[OpenVPN - недоступна подсеть за клиентом]

47 minutes ago, ndm said:

см. 2.12.A.4.0-9.

 

4 hours ago, r13 said:

Ну тогда просто подождем ближайший драфт и сравните на нем может поправится. 

Новая прошивка не помогла. Я немножко поисследовал проблему. 

Пинги идут из подсети сервера, на роутере-клиенте пинги есть, направление верное, но от адресата ответа нет. 
Вайршарком на конечной машине пинги видно, но "no responce found".

Роутинг на конечной машине.

C:\Users\psychov>route print 
=========================================================================== 
Interface List 
15...58 fb 84 9d 42 e3 ......Intel(R) Dual Band Wireless-AC 3165 
11...fc 45 96 26 dd fa ......Realtek PCIe GBE Family Controller 
1...........................Software Loopback Interface 1 
16...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface 
18...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter 
17...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2 
===========================================================================

IPv4 Route Table 
=========================================================================== 
Active Routes: 
Network Destination Netmask Gateway Interface Metric 
0.0.0.0 0.0.0.0 192.168.5.1 192.168.5.235 20 
0.0.0.0 0.0.0.0 192.168.5.1 192.168.5.228 25 
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306 
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306 
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306 
192.168.5.0 255.255.255.0 On-link 192.168.5.235 276 
192.168.5.0 255.255.255.0 On-link 192.168.5.228 281 
192.168.5.228 255.255.255.255 On-link 192.168.5.228 281 
192.168.5.235 255.255.255.255 On-link 192.168.5.235 276 
192.168.5.255 255.255.255.255 On-link 192.168.5.235 276 
192.168.5.255 255.255.255.255 On-link 192.168.5.228 281 
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306 
224.0.0.0 240.0.0.0 On-link 192.168.5.235 276 
224.0.0.0 240.0.0.0 On-link 192.168.5.228 281 
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306 
255.255.255.255 255.255.255.255 On-link 192.168.5.235 276 
255.255.255.255 255.255.255.255 On-link 192.168.5.228 281 
=========================================================================== 
Persistent Routes: 
None

 

[OpenVPN - недоступна подсеть за клиентом]

4 minutes ago, r13 said:

В ccd тоже все ок? По логу при коннекте конфиги из ccd подтягиваются?

зы раз хоть до одного устройсва в локалке клиента есть доступ надо смотреть что там в локалке. 

в ccd стандартно iroute 192.168.*.0 255.255.255.0

А в локалке я, честно говоря, не знаю, что может быть не так. Стоял до К-1010 Асус Олеговской прошивкой и OpenVPN. 

Все ходило, все работало. Поставил Кинетик, начался геморрой. На стороне клиентов в подсетках вообще ничего не менялось. Только на самих клиентах шифрование поменяли да ключи.

[OpenVPN - недоступна подсеть за клиентом]

2 hours ago, r13 said:

Здесь можно только угадывать, если это точно не firewall на конечных устройствах, то еще я бы посмотрел на таблицу маршрутизации на конечных устройствах, ну и пакеты в lan клиентов бы поснимал бы. 

Я пришел к мнению, что это либо глюк, либо баг.

при вот таком конфиге

topology subnet
server 10.8.0.0 255.255.255.0
client-to-client
client-config-dir /storage
route 192.168.2.0 255.255.255.0
route 192.168.3.0 255.255.255.0
route 192.168.4.0 255.255.255.0
route 192.168.5.0 255.255.255.0
route 192.168.6.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.2.0 255.255.255.0"
push "route 192.168.3.0 255.255.255.0"
push "route 192.168.4.0 255.255.255.0"
push "route 192.168.5.0 255.255.255.0"
push "route 192.168.6.0 255.255.255.0"

поднимаются маршруты

192.168.1.0/24	0.0.0.0	Home
10.131.116.0/22	0.0.0.0	ISP
192.168.6.0/24	10.8.0.2	OpenVPN0
192.168.5.0/24	10.8.0.2	OpenVPN0
192.168.4.0/24	10.8.0.2	OpenVPN0
192.168.3.0/24	10.8.0.2	OpenVPN0
192.168.2.0/24	10.8.0.2	OpenVPN0
10.8.0.0/24	0.0.0.0	OpenVPN0

Пробовал удалять маршрут из конфига и писать его статикой через морду, шлюз подставляется верный, результат нулевой.

 

[OpenVPN - недоступна подсеть за клиентом]

19 hours ago, r13 said:

Актуальная 2.12 на сервере и релизная 2.11 на клиенте стоят.

Может быть вы сможете подсказать?

Инженерно все завелось, все работает, но в наличии странная ситуация.

От сервера сами клиенты пингуются, в сетях клиентов часть пингуется (это IP-телефон), остальное не пингуется. Причем, это во всех подсетях клиентов. С самих клиентов в их подсетях пингуется всё. Файрволлы везде поотключал.

 

Что это может быть? Уже глаз замылился и дергается.

[OpenVPN - недоступна подсеть за клиентом]

2 hours ago, r13 said:

Собрал стенд, воспроизвел инструкцию.

Все работает. Сети за сервером и клиентом доступны друг другу.

О, я тоже попробую, а какая прошивка?

 

UPD. У меня пять первых клиентов поднялись, все видно,спасибо за помощь.

 

[OpenVPN - недоступна подсеть за клиентом]

13 minutes ago, Le ecureuil said:

К сожалению, даже ТС неосилил это мануал  Потому все же сделем лицом к пользователям.

вы меня, конечно, простите, но ТС осилил и этот мануал, и перечитал все остальное. Т.к. кинетик покупался с целью не ходить в CLI и не писать туда старт-скрипты и прочие дроп реджекты и маскарады, то я просто жду развития событий.

Асус, который сдох, и вместо которого и был куплен Кинетик был настроен именно так - с ccd, iroute и т.д. Правда, версия была старовата, в последних версиях OpenVPN, когда в хидерах знаки поменялись, перестали клиенты ходить, да мне и не надо было.

[OpenVPN - недоступна подсеть за клиентом]

10 minutes ago, Le ecureuil said:

Между двумя кинетиками-клиентами, подключенными к одному серверу, у каждого из которых своя подсеть за ним и каждому настроен iroute - все работает уже сейчас. Однако от сервера к этим подсетям пока доступа нет - это было недоделано. Именно этот сценарий как раз проявляется у вас.

в общем, на текущий момент ответ — никак. Т.е., полноценного сервера не получить, в лучшем случае точка-точка, только соединение двух (и не более) подсетей, как мне ответили в саппорте, я правильно понимаю?

[OpenVPN - недоступна подсеть за клиентом]

7 minutes ago, Le ecureuil said:

Раздел /storage есть на любом устройстве с USB-портом, даже если порты не используются. Он обычно пустой, и предназначен в первую очередь для драйверов принтеров. Однако, мы его со спокойной совестью можем использовать для ccd.

Да, делаем стандартно, как в большом OpenVPN.

Залить файл можно через Web - идите в просмотр файлов, выбираете раздел storage, и заливаете туда файл.

Насчет iroute в прошивке - это уже в следующем релизе, потому что еще нужно с PKI разобраться.

Спасибо за подробное объяснение. Просмотра файлов это тут (картинка)? Как тут пойти в просмотр? Извините за дурацкий вопрос.

>То есть между клиентами связь есть, а от сервера к клиентам (если за клиентами подсети какие-то) без ручной настройки не заведется.

Т.е., если имеем клиента 192.168.х.0/24, то при пуше маршрутов из iroute сервера будет видна сеть 192.168.х.0/24 или нет? В текущих прошивках это можно как-то сделать вообще?

[OpenVPN - недоступна подсеть за клиентом]

Про /storage. Если я правильно понимаю, то все файлы, которые показываются в веб-интерфейсе, лежат в /flash

Т.е., руками создаем там где-то папочку, и кладем ccd? Вопрос - где его создавать. Оно при перезагрузке не удалится?

Как положить каталог/файлы из веб-морды?

[OpenVPN - недоступна подсеть за клиентом]

Вот, что мне ответил сегодня саппорт.

Quote

Добрый день Павел.

Да я попробовал с вашими конфигурациями OpenVPN. Описываемая проблема существует.
Ее нет, если использовать топологию не сервер, а точка-точка, т.е. указать в конфиге сервера:
tls-server
ifconfig 10.8.0.1 10.8.0.2
вместо 
server 10.8.0.0 255.255.255.0
client-to-client
topology subnet
а на клиенте:
tls-client
ifconfig 10.8.0.2 10.8.0.1
вместо
client
и задать на клиенте маршрут в сеть сервера, а push на стороне сервера соответственно убрать
У меня такая конфигурация изначально и работала, поэтому удивился, что у вас не работает. Даже еще проще была ,без сертификатов и tls, как в первой части: https://help.keenetic.net/hc/ru/articles/115005822629,
Почему доступа нет в топологии сервер пока разбираюсь, вероятно потребуется настройка вроде этой: 
https://community.openvpn.net/openvpn/wiki/RoutedLans






 

ifconfig 10.8.0.2 10.8.0.1

 

С уважением,
служба поддержки.

По клиент-клиент более-менее понятно.

А по ccd на стр. 1 r13 говорил, что раздел /storage есть в дефолте на 1010, и не надо USB-девайсов.

По iroute - делаем стандартно, как в большом OpevVPN?

> - залить ccd-файл клиента в storage можно даже через web.

Можно тут подробнее?

На мой взгляд, если делать в прошивке iroute, то надо это тоже выносить в веб-морду.

Давайте обсудим.

[OpenVPN - недоступна подсеть за клиентом]

Получилось (но это не точно ). А то в еще одной теме просто вся тема удалилась.

[OpenVPN - недоступна подсеть за клиентом]

On 3/16/2018 at 12:10 PM, Le ecureuil said:

@Pablo уважаемый, вы уже решили проблему? Нет желания досвести до конца?

Пока бодаемся с саппортом, находимся ровно на той же стадии. Если хотите, пришлю селфтесты, скажите, куда.

Айсолэйт-прайвит не помог.

[Клиент Астериск за клиентом Keenetic Start KN-1110 Retransmission timeout reached on transmission]

2 hours ago, KorDen said:

Попробуйте для начала поиграться с установкой-удалением SIP ALG со стороны клиента

конечно, пробовал, ноль эмоций, результат тот же.

[Клиент Астериск за клиентом Keenetic Start KN-1110 Retransmission timeout reached on transmission]

Добрый день.
Заменил предыдущий роутер на Keenetic Start KN-1110 (2.11.C.0.0-1), настроил IPSec VPN до N-1010( 2.10.C.2.0-4, за ним сервер Астериск). С выключенным туннелем картина та же, просто для общей информации.

На клиенте Астериска стали дропаться вызовы - входящие и исходящие через время=retransmission timeout. Астериск-клиент подключается мимо туннелля, напрямую на внешний IP N-1010

в логе Астериска, соответственно,

[2018-03-11 18:43:58] DEBUG[63821] chan_sip.c: Destroying SIP dialog 2cb70d2e5ebbdde37ac3b52560efd129@x.y.2.236:5060
[2018-03-11 18:43:59] DEBUG[63821] chan_sip.c: ** SIP timers: Rescheduling retransmission 6 to 3200 ms (t1 100 ms (Retrans id #3938))
[2018-03-11 18:43:59] DEBUG[63821] chan_sip.c: Trying to put 'SIP/2.0 200' onto UDP socket destined for 109.248.174.225:35000
[2018-03-11 18:43:59] DEBUG[65375] manager.c: Running action 'Login'
[2018-03-11 18:43:59] DEBUG[63821] chan_sip.c: ** SIP timers: Rescheduling retransmission 5 to 4000 ms (t1 500 ms (Retrans id #3912))
[2018-03-11 18:43:59] DEBUG[63821] chan_sip.c: Trying to put 'REGISTER si' onto UDP socket destined for 188.246.162.118:5060
[2018-03-11 18:44:01] DEBUG[65384] manager.c: Running action 'Login'
[2018-03-11 18:44:02] DEBUG[63821] chan_sip.c: ** SIP timers: Rescheduling retransmission 7 to 4000 ms (t1 100 ms (Retrans id #3938))
[2018-03-11 18:44:02] DEBUG[63821] chan_sip.c: Trying to put 'SIP/2.0 200' onto UDP socket destined for 109.248.174.225:35000
[2018-03-11 18:44:02] WARNING[63821] chan_sip.c: Retransmission timeout reached on transmission 2036724461@192_168_2_66 for seqno 3 (Critical Response) -- See https://wiki.asterisk.org/wiki/display/AST/SIP+Retransmissions
Packet timed out after 6399ms with no response
[2018-03-11 18:44:02] WARNING[63821] chan_sip.c: Hanging up call 2036724461@192_168_2_66 - no reply to our critical packet (see https://wiki.asterisk.org/wiki/display/AST/SIP+Retransmissions).
[2018-03-11 18:44:02] DEBUG[65369] channel.c: Didn't get a frame from channel: SIP/100-00000010
[2018-03-11 18:44:02] DEBUG[65369] res_rtp_asterisk.c: Setting the marker bit due to a source update
[2018-03-11 18:44:02] DEBUG[65369] channel.c: Bridge stops bridging channels SIP/100-00000010 and SIP/904-00000011
[2018-03-11 18:44:02] DEBUG[65369] channel.c: Soft-Hanging up channel 'SIP/100-00000010'
[2018-03-11 18:44:02] DEBUG[65369] pbx.c: Launching 'Macro'
[2018-03-11 18:44:02] VERBOSE[65369] pbx.c: -- Executing [h@macro-dial-one:1] Macro("SIP/100-00000010", "hangupcall,") in new stack

На сервере все порты прокинуты, т.к., кроме этого клиента без нареканий работают еще четыре клиента. У всех одна конфигурация, все Сименсы Гигасеты.

В связи с этим возникает вопрос, что докрутить в настройке клиента Кинетик Старт, чтобы он нормально пропускал ACK (мне кажется, что вопрос именно в этом)?

Спасибо.

[Работает одна трубка из двух]

Я случайно удалил/скрыл свой прошлый пост.

Линия 903 не работает 904 работает на исходящие (self-test)

Линия 903 отваливается на входящих через пять секунд (self-test-2)

А в этом прилагаю тесты.

 

UPD. Но у меня нету тут опции "Настройки", как вложить и скрыть файлы?

 

 

[OpenVPN - недоступна подсеть за клиентом]

On 3/5/2018 at 9:05 PM, dexter said:

На клиенте "no isolate-private" и security-level private не забыли?

а я не знаю, что это и где это написать.

[OpenVPN - недоступна подсеть за клиентом]

Господа, я сейчас специально купил Кинетик Старт, поднял  на нем клиента, от него вижу подсеть за сервером, от сервера клиент кинетик не виден.

Возникает вопрос, это у меня кривые руки или не у меня.

[OpenVPN - недоступна подсеть за клиентом]

28 minutes ago, r13 said:

Может таки firewall на асусе?

Вообще все отключено. И он не один такой, их несколько, никуда не идет.

[OpenVPN - недоступна подсеть за клиентом]

Я боюсь, что и CCD не поможет, тут, по ходу, вопрос не в маршрутизации.

Сверхъестественное что-то.

[OpenVPN - недоступна подсеть за клиентом]

6 minutes ago, dexter said:

Тогда ничего не понятно.

До ОVPN клиента пакет дошел, мы его увидели на интерфейсе, но вот на br0(или, что там у асуса мы его не увидели) его уже нет, а это форвард внутри асуса должен работать.

Мне тоже непонятно, тем более, что пакеты в обратную сторону ходят с асуса и из подсети.

/home/root # traceroute 192.168.1.11
traceroute to 192.168.1.11 (192.168.1.11), 30 hops max, 38 byte packets
 1  10.8.0.1 (10.8.0.1)  49.872 ms  44.314 ms  64.646 ms
 2  192.168.1.11 (192.168.1.11)  63.771 ms  39.631 ms  66.036 ms

 

C:\Users\psychov>tracert 192.168.1.11

Трассировка маршрута к HPMICROSERVER [192.168.1.11]
с максимальным числом прыжков 30:

  1    <1 мс    <1 мс    <1 мс  mi_zhp5 [192.168.6.1]
  2    37 ms    39 ms    43 ms  10.8.0.1
  3    89 ms    86 ms    69 ms  HPMICROSERVER [192.168.1.11]

Трассировка завершена.
                                           

Что делать, ума не приложу.

[OpenVPN - недоступна подсеть за клиентом]

Да, еще хочу добавить, вчера пробовал на Асусе сделать вообще фулл ACCEPT, безрезультатно, на 10.8.0.3. идут пакеты, на 192.168.6.1 - нет.

[OpenVPN - недоступна подсеть за клиентом]

3 minutes ago, dexter said:

Так, на асусе есть возможность через ssh прописать:

iptables -I INPUT -i tun0 -j ACCEPT
iptables -I FORWARD -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -j ACCEPT

Перед там как писать tun0 нужно узнать с каким он там номером создался.

 

Что в Кинетике отменить или разрешить хотите, не понял вопроса.

 

 

Я предположил, что пакеты идут с маркером private от Кинетика, а Асус их не роутит поэтому.

Можно ли сделать так, чтобы убрать эти маркеры, и Асус роутил?

Да, хочу добавить. Кинетик был куплен взамен сдохшего Асуса, на котором был поднят OpenVPN 2.2.0, все прекрасно работало.

Конфигурации клиентов в данном случае не менялись, за исключением сертификатов. Поэтому есть неиллюзорная вероятность, что вопрос не в IPTABLES

 

[OpenVPN - недоступна подсеть за клиентом]

4 minutes ago, dexter said:

На клиенте " no isolate-private" пропишите.

легко сказать, там асус какой-то с падавановской прошивкой. 

А в Кинетике это отменить или разрешить можно как-то? А то этих клиентов сильно больше, чем один.

Есть такая возможность?

[OpenVPN - недоступна подсеть за клиентом]

4 minutes ago, dexter said:

Т.е. режется фаерволом кинетика? У Ovpn интерфейса параметр security-level существует?(Я не поднимал никогда прошивочный Ovpn, а из пакетов у меня работал корректно. Отключен сейчас за ненадобностью т.к. есть туннели.)

 

Я не очень разбираюсь в командах Кинетика, хотя чем-то похоже на IOS цисковский.

Настраивал по мануалу с офсайта, в конце дисциплинированно сделал

interface OpenVPN0 no ip global
interface OpenVPN0 security-level private

 

system configuration save

 

Может, так не надо было?

[OpenVPN - недоступна подсеть за клиентом]

6 minutes ago, dexter said:

У вас трасса на роутере оборвалась. С tcpdump дружите, если его из консоли запустить на нужных интерфейсах. Нужен ssh для этого будет.

запускали, конец туннеля пинги ловит (10.8.0.3), но на 192.168.6.1 не приходит абсолютно ничего. Все файрволы и прочее, естественно, выключены.