PDA

Bekijk de volledige versie : Настройка клиента и сервера OpenVPN на роутере



OlegSV
05-04-2007, 12:07
Перековырял весь форум поиском, но вразумительной инфы не нашел. Есть WL500gP с прошивкой 7f от Oleg, один ПК с LAN к роутеру, 1 ПДА с Wi-Fi. Провайдер дает мне интернет по OpenVPN. Хочу установить на роутере клиента OpenVPN, что бы во внутренней сети обойтись без него. Дело в том, что планируется покупка спутникого ресивера с LAN. А вот на ресивер OpenVPN клиент поставить совсем проблема, да и не хочу.
В сетях и терминах я не очень грамотный, но не совсем безрукий. По ссылкам
http://wl500g.info/showthread.php?t=5312
и
http://wl500g.info/showthread.php?t=5495
я ходил, но там описывается установка сервера на роутере.
Уважаемые гуру, помогите новичку !

Mirage-net
05-04-2007, 17:04
Перековырял весь форум поиском, но вразумительной инфы не нашел. Есть WL500gP с прошивкой 7f от Oleg, один ПК с LAN к роутеру, 1 ПДА с Wi-Fi. Провайдер дает мне интернет по OpenVPN. Хочу установить на роутере клиента OpenVPN, что бы во внутренней сети обойтись без него. Дело в том, что планируется покупка спутникого ресивера с LAN. А вот на ресивер OpenVPN клиент поставить совсем проблема, да и не хочу.
В сетях и терминах я не очень грамотный, но не совсем безрукий. По ссылкам
http://wl500g.info/showthread.php?t=5312
и
http://wl500g.info/showthread.php?t=5495
я ходил, но там описывается установка сервера на роутере.
Уважаемые гуру, помогите новичку !
в openvpn программа всего одна ... она выступает в роли сервера или клиента (зависит как указать в конфиге) ... так что все что сказано про установку сервера на wl500 одинаково подходит и для клиента просто другие правила iptables и конфиг другой ... плиз конфиг с винды в студию ...

OlegSV
05-04-2007, 22:19
в openvpn программа всего одна ... она выступает в роли сервера или клиента (зависит как указать в конфиге) ... так что все что сказано про установку сервера на wl500 одинаково подходит и для клиента просто другие правила iptables и конфиг другой ... плиз конфиг с винды в студию ...

Извините чайника, а где его взять ?

Mirage-net
05-04-2007, 23:10
Провайдер дает мне интернет по OpenVPNЧто окромя доступа он ничего недал??? Если вы соединяетесь с провайдером с компа по openvpn то на компе должен быть установлен програмный пакет openvpn для винды ... соответственно и конфиг должен быть. Если это только теоретические изыскания ... ну хотя бы ссылку на прова... может у него на сайте есть как законектится к нему....

OlegSV
06-04-2007, 09:33
Что окромя доступа он ничего недал??? Если вы соединяетесь с провайдером с компа по openvpn то на компе должен быть установлен програмный пакет openvpn для винды ... соответственно и конфиг должен быть. Если это только теоретические изыскания ... ну хотя бы ссылку на прова... может у него на сайте есть как законектится к нему....
Кроме доступа ничего не дает. Ссылки как таковой вообще нет.
На компе стоит клиент, OpenVPN GUI, кажется. В нем есть что-то типа config.ovpn. Оно ? Просто я сейчас на работе, посмотреть не смогу до вечера. Если это то что надо, вечером выложу.
Изыскания не теоретические. А вот знаний в сетях и линуксе маловато.
Но с Вашей помощью я справлюсь.

Mirage-net
06-04-2007, 10:00
Кроме доступа ничего не дает. Ссылки как таковой вообще нет.
На компе стоит клиент, OpenVPN GUI, кажется. В нем есть что-то типа config.ovpn. Оно ? Просто я сейчас на работе, посмотреть не смогу до вечера. Если это то что надо, вечером выложу.
Изыскания не теоретические. А вот знаний в сетях и линуксе маловато.
Но с Вашей помощью я справлюсь.
Именно config.ovpn и нужен выкладывай его сюда (только айпишники затри). Я сейчас как раз пишу инструкцию по установке openvpn в основной флеш для новичков ... в субботу выложу

OlegSV
06-04-2007, 13:08
Именно config.ovpn и нужен выкладывай его сюда (только айпишники затри). Я сейчас как раз пишу инструкцию по установке openvpn в основной флеш для новичков ... в субботу выложу
Конфиг вечером выложу. А за инструкцию именно для новичков - СПАСИБО заранее !!!

OlegSV
06-04-2007, 17:33
Файл называется client.opvn . Там забил только IP-шник.

manyuk
07-04-2007, 13:45
Скажите пожалуйста, как настроить подключение на WL500g по OpenVPN. Провайдер предоставляет Реальный АйПи с ключами OpenVPN. Искал на форумах и нашел только установки и настройки сервера. Есть ли Web-интерфейсая его настройка?
Заранее благодарю за помощь!

Mirage-net
07-04-2007, 14:56
Файл называется client.opvn . Там забил только IP-шник.
для начала попробуй установить openvpn как я написал в http://wl500g.info/showthread.php?t=8880 только убери строки про post-firewall а в строках где заполняется server.conf нужно изменить значения чтоб вышло вот так:
dev tun
proto tcp-client
remote 192.168.***.*** 1194
resolv-retry infinite
nobind
user nobody
group nobody
persist-key
persist-tun
ca ca.crt
cert client30.crt
key client30.key
comp-lzo
verb 3

соответственно файлы ca.crt client30.crt client30.key нужно положить в /opt/etc/openvpn
Напиши что выйдет

Mirage-net
07-04-2007, 14:58
Скажите пожалуйста, как настроить подключение на WL500g по OpenVPN. Провайдер предоставляет Реальный АйПи с ключами OpenVPN. Искал на форумах и нашел только установки и настройки сервера. Есть ли Web-интерфейсая его настройка?
Заранее благодарю за помощь!

В веб интерфейсе нет настройки ... следи за развитием событий в этой ветке http://wl500g.info/showthread.php?t=8859

manyuk
07-04-2007, 18:13
Скажите, а все файлы, которые дал провайдер можно выложить без изменения? или их надо править конкретно для wl500g?
Вот файл client.ovpn
client
float
dev tap
proto udp
remote vpn.normaplus.com 1120
nobind
persist-key
persist-tun
ca ca.crt
key F703618B7560D38C6C2BD7663691D8E28629D6A3.key
cert F703618B7560D38C6C2BD7663691D8E28629D6A3.crt
ns-cert-type server
verb 3

OlegSV
08-04-2007, 13:40
... только убери строки про post-firewall а в строках где заполняется server.conf нужно изменить значения чтоб вышло вот так:
dev tun
proto tcp-client
remote 192.168.***.*** 1194
resolv-retry infinite
nobind
user nobody
group nobody
persist-key
persist-tun
ca ca.crt
cert client30.crt
key client30.key
comp-lzo
verb 3


Прошу прощения за мою неграмотность, но куда мне внести изминения и как ? Я имею ввиду синтаксис. И еще. Я так понял, что для работы клиента в ASUSe, TAP не нужен ?

OlegSV
09-04-2007, 18:22
Прошу прощения за мою неграмотность, но куда мне внести изминения и как ? Я имею ввиду синтаксис. И еще. Я так понял, что для работы клиента в ASUSe, TAP не нужен ?

Допер, вроде про server.conf. Учусь по-маленьку.
Про тар то же. Буду пробовать.
Есть, правда один вопрос. После установки OpenVPN GUI на компе получается 2 соеденения: 1-е ТАР, 2-е сетевая карточка. Так вот во 2-м мой пров. строго-настрого наказал заполнить только поля IP и маску. Это значит, после установки клиента на Асус, тот IP и маску я переношу на WAN ? А локалку, к примеру, поднимаю на DHCP. Правильно мыслю ?

Mirage-net
10-04-2007, 09:19
Допер, вроде про server.conf. Учусь по-маленьку.
Про тар то же. Буду пробовать.
Есть, правда один вопрос. После установки OpenVPN GUI на компе получается 2 соеденения: 1-е ТАР, 2-е сетевая карточка. Так вот во 2-м мой пров. строго-настрого наказал заполнить только поля IP и маску. Это значит, после установки клиента на Асус, тот IP и маску я переношу на WAN ? А локалку, к примеру, поднимаю на DHCP. Правильно мыслю ?
Вроде да. Возможно еще МАС адрес придется склонировать на ASUS.

OlegSV
11-04-2007, 15:48
Вроде да. Возможно еще МАС адрес придется склонировать на ASUS.

С МАСом попробую. Есть один непонятный момент.

Генерим ключик:
cd C:\Program Files\OpenVPN\config
openvpn --genkey --secret static.key
У меня Openvpn GUI, как я раньше писал, установлен и без роутера работает (через роутер с клиентом на винде запустить пока не смог).
Как я понял, мне secret static.key генерить не надо ? Мой файл ключа client30.key, его надо в /opt/etc/openvpn ?

Mirage-net
11-04-2007, 16:12
Как я понял, мне secret static.key генерить не надо ? Мой файл ключа client30.key, его надо в /opt/etc/openvpn ?
Да именно так и в конфиге прописать secret client30.key

Rambalac
18-06-2007, 14:40
Не хочу ставить этот уродский клиент самого OpenVpn. Более того он глючит в Висте. Есть какойто способ настроить? Шифрование не волнует, лучше даже без него.

Romeo9128
18-06-2007, 16:04
99% что нет. Ибо под разные платформы делалось.. И вообще софтины разные..

Rambalac
18-06-2007, 18:33
а причем тут платформы?
VPN это между прочим штука стандартная. PPTP IPSec итд это всетаки стандарты

Romeo9128
18-06-2007, 21:58
а OpenVPN работает по стандартам PPTP или IPSec??

Rambalac
19-06-2007, 07:35
Вот примерно это я и хотел выяснить

Mirage-net
19-06-2007, 10:54
Вот примерно это я и хотел выяснить

Он не работает по стандартам ... Это свободная реализация идеи VPN ... Причем и клиет и сервер соединены в одном бинарике ... отличия только в конфиге....

Rambalac
20-06-2007, 07:04
тогда приговор - снести такую гадость

Mirage-net
20-06-2007, 08:06
тогда приговор - снести такую гадость
Никто не мешает поставить POPTOP ... только ресурсов он жрет поболе чем OPENVPN

Rambalac
20-06-2007, 08:37
спасибо, не знал, щас посмотрим

Zyxmon
23-01-2008, 10:49
Первый раз пытаюсь настроить OpenVPN.
Сервер установлен на asus wl500gp в режиме точки доступа, т.е. никаких дополнительных служб типа DHCP, IPTABLES нет.
С ADSL модема (соединение по PPPoE) проброшен UDP порт 8123 на wl500gp (порт, на котором висит openvpn). IP у wl500gp - 10.0.0.4.
старт openvpn на wl500gp (поскипано слегка)


#!/bin/sh
mkdir -m 755 /dev/net
mknod /dev/net/tun c 10 200
nsmod tun.o
openvpn --mktun --dev tap0
brctl addif br0 tap0
ifconfig tap0 0.0.0.0 promisc up
openvpn --daemon --cd /opt/etc/openvpn --log-append /opt/var/log/openvpb.log --config openvpn.conf
Конфиг (слегка поскипанный) сервера


proto udp
dev tap0
tls-server
server-bridge 10.0.0.4 255.255.255.0 10.0.0.50 10.0.0.60
push "route 10.0.0.0 255.255.255.0"
<ключи>
ifconfig-pool-persist ipp.txt
client-to-client
keepalive 10 120
port 8123
persist-tun
persist-key
verb 3
comp-lzo
max-clients 10
status openvpn-status.log
verb 3
tun-mtu 1500
fragment 1400
mssfix
Клиент winxp sp2 за NAT с конфигом


tls-client
dev tap
proto udp
remote <внешний ip "сервера"> 8123
resolv-retry infinite
nobind
comp-lzo
verb 3
<ключи>
mute 20
tun-mtu 1500
fragment 1400
mssfix
Вроде бы соединение происходит - на сервере


Jan 23 10:54:24 openvpn[183]: MULTI: multi_create_instance called
Jan 23 10:54:24 openvpn[183]: <внеш. ip клиента за NAT>:1333 Re-using SSL/TLS context
Jan 23 10:54:24 openvpn[183]: <внеш. ip клиента за NAT>:1333 LZO compression initialized
Jan 23 10:54:24 openvpn[183]: <внеш. ip клиента за NAT>:1333 Control Channel MTU parms [ L:1578 D:138 EF:38 EB:0 ET:0 EL:0 ]
Jan 23 10:54:24 openvpn[183]: <внеш. ip клиента за NAT>:1333 Data Channel MTU parms [ L:1578 D:1400 EF:46 EB:135 ET:32 EL:0 AF:3/1 ]
Jan 23 10:54:24 openvpn[183]: <внеш. ip клиента за NAT>:1333 Fragmentation MTU parms [ L:1578 D:1400 EF:45 EB:135 ET:33 EL:0 AF:3/1 ]
Jan 23 10:54:24 openvpn[183]: <внеш. ip клиента за NAT>:1333 Local Options hash (VER=V4): 'e2a912d8'
Jan 23 10:54:24 openvpn[183]: <внеш. ip клиента за NAT>:1333 Expected Remote Options hash (VER=V4): '9a22532e'
Jan 23 10:54:24 openvpn[183]: <внеш. ip клиента за NAT>:1333 TLS: Initial packet from <внеш. ip клиента за NAT>:1333, sid=0f04de14 33de8716
Jan 23 10:54:25 openvpn[183]: <внеш. ip клиента за NAT>:1333 VERIFY OK: depth=1, /C=RU/ST=CA/L=Moscow/O=Poles/CN=asus/emailAddress=zyxmon@poles.org
Jan 23 10:54:25 openvpn[183]: <внеш. ip клиента за NAT>:1333 VERIFY OK: depth=0, /C=RU/ST=CA/O=Poles/CN=client1/emailAddress=zyxmon@poles.org
Jan 23 10:54:26 openvpn[183]: <внеш. ip клиента за NAT>:1333 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Jan 23 10:54:26 openvpn[183]: <внеш. ip клиента за NAT>:1333 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Jan 23 10:54:26 openvpn[183]: <внеш. ip клиента за NAT>:1333 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Jan 23 10:54:26 openvpn[183]: <внеш. ip клиента за NAT>:1333 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Jan 23 10:54:26 openvpn[183]: <внеш. ip клиента за NAT>:1333 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Jan 23 10:54:26 openvpn[183]: <внеш. ip клиента за NAT>:1333 [client1] Peer Connection Initiated with <внеш. ip клиента за NAT>:1333
Jan 23 10:54:26 openvpn[183]: MULTI: new connection by client 'client1' will cause previous active sessions by this client to be dropped. Remember to use the --duplicate-cn option if you want multiple clients using the same certificate or username to
Jan 23 10:54:27 openvpn[183]: client1/<внеш. ip клиента за NAT>:1333 MULTI: Learn: 00:ff:ab:19:e9:b9 -> client1/<внеш. ip клиента за NAT>:1333
Jan 23 10:58:32 openvpn[183]: read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Jan 23 10:58:41 openvpn[183]: read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Jan 23 10:58:51 openvpn[183]: read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Jan 23 10:58:52 openvpn[183]: read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Jan 23 10:59:02 openvpn[183]: read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Jan 23 10:59:13 openvpn[183]: read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Jan 23 10:59:23 openvpn[183]: read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Со стороны клиента


Wed Jan 23 11:49:11 2008 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Wed Jan 23 11:49:11 2008 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Wed Jan 23 11:49:11 2008 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Wed Jan 23 11:49:11 2008 LZO compression initialized
Wed Jan 23 11:49:11 2008 Control Channel MTU parms [ L:1578 D:138 EF:38 EB:0 ET:0 EL:0 ]
Wed Jan 23 11:49:11 2008 TAP-WIN32 device [Local Area Connection 2] opened: \\.\Global\{AB19E9B9-FA5E-4AD6-8BC8-C48161BD69B2}.tap
Wed Jan 23 11:49:11 2008 TAP-Win32 Driver Version 8.4
Wed Jan 23 11:49:11 2008 TAP-Win32 MTU=1500
Wed Jan 23 11:49:11 2008 Successful ARP Flush on interface [3] {AB19E9B9-FA5E-4AD6-8BC8-C48161BD69B2}
Wed Jan 23 11:49:11 2008 Data Channel MTU parms [ L:1578 D:1400 EF:46 EB:135 ET:32 EL:0 AF:3/1 ]
Wed Jan 23 11:49:11 2008 Fragmentation MTU parms [ L:1578 D:1400 EF:45 EB:135 ET:33 EL:0 AF:3/1 ]
Wed Jan 23 11:49:11 2008 Local Options hash (VER=V4): '9a22532e'
Wed Jan 23 11:49:11 2008 Expected Remote Options hash (VER=V4): 'e2a912d8'
Wed Jan 23 11:49:11 2008 UDPv4 link local: [undef]
Wed Jan 23 11:49:11 2008 UDPv4 link remote: 85.141.163.242:8123
Wed Jan 23 11:49:11 2008 TLS: Initial packet from 85.141.163.242:8123, sid=a46784b2 9c5b4c02
Wed Jan 23 11:49:12 2008 VERIFY OK: depth=1, /C=RU/ST=CA/L=Moscow/O=Poles/CN=asus/emailAddress=zyxmon@poles.org
Wed Jan 23 11:49:12 2008 VERIFY OK: depth=0, /C=RU/ST=CA/O=Poles/CN=asus/emailAddress=zyxmon@poles.org
Wed Jan 23 11:49:13 2008 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Jan 23 11:49:13 2008 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Jan 23 11:49:13 2008 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Jan 23 11:49:13 2008 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Jan 23 11:49:13 2008 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Wed Jan 23 11:49:13 2008 [asus] Peer Connection Initiated with <внешний ip за asus ???>:8123
Wed Jan 23 11:49:15 2008 TEST ROUTES: 0/0 succeeded len=-1 ret=0 a=0 u/d=down
Wed Jan 23 11:49:15 2008 Route: Waiting for TUN/TAP interface to come up...
.....
много раз
......
Wed Jan 23 11:49:45 2008 Initialization Sequence Completed With Errors ( see http://openvpn.net/faq.html#dhcpclientserv )
Wed Jan 23 11:51:54 2008 TCP/UDP: Closing socket
Wed Jan 23 11:51:54 2008 Closing TUN/TAP interface
Клиент из 10.0.0.0/24 ip не получает. Служба DHCP client в winxp sp2 (клиент) запущена, файрволы отключены.
Вопросы:
1. Насколько понимаю с ключами все нормально? Не промахнулся?
2. Куда копать - клиента или сервера?
3. Или идея неправильная, нельзя на точке доступа сбриджевать tap0? (стоит на ней для LAN Samba3, vsftpd, dropbear - сейчас проброшен наружу)

Zyxmon
23-01-2008, 11:15
Добавление -
Если IP прописать руками у клиента на "TAP-Win32 Adapter V8" интерфейсе, то вроде все работает. Осталось понять - или OpenVPN сервер на wl500gp в отсутсвии DHCP сервера не может (или не умеет) выдать ip клиенту или DHCP пакеты режутся - тогда интересно где режутся?

Zyxmon
23-01-2008, 12:39
Может конфиги неправильные?
Добавил в конфиг клиента


ip-win32 netsh
ifconfig 10.0.0.50 255.255.255.0

Все работает, но в логе сервера


Jan 23 14:16:35 openvpn[183]: xx.xxx.xx.xx:1892 WARNING: 'ifconfig' is present in remote config but missing in local config, remote='ifconfig 10.0.0.0 255.255.255.0'

PS
Попытка в клиенте заменить ip-win32 netsh на ip-win32 ipapi - ругается.

KOCTET
23-01-2008, 13:26
Давно уже не заморачивался с настройкой Ovpn :)
Вопрос такой, у тебя файл ipp.txt с прописаными соответствием клиент-ип есть?
Да, и от кого клиенты получают ип?

Zyxmon
23-01-2008, 14:02
Давно уже не заморачивался с настройкой Ovpn :)
Вопрос такой, у тебя файл ipp.txt с прописаными соответствием клиент-ип есть?
Да, и от кого клиенты получают ип?
Я так вообще в первый раз настраиваю. ipp.txt (пока) не прописал. Заменил в настройках клиента tls-client на просто client. Клиент стал автоматом получать IP. "Методом обезъяны" двигаюсь дальше. С клиента OpenVPN домашняя сетка видна, а с домашней клиент вроде нет :(. Но с этим думаю попроще будет.

Zyxmon
24-01-2008, 14:22
Была следующая ошибка - tls-client подразумевает, что нужно добавить pull, добавил - вроде все стало нормально. клиент получает

PUSH: Received control message: 'PUSH_REPLY,route-gateway 10.0.0.4,ping 10,ping-restart 120,ifconfig 10.0.0.50 255.255.255.0' И теперь шлет OpenVPN пинги. И соединение udp удерживается на NATах и нет рассоединения по таймауту. Почему флаг client (эквивалентно вроде tls-client; pull) не работал - не знаю.
Надеюсь мой опыт пригодится.

rgaliull
11-02-2008, 13:07
Вот бы кто-нибудь сделал тест. Сейчас серьезно подумываю о покупке wl-500gP для поднятия на нем впн сервера. Много прочитал форумов. Судя по всему, опенвпн работает в userspace, а pptp это userspace обвязка для ядерного ppp. Как многие знают, kernel-space приложения должны работать намного быстрее остальных, но тут в теорию вмешивается практика. Все зависит от реализации, так люди пишут, что шифрование от МС сильно тормозит ядро, поэтому рекомендуют не использовать без необходимости, а если нужна секурность, то использовать IPSec.
Уважаемые владельцы сего девайся, проведите пару тестов, покажите результаты.

Spacesoft
11-02-2008, 21:01
Что-то не слышал, чтобы poptop вообще у кого-то нормально завёлся на 500м...

Oleg
11-02-2008, 21:17
pptp это userspace обвязка для ядерного ppp.
Не путайте ядерный ppp (интерфейс) c pptp, у которого все пакеты идут через юзер-спейс. Хотя да, декриптор работает в ядре. Только от этого скорости не прибавляется.

Настоящей ядерной реализации не существует в природе.

rgaliull
12-02-2008, 12:30
Прошу прощения за то что ухожу далеко от темы. Какой же сервер впн стоит использовать на этом роутере? l2tp+ IpSec?
Дополнение: я хочу еще астериск поставить, так что опенвпн не очень подходит, так как дает ощутимые задержки.

Break Action
08-05-2008, 22:20
Уважаемые Гуру,
Заранее прошу меня простить, возможно мой вопрос уже поднимался, но я поиском ответа так и не нашел (только установка/настройка OpenVPN сервера), в моем же варианте необходима установка и настройка OpenVPN клиента.
Хотелось бы поднять соединение на провайдера и далее через него поднять соединение с использованием OpenVPN клиента, шифруя подобным образом трафик прямо на девайсе, и уже вот этот канал раздавать для сети и пользователей беспроводной сети.
Если бы вы могли мне помочь, был бы очень благодарен.

asve
20-08-2008, 12:38
Вопрос возможно не совсем в тему, однако думаю может кто-то уже сталкивался с подобной проблемой, решение которой, прошерстив форум и инет я так и не смог найти. А именно: на устройстве (в данном случае wl500gp) установлен OpenVPN сервер. Если использовать OpenVPN клиент, то проблем с соединением нет, однако для работы, мне нужен CiscoVPN клиент, который, ходят слухи, также может работать и с openvpn server-ом.
Дык вот чтобы не держать зоопарк из разных клиентов, хочется настроить подключение на OpenVPN сервер через CiscoVPN клиента. Кому-нибудь из форумчан это удавалось сделать? Поделитесь опытом pls.

Rucha
13-11-2008, 19:45
Мне вот тоже интересно.

igor77777
27-04-2009, 18:39
Пытаюсь поднять openvpn клиента, ни чего не получается, помогите пожалуйста.
Что есть:
1. Есть интернет получаемый посредством pppoe (интерфейс ppp0, IP: 172.19.74.170)
2. и есть соединение для доступа к локальным ресурсам провайдера, подключено с помощью dhcp (интерфейс vlan1, IP:10.254.0.146).
Это сейчас работает и настроено с помощью web-интерфейса роутера.

Теперь, что хочу сделать, но ни чего не получается.
1. Поверх локальной сети провайдера работает vpn (предоставляет сам провайдер), к которой я и хочу подключиться.
Что есть в наличии:
ключи от провайдера:

vpnclientca.crt
vpnclientcert.crt
vpnclientkey.key
vpnclientta.key
и такой вот конфигурационный файл для windows (vpn1.ovpn):

dev tap
client
remote 10.253.0.18 5051
tls-client
cipher none
ca vpnclientca.crt
cert vpnclientcert.crt
key vpnclientkey.key
tls-auth vpnclientta.key 1
proto udp
verb 2
mute 5
keepalive 60 320
dhcp-option DISABLE-NBT
dhcp-option DOMAIN vpn
кроме того, в провайдерском форуме обсуждается подключение к этой vpn под linux, и там приводится такой конфигурационный файл (vpn1linux.ovpn):

dev tap
client
remote 10.253.0.18 5051
tls-client
cipher none
ca /etc/openvpn/vpnclientca.crt
cert /etc/openvpn/vpnclientcert.crt
key /etc/openvpn/vpnclientkey.key
tls-auth /etc/openvpn/vpnclientta.key 1
proto udp
verb 2
mute 5
keepalive 30 60
up "/sbin/dhcpcd tap0"
down "/sbin/dhcpcd -k tap0"

Что сделал я к этому моменту:
1. добавил загрузку модуля в post-boot
#!/bin/sh
dropbear > /dev/null 2>&1
insmod tun.o

2. Поставил пакеты:

ipkg install uclibc-opt
ipkg install openssl
ipkg install lzo
ipkg -force-depends install openvpn
3. Подправил конфигурационный файл, поскольку у нас другой dhcp-клиент (vpn1-1.ovpn):


dev tap
client
remote 10.253.0.18 5051
tls-client
cipher none
ca /opt/etc/openvpn/vpnclientca.crt
cert /opt/etc/openvpn/vpnclientcert.crt
key /opt/etc/openvpn/vpnclientkey.key
tls-auth /opt/etc/openvpn/vpnclientta.key 1
proto udp
verb 2
mute 5
keepalive 30 60
up "/sbin/udhcpc -i tap0 -s /opt/etc/openvpn/udhcpc.sh"
#down "/sbin/udhcpc -k tap0"
#log-append /opt/var/log/openvpn/openvpn.log
dhcp-option DISABLE-NBT
dhcp-option DOMAIN vpn

4. И есть такой скрипт-заглушка: /opt/etc/openvpn/udhcpc.sh

#!/bin/sh
echo '0='$0 '1='$1 '2='$2 '3='$3 '4='$4 '5='$5


5. Запускаю руками
/opt/sbin/openvpn --config /opt/etc/openvpn/vpn1.ovpn --script-security 3
и получаю такой результат:

[admin@IGORROUTER root]$ /opt/sbin/openvpn --config /opt/etc/openvpn/vpn1.ovpn --script-security 3
Mon Apr 27 20:22:34 2009 OpenVPN 2.1_rc15 mipsel-linux [SSL] [LZO1] [EPOLL] built on Feb 23 2009
Mon Apr 27 20:22:34 2009 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Mon Apr 27 20:22:34 2009 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Mon Apr 27 20:22:34 2009 WARNING: file '/opt/etc/openvpn/vpnclientkey.key' is group or others accessible
Mon Apr 27 20:22:34 2009 ******* WARNING *******: null cipher specified, no encryption will be used
Mon Apr 27 20:22:34 2009 WARNING: file '/opt/etc/openvpn/vpnclientta.key' is group or others accessible
Mon Apr 27 20:22:34 2009 Control Channel Authentication: using '/opt/etc/openvpn/vpnclientta.key' as a OpenVPN static key file
Mon Apr 27 20:22:34 2009 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Apr 27 20:22:34 2009 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Apr 27 20:22:34 2009 Control Channel MTU parms [ L:1557 D:166 EF:66 EB:0 ET:0 EL:0 ]
Mon Apr 27 20:22:34 2009 Data Channel MTU parms [ L:1557 D:1450 EF:25 EB:4 ET:32 EL:0 AF:14/25 ]
Mon Apr 27 20:22:34 2009 Local Options hash (VER=V4): '00f0b98a'
Mon Apr 27 20:22:34 2009 Expected Remote Options hash (VER=V4): '8957e37a'
Mon Apr 27 20:22:34 2009 UDPv4 link local (bound): [undef]:1194
Mon Apr 27 20:22:34 2009 UDPv4 link remote: 10.253.0.18:5051
Mon Apr 27 20:22:34 2009 VERIFY OK: depth=1, /C=US/ST=CA/L=SanFrancisco/O=Fort-Funston/CN=Fort-Funston_CA/emailAddress=me@myhost.mydomain
Mon Apr 27 20:22:34 2009 VERIFY OK: depth=0, /C=US/ST=CA/L=SanFrancisco/O=Fort-Funston/OU=TR/CN=TestVPN/emailAddress=me@myhost.mydomain
Mon Apr 27 20:22:35 2009 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Apr 27 20:22:35 2009 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Apr 27 20:22:35 2009 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Mon Apr 27 20:22:35 2009 [TestVPN] Peer Connection Initiated with 10.253.0.18:5051
Mon Apr 27 20:22:36 2009 TUN/TAP device tap0 opened
Mon Apr 27 20:22:36 2009 /sbin/udhcpc -i tap0 -s /opt/etc/openvpn/udhcpc.sh tap0 1500 1557 init
udhcpc (v0.9.9-pre) started
0=/opt/etc/openvpn/udhcpc.sh 1=deconfig 2= 3= 4= 5=
Sending discover...
Sending discover...
Sending discover...
Sending discover...
Sending discover...
0=/opt/etc/openvpn/udhcpc.sh 1=leasefail 2= 3= 4= 5=
Sending discover...
Sending discover...
. . .

т.е. выполнение зацикливается на
0=/opt/etc/openvpn/udhcpc.sh 1=leasefail 2= 3= 4= 5=
Sending discover...

Помогите настроить это соединение.
Пожалуйста.


PS: Ну или подскажите в какую сторону нужно копать.
У меня уже закончились идеи.

igor77777
28-04-2009, 10:37
Господа, ну выскажите хотя бы свои идеи, по поводу того, что у меня происходит.

Может, кто-то может обяснить, на каком этапе установки соединения происходит остановка.

ХЕЛП! Люди!

igor77777
29-04-2009, 04:56
Ну граждане, товарищи.
Ну неужели нет на форуме людей способных ответить на вроде бы не сложные вопросы?

Или тут остались только читали, писатели все перевелись.... :-(

igor77777
30-04-2009, 16:18
ну народ ну помогите же.
хотя бы кратко, но по-порядку, какие действия нужно предпринять в моем случае, чтобы поднять openvpn клиента в роутере.
Что нужно включить в веб-интерфейсе?
Какие правила прописать в файрволе?
Я уже перечитал весь форум, что касается openvpn и нет только.
И не только форум.
Все должно работать, но не работает? Почему?

На компе подключенном к роутеру по виндой все работает вообще без всяких телодвижений, а тут нет.

nightrus
30-04-2009, 23:13
вот тут все пошагам
http://dd-wrt.com/wiki/index.php/OpenVPN
(да и тут на форуме вроде как было)

igor77777
01-05-2009, 21:53
вот тут все пошагам
http://dd-wrt.com/wiki/index.php/OpenVPN
(да и тут на форуме вроде как было)

Проштудировал и эту инструкцию.
Ещё раз просмотрел мануал на openvpn.net

Вроде все понятно и просто.
Наверно я пропускаю какой-то важный момент.

При изчении tcpdump'а заметил такой момент:

23:43:35.801745 IP manner.rnd.mediazona.ru.5051 > 10.254.0.146.1024: UDP, length: 67
23:43:35.803262 IP 10.254.0.146 > manner.rnd.mediazona.ru: icmp 103: 10.254.0.146 udp port 1024 unreachable
23:43:35.803121 IP contusion.rnd.mediazona.ru.5050 > 10.254.0.146.1024: UDP, length: 85
23:43:35.803858 IP 10.254.0.146 > contusion.rnd.mediazona.ru: icmp 121: 10.254.0.146 udp port 1024 unreachable
23:43:35.803719 IP contusion.rnd.mediazona.ru.5050 > 10.254.0.146.1194: UDP, length: 85
23:43:35.816781 IP contusion.rnd.mediazona.ru.5051 > 10.254.0.146.1024: UDP, length: 85
23:43:35.818083 IP 10.254.0.146 > contusion.rnd.mediazona.ru: icmp 121: 10.254.0.146 udp port 1024 unreachable

contusion.rnd.mediazona.ru и manner.rnd.mediazona.ru - это openvpn сервера.
10.254.0.146 - мой ip в сети провайдера

Может проблема именно в этом?

Что означает это IP 10.254.0.146 > contusion.rnd.mediazona.ru: icmp 121: 10.254.0.146 udp port 1024 unreachable сообщение?

sproot
03-05-2009, 20:34
Тоже самое Sending discover... Сегодня пол дня убил ничего не выходит:mad:

sproot
05-05-2009, 20:46
Вообщем не знаю правильно или нет, методом научного тыка стало соеденяться, что я сделал:

конфиг vpn4.ovpn

dev tap0
client
remote 10.253.0.29 5051
tls-client
cipher none
ca vpnclientca.crt
cert vpnclientcert.crt
key vpnclientkey.key
tls-auth vpnclientta.key 1
proto udp
verb 2
mute 5
keepalive 60 320
dhcp-option DOMAIN vpn
dhcp-option DISABLE-NBT


в post-mount добавил:

/opt/etc/init.d/S20openvpn start

скрипт S20openvpn

#!/bin/sh

# Make device if not present (not devfs)
if ( [ ! -c /dev/net/tun ] ) then
# Make /dev/net directory if needed
if ( [ ! -d /dev/net ] ) then
mkdir -m 755 /dev/net
fi
mknod /dev/net/tun c 10 200
fi

# Make sure the tunnel driver is loaded
if ( !(lsmod | grep -q "^tun") ); then
insmod tun.o
fi



# Start afresh - add as many daemons as you want
/opt/sbin/openvpn --cd /opt/etc/openvpn --daemon --log-append /var/log/openvpn.log --config /opt/etc/openvpn/vpn4.ovpn --script-security 3
echo '0='$0 '1='$1 '2='$2 '3='$3 '4='$4 '5='$5
sleep 30s
/sbin/udhcpc -i tap0 -p /var/run/udhcpc1.pid -s /tmp/udhcpc

# [EOF]

После перезагрузки впн работает.

Вот как бы теперь автоматизировать переподключение при разрыве соединения.

И можно как нибудь сохранять в лог работу скрипта S20openvpn?

YuriZ
13-05-2009, 18:09
Есть задача, решение которой поиск не предлагает.
Приблизительно каждые 2 месяца поднимается вопрос о создании тунеля дом - работа. Причем в большинстве случаев в качестве устройства в офисе стоит какой-то маршрутизатор с родной поддержкой VPN (в моем случае Juniper или в филиале Linksys WRVS4400 которые поднимают VPN без особых усилий со стороны пользователя ;) ).
Может кто-то поделится опытом настройки в виде пошаговой инструкции?
Telnet осилить каждый сможет, и поправив IP адреса и ключ может получить работающую систему. OpenVPN конечно хорошее решение, но SSL VPN не заставить работать в данном случае. Есть еще конечно L2TP или PPTP Passthrough (хотя Linksys QuickVPN так и не удалось заставить работать, даже после танцев с бубном вместе с Linksys'овской техподдержкой), но лучше если наличие VPN прозрачно для пользователей.

sonice
13-05-2009, 18:46
Все уже давно сделано и работает!

Искать тут или в google по слову OpenVPN. И читать, читать, читать!
http://ru.wikipedia.org/wiki/OpenVPN
http://openvpn.net/index.php/documentation/howto.html

Ведь правду говорят что без труда не выловить....

YuriZ
13-05-2009, 19:37
Все уже давно сделано и работает!

Искать тут или в google по слову OpenVPN. И читать, читать, читать!
http://ru.wikipedia.org/wiki/OpenVPN
http://openvpn.net/index.php/documentation/howto.html

Ведь правду говорят что без труда не выловить....

Ответ конечно оооочень содержательный...
Я завел эту ветку специально для того чтобы решить вопрос связи устройств типа WL-500 и маршрутизаторов которые работают в основном только с L2TP и PPTP протоколами. Причем некоторые поддерживают только один протокол одновременно!

Если вы сможете показать, хоть какой нибудь, пример OpenVPN конфига, который свяжет WL-500 и Linksys WRVS4400 или WL-500 и DI-804HV - я поставлю пиво.

Перед тем как писать я естественно зашел на http://openvpn.net/index.php/documentation/manuals/openvpn-21.html .

ЗАДАЧА - есть ли пользователи поднимавшие L2TP тунель на WL-500? Какое устройство стояло с другой стороны? И могут ли они поделиться опытом?

razor
13-05-2009, 19:56
а мне лично интересно поднять еще одно впн на рабочий pptp сервер. pppd в коробке за это отвечает?

upd. а не, похоже pptp прям и отвечает %)

похоже что народ не заморачивался подобной идеей. крики есть, ответов нет.
http://wl500g.info/showthread.php?t=18834&highlight=pptp
http://wl500g.info/showthread.php?t=18900&highlight=pptp
http://wl500g.info/showthread.php?t=18957&highlight=pptp

YuriZ
14-05-2009, 07:43
а мне лично интересно поднять еще одно впн на рабочий pptp сервер...

похоже что народ не заморачивался подобной идеей. крики есть, ответов нет.


Об этом и речь! Кроме криков о помощи есть рассуждения что это все с ужасной силой жрет ресурсы CPU, но в терминальной сессии Windows можно комфортно работать начиная со скорости 512К/бит (не с Photoshop конечно, но Word, Excel и бухгалтерско-складские программы работают). И как мне кажется должна быть техническая возможность поднять DES канал. А PPTP вообще можно запустить без шифрования. В большинстве случаев это нужно для 1-2 сессий. Многие скажут что можно использовать специализированные железки, но Dlink глючит и горит как безумный (DIR-330 первый куплен 12 декабря - умер 14, вернулся из сервиса 30 января - умер 28 апреля, второй куплен 13 декабря - умер 20 апреля) Linksys не поддерживает DualPPTP с родной прошивкой, да и практически ни кто из производителей кроме Dlink не делает поддержки DualPPTP в стандартных прошивках.

Есть ли специалисты которые могут собрать нужные модули и написать инструкцию по их применению?

razor
14-05-2009, 19:29
схожая тема
http://wl500g.info/showthread.php?t=19054&highlight=%EE%E4%ED%EE%E2%F0%E5%EC%E5%ED%ED%EE+vpn

вроде пытается поднять, но в логах удаленного сервера голяк.
может и впрямь дело изза

ДА, если в ядре есть модули
ip_conntrack_pptp
ip_conntrack_proto_gre
ip_nat_pptp
ip_nat_proto_gre

Про их наличие в разных версиях прошивок не скажу.
т.к. на 10-ый прошивке у меня
[admin@asusWL root]$ lsmod |grep ip
ip_nat_ftp 3912 0 (unused)
ip_conntrack_ftp 5216 1
ipt_NETMAP 960 2
ip_nat_starcraft 2208 0 (unused)

Wolfgun
15-05-2009, 16:35
А кто нибуть это читал ???
Poptop instal (http://wl500g.info/showthread.php?t=19022)
У меня все работает :) и поверх L2TP

razor
15-05-2009, 17:20
А кто нибуть это читал ???
Poptop instal (http://wl500g.info/showthread.php?t=19022)
У меня все работает :) и поверх L2TP

лично я читал. но у вас, похоже, иная задача. у меня нужно ИЗ серого асуса попасть в белый впн-сервер. а у вас наоборот же.

vectorm
15-05-2009, 17:22
Про нужные модули - к прошивкам Олега и lly прилагаются архивы с дополнительными модулями - возможно там есть то, что требуется.

Wolfgun
15-05-2009, 17:47
лично я читал. но у вас, похоже, иная задача. у меня нужно ИЗ серого асуса попасть в белый впн-сервер. а у вас наоборот же.
О по точнее плз ???

razor
15-05-2009, 19:57
Про нужные модули - к прошивкам Олега и lly прилагаются архивы с дополнительными модулями - возможно там есть то, что требуется.
ссыльте если не трудно. попробую поковырять.


О по точнее плз ???
реального айпи у меня ессесно нет (иначе был бы динднс и просто проброс портов)

поэтому инициировать соединения нужно изнутри, из дому.
вот и пытаюсь подобрать опции для pppd что б связаться изнутри с моим впн сервером на работе. как то так.

Wolfgun
15-05-2009, 20:38
реального айпи у меня ессесно нет (иначе был бы динднс и просто проброс портов)

поэтому инициировать соединения нужно изнутри, из дому.
вот и пытаюсь подобрать опции для pppd что б связаться изнутри с моим впн сервером на работе. как то так.

У меня клиенты сидят в серой сети провайдера и нормально подключаются к VPN серверу. Обратитесь к провайдеру не блокирует он хожение пакетов GRE в своей сети и предоставил Вам NAT порт в порт.
Если VPN сервер находится в серой сетки провайдера, надо опратится к нему что бы предоставил Вам NAT порт в порт или реальный IP.

У меня так L2TP соединение с провайдером > dyndns > конект к VPN серверу по pptpd (poptop) /
Живут 4 ppp соединения все ок, причем три серых два на 3g модемах + 1 из серой сети провайдреа.

vectorm
15-05-2009, 20:47
ссыльте если не трудно. попробую поковырять.

Поиск разве отменяли???
http://code.google.com/p/wl500g/downloads/list - найти там modules-трампампам.tgz
Олеговские тут:
http://oleg.wl500g.info/1.9.2.7-10/modules-1.9.2.7-10.tgz

razor
16-05-2009, 17:21
У меня клиенты сидят в серой сети провайдера и нормально подключаются к VPN серверу. Обратитесь к провайдеру не блокирует он хожение пакетов GRE в своей сети и предоставил Вам NAT порт в порт.
Если VPN сервер находится в серой сетки провайдера, надо опратится к нему что бы предоставил Вам NAT порт в порт или реальный IP.

У меня так L2TP соединение с провайдером > dyndns > конект к VPN серверу по pptpd (poptop) /
Живут 4 ppp соединения все ок, причем три серых два на 3g модемах + 1 из серой сети провайдреа.
я ж грю - у вас ситуация НАОБОРОТ. вы на себе сделали сервер. и имеете реальный айпи.
а я из серой сети хочу подключиться наружу. на рабочий впн-сервер.


Поиск разве отменяли???
http://code.google.com/p/wl500g/downloads/list - найти там modules-трампампам.tgz
Олеговские тут:
http://oleg.wl500g.info/1.9.2.7-10/modules-1.9.2.7-10.tgz
спасибо

razor
16-05-2009, 20:59
ну что, получилось.
косвенно благодаря vectorm за наводку.
может конечно это и не так, но я сделал вывод из его ссылок, что линукс в асусе сроден слакваре.
поэтому искал про пптп именно с ним и наткнулся на статью
http://slackware.tomsk.ru/docs/?p=pptpclient
идем по ней, почти ничего не меняя:

(делал-делал, перегрузился, хоть и с flashfs save && flashfs commit && flashfs enable - всё из /tmp пропало. видимо нужно отталкивацца от файлов на флешке. или если народ знающий поможет, то посоветуйте как элегантней, чем мои костыльки с копированием файлов )

1. в папке /opt/etc создаем папку ppp/peers
2. в ней touch fem (это в моем случае имя такое сделал. делайте что угодно)
с содержанием
pty "pptp АДРЕС УДАЛЕННОГО ВПН --nolaunchpppd"
file /opt/etc/ppp/fem.pptp
3. создаем файл touch /opt/etc/ppp/fem.pptp с содержанием:
lock
noauth
refuse-eap
refuse-chap
refuse-mschap
nobsdcomp
nodeflate
require-mppe-128
nodetach
user ВАШЛОГИННАУДАЛЕННЫЙВПН
debug
mtu 1452
mru 1452
#defaultroute
unit 1
4. создаем файл touch /opt/etc/ppp/chap-secrets с содержанием
"ВАШЛОГИННАУДАЛЕННЫЙВПН" * "ВАШПАРОЛЬ" *
5. chmod 600 /opt/etc/ppp/chap-secrets
6. создаем файл touch /opt/etc/ppp/vpn_start с содержанием
#!/bin/sh

LOG="/var/log/pptp-fem.log"
mkdir -p /tmp/ppp/peers/
cp /opt/etc/ppp/peers/fem /tmp/ppp/peers/fem
cp /opt/etc/ppp/chap-secrets /tmp/ppp/chap-secrets

defgw="ppp0"
newgw="ppp1"
pptp="ppp1"
startpptp()
{
#create new route path
route=/sbin/route
$route add АДРЕС УДАЛЕННОГО ВПН $defgw
pptp=`/sbin/ifconfig |grep ppp1|awk '{print $1}'`
if [ "" = "$pptp" ]
then
echo "Start pptp link"
echo -e "\n========================\n`date`" >> $LOG
pppd call fem >> $LOG
sleep 3
/usr/sbin/iptables -I INPUT -i ppp1 -j ACCEPT
/usr/sbin/iptables -t nat -I POSTROUTING -s ! АЙПИВЫДАННЫЙПРИКОННЕКТЕ -o ppp1 -j MASQUERADE
fi
}

stoppptp()
{
IF=`ifconfig |grep ppp1|awk '{print $1}'`
if [ "" != "$IF" ]
then
INET_IP=`ifconfig ppp1|grep inet|awk '{print $2}'|sed -e s/addr://`
fi
PID=`ps |grep -e 'fem'|awk '{print $1}'`
#
if [ "" != "$PID" ]
then
kill -HUP $PID
sleep 5
route=/sbin/route
$route delete АДРЕС УДАЛЕННОГО ВПН
fi
}

case "$1" in
'start')
startpptp
;;
'stop')
stoppptp
;;
*)
startpptp
esac
exit 0

7.chmod +x /opt/etc/ppp/vpn_start

9. запущаем скрипт и в идеале параллельно смотрим в логи далёкого впн-сервера.
/opt/etc/ppp/vpn_start
10. смотрим результат ifconfig. вуаля :
ppp1 Link encap:Point-Point Protocol
inet addr:10.2.28.2 P-t-P:10.2.29.20 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1452 Metric:1
RX packets:7 errors:0 dropped:0 overruns:0 frame:0
TX packets:7 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:82 (82.0 B) TX bytes:88 (88.0 B)

смотрим netstat -rn
у меня добавляется
10.2.29.20 0.0.0.0 255.255.255.255 UH 40 0 0 ppp1
попингали - всё хорошо.
11. добавил для простоты жизни строчки /usr/sbin/iptables -I INPUT -i ppp1 -j ACCEPT и
/usr/sbin/iptables -t nat -I POSTROUTING -s ! 10.2.28.2 -o ppp1 -j MASQUERADE
в файл vpn_start2 .

------------
терь надо б это всё облагородить в плане автозапускности.
крутил-вертел, решил в крон засунуть. т.к. проверка на повторный запуск в скрипте есть.
если есть идеи - буду рад.

HackVan
20-05-2009, 02:44
Чтобы после перезагрузки твои файлы не исчезали их надо занести в "список файлов" для сохранения в памяти роутера.


echo "/tmp/ppp/peers/fem" >> /usr/local/.files
echo "/tmp/ppp/chap-secrets" >> /usr/local/.files
# и т.д


P.S спасибо за рецепт, сам щас решаю подобную задачу.

razor
20-05-2009, 17:12
однако!
спасиб, буду иметь в виду.

igor77777
01-06-2009, 09:53
Тут описан вариант настройки openvpn-клиента, с которым столкулся я. Основная проблема, которую пришлось решать, это то что ip провайдер раздает с помощью dhcp-сервера, а не средствами openvpn.
1. Установка openvpn
К моменту установки, роутер был прошит прошивкой Олега. Были сделаны начальные настройки. Т.е. работал как минимум mc.
Сама установка.
Тут все просто:

ipkg install openvpn
Возможно, могут понадобиться ещё какие-то пакеты, например awk. Но это все можно поставить при необходимости из репозитария.

В /opt/etc/openvpn/ ложим файлики взятые у провайдера:
vpnclientca.crt
vpnclientcert.crt
vpnclientkey.key
vpnclientta.key

Туда же, ложим конфиг openvpn:
mz.ovpn:


dev tap0
client
remote-random
remote 10.253.0.18 5050
remote 10.253.0.18 5051
remote 10.253.0.18 5050
remote 10.253.0.29 5051
tls-client
cipher none
ca /opt/etc/openvpn/vpnclientca.crt
cert /opt/etc/openvpn/vpnclientcert.crt
key /opt/etc/openvpn/vpnclientkey.key
tls-auth /opt/etc/openvpn/vpnclientta.key 1
proto udp
verb 2
mute 5
keepalive 30 60
up "/opt/etc/openvpn/mz-openvpn.up"
down "/opt/etc/openvpn/mz-openvpn.down"
#dhcp-option DISABLE-NBT
#dhcp-option DOMAIN vpn

log "/opt/var/log/openvpn.log"

Провайдер предоставляет 4 конфига, для подключения к разным портам двух серверов, но я собрал их в один конфиг. Кроме-то пути к ключам и сертификатам, исправлены на "полные", т.е. /opt/etc/openvpn/. Так же указан интерфейс tap0
Ну и два скипта, отрабатывающие при поднятии соединения и при разрыве. Они несут чисто информационную роль. На работу openvpn соединения они не влияют.
mz-openvpn.up


#!/bin/sh
/usr/bin/logger -t $(basename $0) "started [$@]"


mz-openvpn.down


#!/bin/sh
/usr/bin/logger -t $(basename $0) "stoped [$@]"


Не забыть их сделать исполняемыми.

И сам стартовый скрипт /opt/etc/init.d/S20openvpn


#!/bin/sh

NAME="OpenVPN Client"
PIDFILE=/opt/var/run/openvpn-mz.pid

start() {
echo "Starting $NAME... "
/opt/sbin/openvpn --daemon --writepid $PIDFILE --config /opt/etc/openvpn/mz.ovpn --script-security 3
}

stop() {
echo "Shutting down $NAME... "
[ -f ${PIDFILE} ] && kill `cat ${PIDFILE}`
}

case "$1" in
start)
start
;;
stop)
stop
;;
restart)
stop
sleep 1
start
;;
*)
echo "Usage: $0 (start|stop|restart)"
exit 1
;;
esac
exit 0



2. Изменения в скриптах
Для того чтобы все работало нужно внести некоторые изменения в предопределенные скрипты:
В post-boot

# для работы openvpn
insmod tun.o


В post-mount

# создаю интерфейс для дальнешего запуска opnvpn на нём
/opt/sbin/openvpn --mktun --dev tap0
ifconfig tap0 0.0.0.0 promisc up


3. Настройка dhcp-клиента (udhcpc)
В роутере используется udhcpc и другого клиента найти я не смог. Но поскольку встроенный клиент ни чего не знает про tap0, я добавил типовые скрипты udhcpc. (я их подсмотрел в ubuntu).
Итак.
Создаем каталог /opt/etc/udhcpc и ложим туда следующие файлы:
default.script


#!/bin/sh
# Currently, we only dispatch according to command. However, a more
# elaborate system might dispatch by command and interface or do some
# common initialization first, especially if more dhcp event notifications
# are added.

exec /opt/etc/udhcpc/default.$1


default.bound


#!/bin/sh
# Sample udhcpc bound/renew script

# Uncomment this to allow dhcpcd to set hostname of the host to the
# hostname option supplied by DHCP server.
#SET_HOSTNAME='yes'

RESOLV_CONF="/etc/resolv.conf1"

[ -n "$broadcast" ] && BROADCAST="broadcast $broadcast"
[ -n "$subnet" ] && NETMASK="netmask $subnet"

/sbin/ifconfig $interface $ip $BROADCAST $NETMASK

if [ -n "$hostname" -a -n "$SET_HOSTNAME" ]
then
local current_hostname=$(hostname)
if [ -z "$current_hostname" -o "$current_hostname" = "(none)" ]; then
hostname "$hostname"
fi
fi

if [ -n "$router" ]
then
echo "Resetting default routes"
for i in `/sbin/route -n | grep ^default.*$interface`
do
route del default gw 0.0.0.0 dev $interface
done

for i in $router
do
/sbin/route add default gw $i dev $interface
done
fi

# Update resolver configuration file
R=""
[ -n "$domain" ] && R="domain $domain
"
for i in $dns
do
echo adding dns $i
R="${R}nameserver $i
"
done

if [ -x /sbin/resolvconf ] ; then
echo -n "$R" | resolvconf -a "${interface}.udhcpc"
else
echo -n "$R" > "$RESOLV_CONF"
fi

#/tmp/local/sbin/post-firewall `basename $0` $argument
if [ -e /opt/etc/udhcpc/firewall-tap0.sh ]
then
/opt/etc/udhcpc/firewall-tap0.sh
fi



default.deconfig


#!/bin/sh
# Sample udhcpc deconfig script

if [ -x /sbin/resolvconf ] ; then
resolvconf -d "${interface}.udhcpc"
fi
/sbin/ifconfig $interface 0.0.0.0



default.leasefail


#!/bin/sh
# Sample udhcpc leasefail script

echo Lease failed: $message


default.nak


#!/bin/sh
# Sample udhcpc nak script

echo Received a NAK: $message


default.renew


#!/bin/sh
# Sample udhcpc bound/renew script

# Uncomment this to allow dhcpcd to set hostname of the host to the
# hostname option supplied by DHCP server.
#SET_HOSTNAME='yes'

RESOLV_CONF="/etc/resolv.conf1"

[ -n "$broadcast" ] && BROADCAST="broadcast $broadcast"
[ -n "$subnet" ] && NETMASK="netmask $subnet"

/sbin/ifconfig $interface $ip $BROADCAST $NETMASK

if [ -n "$hostname" -a -n "$SET_HOSTNAME" ]
then
local current_hostname=$(hostname)
if [ -z "$current_hostname" -o "$current_hostname" = "(none)" ]; then
hostname "$hostname"
fi
fi

if [ -n "$router" ]
then
echo "deleting routers"
while /sbin/route del default gw 0.0.0.0 dev $interface
do :
done

for i in $router
do
/sbin/route add default gw $i dev $interface
done
fi

# Update resolver configuration file
R=""
[ -n "$domain" ] && R="domain $domain
"
for i in $dns
do
echo adding dns $i
R="${R}nameserver $i
"
done

if [ -x /sbin/resolvconf ] ; then
echo -n "$R" | resolvconf -a "${interface}.udhcpc"
else
echo -n "$R" > "$RESOLV_CONF"
fi


#if [ -e /opt/etc/udhcpc/firewall-tap0.sh ]
#then
# /opt/etc/udhcpc/firewall-tap0.sh
#fi


В эти скрипты были внесены следующие изменения:
Во первых, мне не нужно было менять файл resolv.conf, поэтому в скриптах я исправил его на resolv.conf1
Во вторых, в скрипт bound, добавил запуск скрипта, который добавляет правила для интерфейса tap0 с iptables

Теперь скрипт запуска udhcpc на интерфейсе tap0.
/opt/etc/init.d/S11udhcpc-mz


#!/bin/sh

NAME="UDHCPC for openvpn on MediaZona"

start() {
echo "Starting $NAME... "
/sbin/udhcpc -i tap0 -p /var/run/udhcpc-mz.pid -s /opt/etc/udhcpc/default.script -b

}

stop() {
echo "Shutting down $NAME... "
cat /var/run/udhcpc-mz.pid | xargs -i kill -TERM {}
}

case "$1" in
start)
start
;;
stop)
stop
;;
restart)
stop
sleep 1
start
;;
*)
echo "Usage: $0 (start|stop|restart)"
exit 1
;;
esac
exit 0


продолжение в следующем сообщении....

igor77777
01-06-2009, 09:55
4. Firewall (iptables)
После того, как openvpn соединился нужно добавить соотвествующие правила в iptables. Так же, нужно добавлять правила, если произошло переподключение pppoe соединения, т.к. в этом случае таблицы iptables, перестраиваются самим роутером. Для этого я написал скрипт, который вызывается из скрипта bound после получения ip на tap0 и из post-firewall. В скрипте создаются свои цепочки, для обработки пакетов идущих на tap0 или с него. В скрипте создаются правила, аналогичные тем что создает роутер для интерфейсов ppp0 и vlan1
Сам скрипт:
firewall-tap0.sh


#!/bin/sh

#
TAP0IF="tap0"

# Пути к утилитам
IPT="iptables"
IFC="ifconfig"
G="grep"
SED="sed"
AWK="awk"
ECHO="echo"

# функция проверки IP передан в параметре или нет
test_ip1 () {
echo $1 | awk -F "." '{if ( NF != 4 ) print "It is not an IP-address";
else if ( $1 > 0 && $1 < 255 && $2 >=0 && $2 < 255 && $3 >=0 && $3 < 255 && $4 > 0 && $4 < 255 ) print "It is a right IP-address";
else print "It is not a valid IP-address"}'
}
test_ip () {
echo $1 | awk -F "." '{if ( NF != 4 ) exit 1;
else if ( $1 > 0 && $1 < 255 && $2 >=0 && $2 < 255 && $3 >=0 && $3 < 255 && $4 > 0 && $4 < 255 ) exit 0;
else exit 1}'
}



# Устанавливаем переменные окружения, описывающие внутренний интерфейс
TAP0IP="`$IFC $TAP0IF|$AWK /$TAP0IF/'{next}//{split($0,a,":");split(a[2],a," ");print a[1];exit}'`"

TAP0BC="`$IFC $TAP0IF|$AWK /$TAP0IF/'{next}//{split($0,a,":");split(a[3],a," ");print a[1];exit}'`"
TAP0MSK="`$IFC $TAP0IF|$AWK /$TAP0IF/'{next}//{split($0,a,":");split(a[4],a," ");print a[1];exit}'`"
TAP0NET="$TAP0IP/$TAP0MSK"
#echo "TAP0IP=$TAP0IP TAP0BC=$TAP0BC TAP0MSK=$TAP0MSK TAP0NET=$TAP0NET"
#test_ip $TAP0IP
#echo $?

test_ip $TAP0IP
ISIP=$?

if [ $TAP0IP != "0.0.0.0" ] && [ $ISIP -eq 0 ]
then

# вначале удаляю ссылки на мои цепочки
$IPT -t nat -D PREROUTING -i $TAP0IF -j tap0prerouting
$IPT -t nat -D POSTROUTING -o $TAP0IF -j tap0postrouting
$IPT -D INPUT -i $TAP0IF -j tap0input
$IPT -D FORWARD -i $TAP0IF -j tap0forward
$IPT -D FORWARD -o $TAP0IF -j tap0forward

# далее очищаю цепочки и удаляю их
$IPT -t nat -F tap0prerouting
$IPT -t nat -F tap0postrouting
$IPT -F tap0input
$IPT -F tap0forward
$IPT -t nat -X tap0prerouting
$IPT -t nat -X tap0postrouting
$IPT -X tap0input
$IPT -X tap0forward

# далее создаю эти цепочки по новой
$IPT -t nat -N tap0prerouting
$IPT -t nat -N tap0postrouting
$IPT -N tap0input
$IPT -N tap0forward

# прописываю переходы на эти цепочки в начало соответствужших цепочек
$IPT -t nat -I PREROUTING -i $TAP0IF -j tap0prerouting
$IPT -t nat -I POSTROUTING -o $TAP0IF -j tap0postrouting
$IPT -I INPUT -i $TAP0IF -j tap0input
$IPT -I FORWARD -i $TAP0IF -j tap0forward
$IPT -I FORWARD -o $TAP0IF -j tap0forward

# далее добавляю правила аналогичные правилам типовым правилам для этих цепочек
# плюс свои правила
#echo 1
# 1. своя цепочка INPUT
$IPT -A tap0input -m state --state INVALID -j DROP
$IPT -A tap0input -m state --state ESTABLISHED,RELATED -j ACCEPT
# открываю порт для торрента 12345 и порт DHT для rTorrent
$IPT -A tap0input -p tcp -m tcp -d $TAP0IP --dport 12345 -j ACCEPT
$IPT -A tap0input -p udp -m udp -d $TAP0IP --dport 51780 -j ACCEPT
$IPT -A tap0input -j RETURN

#echo 2
# 2. своя цепочка FORWARD
$IPT -A tap0forward -m state --state INVALID -j DROP
$IPT -A tap0forward -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A tap0forward -o $TAP0IF ! -i br0 -j DROP
$IPT -A tap0forward -m conntrack --ctstate DNAT -j ACCEPT
$IPT -A tap0forward -o br0 -j DROP
$IPT -A tap0forward -j RETURN

#echo 3
# 3. своя цепочка PREROUTING
$IPT -t nat -A tap0prerouting -d $TAP0IP -j VSERVER
$IPT -t nat -A tap0prerouting -j RETURN

#echo 4
# 4. своя цепочка POSTROUTING
$IPT -t nat -A tap0postrouting -o $TAP0IF ! -s $TAP0IP -j MASQUERADE
$IPT -t nat -A tap0postrouting -j RETURN


# осталось от экпериментов
# открываю порты для rTorrenta
#P=12345
#$IPT -I INPUT 6 -p tcp -m tcp -d 192.168.1.1 --dport $P -j ACCEPT
#$IPT -t nat -A PREROUTING -i ppp0 -p tcp --dport $P -j DNAT --to-destination 192.168.1.1:$P
#$IPT -t nat -A PREROUTING -i tap0 -p tcp --dport $P -j DNAT --to-destination 192.168.1.1:$P
#
#PDHT=51780
#$IPT -I INPUT 6 -p udp -m udp -d 192.168.1.1 --dport $PDHT -j ACCEPT
#$IPT -t nat -A PREROUTING -i ppp0 -p udp --dport $PDHT -j DNAT --to-destination 192.168.1.1:$PDHT
#$IPT -t nat -A PREROUTING -i tap0 -p udp --dport $PDHT -j DNAT --to-destination 192.168.1.1:$PDHT

fi



и добавляем его вызов в post-firewall


#!/bin/sh
/usr/bin/logger -t $(basename $0) "started [$@]"


PPP0IP=$2
VLAN1IP=$6
BR0IP=$4

# прописываю свои dns сервера
# закоментарил сервера, которые мне по идее не нужных и сейчас скорее всего не доступны.
# Перепиcать, так чтобы провелись на доступность и добавлялись новые, и не удалялись старые
#echo "nameserver 10.253.0.15" > /etc/resolv.conf
#echo "nameserver 10.253.0.2" >> /etc/resolv.conf
echo "nameserver 93.178.96.12" > /etc/resolv.conf
echo "nameserver 93.178.96.10" >> /etc/resolv.conf
echo "nameserver 208.67.222.222" >> /etc/resolv.conf
echo "nameserver 208.67.220.220" >> /etc/resolv.conf

# добавляю порты для rTorrenta 12345 и порт для DHT
iptables -I INPUT 2 -p tcp -m tcp -d $PPP0IP --dport 12345 -j ACCEPT
iptables -I INPUT 3 -p udp -m udp -d $PPP0IP --dposr 51780 -j ACCEPT


# добавляю правила для tap0 на данный момент добавление правил должно выполняться после добавления каких либо других правил
if [ -e /opt/etc/udhcpc/firewall-tap0.sh ]
then
/opt/etc/udhcpc/firewall-tap0.sh
fi


Я привел свой post-firewall полность, чтобы было понятно, почему я не использую resolv.conf
На мой взгляд вызов скрипта firewall-tap0.sh должент быть последним, чтобы все остальные правила на других интерфейсах, были уже созданы.

Solvek
03-06-2009, 11:01
Существует ли принципиальная возможность подключить мой компьютер с оффиса в локальную домашнюю сеть на базе WL520Gu? (ну там VPN...)

Дома интернет через Ethernet, на роутере статический, "белый" IP адресс.
На работе все закрыто фаерволом, но некоторые порты открыты наружу, компьютер за натом.

Прошивка на роутере официальная (вер. 3.0.0.8).
Хотелось бы иметь возможность потключаться к домашней сети, даже если включен только роутер.

Solvek
03-06-2009, 16:32
Прошу прощения за настойчивость.... может все таки ктонибуть знает ответ на мои вопросы случайно?

Спасибо большое.

avk
03-06-2009, 16:50
Прошу прощения за настойчивость.... может все-таки кто-нибудь знает ответ на мои вопросы случайно?

Спасибо большое.

Вам придется забыть про официальную прошивку.
А ключевое слово для поиска OpenVPN.

Solvek
03-06-2009, 17:18
Вам придется забыть про официальную прошивку.
А ключевое слово для поиска OpenVPN.

По OpenVPN искал. Там описывается для wl500gp. Вот я не уверен что это актуално для моего девайса, так как в нем флеш памяти вдвое меньше и есть сомнения что OpenVPN поместиться (собственно хотел услышать подтверждение или опровержение моих допущений)

Кстати, какая самая актуальная прошива от Олега? Что лучше 10 или 10a?

Nitrogen
03-06-2009, 17:58
99% порты закрыты так, что впн-соединение не установить.
а вот 443 порт скорее всего открыт.
ssh-туннель с работы домой, а дальше проброс нужных портов, не думаю что на работе необходим прям такой полный доступ

avk
03-06-2009, 18:58
По OpenVPN искал. Там описывается для wl500gp. Вот я не уверен что это актуално для моего девайса, так как в нем флеш памяти вдвое меньше и есть сомнения что OpenVPN поместиться (собственно хотел услышать подтверждение или опровержение моих допущений)
Установка возможна на внешнюю флешку. С точки зрения установки программ, принципиальной разницы нет.

Кстати, какая самая актуальная прошива от Олега? Что лучше 10 или 10a?

10a - более поздняя версия.

Solvek
03-06-2009, 19:10
99% порты закрыты так, что впн-соединение не установить.
а вот 443 порт скорее всего открыт.
ssh-туннель с работы домой, а дальше проброс нужных портов, не думаю что на работе необходим прям такой полный доступ

да, именно 443 открыт, как минимум. Действительно, может и не нужно комп включать в сетку, и про SSH тунель я уже читал, возможно это то, что может мне помочь.

Только вот мне хотелось бы знать, возможно ли при использовании SSH тунеля будет инициировать связь с рабочим компьютером с компьютеров домашней локалки?

brainm
18-08-2009, 13:31
По одному из мануалов, которые писались тут - настроил на одном роутере OpenVPN сервер, на другом клиент. Соединение происходит успешно, лог никаких ошибок не выдаёт. На роутере-клиенте присутствует сеть, traceroute показывает, что пакеты идут правильно. Вот конфигурация:

Server:

$ cat /opt/etc/openvpn/server.conf
dev tun0
port 5190
proto tcp-server
ifconfig 10.8.0.1 10.8.0.2
secret static.key

$ route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.8.0.2 * 255.255.255.255 UH 0 0 0 tun0
172.25.72.1 * 255.255.255.255 UH 0 0 0 vlan1
172.25.72.0 * 255.255.255.224 U 0 0 0 vlan1
192.168.1.0 * 255.255.255.0 U 0 0 0 br0
172.16.0.0 172.25.72.1 255.240.0.0 UG 0 0 0 vlan1
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default 172.25.72.1 0.0.0.0 UG 0 0 0 vlan1
где 172.25.72.1 - шлюз провайдера в сети которого связаны два роутера

Client:

$ cat /opt/etc/openvpn/server.conf
remote 172.25.72.11
dev tun0
port 5190
proto tcp-client
ifconfig 10.8.0.2 10.8.0.1
secret static.key
daemon
redirect-gateway

$ route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.0.254 * 255.255.255.255 UH 0 0 0 vlan1
10.8.0.1 * 255.255.255.255 UH 0 0 0 tun0
172.25.72.11 192.168.0.254 255.255.255.255 UGH 0 0 0 vlan1
192.168.1.0 WL-00248C0B1D86 255.255.255.0 UG 0 0 0 br0
192.168.1.0 * 255.255.255.0 U 0 0 0 br0
192.168.0.0 * 255.255.255.0 U 0 0 0 vlan1
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default 10.8.0.1 0.0.0.0 UG 0 0 0 tun0
где 192.168.0.254 - шлюз по которому роутер клиент попадает в бо'льшую сеть провайдера, где коннектится к 172.25.72.11

Итак, надо чтобы те, кто подключаются к роутеру-клиенту по DHCP получали интернет, который уже есть в роутере-клиенте. Как я понимаю вопрос просто правильной маршрутизации, но какой?

net_net
11-09-2009, 10:58
надо добавить что-типа этого
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 10.8.0.2

walkera
25-09-2009, 17:01
Перечитал все ветки по openvpn на форуме...
Убил кучу времени но так и ничего не выходит...

пробывал разные роутинги но ничего не вышло..
помогите..

[root@WL-0022152B6042 openvpn]$ /opt/sbin/openvpn --config /opt/etc/openvpn/mz.ovpn --script-security 3
Fri Sep 25 18:38:39 2009 OpenVPN 2.1_rc15 mipsel-linux [SSL] [LZO1] [EPOLL] built on Feb 23 2009
Fri Sep 25 18:38:39 2009 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Fri Sep 25 18:38:39 2009 WARNING: file '/opt/etc/openvpn/Luxemburg-Switzerland.key' is group or others accessible
Fri Sep 25 18:38:39 2009 Control Channel MTU parms [ L:1573 D:138 EF:38 EB:0 ET:0 EL:0 ]
Fri Sep 25 18:38:39 2009 Data Channel MTU parms [ L:1573 D:1450 EF:41 EB:4 ET:32 EL:0 ]
Fri Sep 25 18:38:39 2009 Local Options hash (VER=V4): '2c50bd2c'
Fri Sep 25 18:38:39 2009 Expected Remote Options hash (VER=V4): '0ddbb6e3'
Fri Sep 25 18:38:39 2009 Socket Buffers: R=[65535->131070] S=[65535->131070]
Fri Sep 25 18:38:39 2009 UDPv4 link local: [undef]
Fri Sep 25 18:38:39 2009 UDPv4 link remote: 212.123.170.162:1195
Fri Sep 25 18:38:39 2009 TLS: Initial packet from 212.123.170.162:1195, sid=b5331490 f7703835
Fri Sep 25 18:38:39 2009 VERIFY OK: depth=1, /C=NA/ST=NA/L=NA/O=vpn-service/CN=vpn-service_CA/emailAddress=admin@vpn.com
Fri Sep 25 18:38:39 2009 VERIFY OK: nsCertType=SERVER
Fri Sep 25 18:38:39 2009 VERIFY OK: depth=0, /C=NA/ST=NA/L=NA/O=vpn-service/CN=server/emailAddress=admin@vpn-service.us
Fri Sep 25 18:38:41 2009 WARNING: 'dev-type' is used inconsistently, local='dev-type tap', remote='dev-type tun'
Fri Sep 25 18:38:41 2009 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1573', remote='link-mtu 1446'
Fri Sep 25 18:38:41 2009 WARNING: 'tun-mtu' is used inconsistently, local='tun-mtu 1532', remote='tun-mtu 1400'
Fri Sep 25 18:38:41 2009 WARNING: 'comp-lzo' is present in remote config but missing in local config, remote='comp-lzo'
Fri Sep 25 18:38:41 2009 WARNING: 'mtu-dynamic' is present in remote config but missing in local config, remote='mtu-dynamic'
Fri Sep 25 18:38:41 2009 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Sep 25 18:38:41 2009 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Sep 25 18:38:41 2009 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Sep 25 18:38:41 2009 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Sep 25 18:38:41 2009 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Fri Sep 25 18:38:41 2009 [server] Peer Connection Initiated with 212.117.170.162:1195
Fri Sep 25 18:38:42 2009 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Fri Sep 25 18:38:42 2009 PUSH: Received control message: 'PUSH_REPLY,route-gateway 10.35.255.254,dhcp-option DNS 10.35.255.254,dhcp-option DNS 85.117.143.192,route-delay 2,redirect-gateway def1 bypass-dhcp,topology subnet,ping 30,ping-restart 120,ifconfig 10.35.0.74 255.255.0.0'
Fri Sep 25 18:38:42 2009 OPTIONS IMPORT: timers and/or timeouts modified
Fri Sep 25 18:38:42 2009 OPTIONS IMPORT: --ifconfig/up options modified
Fri Sep 25 18:38:42 2009 OPTIONS IMPORT: route options modified
Fri Sep 25 18:38:42 2009 OPTIONS IMPORT: route-related options modified
Fri Sep 25 18:38:42 2009 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Fri Sep 25 18:38:42 2009 ROUTE default_gateway=192.168.0.1
Fri Sep 25 18:38:42 2009 TUN/TAP device tap0 opened
Fri Sep 25 18:38:42 2009 TUN/TAP TX queue length set to 100
Fri Sep 25 18:38:42 2009 /sbin/ifconfig tap0 10.35.0.74 netmask 255.255.0.0 mtu 1500 broadcast 10.35.255.255
Fri Sep 25 18:38:44 2009 /sbin/route add -net 212.117.170.162 netmask 255.255.255.255 gw 192.168.0.1
Fri Sep 25 18:38:44 2009 /sbin/route add -net 0.0.0.0 netmask 128.0.0.0 gw 10.35.255.254
Fri Sep 25 18:38:44 2009 /sbin/route add -net 128.0.0.0 netmask 128.0.0.0 gw 10.35.255.254
Fri Sep 25 18:38:44 2009 Initialization Sequence Completed


впн устанавливается , после чего пропадает сразу инет...
подскажите куда смотреть?

таким образом тоже пробывал:
/opt/sbin/openvpn --mktun --dev tap0
ifconfig tap0 0.0.0.0 promisc up
/sbin/udhcpc -i tap0 -p /var/run/udhcpc1.pid -s /tmp/udhcpc -b
результат нулевой.

в постбуте следующее:
# Make device if not present (not devfs)
if ( [ ! -c /dev/net/tun ] ) then
# Make /dev/net directory if needed
if ( [ ! -d /dev/net ] ) then
mkdir -m 755 /dev/net
fi
mknod /dev/net/tun c 10 200
fi

# Make sure the tunnel driver is loaded
if ( !(lsmod | grep -q "^tun") ); then
insmod tun.o
fi

OlegaVB
25-09-2009, 17:16
А что Вы хотите? Откуда, в какую сеть? Конфигурацию сети опишите. И конфиг OpenVPN тоже.

walkera
25-09-2009, 17:25
хочу чтобы клиенты WL500 шли в сеть уже под впном.
для сокрытия своего реального айпи.

конф:

client
dev tap0
proto udp
remote 212.117.XX.XX
port 1195

verb 3
nobind
ca /opt/etc/openvpn/ca.crt
cert /opt/etc/openvpn/1.crt
key /opt/etc/openvpn/1.key
persist-key
persist-tun
ns-cert-type server

OlegaVB
25-09-2009, 17:30
А вот это откуда берется:

Fri Sep 25 18:38:44 2009 /sbin/route add -net 212.117.170.162 netmask 255.255.255.255 gw 192.168.0.1
Fri Sep 25 18:38:44 2009 /sbin/route add -net 0.0.0.0 netmask 128.0.0.0 gw 10.35.255.254
Fri Sep 25 18:38:44 2009 /sbin/route add -net 128.0.0.0 netmask 128.0.0.0 gw 10.35.255.254
Конфиг сервера давайте. tap0 должен быть шлюзом по умолчанию для клиента.

walkera
25-09-2009, 17:43
сам openvpn выдает....

дело в том что это VPN сервис купленый...

и конфига сервера у меня нет...

да и эти роутинги можно удалить при желании... щас попробую...

итак.. запустил openvpn... после чего сделал:
route del -net 212.117.170.162 netmask 255.255.255.255 gw 192.168.0.1
route del -net 0.0.0.0 netmask 128.0.0.0 gw 10.35.255.254
route del -net 128.0.0.0 netmask 128.0.0.0 gw 10.35.255.254

сам Open Отвалился... инет заработал.. но без впна естественно...
Fri Sep 25 19:30:04 2009 Initialization Sequence Completed
Fri Sep 25 19:30:20 2009 read UDPv4 [EHOSTUNREACH|EHOSTUNREACH]: No route to host (code=148)
Fri Sep 25 19:30:26 2009 read UDPv4 [EHOSTUNREACH|EHOSTUNREACH]: No route to host (code=148)
Fri Sep 25 19:30:29 2009 read UDPv4 [EHOSTUNREACH|EHOSTUNREACH|EHOSTUNREACH]: No route to host (code=148)
Fri Sep 25 19:30:32 2009 read UDPv4 [EHOSTUNREACH|EHOSTUNREACH|EHOSTUNREACH]: No route to host (code=148)
Fri Sep 25 19:30:35 2009 read UDPv4 [EHOSTUNREACH|EHOSTUNREACH|EHOSTUNREACH]: No route to host (code=148)
Fri Sep 25 19:30:38 2009 read UDPv4 [EHOSTUNREACH|EHOSTUNREACH|EHOSTUNREACH]: No route to host (code=148)

walkera
25-09-2009, 17:52
Таблица роутинга до запуска openvpn:

192.168.0.1 * 255.255.255.255 UH 0 0 0 WAN eth1
192.168.0.0 * 255.255.255.0 U 0 0 0 LAN br0
192.168.0.0 * 255.255.255.0 U 0 0 0 WAN eth1
default 192.168.0.1 0.0.0.0 UG 0 0 0 WAN eth1

(инет подхватывается с другой точки доступа)

Таблица после запуска Open'a:

192.168.0.1 * 255.255.255.255 UH 0 0 0 WAN eth1
212.117.170.162 192.168.0.1 255.255.255.255 UGH 0 0 0 WAN eth1
192.168.0.0 * 255.255.255.0 U 0 0 0 LAN br0
192.168.0.0 * 255.255.255.0 U 0 0 0 WAN eth1
10.35.0.0 * 255.255.0.0 U 0 0 0 WAN tap0
default 10.35.255.254 128.0.0.0 UG 0 0 0 WAN tap0
128.0.0.0 10.35.255.254 128.0.0.0 UG 0 0 0 WAN tap0
default 192.168.0.1 0.0.0.0 UG 0 0 0 WAN eth1

OlegaVB
25-09-2009, 18:06
Если
сам openvpn выдает....

дело в том что это VPN сервис купленый...
Так попросите у них правильный конфиг для клиента.

walkera
25-09-2009, 20:54
Если
Так попросите у них правильный конфиг для клиента.

А чем он неправильный? С компьютера работает прекрасно все..

OlegaVB
26-09-2009, 06:06
А чем он неправильный? С компьютера работает прекрасно все..

Тогда и с роутера должен работать. Он и работает - соединение же устанавливается.
Опишите конкретнее что Вы хотите.
Что значит

впн устанавливается , после чего пропадает сразу инет...
Пинг с роутера на ya.ru проходит?

Power
26-09-2009, 14:44
1. Вы не пробовали обратить внимание на следующие предупреждения и изменить свой конфиг соответственно?


Fri Sep 25 18:38:41 2009 WARNING: 'dev-type' is used inconsistently, local='dev-type tap', remote='dev-type tun'
Fri Sep 25 18:38:41 2009 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1573', remote='link-mtu 1446'
Fri Sep 25 18:38:41 2009 WARNING: 'tun-mtu' is used inconsistently, local='tun-mtu 1532', remote='tun-mtu 1400'
Fri Sep 25 18:38:41 2009 WARNING: 'comp-lzo' is present in remote config but missing in local config, remote='comp-lzo'
Fri Sep 25 18:38:41 2009 WARNING: 'mtu-dynamic' is present in remote config but missing in local config, remote='mtu-dynamic'


2.
Таблица роутинга до запуска openvpn:


192.168.0.1 * 255.255.255.255 UH 0 0 0 WAN eth1
192.168.0.0 * 255.255.255.0 U 0 0 0 LAN br0
192.168.0.0 * 255.255.255.0 U 0 0 0 WAN eth1
default 192.168.0.1 0.0.0.0 UG 0 0 0 WAN eth1

(инет подхватывается с другой точки доступа)

Таблица после запуска Open'a:


192.168.0.1 * 255.255.255.255 UH 0 0 0 WAN eth1
212.117.170.162 192.168.0.1 255.255.255.255 UGH 0 0 0 WAN eth1
192.168.0.0 * 255.255.255.0 U 0 0 0 LAN br0
192.168.0.0 * 255.255.255.0 U 0 0 0 WAN eth1
10.35.0.0 * 255.255.0.0 U 0 0 0 WAN tap0
default 10.35.255.254 128.0.0.0 UG 0 0 0 WAN tap0
128.0.0.0 10.35.255.254 128.0.0.0 UG 0 0 0 WAN tap0
default 192.168.0.1 0.0.0.0 UG 0 0 0 WAN eth1

Маршруты вроде нормальные (те, что добавляет openvpn - нужны, это как раз шлюз по умолчанию и маршрут до сервера в обход нового шлюза). Только мне кажуттся странными два маршрута


192.168.0.0 * 255.255.255.0 U 0 0 0 LAN br0
192.168.0.0 * 255.255.255.0 U 0 0 0 WAN eth1

Получается, у вас сеть 192.168.0.0/24 висит на двух интерфейсах.

3. Возможно, у вас проблемы с ДНС. попробуйте попинговать что-нибудь по IP-адресу.

4. Возможно, нужно настроить iptables (например, NAT). Покажите, что выводит "iptables-save" при установленном openvpn-соединении.

walkera
26-09-2009, 16:17
Что касается ДНСов похоже все впорядке:

[root@WL-0022152B6042 root]$ ping ya.ru
PING ya.ru (77.88.21.8): 56 data bytes

--- ya.ru ping statistics ---
6 packets transmitted, 0 packets received, 100% packet loss
[root@WL-0022152B6042 root]$


Далее вывод ip-tables... 192.168.0.111 ip самого роутера при подключении к другому вайфай роутеру.


[root@WL-0022152B6042 root]$ iptables-save
# Generated by iptables-save v1.2.7a on Sat Sep 26 17:54:54 2009
*nat
:PREROUTING ACCEPT [27:3491]
:POSTROUTING ACCEPT [76:4662]
:OUTPUT ACCEPT [77:4990]
:VSERVER - [0:0]
-A PREROUTING -d 192.168.0.111 -j VSERVER
-A PREROUTING -d 192.168.0.111 -p udp -m udp --sport 6112 -j NETMAP --to 192.168.0.0/24
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -p udp -m udp --dport 6112 -j NETMAP --to 192.168.0.111/32
-A POSTROUTING -s ! 192.168.0.111 -o eth1 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -o br0 -j MASQUERADE
COMMIT
# Completed on Sat Sep 26 17:54:54 2009
# Generated by iptables-save v1.2.7a on Sat Sep 26 17:54:54 2009
*mangle
:PREROUTING ACCEPT [1224:106043]
:INPUT ACCEPT [1204:103666]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1244:121406]
:POSTROUTING ACCEPT [1244:121406]
COMMIT
# Completed on Sat Sep 26 17:54:54 2009
# Generated by iptables-save v1.2.7a on Sat Sep 26 17:54:54 2009
*filter
:INPUT ACCEPT [1204:103666]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1244:121406]
COMMIT
# Completed on Sat Sep 26 17:54:54 2009



Пробывал все различные вариации указания ip-tables которые были на форуме непомогло... если только подскажите чтото конкретное...

Что касается варнингов openvpn'a но не думаю что проблема в этом...
Просто в роутере впн немного урезанный получается.. и не все опции конфига понимаю... но надпись Peer connection initiated свидетельствует о том , что впн соединение установлено.

Что касется этого:
192.168.0.0 * 255.255.255.0 U 0 0 0 LAN br0
192.168.0.0 * 255.255.255.0 U 0 0 0 WAN eth1

как я лично понял.. то это для юзеров, которые подключаются к точке через лан, и через wan...... могу ошибаться в этом...

спасибо за помощь.... очень хотелось бы разобраться в чем трабла тут.

Power
26-09-2009, 17:36
Тогда я даже не знаю... Учитывая, что ДНС у вас работает, могу лишь предположить, что что-то не так на стороне сервера.

Вот ещё что. Попробуйте тип туннеля сменить с tap на tun.

walkera
26-09-2009, 18:13
Тогда я даже не знаю... Учитывая, что ДНС у вас работает, могу лишь предположить, что что-то не так на стороне сервера.

Вот ещё что. Попробуйте тип туннеля сменить с tap на tun.

пробывал уже.... не помогло...

Kugel
05-10-2009, 06:38
устанавливаю соединение с MS RRAS , но ! , он не получает IP,
лог - A connection has been established on port VPN3-12 using interface MyVPN, but no IP address was obtained.
а параметров "remoteip" "localip",как в pptpd, нету, как можно решить или обойти эту ситуацию ?

razor
06-10-2009, 07:34
устанавливаю соединение с MS RRAS , но ! , он не получает IP,
лог - A connection has been established on port VPN3-12 using interface MyVPN, but no IP address was obtained.
а параметров "remoteip" "localip",как в pptpd, нету, как можно решить или обойти эту ситуацию ?

а если с винды подымаецца и выдаецца ?

johnson
18-10-2009, 07:09
подключение через L2TP к провайдеру, надо ещё один VPN подключить, как сделать? на компе то понятно, а вот чтобы поднять его сразу на маршрутизаторе...

Lupo_Alberto
18-10-2009, 08:24
Установить пакет openvpn, руководствуясь примерами конфигурационных файлов, находящихся в нём, создать два набора собственных. Поместить, к примеру, настройки первого соединения в /opt/etc/openvpn_1, а для второго - в /opt/etc/openvpn_2. Отредактировать скрипт запуска:
Закомментировать в нём


# I you want a standalone server (not xinetd), comment out the return statement below
# 2009-09-18
###return 0

Добавить


/opt/sbin/openvpn --daemon --cd /opt/etc/openvpn_1 --config openvpn_ONE.conf --log-append /opt/var/log/openvpn/openvpn.log
/opt/sbin/openvpn --daemon --cd /opt/etc/openvpn_2 --config openvpn_TWO.conf --log-append /opt/var/log/openvpn/openvpn.log

Kugel
04-11-2009, 10:29
а если с винды подымаецца и выдаецца ?

да, выдаётся

razor
05-11-2009, 07:51
да, выдаётся

можно попробовать в п.4
("ВАШЛОГИННАУДАЛЕННЫЙВПН" * "ВАШПАРОЛЬ" *)
задать ваш айпи (видимо провайдер хочет видеть его сразу в явном виде).

т.е. сделать
"ВАШЛОГИННАУДАЛЕННЫЙВПН" * "ВАШПАРОЛЬ" ВАШАЙПИ

Ginger-Fox
20-11-2009, 10:12
Доброго всем времени суток!
Прошу прощения, если эта тема поднималась, но поиск по форуму чёткого ответа, увы, не дал.
Есть две локалки, два статических IP, одна выходит в сеть через D-Link DI-804HV (там более-менее всё понятно), вторая - через Asus WL-500g Premium V1. Перед вашим покорным слугой поставлена задача: соединить две сетки через VPN. Есть ли возможность настройки VPN-шлюза на этой модели Asus? Видимо, придётся менять прошивку. А спрашиваю потому, что есть нехороший опыт убивания аналогичного девайса перепрошивкой :((правда, перешивали в других целях).
Заранее всем спасибо.

vectorm
20-11-2009, 11:17
Доброго всем времени суток!
Прошу прощения, если эта тема поднималась, но поиск по форуму чёткого ответа, увы, не дал.
Есть две локалки, два статических IP, одна выходит в сеть через D-Link DI-804HV (там более-менее всё понятно), вторая - через Asus WL-500g Premium V1. Перед вашим покорным слугой поставлена задача: соединить две сетки через VPN. Есть ли возможность настройки VPN-шлюза на этой модели Asus? Видимо, придётся менять прошивку. А спрашиваю потому, что есть нехороший опыт убивания аналогичного девайса перепрошивкой :((правда, перешивали в других целях).
Заранее всем спасибо.
Поиск по poptop и openvpn поможет.

sart
22-11-2009, 14:03
Здравствуйте уважаемые форумчане.
Помогите настроить интернет на роутере wl500gp v2
Ситуация такая:
В моем городе сеть моего провайдера представляет собой как бы большую локальную сеть, где провайдер выдает "серые" ip адреса вида 10.160.X.X
Доступ в интернет осуществляется с помощью VPN (провайдер выдает логин и пароль)
Через веб интерфейс отлично настраивается сеть провайдера ( без доступа к сети, Statistic IP) , а VPN работает с ПК.
К сожалению для работы torrent и ipkg и других программ требуется доступ к
интернету, а его на самом роутере нет.
Я пытался настроить PPTP из веб интерфейса, но соединения нет.
Есть и инструкция для настройки интернета в Linux'e :


Для настройки должен быть установлен pptpclient + зависимосимости
В /etc/ppp/option.pptp должно быть так:

# fgrep -v "#" /etc/ppp/options.pptp
lock
noauth
refuse-eap
refuse-chap
refuse-mschap
nobsdcomp
nodeflate
persist
maxfail 0

Настройки аутентификации соединения:

# cat /etc/ppp/chap-secrets
# client server secret IP addresses
lan12345 * 12345678
unl12345 * 12345678

Смотрим текущий маршрут по умолчанию:

# ROUTE = `route -n | grep "^0.0.0.0" | awk '{print $2}'`
# echo $ROUTE
10.160.xx.1
Добавляем эксклюзивные маршруты для vpn-серверов и удаляем маршрут по умолчанию через 10.160.xx.1:

# route add 217.17.188.1 gw $ROUTE # vpn.sakha.net
# route add 81.222.116.8 gw $ROUTE # vpn2.sakha.net
# route del default

Соединяемся:

# pptp 217.17.188.1 defaultroute nodetach name lan12345
или
# pptp 81.222.116.8 defaultroute nodetach name unl12345
После этого должен появиться интерфейс ppp0 (ifconfig ppp0) и route -n должен указывать на то, что маршрут 0.0.0.0 идет через ppp0.


Я так же в Runtu настраивал интернет через openVPN

Теперь вопрос:

Можно ли как нибудь используя эту инструкцию настроить вручную PPTP или openVPN на роутере чтобы работал ipkg и torrent (ctorrent или подобный)???

rain27
23-11-2009, 17:06
Здравствуйте уважаемые форумчане.
Помогите настроить интернет на роутере wl500gp v2
Ситуация такая:
В моем городе сеть моего провайдера представляет собой как бы большую локальную сеть, где провайдер выдает "серые" ip адреса вида 10.160.X.X
Доступ в интернет осуществляется с помощью VPN (провайдер выдает логин и пароль)
Через веб интерфейс отлично настраивается сеть провайдера ( без доступа к сети, Statistic IP) , а VPN работает с ПК.
К сожалению для работы torrent и ipkg и других программ требуется доступ к
интернету, а его на самом роутере нет.
Я пытался настроить PPTP из веб интерфейса, но соединения нет.
Есть и инструкция для настройки интернета в Linux'e :


Для настройки должен быть установлен pptpclient + зависимосимости
В /etc/ppp/option.pptp должно быть так:

# fgrep -v "#" /etc/ppp/options.pptp
lock
noauth
refuse-eap
refuse-chap
refuse-mschap
nobsdcomp
nodeflate
persist
maxfail 0

Настройки аутентификации соединения:

# cat /etc/ppp/chap-secrets
# client server secret IP addresses
lan12345 * 12345678
unl12345 * 12345678

Смотрим текущий маршрут по умолчанию:

# ROUTE = `route -n | grep "^0.0.0.0" | awk '{print $2}'`
# echo $ROUTE
10.160.xx.1
Добавляем эксклюзивные маршруты для vpn-серверов и удаляем маршрут по умолчанию через 10.160.xx.1:

# route add 217.17.188.1 gw $ROUTE # vpn.sakha.net
# route add 81.222.116.8 gw $ROUTE # vpn2.sakha.net
# route del default

Соединяемся:

# pptp 217.17.188.1 defaultroute nodetach name lan12345
или
# pptp 81.222.116.8 defaultroute nodetach name unl12345
После этого должен появиться интерфейс ppp0 (ifconfig ppp0) и route -n должен указывать на то, что маршрут 0.0.0.0 идет через ppp0.


Я так же в Runtu настраивал интернет через openVPN

Теперь вопрос:

Можно ли как нибудь используя эту инструкцию настроить вручную PPTP или openVPN на роутере чтобы работал ipkg и torrent (ctorrent или подобный)???


Конечно можно, делаете квик сетап В веб интерфейсе, выбираете тип подключения PPTP, вводите логин и пароль которые выдал провайдер, адрес сервера и тд.. и все должно работать..
http://help.corbina.net/internet/equipment/asus520gcgu/
вот пример для корбины, для вашего оператора аналогично.

FFSerg
19-12-2009, 09:21
Собственно gl500w с чешской прошивкойй. поднимает инет через скайлинковский модем. Далее поднимается тунель openvpn.
Дело осталось за малым: Я хочу, чтоб настройки WAN to LAN фильтр применялись к соединению ppp0, а tun0 считался относящимся к зоне LAN и на него ограничений ставить не надо.
Собственно вопрос от дурака в линуксе: Можно как-то объяснить устройству, что tun0 это LAN или мне нужно побыстренькому сесть и изучить iptables и все расписать руками?

Заранее большое спасибо.

Basile
19-12-2009, 09:47
По-моему, вам эту тему: Установка openvpn в основную память для НОВИЧКОВ (http://wl500g.info/showthread.php?t=8880)
WAN to LAN фильтр не должен влиять на tun0.
Было бы неплохо если бы вы выложили результаты выполнения команд ifconfig и route -n
Изучить iptables все-таки стоит

FFSerg
19-12-2009, 10:25
Тему пошел читать.
Влияет. Т.е. привключении фильтров пинги из-за openvpn сервера ко мне перестают приходить. От меня все пингуется в любом случае.

[admin@WL-0026189C0BBC root]$ ifconfig
br0 Link encap:Ethernet HWaddr 00:26:18:9C:0B:BC
inet addr:172.18.128.1 Bcast:172.18.128.15 Mask:255.255.255.240
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:48024 errors:0 dropped:0 overruns:0 frame:0
TX packets:15555 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:19412401 (18.5 MiB) TX bytes:2483551 (2.3 MiB)

eth0 Link encap:Ethernet HWaddr 00:26:18:9C:0B:BC
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:48027 errors:0 dropped:0 overruns:0 frame:0
TX packets:15555 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:20277386 (19.3 MiB) TX bytes:2483551 (2.3 MiB)
Interrupt:4 Base address:0x1000

eth2 Link encap:Ethernet HWaddr 00:26:18:9C:0B:BC
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:2 dropped:0 overruns:0 frame:367725
TX packets:0 errors:58 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
Interrupt:12 Base address:0x4000

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MULTICAST MTU:16436 Metric:1
RX packets:37 errors:0 dropped:0 overruns:0 frame:0
TX packets:37 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:5204 (5.0 KiB) TX bytes:5204 (5.0 KiB)

ppp0 Link encap:Point-Point Protocol
inet addr:92.36.67.78 P-t-P:212.119.106.166 Mask:255.255.255.255
UP POINTOPOINT RUNNING MULTICAST MTU:1500 Metric:1
RX packets:16655 errors:0 dropped:0 overruns:0 frame:0
TX packets:17673 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:7414406 (7.0 MiB) TX bytes:7708175 (7.3 MiB)

tun0 Link encap:Point-Point Protocol
inet addr:172.17.2.14 P-t-P:172.17.2.13 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:41170 errors:0 dropped:0 overruns:0 frame:0
TX packets:44334 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:17175714 (16.3 MiB) TX bytes:19035945 (18.1 MiB)




[admin@WL-0026189C0BBC root]$ route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
212.119.106.166 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
172.17.2.13 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
172.18.128.0 0.0.0.0 255.255.255.240 U 0 0 0 br0
192.168.250.0 172.17.2.13 255.255.255.0 UG 0 0 0 tun0
172.17.2.0 172.17.2.13 255.255.255.0 UG 0 0 0 tun0
192.168.10.0 172.17.2.13 255.255.255.0 UG 0 0 0 tun0
192.168.128.0 172.17.2.13 255.255.128.0 UG 0 0 0 tun0
172.16.0.0 172.17.2.13 255.240.0.0 UG 0 0 0 tun0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 212.119.106.166 0.0.0.0 UG 0 0 0 ppp0

iptables тоже уже изучаю, но нет уверенности, что в данном конкретном случае это методически верное решение. Может, я не прав.
PS Отдельное спасибо за оперативность :)

Basile
19-12-2009, 10:29
А теперь расскажите, что хотелось бы получить, что делаете и что не работает так, как вам нужно?
У вас на роутере поднят клиент или сервер?

FFSerg
19-12-2009, 10:55
На роутере поднят клиент, подключается к корпоративной сетке. С маршрутизацией проблем нет, все бегает как положено и куда положено. Инет - напрямую через скайлинк, обращение к корпоративным ресурсам - через openvpn. Из корпоративной сетки в мою тоже доступ есть (пинги бегают в обе стороны, астериск в конторе и цискофон у меня на столе прекрасно общаются друг с другом)
Но только до момента включения WAN to LAN фильтров.
Если в веб-интерфейсе я ставлю галочку WAN to LAN "включить" из корпоративной сети достучаться до моего компа становится невозможно.
С моего компа сервера на фирме продолжают пинговаться.

Собственно мне хотелось-бы, чтоб фаервол был поднят для ppp0 - выхода в инет, и свободный доступ со стороны корпоративной сети (tun0).

Темку почти дочитал, там даже был поднят мой вопрос, и тут-же "я сам разобрался" без подробностей :( .

Basile
19-12-2009, 12:10
Выложите результат выполнения iptables -vnL и iptables -t nat -vnL до и после применения фильтра

FFSerg
19-12-2009, 13:04
Без фильтров
[admin@WL-0026189C0BBC root]$ iptables -vnL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
260 26435 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 state NEW
67 7381 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0 state NEW
13 5672 SECURITY all -- ppp0 * 0.0.0.0/0 0.0.0.0/0 state NEW
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
7 623 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT 115 packets, 60435 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- br0 br0 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
16 1146 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 DROP all -- !br0 ppp0 0.0.0.0/0 0.0.0.0/0
3 252 SECURITY all -- !br0 * 0.0.0.0/0 0.0.0.0/0 state NEW
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate DNAT

Chain OUTPUT (policy ACCEPT 386 packets, 174K bytes)
pkts bytes target prot opt in out source destination

Chain MACS (0 references)
pkts bytes target prot opt in out source destination

Chain SECURITY (2 references)
pkts bytes target prot opt in out source destination
0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x16/0x02 limit: avg 1/sec burst 5
0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x04 limit: avg 1/sec burst 5
7 623 RETURN udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5
3 252 RETURN icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5
6 5049 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain logaccept (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW LOG flags 7 level 4 prefix `ACCEPT '
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0

Chain logdrop (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW LOG flags 7 level 4 prefix `DROP '
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0





[admin@WL-0026189C0BBC root]$ iptables -t nat -vnL
Chain PREROUTING (policy ACCEPT 64 packets, 10730 bytes)
pkts bytes target prot opt in out source destination
23 6245 VSERVER all -- * * 0.0.0.0/0 92.36.67.78
0 0 NETMAP udp -- * * 0.0.0.0/0 92.36.67.78 udp spt:6112 172.18.128.0/28

Chain POSTROUTING (policy ACCEPT 28 packets, 2084 bytes)
pkts bytes target prot opt in out source destination
0 0 NETMAP udp -- * * 172.18.128.0/28 0.0.0.0/0 udp dpt:6112 92.36.67.78/32
12 1843 MASQUERADE all -- * ppp0 !92.36.67.78 0.0.0.0/0
0 0 MASQUERADE all -- * br0 172.18.128.0/28 172.18.128.0/28

Chain OUTPUT (policy ACCEPT 19 packets, 1500 bytes)
pkts bytes target prot opt in out source destination

Chain VSERVER (1 references)
pkts bytes target prot opt in out source destination


С фильтром
[admin@WL-0026189C0BBC root]$ iptables -vnL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
164 17174 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 state NEW
46 5329 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0 state NEW
5 445 SECURITY all -- ppp0 * 0.0.0.0/0 0.0.0.0/0 state NEW
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
5 445 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT 36 packets, 23329 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- br0 br0 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
2 228 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 DROP all -- !br0 ppp0 0.0.0.0/0 0.0.0.0/0
0 0 SECURITY all -- !br0 * 0.0.0.0/0 0.0.0.0/0 state NEW
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate DNAT
0 0 DROP all -- * br0 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 165 packets, 28028 bytes)
pkts bytes target prot opt in out source destination

Chain MACS (0 references)
pkts bytes target prot opt in out source destination

Chain SECURITY (2 references)
pkts bytes target prot opt in out source destination
0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x16/0x02 limit: avg 1/sec burst 5
0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x04 limit: avg 1/sec burst 5
5 445 RETURN udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5
0 0 RETURN icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain logaccept (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW LOG flags 7 level 4 prefix `ACCEPT '
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0

Chain logdrop (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW LOG flags 7 level 4 prefix `DROP '
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
[admin@WL-0026189C0BBC root]$
[admin@WL-0026189C0BBC root]$ iptables -t nat -vnL
Chain PREROUTING (policy ACCEPT 21 packets, 2603 bytes)
pkts bytes target prot opt in out source destination
1 89 VSERVER all -- * * 0.0.0.0/0 92.36.67.78
0 0 NETMAP udp -- * * 0.0.0.0/0 92.36.67.78 udp spt:6112 172.18.128.0/28

Chain POSTROUTING (policy ACCEPT 15 packets, 1021 bytes)
pkts bytes target prot opt in out source destination
0 0 NETMAP udp -- * * 172.18.128.0/28 0.0.0.0/0 udp dpt:6112 92.36.67.78/32
8 1435 MASQUERADE all -- * ppp0 !92.36.67.78 0.0.0.0/0
0 0 MASQUERADE all -- * br0 172.18.128.0/28 172.18.128.0/28

Chain OUTPUT (policy ACCEPT 11 packets, 778 bytes)
pkts bytes target prot opt in out source destination

Chain VSERVER (1 references)
pkts bytes target prot opt in out source destination

FFSerg
19-12-2009, 13:22
Собственно я вижу только добавление в Chain FORWARD
0 0 DROP all -- * br0 0.0.0.0/0 0.0.0.0/0

После попытки попинговать из корпоративной сети мой комп статистика в этой строчке растет.

Basile
19-12-2009, 13:32
С фильтром
Chain FORWARD (policy ACCEPT 36 packets, 23329 bytes)
pkts bytes target prot opt in out source destination
<cut>
0 0 DROP all -- * br0 0.0.0.0/0 0.0.0.0/0

Единственное, чем отличаются, так вот именно этой последней строчкой. Она блокирует пересылку пакетов с любого интерфейса (*) на интерфейс br0 (LAN).
Попробуйте в скрипт, где создается tun0, добавить команду
iptables -A FORWARD -i tun0 -o br0 -j ACCEPT

FFSerg
19-12-2009, 14:23
На данный момент огромное спасибо, потихоньку начал вникать в iptables, там похоже не так чтоб в 1 команду можно уложиться, чтоб поток UDP для RTP-трафика пропустить. Если что, буду писать :)

djruss
13-02-2010, 18:52
Приветствую!
Скажу сразу - продвинутый юзер, но с Линуксом дружу слабо.
Прошился Олеговской прошивкой, побаловался даже немного:)
Проблему не могу решить уже 2 недели:mad:
Может я ламер в Гугле, али вообще туплю по страшному.
Ткните пальцем, как мне настроить доп.подключение через VPN? :confused:
Тыканье в настройках Ip Config не помогает:mad:
Сеть: 1 провайдер по DHCP. Он же дает мне местный только городской инет.
Задача: Подключиться к другому компу через VPN (и на нем уже получить внешний Инет)

Basile
13-02-2010, 19:01
На странице IP Config - WAN & LAN выставить тип соединения PPTP и указать параметры внешнего VPN сервера

djruss
13-02-2010, 19:22
На странице IP Config - WAN & LAN выставить тип соединения PPTP и указать параметры внешнего VPN сервера
Не помогает.
1. где писать адрес VPN сервера? Heart-Beat or PPTP/L2TP (VPN) Server да?
2. Если и удается как-то подцепиться, нету Интернета через VPN, а от провайдера местный - есть
(! VPN мне предоставляет не провайдер, а некий компьютер в сети, имеющий свой IP)
2. Когда подключался (инета все равно нет), пишет в статистике IP адрес VPN сервера, а не провайдеровский - это нормально?
Если не сложно, ткните пожалуйста носом, куда посмотреть:(
Мои настройки для VPN-подключения: Есть адрес, логин, пароль. Обычные параметры без-ти, не требуется шифрование

Basile
13-02-2010, 20:33
Выкладывайте скриншот с настройки WAN & LAN, системный лог и таблицу маршрутизации

smiak
22-02-2010, 00:56
Итак есть такая вот проблема нужно брать интернет из лан и роздавать его удаленному компьютеру через соединение router -> server VPN(PPTP).

Как брать интернет из ЛАН понятно:

route del -net 0.0.0.0 dev vlan1
route add -net 0.0.0.0 gw * dev br0

А вот как роздавать этот интернет удаленному компьютеру через соединение не понятно... Это вообще реально NAT перевернуть в другую сторону, гуру подскажите пожалуйста.


PS. Почему хочу именно так: потому что если установить Openvpn сервер на роутер и подключатся удаленным компьютером то скорость будет потолок 500- 600 кб/сек.... А вот если так замутить то будет точно 3 мбайта/сек, а если убрать шифрование, сделать L2TP то и того больше. Хочу так UA-IX інтернет роздавать а там до 100мбит... А мир пусть сервак свой нет юзает.

RusArt
21-03-2010, 13:51
Здравствуйте.

Задача такая:
имеется
* Локальная сеть с двумя компьютерами;
* WL500gp v2 с прошивкой Олега;
* "внутренняя" сеть, к которой подключен роутер (эта сеть находится за роутером);
* ВПН сервер во "внутренней" сети, предосталюющий доступ к другим сетям;

необходимо
поднять VPN соединение через WAN порт на VPN сервер и разделить трафик идущий во "внутреннюю" сеть (муния vpn) и идущий в другие сети (через vpn).


Таже проблема другими словами:
Проблема в том, что необходимо предоставить обоим машинам в локальной сети досуп к внешним сетям через vpn, потому создавать подключение надо на роутере, ну и плюс разделять трафик, не весь гнать через vpn, чтобы было быстрее (vpn медленный).
Сам vpn предоставляется сторонним провадером.

Подскажите, как настроить vpn соединение, как поддерживать его в рабочем состаянии (при разрывах передподключаться) и как разделить трафик (как прописать маршрут).

Если тема уже рассматривалась, прошу не пинать ногами, а просто дать линки или название тем, так как я пользоваться поиском, но возможно просто не верно задавал критерии поиска.

Большое спасибо за помощь!

OlegaVB
21-03-2010, 16:16
Вам вот сюда - multi-wan (http://wl500g.info/showthread.php?t=6208)

RusArt
22-03-2010, 12:02
Спасибо, попробую разобраться, только я не вижу, как там VPN зайствован, речь вроде идет о 2 WAN физических, чтото типа горячего резерва, или я чтото путаю?

OlegaVB
22-03-2010, 14:03
Немного не туда Вас послал но близко, еще ближе к Вашим задачам здесь - 2 PPPoE подключения (http://wl500g.info/showthread.php?t=17248)

RusArt
23-03-2010, 06:32
Спасибо за ответы... покапаю, авось чего получиться....
а может и необходимость отпадет :)

Dayran
23-03-2010, 09:26
Перерыл весь форум, но так и не смог разобраться. Имею белый статический ип и роутер wl500g. Нужно что бы можно было к роутеру подключаться с другого компа( с серым ипом) и при этом, что бы мы видели друг-друга как будто в одной сети. Нужно это, что бы можно было поиграть по сетке. Помогите пожалуйста советом, или ткните носом, где нужно искать.

RusArt
23-03-2010, 11:30
OlegaVB, в предложенной вами статье идет речо о pppoe авторизации, а не о поднятии VPN канала...

Мне нужно подключиться к другому серверу по VPN (чтобы через него лазить дальше), а не авторизоваться у провайдера по двум тарифам.

Dayran, а не проще в вашем случае просто подняь VPN с компутера... зачем поднимать его с роутера?

Также для игр существуют программы для эмуляции локальной сети, к примеру Logmein Hamachi

YVM
23-03-2010, 14:09
Иногда есть такая необходимость, и не только у RusArt. Например, Вам приходится связываться с ноута с сервером на работе по VPN (Ipsec) используя мобильного оператора, который не предоставляет статический IP, что невозможно по определению.
Но... Можно связаться со своим роутером через прокси, а от туда уже добраться до БД на работе по VPN. С прокси то проблем нет, а вот с VPN одни проблемы

OlegaVB
23-03-2010, 14:34
OlegaVB, в предложенной вами статье идет речо о pppoe авторизации, а не о поднятии VPN канала...

Мне нужно подключиться к другому серверу по VPN (чтобы через него лазить дальше), а не авторизоваться у провайдера по двум тарифам.



А какая разница? PPPOE, PPTP это тоже VPN - все одинаково поднимается.

angelius
23-03-2010, 15:15
Собственно тоже вопрос по VPN, ни разу с этим зверем не работал. Помогте определиться: есть роутер wl500gp v2, белый IP адрес, за роутером внутренняя локальная сеть; необходимо сделать возможность подключения удаленных пользователей через VPN к моей локальной сети.
Спасибо за понимание.

Народ просто подскажите, какое необходимо установить приложение, дабы организовать такую возможность.

Dayran
23-03-2010, 15:30
Dayran, а не проще в вашем случае просто подняь VPN с компутера... зачем поднимать его с роутера?

Также для игр существуют программы для эмуляции локальной сети, к примеру Logmein Hamachi

Нет, не проще. Зачем мне что-то по нескольку раз настраивать на компе, если можно один раз настроить на роутере и забыть про это.

vectorm
24-03-2010, 10:56
Собственно тоже вопрос по VPN, ни разу с этим зверем не работал. Помогте определиться: есть роутер wl500gp v2, белый IP адрес, за роутером внутренняя локальная сеть; необходимо сделать возможность подключения удаленных пользователей через VPN к моей локальной сети.
Спасибо за понимание.

Народ просто подскажите, какое необходимо установить приложение, дабы организовать такую возможность.
Почитайте темы про POPTOP и OPENVPN.
Первый позволяет коннектиться обычным Виндовым клиентом, второй требует собственного клиента, но на мой взгляд, более надежен в плане безопасности.

strikebox
24-05-2010, 13:09
подскажите как поднять сабж на rt-n16
на работе интернет через proxy, хочется получить полноценный инет...

Pablo Escobar
24-05-2010, 13:33
подскажите как поднять сабж на rt-n16
на работе интернет через proxy, хочется получить полноценный инет...

http://wl500g.info/showthread.php?t=8880&highlight=vpn+tunnel

strikebox
24-05-2010, 13:39
http://wl500g.info/showthread.php?t=8880&highlight=vpn+tunnel

не это, а типа этого
http://www.nocrew.org/software/httptunnel/
http://www.http-tunnel.com/html/
http://http-tunnel.sourceforge.net/

Pablo Escobar
24-05-2010, 13:45
[QUOTE=strikebox;198545]не это, а типа этого
да один хрен openvpn ставить.

zorcher
02-09-2010, 21:30
Приветстую, господа, нужна Ваша помощь.
Есть роутер ASUS WL500GP v2. Инет по PPPoЕ, локалка, вайфай, все настроено, все работает.
Хочу настроить VPN подключение к рабочей сети. Т.е. чтобы модем при старте инциировал PPTP подключение к RRAS серверу Windows, и я, с домашнего компа имел прозрачный доступ в рабочую сеть. Сейчас я просто запускаю VPN подключение на винде.
Вопрос, собственно, в том, как это реализовать. В гугле меня не забанили, и по форуму полазил - нашел ветки в основном о том, как поднять собственный VPN сервер на роутере. А моя задача, так сказать, обратная, чтобы роутер дозванивался сам.
Если где-то тема поднималась, ткните носом, пожалуйста
Заранее благодарен за любую конструктивную помощь:)

PS вроде как нашел рецепт с использованием pppd, но не удалось завершить это решение по причине отсутствия в репозитории pptp
pps еще больше запутался. вычитал на форуме, что pptp включался в состав ядра. У меня его нет, прошивка 1.9.2.7-d-r1984

[admin@ASUS root]$ lsmod | grep ip
ipt_recent 8440 2
ip_nat_ftp 3072 0 (unused)
ip_conntrack_ftp 4472 1
Если подскажете где взять/как собрать pptp - это, по-видимому, решит мою проблему

vectorm
03-09-2010, 09:03
Не там искали.

2 VPN тунеля на одном WAN, у одного провайдера (http://wl500g.info/showthread.php?t=15516&highlight=pppd)
2 провайдера (http://wl500g.info/showthread.php?t=16731&highlight=pppd)
Расписание для двух тарифов (http://wl500g.info/showthread.php?t=23990&highlight=pppd)
dir320+Yota+VPN в офис через RRAS (http://wl500g.info/showthread.php?t=22724&highlight=pppd)
И в качестве альтернативы:
Использование ssh-тунелей для безопасного доступа к ресурсам LAN (http://wl500g.info/showthread.php?t=12833)

zorcher
03-09-2010, 11:51
Спасибо что откликнулись, некоторые темы, действительно не видел, вечером посмотрю внимательно, но проглядев наискосок - там в основном о multiwan речь идет, это не совсем то что нужно, хотя, может быть, я чего-то не понимаю

vectorm
03-09-2010, 13:00
Спасибо что откликнулись, некоторые темы, действительно не видел, вечером посмотрю внимательно, но проглядев наискосок - там в основном о multiwan речь идет, это не совсем то что нужно, хотя, может быть, я чего-то не понимаю
Ну там же приведены примеры ручного запуска pppd, что Вам и требуется.

zorcher
04-09-2010, 23:51
Порылся еще, на данный момент дела обстоят так
создал файл для pppd в /etc/ppp/peers



lock
file /etc/ppp/options.pptp
options.pptp выглядит так:

noauth refuse-eap
debug
user 'юзер'
password 'Пароль'
#nomppe nomppc
plugin pptp.so
pptp_server IP_Сервера
maxfail 0
usepeerdns
persist
ipcp-accept-remote ipcp-accept-local noipdefault
ktune
default-asyncmap nopcomp noaccomp
novj nobsdcomp nodeflate
lcp-echo-interval 10
lcp-echo-failure 6
unit 1
Пытаюсь запустить подключение и вижу большую дулю:

[admin@ASUS root]$ pppd call UK
pppd: File not found
pppd: Couldn't load plugin pptp.so
Вставляю в options.pptp путь к pptp.so:

...
plugin /usr/lib/pppd/pptp.so
...

Дуля стала еще больше:

[admin@ASUS root]$ pppd call UK
pppd: Plugin /usr/lib/pppd/pptp.so is for pppd version 2.4.5, this is 2.4.3
Ради эксперимента через веб-морду поменял тип основного подключения с PPPoE на PPTP, подключиться роутеру, естественно, не удалось, но в логе была строчка о том что plugin pptp.so loaded succesful.
Подскажите пож-та, как правильно запускать этот pppd:(

C перепугу разобрался. у меня две верcии pppd в разных директориях

В общем, со скрипом, с писком, с допущениями, сделал я vpn подключение с роутера к Windows-серверу.
Если кому-нибудь интересно - стучитесь, напишу как и что

Осталось научиться как-то обрабатывать ситуации переподключения
Если по какой-то причине VPN Соединение рвется, pppd через какое-то время его поднимает, но если при подключении IP выдается удаленным сервером автоматически, как в моем случае, роуты становятся неактуальными, а новые не добавляются... так что кроме самого роутера удаленную подсеть никто не видит(

terabitservers
21-09-2010, 14:45
Приветстую,
Есть роутер DIR-320, FW 1.9.2.7-d-r2042M, Linux 2.4.37.10.
Инет по USB Modem 3G Huawei E1550 .
оператор интернет отдает через Proxy , получаю IP типа 10.XX.XX.XX.

Что хочется: иметь доступ к роутеру и оборудованию в ЛАНе снаружи, с интернета.
Как понимаю, для етого нужно запустить где-то на реальном ИП ВПН сервер,
а на ДИР-300 установить VPN клиент. которыи будет автоматически поднимать тунель до VPN сервера.
Возможно ли это ? Темы про dual wan пo VPN прочитал, но прояснение не настало...

denson
25-10-2010, 08:07
Друзья, у меня проблема в следующем, имею удаленный офис, который канектицо к vpn серверу в головном офисе (удаленный офис соединяется с помощью WL500GV2), так вот дефолтный маршрут удаленного офиса пишется на тунель сразу, а мне необходимо чтобы при загрузке дефолтный маршрут писался в сеть провайдера интернет а на туннель только необходимые маршруты на сервисы за vpn сервером центрального офиса. помогите плз ? как это cделать ?

Basile
25-10-2010, 09:23
<...> дефолтный маршрут удаленного офиса пишется на тунель сразу, а мне необходимо чтобы при загрузке дефолтный маршрут писался в сеть провайдера интернет <...>

Вот тут есть настройки (http://wl500g.info/showpost.php?p=206070&postcount=267) для одного провайдера, у которого тоже не нужно устанавливать дефолтный маршрут на VPN. Решение, как добавить несколько правил в post-firewall, приведено в посте.


<...> а на туннель только необходимые маршруты на сервисы за vpn сервером центрального офиса

А вот это вы уже пропишете с помощью статических маршрутов в веб-интерфейсе в разделе IP Config - Route (http://my.router/Advanced_GWStaticRoute_Content.asp). Интефейс, на который нужно прописывать маршруты, - WAN

denson
26-10-2010, 09:18
Спасибо, щас буду пробывать.

Попробывал, действительно работает, дефотлный маршрут не добавляется на впн, маршруты на сервисы за впн сервером центрального офиса добавляются, но вот дефолтный маршрут не добавляется на сеть провайдера интернет, который по езернету просто получаю. я его конечно прописываю в таблицу маршрутиризации в морде, но эффекта ноль, работает только если ручками route add default gw xxx.xxx.xxx.xxx....... как быть подскажите плз, я уже в полсекунде от реализации данного задания ) ?

да и еще в логах пишет вот это route: add failed(128) 'Network is unreachable': ppp0 dst 0.0.0.0 mask 82.ххх.ххх.ххх gw 0.0.0.0 .... причом тут впн... и почему не правильно пишет шлюз и маску... получается как-бы не в те поля забивается, хотя в веб интерфейсе я пишу все верно. ?

Иправил, надо было добавлять на MAN, спасибо большое Basile.

Genry
29-12-2010, 18:42
Нужна инструкция по установке и настройке openvpn клиента на маршрутизаторе Asus WL500gpv2 прошивка WL500gpv2-1.9.2.7-10
нужен именно клиент с авто запуском сервиса OpenVPN и восстановлением соединения при обрыве, интернет через pptp так что поднимать openvpn нужно после поднятия pptp
Помогите, перерыл много источников и везде информация только о сервере !

Kono
18-01-2011, 15:13
Добрый день!
Подскажите пожалуйста, реально ли сделать чтобы wl500gP v2 поддерживал подключение к vpn'у в интернете? Т.е. у меня есть внешний айпи адрес, подключение к провайдеру не через vpn и я хочу использовать vpn в интернете (для шифрования трафика на участка роутер - vpn-сервер), чтобы роутер весь трафик проводил через этот впн? Или как план максимум чтобы часть LAN-портов работала через vpn, а часть без vpn.
Подскажите в какую сторону гуглить? Спасибо!

veranson
21-01-2011, 16:19
Добрый день!
Подскажите в какую сторону гуглить? Спасибо!
ну как, пишешь маршрут в сторону vpn сервера на локальную сетевуху. Поднимаешь vpn туннель и дефолтный маршрут на него. Как то так


Нужна инструкция по установке и настройке openvpn клиента на маршрутизаторе Asus WL500gpv2 прошивка WL500gpv2-1.9.2.7-10
нужен именно клиент с авто запуском сервиса OpenVPN и восстановлением соединения при обрыве, интернет через pptp так что поднимать openvpn нужно после поднятия pptp
Помогите, перерыл много источников и везде информация только о сервере !
сервер и клиент это одно и то же, разные только конфиги. Тут есть статья про настройку openvpn на роутере. Вот ее и возьми, единственное забей на фаер и конфиг будут другими. Смотря что на другой стороне.
ЗЫ только пакет сейчас раздуло и поставить в память нельзя :(

Gaku
05-02-2011, 21:14
Внутренняя сеть роутера 192.168.1.0 (.1 - сам роутер, .5 - адрес рабочей станции).
Роутер связывается с OpenVPN-сервером в интернете, и получает адрес 192.168.4.2 (.1 - адрес сервера).

Проблема в том, что 192.168.4.1 не доступен с рабочих станций (но доступен с роутера). Подскажите пожалуйста, что поменять в конфиге OpenVPN клиента или сервера, чтобы роутер перенаправлял все запросы 192.168.4.x в OepnVPN-канал?

FilimoniC
06-02-2011, 10:22
Внутренняя сеть роутера 192.168.1.0 (.1 - сам роутер, .5 - адрес рабочей станции).
Роутер связывается с OpenVPN-сервером в интернете, и получает адрес 192.168.4.2 (.1 - адрес сервера).

Проблема в том, что 192.168.4.1 не доступен с рабочих станций (но доступен с роутера). Подскажите пожалуйста, что поменять в конфиге OpenVPN клиента или сервера, чтобы роутер перенаправлял все запросы 192.168.4.x в OepnVPN-канал?

1.RTFM Маршруты
2.Если на сервере OpenVPN стоит win 7\2008, то она ниче не знает про сеть 192.168.1.х и будет ее отшибать (даже ping) - ей надо это в фаерволле разрешить

DarkStar2000
12-02-2011, 15:56
такой вопрос
есть 2 сети
192.168.1.х - тут стоит VPN сервер
192.168.2.х - в качестве VPN клиента используется ASUS WL500gP V1 (Прошивка 1.9.2.7-d-r2381)
VPN настроен стандартными средствами (т.е. как WAN подключение)
трафик из 192.168.2.х в 192.168.1.х ходит нормально а обратно нет
как настроить что бы ходил трафик из 192.168.1.х в 192.168.2.х?

Rucha
23-02-2011, 01:14
такой вопрос
трафик из 192.168.2.х в 192.168.1.х ходит нормально а обратно нет
как настроить что бы ходил трафик из 192.168.1.х в 192.168.2.х?

У меня точно такая-же структура сети.
К сожалению не могу подсказать решение твоей проблемы, т.к. не осилил даже такого варианта. А мне собс-но такое и надо (что 192.168.2.х видел 192.168.1.х, а наоборот - нет)
Подкинь конфиги сервера (сервер на какой ОСи крутится?) и клиента (который ASUS WL) и каким скриптом ты клиента запускаешь, если не сложно.
Надо ли на сервере денлать бридж средствами ОСи (у меня WinXP сервер)?

TReX
23-02-2011, 01:29
1.RTFM Маршруты
2.Если на сервере OpenVPN стоит win 7\2008, то она ниче не знает про сеть 192.168.1.х и будет ее отшибать (даже ping) - ей надо это в фаерволле разрешить

Если специально не настраивать, файрволу на 2008/Win7 наплевать на сети поскольку он работает с приложениями, а не с сетями, так что достаточно только конкретному приложению просто разрешить работу с сетью ))

fish2006
26-02-2011, 08:05
Здравствуйте.
Роутер RT-N16.
Подключение к провайдеру по статичному реальному IP.
Установил прошивку ftp://core.dumped.ru/rt-n/2617/
попытался настроить PPTP как http://wl500g.info/showthread.php?t=3171&langid=3

"15) создание PPTP соединения вручную, если через веб-интерфейс какой-то параметр не настраивается.
a) создать файл например по пути /etc/ppp/peers/pptp (потом не забыть сохранить его, если он не на флэшке)
# например удаленный сервер 1.1.1.1
pty "/usr/sbin/pptp 1.1.1.1 --nolaunchpppd"
name имя
password пароль
remotename PPTP
ipparam pptp ....."


и выяснил, что по пути /usr/sbin/pptp pptp отсутствует.

Вопрос, в этой прошивке pptp просто нет, или я что то где то не включил?
И если в прошивке нет, то откуда и как можно установить?

petelinskiy
26-02-2011, 08:31
to fish2006
Изложи что ты хочешь сделать?
Если хочешь просто быстро и без проблем настроить свой роутер, спроси я обьясню.

fish2006
26-02-2011, 08:39
to fish2006
Изложи что ты хочешь сделать?
Если хочешь просто быстро и без проблем настроить свой роутер, спроси я обьясню.

Мне необходимо поднять PPTP VPN тунель до работы, все остальное (руторент, просмотр статистики, медиасервер, прокси) я настроил работает.
Раньше использовал WL500gp v2. PPTP по вышеуказанной инструкции поднял, и было все хорошо.
Неделю назад поменял роутер, все по аналогии с WL500gp v2 настроил, а с PPTP проблема.
Неделю пытался найти информацию в поиске, но не нашел.

petelinskiy
26-02-2011, 08:44
К интернету роутер как подключен?

fish2006
26-02-2011, 08:54
К интернету роутер как подключен?

Витая пара от провайдера Ethernet, белый статичный ip. 100 Mbit

petelinskiy
26-02-2011, 08:59
Мне кажется в данной прошивке нет демона pptp. Выполните комманду which pptp, если в ответ получите пустую строку, значит я прав.
Прошивка до этого такая же стояла?
Кстати уже есть более новая прошивка чем ваша ftp://core.dumped.ru/rt-n/2685/

Есть вариант установки PopTop на роутер. Думаю на форуме есть инфа. Ради интереса попробую тоже самое.

А вот и оно http://wl500g.info/showthread.php?t=19022&page=9

fish2006
26-02-2011, 09:11
Есть вариант установки PopTop на роутер. Думаю на форуме есть инфа. Ради интереса попробую тоже самое.

А вот и оно http://wl500g.info/showthread.php?t=19022&page=9

Но PopTop насколько я понимаю является серверной частью PPTP.
А мне нужно с роутера поднимать тунель...
Попробую вечером последнюю прошивку, может там демон есть...

vadimka3
09-03-2011, 18:31
Имеется Asus WL500gp.
Подключение к провайдеру через статический адрес.
Все работает, все прекрасно.
Но необходимо создать туннель с другим сервером на котором поднят MPD5 c параметрами:

default: load pptp_vpn

create bundle static B1
set ipcp ranges 192.168.1.1/32 192.168.2.1/32
set iface route 192.168.2.0/24
set bundle enable compression
set ccp yes mppc
set mppc yes e40
set mppc yes e128
set bundle enable crypt-reqd
set mppc yes stateless
create link static L1 pptp
set link action bundle B1
set link no pap chap eap
set link yes chap
set auth authname "VpnLogin"
set auth password "VpnPassword"
set link mtu 1460
set link keep-alive 10 75
set link max-redial 0
set pptp self 12.34.56.78 - server FreeBSD
set pptp peer 22.33.44.55 - router Asus WL500gp
set link enable incoming
open

ifconfig на сервере показывает новый интерфейс:
ng0: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1500

Вопрос: что необходимо поднять на роутере для создания туннеля?

Arthur_X
24-03-2011, 18:16
Есть два ASUS WL500gpv2, находятся в черте города, подключены к одному провайдеру, соответственно в одной MAN сети. Друг друга видят, проблем со связью нет.
Хочу осуществить следующее (один из вариантов):

1. Объединить LAN двух роутеров
или
2. Сделать так чтобы хосты LAN роутера №1 думали что они в LAN роутера №2
или
3. На крайний случай сделать хотя бы 1 хост участником LAN удаленного роутера.

Возможно вариант 1 и 2 это одно и тоже, пока только начал думать.
Если тема пробегала, поделитесь ссылкой. Поиском занимаюсь :)

Заранее спасибо.

tempik
24-03-2011, 18:17
Есть два ASUS WL500gpv2, находятся в черте города, подключены к одному провайдеру, соответственно в одной MAN сети. Друг друга видят, проблем со связью нет.
Хочу осуществить следующее (один из вариантов):

1. Объединить LAN двух роутеров
или
2. Сделать так чтобы хосты LAN роутера №1 думали что они в LAN роутера №2
или
3. На крайний случай сделать хотя бы 1 хост участником LAN удаленного роутера.

Возможно вариант 1 и 2 это одно и тоже, пока только начал думать.
Если тема пробегала, поделитесь ссылкой. Поиском занимаюсь :)

Заранее спасибо.
ключевое слово openvpn

Arthur_X
24-03-2011, 18:22
уже кое-что.
спасибо, читаю :)

УРААА!!!
Настроил как тут:
http://wl500g.info/showthread.php?t=8880

Правда с некоторыми поправками:
1. Скачал последнюю OpenVPN http://openvpn.net/index.php/open-source/downloads.html
2. Пришлось убрать много лишней писанины из скриптов, точнее просто вписал настройки в существующие post-boot, post-firewall и тд, т.к. стоит пакет программ отсюда
http://wl500g.info/showthread.php?p=167420#post167420
3. Изменил "ifconfig 20.8.0.2 20.8.0.1", т.к. MAN c адресами 10.*.*.*
4. "remote MAN_ip"
5. Добавил OpenVPN в автозагрузку, с помощью планировщика заданий http://www.swalki.net/showthread.php?t=1233
6. Прописал необходимые маршруты на каждом хосте чтобы все запросы не шпарили через openvpn

C0deWarri0r
25-03-2011, 08:15
Привет всем!

Уже перепробовал всё - не выходит каменный цветок. :( Проблема с маршрутами.

Есть 3 хоста: Сервер на работе (SERVER), Домашний комп (HOME) и WL500 (с установленным OpenVPN) между ними. Задача вроде как проста: достучатся с HOME на SERVER. С WL500 сервак нормально пингуется в туннеле. Тунель такой:

10.8.0.1 SERVER
10.8.0.2 SERVER (tunel)
||
10.8.0.5 WL500 (tunel)
10.8.0.6 WL500
С сервера приходят (через push) следующие настройки:

ifconfig tun0 10.8.0.6 pointopoint 10.8.0.5 mtu 1500
route add -net <Белый IP сервера> netmask 255.255.255.255 gw <шлюз провайдера>
route del -net 0.0.0.0 netmask 0.0.0.0
route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.8.0.5
route add -net 192.168.0.0 netmask 255.255.255.0 gw 10.8.0.5
route add -net 10.8.0.1 netmask 255.255.255.255 gw 10.8.0.5
После этого внутренний IP сервера (192.168.0.1) нормально пингуется непосредственно с WL500 (только при этом почему то не работает ресолв). :confused:
Что нужно докрутить, чтобы этот 192.168.0.1 пинговался с компьютера HOME подключенного к WL500?
Ну и походу ещё вопросик - как получить всяческие параметры типа DNS/domain name и т. д. с DHCP на 192.168.0.1?

Arthur_X
25-03-2011, 14:14
Для начала настройкой самого DHCP-сервера.

RedGoblin
28-03-2011, 09:20
Есть dir-320 с прошивкой WL500gpv2-1.9.2.7-d-r2381. Есть ли в данной прошивке поддержка vpn pass through? Мне хочется из Интернета подключаться к моему компьютеру с windows 7 по RDP. Где на роутере это настраивается? Дайте, пожалуйста, ссылку на инструкцию ...

FilimoniC
28-03-2011, 09:40
Есть dir-320 с прошивкой WL500gpv2-1.9.2.7-d-r2381. Есть ли в данной прошивке поддержка vpn pass through? Мне хочется из Интернета подключаться к моему компьютеру с windows 7 по RDP. Где на роутере это настраивается? Дайте, пожалуйста, ссылку на инструкцию ...

Как относятся друг к другу VPN и RDP в вашем случае?
Настраивается при помощи проброса портов (Virtial Server). Wikipedia (http://en.wikipedia.org/wiki/Port_forwarding)
Не забудьте в "семерке" настроить фаерволл соответствующим образом, по-умолчанию он все с "непонятных адресов" отрезает.

RedGoblin
28-03-2011, 19:41
FilimoniC, может я не точно выразился...
Я хочу создать vpn соединение между компьютером в Интернете и моим домашним компьютером с Windows 7, а затем подключаться по RDP к домашнему компьютеру. Для этого и нужно vpn pass through. (Как поднимать рртр сервер на windows 7 я в курсе).

FilimoniC
28-03-2011, 20:29
FilimoniC, может я не точно выразился...
Я хочу создать vpn соединение между компьютером в Интернете и моим домашним компьютером с Windows 7, а затем подключаться по RDP к домашнему компьютеру. Для этого и нужно vpn pass through. (Как поднимать рртр сервер на windows 7 я в курсе).

Можете использовать OpenVPN - они по TCP работают в отличие от прочих VPN-решений. Вы уверены что ваши провайдеры пропускают GRE (основа "прочих" VPN-решений)? Насколько мне известно, они очень плохо маршрутизируются и часто не поддерживаются домашними провайдерами

RedGoblin
29-03-2011, 14:09
FilimoniC,
"Можете использовать OpenVPN" - да, могу. Но хочется именно MS VPN.
Насчет GRE узнаю у провайдера.

FilimoniC
29-03-2011, 14:27
FilimoniC,
"Можете использовать OpenVPN" - да, могу. Но хочется именно MS VPN.
Насчет GRE узнаю у провайдера.

http://www.howtonetworking.com/Tools/testgre.htm
Может помочь

as_lan
30-03-2011, 21:19
Такая проблема. Интернет я получаю по пппое, при этом локальной сетки провайдер не предоставляет(в целях безопасности), чтоб была локальная сетка нужно поднимать впн подключение, при этом выдается адрес типа 172.16.0.* . То есть когда на винде подключал маршруты сами прописывались, и все что касается 172.16 шло через впн, остальное в интернет. В роутере сейчас опенвпн поднят, все подключается, с роутера пинги в локал идут, как и обратно ко мне (можно даже на роутер заходить). но когда пытаюсь сделать пинг с винды например на 172.16.0.2 молчит. Знаю что маршруты надо прописывать, но прочитав про все эти маршруты полностью запутался, как понял надо прописать на самом роутере, чтоб все пакеты по адресам отправлял по tun. Но как прописать не знаю,шлюза openvpn нет, только ДНСП есть, поэтому адреса динамические, и наверное надо привязать к интерфейсу а не айпишнику. Я конечно может где-то ошибся, не так как хотелось бы понимаю в этом, поэтому прошу помочь с написанием маршрутов.
Конфиг


client
proto udp
remote 109.70.186.38
port 1194
dev tap
resolv-retry infinite
nobind
route-method exe
persist-tun
persist-key
tls-client
tls-auth ta.key 1
dh dh1024.pem
ca ca.crt
cert client.crt
key client.key
cipher DES-EDE3-CBC
comp-lzo
verb 3
tun-mtu 1500
fragment 1300
mssfix



одним словом, как прописать маршрут чтоб все что касается 172.16.* шло через tap0, с привязкой к интерфейсу, так как айпи динамический. А все остальное шло по стандартному пути. (Если конечно я правильно понял проблему)

UPD.
Вопрос снят. ошибся, маршруты не причем, надо было нат включить

iptables -t nat -A POSTROUTING -o tap0 -j MASQUERADE

as_lan
01-04-2011, 16:56
Теперь возник другой вопрос. Провайдер выдает адрес динамический, но мне часто приходится подключаться к роутера с другого места, при этом я не знаю какой адрес ему был выдан, приходиться перебирать адреса пока не достучусь до нужного (благо их не так много). Нельзя ли сделать такой скрипт который при успешно подключении впн клиента отправлял бы каким либо образом часть лога например, где указан IP. Или каким еще образом можно узнать какой адрес назначен роутеру. Было бы не плохо если бы роутер был бы виден в сетевом окружении как другие машины которые в этот момент подключены по ВПН но такого не происходит, роутер виден только машинам которые непосредственно к нему подключены

tempik
01-04-2011, 17:20
Теперь возник другой вопрос. Провайдер выдает адрес динамический, но мне часто приходится подключаться к роутера с другого места, при этом я не знаю какой адрес ему был выдан, приходиться перебирать адреса пока не достучусь до нужного (благо их не так много). Нельзя ли сделать такой скрипт который при успешно подключении впн клиента отправлял бы каким либо образом часть лога например, где указан IP. Или каким еще образом можно узнать какой адрес назначен роутеру. Было бы не плохо если бы роутер был бы виден в сетевом окружении как другие машины которые в этот момент подключены по ВПН но такого не происходит, роутер виден только машинам которые непосредственно к нему подключены
http://wl500g.info/showthread.php?t=25191

FilimoniC
01-04-2011, 19:05
Теперь возник другой вопрос. Провайдер выдает адрес динамический, но мне часто приходится подключаться к роутера с другого места, при этом я не знаю какой адрес ему был выдан, приходиться перебирать адреса пока не достучусь до нужного (благо их не так много). Нельзя ли сделать такой скрипт который при успешно подключении впн клиента отправлял бы каким либо образом часть лога например, где указан IP. Или каким еще образом можно узнать какой адрес назначен роутеру. Было бы не плохо если бы роутер был бы виден в сетевом окружении как другие машины которые в этот момент подключены по ВПН но такого не происходит, роутер виден только машинам которые непосредственно к нему подключены

DynDNS вам в помощь

tempik
01-04-2011, 19:31
DynDNS вам в помощь
Так вроде у него роутер поднимает как клиент OpenVpn куда-то наружу ... Здесь DynDNS не поможет .....

as_lan
01-04-2011, 19:32
FilimoniC Если бы это было возможно я бы не спрашивал:) как в локально дунднс прикрутить?:) Я не про внешний адрес говорю, а внутренний локальный. Пиринг.
tempik Почитаю, но как бы туда прикрутить чтение лога при переподключении впн

tempik
01-04-2011, 19:41
FilimoniC Если бы это было возможно я бы не спрашивал:) как в локально дунднс прикрутить?:) Я не про внешний адрес говорю, а внутренний локальный. Пиринг.
tempik Почитаю, но как бы туда прикрутить чтение лога при переподключении впн
Ну например изучение BASH ...
cat путь/файл_лога | grep что нужно | скрипт отправки по СМС
Главное выцедить минимум нужного ...

as_lan
02-04-2011, 11:29
Возникла другая мысль, к чему все эти дополнительные скрипты и т.д. Когда на комп клиент подключается то его имя видно в сетевом окружении, имя роутера тоже видно в сетевом окружении но только тем кто сидит за ним, а как сделать так чтоб он был виден и в впн сети? Всех подключенных в данный момент пользователей по впн я вижу, а роутер нет.

tempik
02-04-2011, 16:40
Возникла другая мысль, к чему все эти дополнительные скрипты и т.д. Когда на комп клиент подключается то его имя видно в сетевом окружении, имя роутера тоже видно в сетевом окружении но только тем кто сидит за ним, а как сделать так чтоб он был виден и в впн сети? Всех подключенных в данный момент пользователей по впн я вижу, а роутер нет.
Например поднять на роутере самбу...

as_lan
02-04-2011, 17:01
Например поднять на роутере самбу...

Так в том то и дело поднята, в локалке вижу(в той что за роутером) а в пиринговой зоне нет. наверное в конфигах самбы надо ковыряться, не помню даже что там. В любом случае Спасибо за указание направления!

tempik
02-04-2011, 17:11
Так в том то и дело поднята, в локалке вижу(в той что за роутером) а в пиринговой зоне нет. наверное в конфигах самбы надо ковыряться, не помню даже что там. В любом случае Спасибо за указание направления!
Описание конфига на русском http://smb-conf.ru/

as_lan
06-04-2011, 12:04
У меня такая проблема теперь, надо было удалить tun (так как не хотел почему то стартовать vpn, и решил удалить и заново сделать) но удалить не получается ни через MC ни через командную строку, имя ошибки сейчас не вспомнить (нахожусь не дома, вечером напишу), просто хотелось бы узнать с чем могло быть связанно, права вроде бы есть, да из под рута все равно делаю. До этого удалял и создала вновь tun и все время было нормально

UPD. Вот собственно и ошибка

rm /dev/net/tun
cannot remove `/dev/net/tun': Operation not permitted

Arthur_X
13-04-2011, 17:51
Народ, я в тупике.
После соединения openvpn с сервером, клиент перестает видеть игровые сервера в своей-же локальной сети.
Самое интересное что пинг есть, в сетевом окружении папки открываются, но как только захожу CS, WoW, Call of Duty серваков в локальной сети нет. После отключения openvpn серваки появляются.
Тестировал во многих играх, во всех после подключения openvpn локальный игровой сервак пропадает.
Именно локальный, т.е. в той же локальной сети что и клиент. Например, клиент 192.168.0.2, сервер 192.168.0.7.

Шлюз по умолчанию менял, безрезультатно.

tempik
13-04-2011, 18:49
Народ, я в тупике.
После соединения openvpn с сервером, клиент перестает видеть игровые сервера в своей-же локальной сети.
Самое интересное что пинг есть, в сетевом окружении папки открываются, но как только захожу CS, WoW, Call of Duty серваков в локальной сети нет. После отключения openvpn серваки появляются.
Тестировал во многих играх, во всех после подключения openvpn локальный игровой сервак пропадает.
Именно локальный, т.е. в той же локальной сети что и клиент. Например, клиент 192.168.0.2, сервер 192.168.0.7.

Шлюз по умолчанию менял, безрезультатно.
Если в одной сети то шлюз пофиг ... что выдает команда:

tracert 192.168.0.7
на машине с игрушкой ...

Arthur_X
13-04-2011, 21:13
Трассировка с клиента (192.168.0.2):

C:\tracert 192.168.0.7
Трассировка маршрута к 192.168.0.7 с максимальным числом прыжков 30
1 <1 мс <1 мс <1 мс 192.168.0.7
Трассировка завершена.

Или сделать трассировку с сервера до самого-себя?

tempik
13-04-2011, 21:18
Трассировка с клиента (192.168.0.2):

C:\tracert 192.168.0.7
Трассировка маршрута к 192.168.0.7 с максимальным числом прыжков 30
1 <1 мс <1 мс <1 мс 192.168.0.7
Трассировка завершена.

Или сделать трассировку с сервера до самого-себя?

Ну и в чем проблема??? машина с которой делалась трасса видит игровой сервер... Так что дело не в роутере ...

Arthur_X
13-04-2011, 22:08
Вопрос больше относился к openvpn, чем к самому роутеру.
Возможно кто-то сталкивался.

Мне кажется я нашел причину, возможно после соединения VPN броадкасты уходят именно к VPN-шлюзу, а не в локальную сеть. Именно броадкастами игрушки ищут локальные сервера.

tempik
14-04-2011, 17:56
Вопрос больше относился к openvpn, чем к самому роутеру.
Возможно кто-то сталкивался.

Мне кажется я нашел причину, возможно после соединения VPN броадкасты уходят именно к VPN-шлюзу, а не в локальную сеть. Именно броадкастами игрушки ищут локальные сервера.
Запросы через бродкаст распространяются на все узлы сети ... интерфейс OpenVPN не должен получать адрес сети 192.168.0.0... иначе ничего работать не будет ... Все сетевые интерфейсы ОДНОГО хоста должны быть в РАЗНЫХ сетях ....

Arthur_X
14-04-2011, 22:41
В том то и проблема, что сразу после соединения OpenVPN сервера LAN исчезают из списка любой игры.

Возьмем для примера CounterStrike.
Wireshark показал что после нажатия кнопки обновить ("Refresh" - Lan) клиент посылает 5 пакетов:
source: 192.168.0.2
dest: 255.255.255.255
src port: 63616
dst port: 27014-27018
protocol: UDP

то есть делает броадкаст рассылку на 5 портов (27014-27018) чтобы ему ответил какой-либо игровой сервер из LAN.

Вопрос:
Почему после соединения OpenVPN кленту не отвечают сервера на его broadcast-рассылки?
Наверное потому что не доходит broadcast? Куда же пакеты уходят?

UPDATE:

Проблема решилась очень просто.
Если метрика одинаковая список строится на основании размера октетов шлюза.
Изменил адреса виртуального канала - вместо 20.*.*.* сделал 196.*.*.*.
Результат:
255.255.255.255 255.255.255.255 192.168.1.9 192.168.1.9 1
255.255.255.255 255.255.255.255 196.8.1.6 196.8.1.6 1

192 меньше 196 что автоматом поднимает запись выше.

Всем спасибо.

Arthur_X
08-05-2011, 23:14
2 Роутер, между ними openvpn тунель, на данный момент нароутересервере такие правила

шлюз на клиенте правильно указан, что надо написать чтоб появился по NAT интернет на клиенте?

На клиенте-роутере ничего кроме этого не надо:

iptables -I INPUT -i tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -j ACCEPT
iptables -I FORWARD -o tun0 -j ACCEPT
iptables -I OUTPUT -o tun0 -j ACCEPT

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0.0.0.0/0 -j SNAT --to-source 10.0.0.18

10.0.0.18 - ip openvpn-туннеля который выдается клиенту-роутеру
192.168.1.0 - сеть-LAN клиента-роутера

После этого появляется доступ к openvpn-туннелю (Инет, удаленный LAN и тд) у LAN-клиентов клиента-роутера.

darklander
09-05-2011, 16:45
Доброе время суток! У меня WL-500gp2 с прошивкой Олега подключен к бинайну по впн и вот собственно хотелось бы поднять OPENVPN которое работало только бы на одном порту роутера. Поясню, это только для того чтобы постоянно работал VOIP аппарат без соединений к компу ну и плюс чтобы домашние не лазили по рабочей сети. Великие Гуру подскажите возможно ли такое и направьте путь истинный. Спасибо:)

Arthur_X
04-06-2011, 22:35
Если кому-то интересно, сегодня снизил нагрузку на процессор wl500gpv2 с помощью параметра "--fast-io", на 10% загрузка упала.
Дальше провел мини-тестирование, выяснилось:

- максимальное количество трафика которое CPU роутера может переварить ~32Мбит/c;
- интересно что при скорости 7Мбит/c загрузка CPU 85%.

В openvpn было отключено шифрование, компрессия, протокол udp, tun, fast-io.

lostheaven1
12-07-2011, 10:27
Создаю файл S24opevpn, делаю исполняемым, стартую..
/opt/etc/init.d/S24openvpn :not found

Хотя /opt/etc/init.d/S20openvpn стартует..

В чем проблема?

tempik
14-07-2011, 19:29
Создаю файл S24opevpn, делаю исполняемым, стартую..
/opt/etc/init.d/S24openvpn :not found

Хотя /opt/etc/init.d/S20openvpn стартует..

В чем проблема?
Для начала вывод этих команд:

ls -l /opt/etc/init.d/
cat /opt/etc/init.d/S24openvpn
а дальше думать будем ...

LordG
18-08-2011, 20:13
Есть:
2 Роутера ASUS с прошивкой от энтузиастов
За каждым роутером по локальной подсети (192.168.137.0/25 и 192.168.137.128/26)
Роутеры подключены к Биллайну (т.е. есть локальная сеть провайдера 10.0.0.0 и интернет через L2TP)
В подсети 192.168.137.0/25 есть рабочая станция с Windows 7 (192.168.137.1), настроенная на прием входящих VPN соединений (VPN сервер).

Пытаюсь соединить две локальные подсети через VPN соединение поверх локальной сети провайдера.

2е VPN соединение с роутера подсети 192.168.137.128/26 к рабочей станции в первой настроить получилось (при помощи PPPD через PPTP).

Для VPN соединения рабочей станции и роутеру назначаются IP адреса 192.168.138.1 и 192.168.138.2 соответственно.

На рабочей станции прописывается маршрут:
route add 192.168.137.128/26 192.168.138.2

На роутере второй подсети:
route add -net 192.168.137.0/25 dev ppp1

После этого из второй подсети (со всех компьютеров, не только с роутера) есть доступ к рабочей станции в 1й (VPN серверу) по адресу 192.168.137.1.

С VPN сервера пингуется роутер по 192.168.138.2 и 192.168.137.150 и больше ничего - т.е. к локальным машинам доступа нет.

Я так понимаю надо что то дописать в iptables (возможно NAT мешает).

Подскажите в каком направлении копать ?

icCE
16-09-2011, 10:10
Интересует, как сделать wl500 именно как клиент для VPN ?
По умолчанию ставится маршрут по умолчанию vpn сети, если использовать правило nodefaultroute, то оно полностью игнорируется. Есть еще мысли ?

lavrikvorcuta
28-01-2012, 12:14
на роутере поверх инета настроен vpn тунель, но компы обращаются в инет минуя тунель.
моя сеть вида 192.168.1.х
в тунеле сеть 192.168.0.х
вопрос какие маршрутыц дописать чтоб весь трафик направлялся по тунелю?.
инет висит на ррр0
а тунель на ррр1.
прошивка у меня томато.

kronas
02-02-2012, 04:26
Поискал тут на форуме, не нашел ответ на свой вопрос, дак вот, если роутер поддерживает самбу, есть ли возможность организавать Active Directory или что то наподобии на этом железе?, это 1ый выопрос.
2ой вопрос: вот мне нужно сдлеать vpn подключение к роутеру, чтобы я с домашнего компа цеплялся к роутеру и мог работать в одной сети с компами с работы, тоесть я буду подключаться по wan, в часто задаваемых вапросах прочитал что данная железка поддрживает 16 vpn больше ничего не написано, как сделать, в поиске тоже не нашел, зарание спасибо!

mukca
25-05-2012, 10:44
сделал по инструкции с первого поста (конфиги один в один)

при подключении клиент пишет в лог


Fri May 25 12:39:15 2012 OpenVPN 2.2.2 Win32-MSVC++ [SSL] [LZO2] [PKCS11] built on Dec 15 2011
Fri May 25 12:39:15 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri May 25 12:39:16 2012 TAP-WIN32 device [Подключение по локальной сети 2] opened: \\.\Global\{5670B92C-DFA5-432C-BE4B-6D3C8AE05769}.tap
Fri May 25 12:39:16 2012 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.2/255.255.255.252 on interface {5670B92C-DFA5-432C-BE4B-6D3C8AE05769} [DHCP-serv: 10.8.0.1, lease-time: 31536000]
Fri May 25 12:39:16 2012 Successful ARP Flush on interface [18] {5670B92C-DFA5-432C-BE4B-6D3C8AE05769}
Fri May 25 12:39:16 2012 Attempting to establish TCP connection with 46.174.x.x:443
Fri May 25 12:39:16 2012 TCP connection established with 46.174.x.x:443
Fri May 25 12:39:16 2012 TCPv4_CLIENT link local: [undef]
Fri May 25 12:39:16 2012 TCPv4_CLIENT link remote: 46.174.x.x:443
и пока не пропингуешь тунельный интерфейс роутера и клиента (10.8.0.1 и 10.8.0.2) дальше не подключается
после пинга в логе появляется

Fri May 25 12:39:28 2012 Peer Connection Initiated with 46.174.x.x:443
Fri May 25 12:39:34 2012 Initialization Sequence Completed

где искать косяк ???

Lieta
20-12-2012, 08:46
[root@WL700gE openvpn]$ insmod tun.o
insmod: tun.o: module not found
[root@WL700gE openvpn]$ find /lib/modules/ -name tun
[root@WL700gE openvpn]$ uname -a
Linux WL700gE 2.4.20 #44 Sat Jan 26 20:07:26 EST 2008 mips unknown
[root@WL700gE openvpn]$ cat /proc/version
Linux version 2.4.20 (kfurge@kfurge-laptop) (gcc version 3.0 20010422 (prerelease) with bcm4710a0 modifications) #44 Sat Jan 26 20:07:26 EST 2008

Надо пересобрать ядро или можно решить как то по другому?

lokus
29-10-2013, 00:54
Мое почтение. Такая штука: хочу чтобы роутер подключался к OpenVPN-серверу как клиент,
при этом нужно со стороны сервера иметь доступ к подсети 10.0.0.0, которую дает провайдер.
Кроме того чтобы пустить сервер в сеть провайдера ничего от VPN не нужно.
Какие настройки роутинга нужно прописать для этого подскажите.

lokus
29-09-2014, 20:47
Докладываю пока о промежуточных результатах.
VPN запускаю из services-start с задержкой 30 секунд, потому что, если запускать его раньше, не успевает синхронизироваться время по ntp и из-за этого сервер не проходит TLS-аутентификацию.
Скрипт такой:
killall openvpn
sleep 30s
openvpn --daemon --cd /jffs/configs/openvpn --config client-home-rtn16.conf
sleep 30s
ip route add 172.22.0.1 dev tun0 table 100
ip route add 172.22.0.0/24 via 172.22.0.1 dev tun0 table 100
iptables -I INPUT -i tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -j ACCEPT
iptables -I FORWARD -o tun0 -j ACCEPT
iptables -I OUTPUT -o tun0 -j ACCEPT
После загрузки все работает, но есть проблема: после какого-то времени работы все правила iptables отваливаются и пропадают маршруты в таблице 100. При этом сам OpenVPN работает и с роутера до VPS пинг есть.
В какую сторону копать?

AndreyPopov
29-09-2014, 21:11
После загрузки все работает, но есть проблема: после какого-то времени работы все правила iptables отваливаются и пропадают маршруты в таблице 100. При этом сам OpenVPN работает и с роутера до VPS пинг есть.
В какую сторону копать?

"какое-то" время это сколько? 2-3 мин, 5-10 мин, 30 мин?

lokus
29-09-2014, 23:26
В логе что? Ре старты, обрывы, обновление времени И так далее?
....
Sep 29 23:35:52 openvpn[1559]: Initialization Sequence Completed
Sep 30 00:39:28 dnsmasq-dhcp[1156]: DHCPACK(br0) 192.168.1.110 00:1d:ec:04:78:f3 alo
Sep 30 01:04:16 openvpn[1559]: [vps] Inactivity timeout (--ping-restart), restarting
Sep 30 01:04:16 openvpn[1559]: /usr/sbin/ip addr del dev tun0 local 172.22.0.2 peer 172.22.0.1
Sep 30 01:04:16 openvpn[1559]: SIGUSR1[soft,ping-restart] received, process restarting
Sep 30 01:04:16 kernel: Interface tun0 doesn't exist
Sep 30 01:04:18 openvpn[1559]: Control Channel Authentication: using '/jffs/configs/openvpn/ta.key' as a OpenVPN static key file
Sep 30 01:04:18 openvpn[1559]: UDPv4 link local (bound): [undef]
Sep 30 01:04:18 openvpn[1559]: UDPv4 link remote: [AF_INET] xxx.yyy.zzz.ttt:1194
Sep 30 01:04:18 openvpn[1559]: [vps] Peer Connection Initiated with [AF_INET]xxx.yyy.zzz.ttt:1194
Sep 30 01:04:20 openvpn[1559]: TUN/TAP device tun0 opened
Sep 30 01:04:20 openvpn[1559]: do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Sep 30 01:04:20 openvpn[1559]: /usr/sbin/ip link set dev tun0 up mtu 1500
Sep 30 01:04:20 openvpn[1559]: /usr/sbin/ip addr add dev tun0 local 172.22.0.2 peer 172.22.0.1
Sep 30 01:04:20 openvpn[1559]: Initialization Sequence Completed

AndreyPopov
30-09-2014, 09:05
....
Sep 30 01:04:16 openvpn[1559]: [vps] Inactivity timeout (--ping-restart), restarting

непонятно чей сервер, но из-за неактивной сессии он обрывает соединение.

надо в настройках глянуть, чтобы отключить таймер неактивности.

lokus
30-09-2014, 12:24
непонятно чей сервер, но из-за неактивной сессии он обрывает соединение.

надо в настройках глянуть, чтобы отключить таймер неактивности.

А каким хостером VPS Вы пользуетесь?

AndreyPopov
30-09-2014, 12:46
А каким хостером VPS Вы пользуетесь?

я PPTP пользую из роутеров.

lokus
30-09-2014, 13:34
А где-то тут на форуме мелькало про VPS за $10/year.
Но сейчас не могу найти. Кто-нибудь пользуется таким?

ryzhov_al
30-09-2014, 13:43
А где-то тут на форуме мелькало про VPS за $10/year.
Но сейчас не могу найти. Кто-нибудь пользуется таким?Может здесь (http://www.zyxmon.org/2014/02/01/vps-xosting-s-chem-eto-edyat/#comment-13) мелькало? Я пользуюсь акционным предложением BlueVM. Признаться, врагу не пожелаешь.

lokus
30-09-2014, 14:48
Может здесь (http://www.zyxmon.org/2014/02/01/vps-xosting-s-chem-eto-edyat/#comment-13) мелькало? Я пользуюсь акционным предложением BlueVM. Признаться, врагу не пожелаешь.

Да, точно, именно там.
Сейчас нашел еще несколько предложений:
"Секретные тарифы" от EOMY.NET (http://eomy.net/forum/servis-vps-ot-eomy-net-vf37.html) и еще два агреггатора: lowendstock (http://lowendstock.com/) и lowendbox (http://lowendbox.com/).
Склоняюсь к eomy т.к. живой русскоязычный форум решает)
Хотя на lowendstock можно найти и более крутые в плане параметров предложения, поиск удобный.

По поводу работы OpenVPN у меня с VPS от reg.ru наблюдается интересное дело:
Не использую особо туннель, потом пытаюсь пингануть серверный tun IP, пинг не проходит, и как раз в этот момент в логе появляется:
Sep 30 15:34:08 openvpn[1632]: [reg-ru-vps] Inactivity timeout (--ping-restart), restarting
Sep 30 15:34:08 openvpn[1632]: SIGUSR1[soft,ping-restart] received, process restarting
потом 4 раза такая ошибка:
Sep 30 15:37:14 openvpn[1632]: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sep 30 15:37:14 openvpn[1632]: TLS Error: TLS handshake failed
и потом соединение восстанавливается...
на сервере уменьшил до keepalive 5 60, на клиенте добавил pull...
Посмотрим что теперь получится...
Какие еще мысли есть?...

lokus
03-10-2014, 13:27
Вот только VPN не работает. Конфиг стандартный, проверенный на CentOS, со статическим ключем.
Ошибка которую выдает клиент при коннекте:

Connection reset by peer (WSAECONNRESET) (code=10054)

Хотя бывает что и вообще ничего не выдает. в роутере прописал:

iptables -I INPUT -p udp --dport 1194 -j ACCEPT

сервер запускаю так:

openvpn --daemon --cd /jffs/configs/openvpn --config tun0.conf

Может это быть из за того что криво прошилось?...

OpenVPN который в прошивке он же может быть и сервером и клиентом, да?..
В логах в web-интерфейсе ни одного упоминания про OpenVPN
Включил в конфиге OpenVPN management-интерфейс.
Подключаюсь к нему, делаю log on. Коннекчусь с клиента, вижу:

SUCCESS: real-time log notification set to ON
>LOG:1412336440,I,Peer Connection Initiated with [AF_INET]мой_айпи:1194
>LOG:1412336440,I,Initialization Sequence Completed

Клиент при этом молчит наглухо.

P.S. Проблему решил прописыванием в конфиг сервера строчки

local 192.168.1.1

На CentOS работало без этого... Наверное потому что там был только 1 интерфейс. Возможно кому то будет полезно.

lokus
06-10-2014, 15:58
Шут с ним с VPN. Почему правила не работают:

iptables -t nat -I PREROUTING -d 10.39.252.2 -j DNAT --to-destination 89.20.155.0
iptables -t nat -I POSTROUTING -s 89.20.155.0 -j SNAT --to-source 10.39.252.2
В локалке SIP-адаптор который раньше на 10.39.252.2 регистрировался, а теперь
сети 10/8 нет и нужно регистрироваться на 89.20.155.0. Что я делаю не так?

Сейчас обнаружил, что если на роутере выделить порт для iptv и туда подключить sip-адаптор,
то он успешно регистрируется. Но так использовать не вариант, бо нужно еще на астериске
как-то зарегаться, а без инета не выйдет...
Есть какие-нибудь идеи как всетаки заставить эту штуку работать?

megajok
27-12-2014, 21:40
Господа, кто в теме, подскажите, плиз, в какую сторону копать:
при соединении канала через openvpn нет доступа на клиент, сеть за клиентом видна и доступна, сам клиент пингуется, но кроме пинга ни один протокол не работает (ssh, http, samba, ftp, telnet и т. д.). На прошивках 5066 и старше все работает, но эти прошивки еще не поддерживают модемы wcdma (в частности zte mf823). Что может резать все пакеты, кроме icmp? iptables настроены.

mapkyl
16-03-2015, 18:28
Господа, кто в теме, подскажите, плиз, в какую сторону копать:
при соединении канала через openvpn нет доступа на клиент, сеть за клиентом видна и доступна, сам клиент пингуется, но кроме пинга ни один протокол не работает (ssh, http, samba, ftp, telnet и т. д.). На прошивках 5066 и старше все работает, но эти прошивки еще не поддерживают модемы wcdma (в частности zte mf823). Что может резать все пакеты, кроме icmp? iptables настроены.
Исследую в точности эту же проблему. Проявляется в невозможности установить TCP-соединение (что ssh, что telnet, что mysql). Пока кажется что проблема на стороне клиента (у меня OpenVPN между двумя роутерами с местной прошивкой). С роутера-VPN клиента уходят пакеты на установку соединения (флаг SYN), сервер отвечает (SYN,ACK), а клиент молчит. Сервер повторяет SYN,ACK. И тут клиент вместо ACK шлет новый SYN, и так по кругу. Ping при этом ходит без проблем. Сеть за клиентом при этом без проблем. Только на самом роутере VPN-клиенте так.
Обновление пакетов entware ситуацию не изменило, openvpn 2.3.6-3 от 24 февраля - полет такой же.

Свежую попробую, спасибо

mapkyl
20-03-2015, 19:12
Свежую попробую, спасибо

а откатиться в итоге пришлось на 5000. Даже на 5100 не работает, не говоря уже о последней 5650. C 5000 всё работает без изменения других настроек - не менял ни iptables ни openvpn.

serg_new
20-12-2016, 19:57
Всем привет!

Просьба помочь подружить две сети (дом и дача).
В доме статический ип-адрес, наружу смотрит asus rtn12u, есть постоянно включенный микро-сервер (клон debian, openmediavault).
Есть дача, хочу там разместить видео-камеру (доступ через браузер) и прокинуть ее внутрь домашней сети или даже высветить наружу (по статическому ип-адресу) в интернет.
Т.е. схематически выглядит так:
камера - внутр сеть 1 (дача) - точка доступа Х - интрентет - asus rtn12u:стат ип адрес - домашняя сеть 2 - проброс камеры в интернет по стат ип адрес: порт - интернет
Посоветуйте точку доступа для дачи. Видел в прошивке vpn, ipsec, но никогда сам не поднимал.
Также можно мой домашний asus rtn12u использовать на даче, тогда что ставить дома?
Думал либо купить такой же (12U) либо 66U.
Шифрование не нужно, нужен доступ на скорости до 0,5 мбайта в секунду.
Да, на 12U стоит дефолтная прошивка, хотелось бы обойтись меньшей кровью.
Заранее спасибо за любой совет!

DeeZ
05-05-2017, 09:17
На роутере установлен OpenVPN и роутер цепляется к серверу (через tun). Проброс портов за роутер работает, а при попытке сделать порт маппинг на сам роутер - тишина.
В дампе вижу что на роутер прилетает пакет от сервера, но роутер на него не отвечает.
Ощущение что dropbear не слушает на этом адресе, хотя
netstat -ant
tcp 0 0 0.0.0.0:5436 0.0.0.0:* LISTEN

И с роутера сам на себя по этому адресу подключиться могу
ssh -l root -p 5436 172.16.74.3
Хотя тут коннект идет через Lo интерфейс.

В iptables правило стоит первым:
-A INPUT -p tcp -m tcp --dport 5436 -j ACCEPT

Конфиг OpenVPN


client
askpass /opt/etc/openvpn/pass
remote vps.domain.com
port 3194
dev tun
proto udp
resolv-retry infinite
nobind
pull
persist-key
persist-tun
tls-client
remote-cert-tls server
pkcs12 vpn.client.p12
tls-auth ta.key 1
comp-lzo
log /tmp/openvpn.log
verb 3
auth-nocache
keepalive 10 120

Косяк в роутере тк другой клиент (десктоп) нормально принимает форварднутые коннекты.

Куда копать?