Наткнулся на интересный проект - http://www.softether.org/
скоро должен стать open source.
Сравнение по скорости с OpenVPN:
Надеюсь, что он действительно стоящий и будет иметь применение на наших с вами роутерах.
Уже было и на этом форуме, и в issue 406 - после r5099 временно надо отключать fastNAT.
на r5297 с отключенным fastnat openvpn/tun на первый взгляд работает, как и прежде.
неожиданно не смог собрать openvpn 2.3.2 - перекроенный авторами configure не находит либы ssl. развёрнутый тут же openvpn 2.2.2 конфигурится, собирается и работает без проблем.
либы openssl 1.0.1e на месте:
конфигурю openvpn так:Code:-rw-r--r-- 1 4096826 Oct 15 21:05 /opt/brcm/hndtools-mipsel-uclibc/lib/libcrypto.a -rw-r--r-- 1 681998 Oct 15 21:05 /opt/brcm/hndtools-mipsel-uclibc/lib/libssl.a
в результате получаю: https://gist.github.com/anonymous/a4.../gistfile1.txtCode:AR=/opt/brcm/hndtools-mipsel-uclibc/bin/mipsel-uclibc-ar \ AS=/opt/brcm/hndtools-mipsel-uclibc/bin/bin/mipsel-uclibc-as \ LD=/opt/brcm/hndtools-mipsel-uclibc/bin/mipsel-uclibc-ld \ NM=/opt/brcm/hndtools-mipsel-uclibc/bin/mipsel-uclibc-nm \ CC=/opt/brcm/hndtools-mipsel-uclibc/bin/mipsel-uclibc-gcc \ CPP="/opt/brcm/hndtools-mipsel-uclibc/bin/mipsel-uclibc-gcc -E" \ GCC=/opt/brcm/hndtools-mipsel-uclibc/bin/mipsel-uclibc-gcc \ CXX=/opt/brcm/hndtools-mipsel-uclibc/bin/mipsel-uclibc-g++ \ RANLIB=/opt/brcm/hndtools-mipsel-uclibc/bin/mipsel-uclibc-ranlib \ STRIP=/opt/brcm/hndtools-mipsel-uclibc/bin/mipsel-uclibc-strip \ CFLAGS=" -O -ffunction-sections -fdata-sections " \ LDFLAGS="-Wl,-rpath,/opt/brcm/hndtools-mipsel-uclibc,-gc-sections" \ ./configure \ --host=mipsel-linux \ --target=mipsel-linux \ --with-crypto-library=openssl \ --disable-selinux \ --disable-plugins \ --disable-eurephia \ --disable-management \ --disable-debug \ --disable-socks \ --enable-small \ --disable-pkcs11
config.log: https://gist.github.com/anonymous/5d.../gistfile1.txt
подскажите, куда копнуть?
а как правильно?
штатный make install сложил собранные openssl и lzo в тулчейн, и раньше проблем это не создавало. смотрел я невнимательно, но, вроде бы, файлы ни в include, ни в lib не перезаписывались.
для простоты сборка openvpn и прочих нужных штук у меня происходит отдельно от сборки прошивки. я просто кладу бинарники в gateway/others
Last edited by oblikoamorale; 17-10-2013 at 16:04.
Здравствуйте!
Установил сервер OpenVPN (openvpn-openssl) на роутер wl500gp (прошивка 1.9.2.7-rtn-r5066).
На удаленной машине Win7 соответственно клиент.
Подключение извне вроде происходит нормально, но сайты некоторые вообще не открываются, некоторые открываются с трудом, в общем все тормозит.
К странице роутера подключиться не удается.
Из локалки вообще не хочет подключаться.
В логе роутера такие строки:
post-firewall:Code:Oct 29 12:57:48 openvpn[395]: TCP connection established with [AF_INET]хх.хх.хх.130:55938 Oct 29 12:57:48 openvpn[395]: TCPv4_SERVER link local (bound): [undef] Oct 29 12:57:48 openvpn[395]: TCPv4_SERVER link remote: [AF_INET]хх.хх.хх.130:55938 Oct 29 12:57:48 openvpn[395]: WARNING: Bad encapsulated packet length from peer (5635), which must be > 0 and <= 1546 -- please ensure that --tun-mtu or --link-mtu is equal on both peers -- this condition could also indicate a possible active attack on the TCP link -- [Attempting restart...] Oct 29 12:57:48 openvpn[395]: Connection reset, restarting [0] Oct 29 12:57:48 openvpn[395]: /sbin/ifconfig tun0 0.0.0.0 Oct 29 12:57:48 openvpn[395]: SIGUSR1[soft,connection-reset] received, process restarting Oct 29 12:57:49 openvpn[395]: TUN/TAP device tun0 opened Oct 29 12:57:49 openvpn[395]: do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0 Oct 29 12:57:49 openvpn[395]: /sbin/ifconfig tun0 10.8.0.2 pointopoint 10.8.0.1 mtu 1500 Oct 29 12:57:49 openvpn[395]: Listening for incoming TCP connection on [undef]
конфиг сервера:Code:#!/bin/sh vpnPort=443 vpnProto=tcp vpnDevice=tun0 iptables -P INPUT DROP iptables -D INPUT -j DROP iptables -A INPUT -p $vpnProto --dport $vpnPort --tcp-flags FIN,SYN,RST,ACK SYN -j BRUTE iptables -A INPUT -p $vpnProto --dport $vpnPort -j ACCEPT iptables -I INPUT -i $vpnDevice -j ACCEPT iptables -I FORWARD -i $vpnDevice -j ACCEPT iptables -I FORWARD -o $vpnDevice -j ACCEPT iptables -I OUTPUT -o $vpnDevice -j ACCEPT
конфиг клиента:Code:proto tcp-server dev tun0 port 443 ifconfig 10.8.0.2 10.8.0.1 keepalive 10 120 secret static.key
Куда копать, что посоветуете?Code:remote myhost.dlinkddns.com 443 dev tun0 secret static.key proto tcp-client ifconfig 10.8.0.2 10.8.0.1 redirect-gateway
P.S.
Вышеуказанный лог похоже показывает какое-то чужое подключение...
Вот лог точно моего:
Клиент подключается, но сайты не открываются, к веб-интерфейсу роутера 192.168.1.1 также достучаться не могу.Code:Oct 29 15:02:42 openvpn[395]: TCP connection established with [AF_INET]188.хх.хх.242:33030 Oct 29 15:02:42 openvpn[395]: TCPv4_SERVER link local (bound): [undef] Oct 29 15:02:42 openvpn[395]: TCPv4_SERVER link remote: [AF_INET]188.хх.хх.242:33030 Oct 29 15:02:42 openvpn[395]: Peer Connection Initiated with [AF_INET]188.хх.хх.242:33030 Oct 29 15:02:43 openvpn[395]: Initialization Sequence Completed Oct 29 15:12:39 openvpn[395]: Connection reset, restarting [0] Oct 29 15:12:39 openvpn[395]: /sbin/ifconfig tun0 0.0.0.0 Oct 29 15:12:40 openvpn[395]: SIGUSR1[soft,connection-reset] received, process restarting Oct 29 15:12:41 openvpn[395]: TUN/TAP device tun0 opened Oct 29 15:12:41 openvpn[395]: do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0 Oct 29 15:12:41 openvpn[395]: /sbin/ifconfig tun0 10.8.0.2 pointopoint 10.8.0.1 mtu 1500 Oct 29 15:12:41 openvpn[395]: Listening for incoming TCP connection on [undef]
Last edited by konnmor; 29-10-2013 at 12:31.
Вроде нашел в чем косяк - в конфигах сервера и клиента строка ifconfig 10.8.0.2 10.8.0.1
была одинаковая. Поменял местами IP у клиента и всё заработало. Почти.
В локалку за роутером удаленно с клиента теперь захожу нормально. Но сайты открываются только разрешенные админом. Те, которые блокировались на стороне клиента без vpn так и блокируются c vpn.
В связи с этим вопрос - получается мой трафик в vpn-туннеле далеко не приватен, раз он всё-таки фильтруется? Или я где-то не включил шифрование? Зачем тогда создавался statiс.key?
Проверял настройки Firefox - вышеуказанный параметр true.
Пробовал установить DNS принудительно в настройках соединения tun0 - 10.8.0.2 и 8.8.8.8. Результат отрицательный, корпоративная защита по прежнему блокирует запрещенные сайты. Может быть с помощью Openvpn в нашей корпоративной сети её нельзя обойти в принципе? Уточню, что на клиентском компе системные настройки хранятся на сервере организации, выход в инет через ISA прокси. Из плюсов - права у меня админские. Кстати, через ТОР абсолютно все сайты доступны, всё работает (putty, WinSCP).