В DD-WRT на домашнем роутере видел соединение через VPN(pptp) к другой сети.
Тогда вопрос можно ли на DD-WRT работать с 3G модемами? и подскажите прошивку.
Можно даже ссылку на тему, поиск юзал, но не нашел ничего
Printable View
В DD-WRT на домашнем роутере видел соединение через VPN(pptp) к другой сети.
Тогда вопрос можно ли на DD-WRT работать с 3G модемами? и подскажите прошивку.
Можно даже ссылку на тему, поиск юзал, но не нашел ничего
Прошивка "от энтузиастов (бывшая от Олега)" ... Другие обсуждают в других форумах ... Ответы на вопросы, а как сделать такое, без описания, что уже сделано по инструкциям с форума, как правило игнорируются ... Все в ваших руках (а мы поможем в решении вопросов, а не в готовом решении именно для вас)....Quote:
Originally Posted by p0is0n
Добрый день.
Помогите решить задачу.
Есть роутер asus wl-500gp v2 + 3g modem huawei e173
Есть VPN cервер.
Нужно что бы роутер выходил в интренет через 3g modem
Дальше устанавливал соединение с VPN сервером и получал внутренний IP адрес.
Может у кого есть уже такая прошивка или кто-то может такую прошибку собрать - подскажите. Могу даже денег заплатить за работу.
P.S. Пробывал сам ставить OpenVPN client дополнительно ничего хорошего не получилось.
VPN сервер какой? OpenVPN, PPtP, L2TP???Quote:
Originally Posted by bums
Роутеры с местными прошивками прекрасно подключаются к любому внешнему VPN серверу.
Либо OpenVPN либо PPTP
да они все умееют работать по отдельности от 3g
а как сделать так чтобы тунель строился когда интернет через usb 3gмодем подключен?
Ну, например, добавить скрипт http://www.hub.ru/wiki/Post-firewallQuote:
Originally Posted by bums
Только проверку надо поставить, что вызвано ppp0-интерфейсом.
Я так пробывал, но проблема в том что когда рветься соединение тунель заново не поднимается.
Тут надо комплексное решение.
имею wl-500pPv2 с мегафон свистком
делаю по этой инструкции http://wl500g.info/showthread.php?t=8880
1. сначала на прошивке WL500gpv2-1.9.2.7-d-r2624.trx
OpenVPN ставится но не стартует
-sh: /opt/sbin/openvpn: not found
2. пробывал на прошивке WL500gpv2-1.9.2.7-rtn-r3497.trx
зависает установка на строке
Configuring ncurses
может тут что не так? пакеты может не те: echo "src unslung http://ipkg.nslu2-linux.org/feeds/optware/oleg/cross/stable" > /opt/etc/ipkg.conf
3. в оригинальной олеговской прошивке нет USB modem
на какой прошивке встанет и запустится OpenVPN
Все прекрасно поднимается. ЛОГИ где???Quote:
Originally Posted by bums
Я лично пробовал с модемами: 3G, Skylink, Yota, Comstar
Подключения к pptp и openvpn
Все работало и переподключалось.
Добрый день. Есть задача соединиться по vpn через 3g модем. прошивка от Олега не дает этого сделать .помогите пож-та подскажите прошивочку.
У меня тоже на ncurses установка умирает, пакет даже не скачивается.Quote:
Originally Posted by Slym
Есть предположение, что закончилась память или "неправильная" прошивка.
Опытные товарищи, помогите ответом?Code:[admin@home /tmp]$ ipkg -force-depends install openvpn
Installing openvpn (2.2.0-1) to root...
Downloading http://ipkg.nslu2-linux.org/feeds/optware/oleg/cross/stable/openvpn_2.2.0-1_mipsel.ipk
openvpn: unsatisfied recommendation for kernel-module-tun
package openvpn suggests installing xinetd
Installing net-tools (1.60-6) to root...
Downloading http://ipkg.nslu2-linux.org/feeds/optware/oleg/cross/stable/net-tools_1.60-6_mipsel.ipk
Installing psmisc (22.13-1) to root...
Downloading http://ipkg.nslu2-linux.org/feeds/optware/oleg/cross/stable/psmisc_22.13-1_mipsel.ipk
Installing ncurses (5.7-1) to root...
Downloading http://ipkg.nslu2-linux.org/feeds/optware/oleg/cross/stable/ncurses_5.7-1_mipsel.ipk
Terminated
PS Прошивка 1.9.2.7-10.7
Спасибо
Хочу на даче поставить роутер (к примеру 500gDeluxe), к нему подцепить еще парочку устройств. Но для этого нужно до роутера как-то организовать входящее соединение. Дома работает преиум с прошивкой энтузиастов (wrt), нормальный статический IP. Делюкс также на прошивке от энтузиастов (версия d), интернет через 3G модем уже работает. Какие варианты я вижу (а тут прошу помощи в настройке):
1. Дополнительная услуга в виде статического IP. Начинают работать входящие соединения. Но вариант платный и потому на крайний случай.
2. OpenVPN туннель. Премиум дома - сервер, делюкс на даче - клиент. Доступ к делюксу обеспечивает премиум (пробрасывает порты).
Описание поднятия сервера я нашел, а вот клиента пока не могу...
3. Может быть есть вариант проще?
ЗЫ. у меня одного поиск ничего (вообще) не находит?
пробросить порты можно проще, при помощи SSH (см. насчет Remote Port Forwarding)
поиск на форуме сломан, временный вариант
Камеры чтоль? :DQuote:
Originally Posted by dimm
По теме - из личного опыта:
1. Связываться с услугой "белый IP" от нашей большой тройки то еще садо-мазо.
После 2-х месяцев разборок с Би и Мегой - плюнул на это дело.
У всех у них APN для RealIP отдельный и тарифы там из основной тарифной сетки не совсем как надо работают.
A МТС у нас вообще только юрикам эту услугу предлагает.
2. Поднятие туннеля со стороны роутера с 3G работает, но есть нюансы.
Есть на форуме тема про site-to-site VPN и с этим проблем меньше всего.
Основная проблема - свистки иногда виснут.
Тогда мы вешаем на роутер скрипт watchdog, пингаем какой-нибудь внешний IP, например нашего VPN-сервера.
Нет реплая - ребут. Но при ребуте свисток как правило не сбрасывается - нужен сброс по питанию. Поэтому:
2.а. Нужен паяльник для реализации схемы сброса по питанию.
2.б. Нужен паяльник для вывода консоли и смарт-упс, которому через консоль можно дать команду на отключение-включение нагрузки.
Вариант б предпочтительней потому, что можно мониторить состояние электросети.
Послать сообщение, если злоумышленники рубанули кабельный ввод :D
Доброго времени суток!
Имею целью связать две сети воедино.
Первая сеть RT-n16 с белым IP от пчелайна-корбины.
Вторя сеть WL500GPV2 на 3G от мегафона
Сервер крутится на RT-n16.
Пока для тестов пытаюсь подконнектиться к серверу с виндового компа, находящегося в тойже сети, что и сервер.
Делал все почти по инструкции из первого поста.
OpenVpn из нового репозитория.
Конфиг сервера
Конфиг клиента: (клиент: OpenVPN под виндой)Code:dev tun0
port 5190
proto tcp-server
ifconfig 10.8.0.1 10.8.0.2
secret static.key
В post-boot (иначе пропадает после перезагрузки):Code:remote XXXXXX.243
dev tun0
port 5190
proto tcp-client
ifconfig 10.8.0.2 10.8.0.1
secret static.key
redirect-gateway
В post-firewall:Code:mkdir /dev/net
mknod /dev/net/tun c 10 200
Проблема:Code:iptables -D INPUT -j DROP
iptables -I INPUT -p tcp --dport 5190 -j ACCEPT
iptables -t nat -I PREROUTING -i eth1 -p tcp --dport 5190 -j DNAT --to-destination \$4:5190
iptables -A INPUT -j DROP
iptables -I INPUT -i tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -j ACCEPT
iptables -I FORWARD -o tun0 -j ACCEPT
iptables -I OUTPUT -o tun0 -j ACCEPT
Пытаюсь подконнектиться, доходит до TCPv4_CLIENT link remote и повисает. если при этом попытатсья попинговать 10.8.0.1 то начинаются чудеса: пингом проходит 1 пакет, и клиент тутже сообщает, что подключился и получил Ip 10.8.0.2, оставшиеся пакеты не идут и клиент тутже отваливается. Дальнейшее подключение возможно только если перезагрузить клиента OpenVPN.
Логе на сервере:
Лог клиента:Code:Thu Jan 1 04:00:28 1970 OpenVPN 2.2.1 mipsel-linux-gnu [SSL] [LZO2] [EPOLL] built on Apr 2 2012
Thu Jan 1 04:00:28 1970 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or exec
Thu Jan 1 04:00:28 1970 WARNING: file 'static.key' is group or others accessible
Thu Jan 1 04:00:28 1970 TUN/TAP device tun0 opened
Thu Jan 1 04:00:28 1970 /sbin/ifconfig tun0 10.8.0.1 pointopoint 10.8.0.2 mtu 1500
Thu Jan 1 04:00:28 1970 Listening for incoming TCP connection on [undef]:5190
Thu Apr 12 22:08:49 2012 TCP connection established with 192.168.1.5:57020
Thu Apr 12 22:08:49 2012 TCPv4_SERVER link local (bound): [undef]:5190
Thu Apr 12 22:08:49 2012 TCPv4_SERVER link remote: 192.168.1.5:57020
Thu Apr 12 22:08:59 2012 Peer Connection Initiated with 192.168.1.5:57020
Thu Apr 12 22:08:59 2012 Initialization Sequence Completed
1. Кого (клиента или сервер) ковырять? И где именно крутить?Code:Thu Apr 12 22:08:53 2012 TCP connection established with XXXXXX.243:5190
Thu Apr 12 22:08:53 2012 TCPv4_CLIENT link local: [undef]
Thu Apr 12 22:08:53 2012 TCPv4_CLIENT link remote: XXXXXX.243:5190
Thu Apr 12 22:09:31 2012 Peer Connection Initiated with XXXXXX.243:5190
Thu Apr 12 22:09:32 2012 ROUTE: route addition failed using CreateIpForwardEntry: Неверны один или несколько аргументов. [if_index=12]
Thu Apr 12 22:09:32 2012 ROUTE: route addition failed using CreateIpForwardEntry: Неверны один или несколько аргументов. [if_index=32]
Thu Apr 12 22:09:32 2012 Initialization Sequence Completed
Thu Apr 12 22:09:51 2012 Connection reset, restarting [-1]
Thu Apr 12 22:09:51 2012 ROUTE: route deletion failed using DeleteIpForwardEntry: Элемент не найден.
Thu Apr 12 22:09:51 2012 ROUTE: route deletion failed using DeleteIpForwardEntry: Элемент не найден.
Thu Apr 12 22:09:51 2012 ROUTE: route addition failed using CreateIpForwardEntry: Неверны один или несколько аргументов. [if_index=12]
Thu Apr 12 22:09:51 2012 SIGUSR1[soft,connection-reset] received, process restarting
Thu Apr 12 22:09:56 2012 TAP-WIN32 device [Подключение по локальной сети 6] opened: \\.\Global\{BF9AF574-7C1F-4A7D-B180-FB89E8E0416B}.tap
Thu Apr 12 22:09:56 2012 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.2/255.255.255.252 on interface {BF9AF574-7C1F-4A7D-B180-FB89E8E0416B} [DHCP-serv: 10.8.0.1, lease-time: 31536000]
Thu Apr 12 22:09:56 2012 Successful ARP Flush on interface [32] {BF9AF574-7C1F-4A7D-B180-FB89E8E0416B}
Thu Apr 12 22:09:56 2012 Attempting to establish TCP connection with XXXXXX:5190
Thu Apr 12 22:09:56 2012 TCP: connect to XXXXXX.243:5190 failed, will try again in 5 seconds
Thu Apr 12 22:10:01 2012 TCP: connect to XXXXXX.243:5190 failed, will try again in 5 seconds
Thu Apr 12 22:10:06 2012 TCP: connect to XXXXXX.243:5190 failed, will try again in 5 seconds
2. Что означает \$4 в правиле iptables -t nat -I PREROUTING -i eth1 -p tcp --dport 5190 -j DNAT --to-destination \$4:5190? везде искал - не нашел. Если правило вводить просто через телнет, то ругается что "неверный IP адрес $4".
Спасибо!
Моя работающая конфигурация (в post-mount вызов /opt/etc/init.d/openvpn start):
1. скрипт init.d/openvpn
2. post-firewallCode:#!/bin/sh
# Startup script for openvpn server
DAEMON=/opt/bin/openvpn
CONFIG_DIR=/opt/etc/openvpn
PID_DIR=/opt/var/run
echo 1 > /proc/sys/net/ipv4/ip_forward
if ( [ ! -c /dev/net/tun ] ) then
if ( [ ! -d /dev/net ] ) then
mkdir -m 755 /dev/net
fi
mknod /dev/net/tun c 10 200
fi
if ( !(lsmod | grep -q "^tun") ); then
insmod tun.ko
fi
case "$1" in
start)
for CONFIG in `cd $CONFIG_DIR; ls *.conf`; do
NAME=${CONFIG%%.conf}
echo -n "Starting OpenVPN ${CONFIG%%.conf}: "
/opt/bin/openvpn --daemon --cd $CONFIG_DIR --config $CONFIG --writepid $PID_DIR/openvpn.$NAME.pid
echo "ok"
done
;;
stop)
for PIDFILE in `ls /opt/var/run/openvpn.*.pid`; do
NAME=`echo $PIDFILE | cut -c22-`
NAME=${NAME%%.pid}
echo -n "Stopping OpenVPN $NAME: "
kill `cat $PIDFILE` || true
rm -f $PIDFILE
echo "ok"
done
;;
restart)
$0 stop
sleep 2
$0 start
;;
*)
echo "Usage: $0 {start|stop|restart}"
exit 1
;;
esac
exit 0
3. home-server.confCode:iptables -I INPUT -p tcp --dport 1194 -j ACCEPT
iptables -I INPUT -i tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -j ACCEPT
iptables -I FORWARD -o tun0 -j ACCEPT
iptables -I OUTPUT -o tun0 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o tun0 -j MASQUERADE
4. home-client.ovpnCode:dev tun0
tls-server
mode server
server 192.168.15.0 255.255.255.0
ifconfig-pool-persist /opt/etc/openvpn/home/ipp
client-config-dir /opt/etc/openvpn/home/ccd
dh /opt/etc/openvpn/home/keys/dh4096.pem
ca /opt/etc/openvpn/home/keys/ca.crt
cert /opt/etc/openvpn/home/keys/rt-n16.crt
key /opt/etc/openvpn/home/keys/rt-n16.key
crl-verify /opt/etc/openvpn/home/keys/crl.pem
client-to-client
port 1194
proto tcp-server
comp-lzo
persist-tun
persist-key
verb 3
script-security 2
push "route 192.168.10.0 255.255.255.0" #локалка за роутером
log /opt/var/log/openvpn/home.log
status /opt/var/log/openvpn/home-status.log
keepalive 10 60
Code:client
dev tun0
proto tcp
remote xxx.xxx.xxx.xxx 1194
resolv-retry infinite
nobind
persist-key
persist-tun
<ca>
{сертификат CA}
</ca>
<cert>
{сертификат клиента}
</cert>
<key>
{ключ клиента}
</key>
ns-cert-type server
comp-lzo
Спасибо! Буду пробовать! Правильно ли я понимаю, что дефолтный адрес роутера изменен на 192.168.10.0?
Прямо в тему.
Долго по-неопытности ковырялся, но таки поднял туннель между домом и дачей. На даче "пара устройств" ( Собрал контроллер по прототипу http://www.avislab.com/blog/enc28j60/ )
Вот примерно так:
Проблемка заключается в том, что не могу достучаться из интернета до web-сервера который в сетке за туннелем (openVPN), а из домашней сетки -могу. Получается, что обратные пакетыPHP Code:Дом Дача 3G
83.x.x.x |||
|| |
31.42.x.x 10.44.x.x
10.8.0.1======tun0=======10.8.0.2
192.168.1.1 192.168.2.1
|
192.168.1.7
192.168.2.1:8080 > 192.168.1.7 есть
192.168.2.1:8080 > 83.x.x.x нет
Вот видно, что 192.168.2.1 не отвечает в интернет 83.149.9.147. Но отвечает компу из другой сетки с адреса 192.168.1.7
tcpdump -qlnt -i tun0 port 8080
Для справки:PHP Code:IP 83.149.9.14.14887 > 192.168.2.1.8080: tcp 0
IP 83.149.9.14.14887 > 192.168.2.1.8080: tcp 0
IP 83.149.9.14.14887 > 192.168.2.1.8080: tcp 0
IP 192.168.1.7.1122 > 192.168.2.1.8080: tcp 0
IP 192.168.2.1.8080 > 192.168.1.7.1122: tcp 0
IP 192.168.1.7.1122 > 192.168.2.1.8080: tcp 0
IP 192.168.1.7.1122 > 192.168.2.1.8080: tcp 396
IP 192.168.2.1.8080 > 192.168.1.7.1122: tcp 0
IP 192.168.2.1.8080 > 192.168.1.7.1122: tcp 1364
IP 192.168.2.1.8080 > 192.168.1.7.1122: tcp 103
IP 192.168.2.1.8080 > 192.168.1.7.1122: tcp 151
post-firewall
Routing TablePHP Code:#!/bin/sh
iptables -A INPUT -j DROP
iptables -I INPUT -i tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -j ACCEPT
iptables -I FORWARD -o tun0 -j ACCEPT
iptables -I OUTPUT -o tun0 -j ACCEPT
# port for HTTP
iptables -I INPUT -p tcp --dport 80 -j ACCEPT
Конфиг клиента openVPNPHP Code:Destination Gateway Genmask Flags Metric Ref Use Iface
10.64.64.64 * 255.255.255.255 UH 0 0 0 WAN ppp0
10.8.0.1 * 255.255.255.255 UH 0 0 0 WAN tun0
192.168.2.0 * 255.255.255.0 U 0 0 0 LAN br0
192.168.1.0 10.8.0.1 255.255.255.0 UG 0 0 0 WAN tun0
default 10.64.64.64 0.0.0.0 UG 0 0 0 WAN ppp0
Вопрос в том, что надо сделать чтобы сделать доступным сервер за тунелем из интернета? Чего в супе не хватает?PHP Code:remote 31.42.х.х
dev tun0
port 5190
proto tcp-client
ifconfig 10.8.0.2 10.8.0.1
secret static.key
route 192.168.1.0 255.255.255.0
ping 15
ping-restart 45
ping-timer-rem
persist-tun
persist-key
Гуру, помогите с настройкой IPTABLES.
Имею OpenVPN сервер, поднятый на RT-n16.
В будущем хочу подключаться к нему клиентом WL500GPv2
Пока доступа к WL500 нет (на даче стоит, только на выходных поеду), подключаюсь с клиента, установленного под виндой на ноутбуке. Скорость передачи данных около 1 мегабита. Подозреваю, что с клиентом в виде WL500 все будет еще хуже. Т.е. заворачивать в тоннель весь трафик, включая WEB - кощунство (wl500 имеет связь с интернетом через 3G от мегафона, скорость около 5 мегабит).
Для чего заморачиваюсь с VPN? Всего существует для меня три цели:
1. Организовать доступ из одной локальной сети в другую (сеть за RT-n16 и за wl500 и обратно)
2. Подключаться к удаленному рабочему столу компа в сети за WL500 из сети за RT-n16 стандартными средствами винды
3. SIP клиенту wmvn25e2plus (находится в сети wl500) поиметь белый ip RT-n16
Последняя задача для меня самая приоритетная (ну не умеет sipnet правильно регистрировать устройства за двумя nat - писал свою историю в этой теме выше).
В связи со всем этим у меня возникает вопрос, как можно на клиенте завернуть в тоннель только:
1. Все пакеты с определенного IP адреса (скажем, 192.168.2.8),
2. Или пакеты с определенного порта,
3. Или все пакеты, кроме web-трафика?
Что мне для этого (одного из этого) необходимо поменять в правилах клиента, которые сейчас выглядят следующим образом:
Спасибо!Code:iptables -I INPUT -i tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -j ACCEPT
iptables -I FORWARD -o tun0 -j ACCEPT
iptables -I OUTPUT -o tun0 -j ACCEPT
Нехорошо уважаемый маленьких обманывать )) Лично через ноикиевского клиента сип подключался с сипнет через вай-фай на 500Гпв1 стоящий на даче и подключенный к интернет через МТС 3Г свисток (у мтса адреса естествено тоже серые, так что двойной нат), проблем никаких.Quote:
Originally Posted by MMX2
как то вот так
хотя раньше и без этого работало на тупом пробросеCode:#!/bin/sh
insmod nf_conntrack_sip
insmod nf_nat_sip
Так и есть, но не работает на wl 500 (на rtn-16 все пучком). Т.е. модули подгружаются, но не работает СИП - подключается, но исходящие вызовы на СИП не совершает, а при вызовах на городской меня не слышат. При этом с sipgate.ru вообще нет никаких проблем даже без подгрузки модулей ядра.Quote:
Originally Posted by TReX
Вот и хочу заворачивать в тоннель пакеты с SIP устройства, т.е. с определенного IP.
TReX , проблема с сипнетом вылечилась (тьфу*3) снятием в настройках клиента галки "не закрывать сессию NAT" и назначением времени жизни сип-сеии 180-1800 секунд. Спасибо за помощь.
Но появились другие вопросы:
1. VPN тоннель между Wl500 и rt-n16 поднят, но компы из другой сети не видно в сетевом окружении (т.е. из сети wl500 не видно компы за rt-n16 и наоборот). Причем компы именно невидны, но если коннектится по IP (например \\192.168.1.1), то соединение устанавливается. Это нормально? Или можно поправить, чтобы было видно компьютеры из обеих сетей в сетевом окружении?
2. При попытке прочитать файл с samba сервера из другой сети (находясь в сети за wl500 поключаюсь к самбе на rt-n16), то файлы читаются без проблем. А вот при попытке записать, после продолжительных раздумий вылетает ошибка "Пробема доступа к \\192.168.1.1. проверье, что сетевое подключение работает и повторите попытку". Как исправить и где вообще копать? Права на папку, куда пытаюсь записать стоят 777.
Настройки post-firewall клиента:
настройки сервера:Code:iptables -D INPUT -j DROP
iptables -A INPUT -j DROP
iptables -I INPUT -i tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -j ACCEPT
iptables -I FORWARD -o tun0 -j ACCEPT
iptables -I OUTPUT -o tun0 -j ACCEPT
iptables -t nat -I PREROUTING -i eth1 -p udp --dport 1194 -j DNAT --to-destination $4:1194
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
Спасибо!Code:iptables -I INPUT -p udp --dport 1194 -j ACCEPT
iptables -I INPUT -i tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -j ACCEPT
iptables -I FORWARD -o tun0 -j ACCEPT
iptables -I OUTPUT -o tun0 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o tun0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
Вторую проблему решил - изменением настройки самбы (похоже дело было именно в этом).
Осталась первая проблема - как сделать так, чтобы компьютеры из обеих сетей были видны в сетевом окружении (а не только при подключении по IP)?
Погуглил, понял, что надо поднимать WINS сервер для решения проблемы отобращения компьютеров из разных подсетей в обозревателе.
Подскажите, как поднять (или где об этом почитать) WINS сервер на Rt-n16? Спасибо!
opkg install samba, iwillusegoogle, iwillusegoogle, iwillusegoogle, iwillusegoogle, iwillusegoogle, ...Quote:
Originally Posted by MMX2
Ух ты! Как же я раньше не додумался! Как все просто! Спасибо за совет! Чтобы данный форум без таких советчиков делал бы!Quote:
Originally Posted by tridog
Перед тем как на меня обидеться, попробуйте реализовать содержательную часть вашего совета, а именно opkg install samba :))
Итак, инструкция. Имеем две сети:
Между ними поднят VPN тоннель 192.168.15.0 255.255.255.0 (сервер - rt-n16)Code:RT-N16 192.168.1.0 255.255.255.0
WL500GPv2 192.168.2.0 255.255.255.0
Что мы хотим сделать: доступ к сетевому окружению из одной сети в другую и назад,
причем компы обеих сетей должны отображаться в сетевом окружении.
1. Дополнительно настраиваем VPN:
1.1. В конфиге сервера:2. Настраиваем SAMBA:
1.2. в файле /ccd/имя_клиента_из_сертификата:Code:push "route 192.168.1.0 255.255.255.0"
route 192.168.2.0 255.255.255.0
RT-N16 и WL500 должны пинговаться из ОБЕИХ сетей. Если этого не происходит, то перед тем,Code:iroute 192.168.2.0 255.255.255.0
как идти дальше разбирайтесь с правилами фаервола и добивайтесь прохождения пингов.
2.1. rt-n16 у нас будет WINS сервером. В конфиг самбы на RT-N16 вносим строчки3. Настраиваем wl500 и rt-n16:
(или правим значения, если строчки есть):
2.2. В конфиг самбы на wl500 вносим:Code:bind interfaces only = no
wins support = yes
domain master = yes
os level = 255
local master = yes
preferred master = yes
Code:bind interfaces only = no
wins support = no
wins server = 192.168.1.1
domain master = no
os level = 255
local master = yes
preferred master = yes
remote announce = 192.168.1.1
На ОБОИХ устройствах в IP Config>DHCP Server в строке WINS Server вносим IP RT-N16: 192.168.1.1Гуру, поправьте меня, где неправильные\лишние\недостаточные телодвижения.
Клиентские компьютеры должны поддерживать службу WINS.
Сохраняемся, перезагружаемся, ждем минут 15 и обновляем сетевое окружение.
Должно быть видно подключенные к сети устройства обеих сетей.
UPD: Возникла любопытная проблема: при попытке подключиться по SSH к WL500gpv2 (см. конфигурацию выше), подключение проходит нормально,
но стоит попытаться запустить MC или PS, как все повисает. По телнету проблема появляется, но редко (т.е. работать можно). Где копать?
Отвечаю на поставленный вопрос: необходимо сменить протокол тоннеля с UDP на TCP и все будет ОК.
1. Подумалось мне тут, а можно ли обойтись без разделения на подсети в моем случае?
Соединить надо дачу и дом, на даче 4 устройства, дома 6. Т.е. меньше 255. Сейчас на даче подсеть 192.168.2.0, дома 192.168.1.0.
Можно ли соединить посредством OpenVPN все это не разделяя на подсети, т.к. чтобы все устройства были в сети 192.16.1.0 255.255.255.0?
Прямого ответа на этот вопрос не нашел. Если это можно реализовать, то какой тогда интерфейс использовать - TUN или TAP?
Какие дополнительные настройки (отличные от организации "обычного" тоннеля) требуются?
2. Сейчас все настроено четерз TUN и поднят WINS сервер (см. выше). Клиенты обеих сетей видят друг-друга в сетевом окружении и пингуются. Но если
подключиться с ноубука под виндой (с натройками аналогичными настройкам клиентского WL500), то в сетевом окружении других устройств не видно, хотя
они пингуются, к ним есть доступ по IP и адаптер получает и прописывает от сервера адрес WINS сервера. Где копать для решения данной проблемы?
UPD по п.2: Вопрос даже шире: каким маршрутом дать доступ из сети к клиенту под виндой?
Только что прверил, доступа нет ни по IP тоннеля, ни по локальному Ip клиента...
Искал, но не нашел ответа. Что есть:
сеть 1: 192.168.1.0/24, где на 192.168.1.1 поднят OpenVPN сервер (tun0, RT-N16)
сеть 2: 192.168.2.0/24, где на 192.168.2.1 поднят OpenVPN клиент (WL500)
Вопрос: как ВЕСЬ трафик только с IP 192.168.2.8 завернуть в тоннель?
Т.е. чтобы в интернет он выходил через RT-N16 и имел его IP? Всем спасибо!
Всем добрый день!
Есть задача: организовать канал между двумя устройствами. Территориально находятся далеко друг от друга. Общаются они путем отправки запросов на конкретный, заранее заданный, но только один IP адрес (т.е. в устройстве 1 прописывается IP устройства 2, а в устройстве 2 прописывается IP устройства 1). Запросы идут как от устройства 1 к устройству 2 так и наоборот. Так как общение будет идти через Интернет, то нужно иметь второй активный WAN (в моем случае это должен быть 3G) для надежности. Проблема в том, что у роутера должен быть один внешний IP. Может между двумя роутерами получится VPN организовать?
Вот примерная схемка http://i064.radikal.ru/1206/a1/ab5591b60772t.jpg
Необходима помощь в настройке OpenVPN.
Задача: связать 2 компьютера: удаленный компьютер в выделенным "белым" IP стоящий за роутером Asus 500 gp Vp 2 (будет выступать в роли сервера) и компьютер находящийся за натом с роутером Asus 500 gp V2 со свисток 4g Мегафон.
Что есть: два компьютера работают в интернет (то есть интернет соединения работают), на обоих роутерах поднят OpenVPN (то есть установлены и запущены). К компютеру с белым IP есть доступ из вне по telnet и через web интерфейс. К компьтеру с 3g модемом есть доступ из локалки по telnet и через web интерфейс.
Что хотелось бы: настроить что бы 2 компьютера соединялись между собой. Сам в линуксе совсем ноль. Настроил 2 роутера только по описаниям на форуме. Сидеть дальше не могу, поскольку такой уровень познаний выходит за рамки моего мозга. Готов оплатить за помощь в настройке сети.
Если речь идет всего о двух компьютерах, то я бы настроил на "сервере" openvpn в режиме сервера, на его роутере пробросил бы соответствующий порт, а на "клиенте" настроил бы openvpn в режиме клиента. Пошаговых руководств в сети навалом. Вот неплохое http://forum.ixbt.com/topic.cgi?id=14:40906Quote:
Originally Posted by avtomoda
А с роутеров openvpn убрал бы.
Так я это и прошу и готов за это заплатить. Моих познаний настроить маршрутизацию не хватает. А так же надо открыть порты.Quote:
Originally Posted by don-pedro
Я как раз так и делаю. На сервере запустил Open VPN в режиме сервера, на клинте запустил OpenVPN в режиме клиента, но связи нет. как настроить не знаю, поскольку в Линуксе ноль. Какие команды запускать и что смотреть подскажите.
Quote:
Originally Posted by avtomoda
Чему верить? :)Quote:
Originally Posted by avtomoda
Какие операционки на сервере и клиенте?
Конфиги опенвпн сервера и клиента - в студию.
Quote:
Originally Posted by don-pedro
Code:Конфиг клиента:
client
dev tun
proto udp
remote "мой IP" 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca /opt/etc/openvpn/keys/ca.crt
cert /opt/etc/openvpn/keys/avtomoda.crt
key /opt/etc/openvpn/keys/avtomoda.key
ns-cert-type server
comp-lzo
verb 3
log-append /opt/var/log/openvpn/openvpn.log
status /opt/var/log/openvpn/status.log
Конфиг сервера:
dev tun
tls-server
server 192.168.255.0 255.255.255.0
ifconfig 192.168.255.1 192.168.255.2
client-config-dir ccd
route 192.168.255.0 255.255.255.0 #IP Range of VPN
route 192.168.2.0 255.255.255.0 #IP Range of Earth
push .route 192.168.1.0 255.255.255.0.
#Say to clients that Shmelev has 192.168.1.0/24 LAN
#keys
dh /opt/etc/openvpn/keys/dh1024.pem
ca /opt/etc/openvpn/keys/ca.crt
cert /opt/etc/openvpn/keys/shmelev.crt
key /opt/etc/openvpn/keys/shmelev.key
#Do not change unless know what you are doing
client-to-client
port 1194
proto udp
user nobody
group nobody
comp-lzo
persist-tun
persist-key
verb 3
log-append /opt/var/log/openvpn/openvpn.log
status /opt/var/log/openvpn/status.log
keepalive 10 60
На вопросы "Чему верить?" и "Какие ос на клиенте и сервере?" тоже хорошо бы ответить.Quote:
Originally Posted by avtomoda
В любом случае 192.168.255.0 - неправильно imho. 255 надо на что-то другое поменять.
Хотя не, можно и так.
Еще есть вопрос: Не могу записать post-firewall. Точнее я его записываю, сохраняю. Затем flashfs save и т.д. после rebootQuote:
Originally Posted by don-pedro
После перезагрузки данный файл не отображает мои внесенные изменения. такое ощущение что данный файл еще
где то хранится и при перезагрузке данные с того места берутся и вставляются. Иначе изменения были бы а их нет.
Еще прикладываю логи сервера и клиента. Есть конект, но далее дело не идет. По ошибке сервер останавливает свои работу.
Лог клиента:
Code:Wed Sep 5 11:50:34 2012 OpenVPN 2.2.2 mipsel-linux-gnu [SSL] [LZO2] [EPOLL] built on Aug 7 2012
Wed Sep 5 11:50:34 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed Sep 5 11:50:34 2012 WARNING: file '/opt/etc/openvpn/keys/avtomoda.key' is group or others accessible
Wed Sep 5 11:50:34 2012 LZO compression initialized
Wed Sep 5 11:50:34 2012 Control Channel MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ]
Wed Sep 5 11:50:34 2012 Socket Buffers: R=[87380->131072] S=[16384->131072]
Wed Sep 5 11:50:34 2012 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Sep 5 11:50:34 2012 Attempting to establish TCP connection with 188.114.195.122:1194 [nonblock]
Wed Sep 5 11:50:35 2012 TCP connection established with 188.114.195.122:1194
Wed Sep 5 11:50:35 2012 TCPv4_CLIENT link local: [undef]
Wed Sep 5 11:50:35 2012 TCPv4_CLIENT link remote: 188.114.195.122:1194
Wed Sep 5 11:50:35 2012 TLS: Initial packet from 188.114.195.122:1194, sid=da817811 df7032c6
Wed Sep 5 11:50:36 2012 VERIFY OK: depth=1, /C=RU/ST=MSK/L=Moscow/O=Avtomoda/CN=shmelev/emailAddress=info@avtomoda.su
Wed Sep 5 11:50:36 2012 VERIFY OK: nsCertType=SERVER
Wed Sep 5 11:50:36 2012 VERIFY OK: depth=0, /C=RU/ST=MSK/O=Avtomoda/CN=shmelev/emailAddress=info@avtomoda.su
Wed Sep 5 11:50:38 2012 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Sep 5 11:50:38 2012 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Sep 5 11:50:38 2012 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Sep 5 11:50:38 2012 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Sep 5 11:50:38 2012 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Wed Sep 5 11:50:38 2012 [shmelev] Peer Connection Initiated with 188.114.195.122:1194
Wed Sep 5 11:50:41 2012 SENT CONTROL [shmelev]: 'PUSH_REQUEST' (status=1)
Wed Sep 5 11:50:41 2012 PUSH: Received control message: 'PUSH_REPLY,.route 192.168.1.0 255.255.255.0.,
route 192.168.255.0 255.255.255.0,topology net30,ping 10,ping-restart 60,ifconfig 192.168.255.6 192.168.255.5'
Wed Sep 5 11:50:41 2012 Options error: Unrecognized option or missing parameter(s) in [PUSH-OPTIONS]:1: .route (2.2.2)
Wed Sep 5 11:50:41 2012 OPTIONS IMPORT: timers and/or timeouts modified
Wed Sep 5 11:50:41 2012 OPTIONS IMPORT: --ifconfig/up options modified
Wed Sep 5 11:50:41 2012 OPTIONS IMPORT: route options modified
Wed Sep 5 11:50:41 2012 Note: Cannot open TUN/TAP dev /dev/net/tun: No such device (errno=19)
Wed Sep 5 11:50:41 2012 /sbin/ifconfig 192.168.255.6 pointopoint 192.168.255.5 mtu 1500
ifconfig: SIOCSIFADDR: No such device
Wed Sep 5 11:50:41 2012 Linux ifconfig failed: external program exited with error status: 1
Wed Sep 5 11:50:41 2012 Exiting
Лог сервера:
Code:Wed Sep 5 11:39:38 2012 OpenVPN 2.2.0 mipsel-linux [SSL] [LZO2] [EPOLL] [eurephia] built on Feb 18 2012
Wed Sep 5 11:39:38 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed Sep 5 11:39:39 2012 Diffie-Hellman initialized with 1024 bit key
Wed Sep 5 11:39:39 2012 WARNING: file '/opt/etc/openvpn/keys/shmelev.key' is group or others accessible
Wed Sep 5 11:39:39 2012 TLS-Auth MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ]
Wed Sep 5 11:39:39 2012 Socket Buffers: R=[43689->131070] S=[16384->131070]
Wed Sep 5 11:39:39 2012 ROUTE default_gateway=10.254.4.23
Wed Sep 5 11:39:39 2012 TUN/TAP device tun0 opened
Wed Sep 5 11:39:39 2012 TUN/TAP TX queue length set to 100
Wed Sep 5 11:39:39 2012 /sbin/ifconfig tun0 192.168.255.1 pointopoint 192.168.255.2 mtu 1500
Wed Sep 5 11:39:39 2012 /sbin/route add -net 192.168.255.0 netmask 255.255.255.0 gw 192.168.255.2
Wed Sep 5 11:39:39 2012 /sbin/route add -net 192.168.2.0 netmask 255.255.255.0 gw 192.168.255.2
Wed Sep 5 11:39:39 2012 /sbin/route add -net 192.168.255.0 netmask 255.255.255.0 gw 192.168.255.2
route: SIOC[ADD|DEL]RT: File exists
Wed Sep 5 11:39:39 2012 ERROR: Linux route add command failed: external program exited with error status: 1
Wed Sep 5 11:39:39 2012 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Sep 5 11:39:39 2012 GID set to nobody
Wed Sep 5 11:39:39 2012 UID set to nobody
Wed Sep 5 11:39:39 2012 Listening for incoming TCP connection on [undef]:1194
Wed Sep 5 11:39:39 2012 TCPv4_SERVER link local (bound): [undef]:1194
Wed Sep 5 11:39:39 2012 TCPv4_SERVER link remote: [undef]
Wed Sep 5 11:39:39 2012 MULTI: multi_init called, r=256 v=256
Wed Sep 5 11:39:39 2012 IFCONFIG POOL: base=192.168.255.4 size=62
Wed Sep 5 11:39:39 2012 Note: sys_epoll API is unavailable, falling back to poll/select API
Wed Sep 5 11:39:39 2012 MULTI: TCP INIT maxclients=1024 maxevents=1028
Wed Sep 5 11:39:39 2012 Initialization Sequence Completed
Wed Sep 5 11:41:26 2012 MULTI: multi_create_instance called
Wed Sep 5 11:41:26 2012 Re-using SSL/TLS context
Wed Sep 5 11:41:26 2012 LZO compression initialized
Wed Sep 5 11:41:26 2012 Control Channel MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ]
Wed Sep 5 11:41:26 2012 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Sep 5 11:41:26 2012 Local Options hash (VER=V4): 'c0103fa8'
Wed Sep 5 11:41:26 2012 Expected Remote Options hash (VER=V4): '69109d17'
Wed Sep 5 11:41:26 2012 TCP connection established with 83.149.8.111:5571
Wed Sep 5 11:41:26 2012 TCPv4_SERVER link local: [undef]
Wed Sep 5 11:41:26 2012 TCPv4_SERVER link remote: 83.149.8.111:5571
Wed Sep 5 11:41:27 2012 83.149.8.111:5571 TLS: Initial packet from 83.149.8.111:5571, sid=1bba4daf deddc22a
Wed Sep 5 11:41:31 2012 83.149.8.111:5571 VERIFY OK: depth=1, /C=RU/ST=MSK/L=Moscow/O=Avtomoda/CN=shmelev/emailAddress=info@avtomoda.su
Wed Sep 5 11:41:31 2012 83.149.8.111:5571 VERIFY OK: depth=0, /C=RU/ST=MSK/O=Avtomoda/CN=avtomoda/emailAddress=info@avtomoda.su
Wed Sep 5 11:41:31 2012 83.149.8.111:5571 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Sep 5 11:41:31 2012 83.149.8.111:5571 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Sep 5 11:41:31 2012 83.149.8.111:5571 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Sep 5 11:41:31 2012 83.149.8.111:5571 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Sep 5 11:41:32 2012 83.149.8.111:5571 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Wed Sep 5 11:41:32 2012 83.149.8.111:5571 [avtomoda] Peer Connection Initiated with 83.149.8.111:5571
Wed Sep 5 11:41:32 2012 avtomoda/83.149.8.111:5571 MULTI: Learn: 192.168.255.6 -> avtomoda/83.149.8.111:5571
Wed Sep 5 11:41:32 2012 avtomoda/83.149.8.111:5571 MULTI: primary virtual IP for avtomoda/83.149.8.111:5571: 192.168.255.6
Wed Sep 5 11:41:34 2012 avtomoda/83.149.8.111:5571 PUSH: Received control message: 'PUSH_REQUEST'
Wed Sep 5 11:41:34 2012 avtomoda/83.149.8.111:5571 SENT CONTROL [avtomoda]: 'PUSH_REPLY,.route 192.168.1.0 255.255.255.0.,route 192.168.255.0 255.255.255.0,topology net30,ping 10,ping-restart 60,ifconfig 192.168.255.6 192.168.255.5' (status=1)
Wed Sep 5 11:41:34 2012 avtomoda/83.149.8.111:5571 Connection reset, restarting [0]
Wed Sep 5 11:41:34 2012 avtomoda/83.149.8.111:5571 SIGUSR1[soft,connection-reset] received, client-instance restarting
Wed Sep 5 11:41:34 2012 TCP/UDP: Closing socket
Wed Sep 5 11:48:52 2012 MULTI: multi_create_instance called
Wed Sep 5 11:48:52 2012 Re-using SSL/TLS context
Wed Sep 5 11:48:52 2012 LZO compression initialized
Wed Sep 5 11:48:52 2012 Control Channel MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ]
Wed Sep 5 11:48:52 2012 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Sep 5 11:48:52 2012 Local Options hash (VER=V4): 'c0103fa8'
Wed Sep 5 11:48:52 2012 Expected Remote Options hash (VER=V4): '69109d17'
Wed Sep 5 11:48:52 2012 TCP connection established with 83.149.8.111:10376
Wed Sep 5 11:48:52 2012 TCPv4_SERVER link local: [undef]
Wed Sep 5 11:48:52 2012 TCPv4_SERVER link remote: 83.149.8.111:10376
Wed Sep 5 11:48:52 2012 83.149.8.111:10376 TLS: Initial packet from 83.149.8.111:10376, sid=6b881605 87bae321
Wed Sep 5 11:48:55 2012 83.149.8.111:10376 VERIFY OK: depth=1, /C=RU/ST=MSK/L=Moscow/O=Avtomoda/CN=shmelev/emailAddress=info@avtomoda.su
Wed Sep 5 11:48:55 2012 83.149.8.111:10376 VERIFY OK: depth=0, /C=RU/ST=MSK/O=Avtomoda/CN=avtomoda/emailAddress=info@avtomoda.su
Wed Sep 5 11:48:56 2012 83.149.8.111:10376 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Sep 5 11:48:56 2012 83.149.8.111:10376 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Sep 5 11:48:56 2012 83.149.8.111:10376 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Sep 5 11:48:56 2012 83.149.8.111:10376 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Sep 5 11:48:56 2012 83.149.8.111:10376 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Wed Sep 5 11:48:56 2012 83.149.8.111:10376 [avtomoda] Peer Connection Initiated with 83.149.8.111:10376
Wed Sep 5 11:48:56 2012 avtomoda/83.149.8.111:10376 MULTI: Learn: 192.168.255.6 -> avtomoda/83.149.8.111:10376
Wed Sep 5 11:48:56 2012 avtomoda/83.149.8.111:10376 MULTI: primary virtual IP for avtomoda/83.149.8.111:10376: 192.168.255.6
Wed Sep 5 11:48:58 2012 avtomoda/83.149.8.111:10376 PUSH: Received control message: 'PUSH_REQUEST'
Wed Sep 5 11:48:58 2012 avtomoda/83.149.8.111:10376 SENT CONTROL [avtomoda]: 'PUSH_REPLY,.route 192.168.1.0 255.255.255.0.,route 192.168.255.0 255.255.255.0,topology net30,ping 10,ping-restart 60,ifconfig 192.168.255.6 192.168.255.5' (status=1)
Wed Sep 5 11:48:58 2012 avtomoda/83.149.8.111:10376 Connection reset, restarting [0]
Wed Sep 5 11:48:58 2012 avtomoda/83.149.8.111:10376 SIGUSR1[soft,connection-reset] received, client-instance restarting
Wed Sep 5 11:48:58 2012 TCP/UDP: Closing socket
Wed Sep 5 11:50:22 2012 MULTI: multi_create_instance called
Wed Sep 5 11:50:22 2012 Re-using SSL/TLS context
Wed Sep 5 11:50:22 2012 LZO compression initialized
Wed Sep 5 11:50:22 2012 Control Channel MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ]
Wed Sep 5 11:50:22 2012 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Sep 5 11:50:22 2012 Local Options hash (VER=V4): 'c0103fa8'
Wed Sep 5 11:50:22 2012 Expected Remote Options hash (VER=V4): '69109d17'
Wed Sep 5 11:50:22 2012 TCP connection established with 83.149.8.111:13738
Wed Sep 5 11:50:22 2012 TCPv4_SERVER link local: [undef]
Wed Sep 5 11:50:22 2012 TCPv4_SERVER link remote: 83.149.8.111:13738
Wed Sep 5 11:50:23 2012 83.149.8.111:13738 TLS: Initial packet from 83.149.8.111:13738, sid=b77b783f dd377acc
Wed Sep 5 11:50:26 2012 83.149.8.111:13738 VERIFY OK: depth=1, /C=RU/ST=MSK/L=Moscow/O=Avtomoda/CN=shmelev/emailAddress=info@avtomoda.su
Wed Sep 5 11:50:26 2012 83.149.8.111:13738 VERIFY OK: depth=0, /C=RU/ST=MSK/O=Avtomoda/CN=avtomoda/emailAddress=info@avtomoda.su
Wed Sep 5 11:50:26 2012 83.149.8.111:13738 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Sep 5 11:50:26 2012 83.149.8.111:13738 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Sep 5 11:50:26 2012 83.149.8.111:13738 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Sep 5 11:50:26 2012 83.149.8.111:13738 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Sep 5 11:50:27 2012 83.149.8.111:13738 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Wed Sep 5 11:50:27 2012 83.149.8.111:13738 [avtomoda] Peer Connection Initiated with 83.149.8.111:13738
Wed Sep 5 11:50:27 2012 avtomoda/83.149.8.111:13738 MULTI: Learn: 192.168.255.6 -> avtomoda/83.149.8.111:13738
Wed Sep 5 11:50:27 2012 avtomoda/83.149.8.111:13738 MULTI: primary virtual IP for avtomoda/83.149.8.111:13738: 192.168.255.6
Wed Sep 5 11:50:29 2012 avtomoda/83.149.8.111:13738 PUSH: Received control message: 'PUSH_REQUEST'
Wed Sep 5 11:50:29 2012 avtomoda/83.149.8.111:13738 SENT CONTROL [avtomoda]: 'PUSH_REPLY,.route 192.168.1.0 255.255.255.0.,route 192.168.255.0 255.255.255.0,topology net30,ping 10,ping-restart 60,ifconfig 192.168.255.6 192.168.255.5' (status=1)
Wed Sep 5 11:50:29 2012 avtomoda/83.149.8.111:13738 Connection reset, restarting [0]
Wed Sep 5 11:50:29 2012 avtomoda/83.149.8.111:13738 SIGUSR1[soft,connection-reset] received, client-instance restarting
Wed Sep 5 11:50:29 2012 TCP/UDP: Closing socket
Это что за команда? В инструкциях же нормально, с кавычками написано.Quote:
Originally Posted by avtomoda
И в клиенте:
проблема решается элементарно, первая строчка в результате поиска по данной ошибке.Code:Wed Sep 5 11:50:41 2012 Note: Cannot open TUN/TAP dev /dev/net/tun: No such device (errno=19)
[QUOTE=vectorm;254548]Это что за команда? В инструкциях же нормально, с кавычками написано.
Спасибо не заметил. Помогло.
Но есть еще вопрос:
Роутер который на сервере как будто живет своей жизнью. Добавляю строки в post-firewall, записываю файл, далее flashfs save .
После перезагрузки смотрю файл post-firewall, а моих изменений нет. Такое ощущение что данный файл перезаписывается из какого дампа что ли.
Сам не знаю куда копать.
Так же с настройками сервера:
Там прописано ifconfig 10.8.0.5 10.8.0.6
Смотрю лог сервера, а там соединение пробует установится 10.8.0.1 и 10.8.0.2
Смотрю route:
Здесь открыт тунель 10.8.0.1
Откуда он взялся не понятно. В файле ifconfig его нет.
Я изначально писал igconfig 10.8.0.1 10.8.0.2
Потом посмотрел лог сервера. Он устанавливал соединение 10.8.0.5 и 10.8.0.6
Я исправил файл ifconfig 10.8.0.5 10.8.0.6.
Он все равно пытается установить 10.8.0.1 и открывает туннель в route
Такое ощущение что мои изменения которые я вношу не записываются во флеш и при перезагрузке не подгружаются, а берутся откуда то когда первоначально я из записал.
Даже пока не знаю что делать. Люди добрые подскажите куда копать.
Собственно, никак, бывает тупо глюк винды, когда не видно в сетевом окружении и через некоторое время появляется (именно так и было).Quote:
Originally Posted by MMX2
Если используете Windows XP - обозреватель компьютеров надо отключать при включенном WINS-сервере.
Если все пингуется из разных сетей и заходит по IP/имени, значит ВСЕ настроено верно.
Я делал туннель с удаленным серваком по OpenVPN, при этом сервак был в качестве клиента, а роутер - сервер.
Ставил на сервак самбу во внутреннюю сеть, а также во внутренней сети за серваком на одной из машин ставил еще одну самбу. Клиенты за роутером видели также те машины и могли соединиться, но они появлялись не сразу в сетевом окружении. Иногда вообще приходилось ребутить комп. Проще было по имени зайти.
Samba на роутере установлена из Entware samba36-server, НЕ из прошивки.
Конфигурация вот такая:
OpenVPN сеть
10.100.0.0/24
Роутер:
OpenVPN - 10.100.0.1, интерфейс OpenVPN tun5
Внутренняя сеть OpenVPN роутера - 192.168.1.0/24
Правила iptables на роутере:
OpenVPN server.confCode:iptables -I FORWARD -i tun5 -o br0 -j ACCEPT
iptables -I FORWARD -i br0 -o tun5 -j ACCEPT
iptables -I INPUT -i tun5 -j ACCEPT
iptables -t nat -I POSTROUTING -s 10.100.0.0/24 -d 192.168.1.0/24 -o br0 -j MASQUERADE
iptables -t nat -I POSTROUTING -s 192.168.1.0/24 -d 192.168.100.0/24 -o tun5 -j MASQUERADE
/opt/etc/openvpn/ccd/client1Code:dev tun5
local 192.168.1.1
server 10.100.0.0 255.255.255.0
key keys/server.key
ca keys/ca.crt
cert keys/server.crt
dh keys/dh1024.pem
ifconfig-pool-persist ipp.txt
proto udp
port 28800
comp-lzo
mssfix 1430
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
push "route 192.168.100.0 255.255.255.0"
push "route 192.168.1.0 255.255.255.0"
route 192.168.100.0 255.255.255.0
;to make routes from clients work
client-to-client
daemon
verb 3
log server.log
;for static ip addresses
client-config-dir /opt/etc/openvpn/ccd
Samba server smb.conf:Code:ifconfig-push 10.100.0.2 10.100.0.1
iroute 192.168.100.0/24 255.255.255.0
Клиент:Code:[global]
workgroup = WORKGROUP
netbios name = router
comment = router
server string = router's lair
load printers = no
show add printer wizard = no
printing = no
printcap name = /dev/null
disable spoolss = yes
log file = /opt/var/log/samba/log.%m
max log size = 50
hosts allow = 127.0.0.1, 192.168.1.0/24 192.168.100.0/24 10.100.0.0/24
map to guest = bad user
guest account = nobody
security = user
oplocks = no
level 2 oplocks = no
encrypt passwords = true
username map = /opt/etc/samba/smbusers
obey pam restrictions = yes
socket options = TCP_NODELAY IPTOS_LOWDELAY
aio read size = 16384
interfaces = 192.168.1.0/24 127. tun5 10.100.0.0/24 192.168.100.0/24
bind interfaces only = no
remote browse sync = 192.168.1.255 127. 10.100.0.255 192.168.100.1 192.168.100.255
remote announce = 192.168.1.255 127. 10.100.0.255 192.168.100.1 192.168.100.255
local master = yes
os level = 99
domain master = yes
preferred master = yes
null passwords = yes
passdb backend = smbpasswd
name resolve order = wins lmhosts hosts bcast
wins support = yes
dns proxy = no
case sensitive = no
dos charset = 866
unix charset = UTF8
restrict anonymous = no
acl compatibility = winnt
[testshare]
comment = tmp
path = /opt/tmp
guest ok = yes
browseable = yes
OpenVPN - 10.100.0.2, интерфейс OpenVPN tun2
Внутренняя сеть OpenVPN клиента - 192.168.100.0/24
Правила iptables на клиенте:
OpenVPN client.conf:Code:iptables -I FORWARD -i tun2 -o br0 -j ACCEPT
iptables -I FORWARD -i br0 -o tun2 -j ACCEPT
iptables -I INPUT -i tun2 -j ACCEPT
iptables -t nat -I POSTROUTING -s 10.100.0.0/24 -d 192.168.100.0/24 -o br0 -j MASQUERADE
iptables -t nat -I POSTROUTING -s 192.168.100.0/24 -d 192.168.1.0/24 -o tun2 -j MASQUERADE
Samba client smb.conf:Code:dev tun2
client
remote x.y.z.c
proto udp
port 28800
daemon
key keys/client1.key
cert keys/client1.crt
ca keys/ca.crt
ns-cert-type server
comp-lzo
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
resolv-retry infinite
mssfix 1430
nobind
log client.log
verb 3
daemon
pull
Code:[global]
workgroup = WORKGROUP
server string = %h server
netbios name = testsrv
wins support = no
wins server = 192.168.1.1
wins proxy = yes
dns proxy = no
local master = yes
interfaces = 127.0.0.0/8 10.100.0.0/24 192.168.100.1
log file = /var/log/samba/log.%m
max log size = 1000
syslog = 0
security = share
encrypt passwords = true
passdb backend = tdbsam
obey pam restrictions = yes
[cdrom]
comment = Samba server's CD-ROM
read only = yes
locking = no
path = /mnt/cdrom
guest ok = yes
Разница между tap и tun состоит в том, что tap - используется в том случае, если нужен bridge интерфейсов, tun - для routed (tap также можно использовать для routed-network, но не советуют, если есть возможность, то лучше tun). tap - единственный драйвер для windows также под OpenVPN, tun в win нету.Quote:
1. Подумалось мне тут, а можно ли обойтись без разделения на подсети в моем случае?
Соединить надо дачу и дом, на даче 4 устройства, дома 6. Т.е. меньше 255. Сейчас на даче подсеть 192.168.2.0, дома 192.168.1.0.
Можно ли соединить посредством OpenVPN все это не разделяя на подсети, т.к. чтобы все устройства были в сети 192.16.1.0 255.255.255.0?
Прямого ответа на этот вопрос не нашел. Если это можно реализовать, то какой тогда интерфейс использовать - TUN или TAP?
Какие дополнительные настройки (отличные от организации "обычного" тоннеля) требуются?
2. Сейчас все настроено четерз TUN и поднят WINS сервер (см. выше).
Разделить подсети можно, но нужно будет продумывать тогда момент ограничения и разбиения подсети 192.168.1.0/24 и соответственно роутинга ее части через второй роутер, перенастроить DHCP.
В случае TAP нужно будет читать http://openvpn.net/index.php/open-so...-bridging.html и настраивать по-другому.
Из минусов TAP - у вас будут попадать пакеты также из внутренних сетей в туннель. (подробнее читайте ответ - http://serverfault.com/questions/211...un-for-openvpn)
Товарищи, помогите понять как на альтернативной прошивке поднять туннель PPTP/L2TP до железки D-link DFL260e.
Что имею.
1) Asus RT-N10U B прошитый RT-N10U-1.9.2.7-rtn-r4667.trx
2) Мегафон модем E392 подключен к п.1 (IP адрес само собой "серый", услугу выделенного динамического пока не включал.. да и не надо оно имхо)
3) D-Link DFL-260e с настроенным на нём сервером PPTP/L2TP, стоит в центральном офисе, IP белый - виндовые клиенты отлично подключаются
Можно ли штатными средствами альтернативной прошивки поднять туннель от асуса к длинку?
Нужно ли ставить OpenVPN или что то подобное? Может решение где то на поверхности?
Задача иметь доступ к устройствам за асусом и наоборот.
Да, и на случай установки доп софта - в Е392 есть разъем под microSD, имеет смысл пробовать туда что то ставить или сразу думать об отдельной флэшке через какой нибудь хаб?
Заранее спасибо.
Требуется помощь коллективного разума!
Имею RT-N16, в который раньше был воткнут 3G модем от мегафона. На RT-N16 был настроен OpenVPN клиент, который отлично работал. Заменил модем на Yota LTE и началась свистопляска: клиент подключается, но при нагрузке на канал через пару минут пакеты идти перестают (хотя не vpn соединения работают) и клиент переподключается по таймауту. MTU, подумал Штирлиц. Уменьшил и на сервере и на клиенте до 1300. Те же грабли.
Перенес сервер с 80-го порта на 1196 - стало еще хуже, рвется мгновенно. При этом, если с того же сервера качать файл не через VPN, а по фтп, то все отлично.
Версию с питанием модема проверил - воткнул его в USB хаб с БП. Не помогло.
При этом в логе RT-N16 все чисто - не видно никаких переподключений йотовского модема.
Что это может быть? Готов рассмотреть и проверить любые гипотезы.
Может ли вообще OpenVPN работать поверх Yota LTE модема или тот своим натом все зарезает?
Пока конфиги не стал выкладывать, дабы не засорять форум. Готов выложить что угодно по мере необходимости.
Всем заранее спасибо!
Целый день мучений и глюк, наконец, побежден, но причины его появление все еще не ясны.
Поменял сервер - соединение падает под нагрузкой.
Поменял устройство с TAP на TUN и настроил маршрутизацию - соединение все равно падает под нагрузкой.
Поменял клиента на ноут с дебианом, но с одинаковыми настройками OpenVPN. РАБОТАЕТ! Никаких проблем и разрывов. Значит дело в асусе?
Начал копать дальше. Перенес OpenVPN с TCP на UDP - проблема исчезла!
Т.е. при использовании модема Yota LTE невозможно поднять OpenVPN по TCP на асусе (прошивка 4667)? При этом, если канал не загружать (ничем кроме пингов), то он у меня спокойно продержался всю ночь, до первой попытки перекинуть файл. В чем может быть причина? Проблема явно на стороне асуса, т.к. под дебианом все работало поверх TCP без проблем.
Сейчас с UDP соединение (тьфу*3) стабильное.
пробовали перешивать модем на последнюю прошивку (yota-вский) ?Quote:
Originally Posted by MMX2
возможно проблема в проводе или питании USB модема от роутера.
смотрите dmesg - нету там отваливаний модема?
можно попробовать более старую прошивку (напр. r3497)