PDA

Bekijk de volledige versie : Проблемы с OpenVPN. Прошу помощи!



Pages : [1] 2

idtelecom
20-10-2006, 19:03
vpn server на wl500g deluxe. такое возможно?

Oleg
20-10-2006, 19:04
Да и ужу обсуждалось. Поиск на poptop.

shi
01-11-2006, 13:59
Не могу достучаться до share$ USB диска подключенного к роутеру c IP 192.168.0.1
Хочется иметь доступ к share из Инет.

Делал вроде по описанию:

Устновил на роутер сервер OPENVPN
его настройки:

port 1194
dev tun0
#? тут наверное надо как-то иначе?
route 10.8.0.1 255.255.255.0 192.168.0.1
push "route 192.168.0.0 255.255.255.0"
/tmp/harddisk/opt/etc/openvpn/static.key
float

Установил на ноут подключенный к роутеру по WI-FI

клиента с такими настройками:

remote 192.168.0.1 ;для локалки
;remote 83.167.101.XX ;для инета
port 1194
dev tun0
ifconfig 10.8.0.2 10.8.0.1
secret static.key
float

так как хочется иметь доступ к шаре из инета

прописал в post-firewall:

#OpenVPN access from WAN
iptables -D INPUT -j DROP
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
iptables -t nat -I PREROUTING -i eth1 -p udp --dport 1194 -j DNAT --to-destination $4:1194
iptables -A INPUT -j DROP

iptables -I INPUT -i tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -j ACCEPT
iptables -I FORWARD -o tun0 -j ACCEPT
iptables -I OUTPUT -o tun0 -j ACCEPT

На роутере установлен http сервер,ftp, share
На всякий случай на роутере и компе отключил фаервол.

Запускаю на компе клиента,все нормально соединяется
компу дается адрес 10.8.0.2
если набираю в броузере

http://10.8.0.1 то попадаю на свой сайт в роутере,
набираю
ftp://alex_shipov@10.8.0.1
попадаю на свой ftp
причем все открывается и из инета, если указать внешний IP роутера .
Но если пытаюсь зайти на share
\\10.8.0.1\shipov\share$ то облом...

пробывал и с компа который на работе,то-же самое.

В чем может быть дело? Спасибо.

tchaynik
13-12-2006, 22:25
Вопрос в следующем:
Можно ли в имеющуюся прошивку добавить openVPN server?
Внешнюю флешку неохота цеплять. Да и нету ее под рукой.
А вот openVPN для доступа во внутреннюю сеть очень даже нужен
пользователей впн-а планируется 3-5.
Железо: wl-500gP проц разогнан до 300. потуги думаю должно хватить
Прошивка: 1.9.2.7-7f от Олега

По поводу установки программ в имеющуюся флеш была уже вроде тема, но она так красиво уплыла в сторону добавления оперативки что даже и непонятно, стоит туда ещё писать по этому поводу.

n0isy
15-12-2006, 14:26
Можно даже и не во внутреннюю... как хоть нормально на флэшку настроить???

:mad:

tchaynik
15-12-2006, 14:28
Можно даже и не во внутреннюю... как хоть нормально на флэшку настроить???
:mad:

На флешку - читай тут
http://wl500g.info/showthread.php?t=5495
http://wl500g.info/showthread.php?t=5312&highlight=openvpn

djmefisto
25-12-2006, 17:21
Народ помогите ктонибудь поделитесь опытом настройки, читайл мануалы на англ, вроде сделал

http://wl500g.info/showthread.php?t=5312&highlight=openvpn

по этой мане

все подклчюается, но инет не дается, на свойствах подключения недается шлюз и днс

те по идее получилось что я ловлю ИП и маску и ДХЦП сервер

мне очень надо чтоб из другой подсети со стороны LAN (не WAN) коннектили к серваку и ловили ИНЕТ

помогите опытом кто так делал?

alllx
25-12-2006, 20:30
не дается шлюз? Задайте его руками на клиетне :)
route add 0.0.0.0 mask 0.0.0.0 10.8.0.1
или опцией --redirect-gateway, которая делает это более грамотно.

djmefisto
26-12-2006, 18:40
а можно чуток подробнее?

если не сложно конфиг выложите, я 3 день люблюсь с асуской все никак

n0isy
13-03-2007, 06:54
Пытаюсь ставить Отсюда (http://ipkg.nslu2-linux.org/feeds/optware/oleg/cross/unstable/Packages) :
Package: openvpn
Version: 2.0.7-1
Depends: openssl, lzo, kernel-module-tun

Говорит не найден kernel-module-tun...

Где руки кривые? :confused:

n0isy
13-03-2007, 13:55
up. У кого поднят vpn server???

usmailer™
13-03-2007, 15:51
Пытаюсь ставить Отсюда (http://ipkg.nslu2-linux.org/feeds/optware/oleg/cross/unstable/Packages) :
Package: openvpn
Version: 2.0.7-1
Depends: openssl, lzo, kernel-module-tun

Говорит не найден kernel-module-tun...

Где руки кривые? :confused:
.
Вы же сами написали - Depends(зависит от)....
если он не найден - установите... если он конечно есть в пакетах...

для начала стоит посмотреть подробный фак по установке данного сервера... по хомяку полазить... там все обычно находится...

KOCTET
13-03-2007, 16:44
Пытаюсь ставить Отсюда (http://ipkg.nslu2-linux.org/feeds/optware/oleg/cross/unstable/Packages) :
Package: openvpn
Version: 2.0.7-1
Depends: openssl, lzo, kernel-module-tun

Говорит не найден kernel-module-tun...

Где руки кривые? :confused:

http://wl500g.info/showthread.php?t=5312

n0isy
13-03-2007, 18:45
http://wl500g.info/showthread.php?t=5312

Check for message:
Warning: Cannot satisfy the following dependencies for openvpn: kernel-module-tun
But warning can be disregarded, tun is already included in Oleg's firmware.


все! тему можно закрывать! KOCTET - огромный респект и уважуха, остальным - учить матчасть!!!
:D

Mirage-net
03-04-2007, 12:16
Опять тонкости настройки openvpn сервера на wl-500gP...
Задача стоит такая из локальной сети используя openvpn через инет подсоединиться к wl-500gP и завернуть в это соединение весь трафик который не для локальной сети.


Локальная сеть: 192.168.74.0/24
Шлюз: 192.168.74.100
WL-500gP: WAN 85.xxx.xxx.xxx LAN 192.168.1.1

на wl-500gP установлен openvpn(по иструкции http://wl500g.info/showthread.php?t=5312) вот конфиги:

server.conf
dev tun0
ifconfig 10.8.0.1 10.8.0.2
secret static.key

client.ovpn
remote 85.xxx.xxx.xxx
dev tun0
ifconfig 10.8.0.2 10.8.0.1
secret static.key

При попытке присоединиться из локальной сети (с 192.168.74.35) к асусу соединение устанавливается (10.8.0.1 пингуется) но шлюз по умолчанию остается 192.168.74.100 и соответственно трафик идет в обход канала. Проблема ясна нужно при установке соединения менять шлюз. Поиск по форуму и инету дал несколько советов, но нечего не помогло.
Пробовал добовлять в server.conf строки (по очереди)
push "redirect-gateway"
push "redirect-gateway def1"
push "redirect-gateway 0.0.0.0 mask 0.0.0.0 10.8.0.1"

результат тот же после соединения шлюз по умолчанию остается 192.168.74.100

пока используется следующий вариант, после конекта на клиенте в консоле выполняются команды:
route ADD 85.xxx.xxx.xxx MASK 255.255.255.255 192.168.74.100
route DELETE 0.0.0.0 MASK 0.0.0.0 192.168.74.100
route ADD 0.0.0.0 MASK 0.0.0.0 10.8.0.1
и соответствено весь трафик не для сети пошел в тунель. Но как то не аккуратненько это. Может кто подскажет как заставить сервер делать это самостоятельно???

KOCTET
06-04-2007, 10:05
Попробуй добавить в client.ovpn:
client
Это явный признак клиента и то, что бы он забирал конфиг с сервера (push опция на сервере)
Если клиент на винде, то часто помогает:
route-method exe
route-delay 10
где "10" время задержки, подбирается во время настройки.

а в server.conf
push "redirect-gateway 0.0.0.0 mask 0.0.0.0 10.8.0.1"

barby
18-05-2007, 11:48
Добрый день!

Подскажите пожалуйста, есть ли решение такой проблемы:
у меня дома стоит WL-500gP, подключенный к интернету с внешним IP. Хотелось бы сделать из него шифрующий прокси-сервер, видимый извне, чтобы я мог прописать его в браузере на работе, как обычный прокси. Т.е. я хочу добиться того, чтобы мой трафик не смог понять администратор рабочей сети. По нагрузке - качать много не буду, легкий браузинг и переписка по ICQ.

Mirage-net
18-05-2007, 11:51
Добрый день!

Подскажите пожалуйста, есть ли решение такой проблемы:
у меня дома стоит WL-500gP, подключенный к интернету с внешним IP. Хотелось бы сделать из него шифрующий прокси-сервер, видимый извне, чтобы я мог прописать его в браузере на работе, как обычный прокси. Т.е. я хочу добиться того, чтобы мой трафик не смог понять администратор рабочей сети. По нагрузке - качать много не буду, легкий браузинг и переписка по ICQ.
Ставите на роутере openvpn или poptop соединяетесь с работы и вперед

barby
18-05-2007, 11:57
А что из этого, исходя из простоты и быстроты настройки?

Mirage-net
18-05-2007, 12:01
А что из этого, исходя из простоты и быстроты настройки?
Трафик в VPN соединении шифруется (причем ВЕСЬ) тоесть не только HTTP и ICQ но и FTP SMTP POP3 и т.д. ... Прокси-сервер этого делать не будет

barby
18-05-2007, 12:13
Вот именно ВЕСЬ трафик мне и не надо шифровать.

P.S. А как же https?..

dimitar
19-05-2007, 07:12
Прокси-сервер этого делать не будет

есть https, но можно исхитриться и поставить 3proxy (3[APA3A] tiny proxy), поднять на нем socks5 прокси, а от клиента передавать данные через freecap/sockscap

Romeo9128
24-06-2007, 14:57
Здравствуйте.
Не так давно удалось впихнуть в 500 премиум OpenVPN-сервер. НО. В конфиге, как я понял можно указать только 2 ip. ip сервера и ip клиента. Интересует следующий вопрос: есть ли возможность сделать подключение по ОпенВПН хотя бы 3-х машинок? Про нагрузку на роутер - сам понимаю - при одновременном коннекте будет не слабая, но само подключение будет использоваться не очень активно. (использоваться будут лишь системные команды - ping, tracert... ну может пару лёгеньких сайтиков юзаться будет.. так что аппарат должен потянуть без проблем)
Зарание спасибо за ответ.

KOCTET
25-06-2007, 07:53
Посмотри
http://forum.ixbt.com/post.cgi?id=print:14:40906
Там хороший FAQ по OpenVPN, и даны разные конфиги.
Для твоего случая подходит пункт "3.2.Конфигурация сервера"

Romeo9128
25-06-2007, 13:42
Спасибо огромное. Будем изучать материал.

unit
07-07-2007, 09:53
Получилось что-нибудь? У меня нет :(

Во-первых мне не хватало файлов cakey.pem и cacert.pem
Через поиск нашел похожую команду, преобразовал ее в:
openssl req -new -x509 -keyout /opt/etc/openvpn/private/cakey.pem -out /opt/etc/openvpn/cacert.pem -days 3650

И таким образом нужные файлы у меня появились.

Потом не хватало index.txt, нашел еще описание настройки http://www.doc.miass.ru/OpenVPN/howto_openvpn.htm, оттуда взял команду echo -n > /usr/local/etc/openvpn/index.txt; echo 01 > /usr/local/etc/openvpn/serial создал пустой индекс и сериал с телом "01".

И все равно, при генерации ключей сервера:
openssl ca -days 3650 -out /opt/etc/openvpn/userv.crt -in /opt/etc/openvpn/userv.csr -extensions server

Выдает:


Using configuration from /opt/share/openssl/openssl.cnf
Enter pass phrase for ./opt/etc/openvpn/private/cakey.pem:
Error Loading extension section server
20879:error:02001002:system library:fopen:No such file or directory:bss_file.c:104:fopen('./opt/etc/openvpn/index.txt.attr','rb')
20879:error:2006D080:BIO routines:BIO_new_file:no such file:bss_file.c:107:
20879:error:0E064072:configuration file routines:CONF_load:no such file:conf_def.c:197:
20879:error:0E06D06C:configuration file routines:NCONF_get_string:no value:conf_lib.c:329:group=CA_default name=email_in_dn


Посоветуйте, как быть дальше?

KOCTET
09-07-2007, 08:08
Получилось что-нибудь? У меня нет :(

Во-первых мне не хватало файлов cakey.pem и cacert.pem
Через поиск нашел похожую команду, преобразовал ее в:
openssl req -new -x509 -keyout /opt/etc/openvpn/private/cakey.pem -out /opt/etc/openvpn/cacert.pem -days 3650

И таким образом нужные файлы у меня появились.

Потом не хватало index.txt, нашел еще описание настройки http://www.doc.miass.ru/OpenVPN/howto_openvpn.htm, оттуда взял команду echo -n > /usr/local/etc/openvpn/index.txt; echo 01 > /usr/local/etc/openvpn/serial создал пустой индекс и сериал с телом "01".

И все равно, при генерации ключей сервера:
openssl ca -days 3650 -out /opt/etc/openvpn/userv.crt -in /opt/etc/openvpn/userv.csr -extensions server

Посоветуйте, как быть дальше?
Дальше все просто, изучаем вот этот топик:
http://wl500g.info/showthread.php?t=8880
Настраиваем все, как там написано, когда все заработает с одним клиентом, перестраиваем конфиг сервера под свои нужды.

unit
06-08-2007, 13:59
Все-таки я добил этот вопрос :) В общем сгенерировал необходимые ключи (все по многочисленным инструкциям :) ), настроил конфиг в меру своего понимания и теперь при коннекте выдает вот такую ошибку:
Mon Aug 06 18:35:16 2007 Authenticate/Decrypt packet error: packet HMAC authentication failed
Mon Aug 06 18:35:16 2007 TLS Error: incoming packet authentication failed from 192.168.1.1:8991

Ну и потом еще кучу ошибок ессно, но это первая :)
Клиенту скопировано и прописано в конфиге согасно инструкции 4 ключа:
ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\config\\client_note.crt"
key "C:\\Program Files\\OpenVPN\\config\\client_note.key"
tls-auth "C:\\Program Files\\OpenVPN\\config\\ta.key" 1

В чем тут может быть дело?

unit
07-08-2007, 05:27
В общем 3 дня мучений не прошли зря, настроил я эту систему под кучу клиентов.

Что бы остальные так не мучались, открываю секрет золотого ключика: во всем виноват конфиг openssl.
Все примеры, все команды упомянутые в инете заточены под другой конфиг. А вед это был конфиг по-умолчанию, что ставится при инсталляции последней версии опенссл для девайса!

При генерации серверного сертификата с ключем везде в командах указано "-extensions server". Так вот, если кто не знает, "сервер" это всего лишь указание из какого блока конфига подтягивать данные. Причем самая важная команда там "nsCertType = server". В моем случае блок назывался "usr_cert", соответсвенно и команда д.б. выглядеть не "-extensions server", а "-extensions usr_cert". Ну или блок переименовать.
Но самое веселое, что у меня этот блок вызывался из основной части конфига, т.е. был "включен" всегда. Из-за этого неправильно генерились клиентские сертификаты. Стоило закомментировать строчку:
#x509_extensions = usr_cert # The extentions to add to the cert
Как все сразу заработало.

Что еще.. Ну еще пара советов:
- при ответе на "доп. вопросы" типа страны, региона и т.д. везде надо писать одно и то же, кроме полей "Имя" и "Е-меил". Они идут ближе к концу подряд.
- Если что то не получается, потом вы пробуете еще раз используя те же имена, то скорее всего будет ругаться на индексы. Посмотрите файл index.txt, сами поймете что удалить из него надо. Ну или обнулите его.
Там еще какие то проблемы были, но я их уже не помню.

Вот :) Спустя полтора месяца все-таки добил вопрос.

P.S. на гугле, в форумах зарубежных часто обсуждают ошибку "Error Loading extension section server". так вот, никто не дал правильного ответа. То что надо в конфиг вписать "nsCertType = server" - ну это все говорят (ессно не помогает). А то, что этот блок называется по-другому и его переименовать надо, этого я еще нигде не видел :) А на самом деле для чайника проблема не тривиальная.

DeathMoroz
09-08-2007, 11:52
может поможешь остальным и напишешь how-to?

unit
09-08-2007, 13:07
Я честно говоря всего добился "методом обезьяны". Не зная как надо пробовал все подряд. Поэтому и how-to могу написать примерно такой же. По принципу нажимаем зеленую кнопку, 2 раза приседаем и стучим в бубен :)

abi
09-08-2007, 17:26
double posting...

abi
09-08-2007, 17:28
Я настраивал 2 раза вообще без бубна, все работало и работает как часы.

1. Машина для генерации сертификатов у меня на Винде, если у вас нет, то этот шаг я пропускаю. Единственное, что должно быть - это common name сертификата сервера "server". Вернее не должно, а полезно, так как мы можем задействовать одну проверку на валидность сертификата.

2. Установка OpenVPN сервера. ipkg и все такое - тут все понятно.
Далее мы будем запускать все на интерфейсе tap, так как tun из HOWTO делает лишний хоп (давятся броадкасты и к примеру, в большую часть игр поиграть не получится в режиме "локальная сеть". Мы сделаем сервер полностью прозрачным.

2.1 Готовим папку для ключей, пусть это будет /opt/etc/openvpn/keys и кладем туда ca.crt, dh1024.pem, server.crt, server.key.
2.1 Готовим конфиг-файл, я просто скоировал по умолчанию как /opt/etc/openvpn/server.conf
2.2 Настраиваем
dev tap0
proto tcp-server
server-bridge 10.0.0.1 255.255.255.0 10.0.0.50 10.0.0.60
Тут все ясно, замените только на ваши, последние 2 ip - диапазон выдачи, подсети должны совпадать с первым числом. Иначе - роутинг и лишний хоп.
client-to-client
tls-server
dh /opt/etc/openvpn/keys/dh1025.pem
ca /opt/etc/openvpn/keys/ca.crt
cert /opt/etc/openvpn/keys/server.crt
key /opt/etc/openvpn/keys/servert.key
port 1194
user daemon Это если ходите понизить права процессу.
group daemon см. выше. Обе строки необязательны.
comp-lzo
keepalive 10 120 (выкл пинги!!)
persist-tun
persist-key
verb 3

У вас все может отличаться, в зависимости от специфики.
3. Готовимся к запуску.
Я внес в post-boot
insmod tun.o, так как традиционно туда помещаю все insmod.
/opt/etc/init.d/S24openvpn
#!/bin/sh
PATH=/opt/sbin:/opt/bin:$PATH
export PATH

Создадим интерфейс
openvpn --mktun --dev tap0
и добавим его в br0
brctl addif br0 tap0
Если это не сделать пакеты не пройдут.
ifconfig tap0 0.0.0.0 promisc up
openvpn --cd /opt/etc/openvpn --daemon --log-append /opt/var/log/openvpb.log --config server.conf
chmod +x /opt/etc/init.d/S24openvpn

/usr/local/sbin/post-firewall
Добавить
iptables -A INPUT -i tap0 -j ACCEPT

Все! Должно работать.

Romeo9128
13-08-2007, 16:22
огромное спасибо за подробное описание шагов.
а есть ли возможность сделать не на tap а на tun интерфейсе??
т.е. принципиально эти интерфейсы чем-то отличаются или просто название такое?
Почему спрашиваю?? Просто именно необходим лишний хоп. А как я понял он создаётся с интерфецсом tun.
И можно ли использовать опенвпн без использования различных сертификатов?

abi
13-08-2007, 18:12
Принципиально отличаются. tun соответствует идеологии "роутер", tap - "мост".

Соответственно, мост пропускает броадкасты, может задействовать внешний DHCP, а не раздачу из своего пула.

Плюсов режима роутера я не вижу, если честно :)
Так как броадкасты не пройдут, следует ставить WINS для отображения NETBIOS имен, плюс роутинг надо настраивать.

Опять таки, лишний хоп - это, помоему, следствие режима работы моста или роутера. На мосте можно попытаться тоже сделать хоп. Например, не включая tap0 в br0, но настроив между ними маршрутизацию. Но это уже бубен, так как я так не делал и что посоветовать - не знаю, у меня изначально вполне конкретная цель была - играть в Heroes of might and magic 5 с пиратским ключом :)

Без сертификатов, если не ошибаюсь, подконенктить больше 1 пользователя нельзя, но в openvpn есть опция, позволяющая нескольким клиентам иметь один сертификат....

phoenixx
01-12-2007, 21:13
Сразу оговорюсь - возможно все очень логично и так и должно быть. Но поскольку я не очень понимаю как должно быть, а хотелось бы понять, а не просто переписывать строчки из всяческих howto, то прошу знающих людей объяснить ситуацию. Ух, какое вступление...

Итак, настраивал openvpn на работу в режиме tap с несколькими клиентами.

Опишу конфигурацию окружения:
роутер wl500gp, к порту wan воткнут internet шнурок, инет раздается разным клиентам в локалке, на раутере настроен dhcp на подсеть 192.168.1.0/255.255.255.0, IP раутера внутри сети 192.168.1.1
Коннектиться на него я пытался, ессно, снаружи.

Вот так после долгих мучений выглядели всякие мои файлы конфигураций:
/opt/etc/openvpn/server.conf

dev tap0
proto udp
ifconfig 10.8.0.2 255.255.255.0
server-bridge 10.8.0.2 255.255.255.0 10.8.0.50 10.8.0.60
client-to-client
tls-server
dh /opt/etc/openvpn/keys/dh1024.pem
ca /opt/etc/openvpn/keys/ca.crt
cert /opt/etc/openvpn/keys/routsrv.crt
key /opt/etc/openvpn/keys/routsrv.key
port 1194
keepalive 10 120
persist-tun
persist-key
verb 3

локальный клиент (winxp sp2)
C:\Program Files\OpenVPN\config\client.ovpn

ca ca.crt
cert fio.crt
key fio.key
dev tap0
client
remote 11.111.111.111
port 1194
proto udp
persist-tun
persist-key
verb 3

route-delay 10
route-gateway 10.8.0.2


/usr/local/sbin/post-firewall

#!/bin/sh
iptables -D INPUT -j DROP

# enable access from WAN

iptables -t nat -I PREROUTING -p udp --dport 1194 -j ACCEPT
iptables -I INPUT -p udp --dport 1194 -j ACCEPT

#Also as mentioned in the OpenVPN FAQ ip_foward must be enabled (default in WR 0.9) and packets for the OpenVPN interfaces have to be allowed/forwarded:

## allow input/forwarding for the VPN interfaces, see http://openvpn.net/faq.html#firewall
## also needs ip_forward, see http://openvpn.net/faq.html#ip-forward and http://forum.openwrt.org/viewtopic.php?pid=20428#p20428
iptables -I INPUT -i tap0 -j ACCEPT
iptables -I FORWARD -i tap0 -j ACCEPT

/usr/local/sbin/post-mount

#!/bin/sh
mount -obind /tmp/harddisk/opt /opt
/opt/etc/init.d/S24openvpn

В результате под таким (и не только такими) параметрами клиент отлично коннектился к серверу, но пинги никуда не ходили и достучаться до удаленной сети никак не получалось. В характеристиках (ipconfig) клиентского tap0 интерфейса был прописал полученный от сервера IP вида 10.8.0.50, но ни gateway ни сколько нибудь понятных route не было. Пинги не ходили и до 10.8.0.2, который в такой конфигурации должен быть дефолтным шлюзом.

Огромные количества информации из инета и поиска не помогли, следы этих попыток можно видеть в конфигах.

Однако, стоило мне в клиентском конфиге вместо

client
написать просто

tls-client
как все получилось, но немного не так, как я ожидал:

Клиентский интерфейс tap0 (на локальной машине) получил от удаленного dhcp сервера (который раутер) IP адрес вида 192.168.1.197 (там так настроен диапазон адресов), шлюзом по умолчанию стал собственно, он же 192.168.1.1 ну и так далее.
Работает это просто шикарно - доступны все машины внутри удаленной сети, разрешение имен, клиенты vpn друг друга тоже видят.
Но вроде как openvpn должен был дать мне адрес из той подсети на которую я его пытался настроить - 10.8.0.XXX. В чем дело?

phoenixx
03-12-2007, 07:49
Я какой-то суперочевидный вопрос задал или просто никто не знает?

piezomotor
28-12-2007, 19:28
Я какой-то суперочевидный вопрос задал или просто никто не знает?

А слабо поменять verb 3 на verb 9 добавить строчку

status openvpn-status.log

создать и выложить

openvpn-status.log

# Verbosity level.
# 0 -- quiet except for fatal errors.
# 1 -- mostly quiet, but display non-fatal network errors.
# 3 -- medium output, good for normal operation.
# 9 -- verbose, good for troubleshooting

XpoHuk
13-02-2008, 15:12
Добрый день.
У меня возникла проблема, вообщем я настроил openVPN на WL500gP как сказано в
Установка openvpn в основную память для НОВИЧКОВ (http://wl500g.info/showthread.php?t=8880&highlight=%E8%ED%F2%E5%F0%ED%E5%F2)
Все вроде хорошо... все работет... вот только скорость очень низкая порядка 300 - 400 kb/s
Подскажите, как можно увеличить скорость?
Спасибо.

Vofik
14-03-2008, 16:52
VPN-Хочу чтоб из винды с удалёного компа можно было вбить мой адрес dyndns и к LAN домашней подкоючиться. Что делать? (прошу учесть http://www.stream.ru/filtering/).....

Vofik
14-03-2008, 16:55
;)Всмысле вбить с удалённого компа в сетевых подключениях "Подключение к виртуальной частной сети", и естественно пользователь и пароль нужен;)

Spacesoft
14-03-2008, 19:05
poptop ( vpn сервер ) на асусе работает весьма коряво, openVPN в помощь.

Vofik
14-03-2008, 19:15
а ссылку?;)

Vofik
14-03-2008, 19:34
Кстати - ДЛЯ ВИНДЫ!!! из СТАНДАРТНОГО из "Сетевые подключения"! а не из отдельного клиента!

Vofik
15-03-2008, 13:46
На форуме искал! Но нашел только http://wl500g.info/showthread.php?t=11848&highlight=poptop
http://wl500g.info/showthread.php?t=3032&highlight=poptop
http://wl500g.info/showthread.php?t=7551&highlight=poptop
ПОМОГИТЕ!!!!!

Serge_K
15-03-2008, 14:03
VPN-Хочу чтоб из винды с удалёного компа можно было вбить мой адрес dyndns и к LAN домашней подкоючиться. Что делать? (прошу учесть http://www.stream.ru/filtering/).....
Воспользоваться поиском - вы удивлены? Искать про SSH туннели. Или Вам что-то другое нужно?

Vofik
16-03-2008, 08:34
Надо чтоб с любого удалённого компа БЕЗ ДОП. СОФТА зайти в Панель управления -> Сетевые подключения -> Создать новое соединение -> Подключится к сети на рабочем месте -> Виртуальная частная сеть и т.д.
КАКОЙ софт для это нужен на роутере (я слышал про poptop, но так и не нашел, как его настроить) и КАК его настроить? Винда, кстати подключается в основном по PPTP (хотя и по IPSec, но этого лучше не надо) т.е. 1723 порт, следовательно с пробросом портов проблем нет (кстати, на ноуте я настроил стандарным виндовским менеджеров подключений (в создать подключения -> принимать подключения) и пробросил порт 1723 на ноут, и все друзья стандартным виндовским менеджером ко мне подключались, теперь примерно тоже надо сделать на роутере). ЧТО ДЕЛАТЬ???

Spacesoft
17-03-2008, 13:21
Повторить?

poptop ( vpn сервер ) на асусе работает весьма коряво
Но можно пойти методом от противного, используя асусовский VPN клиент, а на ХРени - VPN сервер. Тоесть роутер по запросу или ещё как подключается к машине с виндой, дальше дело техники.

Vofik
17-03-2008, 14:43
мне подключать к роутеру с машины БЕЗ реального IP!!!!!!!!!!!!!!!1

Spacesoft
18-03-2008, 00:19
Либо вылизать poptop, либо перейти на dd-wrt .

naves
18-03-2008, 22:27
Либо вылизать poptop, либо перейти на dd-wrt .

ipkg list | grep -i vpn
openvpn - 2.0.7-1 -
openvpn - 2.1_rc7-1 - SSL based VPN server with Windows client support

можно ли считать что openvpn поддерживает стандартный виндовый клиент?
или скомпилить из исходников pptpd-server

Vofik
20-03-2008, 16:52
Дайте, плиз, ссылку, ка кнастроить poptop!???

Vofik
22-03-2008, 05:41
ССЫЛКУ В СТУДИЮ!

junkies
24-03-2008, 15:46
сутация такова
есть лок сеть там статические ip со шлюзом 192.168.32.1/24, локальная сеть подключена к WAN
адрес роутера 10.50.1.1/24
есть модем, через который я использую интернет 10.50.1.17/24, он подлючен в LAN1
Ну и сам PC который подключе в LAN2
Сделал как написано в мане

ip route flush scope global
/sbin/route del default
/sbin/route add default gw 10.50.1.17


Инет на компе и роутере работает, а вот локальной сети которая на ване невидно
пробовал маршрут
/sbin/route add -net 192.168.0.0/16 gw 192.168.32.1
а также /sbin/route add -net 192.168.0.0/16 gw 10.50.1.1
но ничего... ип шлюз провайдера 192.168.32.1 пинается, но трэйс не идет, может подскажете в чем дело или может есть еще какието способы сделать это.

Не предлагайте повесить модем на ван, на ване должна быть локалка, на это есть причины.

До этого пробовал в дхцп поставить шлюз модема по умолчанию, а на модеме прописал маршрут типа /sbin/route add -net 192.168.0.0/16 gw 10.50.1.1
все работает на компе, но вот роутер не видит инета :confused:

роутер w500gp прошивка 1.9.2.7-9

petras
12-04-2008, 12:23
Задача: в сеть на работе заходим с помощью OpenVPN. До сих пор это успешно делалось клиентом для windows, но вот захотелось эту задачу взвалить на роутер. Поставил OpenVPN на него, всё красиво работает, роутер видит сеть, всё нормально. А вот машины в моей локалке ее не видят. Осознаю, что надо править iptables, но вот как именно - компетенции не хватает. Не хочет роутер роутить для tun0. Решение где-то рядом, но увы :)

Может кто-то умный подскажет, что надо сделать?

AndreyPopov
12-04-2008, 13:44
думаю надо для начала сказать про какой роутер речь идет :confused:

и как он настроен.

petras
12-04-2008, 13:50
ASUS WL500gP в заурядном режиме роутера

в плане "как настроен" - что именно интересует? дам любую информацию :)
/tmp/local/sbin/post-firewall на данный момент девственно чист. никаких изменений в iptables руками помимо типовых настроек не внесено.

AndreyPopov
12-04-2008, 14:03
а в Web интерфейсе настрйоки какие?

маршрутизацию прописали на свою сеть?

petras
12-04-2008, 14:15
в веб-интерфейсе никаких путей не добавлено, никакие сервисы наружу не открыты (разве что один порт для торрента проброшен), всё идет прямиком через adsl-модем в режиме моста.



$ route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.161.9 * 255.255.255.255 UH 0 0 0 tun0
(адрес гейтвея) * 255.255.255.255 UH 0 0 0 ppp0
192.168.161.1 192.168.161.9 255.255.255.255 UGH 0 0 0 tun0
192.168.1.0 * 255.255.255.0 U 0 0 0 br0
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default (адрес гейтвея) 0.0.0.0 UG 0 0 0 ppp0


192.168.161.0 - сетка, к которой, собственно и нужен доступ не только с асуса, 192.168.161.9 - ее гейтвей.
192.168.1.0 - моя локалка.
(адрес гейтвея) - это гейтвей ISP.

AndreyPopov
12-04-2008, 14:19
у вас WL-500GP в каком режиме включен?

Gateway или Router?

petras
12-04-2008, 14:25
Home Gateway

я ж через него не только в локалку лезу, я и в интернете через него тоже. в данный момент в том числе. то есть NAT используется.

AndreyPopov
12-04-2008, 14:40
вам надо NAT не только на роутере, но и на OpenVPN включить - мне так кажется.

NAT роутера преобразует внешний адрес <gateway> в адреса OpenVPN сетки, и вам надо чтобы OpenVPN делал NAT для вашей внутренней сетки.

petras
12-04-2008, 14:43
вот как раз вопрос в том, как это сделать...

AndreyPopov
12-04-2008, 14:48
а в OpenVPN нет таких функций?

может тогда такой вариант - добавить интрерфейс tun0 в мосту br0 и вашей сетке поменять адресацию на 192.168.161.0 или наоборот в OpenVPN сменить на 192.168.1.0

brctl addif br0 tun0

????????????????

petras
12-04-2008, 15:12
$ brctl addif br0 tun0
br_add_interface: Invalid argument

странно :(


вообще, похоже, что всё не так просто, как кажется (http://openvpn.net/index.php/documentation/howto.html#scope)

AndreyPopov
12-04-2008, 18:30
$ brctl addif br0 tun0
br_add_interface: Invalid argument

странно :(


попробуйте
ifconfig tun0 up
brctl addif br0 tun0

это не 100%, что поможет. просто по аналогии прикручивания bluetooth и поднятия интерфейса там - я вам и советую.

и кстати, вы на сервере VPN прописали маршрутизацию своей сети, как сказано здесь:
First, you must advertise the 10.66.0.0/24 subnet to VPN clients as being accessible through the VPN. This can easily be done with the following server-side config file directive:

в этом же HOWTO сказано, что надо проследить за IP forwarding и TUN/TAP на VPN сервере - так что изучайте!

но думаю вам лучше не routed VPN настроить, а bridging VPN - в HOWTO есть рекомендации и поэтому поводу.

petras
12-04-2008, 21:18
нет, этот вариант тоже не прошел.

в принципе, в howto всё логично и понятно расписано, просто тут уже решение задачи выходит за пределы моей личной досягаемости. посмотрим, если админу с серверной стороны будет не лень и будет на это время, может и сделаем. видимо, решения чисто с клиентской стороны нет. ну да и ладно :)

спасибо за помощь!
если удастся сделать, обязательно напишу подробно.

Romeo9128
07-05-2008, 21:40
Доброй ночи, уважаемые форумчане!
Задался вопросом о поднятии OenVPN-сервера в режиме tap (преследовал цель подключить нескольких пользователей из инета к ресурсам внутреннией локалки). Раньше доблся работы сей софтины в режиме tun - т.е. в ржиме "роутера" (работало но только с одним подключённым клиентом.)
Делал всё изучив следующие мануалы:
Несколько клиентов по OpenVPN - http://wl500g.info/showthread.php?t=9784
Помогите объяснить поведение OpenVPN - http://wl500g.info/showthread.php?t=11806&highlight=openvpn
Установка openvpn в основную память для НОВИЧКОВ - http://wl500g.info/showthread.php?t=8880&page=6
FAQ: OpenVPN (было - Помогите настроить OpenVPN) ! - http://forum.ixbt.com/topic.cgi?id=14:40906

После долгих мучений и сервер и клиент перестали ругаться на конфиги, сервер запустился.
Конфиги следующие:
server.conf

dev tap0
proto tcp-server
server-bridge 10.0.0.1 255.255.255.0 10.0.0.50 10.0.0.60
client-to-client
tls-server
dh /opt/etc/openvpn/keys/dh1024.pem
ca /opt/etc/openvpn/keys/ca.crt
cert /opt/etc/openvpn/keys/server.crt
key /opt/etc/openvpn/keys/server.key
port 1194
keepalive 10 120
persist-tun
persist-key
verb 3


client.ovpn

ca ca.crt
cert client.crt
key client.key
dev tap0
tls-client
remote 192.168.1.1:1194
port 1194
proto udp
persist-tun
persist-key
verb 3

route-delay 10
route-gateway 10.8.0.2

НО!!
При запуске клиентского соединеия лог постепенно заполняется сообщениями следующего характера:
Thu May 08 00:15:17 2008 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)

Погуглив вопрос нашёл инфу что эти ошибки - ошибки работы с сокетом - и выдаёт их винда.

Лезем в фаервол:


[admin@(none) /]$ iptables -L -nv --line-numbers
Chain INPUT (policy ACCEPT 860 packets, 111K bytes)
num pkts bytes target prot opt in out source destination
1 0 0 ACCEPT all -- tun0 * 0.0.0.0/0 0.0.0.0/0
2 84 3528 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:1194
3 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1194
4 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
5 5122 745K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
6 293 17580 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 state NEW
7 2454 766K ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0 state NEW
8 3 156 ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.1 tcp dpt:80
9 0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.1 tcp dpt:8081
10 4 244 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
11 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:81
12 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
13 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22000
14 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:23
15 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
16 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:59970
17 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:64255
18 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:39309

Chain FORWARD (policy ACCEPT 52 packets, 2664 bytes)
num pkts bytes target prot opt in out source destination
1 0 0 ACCEPT all -- * tun0 0.0.0.0/0 0.0.0.0/0
2 0 0 ACCEPT all -- tun0 * 0.0.0.0/0 0.0.0.0/0
3 0 0 ACCEPT all -- * * 192.168.210.10 192.168.1.10
4 0 0 ACCEPT all -- * * 192.168.213.76 192.168.1.10
5 0 0 ACCEPT all -- * * 192.168.211.14 192.168.1.10
6 0 0 ACCEPT all -- * * 192.168.217.3 192.168.1.10
7 0 0 ACCEPT all -- br0 br0 0.0.0.0/0 0.0.0.0/0
8 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
9 80 3992 TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x16/0x02 TCPMSS clamp to PMTU
10 2351 1438K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
11 51 2624 MAC_IP all -- * !br0 0.0.0.0/0 0.0.0.0/0
12 0 0 DROP all -- !br0 ppp0 0.0.0.0/0 0.0.0.0/0
13 0 0 DROP all -- !br0 vlan1 0.0.0.0/0 0.0.0.0/0
14 31 1488 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate DNAT
15 0 0 DROP all -- * br0 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 7723 packets, 1428K bytes)
num pkts bytes target prot opt in out source destination
1 0 0 ACCEPT all -- * tun0 0.0.0.0/0 0.0.0.0/0

Chain MACS (0 references)
num pkts bytes target prot opt in out source destination

Chain MAC_IP (1 references)
num pkts bytes target prot opt in out source destination
1 9 432 RETURN all -- * * 192.168.1.3 0.0.0.0/0 MAC 00:80:48:3F:7A:9F
2 0 0 RETURN all -- * * 192.168.1.4 0.0.0.0/0 MAC 00:E0:4C:DD:0D:90
3 39 2036 RETURN all -- * * 192.168.1.5 0.0.0.0/0 MAC 00:1C:23:0B:1C:A4
4 0 0 RETURN all -- * * 192.168.1.10 0.0.0.0/0 MAC 00:17:31:96:6E:F4
5 0 0 RETURN all -- * * 192.168.1.124 0.0.0.0/0 MAC 00:02:78:89:82:13
6 3 156 RETURN all -- * * 192.168.1.190 0.0.0.0/0 MAC 00:1B:77:B6:55:BB
7 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain SECURITY (0 references)
num pkts bytes target prot opt in out source destination
1 0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x16/0x02 limit: avg 1/sec burst 5
2 0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x04 limit: avg 1/sec burst 5
3 0 0 RETURN udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5
4 0 0 RETURN icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5
5 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain logaccept (0 references)
num pkts bytes target prot opt in out source destination
1 0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW LOG flags 7 level 4 prefix `ACCEPT '
2 0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0

Chain logdrop (0 references)
num pkts bytes target prot opt in out source destination
1 0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW LOG flags 7 level 4 prefix `DROP '
2 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0



На мой взгляд блокировать ничего не должно. Причём при попытке подключения в таблице INPUT увеличиваются кол-во пакетов и объём данных в правиле №2

Может кто сталкивался с подобной ситуацией? Подскажит пожалуйсто, где накосячили мои кривые ручёнки!

Пробовал и с вот этими правилами из одного мануала

#!/bin/sh
iptables -D INPUT -j DROP

# enable access from WAN

iptables -t nat -I PREROUTING -p udp --dport 1194 -j ACCEPT
iptables -I INPUT -p udp --dport 1194 -j ACCEPT

iptables -I INPUT -i tap0 -j ACCEPT
iptables -I FORWARD -i tap0 -j ACCEPT

И с вот этими правилами из другого мануала:


iptables -A INPUT -i tap0 -j ACCEPT


P.S. На компе с которого пытаюсь подключиться фаерволов нет. Виндовый брандмауэр отключён. Винда -XP SP2.
Зарание благодарен всем откликнувшимся!

Romeo9128
07-05-2008, 21:45
Поменял в пост-фаерволл правила:



iptables -D INPUT -j DROP
iptables -I INPUT -p tcp --dport 1194 -j ACCEPT
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
iptables -t nat -I PREROUTING -i eth1 -p udp --dport 1194 -j DNAT --to-destination $4:1194
iptables -t nat -I PREROUTING -i eth1 -p tcp --dport 1194 -j DNAT --to-destination $4:1194
echo "post-firewall: TCP/UDP ports for OpenVPN OPENED OK ! " >> /tmp/syslog.log

iptables -I INPUT -i tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -j ACCEPT
iptables -I FORWARD -o tun0 -j ACCEPT
iptables -I OUTPUT -o tun0 -j ACCEPT
echo "post-firewall: Connections from tap0 OPENED OK ! " >> /tmp/syslog.log

на



iptables -D INPUT -j DROP
iptables -I INPUT -p tcp --dport 1194 -j ACCEPT
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
iptables -t nat -I PREROUTING -i eth1 -p udp --dport 1194 -j DNAT --to-destination $4:1194
iptables -t nat -I PREROUTING -i eth1 -p tcp --dport 1194 -j DNAT --to-destination $4:1194
echo "post-firewall: TCP/UDP ports for OpenVPN OPENED OK ! " >> /tmp/syslog.log

iptables -I INPUT -i tap0 -j ACCEPT
iptables -I FORWARD -i tap0 -j ACCEPT
iptables -I FORWARD -o tap0 -j ACCEPT
iptables -I OUTPUT -o tap0 -j ACCEPT
echo "post-firewall: Connections from tap0 OPENED OK ! " >> /tmp/syslog.log


Ошибки с в таком бешеном количестве (WSAECONNRESET) (code=10054) прекратились. Теперь лог соединения выглядит так:



Thu May 08 00:51:17 2008 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Thu May 08 00:51:17 2008 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Thu May 08 00:51:17 2008 Control Channel MTU parms [ L:1573 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu May 08 00:51:17 2008 TAP-WIN32 device [Подключение по локальной сети 4] opened: \\.\Global\{3801AE01-AD71-435A-9B1C-62E3F802F5C8}.tap
Thu May 08 00:51:17 2008 TAP-Win32 Driver Version 8.4
Thu May 08 00:51:17 2008 TAP-Win32 MTU=1500
Thu May 08 00:51:17 2008 Successful ARP Flush on interface [19] {3801AE01-AD71-435A-9B1C-62E3F802F5C8}
Thu May 08 00:51:17 2008 Data Channel MTU parms [ L:1573 D:1450 EF:41 EB:4 ET:32 EL:0 ]
Thu May 08 00:51:17 2008 Local Options hash (VER=V4): '2c50bd2c'
Thu May 08 00:51:17 2008 Expected Remote Options hash (VER=V4): '0ddbb6e3'
Thu May 08 00:51:17 2008 UDPv4 link local (bound): [undef]:1194
Thu May 08 00:51:17 2008 UDPv4 link remote: 62.140.252.29:1194

тут соедиение как-бы подвисает на 60 секунд и выдаётся следующая ошибка:

Thu May 08 00:51:21 2008 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Thu May 08 00:52:18 2008 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Thu May 08 00:52:18 2008 TLS Error: TLS handshake failed
Thu May 08 00:52:18 2008 TCP/UDP: Closing socket
Thu May 08 00:52:18 2008 SIGUSR1[soft,tls-error] received, process restarting
Thu May 08 00:52:18 2008 Restart pause, 2 second(s)


в чём я накосячил? подскажите подалуйсто!

Romeo9128
08-05-2008, 15:43
Сделал по вашим конфигам. Ип получается из той подсети, которую задали в конфиге сервера. В данном случае - 10.8.0.50 - 10.8.0.60...
Так что не вполне ясно почему у Вас ip был выдан DHCP-роутера..
Кстати, с Вашего позволения один небольшой вопросик: как Вы генерировали сертификаты и ключи? на роутере или на ПК, и какой софт использовали для этого?

Joseff
31-08-2008, 12:37
Собственно проблема следующая. Имеется роутер WL500g Delux. захотелось на нем настроить OpenVPN. Сделал все по инструкции (Установка openvpn в основную память для НОВИЧКОВ) но после команды FlashFs save выдается сообщение что не достаточно памяти файл весит столько то у вас столько то, как я понял на Deluxe маленький размер флеша и собраный заново он туда не лезет. Соответственно воткнув флешку в usb решил сделать настройку, чтобы все грузилось из флешки. Все по инструкции Олега было скопировано на флешку, удачно установлено , вот как раз здесь и начинается мои глюки, которые я понять не могу.

Загрузка происходит нормально. OpenVpn инсталировался нормально но все файлы, которые я делаю post-boot и post-firewall, после ребута роутера пропадают, так же как и настройки MC.

Я понял так, что при загрузке роутера, создается RAM диск, на который вываливается содершимое флеша. Папка /mnt в которой находится содержимое для загрузки на запись не дается.

Помогите, скажите, как заставить хватать файлы загрузки OpenVpn созданные мной. Не могу понять, где их необходимо сохранить.
Заранее огромное спасибо :)

ost
31-08-2008, 18:13
Папка /mnt в которой находится содержимое для загрузки на запись не дается.


а если перемонтировать mount -remount,rw ...

и правь свои скрипты.

Joseff
01-09-2008, 08:02
а если перемонтировать mount -remount,rw ...

и правь свои скрипты.

поробовал так mount -remount,rw, /mnt /mnt
выдалась ошибка mount не может быть выполнен на /mnt так как read only

если делать mount -o remount,rw,noatime $(nvram get boot_dev) /
то доступным становится корень, папка /mnt как была так и остается не доступной

svu
05-09-2008, 16:34
Пытаюсь поднять дома простейший openvpn на asus wl500w. По вот этой рассказке: http://wl500g.info/showthread.php?t=5312 Все запускается, ошибок нет. Далее, пытаюсь тестировать. В качестве клиента - openvpn на n810, которая через синезуб вяжется с мабилой и выходит в интернет. Интерфейс tun0 подымается как родной (точнее, 2 интерфейса - на роутере и на таблетке соотв.). Но пинг с 10.8.0.1 на 10.8.0.2 не проходит ваще. И обратно, что характерно, тоже. Где б покопать? В логах рапортуют об удачно установленном соединении...

Спасибо.

eone
21-09-2008, 09:45
Приветствую!

WL520GC + AKADO (бывшый провайдер TC-EXE в Марьино). Для использования внешнего адреса необходимо установить PPTP соединение. Короче, все рабоает прекрасно, но до перезагрузки устройства - PPTP он сразу не всегда поднимает, может много раз пытаться, а может и сразу установить. Стоит нажать в в статусе Disconnect - снова будет соединяться неопределенное время. Но когда соединился - держит по несколько дней без проблем. Т.е. имеем какую-то нестабильную работу pppd. Прошивка родная 2011. Включение дебага и т.д. понимания не добавляет - Modem Hangup исе тут. При этом если устанавливать VPN с винды - всегда мгновенно.

Ладно, можно списать на кривизу родной прошивки, но косяк в том, что заменить я ее не могу. Никак. Ни стандартными средствами через закладку Firmware Update, ни c использованием Firmware Restoration Utility - не находит устройство (интерфейс маршрутизатора вообще не пингуется). Т.е. просто никак, хотя один раз это было успешно проделано - куплен он был с 2010, я заменил на 2010 через вебморду.

Что делать? Ну можно забить, конечно - ведь через сколько-то времени он поднимает pptp и далее стабильно работает, но я так не привык. Алтернатива - поднять pptp до провайдера на rrase виндовом, все равно сервер стоит дома, но тоже лишнее это...

Поэтому основной вопрос - как прошить 0016 прошивку?

Спасибо.

Serge_K
21-09-2008, 09:55
Поэтому основной вопрос - как прошить 0016 прошивку?Спасибо.

Так не пробовали?
http://wl500g.info/showpost.php?p=33445&postcount=16

eone
21-09-2008, 10:16
Не, так не пробовал - меня останавливает тот шаг, что интерфейс не пигуется. Т.е. тфтп можно уже и не пробовать. Я допускаю конечно, что в стандартном загрузчике запрещен ICMP и разрешен только tftp, но сомнительно. Да и в той теме интерфейс пингуется. Хотя это много времени не требует - вечером проверю, конечно - щас реальный адрес пока нужен :D

Да, без установки VPN (когда на WAN интерфейсе адрес из внутреннего диапазона провайдер) все летает и всегда. Т.е. проблема только с PPTP.

xHawKx
21-09-2008, 19:52
Есть еще один момент с PoPToP.
Если провайдер использует raduis-сервер в аутентификации (а так скорее всего и есть), может быть небольшой ньюанс.
В случае непредвиденного разрыва вашего соединения сервер доступа (vpn-сервер) не всегда может понять что сессия разорвалась, ну нет пакетов в туннеле и нет, мож вы покурить вышли. Соответственно, когда вы тут же пытаетесь зацепиться снова, сервер доступа спрашивает у raduis-сервера, можно ли вам цепляться. raduis в свою очередь видит, что вы уже единожды подключены, а второй раз - фиг, о чем и говорит впн серверу. При этом, сервер доступа на транспортном для впн уровне (на уровне ip сетевых карт) видит что от вас всетки идут пакеты, выж на впн-порт стучитесь, gre пакеты ходят, а потому, когда идет промежуточный эккаунтинг (который и призван ложить ненормально завершенные сессии) не видит причин ложить зависшую vpn сессию - и говорит радиусу что все в этом туннеле в норме, юзер работает. Получается замкнутый круг - твоя железяка пытается с упорством маньяка дозвониться раз в 30 сек, чем и лишает всякого шанса соединиться. И как только вы переткнули кабель из wan-порта железки в комп, другую железку, или выдернув кабель из wan минут 5 обжимали его отверткой заново - все магическим образом проходит... :D
По идее все, что нужно - минут от 1 до 10 просто не пытаться соединяться, в зависимости от прова.
Бывший пров. :D

eone
22-09-2008, 04:22
О! Это полностью подверждает мои подозрения. Вот смотрю по логу - вчера вечером он час соединялся. Но, опять же - когда говоришь ему disconnect, то по логу он завершет соединение корректно (ни разу не очевидно, что с точки зрения vpn сервера это так). Да и запуск vpn с винды всегда проходит успешно.

Я для себя вот что заметил - если он после перезапуска нормально соединяется, то в логе срвзу все хорошо. А вот если сразу не соединялся. то лог начинается так:

Jan 1 03:00:03 pppd[57]: pppd 2.4.2 started by (unknown), uid 0
Jan 1 03:00:04 pppd[57]: Serial connection established.
Jan 1 03:00:04 pppd[57]: Using interface ppp0
Jan 1 03:00:04 pppd[57]: Connect: ppp0 <--> /dev/pts/0
Jan 1 03:00:07 pptp[69]: connect: No route to host
Jan 1 03:00:07 pptp[69]: Could not open control connection to 10.10.10.10
Jan 1 03:00:07 pptp[63]: Call manager exited with error 256
Jan 1 03:00:07 pppd[57]: Modem hangup
Jan 1 03:00:07 pppd[57]: Connection terminated.
Sep 21 22:56:57 ntp client: time is synchronized to time.nist.gov pool.ntp.org

Дальше постоянно повторяется:

Sep 21 22:57:00 pppd[57]: Serial connection established.
Sep 21 22:57:00 pppd[57]: Using interface ppp0
Sep 21 22:57:00 pppd[57]: Connect: ppp0 <--> /dev/pts/0
Sep 21 22:57:03 pppd[57]: Modem hangup
Sep 21 22:57:03 pppd[57]: Connection terminated.

Ну и когда наконец соединился:

Sep 22 00:03:54 pppd[57]: Serial connection established.
Sep 22 00:03:54 pppd[57]: Using interface ppp0
Sep 22 00:03:54 pppd[57]: Connect: ppp0 <--> /dev/pts/0
Sep 22 00:03:55 pppd[57]: CHAP authentication succeeded
Sep 22 00:03:55 pppd[57]: local IP address 89.19.171.68
Sep 22 00:03:55 pppd[57]: remote IP address 89.19.162.1
Sep 22 00:03:56 PPTP: connect to ISP

Осталось понять для проверки, как бы минут на 5 отложить старт pppd после стартапа маршрутизатора.

eone
22-09-2008, 07:13
По поводу невозможности прошивки через веб-интерфейс на сайте openwrt нашел вот что:

Web interface from ASUS Firmware 2.0.1.0 and newer doesn't allow to upload DD-WRT firmware, it reports corrupted file. You have to downgrade to 2.0.0.8 ASUS firmware in order to flash DD-WRT firmware.
There also could be unable to downgrade to 2.0.0.8 ASUS firmware from newer version through web interface, easily soulution could be rename in order to flash DD-WRT firmware. Easy solution could be to rename a old firmware file (up to 2.0.0.8) for example to "newer" WL520gc_2.0.1.2_EN.trx

Прикольно. Вечером прошью 0016 прошивкой и будем посмотреть. Кстати, где-нибудь опубликован полный список отличий данной прошивки от родной и вносились ли каки-нибудь изменения в части pppd?

xHawKx
22-09-2008, 12:24
pppd, как и poptop - весьма консервативные проекты, ввиду возраста и отлаженности. Вряд ли стоит ждать чего-то нового.

Rucha
13-11-2008, 18:46
Получилось?

petras
13-11-2008, 19:55
Получилось?

выяснилось, что номер не пройдет из-за тонкостей с другой стороны, но технически реализуемо (см. howto). я это дело за неактуальностью забросил.

Delfin
28-11-2008, 18:57
Здравствуйте, господа!

Помогите пожалуйста!

Есть определенная задача - сделать так чтобы конечный WAN IP адрес роутера был американским.
Провайдер - Корбина.
Нашел вариант - использование сервиса http://alwaysvpn.com/index.html

Но в linux я полный 0.
На сайте вроде есть дистрибутив со всеми конфигами!

Помогите, пожалуйста, настроить все это добро так, чтобы работало нормально!

Заранее благодарю!

eazarkin
03-02-2009, 07:05
Есть необходимость соединить две сети через openvpn. На сервере линукс c openpvn 2.09 конфиг сервера

port 1195
proto udp
dev tun1
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key # This file should be kept secret!
dh /etc/openvpn/keys/dh1024.pem
ifconfig 10.0.1.1 10.0.1.2
push "route 192.168.1.0 255.255.255.0"
route 192.168.2.0 255.255.255.0 10.0.1.1
keepalive 10 120
tls-auth /etc/openvpn/keys/ta.key 0 # This file is secret
tls-server
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 1

раньше клиент был тоже на линуксе с тем же конфигом,и все работало , но компьютер сломался и решили заменить на роутер wl500g с прошивко olega
конфиг клиента

dev tun0
keepalive 10 120
proto udp
remote myserver.ru 1195
ifconfig 10.0.1.2 10.0.1.1
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert tepliystan.crt
key tepliystan.key
tls-auth ta.key 1
tls-client
comp-lzo
verb 1
#script-security 2
#up '/sbin/route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.0.1.1'


Openvpn установлен в Flash как написано на форуме,
Соединение устанаваливается, но при этом на клиенте не прописывается путь к сети за сервером. (хотя команда push в конфиге сервера есть), если на клиенте в консоли на роутере добавить route руками, то все нормально.
Пробовал использовать команду UP (выполнять скрипт при установке соединения), не выполняет, пишет что то про security-level
Подскажите как сделать, что бы route прописывался автоматически , при установке openvpn соединения.

ShurikGrOb
06-02-2009, 05:46
Почти такая же проблема, но суть в том, что push 'route ' не отрабатывает.

antair
06-02-2009, 06:54
А если через post-firewall ?

ShurikGrOb
06-02-2009, 07:51
Какой post-firewall? роут должен на клиенте прописаться!

eazarkin
09-02-2009, 07:24
В post-firewall строчку с route add добавил, не срабатывает.
Не пойму как диагностировать в чем проблема, может пересобрать openvpn, из стабильной ветки (2,0) ?

cpc_s
16-03-2009, 09:47
Выхожу из дома в интернет через PPTP. На работе установлен PPTP сервер. Можно ли с роутера поднять второй тунель для доступа к офисной сети. Нужен второй тунель именно с роутера. что бы не держать постоянно домашний комп включенным.

rualex
27-03-2009, 10:28
Можно ли к одному pptp подключению добавить второе подключение, которое работает поверх первого? Это нужно для того, чтобы побороть серый айпишник провайдера и соединяться к своему vpn серверу и уже с него прокидывать порты к себе внутрь сети. :confused:

То есть как заставить wl500gp устанавливать 2 pptp сесии одновременно?

Поиском по форуму не нашел...

ghost_ufa
27-03-2009, 12:41
ДА, если в ядре есть модули
ip_conntrack_pptp
ip_conntrack_proto_gre
ip_nat_pptp
ip_nat_proto_gre

Про их наличие в разных версиях прошивок не скажу.

rualex
27-03-2009, 13:18
Прошивка 1.9.2.7-10. Как поднять 2 pptp?


ДА, если в ядре есть модули
ip_conntrack_pptp
ip_conntrack_proto_gre
ip_nat_pptp
ip_nat_proto_gre
Про их наличие в разных версиях прошивок не скажу.

wqrts
18-04-2009, 17:27
Здравствуйте.

Кто знает, подскажите пожалуйста, как запускается VPN настроенный из веб-морды?

В /tmp/ppp есть файл options.wan0 с настройками. Как, чем и когда он запускается? И есть ли возможность вырезать поднятие VPN по вебмордовым настройкам, и настроить все вручную?

Конечная цель - поднять один туннель через другой, если где то есть мануал, буду рад. Но вообще хотелось бы разобраться.

Заранее спасибо за ответы.

moveinone
19-04-2009, 02:01
Можно ли к одному pptp подключению добавить второе подключение, которое работает поверх первого? Это нужно для того, чтобы побороть серый айпишник провайдера и соединяться к своему vpn серверу и уже с него прокидывать порты к себе внутрь сети. :confused:

То есть как заставить wl500gp устанавливать 2 pptp сесии одновременно?

Поиском по форуму не нашел...

Я одно pptp делал в роутере, а другое через компьютер-клиент.
или VPM DIAL UP средствами винды, или openVPN или hamachi в зависимости от целей.

rualex
19-04-2009, 05:36
Я одно pptp делал в роутере, а другое через компьютер-клиент. или VPM DIAL UP средствами винды, или openVPN или hamachi в зависимости от целей.

Ответ не по теме. Вопрос именно в том, как средствами роутера установить два подключения к разным серверам. Первый- провайдерский, второй- в интернет.

masters
19-04-2009, 06:02
Присоединяюсь. Нужно поднять VPN (PPTP) поверх PPPoE.

wqrts
19-04-2009, 09:16
Ну похоже, что нужно создать файл по аналогии с /tmp/ppp/options.wan0 и дальше /usr/sbin/pppd file /tmp/ppp/options.wan1.

Ну и маршрутизацию с iptables смотреть.

Вот только когда он запускается при загрузке по веб-морде пока не понял. Будем разбираться дальше.

al37919
19-04-2009, 09:56
запускается он из rc. Так что отменить его нельзя (без перекомпиляции), но можно остановить:

killall -SIGTERM pppd
или

kill -SIGTERM `cat /var/run/ppp0.pid`

igor77777
20-04-2009, 13:50
Присоединяюсь. Нужно поднять VPN (PPTP) поверх PPPoE.

Вот тутhttp://wl500g.info/showpost.php?p=115700&postcount=11 я расписывал, как я такое делал.
Может быть Вам поможет.

Точно, могу сказать, что дополнительные соединения нужно поднимать ручками, например из post-mount, как это было сделано у меня.

Dimorus
17-05-2009, 06:04
проблема, а точнее задача следующая.....
есть дома dir-320 который перешит в асус.....
есть работа там стоит сервак под debian.... служит для раздачи интернета.. и как файловый сервер....
прошу помочь как сделать, чтоб инет шел через сервак дебиан и потом шел через dir?
если можно то поподробнее и не "кури маны"....
больше всего интересно как это на dir сделать..... ? и что потом на дебиане прописать?:)

vectorm
17-05-2009, 09:02
проблема, а точнее задача следующая.....
есть дома dir-320 который перешит в асус.....
есть работа там стоит сервак под debian.... служит для раздачи интернета.. и как файловый сервер....
прошу помочь как сделать, чтоб инет шел через сервак дебиан и потом шел через dir?
если можно то поподробнее и не "кури маны"....
больше всего интересно как это на dir сделать..... ? и что потом на дебиане прописать?:)
Сходите в поиск, только недавно данную проблему разбирали.

razor
17-05-2009, 09:51
тока шо наваял связку asus pptp -> work vpn (freebsd mpd с шифрованием в моем случае)
http://wl500g.info/showthread.php?t=19634

lsd_wiz
24-05-2009, 20:16
Как летчися?


[admin@ opt] mc
User defined signal 1
вылечил путём сноса и установки пакета glib


Поставил себе PopTop ни как не могу организовть pptp сервер


May 24 21:45:09 pptpd[2005]: CTRL: Client 192.168.2.1 control connection started
May 24 21:45:10 pptpd[2005]: CTRL: Starting call (launching pppd, opening GRE)
May 24 21:45:10 pppd[2006]: In file /opt/etc/ppp/options.pptpd: unrecognized option 'localip'
May 24 21:45:10 pptpd[2005]: GRE: read(fd=5,buffer=4205cc,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs
May 24 21:45:10 pptpd[2005]: CTRL: PTY read or GRE write failed (pty,gre)=(5,6)
May 24 21:45:10 pptpd[2005]: CTRL: Client 192.168.2.1 control connection finished

localip ставил различные.
где ошибка или мот кто поделится своим конфигом, для наглядного пособия.

Wolfgun
25-05-2009, 08:15
Покажи option.pptpd pptpd.conf и chap-secret (без поролей) посмотрим что у тебя не так
и параметры сети локальной и VPN

lsd_wiz
25-05-2009, 15:19
#/opt/etc/pptpd.conf
#ppp /usr/sbin/pppd
option /opt/etc/ppp/options.pptpd
#debug
# stimeout 10
#noipparam
logwtmp
bcrelay br0
localip 192.168.255.1
remoteip 192.168.255.2-254



opt/etc/ppp/chap-secrets
#vconf
271133 pptpd sany *



/opt/etc/ppp/options.pptpd
lock
noauth
refuse-eap
refuse-chap
refuse-mschap
nobsdcomp
nodeflate
require-mppe-128
nodetach
#user
debug
mtu 1452
mru 1452
#defaultroute
unit 1
#localip 192.168.255.1
#remoteip 192.168.255.1-254
#name pptpd
ms-dns 192.168.255.1
#novj
#novjccomp
#nodefaultroute -и каментом и без не подключает

lsd_wiz
25-05-2009, 16:07
Девайс wl-520gU Прошивка 1.9.2.7.-10. ось линукс 2.6.27.21 . клиент pptp linux
ip - 192.168.255.2/24
iptables - accept(выключен)
опции pptp


name 271133
remotename vpn
defaultroute # и так и сяк пробовал
noauth
asyncmap 0
crtscts
lock
hide-password
local
noproxyarp
lcp-echo-interval 30
lcp-echo-failure 4
noipx

коннект: pptp 192.168.255.1
в ответ тока лог на серваке на первом посте
ЗЫ. Если не флом кинь свои канфиги глянуть.

lsd_wiz
25-05-2009, 19:44
обрисую то что хочу сделать:
есть локалка с дапазоном 192.168.0.0/22
есть провайдер, через adsl модем роутер(он же wl520gU), подключение к провайдеру осуществляется по средствам VPN подключения, клиетом является роутер.
есть юзеры кторые будут юзать инет(~10 чел.). соеденение должно быть vpn с проверкой по связке mac&ip + login&pass, при этом vpn-тунель должен быть в другой под ети, к примеру 192.168.255.0/25;
Требуется, при подключении vpn, выполнялось автоматическое конфигурирование клиетнов, тобиш dhcp.

Wolfgun
26-05-2009, 06:54
opt/etc/pptpd.conf
должно быть так

#debug
# stimeout 10
#noipparam
#logwtmp
#bcrelay br0
localip 192.168.255.1
remoteip 192.168.255.200-210
# (елси десять клиентов то столько же IP адресов. Вобще больше 5 я Вам не советую роутер не понянет)

opt/etc/ppp/chap-secrets


271133 pptpd sany ip-адрес клиента


lock
noauth данный параметр надо удалить, т.к. это соединение без авторизации
refuse-eap
refuse-chap
refuse-mschap
nobsdcomp
nodeflate
require-mppe-128
nodetach
#user
#debug
#mtu 1452
#mru 1452
#defaultroute
#unit 1
#localip 192.168.255.1
#remoteip 192.168.255.1-254 (надо закомментировать или удалить. не обязательные параметры)
name pptpd (обязательно раскоментировать, это имя сервера указанного в chap-secret? из-за этого у вас и не конектилось )
ms-dns 192.168.255.1
novj
novjccomp
nodefaultroute ( обязательно раскоментировать)

А проще будет посмотреть что я писал, там есть скипт который ставит все автоматом

lsd_wiz
26-05-2009, 16:24
Стало легче, подлючение работает. терь вопрос как слеать так чтоб оно отключилось) при отлючении vpn у клиетна и изменить скорость коннекта:

18896 admin 228 S /usr/sbin/pppd local file /opt/etc/ppp/options.pptpd 115200 192.168.255.1:192.168.255.201 ipparam 192.168.2.1

И ненравится мне вот это...


Jan 1 02:03:51 pptpd[389]: CTRL: Client 192.168.2.1 control connection started
Jan 1 02:03:52 pptpd[389]: CTRL: Starting call (launching pppd, opening GRE)
Jan 1 02:03:52 pppd[392]: pppd 2.4.2 started by admin, uid 0
Jan 1 02:03:52 pppd[392]: Using interface ppp0
Jan 1 02:03:52 pppd[392]: Connect: ppp0 <--> /dev/pts/1
Jan 1 02:03:54 pppd[392]: MPPE 128-bit stateful compression enabled
Jan 1 02:03:54 pppd[392]: local IP address 192.168.255.1
Jan 1 02:03:54 pppd[392]: remote IP address 192.168.255.201
Jan 1 02:03:56 pppd[392]: Protocol-Reject for unsupported protocol 0xbcac
Jan 1 02:03:56 pppd[392]: Protocol-Reject for unsupported protocol 0x7f
Jan 1 02:03:56 pppd[392]: Protocol-Reject for unsupported protocol 0x74ac
Jan 1 02:03:56 pppd[392]: Protocol-Reject for unsupported protocol 0xf3
Jan 1 02:03:56 pppd[392]: Protocol-Reject for unsupported protocol 0x7b
Jan 1 02:03:56 pppd[392]: Protocol-Reject for unsupported protocol 0x7c2d
Jan 1 02:03:56 pppd[392]: Protocol-Reject for unsupported protocol 0x59
Jan 1 02:03:56 pppd[392]: Protocol-Reject for unsupported protocol 0x9859
Jan 1 02:03:56 pppd[392]: Protocol-Reject for unsupported protocol 0x3ac8
Jan 1 02:03:56 pppd[392]: Protocol-Reject for unsupported protocol 0x5445
Jan 1 02:03:56 pppd[392]: Protocol-Reject for unsupported protocol 0xd8b8
Jan 1 02:03:57 pppd[392]: Protocol-Reject for unsupported protocol 0xb7
Jan 1 02:03:57 Static: connect to ISP
Jan 1 02:03:57 pppd[392]: Protocol-Reject for unsupported protocol 0xca0b
Jan 1 02:03:58 pppd[392]: Protocol-Reject for unsupported protocol 0xeee6
Jan 1 02:03:58 pppd[392]: Protocol-Reject for unsupported protocol 0x38a9
Jan 1 02:03:59 pppd[392]: Protocol-Reject for unsupported protocol 0xaea1
Jan 1 02:03:59 pppd[392]: Protocol-Reject for unsupported protocol 0x1d
Jan 1 02:03:59 pppd[392]: Protocol-Reject for unsupported protocol 0x1002
Jan 1 02:03:59 pppd[392]: Protocol-Reject for unsupported protocol 0x8c71
Jan 1 02:04:00 pppd[392]: Protocol-Reject for unsupported protocol 0x69
Jan 1 02:04:00 pppd[392]: Protocol-Reject for unsupported protocol 0xf23a
Jan 1 02:04:00 pppd[392]: Protocol-Reject for unsupported protocol 0x77
Jan 1 02:04:00 pppd[392]: Protocol-Reject for unsupported protocol 0x3876
Jan 1 02:04:00 pppd[392]: Protocol-Reject for unsupported protocol 0x7ea7
Jan 1 02:04:00 pppd[392]: Protocol-Reject for unsupported protocol 0x4f
Jan 1 02:04:00 pppd[392]: Protocol-Reject for unsupported protocol 0x15
Jan 1 02:04:01 pppd[392]: Protocol-Reject for unsupported protocol 0xa8
Jan 1 02:04:02 pppd[392]: Protocol-Reject for unsupported protocol 0x31
Jan 1 02:04:02 pppd[392]: Protocol-Reject for unsupported protocol 0x4b
Jan 1 02:04:02 pppd[392]: Protocol-Reject for unsupported protocol 0xd9
Jan 1 02:04:02 pppd[392]: Protocol-Reject for unsupported protocol 0x31
Jan 1 02:04:03 pppd[392]: Protocol-Reject for unsupported protocol 0x6a87
Jan 1 02:04:03 pppd[392]: Protocol-Reject for unsupported protocol 0xd9
Jan 1 02:04:03 pppd[392]: Protocol-Reject for unsupported protocol 0x75
Jan 1 02:04:03 pppd[392]: Protocol-Reject for unsupported protocol 0xac7c
Jan 1 02:04:03 pppd[392]: Protocol-Reject for unsupported protocol 0x8a3c
Jan 1 02:04:03 pppd[392]: Protocol-Reject for unsupported protocol 0xccc9
Jan 1 02:04:03 pppd[392]: Protocol-Reject for unsupported protocol 0x269f
Jan 1 02:04:03 pppd[392]: Protocol-Reject for unsupported protocol 0xbc09
Jan 1 02:04:04 pppd[392]: Protocol-Reject for unsupported protocol 0x780b
Jan 1 02:04:04 pppd[392]: Protocol-Reject for unsupported protocol 0xc9
Jan 1 02:04:04 pppd[392]: Protocol-Reject for unsupported protocol 0xe257
Jan 1 02:04:04 pppd[392]: Protocol-Reject for unsupported protocol 0xc0e2
Jan 1 02:04:04 pppd[392]: Protocol-Reject for unsupported protocol 0xb
Jan 1 02:04:05 pppd[392]: Protocol-Reject for unsupported protocol 0xdb
Jan 1 02:04:05 pppd[392]: Protocol-Reject for unsupported protocol 0xe493
Jan 1 02:04:05 pppd[392]: Protocol-Reject for unsupported protocol 0x91
Jan 1 02:04:05 pppd[392]: Protocol-Reject for unsupported protocol 0x1440
Jan 1 02:04:06 pppd[392]: Protocol-Reject for unsupported protocol 0x36e4
Jan 1 02:04:06 pppd[392]: Protocol-Reject for unsupported protocol 0xdd
Jan 1 02:04:06 pppd[392]: Protocol-Reject for unsupported protocol 0x8d
Jan 1 02:04:06 pppd[392]: Protocol-Reject for unsupported protocol 0x8b
Jan 1 02:04:06 pppd[392]: Protocol-Reject for unsupported protocol 0xcd
Jan 1 02:04:06 pppd[392]: Protocol-Reject for unsupported protocol 0xd7
Jan 1 02:04:06 pppd[392]: Protocol-Reject for unsupported protocol 0x35
Jan 1 02:04:06 pppd[392]: Protocol-Reject for unsupported protocol 0x220f
Jan 1 02:04:06 pppd[392]: Protocol-Reject for unsupported protocol 0xb6f3
Jan 1 02:04:06 pppd[392]: Protocol-Reject for unsupported protocol 0xcec3
Jan 1 02:04:07 pppd[392]: Protocol-Reject for unsupported protocol 0x35
Jan 1 02:04:07 pppd[392]: Protocol-Reject for unsupported protocol 0x7632
Jan 1 02:04:07 pppd[392]: Protocol-Reject for unsupported protocol 0x6f
Jan 1 02:04:07 pppd[392]: Protocol-Reject for unsupported protocol 0x15
Jan 1 02:04:07 pppd[392]: Protocol-Reject for unsupported protocol 0xf0df
Jan 1 02:04:08 pppd[392]: Protocol-Reject for unsupported protocol 0x4662
Jan 1 02:04:08 pppd[392]: Protocol-Reject for unsupported protocol 0x78b6
Jan 1 02:04:08 pppd[392]: Protocol-Reject for unsupported protocol 0xd2b8
Jan 1 02:04:09 pppd[392]: Protocol-Reject for unsupported protocol 0x823c
Jan 1 02:04:09 pppd[392]: Protocol-Reject for unsupported protocol 0x505d
Jan 1 02:04:09 pppd[392]: Protocol-Reject for unsupported protocol 0x11
Jan 1 02:04:09 pppd[392]: Protocol-Reject for unsupported protocol 0x4d
Jan 1 02:04:10 pppd[392]: Protocol-Reject for unsupported protocol 0xd
Jan 1 02:04:10 pppd[392]: Protocol-Reject for unsupported protocol 0x35

Wolfgun
27-05-2009, 07:32
Если сделать как я писал в теме про установку.
Отключение происходит автоматически.
Там же есть решения для ограничения скорости для каждого клиента.
Так же можно ограничить скорость подлючения параметром speed в pptpd.conf
Почитайте тему про установку PopTop

lsd_wiz
29-05-2009, 22:15
сделал так как в скрипте. но не всё так гладко как хотелось.
кароч трабла вот такая при подключении удалённого юзверя, срабатывает скрипт который сбрасывеат и создаёт свои правила в цепочках iptables, при которых нечего не работает. рыпнулся поправить /tmp/ppp/ip_up. а там не скрипт, а ELF.

Break Action
08-06-2009, 20:59
Уважаемые Гуру,
помогите плз, часто после ребута получаю вот такое в логах

openvpn[224]: OpenVPN 2.1_rc15 mipsel-linux [SSL] [LZO1] [EPOLL] built on Feb 23 2009
openvpn[224]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
openvpn[224]: WARNING: file '/tmp/local/etc/certificates/XXX.key' is group or others accessible
openvpn[224]: LZO compression initialized
openvpn[224]: Control Channel MTU parms [ L:1642 D:128 EF:48 EB:0 ET:0 EL:0 ]
openvpn[224]: Data Channel MTU parms [ L:1442 D:1470 EF:12 EB:125 ET:0 EL:0 AF:3/1 ]
openvpn[224]: Local Options hash (VER=V4): '41691919'
openvpn[224]: Expected Remote Options hash (VER=V4): '531fdded'
openvpn[226]: Socket Buffers: R=[117520->131172] S=[117520->131172]
openvpn[226]: UDPv4 link local: [undef]
openvpn[226]: UDPv4 link remote: 94.221.205.12:443
openvpn[226]: TLS: Initial packet from 94.221.205.12:443, sid=2448351a 82300b59
openvpn[226]: VERIFY ERROR: depth=1, error=certificate is not yet valid: /C=TJ/ST=NA/L=Norilsk/O=OpenVPN-Bubeba/CN=CA/emailAddress=account@mail.com
openvpn[226]: TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
openvpn[226]: TLS Error: TLS object -> incoming plaintext read error
openvpn[226]: TLS Error: TLS handshake failed
openvpn[226]: TCP/UDP: Closing socket
openvpn[226]: SIGUSR1[soft,tls-error] received, process restarting
openvpn[226]: Restart pause, 2 second(s)
openvpn[226]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
openvpn[226]: Re-using SSL/TLS context
openvpn[226]: LZO compression initialized
openvpn[226]: Control Channel MTU parms [ L:1642 D:128 EF:48 EB:0 ET:0 EL:0 ]
openvpn[226]: Data Channel MTU parms [ L:1442 D:1470 EF:12 EB:125 ET:0 EL:0 AF:3/1 ]
openvpn[226]: Local Options hash (VER=V4): '41690919'
openvpn[226]: Expected Remote Options hash (VER=V4): '531fdded'
openvpn[226]: Socket Buffers: R=[117520->131172] S=[117520->131172]
openvpn[226]: UDPv4 link local: [undef]
openvpn[226]: TLS Error: Unroutable control packet received from 94.221.205.12:443 (si=3 op=P_CONTROL_V1)
openvpn[226]: TLS Error: Unroutable control packet received from 94.221.205.12:443 (si=3 op=P_CONTROL_V1)
openvpn[226]: TLS Error: Unroutable control packet received from 94.221.205.12:443 (si=3 op=P_CONTROL_V1)
openvpn[226]: TLS Error: Unroutable control packet received from 84.94.221.205.12:443 (si=3 op=P_CONTROL_V1)
openvpn[226]: TLS: Initial packet from 94.221.205.12:443, sid=6158418d a2021d0c
openvpn[226]: VERIFY ERROR: depth=1, error=certificate is not yet valid: /C=TJ/ST=NA/L=Norilsk/O=OpenVPN-Bubeba/CN=CA/emailAddress=account@mail.com
openvpn[226]: TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
openvpn[226]: TLS Error: TLS object -> incoming plaintext read error
openvpn[226]: TLS Error: TLS handshake failed
openvpn[226]: TCP/UDP: Closing socket
openvpn[226]: SIGUSR1[soft,tls-error] received, process restarting
openvpn[226]: Restart pause, 2 second(s)
И соответственно нет коннекта, к серверу. Перезапуск openvpn'а не приводит к желаемому результату.
При этом, таже настройка и теже сертификаты прекрасно работают на стационарном компе. И коннект происходит с первого раза.

Помогите плз разобраться в проблеме. Так как приходиться до 10ти раз ребктить коробочку, для получения желаемого результата.

Break Action
08-06-2009, 23:08
Очень прошу помочь, так как это стало происходить примерно с месяц, и каждый ребут сопровождается, жуткой процедурой ребутов.

gergo
09-06-2009, 01:17
[QUOTE=Break Action;148516]Уважаемые Гуру,
помогите плз,
[QUOTE]
Проверьте, похоже у Вас экспариться сертификат, если сертификат гарантировано не просроченный, проверьте во время сбоя дату и время на железке, при сильном расхождении в любую сторону с сервером OpenVPN симптомы обычно аналогичные.

Break Action
13-06-2009, 23:57
Огромное спасибо, вы действительно правы. Как только поставил, при загрузке запуск проверки времени, перед стартом OpenVPN, все стало нормально.

v01d.cmd
22-06-2009, 02:27
Доброго времни суток.

Хотелось бы спросить о нормальном внедрении pptp servera в Олеговскую прошивку. Совместимого как с Windows так и с Mac OS. Или варианта типа установил пакет и вот те пожайлусто новый пункт в Web-интерфейсe. Слышал о POPTOP и OpenVPN, (прошу меня простить) но:
1) танцы с бубном в командной строке меня не прельщают;
2) не все это совместимо с виндовзким клиентом по умолчанию;
3) видел несколько веток в форуме по тематике но готового решения - нет.

С одной стороны хотелось простить Олега о такой возможности.
С другой внести свой собственный вклад в это дело.

Wolfgun
22-06-2009, 06:36
Слышал о POPTOP и OpenVPN, (прошу меня простить) но:
1) танцы с бубном в командной строке меня не прельщают;
2) не все это совместимо с виндовзким клиентом по умолчанию;
3) видел несколько веток в форуме по тематике но готового решения - нет.


А чем Вас не устраивают данные сервера.
К тому же POPTOP это pptpd server совместимый с клиентом от microsoft.
Если вы считаете что нет готовых решений делайте сами, ни кто вам этого не запрещает.

С другой внести свой собственный вклад в это дело.
Тем более Вы сами на это готовы.


Или варианта типа установил пакет и вот те пожайлусто новый пункт в Web-интерфейсe.

Вам не на этом форуме надо писать. Если выхотите Web GUI welcom to the DD-WRT!!!

sh00ter
04-07-2009, 22:44
Здравствуйте, гуглил по форуму - не нашел ответа на свой вопрос, который заключается в слудующем:

есть роутер dir320, прошит прошивкой: 1.9.2.7-d-r381

поставил с помощью ipkg openvpn

закинул файлы с сертификатами и конфигом client.ovpn

запускаю:

openvpn client.ovpn

в итоге ссоединение не устанавливается, вываливается ошибка:

Sat Jul 4 21:30:01 2009 Note: Cannot open TUN/TAP dev /dev/net/tun: No such file or directory (errno=2)
Sat Jul 4 21:30:01 2009 Note: Attempting fallback to kernel 2.2 TUN/TAP interface
Sat Jul 4 21:30:01 2009 Cannot open TUN/TAP dev /dev/tun0: No such file or directory (errno=2)
Sat Jul 4 21:30:01 2009 Exiting


идея в следующем. роутер выходит в инет через МТС Коннект, нужно сделать, чтобы после этого он устанавливал ссоединение по OpenVPN и все кто подключались к роутеру получали инет ТОЛЬКО через этот тунель.

Не большой спец в линухе и т.д. поэтому куда копать не знаю.
сильно не пинайте.
заранее спасибо.

Break Action
04-07-2009, 23:55
Перед запуском OpenVPN'а запустите комманду /sbin/insmod /opt/lib/modules/tun.o

sh00ter
05-07-2009, 00:16
Спасибо, помогло.
только по тому пути модуля у меня не оказалось, запустил так:
/sbin/insmod /lib/modules/2.4.37.2/tun.o

вроде бы ссоединяется теперь VPN, но еще возникло два вопроса.

DNS сервер не выдается по VPN.
как мне вручную прописать DNS который должен использоваться после подключения к VPN ?

я так понимаю - автоматически не будет на сеть раздаваться этот инет, после подключения к VPN.

как сделать, чтобы раздавался?

rootik
08-07-2009, 11:53
сабж реализуем? будет два провайдера, один основной другой обычный, внутряняя сетка сохраняется, и нужна балансировка канала, как пнимаю лиент openvpn на нем подняь можно, а как дело обстоит с ospf и двумя провайдерами? просто через одного провайдера тунель будет, а через другого провайдера впн тунель не нвужен и он идет через модем

AndreyPopov
08-07-2009, 12:08
сабж реализуем? будет два провайдера, один основной другой обычный, внутряняя сетка сохраняется, и нужна балансировка канала, как пнимаю лиент openvpn на нем подняь можно, а как дело обстоит с ospf и двумя провайдерами? просто через одного провайдера тунель будет, а через другого провайдера впн тунель не нвужен и он идет через модем

ospf, балансировка канала и OpenVPN по умолчанию доступны в прошивке DD-WRT.

тоже самое можно сделать и на прошивке Олега, но только через консоль. в оригинальной прошивке Олега кстати к ядру не применены патчи, которые позволяют делать балансировку. правда команда энтузиастов вроде хотела их применить в своей прошивке.

в DD-WRT тоже придется обратиться к консоле, а точнее сделать нужные скрипты, но 80% то что вам надо уже доступно через Web интерфейс.

a.polyak
28-07-2009, 18:05
Вообще можно ли это сделать? Имеется роутер Asus WL-500g premium.

Я знаю только как порт-форвардингом перенаправлять на какое-либо сетевое устройство, предварительно на нем открыв 80 порт.

Конечная цель - заходить извне в домашнюю сеть и что-нибудь копировать оттуда/туда. Удаленный рабочий стол не подходит.

reagentoo
28-07-2009, 18:15
Вообще можно ли это сделать? Имеется роутер Asus WL-500g premium.

Я знаю только как порт-форвардингом перенаправлять на какое-либо сетевое устройство, предварительно на нем открыв 80 порт.

Конечная цель - заходить извне в домашнюю сеть и что-нибудь копировать оттуда/туда. Удаленный рабочий стол не подходит.

На домашнем компе ставишь сервер фтп и пробрасываешь 20-21 порты.

a.polyak
28-07-2009, 18:30
На домашнем компе ставишь сервер фтп и пробрасываешь 20-21 порты.

Домашняя сеть это еще и сетевые харды. на них как я попаду?

smi
28-07-2009, 18:32
Домашняя сеть это еще и сетевые харды. на них как я попаду? Поиск по ключевым словам OpenVPN или POPTOP, должет вам помочь!

reagentoo
28-07-2009, 18:36
Домашняя сеть это еще и сетевые харды. на них как я попаду?

Пробрасываешь порты на IP сетевых хардов. А если надо чтоб было фтп на двух компах одновременно, надо поменять номера портов и пробрасывать на них.

a.polyak
28-07-2009, 18:41
Поиск по ключевым словам OpenVPN или POPTOP, должет вам помочь!


OPENVPN не хотелось бы ставить ввиду этой статьи, http://ylsoftware.com/?action=news&na=viewfull&news=407&from=rss

т.е. копьютеры клиентские под виндовс. и не нужно их перенастраивать а просто поднять PPTP подключение.
Можно как-то настроить PPTP подкл.?

smi
28-07-2009, 18:53
OPENVPN не хотелось бы ставить ввиду этой статьи, http://ylsoftware.com/?action=news&na=viewfull&news=407&from=rss

т.е. копьютеры клиентские под виндовс. и не нужно их перенастраивать Статья от чайника :D Компы не надо настраивать, сконфигурированного клиента OpenVPN, нужно скопировать на соотвествующий комп и сделать ярлычек, а можно держать на флешке и запускать его от туда.


а просто поднять PPTP подключение. А вот это, на мой взгляд, уже пренастройка :D



Можно как-то настроить PPTP подкл.? Тогда поиск по POPTOP!

a.polyak
28-07-2009, 19:25
Спасибо, smi.

Думаю, при настройке появится куча вопросов. Даже самый банальный: у меня флешка 128 Мб и она не форматируется в ext3. Она подойдет?

AndreyPopov
28-07-2009, 20:11
Спасибо, smi.

Думаю, при настройке появится куча вопросов. Даже самый банальный: у меня флешка 128 Мб и она не форматируется в ext3. Она подойдет?

почему вы это решили, что не форматируется в ext3?

если компы виндовые, то самый лучший вариант поставить server и воспользоваться функцией Dfs (distributed file system - распределенная файловая система) - она позволяеят объединить в одной папке ресурсы разных компов.

а потом сделать доступ к этой ОБЩЕЙ папке по ftp.

a.polyak
28-07-2009, 20:19
почему вы это решили, что не форматируется в ext3?

если компы виндовые, то самый лучший вариант поставить server и воспользоваться функцией Dfs (distributed file system - распределенная файловая система) - она позволяеят объединить в одной папке ресурсы разных компов.

а потом сделать доступ к этой ОБЩЕЙ папке по ftp.


я почему-то не смог сформатировать в ext3. прога - партишн меджик.

server это сложно. по-моему проще купить другой роутер с поддержкой vpn endpoint и не парится. Все-равно не смогу настроить хоть openvpn хоть poptop - плюс он еще и не стабильно работает - на 4-ый раз коннектится.

AndreyPopov
28-07-2009, 20:21
я почему-то не смог сформатировать в ext3. прога - партишн меджик.

server это сложно. по-моему проще купить другой роутер с поддержкой vpn endpoint и не парится. Все-равно не смогу настроить хоть openvpn хоть poptop - плюс он еще и не стабильно работает - на 4-ый раз коннектится.

сервер это как раз просто, вам от него только и нужен dfs

а с vpn вы намучаетесь и скорость потеряете.

a.polyak
28-07-2009, 20:25
сервер это как раз просто, вам от него только и нужен dfs

Спасибо, Андрей, но я думаю что остановлюсь на VPN. а с флешкой беда. наверное она устарела и поэтому форматируется. )

AndreyPopov
28-07-2009, 20:32
Спасибо, Андрей, но я думаю что остановлюсь на VPN. а с флешкой беда. наверное она устарела и поэтому форматируется. )

дело не в старости флэшки. в рекомендациях Олега по настройте вообще фигурирует 9Мб флэшка.

reagentoo
28-07-2009, 20:36
Спасибо, Андрей, но я думаю что остановлюсь на VPN. а с флешкой беда. наверное она устарела и поэтому форматируется. )

Форматировать надо прогой gparted из под линукса. если кроме винды ничего нет, то качай лайф-сд с gparted'ом http://partedmagic.com/

a.polyak
28-07-2009, 20:43
сервер это как раз просто, вам от него только и нужен dfs

а с vpn вы намучаетесь и скорость потеряете.

минуточку, а что значит я потеряю скорость?

smi
28-07-2009, 21:14
минуточку, а что значит я потеряю скорость? Андрей имеет ввиду, что на шифрование в VPN тратится много ресурсов процессора, а в роутере процессор слабенький, т.ч. предельная скорость будет, я думаю в пределах ~10Мбит (сильно зависит от того как вы к Инету подключаетесь).

VPN (+) - Полный доступ к своей локалке, т.е. можно делать все что душе угодно.
VPN (-) - Надо разобраться с инсталяцией и настройкой, и ресурсы роутера не резиновые :(

AndreyPopov
28-07-2009, 21:57
Форматировать надо прогой gparted из под линукса. если кроме винды ничего нет, то качай лайф-сд с gparted'ом http://partedmagic.com/
да отформатировать можно и средствами роутера, если прошивка Олега!


минуточку, а что значит я потеряю скорость? - как уже сказали именно в скорости маршрутизации и потеряете.

реальная скорость маршрутизации около 30Мбит/с (на роутерах этого класа), при поднятии VPN за счет шифрации/дешифрации трафика вы получите максимум 8Мбит/с

Germes
29-07-2009, 10:03
Почитайте http://wl500g.info/showthread.php?t=12833
Сам эти способом давно успешно пользуюсь.

a.polyak
02-08-2009, 15:33
Я прочел пост vectorm что локальные ресурсы извне по VPN не будут видны. Это правда?

http://www.wl500g.info/showthread.php?t=19233&highlight=%E2%E8%E4%ED%FB+%F1%E5%F2%E8

smi
02-08-2009, 15:45
Я прочел пост vectorm что локальные ресурсы извне по VPN не будут видны. Это правда? :eek: Интересно и, где вы там такое сумели прочитать? :D
Там речь вообще о другом :cool: Некоторые, знаете ли, к Интернету подключаются через VPN :cool:

a.polyak
02-08-2009, 15:46
Germes, прочел статью.
Как пользоваться этим если необходимо использовать все устройства в локальной сети, т.е. чтобы они были видны в сетевом окружении?

a.polyak
02-08-2009, 15:54
:eek: Интересно и, где вы там такое сумели прочитать? :D
Там речь вообще о другом :cool: Некоторые, знаете ли, к Интернету подключаются через VPN :cool:

smi, значит я неправильно понял. Ок, если к инету через VPN - вопросов нет.
Посмотрите, прочел комментарий в яндексе человека который пользуется Wl-520GU, ник quadelectric http://market.yandex.ru/model-opinions.xml?modelid=1039509&hid=723087:
Комментарий: Использую больше года, все хорошо кроме описанного недостатка. Инет у меня от велнет (соединение по vpn), скорость канала 15 мб/c, максимум скорости который выдаст этот роутер это 3мб/c на каждый порт, то есть скачивать все равно с какого порта максимум можно на скорости 300кб/c. Звонил в службу поддержки асус, признались что у их роутеров есть такая проблема. Не поленитесь позвоните сначала в асус, потом покупайте.

Вопрос такой, роутер ограничивает и vpn-endpoint??

a.polyak
02-08-2009, 16:01
почему вы это решили, что не форматируется в ext3?

если компы виндовые, то самый лучший вариант поставить server и воспользоваться функцией Dfs (distributed file system - распределенная файловая система) - она позволяеят объединить в одной папке ресурсы разных компов.

а потом сделать доступ к этой ОБЩЕЙ папке по ftp.

Что вы имеете в виду "server"? Это обычный сервак в локалке поставить?

smi
03-08-2009, 10:48
Посмотрите, прочел комментарий в яндексе человека который пользуется Wl-520GU, ник quadelectric http://market.yandex.ru/model-opinions.xml?modelid=1039509&hid=723087: Пишет сервис не доступен.


Комментарий: Использую больше года, все хорошо кроме описанного недостатка. Инет у меня от велнет (соединение по vpn), скорость канала 15 мб/c, максимум скорости который выдаст этот роутер это 3мб/c на каждый порт, то есть скачивать все равно с какого порта максимум можно на скорости 300кб/c. Звонил в службу поддержки асус, признались что у их роутеров есть такая проблема. Не поленитесь позвоните сначала в асус, потом покупайте.

Вопрос такой, роутер ограничивает и vpn-endpoint?? Роутер ничего не ограничивает, просто процессор в нем не очень мощный, и может не справляться. Да и VPNы разные бывают! И при разных настройках разная предельная скорость. Если VPN - PPTP с шифрованием, то много от роутера не получить. Но что-то мне кажется у людей всеже было побольше 3Мбит, если интересно поищите по форуму!

vectorm
03-08-2009, 15:50
Комментарий: Использую больше года, все хорошо кроме описанного недостатка. Инет у меня от велнет (соединение по vpn), скорость канала 15 мб/c, максимум скорости который выдаст этот роутер это 3мб/c на каждый порт, то есть скачивать все равно с какого порта максимум можно на скорости 300кб/c. Звонил в службу поддержки асус, признались что у их роутеров есть такая проблема. Не поленитесь позвоните сначала в асус, потом покупайте.

Вопрос такой, роутер ограничивает и vpn-endpoint??
У меня на PPTP VPN роутер прокачивал 18 Мб/с.
Но у меня полноценный Premium v.1, всякие 520 больше 3 Мб/с не выдадут - "железо" слабое.

AndreyPopov
03-08-2009, 16:04
Что вы имеете в виду "server"? Это обычный сервак в локалке поставить?
win2k3 сервер или home server 2008.

BcTpe4HbIu
03-08-2009, 19:34
win2k3 сервер или home server 2008.

Ubuntu Server :eek::eek::eek: :D

a.polyak
03-08-2009, 20:05
У меня на PPTP VPN роутер прокачивал 18 Мб/с.
Но у меня полноценный Premium v.1, всякие 520 больше 3 Мб/с не выдадут - "железо" слабое.

Premium v.1 - это такой же как и у меня? WL-500G Premium? он мощнее будет чем 520?

a.polyak
03-08-2009, 20:11
да отформатировать можно и средствами роутера, если прошивка Олега!

- как уже сказали именно в скорости маршрутизации и потеряете.

реальная скорость маршрутизации около 30Мбит/с (на роутерах этого класа), при поднятии VPN за счет шифрации/дешифрации трафика вы получите максимум 8Мбит/с

У меня прошивка от Олега. 1.9.2.7-8.15. Вроде все стабильно. Иногда пишет Lost Ip from Server, ну это, я думаю, сам роутер такой.

Правильно ли я понимаю, что если извне по ВПН через ОпенВПН, то скорость максимум будет 8 Мб/с, и изнутри одновременно, LAN - WAN скорость будет 30 Мб/с, если позволяет провайдер?? либо изнутри тоже будет 8 мб/с?

И еще, если провайдет дает 50 мегабит скорость, роутер просто не потянет? максимум на 30-ти будет?

Omega
03-08-2009, 21:15
У меня прошивка от Олега. 1.9.2.7-8.15. Вроде все стабильно.
Иногда пишет Lost Ip from Server, ну это, я думаю, сам роутер такой.
И сколько она уже стоит ? :confused: Срочно меняйте на новую ... :D

http://wl500g.info/showpost.php?p=153565&postcount=1297 :cool:

Premium v.1 - это такой же как и у меня? WL-500G Premium?
На всякий случай проверьте блок питания роутера под нагрузкой ... ;)

AndreyPopov
03-08-2009, 22:28
Ubuntu Server :eek::eek::eek: :D

да все равно какой, просто если в сети компы с виндой, то все же лучше windows server.
можно было бы тоже самое и на роутере сделать, если бы он виндовые шары понимал.



И еще, если провайдет дает 50 мегабит скорость, роутер просто не потянет? максимум на 30-ти будет?
теоретически скорость маршрутизации может достичь 70Мбит/с - это когда производится ТОЛЬКО маршрутизация и роутер больше ничем другим не занят.
а потом начинается:
- nat/firewall с фильтрами
- другие приложения

a.polyak
05-08-2009, 20:26
Перепрошил я свой роутер до 10-ой прошивки. Больше, по-моему, ни на что не способен )
Начал настраивать роутер по Durak Edition.

Сразу вопрос: флешка должна быть уже вставлена или еще нет?
Я дошел до г) первого пункта "исправляем низкую скорость PPTP (и не только)"

Вроде все делаю как написано, вставляю код

#!/bin/sh
iptables -t nat -nvL POSTROUTING | grep MASQUERADE | awk '{
"ifconfig "$7" | grep Mask" | getline ip;
split(ip,ip,":"); split(ip[2],ip," ");
split($8,src,"!");
if (src[1]=="") {src="! -s "src[2]} else {src="-s "src[1]};
if ($9=="0.0.0.0/0") {dst=""} else {dst="-d "$9};
system("iptables -t nat -A POSTROUTING -o "$7" "src" "dst" -j SNAT --to-source "ip[1]);
system("iptables -t nat -D POSTROUTING -o "$7" "src" "dst" -j MASQUERADE");
}'

нажимаю экскейп, потом :wq (что такое "сохраняем" зеленым сразу после этого кода я не знаю), дальше все делаю, захожу после перезагрузки у меня MASQUERADE !!!! Причем я заходу опять в этот редактор и код вставленный остается !! значит сохранено ведь!

Дальше, как проверить сохранился ли переход на зимнее время?? все сделал но проверить не могу.

a.polyak
05-08-2009, 20:48
[admin@WL-001D609DAB75 root]$ /sbin/swapon /dev/scsi/host0/bus0/target0/lun0/par t2
swapon: Can't stat '/dev/scsi/host0/bus0/target0/lun0/part2': No such file or di rectory


Не могу отформатировать флешку средствами роутера. Даже создать своп не могу. Что делать?

a.polyak
05-08-2009, 21:02
[admin@WL-001D609DAB75 root]$ mke2fs -j /dev/scsi/host0/bus0/target0/lun0/part1
mke2fs 1.38 (30-Jun-2005)
mke2fs: Could not stat /dev/scsi/host0/bus0/target0/lun0/part1: No such file or directory
[admin@WL-001D609DAB75 root]$


Что делать?

smi
05-08-2009, 22:17
[admin@WL-001D609DAB75 root]$ /sbin/swapon /dev/scsi/host0/bus0/target0/lun0/par t2
swapon: Can't stat '/dev/scsi/host0/bus0/target0/lun0/part2': No such file or di rectory

Не могу отформатировать флешку средствами роутера. Даже создать своп не могу. Что делать?
1. Внимательно читать и думать.
2. Вывод fdisk -l
3. swapon не создает своп, а подключает созданый. Своп создает mkswap

a.polyak
14-08-2009, 14:58
1. Внимательно читать и думать.
2. Вывод fdisk -l
3. swapon не создает своп, а подключает созданый. Своп создает mkswap

smi, объясните как отформатировать флешку средствами роутера? Те команды не работают - не находит директории

fdisk вот что дал

[apolyak@WL-001D609DAB75 root]$ fdisk -l

Disk /dev/scsi/host0/bus0/target0/lun0/disc: 130 MB, 130809856 bytes
5 heads, 50 sectors/track, 1021 cylinders
Units = cylinders of 250 * 512 = 128000 bytes

Device Boot Start End Blocks Id System
/dev/scsi/host0/bus0/target0/lun0/part1 ? 3112544 7678583 570754815+ 72 Unknown
Partition 1 has different physical/logical beginnings (non-Linux?):
phys=(357, 116, 40) logical=(3112543, 3, 9)
Partition 1 has different physical/logical endings:
phys=(357, 32, 45) logical=(7678582, 0, 39)
Partition 1 does not end on cylinder boundary.
/dev/scsi/host0/bus0/target0/lun0/part2 ? 674759 8418872 968014120 65 Unknown
Partition 2 has different physical/logical beginnings (non-Linux?):
phys=(288, 115, 43) logical=(674758, 0, 23)
Partition 2 has different physical/logical endings:
phys=(367, 114, 50) logical=(8418871, 0, 12)
Partition 2 does not end on cylinder boundary.
/dev/scsi/host0/bus0/target0/lun0/part3 ? 7479526 15223639 968014096 79 Unknown
Partition 3 has different physical/logical beginnings (non-Linux?):
phys=(366, 32, 33) logical=(7479525, 4, 16)
Partition 3 has different physical/logical endings:
phys=(357, 32, 43) logical=(15223638, 3, 7)
Partition 3 does not end on cylinder boundary.
/dev/scsi/host0/bus0/target0/lun0/part4 ? 1 18446744073706920654 18446744073380681216 d Unknown
Partition 4 has different physical/logical beginnings (non-Linux?):
phys=(372, 97, 50) logical=(0, 0, 1)
Partition 4 has different physical/logical endings:
phys=(0, 10, 0) logical=(14548905, 4, 46)
Partition 4 does not end on cylinder boundary.

Partition table entries are not in disk order

MCMaG
13-11-2009, 18:05
Вкратце собираюсь на маршрутизаторе Asus 500GPv2 поднять OpenVPN, для того чтобы с друзьями играть в игры, и, если возможно, для создания домашней группы (простое расшаривание файлов, без использования FTP и DC++). Находимся в одной сети маски 10.*.*.*., у каждого разный шлюз и разный сегмент, все находимся за маршрутизаторами. У меня имеется внешний постоянный ip и интернет через VPN PPTP.
Пробовал сам настроить, ничего не получилось. Пытался настроить посредством FAQ на сайте openvpn.net

Похожей темы не нашел в поиске, нашел только эту тему (http://wl500g.info/showthread.php?t=8880), но тут ситуация другая

Less
13-11-2009, 18:28
лучше - LogMeIn Hamachi (https://secure.logmein.com/products/hamachi2/)

MCMaG
13-11-2009, 18:58
лучше - LogMeIn Hamachi (https://secure.logmein.com/products/hamachi2/)
Всякие хамачи и лангеймы не предлагать. Работают они, мягко говоря, через одно место.

walkera
27-11-2009, 19:42
Ситуация такая.. значит на роутере впн клиент поднимается...
И трафф из консоли уже идет через впн...
делаю wget http://2ip.ru и вижу в файле ip впна....

а вот на лане - тишина.. инета нет..
видно с маршрутами нужно чтото замутить...
пробывал стандартные что пишут на форуме не помогает...
прилагаю все логи..

before vpn:

Destination Gateway Genmask Flags Metric Ref Use Iface
213.180.204.8 192.168.0.1 255.255.255.255 GH 0 0 0 WAN eth1
192.168.0.1 * 255.255.255.255 UH 0 0 0 WAN eth1
192.168.0.0 * 255.255.255.0 U 0 0 0 LAN br0
192.168.0.0 * 255.255.255.0 U 0 0 0 WAN eth1
default 192.168.0.1 0.0.0.0 UG 0 0 0 WAN eth1


after vpn connection:

Destination Gateway Genmask Flags Metric Ref Use Iface
10.10.0.1 10.10.0.21 255.255.255.255 UGH 0 0 0 WAN tun0
66.148.67.13 192.168.0.1 255.255.255.255 UGH 0 0 0 WAN eth1
10.10.0.21 * 255.255.255.255 UH 0 0 0 WAN tun0
192.168.0.1 * 255.255.255.255 UH 0 0 0 WAN eth1
192.168.0.0 * 255.255.255.0 U 0 0 0 LAN br0
192.168.0.0 * 255.255.255.0 U 0 0 0 WAN eth1
default 10.10.0.21 128.0.0.0 UG 0 0 0 WAN tun0
128.0.0.0 10.10.0.21 128.0.0.0 UG 0 0 0 WAN tun0
default 192.168.0.1 0.0.0.0 UG 0 0 0 WAN eth1


diagnostic info:


Interfaces

br0 Link encap:Ethernet HWaddr 00:22:15:2B:60:42
inet addr:192.168.0.2 Bcast:192.168.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:285 errors:0 dropped:0 overruns:0 frame:0
TX packets:219 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:22675 (22.1 KiB) TX bytes:37808 (36.9 KiB)

eth0 Link encap:Ethernet HWaddr 00:22:15:2B:60:42
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:285 errors:0 dropped:0 overruns:0 frame:0
TX packets:1548 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:28945 (28.2 KiB) TX bytes:126603 (123.6 KiB)
Interrupt:4 Base address:0x1000

eth1 Link encap:Ethernet HWaddr 00:22:15:2B:60:42
inet addr:192.168.0.111 Bcast:192.168.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:475 errors:0 dropped:0 overruns:0 frame:45432
TX packets:489 errors:1 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:46916 (45.8 KiB) TX bytes:62552 (61.0 KiB)
Interrupt:13 Base address:0x5000

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MULTICAST MTU:16436 Metric:1
RX packets:1524 errors:0 dropped:0 overruns:0 frame:0
TX packets:1524 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:129864 (126.8 KiB) TX bytes:129864 (126.8 KiB)

tun0 Link encap:Point-Point Protocol
inet addr:10.10.0.22 P-t-P:10.10.0.21 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:900 (900.0 B)

vlan0 Link encap:Ethernet HWaddr 00:22:15:2B:60:42
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:285 errors:0 dropped:0 overruns:0 frame:0
TX packets:864 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:23815 (23.2 KiB) TX bytes:79964 (78.0 KiB)

vlan1 Link encap:Ethernet HWaddr 00:22:15:2B:60:42
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:684 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:46639 (45.5 KiB)



Routing Table

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.10.0.1 10.10.0.21 255.255.255.255 UGH 0 0 0 tun0
66.148.67.13 192.168.0.1 255.255.255.255 UGH 0 0 0 eth1
10.10.0.21 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.0.1 0.0.0.0 255.255.255.255 UH 0 0 0 eth1
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 10.10.0.21 128.0.0.0 UG 0 0 0 tun0
128.0.0.0 10.10.0.21 128.0.0.0 UG 0 0 0 tun0
0.0.0.0 192.168.0.1 0.0.0.0 UG 0 0 0 eth1


ARP Table

IP address HW type Flags HW address Mask Device
192.168.0.1 0x1 0x2 00:22:15:7F:7C:41 * eth1
192.168.0.20 0x1 0x2 00:1D:BA:39:35:7C * br0


IP Tables

Chain INPUT (policy ACCEPT 2235 packets, 189K bytes)
pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 2193 packets, 212K bytes)
pkts bytes target prot opt in out source destination


IP Tables NAT

Chain PREROUTING (policy ACCEPT 19 packets, 2202 bytes)
pkts bytes target prot opt in out source destination
0 0 VSERVER all -- * * 0.0.0.0/0 192.168.0.111
0 0 NETMAP udp -- * * 0.0.0.0/0 192.168.0.111 udp spt:6112 192.168.0.0/24

Chain POSTROUTING (policy ACCEPT 199 packets, 15074 bytes)
pkts bytes target prot opt in out source destination
0 0 NETMAP udp -- * * 192.168.0.0/24 0.0.0.0/0 udp dpt:6112 192.168.0.111/32
0 0 MASQUERADE all -- * eth1 !192.168.0.111 0.0.0.0/0
0 0 MASQUERADE all -- * br0 192.168.0.0/24 192.168.0.0/24

Chain OUTPUT (policy ACCEPT 199 packets, 15074 bytes)
pkts bytes target prot opt in out source destination

Chain VSERVER (1 references)
pkts bytes target prot opt in out source destination



Подскажите каких маршрутов нехватает.. дело в них как я понимаю...
пробывал вот эти..
$iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
$iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
$iptables -I INPUT -i tun0 -p tcp --dport 80 -j ACCEPT
реакции ноль....

но сам vpn Работает точно работает...

лишь не раздаются маршруты дальше как надо..

помогите пожалуйста... уже весь мозг себе сломал...

// спасибо

ps: точка работает в режиме бриджа, берет интернет с другого вайфая и раздает по лану.. Прошивка олега...

Lupo_Alberto
27-11-2009, 19:47
?


iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

walkera
27-11-2009, 21:24
Спасибо большое!! Заработало! :)

подскажите еще плиз...

как зароутить так... чтобы только через впн был доступ в инет всем юзерам?
а остальное все блочилось чтобы...

для случаев разрывов связи с впном хочу сделать..
чтобы небыло видно реальный айпи....



?


iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

bvv
16-02-2010, 10:37
Добрый день.

помогите разобраться с причиной: openvpn при запуске не инициализирует интерфейс tun0, в системный лог пишется сообщение в момент загрузки модуля tun.o из стартового скрипта вида:

kernel: Universal TUN/TAP device driver 1.5 (C)1999-2002 Maxim Krasnyansky
kernel: devfs_register(net/tun): could not append to parent, err: -17

Роутер: Asus WL-500gP V2
Прошивка: WL500gpv2-1.9.2.7-d-r1087.trx

mkdir /dev/net
mknod /dev/net/tun c 10 200
- делал...

OlegaVB
16-02-2010, 10:47
У меня в post-boot загружается

if ( [ ! -c /dev/net/tun ] ) then
# Make /dev/net directory if needed
if ( [ ! -d /dev/net ] ) then
mkdir -m 755 /dev/net
fi
mknod /dev/net/tun c 10 200
fi

# Make sure the tunnel driver is loaded
if ( !(lsmod | grep -q "^tun") ); then
insmod tun.o
fi


Посмотрел в логи, та же ошибка, но работает

Jan 1 05:00:22 kernel: Universal TUN/TAP device driver 1.5 (C)1999-2002 Maxim Krasnyansky
Jan 1 05:00:22 kernel: devfs_register(net/tun): could not append to parent, err: -17

hungry
26-03-2010, 22:08
мне тоже интересно как ето сделать

SkyDevil
26-03-2010, 22:43
посмотрите, вроде то http://wl500g.info/showpost.php?p=51624&postcount=1

yuraz
20-03-2011, 13:02
Добрый день подскажите пожалуйста

есть два раутера в разных городах
у каждого раутера свой интернет
нужно соединить две сетки в одну !

только для того что бы машины двух сетей видели друг друга

а также что бы раутер без белого IP ( имеется ввиду 10.10.96.59 )
мог через dyndns видеться из интернета


видимо нужно на одном раутере поднять OpenVPN сервер на другом
клиента

есть ли пошаговое руководство для моего случая

FilimoniC
21-03-2011, 07:47
Смотреть сюда http://www.sergeysl.ru/freebsd-openvpn-x509/

yuraz
21-03-2011, 09:04
Смотреть сюда http://www.sergeysl.ru/freebsd-openvpn-x509/

Спасибо!

прочитал - сгенерировал ключи поставил OpenVPN
как server и client
помогите плиз еще
вроде софт встал - НО НЕ ЗАРАБОТАЛО


на оба девайса поставил OpenVPN

1- Client - ( который получает серый IP 10.10.96.59 )

перевел адрес на 192.168.2.1


2- тут просто поставил OpenVPN как сервер


---

лог с раутера Server
\opt\var\log\syslog-ng.log



11:19:05 21-03-2011 (notice|user|rc.unslung) rc.unslung: start service /opt/etc/init.d/S20openvpn
11:19:05 21-03-2011 (debug|daemon|xinetd) xinetd[181]: Reading included configuration file: /opt/etc/xinetd.d/openvpn [file=/opt/etc/xinetd.conf] [line=15]
11:19:05 21-03-2011 (debug|daemon|xinetd) xinetd[181]: Reading included configuration file: /opt/etc/xinetd.d/swat [file=/opt/etc/xinetd.d/swat] [line=26]
11:19:05 21-03-2011 (notice|daemon|xinetd) xinetd[181]: xinetd Version 2.3.14 started with no options compiled in.
11:19:05 21-03-2011 (notice|daemon|xinetd) xinetd[181]: Started working: 2 available services
11:19:05 21-03-2011 (info|kern|kernel) Universal TUN/TAP device driver 1.5 (C)1999-2002 Maxim Krasnyansky
11:19:05 21-03-2011 (err|kern|kernel) devfs_register(net/tun): could not append to parent, err: -17



вот такой ответ при пуске на клиенте не очень понравился!

11:19:05 21-03-2011 (err|kern|kernel) devfs_register(net/tun): could not append to parent, err: -17



лог c клиента ( реаьный адрес заменил xxx.xxx.xxx.xxx:2194 )

порт на сервере как 2194 сделал

iptables на клиенте прописал


iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
iptables -I INPUT -i tun0 -p tcp --dport 80 -j ACCEPT

на сервере тоже прописал


iptables -I INPUT -p udp --dport 1194 -j ACCEPT
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
iptables -I INPUT -i tun0 -p tcp --dport 80 -j ACCEPT



\opt\var\log\openvpn openvpn.log



Mon Mar 21 11:54:33 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Mon Mar 21 11:54:33 2011 Re-using SSL/TLS context
Mon Mar 21 11:54:33 2011 LZO compression initialized
Mon Mar 21 11:54:33 2011 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Mar 21 11:54:33 2011 Socket Buffers: R=[108544->131072] S=[108544->131072]
Mon Mar 21 11:54:33 2011 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Mar 21 11:54:33 2011 Local Options hash (VER=V4): '41690919'
Mon Mar 21 11:54:33 2011 Expected Remote Options hash (VER=V4): '530fdded'
Mon Mar 21 11:54:33 2011 UDPv4 link local: [undef]
Mon Mar 21 11:54:33 2011 UDPv4 link remote: xxx.xxx.xxx.xxx:2194
Mon Mar 21 11:55:33 2011 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Mon Mar 21 11:55:33 2011 TLS Error: TLS handshake failed
Mon Mar 21 11:55:33 2011 TCP/UDP: Closing socket
Mon Mar 21 11:55:33 2011 SIGUSR1[soft,tls-error] received, process restarting
Mon Mar 21 11:55:33 2011 Restart pause, 2 second(s)
Mon Mar 21 11:55:35 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Mon Mar 21 11:55:35 2011 Re-using SSL/TLS context
Mon Mar 21 11:55:35 2011 LZO compression initialized
Mon Mar 21 11:55:35 2011 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Mar 21 11:55:35 2011 Socket Buffers: R=[108544->131072] S=[108544->131072]
Mon Mar 21 11:55:36 2011 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Mar 21 11:55:36 2011 Local Options hash (VER=V4): '41690919'
Mon Mar 21 11:55:36 2011 Expected Remote Options hash (VER=V4): '530fdded'
Mon Mar 21 11:55:36 2011 UDPv4 link local: [undef]
Mon Mar 21 11:55:36 2011 UDPv4 link remote: xxx.xxx.xxx.xxx:2194
Mon Mar 21 11:56:36 2011 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Mon Mar 21 11:56:36 2011 TLS Error: TLS handshake failed
Mon Mar 21 11:56:36 2011 TCP/UDP: Closing socket
Mon Mar 21 11:56:36 2011 SIGUSR1[soft,tls-error] received, process restarting
Mon Mar 21 11:56:36 2011 Restart pause, 2 second(s)

Mon Mar 21 11:56:38 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Mon Mar 21 11:56:38 2011 Re-using SSL/TLS context
Mon Mar 21 11:56:38 2011 LZO compression initialized
Mon Mar 21 11:56:38 2011 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Mar 21 11:56:38 2011 Socket Buffers: R=[108544->131072] S=[108544->131072]
Mon Mar 21 11:56:38 2011 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Mar 21 11:56:38 2011 Local Options hash (VER=V4): '41690919'
Mon Mar 21 11:56:38 2011 Expected Remote Options hash (VER=V4): '530fdded'
Mon Mar 21 11:56:38 2011 UDPv4 link local: [undef]
Mon Mar 21 11:56:38 2011 UDPv4 link remote: xxx.xxx.xxx.xxx:2194
Mon Mar 21 11:57:38 2011 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Mon Mar 21 11:57:38 2011 TLS Error: TLS handshake failed
Mon Mar 21 11:57:38 2011 TCP/UDP: Closing socket
Mon Mar 21 11:57:38 2011 SIGUSR1[soft,tls-error] received, process restarting
Mon Mar 21 11:57:38 2011 Restart pause, 2 second(s)
Mon Mar 21 11:57:40 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Mon Mar 21 11:57:40 2011 Re-using SSL/TLS context
Mon Mar 21 11:57:40 2011 LZO compression initialized
Mon Mar 21 11:57:40 2011 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Mar 21 11:57:40 2011 Socket Buffers: R=[108544->131072] S=[108544->131072]
Mon Mar 21 11:57:40 2011 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Mar 21 11:57:40 2011 Local Options hash (VER=V4): '41690919'
Mon Mar 21 11:57:40 2011 Expected Remote Options hash (VER=V4): '530fdded'
Mon Mar 21 11:57:40 2011 UDPv4 link local: [undef]
Mon Mar 21 11:57:40 2011 UDPv4 link remote: xxx.xxx.xxx.xxx:2194





ключи я генерировал по мануалу в ссылке
возможно что то не так


вот конфиг на клиенте, я сел на девайсах на порт 2194

xxxxx - мнемоника dyndns

client
dev tun
proto udp
remote xxxxx.dyndns.org 2194
resolv-retry infinite
nobind
persist-key
persist-tun
ca /opt/etc/openvpn/keys/ca.crt
cert /opt/etc/openvpn/keys/homepc.crt
key /opt/etc/openvpn/keys/homepc.key
ns-cert-type server
comp-lzo
verb 3
log-append /opt/var/log/openvpn/openvpn.log
status /opt/var/log/openvpn/status.log


--
какие логи или конфиги привести еще ?

Спасибо!

Rung
21-03-2011, 09:25
я настраивал по этой рекомендации http://habrahabr.ru/blogs/linux/56652/
надо только учитывать, для RT-16 немного другие настройки запуска

на данный момент по этой рекомендации у меня все работает прекрасно, в сети 1 сервер (RT-N16) и 3 клиента (RT-N16, wl500gp).

vectorm
21-03-2011, 09:48
client
dev tun
proto udp
remote xxxxx.dyndns.org 2194
resolv-retry infinite
nobind
persist-key
persist-tun
ca /opt/etc/openvpn/keys/ca.crt
cert /opt/etc/openvpn/keys/homepc.crt
key /opt/etc/openvpn/keys/homepc.key
ns-cert-type server
comp-lzo
verb 3
log-append /opt/var/log/openvpn/openvpn.log
status /opt/var/log/openvpn/status.log

Попробуйте для начала настроить на tcp протоколе, вероятность работы выше. Потом будете "тюнить".

FilimoniC
21-03-2011, 10:17
.. многабукаф

Mon Mar 21 11:56:36 2011 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Mon Mar 21 11:56:36 2011 TLS Error: TLS handshake failed
Mon Mar 21 11:56:36 2011 TCP/UDP: Closing socket
1. Пробуйте по TCP сначала

proto tcp
Сейчас оно говорит "не могу соединиться". Так как при использовании UDP соединения фактически не происходит, то он это явно не пишет.

2.

11:19:05 21-03-2011 (err|kern|kernel) devfs_register(net/tun): could not append to parent, err: -17
Запускайте его из под admin\root, через командную строку (а не через скрипт S20openvpn)

yuraz
21-03-2011, 21:05
пока оставил upd

удалось запустить OpenVPN

Вроде мне теперь надо разбираться с маршрутизацией

ЗАДАЧА:

каждый раутер имеет свой интернет,
по тунелю должны просто ходить пакеты ...
между сетками 192.168.1.0 192.168.2.0
машины одного офиса-дома должны видеть машины другого офиса

вот рисунок примерно того что нужно реализовать

VPN поднял , разобрался с маршрутизацией
все заработало как хотел

Всем откликнувшимся спасибо за помощь

ANVIL
21-07-2011, 08:06
Всем доброго дня.
Имеем: wl500gP + 2GB USB flash
Есть задача раздавать и-нет через OpenVPN в локалку. Пользуясь мануалом Ссылка (http://habrahabr.ru/blogs/linux/56652/) поставил OpenVPN на роутер, подключился к серверу. На самом роутере и-нет появился. Прописал правила для Firewall'а в post-firewall, все сохранил в память. При перезагрузке роутера OpenVPN стартует, на нем появляется и-нет. Но вот из локалки в интернет выйти никак не получается. Что нужно еще добавить? Может быть еще какие-то правила нужно добавлять? В общем надо сделать чтобы openVPN был wan портом? Уже не первый раз упираюсь в это.:confused:

FilimoniC
21-07-2011, 12:54
Есть задача раздавать и-нет через OpenVPN в локалку.
А зачем вам OpenVPN? Вы и так можете со своего бука выйти в инет...
Задача не понятна. Локалка это что в вашем случае? В моем - это LAN-порты. Но зачем тогда OpenVPN?

ANVIL
21-07-2011, 14:28
А зачем вам OpenVPN? Вы и так можете со своего бука выйти в инет...
Задача не понятна. Локалка это что в вашем случае? В моем - это LAN-порты. Но зачем тогда OpenVPN?
Есть сеть провайдера - WAN роутера.
Есть локалка, порты на роутере - LAN
В сети провайдера стоит сервер OpenVPN.
В сети провайдера выделенные Ip адреса (или DHCP, не важно).
В сети LAN нет интернета, есть только сеть провайдера.
На сервере OpenVPN есть интернет.
Задача подключиться к серверу с OpenVPN и раздавать роутером интернет в сеть LAN. Структура как при PPPT + static.
Сейчас у меня роутер подключается к сети OpenVPN но из LAN попасть в интернет не удается. При этом с роутера интернет есть. Есть подозрение, что надо прописать либо NAT, либо маршрут.
Не могу понять точно что из этого. Поэтому прошу помощи. :o
С бука я и так могу подключиться к серверу OpenVPN для этого мне не надо на роутере поднимать OpenVPN. Хотелось бы чтобы роутер сам раздавал и-нет.

tempik
21-07-2011, 18:47
Есть сеть провайдера - WAN роутера.
Есть локалка, порты на роутере - LAN
В сети провайдера стоит сервер OpenVPN.
В сети провайдера выделенные Ip адреса (или DHCP, не важно).
В сети LAN нет интернета, есть только сеть провайдера.
На сервере OpenVPN есть интернет.
Задача подключиться к серверу с OpenVPN и раздавать роутером интернет в сеть LAN. Структура как при PPPT + static.
Сейчас у меня роутер подключается к сети OpenVPN но из LAN попасть в интернет не удается. При этом с роутера интернет есть. Есть подозрение, что надо прописать либо NAT, либо маршрут.
Не могу понять точно что из этого. Поэтому прошу помощи. :o
С бука я и так могу подключиться к серверу OpenVPN для этого мне не надо на роутере поднимать OpenVPN. Хотелось бы чтобы роутер сам раздавал и-нет.
man iptables ... может наведет на мысли вывод команды

iptables-save
Там в таблице "*nat" есть интересные строки ....

FilimoniC
22-07-2011, 07:21
Есть сеть провайдера - WAN роутера.
Есть локалка, порты на роутере - LAN
В сети провайдера стоит сервер OpenVPN.
В сети провайдера выделенные Ip адреса (или DHCP, не важно).
В сети LAN нет интернета, есть только сеть провайдера.
На сервере OpenVPN есть интернет.
Задача подключиться к серверу с OpenVPN и раздавать роутером интернет в сеть LAN. Структура как при PPPT + static.
Сейчас у меня роутер подключается к сети OpenVPN но из LAN попасть в интернет не удается. При этом с роутера интернет есть. Есть подозрение, что надо прописать либо NAT, либо маршрут.
Не могу понять точно что из этого. Поэтому прошу помощи. :o
С бука я и так могу подключиться к серверу OpenVPN для этого мне не надо на роутере поднимать OpenVPN. Хотелось бы чтобы роутер сам раздавал и-нет.

По сути, у вас получается аналог штатного VPN. Так что либо ковыряем один из штатных способов VPN, либо гуглим в тему MultiWan

ANVIL
22-07-2011, 10:38
По сути, у вас получается аналог штатного VPN. Так что либо ковыряем один из штатных способов VPN, либо гуглим в тему MultiWan

А где можно посмотреть как устроен штатный VPN, как там все работает? Хорошо было бы, если из списка подключений можно было выбрать не только PPTP и L2TP но и OpenVPN. Слышал что некоторые провайдеры переходят на него. Смотрел MultiWan - уж больно сложно.


man iptables ... может наведет на мысли вывод команды

iptables-save
Там в таблице "*nat" есть интересные строки ....

man iptables - ничего не вывело.
Вывод iptables-save:

*nat
:PREROUTING ACCEPT [19829:1743590]
:POSTROUTING ACCEPT [1712:406978]
:OUTPUT ACCEPT [1423:414130]
:UPNP - [0:0]
:VSERVER - [0:0]
-A PREROUTING -d 10.10.15.34/32 -j VSERVER
-A POSTROUTING ! -s 10.10.15.34/32 -o vlan1 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/24 -d 192.168.1.0/24 -o br0 -j MASQUERADE
-A VSERVER -j UPNP
COMMIT
# Completed on Fri Jul 22 06:10:21 2011
# Generated by iptables-save v1.4.3.2 on Fri Jul 22 06:10:21 2011
С iptables пробовал разбираться, но так ничего не получилось у меня. Может кто-нибудь все же поможет, что надо прописать?

tempik
22-07-2011, 18:41
man iptables - ничего не вывело.
Вывод iptables-save:
*nat
:PREROUTING ACCEPT [19829:1743590]
:POSTROUTING ACCEPT [1712:406978]
:OUTPUT ACCEPT [1423:414130]
:UPNP - [0:0]
:VSERVER - [0:0]
-A PREROUTING -d 10.10.15.34/32 -j VSERVER
-A POSTROUTING ! -s 10.10.15.34/32 -o vlan1 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/24 -d 192.168.1.0/24 -o br0 -j MASQUERADE
-A VSERVER -j UPNP
COMMIT
# Completed on Fri Jul 22 06:10:21 2011
# Generated by iptables-save v1.4.3.2 on Fri Jul 22 06:10:21 2011

С iptables пробовал разбираться, но так ничего не получилось у меня. Может кто-нибудь все же поможет, что надо прописать?
man iptables набрать в гуггле....
а привести весь вывод команды религия не позволила? Надеюсь вывод был сделан в момент когда OpenVPN был подключен?

ANVIL
25-07-2011, 10:22
man iptables набрать в гуггле....
а привести весь вывод команды религия не позволила? Надеюсь вывод был сделан в момент когда OpenVPN был подключен?

Да, когда был поднят OpenVPN. Вот вывод полностью. Думал что нужна только секция *nat.

# Generated by iptables-save v1.4.3.2 on Mon Jul 25 09:25:54 2011
*nat
:PREROUTING ACCEPT [882343:51046977]
:POSTROUTING ACCEPT [7233:1861117]
:OUTPUT ACCEPT [6487:1887059]
:UPNP - [0:0]
:VSERVER - [0:0]
-A PREROUTING -d 10.10.15.34/32 -j VSERVER
-A POSTROUTING ! -s 10.10.15.34/32 -o vlan1 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/24 -d 192.168.1.0/24 -o br0 -j MASQUERADE
-A VSERVER -j UPNP
COMMIT
# Completed on Mon Jul 25 09:25:54 2011
# Generated by iptables-save v1.4.3.2 on Mon Jul 25 09:25:54 2011
*mangle
:PREROUTING ACCEPT [1778726:158465796]
:INPUT ACCEPT [1543532:144631920]
:FORWARD ACCEPT [4067:277047]
:OUTPUT ACCEPT [96787:24564865]
:POSTROUTING ACCEPT [100852:24840760]
COMMIT
# Completed on Mon Jul 25 09:25:54 2011
# Generated by iptables-save v1.4.3.2 on Mon Jul 25 09:25:54 2011
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [832:75354]
:OUTPUT ACCEPT [96792:24565193]
:BRUTE - [0:0]
:MACS - [0:0]
:SECURITY - [0:0]
:UPNP - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -i tun0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i br0 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -j DROP
-A FORWARD -i tun0 -o br0 -j ACCEPT
-A FORWARD -i br0 -o tun0 -j ACCEPT
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD ! -i br0 -o vlan1 -j DROP
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -o br0 -j DROP
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j DROP
-A logaccept -m conntrack --ctstate NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options --log-macdecode
-A logaccept -j ACCEPT
-A logdrop -m conntrack --ctstate NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options --log-macdecode
-A logdrop -j DROP
COMMIT
# Completed on Mon Jul 25 09:25:54 2011
Для полного счастья нужно было добаить в post-firewall

#!/bin/sh
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
iptables -I INPUT -i tun0 -p tcp --dport 80 -j ACCEPT
А в конце выполнить команду:
nvram set misc_fastnat_x=0
flashfs save && flashfs commit && flashfs enable && reboot
Иначе роутер будет падать через некоторое время после установки соединения.

PS. Скорость скачивания через такой канал не превышает 700 kb/s, из-за загрузки проца в 100%. Но для повседневной жизни - хватает.

tridog
08-08-2011, 13:05
Итак, есть ужасная убийственная схема, состоящая из трех независимых подсетей:
8233

Сеть 10.10.10.x в данном случае является основной, весь трафик ходит через ISP#2. ISP#1 нужен только для связи с сетью 10.10.11.x через внутренюю сеть провайдера. Между сетями 10.x и 11.x поднят OpenVPN-тунель, через который и ходит весь трафик сети 11.x.

Помимо этого, есть корпоративная сеть 192.168.1.x, тунель в которую сделан через vpnc (Cisco VPN Client). Через этот тунель осуществляется только доступ к корпоративным ресурсам, интернет в обе другие сети ходит через ISP#2.

Собственно поднять тунели и разрулить трафик уже получилось, главная запарка здесь, разумеется, с DNS'ами.

Для обеих подсетей нужно сделать следующее:
Адреса вида *.home.local должны разрешаться через сервер 10.10.10.254 Адреса видв *.parents.local должны разрешаться через сервер 10.10.11.254 Адреса вида *.company.com должны разрешаться через сервер 192.168.1.125 Все остальные адреса должны разрешаться через сервер ISP#2 91.144.138.3


Задача конечно же - сделать что-то вида "условного перенаправителя DNS-запросов" на роутерах 10.10.10.254 и 10.10.11.254. Вопрос - каким софтом и как.

10.10.10.254 - это WNR3500L, прошивка от Vampik. 10.10.11.254 - можно не обсуждать, потом сделаем по аналогии.

star
15-08-2011, 12:31
Добрый день.
Никак не могу разобраться с проблемой.
Был роутер WL500W, на нем установлен OpenVPN в режиме моста, запущен igmpproxy с upstream, соответствующим OpenVPN интерфейсу. Задача - видеть в локалке трафик Multicast, который поступает через OpenVPN. Все работало нормально.

В связи со смертью WL500 под это дело был куплен RT-N16, прошит прошивкой 3181, установлен OpenVPN из репозитария и скопированы конфиги openvpn со старого роутера. Соединение поднимается, все нормально, но проблема в том, что роутер "удваивает" пакеты, принимаемые по OpenVPN интерфейсу (т.е. удаленный сервак отгружает 4 мбит/с, а в локалке я вижу 8 мбит/с). Причем это происходит только с UDP Multicast трафиком.
В Diagnostic Info веб морды это видно так : при передаче обычного файла через TCP (скачиваем total commander-ом файл) загрузка на интерфейсе lan(br0) только исходящая. А при получении UDP трафика скорость In и Out совпадает (на графике очень хорошо видно).

Такое ощущение, что трафик роутится два раза. Причем если прибить igmpproxy - то трафика нет вообще.

Подскажите, пожалуйста, что это может быть? FastNAT пробовал включать и выключать - без разницы.

as_lan
09-09-2011, 17:56
Такая проблема.
Провайдер предоставляет интернет по ADSL. Роутер поднимает pppoe соединение. Но для того чтоб пользоваться внутренними ресурсами надо дополнительно подключаться по openvpn, каждый раз делать это на комп надоело. Поставил OpenVPN на роутер. Но недавно начал использовать Flylink, и проблема в том что он не ищет и не заходит на шары пользователей. Я так понимаю для этого он использует UPD протокол, но где то не проходит это все. На данный момент прописал правило только

iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

Итак исходные данные.
интерфейс впн понятно tun0, его адрес 172.16.1.6
порты по которому пускаю flylink tcp 5555 udp 6666
Внутренний адрес комп на котором флайлинк 192.168.1.3.

Какого вида правильно должно быть чтоб все заработало. Пытался сам что-то сделать, но не получается. Поиск так и не работает. Буду очень признателен если кто-то поможет

5v5
24-09-2011, 16:18
на роутере (WL-500gP) с прошивкой 19.2.7-rtn-r3300 через ipkg установлен openvpn. при старте openvpn выполняется скрипт:



#!/bin/sh

if [ "$6" == "init" ]
then
iptables -t nat -A POSTROUTING -o $1 ! -s $4 -j MASQUERADE
fi


$1 - используемый tun, $4 - адрес клиентского конца тунеля.

при попытке обращения из локальной сети к адресам с другой стороны тунеля роутер падает (перегружается).

p.s. видимо меня неправильно поняли - проблема не в openvpn - у меня на роутере висит еще штук 5 клиентов, но без маскарада, все отлично работает - проблема где-то в ядре.

abi
03-10-2011, 18:01
Пршу помощи. Лет 5 назад настроил openvpn на wl500gP Всё работало, пока не сгорел винт.
Заменил и пытаюсь вспомнить как настроить.

Система такая.
Циска, воткнута в инет (10.0.0.222)
Роутер переведён в режим свитча и воткнут LAN'ом в кошку (10.0.0.1)

На роутере написал примерно так:


#
# Sample OpenVPN configuration file for
# office using SSL/TLS mode and RSA certificates/keys.
#
# '#' or ';' may be used to delimit comments.

# Use a dynamic tun device.
# For Linux 2.2 or non-Linux OSes,
# you may want to use an explicit
# unit number such as "tun1".
# OpenVPN also supports virtual
# ethernet "tap" devices.
#dev tun
; dev tap

dev tap0

# Choose an uncommon local subnet for the virtual VPN end points.
# 10.1.0.1 is the local side of the VPN endpoint (slug side)
# 10.1.0.2 is the remote side of the VPN endpoint (client side)
# For tun mode use ifconfig 10.1.0.1 10.1.0.2
# For tap mode use ifconfig 10.1.0.1 255.255.255.0
; ifconfig 10.1.0.1 10.1.0.2
; ifconfig 10.1.0.1 255.255.255.0

server-bridge 10.0.0.222 255.255.255.0 10.0.0.50 10.0.0.70
ifconfig-pool-persist /opt/etc/openvpn/ipp.txt
client-to-client

# Our up script will establish routes once the VPN is alive.
# Running scripts need the script-security set to 2.
#script-security 2
#up ./openvpn.up

# Push the 'server subnet route' to the clients
#push "route 192.168.1.0 255.255.255.0"
push "route 10.0.0.0 255.255.255.0"

# Push the WINS server to the clients - if we have a Samba WINS server.
; push "dhcp-option WINS 192.168.1.77"
push "dhcp-option DNS 10.0.0.222"
;push "dhcp-option WINS 10.0.1.222"

# Server Static Key
# (For security run - chmod 600 /opt/etc/openvpn/static.key)
#secret static.key

# In SSL/TLS key exchange, Office will
# assume server role and Home
# will assume client role.
tls-server

# Diffie-Hellman Parameters (tls-server only)
dh /opt/etc/openvpn/keys/dh1024.pem

# Certificate Authority file
ca /opt/etc/openvpn/keys/ca.crt

# Our certificate/public key
cert /opt/etc/openvpn/keys/server.crt

# Our private key
#crl-verify /opt/etc/openvpn/crl.pem
key /opt/etc/openvpn/keys/server.key

# OpenVPN 2.0 uses UDP port 1194 by default
# (official port assignment by iana.org 11/04).
# OpenVPN 1.x uses UDP port 5000 by default.
# Each OpenVPN tunnel must use
# a different port number.
# lport or rport can be used
# to denote different ports
# for local and remote.

proto tcp-server

port 443

# Downgrade UID and GID to
# "nobody" after initialization
# for extra security.
user nobody
group nobody

# If you built OpenVPN with
# LZO compression, uncomment
# out the following line.
comp-lzo

# Send a UDP ping to remote once
# every 15 seconds to keep
# stateful firewall connection
# alive. Uncomment this
# out if you are using a stateful
# firewall.
; ping 15

# Uncomment this section for a more reliable detection when a system
# loses its connection. For example, dial-ups or laptops that
# travel to other locations.
; ping 15
; ping-restart 45
; ping-timer-rem
persist-tun
persist-key

# Verbosity level.
# 0 -- quiet except for fatal errors.
# 1 -- mostly quiet, but display non-fatal network errors.
# 3 -- medium output, good for normal operation.
# 9 -- verbose, good for troubleshooting
verb 3

# Log files
log-append /opt/var/log/openvpn/openvpn.log
; status /opt/var/log/openvpn/status.log

# Inactivity timeout
; inactive 45
keepalive 10 60


В post-mount вписал


openvpn --mktun --dev tap0
brctl addif br0 ta0
ifconfig tap0 0.0.0.0 promisc up

Клиент коннектится. Получает адрес, но не пингает кошку (10.0.0.222).
Вернее, не пингает ничего.

При этом, клиент не получает gateway !
Помню, что такого точно небыло.

Помогите, плиз. Куда смотреть? Сижу 2 день :(

abi
03-10-2011, 18:33
Вопрос снят. Вот как бывает полезно описать проблему.
Я добавлял tap0 не в тот бридж.....

melnikdima
05-10-2011, 14:22
Устанавливал openvpn по этой инструкции на RT-16N
http://wl500g.info/showthread.php?t=5312

на этапе
Start OpenVPN server manually

ругается на /sbin/insmod tun

[admin@ROUT sbin]$ /sbin/insmod tun
insmod: can't insert 'tun.ko': File exists

как быть?

legionnet
06-10-2011, 05:47
Организовал между двумя ASUS RT-N16 VPN-туннель с помощью OpenVPN, но максимальная скорость, которую удалось получить - 10мбит/с в любую сторону, пробовал выключать шифрование, сжатие. Но результатов не дало, скорость никак не увеличилась.
Скорость между двумя RT-N16 напрямую ~80-90 мбит/с, измерял с помощью iperf.
Как добиться более высоких скоростей ВПН? Посоветуйте решение проблемы.

Прошивки RT-N-1.9.2.7-rtn-r2274 (2010-10-17)

YVM
06-10-2011, 06:40
максимальная скорость, которую удалось получить - 10мбит/с в любую сторону

У меня тот же результат. Хотя, при наличии нескольких туннелей получается 10 на каждый.

mooncat4er
07-10-2011, 01:37
подскажите как создать dh1024.pem

j00e
07-10-2011, 06:36
расскажите плиз как настроить установленный через ваш скрипт OpenVPN.

Rung
07-10-2011, 08:35
расскажите плиз как настроить установленный через ваш скрипт OpenVPN.


подскажите как создать dh1024.pem

Здесь (http://habrahabr.ru/blogs/linux/56652/) вы найдете всю информацию как сгенерировать ключи и настроить сеть между роутерами.
В одной из следующих версиях в скрипт будет добавлен диалог настройки vpn туннеля.

nemnemonik
13-10-2011, 17:28
При выборе openvpn выводится строчка:

Enter your menu choice: v
Введите адрес сервера OpenVPN [x.x.x.x]:

пытаюсь понять кодировку...

d0wn
13-10-2011, 17:40
При выборе openvpn выводится строчка:

Enter your menu choice: v
Введите адрес сервера OpenVPN [x.x.x.x]:

пытаюсь понять кодировку...


Koi8-R "Введите адрес сервера"

В PUTTY выставить кодировку.

nemnemonik
13-10-2011, 18:21
Менять кодировку патти и потом выбирать всё заново совсем неудобно. Для всего остального кодировка подходит, а тут нет.

skolan
13-10-2011, 20:40
На работе настроили openVPN. хотелось бы чтобы дома подключение шло на роуторе, а не отдельно на каждом компе.Не подскажите я смогу настроить openvpn клиент с помощью скрипта?

Rung
14-10-2011, 12:57
На работе настроили openVPN. хотелось бы чтобы дома подключение шло на роуторе, а не отдельно на каждом компе.Не подскажите я смогу настроить openvpn клиент с помощью скрипта?

Как настроить клиента смотрите здесь (http://habrahabr.ru/blogs/linux/56652/)

Sepro
22-10-2011, 15:05
Еще вопрос появился: при установке openVpn запрашиваются какие-то параметры. Из-за нечитабельности, не могу понять что спрашивают. И еще вопрос: как зайти на openvpn, на rung.narod.ru почему-то в описании программ его не встретил :confused:

Rung
22-10-2011, 21:13
Еще вопрос появился: при установке openVpn запрашиваются какие-то параметры. Из-за нечитабельности, не могу понять что спрашивают. И еще вопрос: как зайти на openvpn, на rung.narod.ru почему-то в описании программ его не встретил :confused:

Насчет нечитабельности - пользуйтесь PuTTy, в настройках "Window -> Translation - > Character set translation..." выставите "KOI8-U".

Насчет настройки OpenVPN - позже будет подробное описание и настройка, а пока смотрите здесь (http://habrahabr.ru/blogs/linux/56652/)

Уважаемый модератор! Прошу Вас не перемещать вопросы заданные в теме "Скрипт для Чайников" в тематические разделы. К примеру данный вопрос относится скорее к теме "Скрипта для Чайников" чем к "OpenVPN" и ответа здесь вероятно не дождешься т.к. не всем понятно о чем вопрос. Подобные Вопросы и дальше будут повторяться, т.к. их авторы в большинстве своем только познают роутер и не знают иной раз простых вещей, задают вопросы там где больше всего ожидают получить ответ.

donaldson
22-11-2011, 17:20
Приветствую, скурил весь форум, но проблему так и не решил. Не хватает знаний чтоб точно определить проблему.

Имеется два роутера Asus WL-520GU, прошиты последней прошивкой от Олега. Настраивал по этой инструкции (http://habrahabr.ru/blogs/linux/56652/). Необходимо связать две локалки по инету через OpenVPN

1. роутер-сервер с внешним ip выданным по DHCP (привязка к маку), локалка 192.168.2.0/24, конфиг сервера:


dev tun

tls-server

server 192.168.10.0 255.255.255.0
ifconfig 192.168.10.1 192.168.10.2
client-to-client
client-config-dir /opt/etc/openvpn/ccd

route 192.168.10.0 255.255.255.0 #IP Range of VPN
route 192.168.1.0 255.255.255.0 #IP Range of client


push "route 192.168.2.0 255.255.255.0"
#push "route 172.10.6.0 255.255.255.0"
#push "route 192.168.0.0 255.255.255.0
#push "route 192.168.1.0 255.255.255.0"

#keys
dh /opt/etc/openvpn/keys/dh2048.pem
ca /opt/etc/openvpn/keys/ca.crt
cert /opt/etc/openvpn/keys/server.crt
key /opt/etc/openvpn/keys/server.key

port 1194
proto udp
#max routes
max-routes 10
#user nobody
#group nobody

comp-lzo
persist-tun
persist-key
verb 3

keepalive 10 60

log-append /opt/etc/openvpn/openvpn.log
status /opt/var/log/openvpn/status.log

файл с именем клиента в ccd


iroute 192.168.1.0 255.255.255.0

post-firewall



iptables -I INPUT -p udp --dport 1194 -j ACCEPT
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
iptables -I INPUT -i tun0 -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -p tcp --dport 22 -j ACCEPT


route


Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.10.2 * 255.255.255.255 UH 0 0 0 tun0
broadband-178-1 * 255.255.255.255 UH 0 0 0 vlan1
192.168.2.0 * 255.255.255.0 U 0 0 0 br0
192.168.1.0 192.168.10.2 255.255.255.0 UG 0 0 0 tun0
192.168.10.0 192.168.10.2 255.255.255.0 UG 0 0 0 tun0
178.140.144.0 * 255.255.248.0 U 0 0 0 vlan1
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default broadband-178-1 0.0.0.0 UG 0 0 0 vlan1



ip route get 192.168.1.1
192.168.1.1 via 192.168.10.2 dev tun0 src 192.168.10.1
cache mtu 1500 advmss 1460


2. роутер-клиент, внешний статик, локалка 192.168.1.0/24, конфиг клиента:


client
dev tun
proto udp
remote 178.140.144.ХХ 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca /opt/etc/openvpn/keys/ca.crt
cert /opt/etc/openvpn/keys/client.crt
key /opt/etc/openvpn/keys/client.key
ns-cert-type server
comp-lzo
verb 3
log-append /opt/var/log/openvpn/openvpn.log
status /opt/var/log/openvpn/status.log

route


Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.10.5 * 255.255.255.255 UH 0 0 0 tun0
217.147.19.81.t * 255.255.255.255 UH 0 0 0 vlan1
217.147.19.80 * 255.255.255.252 U 0 0 0 vlan1
192.168.2.0 192.168.10.5 255.255.255.0 UG 0 0 0 tun0
192.168.1.0 * 255.255.255.0 U 0 0 0 br0
192.168.10.0 192.168.10.5 255.255.255.0 UG 0 0 0 tun0
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default 217.147.19.81.t 0.0.0.0 UG 0 0 0 vlan1

Суть проблемы такова, туннель поднимается нормально, с роутера-клиента пинг идет и на роутер-сервер и в локалку за ним. С компа из локалки роутера-клиента пинг идет только до локального интерфейса и tun0 (192.168.10.6), ни роутер-сервер ни локалка за ним не пингуются. С роутера-сервера пинг идет только на tun0 роутера-клиента, на локальный интерфейс и в локалку за него не идет.
В связи с тем что client-to-client в конфиге сервера прописан, путь к ccd и сам файл клиентского конфига в порядке, думаю необходимо сделать проброс порта на сервере, но в этом я не силен и толковой инструкции не нашел =(. Менял сервер и клиент местами, пускал туннель по TCP, результат тот же. Вообщем по всем настройкам выходит, что все в порядке вроде как. Буду рад всем советам, т.к. себе мозг уже порвал =(

Spartach
28-11-2011, 05:50
Подскажите, может кто сталкивался:
RT-N16, прошивка 3655 (и на более ранних), роутер устанавливает OpenVPN (tun1, 192.168.51.0/24) соединение до офиса (маршруты настроены, корректно работают), за роутером сеть 192.168.10.0/24, офисная сеть 192.168.152.0/24, в post-firewall правила:
iptables -I INPUT -i tun1 -j ACCEPT
iptables -I FORWARD -i tun1 -j ACCEPT
iptables -I FORWARD -o tun1 -j ACCEPT
iptables -I OUTPUT -o tun1 -j ACCEPT
После ребута роутера форвардинг работает.
Хочу сделать маскарадинг, т.е. чтобы роутер закрывал своим локальным IP пакеты полученные из VPN, соответственно добавляю 2 правила:
iptables -t nat -A POSTROUTING -s 192.168.51.0/24 -o br0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o tun1 -j MASQUERADE
Далее совершенно не ожиданный результат, при добавлении любого из правил и попытке обратится из офисной сети к объекту за роутером - роутер уходит в ребут. Мистика?

UPD: Жаль что в эту ветку модеры перенесли, т.к. изначально все работало, пологаю проблема в последних прошивках.
Omega: не пробовали отключать fastnat ? ;)
Spartach: Если не сложно, не могли бы в 2х словах? )
misc_fastnat_x=0 правильно ли я понял?

UPD: Omega - спасибо!!! )))

Knight_Rider
07-12-2011, 14:27
сегодня заметил в логе предупреждения

kernel: WARNING: at net/8021q/vlan_dev.c:351 vlan_dev_hard_header()
kernel: Call Trace:
kernel: [<c017510c>] cleanup_module+0xdc8/0x15ac [tun]
kernel: [<c01751d0>] cleanup_module+0xe8c/0x15ac [tun]
kernel: [<c0152d5c>] cleanup_module+0x1d0/0x53c [uhci_hcd]
kernel: [<800032f0>] stack_done+0x20/0x40
kernel: WARNING: at net/8021q/vlan_dev.c:351 vlan_dev_hard_header()
kernel: Call Trace:
kernel: [<c017510c>] cleanup_module+0xdc8/0x15ac [tun]
kernel: [<c01751d0>] cleanup_module+0xe8c/0x15ac [tun]
kernel: [<800032f0>] stack_done+0x20/0x40
kernel: WARNING: at net/8021q/vlan_dev.c:351 vlan_dev_hard_header()
kernel: Call Trace:
kernel: [<c0136070>] et_link_up+0x1e5c/0x2ee0 [et]
kernel: [<c017510c>] cleanup_module+0xdc8/0x15ac [tun]
kernel: [<c01751d0>] cleanup_module+0xe8c/0x15ac [tun]
kernel: WARNING: at net/8021q/vlan_dev.c:351 vlan_dev_hard_header()
kernel: Call Trace:
kernel: [<c017510c>] cleanup_module+0xdc8/0x15ac [tun]
kernel: [<c01751d0>] cleanup_module+0xe8c/0x15ac [tun]
kernel: [<c013603c>] et_link_up+0x1e28/0x2ee0 [et]
kernel: [<800032f0>] stack_done+0x20/0x40
kernel: WARNING: at net/8021q/vlan_dev.c:351 vlan_dev_hard_header()
kernel: Call Trace:
kernel: [<80005198>] memset_partial+0x3c/0x6c
kernel: [<c017510c>] cleanup_module+0xdc8/0x15ac [tun]
kernel: [<c01751d0>] cleanup_module+0xe8c/0x15ac [tun]
kernel: [<800032f0>] stack_done+0x20/0x40
kernel: WARNING: at net/8021q/vlan_dev.c:351 vlan_dev_hard_header()
kernel: Call Trace:
kernel: [<80001524>] ret_from_irq+0x0/0x4
kernel: [<c017510c>] cleanup_module+0xdc8/0x15ac [tun]
kernel: [<c01751d0>] cleanup_module+0xe8c/0x15ac [tun]
kernel: [<800032f0>] stack_done+0x20/0x40
kernel: WARNING: at net/8021q/vlan_dev.c:351 vlan_dev_hard_header()
kernel: Call Trace:
kernel: [<80005198>] memset_partial+0x3c/0x6c
kernel: [<800051a0>] memset_partial+0x44/0x6c
kernel: [<c017510c>] cleanup_module+0xdc8/0x15ac [tun]
kernel: [<c01751d0>] cleanup_module+0xe8c/0x15ac [tun]
kernel: [<800032f0>] stack_done+0x20/0x40
проша 1.9.2.7-rtn-r3655. Если поправили в 3661 то сильно не пинайте

TReX
07-12-2011, 18:13
проша 1.9.2.7-rtn-r3655. Если поправили в 3661 то сильно не пинайте

на теггированный трафик ругается, скорее всего OpenVpn юзается)

Knight_Rider
08-12-2011, 19:28
на теггированный трафик ругается, скорее всего OpenVpn юзается)

Есть такой грешок =)

TReX
08-12-2011, 20:43
Есть такой грешок =)

О, телепатия левел 8 прокачана )) Тогда гуглишь "vlan_dev.c:351" на той же томате была ругань на эту же тему, ищешь какой патчик надо забекпортить в прошивку и просишь разработчиков его туды включить )

YVM
20-12-2011, 09:22
Столкнулся с такой ситуацией:

1. Поднят openvpn на RT-N16. Конфиг сервера:
port 5191
proto tcp
dev tap
mode server
;dev-node MyTap
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
ifconfig-pool-persist ipp.txt
server-bridge 172.20.20.2 255.255.255.0 172.20.20.50 172.20.20.70
server-bridge
push "route 172.20.20.0 255.255.255.0"
push "route 10.0.0.0 255.255.255.0"
;route 172.20.21.0 255.255.255.0 172.20.20.66
route 172.20.22.0 255.255.255.0 172.20.20.57
client-config-dir ccd
client-to-client
keepalive 10 120
comp-lzo
persist-key
persist-tun

2. Поднят клиент на WL500gpV2 с конфигом
client
remote gate.xxxxxxxx.net
port 5191
proto tcp
dev tap0
resolv-retry infinite
nobind
ca ca.crt
cert home.crt
key home.key
verb 3
comp-lzo
persist-tun
persist-key

172.20.20.0 - сеть сервера
172.20.22.0 - сеть клиента

в ccd файле клиента прописано:
ifconfig-push 172.20.20.57 255.255.255.0
iroute 172.20.22.0 255.255.255.0

У всех девайсов, во всех сетях рабочая группа одна.

Все коннектится. Из сети клиента видны девайсы в сети сервера, а вот из сети сервера сеть за WL500gpV2 (клиент) не видна, хотя сам роутер WL500gpV2 с IP 172.20.22.2 пингуется. Даже самого роутера клиента из сети сервера через Samba не видно.

Не сервере прописано:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
gate-xxxxx * 255.255.255.255 UH 0 0 0 vlan2
172.20.22.0 172.20.20.57 255.255.255.0 UG 0 0 0 br0
172.20.20.0 * 255.255.255.0 U 0 0 0 br0
91.xxx.xxx.0 * 255.255.255.0 U 0 0 0 vlan2
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default gate-xxxxx 0.0.0.0 UG 0 0 0 vlan2

Провайдер клиента блокирует порт 139 и воздействовать на него нет возможности.

Вопросы:
1. Может ли закрытый порт 139 повлиять на работу Samba через тоннель?
2. Если да, то можно ли каким-то образом обойти это ограничение (например, перенаправив 139 порт на 5139 на сервере для клиента 172.20.22.0/24 с обратным преобразованием после тоннеля)?

KEKC
22-12-2011, 17:51
Возможно ли такое? К примеру прога будет хранится на ftp с конфигами, а работать на роутере.

melnikdima
04-01-2012, 20:58
Всем здрасьте.

сейчас установлено подключение client-to-client
Но нужно чтобы был централизованный сервер.
а к нему подключались клинты. клиенты должны иметь доступ между собой по ip адресам выданным сервером.

сейчас настройки такие

SERVER (РОУТЕР)


dev tun0
ifconfig 10.8.0.1 10.8.0.2
secret static.key



CLIENT


remote xxxxxxxxxxx
dev tun0
ifconfig 10.8.0.2 10.8.0.1
secret static.key
keepalive 10 120


никто не подскажет толковые настройки????

И в чём разница между tap и tun

RTM
09-01-2012, 19:27
Всех с прошедшими празниками!
Есть пара вопросов касательно настроек роутера, может быть вы сможите мне помочь:
1) Openvpn работает только по tcp, udp соединения подключаются но траффик через такое соединение перестает идти буквально через 5сек после подключения. Без роутера все ок.
2) Можно ли сделать второе подключение в роутере к интернету через usb модем и подключаться к нему через сокс сервер на роутере, при этом стандарнтное PPTP WAN подключение оставить по дефолту?

Заранее спасибо ;)

kpush
06-03-2012, 09:46
репозитарии opkg идет после r3702 во всех следующих версиях вместо ipkg
Кто нибудь с помощью нового репозитария opkg,
OpenVPN устанавливал?

По этой инструкции http://wl500g.info/archive/index.php/t-8880.html
впрямую не проходит: пакетов с именами uclibc-opt openssl lzo
нет. Директории /opt/etc/init.d не создается. и т.д.

Я нахожусь в процессе, но уже ясно, что надо,
отдельную инструкцию создать.

Spartach
06-03-2012, 10:24
репозитарии opkg идет после r3702 во всех следующих версиях вместо ipkg
Кто нибудь с помощью нового репозитария opkg,
OpenVPN устанавливал?

По этой инструкции http://wl500g.info/archive/index.php/t-8880.html
впрямую не проходит: пакетов с именами uclibc-opt openssl lzo
нет. Директории /opt/etc/init.d не создается. и т.д.

Я нахожусь в процессе, но уже ясно, что надо,
отдельную инструкцию создать.
Да, init.d и стартовый скрипт при установке не создается, делал руками.
В остальном ни каких проблем не было при переезде на новый репозиторий.

kpush
06-03-2012, 19:13
Да, init.d и стартовый скрипт при установке не создается, делал руками.
В остальном ни каких проблем не было при переезде на новый репозиторий.
Спасибо.
Да все получилось.

pux
07-03-2012, 01:24
Вчера только пришлось заморочиться, пока заметки еще под рукой..

На роутере выполняем команды:
# mkdir /tmp/local/opt
# mount -o bind /usr/local/opt /opt
# ipkg.sh update; ipkg.sh install opkg; opkg update; opkg install openvpn

Создаем файлики:

(1) /opt/etc/openvpn/server.conf

proto tcp-server
dev tun0
port 443
ifconfig 10.8.0.2 10.8.0.1
keepalive 10 120
secret static.key


(2) /usr/local/sbin/post-boot

#!/bin/sh
# keep opkg repository in flash memory
mount -o bind /usr/local/opt /opt
# OpenVPN
/sbin/insmod tun
/opt/bin/openvpn --daemon --cd /opt/etc/openvpn --config server.conf

(3) /usr/local/sbin/post-firewall

#!/bin/sh
vpnPort=443
vpnProto=tcp
vpnDevice=tun0
iptables -P INPUT DROP
iptables -D INPUT -j DROP
iptables -A INPUT -p $vpnProto --dport $vpnPort --tcp-flags FIN,SYN,RST,ACK SYN -j BRUTE
iptables -A INPUT -p $vpnProto --dport $vpnPort -j ACCEPT
iptables -I INPUT -i $vpnDevice -j ACCEPT
iptables -I FORWARD -i $vpnDevice -j ACCEPT
iptables -I FORWARD -o $vpnDevice -j ACCEPT
iptables -I OUTPUT -o $vpnDevice -j ACCEPT

(4) /opt/etc/openvpn/static.key
(генерируется на сервере или на клиенте командой
# openvpn --genkey --secret static.key
содержимое копипастится через ssh без всяких scp)

устанавливаем права на файлы:
# chmod 0755 "/usr/local/sbin/post-boot"
# chmod 0755 "/usr/local/sbin/post-firewall"

пишем сделанное во флеш и перегружаемся с молитвой:
# flashfs save && flashfs commit && flashfs enable
# reboot

конфиг для клиента:


proto tcp-client
dev tun0
port 443
ifconfig 10.8.0.1 10.8.0.2
secret static.key
redirect-gateway
remote 213.24.76.23

Нюансы:
(1) фаерволом прикрыл OpenVPN от брутфорса;
(2) пишу лог в сислог, чтобы не париться с ротацией, и чтобы проще было глянуть через веб-интерфейс;
(3) если хочется управлять отдельным скриптом в /opt/etc/init.d/ , то нужно искать rc.unslung .

PS: Спасибо за новый репозиторий!
PPS: поправлено.

Spartach
07-03-2012, 05:12
Вчера только пришлось заморочиться, пока заметки еще под рукой..

Это делать не нужно:


mkdir /dev/net
mknod /dev/net/tun c 10 200

Скрипт запуска делает много полезных вещей в частности


/sbin/insmod tun

если модуль не был загружен.
Плюс проверка на наличие запущенных процессов при остановки и рестарте (stop/start).

vaxon
16-03-2012, 19:41
Установлена прошивка 1.9.2.7-rtn.3976
Установил на USB флешку openvpn_2.2.0-1_mipsel.ipk

Доступ к VPN работает с роутера нормально.

Запускаю на роутере iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
для того чтобы можно было из локальной сетки через рутер доступ в VPN получить.

После этого ping из локальной сетки в VPN проходит без проблем, но любое обращение по ssh/telnet приводит к перезагрузки роутера.

Похоже проблема где-то в masquerading tcp + tun

Кто-нибудь сталкивался с подобным?

Спасибо,
В.

VicSer
16-03-2012, 19:55
Похоже проблема где-то в masquerading tcp + tun

Кто-нибудь сталкивался с подобным?



Попробуйте отключить Fast nat:

nvram set misc_fastnat_x=0
nvram commit && reboot

vaxon
16-03-2012, 21:06
Попробуйте отключить Fast nat:

nvram set misc_fastnat_x=0
nvram commit && reboot

Огромное спасибо! Помогло! :)

Интересно это пофиксили в новых версиях ядра?

Еще раз большое спасибо!

В.


Огромное спасибо! Помогло! :)

Интересно это пофиксили в новых версиях ядра?



Я сначала подумал, что это линуксовая фича из коммьюнити. Оказалось, fast nat - это броадкомовкий хак.

В.

pux
18-03-2012, 04:20
Подтверждаю, была ровно такая же фигня. Отключение fast nat также помогло. VicSer, благодарю за наводку.

wig
18-06-2012, 13:29
чтобы заработал openvpn как клиент, необходимо добавить соответствующие правила iptables
и добавить нужные подсетки в роутинг (что по идее должен делать server push-ем).

в /usr/local/sbin/post-firewall добавьте:

iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE


и добавьте в client.conf:

dev tun0
ну что, никто ещё не проверял?
спасибо, это я как раз сообразил!
А вот с рутингом - нет идей.
Полностью задача
Есть интерфейсы
br0 локалка 192.168.1.0
vlan2 WAN 192.168.2.0 с гейтом 192.168.2.1 Оно default gateway
tun0 с обственно тунель, openvpn client, назовем IPtun.0 c гетйом как водится IPtun.1
Задачка
все что не 192.168.х.х зарутить в tun0, при этом дефолт гейт (vlan2) оставить прежним.
Чтоб если tun0 отвалится (что бывает), все само вернулось на обычную схему
Не подскажете решение?
Где то видел да никак найти не могу

staticroute
18-06-2012, 13:32
спасибо, это я как раз сообразил!
А вот с рутингом - нет идей.
Полностью задача
Есть интерфейсы
br0 локалка 192.168.1.0
vlan2 WAN 192.168.2.0 с гейтом 192.168.2.1 Оно default gateway
tun0 с обственно тунель, openvpn client, назовем IPtun.0 c гетйом как водится IPtun.1
Задачка
все что не 192.168.х.х зарутить в tun0, при этом дефолт гейт (vlan2) оставить прежним.
Чтоб если tun0 отвалится (что бывает), все само вернулось на обычную схему
Не подскажете решение?
Где то видел да никак найти не могу

Что конкретно вы хотите вообще? У вас Openvpn клиент цепляется у интернет-узлу я так понимаю? (188.хх.хх)

Какая подсеть у tun0 интерфейса? Объясните по-человечески.

wig
18-06-2012, 14:33
Что конкретно вы хотите вообще? У вас Openvpn клиент цепляется у интернет-узлу я так понимаю? (188.хх.хх)
Да, все правильно


Какая подсеть у tun0 интерфейса? Объясните по-человечески.
inet addr:10.114.232.41 Bcast:10.127.255.255 Mask:255.240.0.0
Только он не tun0 а tap0
И route table выглядит так
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.2.1 * 255.255.255.255 UH 0 0 0 vlan2
188.xx.xx.xx 192.168.2.1 255.255.255.255 UGH 0 0 0 vlan2
192.168.2.0 * 255.255.255.0 U 0 0 0 vlan2
192.168.1.0 * 255.255.255.0 U 0 0 0 br0
10.112.0.0 * 255.240.0.0 U 0 0 0 tap0
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default localhost 128.0.0.0 UG 0 0 0 tap0
128.0.0.0 localhost 128.0.0.0 UG 0 0 0 tap0
default 192.168.2.1 0.0.0.0 UG 0 0 0 vlan2

И теперь надо все, что не 192.168.0.0 255.255.0.0 зарутить на tap0
Чтобы сетка на br0 пользовала инет через VPN (tap0)

staticroute
18-06-2012, 14:50
Да, все правильно


inet addr:10.114.232.41 Bcast:10.127.255.255 Mask:255.240.0.0
Только он не tun0 а tap0
И route table выглядит так
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.2.1 * 255.255.255.255 UH 0 0 0 vlan2
188.xx.xx.xx 192.168.2.1 255.255.255.255 UGH 0 0 0 vlan2
192.168.2.0 * 255.255.255.0 U 0 0 0 vlan2
192.168.1.0 * 255.255.255.0 U 0 0 0 br0
10.112.0.0 * 255.240.0.0 U 0 0 0 tap0
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default localhost 128.0.0.0 UG 0 0 0 tap0
128.0.0.0 localhost 128.0.0.0 UG 0 0 0 tap0
default 192.168.2.1 0.0.0.0 UG 0 0 0 vlan2

И теперь надо все, что не 192.168.0.0 255.255.0.0 зарутить на tap0
Чтобы сетка на br0 пользовала инет через VPN (tap0)
добавьте в client.conf:

pull

Какой IP адрес внутренний OpenVPN сервера ? (10.114.232.1 ?)
на сервере OpenVPN должно быть в конфиге:

push "redirect-gateway def1"
push "route-gateway 10.114.232.1"
push "dhcp-option DNS 10.114.232.1"

wig
18-06-2012, 15:15
добавьте в client.conf:

pull

Какой IP адрес внутренний OpenVPN сервера ? (10.114.232.1 ?)
на сервере OpenVPN должно быть в конфиге:

push "redirect-gateway def1"
push "route-gateway 10.114.232.1"
push "dhcp-option DNS 10.114.232.1"

Адрес именно такой.
Но вот этого я не могу ни сделать, ни проверить, так как VPN сервер не мой, он от hideme.ru. Или от russianproxy.ru
Вот и пытаюсь через route
Все это - войнушка с проблемами йоты.
Хрен с ними, с торрентами.
Тут по работе UDP-шниые продукты толком не работают, svn толком не работает.

PS: pull в client.conf не влияет, рутинговая таблица та же

staticroute
18-06-2012, 16:52
Адрес именно такой.
Но вот этого я не могу ни сделать, ни проверить, так как VPN сервер не мой, он от hideme.ru. Или от russianproxy.ru
Вот и пытаюсь через route
Все это - войнушка с проблемами йоты.
Хрен с ними, с торрентами.
Тут по работе UDP-шниые продукты толком не работают, svn толком не работает.

PS: pull в client.conf не влияет, рутинговая таблица та же

значит надо просто в client.conf или client.ovpn добавить:



redirect-gateway def1
route-gateway 10.114.232.1
dhcp-option DNS 10.114.232.1


последняя опция в случае, если там есть также DNS сервис, если нету, то вписать вручную 8.4.4.4, 8.8.8.8 в качестве днс.

wig
18-06-2012, 17:01
значит надо просто в client.conf или client.ovpn добавить:



redirect gateway def1
route-gateway 10.114.232.1
dhcp-option DNS 10.114.232.1


последняя опция в случае, если там есть также DNS сервис, если нету, то вписать вручную 8.4.4.4, 8.8.8.8 в качестве днс.
из openvpn.log
Options error: Unrecognized option or missing parameter(s) in openvpn.conf:45: redirect (2.2.2)

OpenVPN 2.2.2 mipsel-linux-gnu [SSL] [LZO2] [EPOLL] built on Jun 1 2012
На всякий случай firewall отключил, чтоб не мешался.
DNS вписан в client.conf
#DNS server to use
dhcp-option DNS 8.8.8.8

staticroute
18-06-2012, 17:17
из openvpn.log
Options error: Unrecognized option or missing parameter(s) in openvpn.conf:45: redirect (2.2.2)

OpenVPN 2.2.2 mipsel-linux-gnu [SSL] [LZO2] [EPOLL] built on Jun 1 2012
На всякий случай firewall отключил, чтоб не мешался.
DNS вписан в client.conf
#DNS server to use
dhcp-option DNS 8.8.8.8

поправил '-' забыл.

wig
18-06-2012, 17:43
поправил '-' забыл.
openvpn завелся, но из br0 ничего ни в lan2 (wan) в tap0 не попадает, клиентский комп подключенный к br0 теряет инет
firewall отключен, посему ничего не мешает пакетам ехать в tap0
В логе vpn все в порядке:
/sbin/ifconfig tap0 10.114.232.41 netmask 255.240.0.0 mtu 1500 broadcast 10.127.255.255
/sbin/route add -net 188.64.x.x netmask 255.255.255.255 gw 192.168.2.1
/sbin/route add -net 0.0.0.0 netmask 128.0.0.0 gw 10.114.192.1
/sbin/route add -net 128.0.0.0 netmask 128.0.0.0 gw 10.114.192.1

Из рутера traceroute
traceroute to rbc.ru (194.67.32.20), 30 hops max, 38 byte packets
1 localhost (10.114.192.1) 77.601 ms 36.704 ms 115.051 ms
2 h1net188-64-x-x.h1host.ru (188.64.x.x) 36.425 ms h1net188-64-x-y.h1host.ru (188.64.x.y) 47.630 ms h1net188-64-x-x.h1host.ru (188.64.x.x) 106.865 ms

Т.е. изнутри рутера - все классно, а из br0 - нет
А надо чтоб из br0 в tap0 ходило.

staticroute
18-06-2012, 17:50
openvpn завелся, но из br0 ничего ни в lan2 (wan) в tap0 не попадает, клиентский комп подключенный к br0 теряет инет
firewall отключен, посему ничего не мешает пакетам ехать в tap0
В логе vpn все в порядке:
/sbin/ifconfig tap0 10.114.232.41 netmask 255.240.0.0 mtu 1500 broadcast 10.127.255.255
/sbin/route add -net 188.64.x.x netmask 255.255.255.255 gw 192.168.2.1
/sbin/route add -net 0.0.0.0 netmask 128.0.0.0 gw 10.114.192.1
/sbin/route add -net 128.0.0.0 netmask 128.0.0.0 gw 10.114.192.1

Из рутера traceroute
traceroute to rbc.ru (194.67.32.20), 30 hops max, 38 byte packets
1 localhost (10.114.192.1) 77.601 ms 36.704 ms 115.051 ms
2 h1net188-64-x-x.h1host.ru (188.64.x.x) 36.425 ms h1net188-64-x-y.h1host.ru (188.64.x.y) 47.630 ms h1net188-64-x-x.h1host.ru (188.64.x.x) 106.865 ms

Т.е. изнутри рутера - все классно, а из br0 - нет
А надо чтоб из br0 в tap0 ходило.

iptables правила применили для tap0 br0 ?

чтобы заработал openvpn как клиент, необходимо добавить соответствующие правила iptables
и добавить нужные подсетки в роутинг (что по идее должен делать server push-ем).

в /usr/local/sbin/post-firewall добавьте:

iptables -I FORWARD -i br0 -o tap0 -j ACCEPT
iptables -I FORWARD -i tap0 -o br0 -j ACCEPT
iptables -t nat -A POSTROUTING -o tap0 -j MASQUERADE


и добавьте в client.conf:

dev tap0

видать все работает, раз молчите :)

wig
18-06-2012, 19:56
iptables правила применили для tap0 br0 ?

чтобы заработал openvpn как клиент, необходимо добавить соответствующие правила iptables
и добавить нужные подсетки в роутинг (что по идее должен делать server push-ем).

в /usr/local/sbin/post-firewall добавьте:

iptables -I FORWARD -i br0 -o tap0 -j ACCEPT
iptables -I FORWARD -i tap0 -o br0 -j ACCEPT
iptables -t nat -A POSTROUTING -o tap0 -j MASQUERADE


и добавьте в client.conf:

dev tap0

видать все работает, раз молчите :)
Прошу прощения, был вынужден отъехать )
Есть, завелось!
Я а то все пытался через route add, и отключил firewall. А оказалось, что через iptables можно.
Смущало, что MASQUERADE подменяет адреса в пакетах, а вовсе не маршрутизирует.
Спасибо!

P.S.: С меня полный скрипт управления этим каналом )
P.P.S.: Осталось прописать маршрут до йотамодема, чтоб и его контролировать.
Он по 172.16.0.1. Как в такой конфигурации до него достучаться?

kosenka
09-08-2012, 10:49
Добрый день.
Никто не согласится протестировать OpenVPN ?
Мне это нужно для понимания, смогут ли два роутера имеющие OpenVPN связаться друг с другом и создать VPN сеть.
На моем роутере стоит Tomato Firmware 1.28.0000 MIPSR2-097 K26 USB AIO-64K и поднят OpenVPN сервер.
Ключи для клиентов есть.
Заранее спасибо.

iojeg
09-08-2012, 13:55
Почти все шаги из http://www.hub.ru/wiki/%D0%9D%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D 0%B0_OpenVPN_%D0%B2_%D1%80%D0%BE%D1%83%D1%82%D0%B5 %D1%80%D0%B0%D1%85_Asus
или из
http://wl500g.info/showthread.php?8880-%D3%F1%F2%E0%ED%EE%E2%EA%E0-OpenVPN-%E2-%EE%F1%ED%EE%E2%ED%F3%FE-%EF%E0%EC%FF%F2%FC-%E4%EB%FF-%CD%CE%C2%C8%D7%CA%CE%C2&highlight=%E8%ED%F2%E5%F0%ED%E5%F2
сделал кроме одного - "После установки переименовываем новое сетевое соединение в "tun0"."
Что за соединение?У меня нету никакого нового соединения...винда 7 x64
Ощущение что я встрял на каком-то странном шаге...

kosenka
09-08-2012, 14:13
Почти все шаги из http://www.hub.ru/wiki/%D0%9D%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D 0%B0_OpenVPN_%D0%B2_%D1%80%D0%BE%D1%83%D1%82%D0%B5 %D1%80%D0%B0%D1%85_Asus
или из
http://wl500g.info/showthread.php?8880-%D3%F1%F2%E0%ED%EE%E2%EA%E0-OpenVPN-%E2-%EE%F1%ED%EE%E2%ED%F3%FE-%EF%E0%EC%FF%F2%FC-%E4%EB%FF-%CD%CE%C2%C8%D7%CA%CE%C2&highlight=%E8%ED%F2%E5%F0%ED%E5%F2
сделал кроме одного - "После установки переименовываем новое сетевое соединение в "tun0"."
Что за соединение?У меня нету никакого нового соединения...винда 7 x64
Ощущение что я встрял на каком-то странном шаге...

После того как установили openvpn-[ЧЕГО_ТО_ТАМ]-install.exe идем в "Панель управления\Сеть и Интернет\Сетевые подключения" и переименовываем сетевое соединение, которое создал openvpn-[ЧЕГО_ТО_ТАМ]-install.exe

А у вас openvpn-[ЧЕГО_ТО_ТАМ]-install.exe в win7 x64 установилось!? У меня не получается.

p.s. хотя я слышал, что openvpn-[ЧЕГО_ТО_ТАМ]-install.exe не может создать сетевое соединение и именно в win7 x64

Spartach
09-08-2012, 14:25
p.s. хотя я слышал, что openvpn-[ЧЕГО_ТО_ТАМ]-install.exe не может создать сетевое соединение и именно в win7 x64

http://swupdate.openvpn.org/community/releases/openvpn-2.2.2-install.exe
Встает и на 32 и 64 битной ОС, при инсталяции винда ругнется на установку драйвера, нужно разрешить.
Если не выключен UAG и соединение инициируете через GUI, то запускайте от имени Администратора, иначе косяки полезут, например не сможет добавить маршруты (прав не хватит), либо подключайтесь с помощью службы (ей хватит прав).

iojeg
09-08-2012, 14:27
А....я уж начал думать у меня руки совсем кривые =) Как тогда к впн коннектиться сделанному по тому способу? У меня на работе 7ка х64,очень хочется туннель до роутера дома.

Spartach
09-08-2012, 14:38
А....я уж начал думать у меня руки совсем кривые =) Как тогда к впн коннектиться сделанному по тому способу? У меня на работе 7ка х64,очень хочется туннель до роутера дома.

Если клиент у вас установился, и в логе установки проблем нет, то положите свой конфиг в каталог:
"C:\Program Files (x86)\OpenVPN\config\"
И разрешите автостарт службы OpenVPN через консоль Управление компьютером\Службы (ну и стртануть ее надо один раз).
Лог будет в каталоге "C:\Program Files (x86)\OpenVPN\log\"

iojeg
09-08-2012, 14:40
Все,этот встал хорошо и конфиг пашет,но видимо теперь всетаки трабл в роутере,как точно проверить что опенвпн запущен и работает?

Spartach
09-08-2012, 14:45
Все,этот встал хорошо и конфиг пашет,но видимо теперь всетаки трабл в роутере,как точно проверить что опенвпн запущен и работает?

установите htop из репозитория ("opkg install htop"), запустите его - увидите есть или нет процесс.
Ну адальше в логи смотреть на роутере, но нужно в конфиге сервера указать путь к логу.

iojeg
10-08-2012, 06:13
Процесс есть: /opt/sbin/openvpn --cd /opt/etc/openvpn --daemon --log-append /var/log/openvpn.log --config server.conf

А вот лог огорчает (почти весь лог)


Thu Aug 9 12:13:13 2012 /sbin/ifconfig tun0 10.8.0.1 pointopoint 10.8.0.2 mtu 1500
Thu Aug 9 12:13:13 2012 NOTE: unable to redirect default gateway -- Cannot obtain current remote host address
Thu Aug 9 12:13:13 2012 Listening for incoming TCP connection on [undef]:5000
Thu Aug 9 12:13:15 2012 /sbin/ifconfig tun0 0.0.0.0
Thu Aug 9 12:13:15 2012 SIGTERM[hard,init_instance] received, process exiting
Thu Aug 9 12:13:16 2012 OpenVPN 2.2.0 mipsel-linux [SSL] [LZO2] [EPOLL] [eurephia] built on Feb 18 2012
Thu Aug 9 12:13:16 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Thu Aug 9 12:13:16 2012 WARNING: file 'static.key' is group or others accessible
Thu Aug 9 12:13:16 2012 LZO compression initialized
Thu Aug 9 12:13:16 2012 TUN/TAP device tun0 opened
Thu Aug 9 12:13:16 2012 /sbin/ifconfig tun0 10.8.0.1 pointopoint 10.8.0.2 mtu 1500
Thu Aug 9 12:13:16 2012 NOTE: unable to redirect default gateway -- Cannot obtain current remote host address
Thu Aug 9 12:13:16 2012 Listening for incoming TCP connection on [undef]:5000
Thu Aug 9 12:13:17 2012 OpenVPN 2.2.0 mipsel-linux [SSL] [LZO2] [EPOLL] [eurephia] built on Feb 18 2012
Thu Aug 9 12:13:17 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Thu Aug 9 12:13:17 2012 WARNING: file 'static.key' is group or others accessible
Thu Aug 9 12:13:17 2012 LZO compression initialized
Thu Aug 9 12:13:17 2012 TCP/UDP: Socket bind failed on local address [undef]:5000: Address already in use
Thu Aug 9 12:13:17 2012 Exiting
Thu Aug 9 12:13:17 2012 OpenVPN 2.2.0 mipsel-linux [SSL] [LZO2] [EPOLL] [eurephia] built on Feb 18 2012
Thu Aug 9 12:13:17 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Thu Aug 9 12:13:17 2012 WARNING: file 'static.key' is group or others accessible
Thu Aug 9 12:13:17 2012 LZO compression initialized
Thu Aug 9 12:13:17 2012 TCP/UDP: Socket bind failed on local address [undef]:5000: Address already in use
Thu Aug 9 12:13:17 2012 Exiting
Вот что опенвпн на рабочем компе пишет

Fri Aug 10 08:54:12 2012 OpenVPN 2.2.2 Win32-MSVC++ [SSL] [LZO2] [PKCS11] built on Dec 15 2011
Fri Aug 10 08:54:12 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri Aug 10 08:54:12 2012 LZO compression initialized
Fri Aug 10 08:54:13 2012 TAP-WIN32 device [tun0] opened: \\.\Global\{46DB7F30-85B0-4DCF-90C2-DE8036516268}.tap
Fri Aug 10 08:54:13 2012 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.2/255.255.255.252 on interface {46DB7F30-85B0-4DCF-90C2-DE8036516268} [DHCP-serv: 10.8.0.1, lease-time: 31536000]
Fri Aug 10 08:54:13 2012 Successful ARP Flush on interface [20] {46DB7F30-85B0-4DCF-90C2-DE8036516268}
Fri Aug 10 08:54:13 2012 Attempting to establish TCP connection with 93.80.244.18:1194
Fri Aug 10 08:54:14 2012 TCP: connect to 93.80.244.18:1194 failed, will try again in 5 seconds: Connection refused (WSAECONNREFUSED)
TCP помоему куда-то неуда хочет коннектица,в конфиге указан мой дднс адрес

Spartach
10-08-2012, 06:35
А вот лог огорчает (почти весь лог)


Покажите конфиг сервера, клиента и правила iptables из post-firewall.

iojeg
10-08-2012, 08:32
Накопипастил команд отсюда
http://wl500g.info/showthread.php?8880-%D3%F1%F2%E0%ED%EE%E2%EA%E0-OpenVPN-%E2-%EE%F1%ED%EE%E2%ED%F3%FE-%EF%E0%EC%FF%F2%FC-%E4%EB%FF-%CD%CE%C2%C8%D7%CA%CE%C2&highlight=%E8%ED%F2%E5%F0%ED%E5%F2
В итоге после ребута ваще все проги фиг знает куда делись...Заново запустил скрипт установки прог для чайников...
Неужто нельзя нормальный гайд по установке всего с нуля написать?
У меня здесь http://wl500g.info/showthread.php?3171-%C8%ED%F1%F2%F0%F3%EA%F6%E8%FF-%EF%EE-%ED%E0%F1%F2%F0%EE%E9%EA%E5-%F0%EE%F3%F2%E5%F0%E0-WL-500gP-%F1-%ED%F3%EB%FF
Даже cat /usr/local/sbin/post-boot не работала.
Все,в отпуске на 2 недели,нафих этот линукс покачто)

tempik
10-08-2012, 20:56
Накопипастил команд отсюда
http://wl500g.info/showthread.php?8880-%D3%F1%F2%E0%ED%EE%E2%EA%E0-OpenVPN-%E2-%EE%F1%ED%EE%E2%ED%F3%FE-%EF%E0%EC%FF%F2%FC-%E4%EB%FF-%CD%CE%C2%C8%D7%CA%CE%C2&highlight=%E8%ED%F2%E5%F0%ED%E5%F2
В итоге после ребута ваще все проги фиг знает куда делись...Заново запустил скрипт установки прог для чайников...
Неужто нельзя нормальный гайд по установке всего с нуля написать?
У меня здесь http://wl500g.info/showthread.php?3171-%C8%ED%F1%F2%F0%F3%EA%F6%E8%FF-%EF%EE-%ED%E0%F1%F2%F0%EE%E9%EA%E5-%F0%EE%F3%F2%E5%F0%E0-WL-500gP-%F1-%ED%F3%EB%FF
Даже cat /usr/local/sbin/post-boot не работала.
Все,в отпуске на 2 недели,нафих этот линукс покачто)
Во первых посмотрите на дату первой ссылки (когда я ее писал это было актуально и там указаны условия при которых ничего не нарушится ...) По поводу написания "гайда по установке с нуля" ну так напишите ...
Или вы думаете здесь Вам кто-то должен???

staticroute
11-08-2012, 01:29
Накопипастил команд отсюда
http://wl500g.info/showthread.php?8880-%D3%F1%F2%E0%ED%EE%E2%EA%E0-OpenVPN-%E2-%EE%F1%ED%EE%E2%ED%F3%FE-%EF%E0%EC%FF%F2%FC-%E4%EB%FF-%CD%CE%C2%C8%D7%CA%CE%C2&highlight=%E8%ED%F2%E5%F0%ED%E5%F2
В итоге после ребута ваще все проги фиг знает куда делись...Заново запустил скрипт установки прог для чайников...
Неужто нельзя нормальный гайд по установке всего с нуля написать?
У меня здесь http://wl500g.info/showthread.php?3171-%C8%ED%F1%F2%F0%F3%EA%F6%E8%FF-%EF%EE-%ED%E0%F1%F2%F0%EE%E9%EA%E5-%F0%EE%F3%F2%E5%F0%E0-WL-500gP-%F1-%ED%F3%EB%FF
Даже cat /usr/local/sbin/post-boot не работала.
Все,в отпуске на 2 недели,нафих этот линукс покачто)


Thu Aug 9 12:13:17 2012 TCP/UDP: Socket bind failed on local address [undef]:5000: Address already in use

Означает, что у вас порт 5000 занят каким-то приложением на роутере.

Да и не мешало бы сделать
chmod 0600 static.key

Вообще в этом случае у вас больше 1 клиента не сможет к роутеру подсоединится, если хотите полноценный VPN-сервер, читайте доки и настраивайте.

Rucha
19-08-2012, 13:18
Установил и насторил на роутере openvpn в режиме сервера.
Все работает, но есть проблемка:
Для открытия портов в фаерволе делаю


iptables -D INPUT -j DROP
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
iptables -t nat -I PREROUTING -i vlan1 -p udp --dport 1194 -j DNAT --to-destination $4:1194
iptables -A INPUT -j DROP
iptables -I INPUT -i tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -j ACCEPT
iptables -I FORWARD -o tun0 -j ACCEPT
iptables -I OUTPUT -o tun0 -j ACCEPT

, но это помогает только если этот код выполнять после поднятия tun интерфейса с помощью команды "/sbin/insmod tun" в S20openvpn. Если писать это в post-firewall, то клиенты достучаться до сервера не могут, видимо из-за того, что на момент выполнения правил фаервола tun0 интерфейса еще не существует.
В принципе, такая ситуация меня устраивает, но дело в том, что в случае пропадания интернета на WAN-е и последующего его появления (провайдер балуется) клиенты опять не могут достучаться до сервера - надо перезапускать S20openvpn.
Как избежать необходимости передергивания S20openvpn в случае пропадания инета?

ЗЫ: S20openvpn:


#!/bin/sh
#
# Startup script for openvpn as standalone server
#

# Make sure IP forwarding is enabled
echo 1 > /proc/sys/net/ipv4/ip_forward

# Make device if not present (not devfs)
if ( [ ! -c /dev/net/tun ] ) then
# Make /dev/net directory if needed
if ( [ ! -d /dev/net ] ) then
mkdir -m 755 /dev/net
fi
mknod /dev/net/tun c 10 200
fi

# Make sure the tunnel driver is loaded
if ( !(lsmod | grep -q "^tun") ); then
/sbin/insmod tun
fi

# I you want a standalone server (not xinetd), comment out the return statement below
# return 0


## This is for standalone servers only!!!!
# Kill old server if still there
if [ -n "`pidof openvpn`" ]; then
killall openvpn 2>/dev/null
fi

# Start afresh - add as many daemons as you want
/opt/sbin/openvpn --daemon --cd /opt/etc/openvpn --config server.conf

iptables -D INPUT -j DROP
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
iptables -t nat -I PREROUTING -i vlan1 -p udp --dport 1194 -j DNAT --to-destination $4:1194
iptables -A INPUT -j DROP
iptables -I INPUT -i tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -j ACCEPT
iptables -I FORWARD -o tun0 -j ACCEPT
iptables -I OUTPUT -o tun0 -j ACCEPT

# [EOF]

zerg
24-08-2012, 23:45
9252Здравствуй,
Я установил OpenVPN на мой wl500gp маршрутизатору (wl500gp-1.9.2.7-RTN-r4051 прошивкa). Для этого я использовал несколько тем форума:
Установка OpenVPN в основную память для НОВИЧКОВ (http://wl500g.info/showthread.php?8880-Установка-OpenVPN-в-основную-память-для-НОВИЧКОВ)
HowTo install OpenVPN server (http://wl500g.info/showthread.php?5312-HowTo-install-OpenVPN-server)
HowTo: Routing all client traffic through the VPN (http://wl500g.info/showthread.php?17034-HowTo-Routing-all-client-traffic-through-the-VPN)

Чтобы направить весь трафик через VPN использую "redirect-gateway " . К сожалению, когда я использую этот вариант я не могу получить доступ к Интернету.
Я хочу, когда я делаю VPN, чтобы иметь возможность доступа к внутренней сети и интернет в то же время. В настоящее время я вижу только устройства за wl500g маршрутизатор.

Это мои файлы конфигурации:
Openvpn client Setting :


remote 78.90.xxx.xxx
dev tun0
port 5190
proto tcp-client
ifconfig 10.8.0.2 10.8.0.1
secret static.key
redirect-gateway
dhcp-option DNS 10.8.0.1

OpenVPN Server server.conf:


dev tun0
port 5190
proto tcp-server
ifconfig 10.8.0.1 10.8.0.2
secret static.key
# Routing all client traffic (including web-traffic) through the VPN
push "redirect-gateway"
push "dhcp-option DNS 10.8.0.1"

Post-Firewall :

#!/bin/sh
iptables -D INPUT -j DROP
iptables -I INPUT -p tcp --dport 5190 -j ACCEPT
iptables -t nat -I PREROUTING -i vlan1 -p tcp --dport 5190 -j DNAT --to-destination 192.168.10.1:5190
iptables -A INPUT -j DROP
iptables -I INPUT -i tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -j ACCEPT
iptables -I FORWARD -o tun0 -j ACCEPT
iptables -I OUTPUT -o tun0 -j ACCEPT



Пожалуйста, помогите мне понять, где я могу что-то изменить, чтобы заставить ее работать. Странное дело в том, что ничего не работает во время VPN - Skype, коммуникатор, просмотр веб-страниц, но я могу сделать Traceroute.


Tracing route to dir.bg [194.145.63.12]
over a maximum of 30 hops:

1 58 ms 49 ms 48 ms 10.180.255.255
2 72 ms 87 ms 118 ms 10.180.255.1
3 91 ms 77 ms 99 ms 213.226.57.2
4 83 ms 78 ms 78 ms 213.226.0.221
5 84 ms 98 ms 77 ms dirbg.bix.bg [193.169.198.165]
6 74 ms 48 ms 99 ms dir.bg [194.145.63.12]

Trace complete.
Есть ли у вас идеи, если это somethng делать с Iptables?

LavTeam
07-09-2012, 08:00
Имеется N16, имеется интернет (onlime, по DHCP), имеется работа на которой поднят VPN PPTP сервер.
Можно ли (и как) устанавливать VPN соединение сразу на роутере (на данный момент прошивка родная)?

PS Роутер должен выступать VPN клиентом по существующему каналу интернета(чтоб не винде подключаться, а роутер держал подключение).



PS Не понятно почему моё сообщение перенесли в эту тему, но вопрос именно по VPN PPTP (нет, не по openvpn)

orangeade
21-09-2012, 06:39
Проблема в следующем:
Поднял OpenVPN на маршрутизаторе dir-320 с прошивкой 1.9.2.7-rtn. Все работает, клиенты цепляются и видят друг друга. Но нет возможности для пользователей узнать кто в данный момент в сети. Постоянно пинговать друг друга немного муторно, тем более клиентов много. Дать доступ к OpenVPN-кому файлу status для всех клиентов тоже считаю не правильным. Решил поднять на маршрутизаторе IM сервер, но как оказалось готовых решений не так много, а документации почти нет. Пробовал ставить BitlBee, но так и не смог поднять (и вообще не уверен, что он может работать как im сервер).

Подскажите реально ли решить мою проблему и в какую сторону копать?