PDA

Bekijk de volledige versie : VPN сервер на WL-500gP



Coolty
03-06-2007, 16:33
Возможно ли поднять ? и например если роутер соеденен с провайдером через кторого он выходить в интернет то можно сделать что бы все данные шли от роутера уже в зашифрованном виде ?

Rambalac
03-06-2007, 16:43
Ищи тут об openvpn. Мне хватило того что тут нашел чтоб поставить. В линуксе не бум бум

Coolty
03-06-2007, 17:48
а можно ответ на поставленный мною вопрос ? по поводу шифрования от роутера до провайдера ?

Coolty
03-06-2007, 17:50
немного другой вопрос тогда .а что мне дает этот опенвпн ? ) и как сделать что бы впн не имел прокси ?

dimitar
03-06-2007, 18:45
http://citforum.ru/howto/smart-questions-ru.shtml
http://www.ln.com.ua/~openxs/articles/smart-questions-ru.html
http://bugtraq.ru/forum/faq/general/smart-questions.html

Coolty
03-06-2007, 20:08
-))) вобщем еще раз попробую более понятно обьяснить ) Вобщем дома есть локальная сеть которая соединяеться с роутером и через роутер по wi-fi выходят несколько компьютеров . Интересует такой вопрос . Роутер соединяеться с впн моей сети и выходит в интернет . А что если на роутере будет OpenVpn ? То пакеты идущие от ОпенВпн роутера до сервера впн моей сети будут шифроваться и что с ними будет и будут ли они шифроватсья в интернете ?

dimitar
03-06-2007, 21:05
Прежде, чем спрашивать... (http://www.ln.com.ua/~openxs/articles/smart-questions-ru.html#before)


Прежде, чем задавать технический вопрос по электронной почте или в дискуссионную группу, в чате или на форуме, сделайте следующее:

Процедура 1.

1. Попытайтесь найти ответ с помошью поиска по архивам форума, в котором вы собираетесь задать вопрос.
2. Попытайтесь найти ответ с помошью поиска в Web.
3. Попытайтесь найти ответ в руководстве.
4. Попытайтесь найти ответ в списке часто задаваемых вопросов (ЧаВО).

...
Потратьте время на поиск решения. Не думайте, что сможете решить сложную проблему, поискав в Google несколько секунд. Почитайте и попытайтесь понять ответы из разных ЧаВО, посидите, расслабтесь и немного подумайте над проблемой, прежде чем обращаться к экспертам. Поверьте, по вашим вопросам они смогут понять, как много вы читали и думали, и с большим удовольствием помогут, если вы подготовились. Не надо забрасывать людей вопросами только потому, что при поверхностном поиске вы не нашли ответов (или получили их слишком много).

http://ru.wikipedia.org/wiki/VPN

включите серое вещество и поразмышляйте - "конечный" пункт вашего VPN-подключения находится в пределах локалки или уже в интернете?

кроме того, openvpn - это сервер, а не клиентский софт, не он коннектится, а к нему коннектятся. подумайте над этим

Coolty
03-06-2007, 21:23
ну я к нему буду конектиться а уже через него буду иметь доступ в сеть и в интернет через впн сети . такое возможно ?

Coolty
03-06-2007, 21:30
Если разсуждать то дома у меня собственная сеть . в ней находяться ноутбук , домашний пк , псп . то почему нельзя соединиться с Openvpn на роутере с помощью wi-fi и дальше уже идти в сеть и в интернет ? Сорри за ламерские вопросы )

Duke
03-06-2007, 21:52
Если все данные от роутера будут идти в зашифрованном виде, то кто их будет расшифровывать? :D

FilimoniC
04-06-2007, 06:40
Человек чувствуется либо редкостный лентяй либо ужасный ламер :)
Вам ВПН в принципе зачем?
- у вас чтобы выйти в интернет надо подянть впн-соединение(как вы это под винду делали)? Тогда вам нужен клиентский софт а не серверный,то есть от компа до роутера траффик идет обычный,а роутер уже его шифрует и передает впн-серверу-шлюзу в интернет

FilimoniC
04-06-2007, 06:44
Впн-сервер используется когда надо например подключиться к домашней сети,например с работы имитировать ситуацию как будто комп подключен напрямую к роутеру
либо для параноиков,но судя по вам,оно вам не нужно чтобы шифроваться,а значит это лечат :)
**извините что в 2 сообщения-пишу с мобилы,тут ограничение на длинну

e226329
05-06-2007, 13:33
-))) вобщем еще раз попробую более понятно обьяснить ) Вобщем дома есть локальная сеть которая соединяеться с роутером и через роутер по wi-fi выходят несколько компьютеров . Интересует такой вопрос . Роутер соединяеться с впн моей сети и выходит в интернет . А что если на роутере будет OpenVpn ? То пакеты идущие от ОпенВпн роутера до сервера впн моей сети будут шифроваться и что с ними будет и будут ли они шифроватсья в интернете ?

Я не знаю ответа зато понял вопрос :)
Вам нужно, похоже, два впн:
1. В вашей локалке домашней - чтобы клиентские машины по шифрованному каналу соединялись с роутером.
2. Для того чтобы роутер соединился с провайдером и получил доступ в интернет.

В отношении второго вопрос неоднократно обсуждался на форуме - сделать можно. Будет или нет в нем шифрование зависит от провайдера.

А вот как сделать первый впн, чтобы принимать клиентские соединения и маршрутизировать их во второй - это и мне интересно - можно тогда субпровайдингом заняться :)

Надо почитать про openvpn ...

Mirage-net
05-06-2007, 14:40
to Coolty если не понимаете принципов действия чего-либо не надо пытаться применять разные красивые термины ... описывайте задачу подробно и простыми словами, например:
"Мне надо купить хлеба. По пути в магазин нужно открыть два замка на входной двери, вызвать лифт, спуститься на третий этаж ...." Тогда скорее получишь ответ именно на твою задачу а не ссылки на описание терминов которые ты используешь ...

askold99
04-07-2007, 18:58
Необходимо осуществить следующую задачку...

Есть домашняя локалка с внешним IP, с инетом через VPN и локальными сетевыми ресурсами, в общем, всё как обычно.

Есть офисная локалка без внешнего IP с выходом в инет. По некоторым причинам от офисного сервера (freebsd, если это имеет значение), раздающего по офису инет, траффик через провайдера должен идти в закрытом от провайдера виде.

А теперь вопрос: возможно ли, купив 500gP, перепрошив и поставив его дома, раздавать для домашних компов инет по WiFi, и при этом поднять на нём же VPN сервер для того, чтобы офисный сервер подсоединялся к нему через WAN и ходил через него в инет дальше?

Возможно, описано коряво, но надеюсь что-то будет понятно :rolleyes:

SpiderX
04-07-2007, 19:58
Пока никаких проблем для достижения результата не вижу.
вот (http://wl500g.info/showthread.php?t=8880) в помощь.

GreenHat
10-10-2007, 17:13
Здравствуйте Oleg.

Очень заинтересовала железка ASUS WL-500g Premium и ваша прошивка, как наиболее, по отзывам, адекватная.

Использовать планируется в малом офисе(8 ПК, 2 Lan Print, 1 ПК включенный постоянно под управлением WinXP)

Задачи, упонинания о которых не нашел на форуме:
1. Хотелось бы имень возможность одного удаленного подключения к сети допустим из дома или еще откуданить(VPN)
2. Хотелось бы организовать статистику потребления сотрудниками трафика. Для анализа логов можно использовать круглосуточно включенный ПК.

Возможно ли реализация этих задачь с использованием WL-500g Premium?!

Если да - как?!
Если нет - а не подскажите железяку, которая позволит. Основные критерии:
- аппаратная и програмная надежность
- функции стандартного рутера: Firewall, DHCP и др.
- вышеперечисленные задачи
- стоимость, соразмерная цене WL-500g Premium
- Наличие встроенного USB порта для создания файл сервера приветствуется
- наличие Wi-Fi не требуется

Умников, желающих посоветовать использовать полноценный сервер, просьба не утруждать ся коментами. Вариант рассмотрен и отклонен.

Заранее благодарен (потенциально булькает ;).

Mam(O)n
10-10-2007, 18:28
Хотелось бы имень возможность одного удаленного подключения к сети допустим из дома или еще откуданить(VPN)
Поиск на форуме по openvpn.

Хотелось бы организовать статистику потребления сотрудниками трафика. Для анализа логов можно использовать круглосуточно включенный ПК.
Можно организовать подсчет трафика на встроенном файрволе. Если нужно писать логи, тогда нужно поднимать прокси (возможно squid).


Наличие встроенного USB порта для создания файл сервера приветствуется
На асусе usb дисковая подсистема - узкое место. На большие скорости обмена инфой с hdd расчитывать не стоит.

Rolisov
28-10-2007, 12:50
Поиск на форуме по openvpn.


Возможно ли поднятие на роутере VPN-сервера, который будет принимать стандартные запросы от Windows-клиента VPN (без инсталляция клиента openvpn) из районной сети с такой же адресацией как у роутера? Если да, то какие и как пакеты нужно ставить? Заранее спасибо.

Mam(O)n
06-11-2007, 17:08
Попробуйте натравить поиск на poptop, но его мало кому удалось поднять.

ushakov
10-02-2008, 00:35
Есть ли решение в прошивках (офиц или альтерн) по созданию сервера-VNP на базе прибора? Поскольку несведущь в Linux... читал, читал, но только какие-то невнятные кусочки. В некоторых router-ах (DLink-804HV) есть управление сервером VPN, где-то есть управление IPSec тонелями, в данном приборе ничего подобного не нашел, видимо спрятанно где-то в недрах Linux. Дайте консультацию или ссылку - где черпнуть инфы по вопросу "Вход из WAN в локальную сеть по VPN без установки сервера на ПК" (или прога-клиент на ПК и IPSec тунель).

Tresh
10-02-2008, 01:14
Есть пакет openvpn.
Как устанавливать и настраивать дополнительные пакеты описано в прикрепленной теме.

http://wl500g.info/showthread.php?t=8880&highlight=openvpn

ushakov
10-02-2008, 22:41
Спасибо за ссылку, но это читал, требуется OpenVPN... а на обычном PPTP можно заставить работать? Клиентов OpenVPN еще надо найти, потестить, убедиться, что все будет длительно работать... А PPTP клиент есть в любой винде, сам он опробирован. Дело в том, что взял роутер DLink DI-804VH, в нем есть встроенный сервер VPN, все просто и чинно в настройках, юзеров заводишь и вперед, одна проблема - долго (длительно) не работает...:) Хорошо, а простой настройки тоннелей в 500-том нет (через Веб-инрерфейс)? Что-то я не нашел... Тоже все ручками надо делать?

ushakov
10-02-2008, 23:06
Скачал клиента OpenVPN, поставил, бегло ознакомился, как понял, его можно тестить и прямым соединением ПК-ПК, а потом переходить на роутеры и т.п. еще раз спасибо, кажется, понял куда копать...;)

ink0gnit0
12-02-2008, 08:12
Посмотри еще такую тему http://wl500g.info/showthread.php?t=12833

rgaliull
12-02-2008, 13:14
какой же сервер впн заводить?
у меня нет данного роутера, но по "большим братьям" знаю:
1.опенвпн заводится с полпинка + можно роуты прописывать на клиенте. на винде не сложно установить программку и подложить папку с ключами и конфигом :) любой пользователь справится.
2. pptp заводится с полпинка и тоже очень все просто, но изза того что нет нормальных мануалов, случаются детские ошибки(о которых пишут в данном форуме постоянно). работает вроде нормально, на большом количестве пользователей не проверял.
3. l2tp + IPSec это стандарт и работает в ядре. пишут что все просто, но пугает количество действий на виндовом клиенте по настройке (или все просто?) не пробовал.
Уверен, что каждый из этих вариантов настроить можно. Вопрос:
1. что будет работать лучше всего?
2. что жрет ресурсов меньше всего?

Spacesoft
12-02-2008, 15:17
1. по моему единственная реализация vpn которая хоть как-то работает на 500 (есть ещё vtun , но под него нет win-клиентов)
2. с полпинка заводится клиент, реализация сервера нa роутере работаает на 10% , подключение win-клиента происходит при правильном расположении звёзд.
3. имхо на сегодняшний день фантастика, про чистый ipsec не слышал, про l2tpd тем более.
________
1. imho vtun , возможно ещё openvpn.
2. imho vtun , ибо отрубается компрессия и шифрование.

Есть ещё вариант закатать dd-wrt прошивку (http://www.dd-wrt.com/wiki/index.php/Installation#Asus_WL500G_.28Original.29), как будет работать на асусе - не проверял, нo насколько знаю там реализован openvpn и pptp серв (http://www.dd-wrt.com/wiki/index.php/PPTP_Server_Configuration).

Ruax
21-03-2008, 16:33
Проблема в следующем:
У нас в Москве на данный момент немало сетей объеденены в пиринге между собой. По домашнему адресу я подключен к одной локалке, а работаю я в другой. Как возможно осуществить проброс туннеля по пирингу с моей работы на домашний комп? (wl500gp).
з.ы. доступ ко всем нужным серверам во второй локалке есть.
Зарнее благодарен.

Oleg
22-03-2008, 12:36
Читайте про OpenVPN.

Ruax
22-03-2008, 12:45
Спасибо за помощь)

tchaynik
26-03-2008, 13:45
Пытаюсь установить openVPN на роутер.
Роутер предпологалось сделать клиентом.
На роутере стоит USB-flash и монтируется через fstab в /opt
делаю следующее:

ipkg.sh update && ipkg.sh install ipkg && ipkg update
делается без проблем
далее делаю вот это и результат там же


[admin@fw root]$ ipkg install openvpn
Installing openvpn (2.0.7-1) to root...
Downloading http://ipkg.nslu2-linux.org/feeds/unslung/wl500g/openvpn_2.0.7-1_mipsel.ipk
Nothing to be done
An error ocurred, return value: 1.
Collected errors:
ERROR: Cannot satisfy the following dependencies for openvpn:
kernel-module-tun

Как с этим побороться ??

Oleg
26-03-2008, 14:04
А причём тут 1.9.2.7-9? Так "всегда было и будет". :)

Надо форсить, ибо модуль этот - часть прошивки.

ЗЫ: Поиск рулит.

tchaynik
26-03-2008, 14:17
А причём тут 1.9.2.7-9? Так "всегда было и будет". :)

Надо форсить, ибо модуль этот - часть прошивки.

ЗЫ: Поиск рулит.
Тупимс. Сорри

Teleporter
19-01-2009, 14:56
Приветствую! Подскажите, пожалуйста...

Как поднять VPN-сервер на WL-500g Premium2 ?
или на каком wi-fi роутере можно поднять VPN-сервер?

Какая нужна прошивка?



p.s. форум продолжаю штудировать,
ответа пока не нашел:)

AndreyPopov
19-01-2009, 15:28
Приветствую! Подскажите, пожалуйста...

Как поднять VPN-сервер на WL-500g Premium2 ?
или на каком wi-fi роутере можно поднять VPN-сервер?

Какая нужна прошивка?



p.s. форум продолжаю штудировать,
ответа пока не нашел:)

OpenVPN можете поднять.

в прошивках DD-WRT версии standart есть встроенный PPTP сервре, а в mega еще добавлен и OpenVPN.

Teleporter
19-01-2009, 16:20
OpenVPN можете поднять.

в прошивках DD-WRT версии standart есть встроенный PPTP сервре, а в mega еще добавлен и OpenVPN.

Если можно, пожалуйста, подкиньте линки, откуда качать?

Есть ли в этих прошивках веб-интерфейс?..

AndreyPopov
19-01-2009, 16:26
Если можно, пожалуйста, подкиньте линки, откуда качать?

Есть ли в этих прошивках веб-интерфейс?..
есть web интерфейс.
качать с сайта DD-WRT :D там на первой странице есть раздел Donwloads

JipJip
03-04-2009, 09:45
Подскажите, пожалуйста, как грамотно организовать такую схему:
Есть DIR-320 который благодаря Олегу смело считает себя wl500gp v2. :)
Подключен к и-нету (думаю не важно как, главное что имеет внеший белый ip адрес) и успешно его раздает в локалку через lan + wifi. Требуется поднять на коробочке VPN сервер, который через и-нет канал (wan) подключал бы клиентов ( т.е. из вне) в локалку и пускал их в интернет через себя (как он уже пускает клиентов локалки). Только не отвечайте, пожалуйста :"Нет сынок, это фантастика..." :confused:

Tussin
03-04-2009, 09:47
Инструкцию по установке&настройке OpenVPN в поиске можно найти

JipJip
03-04-2009, 09:51
Инструкцию по установке&настройке OpenVPN в поиске можно найти
Отлично, спасибо ! Т.е. OpenVPN из ipkg способен решить данную задачу полностью ? Т.е. не только пустить в lan, но и в инет, как клиента lan ?

И еще вопрос: ip адрес внешний белый, но динамический.

featZima
03-04-2009, 12:22
Тут наверно поможет DynDNS

JipJip
03-04-2009, 13:10
Тут наверно поможет DynDNS
DynDNS уже помогает. :) Я к тому, что в темах форума встречается жесткое прописывание ip в iptables. Хотя я уже нашел подстановку вместо ip "переменных" (напр. $1-$4). Накачал мануалов с форума, куча постов про OpenVPN, на выходных буду пробовать.

Wolfgun
03-04-2009, 13:42
Инструкцию по установке&настройке OpenVPN в поиске можно найти

С OpenVPN много мороки + его еще надо настроить для доступа в локалку + NetBios не ходит :)
JipJip Зачем тебе чтоб VPN клиенты ходили в инет через роутер ????
Это только увеличивает задержки + нагрузка на роутер
Да и сколько клиентов надо чтоб конектились ???

JipJip
03-04-2009, 14:05
С OpenVPN много мороки + его еще надо настроить для доступа в локалку + NetBios не ходит :)
JipJip Зачем тебе чтоб VPN клиенты ходили в инет через роутер ????
Это только увеличивает задержки + нагрузка на роутер
Да и сколько клиентов надо чтоб конектились ???
Скажем так, роутер находится в "оффшорной зоне" :) . Т.е.
на него и с него - льготный трафик для "удаленных" клиентов. Клиентов максимум 5. Они подключаеются через точку у которой так же белы внешний ip. Может существует другое решение ? Задача - используя и-нет как канал добраться из п.А в п.Б а через п.Б уже в интернет.

Wolfgun
03-04-2009, 14:34
А Вы читать внимательно умеете ?????
Я помойму уже и ссылку дал :mad:
Только надо голову включить и мнимательно прочитать, а вопросы задавать в теме которую Вы выберете.
А еще google есть!!!


P.S. Что то я злой стал, теперь понимаю старожилов когда задавал глупые вопросы

ivlis
03-04-2009, 14:45
SOLVED http://habrahabr.ru/blogs/linux/56652/

Всем привет!

Я пытаюсь объединить две локальные сети с помощью соединения по тунелю openvpn. Схема соединения выглядит следующим образом:



=============== ===============
router1 | | router2 |
192.168.1.1 | | 192.168.2.1 |
openvpn(tun0) |===============|openvpn(tun0)|
192.168.255.1 | |192.168.255.5|
192.168.255.2 | |192.168.255.6|
============== ===============
| |
server1 server2
192.168.1.5 192.168.2.5



routrer1 выступает в качестве сервера, а router2 в качестве клиента openvpn. Они друг друга пингуют, то есть тунель работает отлично.

Я прописал маршруты рутинга на обоих роутерах:

router1


192.168.255.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.2.0 192.168.255.2 255.255.255.0 UG 0 0 0 tun0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
192.168.255.0 192.168.255.2 255.255.255.0 UG 0 0 0 tun0



router2



192.168.255.6 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.255.1 192.168.255.6 255.255.255.255 UGH 0 0 0 tun0
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
192.168.1.0 192.168.255.6 255.255.255.0 UG 0 0 0 tun0


После этого служилась интересая ситуация, router2 может пинговать 192.168.1.1 и 192.168.1.5. Router1 не может пингвать 192.168.2.1 и сеть за ним. Машины server1 и server2 не могут пинговать друг друга в обе стороны.

Например, при пинге от server2 на router2:



tcpdump -nnni tun0 proto \\icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type LINUX_SLL (Linux cooked), capture size 68 bytes
11:30:34.416272 IP 192.168.2.5 > 192.168.1.5: icmp 64: echo request seq 5
11:30:35.418467 IP 192.168.2.5 > 192.168.1.5: icmp 64: echo request seq 6
11:30:36.415630 IP 192.168.2.5 > 192.168.1.5: icmp 64: echo request seq 7


Однако на router1 полная тишина на tun0.

Я всё напстраивыал по многчисленным мануалам, например этому:
http://www.opennet.ru/base/net/openvpn_setup.txt.html с той лишь разницей, что ip у vpn сервера и клиента разные.


У меня есть подозрения, что виновата таблица маршоризации, которую вбивает корбина, но ничего подозрительно я найти не могу:


route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
85.21.88.130 10.149.64.1 255.255.255.255 UGH 0 0 0 vlan1
85.21.192.3 10.149.64.1 255.255.255.255 UGH 1 0 0 vlan1
195.14.50.16 10.149.64.1 255.255.255.255 UGH 0 0 0 vlan1
217.118.84.213 10.149.64.1 255.255.255.255 UGH 0 0 0 vlan1
85.21.52.254 10.149.64.1 255.255.255.255 UGH 0 0 0 vlan1
195.14.50.21 10.149.64.1 255.255.255.255 UGH 0 0 0 vlan1
195.14.50.26 10.149.64.1 255.255.255.255 UGH 0 0 0 vlan1
89.179.135.67 10.149.64.1 255.255.255.255 UGH 0 0 0 vlan1
213.234.192.8 10.149.64.1 255.255.255.255 UGH 1 0 0 vlan1
85.21.0.253 10.149.64.1 255.255.255.255 UGH 2 0 0 vlan1
192.168.255.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
195.14.50.93 10.149.64.1 255.255.255.255 UGH 0 0 0 vlan1
78.107.69.98 10.149.64.1 255.255.255.255 UGH 0 0 0 vlan1
217.118.84.249 10.149.64.1 255.255.255.255 UGH 0 0 0 vlan1
78.107.235.4 10.149.64.1 255.255.255.252 UG 0 0 0 vlan1
85.21.72.80 10.149.64.1 255.255.255.240 UG 0 0 0 vlan1
78.107.51.0 10.149.64.1 255.255.255.240 UG 0 0 0 vlan1
85.21.108.16 10.149.64.1 255.255.255.240 UG 0 0 0 vlan1
83.102.231.32 10.149.64.1 255.255.255.240 UG 0 0 0 vlan1
85.21.138.208 10.149.64.1 255.255.255.240 UG 0 0 0 vlan1
83.102.146.96 10.149.64.1 255.255.255.224 UG 0 0 0 vlan1
233.32.240.0 10.149.70.201 255.255.255.0 UG 0 0 0 vlan1
192.168.2.0 192.168.255.1 255.255.255.0 UG 0 0 0 tun0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
172.16.16.0 10.149.64.1 255.255.255.0 UG 0 0 0 vlan1
85.21.90.0 10.149.64.1 255.255.255.0 UG 0 0 0 vlan1
78.107.23.0 10.149.64.1 255.255.255.0 UG 0 0 0 vlan1
85.21.79.0 10.149.64.1 255.255.255.0 UG 0 0 0 vlan1
192.168.255.0 192.168.255.2 255.255.255.0 UG 0 0 0 tun0
10.149.64.0 0.0.0.0 255.255.248.0 U 0 0 0 vlan1
10.0.0.0 10.149.64.1 255.0.0.0 UG 0 0 0 vlan1
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 85.21.0.252 0.0.0.0 UG 0 0 0 ppp0
0.0.0.0 10.149.64.1 0.0.0.0 UG 1 0 0 vlan1



Уважаемые гуру, помогите разрулить ситуацию. Что-то тут видимо специфичное для роутеров, до этого я настраивал openvpn только на обычных компах, всё было шикарно.

Если это важно, то router1 wl500gP. router2 wl500W

Спасибо заранее.

Power
03-04-2009, 20:13
Я, конечно, не очень много понимаю в (open)vpn, но мне кажется, что в point-to-point участвуют два адреса - на одном конце и на другом. А у вас их целых четыре (192.168.255.1, 192.168.255.2, 192.168.255.5, 192.168.255.6). Вы уверены, что это правильно?

JipJip
03-04-2009, 20:17
А Вы читать внимательно умеете ?????
Я помойму уже и ссылку дал :mad:
Только надо голову включить и мнимательно прочитать, а вопросы задавать в теме которую Вы выберете.
А еще google есть!!!
P.S. Что то я злой стал, теперь понимаю старожилов когда задавал глупые вопросы
Ну не ругайся, пожалуйста. За ссылку СПАСИБО, просто вдруг я не с того конца за дело берусь вдруг есть что-то лучше VPN, вот и уточнил лишний раз. А так и на форуме много чего почерпнул и гуглил и на WD винт в wiki нашел как OpenVPN поставить очень подробно, так что буду пробовать. Подскажи еще, пожалуйста, у меня сейчас стоит прошивка Олега 10а, а ты рекомендуешь ставиль от lly ?
Сейчас 211 последняя. С iptables действительно проблемы на 10а, половины ключей не понимает.

Wolfgun
04-04-2009, 08:13
На 10а не ставил и думаю работать не будет pppd и iptables не меняли.
R-221 не пробовал ну думаю работать будет
Тебе придется правила POSTROUTING писать на твой WAN порт и разбиратся с DNS.

Поищи темы с OPenVPN Была тема как у тебя
Там товарищ что делал localDNS и tun
там что то не определялось автоматом.

oxygen121
04-04-2009, 10:04
Мне тоже бы хотелось настроить с использованием опенвпн туннель сайт ту сайт я думаю что на каждом интерфейсе tun0 нужно по 1 айпишнику , туннель поинт ту поинт

В семпл конфиге написано
This file is for the server side #
# of a many-clients <-> one-server #
# OpenVPN configuration. #
# #
# OpenVPN also supports #
# single-machine <-> single-machine #
# configurations (See the Examples page #
# on the web site for more info). #
# #
# This config should work on Windows #
# or Linux/BSD systems. Remember on #
# Windows to quote pathnames and use #
# double backslashes, e.g.: #
# "C:\\Program Files\\OpenVPN\\config\\foo.key"


соответственно нам нужен режим работы опенвпн single-machine <-> single-machine

В общем нужно крутить конфиг и пробывать , если у кого получтися выложите конфиг

Тут по инету посерчил нашел несколько мануалов может поможет
http://www.dd-wrt.com/wiki/index.php/OpenVPN_-_Site-to-Site_routed_VPN_between_two_routers
http://www.dd-wrt.com/wiki/index.php/OpenVPN_-_Site-to-Site_Bridged_VPN_Between_Two_Routers

ivlis
05-04-2009, 12:54
oxygen121, спасибо огромное за ссылки. Видимо с tun это действительно не возможно и надо делать tap. Как всё сделаю (а там ещё несколько проблем возникает, но решение я вроде вижу), обязательно отпишусь, думаю многим будет полезно.

Я всё настроил, на коленке работает. Отпишусь подробно как всё оттестирую.

Ни один мануал небыл 100% корректным. :)

Подробное описание настроек http://habrahabr.ru/blogs/linux/56652/

Если нужно могу перепостить тут в отдельном топике

JipJip
06-04-2009, 09:37
На 10а не ставил и думаю работать не будет pppd и iptables не меняли.
R-221 не пробовал ну думаю работать будет
Тебе придется правила POSTROUTING писать на твой WAN порт
и разбиратся с DNS.
Спасибо, поставил последнюю прошивку от lly. Роутер работает. Поднял OpenVPN пользуюясь сборным маном (форум+гугл+вики).
В результате есть ряд проблем:
1) dev tun0 + secret static.key + ifconfig = работает, т.е. пускает на роутер и дальше в и-нет.
При этом получается так:

client
10.8.0.1 * 255.255.255.255 UH 0 0 0 tun0 <-- Right rule !
192.168.1.0 * 255.255.255.0 U 0 0 0 wlan0
default dsl-500t 0.0.0.0 UG 0 0 0 wlan0

НО при этом у меня это получается руками, а хочется через nm-applet (у меня Ubuntu). Через GUI он не конектится - это описаный баг.
2) dev tun0 + ключ+серт. + server = не работает:

client
внеш.ip.роутера dsl-500t 255.255.255.255 UGH 0 0 0 wlan0
192.168.73.0 * 255.255.255.0 U 0 0 0 wlan0
default * 0.0.0.0 U 0 0 0 tun0

и все :(
что я только не делал:

push "route-gateway 10.8.0.1"
push "dhcp-option DNS 10.8.0.1"
push "dhcp-option WINS 10.8.0.1"
push "redirect-gateway"
push "redirect-gateway def1"
push "redirect-gateway local def1"

системе пофиг ! выдает левый роут с внешним ip и не на tun0 а в wan0.

Прошу совета. Если необходимо могу выложить все конфиги.

p.s.
Может стоит попробовать с tap а не tun и поставить server-bridge ?

p.s2.
Только что заметил что в первом варианте, если руками то вроде нормально, но внешний ip адрес у клиента остается прежним, т.е. он не через роутер во вне идет :( Помогите, пожалуйста с этими роутами вообще запутался ! Можно хотя бы просто рабочий пример команды route на клиенте и сервере.

JipJip
06-04-2009, 11:55
p.s3.
Если на клиенте пишу при включении VPN

sudo route del default wlan0
sudo route add -net внеш.ip.адрес netmask 255.255.255.255 gw dsl-500t metric 1
route add 0.0.0.0 MASK 0.0.0.0 10.8.0.1 METRIC 1
а при выключении возвращаю

sudo route del внеш.ip.адрес wlan0
sudo route add default gw dsl-500t
То пингуется руотер по адресу локалки 192.168.1.100 а не только по 10.8.0.1, ну и соответственно можно напр по ssh зайти на роутер по 192.168.1.100.
Куда рыть дальше пока не понимаю :confused:

Wolfgun
06-04-2009, 13:43
Пробуй Tap
OpenVPN не ставил .... С tap вроде все должно работать. Да где-то в аглиской ветки есть сылка на WiKi по установки на роутер

ivlis
06-04-2009, 14:43
Конфиг сервера и клиента openvpn в студию. У меня всё работает на 10ой прошивке.

Рулов iptables всего 4:


iptables -t nat -I PREROUTING -i eth1 -p tcp --dport 1194 -j DNAT --to-destination 192.168.1.1:1194
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT


ip нужен только внутренний роутера чтобы туда DNAT отправить, каким он параметром передаётся не стал разбираться, вбил ручками, изменить по вкусу :) Два последних рула дают возможность ходить пакетам между основным мостом локалки и vpn. Всё работает.

JipJip
06-04-2009, 17:37
Пробуй Tap
OpenVPN не ставил .... С tap вроде все должно работать. Да где-то в аглиской ветки есть сылка на WiKi по установки на роутер
Про TAP глянул, но хочется "красивого", ч.б. через GUI одной кнопкой и видеть по индикатору что сеть через vpn :-)

Конфиг сервера и клиента openvpn в студию. У меня всё работает на 10ой прошивке.
Спасибо, попробую !
Проблему я решил, но увы с помощью костылей:
1) При упрощенном конфиге (secret static.key):
Конфиг сервера
port 5190
proto udp
dev tun0
secret static.key
ifconfig 10.8.0.1 10.8.0.2
push "dhcp-option DOMAIN router.name"
push "dhcp-option DNS prov.dns.ip.1"
push "dhcp-option DNS prov.dns.ip.1"
push "route 10.8.0.1"
script-security 2
up ./server.up
chroot /tmp
В server.up


#!/bin/sh
route add -net 10.8.0.0 netmask 255.255.255.0 gw $5
Конфиг клиента

dev tun0
port 5190
proto udp
remote dyn.dns.subdomain
ifconfig 10.8.0.2 10.8.0.1
secret static.key


После запуска получается неверная таблица роутов:


10.8.0.1 * 255.255.255.255 UH 0 0 0 tun0
192.168.1.0 * 255.255.255.0 U 0 0 0 wlan0
link-local * 255.255.0.0 U 1000 0 0 wlan0
default router.name 0.0.0.0 UG 0 0 0 wlan0

Приходится ее править ручками:


sudo route del default wlan0
sudo route add -net white.ext.ip netmask 255.255.255.255 gw router.name metric 1
sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.8.0.1 metric 1

Тогда получается более нормально и все работает ( пинг внутреннего ip роутера, выход в интернет с внешним ip адресом роутера "white.ext.ip" )


10.8.0.1 * 255.255.255.255 UH 0 0 0 tun0
white.ext.ip router.name 255.255.255.255 UGH 1 0 0 wlan0
192.168.1.0 * 255.255.255.0 U 0 0 0 wlan0
link-local * 255.255.0.0 U 1000 0 0 wlan0
default 10.8.0.1 0.0.0.0 UG 1 0 0 tun0

Соответственно при отключении надо снова ручками править роуты, ч.б. вернуть все в зад.

2) При использовании конфигов клиент / сервер что даны как образец (подходит больше, т.к. можно разруливать ip клиентов и т.д. и т.п.) ситуация почти та же только роут добавляется вообще страшный:


10.8.0.5 * 255.255.255.255 UH 0 0 0 tun0
10.8.0.1 10.8.0.5 255.255.255.255 UGH 0 0 0 tun0

Хотя в конфигах все та же строка push route 10.8.0.1, короче барабашка.
Вот мой post-firewall


#!/bin/sh
# set default policy
iptables -P INPUT DROP
# remove last default rule
iptables -D INPUT -j DROP
#fix defaults
#iptables -t filter -A INPUT -m state --state INVALID -j DROP
#iptables -t filter -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# this is for dropbear
iptables -A INPUT -p tcp --syn --dport SSH_PORT -j ACCEPT
# this is for transmission + daemon
iptables -A INPUT -p tcp --dport 51413 -j ACCEPT
iptables -A INPUT -p tcp --dport DAEMON_PORT -j ACCEPT
# this is for openvpn
iptables -I INPUT -p udp --dport 5190 -j ACCEPT
iptables -t nat -I PREROUTING -i eth1 -p udp --dport 5190 -j DNAT --to-destination $4:5190
iptables -A INPUT -j DROP
# Allow TUN interface connections to OpenVPN server
iptables -I INPUT -i tun0 -j ACCEPT
# Allow TUN interface connections to be forwarded through other interfaces
iptables -I FORWARD -i tun0 -j ACCEPT
iptables -I FORWARD -o tun0 -j ACCEPT
#iptables -A INPUT -j DROP
iptables -I OUTPUT -o tun0 -j ACCEPT
#postrouting
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o ppp0 -j MASQUERADE


В результате вопрос, неужели это единственный вариан прыганья с бубном ? В принципе можно легко справиться двумя скриптами ( старт / стоп vpn ) но хочется изящества что ли.

JipJip
07-04-2009, 11:09
В результате вопрос, неужели это единственный вариан прыганья с бубном ? В принципе можно легко справиться двумя скриптами ( старт / стоп vpn ) но хочется изящества что ли.
Плюс ко всему этому, периодически выскакивает другой глюк: при повторном подключении ничего не работает пока не перезапускаю openvpn демона на роутере.

И всетаки я его добил !
Единственное, что не работает Убунтовская примочка VPN,
а запускаю как в манах (с коммандной строки), но ничего не надо руками дописывать. Если я разговариваю не сам с собой и хоть кому - то это интересно могу выложить конфиги клиента сервера, скриты старта и настройки фаера.

lagshmi
08-04-2009, 14:02
И всетаки я его добил !
Единственное, что не работает Убунтовская примочка VPN,
а запускаю как в манах (с коммандной строки), но ничего не надо руками дописывать. Если я разговариваю не сам с собой и хоть кому - то это интересно могу выложить конфиги клиента сервера, скриты старта и настройки фаера.

в каком режиме работает?))
Кстати netbios over IP тоже прекрасно работает в режиме tap)))
у меня даже через gprs)))

al37919
08-04-2009, 14:08
конечно выкладывай. Такие вещи не всегда мгновенно востребованы, но когда приходится подобные задачи решать опыт уже прошедших путь бесценен.

lagshmi
08-04-2009, 14:19
конечно выкладывай. Такие вещи не всегда мгновенно востребованы, но когда приходится подобные задачи решать опыт уже прошедших путь бесценен.

для работы через GPRS и даже прокси работает:

client

#remote 192.168.1.1 443

lport 23533

dev tap
proto tcp
resolv-retry infinite

persist-key
persist-tun
float

dhcp-option DNS 192.168.1.1
#dhcp-option WINS 10.198.16.21


#http-proxy proxy.ru 8080 account ntlm
#http-proxy-option AGENT Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)

ca cacert33.pem
cert cert23.pem
key 31key.pem
#

tls-timeout 15

tls-client
tls-auth ta.key 1

auth SHA1
cipher AES-128-CBC

#added 05.02.2009#########
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
ping-restart 60
ping 10
######################

comp-lzo

# Set log file verbosity.
verb 3

# Silence repeating messages
mute 20

JipJip
08-04-2009, 19:11
в каком режиме работает?))
Кстати не верьте человеку с ником W... т.к. netbios over IP тоже прекрасно работает в режиме tap))) у меня даже через gprs)))
Ок. Понял )) Пока добил режим роутера клиент-сервер со статик ключем. На днях думаю добью полноценный серверный вариант на tun и попробую еще и tap. Посмотрим, что быстрее безглючнее. Так же попробую соединить два роутера, думаю прокатит раз могу из под лина к роутеру клиентом приатачиться.
И так, вот что получилось:
1.Сервер
после установки openvpn как ipkg пакета в /opt/etc/init.d создается файл автозапуска S20openvpn (не знаю почему в топиках пишут про создания s24openvpn, хотя изначально я я его создавал). Так вот, !нинада! ничего создавать, надо просто поставить комментарий # в строке return 0 и все - получен рабочий скрипт.
/opt/etc/openvpn/server.conf

proto udp
port 5555
dev tun0
secret static.key
verb 3
comp-lzo
keepalive 15 60
ifconfig 10.0.0.1 10.0.0.2
push "dhcp-option DNS ip.днс.провайдера.1*"
push "dhcp-option DNS ip.днс.провайдера.2*"
script-security 2
up ./server.up

где ip.днс.провайдера.1 вида 12.34.56.78
/opt/etc/openvpn/server.up


#!/bin/sh
/opt/sbin/openvpn --mktun --dev tun0
ifconfig tun0 10.0.0.1 netmask 255.255.255.0 promisc up
route add -net Подсеть.Клиента* netmask 255.255.255.0 gw 10.0.0.2

где Подсеть.Клиента вида 192.168.2.0 или 192.168.29.0 и т.п.
в /usr/local/sbin/post-firewall
если пустой пишем сначала


iptables -P INPUT DROP
iptables -D INPUT -j DROP

или если эти и еще какие либо правила уже есть (напр. ssh) то добавляем


iptables -I INPUT -p udp --dport 5555 -j ACCEPT
iptables -t nat -I PREROUTING -i eth1 -p udp --dport 5555 -j DNAT --to-destination $4:5555
iptables -A INPUT -j DROP
iptables -I INPUT -i tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -j ACCEPT
iptables -I FORWARD -o tun0 -j ACCEPT
iptables -I OUTPUT -o tun0 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o ppp0 -j MASQUERADE
хотя думаю здесь можно будет пару строк урезать, завтра попробую.
в /usr/local/sbin/post-boot
добавляем
/opt/etc/init.d/S20openvpn
ну и заклинание на запоминание
flashfs save && flashfs commit && flashfs enable && reboot
на этом с сервером вроде все.
2.Клиент
Привожу настройки под линукс и, видимо, под второй роутер, под винду правьте сами (ну не дружу я с ней).
client.conf


remote DynDNS.subdomain.name (или ip сервера)
proto udp
port 5555
dev tun0
secret static.key
verb 3
comp-lzo
keepalive 15 60
redirect-gateway
ifconfig 10.0.0.2 10.0.0.1
up ./client.up

client.up (под виндой видимо будет bat или cmd)


#!/bin/bash
/usr/sbin/openvpn --mktun --dev tun0
ifconfig tun0 10.0.0.2 netmask 255.255.255.0 promisc up
route add -net Подсеть.Роутера* netmask 255.255.255.0 gw 10.0.0.1

где Подсеть.Роутера вида 192.168.2.0 или 192.168.29.0 и т.п. (Вроде должна отличаться от подсети клиента, т.е. одинаковую ставить неЗя, но что-то мне подсказывает что Зя, буду пробовать).
клиента пущать, как и сервер (см. S20openvpn) строкой
типа openvpn --cd путь_к_папке_с_конфигом_и_ключами --config client.conf
тогда в самом конфиге нет необходимости прописывать пути к ключам и т.п.
порт 5555 в конфигах можно менять на другой ( желательно старше 1024 ) ну и править его везде (и в настройках фаера в т.ч.)
Сейчас vpn у меня стартует одной кнопочкой на которую повешен скриптик:


#!/bin/bash
vpn=$(ps -e | grep openvpn)
if [ "$vpn" != "" ]; then
sudo killall -15 openvpn
else
sudo openvpn --cd /home/user/openvpn_dir/ --config client.conf
fi

Тык как для запуска, так и для остановки.
Для индикации повесил через Generic Monitor второй скриптик:


#!/bin/bash
vpn=$(ps -e | grep openvpn)
if [ "$vpn" != "" ]; then
vpn='/home/user/openvpn_dir/vpn_on.png'
else
vpn='/home/user/openvpn_dir/vpn_off.png'
fi
echo "<img>"$vpn"</img>"
echo "<tool>VPN</tool>"

Для того ч.б. sudo не спрашивал пароля я создал группу vpn, добавил себя в нее и в /etc/sudouser разрешил этой группе выполять opnevpn и killall )))
Может не самый удачный вариант, но получается миленько так.

JipJip
09-04-2009, 13:01
Разобрался с "продвинутыми" настройками заодно и сократил клиентский конфиг и избавился от выполнения "up" скриптов. При этих настройках вроде постарался учесть все: остается доступной локальная сеть клиента (другие машины в той же локалке), доступна локалка роутера, весь и-нет трафик идет через канал роутера (это моя специфика, именно этого и добивался)
Итак:
1) Сервер


proto udp
port 5555
dev tun0
push "dhcp-option DNS ip.dns.провайдера.1"
push "dhcp-option DNS ip.dns.провайдера.2"
server 10.0.0.0 255.255.255.0
push "remote-gateway"
push "redirect-gateway"
tls-server
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
comp-lzo
keepalive 10 120
verb 0

у фаера настройки такие же как в предыдущем посте.
2)Клиент


remote dyndns.subdomain.name ( или ip)
proto udp
port 5555
dev tun
keepalive 15 60
client
tls-client
ca ca.crt
cert client.crt
key client.key
comp-lzo
verb 4

и все работает !
т.е. под винду не надо напрягаться и думать как и что исправлять.
Вот как выглядит route при поднятом openvpn


10.0.0.5 * 255.255.255.255 UH 0 0 0 tun0
10.0.0.1 10.0.0.5 255.255.255.255 UGH 0 0 0 tun0
white.ip.addres local.router.name 255.255.255.255 UGH 0 0 0 wlan0
192.168.73.0 * 255.255.255.0 U 0 0 0 wlan0
default 10.0.0.5 0.0.0.0 UG 0 0 0 tun0

где white.ip.addres это внешний белый ip сервера на удаленном роутере, а local.router.name - это имя локального роутера или напр. точки или adsl модема и т.п. ( в локалке клиента через который вся локалка клиента в и-нет выходит )

ivlis
09-04-2009, 15:11
Как настроить всё по человечески с сертификатами и tun девайсамит смотрите тут

http://habrahabr.ru/blogs/linux/56652/

JipJip
09-04-2009, 17:05
Как настроить всё по человечески с сертификатами и tun девайсамит смотрите тут
Спасибо, натыкался я на этот ман. Но несколько не то, так как то что мне надо называется там "домашнее задание". При
$iptables -I INPUT -p udp --dport 1194 -j ACCEPT
$iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
$iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
$iptables -I INPUT -i tun0 -p tcp --dport 80 -j ACCEPT у меня не заработал и-нет с роутера.
с теми настройками
Сделал всё как Вы сказали. Между Марсом и Землёй задержка пинга до 3 минут.
А у меня 60-100 ms от клиента до напр. mail.ru через удаленный роутер.
Короче статья очень полезная, но я уже решил чуть по другому и как мне показалось проще (может потому что сам дошел).

Heaven
12-04-2009, 22:00
Здраствуйте! Есть такая проблема:
Имеется:
ASUS WL500GP v.1
Инет к которому WL500GP подключается по PPTP
Есть локальная сеть с альтернативным DHCP сервером.
Задача:
Подключить WL500G к локальной сети через LAN порт.
И разрешить доступ к интернету ограниченному числу лиц, желательно через VPN или Proxy (но лучше через VPN) И ОГРАНИЧИТЬ СКОРОСТЬ К ИНТЕРНЕТУ РАЗНЫМ ПОЛЬЗОВАТЕЛЯМ ПО РАЗНОМУ.
Возможно ли это осуществить? Если ДА, то КАК?
Заранее благодарен!!!

vectorm
13-04-2009, 07:52
Здраствуйте! Есть такая проблема:
Имеется:
ASUS WL500GP v.1
Инет к которому WL500GP подключается по PPTP
Есть локальная сеть с альтернативным DHCP сервером.
Задача:
Подключить WL500G к локальной сети через LAN порт.
И разрешить доступ к интернету ограниченному числу лиц, желательно через VPN или Proxy (но лучше через VPN) И ОГРАНИЧИТЬ СКОРОСТЬ К ИНТЕРНЕТУ РАЗНЫМ ПОЛЬЗОВАТЕЛЯМ ПО РАЗНОМУ.
Возможно ли это осуществить? Если ДА, то КАК?
Заранее благодарен!!!
Намного проще взять старый комп и настроить все на нем.
На роутере сделать можно, но с БОЛЬШИМ количеством геморроя.
К тому же результат скорее всего разочарует - скорость доступа будет никакая - по PPTP больше 4 мегабит/сек не выжать на "пустом" роутере, что уж говорить о скорости после установки прокси или VPN сервера.

sergey642004
03-06-2009, 13:24
Какая скорость м/с при таком соединении? интересует как для лан так и для ви-фи в данном случае будет один клиент со стороны wan порта. как в целом упадет скорость роутера?

swetlov
04-06-2009, 17:32
Господа, подскажите как настроить следущую схему:

есть интернет через модемный шлюз...воткнут в wan порт маршрутизатора.
на маршрутизаторе поднял openVPN, пробросил порт снаружи, подключаюсь нормально.

нужно каким то образом установить впн соединение с офисом, и поверх него пустить пользователей подключенных к этому openVPN на маршрутизаторе..

каким образом это можно реализовать и можно ли?

imgreen
02-07-2009, 13:35
Можно ли поднять?

m0xf
02-07-2009, 13:49
Можно.
____________

LnrMn
02-07-2009, 13:59
А если поискать - то даже можно узнать как ;)

Wolfgun
03-07-2009, 08:43
А если поискать - то даже можно узнать как ;)

А можно узнать как ??? :D

kanti85
18-08-2009, 14:38
Задача стоит такая.
Дома стоит такой девайс.
И хотелось бы с работы заходить в интет через него посредством VPN, т.к. трафик на работе внешний обрезан, а городской нет.
Помогите с настройкой.)

ceramic
18-08-2009, 14:57
УЧИМСЯ ПОЛЬЗОВАТЬСЯ ПОИСКОМ!!!
Почему люди должны ЗА ВАС искать то, что нужно ВАМ???
Я не знаю, может тему "Для новичков и ленивых" назвать "Всем даунам сначала сюда" ???
Может действительно тему переименовать?

kanti85
18-08-2009, 15:16
Может действительно тему переименовать?
Я там ненашел такой ситуации.
Если знаешь где можно посмотреть как это настраивается, скинь ссылку.
Буду благодарен.

ceramic
18-08-2009, 16:05
Я там ненашел такой ситуации.
Если знаешь где можно посмотреть как это настраивается, скинь ссылку.
Буду благодарен.

Последняя ссылка 13-го пункта в теме для ленивых.

vectorm
18-08-2009, 16:05
Я там ненашел такой ситуации.
Если знаешь где можно посмотреть как это настраивается, скинь ссылку.
Буду благодарен.
Поищите например openvpn в поиске.

kanti85
18-08-2009, 16:15
Спасибо.
Пошел разбираться.

revenant
16-09-2009, 21:55
Вот ссылки которые я нашел
http://wl500g.info/showthread.php?t=19163&highlight=vpn+%F1%E5%F0%E2%E5%F0&page=2

http://wl500g.info/showthread.php?t=19022&page=7
Если поискать можно найти еще



А можно узнать как ??? :D

Wolfgun
17-09-2009, 14:23
2 revenant


(http://wl500g.info/showthread.php?t=19022&page=7)Если поискать можно найти еще


А что у меня в подписи за ссылка стоит

kropalik
15-10-2009, 20:13
есть необходимость запустить openvpn с использованием
туннеля L2. конфиг примерно такой:

client
dev tap
proto udp
remote a.b.b.b 1194
....

проблема в том что в прошивке нету модуля tap.o (есть только tun.o) каким образом получить (собрать из исходников или найти готовый) этот модуль ?

устройство wl500gpv2 прошивка WL500gpv2-1.9.2.7-10.trx

ystes
02-12-2009, 21:27
Подробное описание настроек http://habrahabr.ru/blogs/linux/56652/

Если нужно могу перепостить тут в отдельном топике

Отличный мануал, спасибо, благодаря ему поднял VPN только немного по-другому.

И так, дано: Дом. комп (провайдер "Корбина" L2TP серый IP) и Офис (пров. "не помню кто" PPPoE белый IP) и там и там роутеры Asus 500GP V2 с Олеговской прошивкой 1.9.2.7-10.
Задача: Поднять VPN между домом и офисом.

Настройки сервера openvpn.conf:
dev tun
local 83.69.ххх.ххх
port 1194
proto udp
server 10.0.0.0 255.255.255.0
push "route 10.0.0.0 255.255.255.0"

route 192.168.2.0 255.255.255.0

client-config-dir ccd

client-to-client

tls-server

dh /opt/etc/openvpn/keys/dh2048.pem
ca /opt/etc/openvpn/keys/ca.crt
cert /opt/etc/openvpn/keys/office.crt
key /opt/etc/openvpn/keys/office.key

comp-lzo
keepalive 10 120
tun-mtu 1500
mssfix 1450
persist-key
persist-tun

user nobody
group nobody

status /opt/var/log/openvpn/status.log
log-append /opt/var/log/openvpn/openvpn.log

verb 3

Настройки CCD home:
push "route 192.168.1.0 255.255.255.0"
iroute 192.168.2.0 255.255.255.0

Настройки клиента openvpn.conf:
client
dev tun

tls-client
proto udp
port 1194

remote 83.69.ххх.ххх 1194
resolv-retry infinite

nobind

persist-key
persist-tun

ca /opt/etc/openvpn/keys/ca.crt
cert /opt/etc/openvpn/keys/home.crt
key /opt/etc/openvpn/keys/home.key

ns-cert-type server

comp-lzo
tun-mtu 1500
mssfix 1450
verb 3

log-append /opt/var/log/openvpn/openvpn.log
status /opt/var/log/openvpn/status.log

И все замечательно все пингуется, но есть пару НО:
1. ping по имени не проходит (с этим я смирился)
2. в логах сервера наблюдаю вот такую бесконечную дрянь


Dec 2 22:29:17 openvpn[172]: home/95.25.ххх.хх:1029 MULTI: bad source address from client [91.77.175.124], packet dropped
Dec 2 22:29:17 openvpn[172]: home/95.25.ххх.хх:1029 MULTI: bad source address from client [95.132.167.49], packet dropped


Уважаемые Гуру, как победить эту дрянь?

Power
03-12-2009, 00:23
Наверняка ответ есть в гугле, но я попробую предположить на шару:
оно пытается сообщить вам ровно то, что написано: от клиента получен пакет с неверным IP-адресом отправителя. Полагаю, чтобы пофиксить, нужно на роутере-клиенте перед отправкой пакетов в туннель сделать им SNAT/MASQUERADE. Что-то вроде


iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

Кстати, стоит задуматься, откуда берутся эти пакеты (адреса странные).
Если не сложно, покажите таблицу маршрутизации (route -n) на роутере-клиенте.

P.S. Теория: я так понимаю, за клиентским роутером находится локальная сеть 192.168.2.0/24. Возможно, что какой-то комп в этой сети имеет адрес из диапазона 192.168.1.0/24, в результате ответные пакеты для него заворачиваются в туннель.

ystes
03-12-2009, 18:44
Big THX Power !

Маскарадинг помог победить "флуд" в логах сервера.


Если не сложно, покажите таблицу маршрутизации (route -n) на роутере-клиенте.

Конечно:

Destination Gateway Genmask Flags Metric Ref Use Iface
10.0.0.5 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
85.21.88.130 10.214.0.1 255.255.255.255 UGH 0 0 0 vlan1
85.21.88.130 10.214.0.1 255.255.255.255 UGH 2 0 0 vlan1
85.21.192.3 10.214.0.1 255.255.255.255 UGH 1 0 0 vlan1
195.14.50.16 10.214.0.1 255.255.255.255 UGH 0 0 0 vlan1
195.14.50.16 10.214.0.1 255.255.255.255 UGH 2 0 0 vlan1
217.118.84.213 10.214.0.1 255.255.255.255 UGH 0 0 0 vlan1
85.21.0.243 10.214.0.1 255.255.255.255 UGH 2 0 0 vlan1
85.21.52.254 10.214.0.1 255.255.255.255 UGH 0 0 0 vlan1
85.21.52.254 10.214.0.1 255.255.255.255 UGH 2 0 0 vlan1
194.67.1.13 10.214.0.1 255.255.255.255 UGH 0 0 0 vlan1
194.67.1.14 10.214.0.1 255.255.255.255 UGH 0 0 0 vlan1
194.67.18.19 10.214.0.1 255.255.255.255 UGH 0 0 0 vlan1
195.14.50.21 10.214.0.1 255.255.255.255 UGH 0 0 0 vlan1
195.14.50.26 10.214.0.1 255.255.255.255 UGH 0 0 0 vlan1
195.14.50.26 10.214.0.1 255.255.255.255 UGH 2 0 0 vlan1
194.67.1.115 10.214.0.1 255.255.255.255 UGH 0 0 0 vlan1
89.179.135.67 10.214.0.1 255.255.255.255 UGH 0 0 0 vlan1
213.234.192.8 10.214.0.1 255.255.255.255 UGH 1 0 0 vlan1
195.14.50.93 10.214.0.1 255.255.255.255 UGH 0 0 0 vlan1
195.14.50.93 10.214.0.1 255.255.255.255 UGH 2 0 0 vlan1
194.67.18.72 10.214.0.1 255.255.255.255 UGH 0 0 0 vlan1
194.67.1.130 10.214.0.1 255.255.255.255 UGH 0 0 0 vlan1
217.118.84.249 10.214.0.1 255.255.255.255 UGH 0 0 0 vlan1
78.107.235.4 10.214.0.1 255.255.255.252 UG 0 0 0 vlan1
85.21.72.80 10.214.0.1 255.255.255.240 UG 0 0 0 vlan1
78.107.51.0 10.214.0.1 255.255.255.240 UG 0 0 0 vlan1
85.21.108.16 10.214.0.1 255.255.255.240 UG 0 0 0 vlan1
83.102.231.32 10.214.0.1 255.255.255.240 UG 0 0 0 vlan1
85.21.138.208 10.214.0.1 255.255.255.240 UG 0 0 0 vlan1
85.21.138.208 10.214.0.1 255.255.255.240 UG 2 0 0 vlan1
83.102.146.96 10.214.0.1 255.255.255.224 UG 0 0 0 vlan1
83.102.146.96 10.214.0.1 255.255.255.224 UG 2 0 0 vlan1
10.0.0.0 10.0.0.5 255.255.255.0 UG 0 0 0 tun0
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
192.168.1.0 10.0.0.5 255.255.255.0 UG 0 0 0 tun0
172.16.16.0 10.214.0.1 255.255.255.0 UG 2 0 0 vlan1
233.33.210.0 10.214.7.219 255.255.255.0 UG 0 0 0 vlan1
85.21.90.0 10.214.0.1 255.255.255.0 UG 0 0 0 vlan1
85.21.90.0 10.214.0.1 255.255.255.0 UG 2 0 0 vlan1
85.21.91.0 10.214.0.1 255.255.255.0 UG 2 0 0 vlan1
78.107.23.0 10.214.0.1 255.255.255.0 UG 0 0 0 vlan1
85.21.79.0 10.214.0.1 255.255.255.0 UG 0 0 0 vlan1
85.21.79.0 10.214.0.1 255.255.255.0 UG 2 0 0 vlan1
78.107.196.0 10.214.0.1 255.255.252.0 UG 0 0 0 vlan1
10.214.0.0 0.0.0.0 255.255.248.0 U 0 0 0 vlan1
10.0.0.0 10.214.0.1 255.0.0.0 UG 0 0 0 vlan1
10.0.0.0 10.214.0.1 255.0.0.0 UG 2 0 0 vlan1
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 85.21.0.243 0.0.0.0 UG 0 0 0 ppp0
0.0.0.0 10.214.0.1 0.0.0.0 UG 1 0 0 vlan1


Может есть идеи с именами?

Power
03-12-2009, 19:09
Маскарадинг помог победить "флуд" в логах сервера.

Может есть идеи с именами?

Скажу ещё раз, маскарадинг помог устранить симптом, но не болезнь - пакеты с такими адресами не должны попадать на сервер. Вам бы лучше выяснить, откуда они. Может, у вас какой-то порт проброшен на адрес за туннелем. Можете показать iptables-save с роутера-клиента? Заодно посмотрим, не работает ли он открытой проксей.

А по поводу имён - какие имена имеются в виду? Netbios или DNS? Если DNS, то какой сервер их обслуживает? Прописан ли он в /etc/resolv.conf ?

Да, в таблице маршрутизации вроде ничего подозрительного, за исключением того, что многие маршруты дублируются. Похоже, вы получаете их по DHCP и они же прописаны в static routes.

ystes
03-12-2009, 20:40
показать iptables-save с роутера-клиента

нет проблем:

# Generated by iptables-save v1.2.7a on Thu Dec 3 21:41:37 2009
*nat
:PREROUTING ACCEPT [73771:6361631]
:POSTROUTING ACCEPT [2986:229616]
:OUTPUT ACCEPT [995:69160]
:VSERVER - [0:0]
-A PREROUTING -d 95.25.190.39 -j VSERVER
-A PREROUTING -d 10.214.7.219 -j VSERVER
-A POSTROUTING -s ! 95.25.190.39 -o ppp0 -j MASQUERADE
-A POSTROUTING -s ! 10.214.7.219 -o vlan1 -j MASQUERADE
-A POSTROUTING -s 192.168.2.0/255.255.255.0 -d 192.168.2.0/255.255.255.0 -o br0 -j MASQUERADE
-A POSTROUTING -o tun0 -j MASQUERADE
-A VSERVER -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.2.1:80
-A VSERVER -p tcp -m tcp --dport 47038 -j DNAT --to-destination 192.168.1.3:47038
-A VSERVER -p udp -m udp --dport 47038 -j DNAT --to-destination 192.168.1.3:47038
-A VSERVER -p tcp -m tcp --dport 47039 -j DNAT --to-destination 192.168.1.203:47038
-A VSERVER -p udp -m udp --dport 47039 -j DNAT --to-destination 192.168.1.203:47038
-A VSERVER -p udp -m udp --dport 3074 -j DNAT --to-destination 192.168.1.203:3074
-A VSERVER -p tcp -m tcp --dport 42732 -j DNAT --to-destination 192.168.1.203:42732
-A VSERVER -p udp -m udp --dport 51665 -j DNAT --to-destination 192.168.1.203:51665
-A VSERVER -p udp -m udp --dport 42732 -j DNAT --to-destination 192.168.1.203:42732
-A VSERVER -p udp -m udp --dport 50435 -j DNAT --to-destination 192.168.1.203:50435
-A VSERVER -p tcp -m tcp --dport 54951 -j DNAT --to-destination 192.168.1.203:54951
-A VSERVER -p udp -m udp --dport 64049 -j DNAT --to-destination 192.168.2.5:64049
-A VSERVER -p udp -m udp --dport 65337 -j DNAT --to-destination 192.168.2.5:65337
-A VSERVER -p udp -m udp --dport 60865 -j DNAT --to-destination 192.168.2.5:60865
-A VSERVER -p udp -m udp --dport 57943 -j DNAT --to-destination 192.168.2.5:57943
-A VSERVER -p udp -m udp --dport 63705 -j DNAT --to-destination 192.168.2.5:63705
-A VSERVER -p tcp -m tcp --dport 61194 -j DNAT --to-destination 192.168.2.6:61194
-A VSERVER -p tcp -m tcp --dport 42733 -j DNAT --to-destination 192.168.2.6:42732
-A VSERVER -p udp -m udp --dport 42734 -j DNAT --to-destination 192.168.2.6:42732
COMMIT
# Completed on Thu Dec 3 21:41:37 2009
# Generated by iptables-save v1.2.7a on Thu Dec 3 21:41:37 2009
*mangle
:PREROUTING ACCEPT [19146003:16171527290]
:INPUT ACCEPT [6712088:5989244609]
:FORWARD ACCEPT [12434012:10186547670]
:OUTPUT ACCEPT [6040297:4715368169]
:POSTROUTING ACCEPT [18435200:14900721726]
COMMIT
# Completed on Thu Dec 3 21:41:37 2009
# Generated by iptables-save v1.2.7a on Thu Dec 3 21:41:37 2009
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [38586:3802175]
:OUTPUT ACCEPT [6040191:4715356634]
:MACS - [0:0]
:SECURITY - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -i tun0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i br0 -m state --state NEW -j ACCEPT
-A INPUT -d 224.0.0.0/240.0.0.0 -p 2 -j ACCEPT
-A INPUT -d 224.0.0.0/240.0.0.0 -p udp -m udp ! --dport 1900 -j ACCEPT
-A INPUT -i ppp0 -m state --state NEW -j SECURITY
-A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A INPUT -d 192.168.2.1 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m tcp --dport 515 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 9100 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3838 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -d 192.168.2.6 -p udp -m udp --dport 42732 -j ACCEPT
-A FORWARD -d 192.168.2.6 -p tcp -m tcp --dport 42732 -j ACCEPT
-A FORWARD -d 192.168.2.6 -p tcp -m tcp --dport 61194 -j ACCEPT
-A FORWARD -i tun0 -o br0 -j ACCEPT
-A FORWARD -i br0 -o tun0 -j ACCEPT
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -d 224.0.0.0/240.0.0.0 -p udp -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ! br0 -o ppp0 -j DROP
-A FORWARD -i ! br0 -o vlan1 -j DROP
-A FORWARD -i ! br0 -m state --state NEW -j SECURITY
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A SECURITY -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j DROP
-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logaccept -j ACCEPT
-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logdrop -j DROP
COMMIT



Netbios или DNS?

Netbios, если это вообще реально, т.к. DNS ни в одной из подсетей нет (пока) .

С таблицей вы правы... получаю по DHCP. Прописывал руками некоторые маршруты, т.к. получаемые по-умолчанию не давали возможности работать IP-TV, отсюда и дубликаты... Все руки не доходят грохнуть лишние...

Power
03-12-2009, 22:06
Во-первых, смотрите, у вас куча портов проброшена на адреса в сети 192.168.1.0/24 и если кто-то извне заходит на этот порт, пакет отправляется в туннель, где его никто не ждёт (отсюда и та куча мусора в логах)




-A VSERVER -p tcp -m tcp --dport 47038 -j DNAT --to-destination 192.168.1.3:47038
-A VSERVER -p udp -m udp --dport 47038 -j DNAT --to-destination 192.168.1.3:47038
-A VSERVER -p tcp -m tcp --dport 47039 -j DNAT --to-destination 192.168.1.203:47038
-A VSERVER -p udp -m udp --dport 47039 -j DNAT --to-destination 192.168.1.203:47038
-A VSERVER -p udp -m udp --dport 3074 -j DNAT --to-destination 192.168.1.203:3074
-A VSERVER -p tcp -m tcp --dport 42732 -j DNAT --to-destination 192.168.1.203:42732
-A VSERVER -p udp -m udp --dport 51665 -j DNAT --to-destination 192.168.1.203:51665
-A VSERVER -p udp -m udp --dport 42732 -j DNAT --to-destination 192.168.1.203:42732
-A VSERVER -p udp -m udp --dport 50435 -j DNAT --to-destination 192.168.1.203:50435
-A VSERVER -p tcp -m tcp --dport 54951 -j DNAT --to-destination 192.168.1.203:54951


Вам надо все эти записи удалить (это либо UPnP, либо virtual servers), затем отключить маскарадинг (-o tun0 -j MASQUERADE) и проверить, что в лог больше ничего не сыплется.

Во-вторых, я бы рекомендовал запретить трафик vlan1 -> tun0 и ppp0 -> tun0, чтобы роутером нельзя было воспользоваться, как открытой проксей:


iptables -A FORWARD -i ! br0 -o tun0 -j DROP


В-третьих, про имена Netbios: я не эксперт в этом деле, но предполагаю, что для правильной работы придётся поднять WINS-сервера на обоих роутерах и настроить их правильно (тут нельзя обойтись простой маршрутизацией, т.к. разрешение имён идет с помощью udp broadcast пакетов, а они не являются маршрутизируемыми). И то нет гарантии, что это сработает.

ystes
04-12-2009, 19:46
Странно... не могу удалить ( iptables -D VSERVER -p udp -m udp.....) ненужные проброшенные порты.


iptables: Bad rule (does a matching rule exist in that chain?)
И не вижу их интерфейсно в VIRTUAL SERVER, и в консоли (iptables -L) VSERVER не наблюдаю. Магия?

Трафик vlan1 -> tun0 и ppp0 -> tun0 запретил. Дублирующиеся маршруты грохнул.

Basile
04-12-2009, 19:51
А разве VSERVER находится не в таблице nat?
После VSERVER нужно писать номер правила

iptables -t nat -D VSERVER 3^^^^^ Пример

Power
04-12-2009, 20:19
Странно... не могу удалить ( iptables -D VSERVER -p udp -m udp.....) ненужные проброшенные порты.


И не вижу их интерфейсно в VIRTUAL SERVER, и в консоли (iptables -L) VSERVER не наблюдаю. Магия?


Во-первых, как правильно сказали, они в таблице nat.
Во-вторых, не надо их удалять средствами iptables. Нужно найти, откуда они берутся, и удалить их там. Если их нет в NAT Setting - Virtual Server :: Virtual Server List, значит, это UPnP, тогда смотрите в сторону http://wl500g.info/showpost.php?p=90226&postcount=2 (либо вообще отключайте UPnP).



После VSERVER нужно писать номер правила

iptables -t nat -D VSERVER 3^^^^^ Пример

Есть два варианта использования -D (см. man): 1) с номером правила; 2) со спецификацией правила.

ystes
04-12-2009, 20:40
Basile THX

Удалил...
Только что-то после ребута они заново появляются...

flashfs save .... не забыл

Ну прям и не знаю как вас всех благодарить....

Дело было в UPnP... Отключил на...

Спасибо!

almobil
07-12-2009, 16:43
Отличный мануал, спасибо, благодаря ему поднял VPN только немного по-другому...

установил, настроил, а он не запускается и в логах пишет:
Mon Dec 7 20:43:05 2009 OpenVPN 2.1_rc15 mipsel-linux [SSL] [LZO1] [EPOLL] built on Feb 23 2009
Mon Dec 7 20:43:05 2009 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Mon Dec 7 20:43:07 2009 Diffie-Hellman initialized with 2048 bit key
Mon Dec 7 20:43:07 2009 Cannot load certificate file /opt/etc/openvpn/keys/mars.crt: error:0906D06C:PEM routines:PEM_read_bio:no start line: error:140AD009$
Mon Dec 7 20:43:07 2009 Exiting
Mon Dec 7 20:43:57 2009 OpenVPN 2.1_rc15 mipsel-linux [SSL] [LZO1] [EPOLL] built on Feb 23 2009
Mon Dec 7 20:43:57 2009 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Mon Dec 7 20:43:59 2009 Diffie-Hellman initialized with 2048 bit key
Mon Dec 7 20:43:59 2009 Cannot load certificate file /opt/etc/openvpn/keys/mars.crt: error:0906D06C:PEM routines:PEM_read_bio:no start line: error:140AD009$
Mon Dec 7 20:43:59 2009 Exiting
Mon Dec 7 20:44:03 2009 OpenVPN 2.1_rc15 mipsel-linux [SSL] [LZO1] [EPOLL] built on Feb 23 2009
Mon Dec 7 20:44:03 2009 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Mon Dec 7 20:44:05 2009 Diffie-Hellman initialized with 2048 bit key
Mon Dec 7 20:44:05 2009 Cannot load certificate file /opt/etc/openvpn/keys/mars.crt: error:0906D06C:PEM routines:PEM_read_bio:no start line: error:140AD009$
Mon Dec 7 20:44:05 2009 Exiting
как это лечится?

Power
07-12-2009, 18:09
как это лечится?

Он же вам английским по белому пишет, что не может загрузить сертификат /opt/etc/openvpn/keys/mars.crt. Проверьте, что файл есть и он правильный.

almobil
08-12-2009, 06:43
Он же вам английским по белому пишет, что не может загрузить сертификат /opt/etc/openvpn/keys/mars.crt. Проверьте, что файл есть и он правильный.

файл есть, я его делал по инструкции с http://gtbear.habrahabr.ru/blog/36845/. может инструкция неправильная? есть ли другая?

Basile
08-12-2009, 15:31
файл естьДоказательства в студию:
ls -l /opt/etc/openvpn/keys/

almobil
08-12-2009, 17:30
Доказательства в студию:
ls -l /opt/etc/openvpn/keys/

http://s44.radikal.ru/i103/0912/f4/8011abef55cd.png

может кто нибудь сможет сгенерировать мне правильные ключи?! такое чувство что версия генератора (с офф сайта) и версия openvpn с репозитария не совпадают и из-за этого и ошибка...

f2515
04-02-2010, 09:47
Вам определенно вот сюда:
http://wl500g.info/showthread.php?t=19022

PS. DD-WRT я ковырял с неделю - НИ В ОДНОМ из вариантов прошивок pptp-сервер у меня не заработал. Также, роутер с DD-WRT не может работать более суток без перезагрузки. В общем, красивости интерфейса и некая кажущаяся легкость настройки не могут заменить функционал работающий. =)

pvb
15-03-2010, 17:57
прошивка 1.9.2.7-10.7
похоже после последнего ipkg update & ipkg upgrade
и перезагрузки
старт openvpn выдает ошибку
/opt/sbin/openvpn: can't load library 'liblzo.so.1'
в каталоге /opt/lib следующее
#ls liblzo*
liblzo2.la liblzo2.so liblzo2.so.2 liblzo2.so.2.0.0

что можно сделать?

pvb
15-03-2010, 21:08
оказывается не обновился openvpn
текущая версия: 2.1-rc15-1
новая версия: 2.1.1-2

ipkg upgrade не смог определить обновление версии

поправил в /opt/lib/ipkg/status номер текущей версии
Package: openvpn
Version: 2.1-rc15-1
на Version: 2.1.1-1

и ipkg upgrade обновил openvpn

KpaH4iTo
09-04-2010, 10:33
Здравствуйте!
Настраивал OpenVPN server по вот этой теме - http://wl500g.info/showthread.php?t=5312&page=2, но возникли вопросы на которые мне никто в той ветке не отвечает. Подскажите, пожалуйста, кто сталкивался с такими проблемами:
Пытаюсь подсоединиться с клиента под XP снаружи роутера, клиент не соединяется, пишет ошибку:

Wed Mar 31 14:41:00 2010 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Wed Mar 31 14:41:00 2010 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Wed Mar 31 14:41:00 2010 TAP-WIN32 device [tun0] opened: \\.\Global\{CEA93030-2985-4747-B3D3-4267FB40C32B}.tap
Wed Mar 31 14:41:00 2010 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.2/255.255.255.252 on interface {CEA93030-2985-4747-B3D3-4267FB40C32B} [DHCP-serv: 10.8.0.1, lease-time: 31536000]
Wed Mar 31 14:41:00 2010 Successful ARP Flush on interface [196612] {CEA93030-2985-4747-B3D3-4267FB40C32B}
Wed Mar 31 14:41:00 2010 UDPv4 link local (bound): [undef]:1194
Wed Mar 31 14:41:00 2010 UDPv4 link remote: **.**.**.**:1194

Я пытался подтелнетиться к порту 1194:

C:\Documents and Settings\alexx>telnet **.**.**.** 1194
Подключение к **.**.**.**...Не удалось открыть подключение к этому узлу, на по
рт 1194: Сбой подключения
, но ответа не следует, получается, что порт закрыт? Хотя делал всё по инструкции и в файле post-firewall есть записи:

#!/bin/sh
#OpenVPN access from WAN
iptables -D INPUT -j DROP
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
iptables -t nat -I PREROUTING -i eth1 -p udp --dport 1194 -j DNAT --to-destination $4:1194
iptables -A INPUT -j DROP

iptables -I INPUT -i tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -j ACCEPT
iptables -I FORWARD -o tun0 -j ACCEPT
iptables -I OUTPUT -o tun0 -j ACCEPT

Viper_Rus
09-04-2010, 14:17
А у меня другая проблема. Все нормально настроил, все соединяется, но на win7(x64) инет продолжает идти через обосновной инет. Тоесть поднимаю туннель, а инет на него сам не переключается(((

Kovu
09-04-2010, 14:32
Мне на Win7 в дополнение к
добавлению строк в конфиг
route-method exe
route-delay 20

пришлось и изменить метрику интерфейса виртуального адаптера openvpn. Чтобы она была приоритетнее физического интерфейса. Иначе через некоторое время Интернет переключался на физичечкий интерфейс с опенвпн, при этом само опевпн соединение не рвалось.

Сам опенвпнгуи ес-но запускать надо от админа.

А вот, что делать, если Инет изначально получается по модемному(ГПРС например) или обычному VPN соединению на Win 7 не понятно.
Заставить инет ходить в такой ситуации через OpenVPN не получается.

net_net
11-04-2010, 21:16
to KpaH4iTo
в правилах надо указать протокол tcp а ты открыл udp поправь в обоих строчках

KpaH4iTo
12-04-2010, 11:48
Мне на Win7 в дополнение к
добавлению строк в конфиг
route-method exe
route-delay 20

пришлось и изменить метрику интерфейса виртуального адаптера openvpn. Чтобы она была приоритетнее физического интерфейса. Иначе через некоторое время Интернет переключался на физичечкий интерфейс с опенвпн, при этом само опевпн соединение не рвалось.

Сам опенвпнгуи ес-но запускать надо от админа.

А вот, что делать, если Инет изначально получается по модемному(ГПРС например) или обычному VPN соединению на Win 7 не понятно.
Заставить инет ходить в такой ситуации через OpenVPN не получается.
OpenVPN traffic on the default port 1194/udp

Rung
03-06-2010, 13:13
Уважаемые гуру!

Настроил OpenVPN (tun) на трех роутерах Wl-500gP, 1 сервер (Server - 192.168.1.1) и два клиента (client2 -192.168.2.1, client4 -192.168.4.1), маршруты настроил, туннель работает, со стороны сервера вижу ресурсы двух подсетей. Клиенты также видят Server и могут пользоваться его ресурсами, но в тоже время не могут подключиться друг к другу.

Подскажите, пожалуйста, чайнику, где необходимо прописать маршрут чтобы клиенты (сlient2, client4) могли видеть друг друга.

vectorm
03-06-2010, 14:37
Уважаемые гуру!

Настроил OpenVPN (tun) на трех роутерах Wl-500gP, 1 сервер (Server - 192.168.1.1) и два клиента (client2 -192.168.2.1, client4 -192.168.4.1), маршруты настроил, туннель работает, со стороны сервера вижу ресурсы двух подсетей. Клиенты также видят Server и могут пользоваться его ресурсами, но в тоже время не могут подключиться друг к другу.

Подскажите, пожалуйста, чайнику, где необходимо прописать маршрут чтобы клиенты (сlient2, client4) могли видеть друг друга.
Почему у Вас такие странные IP у клиентов? Маски подсети если 255.255.255.0, то естественно, что друг-друга видеть не будут.
Это в качестве догадки.

acidsun
03-06-2010, 14:44
Нужно разрешить в конфиге openvpn:
client-to-client # tells OpenVPN to internally route client-to-client traffic
но это скорее всего только есть одна подсеть, а если несколько то нужен рутинг плюс 2 строчки:
iptables -t filter -A FORWARD -i tun1 -o tun2 -j ACCEPT
iptables -t filter -A FORWARD -i tun2 -o tun1 -j ACCEPT

yura2002
03-06-2010, 19:10
Помогите настроить Vpn между 2 компьютерами через windows xp ( уже 3 дня мучаюсь весь инет перерыл)

1. сеть asus wl500, интеренет Yota
Внутр. Настройки:
Комп.1
192.168.3.100
255.255.255.0
192.168.3.1 – шлюз

Тут настраиваю, Vpn, ну соответственно по инструкции windows
Например как здесь описано http://www1.himki.net/faq/settings/vpn/xp/
Единственное в настройках tc ip я указал присвоить ip 192.168.1.2

(81.224.234.116 к примеру ) – этот адрес с этого компьютера пингуется


2. сеть Роутер dlink di804. интернет обычный по выделенки Static ip address (81.224.234.116 – к примеру)
Комп2.
192.168.0.15
255.255.255.0
192.168.0.2 – шлюз

Тут настроены входящие подключения и соответственно в настройках tc ip
Указан адрес
с 192.168.1.2
по 192.168.1.3

И соответственно создан новый пользователь и для него новый пароль

На этом компьютере прописаны постоянные маршруты
192.168.1.2 255.255.255.255 192.168.0.15
81.224.234.116 255.255.255.255 192.168.0.15


В настройках роутера dlink в разделе virtual server
PPTP 192.168.0.15 TCP 1723 / 1723 always

Rung
03-06-2010, 21:35
Нужно разрешить в конфиге openvpn:
client-to-client # tells OpenVPN to internally route client-to-client traffic
этот режим присутствует



но это скорее всего только есть одна подсеть, а если несколько то нужен рутинг плюс 2 строчки:
iptables -t filter -A FORWARD -i tun1 -o tun2 -j ACCEPT
iptables -t filter -A FORWARD -i tun2 -o tun1 -j ACCEPT

Это надо добавить в post-firewall?

Если я правильно понял мой post-firewall должен будет иметь следующий вид?

iptables -I INPUT -p udp --dport 1194 -j ACCEPT
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
iptables -I INPUT -i tun0 -p tcp --dport 80 -j ACCEPT
iptables -t filter -A FORWARD -i tun1 -o tun2 -j ACCEPT
iptables -t filter -A FORWARD -i tun2 -o tun1 -j ACCEPT

sshumov
04-06-2010, 11:42
Вы забыли продросить протокол Generic Routing Encapsulation (GRE).

kertio
21-06-2010, 16:41
сервер OpenVPN выдает такую строку в лог:
SIGUSR1[soft,connection-reset] received, client-instance restarting
Mon Jun 21 18:17:01 2010 TCP/UDP: Closing socket
Запускается вроде нормально, а потом закрывается соединение. почему так?

kertio
21-06-2010, 20:23
Всем спасибо. разобрался. Просто в скрипте /opt/etc/init.d/S20openvpn в строке openvpn --daemon.... добавил строку --script-security 3.
Может кому понадобится. три дня боролся. пока не додумался в настройках клиента прописать запись в логи:)

alting
22-06-2010, 08:29
Приветствую, коллеги!

После очередного обновления (то ли прошивки на "энтузиастную", то ли пакетов, уже не помню, если честно), перестал стартовать openvpn с параметром comp_lzo:
/opt/sbin/openvpn: can't resolve symbol '__lzo_init2'

Версии:
Package openvpn (2.1_rc15-1) installed in /opt/ is up to date.
Package lzo (2.03-1) installed in /opt/ is up to date.

Я сначала забил и отключил компрессию - а вот теперь понадобилось...

alting
22-06-2010, 09:32
Решил принудительным обновлением (через удаление,по-другому не хотел почему-то) openvpn до версии openvpn_2.1.1-2_mipsel.ipk

Fly3110
11-07-2010, 16:35
Всем привет.

Поиском пользовался.
ASUS wl520gu, прошивка - последняя от энтузиастов на ядре 2.4

настроил openvpn клиента, на vpn сервере интернет гигабит, у меня до сервера 100 мегабит. Через vpn скорость не превышает 3 мегабита, оно и понятно, так как в top в это время openvpn отжирает 99% процессора.
Шифрование и сжатие отключено. Варианты есть? :)

конфиг клиента:


client
nobind
dev tun
proto udp
remote xxx.xxx.xxx.xxx 1194
ca /opt/etc/openvpn/ca.crt
cert /opt/etc/openvpn/client2.crt
key /opt/etc/openvpn/client2.key
cipher none

LnrMn
11-07-2010, 18:32
Есть. Меняйте роутер. 520gu - чрезвычайно слабоват ;)

dendalf
17-07-2010, 00:49
Роутер wl-500gp v2, прошивка WL500gpv2-1.9.2.7-d-r1612.trx

настроил openvpn как клиент по мануалам , имею файлик /usr/local/sbin/post-boot:


#!/bin/sh
/opt/etc/init.d/S20openvpn


Сам opevpn работает без проблем. Проблема в том, что после перезагрузки роутера он не поднимается сам . Если вручную запустить файлик post_boot, то все отрабатывает правильно.. в логах роутера после перезагрузки не нахожу ничего про openvpn

Еще у меня еще файл /usr/local/sbin/post-firewall , там правится iptables, он отрабатывает без проблем после перезагрузки. В чем может быть проблема ?

в /opt/var/log/openvpn/openvpn.log тоже ничего попадает при загрузке . Потом, если запустить вручную, то все пишет туда

dendalf
17-07-2010, 01:26
[admin@WL-E0CB4E7AB6C5 root]$ cat /opt/etc/init.d/S20openvpn
#!/bin/sh
#
# Startup script for openvpn as standalone server
#

# Make sure IP forwarding is enabled
echo 1 > /proc/sys/net/ipv4/ip_forward

# Make device if not present (not devfs)
#if ( [ ! -c /dev/net/tun ] ) then
# Make /dev/net directory if needed
# if ( [ ! -d /dev/net ] ) then
# mkdir -m 755 /dev/net
# fi
# mknod /dev/net/tun c 10 200
#fi

# Make sure the tunnel driver is loaded
#if ( !(lsmod | grep -q "^tun") ); then
insmod tun
#fi

# I you want a standalone server (not xinetd), comment out the return statement below
#return 0


## This is for standalone servers only!!!!
# Kill old server if still there
#if [ -n "`pidof openvpn`" ]; then
# /bin/killall openvpn 2>/dev/null
#fi

# Start afresh - add as many daemons as you want
/opt/sbin/openvpn --daemon --cd /opt/etc/openvpn --config openvpn.conf

# [EOF]

azhur
17-07-2010, 05:06
К моменту выполнения post-boot диски ещё не смонтированы.
Переносите комманды в post-mount или post-firewall.
Но с ними есть тонкости, они могут отрабатывать по несколько раз, это нужно учитывать в своём скрипте.

dendalf
18-07-2010, 16:22
К моменту выполнения post-boot диски ещё не смонтированы.
Переносите комманды в post-mount или post-firewall.
Но с ними есть тонкости, они могут отрабатывать по несколько раз, это нужно учитывать в своём скрипте.

судя по мануалу:
http://wl500g.info/showthread.php?t=8880
эго там и запускают .


Хм. неожиданно начал работать :).. перенес команду запуска в post-firewall. спасибо .. Но вроде бы до этого пробовал это делать , не помогало , наверное сглючил ..

azhur
18-07-2010, 16:25
В том мануале идёт речь про установку на встроенную флешку роутера (грубо говоря).
В этом случае можно и в post-boot, встроенный флеш раньше монтируется.

dendalf
19-07-2010, 23:23
да там вообще непонятно как сделать так чтобы после всего запустилось . Я поменял настройки openvpn и сети и снова перестало работать после перезагрузки. убрал vpn cоединение(до этого openvpn внутри туннеля vpn запускалось) .после после убирания vpn стал недоступен сервер синхронизации времени,opevpn сервер перестал пускать, если время клиента 1970 год . я сменил его на другой ip доступны по локалке ,но все равно не помогло , так как ntpclient запускался после post-firewall. вызывал явно ntpclient в post-firewall перед openvpn тоже не помогло .


В итоге решил проблему командой sleep 20 вначале файла post-firewall .В это время вызвается ntpclient и возможно что-то еще необходимое. Может кому пригодится на будущее - имейте ввиду.

Самое непонятно это то, что если openvpn не поднялся , то делает он это молча , т.е в логи на флешку ничего не попадает , поэтому приходится гадать в чем причина.

hsasha
23-07-2010, 10:25
Добрый день!
Можно ли установить openvpn клиент в основную память Dlink DIR-320?
Пробовал устанавливать по инструкции http://wl500g.info/showthread.php?t=8880 установилось но при попытке сохранить все в флеш памяти написало что её мало:( может можно скомпилировать все сразу в прошивке? Или может уже есть у кого-то готовая прошивка?

Vampik
23-07-2010, 18:46
В прошивке свободного места ещё меньше..

Spartach
26-08-2010, 08:16
Подскажите пожалуйста, поднимается тунель tun0 (OpenVPN - в режиме клиент), дефоултный маршрут через тунель.
Роутер прекрасно через него ходит, в tcpdump вижу что пакеты прикрыты IP полученным при установлении tun0.
Но из локалки инета нет, tcpdump показывает что пакеты не прикрыты IP полученным при установлении тунеля.
Добавляю правило, но ситуация не меняется.
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

В чем косяк?
PS через тунель должен ходить весь трафик (инет).

ASM
26-08-2010, 08:42
попробуйте задать форвардинг с одного интерфейса на другой, например:
iptables -I FORWARD -i eth0 -o tun0 -j ACCEPT
ну и в обратную сторону:
iptables -I FORWARD -i tun0 -o eth0 -j ACCEPT

На ровность такого решения не претендую, но между 2 интерфейсами связи как такой без форвардинга нет, потому и с локалки не ходит

а маскарадинг наверно все же нужно включать на tun0? если через него инет будет ходить , я так понимаю?

Spartach
26-08-2010, 09:29
Да, в правиле описался, конечно-же пробую tun0.
Форвардинг тоже делал, но удивительно что и без него tcpdump на интерфейсе tun0 видит улетающие пакеты.
Голову себе всю сломал за 2 дня.
Самое обидное что при эксперементах вдруг добился желаемого, думал что понял в чем проблема, рестартнул и воспроизвести уже не смог :-(

Вот прикол....
На протяжении всех экспериментов с локалки был запущен пинг, чтобы видеть в реал-тайм изменения.
И как выше писал, проблема сохранялась.
Случайно прервал пинг на 1-2 минуты, вернулся и запустил снова - пинг есть.
Не останавливая пинга ребут, подъем tun0, добавление маскарадинга - пинга нет.
Прерываю пинг на минуту, запускаю - пинг есть.

titan
18-09-2010, 13:54
Есть 2 локальные сетки 192.168.2.х и 192.168.3.х. В каждой асусовский роутер через который они и выходят в интернет.
Сетки соединены между собой туннелем (openvpn). Маршруты прописаны, и из одной сетки доступна другая. Осталось настройть DNS так чтобы обращаться к компьютерам одной сети из другой по имени.
Если в dnsmasq.conf одного роутера указать форвардить запросы для имен без домена на DNS сервер другой сети и наоборот, то любой запрос к имени которое не знает ни один ни другой DNS сервер приводит к "пин-понгу" запросами.
Можно ли как-то решить данный вопрос не прибегая к замене dnsmasq на BIND? И может ли BIND помочь в данной ситуации?

2 вопрос: можно ли каким-то образом пробрасывать multicast через тунель в обе стороны? Для igmpproxy можно указать только 1 upstream интерфейс поэтому на мой взгляд он для этой цели не подходит.
Цель: пробросить оповещения DNS-SD от Avahi из одной сетки в другую чтобы сервисы одной сети анонсировались в другой и наоборот.

vectorm
21-09-2010, 11:01
Такое не пробовали (http://webcache.googleusercontent.com/search?q=cache:r7gk2RWk07cJ:welinux.ru/post/3127/+dnsmasq+%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B 9%D0%BA%D0%B0&cd=6&hl=en&ct=clnk&lr=lang_ru|lang_en)?

vi /etc/dnsmasq.conf
# слушать только loopback
interface=lo
bind-interfaces
# локальный домен для автоматической подстановки в случае неполного доменного имени
domain=example.net
# сервера локальной сети для домена example.net
# Вот здесь и прописать нужные подсети с серверами имен
server=/example.net/192.168.0.1
server=/0.168.192.in-addr.arpa/192.168.0.1
# логируем запросы в файл /var/log/dnsmasq.log
log-queries
log-facility=/var/log/dnsmasq.log
С именами без домена сложнее - Dnsmasq же простой форвардинг прокси, в этом случае нужно заморачиваться с чтением из файла.

titan
22-09-2010, 01:17
Такое не пробовали (http://webcache.googleusercontent.com/search?q=cache:r7gk2RWk07cJ:welinux.ru/post/3127/+dnsmasq+%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B 9%D0%BA%D0%B0&cd=6&hl=en&ct=clnk&lr=lang_ru|lang_en)?

vi /etc/dnsmasq.conf
# слушать только loopback
interface=lo
bind-interfaces
# локальный домен для автоматической подстановки в случае неполного доменного имени
domain=example.net
# сервера локальной сети для домена example.net
# Вот здесь и прописать нужные подсети с серверами имен
server=/example.net/192.168.0.1
server=/0.168.192.in-addr.arpa/192.168.0.1
# логируем запросы в файл /var/log/dnsmasq.log
log-queries
log-facility=/var/log/dnsmasq.log
С именами без домена сложнее - Dnsmasq же простой форвардинг прокси, в этом случае нужно заморачиваться с чтением из файла.

Возможно я недопонял идею но это немного не то. В приведеном выше варианте можно было не задавать domain=example.net а сразу написать server=//192.168.0.1. Тогда к запросу на имя хоста без домена не будет подставляться example.net, но сам запрос будет форвардиться на 192.168.0.1. А дальше при аналогичной настройке второго DNS получаем обратный пакет с тем же запросом.
domain=example.net вообще вроде как директива для DHCP сервера и как я понял из мануала просто указывает какое имя домена передавать клиенту при выдаче ему IP адреса. Вместе с dhcp-fqdn получаем что в файле где запоминаются выданные адреса будет указываться имя домена а не только имя хоста.

Жаль что в dnsmasq нет директивы вроде "не форвардить запросы пришедшие с определенного адреса/диапазона адресов".

segods
04-10-2010, 01:09
Подскажите почему не открывается порт openvpn.


[admin@asus-server root]$ lsof -i
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
................
smbd 141 admin 21u IPv6 686 TCP *:netbios-ssn (LISTEN)
dropbear 14240 admin 6u IPv6 1297509 TCP 192.168.0.2:65022->192.168.0.144:37024 (ESTABLISHED)
openvpn 14287 admin 3u IPv4 1299639 UDP *:65000
dropbear 14294 admin 6u IPv6 1299834 TCP 192.168.0.2:65022->192.168.0.144:48879 (ESTABLISHED)
[admin@asus-server root]$ telnet 127.0.0.1 65000
telnet: Unable to connect to remote host (127.0.0.1): Connection refused
[admin@asus-server root]$


Вот как запускаю сервер:


[admin@asus-server openvpn]$ openvpn --config /opt/etc/openvpn/server.conf
Fri Jan 2 21:39:44 1970 OpenVPN 2.1.3 mipsel-linux [SSL] [LZO2] [EPOLL] built on Aug 31 2010
Fri Jan 2 21:39:44 1970 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri Jan 2 21:39:44 1970 TUN/TAP device tun0 opened
Fri Jan 2 21:39:44 1970 /sbin/ifconfig tun0 10.8.0.1 pointopoint 10.8.0.2 mtu 1500
Fri Jan 2 21:39:44 1970 UDPv4 link local (bound): [undef]:65000
Fri Jan 2 21:39:44 1970 UDPv4 link remote: [undef]


Вот конфиг сервера:


[admin@asus-server root]$ cat /opt/etc/openvpn/server.conf
port 65000
dev tun0
ifconfig 10.8.0.1 10.8.0.2
secret static.key
# Routing all client traffic (including web-traffic) through the VPN
push "redirect-gateway def1"
push "dhcp-option DNS 10.8.0.1"
[admin@asus-server root]$


ОСь, ASUS WL-520GU с прошивкой от Олега:


[admin@asus-server root]$ uname -a
Linux asus-server 2.4.20 #18 Sun Mar 30 13:13:29 MSD 2008 mips unknown



Я понимаю что до фаервола тут дело не доходит, т.к. он вообще порт не листит, но все же в фаерволе порт разрешен:


[admin@asus-server root]$ iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT udp -- anywhere anywhere udp dpt:65000
...........

HUB107
04-10-2010, 04:41
после "port 65000" следующей строкой впишите "proto tcp-server"

sevift
14-10-2010, 19:29
Есть wl-520GU(1), в wan подключена городская локалка 10.0.0.0 (xxx.net), в lan другой wl-520GU(2), который в свою очередь подключен через wan к другой городской сети 192.168.0.0 (yyy.net). У обоих авторизация по маку.
Компьютер подключен через lan к (1)
DNS у xxx.net 10.1.1.2, у yyy.net 192.168.252.2
Можно как то настроить все это дело, чтобы запросы в каждую сеть обрабатывались своим dns?
Если в свойствах подключения на компьютере указать два dns от этих сетей, то запросы идут только к основному dns, альтернативный не обрабатывается. Приходится писать все ресурсы одной из сетей в хост.

vectorm
14-10-2010, 19:36
Можно как то настроить все это дело, чтобы запросы в каждую сеть обрабатывались своим dns?

Я не пойму - поиск работает только у особо одаренных?
Перенес в профильную тему, читайте.

gordan1987
17-10-2010, 22:45
Добрый день всем! На форуме нашел статью по настройке впн но это тока для 1 сервера и клиента. Можно ли на дир 320 поднять впн сервер что б к ниму подключалось несколько компов с разных внешних сетей ?Я набрасал схему что должно быть + с внешней сети надо что б можно было б заходить в мою под сеть? и да кстати порт должен быть только 443

Zarom
18-10-2010, 19:03
Прошивка 1.9.2.7-d-r2174
Подскажите, есть ли модуль tap.o ?

igor77777
19-10-2010, 14:46
Прошивка 1.9.2.7-d-r2174
Подскажите, есть ли модуль tap.o ?

когда я боролся с openvpn и tap0 то дописал в post-boot

# для работы openvpn
insmod tun.o
мне помогло

Поищите по форуму. Я подробно расписывал свою борьбу и результат.

у меня создавался

Zarom
19-10-2010, 15:36
Большое спасибо! Действительно, после

insmod tun.o
И после этого можно создать tap интерфейс

titan
02-11-2010, 01:59
Есть wl-520GU(1), в wan подключена городская локалка 10.0.0.0 (xxx.net), в lan другой wl-520GU(2), который в свою очередь подключен через wan к другой городской сети 192.168.0.0 (yyy.net). У обоих авторизация по маку.
Компьютер подключен через lan к (1)
DNS у xxx.net 10.1.1.2, у yyy.net 192.168.252.2
Можно как то настроить все это дело, чтобы запросы в каждую сеть обрабатывались своим dns?
Если в свойствах подключения на компьютере указать два dns от этих сетей, то запросы идут только к основному dns, альтернативный не обрабатывается. Приходится писать все ресурсы одной из сетей в хост.
Если в одной и в другой локалке разные домены (.xxx.net и .yyy.net) то у dnsmasq есть такой параметр: server=/[domain]/[dns server ip]
Тоесть на роутере 1 в dnsmasq.conf добавляешь:
server=/yyy.net/192.168.252.2
на роутере 2 наоборот:
server=/xxx.net/10.1.1.2

Dron671
03-11-2010, 07:10
Доброе время суток.
Очень нужна ваша помощь !. Хотя бы в теории.

Возможно ли роутре использовать к в качестве шлюза WAN to WAN ?

Попробую объяснить ситуацию.
1. В нашем городе есть провайдер, цены которого кусаются, а скорость оставляет желать лучшего. Но у чего есть локальная зона. Ну к примеру
94.141.192.01- 94.141.200.01.
И мой домашний комп подключён через этого провайдера.

2. Есть офис на работе. Инет уних подключен по витой паре. "Конец" этой витой пары имеет реальный статический IP из диапазона 94.141.192.01- 94.141.200.01.

Если в офисе поднять VPN сервер, можно подключатся к нему из дома, и пользовать офисный интерент через VPN впн сервер. (дома трафик будет тарифицироваться как локальный).
Но вот проблема. В стенах офиса нет возможности поставить комп с Win Server для организации VPN сервера.

Как ещё можно решить эту задачу ?
В офисе в качестве шлюза используется DIR-300, Так же имеются Dir-320 c пошивкой от энтузиастов. Возможно ли роутеры использовать в качесве шлюза/сервера тунеля.

ZeroNull
03-11-2010, 10:02
А что мешает поставить OpenVPN сервер на DIR320, тем более что он у тебя уже с прошивкой от энтузиастов? Пусть DIR300 к нему подключается в качестве клиента.
По настройке читай man или здесь на форуме этот вопрос тоже обсуждался.

Basile
08-11-2010, 10:26
Эта статья не совсем вписывается в ваши условия, но, надеюсь, натолкнет на некоторые мысли:
OpenVPN, объединяем домашние сети / Linux для всех / Хабрахабр (http://habrahabr.ru/blogs/linux/56652/)

DarkForce
20-12-2010, 00:25
Не могу понять в чем проблема:
1. Есть сеть организации - 192.168.0.0/21, с ВПН сервером на основном шлюзе - 172.16.0.0 / 24
2. Есть домашняя сеть: 10.10.10.0/29. Где Asus роутер 10.10.10.1.
3. На точке Asus установил и настроил OpenVPN - соединяется, и пакеты с точки в сеть организации идут на ура на любую машину.
4. Пакеты из домашней сети (см. пункт 2) не идут.
5. Здесь прочел про "iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE", как только применяю - пакеты с домашней сети начинают ходить, однако - организация не видит домашнюю сеть.
6. опыт настройки VPN имею - у организации VPN каналов больше 10, все настраивал сам, на базе WinXP серверов в удаленных точках, теперь озадачился перейти на железное и более дешевое решение.

Сеть организации:
route add 10.10.10.0 mask 255.255.255.248 172.16.0.2 -p

Файл CDD для сертификата:
ifconfig 172.16.0.253 172.16.0.254
iroute 10.10.10.0 255.255.255.248

Сеть дома:
Роутер настроен как Wi-FI AP, имеет выход в интернет через DSL модем (ppoe поднимается на роутере)
Настройка файла конфига в OpenVPN роутере содержит

route 192.168.0.0 255.255.255.248.

Привожу ту часть iptables где видно что работает FORWARD для br0 и tun0

Chain FORWARD (policy ACCEPT 147 packets, 27370 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- tun0 br0 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- br0 tun0 0.0.0.0/0 0.0.0.0/0
...


Routing table:

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
172.16.0.1 172.16.0.254 255.255.255.255 UGH 0 0 0 tun0
172.16.0.254 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
my_ip_adress 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
10.10.10.8 0.0.0.0 255.255.255.252 U 0 0 0 vlan1
10.10.10.0 0.0.0.0 255.255.255.248 U 0 0 0 br0
192.168.0.0 172.16.0.254 255.255.248.0 UG 0 0 0 tun0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 213.80.235.81 0.0.0.0 UG 0 0 0 ppp0


Заранее благодарен за помощь.
(Скажу сразу я не специалист в Nix* подобных системах)

felgrem
07-02-2011, 13:17
Здравсвуйте. Возникла такая ситуация. Есть 2 компьютера , в разных концах города, но подключенный к одному провайдеру (у первого айпи 10,222,124,7 а у второго 10,222,75,2). На первом пк есть и локалка и внешка, на втором только локалка. Подскажите, я хочу приобрести ASUS WL-500gP V2,для того что-бы он стал впн сервером и пускал через впн 2 пк во внешку. Подскажите это возможно? или может посоветуете другой какой-нибудь роутер ? Если это уже обсуждалось прошу прощения. Если это возможно, то не подскажите ссылку ?

FilimoniC
07-02-2011, 15:13
Здравсвуйте. Возникла такая ситуация. Есть 2 компьютера , в разных концах города, но подключенный к одному провайдеру (у первого айпи 10,222,124,7 а у второго 10,222,75,2). На первом пк есть и локалка и внешка, на втором только локалка. Подскажите, я хочу приобрести ASUS WL-500gP V2,для того что-бы он стал впн сервером и пускал через впн 2 пк во внешку. Подскажите это возможно? или может посоветуете другой какой-нибудь роутер ? Если это уже обсуждалось прошу прощения. Если это возможно, то не подскажите ссылку ?

Да, это возможно, если эти компы сейчас между собой могут соединиться.
Вам нужно поставить роутер в разрыв компа с интетом, поставить на него OpenVPN-сервер, потом настроить OpenVPN-клиент на компе без инета.

Совет дня: перед покупкой роутера, поставьте OpenVPN-сервер на комп с инетом (прямо в винде), и на комп без инета (так же в винде), и добейтесь хождения интернета. Потом покупайте роутер и переносите сервер OpenVPN на роутер.

* Если вы можете держать компьютер с инетом постоянно включенным, то роутер вам не нужен.

* Тарифы типа "Локальный" уходят в прошлое, и скорее всего через год его не будет.

Вас неудобно читать. Делайте абзацы, не отделяйте запятые пробелами перед знаком, и отделяйте после, указывайте IP-адреса с разделитеоем-точкой, а не с разделителем-запятой.

BPK
08-02-2011, 11:43
DIR-320, прошивка WL500gpv2-1.9.2.7-d-r2174.
Реально ли прикрутить VPN Endpoint и где написано как это делать?

FilimoniC
08-02-2011, 17:48
DIR-320, прошивка WL500gpv2-1.9.2.7-d-r2174.
Реально ли прикрутить VPN Endpoint и где написано как это делать?
Реально. Написано тут http://openvpn.net/howto.html и очень хорошее руководство тут http://www.sergeysl.ru/freebsd-openvpn-x509/

DarkTwin
14-02-2011, 15:19
Подскажите пожалуйста какие настройки VPN у него есть.
На яндекс-маркете это обзывается "Поддержка VPN pass through"

vectorm
15-02-2011, 09:27
Подскажите пожалуйста какие настройки VPN у него есть.
На яндекс-маркете это обзывается "Поддержка VPN pass through"
Вы путаете 2 разных понятия.
Вам нужно, судя по всему, поднимать VPN соединение на роутере.
А "Поддержка VPN pass through" - это возможность поднятия VPN соединения на компьютере ВНУТРИ локалки роутера.
Обе этих возможности есть.
И OpenVPN сервер тоже можно внутри роутера поднять.
Все расписано на форуме, попользуйтесь поиском.

slka
01-11-2012, 19:18
Друзья, пытаюсь настроить VPN (hideme.ru) на RT-N16, но ничего не выходит. Подскажите куда прописывать настройки вот эти?


9317

Spartach
02-11-2012, 08:14
Друзья, пытаюсь настроить VPN (hideme.ru) на RT-N16, но ничего не выходит. Подскажите куда прописывать настройки вот эти?


1. Вы пытаетесь настроить внешний PPTP на WAN интерфейсе, Ваш оператор предоставляет доступ к Internet без установления VPN соединения?
2. Покажите лог, Status & Log -> System Log.

PS: вопрос, правда, задан не в той теме.

slka
02-11-2012, 09:14
1. Вы пытаетесь настроить внешний PPTP на WAN интерфейсе, Ваш оператор предоставляет доступ к Internet без установления VPN соединения?
2. Покажите лог, Status & Log -> System Log.

PS: вопрос, правда, задан не в той теме.

Забыл отписать, что я разобрался вчера. Оказывается надо было IP из WAN DNS Setting убрать и прописать в самую нижнюю графу.
Спасибо.

wl500user
21-01-2013, 04:40
Есть wl500gp v1, с прошивкой "для чайников" (там где скрипты сами все ставят), и есть нужда поднять на этом роутере VPN сервер, дабы сидеть на работе на разных сайтах и не палиться ).

Как это проще_всего сделать ?

ConstAntz
21-01-2013, 18:12
Может так (http://lmgtfy.com/?q=vpn+site%3Awl500g.info)?

wl500user
22-01-2013, 03:41
Есть wl500gp v1, с вот этой прошивкой, и есть нужда поднять на этом роутере VPN сервер. Насколько я понял, в комплекте уже идет OpenVPN, а как его настроить ? Та статья на хабре ясности не прибавила. А может он изкаробки работает уже ? В смысле мне не нужен доступ к локалке, мне просто надо, чтобы траффик с работы ходил через него.