/TAP device tun0 opened Thu Jan 1 04:00:28 1970 /sbin/ifconfig tun0 10.8.0.1 pointopoint 10.8.0.2 mtu 1500 Thu Jan 1 04:00:28 1970 Listening for incoming TCP connection on [undef]:5190 Thu Apr 12 22:08:49 2012 TCP connection established with 192.168.1.5:57020 Thu Apr 12 22:08:49 2012 TCPv4_SERVER link local (bound): [undef]:5190 Thu Apr 12 22:08:49 2012 TCPv4_SERVER link remote: 192.168.1.5:57020 Thu Apr 12 22:08:59 2012 Peer Connection Initiated with 192.168.1.5:57020 Thu Apr 12 22:08:59 2012 Initialization Sequence Completed
1. Кого (клиента или сервер) ковырять? И где именно крутить?Code:Thu Apr 12 22:08:53 2012 TCP connection established with XXXXXX.243:5190 Thu Apr 12 22:08:53 2012 TCPv4_CLIENT link local: [undef] Thu Apr 12 22:08:53 2012 TCPv4_CLIENT link remote: XXXXXX.243:5190 Thu Apr 12 22:09:31 2012 Peer Connection Initiated with XXXXXX.243:5190 Thu Apr 12 22:09:32 2012 ROUTE: route addition failed using CreateIpForwardEntry: Неверны один или несколько аргументов. [if_index=12] Thu Apr 12 22:09:32 2012 ROUTE: route addition failed using CreateIpForwardEntry: Неверны один или несколько аргументов. [if_index=32] Thu Apr 12 22:09:32 2012 Initialization Sequence Completed Thu Apr 12 22:09:51 2012 Connection reset, restarting [-1] Thu Apr 12 22:09:51 2012 ROUTE: route deletion failed using DeleteIpForwardEntry: Элемент не найден. Thu Apr 12 22:09:51 2012 ROUTE: route deletion failed using DeleteIpForwardEntry: Элемент не найден. Thu Apr 12 22:09:51 2012 ROUTE: route addition failed using CreateIpForwardEntry: Неверны один или несколько аргументов. [if_index=12] Thu Apr 12 22:09:51 2012 SIGUSR1[soft,connection-reset] received, process restarting Thu Apr 12 22:09:56 2012 TAP-WIN32 device [Подключение по локальной сети 6] opened: \\.\Global\{BF9AF574-7C1F-4A7D-B180-FB89E8E0416B}.tap Thu Apr 12 22:09:56 2012 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.2/255.255.255.252 on interface {BF9AF574-7C1F-4A7D-B180-FB89E8E0416B} [DHCP-serv: 10.8.0.1, lease-time: 31536000] Thu Apr 12 22:09:56 2012 Successful ARP Flush on interface [32] {BF9AF574-7C1F-4A7D-B180-FB89E8E0416B} Thu Apr 12 22:09:56 2012 Attempting to establish TCP connection with XXXXXX:5190 Thu Apr 12 22:09:56 2012 TCP: connect to XXXXXX.243:5190 failed, will try again in 5 seconds Thu Apr 12 22:10:01 2012 TCP: connect to XXXXXX.243:5190 failed, will try again in 5 seconds Thu Apr 12 22:10:06 2012 TCP: connect to XXXXXX.243:5190 failed, will try again in 5 seconds
2. Что означает \$4 в правиле iptables -t nat -I PREROUTING -i eth1 -p tcp --dport 5190 -j DNAT --to-destination \$4:5190? везде искал - не нашел. Если правило вводить просто через телнет, то ругается что "неверный IP адрес $4".
Спасибо!
Last edited by MMX2; 12-04-2012 at 19:59.
Моя работающая конфигурация (в post-mount вызов /opt/etc/init.d/openvpn start):
1. скрипт init.d/openvpn
2. post-firewallCode:#!/bin/sh # Startup script for openvpn server DAEMON=/opt/bin/openvpn CONFIG_DIR=/opt/etc/openvpn PID_DIR=/opt/var/run echo 1 > /proc/sys/net/ipv4/ip_forward if ( [ ! -c /dev/net/tun ] ) then if ( [ ! -d /dev/net ] ) then mkdir -m 755 /dev/net fi mknod /dev/net/tun c 10 200 fi if ( !(lsmod | grep -q "^tun") ); then insmod tun.ko fi case "$1" in start) for CONFIG in `cd $CONFIG_DIR; ls *.conf`; do NAME=${CONFIG%%.conf} echo -n "Starting OpenVPN ${CONFIG%%.conf}: " /opt/bin/openvpn --daemon --cd $CONFIG_DIR --config $CONFIG --writepid $PID_DIR/openvpn.$NAME.pid echo "ok" done ;; stop) for PIDFILE in `ls /opt/var/run/openvpn.*.pid`; do NAME=`echo $PIDFILE | cut -c22-` NAME=${NAME%%.pid} echo -n "Stopping OpenVPN $NAME: " kill `cat $PIDFILE` || true rm -f $PIDFILE echo "ok" done ;; restart) $0 stop sleep 2 $0 start ;; *) echo "Usage: $0 {start|stop|restart}" exit 1 ;; esac exit 0
3. home-server.confCode:iptables -I INPUT -p tcp --dport 1194 -j ACCEPT iptables -I INPUT -i tun0 -j ACCEPT iptables -I FORWARD -i tun0 -j ACCEPT iptables -I FORWARD -o tun0 -j ACCEPT iptables -I OUTPUT -o tun0 -j ACCEPT iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o tun0 -j MASQUERADE
4. home-client.ovpnCode:dev tun0 tls-server mode server server 192.168.15.0 255.255.255.0 ifconfig-pool-persist /opt/etc/openvpn/home/ipp client-config-dir /opt/etc/openvpn/home/ccd dh /opt/etc/openvpn/home/keys/dh4096.pem ca /opt/etc/openvpn/home/keys/ca.crt cert /opt/etc/openvpn/home/keys/rt-n16.crt key /opt/etc/openvpn/home/keys/rt-n16.key crl-verify /opt/etc/openvpn/home/keys/crl.pem client-to-client port 1194 proto tcp-server comp-lzo persist-tun persist-key verb 3 script-security 2 push "route 192.168.10.0 255.255.255.0" #локалка за роутером log /opt/var/log/openvpn/home.log status /opt/var/log/openvpn/home-status.log keepalive 10 60
Code:client dev tun0 proto tcp remote xxx.xxx.xxx.xxx 1194 resolv-retry infinite nobind persist-key persist-tun <ca> {сертификат CA} </ca> <cert> {сертификат клиента} </cert> <key> {ключ клиента} </key> ns-cert-type server comp-lzo
Спасибо! Буду пробовать! Правильно ли я понимаю, что дефолтный адрес роутера изменен на 192.168.10.0?
Прямо в тему.
Долго по-неопытности ковырялся, но таки поднял туннель между домом и дачей. На даче "пара устройств" ( Собрал контроллер по прототипу http://www.avislab.com/blog/enc28j60/ )
Вот примерно так:
Проблемка заключается в том, что не могу достучаться из интернета до web-сервера который в сетке за туннелем (openVPN), а из домашней сетки -могу. Получается, что обратные пакетыPHP Code:
Дом Дача 3G
83.x.x.x |||
|| |
31.42.x.x 10.44.x.x
10.8.0.1======tun0=======10.8.0.2
192.168.1.1 192.168.2.1
|
192.168.1.7
192.168.2.1:8080 > 192.168.1.7 есть
192.168.2.1:8080 > 83.x.x.x нет
Вот видно, что 192.168.2.1 не отвечает в интернет 83.149.9.147. Но отвечает компу из другой сетки с адреса 192.168.1.7
tcpdump -qlnt -i tun0 port 8080
Для справки:PHP Code:
IP 83.149.9.14.14887 > 192.168.2.1.8080: tcp 0
IP 83.149.9.14.14887 > 192.168.2.1.8080: tcp 0
IP 83.149.9.14.14887 > 192.168.2.1.8080: tcp 0
IP 192.168.1.7.1122 > 192.168.2.1.8080: tcp 0
IP 192.168.2.1.8080 > 192.168.1.7.1122: tcp 0
IP 192.168.1.7.1122 > 192.168.2.1.8080: tcp 0
IP 192.168.1.7.1122 > 192.168.2.1.8080: tcp 396
IP 192.168.2.1.8080 > 192.168.1.7.1122: tcp 0
IP 192.168.2.1.8080 > 192.168.1.7.1122: tcp 1364
IP 192.168.2.1.8080 > 192.168.1.7.1122: tcp 103
IP 192.168.2.1.8080 > 192.168.1.7.1122: tcp 151
post-firewall
Routing TablePHP Code:
#!/bin/sh
iptables -A INPUT -j DROP
iptables -I INPUT -i tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -j ACCEPT
iptables -I FORWARD -o tun0 -j ACCEPT
iptables -I OUTPUT -o tun0 -j ACCEPT
# port for HTTP
iptables -I INPUT -p tcp --dport 80 -j ACCEPT
Конфиг клиента openVPNPHP Code:
Destination Gateway Genmask Flags Metric Ref Use Iface
10.64.64.64 * 255.255.255.255 UH 0 0 0 WAN ppp0
10.8.0.1 * 255.255.255.255 UH 0 0 0 WAN tun0
192.168.2.0 * 255.255.255.0 U 0 0 0 LAN br0
192.168.1.0 10.8.0.1 255.255.255.0 UG 0 0 0 WAN tun0
default 10.64.64.64 0.0.0.0 UG 0 0 0 WAN ppp0
Вопрос в том, что надо сделать чтобы сделать доступным сервер за тунелем из интернета? Чего в супе не хватает?PHP Code:
remote 31.42.х.х
dev tun0
port 5190
proto tcp-client
ifconfig 10.8.0.2 10.8.0.1
secret static.key
route 192.168.1.0 255.255.255.0
ping 15
ping-restart 45
ping-timer-rem
persist-tun
persist-key
Last edited by Дядя Вова; 17-04-2012 at 17:56.
Гуру, помогите с настройкой IPTABLES.
Имею OpenVPN сервер, поднятый на RT-n16.
В будущем хочу подключаться к нему клиентом WL500GPv2
Пока доступа к WL500 нет (на даче стоит, только на выходных поеду), подключаюсь с клиента, установленного под виндой на ноутбуке. Скорость передачи данных около 1 мегабита. Подозреваю, что с клиентом в виде WL500 все будет еще хуже. Т.е. заворачивать в тоннель весь трафик, включая WEB - кощунство (wl500 имеет связь с интернетом через 3G от мегафона, скорость около 5 мегабит).
Для чего заморачиваюсь с VPN? Всего существует для меня три цели:
1. Организовать доступ из одной локальной сети в другую (сеть за RT-n16 и за wl500 и обратно)
2. Подключаться к удаленному рабочему столу компа в сети за WL500 из сети за RT-n16 стандартными средствами винды
3. SIP клиенту wmvn25e2plus (находится в сети wl500) поиметь белый ip RT-n16
Последняя задача для меня самая приоритетная (ну не умеет sipnet правильно регистрировать устройства за двумя nat - писал свою историю в этой теме выше).
В связи со всем этим у меня возникает вопрос, как можно на клиенте завернуть в тоннель только:
1. Все пакеты с определенного IP адреса (скажем, 192.168.2.8),
2. Или пакеты с определенного порта,
3. Или все пакеты, кроме web-трафика?
Что мне для этого (одного из этого) необходимо поменять в правилах клиента, которые сейчас выглядят следующим образом:
Спасибо!Code:iptables -I INPUT -i tun0 -j ACCEPT iptables -I FORWARD -i tun0 -j ACCEPT iptables -I FORWARD -o tun0 -j ACCEPT iptables -I OUTPUT -o tun0 -j ACCEPT
Нехорошо уважаемый маленьких обманывать )) Лично через ноикиевского клиента сип подключался с сипнет через вай-фай на 500Гпв1 стоящий на даче и подключенный к интернет через МТС 3Г свисток (у мтса адреса естествено тоже серые, так что двойной нат), проблем никаких.
как то вот так
хотя раньше и без этого работало на тупом пробросеCode:#!/bin/sh insmod nf_conntrack_sip insmod nf_nat_sip