PDA

Bekijk de volledige versie : Установка OpenVPN в основную память для НОВИЧКОВ



Mirage-net
07-04-2007, 13:12
Значится так, все описанное здесь было сделано по просьбе моего друга известного здесь как Polll (вот его проблема http://wl500g.info/showthread.php?t=8710).
Задача звучала так:
на работе закрыты все порты наружу (http идеть через проксю) кроме TCP 5190, нужно получить полноценный инет. Дома стоит WL500gP с реальным IP на WAN, но без подключенного харда или флэшки.
Так как он в linux`e полный ноль, то пришлось написать скрипт который сделает все сам. Сразу оговорюсь что скрипт писался исходя из условий что в WL500gP никто по телнету на "лазил грязными ногами" была только залита прошивка Олега и настроено все через веб морду. Соответственно считалось по умолчанию что скрипт ничего настроенного (до его запуска) через телнет не сломает (если что-то делали ранее нужно закоментировать соответствующие строки).
Расписано все так чтобы было понятно даже новичку. И так начнем ...
Для начала нужно скачать и установить на винду openvpn http://openvpn.se/download.html
openvpn-2.0.9-gui-1.0.3-install.exe.

После установки переименовываем новое сетевое соединение в "tun0".

Генерим ключик:
cd C:\Program Files\OpenVPN\config
openvpn --genkey --secret static.key

С помощью блокнота создаем в директории C:\Program Files\OpenVPN\config файл client.ovpn следующего содержания:
remote myhost
dev tun0
port 5190
proto tcp-client
ifconfig 10.8.0.2 10.8.0.1
secret static.key
redirect-gateway
где "muhost" IP-адрес WAN роутера, порт 5190 выбран изза условия (можно поставить любой выше 1024)
С виндой мы разобрались теперь займемся роутером.

Нужно любым способом перебросить файлик ключа static.key на роутер в директорию /tmp/local. Это можно

сделать несколькими способами, вот два самых простых:

1) Временно подключить жесткий диск или флэшку к роутеру и по фтп скинуть на него файлик, после чего в

телнете выполнить команду
cp /tmp/harddisk/ftp_pub/static.key /tmp/local

2) Временно выложить файлик где нить в инете и в телнете выполнить команды
cd /tmp/local
wget http://адрес_где_лежит_файл/static.key

Все будем ставить в встроенный флеш.

Вот файл скрипта inst_openvpn

#!/bin/sh

# Создаем директорию куда все будем ставить
mkdir /tmp/local/opt

# Монтируем ее в /opt
mount /tmp/local/opt /opt

# Обновляем список доступных для установки пакетов
ipkg.sh update

# Устанавливаем установщик пакетов ipkg
ipkg.sh install ipkg

# Перенастраиваем ipkg на нужный нам репозитарий пакетов
echo "src unslung http://ipkg.nslu2-linux.org/feeds/optware/oleg/cross/stable" > /opt/etc/ipkg.conf
echo "dest root /" >> /opt/etc/ipkg.conf

# Обновляем список доступных для установки пакетов
ipkg update

# Последовательно ставим необходимые для выполнения нащей задачи пакеты
ipkg install uclibc-opt
ipkg install openssl
ipkg install lzo
ipkg -force-depends install openvpn

# Создаем виртуальный сетевой интерфейс
mkdir /dev/net
mknod /dev/net/tun c 10 200

# Создаем файл конфигурации openvpn сервера
echo "dev tun0" > /opt/etc/openvpn/server.conf
echo "port 5190" >> /opt/etc/openvpn/server.conf
echo "proto tcp-server" >> /opt/etc/openvpn/server.conf
echo "ifconfig 10.8.0.1 10.8.0.2" >> /opt/etc/openvpn/server.conf
echo "secret static.key" >> /opt/etc/openvpn/server.conf

# Создаем директорию для пользовательских скриптов
mkdir /usr/local/sbin

# Создаем в ней файл post-boot и прописываем в него
# монтирование /opt и запуск openvpn сервера после загрузки роутера
echo "#!/bin/sh" > /usr/local/sbin/post-boot
echo "mount /tmp/local/opt /opt" >> /usr/local/sbin/post-boot
echo "/opt/etc/init.d/S24openvpn" >> /usr/local/sbin/post-boot

# Делаем файл скрипта исполняемым
chmod +x /usr/local/sbin/post-boot

# Создаем в ней файл post-firewall и прописываем в него
# нужные нам правила файрвола для работы сервера
echo "#!/bin/sh" > /usr/local/sbin/post-firewall
echo "iptables -D INPUT -j DROP" >> /usr/local/sbin/post-firewall
echo "iptables -I INPUT -p tcp --dport 5190 -j ACCEPT" >> /usr/local/sbin/post-firewall
echo "iptables -t nat -I PREROUTING -i eth1 -p tcp --dport 5190 -j DNAT --to-destination \$4:5190" >> /usr/local/sbin/post-firewall
echo "iptables -A INPUT -j DROP" >> /usr/local/sbin/post-firewall
echo "iptables -I INPUT -i tun0 -j ACCEPT" >> /usr/local/sbin/post-firewall
echo "iptables -I FORWARD -i tun0 -j ACCEPT" >> /usr/local/sbin/post-firewall
echo "iptables -I FORWARD -o tun0 -j ACCEPT" >> /usr/local/sbin/post-firewall
echo "iptables -I OUTPUT -o tun0 -j ACCEPT" >> /usr/local/sbin/post-firewall

# Делаем файл скрипта исполняемым
chmod +x /usr/local/sbin/post-firewall

# Создаем файл запуска openvpn сервера
echo "#!/bin/sh" > /opt/etc/init.d/S24openvpn
echo 'if [ -n "`pidof openvpn`" ]; then' >> /opt/etc/init.d/S24openvpn
echo "/bin/killall openvpn 2>/dev/null" >> /opt/etc/init.d/S24openvpn
echo "fi" >> /opt/etc/init.d/S24openvpn
echo "/sbin/insmod tun" >> /opt/etc/init.d/S24openvpn
echo "echo 1 > /proc/sys/net/ipv4/ip_forward" >> /opt/etc/init.d/S24openvpn
echo "/opt/sbin/openvpn --cd /opt/etc/openvpn --daemon --log-append /var/log/openvpn.log --config server.conf" >> /opt/etc/init.d/S24openvpn

# Делаем файл скрипта исполняемым
chmod +x /opt/etc/init.d/S24openvpn

# Говорим роутеру что мы хотим сохранять во флэш наши скрипты
echo "/usr/local/sbin/post-firewall" > /usr/local/.files
echo "/usr/local/sbin/post-boot" > /usr/local/.files

# перемещаем ключ в нужное место
mv /tmp/local/static.key /opt/etc/openvpn

# Сохраняем все во флэш и перегружаем роутер
flashfs save
flashfs commit
flashfs enable
reboot

После ребута роутера пробуем законектится с винды ... Если удачно то весь интернет трафик теперь пойдет через этот тунель.

Если нет желания вводить команды руками можно взять готовый скрипт (см. вложение) переместить его на роутер в /tm/local также как файл ключа сделать исполняемым
chmod +x /tmp/local/inst_openvpn

и запустить его
/tmp/local/inst_openvpn

Удачи всем ...

manyuk
07-04-2007, 21:06
Как доходит установка до ipkg install openssl
то пишется следующее:

Installing openssl (0.9.7m-1) to root...
Downloading http://ipkg.nslu2-linux.org/feeds/optware/oleg/cross/stable/openssl_0.9.7m-1_mipsel.ipk
ipkgipkg: : gzip aborted

gzip aborted

Connection closed by foreign host.

После этого... интернета нет :(

Mirage-net
07-04-2007, 22:24
Как доходит установка до ipkg install openssl
то пишется следующее:

Installing openssl (0.9.7m-1) to root...
Downloading http://ipkg.nslu2-linux.org/feeds/optware/oleg/cross/stable/openssl_0.9.7m-1_mipsel.ipk
ipkgipkg: : gzip aborted

gzip aborted

Connection closed by foreign host.

После этого... интернета нет :(

Странно этот скрипт обкатал уже на 3-х WL500gP ... а что до этого с коробочкой делал через телнет??

manyuk
07-04-2007, 23:45
ничего не делал. подумал что может из-за маленького встроеного флеша. подключил внешний винт. и проблема все авно осталась :( помогите плиззз. с затврашнего дня переходит провайдер на опенвпн

Mirage-net
08-04-2007, 08:54
ничего не делал. подумал что может из-за маленького встроеного флеша. подключил внешний винт. и проблема все авно осталась :( помогите плиззз. с затврашнего дня переходит провайдер на опенвпн
Да нет размер флэша здесь не причем попробуй очистить все и заново запустить мой скрипт целиком как есть ... если все пройдет как надо потом перенастроим на твою задачу ... Очищаем так:
заходим телнетом на роутер и выполняем эти команды
umount /opt
rm -r /tmp/local/opt
rm -r /usr/local/sbin
rm /usr/local/.files
flashfs save
flashfs commit
flashfs enable
reboot

После перезагрузки кладешь мой скрипт в /tmp/local и запускаешь его ... если все встанет тогда уже будем править конфиги ...
Кстате а какая прошивка стоит ??? на текущий момент нужно ставить 1.9.2.7-7g http://wl500g.info/showpost.php?p=51576&postcount=7

manyuk
08-04-2007, 16:58
Выявил проблему. Оказалось надо было установить gzip. После этого все спокойно установилось. Но у меня другая проблема - почему то пакеты, которые я устанавливаю после перезагрузки не сохраняются. Например ipkg после перезагрузки надо снова ставить

Mirage-net
08-04-2007, 20:04
Выявил проблему. Оказалось надо было установить gzip. После этого все спокойно установилось. Но у меня другая проблема - почему то пакеты, которые я устанавливаю после перезагрузки не сохраняются. Например ipkg после перезагрузки надо снова ставить
если ставить во встроенный флэш то после установки нужно делать flashfs save
flashfs commit
flashfs enable
reboot
по поводу отсутствия gzip это вопрос уже к Олегу ... вообще он входит в изначальную его прошивку ... скорее всего был сбой при скачки пакета и при попытке его разархивирования и вылетала ошибка т.к. файл был не полный...

manyuk
09-04-2007, 12:18
а если не в встроенный? я подключил внешний хард

Mirage-net
09-04-2007, 12:28
а если не в встроенный? я подключил внешний хард
на внешнем харде и так все остается ... единственное что нужно сделать это вставить в post-mount монтирование папки в /opt как сделать смотри в http://www.wl500g.info/showthread.php?t=2391 и http://www.wl500g.info/showthread.php?t=3171

manyuk
09-04-2007, 16:18
Скажите, а как вернуть загрузку с встроенного флеша. я деал nvram set boot_dev="/dev/scsi/host0/bus0/target0/lun0/part1. Как теперь правильно вернуть?

Oleg
09-04-2007, 16:24
nvram unset boot_dev
nvram commit

или удалить директорию /mnt

manyuk
09-04-2007, 18:46
Уважаемые, установил все! Все прошло удачно! Спасибо большое! Теперь, подскажите пожалуйста как производить натсройки.
Очень прошу, отозваться как можно скорее.

manyuk
09-04-2007, 20:35
Пока ждал, решил поэкспериментировать. Записал все, что было в client.ovpn в server.conf.
в логах опенвпн начало активно писаться что-то.
Логи прикрпеляю. Надеюсь на вашу помощь

Mirage-net
10-04-2007, 09:13
Пока ждал, решил поэкспериментировать. Записал все, что было в client.ovpn в server.conf.
в логах опенвпн начало активно писаться что-то.
Логи прикрпеляю. Надеюсь на вашу помощь
Судя по логам ругается на МАС адрес ... склонироуй МАС с сетевухи компа на роутер ... и client.ovpn в студию ... там в отличии от винды нужно немного поправить ... и файлы ключевые нужно скопировать в /opt/etc/openvpn

manyuk
10-04-2007, 12:02
MAC адрес роутера использовался раньше и для обычного соединения. Так что не вижу смысла вставлять МАС сетевой компа.
client.ovpn
client
float
dev tap
proto udp
remote vpn.normaplus.com 1120
nobind
persist-key
persist-tun
ca ca.crt
key F703618B7560D38C6C2BD7663691D8E28629D6A3.key
cert F703618B7560D38C6C2BD7663691D8E28629D6A3.crt
ns-cert-type server
verb 3

все ключи кинул туда

Mirage-net
10-04-2007, 12:35
MAC адрес роутера использовался раньше и для обычного соединения. Так что не вижу смысла вставлять МАС сетевой компа.
client.ovpn
client
float
dev tap
proto udp
remote vpn.normaplus.com 1120
nobind
persist-key
persist-tun
ca ca.crt
key F703618B7560D38C6C2BD7663691D8E28629D6A3.key
cert F703618B7560D38C6C2BD7663691D8E28629D6A3.crt
ns-cert-type server
verb 3

все ключи кинул туда

что-то непонятное ... попробуй заменить tap на tun и убрать float

manyuk
10-04-2007, 21:36
заменил tap на tun и удалил float. все равно не заработало. логи ниже прикрепляю. второй лог - вернул все назад и ситуация такая же :(

Mirage-net
11-04-2007, 08:50
заменил tap на tun и удалил float. все равно не заработало. логи ниже прикрепляю. второй лог - вернул все назад и ситуация такая же :(
Судя по логу openvpn.log.tun.txt с даннам конфигом соединение проходит нормально... а вот дальше чтото не ладится ... скорее всего без консультации с провом проблему не решить ... если вариант обращения к прову не реализуем (например запрещает роутеры, хотя можно просто сказать что на компе линукс) то видимо придется ждать советов от гуру ... мне уже ничего в голову не приходит :(

OlegSV
15-04-2007, 10:51
Чего-то я не пойму. Подправил под себя готовый скрипт, перенес в /tmp/local/ , сделал исполняемым. При попытке запустить (/tmp/local/inst_openvpn), возвращается ответ, что inst_openvpn в директории /tmp/local/ нет.
Где засада ?

Mirage-net
15-04-2007, 13:18
Чего-то я не пойму. Подправил под себя готовый скрипт, перенес в /tmp/local/ , сделал исполняемым. При попытке запустить (/tmp/local/inst_openvpn), возвращается ответ, что inst_openvpn в директории /tmp/local/ нет.
Где засада ?
ls -l /tmp/local что говорит? недеюсь правил не в блокноте винды??? если да то у *NIX и WIN разные коды завершения строки ... как вариант можно использовать прогу Codepage Translator http://www.softok.org/utils/perecod/10352prog.html

OlegSV
16-04-2007, 20:41
C Codepage Translator дело веселей пошло. Файлы в нужных местах разместил, скрипт запустил. Вроде как все удачно прошло. Теперь надо в вебинтерфейсе чего-то прописать. А где прописывать ?

Mirage-net
17-04-2007, 08:36
C Codepage Translator дело веселей пошло. Файлы в нужных местах разместил, скрипт запустил. Вроде как все удачно прошло. Теперь надо в вебинтерфейсе чего-то прописать. А где прописывать ?

а зачем там чтото писать??? вебинтерфейс для настроек того что в роутере изначально (в прошивке) установлено ... все что ставишь сам конфигурится из консоли ... Если все прошло удачно то и делать больше нечего ... подробнее опиши чего не выходит

OlegSV
17-04-2007, 20:59
а зачем там чтото писать??? вебинтерфейс для настроек того что в роутере изначально (в прошивке) установлено ... все что ставишь сам конфигурится из консоли ... Если все прошло удачно то и делать больше нечего ... подробнее опиши чего не выходит

Скрипт запустил, он отработал. В процессе установки, выдавал ошибки о невозможности обращению к репозитарию пакетов. Я их установил ранее. Остальное без проблем. После ребута инета нет.
Правда, установка проходила в два этапа: на работе первая часть скрипта с закачкой нужных пакетов, затем дома все остальное. Связано с тем, что долбаный openvpn через роутер пробросить не смог (Не ругайте ламера, лучше помогите это сделать). А на работе с инетом вообще никаких заморочек, за пару минут все заработало.
Я, лучше отнесу свою брунжелку на работу, спокойно там все сделаю, принесу домой и попробую. Если не заработает, сразу отобью телеграмму. И если, ВДРУГ, заработает, то же.

OlegSV
27-04-2007, 15:09
Докладываю. Попробовал все переделать в спокойной обстановке. Все прошло на ура. Притащил домой, воткнул - ноль. Ни чего у меня с openvpnом, видимо, не получится. Отсутствие знаний в области сетей, полное отсутствие времени на настройки. Обстоятельства ...! Я уже почти месяц пытаюсь роутер под моего прова запустить.
Сейчас осуществляю пораженческую идею по смене провайдера. Выйдет чуть дороже, но удобнее (реальный IP, скорость выше).
Огромное спасибо Mirage-net за участие в моих изысканиях, за помощь "с нуля".

Mirage-net
27-04-2007, 15:44
Докладываю. Попробовал все переделать в спокойной обстановке. Все прошло на ура. Притащил домой, воткнул - ноль. Ни чего у меня с openvpnом, видимо, не получится. Отсутствие знаний в области сетей, полное отсутствие времени на настройки. Обстоятельства ...! Я уже почти месяц пытаюсь роутер под моего прова запустить.
Сейчас осуществляю пораженческую идею по смене провайдера. Выйдет чуть дороже, но удобнее (реальный IP, скорость выше).
Огромное спасибо Mirage-net за участие в моих изысканиях, за помощь "с нуля".
Всегда рад... не надо отчаиваться может еще запустим для начала запость сюда содержимое файла c:\C:\Program Files\OpenVPN\config\client.ovpn с Виндовой машины. Глянем что в конфиге поправить нужно ...

OlegSV
30-04-2007, 14:35
Всегда рад... не надо отчаиваться может еще запустим для начала запость сюда содержимое файла c:\C:\Program Files\OpenVPN\config\client.ovpn с Виндовой машины. Глянем что в конфиге поправить нужно ...

Вот он client.ovpn

Vaml7uP
01-05-2007, 22:47
на свой первый вопрос я нашёл ответ - буду править скрипт в предложенном редакторе. исправил, загрузил
второй вопрос: IP вида 10.x.x.x обязательны? просто в моей локалке другие ип, а при изменении 10.x.x.x опенвпн ругается)))

далее: после запуска этого скрипта чудесным образом закрылись все порты, кроме 80 и 8080...


з.ы. когда создавал ключик, надо было переключаться не в сonfig, a в bin.

Mirage-net
02-05-2007, 11:29
на свой первый вопрос я нашёл ответ - буду править скрипт в предложенном редакторе. исправил, загрузил
второй вопрос: IP вида 10.x.x.x обязательны? просто в моей локалке другие ип, а при изменении 10.x.x.x опенвпн ругается)))

далее: после запуска этого скрипта чудесным образом закрылись все порты, кроме 80 и 8080...
з.ы. когда создавал ключик, надо было переключаться не в сonfig, a в bin.
IP-адреса были взяты для примера .... они не должны совпадать с адресами в домашней локальной сети и с подсеткой прова ...

Mirage-net
02-05-2007, 11:35
значится так ....
в /opt/etc/openvpn/ копируем файлы:
C:\vpn\ca.crt
C:\vpn\client30.crt
C:\vpn\client30.key
а файл /opt/etc/openvpn/server.conf должен быть примерно такой:
client
dev tun0
proto tcp
remote 192.168.111.246 1194
nobind
persist-key
persist-tun
ca ca.crt
cert client30.crt
key client30.key
comp-lzo
verb 3

дальше смотрим логи ....

Vaml7uP
02-05-2007, 11:52
то есть: в адресах что ставить? я запутался... адреса вида 10.x.x.x и 172.16 (17).x.x, 169.254.1.0 заняты....

C:\vpn\client30.key это тот static.key ? а C:\vpn\ca.crt в папке openvpn нету.

/opt/etc/openvpn/server.conf прочитать не могу - нету доступа):

Mirage-net
02-05-2007, 13:00
то есть: в адресах что ставить? я запутался... адреса вида 10.x.x.x и 172.16 (17).x.x, 169.254.1.0 заняты....

C:\vpn\client30.key это тот static.key ? а C:\vpn\ca.crt в папке openvpn нету.

/opt/etc/openvpn/server.conf прочитать не могу - нету доступа):

задай диапазон 192.168.х.0/24
как это нет доступа??? как на роутер заходишь??? блин!!! запутали ... и вообще подробнее что именно конфигурим сервер или клиента

Vaml7uP
02-05-2007, 13:42
192.168.x.0/24 тоже занят.
если я задаю ЛЮБОЙ формат, то он ругается. просит ип под маску 255.255.255.252

домашняя сеть - 169.254.1.0
локалка - 172.17.0.0
пиринг 10.0.0.0, 192.168.0.0, 172.17.0.0, куча инетовских адресов.



сейчас конфигурю сервер. при попытке на роутере прочитать какой либо файл - отказ в доступе.
клиент с роутером не коннектится:
Wed May 02 15:41:37 2007 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Wed May 02 15:41:37 2007 TAP-WIN32 device [Подключение по локальной сети 5] opened: \\.\Global\{F1867C37-1C98-4009-A7C5-EF9E0AB62AB7}.tap
Wed May 02 15:41:37 2007 Notified TAP-Win32 driver to set a DHCP IP/netmask of 169.254.0.2/255.255.255.252 on interface {F1867C37-1C98-4009-A7C5-EF9E0AB62AB7} [DHCP-serv: 169.254.0.1, lease-time: 31536000]
Wed May 02 15:41:37 2007 Successful ARP Flush on interface [2] {F1867C37-1C98-4009-A7C5-EF9E0AB62AB7}
Wed May 02 15:41:37 2007 Attempting to establish TCP connection with 80.249.155.122:5190
Wed May 02 15:41:38 2007 TCP: connect to 80.249.155.122:5190 failed, will try again in 5 seconds

Mirage-net
02-05-2007, 14:02
192.168.x.0/24 тоже занят.
если я задаю ЛЮБОЙ формат, то он ругается. просит ип под маску 255.255.255.252

домашняя сеть - 169.254.1.0
локалка - 172.17.0.0
пиринг 10.0.0.0, 192.168.0.0, 172.17.0.0, куча инетовских адресов.
тогда ставим 169.254.2.1 169.254.2.2


сейчас конфигурю сервер. при попытке на роутере прочитать какой либо файл - отказ в доступе.
еще раз спрашиваю как заходишь на роутер ??? какой программой??? какой логин??? протокол???


клиент с роутером не коннектится:
Wed May 02 15:41:37 2007 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Wed May 02 15:41:37 2007 TAP-WIN32 device [Подключение по локальной сети 5] opened: \\.\Global\{F1867C37-1C98-4009-A7C5-EF9E0AB62AB7}.tap
Wed May 02 15:41:37 2007 Notified TAP-Win32 driver to set a DHCP IP/netmask of 169.254.0.2/255.255.255.252 on interface {F1867C37-1C98-4009-A7C5-EF9E0AB62AB7} [DHCP-serv: 169.254.0.1, lease-time: 31536000]
Wed May 02 15:41:37 2007 Successful ARP Flush on interface [2] {F1867C37-1C98-4009-A7C5-EF9E0AB62AB7}
Wed May 02 15:41:37 2007 Attempting to establish TCP connection with 80.249.155.122:5190
Wed May 02 15:41:38 2007 TCP: connect to 80.249.155.122:5190 failed, will try again in 5 seconds

пока не увижу конфига ничем не помогу ... :(

Vaml7uP
02-05-2007, 14:16
на роутер захожу телнетом.

в аттаче конфиг клиента.

Mirage-net
02-05-2007, 14:43
на роутер захожу телнетом.

в аттаче конфиг клиента.

а конфиг сервера??? что выдают команды:
ls -l /opt/etc/openvpn/
cat /opt/etc/openvpn/server.conf

Vaml7uP
02-05-2007, 14:59
а конфиг сервера??? что выдают команды:
ls -l /opt/etc/openvpn/
cat /opt/etc/openvpn/server.conf

[apd@(none) root]$ ls -l /opt/etc/openvpn/
-rw-r--r-- 1 apd root 1884 Jan 19 02:06 openvpn.conf
-rw-r--r-- 1 apd root 67 Jan 19 02:06 openvpn.up
drwxr-xr-x 1 apd root 0 Jan 19 02:06 sample-config-files
drwxr-xr-x 1 apd root 0 Jan 19 02:06 sample-keys
-rw-r--r-- 1 apd root 87 May 2 16:57 server.conf
-rw-r--r-- 1 apd root 5053 May 2 12:07 static.key
[apd@(none) root]$
[apd@(none) root]$ cat /opt/etc/openvpn/server.conf
dev tun0
port 5190
proto tcp-client
ifconfig 169.254.2.1 169.254.2.2
secret static.key
[apd@(none) root]$

Mirage-net
02-05-2007, 15:09
[apd@(none) root]$ ls -l /opt/etc/openvpn/
-rw-r--r-- 1 apd root 1884 Jan 19 02:06 openvpn.conf
-rw-r--r-- 1 apd root 67 Jan 19 02:06 openvpn.up
drwxr-xr-x 1 apd root 0 Jan 19 02:06 sample-config-files
drwxr-xr-x 1 apd root 0 Jan 19 02:06 sample-keys
-rw-r--r-- 1 apd root 87 May 2 16:57 server.conf
-rw-r--r-- 1 apd root 5053 May 2 12:07 static.key
[apd@(none) root]$
[apd@(none) root]$ cat /opt/etc/openvpn/server.conf
dev tun0
port 5190
proto tcp-client
ifconfig 169.254.2.1 169.254.2.2
secret static.key
[apd@(none) root]$
видимо причина в строке
proto tcp-client
должен быть
proto tcp-server в /opt/etc/openvpn/server.conf

Vaml7uP
02-05-2007, 15:11
а как изменить через консоль?
з.ы. вот ещё в чём причина: хоть я открыл порт, но роутер его не открывает((((

Mirage-net
02-05-2007, 15:14
а как изменить через консоль?
з.ы. вот ещё в чём причина: хоть я открыл порт, но роутер его не открывает((((
и не будет ведь ему указали что он клиент ... изменить через консоль можно так
cat > /opt/etc/openvpn/server.conf
dev tun0
port 5190
proto tcp-server
ifconfig 169.254.2.1 169.254.2.2
secret static.key
Ctrl+D

P.S. Oleg спасиб за внимательность ... что-то под конец рабочего дня (после праздников) уже голова пухнет ... поправил

Oleg
02-05-2007, 15:21
Очепятка: echo vs. cat

Vaml7uP
02-05-2007, 15:26
Очепятка: echo vs. cat

можете объяснить следующее: при включении форвардинга портов порт открывается только при включении программы, использующей этот порт (http://wl500g.info/showthread.php?p=54012#post54012). почему так?

Mirage-net
02-05-2007, 15:39
можете объяснить следующее: при включении форвардинга портов порт открывается только при включении программы, использующей этот порт (http://wl500g.info/showthread.php?p=54012#post54012). почему так?
ну если мы перебрасываем один порт на друго порт который никто не слушает то эффект такой же что и при закрытом порте ... а что должно быть иначе???

Vaml7uP
02-05-2007, 15:41
ну если мы перебрасываем один порт на друго порт который никто не слушает то эффект такой же что и при закрытом порте ... а что должно быть иначе???

эм... я считал, что если порт открыт, то он открыт всегда.

ладно, тогда дальше: если опенвпн на роутере не слушает этот порт, то что из этого следует? она работает неправильно?

Mirage-net
02-05-2007, 15:44
эм... я считал, что если порт открыт, то он открыт всегда.

ладно, тогда дальше: если опенвпн на роутере не слушает этот порт, то что из этого следует? она работает неправильно?

стоп а при чем здесь проброс портов??? я думал что мы openvpn сервер на роутере поднимаем??? или я ошибся???

Vaml7uP
02-05-2007, 15:46
стоп а при чем здесь проброс портов??? я думал что мы openvpn сервер на роутере поднимаем??? или я ошибся???

ну да, на роутере. на внутреннем IP. коннект к внешнему, проброс портов во внутрь и коннект ко внутреннему, для доступа к локалке.

з.ы. мой мозг сошёл с ума. cat /opt/etc/openvpn/server.conf перестала открывать этот файл, хотя он существует.

Mirage-net
02-05-2007, 15:50
ну да, на роутере. на внутреннем IP. коннект к внешнему, проброс портов во внутрь и коннект ко внутреннему, для доступа к локалке.

з.ы. мой мозг сошёл с ума. cat /opt/etc/openvpn/server.conf перестала открывать этот файл, хотя он существует.
щас не могу ... уже убегаю ... если не решится до вечера то часа в 22 сегодня ...

michigun
02-07-2007, 17:54
а подскажите, пожалуйста, насколько важны указанные правила для файрвола:

# Создаем в ней файл post-firewall и прописываем в него
# нужные нам правила файрвола для работы сервера
echo "#!/bin/sh" > /usr/local/sbin/post-firewall
echo "iptables -D INPUT -j DROP" >> /usr/local/sbin/post-firewall
echo "iptables -I INPUT -p tcp --dport 5190 -j ACCEPT" >> /usr/local/sbin/post-firewall
echo "iptables -t nat -I PREROUTING -i eth1 -p tcp --dport 5190 -j DNAT --to-destination \$4:5190" >> /usr/local/sbin/post-firewall
echo "iptables -A INPUT -j DROP" >> /usr/local/sbin/post-firewall
echo "iptables -I INPUT -i tun0 -j ACCEPT" >> /usr/local/sbin/post-firewall
echo "iptables -I FORWARD -i tun0 -j ACCEPT" >> /usr/local/sbin/post-firewall
echo "iptables -I FORWARD -o tun0 -j ACCEPT" >> /usr/local/sbin/post-firewall
echo "iptables -I OUTPUT -o tun0 -j ACCEPT" >> /usr/local/sbin/post-firewall

Если сделать как тут написанно, то у меня отваливается комп, который проводочком к маршрутизатору прицеплен, а ноут через wi fi нормально работает. Комп отваливается и от WAN и от LAN сети вообще.
А сам я не рублю особо в сетях и в настройках файера.

t0shka
15-08-2007, 18:56
Здравствуйте, помогите, пожалуйста, все сделал как написано, все установилось, судя по логам на устройстве оно ждет на порту 5555 соединений, но тем не менее с компьютера соединиться не удается, телнетом тоже не подключается по 5555 порту.
Вот логи с устройства:
[t0shka@asus root]$ cat /var/log/openvpn.log
Options error: Unrecognized option or missing parameter(s) in [CMD-LINE]:1: config (2.0.7)
Use --help for more information.
Thu Jan 1 00:00:07 1970 OpenVPN 2.0.7 mipsel-linux [SSL] [LZO] [EPOLL] built on Jan 18 2007
Thu Jan 1 00:00:07 1970 TUN/TAP device tun0 opened
Thu Jan 1 00:00:07 1970 /sbin/ifconfig tun0 192.168.1.2 pointopoint 192.168.1.1 mtu 1500
Thu Jan 1 00:00:07 1970 Listening for incoming TCP connection on [undef]:5555
Так же прилагаю файлы client.ovpn и server.conf.
Есть подозрение, что это post-firewall не дает подключиться, но его настройки остались такие же как в первом посте, за исключением смены порта. Если есть идеи, пожалуйста, помогите!

DeathMoroz
16-08-2007, 09:49
Подскажите что изменить для случая, если роутер по pppoe торчит в инет с реальным ip. И нужно чтоб несколько клиентов из вне могли работать в локалке?

j-dreamer
24-10-2007, 04:55
Скажите, смогу ли я настроить openvpn сервер таким образом чтобы для разных пользователей была разная маршрутизация и разные настройки шифрования? Но исключительно на стороне сервера, чтобы настройки клиентов ничем не отличались друг от друга за исключением логина/пароля. К примеру, нужно чтобы один хотдил в инет через adsl без шифрования, а другой - через pptp с шифрованием. Оба интерфейса подняты и настроены.
Я еще не ставил опенвпн, но не думаю что у меня с этим возникнут проблемы, просто чтобы несколько часов подряд не курить понапрасну гиганского размера ман, решил спросить тут.

P.S. еще хотелось бы писать в лог кто куда лазит, ограничивать скорость и считать трафик, но, кажется, openvpn тут ни причем.

gsnake
29-11-2007, 23:00
после установки openVPN планирую удаленный доступ к моему домашнему компу.. что для этого надо? запустить VNC сервер на компе, VNC viewer на удаленном компе - а далее?
у домашнего компа ip ведь 192.168.0.ххх тогда как у удаленного компа 10.8.0.2...

piezomotor
18-01-2008, 15:12
Задача звучала так:
на работе закрыты все порты наружу (http идеть через проксю) кроме TCP 5190, нужно получить полноценный инет.

Помоему у меня похожая проблема. А как узнать какие у меня порты наружу открыты? Как их просканить?

Mam(O)n
19-01-2008, 04:54
Помоему у меня похожая проблема. А как узнать какие у меня порты наружу открыты? Как их просканить?
Если имеется ввиду про то, как узнать, какие порты не закрыты провайдером, то:
http://wl500g.info/showpost.php?p=69185&postcount=30

piezomotor
30-01-2008, 19:18
Поставил OPENVPN клиента на XP и у меня ошибка-
http://i135.photobucket.com/albums/q155/sonice2006/openvpnclienterror.jpg

Ставил по инструкции-http://www.wl500g.info/showpost.php?p=30831&postcount=1

Что не так?

maelstrom
31-01-2008, 18:43
будет ли все это работать на asus wl 520gc с поставленной прошивкой
http://oleg.wl500g.info/asus/WL520gc_0.0.0.12_EN.trx
(которую взял тут: http://wl500g.info/showthread.php?t=11830? )

прошивка сильно урезанная. как мне быть что бы настроить vpn на данном девайсе?
????

XpoHuk
31-01-2008, 23:19
Доброй ночи.
У меня возникла проблема.
Я установил OpenVPN по инструкции которая написана на первой странице.
Все вроде хорошо, изнутри у меня получается подконнектится, а вот снаружи никак. Скажите, пожалуйста, что мне нужно настроить чтобы у меня был доступ снаружи.
Спасибо.
PS
Я чайник, если мона объясните на пальцах :)

Tresh
01-02-2008, 00:57
Смотрите, что у вас в post-firewall попало.


cat /usr/local/sbin/post-firewall

XpoHuk
01-02-2008, 05:48
Вот что там:


#!/bin/sh
mount /tmp/local/opt /opt
/opt/etc/init.d/S24openvpn
#!/bin/sh

Tresh
01-02-2008, 08:29
неверно. читайте первую страницу.
Смотрите, что у вас в post-boot и post-firewall

XpoHuk
01-02-2008, 08:33
Вот такой должен быть результат?

#!/bin/sh
iptables -D INPUT -j DROP
iptables -I INPUT -p tcp --dport 5190 -j ACCEPT
iptables -t nat -I PREROUTING -i eth1 -p tcp --dport 5190 -j DNAT --to-destination $4:5190
iptables -A INPUT -j DROP
iptables -I INPUT -i tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -j ACCEPT
iptables -I FORWARD -o tun0 -j ACCEPT
iptables -I OUTPUT -o tun0 -j ACCEPT

Tresh
01-02-2008, 10:00
да, именно так

XpoHuk
01-02-2008, 13:21
Спасибо, все заработало. Коннект есть.
У меня еще вопрос. Вот машина которая заходит по ВПН не видит локальных ресурсов, хотя машина с этими локальными ресурсами пингуется. Как сделать так чтобы удаленная машина имела полный доступ к сети?
А вот еще... Внутренняя сеть 192.168.1* а вот ip внешнего компа 10.8.0.*

phobos
03-02-2008, 14:57
Уважаемые знатоки! Подскажите, пожалуйста, решение на связке WL500gp-1.9.2.7-8.14 + OpenVPN следующей задачи: использую dyndns(провайдер Corbina выдает внешний адрес) и хочу чтобы внешние клиенты(поначалу несколько), которые поднимают у себя на компах туннель ко мне получали зарезервированный адрес(можно по DHCP) от меня и я мог бы их админить с помощью VNC. На счет VNC я понимаю необходимо пробросить на мою машину нужный порт, а вот как быть с раздачей адресов?
П.С. в линухе просто продвинутый пользователь:rolleyes:

maelstrom
06-02-2008, 13:35
поставил по вашему скрипту все заработало на ура. большое спасибо за скрипт. возникло несколько вопросов:
1) скорость не VPN не больше 500 кб/сек. это нормально? (без него 3-5 мб/сек). Может это быть из зато того что адреса вида 10.8.0.2 есть в сети?
2) как мне добавить еще один/два три айпишника для ВПН? какие строчки править? пойдет ли один ключ на все машины которые юзают впн?
( я так понял везде где 10.8.0.2 сделать 10.8.0.X?:
в винде в файле:C:\Program Files\OpenVPN\config\client.ovpn
ifconfig 10.8.0.X 10.8.0.1
на роутере
echo "ifconfig 10.8.0.1 10.8.0.X" >> /opt/etc/openvpn/server.conf
?
надали менять еще это:
# Создаем виртуальный сетевой интерфейс
mkdir /dev/net
mknod /dev/net/tun c 10 200

)
заранее спасибо

Spacesoft
08-02-2008, 14:28
Вопрос к пользователям openVPN - реально ли через конфиг отключить компрессию и ssl (дабы вообще не ставить lzo и openssl) не пересобирая прогу?

XpoHuk
08-02-2008, 23:34
Доброй ночи. Вообщем у меня все получилось OpenVPN заработал вот только проблемы со скоростью. должно быть 54 мегабита а в итоге 300-400 кбайт (примерно не измерял). В чем может быть проблема?

piezomotor
19-02-2008, 22:15
Может кто знает- какую крманду подать чтоб увидеть IP адреса всех openvpn клиентов?

shooter
20-02-2008, 00:33
Доброй ночи. Коллеги, при установке
[root@titanium root]$ ipkg install openvpn
Installing openvpn (2.0.9-1) to /opt/...
Downloading http://ipkg.nslu2-linux.org/feeds/optware/oleg/cross/stable/openvpn_2.0.9-1_mipsel.ipk
Nothing to be done
An error ocurred, return value: 1.
Collected errors:
ERROR: Cannot satisfy the following dependencies for openvpn:
kernel-module-tun
[root@titanium root]$

Поискал whatdepends whatprovides - чисто.
[root@titanium root]$ ls -l /lib/modules/2.4.20/kernel/drivers/net
total 9
drwxr-xr-x 1 root root 11 Oct 30 23:08 et
-rw-r--r-- 1 root root 8892 Oct 30 23:08 tun.o
drwxr-xr-x 1 root root 11 Oct 30 23:08 wl

insmod tun, попробовал снова - то же, вид сбоку.

Где туплю?

al37919
20-02-2008, 07:46
Похоже, это ошибка при сборке пакета.
Дело в том, что optware собирается для многих платформ сразу. В большинстве случаев кернел и модули компилируется тем же тулчейном, что и пакеты. В прошивке Олега это не так. В общем, это вопрос к олео, я написал ему.
Попробуйте пока поставить это:

shadow.mdk
20-02-2008, 08:17
Доброй ночи. Коллеги, при установке
[root@titanium root]$ ipkg install openvpn
<погрызано>
ERROR: Cannot satisfy the following dependencies for openvpn:
kernel-module-tun
<погрызано>
insmod tun, попробовал снова - то же, вид сбоку.

Где туплю?

ipkg install openvpn -force-depends
и все будет нормально, kernel-module-tun уже есть в прошивке

AlexeyN
21-02-2008, 15:21
Господа помогите пожалуйста.
При запуске на 500gP OpenVPN в режиме клиента в лог пишется следующая строка
VERIFY ERROR: depth=1, error=certificate is not yet valid: /C=RU/ST=37/L=Ivanovo/O=XXX/OU=Office/CN=OpenVPN-CA/emailAddress=xxx@xxx.ru

Причем самое интересное, что с этими же сертификатами виндовый клиент подключается без проблем. Лог у виндового клиента выглядит так VERIFY OK: depth=1, /C=RU/ST=37/L=Ivanovo/O=XXX/OU=Office/CN=OpenVPN-CA/emailAddress=xxx@xxx.ru

В чем может быть проблема?

ДА и еще. Вот это тоже не понятно
WARNING: file 'nazarov.key' is group or others accessible
WARNING: file 'ta.key' is group or others accessible
Тоже из лога в самом начале

AlexeyN
21-02-2008, 21:22
При запуске на 500gP OpenVPN в режиме клиента в лог пишется следующая строка
VERIFY ERROR: depth=1, error=certificate is not yet valid: /C=RU/ST=37/L=Ivanovo/O=XXX/OU=Office/CN=OpenVPN-CA/emailAddress=xxx@xxx.ru

С этой ошибкой разобрался. Проблема в том, что когда роутер стартует дата на нем 01.01.1970, а сертификаты имеют срок действия исчисляемый от даты создания сертификата. Поэтому OpenVPN и ругается, что якобы сертификат не валидный. Обойти это можно следующим образом. В скрипт post-boot перед строкой запуска OpenVPN вставить строчку установки даты date 010101012007 с датой не раньше чем дата самого последнего сформированного сертификата.

Так и не смог разобраться, что прописать в скрипт post-firewall для OpenVPN работающего в режиме клиента и в случае когда необходимо разрешить прохождение пакетов без ограничений с внутреннего интерфейса в туннель и наоборот. Подскажите пожалуйста!

shooter
24-02-2008, 18:18
>WARNING: file 'nazarov.key' is group or others accessible
>WARNING: file 'ta.key' is group or others accessible
это у тебя файлы с правами для группы/остальных. Небезопасно хранишь ключи. Сделай
chmod go-rwx *.key

>Так и не смог разобраться, что прописать в скрипт post-firewall ...
Присылай
/tmp/local/sbin/post-firewall
iptables -t nat -L -v
iptabels -L -v

shooter
24-02-2008, 19:05
Спасибо за подсказку с -force-depends

Теперь так
несущая сеть 172.16.72.0/255.255.255.0
vpn - пока сделал peer-to-peer 172.16.11.1-2./255.255.255.252, сервер на Deluxe .1
Клиент - Windows XPSP2 .2
Пытаюсь на клиенте telnet 172.16.11.1 80

Sun Feb 24 20:28:49 2008 us=628261 hydrogen/172.16.72.4:2714 MULTI: bad source address from client [172.16.11.2], packet dropped
(больше - в аттаче)

И вопросы - а как сделать чтобы у меня
1) 4 клиента по VPN пришли. Слышал что openvpn 2.* умеет быть на одном порту сервером для многих. Как тогда со строкой
ifconfig 172.16.11.1 172.16.11.2
в конфиге быть?
2) несчастное животное windows говорит что default gateway на этом линке не существует в принципе. Как тогда ходить до машин за сервером? Мне routing'а достаточно, но статически его прописывать - коряво, перенаправлять весь трафик на клиентах в VPN - не правильно.

AlexeyN
24-02-2008, 22:20
И вопросы - а как сделать чтобы у меня
1) 4 клиента по VPN пришли. Слышал что openvpn 2.* умеет быть на одном порту сервером для многих. Как тогда со строкой
ifconfig 172.16.11.1 172.16.11.2
в конфиге быть?


Умеет, но для этого ifconfig из файла конфигурации нужно убрать вообще и IP адреса будут назначаться клиентам автоматически. Если есть необходимость назначать клиентам заранее определенные IP адреса то нужно сделать следующее:
- для каждого клиента сформировать свои сертификаты;
- в конфиге сервера прописать след. строчку client-config-dir ccd;
- в каталоге openvpn на сервере создать директорию ccd в которой для каждого клиента создать файлик со следующим текстом
ifconfig-push xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy где:
xxx.xxx.xxx.xxx - IP адрес клиента
yyy.yyy.yyy.yyy - его OpenVPN шлюз (по совместительству DHCP сервер tun адаптера клиента)
например: ifconfig-push 192.168.253.254 192.168.253.253
Имена этих файлов для каждого клиента должны соответствовать common name сертификата этого клиента.



2) несчастное животное windows говорит что default gateway на этом линке не существует в принципе. Как тогда ходить до машин за сервером? Мне routing'а достаточно, но статически его прописывать - коряво, перенаправлять весь трафик на клиентах в VPN - не правильно.

Перенаправлять весь трафик очень даже удобно если клиенты не пользуют свой локальный инет. Для этого в конфиг сервера нужно прописать push "redirect-gateway" Если же это недопустимо можно показать OpenVPN клиентам о существовании других сетей за сервером прописав в конфиг сервера строку push "route 192.168.0.0 255.255.255.0" например.
И так для каждой подсети за сервером.
При наличии подсети за клиентом в конфиге сервера пропиши route 192.168.2.0 255.255.255.0 например, а в клиентском файле в директории ccd строчку iroute 192.168.2.0 255.255.255.0
Таким образом и сервер будет знать о существовании подсетей за клиентами.




Присылай /tmp/local/sbin/post-firewall
iptables -t nat -L -v
iptabels -L -v


С правилами файреволла разобрался. Все заработало. Теперь интересует следующее:
1. Как в скрипте написать условие если дата в роутере меньше чем 01.01.2008 то выполнить команду date 010101012008.
2. Есть ли какая переменная которой в скрипте post-firewall можно описать адрес внутренней сети за роутером чтоб не прописывать как 192.168.ххх.ххх/24.

shooter
25-02-2008, 22:33
2. Есть ли какая переменная которой в скрипте post-firewall можно описать адрес внутренней сети за роутером чтоб не прописывать как 192.168.ххх.ххх/24.

Вот выдержка из моего /tmp/syslog.log

Current post-firewall parameters mapping:
0:-> /usr/local/sbin/post-firewall
1:-> ppp0
2:-> 89.112.2.55
3:-> br0
4:-> 172.16.72.1
5:-> vlan1
6:-> 10.19.17.58
7:->
8:->
9:->
10:->
11:->

выбирай, обращение к ним $<номер>,
3 и 4 - это имя внутреннего интерфейса и внутренний ip-адрес устройства

AlexeyN
26-02-2008, 14:10
выбирай, обращение к ним $<номер>устройства


Пробовал, почему то возвращается пустая строка. Что за глюк не понятно. Да и к тому же эти переменные возвращают IP адрес адаптера, а мне нужен адрес сети т.е. например 192.168.0.0. Я конечно понимаю что его можно преобразовать но как не знаю. Я не силен в написании скриптов

sergest
16-03-2008, 21:14
Установил openvpn по инструкции - клиент нормально подключается, но инета нет.
трасса обрывается на 10.8.0.1


Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
10.8.0.2 0.0.0.0 255.255.255.255 UH 40 0 0 tun0
10.103.12.2 0.0.0.0 255.255.255.255 UH 40 0 0 vlan1
192.168.1.0 0.0.0.0 255.255.255.0 U 40 0 0 br0
10.103.12.0 0.0.0.0 255.255.255.0 U 40 0 0 vlan1
10.103.0.0 10.103.12.2 255.255.0.0 UG 40 0 0 vlan1
127.0.0.0 0.0.0.0 255.0.0.0 U 40 0 0 lo
0.0.0.0 192.168.1.1 0.0.0.0 UG 40 0 0 br0

адрес внутренний адрес роутера 192.168.1.5
адрес adsl модема 192.168.1.1
10.103/16 - локалка без инета

и чтото не могу понять - где косяу =(

Spacesoft
23-03-2008, 06:14
Вопрос к пользователям openVPN на роутере:
Какую максимальную скорость Вам удалось получить, используя сабж ?

shooter
25-04-2008, 18:42
Есть у кого нибудь опыт запустить на роутере UDP + TCP на одном порту?

В документации говорят, что если хотите TCP и UDP - запускайте два процесса с разными конфигами.
Попробовал - port already in use.
По одиночке - всё ok.

alex_mz
28-04-2008, 23:38
подскажите что может быть.
openvpn установлен по инструкции что в начале топика.
Единственное ставил на флешку.
Суть вопроса.
Все запускаеться нормально работает.
Но через какое то время (разное) отлетает подключение клиента к серверу. И после этого сервер не принимает подключение от клиента.
Помогает
killall openvpn и запуск опять его скриптом.
Как побороить и в чем может быть причина.
Спасибо.

P.S. Что заметил.
Когда отваливаеться клиент. После этого невозможно зайти на роутер через ван вообще.
В логе опенвпн после того как отвалился клиент ничего не происходит.Как будто бы он еще подключен.
Если я захожу через лан и килю опенвпн то я опять могу зайти на роутера через ван и после этого запустить опенвпн и подключиться клинету. До следующего такого отваливания.

TrueAlex
30-04-2008, 21:50
Во-первых, огромное спасибо автору за инструкцию!
Во-вторых, советую почитать FAQ: OpenVPN (http://forum.ixbt.com/topic.cgi?id=14:40906)
И пара вопросов: я настроил openVPN для использования не статических ключей, а с хранилищем сертификатов (мне надо чтобы могли подключиться несколько клиентов), конфиги вот такие у меня, если интересно...

[admin@Asus root]$ cat /opt/etc/openvpn/server.conf
server 192.168.0.0 255.255.255.0 # в эту сеть попадут клиенты
local 10.2.8.169 # это внешний адрес, на нем слушает сервер openvpn
port 1194 # порт к которому подключаемся
proto udp
dev tun
dh dh1024.pem
ca ca.crt # типа главный сертификат
cert Jaguar.crt # сертификат сервера
key Jaguar.key # ключ сервера

client
tls-client
remote 10.2.8.169 1194
proto udp
dev tun
redirect-gateway

pkcs12 Client1.p12 # сертификаты и ключ клиента №1

ну и поправил в post-firewall порт и протокол (там был tcp 5190, у меня udp 1194), так вот все работает пока присоединен один клиент к tun0, когда присоединяется второй, то создается tun1 и у него инет уже не ходит... так как я в линуске полный ноль, то не знаю как правильно изменить правила фаервола, чтобы у всех все работало... я понимаю, что наверное можно по аналогии прописать тоже самое для tun1 и tun2 и т.д. но чую, что это неправильно...?

Romeo9128
08-05-2008, 17:03
Какую максимальную скорость Вам удалось получить, используя сабж ?

420 килобайт в секунду (по данным Opera) с прописанной в конфиге сервера и клиента опцией cipher none
360 килобайт в секунду - БЕЗ этой опции в конфиге.

На сколько я понял - то тут упираемся в производительность железки. Ибо 2-мя впнами проц загружен на 96-100%

П.С. От прова инет получаю по vpn. возможно если провайдер предоставляет трафик простой маршрутизацией - то скорости будут больше. Канал в инет порядка 8 мбит. Так что точно не в него упирается.

s2006
24-05-2008, 20:56
Задача: настоить опенвпн с раздачей через роутер на 3-4 хоста и чтобы осталось процессорное время на другие задачи. 128Мбайт процессор разогнан 300/150.
Народ, настроил OpenVPN точка-точка, udp, tun,пока без шифрования. На сервере запускаю сколько процессов сколько пользователей (проще смотреть что происходит, т е по интефейсам). Раздается по городской сети.
Вопрос (т е задача которую я хотел бы решить) с уточнеиями : с минимальными затратами процессорного времени и с большой вероятностью не подключения ко мне со стороны разрулить эту задачу. Т е или легкий для процессора режим шифрования или может достаточно защитить через файрвол по макам или предложите еще что то...
Защита от ЦРУ не требуется, нужно только чтобы за мои деньги в интернет никто не лазял.
Спасибо за ответы. Думаю задача массовая.
Благодарен за любые (даже самые бредовые) идеи.

PS: планируемый на 3-4 человека канал пока 1-2 Мбит, при отсутствии остальных: любому нужно отдать весь трафик, т е весь что есть в наличии.
Как распределить - это для других веток....

Tsukasa
27-07-2008, 22:16
сделал по инструкции
только порт сменил
по локалке все работает, по внешке (из инета) не хочет

в логе сервера пусто - как будто к нему нет коннектов
в логе клиента
Sun Jul 27 23:55:49 2008 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Sun Jul 27 23:55:49 2008 TAP-WIN32 device [tun0] opened: \\.\Global\{3D033ACD-CD72-4F83-BC2B-960B19B61842}.tap
Sun Jul 27 23:55:49 2008 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.2/255.255.255.252 on interface {3D033ACD-CD72-4F83-BC2B-960B19B61842} [DHCP-serv: 10.8.0.1, lease-time: 31536000]
Sun Jul 27 23:55:50 2008 Successful ARP Flush on interface [256] {3D033ACD-CD72-4F83-BC2B-960B19B61842}
Sun Jul 27 23:55:50 2008 Attempting to establish TCP connection with 212.3.****:3128
Sun Jul 27 23:55:50 2008 TCP connection established with 212.3.****:3128
Sun Jul 27 23:55:50 2008 TCPv4_CLIENT link local: [undef]
Sun Jul 27 23:55:50 2008 TCPv4_CLIENT link remote: 212.3.****:3128
Sun Jul 27 23:55:51 2008 Connection reset, restarting [0]
Sun Jul 27 23:55:51 2008 SIGUSR1[soft,connection-reset] received, process restarting
Sun Jul 27 23:55:56 2008 TAP-WIN32 device [tun0] opened: \\.\Global\{3D033ACD-CD72-4F83-BC2B-960B19B61842}.tap
Sun Jul 27 23:55:56 2008 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.2/255.255.255.252 on interface {3D033ACD-CD72-4F83-BC2B-960B19B61842} [DHCP-serv: 10.8.0.1, lease-time: 31536000]
Sun Jul 27 23:55:56 2008 Successful ARP Flush on interface [256] {3D033ACD-CD72-4F83-BC2B-960B19B61842}
Sun Jul 27 23:55:56 2008 Attempting to establish TCP connection with 212.3.***8:3128
Sun Jul 27 23:55:56 2008 TCP connection established with 212.3.****:3128
Sun Jul 27 23:55:56 2008 TCPv4_CLIENT link local: [undef]
Sun Jul 27 23:55:56 2008 TCPv4_CLIENT link remote: 212.3.****:3128
Sun Jul 27 23:55:57 2008 Connection reset, restarting [0]
Sun Jul 27 23:55:57 2008 SIGUSR1[soft,connection-reset] received, process restarting
Sun Jul 27 23:56:02 2008 TAP-WIN32 device [tun0] opened: \\.\Global\{3D033ACD-CD72-4F83-BC2B-960B19B61842}.tap
Sun Jul 27 23:56:02 2008 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.2/255.255.255.252 on interface {3D033ACD-CD72-4F83-BC2B-960B19B61842} [DHCP-serv: 10.8.0.1, lease-time: 31536000]
Sun Jul 27 23:56:02 2008 Successful ARP Flush on interface [256] {3D033ACD-CD72-4F83-BC2B-960B19B61842}
Sun Jul 27 23:56:02 2008 Attempting to establish TCP connection with 212.3.****:3128
Sun Jul 27 23:56:02 2008 TCP connection established with 212.3.****:3128
Sun Jul 27 23:56:02 2008 TCPv4_CLIENT link local: [undef]
Sun Jul 27 23:56:02 2008 TCPv4_CLIENT link remote: 212.3.****:3128
Sun Jul 27 23:56:03 2008 Connection reset, restarting [0]
Sun Jul 27 23:56:03 2008 SIGUSR1[soft,connection-reset] received, process restarting
Sun Jul 27 23:56:08 2008 TAP-WIN32 device [tun0] opened: \\.\Global\{3D033ACD-CD72-4F83-BC2B-960B19B61842}.tap
Sun Jul 27 23:56:08 2008 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.2/255.255.255.252 on interface {3D033ACD-CD72-4F83-BC2B-960B19B61842} [DHCP-serv: 10.8.0.1, lease-time: 31536000]
Sun Jul 27 23:56:08 2008 Successful ARP Flush on interface [256] {3D033ACD-CD72-4F83-BC2B-960B19B61842}
Sun Jul 27 23:56:08 2008 Attempting to establish TCP connection with 212.3.****:3128
Sun Jul 27 23:56:08 2008 TCP connection established with 212.3.****:3128
Sun Jul 27 23:56:08 2008 TCPv4_CLIENT link local: [undef]
Sun Jul 27 23:56:08 2008 TCPv4_CLIENT link remote: 212.3.****:3128
Sun Jul 27 23:56:09 2008 Connection reset, restarting [0]
Sun Jul 27 23:56:09 2008 SIGUSR1[soft,connection-reset] received, process restarting
Sun Jul 27 23:56:14 2008 TAP-WIN32 device [tun0] opened: \\.\Global\{3D033ACD-CD72-4F83-BC2B-960B19B61842}.tap
Sun Jul 27 23:56:14 2008 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.2/255.255.255.252 on interface {3D033ACD-CD72-4F83-BC2B-960B19B61842} [DHCP-serv: 10.8.0.1, lease-time: 31536000]
Sun Jul 27 23:56:14 2008 Successful ARP Flush on interface [256] {3D033ACD-CD72-4F83-BC2B-960B19B61842}
Sun Jul 27 23:56:14 2008 Attempting to establish TCP connection with 212.3.****:3128
Sun Jul 27 23:56:14 2008 SIGTERM[hard,init_instance] received, process exiting
работает ли что нибудь по умолчанию на 3128 в роутере? на 5190 вообще не бмогло приконнектится, похоже порт закрыт

H@meleon
29-07-2008, 10:35
Значится так, все описанное здесь было сделано по просьбе моего друга известного здесь как Polll (вот его проблема http://wl500g.info/showthread.php?t=8710).
Задача звучала так:
на работе закрыты все порты наружу (http идеть через проксю) кроме TCP 5190, нужно получить полноценный инет. Дома стоит WL500gP с реальным IP на WAN, но без подключенного харда или флэшки.
Так как он в linux`e полный ноль, то пришлось написать скрипт который сделает все сам. Сразу оговорюсь что скрипт писался исходя из условий что в WL500gP никто по телнету на "лазил грязными ногами" была только залита прошивка Олега и настроено все через веб морду. Соответственно считалось по умолчанию что скрипт ничего настроенного (до его запуска) через телнет не сломает (если что-то делали ранее нужно закоментировать соответствующие строки).
Расписано все так чтобы было понятно даже новичку.

Подскажите пожалуйста ... у меня задача в принципе похожа, но есть отличия ... есть локальная сеть (несколько подсетей) - в єтой сети есть роутер Asus 500gP с настроенным инетом (на двух машинах) и выходом в локальную сеть, необходимо дать инет (кроме двух машин которые подключены к роутеру) пользователю локальной сети который находится за роутером Asus 500gP ... как можно решить мою задачу ... заранее ОГРОМНОЕ СПСБ ...

proevg
04-08-2008, 19:15
Пытаюсь установить OpenVPN в основную память точно по инструкции.
Выполняю

# Создаем директорию куда все будем ставить
mkdir /tmp/local/opt

# Монтируем ее в /opt
mount /tmp/local/opt /opt


Команды выполняются без ошибок, но ни df ни mount не показывает, что к /opt хоть хоть что-то примонтировалось. Это так и должно быть или что-то не так? Прошивка 1.9.2.7-10, WL-500gP v.1

jew
15-09-2008, 18:41
Гуру помогите OpenVpn работает, все не плохо бы, но перезагружается каждые 15 часов
Как увеличить тайм аут или убрать его вообще?
Sun Sep 14 21:44:12 2008 Listening for incoming TCP connection on [undef]:5190
Sun Sep 14 21:44:13 2008 TCP connection established with 10.130.150.158:25224
Sun Sep 14 21:44:13 2008 TCPv4_SERVER link local (bound): [undef]:5190
Sun Sep 14 21:44:13 2008 TCPv4_SERVER link remote: 10.130.150.158:25224
Sun Sep 14 21:44:23 2008 Peer Connection Initiated with 10.130.150.158:25224
Sun Sep 14 21:44:23 2008 Initialization Sequence Completed
Mon Sep 15 12:44:44 2008 read TCPv4_SERVER [NO-INFO]: Connection timed out

Rucha
17-09-2008, 16:26
У меня задача обратная. Можно ли роутер использовать в качестве OpenVPN-клиента? Чтобы локальные компьютеры имели доступ в удаленную сеть?

abalamut
08-10-2008, 12:41
Автору ОГРОМНОНОЕ СПАСИБО!!!
Все работет на УРА!

FilimoniC
04-11-2008, 09:10
Помогите плиз...
Роутер wl 500g Deluxe.

[WIFI_admin@WL-0011D8DA6563 root]$ flashfs commit
/tmp/flash.tar.gz: File is to big (2261152, max 65536)


Я не понял, это у меня какое-то ограничение стоит, или на Deluxe памяти недостаточно? Или еще чего...

al37919
04-11-2008, 15:51
у делюкс флаш 4Мб ( http://oleg.wl500g.info/devices.html ), у премиум --- 8мб => размер флашфс в первом случае = 64кб, а во втором --- 4064кб.

Sant118
04-11-2008, 18:31
Народ, подзапарился что-то, подскажите... надо:
поднять на wl-500gPv2 openvpn (клиент), прокинуть через него линк до работы, и весь инет из домашней сети пустить через него.
Что сделано: поставлен оупенвпн, настроен, цепляется, всё ок. Далее вручную на роутере делаю
route add default gw 192.168.0.1 dev tap0
и всё прекрасно работает как и хочется, НО добавив это дело в скрипт после запуска опенвпн (даже с 15 секундной избыточной паузой и полным указанием пути к route, естесно скрипт сохраняется во флэш, flashfs save и т.д.) - результат нулевой. Я так понимаю проблема в том что добавляемый маршрут по сути является ВТОРЫМ дефаултным, что в теории не верно, на вручную на практике работает. Как быть? Привожу конфиги и маршруты:

Destination Gateway Genmask Flags Metric Ref Use Iface
87.250.192.23 * 255.255.255.255 UH 0 0 0 ppp0
(pppoe от домашнего провайдера)

10.20.147.0 * 255.255.255.0 U 0 0 0 vlan1
(локальный нетарифицируемый интерфейс от домашнего провайдера)

192.168.0.0 * 255.255.255.0 U 0 0 0 tap0
(openvpn в рабочую сетку 192.168.0.0)

192.168.11.0 * 255.255.255.0 U 0 0 0 br0
(локалка домашняя)

10.16.0.0 10.20.147.1 255.248.0.0 UG 0 0 0 vlan1
(маршрут в нетарифицируемую локалку провайдера)

127.0.0.0 * 255.0.0.0 U 0 0 0 lo

default gw-6.rastrnet.ru 0.0.0.0 UG 0 0 0 ppp0


openvpnserver:

lport 11111
proto udp
dev tap
tls-server
ca ca.pem
ip-win32 manual
cert server.pem
key key.txt
dh dh2048.pem
mode server
ifconfig 192.168.0.11 255.255.255.0
duplicate-cn
ifconfig-noexec
link-mtu 1400
fragment 1280
mssfix
client-to-client
keepalive 5 20
float


openvpnclient:
remote x.x.x.x
ifconfig 192.168.0.110 255.255.255.0
port 11111
dev tap
proto udp
client
ns-cert-type server
tls-client
ca ca-cl.pem
dh dh2048-cl.pem
cert client.pem
key key-cl.txt
link-mtu 1400
fragment 1280
pull
persist-key
redirect-gateway

# redirect-gateway добавил попробовал, ругается так:

NOTE: unable to redirect default gateway -- VPN gateway parameter (--route-gateway or --ifconfig) is missing

Sant118
04-11-2008, 23:20
Со своей проблемой из прошлого поста разобрался. Надо было еще паузу секунд на 10 поставить ПЕРЕД стартом оупенвпна. Так же добавил в скрипт сначала удаление дефаултного маршрута, и только потом добавление нового.


Вопрос к пользователям openVPN на роутере:
Какую максимальную скорость Вам удалось получить, используя сабж ?

С шифрованием 600кб, без шифрования 750-800кб. Есть у кого-нибудь варианты как его еще можно разгрузить, чтоб пошустрее кидал?

Rucha
14-11-2008, 11:03
Поставил OpenVPN в клиентской конфигурации на роутер. Он отлично цепляется к рабочему серверу и видит все компы рабочей сети.
Однако хотелось бы чтобы компы домашней сети тоже видели через роутер компы рабочей сети и наоборот.
Тут, наверное, нужно какой-то мост организовывать или может достаточно на роутере какой-нибудь маршрут хитрый прописать?
Вот какой у меня сейчас route:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.8.0.1 10.8.0.41 255.255.255.255 UGH 0 0 0 tun0
xx.xx.xx.1 * 255.255.255.255 UH 0 0 0 vlan1
10.8.0.41 * 255.255.255.255 UH 0 0 0 tun0
192.168.1.0 * 255.255.255.0 U 0 0 0 br0
192.168.0.0 10.8.0.41 255.255.255.0 UG 0 0 0 tun0
xx.xx.xx.0 * 255.255.240.0 U 0 0 0 vlan1
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default provider.router 0.0.0.0 UG 0 0 0 vlan1где xx.xx.xx - реальная сеть провайдера; 10.8.0.1 - ip рабочего VPN сервера; 192.168.1.1 - роутер; 192.168.0.x - рабочая сеть.
Мой post-firewall:
#!/bin/sh
iptables -i vlan1 -I INPUT -p tcp --dport 22 -j ACCEPT
iptables -i vlan1 -I INPUT -p tcp --dport 8082 -j ACCEPT
iptables -i vlan1 -I INPUT -p tcp --dport 3690 -j ACCEPT
iptables -i vlan1 -I INPUT -p udp --dport 3690 -j ACCEPT
iptables -t nat -I PREROUTING -i eth1 -p udp --dport 1194 -j DNAT --to-destination $4:1194
iptables -I INPUT -i tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -j ACCEPT
iptables -I FORWARD -o tun0 -j ACCEPT
iptables -I OUTPUT -o tun0 -j ACCEPT

Sander
20-11-2008, 18:35
АВТОРУ РЕСПЕКТ!

Заработало сразу.
Только немного потупило с dns, я в получившееся соединение прописал DNS с сайта speedns.org (195.216.202.202 и 195.216.203.203) - и все

Vitaly_k
25-11-2008, 16:04
Пожелание автору топика - приатачить к первому посту не только срипты для установки, но и результат их работы т.е. конфигурационные файлы.

Вопрос - как сделать чтобы клиент в роутере стартовал каждый раз после успешного соединения на WAN?
Т.е. конфигурация будет OpenVPN over PPTP.

VVVL
28-11-2008, 11:51
Добрый день всем,
У меня есть большая просьба, может у кого нибудь есть минимально рабочий когфиг для L2 тунеля (tap)? Будем очень благодарен, если кто-нибудь выполнит команду more и покажет свой конфиг для клиента и сервера. :)
А может быть еще кто нибудь знаем как написать конфиг для нескольких удалённых серверов, каждый рах менять конфиг на клиенте уже надоело, а я так вхожу по работе в 3 различных сети

wmsamolet
19-01-2009, 21:46
поставил по вашему скрипту все заработало на ура. большое спасибо за скрипт. возникло несколько вопросов:
1) скорость не VPN не больше 500 кб/сек. это нормально? (без него 3-5 мб/сек). Может это быть из зато того что адреса вида 10.8.0.2 есть в сети?
2) как мне добавить еще один/два три айпишника для ВПН? какие строчки править? пойдет ли один ключ на все машины которые юзают впн?
( я так понял везде где 10.8.0.2 сделать 10.8.0.X?:
в винде в файле:C:\Program Files\OpenVPN\config\client.ovpn
ifconfig 10.8.0.X 10.8.0.1
на роутере
echo "ifconfig 10.8.0.1 10.8.0.X" >> /opt/etc/openvpn/server.conf
?
надали менять еще это:
# Создаем виртуальный сетевой интерфейс
mkdir /dev/net
mknod /dev/net/tun c 10 200

)
заранее спасибо

Столкнулся с той же проблемой
Как мне на своем wl-500gpv2 сделать чтобы было 2 клиента и более
Что и в каких конфигах переправить?
И можно ли использовать один static.key для нескольких клиентов? если нет как это реализовать со стороны OpenVPN сервера(wl-500gpv2) и со стороны клиентов(Люди из других подсетей WinXP SP2 или SP3).

Помогите люди добрые:o

MOPO3
28-01-2009, 05:40
как натроить openvpn на wl500gp на 2-4 клиента? По этому описанию настроил всё пашет отлично СП. Афтору! Но вот етсь нужда зацепить пару клиентов.....

Satoorn
29-01-2009, 07:37
Делал всё по инструкции из первого поста. Роутер настроен клиентом. На роутере 2 Wan (Vlan1 - городская локалка, Vlan2 - ADSL). OpenVpn поднимается нормально, с роутера всё работает, а во внутреннюю домашнюю сеть пакеты не проходят, т.е. с локального компа не пингуется сервер OpenVpn. Понимаю что дело в правилах iptables, но не могу настроить. Не могу понять iptables -t nat -I PREROUTING -i eth1 -p tcp --dport 5190 -j DNAT --to-destination \$4:5190 .

TrueAlex
29-01-2009, 19:02
Очень рекомендую к прочтению! FAQ: OpenVPN (было - Помогите настроить OpenVPN) ! (http://forum.ixbt.com/topic.cgi?id=14:40906)

Bajoi
04-03-2009, 21:28
Прошу помочь. У меня WL520GU - пытаюсь установить openvpn как описано в первом посте. При установке пакетов, видимо, уже второй пакет не устанавливается. То есть выглядит это так:

[admin@WL-0023546BB99B local]$ ipkg install openssl
Installing openssl (0.9.7m-5) to root...
Downloading http://ipkg.nslu2-linux.org/feeds/optware/oleg/cross/stable/openssl_0.9.7m-5_mipsel.ipk
Terminated

Тоже самое с третьим и четвёртым :(


Первый же пакет ставится успешно:

[admin@WL-0023546BB99B local]$ ipkg install uclibc-opt
Installing uclibc-opt (0.9.28-13) to root...
Downloading http://ipkg.nslu2-linux.org/feeds/optware/oleg/cross/stable/uclibc-opt_0.9.28-13_mipsel.ipk
package uclibc-opt suggests installing ipkg-opt
Configuring uclibc-opt
Updating /opt/etc/ld.so.cache
Successfully terminated.

И при попытке ещё раз установить пишет что он уже установлен и аптудейт.
===

Подскажите в чём может быть моя проблема? В том, что это 520я модель? Если да, то что мне попробовать изменить... в какую сторону копать? :)

Заранее благодарю! :)

GrayWolF
15-04-2009, 21:57
Прежде всего Автору уважуха!
Вобщем поставилось всё нормально, с нета конектится, всё нормально работает, но существует такая задача:
Роутер подключён к сети, доступ к нету в которой осуществялется по впн, ну тут всё понятно и нормально работает, а проблема вот в чём собсно заключается, с помощью опенВПН мне нужно разруливать нет через тот-же ван, в ту сеть откуда беру нет, пользователь из сети нормально конектится, доступ к компам подключённым к роутеру - есть, а вот нета - не видит =((
Когда-же конекчусь к опенВПН серверу с нета - всё отлично пашет!

Сори за корявое обьяснение, но по другому не вышло!

Может кто поможет !?!

Sant118
16-04-2009, 02:09
Прежде всего Автору уважуха!
Вобщем поставилось всё нормально, с нета конектится, всё нормально работает, но существует такая задача:
Роутер подключён к сети, доступ к нету в которой осуществялется по впн, ну тут всё понятно и нормально работает, а проблема вот в чём собсно заключается, с помощью опенВПН мне нужно разруливать нет через тот-же ван, в ту сеть откуда беру нет, пользователь из сети нормально конектится, доступ к компам подключённым к роутеру - есть, а вот нета - не видит =((
Когда-же конекчусь к опенВПН серверу с нета - всё отлично пашет!

Сори за корявое обьяснение, но по другому не вышло!

Может кто поможет !?!

адреса и маски локалки и выдающийся по опенвпн какие? маршруты какие?

Bajoi
16-04-2009, 09:18
Прошу помочь. У меня WL520GU - пытаюсь установить openvpn как описано в первом посте. При установке пакетов, видимо, уже второй пакет не устанавливается.

Да - забыл отписать - ларчик просто открывался :) Места на встроенном флеше не хватало :) Поставил на внешний - всё работает на ура :)

net_net
16-04-2009, 15:30
to GrayWolF
возможно проблемы с default gateway, попробуй для начала отключить default gateway и посмотеть будет ли работать инет, так же надо по смотреть вывод "tracert ya.ru -d" т.е. по какому маршруту ходят пакеты в инет.

ericbravo
24-04-2009, 19:40
После установки впн, и прописывания настроек в файле post-firewall, стало недоступным открытие портов через web-интерфейс в разделе Virtual Server (значения прописываются, в статусе Port Forwarding сообщает о том что порты открыты, но эффекта нет), открыт только порт openvpn.
Помогите пожалуйста это исправить.

igor77777
25-04-2009, 22:20
Помогите, пожалуйста. Я в тупике.
Вроде прочитал первое сообщение, и пытаюсь делать в соответствии с ним, но там описано для случая "сервера", и поэтому мне не совсем понятно, что нужно делать мне, а что можно пропустить.
Итак у меня есть в наличии файлы от провайдера:

vpnclientca.crt
vpnclientcert.crt
vpnclientkey.key
vpnclientta.key
Есть файл для клиента (vpn1.conf), тоже от провайдера:

dev tap
client
remote 10.253.0.18 5051
tls-client
cipher none
ca vpnclientca.crt
cert vpnclientcert.crt
key vpnclientkey.key
tls-auth vpnclientta.key 1
proto udp
verb 2
mute 5
keepalive 60 320
dhcp-option DISABLE-NBT
dhcp-option DOMAIN vpn
На форуме провайдера, нашёл вариант который точно работает в ubunte (vpn1.ovpn):

dev tap
client
remote 10.253.0.18 5051
tls-client
cipher none
ca /etc/openvpn/vpnclientca.crt
cert /etc/openvpn/vpnclientcert.crt
key /etc/openvpn/vpnclientkey.key
tls-auth /etc/openvpn/vpnclientta.key 1
proto udp
verb 2
mute 5
keepalive 30 60
up "/sbin/dhcpcd tap0"
down "/sbin/dhcpcd -k tap0"
я нашел, что в роутере есть udhcpd, поэтому я немногоизменил файл. Вышло вот что (myvpn1.ovpn):


. . .
up "/sbin/udhcpc tap0"
down "/sbin/udhcpc -k tap0"
Что было сделано ещё:


ipkg update
ipkg install uclibc-opt
ipkg install openssl
ipkg install lzo
ipkg -force-depends install openvpn
А вот с этим я не понимаю
# Создаем виртуальный сетевой интерфейс
mkdir /dev/net
mknod /dev/net/tun c 10 200, нужно делать, не нужно, может нужно что-то ещё добавить.
Обясните плиз?

Потому что, если этого нет /dev/net/tun, то выполнение подключения заканчивается следующим:

Sun Apr 26 00:12:25 2009 [TestVPN] Peer Connection Initiated with 10.253.0.18:5051
Sun Apr 26 00:12:33 2009 Note: Cannot open TUN/TAP dev /dev/net/tun: No such file or directory (errno=2)
Sun Apr 26 00:12:33 2009 Note: Attempting fallback to kernel 2.2 TUN/TAP interface
Sun Apr 26 00:12:33 2009 Cannot allocate TUN/TAP dev dynamically
Sun Apr 26 00:12:33 2009 Exiting

если же создать /dev/net/tun, то получаем такое:

Sun Apr 26 00:13:59 2009 [TestVPN] Peer Connection Initiated with 10.253.0.18:5051
Sun Apr 26 00:14:00 2009 Note: Cannot open TUN/TAP dev /dev/net/tun: No such device (errno=19)
Sun Apr 26 00:14:00 2009 Note: Attempting fallback to kernel 2.2 TUN/TAP interface
Sun Apr 26 00:14:00 2009 Cannot allocate TUN/TAP dev dynamically
Sun Apr 26 00:14:00 2009 Exiting


кроме того, я так понял после перезагрузки, этот узел /dev/net/tun отсутствует. Разве он не должен быть?

Что нужно ещё сделать, чтобы появился интерфейс tap0?

ericbravo
25-04-2009, 23:23
В файл post-boot добавляешь запись:

openvpn --mktun --dev tap0
brctl addif br0 tap0
ifconfig tap0 0.0.0.0 promisc up
и потом:

flashfs save && flashfs commit && flashfs enable && reboot

igor77777
26-04-2009, 06:18
В файл post-boot добавляешь запись:

openvpn --mktun --dev tap0
brctl addif br0 tap0
ifconfig tap0 0.0.0.0 promisc up
и потом:

flashfs save && flashfs commit && flashfs enable && reboot

Для начала решил выполнить в консоле:
Если /dev/net/tun то имеем:

[admin@IGORROUTER root]$ openvpn --mktun --dev tap0
Sun Apr 26 08:10:52 2009 Note: Cannot open TUN/TAP dev /dev/net/tun: No such device (errno=19)
Sun Apr 26 08:10:52 2009 Note: Attempting fallback to kernel 2.2 TUN/TAP interface
Sun Apr 26 08:10:52 2009 Cannot open TUN/TAP dev /dev/tap0: No such file or directory (errno=2)
Sun Apr 26 08:10:52 2009 Exiting


А если /dev/net/tun нет, то имеем:

[admin@IGORROUTER root]$ openvpn --mktun --dev tap0
Sun Apr 26 08:12:03 2009 Note: Cannot open TUN/TAP dev /dev/net/tun: No such file or directory (errno=2)
Sun Apr 26 08:12:03 2009 Note: Attempting fallback to kernel 2.2 TUN/TAP interface
Sun Apr 26 08:12:03 2009 Cannot open TUN/TAP dev /dev/tap0: No such file or directory (errno=2)
Sun Apr 26 08:12:03 2009 Exiting


Может нужно какой-нибудь модуль включить, или ещё что-то?

Нужно ли создавать /dev/net/tun?

igor77777
26-04-2009, 15:01
Первую проблему решил.
Оказывается ещё не хватало: insmod tun.o
в общем добавил в post-boot

insmod tun.o
это

openvpn --mktun --dev tap0
brctl addif br0 tap0
ifconfig tap0 0.0.0.0 promisc up
добавил в post-mount, потому что openvpn у меня установлен на флеку.
Но теперь другая пролема:
Когда запускаю подключение с таким скриптом:

dev tap
client
remote 10.253.0.18 5051
tls-client
cipher none
ca /etc/openvpn/vpnclientca.crt
cert /etc/openvpn/vpnclientcert.crt
key /etc/openvpn/vpnclientkey.key
tls-auth /etc/openvpn/vpnclientta.key 1
proto udp
verb 2
mute 5
keepalive 30 60
up "/sbin/udhcpc tap0"
down "/sbin/udhcpc -k tap0"
то я так понимаю, что соединентся, получаю такую ошибку:


. . .
Sun Apr 26 16:57:00 2009 [TestVPN] Peer Connection Initiated with 10.253.0.18:5051
Sun Apr 26 16:57:03 2009 TUN/TAP device tap0 opened
Sun Apr 26 16:57:03 2009 /sbin/udhcpc tap0 tap0 1500 1557 init
udhcpc (v0.9.9-pre) started
script /usr/share/udhcpc/default.script failed: No such file or directory
Sending discover...
Sending discover...
Sending discover...
Sending discover...
Sending discover...
script /usr/share/udhcpc/default.script failed: No such file or directory
Sending discover...
Sending discover...
...

и дальше повторяется ругательство на скрипт.
ЧТо это за скрипт, что там следует описать?

igor77777
27-04-2009, 12:51
Что это за скрипт, я понял.
Но вот что делать с

Sending discover...
я не понимаю.

Подскажите, я правильно понял, что соединение с сервером openvpn установилось (и он меня опознал и принял за "своего"), но dhcp клиент не может получить IP? я прав или нет?

Может нужно прописать какие-то правила в фаервол?
и/или в таблицу маршрутизации?

Basile
30-04-2009, 15:48
openvpn --mktun --dev tap0
brctl addif br0 tap0
ifconfig tap0 0.0.0.0 promisc up
этого по-моему делать не нужно. это для OpenVPN в режиме сервера



#!/bin/sh

# Make device if not present (not devfs)
if ( [ ! -c /dev/net/tun ] ) then
# Make /dev/net directory if needed
if ( [ ! -d /dev/net ] ) then
mkdir -m 755 /dev/net
fi
mknod /dev/net/tun c 10 200
fi

# Make sure the tunnel driver is loaded
if ( !(lsmod | grep -q "^tun") ); then
insmod tun.o
fi

## This is for standalone servers only!!!!
# Kill old server if still there
#if [ -n "`pidof openvpn`" ]; then
# killall openvpn 2>/dev/null
#fi

Вот такой скриптик у меня запускается перед OpenVPN (нашел здесь на форуме). Он проверяет, существует ли девайс /dev/net/tun0 и подключен модуль tun.o. Если нет, выполняет необходимые действия.

У тебя, после установки соединения, выполняется команда:
up "/sbin/udhcpc tap0" и именно ИМХО udhcpc ругается
/usr/share/udhcpc/default.script failed: No such file or directory
Sending discover...
Sending discover...
Sending discover...А нужна ли эта команда? Она ИМХО поднимает DHCP сервер (udhcpc) на интерфейсе tap0

Для того, чтобы комп "видел" удаленные хосты в другой сети нужно выполнить команду
iptables -t nat -A POSTROUTING -o tap0 -j MASQUERADEПочему этого не делает сам OpenVPN? Как DNSы прикрутить из внешнего соединения?
Почему у меня OpenVPN только инициализирует интерфейс и прописывает маршруты? Хотя ему сервер передает в
PUSH: Received control message: 'PUSH_REPLY,ifconfig 192.168.0.182 255.255.255.0,dhcp-option DNS 192.168.0.161,route 192.168.5.0 255.255.255.0"

NotecA
02-05-2009, 17:41
Доброго времени суток , ALL.

Нужно настроить OpenVPN между сервером в офисе и машинами клиентов в нескольких других офисах. В каждом клиентском офисе имеется по роутеру wl500gp и wl500gpv2. Реально ли пробросить vpn тунель, что бы клиентские машинки без каких либо настроек подключаясь к роутеру подключались по тунелю к серверу ?

Засада в том, что клиенты приходят со своими ноутбуками и их надо как то подключить к серверу в офисе. Причем из-за особенностей программного обеспечения нужно, что бы сервер думал , что ноутбуки эти находятся в локальной сети.

Знаний в этом деле не хватает, если можно расскажите в деталях как это реализовать.

пс можно в аську 443284206

igor77777
02-05-2009, 18:31
У тебя, после установки соединения, выполняется команда:
up "/sbin/udhcpc tap0" и именно ИМХО udhcpc ругается
/usr/share/udhcpc/default.script failed: No such file or directory
Sending discover...
Sending discover...
Sending discover...А нужна ли эта команда? Она ИМХО поднимает DHCP сервер (udhcpc) на интерфейсе tap0


Я там происходит следующее (причины, я сам понять не могу):
Если запускать клиента openvpn без скрипта
up "/sbin/udhcpc tap0" то пишет что
TUN/TAP device tap0 opened
но при этом команда [/I]ifconfig[/I] созданный интерфейс (tap0) не показывает.
А вот если выполнить ifconfig tap0, информация о нем показывается.
Кроме того ip этому соединению не назначается.
Я так понял, что запуск udhcpc -i tap0 и нужен для того, чтобы tap0 получил ip-адрес.
А тут лезет такая фигня:

Sending discover...
Sending discover...
Sending discover...
Что он хочет, я не пойму.
Под виндой все работает.
Вот поставил ещё по виртуалкой ubuntu, там тоже пока не получается подключиться.
Вот запускал tcpdump на том соединении, через которое должна работать openvpn, там проскакивает такое:


20:27:59.953398 IP 10.254.0.146 > manner.rnd.mediazona.ru: icmp 103: 10.254.0.146 udp port 1194 unreachable
20:27:59.955430 IP contusion.rnd.mediazona.ru.5050 > 10.254.0.146.1194: UDP, length: 85
20:27:59.955700 IP 10.254.0.146 > contusion.rnd.mediazona.ru: icmp 121: 10.254.0.146 udp port 1024 unreachable
20:27:59.955442 IP contusion.rnd.mediazona.ru.5051 > 10.254.0.146.1194: UDP, length: 67
20:27:59.957087 IP 10.254.0.146 > contusion.rnd.mediazona.ru: icmp 103: 10.254.0.146 udp port 1194 unreachable
20:27:59.957171 IP contusion.rnd.mediazona.ru.5050 > 10.254.0.146.1024: UDP, length: 67
20:27:59.958204 IP 10.254.0.146 > contusion.rnd.mediazona.ru: icmp 103: 10.254.0.146 udp port 1024 unreachable
20:27:59.958067 IP contusion.rnd.mediazona.ru.5050 > 10.254.0.146.1194: UDP, length: 67

Может это как то связано, с тем, что неполучается IP ?

igor77777
04-05-2009, 12:39
Настроил ubuntu и получил такие результаты:
Если в качестве dhcp-клиента dhcpcd, то IP созданному tap0 назначается сразу.
Если в качестве dhcp-клиента udhcpc, то проскакивает пара сообщение Sending discover..., и IP назначается созданному tap0.
Из замеченных мной отличий между asus и ubuntu, такие:
1). разные версии udhcpc
asus: udhcpc 1.9.9-pre
ubuntu: udhcpc 1.9.8-cvs (что-то типа этого, по памяти не помню, но точно 1.9.8)

Исправляюсь. Только что перепроверил.
asus: udhcpc 0.9.9-pre
ubuntu: udhcpc 0.9.9-pre (но в установленных пакетах фигурирует 0.9.8cvs20050303. Странно)


2). в моей ubuntu, iptables пустой, а правила по умолчанию, для всех цепочек ACEPT

Можно ли, как-то поиспользовать другого dhcp-клиента?

добавлено:
в общем теперь вообще не понятно, чего ему не хватает

igor77777
04-05-2009, 20:46
Несколько переписал скрипт запуска udhcpc.
Стал такой (/opt/etc/openvpn/mz-openvpn.up):


#!/bin/sh
echo '0='$0 '1='$1 '2='$2 '3='$3 '4='$4 '5='$5
sleep 5s
/sbin/udhcpc -i tap0 -p /var/run/udhcpc1.pid -s /tmp/udhcpc


А теперь не понятное.
Объясните пожалуйста поведение openvpn или udhcpc или их обоих.

Если этот скрипт запускается из openvpn (прописан в конфигурационном файле up "/opt/etc/openvpn/mz-openvpn.up"), то в результате имею постоянный


...
Sending discover...
Sending discover...
Sending discover...
Sending discover...
...


А если строчку up "/opt/etc/openvpn/mz-openvpn.up" в конфиге openvpn закоментировать, а скрипт запускать руками из другого окна терминала, то сразу назначается IP.

Почему так получается?

Basile
04-05-2009, 20:59
добавлено:
в общем теперь вообще не понятно, чего ему не хватаетМожет выполнишь OpenVPN
openvpn --verb 4 --config <твой_конфиг>и лог приведешь здесь?

И может посмотришь, что в этом
/usr/share/udhcpc/default.scriptсодержится в Debian?

igor77777
04-05-2009, 21:29
Может выполнишь OpenVPN
openvpn --verb 4 --config <твой_конфиг>и лог приведешь здесь?

Вот нынешний конфиг:

dev tap
client
remote-random
remote 10.253.0.18 5050
remote 10.253.0.18 5051
remote 10.253.0.18 5050
remote 10.253.0.29 5051
tls-client
cipher none
ca /opt/etc/openvpn/vpnclientca.crt
cert /opt/etc/openvpn/vpnclientcert.crt
key /opt/etc/openvpn/vpnclientkey.key
tls-auth /opt/etc/openvpn/vpnclientta.key 1
proto udp
verb 4
mute 5
keepalive 30 60
up "/opt/etc/openvpn/mz-openvpn.up"
down "/opt/etc/openvpn/mz-openvpn.down"
#tls-verify "/opt/etc/openvpn/mz-tls-verify"
#ipchange "/opt/etc/openvpn/mz-ipchange"
#route-up "/opt/etc/openvpn/mz-route-up"
dhcp-option DISABLE-NBT
dhcp-option DOMAIN vpn

log "/opt/var/log/openvpn/openvpn.log"

/opt/etc/openvpn/mz-openvpn.up

#!/bin/sh
echo '0='$0 '1='$1 '2='$2 '3='$3 '4='$4 '5='$5
sleep 5s
/sbin/udhcpc -i tap0 -p /var/run/udhcpc1.pid -s /tmp/udhcpc


/opt/etc/openvpn/mz-openvpn.down

#!/bin/sh
#echo '0='$0 '1='$1 '2='$2 '3='$3 '4='$4 '5='$5
cat /var/run/udhcpc1.pid | xargs -i kill -TERM {}

Лог приложил





И может посмотришь, что в этом
/usr/share/udhcpc/default.scriptсодержится в Debian?
В моей ubunte по указанному пути файла нет.

Вообще я обнаружил уже другую не понятку. http://wl500g.info/showpost.php?p=144074&postcount=121
Можешь что-нибудь сказать по этому поводу?

Basile
05-05-2009, 20:01
На сколько я посмотрел, у тебя строка инициализации клиента пустая:
PUSH: Received control message: 'PUSH_REPLY,ping 10,ping-restart 120'Например, так она выглядит уменя (не твой случай)
Tue May 5 21:52:59 2009 us=18464 SENT CONTROL [127.0.0.1]: 'PUSH_REQUEST' (status=1)
Tue May 5 21:52:59 2009 us=50588 PUSH: Received control message: 'PUSH_REPLY,ifconfig 192.168.0.182 255.255.255.0,dhcp-option DNS 192.168.0.161,route 192.168.5.0 255.255.255.0,route 192.168.3.0 255.255.255.0,route 192.168.7.0 255.255.255.0,ping-restart 30,ping 8,route-gateway 192.168.0.254,route 192.168.6.0 255.255.255.0,route 192.168.4.0 255.255.255.0,route 192.168.2.0 255.255.255.0'
Tue May 5 21:52:59 2009 us=53673 OPTIONS IMPORT: timers and/or timeouts modified
Tue May 5 21:52:59 2009 us=53961 OPTIONS IMPORT: --ifconfig/up options modified
Tue May 5 21:52:59 2009 us=54217 OPTIONS IMPORT: route options modified
Tue May 5 21:52:59 2009 us=54741 OPTIONS IMPORT: route-related options modified
Tue May 5 21:52:59 2009 us=55011 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Tue May 5 21:52:59 2009 us=94732 TUN/TAP device tap0 opened
Tue May 5 21:52:59 2009 us=95899 TUN/TAP TX queue length set to 100
Tue May 5 21:52:59 2009 us=97528 /sbin/ifconfig tap0 192.168.0.182 netmask 255.255.255.0 mtu 1500 broadcast 192.168.0.255
Tue May 5 21:53:01 2009 us=512509 /sbin/route add -net 192.168.5.0 netmask 255.255.255.0 gw 192.168.0.254
Tue May 5 21:53:01 2009 us=564417 /sbin/route add -net 192.168.3.0 netmask 255.255.255.0 gw 192.168.0.254
Tue May 5 21:53:01 2009 us=607112 /sbin/route add -net 192.168.7.0 netmask 255.255.255.0 gw 192.168.0.254
Tue May 5 21:53:01 2009 us=707989 /sbin/route add -net 192.168.6.0 netmask 255.255.255.0 gw 192.168.0.254
Tue May 5 21:53:01 2009 us=801242 /sbin/route add -net 192.168.4.0 netmask 255.255.255.0 gw 192.168.0.254
Tue May 5 21:53:01 2009 us=924718 /sbin/route add -net 192.168.2.0 netmask 255.255.255.0 gw 192.168.0.254
Tue May 5 21:53:01 2009 us=965473 Initialization Sequence CompletedОтсюда можно сделать вывод, что сервер тебе ничего не выдает и все интерфейсы и марршруты ты должен прописывать сам

Попробуй сделать это все в своем конфиге, посмотри, какие адреса и маршурты назначаются интерфейсу в Ubuntu

И зачем у тебя несколько remote адресов? это все сервера твоего провайдера? может стоит только 1 оставить, самый надежный, что на сайте провайдера в конфигах прописан?

Также посмотри (выложи сюда) конфиг и лог иницализации для Винды. Будем думать!



А если строчку up "/opt/etc/openvpn/mz-openvpn.up" в конфиге openvpn закоментировать, а скрипт запускать руками из другого окна терминала, то сразу назначается IP.

Почему так получается?Извини, не представляю в чем может быть дело

igor77777
06-05-2009, 06:44
На сколько я посмотрел, у тебя строка инициализации клиента пустая:
PUSH: Received control message: 'PUSH_REPLY,ping 10,ping-restart 120'Отсюда можно сделать вывод, что сервер тебе ничего не выдает и все интерфейсы и марршруты ты должен прописывать сам
Ну эту ВПН, организует сам провайдер, поэтому до конфигов сервера, я доступа не имею. А DHCP-клиент, как я это понимаю,нужен чтобы получить все эти параметры.
Единственное, чисто для информации: провайдер - "ЮТК - Ростовская область"




Попробуй сделать это все в своем конфиге, посмотри, какие адреса и маршурты назначаются интерфейсу в Ubuntu

Когда я экспериментировал в ubuntu и в винде, ip назначался всегда разный. Маршрут посмотреть могу, но я сейчас на работе, так-что только вечером.



И зачем у тебя несколько remote адресов? это все сервера твоего провайдера? может стоит только 1 оставить, самый надежный, что на сайте провайдера в конфигах прописан?

Провайдер предоставляет четыре конфига, отличающиеся только ip:port сервера, и клиент под винду вроде умеет переподключаться к другому серверу при большой нагрузке на текущий.



Также посмотри (выложи сюда) конфиг и лог иницализации для Винды. Будем думать!

Конфиг (могу и 4 конфига) выложу, но снова, только вечером.
А вот лог инициализации, это лог openvpn?
Я так понимаю способ получения такой же, как в linux?



Извини, не представляю в чем может быть дело

Последние мои экспериметы, показывают одинаковое поведение и в роутере и под ubuntu. Суть в следующем:
если скрипт запуска dhcp-клиента на интерфейсе tap0 пометить в параметр "up" конфига, то получается бесконечный Sending discover...
А если запускать dhcp-клиент на интерфейсе tap0, в отдельной терминальное сесии, после того как соединение с впн будет установлено. Т.е. в логе openvpn будет сообщение: Initialization Sequence Completed, то IP и все нужные маршруты прописываются.

walkera
06-05-2009, 16:33
За сутки победил роутер и заставил на нем работать 3g модем что несомненно радует...

Скажите возможно запустить на роутере OpenVpn клиент.. таким образом чтобы люди которые подключаются к роутеры имели не реальный айпи адрес, а IP vpn сервера... тоесть чтобы инет в роутере работал через впн?

В принципе думаю что это возможно.. но видимо придется все делать через шелл руками?

прошивка чешская - 1.9.2.7-10-USB-1.71... в веб интерфейсе ненашел упоминания про vpn вообще...

буду рад любой информации.. ссылки и факи по настройке...

спасибо!

igor77777
06-05-2009, 17:38
Прикладываю лог, маршруты и интерфейсы из винды

Basile
08-05-2009, 20:14
даже не знаю, куда копать :(
в своё up-скрипт добавь строчку "ifconfig", посмотри, что она выдаст

Basile
08-05-2009, 20:24
Можно ли запустить udhcpc на этом интерфейсе до запуска openvpn? надо как-то сделать, чтобы ifconfig показывал tap0 до запуска openvpn

Basile
08-05-2009, 20:28
посмотри, что выдает
ps axfу меня выдал такую строчку
udhcpc -i vlan1 -p /var/run/udhcpc0.pid -s /tmp/udhcpc -bМожет здесь достаточно заменить vlan1 на имя твоего интерфейса?

igor77777
08-05-2009, 22:29
Лично у меня образовалась только такая идея.
Написать скрипт или при помощи ещё чего-то (пока не знаю чего).
Реализовать следующее:
1. Вначале запускается openvpn
2. И только, после удачного запуска openvpn, запускать udhcpc на этом интерфейсе.

Но вот как это сделать, я пока не знаю :-(


у меня выдал такую строчку

udhcpc -i vlan1 -p /var/run/udhcpc0.pid -s /tmp/udhcpc -b
Может здесь достаточно заменить vlan1 на имя твоего интерфейса?

У меня промерно так и написано:

#!/bin/sh
echo '0='$0 '1='$1 '2='$2 '3='$3 '4='$4 '5='$5
sleep 5s
/sbin/udhcpc -i tap0 -p /var/run/udhcpc1.pid -s /tmp/udhcpc


Ещё нашел такой вопрос и ответ: Re: [Openvpn-users] DHCP linux clients (http://openvpn.net/archive/openvpn-users/2004-05/msg00184.html)
Завтра попробую. По описанию, именно та проблема что у меня.

Если не заработает, буду мудрить с последовательным запуском openvpn и udhcpc/

Basile
08-05-2009, 23:33
И попробуй запустить udhcpc до запуска openvpn ;-)

igor77777
09-05-2009, 09:51
И попробуй запустить udhcpc до запуска openvpn ;-)

Пробовал.
Ругается на отсутсвие tap0.


И ещё, мне кажется, что и в этом случае, ножно будет каким-то образом дергать udhcpc, чтобы он попытался получить IP позсле запуска openvpn.
или мне не правильно кажется?

ANVIL
09-05-2009, 10:23
Кто может расписать настройку клиента OpenVPN. А то настройка сервера есть, а вот настройки клиента нет. Хотя клиент настраивается гораздо проще, как я понимаю. Мануал по такому вопросу был бы востребован. ХЕЛП!!! :o

Basile
09-05-2009, 12:22
Ругается на отсутсвие tap0.А эти команды до запуска делал?
openvpn --mktun --dev tap0
ifconfig tap0 0.0.0.0 promisc up

Basile
09-05-2009, 12:24
У меня промерно так и написано:

#!/bin/sh
echo '0='$0 '1='$1 '2='$2 '3='$3 '4='$4 '5='$5
sleep 5s
/sbin/udhcpc -i tap0 -p /var/run/udhcpc1.pid -s /tmp/udhcpcПараметра "-b" не хватает (х.з., что означает)

Basile
09-05-2009, 12:25
в свой up-скрипт добавь строчку "ifconfig", посмотри, что она выдастА это сделал? что выдал ifconfig?

Basile
09-05-2009, 12:33
Лично у меня образовалась только такая идея.
Написать скрипт или при помощи ещё чего-то (пока не знаю чего).
Реализовать следующее:
1. Вначале запускается openvpn
2. И только, после удачного запуска openvpn, запускать udhcpc на этом интерфейсе.А я тебе всё пытаюсь продвинуть другую идею.
На сколько я понял, udhcpc можно повесить как сервис, он сам при необходимости будет запрашивать у DHCP-сервера нужные параметры.
Для этого сначала создаем интерфейс tun0 и делаем так, чтобы он виден был в ifconfig http://wl500g.info/showpost.php?p=144773&postcount=135
Запускаем на нем udhcpc http://wl500g.info/showpost.php?p=144692&postcount=130
Запускаем OpenVPN. На этом этапе udhcpc должен сам подхватить все настройки

Это я пытаюсь найти объяснение http://wl500g.info/showpost.php?p=144074&postcount=121

igor77777
09-05-2009, 19:28
А это сделал? что выдал ifcofig?
если вставить просто ifconfig получается следующие:


...
Sat May 9 21:13:13 2009 TUN/TAP device tap0 opened
Sat May 9 21:13:13 2009 /opt/etc/openvpn/mz-openvpn.up tap0 1500 1557 init
0=/opt/etc/openvpn/mz-openvpn.up 1=tap0 2=1500 3=1557 4= 5=
br0 Link encap:Ethernet HWaddr 00:1F:C6:82:22:22
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::21f:c6ff:fe82:2222/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:869 errors:0 dropped:0 overruns:0 frame:0
TX packets:1054 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:95652 (93.4 KiB) TX bytes:382396 (373.4 KiB)

eth0 Link encap:Ethernet HWaddr 00:1F:C6:82:22:22
inet6 addr: fe80::21f:c6ff:fe82:2222/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:48727 errors:0 dropped:0 overruns:0 frame:0
TX packets:2644 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:7688856 (7.3 MiB) TX bytes:609537 (595.2 KiB)
Interrupt:4 Base address:0x1000

eth1 Link encap:Ethernet HWaddr 00:1F:C6:82:22:22
inet6 addr: fe80::21f:c6ff:fe82:2222/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
Interrupt:12 Base address:0x2000

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MULTICAST MTU:16436 Metric:1
RX packets:786 errors:0 dropped:0 overruns:0 frame:0
TX packets:786 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:66840 (65.2 KiB) TX bytes:66840 (65.2 KiB)

ppp0 Link encap:Point-Point Protocol
inet addr:172.19.78.162 P-t-P:172.19.64.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING MULTICAST MTU:1492 Metric:1
RX packets:228 errors:0 dropped:0 overruns:0 frame:0
TX packets:256 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:82937 (80.9 KiB) TX bytes:44171 (43.1 KiB)

vlan0 Link encap:Ethernet HWaddr 00:1F:C6:82:22:22
inet6 addr: fe80::21f:c6ff:fe82:2222/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:869 errors:0 dropped:0 overruns:0 frame:0
TX packets:1402 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:99128 (96.8 KiB) TX bytes:408912 (399.3 KiB)

vlan1 Link encap:Ethernet HWaddr 00:1F:C6:82:22:22
inet addr:10.254.0.146 Bcast:10.254.0.255 Mask:255.255.255.0
inet6 addr: fe80::21f:c6ff:fe82:2222/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:47846 errors:0 dropped:0 overruns:0 frame:0
TX packets:1240 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:6710120 (6.3 MiB) TX bytes:200477 (195.7 KiB)

0=/opt/etc/openvpn/mz-route-up 1= 2= 3= 4= 5=
Sat May 9 21:13:13 2009 Initialization Sequence Completed


а вот если указать интерфейс, т.е. вставить ifconfig tap0
то результат такой:


...
Sat May 9 21:16:06 2009 TUN/TAP device tap0 opened
Sat May 9 21:16:06 2009 /opt/etc/openvpn/mz-openvpn.up tap0 1500 1557 init
0=/opt/etc/openvpn/mz-openvpn.up 1=tap0 2=1500 3=1557 4= 5=
tap0 Link encap:Ethernet HWaddr 00:FF:26:34:B8:C8
BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

0=/opt/etc/openvpn/mz-route-up 1= 2= 3= 4= 5=
Sat May 9 21:16:06 2009 Initialization Sequence Completed


Идею про "не зависимый" запуск openvpn и udhcpc я понял.
Я в области сетевых технологий и linux - не являюсь специалистом.
То что я пытаюсь делать, скорее основано на догадках, и моих "предположениях". :-(

Вот я хочу уточнить, с какой частотой udhcpc будет пытаться получить IP?
Можно-ли его принудительно "попросить" получить IP?

igor77777
09-05-2009, 21:18
А я тебе всё пытаюсь продвинуть другую идею.
На сколько я понял, udhcpc можно повесить как сервис, он сам при необходимости будет запрашивать у DHCP-сервера нужные параметры.
Для этого сначала создаем интерфейс tun0 и делаем так, чтобы он виден был в ifconfig http://wl500g.info/showpost.php?p=144773&postcount=135
Запускаем на нем udhcpc http://wl500g.info/showpost.php?p=144692&postcount=130
Запускаем OpenVPN. На этом этапе udhcpc должен сам подхватить все настройки


Спасибо!
Огромное спасибо!
Судя по всему, твоя идея с запуском сначала udhcpc, а потом openvpn - работает!

Сделал следующее:
в post-mount вставил следующее:


/opt/sbin/openvpn --mktun --dev tap0
ifconfig tap0 0.0.0.0 promisc up
/sbin/udhcpc -i tap0 -p /var/run/udhcpc1.pid -s /tmp/udhcpc -b


и ещё написал такой скриптик S20openvpn:

#!/bin/sh

NAME="OpenVPN Client"

start() {
echo "Starting $NAME... "
/opt/sbin/openvpn --config /opt/etc/openvpn/mz.ovpn --script-security 3 &
}

stop() {
echo "Shutting down $NAME... "
killall -9 openvpn
}

case "$1" in
start)
start
;;
stop)
stop
;;
restart)
stop
sleep 1
start
;;
*)
echo "Usage: $0 (start|stop|restart)"
exit 1
;;
esac
exit 0

и положил его в /opt/etc/init.d

Вроде работает.
При загрузке роутера, все поднимается.

Basile
10-05-2009, 00:44
igor77777, очень рад, что все заработало. Я тоже, к стати, не специалист :)
Вот мне бы кто помог. Как заставить openvpn прописывать DNS сервера самостоятельно, выбирая из строки инициализации, и потом, при разрыве соединения, их убирать?

Basile
10-05-2009, 00:50
если вставить просто ifconfig получается следующие:Я так и подумал, что во время выполнения up-скрипта интерфейс tap0 находится в каком-то "странном" состоянии.

Вот я хочу уточнить, с какой частотой udhcpc будет пытаться получить IP?Не знаю

Можно-ли его принудительно "попросить" получить IP?Посмотри мо мануалу, у udhcpc есть параметр --now http://www.digipedia.pl/man/udhcpc.8.html

ANVIL
12-05-2009, 18:54
Не могли бы вы расписать что в итоге нужно сделать для установки OpenVPN как клиента. А то уже по частям есть все, можно по подробнее расписать что да как. Как в первом посте. :rolleyes:

Basile
13-05-2009, 22:15
Не могли бы вы расписать что в итоге нужно сделать для установки OpenVPN как клиента. А то уже по частям есть все, можно по подробнее расписать что да как. Как в первом посте. :rolleyes:0. Рекомендую начать настройку OpenVPN под Windows ;) Так вы получите базовые знания по настройке клиента и ничего не сломаете на роутере. Рекомендую научиться запускать openvpn через консоль, а не через значок в трее.
1. Ставим OpenVPN на роутере ipkg install openvpn
2. Инициализируем роутер перед запуском OpenVPN (добавляем строки в post-boot)
#!/bin/sh

# Make device if not present (not devfs)
if ( [ ! -c /dev/net/tun ] ) then
# Make /dev/net directory if needed
if ( [ ! -d /dev/net ] ) then
mkdir -m 755 /dev/net
fi
mknod /dev/net/tun c 10 200
fi

# Make sure the tunnel driver is loaded
if ( !(lsmod | grep -q "^tun") ); then
insmod tun.o
fi
3. Применяем знания, полученные при настройке клиента под Windows, только ключи и конфиг надо положить в /opt/etc/openvpn
4. Дальше по ситуации. Например, у человека (выше на пару постов) ip-адрес выдавал DHCP-сервер, у меня сам сервер.

ANVIL
14-05-2009, 13:47
0. Рекомендую начать настройку OpenVPN под Windows ;) Так вы получите базовые знания по настройке клиента и ничего не сломаете на роутере. Рекомендую научиться запускать openvpn через консоль, а не через значок в трее.
1. Ставим OpenVPN на роутере ipkg install openvpn
2. Инициализируем роутер перед запуском OpenVPN (добавляем строки в post-boot)
#!/bin/sh

# Make device if not present (not devfs)
if ( [ ! -c /dev/net/tun ] ) then
# Make /dev/net directory if needed
if ( [ ! -d /dev/net ] ) then
mkdir -m 755 /dev/net
fi
mknod /dev/net/tun c 10 200
fi

# Make sure the tunnel driver is loaded
if ( !(lsmod | grep -q "^tun") ); then
insmod tun.o
fi
3. Применяем знания, полученные при настройке клиента под Windows, только ключи и конфиг надо положить в /opt/etc/openvpn
4. Дальше по ситуации. Например, у человека (выше на пару постов) ip-адрес выдавал DHCP-сервер, у меня сам сервер.

0. Опыт работы с OpenVPN имеется. В частности поднят сервер на FreeBSD для OpenVPN, но там все через Веб интерфейс управляется, поэтому никаких сложностей не возникало, чисто теоретические. И к нему подключаются машины с Win клиентами.

По установке в основную память OpenVPN и последующей загрузки, тоже проблем нет, а вот проблемы начались дальше. Т.к. клиентом становится роутер, то получается, что он становится рядовой машиной в сети OpenVPN. А если отправлять запросы с компов за роутером в сеть за сервером OpenVPN, то они не проходят, получается, что роутер подключен к сети, но ее не раздает. Как я понял нужна настройка таблицы NAT. Чтобы запросы с внутренней сети роутера отправлялись через туннель OpenVPN и приходили обратно на IP роутера. У меня ip раздает сервер OpenVPN и в PUSH передает конфигурацию ROUTE. Правда как-то странно все это прописывается. Так вот теперь вопрос, как это все настроить? Причем хотелось бы понять, как можно развести трафик по разным туннелям, т. к. планируется подключение к нескольким серверам OpenVPN и трафик будет идти в разные места. На Win машинах все просто решается, ставится еще один интерфейс и все. 2 клиента к 2 серверам и все там само рулится. А вот как на роутере все это провернуть??? :rolleyes:
Если получится все это сделать, постараюсь написать документашку.

Basile
15-05-2009, 21:37
NAT на интерфейсе tap0 с присвоившимся адресом 192.168.24.149 включается примерно так
iptables -t nat -A POSTROUTING -o tap0 ! -s 192.168.24.149 -j MASQUERADEЕсли у вас маршруты на все сети прописаны, то все сразу же заработает

Basile
15-05-2009, 21:43
Подсмотреть, как настраиваются остальные параметры на iptables, можно, например, здесь
http://wl500g.info/showthread.php?p=144136
http://wl500g.info/showthread.php?t=7824

Basile
15-05-2009, 21:47
У меня ip раздает сервер OpenVPN и в PUSH передает конфигурацию ROUTE. Правда как-то странно все это прописывается. Так вот теперь вопрос, как это все настроить?Запустите OpenVPN с ключом "--verb 4" и посмотрите, что он делает http://wl500g.info/showpost.php?p=144076&postcount=122

igor77777
18-05-2009, 14:27
NAT на интерфейсе tap0 с присвоившимся адресом 192.168.24.149 включается примерно так
iptables -t nat -A POSTROUTING -o tap0 ! -s 192.168.24.149 -j MASQUERADEЕсли у вас маршруты на все сети прописаны, то все сразу же заработает

У меня тоже есть по этому поводу вопрос.
Если помните, у меня ip выдает dhcp-сервер.
Добавлять правило для этого ip при его получении - не проблема.

А вот как удалять правило для "старого IP", при переназначении его сервером?

Dimorus
18-05-2009, 20:12
вот есть у меня .....
дома.... dir-320 перешитый в asus....
на нем надо vpn поднять.... есть: флешка воткнута в него и даже работает... понаставил кучу приложений......
на работе парк виндовых машин..... у них у всех автоматом идет получение ip масок и dns от сервака - debian.....
вот хочется понять как бы сделать чтоб дебиан сам инет с домащнего компа тащил... тоесть с dir-320 сам брал?
что надо там и там настроить? :)
пока я ламер.. но я учусь.... но нужна помощь.... если поможете конфигами буду благодарен.... :)
оба находятся в сетках: 10.246.*.* ip статические....

Issedon
08-06-2009, 08:18
Имеется роутер ASUS WL-500G Premium. Имеются два помещения на территории крупного предприятия.
В обоих помещениях находятся средства вычислительной техники (компьютеры и периферийные устройства), объединенные в свои локальные вычислительные сети (ЛВС1 и ЛВС2).
Из обоих помещений имеется доступ к ресурсам коопоративной сети (КС) предприятия - витая пара UTP.
Доступ в Интернет предоставляется через КС, управляемую вычислительным центром (ВЦ) данного предприятия.
Доступ предоставляется по статическому IP-адресу (стандартная информация ВЦ для организации доступа: IP-адрес, маска, шлюз, DNS сервера).
Наша проблема заключается в том, что IP-адрес для доступа в Интернет у нас один, а Интернет нужен в двух помещениях.
Второй IP-адрес у провайдера получить нельзя.
Поэтому приходиться искать такое решение, котрое позволило бы соединить сети в обоих помещениях и получить доступ в Интернет для ЛВС2 через роутер ASUS WL-500G Premium, инсталлированный в ЛВС1.
Настройки и ресурсы КС разрешают соединение обеих сетей (ЛВС1 и ЛВС2).

Пока реализовано такое решение.
Роутер ASUS WL-500G Premium инсталирован в ЛВС1 (192.168.2.X). Хвост от КС подключен в WAN порт на роутере. На WAN порте настроен статический IP-адрес (193.233.XXX.XXX), предоставленный провайдером.
Все работает отлично. Доступ в Интернет в ЛВС1 имеется. Но ЛВС2 в таком случае получается отрезанной, как от Интернета, так и от ресурсов организации, размещенных в ЛВС1, поскольку
ротуер надежно защищает локальную сеть ЛВС1 от WAN доступа снаружи, как из Интернета, так и из КС.

Поэтому для полноценного функционирования организации нужно попытаться выполнить следующие задачи:

1. Средствами роутера организовать доступ из ЛВС2 (192.168.5.X) к устройствам ЛВС1 (192.168.2.X) (принтерам, сетевым архивам и т.д.).
2. Средствами роутера организовать доступ из ЛВС1 (192.168.2.X) к устройствам ЛВС2 (192.168.5.X) (принтерам, сетевым архивам и т.д.).
3. Получить доступ в Интернет из ЛВС2 (192.168.5.X) через роутер, инсталлированный в ЛВС1 (192.168.2.X).

Хочу отметить то обстоятельство что КС очень большая. Она объединяет несколько многоэтажных задний. В этой сети бродит столько различных людей, желаний и пакетов, что хотелось бы макисмально защитить как ЛВС1, так и ЛВС2 от несанкционированного доступа.
Например, по MAC адресу. Или как-то еще...

К сожалению, изменением страндартных настроек роутера ASUS WL-500G Premium через WEB интерфейс решить вышеперечисленные задачи невозможно.
Предполагаю, что через telnet можно так настроить роутер, что все заработает.

Прошу специалистов помочь с настройкой роутера...
Заранее благодарен...

Issedon
10-06-2009, 10:51
Попробую более ясно сформулировать возникающие вопросы.
Мы имеем следующие сегменты сети:
ЛВС1 (192.168.2.X), шлюз 192.168.2.1, DNS 192.168.2.1 (LAN порты ASUS WL-500G)
ЛВС2 (192.168.5.X)
Имеем статический адрес провайдера, например 193.233.X.PRV (WAN порт ASUS WL-500G).
Имеем шлюз провайдера, например 193.233.X.GAT (WAN порт ASUS WL-500G)
Имеем DNS сервера провайдера, например 193.233.X.DN1 и 193.233.X.DN2 (WAN порт ASUS WL-500G).
Роутер ASUS WL-500G инсталирован в ЛВС1.
На физическом уровне пакеты из ЛВС2 поступают по единственному кабелю UTP на WAN порт роутера ASUS WL-500G.

Есть понимание, что WAN порту роутера ASUS WL-500G Premium можно присвоить второй IP-адрес, например 192.168.5.1, следующими командами:

mkdir -p /usr/local/sbin
echo "#!/bin/sh" >> /usr/local/sbin/post-boot
chmod +x /usr/local/sbin/post-boot
echo ifconfig vlan1:0 192.168.5.1 netmask 255.255.255.0 up >> /usr/local/sbin/post-boot
flashfs save && flashfs commit && flashfs enable
reboot

После этих манипуляций IP-адрес 192.168.5.1 появляется и пингуется.
А вот далее совсем не понятно...
Какими командами можно настроить роутер, чтобы этот второй IP-адрес (192.168.5.1) на WAN порте стал шлюзом и DNS сервером для подсети 192.168.5.X, т.е. фактически LAN портом подсети 192.168.5.X?
Какими командами можно задать маршрутизацию, чтобы компьютеры из подсети 192.168.5.X имели доступ в Интернет через тот же самый физический WAN порт, только через первый IP-адрес 193.233.X.PRV (шлюз 193.233.X.GAT и DNS сервера 193.233.X.DN1 и 193.233.X.DN2).
Какими командами можно задать маршрутизацию, чтобы компьютеры из подсети 192.168.5.X имели доступ к ресурсам подсети 192.168.2.x (сетевым притерам и электронным архивам).

И, вообще, возможно ли настроить роутер ASUS WL-500G Premium таким образом?

Понимаю, что задача сложная, но надеюсь, что высокий профессиональный уровень, присутствующих на форуме специалистов, позволит ее решить...
Заранее благодарен за помощь...

Power
10-06-2009, 16:20
Я думаю, что будет правильнее ЛВС1 и ЛВС2 подключить к LAN-портам роутера, только выделить для них отдельные vlan'ы (кстати, а wi-fi вы как используете?). Затем настроить iptables на пропуск новых пакетов по направлениям vlan(ЛВС1) <-> vlan(ЛВС2), vlan(ЛВС1) -> wan, vlan(ЛВС2) -> wan. Ну, ясное дело, назначить адрес на vlan(ЛВС2), поднять на нём (или перенастроить) dnsmasq, настроить маршруты. Для взаимодействия компов из разных сетей (если имеется в виду samba/netbios), наверное, понадобится поднять сервер WINS на роутере (т.к. broadcast не пройдёт между сетями).
И не факт, что такая железка потянет маршрутизацию между вашими сетями на нужной скорости.

Issedon
17-06-2009, 09:28
Спасибо за предложение. Оно весьма логичное, но есть несколько нюансов.
И ЛВС2 и Интернет приходят в помещение ЛВС1 по единому физическому кабелю UTP, подключенному к какому-то коммутационному оборудованию корпоративной сети предприятия.
Если этот кабель переткнуть из WAN порта в LAN порт, то, во-первых, ЛВС1 автоматически лишается Интернета и, во-вторых, все ресурсы (компьютеры, диски, принтеры и т.д.) сети ЛВС1 становятся видны и доступны для пользователей корпоративной сети, что не есть хорошо с точки зрения безопасности...
Пробовали сделать так - перед роутером ASUS WL-500G Premium ставили пяти портовый неуправляемый HUB, в него втыкали хвост из корпоративной сети, а два других хвоста из HABa вешали на WAN и LAN порты роутера. Задумка была такая - разделить на железном уровне пакеты Интернета и пакеты ЛВС2. Через 1 - 2 часа работы роутер ASUS WL-500G Premium при работе с Интернетом начинал страшно тормозить. Страницы открывались по 1 - 3 минуты. Перезагрузкой роутера и HUBa проблема не лечилась. Торможение заканчивалось спонтанно. Есть мысль, что то ли какой маршрутизатор, то ли сам шлюз корпоративной сети воспринимал такую связку оборудования неадекватно и как-то глушил ее...
Кстати, при попытке поставить вместо старенького HUBa новенький пяти портовый SWITCH 3COM доступ в Интернет из ЛВС1 вообще пропадал.
При этом, если хвост корпоративной сети подвешен на WAN порт роутера напрямую, то все (доступ в Интернет и работа внутри ЛВС1) работает отлично и стабильно уже две недели.
Поэтому наиболее логичным решением мне по-прежнему видится деление на программном уровне роутера пакетов ЛВС2 и Интернета, приходящих на единственный физический WAN порт роутера по единому физическому UTP кабелю корпоративной сети.
Только вот как это сделать?

Power
17-06-2009, 13:52
И ЛВС2 и Интернет приходят в помещение ЛВС1 по единому физическому кабелю UTP, подключенному к какому-то коммутационному оборудованию корпоративной сети предприятия.


Пока вы не проясните этот момент, сделать можно будет мало что. Что за коммутационное оборудование? Какие адреса (хотя бы подсети) там фигурируют? Не получается ли так, что ЛВС2 уже имеет свой доступ в интернет за счёт того, что ходит по одному с ним кабелю? Т.е. очень интересно, что же стоит на том конце этого занятного кабеля.

Далее, мне кажется, что идея разделить потоки с помощью свича (не хаба) была верной. Вы только не учли того, что все порты роутера имеют одинаковые MAC-адреса, и сетевое оборудование такого не переваривает. Вам нужно поменять MAC интерфейса vlan1, вписав новый (хоть на единичку последний октет увеличьте, а лучше придумайте locally administered address (http://en.wikipedia.org/wiki/MAC_address#Address_details), т.е. 02xxxxxxxxxx) в поле MAC Address на странице IP Config - WAN & LAN.

rgaliull
24-06-2009, 16:21
овпн сервер настроил, все соединяется отлично.Если зайти по ssh сквозь впн и рабоатть простыми командами типа cd, ls то проблем нет никаких, но стоит запустить mc - так вывод на экран прекращается. я даже запустил в screen и подцепился к сессии с другого терминала, но уже не через впн(напрямую все отлично показывает), загадка в том, что несмотря на черный экран - в другом теминале видно что курсор перемещается и все ок.
С другими видами тяжелого трафика тоже проблема, внц предлагает окно ввода пароля, но не пашет...

alexcccp
08-07-2009, 12:46
прекрастно знаю, что все всё уже настроили и не один раз
но все-таки решил выложить свою версию
а точнее клон http://wl500g.info/showthread.php?t=17034 --Tamadite

только на русском

также писалась для друга :)

она ставиться не в основную память, а на usb



на машине с windows

устанавливаем клиент openVPN (оно же сервер если настроить)

http://openvpn.se/files/install_packages/openvpn-2.0.9-gui-1.0.3-install.exe
или
http://openvpn.se/download.htm

Ставим, лезем в
C:\Program Files\OpenVPN\config
и создаем там файлик client.ovpn
изменяем его в редакторе

remote доменное.имя #куда будет стучатся
dev tun0
ifconfig 11.8.0.2 11.8.0.1
secret static.key #ключик который сделаем позже

В CMD выполняем две команды

cd C:\Program Files\OpenVPN\config
openvpn --genkey --secret static.key
Вот наш ключик :)



Теперь настраиваем роутер

ipkg install openvpn

mkdir /dev/net
mknod /dev/net/tun c 10 200

insmod tun #создаем интерфейс

echo 1 > /proc/sys/net/ipv4/ip_forward


Делаем настройку для OpenVpn

лезем /opt/etc/openvpn
создаем файл server.conf
и изменяем его
вписываем туда

dev tun0
ifconfig 11.8.0.1 11.8.0.2
secret static.key

теперь нам надо скопировать файл static.key с компютера с win на роутер в /opt/etc/openvpn

изменяем
post-firewall

пишем туда
#openVPN
#ptables -D INPUT -j DROP
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
iptables -t nat -I PREROUTING -i eth1 -p udp --dport 1194 -j DNAT --to-destination $4:1194
#iptables -A INPUT -j DROP

iptables -I INPUT -i tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -j ACCEPT
iptables -I FORWARD -o tun0 -j ACCEPT
iptables -I OUTPUT -o tun0 -j ACCEPT


создаем в /opt/etc/init.d/
файлик S24openvpn
и изменяем его пишем туды

#!/bin/sh

if [ -n "`pidof openvpn`" ]; then
/bin/killall openvpn 2>/dev/null
fi

# load TUN/TAP kernel module
/sbin/insmod tun

# enable IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

# Startup VPN tunnel in daemon mode
/opt/sbin/openvpn --cd /opt/etc/openvpn --daemon \
--log-append /var/log/openvpn.log \
--config server.conf

делаем его исполняемым
chmod +x /opt/etc/init.d/S24openvpn

сообстно теперь этим файлом можно запустить openVPN
можно добавить в post-boot /opt/etc/init.d/S24openvpn
для авто загрузки

сохраняемся
flashfs save
flashfs commit
flashfs enable
reboot



все готово и должно работать

в windowse :) жмете в трее по значку и выбираете коннект

далее
можно преследовать разные задачи
моя задача была локальные ресурсы моего провайдера по интернет

и я создал свой маршрут (cmd)

route -p add локалка MASK локалка 11.8.0.1 METRIC 1


Усе

Warcan
14-10-2009, 17:53
Приветствую!!!
Не поможете ли с вопросом или ссылкой, вроде бы искал но нечего вразумительного не попалось:( И так есть wl-500gp подключен к корбине есть прямой IP на нём развёрнут openvpn server клиенты коненктятся всё работает. Хотелось бы поднять на самом роутере ещё и клиента для доступа в сеть точнее для юзания voip. На другой стороне стоит впн сервер обладающий инетовским IP т.е. здесь вроде бы ни каких ограничений не должно быть. Но мне необходимо чтобы на вот этом соединение был только доступ к локалке, а интернет по прежнему через сам роутер. Ну вроде бы ясно прописать роуты до этой сети и всё. Так вот в чём вопрос может ли openvpn выступать в роли и клиента и сервера одновременно? Или мне придётся запускать два openvpna или ещё какого прочего клиента?

r00t31337
06-11-2009, 13:23
Здравствуйте
Все настроил как в инструкции. Соединение проходит успешно. Можно обращаться к локальным ip и все работает. Но не работает интернет, т.е. если хочу зайти на yandex.ru, страница очень долго грузится и не загружается...

Подскажите, пожалуйста, решить эту проблему

--

Проблема решилась ручным прописыванием DNS серверов.

uinoksk
17-11-2009, 18:37
помогите пожайлуста с настройкой openvpn. Решил сделать что-то по безопаснее, но в ходе появились проблемы. (ого, я такой уникальный!)
Почему подключившаяся машина не может выйти в инет с ипом сервера?
делалось по инструкции
http://gealex.ru/linux-111.html
а именно:
в easy-rsa/2.0/ редактируем vars

export KEY_COUNTRY=»RU»
export KEY_PROVINCE=»RU»
export KEY_CITY=»Kirov»
export KEY_ORG=»Personal service»
export KEY_EMAIL=»me@gealex.ru»
после

./build-ca # Создаем Certificate Authority для сервера
./build-key-server server # Создаем сертификат X.509 для сервера
./build-dh # Создаем ключ Диффи Хельман
копируем в папку openvpn файлы

ca.crt
server.crt
server.key
dh1024.pem

Создаем ключ для клиента:

build-key-pkcs12 client
в конфиге сервера поставил

port 3434
proto tcp
dev tun0 # используем тип тунеля для интернет, tap для eternet
ca ca.crt # наши сертификаты
cert server.crt
key server.key
dh dh1024.pem
server 10.8.0.0 255.255.255.0 # собственно наша виртуальная сеть
keepalive 10 120 # пинг каждые 10 секунд для поддержания канала связи
comp-lzo # сжатие трафика
persist-key
persist-tun
verb 3 # уровень болтливости записей в логи
# Добавил опции:
push «redirect-gateway» # при подключении клиента у него устанавливается шлюз по умолчанию на этот сервер

также делаем:

iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT # разрешаем клиентом из сети 10.8.0.0/24 обращатся в интернет.
iptables -A FORWARD -d 10.8.0.0/24 -m state –state ESTABLISHED,RELATED -j ACCEPT # разрешаем отдавать пакеты из интернета клиентам сети 10.8.0.0/24.
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT –to-source 80.80.80.80 # с этого ip пользователи будут ходить в интернет.
также добавляем

echo 1 > /proc/sys/net/ipv4/conf/all/forwarding
и теперь на клиенте ХР

remote 80.80.80.80 3434 # ip и порт нашего сервера
client
dev tun
ping 10
comp-lzo
proto udp # или proto tcp, в зависимости от настроек сервера
tls-client
pkcs12 client1.p12 #имя файла клиентского ключа
verb 3
pull
Коннект проходит
Лог клиента:

Tue Nov 17 20:54:47 2009 OpenVPN 2.1_rc15 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Nov 19 2008
Tue Nov 17 20:54:47 2009 WARNING: --ping should normally be used with --ping-restart or --ping-exit
Tue Nov 17 20:54:47 2009 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Tue Nov 17 20:54:47 2009 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue Nov 17 20:54:47 2009 LZO compression initialized
Tue Nov 17 20:54:47 2009 Control Channel MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ]
Tue Nov 17 20:54:47 2009 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Tue Nov 17 20:54:47 2009 Local Options hash (VER=V4): '69109d17'
Tue Nov 17 20:54:47 2009 Expected Remote Options hash (VER=V4): 'c0103fa8'
Tue Nov 17 20:54:47 2009 Attempting to establish TCP connection with 10.3.5.5:3434
Tue Nov 17 20:54:47 2009 TCP connection established with 10.3.5.5:3434
Tue Nov 17 20:54:47 2009 Socket Buffers: R=[8192->8192] S=[8192->8192]
Tue Nov 17 20:54:47 2009 TCPv4_CLIENT link local: [undef]
Tue Nov 17 20:54:47 2009 TCPv4_CLIENT link remote: 10.3.5.5:3434
Tue Nov 17 20:54:47 2009 TLS: Initial packet from 10.3.5.5:3434, sid=9b8a91c1 26364156
Tue Nov 17 20:54:48 2009 VERIFY OK: depth=1, /C=RU/ST=RU/L=123/O=12/CN=1/emailAddress=a@a.ru
Tue Nov 17 20:54:48 2009 VERIFY OK: depth=0, /C=RU/ST=RU/L=123/O=12/CN=1/emailAddress=a@a.ru
Tue Nov 17 20:54:48 2009 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Nov 17 20:54:48 2009 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Nov 17 20:54:48 2009 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Nov 17 20:54:48 2009 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Nov 17 20:54:48 2009 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Tue Nov 17 20:54:48 2009 [1] Peer Connection Initiated with 10.3.5.5:3434
Tue Nov 17 20:54:50 2009 SENT CONTROL [1]: 'PUSH_REQUEST' (status=1)
Tue Nov 17 20:54:50 2009 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway,route 10.8.0.1,topology net30,ping 30,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5'
Tue Nov 17 20:54:50 2009 OPTIONS IMPORT: timers and/or timeouts modified
Tue Nov 17 20:54:50 2009 OPTIONS IMPORT: --ifconfig/up options modified
Tue Nov 17 20:54:50 2009 OPTIONS IMPORT: route options modified
Tue Nov 17 20:54:50 2009 ROUTE default_gateway=10.3.5.1
Tue Nov 17 20:54:50 2009 TAP-WIN32 device [tun] opened: \\.\Global\{4F090B0C-7274-415B-BD2F-43594B516D79}.tap
Tue Nov 17 20:54:50 2009 TAP-Win32 Driver Version 9.4
Tue Nov 17 20:54:50 2009 TAP-Win32 MTU=1500
Tue Nov 17 20:54:50 2009 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {4F090B0C-7274-415B-BD2F-43594B516D79} [DHCP-serv: 10.8.0.5, lease-time: 31536000]
Tue Nov 17 20:54:50 2009 Successful ARP Flush on interface [3] {4F090B0C-7274-415B-BD2F-43594B516D79}
Tue Nov 17 20:54:55 2009 TEST ROUTES: 2/2 succeeded len=1 ret=1 a=0 u/d=up
Tue Nov 17 20:54:55 2009 C:\WINDOWS\system32\route.exe ADD 10.3.5.186 MASK 255.255.255.255 10.3.5.1
Tue Nov 17 20:54:55 2009 Route addition via IPAPI succeeded [adaptive]
Tue Nov 17 20:54:55 2009 C:\WINDOWS\system32\route.exe DELETE 0.0.0.0 MASK 0.0.0.0 10.3.5.1
Tue Nov 17 20:54:55 2009 Route deletion via IPAPI succeeded [adaptive]
Tue Nov 17 20:54:55 2009 C:\WINDOWS\system32\route.exe ADD 0.0.0.0 MASK 0.0.0.0 10.8.0.5
Tue Nov 17 20:54:55 2009 Route addition via IPAPI succeeded [adaptive]
Tue Nov 17 20:54:55 2009 C:\WINDOWS\system32\route.exe ADD 10.8.0.1 MASK 255.255.255.255 10.8.0.5
Tue Nov 17 20:54:55 2009 Route addition via IPAPI succeeded [adaptive]
Tue Nov 17 20:54:55 2009 Initialization Sequence Completed

Вроде все нормально.
На сервере тоже все хорошо, вроде.
Спасибо.
А да, забыл дописать, в роуте я лишь заменить -A на -I , чтобы правила обрабатывались первыми, однако изменений все равно это не принесло.
И еще: цепочки FORWARD и POSTROUTING не отрабатывают, не видно, что через них ходят какие-либо пакеты.
А вообще путь клиента такой:
10.3.5.196 (клиент) ->10.3.5.1 (коммутатор провайдера или чо там у них не знаю) -> 10.3.5.186 (сервер, lan) -> 80.80.80.80 (сервер, wan)

uinoksk
17-11-2009, 21:08
а уже вродь сам разобрался:
правило
iptables -t nat -I POSTROUTING -s 10.8.0.0/24 -j SNAT --to-source 80.80.80.80
заменим на
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
и
добавить там же в конфиг сервера:
push "dhcp-option DNS IP"
push "dhcp-option WINS IP"
Заместо IP можно поставить адрес tun0, однако если ваша машина не держит wins&dns это работать не будет. Посему можно взять корневые dns отсюда
http://www.root-servers.org/
или лучше взять dns провайдера, тк ответ будет быстрее, тк запросы кэшируются.

uinoksk
21-11-2009, 08:27
Оказалось, что не все работает как нужно, с прямых адресов все удается, но если есть шлюз, как я описал в схеме:
10.3.5.196 (клиент) ->10.3.5.1 (коммутатор провайдера или чо там у них не знаю) -> 10.3.5.186 (сервер, lan) -> 80.80.80.80 (сервер, wan)
, то из-за опции redirect-gateway у клиента меняется маршрут и основным гетвайем станет 10.8.0.1, а всегда должен быть 10.3.5.1, то есть клиент не может достучаться до сервера, и по настройке ping 10 с клиентской стороны происходит обрыв через 10 секунд, роуты сбрасываются и все возвращается к началу.
Как перебить настройки на клиенте, чтобы 10.3.5.1 не менялся?

Messiah
21-11-2009, 13:23
Господа Гуру, доброго вам! Подскажите направление движения. Роутер wl500w работает в режиме home gw, ip раздаёт по dhcp 3-м домашним компам. Подключение роутера по локалке, инет в ней по vpn. Для сервера прова 10.0.0.1 на роутере вписан статический маршрут route add 10.0.0.0 mask 255.0.0.0 10.0.29.250 (последний, это домовой хаб). Провайдер даёт услугу пиринга, и надо организовать второй vpn с роутера на 10.0.0.167 с маршрутом route add 10.0.0.0 mask 255.255.0.0 10.0.29.250.
Подскажите как сиё организовать, куда и как копать в осях, просто порядок действий, с деталями попробую сам разобраться. Заранее спасибо!
PS: настроечную инфу и логи выложил бы, да не знаю, что именно требуется. А попусту топик засорять не хочется...
-----
Собственно "курение" манов до просветления позволило всё установить и почти настроить, за исключением одного НО: подключение по второму тоннелю требует авторизации на сервере по логину-паролю. Отсюда вопрос - как создать файл авторизации с введёнными данными и "скормить" его серверу, либо подсунуть готовый, который, как подозревается, был создан при настройке подключения к инету по vpn из gui роутера. (данные авторизации одинаковы в обеих случаях)

vectorm
24-11-2009, 09:09
Провайдер даёт услугу пиринга, и надо организовать второй vpn с роутера на 10.0.0.167 с маршрутом route add 10.0.0.0 mask 255.255.0.0 10.0.29.250.
подключение по второму тоннелю требует авторизации на сервере по логину-паролю. Отсюда вопрос - как создать файл авторизации с введёнными данными и "скормить" его серверу, либо подсунуть готовый, который, как подозревается, был создан при настройке подключения к инету по vpn из gui роутера. (данные авторизации одинаковы в обеих случаях)
1. Этот маршрут Вам не нужен, он уже в первый входит (сравните маски подсети).
2. Поищите по созданию двух WAN, тем с решениями предостаточно.

tis
25-11-2009, 15:12
Настроил по инструкции с первого поста, только ставил на HDD. Все завелось. НО у меня другая задача - мне нужно объеденить 2 локалки, а инет они должны использовать каждый свой. Как сделать что-бы при поднятии тунеля на клиенте не менялся маршрут по умолчанию на тунель а только дописывался новый на удаленную локалку, например 192.168.1.0 mask 255.255.255.0 10.8.0.1 ?

JipJip
14-12-2009, 18:56
Ребята, подскажите, пожалуйста в чем может быть причина:

1) Имеем DIR-320 с прошивкой "Олега 1.9.2.7-d от энтузиастов" )
2) Установлен и нормально работает openvpn сервер
3) клиенты коннектятся и через роутер ходят в и-нет

Проблема в том что скорость черз openvpn режется где то до 0.5 Mbps хотя с самого роутера и с машины клиента без vpn скорость доходит до 5 Mbps. Куда рыть ?

Basile
14-12-2009, 19:39
Смотри загрузку процессора. Если при передаче данных по openvpn-туннелю загрузка процессора доходит до 100%, то это предел роутера

Pablo Escobar
14-12-2009, 19:41
Смотри загрузку процессора. Если при передаче данных по openvpn-туннелю загрузка процессора доходит до 100%, то это предел роутера

плюс туннель трафик жрет

Basile
14-12-2009, 19:59
плюс туннель трафик жретНо не жрет же он 5 mbps - 0,5 mbps = 4,5 mbps :D

без vpn скорость доходит до 5 MbpsКакое направление вы имели в виду? LAN <-> WAN, LAN <-> PPP или USB <-> LAN? Просто для DIR-320 такие скорости не достижимы по VPN/L2TP/PPPoE туннелям

JipJip
14-12-2009, 20:21
Но не жрет же он 5 mbps - 0,5 mbps = 4,5 mbps :D
Какое направление вы имели в виду? LAN <-> WAN, LAN <-> PPP или USB <-> LAN? Просто для DIR-320 такие скорости не достижимы по VPN/L2TP/PPPoE туннелям
ну где то до 5 поднимается download т.е. из wan в lan (по wifi).
Т.е. клиент за роутером по wifi гуляет нормально, удаленный напр. через обычный adsl модем то же гуляет (напр 2-5 Mbps), а вот если удаленный через vpn к роутеру цепляется и гуляет как бы через и-нет руотера то 0.5 Mbps вне зависимости от провайдера удаленного клиента (

Basile
14-12-2009, 21:46
ну где то до 5 поднимается download т.е. из wan в lan (по wifi).
Т.е. клиент за роутером по wifi гуляет нормально, удаленный напр. через обычный adsl модем то же гуляет (напр 2-5 Mbps), а вот если удаленный через vpn к роутеру цепляется и гуляет как бы через и-нет руотера то 0.5 Mbps вне зависимости от провайдера удаленного клиента (
Не путаем название портов:
LAN - локальная сеть
WLAN - WiFi
WAN - порт, куда вставляется кабель от провайдера (или ADSL-модем). Обычно имеет серый IP, либо не имеет вовсе
ppp0 - VPN/L2TP/PPPoE - обычно имеет белый IP (это и есть подключение к интернету)
tun0 - OpenVPN-туннель

Так в каком направлении у вас скорость 5 mbps, а в каком 0,5 mbps?

JipJip
15-12-2009, 07:45
Не путаем название портов:
Так в каком направлении у вас скорость 5 mbps, а в каком 0,5 mbps?
Ок. Пишу подробнее.

1) WAN, белый IP ( за ним ADSL модем ).
2) Скорость работы интернета в сети (как LAN так и WLAN) доходит до 5 Mbps (в принципе не важно, главное значительно выше 0.5 Mbps) т.е. WAN->LAN и WAN->WLAN ~4-5Mpbs.
3) tun0 (или tap0, думаю то же не важно ) действительно OpenVPN-туннель
между роутером и удаленным клиентом.
4) Скорость работы удаленного клиента по tun0 / tap0 ~0,5 Mbps.


Вот примерный разброс скоростей.
Router
Download 3.57 Mbps
Upload 1.5 Mbps
Ping 32 ms

Remote Client
Download 5.2 Mbps
Upload 2.1 Mbps
Ping 28 ms

Remote Client -> tun0 Router
Download 0.56 Mbps
Upload 0.5 Mbps
Ping 64 ms

Basile
15-12-2009, 09:34
1) WAN, белый IP ( за ним ADSL модем ).
<cut>
Remote Client -> tun0 Router
Download 0.56 Mbps
Upload 0.5 Mbps
Ping 64 ms
Что вы подразумеваете под Remote Client? Если клиента из Интернета, тогда ничего удивительного, ведь ADSL подразумевает большую скорость только в одном направлении - от удаленного клиента к роутеру, а в направлении от роутера к удаленному клиенту - да, только 0,5 mbps. Почитайте внимательно ваш тарифный план, скорее всего там будет встречаться число 512 кбит/с, что и есть ваши 0,5 мбит/с.


2) Скорость работы интернета в сети (как LAN так и WLAN) доходит до 5 Mbps (в принципе не важно, главное значительно выше 0.5 Mbps) т.е. WAN->LAN и WAN->WLAN ~4-5Mpbs.*Смеюсь* Знаете, это звучит как если купить у провайдера тарифный план на 5 мегабит, а потом жаловаться в техподдержку провайдера, почему скорость низкая, ведь скорость WAN порта роутера 100 мегабит!

JipJip
16-12-2009, 07:47
Уважаемый Basile.
Огромное спасибо за ответы, но во всех Ваших последних постах кроме необоснованных нравоучений, прописных истин и заниженной оценки собеседника полезного, увы, ничего нет. Помимо этого Вы и меня, увы, плохо понимаете. Однако так как все же это форум в котором можно попросить помощи у гуру и кроме Вас никто мне не отвечают попытаюсь еще более конкретно обрисовать ситуацию:

1) Remote Client, как я писал выше действительно удаленный клиент находящийся где угодно и соединяющийся через своего провайдера с роутером у которого внешний белый ip.
2) Скорость обмена удаленного клиента с роутером ( скачка / закачка контента через самбу поверх vpn ) так же составляет 0.5Mbps
3) Если бы Вы посмотрели на цифры скоростей роутера и удаленного клиента, то не писали бы глупостей про тарифный план и ограничение по скорости, т.к. во всех случаях потолок гораздо выше, и я об этом не раз упоминал. Т.е. роутер D3.57 Mbps/U1.5 Mbps и клиент D5.2 Mbps/U2.1 Mbps - где же здесь ограничение тарифного плана и как в связи с этими скоростями понимать Вашу фразу
а в направлении от роутера к удаленному клиенту - да, только 0,5 mbps.
4) В соседней ветке мне ответили что при аналогичных условиях но на немного другом железе получался канал в 10Mbps.

Я очень рад что удалось Вас рассмешить, но может все-таки стоит не флудить с умным видом, а попытаться помочь человеку с проблемой ?

Basile
16-12-2009, 09:00
Хорошо. Убедите меня, что у вас именно такие скорости. Поднимите у себя FTP/HTTP сервер и дайте мне скачать с вас какой-нибудь объёмный файл (мегов на 200), главное без openvpn, напрямую.
Дальнейшее общение по этой теме предлагаю перенести в личку.

JipJip
16-12-2009, 09:47
Хорошо. Убедите меня, что у вас именно такие скорости. Поднимите у себя FTP/HTTP сервер и дайте мне скачать с вас какой-нибудь объёмный файл (мегов на 200), главное без openvpn, напрямую.
Дальнейшее общение по этой теме можно перенести в личку, аську, джаббер (гуглток, я.онлайн и т.п.), мсн/лайв, яху, гуглвэйв.

Ок. По поводу испытаний исходящего трафика с роутера переходим в личку, я постараюсь или сам замерить (напр зайду туда по ssh, с самого роутера подключюсь на любой внеший ftp и закачаю на него тестовый файл ) или поднять и открыть доступ к ftp/http.
Но что делать с входящим от уд. клиента на роутер (ADSL модем) с учетом что на уд. клиенте не ADSL ?

vvsvic
23-12-2009, 16:31
Спасибо за инструкции. Очень помогли. С линуксом ранее не общался. Узнал много нового.
Вышел OpenVPN 2.1.1. Есть ли шанс на обновление в репозитарии?

dim_comb
12-01-2010, 19:54
ДОбрый вечер , подскажите где в асусе лежит конфиг где прописаны правила Iptables ? не могу уже долго найти.заранее благодарю:)

Dimorus
12-01-2010, 20:06
ДОбрый вечер , подскажите где в асусе лежит конфиг где прописаны правила Iptables ? не могу уже долго найти.заранее благодарю:)

ну кажется они в памяти хранятся....

но добавить их самому можно многими вариантами....

я использую отдельный скрипт....

а вообще если внимательно почитать инструкцию по уcтановке OPENVPN
http://wl500g.info/showthread.php?t=8880

вот например правила взятые из ПЕРВОГО сообщения темы!!!

# Создаем в ней файл post-firewall и прописываем в него
# нужные нам правила файрвола для работы сервера
echo "#!/bin/sh" > /usr/local/sbin/post-firewall
echo "iptables -D INPUT -j DROP" >> /usr/local/sbin/post-firewall
echo "iptables -I INPUT -p tcp --dport 5190 -j ACCEPT" >> /usr/local/sbin/post-firewall
echo "iptables -t nat -I PREROUTING -i eth1 -p tcp --dport 5190 -j DNAT --to-destination \$4:5190" >> /usr/local/sbin/post-firewall
echo "iptables -A INPUT -j DROP" >> /usr/local/sbin/post-firewall
echo "iptables -I INPUT -i tun0 -j ACCEPT" >> /usr/local/sbin/post-firewall
echo "iptables -I FORWARD -i tun0 -j ACCEPT" >> /usr/local/sbin/post-firewall
echo "iptables -I FORWARD -o tun0 -j ACCEPT" >> /usr/local/sbin/post-firewall
echo "iptables -I OUTPUT -o tun0 -j ACCEPT" >> /usr/local/sbin/post-firewall
записаны в файл для фаевола....

как видно ДОПОЛНИТЕЛЬНЫЕ правила iptables записаны в /usr/local/sbin/post-firewall НО! ЭТО дополнительые придуманные под задачи пользователя...
ты свои можешь какие угодно прописывать.. ну точнее какие понравятся )....

jSunny
17-02-2010, 10:22
Здравствуйте, не могу корректно настроить таблицы маршрутизации. Роутер (DIR-320 1.9.2.7-d-r627M) подключается через домовую сеть к интернету (имеет статик ИП). Хочу чтобы поверх этого соединения создавался VPN и компьютеры которые подключены к роутеру использовали одно ВПН подключение роутера.
Таблица маршрутизации до запуска openvpn (10.20.1.1 шлюз домовой сети). Все корректно работает.


[jSunny@Dark Lord root]$ route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.20.1.1 0.0.0.0 255.255.255.255 UH 0 0 0 vlan1
10.20.1.0 0.0.0.0 255.255.255.0 U 0 0 0 vlan1
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 10.20.1.1 0.0.0.0 UG 0 0 0 vlan1

После запуска openvpn (57.137.68.98 ИП Openvpn сервера)

[jSunny@Dark Lord root]$ cat r_n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.20.1.1 0.0.0.0 255.255.255.255 UH 0 0 0 vlan1
57.137.68.98 10.20.1.1 255.255.255.255 UGH 0 0 0 vlan1
10.20.1.0 0.0.0.0 255.255.255.0 U 0 0 0 vlan1
10.100.75.0 10.100.75.1 255.255.255.0 UG 0 0 0 tun0
10.100.75.0 0.0.0.0 255.255.255.0 U 0 0 0 tun0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 10.100.75.1 0.0.0.0 UG 0 0 0 tun0

На самом роутере трафик через VPN, компьютеры за роутером интернет не могут получить.
Подскажите. пжл, что я упустил.

Power
17-02-2010, 16:57
На самом роутере трафик через VPN, компьютеры за роутером интернет не могут получить.
Подскажите. пжл, что я упустил.

Вы могли много чего упустить. Например, NAT. Или фаерволл. Или что-то с маршрутизацией на другом конце. Покажите, что выводит


iptables-save

А вообще, хорошо бы увидеть ещё и конфиги клиента и сервера.

popow_sergei
20-02-2010, 12:28
может не сюда пишу , но попробую спросить .
есть DIR-320 прошитый WL500gpv2-1.9.2.7-d-r1087.trx
на нем настроено PPPoE и DHCP lan, все работает .

ранее у меня на машине было еще соединение VPN (IP по DHCP)
вот как мне его установить на роутере ?
при подключении на машине через роутер, VPN соединяется IP получает,
но пингануть не чего не получается .

Kovu
25-02-2010, 10:45
Спасибо автору за инструкцию. На 500W с прошивкой 1222 встало все как по маслу. Единственное что не делал, так это не перенастраивал репозитарий. Как я понял он и так уже нужный в последней прошивке.

Единственное, где помучился-это заставить нормально работать OpenVPN 2.1.1 под семеркой х64. Но после того как в конфиг добавил

route-method exe
route-delay 2

(не знаю, что эти строчки делают. в Инете совет нашел). А так же стал запускать ГУИ от Администратора - все заработало. Правда только, если цепляться в Инет по ЛАН или WiFi. Через ГПРС не работает. Весь поток инет напрямую, а не на ВПН адаптер :(

А так по скорости приятно удивлен: она упирается в 5 мегабит/c по обоим направлениям. Красота.

Dayran
16-03-2010, 19:02
Настроил всё как написано в первом посте, за исключением того, что установил всё на винт. К серверу в винде получается приконектится, но вот инет при этом не работает. Страницы открываются через одну, а аська вообще не работает. Порт я указал другой(не 5190). В чём может быть проблема?

Dayran
23-03-2010, 09:16
Опять всё проверил-перпроверил, проблема остаётся. К роутеру коннект есть, но интернета при этом нет. Вот логи:

Tue Mar 23 12:43:06 2010 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Tue Mar 23 12:43:06 2010 TAP-WIN32 device [tun0] opened: \\.\Global\{C7DDBED2-6ECF-4E93-A5F6-925EBA959AD2}.tap
Tue Mar 23 12:43:06 2010 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.2/255.255.255.252 on interface {C7DDBED2-6ECF-4E93-A5F6-925EBA959AD2} [DHCP-serv: 10.8.0.1, lease-time: 31536000]
Tue Mar 23 12:43:06 2010 Successful ARP Flush on interface [14] {C7DDBED2-6ECF-4E93-A5F6-925EBA959AD2}
Tue Mar 23 12:43:06 2010 Attempting to establish TCP connection with 77.221.194.254:50190
Tue Mar 23 12:43:06 2010 TCP connection established with 77.221.194.254:50190
Tue Mar 23 12:43:06 2010 TCPv4_CLIENT link local: [undef]
Tue Mar 23 12:43:06 2010 TCPv4_CLIENT link remote: 77.221.194.254:50190
Tue Mar 23 12:43:16 2010 Peer Connection Initiated with 77.221.194.254:50190
Tue Mar 23 12:43:17 2010 ROUTE: route addition failed using CreateIpForwardEntry: Неверны один или несколько аргументов. [if_index=11]
Tue Mar 23 12:43:17 2010 ROUTE: route addition failed using CreateIpForwardEntry: Неверны один или несколько аргументов. [if_index=14]
Tue Mar 23 12:43:17 2010 Initialization Sequence Completed

Power
23-03-2010, 14:07
Опять всё проверил-перпроверил, проблема остаётся. К роутеру коннект есть, но интернета при этом нет. Вот логи:

Видимо, проблема в этом:


Tue Mar 23 12:43:17 2010 ROUTE: route addition failed using CreateIpForwardEntry: Неверны один или несколько аргументов. [if_index=11]
Tue Mar 23 12:43:17 2010 ROUTE: route addition failed using CreateIpForwardEntry: Неверны один или несколько аргументов. [if_index=14]

Что-то не так с маршрутами. Нужно увидеть конкретные настройки клиента и сервера.

Dayran
23-03-2010, 15:28
client.ovpn на компе:

remote 77.221.194.254
dev tun0
port 50190
proto tcp-client
ifconfig 10.8.0.2 10.8.0.1
secret static.key
redirect-gateway
server.conf на роутере:

dev tun0
port 50190
proto tcp-server
ifconfig 10.8.0.1 10.8.0.2
secret static.key

Power
23-03-2010, 17:56
client.ovpn на компе:

server.conf на роутере:

Попробуйте добавить в client.ovpn


route-method exe

nvsport
18-04-2010, 20:22
Вообщем все настроил как в первом посте,но ничего не работает не хочет коннектится и все! в логах пишет вот это


Jan 1 06:00:18 rc.unslung: start service /opt/etc/init.d/S20openvpn
Jan 1 06:00:19 kernel: Universal TUN/TAP device driver 1.5 (C)1999-2002 Maxim Krasnyansky
Jan 1 06:00:19 kernel: devfs_register(net/tun): could not append to parent, err: -17
Jan 1 06:00:19 rc.unslung: start service /opt/etc/init.d/S24openvpn
Jan 1 06:00:59 dropbear[196]: Child connection from ::ffff:192.168.1.2:3673
Jan 1 06:01:25 dropbear[196]: password auth succeeded for 'root' from ::ffff:192.168.1.2:3673
Jan 1 06:02:16 dnsmasq[77]: DHCPREQUEST(br0) 192.168.1.2 00:1f:d0:22:1c:55

nvsport
20-04-2010, 08:20
Все работает ребят,советую не пользоватся wgetом,брал ключ с http не правильно

asdlsd
23-04-2010, 21:03
Ок. По поводу испытаний исходящего трафика с роутера переходим в личку, я постараюсь или сам замерить (напр зайду туда по ssh, с самого роутера подключюсь на любой внеший ftp и закачаю на него тестовый файл ) или поднять и открыть доступ к ftp/http.
Но что делать с входящим от уд. клиента на роутер (ADSL модем) с учетом что на уд. клиенте не ADSL ?

Что там получилось у вас??? у меня пров Yota (на роутере стоит клиент) скорость по тунулю на прием 140кбайт/сек (при udp) и 40 кбайт (при tcp). Так скорость порядка 5-6 мбит/сек. Почему режется непонятно...

Venberg
01-05-2010, 23:37
Необходимо новая библиотека openssl
В текущей версии банально не поддерживается SHA512. А у меня вся сеть с SHA512 после прошлогодних проблем со стойкостью SHA-1

Venberg
02-05-2010, 01:27
Столкнулся со следующей проблемой.
Существующий openssl не поддерживает hash алгоритм SHA512. Очень нужна версия от прошлого года.
Пытался собрать среду установки, но для Centos не оказалось многих компонент.
Может у кого есть возможность собрать более новый openssl?

Заранее огромное спасибо.

Venberg
02-05-2010, 01:38
Похоже нужен openssl 0.9.8 от прошлого года.

vectorm
02-05-2010, 16:43
Похоже нужен openssl 0.9.8 от прошлого года.
Еще 1 бессмысленный повтор - и RO на неделю минимум. Уважайте других.

Warcan
20-07-2010, 14:19
Приветствую всех!!!
У меня возникла проблема перестал запускаться openvpn сервер. Вобшем проблема помоему связана с интерфейсом tun. Если я пытаюсь запустить вручную получаю следующее сообщение.
insmod: a module named tun already exists
Ну и до кучи ifconfig tun0 down/up вижу вот это ifconfig: SIOCGIFFLAGS: No such device. На сколько я понимаю это говорит о том что этого интерфейса нет. Хотя /dev/net есть tun. естественно создать новый я не могу. Так вот не подскажите как мне его удалить и создать заново?

gera_b
23-07-2010, 03:16
Порядочно замучался. Помогите.
Нет рутинга от одной клиентской подсети к другой. Есть только к той, что за сервером.
Перелопатил все ветки по OpenVPN этого форума и многих других. Все решения не заработали. Кажется где-то накосячил, но не могу найти где.

Дано:
LAN1 10.1.71.0
LAN2 10.1.81.0
LAN3 10.1.72.0
VPN 10.8.0.0

Маршрут:
LAN2,3-VPN-LAN1 — работают ОК.

LAN3$ traceroute 10.1.71.43
traceroute to 10.1.71.43 (10.1.71.43), 30 hops max, 38 byte packets
1 10.8.0.1 (10.8.0.1) 148.840 ms 145.418 ms 124.843 ms
2 10.1.71.43 (10.1.71.43) 142.809 ms 149.498 ms 134.865 ms

Маршрут:
LAN3-VPN-LAN2 и в обратную сторону не работает.

LAN3$ traceroute 10.1.81.42
traceroute to 10.1.81.42 (10.1.81.42), 30 hops max, 38 byte packets
1 10.8.0.10 (10.8.0.10) 241.257 ms 220.434 ms 221.801 ms
2 10.8.0.10 (10.8.0.10) 237.806 ms 238.527 ms 258.845 ms


Конфиг сервера:

port 1194
proto udp
dev tun
ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/gw.crt
key /usr/local/etc/openvpn/keys/gw.key # This file should be kept secret
dh /usr/local/etc/openvpn/keys/dh1024.pem
tls-server
server 10.8.0.0 255.255.255.0
push "route 10.1.71.0 255.255.255.0"
push "route 10.1.72.0 255.255.255.0"
push "route 10.1.81.0 255.255.255.0"
client-config-dir /usr/local/etc/openvpn/ccd/
route 10.1.81.0 255.255.255.0
route 10.1.72.0 255.255.255.0
route 10.8.0.0 255.255.255.0
client-to-client
keepalive 10 120
tls-auth /usr/local/etc/openvpn/keys/ta.key 0 # This file is secret
cipher AES-128-CBC # AES
comp-lzo
max-clients 10
persist-key
persist-tun
status openvpn-status.log
log-append /var/log/openvpn.log
verb 3
crl-verify crl.pem


Клиентский конфиг:

client
dev tun
proto udp
remote {VPN} 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ./keys/ca.crt
cert ./keys/gw2.crt
key ./keys/gw2.key
tls-auth ./keys/ta.key 1
cipher AES-128-CBC
comp-lzo
verb 3


ccd. Файл "gw2":

iroute 10.1.81.0 255.255.255.0

LAN 3:

$ netstat -rn
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
xx.255.77.16 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
10.8.0.13 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
10.8.0.0 10.8.0.13 255.255.255.0 UG 0 0 0 tun0
10.1.72.0 10.8.0.13 255.255.255.0 UG 0 0 0 tun0
10.1.71.0 10.8.0.13 255.255.255.0 UG 0 0 0 tun0
10.1.81.0 10.8.0.13 255.255.255.0 UG 0 0 0 tun0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 xx.255.77.16 0.0.0.0 UG 0 0 0 ppp0

LAN 2:

# netstat -rn
Routing tables

Internet:
Destination Gateway Flags Refs Use Netif Expire
default x.x.164.57 UGS 0 5644 re0
10.1.71.0/24 link#2 UC 0 0 re1
10.1.71.255 ff:ff:ff:ff:ff:ff UHLWb 1 56 re1
10.1.72.0/24 10.8.0.2 UGS 0 11 tun0
10.1.81.0/24 10.8.0.2 UGS 0 0 tun0
10.8.0.0/24 10.8.0.2 UGS 0 1 tun0
10.8.0.2 10.8.0.1 UH 3 0 tun0
x.x.164.56/30 link#1 UC 0 0 re0
127.0.0.1 127.0.0.1 UH 0 809 lo0


LAN 1:

# netstat -rn
Routing tables

Internet:
Destination Gateway Flags Refs Use Netif Expire
default x.x.164.57 UGS 0 7278 re0
10.1.71.0/24 link#2 UC 0 0 re1
10.1.71.255 ff:ff:ff:ff:ff:ff UHLWb 1 58 re1
10.1.72.0/24 10.8.0.2 UGS 0 11 tun0
10.1.81.0/24 10.8.0.2 UGS 0 0 tun0
10.8.0.0/24 10.8.0.2 UGS 0 1 tun0
10.8.0.2 10.8.0.1 UH 3 0 tun0
x.x.164.56/30 link#1 UC 0 0 re0
127.0.0.1 127.0.0.1 UH 0 915 lo0


Помогите, пожалуйста. Больше некого попросить.

cobain
20-08-2010, 14:30
Ситуация. Провайдер даёт на роутер интернет через pptp.
+есть провайдерская локалка 10.0.0.0/255.0.0.0
+есть домашняя сеть 192.168.1.0/255.255.255.0
Вопрос. Нужно на роутере создать соединение с OpenVPN сервисом чтобы через него лазить по инету.

Установил пакет openvpn. Создал конфиг
openvpn-client.conf (затёр имя сервера)


dev tun
client
proto tcp-client
remote vpnserver.xxx 443
cd /opt/etc/openvpn
ca swissvpn.crt
auth-user-pass file_with_pass
reneg-sec 86400
ns-cert-type server


Подключение и аутентификация проходят нормально.
Далее не удаются настроить роутинг и подключение обрывается. Лог openvpn:


...
[server] Peer Connection Initiated with 80.254.79.101:443
SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 80.254.79.157,dhcp-option DNS 80.254.77.39,route-gateway 93.94.245.1,topology subnet,ping 10,ping-restart 60,socket-flags TCP_NODELAY,ifconfig 93.94.245.121 255.255.255.128'
ROUTE default_gateway=169.254.250.32
TUN/TAP device tun0 opened
TUN/TAP TX queue length set to 100
/sbin/ifconfig tun0 93.94.245.121 netmask 255.255.255.128 mtu 1500 broadcast 93.94.245.127
/sbin/route add -net 80.254.79.101 netmask 255.255.255.255 gw 169.254.250.32
route: SIOCADDRT: Network is unreachable
ERROR: Linux route add command failed: external program exited with error status: 1
/sbin/route add -net 0.0.0.0 netmask 128.0.0.0 gw 93.94.245.1
/sbin/route add -net 128.0.0.0 netmask 128.0.0.0 gw 93.94.245.1
Initialization Sequence Completed

через минуту
[server] Inactivity timeout (--ping-restart), restarting
...


интерфейсы имеют следующие параметры



br0 inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
vlan1 inet addr:10.33.18.224 Bcast:10.33.19.255 Mask:255.255.254.0
ppp0 Link encap:Point-to-Point Protocol
inet addr:84.51.94.14 P-t-P:169.254.250.34 Mask:255.255.255.255


когда поднимается tun0

tun0 inet addr:93.94.245.98 P-t-P:93.94.245.98 Mask:255.255.255.128

Таблица роутинга


$ route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.0.0.34 10.33.18.1 255.255.255.255 UGH 0 0 0 vlan1
10.0.0.185 10.33.18.1 255.255.255.255 UGH 1 0 0 vlan1
10.0.0.120 10.33.18.1 255.255.255.255 UGH 1 0 0 vlan1
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
192.168.10.0 10.33.18.1 255.255.255.0 UG 0 0 0 vlan1
10.33.18.0 0.0.0.0 255.255.254.0 U 0 0 0 vlan1
192.168.0.0 10.33.18.1 255.255.248.0 UG 0 0 0 vlan1
10.0.0.0 10.33.18.1 255.0.0.0 UG 0 0 0 vlan1
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 169.254.250.34 0.0.0.0 UG 0 0 0 ppp0
0.0.0.0 10.33.18.1 0.0.0.0 UG 1 0 0 vlan

Подскажите почему не отрабатывает команда
route add -net 80.254.79.101 netmask 255.255.255.255 gw 169.254.250.32
при создании openvpn соединения?

DjCoder
26-08-2010, 20:15
Здравствуйте, многоуважаемые!
Заранее извините за ламерский вопрос. Можно ли на Asus WL500G настроить OpenVPN клиента и пустить через этот тунель весь траф из LAN, а на вход пробросить порты до машины в локальной сети?

Warcan
27-08-2010, 08:51
Поиск отсутствует?

dendalf
11-10-2010, 12:46
День добрый

Ситуация такая. Сервер OpenVPN поднят в офисе .Эта машина явятся локальным ресурсом провайдера и поэтому доступ к ней возможен сразу по tcp/ip без установки vpn, далее уже доступна локальная сеть офисная и выход во внешнюю сеть(т.е за инет платит офис , а не я) . C клиентской машины устанавливаю open-vpn соединение и все отлично работает(через роутер) .
Но вот с установкой opevpn-соединения c роутера не все гладко. Роутер wl-500gp v2, прошивка WL500gpv2-1.9.2.7-d-r1612.trx. Настроил на нем openvpn как клиента , но вот скорость очень низкая 500 кбит/с , не больше, и по ощущениям просто серфинг по инету работает значительно медленнее(обычно отрывается все сразу, а тут ждать надо очень долго) . Прочитал тут, что процессор роутера может на справляться , проверил - загрузка 6 %, память чуть меньше 50 % занята. .Куда копать , не подскажите ?

dendalf
11-10-2010, 13:12
а нет ..я обманул вас..При закачке файла через openvpn загрузка процессора на роутере - 100 % . Эх, т.е от идеи openvpn клиента на роутере + торрент можно отказаться :(

P.S. Жалко потраченных денег , можно было купить какой-нибудь роутер потупеее и дешевле ,этот все равно не тянет . А для моих задач надо использовать как-нибудь бесшумный комп в небольшом корпусе + какой-нибудь обычный дистр типа убунты или федоры . Стоит только дороже.

segods
11-10-2010, 22:26
решено, все спасибо

theMIROn
11-10-2010, 22:37
-t nat -A POSTROUTING -s ! 10.9.0.1 -o tun1 -j MASQUERAD
+ разрешющие правила в FORWARD, если нужно.

segods
11-10-2010, 22:46
-t nat -A POSTROUTING -s ! 10.9.0.1 -o tun1 -j MASQUERAD
+ разрешющие правила в FORWARD, если нужно.

Погорячился и рано удалил пост.
Твое правело помогло.
Извени за ламерский вопрос, но можешь на пальцах объяснить
что оно делает? очень хочется понять смысл, а не тупо забыть про это.

Я это правело читаю как: Все что идет не с 10.9.0.1, натить в tun1
Сейчас все работает как нужно, но хочется знать:
Но почему остальной трафик идет через мой домашний шлюз, а не через офис?
Ведь адрес отправителя тоже не 10.9.0.1 .....

СПАСИБО!



ЗЫ: и еще. Я правельно понял что нат работает только из моей сети в тунель?
Мне не нужно что бы из тунеля могли коннектится к моей локалке...

dendalf
12-10-2010, 20:40
Но почему остальной трафик идет через мой домашний шлюз, а не через офис?
Ведь адрес отправителя тоже не 10.9.0.1 .....


сдается мне у меня похожая конфигурация .и работает. если покажите настройки, то может быть помогу(для роуера пришлось повозится с роутингом прежде чем понял как сделать) .у меня весть трафик идет черезе офис по openvpn(как с роутером так и без, только роутер не тянет нормальную скорость).

pyhtelka
04-11-2010, 12:46
Здравствуйте.

У меня проблема по симптомам такая же, как у этого товарища:


Здравствуйте, не могу корректно настроить таблицы маршрутизации. Роутер (DIR-320 1.9.2.7-d-r627M) подключается через домовую сеть к интернету (имеет статик ИП). Хочу чтобы поверх этого соединения создавался VPN и компьютеры которые подключены к роутеру использовали одно ВПН подключение роутера.
Таблица маршрутизации до запуска openvpn (10.20.1.1 шлюз домовой сети). Все корректно работает.


[jSunny@Dark Lord root]$ route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.20.1.1 0.0.0.0 255.255.255.255 UH 0 0 0 vlan1
10.20.1.0 0.0.0.0 255.255.255.0 U 0 0 0 vlan1
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 10.20.1.1 0.0.0.0 UG 0 0 0 vlan1

После запуска openvpn (57.137.68.98 ИП Openvpn сервера)

[jSunny@Dark Lord root]$ cat r_n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.20.1.1 0.0.0.0 255.255.255.255 UH 0 0 0 vlan1
57.137.68.98 10.20.1.1 255.255.255.255 UGH 0 0 0 vlan1
10.20.1.0 0.0.0.0 255.255.255.0 U 0 0 0 vlan1
10.100.75.0 10.100.75.1 255.255.255.0 UG 0 0 0 tun0
10.100.75.0 0.0.0.0 255.255.255.0 U 0 0 0 tun0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 10.100.75.1 0.0.0.0 UG 0 0 0 tun0

На самом роутере трафик через VPN, компьютеры за роутером интернет не могут получить.
Подскажите. пжл, что я упустил.

Был приобретен доступ к платному VPN серверу, чтоб прятаться за его буржуйским ip-шником.
Контора, которая продает доступ прислала мне файл с настройками openvpn.
Собственно подключение к их серверу происходит без проблем, а после подключения - ping идет, traceroute показывает, что трафик заворачивается через vpn-сервер. Но это если проверять с самого роутера.
При этом машины, подключенные к роутеру, после подключения роутера к vpn серверу, интернет "видет" перестают.

route на рутере до подключения к vpn серверу


Destination Gateway Genmask Flags Metric Ref Use Iface
10.69.67.169 * 255.255.255.255 UH 0 0 0 vlan1
10.69.67.168 * 255.255.255.248 U 0 0 0 vlan1
192.168.1.0 * 255.255.255.0 U 0 0 0 br0
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default 10.69.67.169 0.0.0.0 UG 0 0 0 vlan1


route на роутере после подключения к vpn серверу


Destination Gateway Genmask Flags Metric Ref Use Iface
174.139.251.162 10.69.67.169 255.255.255.255 UGH 0 0 0 vlan1
10.10.27.1 * 255.255.255.255 UH 0 0 0 tun0
10.69.67.169 * 255.255.255.255 UH 0 0 0 vlan1
10.69.67.168 * 255.255.255.248 U 0 0 0 vlan1
192.168.1.0 * 255.255.255.0 U 0 0 0 br0
10.10.0.0 10.10.27.1 255.255.0.0 UG 0 0 0 tun0
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default 10.10.27.1 128.0.0.0 UG 0 0 0 tun0
128.0.0.0 10.10.27.1 128.0.0.0 UG 0 0 0 tun0
default 10.69.67.169 0.0.0.0 UG 0 0 0 vlan1


Мои скудные познания в сетях мне помочь не могут.

И еще здесь просили для такого случая iptables-save:


# Generated by iptables-save v1.3.8 on Thu Nov 4 14:43:28 2010
*nat
:PREROUTING ACCEPT [188:27932]
:POSTROUTING ACCEPT [817:100966]
:OUTPUT ACCEPT [828:103148]
:VSERVER - [0:0]
-A PREROUTING -d 10.69.67.171 -j VSERVER
-A POSTROUTING -s ! 10.69.67.171 -o vlan1 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -d 192.168.1.0/255.255.255.0 -o br0 -j MASQUERADE
-A VSERVER -p udp -m udp --dport 80 -j DNAT --to-destination 192.168.1.126:80
-A VSERVER -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.126:80
COMMIT
# Completed on Thu Nov 4 14:43:28 2010
# Generated by iptables-save v1.3.8 on Thu Nov 4 14:43:28 2010
*mangle
:PREROUTING ACCEPT [4263:941267]
:INPUT ACCEPT [3462:553685]
:FORWARD ACCEPT [733:369708]
:OUTPUT ACCEPT [4347:1039180]
:POSTROUTING ACCEPT [5710:1633280]
COMMIT
# Completed on Thu Nov 4 14:43:28 2010
# Generated by iptables-save v1.3.8 on Thu Nov 4 14:43:28 2010
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [45:2160]
:OUTPUT ACCEPT [4250:1000355]
:BRUTE - [0:0]
:MACS - [0:0]
:SECURITY - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -p udp -m udp --dport 7805 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 7805 -j ACCEPT
-A INPUT -p udp -m udp --dport 12280 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 12276 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 6882 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 6881 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 51778 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i br0 -m state --state NEW -j ACCEPT
-A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -d 192.168.1.1 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ! br0 -o vlan1 -j DROP
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -o br0 -j DROP
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j DROP
-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logaccept -j ACCEPT
-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logdrop -j DROP
COMMIT

Basile
04-11-2010, 13:36
pyhtelka, а таблицу маршрутизации сами настраивали? Какая-то она странная у вас :confused:

У вас не хватает NAT-правила, но для начала покажите, что выводит ifconfig

pyhtelka
04-11-2010, 15:34
pyhtelka, а таблицу маршрутизации сами настраивали? Какая-то она странная у вас :confused:

Нет я в этом практически ничего не смыслю. Записи относительно первого вывода route были добавленны vpn соединением.



У вас не хватает NAT-правила, но для начала покажите, что выводит ifconfig

Ip адреса немного поменялись...


br0 Link encap:Ethernet HWaddr 48:5B:39:42:5F:73
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:6549 errors:0 dropped:0 overruns:0 frame:0
TX packets:11116 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1206798 (1.1 MiB) TX bytes:6105894 (5.8 MiB)

eth0 Link encap:Ethernet HWaddr 48:5B:39:42:5F:73
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:42491 errors:0 dropped:0 overruns:0 frame:0
TX packets:17367 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:7221140 (6.8 MiB) TX bytes:7464178 (7.1 MiB)
Interrupt:4 Base address:0x1000

eth1 Link encap:Ethernet HWaddr 48:5B:39:42:5F:73
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
Interrupt:13 Base address:0x5000

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MULTICAST MTU:16436 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.10.38.226 P-t-P:10.10.38.225 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

vlan0 Link encap:Ethernet HWaddr 48:5B:39:42:5F:73
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:6549 errors:0 dropped:0 overruns:0 frame:0
TX packets:11116 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1232994 (1.1 MiB) TX bytes:6150358 (5.8 MiB)

vlan1 Link encap:Ethernet HWaddr 48:5B:39:42:5F:73
inet addr:10.69.67.171 Bcast:10.69.67.175 Mask:255.255.255.248
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:35941 errors:0 dropped:0 overruns:0 frame:0
TX packets:6251 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:5223258 (4.9 MiB) TX bytes:1313820 (1.2 MiB)

Basile
05-11-2010, 00:54
Посмотрите, tun0 присвоен IP 10.10.38.226 (он каждый раз новый?).

попробуйте выполнить команду после установки VPN-соединения:

iptables -t nat -I POSTROUTING -s ! 10.10.38.226 -o tun0 -j MASQUERADE
iptables -I FORWARD -i tun0 -j ACCEPT
iptables -I FORWARD -o tun0 -j ACCEPTПомогло?

pyhtelka
05-11-2010, 09:09
Помогло?
Шикарно! Очень помогло. Тысяча благодарностей.:cool:


Посмотрите, tun0 присвоен IP 10.10.38.226 (он каждый раз новый?).

Да, выдается динамически. Следовательно здесь кроется еще одна задача. Решение я вижу для нее в скрипте, в котором парсить вывод ifconfig. Или есть другой способ?

Ну и на закуску еще вопрос: можно ли реализовать теоретически такую схему: трафик на зарубежные сайты (определенный диапазон ip) заворачивать через vpn, остальное пускать напрямую.

Basile
05-11-2010, 12:25
Да, выдается динамически.Не страшно: первую команду вполне можно сократить до:
iptables -t nat -I POSTROUTING -o tun0 -j MASQUERADE

Следовательно здесь кроется еще одна задача. Решение я вижу для нее в скрипте, в котором парсить вывод ifconfig. Или есть другой способ?Другой способ: лучше всего написать скрипты установки/разрыва соединения (указываются в конфиге OpenVPN). В эти скрипты передаются нужные параметры. Как написать? Полистайте эту тему - в ней не так уж много страниц ;)

Ну и на закуску еще вопрос: можно ли реализовать теоретически такую схему: трафик на зарубежные сайты (определенный диапазон ip) заворачивать через vpn, остальное пускать напрямую.
Да, можно:

ip route add 81.0.0.0/8 dev tun0
это уходит в туннель

ip route add 82.0.0.0/8 dev vlan1
это уходит провайдеру

P.S. 81.0.0.0/8 и 82.0.0.0/8 взяты от балды

pyhtelka
05-11-2010, 13:12
Да, можно:

ip route add 81.0.0.0/8 dev tun0
это уходит в туннель

ip route add 82.0.0.0/8 dev vlan1
это уходит провайдеру

P.S. 81.0.0.0/8 и 82.0.0.0/8 взяты от балды

Опять, же я так понимаю, чтобы это работало и для машин, подключенных к роутеру (а не только для соединений с самого роутера), нужно настроить NAT по другому:
1. для vlan подменять ip машины на ip интерфейса роутера, смотрящего в сет провайдера.
2. для tun подменять ip машины на ip интерфейса роутера, смотрящего в vpn сеть.

ded
05-11-2010, 22:54
А не будет ли так любезен уважаемый All прояснить пару моментов? :)
1). чуть-чуть расшифровать правило из первого поста:

echo "iptables -t nat -I PREROUTING -i eth1 -p tcp --dport 5190 -j DNAT --to-destination \$4:5190" >> /usr/local/sbin/post-firewall

а именно - что здесь есть $4 ? Я так понимаю, это значениие переменной, но вот что именно храниться в этой переменной и кто его туда прописывает?

2). Ситуация чуть более узкая, чем в первом посте. OpenVPN на роутере поднимается для того, что бы другая машина (клиент OpenVPN) имелa интернет за счет моего тарифа. Трафик между машинами пиринговый и не оплачивается. Т.е никакого доступа к машинам за роутером клиенту не нужно, для него будет исключительно транзит трафика из ВПН-канала в большой инет и обратно.

Я так понимаю, из приведенных в первом посте правил достаточно оставить выделенные красным?

echo "iptables -D INPUT -j DROP" >> /usr/local/sbin/post-firewall
echo "iptables -I INPUT -p tcp --dport 5190 -j ACCEPT" >> /usr/local/sbin/post-firewall
echo "iptables -t nat -I PREROUTING -i eth1 -p tcp --dport 5190 -j DNAT --to-destination \$4:5190" >> /usr/local/sbin/post-firewall
echo "iptables -A INPUT -j DROP" >> /usr/local/sbin/post-firewall
echo "iptables -I INPUT -i tun0 -j ACCEPT" >> /usr/local/sbin/post-firewall
echo "iptables -I FORWARD -i tun0 -j ACCEPT" >> /usr/local/sbin/post-firewall
echo "iptables -I FORWARD -o tun0 -j ACCEPT" >> /usr/local/sbin/post-firewall
echo "iptables -I OUTPUT -o tun0 -j ACCEPT" >> /usr/local/sbin/post-firewall

В любом случае - спасибо за внимание :)

Basile
06-11-2010, 11:21
<...>нужно настроить NAT по другому:
И так уже (с теми настройками, что я выше привел) все работает, как вы описали ;)


<...> что здесь есть $4 ? Я так понимаю, это значениие переменной, но вот что именно храниться в этой переменной и кто его туда прописывает?
UserScripts
Специальные пользовательские скрипты (http://code.google.com/p/wl500g/wiki/UserScripts)

YVM
06-11-2010, 18:44
Приветствую всех!!!
У меня возникла проблема перестал запускаться openvpn сервер. Вобшем проблема помоему связана с интерфейсом tun. Если я пытаюсь запустить вручную получаю следующее сообщение.
insmod: a module named tun already exists
Ну и до кучи ifconfig tun0 down/up вижу вот это ifconfig: SIOCGIFFLAGS: No such device. На сколько я понимаю это говорит о том что этого интерфейса нет. Хотя /dev/net есть tun. естественно создать новый я не могу. Так вот не подскажите как мне его удалить и создать заново?

У меня при запуске S24openvpn выскакивала ошибка 'tun.ko' already exists, хотя сам впн сервер работал.

Запустил клиент на винде через прокси (стоит squid) т.к. случается, что открыт только 80 порт, работает.
Вопрос, что убрать из post-firewall,

iptables -D INPUT -j DROP
iptables -I INPUT -p tcp --dport 5190 -j ACCEPT
iptables -t nat -I PREROUTING -i eth1 -p tcp --dport 5190 -j DNAT --to-destination \$4:5190iptables -A INPUT -j DROP
iptables -I INPUT -i tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -j ACCEPT
iptables -I FORWARD -o tun0 -j ACCEPT
iptables -I OUTPUT -o tun0 -j ACCEPT

чтобы лишний порт 5190 не торчал снаружи?

Basile
06-11-2010, 20:14
что убрать из post-firewall, чтобы лишний порт 5190 не торчал снаружи?
Вот это:

iptables -I INPUT -p tcp --dport 5190 -j ACCEPT
iptables -t nat -I PREROUTING -i eth1 -p tcp --dport 5190 -j DNAT --to-destination \$4:5190
А вот это:

iptables -A INPUT -j DROP
перенести в конец (последним правилом)

YVM
14-11-2010, 09:11
Спасибо Basile, внешний порт закрылся и все прекрасно работает через Squid.

Ситуация следующая: Мне не удалось заставить openvpn работать с несколькими клиентами используя static.key (несмотря на раскомментированный duplicate-cn). Пришлось установить easy-rsa и генерировать ключи. Кстати, на RT-N16 генерация ключа dh1024 занимает минут 5 (а не 30, как писали выше).

Проблема: Как уже писали, сервер выдает клиенту каждый раз новый IР, что не удобно. Раскомментировал client-config-dir /opt/etc/openvpn/ccd, создал файлы клиентов. Если в файле клиента написать, например, ifconfig-push 10.8.0.21(желаемый IP клиента) 255.255.255.0 - не коннектится и требует маску 255.255.255.252. Если написать ifconfig-push 10.8.0.21 255.255.255.252 - та же история. Если не писать маску, игнорирует файл и присваивает произвольный IP.

Вопрос: 1. Как присвоить клиенту постоянный IP? 2.Можно ли присвоить клиенту постоянный IP из моей локальной сети за роутером (в моем случае 172.20.20.ххх)?

jew
14-11-2010, 14:50
Кто подскажет устанавливаю на RT-16 все как в первом посте
cd /opt/etc/init.d
./S24openvpn start
[admin@WL-485B39E80F29 init.d]$ ./S24openvpn start
insmod: can't insert 'tun.ko': File exists

В чем засада?

На WL500W все ставилось отлично на RT16 засада какая то ;-((
Прошивка от энтузиастов 1.9.2.7-rtn-r2274

Handra
15-11-2010, 05:59
это означает что модуль уже загружен. Имею успешный опыт установки на RT-N16 если нужна помощь за подробностями в личку.

YVM
15-11-2010, 07:05
Попытался включить openvpn в режиме бридж. Коннект происходит и клиент получает IP из заданного диапазона локальной сети, но других девайсов в сети не видит, и даже сам роутер не пингуется. В чем может быть причина? Как проверить, поднимается ли мост между tap0 и br?

Handra
15-11-2010, 09:21
Необходимые действия для создания моста.

openvpn --mktun --dev tap0
brctl addif br0 tap0
ifconfig tap0 0.0.0.0 promisc up //без вот этого мост НЕ РАБОТАЕТ.

Посмотреть результат можно ( покажет какие интерфейсы объединены в мост)
brctl show

YVM
15-11-2010, 19:10
Необходимые действия для создания моста.

openvpn --mktun --dev tap0
brctl addif br0 tap0
ifconfig tap0 0.0.0.0 promisc up //без вот этого мост НЕ РАБОТАЕТ.

Посмотреть результат можно ( покажет какие интерфейсы объединены в мост)
brctl show

Спасибо, так действительно работает. Прописал все это в скрипт S99xxx с задержкой sleep 120 и положил его в init.d При перезапуске роутера все поднимается само. Т.о. ВПН работает через прокси в режиме моста. Что удивительно, внешний комп виден в самбе, несмотря на то, что на нем прописана другая рабочая группа.

Handra
18-11-2010, 07:53
У меня на рисовалась след проблема не выполняются cкрипты в post-firewall пришлось из скрипта запуска openvpn открывать порты все хорошо ровно до момента реконекта vpn ( сессия у моего провайдера сбрасывается раз в сутки )
[admin@hroute sbin]$ ls -la
drwxr-xr-x 2 admin root 80 Jan 1 2000 .
drwxr-xr-x 6 admin root 140 Jan 1 2000 ..
-rwxr-xr-x 1 admin root 65 Jan 1 1970 post-boot
-rwxr-xr-x 1 admin root 95 Jan 1 1970 post-firewall
[admin@hroute sbin]$
видимо в момент установки openvpn cоединения провила для Iptables подтягиваются заново и я получаю закрытые порты для openvpn. Кто подскажет этого избежать. RT-n16 1.9.2.7-rtn-r1943

Называется все проблемы от того что думаешь что больно умный post-firewall то писал для себя сам так как делалал не нат а бридж в результате забыл в начале #!/bin/sh

При создании pre/post скриптов необходимо соблюдать следующие правила:

* Скрипты должны находится в каталоге /usr/local/sbin
* В первой строке содержать #!/bin/sh если это shell-скрипты (а не бинарники)

AlexDrabych
18-12-2010, 22:45
Здравствуйте Помогите пожалуйста перечитал всю тему не могу поднять опенвпн сервер на 500 премиум я даже готовый скрипт запускал

полгода назад настраивал всё получалось а сейчас не поднимается сетевое устройство tun0 даже



[admin@(none) root]$ ifconfig
br0 Link encap:Ethernet HWaddr 00:1D:60:DE:C0:07
inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::21d:60ff:fede:c007/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:770 errors:0 dropped:0 overruns:0 frame:0
TX packets:813 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:89979 (87.8 KiB) TX bytes:158913 (155.1 KiB)

eth0 Link encap:Ethernet HWaddr 00:1D:60:DE:C0:07
inet6 addr: fe80::21d:60ff:fede:c007/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:334 errors:0 dropped:0 overruns:0 frame:0
TX packets:638 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:80756 (78.8 KiB) TX bytes:118920 (116.1 KiB)
Interrupt:4 Base address:0x1000

eth1 Link encap:Ethernet HWaddr 00:1D:60:DE:C0:07
inet6 addr: fe80::21d:60ff:fede:c007/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:769 errors:0 dropped:0 overruns:0 frame:71
TX packets:1079 errors:1 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:100739 (98.3 KiB) TX bytes:189421 (184.9 KiB)
Interrupt:2 Base address:0x2000

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MULTICAST MTU:16436 Metric:1
RX packets:240 errors:0 dropped:0 overruns:0 frame:0
TX packets:240 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:20360 (19.8 KiB) TX bytes:20360 (19.8 KiB)

vlan0 Link encap:Ethernet HWaddr 00:1D:60:DE:C0:07
inet6 addr: fe80::21d:60ff:fede:c007/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:431 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:90831 (88.7 KiB)

vlan1 Link encap:Ethernet HWaddr 00:1D:60:DE:C0:07
inet addr:192.168.0.101 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::21d:60ff:fede:c007/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:334 errors:0 dropped:0 overruns:0 frame:0
TX packets:205 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:74744 (72.9 KiB) TX bytes:27941 (27.2 KiB)

Я вычитал на форуме что необходимо установить опенвпн сервер на 500gp openvpn_2.0.9-1_mipsel.ipk.gz
Так это?

RTM
08-01-2011, 11:36
Хочу сделать доступ к опенвпн сети через сокс для клиентов подключенных к роутеру где запущен опенвпн клиент, а стандартное подключение к интернету через pptp оставить по дефолту для всех.
Как я понимаю, надо сделать так, чтобы при подключении опенвпн клиент не прописывал маршруты и просто создавал новый виртуальный адаптер. Дальше привязать сокс сервер к этому адаптеру. В линуксе не силен,поэтому примерно так все представляю)
Посоветуйте какой выбрать сокс сервер и как вобще это все дело настроить)

Исплользую прошивку tomatousb vpn + ASUS RT-N16.

veranson
12-01-2011, 16:05
Help, не ставится. места не хватает. wl500w Видно какой то пакет раздуло.
на n16 все летает.



ipkg.sh update

# Устанавливаем установщик пакетов ipkg
ipkg.sh install ipkg

# Перенастраиваем ipkg на нужный нам репозитарий пакетов
echo "src unslung http://ipkg.nslu2-linux.org/feeds/optware/oleg/cross/stable" > /opt/etc/ipkg.conf
echo "dest root /" >> /opt/etc/ipkg.conf

# Обновляем список доступных для установки пакетов
ipkg update

# Последовательно ставим необходимые для выполнения нащей задачи пакеты
ipkg install uclibc-opt
ipkg install openssl
ipkg install lzo
ipkg -force-depends install openvpn

после этого все, места нет

flashfs save
flashfs commit
бесполезно.
в flashfs много файлов с директории /tmp/local/opt/share/terminfo/c/...
помнится раньше такого не было

эх, кто бы подсказал версии пакетом которые вмещаются в память.

t0rn_
24-01-2011, 09:06
Помагите разобраться плиз..
Теряет соединение vpn когда захожу на странички... на сервере выдает это..

Authenticate/Decrypt packet error: packet HMAC authentication failed
Sun Jan 23 21:03:42 2011 Fatal decryption error (process_incoming_link), restarting

ну и дальше опять реконнект и как тока обновляю страницу браузера снова отключается соединение
не тянет проц? мало кэша? если лазить по лайтовым сайтам ( мобильные версии сайтов) то коннект держиться больше...
есть варианты какнибуть сжимать кэш или че нить подобное?

AlexDrabych
26-01-2011, 03:01
Помогите кто нибудь откликнитесь не могу поднять openvpn месяц читаю и делаю как сказано но так и не поднимается вообще раньше делал всё было ок

Кто подскажет устанавливаю
[admin@(none) root]$ cd /opt/etc/init.d
[admin@(none) init.d]$ ./S24openvpn start
insmod: A module named tun already exists
./S24openvpn: ./S24openvpn: 7: /opt/sbin/openvpn: not found
[admin@(none) init.d]$

в чём засада что не понимаю

Вобшем проблема помоему связана с интерфейсом tun. Если я пытаюсь запустить вручную получаю следующее сообщение.
insmod: a module named tun already exists
Ну и до кучи ifconfig tun0 down/up вижу вот это ifconfig: SIOCGIFFLAGS: No such device. На сколько я понимаю это говорит о том что этого интерфейса нет. Хотя /dev/net есть tun. естественно создать новый я не могу. Так вот не подскажите как мне его удалить и создать заново?

t0rn_
04-02-2011, 06:56
Помогите кто нибудь откликнитесь не могу поднять openvpn месяц читаю и делаю как сказано но так и не поднимается вообще раньше делал всё было ок

Кто подскажет устанавливаю
[admin@(none) root]$ cd /opt/etc/init.d
[admin@(none) init.d]$ ./S24openvpn start
insmod: A module named tun already exists
./S24openvpn: ./S24openvpn: 7: /opt/sbin/openvpn: not found
[admin@(none) init.d]$

в чём засада что не понимаю

Вобшем проблема помоему связана с интерфейсом tun. Если я пытаюсь запустить вручную получаю следующее сообщение.
insmod: a module named tun already exists
Ну и до кучи ifconfig tun0 down/up вижу вот это ifconfig: SIOCGIFFLAGS: No such device. На сколько я понимаю это говорит о том что этого интерфейса нет. Хотя /dev/net есть tun. естественно создать новый я не могу. Так вот не подскажите как мне его удалить и создать заново?

либо флешка не смонтировалась если на флешку ставил openvpn либо вообще не установлен openvpn... короче написано же что ненайден openvpn

FilimoniC
04-02-2011, 09:08
Ну и до кучи ifconfig tun0 down/up вижу вот это ifconfig: SIOCGIFFLAGS: No such device. На сколько я понимаю это говорит о том что этого интерфейса нет. Хотя /dev/net есть tun. естественно создать новый я не могу. Так вот не подскажите как мне его удалить и создать заново?
ifconfig tun

Beerkeeper
21-02-2011, 16:05
Есть 2 подсети, которые нужно объединить через «внешнюю» локалку шифрованным каналом. Объединять планируется 2мя RT-N16. В одной из подсетей есть доступ в интернет (отдельным адсл-модемом). Как лучше реализовать такое соединение и раздачу интернета на вторую подсеть, чтобы конечным пользователям не приходилось ничего настраивать на своих компьютерах (ну кроме пароля на wifi)? Кинуть шнурок между подсетями невозможно.

ded
25-02-2011, 22:26
# нужные нам правила файрвола для работы сервера

echo "iptables -t nat -I PREROUTING -i eth1 -p tcp --dport 5190 -j DNAT --to-destination \$4:5190" >> /usr/local/sbin/post-firewall


Нетoчность похоже закралась.
Выделенный синим обратный слэш. Не нужен, если формировать post-firewall способом, отличным от Echo " " >> ...
iptables на него ругается, и соответственно это правило в таблицу не заносит.

Коммент надо бы сделать в первом посте для порядка. Что в итоговом файле post-firewall этого слэша быть не должно.

ConstAntz
26-02-2011, 12:41
Нетoчность похоже закралась.



# нужные нам правила файрвола для работы сервера

echo "iptables -t nat -I PREROUTING -i eth1 -p tcp --dport 5190 -j DNAT --to-destination \
$4:5190" >> /usr/local/sbin/post-firewall
А на такую запись тоже будет ругаться? Дело в том что обратный слэш сообщает командному интерпретатору о том, что выполняемая команда не заканчивается символом \ и продолжается на следующей строке.
В Вашем случае, после \ есть еще символы для этой строки, на которые и сыпется ругань.

ded
27-02-2011, 19:03
В Вашем случае, после \ есть еще символы для этой строки, на которые и сыпется ругань.
Нет, в данном случае это фишка команды echo, что бы правильно передать символ $4 в итоговый файл. Если использовать echo - то файл правильно сформируется. Если делать копи-паст строк - то уже ненужный обратный слыш попадает в итоговый файл.

carmalius
28-02-2011, 09:48
Используем в офисе ASUS RT-N16, через ADSL-модем получаем интернет, по WiFi раздаем его на компьютеры (используем DHCP), к роутеру подключены VOIP-телефоны (работают и через NAT).

Возникла необходимость подключить еще одно наше помещение (в этом же здании) к нашей локальной сети и интернету. Там тоже будут wifi-клиенты и voip-телефоны.

Провод протянуть напрямую не можем, однако для передачи трафика есть возможность использовать локальную сеть арендодателя (другой компании) - она есть в обоих помещениях.

Вопрос - как реализовать схему подключения? Есть еще один ASUS RT-N16, его также можно использовать в нашем втором помещении.

Как я понимаю, в первом помещении можно перенастроить один из LAN-портов RT-N16 в качестве WAN2. Туда воткнуть локальную сеть арендодателя. Дальше настроить хитроумный роутинг...

Буду крайне признателен за любые рекомендации и помощь, в том числе и по реализации схемы на другом оборудовании (хотя предпочтительнее, конечно, на RT-N16).

P.S. Также на первом RT-N16 хотелось бы использовать шейпинг трафика (на nshaper), для того, чтобы приоритезировать трафик в пользу VOIP. ADSL может уже не справиться с нашей нагрузкой.

FilimoniC
28-02-2011, 12:54
Используем в офисе ASUS RT-N16, через ADSL-модем получаем интернет, по WiFi раздаем его на компьютеры (используем DHCP), к роутеру подключены VOIP-телефоны (работают и через NAT).

Возникла необходимость подключить еще одно наше помещение (в этом же здании) к нашей локальной сети и интернету. Там тоже будут wifi-клиенты и voip-телефоны.

Провод протянуть напрямую не можем, однако для передачи трафика есть возможность использовать локальную сеть арендодателя (другой компании) - она есть в обоих помещениях.

Вопрос - как реализовать схему подключения? Есть еще один ASUS RT-N16, его также можно использовать в нашем втором помещении.

Как я понимаю, в первом помещении можно перенастроить один из LAN-портов RT-N16 в качестве WAN2. Туда воткнуть локальную сеть арендодателя. Дальше настроить хитроумный роутинг...

Буду крайне признателен за любые рекомендации и помощь, в том числе и по реализации схемы на другом оборудовании (хотя предпочтительнее, конечно, на RT-N16).

P.S. Также на первом RT-N16 хотелось бы использовать шейпинг трафика (на nshaper), для того, чтобы приоритезировать трафик в пользу VOIP. ADSL может уже не справиться с нашей нагрузкой.
В вашем случае будет вопрос такой: интернет у вас через сеть арендодателя?
Если нет, то вам нужно будет выделить 1 порт роутера под "второй WAN".
Итак, ваши шаги:
1. Втыкаем оба роутера WAN-ами в сеть арендодателя
2. Поднимаем между ними OpenVPN
3. На 1м роутере убиваем DHCP-сервер
4. Маршрутами говорим что подсеть роутера А и подсеть роутера Б - в одна виртуально-физическая сеть (тут самый секс). Таким образом траффик идет через от клиента Б1 в роутер Б, через VPN-тоннель и попадает на роутер А, так как будто комп Б1 подключен напрямую к роутеру А.

Хотя проще по WiFi кинуть или у арендодателя провода кусок отобрать и сказать "это наш", в серверной просто два хвоста вынуть из свитча и замкуть между собой.

http://s1.ipicture.ru/uploads/20110228/mUVjgNx0.png (http://s1.ipicture.ru/Gallery/Viewfull/3772026.html)

skuwakin
13-03-2011, 18:42
Доброго времени суток. Подскажите плиз, какой vpn сервер можно поставить на wl-500w, если клиент поддерживает след. шлюзы
# Alcatel-Lucent Brick
# Check Point VPN-1 NG
# Cisco 3000 series Concentrator
# Cisco ASA
# Cisco ISR
?
Заранее спасибо за ответ.

anikinjura
19-03-2011, 11:58
Добрый день! Есть задача обеспечить доступ в корпоративную сеть с помощью openvpn тунеля между wl500gp и корпоративной машиной (server01) для клиентов, подключающихся к wl500gp из интернет с помощью openvpn. Вот примерная схемка сети:
http://img12.imageshost.ru/img/2011/03/19/image_4d848ac42a5c4.jpg
Сертификаты и т.п. для клиентов я сгенерировал, соединение м/у server01 и wl500gp установил но:
1. как правильно составить конфиги для сервера и для клиентов потому как если к wl500gp подключается 2-ой клиент, то начинается какаято путаница и пришлось написать вместо server 172.16.133.0 255.255.255.0 вот так ifconfig 172.16.133.1 172.16.133.2
2. Так и не удалось с роутера (wl500gp) попасть к корпоративную сеть

gpvnik
17-04-2011, 17:09
Коллеги помогите сконфигурить девайс.
Есть провайдер, широко известный в узких кругах по имени Corbina....
PPTP и все дела до интернета.

Нужно:
обеспечить прозрачное подключение к некскольким сеткам, по OpenVPN...

Собственно вопрос, как ?...

aivanov
17-04-2011, 22:42
Давно сюда не заходил, ибо всё работает :) Но вот возникла потребность сделать такую вещь:

Имеем домашний интернет от корбины (ну, билайна в смысле) через l2tp - работает на wl500gpv1 (если важно - памяти 128М)
Имеем на работе вход по pptp
Из домашней сетки успешно туда цепляюсь - как с mpd из-под pcbsd 8.2, так и виндой.
Однако хочется поднимать pptp туда с роутера. Чтение конфигов и эксперименты с pppd и pptp просветления не принесли, максимум, чего добился - на стороне сервера (mpd5.5) вот такой лог


Apr 17 23:18:10 rt mpd: [L-4] Accepting PPTP connection
Apr 17 23:18:10 rt mpd: [L-4] Link: OPEN event
Apr 17 23:18:10 rt mpd: [L-4] LCP: Open event
Apr 17 23:18:10 rt mpd: [L-4] LCP: state change Initial --> Starting
Apr 17 23:18:10 rt mpd: [L-4] LCP: LayerStart
Apr 17 23:18:10 rt mpd: [L-4] PPTP: attaching to peer's outgoing call
Apr 17 23:18:10 rt mpd: [L-4] Link: UP event
Apr 17 23:18:10 rt mpd: [L-4] LCP: Up event
Apr 17 23:18:10 rt mpd: [L-4] LCP: state change Starting --> Req-Sent
Apr 17 23:18:10 rt mpd: [L-4] LCP: SendConfigReq #1
Apr 17 23:18:10 rt mpd: [L-4] ACFCOMP
Apr 17 23:18:10 rt mpd: [L-4] PROTOCOMP
Apr 17 23:18:10 rt mpd: [L-4] MRU 1500
Apr 17 23:18:10 rt mpd: [L-4] MAGICNUM 04b78734
Apr 17 23:18:10 rt mpd: [L-4] AUTHPROTO CHAP MSOFTv2
Apr 17 23:18:10 rt mpd: [L-4] MP MRRU 2048
Apr 17 23:18:10 rt mpd: [L-4] MP SHORTSEQ
Apr 17 23:18:10 rt mpd: [L-4] ENDPOINTDISC [802.1] 00 04 23 d4 36 7c
Apr 17 23:18:10 rt mpd: [L-4] LCP: rec'd Configure Request #1 (Req-Sent)
Apr 17 23:18:10 rt mpd: [L-4] ACCMAP 0x00000000
Apr 17 23:18:10 rt mpd: [L-4] MAGICNUM 6f7bcdf4
Apr 17 23:18:10 rt mpd: [L-4] PROTOCOMP
Apr 17 23:18:10 rt mpd: [L-4] ACFCOMP
Apr 17 23:18:10 rt mpd: [L-4] LCP: SendConfigAck #1
Apr 17 23:18:10 rt mpd: [L-4] ACCMAP 0x00000000
Apr 17 23:18:10 rt mpd: [L-4] MAGICNUM 6f7bcdf4
Apr 17 23:18:10 rt mpd: [L-4] PROTOCOMP
Apr 17 23:18:10 rt mpd: [L-4] ACFCOMP
Apr 17 23:18:10 rt mpd: [L-4] LCP: state change Req-Sent --> Ack-Sent
Apr 17 23:18:10 rt mpd: [L-4] LCP: rec'd Configure Reject #1 (Ack-Sent)
Apr 17 23:18:10 rt mpd: [L-4] AUTHPROTO CHAP MSOFTv2
Apr 17 23:18:10 rt mpd: [L-4] MP MRRU 2048
Apr 17 23:18:10 rt mpd: [L-4] MP SHORTSEQ
Apr 17 23:18:10 rt mpd: [L-4] LCP: SendConfigReq #2
Apr 17 23:18:10 rt mpd: [L-4] ACFCOMP
Apr 17 23:18:10 rt mpd: [L-4] PROTOCOMP
Apr 17 23:18:10 rt mpd: [L-4] MRU 1500
Apr 17 23:18:10 rt mpd: [L-4] MAGICNUM 04b78734
Apr 17 23:18:10 rt mpd: [L-4] AUTHPROTO CHAP MSOFTv2
Apr 17 23:18:10 rt mpd: [L-4] LCP: rec'd Configure Reject #2 (Ack-Sent)
Apr 17 23:18:10 rt mpd: [L-4] AUTHPROTO CHAP MSOFTv2
Apr 17 23:18:10 rt mpd: [L-4] LCP: SendConfigReq #3
Apr 17 23:18:10 rt mpd: [L-4] ACFCOMP
Apr 17 23:18:10 rt mpd: [L-4] PROTOCOMP
Apr 17 23:18:10 rt mpd: [L-4] MRU 1500
Apr 17 23:18:10 rt mpd: [L-4] MAGICNUM 04b78734
Apr 17 23:18:10 rt mpd: [L-4] AUTHPROTO CHAP MSOFTv2
Apr 17 23:18:10 rt mpd: [L-4] LCP: rec'd Configure Reject #3 (Ack-Sent)
Apr 17 23:18:10 rt mpd: [L-4] AUTHPROTO CHAP MSOFTv2
Apr 17 23:18:10 rt mpd: [L-4] LCP: SendConfigReq #4
Apr 17 23:18:10 rt mpd: [L-4] ACFCOMP
Apr 17 23:18:10 rt mpd: [L-4] PROTOCOMP
Apr 17 23:18:10 rt mpd: [L-4] MRU 1500
Apr 17 23:18:10 rt mpd: [L-4] MAGICNUM 04b78734
Apr 17 23:18:10 rt mpd: [L-4] AUTHPROTO CHAP MSOFTv2
Apr 17 23:18:10 rt mpd: [L-4] LCP: rec'd Configure Reject #4 (Ack-Sent)
Apr 17 23:18:10 rt mpd: [L-4] AUTHPROTO CHAP MSOFTv2
Apr 17 23:18:10 rt mpd: [L-4] LCP: SendConfigReq #5
Apr 17 23:18:10 rt mpd: [L-4] ACFCOMP
Apr 17 23:18:10 rt mpd: [L-4] PROTOCOMP
Apr 17 23:18:10 rt mpd: [L-4] MRU 1500
Apr 17 23:18:10 rt mpd: [L-4] MAGICNUM 04b78734
Apr 17 23:18:10 rt mpd: [L-4] AUTHPROTO CHAP MSOFTv2
Apr 17 23:18:10 rt mpd: [L-4] LCP: rec'd Configure Reject #5 (Ack-Sent)
Apr 17 23:18:10 rt mpd: [L-4] AUTHPROTO CHAP MSOFTv2
Apr 17 23:18:10 rt mpd: [L-4] LCP: SendConfigReq #6
Apr 17 23:18:10 rt mpd: [L-4] ACFCOMP
Apr 17 23:18:10 rt mpd: [L-4] PROTOCOMP
Apr 17 23:18:10 rt mpd: [L-4] MRU 1500
Apr 17 23:18:10 rt mpd: [L-4] MAGICNUM 04b78734
Apr 17 23:18:10 rt mpd: [L-4] AUTHPROTO CHAP MSOFTv2
Apr 17 23:18:10 rt mpd: [L-4] LCP: rec'd Configure Reject #6 (Ack-Sent)
Apr 17 23:18:10 rt mpd: [L-4] AUTHPROTO CHAP MSOFTv2
Apr 17 23:18:10 rt mpd: [L-4] LCP: SendConfigReq #7
Apr 17 23:18:10 rt mpd: [L-4] ACFCOMP
Apr 17 23:18:10 rt mpd: [L-4] PROTOCOMP
Apr 17 23:18:10 rt mpd: [L-4] MRU 1500
Apr 17 23:18:10 rt mpd: [L-4] MAGICNUM 04b78734
Apr 17 23:18:10 rt mpd: [L-4] AUTHPROTO CHAP MSOFTv2
Apr 17 23:18:10 rt mpd: [L-4] LCP: rec'd Configure Reject #7 (Ack-Sent)
Apr 17 23:18:10 rt mpd: [L-4] AUTHPROTO CHAP MSOFTv2
Apr 17 23:18:10 rt mpd: [L-4] LCP: SendConfigReq #8
Apr 17 23:18:10 rt mpd: [L-4] ACFCOMP
Apr 17 23:18:10 rt mpd: [L-4] PROTOCOMP
Apr 17 23:18:10 rt mpd: [L-4] MRU 1500
Apr 17 23:18:10 rt mpd: [L-4] MAGICNUM 04b78734
Apr 17 23:18:10 rt mpd: [L-4] AUTHPROTO CHAP MSOFTv2
Apr 17 23:18:10 rt mpd: [L-4] LCP: rec'd Configure Reject #8 (Ack-Sent)
Apr 17 23:18:10 rt mpd: [L-4] AUTHPROTO CHAP MSOFTv2
Apr 17 23:18:10 rt mpd: [L-4] LCP: SendConfigReq #9
Apr 17 23:18:10 rt mpd: [L-4] ACFCOMP
Apr 17 23:18:10 rt mpd: [L-4] PROTOCOMP
Apr 17 23:18:10 rt mpd: [L-4] MRU 1500
Apr 17 23:18:10 rt mpd: [L-4] MAGICNUM 04b78734
Apr 17 23:18:10 rt mpd: [L-4] AUTHPROTO CHAP MSOFTv2
Apr 17 23:18:10 rt mpd: [L-4] LCP: rec'd Configure Reject #9 (Ack-Sent)
Apr 17 23:18:10 rt mpd: [L-4] AUTHPROTO CHAP MSOFTv2
Apr 17 23:18:10 rt mpd: [L-4] LCP: SendConfigReq #10
Apr 17 23:18:10 rt mpd: [L-4] ACFCOMP
Apr 17 23:18:10 rt mpd: [L-4] PROTOCOMP
Apr 17 23:18:10 rt mpd: [L-4] MRU 1500
Apr 17 23:18:10 rt mpd: [L-4] MAGICNUM 04b78734
Apr 17 23:18:10 rt mpd: [L-4] AUTHPROTO CHAP MSOFTv2
Apr 17 23:18:10 rt mpd: [L-4] LCP: rec'd Configure Reject #10 (Ack-Sent)
Apr 17 23:18:10 rt mpd: [L-4] AUTHPROTO CHAP MSOFTv2
Apr 17 23:18:10 rt mpd: [L-4] LCP: not converging
Apr 17 23:18:10 rt mpd: [L-4] LCP: parameter negotiation failed
Apr 17 23:18:10 rt mpd: [L-4] LCP: state change Ack-Sent --> Stopped
Apr 17 23:18:10 rt mpd: [L-4] LCP: LayerFinish
Apr 17 23:18:10 rt mpd: [L-4] PPTP call terminated
Apr 17 23:18:10 rt mpd: [L-4] Link: DOWN event
Apr 17 23:18:10 rt mpd: [L-4] LCP: Close event
Apr 17 23:18:10 rt mpd: [L-4] LCP: state change Stopped --> Closed
Apr 17 23:18:10 rt mpd: [L-4] LCP: Down event
Apr 17 23:18:10 rt mpd: [L-4] LCP: state change Closed --> Initial
Apr 17 23:18:10 rt mpd: [L-4] Link: SHUTDOWN event
Apr 17 23:18:10 rt mpd: [L-4] Link: Shutdown

т.е. меня там видят и пытаются договориться.
нутром чую, что надо какие-то параметры pptp подкрутить, но какие ? и как ?

Shaman777
23-05-2011, 21:34
Подскажите, есть три роутера WL-500GP (в разных точках). За одним роутером стоит сервак. Как между ними создать тоннель, что бы иметь доступ к ресурсам сервера?

Rung
23-05-2011, 21:45
Подскажите, есть три роутера WL-500GP (в разных точках). За одним роутером стоит сервак. Как между ними создать тоннель, что бы иметь доступ к ресурсам сервера?

Смотрите в сторону OpenVPN, как один из вариантов http://habrahabr.ru/blogs/linux/56652/ пошаговой инструкции.

Whiteman
24-05-2011, 06:17
Прошу не бить ногами, т.к. в Linux я лапоть полный, но очень хочу поставить OpenVPN на wl500w. Перечитал уже всю ветку и провел несколько дней перед этой железкой, но так и не разобрался что нужно для того, чтоб скрипт в шапке установил все на флеш. в ручном режиме тож пробовал. Подскажите пожалуйста действия по пунктам, что нужно поменять в скрипте или какие дополнительно дать команды:
Перед тем как инсталить скрипт делал следующее:
mount
Демонтировать флэшку umount /tmp/mnt/disc0_1
Отформатировать флэшку или раздел диска в файловую систему ext3:
mke2fs -j /dev/discs/disc0/part1
смонтировать флэшку
mount /dev/discs/disc0/part1 /tmp/mnt/disc0_1

А он все равно в основную память пытается встать... В общем я уже в отчаянии... Тяжело быть по пояс деревянным! :(

tempik
24-05-2011, 21:48
Прошу не бить ногами, т.к. в Linux я лапоть полный, но очень хочу поставить OpenVPN на wl500w. Перечитал уже всю ветку и провел несколько дней перед этой железкой, но так и не разобрался что нужно для того, чтоб скрипт в шапке установил все на флеш. в ручном режиме тож пробовал. Подскажите пожалуйста действия по пунктам, что нужно поменять в скрипте или какие дополнительно дать команды:
Перед тем как инсталить скрипт делал следующее:
mount
Демонтировать флэшку umount /tmp/mnt/disc0_1
Отформатировать флэшку или раздел диска в файловую систему ext3:
mke2fs -j /dev/discs/disc0/part1
смонтировать флэшку
mount /dev/discs/disc0/part1 /tmp/mnt/disc0_1

А он все равно в основную память пытается встать... В общем я уже в отчаянии... Тяжело быть по пояс деревянным! :(

Скрипт (как и название темы) писался для установки openvpn именно в основную память (и очень давно).... Если нужно ставить на диск или флэшку просто измените пути в скрипте на нужные и примите к сведению ВСЕ замечания из темы... Скрипт не поддерживается с момента публикации, используете на свой страх и риск ....