PDA

Bekijk de volledige versie : Установка и настройка VPN/OpenVPN через 3G/4G (Yota) модем



anelyubin
19-11-2010, 08:39
ситуация следующая:

есть задача объединить две сети посредством openvpn (впрочем, если есть другие решения - я их только приветствовать буду), есть сервер openvpn поднятый на windows xp (внешний ip), есть dir-320 с прошивкой wl500gpv2-1.9.2.7-d-r2174, модем yota и флешка на гигабайт, присоединенные через активный usb-хаб. флешка отформатирована в ext3.

пробую устанавливать по образцу приведенному в начале темы. естественно поменяв конфиги местами.

но, не работает следующее: автоматически не монтируется файловая система флешки в /opt (в post-boot внес соответствующие коррективы)
и появляются ошибки связанные с tun - когда wimax подключен - сообщение о том, что tun уже загружен.

так же, когда поднято соединение wimax - в /dev уже существует /net
и не совсем понятно, как правильно надо все это хозяйство настроить, что бы и wimax и openvpn мирно трудились бок о бок на мое благо.

заранее благодарю за помощь и готов предоставить любые логи и данные о текущей настройке.

YVM
19-11-2010, 17:21
но, не работает следующее: автоматически не монтируется файловая система флешки в /opt (в post-boot внес соответствующие коррективы)


У меня тоже не монтировался диск. Мне помогло это http://wl500g.info/showthread.php?p=184273&highlight=%EF%EE%E1%E5%E4%E8%EB#post184273

Slym
09-02-2011, 11:28
Имеется:
1. удаленный офис с DIR-320 МТС 3g свистком (дин IP)...
2. главный офис с OpenVPN (сервер)
Хотелось бы пустить сетку за длинком в сетку главного офиса при помощи OpenVPN
делал по ветке http://wl500g.info/showthread.php?t=8880,
но после
flashfs save
flashfs commit <- файл на 2мб больше 65кб и не сохраняет во флеш

смотрел другие прошивки dd-wrt, но и там чтоб vpn+3g нужна мега версия которая не входит в 320
1. помогите...
2. можно ли и как задействовать MicroSD разъем в модеме под нужды длинка?

vectorm
09-02-2011, 11:43
Имеется:
1. удаленный офис с DIR-320 МТС 3g свистком (дин IP)...
2. главный офис с OpenVPN (сервер)
Хотелось бы пустить сетку за длинком в сетку главного офиса при помощи OpenVPN
делал по ветке http://wl500g.info/showthread.php?t=8880,
но после
flashfs save
flashfs commit <- файл на 2мб больше 65кб и не сохраняет во флеш

смотрел другие прошивки dd-wrt, но и там чтоб vpn+3g нужна мега версия которая не входит в 320
1. помогите...
2. можно ли и как задействовать MicroSD разъем в модеме под нужды длинка?
Втыкайте MicroSD в разъем модема ZTE MF626, он распознается роутером как диск. Дальше - по инструкциям работы с USB дисками/флешками, и ставить openvpn на диск MicroSD. Только swap лучше не делать, и ничего ресурсоемкого не ставить - флешки не вечны в таком режиме работы.

AlexeyUstinov
09-02-2011, 12:42
Здравствуйте!

На страничке
http://code.google.com/p/wl500g/wiki/UserScripts

нашел описание пользовательских скриптов. Написал свой первый скрипт post-boot - никаких признаков выполнения.
Скрипт post-boot выглядит так:

#!/bin/sh
mkdir /usr/local/sbin/12334

после перезагрузки роутера папка 1234 не создается, если скрипт запустить вручную, то директория 1234 создается.

Проверяю все это на роутере DIR-320 с прошивкой от "энтузиастов"
Команда uname -a выдает следующие строки:

Linux WL-1caff7962f82 2.4.37.11 #1 2011-01-20 00:19:34 MSK mips GNU/Linux

Что я делаю не так?

Мне необходимо разобраться с автозапуском скриптов т.к. я использую связку DIR-320+MTS 3G Modem (E150), после выхода в интернет мне присваивают серый IP 10.65.x.x. На такой IP с интернета не зайдешь. Для решения этой проблемы надо написать скрипт, который сам инициирует поднятие туннеля после получения адреса. Скрипт я отладил, осталось только вписать его куда либо для автоматического запуска каждый раз после получения IP адреса.


Алексей Устинов.

Zhmak
09-02-2011, 12:51
Попробуйте в post-mount вставить скрипт.

ConstAntz
09-02-2011, 13:54
на вики не хватает информации о том, чтоб скрипты были исполняемыми

chmod +x /usr/local/sbin/post-boot
ну и сам скрипт нужно сохранить в прошивке
flashfs save && flashfs commit && flashfs enable && reboot

Slym
09-02-2011, 16:22
Дальше - по инструкциям работы с USB дисками/флешками.
Извините за наглость: Ткните меня носом... пара линков...
раздел создал форматнул, как теперь его автоматом монтировать и какие есть особенности при установке на флеш

FilimoniC
09-02-2011, 19:08
Извините за наглость: Ткните меня носом... пара линков...
раздел создал форматнул, как теперь его автоматом монтировать и какие есть особенности при установке на флеш

http://wl500g.info/showthread.php?t=3171
Пост 2, пункт 6

Slym
09-02-2011, 20:26
http://wl500g.info/showthread.php?t=3171
Пост 2, пункт 6
сам разобрался...
vpn поднимается, с длинка видно сервер и наоборот...
осталось маршрутизацию и iptables настроить...
маршрут в сетку главного офиса на сервере прокинул push "route 192.168.0.0 255.255.255.0"
а вот обратно route 192.168.2.0 255.255.255.0 чет не канает

нужно из сетки главного офиса лазить в сетку удаленного офиса
вот с этим проблема...

FilimoniC
09-02-2011, 21:00
сам разобрался...
vpn поднимается, с длинка видно сервер и наоборот...
осталось маршрутизацию и iptables настроить...
маршрут в сетку главного офиса на сервере прокинул push "route 192.168.0.0 255.255.255.0"
а вот обратно route 192.168.2.0 255.255.255.0 чет не канает

нужно из сетки главного офиса лазить в сетку удаленного офиса
вот с этим проблема...

http://www.sergeysl.ru/freebsd-openvpn-x509/
Прекрасный HOWTO по openvpn, правда, под фаерволл ipfw(FreeBSD). Ну тут либо думать, либо сливать готовое решение.

Slym
14-02-2011, 03:48
http://www.sergeysl.ru/freebsd-openvpn-x509/
Прекрасный HOWTO по openvpn, правда, под фаерволл ipfw(FreeBSD). Ну тут либо думать, либо сливать готовое решение.
все работает! в фв пульнул только это
echo "#!/bin/sh" > /usr/local/sbin/post-firewall
echo "iptables -I INPUT -i tun0 -j ACCEPT" >> /usr/local/sbin/post-firewall
echo "iptables -I FORWARD -i tun0 -j ACCEPT" >> /usr/local/sbin/post-firewall
echo "iptables -I FORWARD -o tun0 -j ACCEPT" >> /usr/local/sbin/post-firewall
echo "iptables -I OUTPUT -o tun0 -j ACCEPT" >> /usr/local/sbin/post-firewall
т.е. выкинул все что касаемо OVPN как сервера (входящий на wan)
а в тунеле мне пока нет необходимости "закрываться"

ИТОГО имеем:
VPN СЕРВЕР под W2k3 (белый IP)
VPN клиент на DIR-320
c WANом на 3G МТС свистке (серый IP) с воткнутой MicroSD флешкой смапленой в /opt/
все это используется для удаленного мониторинга объекта-стройки (IP камеры)

KMP
17-02-2011, 12:21
Добрый день! Помогите решить задачу.

Выхожу в инет через 3G модем, далее по pptp подключаюсь vpn серверу и получаю белый IP и более качественный инет со всеми открытыми портами. После настройки 3G соединения как WAN, меню с настройкой pptp становится не доступным.

Как настроить в роутере второе соединение по pptp и поставить его на запуск после соединения по 3G? Если есть статья в инете с настройками буду благодарен, сам ничего толкового не нашел, хотя на сайте wl500g.info что-то такое попадалось, но не могу вспомнить где.

Пытаюсь настроить работу DIR-320 с мегафоновским E1750. Можно ли смонтировать microsd карту на 2 Gb вставленную в картридер модема?

ConstAntz
18-02-2011, 01:25
Пытаюсь настроить работу DIR-320 с мегафоновским E1750. Можно ли смонтировать microsd карту на 2 Gb вставленную в картридер модема?

Что именно не получается?
1GB - полет нормальный, в офисе заверили поддержку до 32GB (проверить не на чем)

KMP
18-02-2011, 08:22
Что именно не получается?
1GB - полет нормальный, в офисе заверили поддержку до 32GB (проверить не на чем)

Вопрос с картой снимается. Все получилось. Остался вопрос с pptp соединение после 3G. Прошу помощи.

3G соединение устанавливается автоматически при старте роутера, настраивал через web. Запускаю pptp пока сам руками с консоли

pppd file /usr/local/root/russianproxy

соединение устанавливается все. Как сделать чтобы после установки pptp соединения pptp шлюз и новые dns стал шлюзом и dns по умолчанию и инет шел через него.

В файл настроек /usr/local/root/russianproxy вставил строчку

defaultroute

Не помогло.

ConstAntz
18-02-2011, 22:35
В файл настроек /usr/local/root/russianproxy вставил строчку

defaultroute

Не помогло.по-шамань с этим
usepeerdns
defaultroute
replacedefaultroute
noipdefault ну или хотя-бы сюда (http://forum.ubuntu.ru/index.php?board=27.0) загляни.

KMP
01-03-2011, 12:29
Помогите настроить DIR-320. Через веб-морду настроил 3g как wan соединение по-умолчанию, запускается, работает. После вручную с роутера запускаю pptp соединение
pppd file /usr/local/root/russianproxy

настройки самого файла pppd

noauth refuse-eap
user 'sdfdsfs'
password 'sdfsdf'
plugin pptp.so
pptp_server pptp-l2tp-vpn-russia-1.atomintersoft.com
nomppe-stateful -mppc mtu 1400
maxfail 0
persist
ipcp-accept-remote ipcp-accept-local noipdefault
defaultroute
usepeerdns
ktune
default-asyncmap nopcomp noaccomp
novj nobsdcomp nodeflate
lcp-echo-interval 10
lcp-echo-failure 6
unit 0

В системе после установки pptp соединения не меняются dns и шлюз по-умолчанию, хотя в настройках это задано. Как сделать чтобы pptp и выданные ему dns стали по-умолчанию в системе и нет шел через него?

Таблица маршрутизации

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.64.64.64 * 255.255.255.255 UH 0 0 0 ppp0
212.24.51.1 * 255.255.255.255 UH 0 0 0 ppp1
192.168.1.0 * 255.255.255.0 U 0 0 0 br0
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default 10.64.64.64 0.0.0.0 UG 0 0 0 ppp0

System.log

Jan 1 03:00:18 pppd[153]: pppd 2.4.5 started by admin, uid 0
Jan 1 03:00:20 pppd[153]: Serial connection established.
Jan 1 03:00:20 pppd[153]: Using interface ppp0
Jan 1 03:00:20 pppd[153]: Connect: ppp0 <--> /dev/usb/tts/0
Jan 1 03:00:20 kernel: sda: Unit Not Ready, sense:
Jan 1 03:00:20 kernel: Info fld=0x0, Current 00:00: sns = f0 2
Jan 1 03:00:20 kernel: ASC=3a ASCQ= 0
Jan 1 03:00:20 kernel: Raw sense data:0xf0 0x00 0x02 0x00 0x00 0x00 0x00 0x0a 0x00 0x00 0x00 0x00 0x3a 0x00 0x00 0x00 0x00 0x00
Jan 1 03:00:21 kernel: sda : READ CAPACITY failed.
Jan 1 03:00:21 kernel: sda : status = 1, message = 00, host = 0, driver = 08
Jan 1 03:00:21 kernel: Info fld=0x0, Current sd00:00: sns = f0 2
Jan 1 03:00:21 kernel: ASC=3a ASCQ= 0
Jan 1 03:00:21 kernel: Raw sense data:0xf0 0x00 0x02 0x00 0x00 0x00 0x00 0x0a 0x00 0x00 0x00 0x00 0x3a 0x00 0x00 0x00 0x00 0x00
Jan 1 03:00:21 kernel: sda: Write Protect is off
Jan 1 03:00:21 kernel: /dev/scsi/host0/bus0/target0/lun0: I/O error: dev 08:00, sector 0
Jan 1 03:00:21 kernel: I/O error: dev 08:00, sector 0
Jan 1 03:00:21 kernel: unable to read partition table
Jan 1 03:00:21 kernel: I/O error: dev 08:00, sector 0
Jan 1 03:00:22 pppd[153]: Could not determine remote IP address: defaulting to 10.64.64.64
Jan 1 03:00:22 pppd[153]: local IP address 10.209.89.212
Jan 1 03:00:22 pppd[153]: remote IP address 10.64.64.64
Jan 1 03:00:22 pppd[153]: primary DNS address 83.149.19.123
Jan 1 03:00:22 pppd[153]: secondary DNS address 83.149.19.124
Jan 1 03:00:23 dnsmasq[74]: read /etc/hosts - 2 addresses
Jan 1 03:00:23 dnsmasq[74]: using nameserver 83.149.19.124#53
Jan 1 03:00:23 dnsmasq[74]: using nameserver 83.149.19.123#53
Jan 1 03:00:23 3G USB Modem: connected to ISP
Jan 1 03:00:23 INADYN[167]: Started 'INADYN version 1.96.3' - dynamic DNS updater.
Jan 1 03:00:23 INADYN[167]: IP read from cache file is '83.149.21.2'. No update required.
Jan 1 03:00:24 INADYN[167]: I:IP address for alias 'klyaksa34.dyndns.org' needs update to '85.26.234.87'
Jan 1 03:00:27 INADYN[167]: I:Alias 'klyaksa34.dyndns.org' to IP '85.26.234.87' updated successful.
Jan 1 03:00:27 ddns: ddns update ok
Mar 1 14:48:05 ntp client: Synchronizing time with pool.ntp.org...
Mar 1 14:48:07 pppd[153]: System time change detected.
Mar 1 14:48:26 dropbear[176]: Child connection from 192.168.1.173:1166
Mar 1 14:48:32 dropbear[176]: password auth succeeded for 'admin' from 192.168.1.173:1166
Mar 1 14:48:48 pptp[178]: Plugin pptp.so loaded.
Mar 1 14:48:48 pptp[178]: PPTP plugin version 0.8.5 compiled for pppd-2.4.5, linux-2.4.37.11
Mar 1 14:48:48 pptp[179]: pppd 2.4.5 started by admin, uid 0
Mar 1 14:48:51 pptp[179]: Couldn't allocate PPP unit 0 as it is already in use
Mar 1 14:48:51 pptp[179]: Using interface ppp1
Mar 1 14:48:51 pptp[179]: Connect: ppp1 <--> pptp (217.23.137.56)
Mar 1 14:48:52 pptp[181]: Non-zero Async Control Character Maps are not supported!
Mar 1 14:48:52 pptp[179]: CHAP authentication succeeded
Mar 1 14:48:52 kernel: mppe_decomp_alloc: options rejected: o[0]=12, o[1]=06, o[2]=01, o[3]=00, o[4]=00, o[5]=00
Mar 1 14:48:53 pptp[179]: not replacing existing default route via 10.64.64.64
Mar 1 14:48:53 pptp[179]: local IP address 212.24.51.40
Mar 1 14:48:53 pptp[179]: remote IP address 212.24.51.1
Mar 1 14:48:53 pptp[179]: primary DNS address 217.23.130.1
Mar 1 14:48:53 pptp[179]: secondary DNS address 217.23.142.1
Mar 1 14:48:53 pptp[179]: MPPE 128-bit stateless compression enabled

KMP
09-03-2011, 18:36
Вопрос с картой снимается. Все получилось. Остался вопрос с pptp соединение после 3G. Прошу помощи.

3G соединение устанавливается автоматически при старте роутера, настраивал через web. Запускаю pptp пока сам руками с консоли

pppd file /usr/local/root/russianproxy

соединение устанавливается все. Как сделать чтобы после установки pptp соединения pptp шлюз и новые dns стал шлюзом и dns по умолчанию и инет шел через него.

В файл настроек /usr/local/root/russianproxy вставил строчку

defaultroute

Не помогло.

Господа, товарищи! Помогите советом, как можно решить проблему. Не удается сделать поднятое pptp-соединение поверх 3g шлюзом по-умолчанию, чтобы инет ходил через pptp. Если удаляю дефолтный шлюз и ставлю вручную интеhфейс pptp (ppp1), то теряю связь с роутером. Help!

icCE
12-03-2011, 21:17
Подскажите, можно ли как то указать для VPN соединения, что бы он не ставил default route свой ? нужно именно входить в сеть удаленную, а не получать интернет :)

VicSer
12-03-2011, 22:02
Подскажите, можно ли как то указать для VPN соединения, что бы он не ставил default route свой ? нужно именно входить в сеть удаленную, а не получать интернет :)

А если добавить в Additional pppd options - nodefaultroute ?

alting
15-04-2011, 04:54
Здравствуйте!
Приобрел сие чудо, теперь пытаюсь сделать подключение к центральному офису.
OpenVPN банально не влезает в основную память :(
Каюсь, не подумал, взял бы Wl500gp с двумя USB портами, не было бы печали.
Единственный USB порт, понятное дело, занимает свисток :(
Что бы придумать в такой ситуации?
Может, pptp клиента туда запихнуть как-то можно ногами? Или без вариантов?
Может, поставить usb хаб? Но, думаю, нужен будет активный, поскольку и флешка и свисток требуют питания...
А у меня, к примеру, на Wl500gp активный хаб нормально работал, а на RT-N16 камера отказывается видется через хаб...
Коллеги, посоветуйте, пожалуйста.

al37919
15-04-2011, 06:56
перепаяйте флаш на 8Мб, либо попробуйте поставить пассивный хаб --- может взлетит?

alting
15-04-2011, 07:05
перепаяйте флаш на 8Мб, либо попробуйте поставить пассивный хаб --- может взлетит?

Перепаять на 8 ? А кто-то пробовал именно на DIR320 такую операцию проводить? И, думаю, 8 не хватит, надо 16. Или я ошибаюсь?

al37919
15-04-2011, 07:17
16 не выйдет, да и не нужно, т.к. во встроенном флеше squashfs со сжатием. Насчет перепайки есть соответствующая тема и соответствующие специалисты http://wl500g.info/showthread.php?t=7523

alting
15-04-2011, 07:21
16 не выйдет, да и не нужно, т.к. во встроенном флеше squashfs со сжатием. Насчет перепайки есть соответствующая тема и соответствующие специалисты http://wl500g.info/showthread.php?t=7523

Спасибо большое, попробую!

FilimoniC
15-04-2011, 14:58
Спасибо большое, попробую!

Лучше с активного хаба начните, ИМХО. USB-флешка на 4 гига стоит 200р. Хаб можно попробовать и пассивный
Зачем вам искать чипы\паять\лишаться гарантии?

alting
16-04-2011, 18:12
Лучше с активного хаба начните, ИМХО. USB-флешка на 4 гига стоит 200р. Хаб можно попробовать и пассивный
Зачем вам искать чипы\паять\лишаться гарантии?

Да я с этого и начал.
Ни в активном, ни в пассивном хабе свисток не работает :(
А USB разъем-то всего один.
Без свистка роутер сам по себе не нужен, есть другие.
А этот покупался именно для свистка, да и стоит он не так уж и дорого, чтобы говорить про гарантию..

Где-то читал, дабы работали хабы, надо выгрузить какой-то модуль (то ли ehci-hcd, то ли еще что, с трудом уже помню).

Выгружаю, все виснет нафиг :(

Graf-dubna
28-04-2011, 19:51
Подскажите плиз,
Как поставить OpenVPN на DIR320. Я так понимаю, что он в основную память не влазиет.
Как его установить на флешку?
На флешке 2а раздела.
SWAP - 256М и
ext3 - 7.5 Гигов --- /opt

В линухе не аллё... скажите чайнику что на что изменить чтоб на флешку поставить?

FilimoniC
29-04-2011, 07:31
Подскажите плиз,
Как поставить OpenVPN на DIR320. Я так понимаю, что он в основную память не влазиет.
Как его установить на флешку?
На флешке 2а раздела.
SWAP - 256М и
ext3 - 7.5 Гигов --- /opt

В линухе не аллё... скажите чайнику что на что изменить чтоб на флешку поставить?

точно так же, от того, что /opt у вас на другом диске, ничего принципиально не меняется

nettt
01-05-2011, 11:44
ситуация такая, есть 2 коробки dir320, перешитые на прошивку от Vampik,
возможно ли такое, через 3G поднимается инет на коробках, ip получается динамический, как настроить так чтобы они образовали VPN туннель между собой?

tolly777
01-05-2011, 12:01
как настроить так чтобы они образовали VPN туннель между собой?
+1 тоже счас над похожей проблемой бьюсь.
вроде вычитал что OpenVPN может и по IP и по DNS коннектится... ставь openvpn, регистрируйся на dyndns.com и тесть
IP внешний (белый) должен быть ясное дело

Graf-dubna
01-05-2011, 18:25
точно так же, от того, что /opt у вас на другом диске, ничего принципиально не меняется

Спасиб. Понял.

skillman
16-06-2011, 20:30
Собственно есть задача объединить 4 офиса в лок одну сеть. И как всегда денег не дают, а есть роутеры DIR-320 офис-Инет.
Вопрос можно потянет ли DIR-320 в качестве VPN сервера скорость канала для меня достаточно и 2 МБит/с.
У кого есть опыт внедрения, просьба отклинуться.

tempik
17-06-2011, 19:58
Собственно есть задача объединить 4 офиса в лок одну сеть. И как всегда денег не дают, а есть роутеры DIR-320 офис-Инет.
Вопрос можно потянет ли DIR-320 в качестве VPN сервера скорость канала для меня достаточно и 2 МБит/с.
У кого есть опыт внедрения, просьба отклинуться.
DIR-320 САМЫЙ бюджетный вариант роутера для офиса ( а точнее домашнего офиса). Объединить 4 офиса можно и ими, но скорость будет ниже плинтуса .... И ИМХО объединять офисы на DIR-320 учитывая какую он даст скорость (да и скорости 2 Мбит/с мало) смысла нет.

2dfx
18-06-2011, 19:52
212.24.51.1 * 255.255.255.255 UH 0 0 0 ppp1
Mar 1 14:48:53 pptp[179]: local IP address 212.24.51.40

У тебя немного лог с таблицей маршрутизации расходится...

Так же обрати внимание на:


Mar 1 14:48:53 pptp[179]: not replacing existing default route via 10.64.64.64

Попробуй руками сделать так:
ip route replace default via ##IP на PPP1 интерфейсе##

skillman
19-06-2011, 20:40
Это я прекрасно понимаю, но связь нужна для терминальных соединений, поэтому 2Мбит/с скорость выше крыше.

tempik
19-06-2011, 20:54
Это я прекрасно понимаю, но связь нужна для терминальных соединений, поэтому 2Мбит/с скорость выше крыше.
Я имел ввиду скорость 2 Мбит/с которую даст 500 gP1 с памятью 128 ... Скорость которую даст DIR-320 как OpenVPN сервер я обозначил "НИЖЕ ПЛИНТУСА", сам не проверял, но прочитайте тему и сравните скорости которых добивались ....

skillman
19-06-2011, 21:43
Я имел ввиду скорость 2 Мбит/с которую даст 500 gP1 с памятью 128 ... Скорость которую даст DIR-320 как OpenVPN сервер я обозначил "НИЖЕ ПЛИНТУСА", сам не проверял, но прочитайте тему и сравните скорости которых добивались ....

В принципе я предполагал, что дир 320 только как клиент настраивать есть смысл.
Спасибо за ответы.
Вышел из ситуации настроил на винде vpn сервер и клиенты на дире 320

p0is0n
04-07-2011, 14:38
У меня dir-320 прошивка Tomato 1.28 Настроен USB свисток от мегафона.

Нужно организовать VPN tunel до домашнего компьютера.

Выделенный IP дома имеется. Роутер находится на даче. Связь через GPRS/3G.

Подойдет ли мне OpenVPN и инструкция к установке? Куда устанавливать во внутреннюю память или на флешку?

# Обновляем список доступных для установки пакетов
ipkg.sh update

# Устанавливаем установщик пакетов ipkg
ipkg.sh install ipkg

Не может выполнить данные команды(

tempik
04-07-2011, 17:03
У меня dir-320 прошивка Tomato 1.28 Настроен USB свисток от мегафона.

Нужно организовать VPN tunel до домашнего компьютера.

Выделенный IP дома имеется. Роутер находится на даче. Связь через GPRS/3G.

Подойдет ли мне OpenVPN и инструкция к установке? Куда устанавливать во внутреннюю память или на флешку?

# Обновляем список доступных для установки пакетов
ipkg.sh update

# Устанавливаем установщик пакетов ipkg
ipkg.sh install ipkg

Не может выполнить данные команды(
Вопросы как это сделать на "помидорной" прошивке следует задавать на форуме "помидорной" прошивки ...

p0is0n
05-07-2011, 05:59
В DD-WRT на домашнем роутере видел соединение через VPN(pptp) к другой сети.

Тогда вопрос можно ли на DD-WRT работать с 3G модемами? и подскажите прошивку.

Можно даже ссылку на тему, поиск юзал, но не нашел ничего

tempik
05-07-2011, 19:41
и подскажите прошивку.

Можно даже ссылку на тему, поиск юзал, но не нашел ничего

Прошивка "от энтузиастов (бывшая от Олега)" ... Другие обсуждают в других форумах ... Ответы на вопросы, а как сделать такое, без описания, что уже сделано по инструкциям с форума, как правило игнорируются ... Все в ваших руках (а мы поможем в решении вопросов, а не в готовом решении именно для вас)....

bums
28-11-2011, 09:26
Добрый день.

Помогите решить задачу.
Есть роутер asus wl-500gp v2 + 3g modem huawei e173
Есть VPN cервер.

Нужно что бы роутер выходил в интренет через 3g modem
Дальше устанавливал соединение с VPN сервером и получал внутренний IP адрес.

Может у кого есть уже такая прошивка или кто-то может такую прошибку собрать - подскажите. Могу даже денег заплатить за работу.

P.S. Пробывал сам ставить OpenVPN client дополнительно ничего хорошего не получилось.

vectorm
28-11-2011, 10:15
Есть VPN cервер.
P.S. Пробывал сам ставить OpenVPN client дополнительно ничего хорошего не получилось.
VPN сервер какой? OpenVPN, PPtP, L2TP???
Роутеры с местными прошивками прекрасно подключаются к любому внешнему VPN серверу.

bums
28-11-2011, 18:31
Либо OpenVPN либо PPTP

да они все умееют работать по отдельности от 3g

а как сделать так чтобы тунель строился когда интернет через usb 3gмодем подключен?

rss
28-11-2011, 19:04
Либо OpenVPN либо PPTP

да они все умееют работать по отдельности от 3g

а как сделать так чтобы тунель строился когда интернет через usb 3gмодем подключен?

Ну, например, добавить скрипт http://www.hub.ru/wiki/Post-firewall
Только проверку надо поставить, что вызвано ppp0-интерфейсом.

bums
29-11-2011, 04:24
Я так пробывал, но проблема в том что когда рветься соединение тунель заново не поднимается.

Тут надо комплексное решение.

Slym
29-11-2011, 06:47
имею wl-500pPv2 с мегафон свистком
делаю по этой инструкции http://wl500g.info/showthread.php?t=8880
1. сначала на прошивке WL500gpv2-1.9.2.7-d-r2624.trx
OpenVPN ставится но не стартует
-sh: /opt/sbin/openvpn: not found
2. пробывал на прошивке WL500gpv2-1.9.2.7-rtn-r3497.trx
зависает установка на строке
Configuring ncurses

может тут что не так? пакеты может не те: echo "src unslung http://ipkg.nslu2-linux.org/feeds/optware/oleg/cross/stable" > /opt/etc/ipkg.conf

3. в оригинальной олеговской прошивке нет USB modem
на какой прошивке встанет и запустится OpenVPN

vectorm
29-11-2011, 11:33
Я так пробывал, но проблема в том что когда рветься соединение тунель заново не поднимается.

Тут надо комплексное решение.
Все прекрасно поднимается. ЛОГИ где???
Я лично пробовал с модемами: 3G, Skylink, Yota, Comstar
Подключения к pptp и openvpn
Все работало и переподключалось.

blockbuster123
26-12-2011, 09:56
Добрый день. Есть задача соединиться по vpn через 3g модем. прошивка от Олега не дает этого сделать .помогите пож-та подскажите прошивочку.

brandser
27-01-2012, 10:44
2. пробывал на прошивке WL500gpv2-1.9.2.7-rtn-r3497.trx
зависает установка на строке
Configuring ncurses

У меня тоже на ncurses установка умирает, пакет даже не скачивается.
Есть предположение, что закончилась память или "неправильная" прошивка.

[admin@home /tmp]$ ipkg -force-depends install openvpn
Installing openvpn (2.2.0-1) to root...
Downloading http://ipkg.nslu2-linux.org/feeds/optware/oleg/cross/stable/openvpn_2.2.0-1_mipsel.ipk
openvpn: unsatisfied recommendation for kernel-module-tun
package openvpn suggests installing xinetd
Installing net-tools (1.60-6) to root...
Downloading http://ipkg.nslu2-linux.org/feeds/optware/oleg/cross/stable/net-tools_1.60-6_mipsel.ipk
Installing psmisc (22.13-1) to root...
Downloading http://ipkg.nslu2-linux.org/feeds/optware/oleg/cross/stable/psmisc_22.13-1_mipsel.ipk
Installing ncurses (5.7-1) to root...
Downloading http://ipkg.nslu2-linux.org/feeds/optware/oleg/cross/stable/ncurses_5.7-1_mipsel.ipk
Terminated


Опытные товарищи, помогите ответом?
PS Прошивка 1.9.2.7-10.7
Спасибо

dimm
10-04-2012, 14:05
Хочу на даче поставить роутер (к примеру 500gDeluxe), к нему подцепить еще парочку устройств. Но для этого нужно до роутера как-то организовать входящее соединение. Дома работает преиум с прошивкой энтузиастов (wrt), нормальный статический IP. Делюкс также на прошивке от энтузиастов (версия d), интернет через 3G модем уже работает. Какие варианты я вижу (а тут прошу помощи в настройке):
1. Дополнительная услуга в виде статического IP. Начинают работать входящие соединения. Но вариант платный и потому на крайний случай.
2. OpenVPN туннель. Премиум дома - сервер, делюкс на даче - клиент. Доступ к делюксу обеспечивает премиум (пробрасывает порты).
Описание поднятия сервера я нашел, а вот клиента пока не могу...
3. Может быть есть вариант проще?

ЗЫ. у меня одного поиск ничего (вообще) не находит?

MercuryV
10-04-2012, 14:21
пробросить порты можно проще, при помощи SSH (http://wl500g.info/showthread.php?12833-%C8%F1%EF%EE%EB%FC%E7%EE%E2%E0%ED%E8%E5-ssh-%F2%F3%ED%E5%EB%E5%E9-%E4%EB%FF-%E1%E5%E7%EE%EF%E0%F1%ED%EE%E3%EE-%E4%EE%F1%F2%F3%EF%E0-%EA-%F0%E5%F1%F3%F0%F1%E0%EC-LAN) (см. насчет Remote Port Forwarding)
поиск на форуме сломан, временный вариант (http://wl500g.info/showthread.php?7043-%CA%EE%E4%E8%F0%EE%E2%EA%E0-%ED%E0-%F4%EE%F0%F3%EC%E5-%E8-%EF%F0%EE%F7%E8%E5-%EF%F0%EE%E1%EB%E5%EC%FB&p=248926#post248926)

psa2k
10-04-2012, 22:44
Хочу на даче поставить роутер (к примеру 500gDeluxe), к нему подцепить еще парочку устройств
Камеры чтоль? :D

По теме - из личного опыта:
1. Связываться с услугой "белый IP" от нашей большой тройки то еще садо-мазо.
После 2-х месяцев разборок с Би и Мегой - плюнул на это дело.
У всех у них APN для RealIP отдельный и тарифы там из основной тарифной сетки не совсем как надо работают.
A МТС у нас вообще только юрикам эту услугу предлагает.

2. Поднятие туннеля со стороны роутера с 3G работает, но есть нюансы.
Есть на форуме тема про site-to-site VPN и с этим проблем меньше всего.
Основная проблема - свистки иногда виснут.
Тогда мы вешаем на роутер скрипт watchdog, пингаем какой-нибудь внешний IP, например нашего VPN-сервера.
Нет реплая - ребут. Но при ребуте свисток как правило не сбрасывается - нужен сброс по питанию. Поэтому:
2.а. Нужен паяльник для реализации схемы сброса по питанию.
2.б. Нужен паяльник для вывода консоли и смарт-упс, которому через консоль можно дать команду на отключение-включение нагрузки.
Вариант б предпочтительней потому, что можно мониторить состояние электросети.
Послать сообщение, если злоумышленники рубанули кабельный ввод :D

MMX2
12-04-2012, 19:51
Доброго времени суток!
Имею целью связать две сети воедино.
Первая сеть RT-n16 с белым IP от пчелайна-корбины.
Вторя сеть WL500GPV2 на 3G от мегафона
Сервер крутится на RT-n16.
Пока для тестов пытаюсь подконнектиться к серверу с виндового компа, находящегося в тойже сети, что и сервер.

Делал все почти по инструкции из первого поста.
OpenVpn из нового репозитория.

Конфиг сервера

dev tun0
port 5190
proto tcp-server
ifconfig 10.8.0.1 10.8.0.2
secret static.key

Конфиг клиента: (клиент: OpenVPN под виндой)

remote XXXXXX.243
dev tun0
port 5190
proto tcp-client
ifconfig 10.8.0.2 10.8.0.1
secret static.key
redirect-gateway

В post-boot (иначе пропадает после перезагрузки):

mkdir /dev/net
mknod /dev/net/tun c 10 200

В post-firewall:

iptables -D INPUT -j DROP
iptables -I INPUT -p tcp --dport 5190 -j ACCEPT
iptables -t nat -I PREROUTING -i eth1 -p tcp --dport 5190 -j DNAT --to-destination \$4:5190
iptables -A INPUT -j DROP
iptables -I INPUT -i tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -j ACCEPT
iptables -I FORWARD -o tun0 -j ACCEPT
iptables -I OUTPUT -o tun0 -j ACCEPT

Проблема:
Пытаюсь подконнектиться, доходит до TCPv4_CLIENT link remote и повисает. если при этом попытатсья попинговать 10.8.0.1 то начинаются чудеса: пингом проходит 1 пакет, и клиент тутже сообщает, что подключился и получил Ip 10.8.0.2, оставшиеся пакеты не идут и клиент тутже отваливается. Дальнейшее подключение возможно только если перезагрузить клиента OpenVPN.

Логе на сервере:

Thu Jan 1 04:00:28 1970 OpenVPN 2.2.1 mipsel-linux-gnu [SSL] [LZO2] [EPOLL] built on Apr 2 2012
Thu Jan 1 04:00:28 1970 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or exec
Thu Jan 1 04:00:28 1970 WARNING: file 'static.key' is group or others accessible
Thu Jan 1 04:00:28 1970 TUN/TAP device tun0 opened
Thu Jan 1 04:00:28 1970 /sbin/ifconfig tun0 10.8.0.1 pointopoint 10.8.0.2 mtu 1500
Thu Jan 1 04:00:28 1970 Listening for incoming TCP connection on [undef]:5190
Thu Apr 12 22:08:49 2012 TCP connection established with 192.168.1.5:57020
Thu Apr 12 22:08:49 2012 TCPv4_SERVER link local (bound): [undef]:5190
Thu Apr 12 22:08:49 2012 TCPv4_SERVER link remote: 192.168.1.5:57020
Thu Apr 12 22:08:59 2012 Peer Connection Initiated with 192.168.1.5:57020
Thu Apr 12 22:08:59 2012 Initialization Sequence Completed

Лог клиента:

Thu Apr 12 22:08:53 2012 TCP connection established with XXXXXX.243:5190
Thu Apr 12 22:08:53 2012 TCPv4_CLIENT link local: [undef]
Thu Apr 12 22:08:53 2012 TCPv4_CLIENT link remote: XXXXXX.243:5190
Thu Apr 12 22:09:31 2012 Peer Connection Initiated with XXXXXX.243:5190
Thu Apr 12 22:09:32 2012 ROUTE: route addition failed using CreateIpForwardEntry: Неверны один или несколько аргументов. [if_index=12]
Thu Apr 12 22:09:32 2012 ROUTE: route addition failed using CreateIpForwardEntry: Неверны один или несколько аргументов. [if_index=32]
Thu Apr 12 22:09:32 2012 Initialization Sequence Completed
Thu Apr 12 22:09:51 2012 Connection reset, restarting [-1]
Thu Apr 12 22:09:51 2012 ROUTE: route deletion failed using DeleteIpForwardEntry: Элемент не найден.
Thu Apr 12 22:09:51 2012 ROUTE: route deletion failed using DeleteIpForwardEntry: Элемент не найден.
Thu Apr 12 22:09:51 2012 ROUTE: route addition failed using CreateIpForwardEntry: Неверны один или несколько аргументов. [if_index=12]
Thu Apr 12 22:09:51 2012 SIGUSR1[soft,connection-reset] received, process restarting
Thu Apr 12 22:09:56 2012 TAP-WIN32 device [Подключение по локальной сети 6] opened: \\.\Global\{BF9AF574-7C1F-4A7D-B180-FB89E8E0416B}.tap
Thu Apr 12 22:09:56 2012 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.2/255.255.255.252 on interface {BF9AF574-7C1F-4A7D-B180-FB89E8E0416B} [DHCP-serv: 10.8.0.1, lease-time: 31536000]
Thu Apr 12 22:09:56 2012 Successful ARP Flush on interface [32] {BF9AF574-7C1F-4A7D-B180-FB89E8E0416B}
Thu Apr 12 22:09:56 2012 Attempting to establish TCP connection with XXXXXX:5190
Thu Apr 12 22:09:56 2012 TCP: connect to XXXXXX.243:5190 failed, will try again in 5 seconds
Thu Apr 12 22:10:01 2012 TCP: connect to XXXXXX.243:5190 failed, will try again in 5 seconds
Thu Apr 12 22:10:06 2012 TCP: connect to XXXXXX.243:5190 failed, will try again in 5 seconds


1. Кого (клиента или сервер) ковырять? И где именно крутить?
2. Что означает \$4 в правиле iptables -t nat -I PREROUTING -i eth1 -p tcp --dport 5190 -j DNAT --to-destination \$4:5190? везде искал - не нашел. Если правило вводить просто через телнет, то ругается что "неверный IP адрес $4".
Спасибо!

Spartach
13-04-2012, 03:44
Моя работающая конфигурация (в post-mount вызов /opt/etc/init.d/openvpn start):
1. скрипт init.d/openvpn


#!/bin/sh
# Startup script for openvpn server

DAEMON=/opt/bin/openvpn
CONFIG_DIR=/opt/etc/openvpn
PID_DIR=/opt/var/run

echo 1 > /proc/sys/net/ipv4/ip_forward

if ( [ ! -c /dev/net/tun ] ) then
if ( [ ! -d /dev/net ] ) then
mkdir -m 755 /dev/net
fi
mknod /dev/net/tun c 10 200
fi

if ( !(lsmod | grep -q "^tun") ); then
insmod tun.ko
fi

case "$1" in
start)
for CONFIG in `cd $CONFIG_DIR; ls *.conf`; do
NAME=${CONFIG%%.conf}
echo -n "Starting OpenVPN ${CONFIG%%.conf}: "
/opt/bin/openvpn --daemon --cd $CONFIG_DIR --config $CONFIG --writepid $PID_DIR/openvpn.$NAME.pid
echo "ok"
done
;;
stop)
for PIDFILE in `ls /opt/var/run/openvpn.*.pid`; do
NAME=`echo $PIDFILE | cut -c22-`
NAME=${NAME%%.pid}
echo -n "Stopping OpenVPN $NAME: "
kill `cat $PIDFILE` || true
rm -f $PIDFILE
echo "ok"
done
;;
restart)
$0 stop
sleep 2
$0 start
;;
*)
echo "Usage: $0 {start|stop|restart}"
exit 1
;;
esac
exit 0

2. post-firewall


iptables -I INPUT -p tcp --dport 1194 -j ACCEPT

iptables -I INPUT -i tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -j ACCEPT
iptables -I FORWARD -o tun0 -j ACCEPT
iptables -I OUTPUT -o tun0 -j ACCEPT

iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o tun0 -j MASQUERADE

3. home-server.conf


dev tun0

tls-server
mode server

server 192.168.15.0 255.255.255.0

ifconfig-pool-persist /opt/etc/openvpn/home/ipp
client-config-dir /opt/etc/openvpn/home/ccd

dh /opt/etc/openvpn/home/keys/dh4096.pem
ca /opt/etc/openvpn/home/keys/ca.crt
cert /opt/etc/openvpn/home/keys/rt-n16.crt
key /opt/etc/openvpn/home/keys/rt-n16.key
crl-verify /opt/etc/openvpn/home/keys/crl.pem

client-to-client

port 1194
proto tcp-server

comp-lzo
persist-tun
persist-key
verb 3
script-security 2

push "route 192.168.10.0 255.255.255.0" #локалка за роутером

log /opt/var/log/openvpn/home.log
status /opt/var/log/openvpn/home-status.log

keepalive 10 60

4. home-client.ovpn


client
dev tun0
proto tcp
remote xxx.xxx.xxx.xxx 1194
resolv-retry infinite
nobind
persist-key
persist-tun
<ca>
{сертификат CA}
</ca>
<cert>
{сертификат клиента}
</cert>
<key>
{ключ клиента}
</key>
ns-cert-type server
comp-lzo

MMX2
13-04-2012, 10:18
Спасибо! Буду пробовать! Правильно ли я понимаю, что дефолтный адрес роутера изменен на 192.168.10.0?

Дядя Вова
17-04-2012, 15:15
Прямо в тему.
Долго по-неопытности ковырялся, но таки поднял туннель между домом и дачей. На даче "пара устройств" ( Собрал контроллер по прототипу http://www.avislab.com/blog/enc28j60/ )
Вот примерно так:


Дом Дача 3G
83.x.x.x |||
|| |
31.42.x.x 10.44.x.x
10.8.0.1======tun0=======10.8.0.2
192.168.1.1 192.168.2.1
|
192.168.1.7


Проблемка заключается в том, что не могу достучаться из интернета до web-сервера который в сетке за туннелем (openVPN), а из домашней сетки -могу. Получается, что обратные пакеты
192.168.2.1:8080 > 192.168.1.7 есть
192.168.2.1:8080 > 83.x.x.x нет

Вот видно, что 192.168.2.1 не отвечает в интернет 83.149.9.147. Но отвечает компу из другой сетки с адреса 192.168.1.7
tcpdump -qlnt -i tun0 port 8080


IP 83.149.9.14.14887 > 192.168.2.1.8080: tcp 0
IP 83.149.9.14.14887 > 192.168.2.1.8080: tcp 0
IP 83.149.9.14.14887 > 192.168.2.1.8080: tcp 0

IP 192.168.1.7.1122 > 192.168.2.1.8080: tcp 0
IP 192.168.2.1.8080 > 192.168.1.7.1122: tcp 0
IP 192.168.1.7.1122 > 192.168.2.1.8080: tcp 0
IP 192.168.1.7.1122 > 192.168.2.1.8080: tcp 396
IP 192.168.2.1.8080 > 192.168.1.7.1122: tcp 0
IP 192.168.2.1.8080 > 192.168.1.7.1122: tcp 1364
IP 192.168.2.1.8080 > 192.168.1.7.1122: tcp 103
IP 192.168.2.1.8080 > 192.168.1.7.1122: tcp 151


Для справки:

post-firewall


#!/bin/sh
iptables -A INPUT -j DROP
iptables -I INPUT -i tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -j ACCEPT
iptables -I FORWARD -o tun0 -j ACCEPT
iptables -I OUTPUT -o tun0 -j ACCEPT

# port for HTTP
iptables -I INPUT -p tcp --dport 80 -j ACCEPT


Routing Table


Destination Gateway Genmask Flags Metric Ref Use Iface
10.64.64.64 * 255.255.255.255 UH 0 0 0 WAN ppp0
10.8.0.1 * 255.255.255.255 UH 0 0 0 WAN tun0
192.168.2.0 * 255.255.255.0 U 0 0 0 LAN br0
192.168.1.0 10.8.0.1 255.255.255.0 UG 0 0 0 WAN tun0
default 10.64.64.64 0.0.0.0 UG 0 0 0 WAN ppp0


Конфиг клиента openVPN


remote 31.42.х.х
dev tun0
port 5190
proto tcp-client
ifconfig 10.8.0.2 10.8.0.1
secret static.key

route 192.168.1.0 255.255.255.0

ping 15
ping-restart 45
ping-timer-rem
persist-tun
persist-key

Вопрос в том, что надо сделать чтобы сделать доступным сервер за тунелем из интернета? Чего в супе не хватает?

MMX2
27-04-2012, 19:30
Гуру, помогите с настройкой IPTABLES.
Имею OpenVPN сервер, поднятый на RT-n16.
В будущем хочу подключаться к нему клиентом WL500GPv2
Пока доступа к WL500 нет (на даче стоит, только на выходных поеду), подключаюсь с клиента, установленного под виндой на ноутбуке. Скорость передачи данных около 1 мегабита. Подозреваю, что с клиентом в виде WL500 все будет еще хуже. Т.е. заворачивать в тоннель весь трафик, включая WEB - кощунство (wl500 имеет связь с интернетом через 3G от мегафона, скорость около 5 мегабит).
Для чего заморачиваюсь с VPN? Всего существует для меня три цели:
1. Организовать доступ из одной локальной сети в другую (сеть за RT-n16 и за wl500 и обратно)
2. Подключаться к удаленному рабочему столу компа в сети за WL500 из сети за RT-n16 стандартными средствами винды
3. SIP клиенту wmvn25e2plus (находится в сети wl500) поиметь белый ip RT-n16
Последняя задача для меня самая приоритетная (ну не умеет sipnet правильно регистрировать устройства за двумя nat - писал свою историю в этой теме выше).
В связи со всем этим у меня возникает вопрос, как можно на клиенте завернуть в тоннель только:
1. Все пакеты с определенного IP адреса (скажем, 192.168.2.8),
2. Или пакеты с определенного порта,
3. Или все пакеты, кроме web-трафика?
Что мне для этого (одного из этого) необходимо поменять в правилах клиента, которые сейчас выглядят следующим образом:

iptables -I INPUT -i tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -j ACCEPT
iptables -I FORWARD -o tun0 -j ACCEPT
iptables -I OUTPUT -o tun0 -j ACCEPT
Спасибо!

TReX
27-04-2012, 21:02
3. SIP клиенту wmvn25e2plus (находится в сети wl500) поиметь белый ip RT-n16
Последняя задача для меня самая приоритетная (ну не умеет sipnet правильно регистрировать устройства за двумя nat - писал свою историю в этой теме выше).

Нехорошо уважаемый маленьких обманывать )) Лично через ноикиевского клиента сип подключался с сипнет через вай-фай на 500Гпв1 стоящий на даче и подключенный к интернет через МТС 3Г свисток (у мтса адреса естествено тоже серые, так что двойной нат), проблем никаких.

как то вот так


#!/bin/sh
insmod nf_conntrack_sip
insmod nf_nat_sip

хотя раньше и без этого работало на тупом пробросе

MMX2
01-05-2012, 10:43
Нехорошо уважаемый маленьких обманывать )) Лично через ноикиевского клиента сип подключался с сипнет через вай-фай на 500Гпв1 стоящий на даче и подключенный к интернет через МТС 3Г свисток (у мтса адреса естествено тоже серые, так что двойной нат), проблем никаких.
как то вот так

#!/bin/sh
insmod nf_conntrack_sip
insmod nf_nat_sip
хотя раньше и без этого работало на тупом пробросе
Так и есть, но не работает на wl 500 (на rtn-16 все пучком). Т.е. модули подгружаются, но не работает СИП - подключается, но исходящие вызовы на СИП не совершает, а при вызовах на городской меня не слышат. При этом с sipgate.ru вообще нет никаких проблем даже без подгрузки модулей ядра.
Вот и хочу заворачивать в тоннель пакеты с SIP устройства, т.е. с определенного IP.

TReX , проблема с сипнетом вылечилась (тьфу*3) снятием в настройках клиента галки "не закрывать сессию NAT" и назначением времени жизни сип-сеии 180-1800 секунд. Спасибо за помощь.
Но появились другие вопросы:
1. VPN тоннель между Wl500 и rt-n16 поднят, но компы из другой сети не видно в сетевом окружении (т.е. из сети wl500 не видно компы за rt-n16 и наоборот). Причем компы именно невидны, но если коннектится по IP (например \\192.168.1.1), то соединение устанавливается. Это нормально? Или можно поправить, чтобы было видно компьютеры из обеих сетей в сетевом окружении?
2. При попытке прочитать файл с samba сервера из другой сети (находясь в сети за wl500 поключаюсь к самбе на rt-n16), то файлы читаются без проблем. А вот при попытке записать, после продолжительных раздумий вылетает ошибка "Пробема доступа к \\192.168.1.1. проверье, что сетевое подключение работает и повторите попытку". Как исправить и где вообще копать? Права на папку, куда пытаюсь записать стоят 777.
Настройки post-firewall клиента:

iptables -D INPUT -j DROP
iptables -A INPUT -j DROP
iptables -I INPUT -i tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -j ACCEPT
iptables -I FORWARD -o tun0 -j ACCEPT
iptables -I OUTPUT -o tun0 -j ACCEPT
iptables -t nat -I PREROUTING -i eth1 -p udp --dport 1194 -j DNAT --to-destination $4:1194
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
настройки сервера:

iptables -I INPUT -p udp --dport 1194 -j ACCEPT
iptables -I INPUT -i tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -j ACCEPT
iptables -I FORWARD -o tun0 -j ACCEPT
iptables -I OUTPUT -o tun0 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o tun0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
Спасибо!

Вторую проблему решил - изменением настройки самбы (похоже дело было именно в этом).
Осталась первая проблема - как сделать так, чтобы компьютеры из обеих сетей были видны в сетевом окружении (а не только при подключении по IP)?

Погуглил, понял, что надо поднимать WINS сервер для решения проблемы отобращения компьютеров из разных подсетей в обозревателе.
Подскажите, как поднять (или где об этом почитать) WINS сервер на Rt-n16? Спасибо!

tridog
01-05-2012, 11:14
Погуглил, понял, что надо поднимать WINS сервер для решения проблемы отобращения компьютеров из разных подсетей в обозревателе. Подскажите, как поднять (или где об этом почитать) WINS сервер на Rt-n16?
Спасибо!
opkg install samba, iwillusegoogle, iwillusegoogle, iwillusegoogle, iwillusegoogle, iwillusegoogle, ...

MMX2
03-05-2012, 07:53
opkg install samba, iwillusegoogle, iwillusegoogle, iwillusegoogle, iwillusegoogle, iwillusegoogle, ...

Ух ты! Как же я раньше не додумался! Как все просто! Спасибо за совет! Чтобы данный форум без таких советчиков делал бы!
Перед тем как на меня обидеться, попробуйте реализовать содержательную часть вашего совета, а именно opkg install samba :))

Итак, инструкция. Имеем две сети:

RT-N16 192.168.1.0 255.255.255.0
WL500GPv2 192.168.2.0 255.255.255.0
Между ними поднят VPN тоннель 192.168.15.0 255.255.255.0 (сервер - rt-n16)

Что мы хотим сделать: доступ к сетевому окружению из одной сети в другую и назад,
причем компы обеих сетей должны отображаться в сетевом окружении.

1. Дополнительно настраиваем VPN:

1.1. В конфиге сервера:

push "route 192.168.1.0 255.255.255.0"
route 192.168.2.0 255.255.255.0
1.2. в файле /ccd/имя_клиента_из_сертификата:

iroute 192.168.2.0 255.255.255.0
RT-N16 и WL500 должны пинговаться из ОБЕИХ сетей. Если этого не происходит, то перед тем,
как идти дальше разбирайтесь с правилами фаервола и добивайтесь прохождения пингов.
2. Настраиваем SAMBA:

2.1. rt-n16 у нас будет WINS сервером. В конфиг самбы на RT-N16 вносим строчки
(или правим значения, если строчки есть):

bind interfaces only = no
wins support = yes
domain master = yes
os level = 255
local master = yes
preferred master = yes
2.2. В конфиг самбы на wl500 вносим:

bind interfaces only = no
wins support = no
wins server = 192.168.1.1
domain master = no
os level = 255
local master = yes
preferred master = yes
remote announce = 192.168.1.1
3. Настраиваем wl500 и rt-n16:

На ОБОИХ устройствах в IP Config>DHCP Server в строке WINS Server вносим IP RT-N16: 192.168.1.1
Клиентские компьютеры должны поддерживать службу WINS.
Сохраняемся, перезагружаемся, ждем минут 15 и обновляем сетевое окружение.
Должно быть видно подключенные к сети устройства обеих сетей.
Гуру, поправьте меня, где неправильные\лишние\недостаточные телодвижения.

UPD: Возникла любопытная проблема: при попытке подключиться по SSH к WL500gpv2 (см. конфигурацию выше), подключение проходит нормально,
но стоит попытаться запустить MC или PS, как все повисает. По телнету проблема появляется, но редко (т.е. работать можно). Где копать?

Отвечаю на поставленный вопрос: необходимо сменить протокол тоннеля с UDP на TCP и все будет ОК.

MMX2
24-05-2012, 20:40
1. Подумалось мне тут, а можно ли обойтись без разделения на подсети в моем случае?
Соединить надо дачу и дом, на даче 4 устройства, дома 6. Т.е. меньше 255. Сейчас на даче подсеть 192.168.2.0, дома 192.168.1.0.
Можно ли соединить посредством OpenVPN все это не разделяя на подсети, т.к. чтобы все устройства были в сети 192.16.1.0 255.255.255.0?
Прямого ответа на этот вопрос не нашел. Если это можно реализовать, то какой тогда интерфейс использовать - TUN или TAP?
Какие дополнительные настройки (отличные от организации "обычного" тоннеля) требуются?

2. Сейчас все настроено четерз TUN и поднят WINS сервер (см. выше). Клиенты обеих сетей видят друг-друга в сетевом окружении и пингуются. Но если
подключиться с ноубука под виндой (с натройками аналогичными настройкам клиентского WL500), то в сетевом окружении других устройств не видно, хотя
они пингуются, к ним есть доступ по IP и адаптер получает и прописывает от сервера адрес WINS сервера. Где копать для решения данной проблемы?
UPD по п.2: Вопрос даже шире: каким маршрутом дать доступ из сети к клиенту под виндой?
Только что прверил, доступа нет ни по IP тоннеля, ни по локальному Ip клиента...

Искал, но не нашел ответа. Что есть:
сеть 1: 192.168.1.0/24, где на 192.168.1.1 поднят OpenVPN сервер (tun0, RT-N16)
сеть 2: 192.168.2.0/24, где на 192.168.2.1 поднят OpenVPN клиент (WL500)

Вопрос: как ВЕСЬ трафик только с IP 192.168.2.8 завернуть в тоннель?
Т.е. чтобы в интернет он выходил через RT-N16 и имел его IP? Всем спасибо!

SkorpionEx
30-06-2012, 11:50
Всем добрый день!

Есть задача: организовать канал между двумя устройствами. Территориально находятся далеко друг от друга. Общаются они путем отправки запросов на конкретный, заранее заданный, но только один IP адрес (т.е. в устройстве 1 прописывается IP устройства 2, а в устройстве 2 прописывается IP устройства 1). Запросы идут как от устройства 1 к устройству 2 так и наоборот. Так как общение будет идти через Интернет, то нужно иметь второй активный WAN (в моем случае это должен быть 3G) для надежности. Проблема в том, что у роутера должен быть один внешний IP. Может между двумя роутерами получится VPN организовать?

Вот примерная схемка http://i064.radikal.ru/1206/a1/ab5591b60772t.jpg (http://radikal.ru/F/i064.radikal.ru/1206/a1/ab5591b60772.jpg.html)

avtomoda
04-09-2012, 08:35
Необходима помощь в настройке OpenVPN.
Задача: связать 2 компьютера: удаленный компьютер в выделенным "белым" IP стоящий за роутером Asus 500 gp Vp 2 (будет выступать в роли сервера) и компьютер находящийся за натом с роутером Asus 500 gp V2 со свисток 4g Мегафон.
Что есть: два компьютера работают в интернет (то есть интернет соединения работают), на обоих роутерах поднят OpenVPN (то есть установлены и запущены). К компютеру с белым IP есть доступ из вне по telnet и через web интерфейс. К компьтеру с 3g модемом есть доступ из локалки по telnet и через web интерфейс.
Что хотелось бы: настроить что бы 2 компьютера соединялись между собой. Сам в линуксе совсем ноль. Настроил 2 роутера только по описаниям на форуме. Сидеть дальше не могу, поскольку такой уровень познаний выходит за рамки моего мозга. Готов оплатить за помощь в настройке сети.

don-pedro
04-09-2012, 08:58
Необходима помощь в настройке OpenVPN.
Задача: связать 2 компьютера: удаленный компьютер в выделенным "белым" IP стоящий за роутером Asus 500 gp Vp 2 (будет выступать в роли сервера) и компьютер находящийся за натом с роутером Asus 500 gp V2 со свисток 4g Мегафон.
Если речь идет всего о двух компьютерах, то я бы настроил на "сервере" openvpn в режиме сервера, на его роутере пробросил бы соответствующий порт, а на "клиенте" настроил бы openvpn в режиме клиента. Пошаговых руководств в сети навалом. Вот неплохое http://forum.ixbt.com/topic.cgi?id=14:40906
А с роутеров openvpn убрал бы.

avtomoda
04-09-2012, 09:07
Если речь идет всего о двух компьютерах, то я бы настроил на "сервере" openvpn в режиме сервера, на его роутере пробросил бы соответствующий порт, а на "клиенте" настроил бы openvpn в режиме клиента. Пошаговых руководств в сети навалом. Вот неплохое http://forum.ixbt.com/topic.cgi?id=14:40906
А с роутеров openvpn убрал бы.

Так я это и прошу и готов за это заплатить. Моих познаний настроить маршрутизацию не хватает. А так же надо открыть порты.
Я как раз так и делаю. На сервере запустил Open VPN в режиме сервера, на клинте запустил OpenVPN в режиме клиента, но связи нет. как настроить не знаю, поскольку в Линуксе ноль. Какие команды запускать и что смотреть подскажите.

don-pedro
04-09-2012, 10:00
на обоих роутерах поднят OpenVPN (то есть установлены и запущены)

На сервере запустил Open VPN в режиме сервера, на клинте запустил OpenVPN в режиме клиента, но связи нет.
Чему верить? :)

Какие операционки на сервере и клиенте?
Конфиги опенвпн сервера и клиента - в студию.

avtomoda
04-09-2012, 11:41
Чему верить? :)

Какие операционки на сервере и клиенте?
Конфиги опенвпн сервера и клиента - в студию.


Конфиг клиента:
client
dev tun
proto udp
remote "мой IP" 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca /opt/etc/openvpn/keys/ca.crt
cert /opt/etc/openvpn/keys/avtomoda.crt
key /opt/etc/openvpn/keys/avtomoda.key
ns-cert-type server
comp-lzo
verb 3
log-append /opt/var/log/openvpn/openvpn.log
status /opt/var/log/openvpn/status.log

Конфиг сервера:

dev tun

tls-server
server 192.168.255.0 255.255.255.0
ifconfig 192.168.255.1 192.168.255.2

client-config-dir ccd

route 192.168.255.0 255.255.255.0 #IP Range of VPN
route 192.168.2.0 255.255.255.0 #IP Range of Earth

push .route 192.168.1.0 255.255.255.0.
#Say to clients that Shmelev has 192.168.1.0/24 LAN

#keys

dh /opt/etc/openvpn/keys/dh1024.pem
ca /opt/etc/openvpn/keys/ca.crt
cert /opt/etc/openvpn/keys/shmelev.crt
key /opt/etc/openvpn/keys/shmelev.key

#Do not change unless know what you are doing

client-to-client

port 1194
proto udp

user nobody
group nobody

comp-lzo
persist-tun
persist-key
verb 3

log-append /opt/var/log/openvpn/openvpn.log
status /opt/var/log/openvpn/status.log

keepalive 10 60

don-pedro
04-09-2012, 12:51
Конфиг сервера:
server 192.168.255.0 255.255.255.0

На вопросы "Чему верить?" и "Какие ос на клиенте и сервере?" тоже хорошо бы ответить.

В любом случае 192.168.255.0 - неправильно imho. 255 надо на что-то другое поменять.
Хотя не, можно и так.

avtomoda
05-09-2012, 10:08
На вопросы "Чему верить?" и "Какие ос на клиенте и сервере?" тоже хорошо бы ответить.
В любом случае 192.168.255.0 - неправильно imho. 255 надо на что-то другое поменять.
Хотя не, можно и так.
Еще есть вопрос: Не могу записать post-firewall. Точнее я его записываю, сохраняю. Затем flashfs save и т.д. после reboot
После перезагрузки данный файл не отображает мои внесенные изменения. такое ощущение что данный файл еще
где то хранится и при перезагрузке данные с того места берутся и вставляются. Иначе изменения были бы а их нет.

Еще прикладываю логи сервера и клиента. Есть конект, но далее дело не идет. По ошибке сервер останавливает свои работу.

Лог клиента:

Wed Sep 5 11:50:34 2012 OpenVPN 2.2.2 mipsel-linux-gnu [SSL] [LZO2] [EPOLL] built on Aug 7 2012
Wed Sep 5 11:50:34 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed Sep 5 11:50:34 2012 WARNING: file '/opt/etc/openvpn/keys/avtomoda.key' is group or others accessible
Wed Sep 5 11:50:34 2012 LZO compression initialized
Wed Sep 5 11:50:34 2012 Control Channel MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ]
Wed Sep 5 11:50:34 2012 Socket Buffers: R=[87380->131072] S=[16384->131072]
Wed Sep 5 11:50:34 2012 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Sep 5 11:50:34 2012 Attempting to establish TCP connection with 188.114.195.122:1194 [nonblock]
Wed Sep 5 11:50:35 2012 TCP connection established with 188.114.195.122:1194
Wed Sep 5 11:50:35 2012 TCPv4_CLIENT link local: [undef]
Wed Sep 5 11:50:35 2012 TCPv4_CLIENT link remote: 188.114.195.122:1194
Wed Sep 5 11:50:35 2012 TLS: Initial packet from 188.114.195.122:1194, sid=da817811 df7032c6
Wed Sep 5 11:50:36 2012 VERIFY OK: depth=1, /C=RU/ST=MSK/L=Moscow/O=Avtomoda/CN=shmelev/emailAddress=info@avtomoda.su
Wed Sep 5 11:50:36 2012 VERIFY OK: nsCertType=SERVER
Wed Sep 5 11:50:36 2012 VERIFY OK: depth=0, /C=RU/ST=MSK/O=Avtomoda/CN=shmelev/emailAddress=info@avtomoda.su
Wed Sep 5 11:50:38 2012 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Sep 5 11:50:38 2012 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Sep 5 11:50:38 2012 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Sep 5 11:50:38 2012 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Sep 5 11:50:38 2012 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Wed Sep 5 11:50:38 2012 [shmelev] Peer Connection Initiated with 188.114.195.122:1194
Wed Sep 5 11:50:41 2012 SENT CONTROL [shmelev]: 'PUSH_REQUEST' (status=1)
Wed Sep 5 11:50:41 2012 PUSH: Received control message: 'PUSH_REPLY,.route 192.168.1.0 255.255.255.0.,
route 192.168.255.0 255.255.255.0,topology net30,ping 10,ping-restart 60,ifconfig 192.168.255.6 192.168.255.5'
Wed Sep 5 11:50:41 2012 Options error: Unrecognized option or missing parameter(s) in [PUSH-OPTIONS]:1: .route (2.2.2)
Wed Sep 5 11:50:41 2012 OPTIONS IMPORT: timers and/or timeouts modified
Wed Sep 5 11:50:41 2012 OPTIONS IMPORT: --ifconfig/up options modified
Wed Sep 5 11:50:41 2012 OPTIONS IMPORT: route options modified
Wed Sep 5 11:50:41 2012 Note: Cannot open TUN/TAP dev /dev/net/tun: No such device (errno=19)
Wed Sep 5 11:50:41 2012 /sbin/ifconfig 192.168.255.6 pointopoint 192.168.255.5 mtu 1500
ifconfig: SIOCSIFADDR: No such device
Wed Sep 5 11:50:41 2012 Linux ifconfig failed: external program exited with error status: 1
Wed Sep 5 11:50:41 2012 Exiting

avtomoda
05-09-2012, 10:10
Лог сервера:


Wed Sep 5 11:39:38 2012 OpenVPN 2.2.0 mipsel-linux [SSL] [LZO2] [EPOLL] [eurephia] built on Feb 18 2012
Wed Sep 5 11:39:38 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed Sep 5 11:39:39 2012 Diffie-Hellman initialized with 1024 bit key
Wed Sep 5 11:39:39 2012 WARNING: file '/opt/etc/openvpn/keys/shmelev.key' is group or others accessible
Wed Sep 5 11:39:39 2012 TLS-Auth MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ]
Wed Sep 5 11:39:39 2012 Socket Buffers: R=[43689->131070] S=[16384->131070]
Wed Sep 5 11:39:39 2012 ROUTE default_gateway=10.254.4.23
Wed Sep 5 11:39:39 2012 TUN/TAP device tun0 opened
Wed Sep 5 11:39:39 2012 TUN/TAP TX queue length set to 100
Wed Sep 5 11:39:39 2012 /sbin/ifconfig tun0 192.168.255.1 pointopoint 192.168.255.2 mtu 1500
Wed Sep 5 11:39:39 2012 /sbin/route add -net 192.168.255.0 netmask 255.255.255.0 gw 192.168.255.2
Wed Sep 5 11:39:39 2012 /sbin/route add -net 192.168.2.0 netmask 255.255.255.0 gw 192.168.255.2
Wed Sep 5 11:39:39 2012 /sbin/route add -net 192.168.255.0 netmask 255.255.255.0 gw 192.168.255.2
route: SIOC[ADD|DEL]RT: File exists
Wed Sep 5 11:39:39 2012 ERROR: Linux route add command failed: external program exited with error status: 1
Wed Sep 5 11:39:39 2012 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Sep 5 11:39:39 2012 GID set to nobody
Wed Sep 5 11:39:39 2012 UID set to nobody
Wed Sep 5 11:39:39 2012 Listening for incoming TCP connection on [undef]:1194
Wed Sep 5 11:39:39 2012 TCPv4_SERVER link local (bound): [undef]:1194
Wed Sep 5 11:39:39 2012 TCPv4_SERVER link remote: [undef]
Wed Sep 5 11:39:39 2012 MULTI: multi_init called, r=256 v=256
Wed Sep 5 11:39:39 2012 IFCONFIG POOL: base=192.168.255.4 size=62
Wed Sep 5 11:39:39 2012 Note: sys_epoll API is unavailable, falling back to poll/select API
Wed Sep 5 11:39:39 2012 MULTI: TCP INIT maxclients=1024 maxevents=1028
Wed Sep 5 11:39:39 2012 Initialization Sequence Completed
Wed Sep 5 11:41:26 2012 MULTI: multi_create_instance called
Wed Sep 5 11:41:26 2012 Re-using SSL/TLS context
Wed Sep 5 11:41:26 2012 LZO compression initialized
Wed Sep 5 11:41:26 2012 Control Channel MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ]
Wed Sep 5 11:41:26 2012 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Sep 5 11:41:26 2012 Local Options hash (VER=V4): 'c0103fa8'
Wed Sep 5 11:41:26 2012 Expected Remote Options hash (VER=V4): '69109d17'
Wed Sep 5 11:41:26 2012 TCP connection established with 83.149.8.111:5571
Wed Sep 5 11:41:26 2012 TCPv4_SERVER link local: [undef]
Wed Sep 5 11:41:26 2012 TCPv4_SERVER link remote: 83.149.8.111:5571
Wed Sep 5 11:41:27 2012 83.149.8.111:5571 TLS: Initial packet from 83.149.8.111:5571, sid=1bba4daf deddc22a
Wed Sep 5 11:41:31 2012 83.149.8.111:5571 VERIFY OK: depth=1, /C=RU/ST=MSK/L=Moscow/O=Avtomoda/CN=shmelev/emailAddress=info@avtomoda.su
Wed Sep 5 11:41:31 2012 83.149.8.111:5571 VERIFY OK: depth=0, /C=RU/ST=MSK/O=Avtomoda/CN=avtomoda/emailAddress=info@avtomoda.su
Wed Sep 5 11:41:31 2012 83.149.8.111:5571 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Sep 5 11:41:31 2012 83.149.8.111:5571 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Sep 5 11:41:31 2012 83.149.8.111:5571 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Sep 5 11:41:31 2012 83.149.8.111:5571 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Sep 5 11:41:32 2012 83.149.8.111:5571 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Wed Sep 5 11:41:32 2012 83.149.8.111:5571 [avtomoda] Peer Connection Initiated with 83.149.8.111:5571
Wed Sep 5 11:41:32 2012 avtomoda/83.149.8.111:5571 MULTI: Learn: 192.168.255.6 -> avtomoda/83.149.8.111:5571
Wed Sep 5 11:41:32 2012 avtomoda/83.149.8.111:5571 MULTI: primary virtual IP for avtomoda/83.149.8.111:5571: 192.168.255.6
Wed Sep 5 11:41:34 2012 avtomoda/83.149.8.111:5571 PUSH: Received control message: 'PUSH_REQUEST'
Wed Sep 5 11:41:34 2012 avtomoda/83.149.8.111:5571 SENT CONTROL [avtomoda]: 'PUSH_REPLY,.route 192.168.1.0 255.255.255.0.,route 192.168.255.0 255.255.255.0,topology net30,ping 10,ping-restart 60,ifconfig 192.168.255.6 192.168.255.5' (status=1)
Wed Sep 5 11:41:34 2012 avtomoda/83.149.8.111:5571 Connection reset, restarting [0]
Wed Sep 5 11:41:34 2012 avtomoda/83.149.8.111:5571 SIGUSR1[soft,connection-reset] received, client-instance restarting
Wed Sep 5 11:41:34 2012 TCP/UDP: Closing socket
Wed Sep 5 11:48:52 2012 MULTI: multi_create_instance called
Wed Sep 5 11:48:52 2012 Re-using SSL/TLS context
Wed Sep 5 11:48:52 2012 LZO compression initialized
Wed Sep 5 11:48:52 2012 Control Channel MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ]
Wed Sep 5 11:48:52 2012 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Sep 5 11:48:52 2012 Local Options hash (VER=V4): 'c0103fa8'
Wed Sep 5 11:48:52 2012 Expected Remote Options hash (VER=V4): '69109d17'
Wed Sep 5 11:48:52 2012 TCP connection established with 83.149.8.111:10376
Wed Sep 5 11:48:52 2012 TCPv4_SERVER link local: [undef]
Wed Sep 5 11:48:52 2012 TCPv4_SERVER link remote: 83.149.8.111:10376
Wed Sep 5 11:48:52 2012 83.149.8.111:10376 TLS: Initial packet from 83.149.8.111:10376, sid=6b881605 87bae321
Wed Sep 5 11:48:55 2012 83.149.8.111:10376 VERIFY OK: depth=1, /C=RU/ST=MSK/L=Moscow/O=Avtomoda/CN=shmelev/emailAddress=info@avtomoda.su
Wed Sep 5 11:48:55 2012 83.149.8.111:10376 VERIFY OK: depth=0, /C=RU/ST=MSK/O=Avtomoda/CN=avtomoda/emailAddress=info@avtomoda.su
Wed Sep 5 11:48:56 2012 83.149.8.111:10376 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Sep 5 11:48:56 2012 83.149.8.111:10376 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Sep 5 11:48:56 2012 83.149.8.111:10376 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Sep 5 11:48:56 2012 83.149.8.111:10376 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Sep 5 11:48:56 2012 83.149.8.111:10376 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Wed Sep 5 11:48:56 2012 83.149.8.111:10376 [avtomoda] Peer Connection Initiated with 83.149.8.111:10376
Wed Sep 5 11:48:56 2012 avtomoda/83.149.8.111:10376 MULTI: Learn: 192.168.255.6 -> avtomoda/83.149.8.111:10376
Wed Sep 5 11:48:56 2012 avtomoda/83.149.8.111:10376 MULTI: primary virtual IP for avtomoda/83.149.8.111:10376: 192.168.255.6
Wed Sep 5 11:48:58 2012 avtomoda/83.149.8.111:10376 PUSH: Received control message: 'PUSH_REQUEST'
Wed Sep 5 11:48:58 2012 avtomoda/83.149.8.111:10376 SENT CONTROL [avtomoda]: 'PUSH_REPLY,.route 192.168.1.0 255.255.255.0.,route 192.168.255.0 255.255.255.0,topology net30,ping 10,ping-restart 60,ifconfig 192.168.255.6 192.168.255.5' (status=1)
Wed Sep 5 11:48:58 2012 avtomoda/83.149.8.111:10376 Connection reset, restarting [0]
Wed Sep 5 11:48:58 2012 avtomoda/83.149.8.111:10376 SIGUSR1[soft,connection-reset] received, client-instance restarting
Wed Sep 5 11:48:58 2012 TCP/UDP: Closing socket
Wed Sep 5 11:50:22 2012 MULTI: multi_create_instance called
Wed Sep 5 11:50:22 2012 Re-using SSL/TLS context
Wed Sep 5 11:50:22 2012 LZO compression initialized
Wed Sep 5 11:50:22 2012 Control Channel MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ]
Wed Sep 5 11:50:22 2012 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Sep 5 11:50:22 2012 Local Options hash (VER=V4): 'c0103fa8'
Wed Sep 5 11:50:22 2012 Expected Remote Options hash (VER=V4): '69109d17'
Wed Sep 5 11:50:22 2012 TCP connection established with 83.149.8.111:13738
Wed Sep 5 11:50:22 2012 TCPv4_SERVER link local: [undef]
Wed Sep 5 11:50:22 2012 TCPv4_SERVER link remote: 83.149.8.111:13738
Wed Sep 5 11:50:23 2012 83.149.8.111:13738 TLS: Initial packet from 83.149.8.111:13738, sid=b77b783f dd377acc
Wed Sep 5 11:50:26 2012 83.149.8.111:13738 VERIFY OK: depth=1, /C=RU/ST=MSK/L=Moscow/O=Avtomoda/CN=shmelev/emailAddress=info@avtomoda.su
Wed Sep 5 11:50:26 2012 83.149.8.111:13738 VERIFY OK: depth=0, /C=RU/ST=MSK/O=Avtomoda/CN=avtomoda/emailAddress=info@avtomoda.su
Wed Sep 5 11:50:26 2012 83.149.8.111:13738 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Sep 5 11:50:26 2012 83.149.8.111:13738 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Sep 5 11:50:26 2012 83.149.8.111:13738 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Sep 5 11:50:26 2012 83.149.8.111:13738 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Sep 5 11:50:27 2012 83.149.8.111:13738 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Wed Sep 5 11:50:27 2012 83.149.8.111:13738 [avtomoda] Peer Connection Initiated with 83.149.8.111:13738
Wed Sep 5 11:50:27 2012 avtomoda/83.149.8.111:13738 MULTI: Learn: 192.168.255.6 -> avtomoda/83.149.8.111:13738
Wed Sep 5 11:50:27 2012 avtomoda/83.149.8.111:13738 MULTI: primary virtual IP for avtomoda/83.149.8.111:13738: 192.168.255.6
Wed Sep 5 11:50:29 2012 avtomoda/83.149.8.111:13738 PUSH: Received control message: 'PUSH_REQUEST'
Wed Sep 5 11:50:29 2012 avtomoda/83.149.8.111:13738 SENT CONTROL [avtomoda]: 'PUSH_REPLY,.route 192.168.1.0 255.255.255.0.,route 192.168.255.0 255.255.255.0,topology net30,ping 10,ping-restart 60,ifconfig 192.168.255.6 192.168.255.5' (status=1)
Wed Sep 5 11:50:29 2012 avtomoda/83.149.8.111:13738 Connection reset, restarting [0]
Wed Sep 5 11:50:29 2012 avtomoda/83.149.8.111:13738 SIGUSR1[soft,connection-reset] received, client-instance restarting
Wed Sep 5 11:50:29 2012 TCP/UDP: Closing socket

vectorm
05-09-2012, 12:04
push .route 192.168.1.0 255.255.255.0.

Это что за команда? В инструкциях (http://www.secure-computing.net/wiki/index.php/OpenVPN/Routing) же нормально, с кавычками написано.
И в клиенте:

Wed Sep 5 11:50:41 2012 Note: Cannot open TUN/TAP dev /dev/net/tun: No such device (errno=19)
проблема решается элементарно (http://www.linuxforums.org/forum/networking/80596-cannot-open-tun-tap-dev-dev-net-tun-no-such-device-errno-19-a.html#post411795), первая строчка в результате поиска по данной ошибке.

avtomoda
06-09-2012, 06:38
[QUOTE=vectorm;254548]Это что за команда? В инструкциях (http://www.secure-computing.net/wiki/index.php/OpenVPN/Routing) же нормально, с кавычками написано.
Спасибо не заметил. Помогло.

Но есть еще вопрос:
Роутер который на сервере как будто живет своей жизнью. Добавляю строки в post-firewall, записываю файл, далее flashfs save .
После перезагрузки смотрю файл post-firewall, а моих изменений нет. Такое ощущение что данный файл перезаписывается из какого дампа что ли.
Сам не знаю куда копать.
Так же с настройками сервера:
Там прописано ifconfig 10.8.0.5 10.8.0.6
Смотрю лог сервера, а там соединение пробует установится 10.8.0.1 и 10.8.0.2
Смотрю route:
Здесь открыт тунель 10.8.0.1
Откуда он взялся не понятно. В файле ifconfig его нет.
Я изначально писал igconfig 10.8.0.1 10.8.0.2
Потом посмотрел лог сервера. Он устанавливал соединение 10.8.0.5 и 10.8.0.6
Я исправил файл ifconfig 10.8.0.5 10.8.0.6.
Он все равно пытается установить 10.8.0.1 и открывает туннель в route
Такое ощущение что мои изменения которые я вношу не записываются во флеш и при перезагрузке не подгружаются, а берутся откуда то когда первоначально я из записал.
Даже пока не знаю что делать. Люди добрые подскажите куда копать.

staticroute
10-09-2012, 03:40
Клиенты обеих сетей видят друг-друга в сетевом окружении и пингуются. Но если
подключиться с ноубука под виндой (с натройками аналогичными настройкам клиентского WL500), то в сетевом окружении других устройств не видно, хотя
они пингуются, к ним есть доступ по IP и адаптер получает и прописывает от сервера адрес WINS сервера. Где копать для решения данной проблемы?
UPD по п.2: Вопрос даже шире: каким маршрутом дать доступ из сети к клиенту под виндой?
Только что прверил, доступа нет ни по IP тоннеля, ни по локальному Ip клиента...

Искал, но не нашел ответа. Что есть:
сеть 1: 192.168.1.0/24, где на 192.168.1.1 поднят OpenVPN сервер (tun0, RT-N16)
сеть 2: 192.168.2.0/24, где на 192.168.2.1 поднят OpenVPN клиент (WL500)

Вопрос: как ВЕСЬ трафик только с IP 192.168.2.8 завернуть в тоннель?
Т.е. чтобы в интернет он выходил через RT-N16 и имел его IP? Всем спасибо!

Собственно, никак, бывает тупо глюк винды, когда не видно в сетевом окружении и через некоторое время появляется (именно так и было).
Если используете Windows XP - обозреватель компьютеров надо отключать при включенном WINS-сервере.

Если все пингуется из разных сетей и заходит по IP/имени, значит ВСЕ настроено верно.

Я делал туннель с удаленным серваком по OpenVPN, при этом сервак был в качестве клиента, а роутер - сервер.

Ставил на сервак самбу во внутреннюю сеть, а также во внутренней сети за серваком на одной из машин ставил еще одну самбу. Клиенты за роутером видели также те машины и могли соединиться, но они появлялись не сразу в сетевом окружении. Иногда вообще приходилось ребутить комп. Проще было по имени зайти.

Samba на роутере установлена из Entware samba36-server, НЕ из прошивки.

Конфигурация вот такая:

OpenVPN сеть
10.100.0.0/24

Роутер:

OpenVPN - 10.100.0.1, интерфейс OpenVPN tun5

Внутренняя сеть OpenVPN роутера - 192.168.1.0/24

Правила iptables на роутере:

iptables -I FORWARD -i tun5 -o br0 -j ACCEPT
iptables -I FORWARD -i br0 -o tun5 -j ACCEPT
iptables -I INPUT -i tun5 -j ACCEPT
iptables -t nat -I POSTROUTING -s 10.100.0.0/24 -d 192.168.1.0/24 -o br0 -j MASQUERADE
iptables -t nat -I POSTROUTING -s 192.168.1.0/24 -d 192.168.100.0/24 -o tun5 -j MASQUERADE

OpenVPN server.conf


dev tun5
local 192.168.1.1
server 10.100.0.0 255.255.255.0
key keys/server.key
ca keys/ca.crt
cert keys/server.crt
dh keys/dh1024.pem
ifconfig-pool-persist ipp.txt
proto udp
port 28800
comp-lzo
mssfix 1430
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
push "route 192.168.100.0 255.255.255.0"
push "route 192.168.1.0 255.255.255.0"
route 192.168.100.0 255.255.255.0
;to make routes from clients work
client-to-client
daemon
verb 3
log server.log
;for static ip addresses
client-config-dir /opt/etc/openvpn/ccd


/opt/etc/openvpn/ccd/client1

ifconfig-push 10.100.0.2 10.100.0.1
iroute 192.168.100.0/24 255.255.255.0


Samba server smb.conf:



[global]
workgroup = WORKGROUP
netbios name = router
comment = router
server string = router's lair
load printers = no
show add printer wizard = no
printing = no
printcap name = /dev/null
disable spoolss = yes
log file = /opt/var/log/samba/log.%m
max log size = 50
hosts allow = 127.0.0.1, 192.168.1.0/24 192.168.100.0/24 10.100.0.0/24
map to guest = bad user
guest account = nobody
security = user
oplocks = no
level 2 oplocks = no
encrypt passwords = true
username map = /opt/etc/samba/smbusers
obey pam restrictions = yes
socket options = TCP_NODELAY IPTOS_LOWDELAY
aio read size = 16384
interfaces = 192.168.1.0/24 127. tun5 10.100.0.0/24 192.168.100.0/24
bind interfaces only = no
remote browse sync = 192.168.1.255 127. 10.100.0.255 192.168.100.1 192.168.100.255
remote announce = 192.168.1.255 127. 10.100.0.255 192.168.100.1 192.168.100.255
local master = yes
os level = 99
domain master = yes
preferred master = yes
null passwords = yes
passdb backend = smbpasswd
name resolve order = wins lmhosts hosts bcast
wins support = yes
dns proxy = no
case sensitive = no
dos charset = 866
unix charset = UTF8
restrict anonymous = no
acl compatibility = winnt

[testshare]
comment = tmp
path = /opt/tmp
guest ok = yes
browseable = yes


Клиент:

OpenVPN - 10.100.0.2, интерфейс OpenVPN tun2
Внутренняя сеть OpenVPN клиента - 192.168.100.0/24

Правила iptables на клиенте:

iptables -I FORWARD -i tun2 -o br0 -j ACCEPT
iptables -I FORWARD -i br0 -o tun2 -j ACCEPT
iptables -I INPUT -i tun2 -j ACCEPT
iptables -t nat -I POSTROUTING -s 10.100.0.0/24 -d 192.168.100.0/24 -o br0 -j MASQUERADE
iptables -t nat -I POSTROUTING -s 192.168.100.0/24 -d 192.168.1.0/24 -o tun2 -j MASQUERADE

OpenVPN client.conf:


dev tun2
client
remote x.y.z.c
proto udp
port 28800
daemon
key keys/client1.key
cert keys/client1.crt
ca keys/ca.crt
ns-cert-type server
comp-lzo
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
resolv-retry infinite
mssfix 1430
nobind
log client.log
verb 3
daemon
pull


Samba client smb.conf:



[global]
workgroup = WORKGROUP
server string = %h server
netbios name = testsrv
wins support = no
wins server = 192.168.1.1
wins proxy = yes
dns proxy = no
local master = yes
interfaces = 127.0.0.0/8 10.100.0.0/24 192.168.100.1
log file = /var/log/samba/log.%m
max log size = 1000
syslog = 0
security = share
encrypt passwords = true
passdb backend = tdbsam
obey pam restrictions = yes
[cdrom]
comment = Samba server's CD-ROM
read only = yes
locking = no
path = /mnt/cdrom
guest ok = yes



1. Подумалось мне тут, а можно ли обойтись без разделения на подсети в моем случае?
Соединить надо дачу и дом, на даче 4 устройства, дома 6. Т.е. меньше 255. Сейчас на даче подсеть 192.168.2.0, дома 192.168.1.0.
Можно ли соединить посредством OpenVPN все это не разделяя на подсети, т.к. чтобы все устройства были в сети 192.16.1.0 255.255.255.0?
Прямого ответа на этот вопрос не нашел. Если это можно реализовать, то какой тогда интерфейс использовать - TUN или TAP?
Какие дополнительные настройки (отличные от организации "обычного" тоннеля) требуются?
2. Сейчас все настроено четерз TUN и поднят WINS сервер (см. выше).

Разница между tap и tun состоит в том, что tap - используется в том случае, если нужен bridge интерфейсов, tun - для routed (tap также можно использовать для routed-network, но не советуют, если есть возможность, то лучше tun). tap - единственный драйвер для windows также под OpenVPN, tun в win нету.

Разделить подсети можно, но нужно будет продумывать тогда момент ограничения и разбиения подсети 192.168.1.0/24 и соответственно роутинга ее части через второй роутер, перенастроить DHCP.

В случае TAP нужно будет читать http://openvpn.net/index.php/open-source/documentation/miscellaneous/76-ethernet-bridging.html и настраивать по-другому.
Из минусов TAP - у вас будут попадать пакеты также из внутренних сетей в туннель. (подробнее читайте ответ - http://serverfault.com/questions/21157/should-i-use-tap-or-tun-for-openvpn)

KAM-
02-12-2012, 22:58
Товарищи, помогите понять как на альтернативной прошивке поднять туннель PPTP/L2TP до железки D-link DFL260e.

Что имею.
1) Asus RT-N10U B прошитый RT-N10U-1.9.2.7-rtn-r4667.trx
2) Мегафон модем E392 подключен к п.1 (IP адрес само собой "серый", услугу выделенного динамического пока не включал.. да и не надо оно имхо)
3) D-Link DFL-260e с настроенным на нём сервером PPTP/L2TP, стоит в центральном офисе, IP белый - виндовые клиенты отлично подключаются

Можно ли штатными средствами альтернативной прошивки поднять туннель от асуса к длинку?
Нужно ли ставить OpenVPN или что то подобное? Может решение где то на поверхности?
Задача иметь доступ к устройствам за асусом и наоборот.

Да, и на случай установки доп софта - в Е392 есть разъем под microSD, имеет смысл пробовать туда что то ставить или сразу думать об отдельной флэшке через какой нибудь хаб?

Заранее спасибо.

MMX2
15-12-2012, 08:08
Требуется помощь коллективного разума!
Имею RT-N16, в который раньше был воткнут 3G модем от мегафона. На RT-N16 был настроен OpenVPN клиент, который отлично работал. Заменил модем на Yota LTE и началась свистопляска: клиент подключается, но при нагрузке на канал через пару минут пакеты идти перестают (хотя не vpn соединения работают) и клиент переподключается по таймауту. MTU, подумал Штирлиц. Уменьшил и на сервере и на клиенте до 1300. Те же грабли.
Перенес сервер с 80-го порта на 1196 - стало еще хуже, рвется мгновенно. При этом, если с того же сервера качать файл не через VPN, а по фтп, то все отлично.
Версию с питанием модема проверил - воткнул его в USB хаб с БП. Не помогло.
При этом в логе RT-N16 все чисто - не видно никаких переподключений йотовского модема.
Что это может быть? Готов рассмотреть и проверить любые гипотезы.
Может ли вообще OpenVPN работать поверх Yota LTE модема или тот своим натом все зарезает?
Пока конфиги не стал выкладывать, дабы не засорять форум. Готов выложить что угодно по мере необходимости.
Всем заранее спасибо!

MMX2
15-12-2012, 16:10
Целый день мучений и глюк, наконец, побежден, но причины его появление все еще не ясны.
Поменял сервер - соединение падает под нагрузкой.
Поменял устройство с TAP на TUN и настроил маршрутизацию - соединение все равно падает под нагрузкой.
Поменял клиента на ноут с дебианом, но с одинаковыми настройками OpenVPN. РАБОТАЕТ! Никаких проблем и разрывов. Значит дело в асусе?
Начал копать дальше. Перенес OpenVPN с TCP на UDP - проблема исчезла!
Т.е. при использовании модема Yota LTE невозможно поднять OpenVPN по TCP на асусе (прошивка 4667)? При этом, если канал не загружать (ничем кроме пингов), то он у меня спокойно продержался всю ночь, до первой попытки перекинуть файл. В чем может быть причина? Проблема явно на стороне асуса, т.к. под дебианом все работало поверх TCP без проблем.
Сейчас с UDP соединение (тьфу*3) стабильное.

staticroute
15-12-2012, 16:53
Целый день мучений и глюк, наконец, побежден, но причины его появление все еще не ясны.
Поменял сервер - соединение падает под нагрузкой.
Поменял устройство с TAP на TUN и настроил маршрутизацию - соединение все равно падает под нагрузкой.
Поменял клиента на ноут с дебианом, но с одинаковыми настройками OpenVPN. РАБОТАЕТ! Никаких проблем и разрывов. Значит дело в асусе?
Начал копать дальше. Перенес OpenVPN с TCP на UDP - проблема исчезла!
Т.е. при использовании модема Yota LTE невозможно поднять OpenVPN по TCP на асусе (прошивка 4667)? При этом, если канал не загружать (ничем кроме пингов), то он у меня спокойно продержался всю ночь, до первой попытки перекинуть файл. В чем может быть причина? Проблема явно на стороне асуса, т.к. под дебианом все работало поверх TCP без проблем.
Сейчас с UDP соединение (тьфу*3) стабильное.

пробовали перешивать модем на последнюю прошивку (yota-вский) ?

возможно проблема в проводе или питании USB модема от роутера.

смотрите dmesg - нету там отваливаний модема?

можно попробовать более старую прошивку (напр. r3497)

MMX2
15-12-2012, 18:24
пробовали перешивать модем на последнюю прошивку (yota-вский) ?

возможно проблема в проводе или питании USB модема от роутера.

смотрите dmesg - нету там отваливаний модема?

можно попробовать более старую прошивку (напр. r3497)

А где у йоты лежат прошивки? Сейчас модем с прошивкой 3.7
По питанию проблем нет - см. выше: пытался использовать как напрямую, так и через активный хаб, с кабелем и без.
В dmesg отваливания модема нет и при отваливании VPN пинги в не VPN сеть (например .ru) идут стабильно.

staticroute
15-12-2012, 19:40
А где у йоты лежат прошивки? Сейчас модем с прошивкой 3.7
По питанию проблем нет - см. выше: пытался использовать как напрямую, так и через активный хаб, с кабелем и без.
В dmesg отваливания модема нет и при отваливании VPN пинги в не VPN сеть (например .ru) идут стабильно.

добавьте в оба конфига openvpn

mssfix 1400

MMX2
15-12-2012, 20:09
добавьте в оба конфига openvpn

mssfix 1400

Спасибо! Но не помогло, упало сразу же на TCP. На UDP пашет. Строго говоря UDP то мне устраивает вполне, будет на сервере два демона OpenVPN крутиться с UDP и TCP - ну и не страшно... Но вот понять причину глюка хочется.
Вообще, MTU менял разными способами и через ifconfig и через конфиги впн посредством tun-mtu xxx....

staticroute
15-12-2012, 23:20
Спасибо! Но не помогло, упало сразу же на TCP. На UDP пашет. Строго говоря UDP то мне устраивает вполне, будет на сервере два демона OpenVPN крутиться с UDP и TCP - ну и не страшно... Но вот понять причину глюка хочется.
Вообще, MTU менял разными способами и через ifconfig и через конфиги впн посредством tun-mtu xxx....

покажите лог openvpn сервера и клиента в момент падения.

падение - это временное отваливание?

на роутере попробуйте


nvram set misc_fastnat_x=0
nvram commit

перезагрузитесь и перепроверьте, лучше использовать порт 80 или 443.

MMX2
17-12-2012, 11:36
покажите лог openvpn сервера и клиента в момент падения.

падение - это временное отваливание?

на роутере попробуйте


nvram set misc_fastnat_x=0
nvram commit

перезагрузитесь и перепроверьте, лучше использовать порт 80 или 443.

В логах клиента рестарт по таймауту, в логах сервера дисконнект по таймауту.
Спасибо за совет! Попробовать смогу теперь только на следующих выходных.
UPD:
Попробовал удаленно (написав скрипт, который подменит конфиг OpenVPN на старый через 10 минут и перезапустит его) - снова упало.
Лог клиента при разрыве в этот раз немного другой:



Mon Dec 17 19:08:44 2012 Initialization Sequence Completed
Mon Dec 17 19:13:46 2012 Connection reset, restarting [0]
Mon Dec 17 19:13:46 2012 SIGUSR1[soft,connection-reset] received, process restarting

И TCP и UDP по 80-му порту.

alting
26-02-2013, 06:59
Прошу не бить, если где-то уже разжевано, а ткнуть носом...
Итак: есть DIR-320 с прошивкой "От Олега", в USB воткнуть "свисток" ёта.
Надо: ручками создать PPTP подключение к серверу в офисе и "запихнуть" все это дело в основную память, дабы поднималось автоматом.
Половину Интернета уже изгуглил, так и не нашел внятного мануала на тему :confused:
Помогите, пожалуйста, настроить!

ConstAntz
26-02-2013, 14:14
Надо: ручками создать PPTP подключение к серверу в офисе

И что в логах пптп-сервера офиса?

alting
28-02-2013, 12:29
И что в логах пптп-сервера офиса?

В каком смысле?
Что может быть в логах, если я не умею создать само подключение?
Вот http://wl500g.info/showthread.php?19667-2-VPN-%F1%EE%E5%E4%E8%ED%E5%ED%E8%FF-%ED%E0-1-WAN-%E8%ED%F2%E5%F0%F4%E5%E9%F1%E5&p=88705#post88705 человек пишет:
Я сделал следующее:

1) Скопировал /tmp/ppp/options.wan0 в файл /tmp/local/sbin/options.wan1
2) Поправил options.wan1 (адрес сервера, логин, пароль)
вот где там и КАК правильно прописываются все эти реквизиты? У кого есть такой файлик с прямым указанием сервера PPTP? Киньте содержимое для примера, пожалуйста.

Все, решил все сам, как обычно.

Zhenya68
21-10-2013, 07:46
Здравствуйте. Имею D-LINK DIR 320 с прошивкой от Олега 1.9.2.7-d-r2381.
Долгое время использовал его как подключенный к интернету через USB 3G модем + поднятый вручную VPN (PPTP) для работы (связанный с сетью на работе). Все работало прекрасно.
Теперь прибыло счастье и пришел интернет по кабелю. Я хотел бы использовать старую схему не не получается.
Помогите люди добрые!
Что не получается. Т.к. интернет пришел по кабелю я подключаю его в порт WAN. Мне дали статический адрес. Я его указываю для WAN порта и все прекрасно работает.
Теперь я, как и раньше, руками поднимаю свой VPN и default Gateway перепрописывается на мой VPN сервер. И соответственно интернет пропадает. (Тоже самое я получу, если через Web морду настрою WAN порт статически IP и укажу PPTP с адресом сервера подключения.)

Как мне сделать, чтобы соединение на VPN поднималось, но Gateway остался такой же, как был настроен для WAN со статическим IP.
ПОМОГИТЕ!!

Zatravka
05-11-2013, 15:31
Всем доброго времени!

Есть желание реализовать связку как в сабже.
Yota (такие-сякие) "режут" трафик на торрентах и на потоковом видео/аудио.
Есть акк на HideMe.ru, на Win все работает а вот как бы такое реализовать на роутере?
HideMe.rг предлагает несколько вариантов соединения : L2tp, pptp, openVpn

Знатоки, подскажите какой вариант и как реализовать?

Selih
18-11-2013, 14:39
Добрый день.
Помогите пожалуйста чайнику.
Есть дачный wl500gp с последней прошивкой энтузиастов, подключенной вебкамерой и выходом в интернет через 3g модем.
Задача заставить его подключаться к PPTP серверу, для доступа к вебкамере.
На форуме нашел мануал только по openvpn.

Selih
19-11-2013, 08:23
Через веб-морду настроил 3g как wan соединение по-умолчанию, запускается, работает. После вручную с роутера запускаю pptp соединение
pppd file /usr/local/root/russianproxy

настройки самого файла pppd

noauth refuse-eap
user 'sdfdsfs'
password 'sdfsdf'
plugin pptp.so
pptp_server pptp-l2tp-vpn-russia-1.atomintersoft.com
nomppe-stateful -mppc mtu 1400
maxfail 0
persist
ipcp-accept-remote ipcp-accept-local noipdefault
defaultroute
usepeerdns
ktune
default-asyncmap nopcomp noaccomp
novj nobsdcomp nodeflate
lcp-echo-interval 10
lcp-echo-failure 6
unit 0

Пробую сделать тоже самое, получаю в логе
pptp failed to create pptp socket (address family not supported by protocol)
Прошивка WL500gp-1.9.2.7-rtn-r5066.trx
Что сделать, чтоб заработал клиент через 3g?

theMIROn
19-11-2013, 19:00
Пробую сделать тоже самое, получаю в логе
pptp failed to create pptp socket (address family not supported by protocol)
Прошивка WL500gp-1.9.2.7-rtn-r5066.trx
Что сделать, чтоб заработал клиент через 3g?

insmod pppox
insmod pptp

Selih
20-11-2013, 10:35
insmod pppox
insmod pptp

Спасибо помогло. :D
Пришлось убрать из конфига

nomppe-stateful -mppc mtu 1400
иначе не соединял.
После проверки создал post-boot, теперь все поднимается само.
Подключается и получает по DHCP адрес


Jan 1 00:00:27 USB Modem: connected to ISP
Jan 1 00:00:40 pptp[363]: Couldn't allocate PPP unit 0 as it is already in use
Jan 1 00:00:40 pptp[363]: Using interface ppp1
Jan 1 00:00:40 pptp[363]: Connect: ppp1 <--> pptp (xx.xxx.xxx.xxx)
Jan 1 00:00:43 pptp[363]: CHAP authentication succeeded
Jan 1 00:00:44 pptp[363]: MPPC/MPPE 128-bit stateful compression enabled
Jan 1 00:00:47 pptp[363]: not replacing existing default route via 10.64.64.64
Jan 1 00:00:47 pptp[363]: local IP address 192.168.11.201
Jan 1 00:00:47 pptp[363]: remote IP address 192.168.11.200
Jan 1 00:00:47 pptp[363]: primary DNS address 192.168.11.1
Jan 1 00:00:47 pptp[363]: secondary DNS address 192.168.11.1


Но его все еще не видно из внутренней сети, а с него и из-за него внутреннюю сеть.
Подскажите, что нужно написать на нем в post-firewall?

PS Извиняюсь за глупые вопросы, я еще совсем "зеленый" :confused:

theMIROn
21-11-2013, 07:28
После проверки создал post-boot, теперь все поднимается само.
советую прописать какой-нить фиксированный "unit N", чтобы интерфейс создавался вида pppN



Но его все еще не видно из внутренней сети, а с него и из-за него внутреннюю сеть.
Подскажите, что нужно написать на нем в post-firewall?
iptables-save покажет существующие правила, на их базе для pppN интерфейса нужно будет прописать разрешающие

ironmannsk
07-12-2013, 18:06
Здравствуйте
Уже давненько yota lte стала резать скорость на скачку файлов,торрентов и т.п.
У меня тариф на 1.5Мбита, а по факту скорость выше 30кбайт не поднимается.
Помогает использование vpn через pptp.
Но вот в чем вопрос:
Как поднять pptp и yota lte вместе на роутере dir-320?
Прошивка стоит последняя от vampik.

WoolF911
30-05-2014, 14:42
Здравствуйте!

Подскажите, пожалуйста, на сколько возможно поднять VPN клиент на роутере RT-N16 с прошивкой от энтузиастов в том случае, когда интернет на роутер приходит через модем Huawei E3276, а провайдер Yota?
Дело в том, что Yota ощутимо режет трафик торрентов, особенно в дневное время, а хочется чтобы всё же хотя бы иногда можно было бы поднять VPN соединение на роутере закачать какой-либо файл.
На ноутбуке для этого иногда поднимаю VPN соединения с бесплатный VPN сервером vpnbook, но хотелось бы как-то реализовать это на роутере.
Через PPTP или OpenVPN возможно таким образом подключиться?

Заранее большое спасибо за ответ.

Serge_K
08-06-2014, 13:07
Давненько я здесь не был:)

Ситуация стандартная для темы: поднят клиент OpenVPN на RT-N16 со свистком от Мегафона (соответственно адрес серый) и сервер на машине с Дебианом (она же "подрабатывает" роутером - адрес соответственно белый).. Сеть клиента 192.168.2.0/24 (клиент -192.168.2.1), сеть сервера 192.168.1.0/24 (сервер - 192.168.1.1). Туннель образуется без проблем. Сервер и клиент взаимно пингуются.
Но...
С машины за клиентом (например, с адреса 192.168.2.147) я легко попадаю на сервер по ssh по адресу 192.168.1.1 (порт 22), а равно и на веб-сервер сервера (порт 80). А с машины за сервером ни в какую не могу попасть в вебморду клиента (RT-N16) по адресу 192.168.2.1, а равно и не могу достучаться до клиента и по ssh...

Конфиг сервера:

port 1194
proto udp
dev tun
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh2048.pem
tls-auth /etc/openvpn/keys/ta.key 0
server 10.0.10.0 255.255.255.0
route 192.168.2.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-config-dir /etc/openvpn/ccd
client-to-client
keepalive 10 120
cipher AES-256-CBC
comp-lzo
max-clients 3
user nobody
group nogroup
persist-key
persist-tun
log-append /var/log/openvpn.log
status /var/log/openvpn-status.log
verb 3

.../ccd/client1:

push "route 192.168.1.0 255.255.255.0"
iroute 192.168.2.0 255.255.255.0

Кофиг клиента:

client
dev tun
proto udp
remote ххх.ххх.ххх.ххх 1194
resolv-retry infinite
nobind
user nobody
group nobody
persist-key
persist-tun
ca /opt/etc/openvpn/keys/ca.crt
cert /opt/etc/openvpn/keys/client1.crt
key /opt/etc/openvpn/keys/client1.key
tls-auth /opt/etc/openvpn/keys/ta.key 1
ns-cert-type server
cipher AES-256-CBC
comp-lzo
verb 3
pull
status /tmp/openvpn-status.log

Маршруты на сервере:

Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 ppp0
10.0.0.0 10.80.0.1 255.0.0.0 UG 0 0 0 br1
10.0.10.0 10.0.10.2 255.255.255.0 UG 0 0 0 tun0
10.0.10.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
10.80.0.0 0.0.0.0 255.252.0.0 U 0 0 0 br1
77.246.96.90 10.80.0.1 255.255.255.255 UGH 0 0 0 br1
77.246.96.96 10.80.0.1 255.255.255.224 UG 0 0 0 br1
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
192.168.2.0 10.0.10.2 255.255.255.0 UG 0 0 0 tun0
212.1.254.115 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
233.49.170.0 10.83.183.175 255.255.255.0 UG 0 0 0 br1
239.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 br0

Маршруты на клиенте:

Destination Gateway Genmask Flags Metric Ref Use Iface
10.0.10.5 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
10.182.159.225 0.0.0.0 255.255.255.255 UH 0 0 0 wan0
10.182.159.224 0.0.0.0 255.255.255.252 U 0 0 0 wan0
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
192.168.1.0 10.0.10.5 255.255.255.0 UG 0 0 0 tun0
10.0.10.0 10.0.10.5 255.255.255.0 UG 0 0 0 tun0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 10.182.159.225 0.0.0.0 UG 0 0 0 wan0

Ну и скрипт iptables:

iptables -I INPUT -i tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -j ACCEPT
iptables -I FORWARD -o tun0 -j ACCEPT
iptables -I OUTPUT -o tun0 -j ACCEPT

Что я делаю не так?

mike7
24-08-2014, 15:12
Давненько я здесь не был:)

Ситуация стандартная для темы: поднят клиент OpenVPN на RT-N16 со свистком от Мегафона (соответственно адрес серый) и сервер на машине с Дебианом (она же "подрабатывает" роутером - адрес соответственно белый).. Сеть клиента 192.168.2.0/24 (клиент -192.168.2.1), сеть сервера 192.168.1.0/24 (сервер - 192.168.1.1). Туннель образуется без проблем. Сервер и клиент взаимно пингуются.
Но...
С машины за клиентом (например, с адреса 192.168.2.147) я легко попадаю на сервер по ssh по адресу 192.168.1.1 (порт 22), а равно и на веб-сервер сервера (порт 80). А с машины за сервером ни в какую не могу попасть в вебморду клиента (RT-N16) по адресу 192.168.2.1, а равно и не могу достучаться до клиента и по ssh...
....


Столкнулся с такой-же проблемой на WL500W, на версии 5066 все работает, а на версии 5450, и похоже далее (пробовал 5566), - проблема.
Сеть за клиентом прекрасно вижу, а сам клиент по ssh и http не отвечает. SSH открыт наружу и прекрасно работает на внешнем ip.

Куда копать?

mike7
28-08-2014, 14:08
Отключил FastNat, эффекта нет :(

aa666
13-10-2014, 19:44
асус N10U, прошивка 1.9.2.7-rtn-r5625, инет через свисток от мтс
пытаюсь настроить впн до основного офиса


[admin@WL-5404A65B3A38 sbin]$ ls -l /tmp/local/sbin
-rw------- 1 admin root 330 Oct 11 16:19 options.wan1
-rwxr-xr-x 1 admin root 584 Jan 1 1970 post-boot
-rwxr-xr-x 1 admin root 302 Oct 13 16:57 post-firewall



[admin@WL-5404A65B3A38 sbin]$ cat options.wan1
noauth refuse-eap
user 'xxx'
password 'xxx'
plugin pptp.so
pptp_server xx.xx.xx.xx
nomppe-stateful mtu 1400
maxfail 0
nodefaultroute
usepeerdns
persist
ipcp-accept-remote ipcp-accept-local noipdefault
ktune
default-asyncmap nopcomp noaccomp
novj nobsdcomp nodeflate
lcp-echo-interval 10
lcp-echo-failure 6
unit 1



[admin@WL-5404A65B3A38 sbin]$ cat post-boot
#!/bin/sh
insmod pppox
insmod pptp
pppd file /tmp/local/sbin/options.wan1




[admin@WL-5404A65B3A38 sbin]$ cat post-firewall
#!/bin/sh
echo $1 $2 $3 $4 $5 $6 >>/tmp/local/log
ip route add 192.168.68.0/24 dev ppp1
ip route add 172.17.0.0/24 dev ppp1
iptables -I INPUT -i ppp1 -j ACCEPT
iptables -I FORWARD -i ppp1 -j ACCEPT
iptables -I FORWARD -o ppp1 -j ACCEPT
iptables -I OUTPUT -o ppp1 -j ACCEPT


после загрузки впн поднимается, но нужных маршрутов нету
в /tmp/local/log вижу только 2 строчки

ppp0 0.0.0.0 br0 192.168.70.254 vlan1 0.0.0.0
ppp0 10.168.200.49 br0 192.168.70.254 vlan1 0.0.0.0

то есть после поднятия ppp1 post-firewall не отрабатывает

кто виноват и что делать?

megajok
25-10-2014, 22:57
Столкнулся с такой-же проблемой на WL500W, на версии 5066 все работает, а на версии 5450, и похоже далее (пробовал 5566), - проблема.
Сеть за клиентом прекрасно вижу, а сам клиент по ssh и http не отвечает. SSH открыт наружу и прекрасно работает на внешнем ip.

Куда копать?

Подниму тему, ситуация аналогичная на WL500gP. Мозги сломал, но достучаться до веб морды на клиенте не получилось. Хотя пинги проходят.

mike7
26-10-2014, 10:33
Подниму тему, ситуация аналогичная на WL500gP. Мозги сломал, но достучаться до веб морды на клиенте не получилось. Хотя пинги проходят.

Там не только "веб морда" не отвечает, ни один протокол не работает. Мне, например, DNS нужен...
Для доступа по http использую socks proxy, но это обходное решение и проблемы не решает.

MaFIA
31-10-2014, 08:08
День добрый. Нужна помощь уважаемого сообщества. Есть два роутера AC68 и AC56. В обоих последняя прошивка от Мерлина. Один стоит дома в МСК (белый динамический IP), второй на даче с модемом от МТС (серый динамический IP). Между ними поднят VPN TAP. На московском роутере настроен dyndns. Теперь собственно задача. Я хочу иметь RDP доступ к компьютеру на даче. Т.е при обращении на порт myhostname.dyndns.com:3389 происходил бы проброс порта в vpn туннель на дачный роутер и дальше на конкретную машину на даче. Создание правила port forwardinga на московском роутере к положительному результату не приводят. Помогите, куда копать. Спасибо.

AndreyPopov
31-10-2014, 08:37
порт 3389 должен пробрасываться и без VPN.

при подключении по VPN пробрасывать порты вообще нет необходимости, надо просто маршрутизацию прописать.

MaFIA
31-10-2014, 08:42
Можно чуть-чуть подробнее про маршрутизацию? я так понимаю, что это надо уже делать не из вебморды?
И еще. может я неудачно написал. Если я в своей домашней сети, то я всех вижу, все работает. Мне хочется иметь возможность достучаться до своих компьютеров будучи в интернете в любой точке мира.

AndreyPopov
31-10-2014, 09:03
VPN по сути призван объдинять две удаленные сетки в ОДНУ.

но тут все зависит от адресов, которые у вас в сети.

поскольку по умолчанию у всех роутеров исходный адрес 192.168.1.1, то адреса VPN сетей обычно по умолчанию ставят 192.168.10.х или 10.х.х.х

если же к примеру сделать так:
- роутер сервер 192.168.1.254 и DHCP диапазон 192.168.1.200-240
- роутер клиент 192.168.1.1 и DHCP диапазон 192.168.1.1-40
- для VPN сервера сделать диапазон адресов 192.168.1.100-110

то все сети будут в одном адресном пространстве и никакой маршрутизации не надо будет прописывать.

MaFIA
31-10-2014, 09:09
У меня сейчас роутер сервер 192.168.1.1, роутер клиент 192.168.1.2. Диапазоны выдачи ip на сервере и клиенте не пересекаются.
Еще пример из того, что хочется.
на клиенте есть система видео наблюдения. Со своим вебсервером. Допустим у нее адрес 192.168.1.100. Я хочу чтоб при обращении к myhostname.dyndns.com:1111 я попадал на 80 порт 192.168.1.100. Вроде классический порт форвардинг, но не работет почему-то.

AndreyPopov
31-10-2014, 10:19
не совсем понятно ЗАЧЕМ вам VPN?

если уж сделали VPN - то сделайте все в одной сети и не заморачивайтесь пробросом портов.

MaFIA
31-10-2014, 11:46
Все и так в одной сети. Мне нужно чтоб имея одно доменное имя я мог из интернета попасть на разные машины внутри моей сети.

Илья.

AndreyPopov
31-10-2014, 11:54
начните с того, что проверьте - работает ли порт форвардинг когда VPN не поднят.


Мне нужно чтоб имея одно доменное имя я мог из интернета попасть на разные машины внутри моей сети.


из Интернета?
или из своей сети?

вы откуда запрос на myhostname.dyndns.com:1111 посылаете?

vdk
31-10-2014, 12:13
У меня сейчас роутер сервер 192.168.1.1, роутер клиент 192.168.1.2. Диапазоны выдачи ip на сервере и клиенте не пересекаются.
Еще пример из того, что хочется.
на клиенте есть система видео наблюдения. Со своим вебсервером. Допустим у нее адрес 192.168.1.100. Я хочу чтоб при обращении к myhostname.dyndns.com:1111 я попадал на 80 порт 192.168.1.100. Вроде классический порт форвардинг, но не работает почему-то.
Так, значит OpenVPN Bridge, раз используется tap, то все хосты находятся в одной лок. сети. Проверьте:
1) пингуются ли все IP адреса устройств/хостов, находящиеся на даче из московской части ЛВС и наоборот, например, ваш видео вебсервер 192.168.1.100 ?
2) Работает ли RDP подключение из московской подсети ЛВС к серверу на даче по
IP адресу, т.е. 192.168.1.хх:3389 ?
3) Сделан ли проброс соответствующих портов ?
Да и не совсем хорошо что у вас работают два DHCP сервера.
Покажите настройки файрволов в части проброса портов, а лучше
конфиги iptables.

adanilov
07-11-2014, 10:19
Доброго времени суток, уважаемые форумчане!

Есть одна задача, ответ на которую не могу найти. Сразу предупреждаю/прошу прощения: я не знаток линукса, но руки вроде не из задницы, и мозги вроде не там же, так что если надо - я обучаемая обезьянка.

Есть роутер в другом городе, на котором поднят PPTP-сервер (головной офис).
Есть роутер в локальном офисе (тот самый, любимый wl-500gp v1) с которого хотелось бы подключить PPTP-клиента в головной офис.
НО! В локальном офисе интернет доступен только с карандаша (оно же флэшка, оно же свисток, оно же USB-модем, и т.д.). Карандаш ZTE MF112 от "МТС" (возможны варианты HUAWEY E1550 от "МТС", либо он же от "МЕГАФОН", а так же Yota One LU150).
Проблема проста и сложна одновременно: не могу найти прошивку, в которой присутствовали бы одновременно и подключение через карандаш, и PPTP-клиент. Есть либо одно, либо другое.
Возможно кто-то сталкивался с подобным? Или я слишком многого хочу от этой железяки?
Заранее большое спасибо!

lvovitch
15-05-2015, 10:43
Добрый день!

Подскажите, пожалуйста, возможно ли настроить WL500gP2 с Олеговской прошивкой как VPN клиент PPTP?
У меня дома роутер RT56 на котором установлен VPN сервер с протоколом PPTP
На работе стоит роутер WL500gP2 с 4G модемом. Мне бы хотелось подключиться к домашней сети. Возможно ли это?

rasel52
31-01-2016, 06:48
Ребят, подскажите реально ли найти здесь готовую прошивку для подключения к VPN серверу по соединению 3G|LTE модема через Asus Wl500Gp V2? Уже неделю ищу, а найти не могу. Знаю у киннекта есть готовое такое решение и настраивается через веб морду. Но это деньги, тем более с нынешним курсом $. Помогите найти пожалуйста, ату в конфигурациях (добавление, изменение) существующих прошивок не шарю.

evilseed
27-03-2016, 10:15
Добрый день господа.
Рад, что энтузиасты не бросают проект и развивают его.

Раскопал тут на днях Asus-WL500gP, и решил в него USB 4g модем впихнуть, да на дачу поставить.
Залил прошивку (WL500gp-1.9.2.7-rtn-r7438M-g373b73c.trx, что с сайта http://asus.vectormm.net/).
Все заработало, и радости моей не было предела, что на даче теперь можно и в инете потупить.

Теперь же мне захотелось поставить IP камеру, и из дома через OpenVPN туннель заходить на маршрутизатор и просматривать архив записей.
Я развернул OpenVPN сервер у себя на домашнем компьютере, туннель настроил, работу Сервер-Клиент проверил.
И сервер и клиент на Windows 7, конфиги сделал, в общем решение Сервер W7\Клиент W7 работает. На всякий случай конфиги:
Server:
dev tun
proto udp
port 23456
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
topology subnet
server 172.16.1.16 255.255.255.240
cipher AES-128-CBC
comp-lzo
mssfix
keepalive 10 120
verb 3

Client:
client
dev tun
proto udp
remote hophop.ddns.net 23456
ca ca.crt
cert client.crt
key client.key
cipher AES-128-CBC
nobind
comp-lzo
persist-key
persist-tun
verb 3

Ближе к сути.
Нашел я много инструкций по настройке OpenVPN на маршрутизаторах, но все темы стары, и конфиг везде на развертывание сервера, мне же нужно развернуть клиента.

Мои шаги по установке:
1) Подключаю USB флешку . Сформатирована в FAT32.
2) Вывод команды mount.
[admin@BirdNest root]$ mount
rootfs on / type rootfs (rw)
/dev/root on / type squashfs (ro)
proc on /proc type proc (rw)
sysfs on /sys type sysfs (rw)
devfs on /dev type tmpfs (rw,noatime)
devpts on /dev/pts type devpts (rw)
tmpfs on /tmp type tmpfs (rw,noatime)
usbfs on /proc/bus/usb type usbfs (rw)
/dev/discs/disca/part1 on /tmp/mnt/disca_1 type vfat (rw,noatime,fmask=0022,dmask=0022,codepage=cp866,i ocharset=utf8)
3)

Обновляю репозиторий. Выдает ошибку, создаю папку /opt на флешке, и монтирую ее.
[admin@BirdNest root]$ ipkg.sh update
mkdir: can't create directory '//opt/tmp/': Read-only file system
[admin@BirdNest etc]$ mkdir /tmp/mnt/disca_1/opt
[admin@BirdNest etc]$ mount /tmp/mnt/disca_1/opt /opt
4) Обновляю репозиторий.
[admin@BirdNest opt]$ ipkg.sh update
Updated list of available packages in /opt/lib/ipkg/lists/entware
5) Устанавливаю пакет openvpn-openssl. Пакеты тянут за собой зависимости, и в процессе установки все пакеты устанавливаются, но есть ошибки вида symlink.
[admin@BirdNest root]$ ipkg.sh install openvpn-openssl

Downloading http://entware.wl500g.info/binaries/entware/libgcc_4.6.4-2_entware.ipk ...
libgcc_4.6.4-2_entwa 100%
Done.
Unpacking libgcc...Done.
Configuring libgcc...Done.

Downloading http://entware.wl500g.info/binaries/entware/zlib_1.2.8-1_entware.ipk ...
zlib_1.2.8-1_entware 100%
Done.
Unpacking zlib...tar: can't create symlink from ./opt/lib/libz.so to libz.so.1.2.8: Operation not permitted
tar: can't create symlink from ./opt/lib/libz.so.1 to libz.so.1.2.8: Operation not permitted
Done.
Configuring zlib...Done.

Downloading http://entware.wl500g.info/binaries/entware/libc_0.9.32-2_entware.ipk ...
libc_0.9.32-2_entwar 100%
Done.
Unpacking libc...tar: can't create symlink from ./opt/lib/ld-uClibc.so.0 to ld-uClibc-0.9.32.so: Operation not permitted
tar: can't create symlink from ./opt/lib/libc.so.0 to libuClibc-0.9.32.so: Operation not permitted
tar: can't create symlink from ./opt/lib/libcrypt.so.0 to libcrypt-0.9.32.so: Operation not permitted
tar: can't create symlink from ./opt/lib/libdl.so.0 to libdl-0.9.32.so: Operation not permitted
tar: can't create symlink from ./opt/lib/libm.so.0 to libm-0.9.32.so: Operation not permitted
tar: can't create symlink from ./opt/lib/libnsl.so.0 to libnsl-0.9.32.so: Operation not permitted
tar: can't create symlink from ./opt/lib/libresolv.so.0 to libresolv-0.9.32.so: Operation not permitted
tar: can't create symlink from ./opt/lib/libutil.so.0 to libutil-0.9.32.so: Operation not permitted
Done.
Configuring libc...Done.

Downloading http://entware.wl500g.info/binaries/entware/liblzo_2.08-1_entware.ipk ...
liblzo_2.08-1_entwar 100%
Done.
Unpacking liblzo...tar: can't create symlink from ./opt/lib/liblzo2.so to liblzo2.so.2.0.0: Operation not permitted
tar: can't create symlink from ./opt/lib/liblzo2.so.2 to liblzo2.so.2.0.0: Operation not permitted
Done.
Configuring liblzo...Done.

Downloading http://entware.wl500g.info/binaries/entware/libopenssl_1.0.2d-1_entware.ipk ...
libopenssl_1.0.2d-1_ 100%
Done.
Unpacking libopenssl...Done.
Configuring libopenssl...Done.

Downloading http://entware.wl500g.info/binaries/entware/openvpn-openssl_2.3.7-1_entware.ipk ...
openvpn-openssl_2.3. 100%
Done.
Unpacking openvpn-openssl...Done.
Configuring openvpn-openssl...Done.

Дальше я пытаюсь запустить openvpn, но мне пишут что -sh: openvpn: not found.
Прошу у вас помощи в корректной настройки OpenVPN клиента на маршрутизаторе.

starter
27-03-2016, 13:15
Мои шаги по установке:
1) Подключаю USB флешку . Сформатирована в FAT32.
...
tar: can't create symlink from ./opt/lib/libz.so.1 to libz.so.1.2.8: Operation not permitted
Советую начать с форматирования флешки в более линуксовую файловую систему, например, ext2.
Не забудь модуль подгрузить для выбранной системы (ext2.ko), распакованного из архива modulesR1.tar.gz, лежащего рядом с прошивкой:
insmod /tmp/local/lib/modules/modules/ext2.ko - подгружать можно автоматом в скрипте /tmp/local/sbin/post-boot
Сам модуль и скрипт post-boot можно во flashfs хранить.

evilseed
27-03-2016, 14:29
Советую начать с форматирования флешки в более линуксовую файловую систему, например, ext2.
Не забудь модуль подгрузить для выбранной системы (ext2.ko), распакованного из архива modulesR1.tar.gz, лежащего рядом с прошивкой:
insmod /tmp/local/lib/modules/modules/ext2.ko - подгружать можно автоматом в скрипте /tmp/local/sbin/post-boot
Сам модуль и скрипт post-boot можно во flashfs хранить.
Форматнул флешку в ext2. В выводе команты mount она теперь отсутствует.
Скормил файл modulesR1.tar.gz через System Setup - Flashfs Management. Не чего не изменилось. Пробовал так же отдельно заливать файл ext2.ko через этот пункт меню.
Мои шаги?

starter
28-03-2016, 01:06
Форматнул флешку в ext2. В выводе команты mount она теперь отсутствует.
Скормил файл modulesR1.tar.gz через System Setup - Flashfs Management. Не чего не изменилось. Пробовал так же отдельно заливать файл ext2.ko через этот пункт меню.
Мои шаги?
Меню System Setup - Flashfs Management предназначено для создания/восстановления образа flashfs (содержимого /tmp/local/).
Обычно это нужно для восстановления файловой flashfs после обновления прошивки.
Более подробно про flashfs можно, например, здесь (http://wl500g.info/showthread.php?12644-%D1%EE%F5%F0%E0%ED%E5%ED%E8%E5-%ED%E0%F1%F2%F0%EE%E5%EA-%F0%EE%F3%F2%E5%F0%E0-%E2-NVRAM-%E8-FlashFS&p=62659#post62659) почитать.
А тебе нужно положить модуль ext2.ko в один из подкаталогов сохраняемых во flashfs, например, в /tmp/local/lib/modules/modules/
Сделать это можно скачав modulesR1.tar.gz с помощью wget прямо в /tmp/ и распаковав нужный файл (ext2.ko).
Для этого придётся подключиться терминалом (telnet или ssh) к твоему wl500gp.
Либо можно распаковать modulesR1.tar.gz на компе и скопировать ext2.ko в /tmp/local/lib/modules/modules/ через ftp, sftp/scp, wget и т.п.
Лично я для копирования файлов и правки скриптов пользуюсь FAR Manager с плагином NetBox.
После успешного копирования и проверки работы модуля ext2.ko, можно добавить его в автозапуск (в файл /tmp/local/sbin/post-boot):
#!/bin/sh
insmod /usr/local/lib/modules/ext2.ko

сделать его запускаемым: chmod +x /tmp/local/sbin/*
и сохранить всё это во flashfs: flashfs save && flashfs commit && flashfs enable
А ещё неплохо добавить автопроверку файловой системы флешки в pre-mount и перемонтирование её в readonly в pre-shutdown, а монтировать флешку лучше с выключенным atime - для меньшего износа...
Могу свои скрипты дать если сам не найдёшь - на форуме много раз обсуждалось.

evilseed
28-03-2016, 20:39
Меню System Setup - Flashfs Management предназначено для создания/восстановления образа flashfs (содержимого /tmp/local/).
Обычно это нужно для восстановления файловой flashfs после обновления прошивки.
Более подробно про flashfs можно, например, здесь (http://wl500g.info/showthread.php?12644-%D1%EE%F5%F0%E0%ED%E5%ED%E8%E5-%ED%E0%F1%F2%F0%EE%E5%EA-%F0%EE%F3%F2%E5%F0%E0-%E2-NVRAM-%E8-FlashFS&p=62659#post62659) почитать.
А тебе нужно положить модуль ext2.ko в один из подкаталогов сохраняемых во flashfs, например, в /tmp/local/lib/modules/modules/
Сделать это можно скачав modulesR1.tar.gz с помощью wget прямо в /tmp/ и распаковав нужный файл (ext2.ko).
Для этого придётся подключиться терминалом (telnet или ssh) к твоему wl500gp.
Либо можно распаковать modulesR1.tar.gz на компе и скопировать ext2.ko в /tmp/local/lib/modules/modules/ через ftp, sftp/scp, wget и т.п.
Лично я для копирования файлов и правки скриптов пользуюсь FAR Manager с плагином NetBox.
После успешного копирования и проверки работы модуля ext2.ko, можно добавить его в автозапуск (в файл /tmp/local/sbin/post-boot):
#!/bin/sh
insmod /usr/local/lib/modules/ext2.ko

сделать его запускаемым: chmod +x /tmp/local/sbin/*
и сохранить всё это во flashfs: flashfs save && flashfs commit && flashfs enable
А ещё неплохо добавить автопроверку файловой системы флешки в pre-mount и перемонтирование её в readonly в pre-shutdown, а монтировать флешку лучше с выключенным atime - для меньшего износа...
Могу свои скрипты дать если сам не найдёшь - на форуме много раз обсуждалось.
Создаю папки:
mkdir /tmp/local/lib
mkdir /tmp/local/lib/modules
Закачиваю файл.
tftp -r ext2.ko -g 172.16.1.40
Папки2.
mkdir /tmp/local/sbin/
mkdir /tmp/local/sbin/post-boot/
Создаю пустой файл и вписываю в него строчки для автозагрузки:
vi mount
#!/bin/sh
insmod /usr/local/lib/modules/modules/ext2.ko
Финальные штрихи.
chmod +x /tmp/local/sbin/*
flashfs save && flashfs commit && flashfs enable
Прошлые команды.
mkdir /tmp/mnt/disca_1/opt
mount /tmp/mnt/disca_1/opt /opt
ipkg.sh update
ipkg.sh install openvpn-openssl

Установка проходит без ошибок.
Флешка сама не монтируется, если вытащить и вставить, все ок.

Если ты еще не устал, я в нетерпении :)

starter
29-03-2016, 04:27
Создаю папки:
mkdir /tmp/local/lib
mkdir /tmp/local/lib/modules
mkdir /tmp/local/sbin/
mkdir /tmp/local/sbin/post-boot/

Установка проходит без ошибок.
Флешка сама не монтируется, если вытащить и вставить, все ок.
Монтируется по fstab.
Обрати внимание, в моём fstab монтируются 2 раздела флешки:
/opt - для entware, /mnt - просто свалка файлов - поправь fstab как тебе надо.
pre-boot - в passwd добавляется новый пользователь nologin - без доступа к shell и меняются атрибуты /var/run, чтобы демоны запущенные от nologin/nobody имели туда доступ.
post-boot - insmod ext2.ko
pre-mount - проверка файловой системы флешки.
post-mount - запуск инициализации rc.unslung start
pre-shutdown - подготовка к перезагрузке: rc.unslung stop и перемонтирование флешки в readonly, хотя, конечно, этот скрипт не сработает, если питание выдернуть :)
Сие работает на WL-500GPv1 с прошивкой r7426M-g8fe7384.

maluga
25-05-2016, 15:22
Здравствуйте!
Суть такова: Имеется asus rt-n10u, модем yota, openvpn-сервер hideme.ru.
Остановил свой выбор на прошивке роутера RT-N10U-1.9.2.7-rtn-r7458M-g6bd2635
Yota работает, смонтировал флешку, установил openvpn клиент. Стартую...
пишет - done, но на самом деле эффекта нет. Загвоздка вынесена в заголовок.
Упёрся в стену, как установить окаянный виртуальный tap адаптер?
Спасибо.

Содержимое файла openvpn.conf:

client

#connect to VPN server
remote 91.105.239.11 1194
proto udp

#DNS server to use
dhcp-option DNS 8.8.8.8

#remove to use your ISP's gateway
redirect-gateway def1

#your access keys
ca in_ca.crt
cert in_XXX.crt
key in_XXX.key
ns-cert-type server

#use virtual interface 'tap'
dev tap

#keep trying indefinitely to resolve the host name of the OpenVPN server.
resolv-retry infinite

#most clients don't need to bind to a specific local port number.
nobind

#try to preserve some state across restarts
persist-key
persist-tun

#enable compression on the VPN link
comp-lzo

#set log file verbosity.
verb 4

#silence repeating messages
mute 20

#tell the server to immediately close its client instance object rather than waiting for a timeout
explicit-exit-notify
Лог роутера:

May 25 13:32:35 openvpn[507]: OpenVPN 2.3.10 mipsel-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6]
May 25 13:32:35 openvpn[507]: library versions: OpenSSL 1.0.2h 3 May 2016, LZO 2.09
May 25 13:32:35 openvpn[508]: LZO compression initialized
May 25 13:32:35 openvpn[508]: Control Channel MTU parms [ L:1574 D:1212 EF:38 EB:0 ET:0 EL:3 ]
May 25 13:32:35 openvpn[508]: Socket Buffers: R=[110592->110592] S=[110592->110592]
May 25 13:32:35 openvpn[508]: Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:143 ET:32 EL:3 AF:3/1 ]
May 25 13:32:35 openvpn[508]: Local Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
May 25 13:32:35 openvpn[508]: Expected Remote Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
May 25 13:32:35 openvpn[508]: Local Options hash (VER=V4): 'd79ca330'
May 25 13:32:35 openvpn[508]: Expected Remote Options hash (VER=V4): 'f7df56b8'
May 25 13:32:35 openvpn[508]: UDPv4 link local: [undef]
May 25 13:32:35 openvpn[508]: UDPv4 link remote: [AF_INET]91.105.239.11:1194
May 25 16:32:35 admin: Started openvpn from .
May 25 13:32:35 openvpn[508]: TLS: Initial packet from [AF_INET]91.105.239.11:1194, sid=3777d6b1 fc0493b3
May 25 13:32:40 openvpn[508]: VERIFY OK: depth=1, C=DE, ST=Bayern, L=Gunzenhausen, O=HideME, CN=HideME CA, emailAddress=feedback@hideme.ru
May 25 13:32:40 openvpn[508]: VERIFY OK: nsCertType=SERVER
May 25 13:32:40 openvpn[508]: VERIFY OK: depth=0, C=DE, ST=Bayern, L=Gunzenhausen, O=HideME, CN=server, emailAddress=feedback@hideme.ru
May 25 13:32:43 openvpn[508]: Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
May 25 13:32:43 openvpn[508]: Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
May 25 13:32:43 openvpn[508]: Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
May 25 13:32:43 openvpn[508]: Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
May 25 13:32:43 openvpn[508]: Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
May 25 13:32:43 openvpn[508]: [server] Peer Connection Initiated with [AF_INET]91.105.239.11:1194
May 25 13:32:45 openvpn[508]: SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
May 25 13:32:45 openvpn[508]: PUSH: Received control message: 'PUSH_REPLY,route-gateway 10.121.128.1,ping 10,ping-restart 30,ifconfig 10.121.140.165 255.224.0.0'
May 25 13:32:45 openvpn[508]: OPTIONS IMPORT: timers and/or timeouts modified
May 25 13:32:45 openvpn[508]: OPTIONS IMPORT: --ifconfig/up options modified
May 25 13:32:45 openvpn[508]: OPTIONS IMPORT: route-related options modified
May 25 13:32:45 openvpn[508]: ERROR: Cannot open TUN/TAP dev /dev/net/tun: No such device (errno=19)
May 25 13:32:45 openvpn[508]: Exiting due to fatal error

ryzhov_al
25-05-2016, 15:24
May 25 13:32:45 openvpn[508]: ERROR: Cannot open TUN/TAP dev /dev/net/tun: No such device (errno=19)

insmod tun

maluga
25-05-2016, 18:23
insmod tun

Огромное спасибо! Продвинулся дальше...
Похоже, на этом препоны не закончились.

maluga
27-05-2016, 14:14
Отбросило меня назад. Беспричинно. Достигнутые позавчера успехи остались в прошлом. OpenVPN перестал стартовать, хоть расшибись...
Загрузка роутера заканчивается монтированием флешки как раз на старте скрипта. И всё. Попытка запуска вручную тоже безуспешна. Командная строка после набора команды вновь становится пустой, словно ничего не набиралось. Никаких сообщений, логов - ничего не пишет... Начал сызнова с нуля, с переустановки прошивки. Внимательно прошёл весь ранее пройденный путь. И ещё раз... Короче, попа... Выручайте! Ни скрипты, ни конфиги не трогал, всё как было. Сертификаты и ключ на месте...10238
Лог роутера после вкл:

.....
Jan 1 02:00:07 kernel: usb 1-1: configuration #1 chosen from 1 choice
Jan 1 02:00:07 kernel: hub 1-1:1.0: USB hub found
Jan 1 02:00:07 kernel: hub 1-1:1.0: 4 ports detected
Jan 1 02:00:08 kernel: usb 1-1.1: new high speed USB device using ehci_hcd and address 3
Jan 1 02:00:08 kernel: SCSI subsystem initialized
Jan 1 02:00:08 kernel: usb 1-1.1: configuration #1 chosen from 1 choice
Jan 1 02:00:08 kernel: usb 1-1.2: new high speed USB device using ehci_hcd and address 4
Jan 1 02:00:08 kernel: usb 1-1.2: configuration #1 chosen from 1 choice
Jan 1 02:00:09 kernel: Initializing USB Mass Storage driver...
Jan 1 02:00:09 kernel: scsi0 : SCSI emulation for USB Mass Storage devices
Jan 1 02:00:09 kernel: usbcore: registered new interface driver usb-storage
Jan 1 02:00:09 kernel: USB Mass Storage support registered.
Jan 1 02:00:09 kernel: NTFS driver 2.1.30 [Flags: R/O MODULE].
Jan 1 02:00:09 dnsmasq-dhcp[220]: DHCPREQUEST(br0) 192.168.1.242 74:d4:35:e7:c6:cd
Jan 1 02:00:09 dnsmasq-dhcp[220]: DHCPACK(br0) 192.168.1.242 74:d4:35:e7:c6:cd silentpapa
Jan 1 02:00:09 dnsmasq[220]: read /etc/hosts - 2 addresses
Jan 1 02:00:09 dhcp client: deconfig: lease is lost
Jan 1 02:00:10 dnsmasq[220]: read /etc/hosts - 2 addresses
Jan 1 02:00:10 dnsmasq[220]: using nameserver 192.168.40.1#53
Jan 1 02:00:10 kernel: vlan1: dev_set_allmulti(master, 1)
Jan 1 02:00:10 miniupnpd[222]: shutting down MiniUPnPd
Jan 1 02:00:11 kernel: scsi 0:0:0:0: Direct-Access JetFlash TS1GJFV30 8.07 PQ: 0 ANSI: 2
Jan 1 02:00:11 kernel: sd 0:0:0:0: [sda] 1986558 512-byte hardware sectors (1017 MB)
Jan 1 02:00:11 kernel: sd 0:0:0:0: [sda] Write Protect is off
Jan 1 02:00:11 kernel: sd 0:0:0:0: [sda] Assuming drive cache: write through
Jan 1 02:00:11 kernel: sda: sda1 sda2
Jan 1 02:00:11 kernel: sd 0:0:0:0: [sda] Attached SCSI removable disk
Jan 1 02:00:11 miniupnpd[387]: HTTP listening on port 54050
Jan 1 02:00:11 miniupnpd[387]: Listening for NAT-PMP/PCP traffic on port 5351
Jan 1 02:00:11 dhcp client: bound IP : 192.168.40.103 from 192.168.40.1
May 27 16:00:47 ntp client: Synchronizing time with ntp3.stratum2.ru...
May 27 16:00:47 kernel: Adding 124888k swap on /dev/sda1. Priority:-1 extents:1 across:124888k
May 27 16:00:47 kernel: kjournald starting. Commit interval 5 seconds
May 27 16:00:47 kernel: EXT3 FS on sda2, internal journal
May 27 16:00:47 kernel: EXT3-fs: recovery complete.
May 27 16:00:47 kernel: EXT3-fs: mounted filesystem with ordered data mode.
May 27 16:00:47 rc.unslung: start service /opt/etc/init.d/S20openvpn

Скрипт S20openvpn:

#!/bin/sh
#
# Startup script for openvpn server
#

# Make sure IP forwarding is enabled
echo 1 > /proc/sys/net/ipv4/ip_forward

# Make device if not present (not devfs)
if ( [ ! -c /dev/net/tun ] ) then
# Make /dev/net directory if needed
if ( [ ! -d /dev/net ] ) then
mkdir -m 755 /dev/net
fi
mknod /dev/net/tun c 10 200
fi

# Make sure the tunnel driver is loaded
#if ( !(lsmod | grep -q "^tun") ); then
# insmod /opt/lib/modules/tun.ko
#fi

ENABLED=yes
PROCS=openvpn
ARGS="--daemon --cd /opt/etc/openvpn --config openvpn.conf"
PREARGS=""
DESC=$PROCS
PATH=/opt/sbin:/opt/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin

. /opt/etc/init.d/rc.func

maluga
29-05-2016, 08:22
Отбросило меня назад. Беспричинно. Достигнутые позавчера успехи остались в прошлом. OpenVPN перестал стартовать, хоть расшибись...

Преодолел препятствие. Отключил usb hub с модемом, воткнул флешку напрямую в порт роутера, прошёл все настройки заново и ву-а-ля... клиент запустился. Затем собрал конструкцию обратно, работоспособность сохранилась.
Однако, цель не достигнута... Соединение с сервером как бы устанавливается, но связи нет. Кумекаю дальше...


May 29 10:04:20 rc.unslung: start service /opt/etc/init.d/S20openvpn
May 29 10:04:20 openvpn[433]: OpenVPN 2.3.10 mipsel-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6]
May 29 10:04:20 openvpn[433]: library versions: OpenSSL 1.0.2h 3 May 2016, LZO 2.09
May 29 10:04:20 openvpn[436]: WARNING: file 'in_66819286374375.key' is group or others accessible
May 29 10:04:20 openvpn[436]: LZO compression initialized
May 29 10:04:20 openvpn[436]: Control Channel MTU parms [ L:1574 D:1212 EF:38 EB:0 ET:0 EL:3 ]
May 29 10:04:20 openvpn[436]: Socket Buffers: R=[110592->110592] S=[110592->110592]
May 29 10:04:20 openvpn[436]: Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:143 ET:32 EL:3 AF:3/1 ]
May 29 10:04:20 openvpn[436]: Local Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
May 29 10:04:20 openvpn[436]: Expected Remote Options String: 'V4,dev-type tap,link-mtu 1574,tun-mtu 1532,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
May 29 10:04:20 openvpn[436]: Local Options hash (VER=V4): 'd79ca330'
May 29 10:04:20 openvpn[436]: Expected Remote Options hash (VER=V4): 'f7df56b8'
May 29 10:04:20 openvpn[436]: UDPv4 link local: [undef]
May 29 10:04:20 openvpn[436]: UDPv4 link remote: [AF_INET]188.64.174.63:1194
May 29 10:04:20 openvpn[436]: TLS: Initial packet from [AF_INET]188.64.174.63:1194, sid=72d846ff cba58d2a
May 29 10:04:20 openvpn[436]: VERIFY OK: depth=1, C=DE, ST=Bayern, L=Gunzenhausen, O=HideME, CN=HideME CA, emailAddress=feedback@hideme.ru
May 29 10:04:20 openvpn[436]: VERIFY OK: nsCertType=SERVER
May 29 10:04:20 openvpn[436]: VERIFY OK: depth=0, C=DE, ST=Bayern, L=Gunzenhausen, O=HideME, CN=server, emailAddress=feedback@hideme.ru
May 29 10:04:21 admin: Started openvpn from .
May 29 10:04:21 kernel: tun: Universal TUN/TAP device driver, 1.6
May 29 10:04:21 kernel: tun: (C) 1999-2004 Max Krasnyansky <maxk@qualcomm.com>
May 29 10:04:22 openvpn[436]: Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
May 29 10:04:22 openvpn[436]: Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
May 29 10:04:22 openvpn[436]: Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
May 29 10:04:22 openvpn[436]: Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
May 29 10:04:22 openvpn[436]: Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
May 29 10:04:22 openvpn[436]: [server] Peer Connection Initiated with [AF_INET]188.64.174.63:1194
May 29 10:04:24 openvpn[436]: SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
May 29 10:04:24 openvpn[436]: PUSH: Received control message: 'PUSH_REPLY,route-gateway 10.122.0.1,ping 10,ping-restart 30,ifconfig 10.122.17.116 255.224.0.0'
May 29 10:04:24 openvpn[436]: OPTIONS IMPORT: timers and/or timeouts modified
May 29 10:04:24 openvpn[436]: OPTIONS IMPORT: --ifconfig/up options modified
May 29 10:04:24 openvpn[436]: OPTIONS IMPORT: route-related options modified
May 29 10:04:24 openvpn[436]: TUN/TAP device tap0 opened
May 29 10:04:24 openvpn[436]: TUN/TAP TX queue length set to 100
May 29 10:04:24 openvpn[436]: do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
May 29 10:04:24 openvpn[436]: /sbin/ifconfig tap0 10.122.17.116 netmask 255.224.0.0 mtu 1500 broadcast 10.127.255.255
May 29 10:04:24 openvpn[436]: /sbin/route add -net 188.64.174.63 netmask 255.255.255.255 gw 192.168.40.1
May 29 10:04:24 openvpn[436]: /sbin/route add -net 0.0.0.0 netmask 128.0.0.0 gw 10.122.0.1
May 29 10:04:24 openvpn[436]: /sbin/route add -net 128.0.0.0 netmask 128.0.0.0 gw 10.122.0.1
May 29 10:04:24 openvpn[436]: Initialization Sequence Completed

_DD_
02-06-2016, 03:36
Теперь же мне захотелось поставить IP камеру, и из дома через OpenVPN туннель заходить на маршрутизатор и просматривать архив записей.
IMHO, оно так работать не будет. У современных прошивок есть нюанс, нестабильно работает tap драйвер, при этом оно не даёт подключаться (хотя пинги проходят) через vpn туннель к самому роутеру (хоть клиенту, хоть серверу) имеющему tap интерфейс. Связь со сторонними устройствами в этой сети нормальная. Вот подробнее о проблеме:
https://github.com/wl500g/wl500g/issues/451
http://wl500g.info/showthread.php?19949-%CF%F0%EE%E1%EB%E5%EC%FB-%F1-OpenVPN-%CF%F0%EE%F8%F3-%EF%EE%EC%EE%F9%E8!&p=269524#post269524
http://wl500g.info/showthread.php?30109-%D3%F1%F2%E0%ED%EE%E2%EA%E0-%E8-%ED%E0%F1%F2%F0%EE%E9%EA%E0-VPN-OpenVPN-%F7%E5%F0%E5%E7-3G-4G-(Yota)-%EC%EE%E4%E5%EC&p=267469#post267469
http://wl500g.info/showthread.php?30109-%D3%F1%F2%E0%ED%EE%E2%EA%E0-%E8-%ED%E0%F1%F2%F0%EE%E9%EA%E0-VPN-OpenVPN-%F7%E5%F0%E5%E7-3G-4G-(Yota)-%EC%EE%E4%E5%EC&p=266768#post266768
и т.д.

Т.е. вам надо ставить два роутера, на одном делать записи, а второй для связности (OpenVPN). Или если камера автономна, то писать дома на компе/2м роутере через туннель...

В какой то степени это прикольная фича, попав в туннель нет связи с туннелеобразующими роутерами, атаковать изнури их нельзя ;). Но уж больно нестабильно оно при этом работает. При попытках обращения связь через туннель на время теряется и для остальных. А ещё я заметил, что при переходе со cтарых прошивок, где этой проблемы не было, стал менее стабильно работать туннель. Если сервер постоянно перезагружать или чудит Интернет, то клиенты с современными прошивками бывает теряются. На клиенте происходит что то странное, OpenVPN запущен но в системных логах выдаёт постоянно (каждые 10 сек) ошибку доступа (как я понял к tap: kernel: unregister_netdevice: waiting for tap0 to become free. Usage count = 1). В логах OpenVPN последние записи: Closing TUN/TAP interface и /sbin/ifconfig tap0 0.0.0.0. При этом, если стартануть OpenVPN вручную повторно, не убивая повисший, новая копия нормально пашет.


Преодолел препятствие. Отключил usb hub с модемом, воткнул флешку напрямую в порт роутера, прошёл все настройки заново и ву-а-ля... клиент запустился. Затем собрал конструкцию обратно, работоспособность сохранилась.
Однако, цель не достигнута... Соединение с сервером как бы устанавливается, но связи нет. Кумекаю дальше...
Что означает "но связи нет"? С сервером или по сетке? Может дело в том же самом, что выше?

Разработчики пошивки, подскажите, пожалуйста, IMHO, это явно что то системное, как можно вам помочь найти причину? Может поискать с какой прошивки это явно началось и посмотреть, что там поменялось? Оно 100% проявляется либо есть соединение, либо нет. Но где взять ночнушки за 2013 год? И где взять описание по ним? http://code.google.com/p/wl500g/source/list же не пашет.

maluga
02-06-2016, 09:42
Что означает "но связи нет"? С сервером или по сетке? Может дело в том же самом, что выше?
А то и означает. Туннель, якобы, поднимается, локальная сеть в порядке, OpenVPN сервер пингуется, а за ним тишина... Одинаково хреновую картину я получил на Asus rt-n10u, zyxel keenetic и машине с ubuntu. При этом на windows-машине туннель взлетает в ноль секунд и его лог при этом, поверьте, как близнец похож на все остальные. Поддержка HideMe "запустила дурочку" и я на четвёртые сутки перестал с ней общаться. Саморазвитие в кустарном деле, изготовление котлеты из г, конечно, замечательно, но сейчас мне нужен быстрый качественный результат, а не чемодан опыта. Цель моего мероприятия состоит всего лишь в получении внешнего статического IP на Yota не втридорога. Значит нам дорога к Биллу. Разочарован...

_DD_
02-06-2016, 12:57
А то и означает. Туннель, якобы, поднимается, локальная сеть в порядке, OpenVPN сервер пингуется, а за ним тишина... Одинаково хреновую картину я получил на Asus rt-n10u, zyxel keenetic и машине с ubuntu. При этом на windows-машине туннель взлетает в ноль секунд и его лог при этом, поверьте, как близнец похож на все остальные.
А с роутера оно случайно не работает? Ну там пинги и трассировки. Ну по логике вы подключаетесь, получаете адрес, правите маршруты, включая дефолтный, чтобы пойти по их туннелю, днс указываете на гуглю. Но к вашей же подсети обратных маршрутов у сервера может не быть. Тогда, по аналогии с обычным интернетом, IMHO, NAT надо поднимать. А с Windows у вас ip сразу на интерфейс получается и нат не нужен. Не может быть дело в этом?

a.matrosoff
19-06-2016, 17:47
Здравствуйте!

Имеются два маршрутизатора (zyxel keenetic, wl500gpv2), keenetic имеет подключение к интернет с публичным ip, wl500gpv2 подключен к интернету через 3g модем (ppp0), публичного ip не имеет. Сети построены по следующей схеме:

10252

На wl500gpv2 туннель поднимается из post-boot:

insmod pppox
insmod pptp
pppd file /tmp/local/sbin/options_vpn_pppd

Содержимое post-firewall:

ip route add 192.168.0.0/24 dev ppp3
iptables --insert OUTPUT 1 --source 0.0.0.0/0.0.0.0 --destination 192.168.0.0/24 --jump ACCEPT --out-interface ppp3
iptables --insert INPUT 1 --source 192.168.0.0/24 --destination 0.0.0.0/0.0.0.0 --jump ACCEPT --in-interface ppp3
iptables --insert FORWARD 1 --source 0.0.0.0/0.0.0.0 --destination 192.168.0.0/24 --jump ACCEPT --out-interface ppp3
iptables --insert FORWARD 1 --source 192.168.0.0/24 --destination 0.0.0.0/0.0.0.0 --jump ACCEPT
iptables --table nat --append POSTROUTING --out-interface ppp3 --jump MASQUERADE
iptables --append FORWARD --protocol tcp --tcp-flags SYN,RST SYN --jump TCPMSS --clamp-mss-to-pmtu

Со стороны клиента в сеть сервера пинг проходит на адрес сервера (192.168.0.1) и на A2 (192.168.0.100), traceroute тоже отрабатывает.
А со стороны сервера в сеть клиента - пинг проходит только на 10.0.0.1, а на A1 или B1 не проходит, traceroute не работает, останавливается на 10.0.0.1.

Что забыл или сделал неверно? Заранее огромное спасибо.

dvg_lab
27-07-2016, 11:29
Наступил на те-же грабли с openvpn, а у меня вся работа завязана на подключении клиентского роутера к серверному openvpn IP, все сервисы на нем крутятся, также поймал глюк с kernel: unregister_netdevice: waiting for tun0 to become free. Usage count = 1
Буду пытаться найти последний рабочий срез сырцов и выловить регрессию. Есть заинтересованные в починке этого бага?

6apakyda
28-07-2016, 12:42
Не пойму как у Вас получилось поставить openvpn))
Пишу ipkg.sh install openvpn-openssl
Всё скачивается, но в итоге ни каких конфигов найти не могу, подскажите, что я не так делаю?