Jump to content

drk

Forum Members
 View Profile  See their activity

  • Posts

    16

  • Joined

  • Last visited

 Content Type 

Posts posted by drk

    Вопросы по интеграции OpenVPN в NDMS

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted · Edited by drk

    52 minutes ago, loginella said:

    Она его и включает.

    То есть нет галки  на "Использовать для выхода в интернет" - NAT не включен.

     "Использовать для выхода в интернет" не включал. Почему же тогда возникла ситуация, за помощь в решении которой я Le ecureuil бесконечно благодарен?

     

    Вопросы по интеграции OpenVPN в NDMS

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted

    27 minutes ago, Le ecureuil said:

    А что мы на этом форуме обсуждаем?

    Логично. Кинетик.

    On 4/22/2022 at 2:56 PM, Le ecureuil said:

    это дефолтная настройка при создании любого клиентского VPN-соединения.

    В настройках VPN-соединений есть настройка "Использовать для выхода в интернет" Разве не она должна включать NAT?

     

    Не добавляется kn-1810 данные верны, причем ретранслятор в сети kn1810 добавился без проблем

    in Бета-тестирование

    Posted

    13 hours ago, Julia Rybakova said:

    Попробуйте как я написала выше. Если что - пройдем по шагам что не так

    Удалил сеть с репитером, потом добавил контроллер через Service TAG. Разница с добавлением через импорт сетей только в том, что экстендер не появляется в списке сетей.

    В /Networks сетей видно, что устройств в этой сети два, но путь к  репитеру только из меню Devices контроллера. Для репитера,  в отличие от контроллера, недоступны (пока?)  Reboot\Upgrade OS.

    IMHO, было бы логично, если доступ к экстендеру появлялся бы, как к подчиненному устройству при клике на запись\иконку контроллера в разделе /Networks

    Вопросы по интеграции OpenVPN в NDMS

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted

    3 hours ago, Le ecureuil said:

    Да, выполните эту команду для нового WAN и дело в шляпе.

    Да, все именно так, работает. Еще раз спасибо.

    Если можно, еще🙂:

    1. Для резервного канала я ведь тоже могу выполнить:

    ip static Home %нужный_интерфейс% ?

    2. Всё это будет работать в mesh?

    Вопросы по интеграции OpenVPN в NDMS

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted · Edited by drk

    16 minutes ago, Le ecureuil said:

    что у вас WAN это WISP

    Это тестовый сетап, раздаю интернет с телефона. На площадке будет PPPOE или IPOE.

    Спасибо! Теперь все работает для LAN -  и доступ в сеть за OVPN сервером, и интернет.

    Позволю сразу пару вопросов:

    1.При смене WAN мне нужно будет выполнить

    ip static Home

    для нужного интерфейса вместо  WifiMaster0/WifiStation0, так?

    2. Планируется выделенный сегмент в котором будет только доступ в интернет из LAN и Wi-Fi этого сегмента. Потребуются для этого корректировки в CLI?

    Еще раз большое спасибо!

     

    Вопросы по интеграции OpenVPN в NDMS

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted

    52 минуты назад, Le ecureuil сказал:

    Покажите тогда self-test с введенными этими командами, посмотрим что не так.

    Теструю в сети 10.0.7.0/24.

    После применения

    no ip nat Home

    ip static Home ISP

    Хосты за OVPN доступны. Интернета в 10.0.7.0/24 нет.

    self-test приложен.

    Спасибо за помощь!

     

    Вопросы по интеграции OpenVPN в NDMS

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted

    5 minutes ago, Le ecureuil said:

    Поддержка, кстати, все правильно сказала.

    Поддержка на то и поддержка. 😃

    Home и Home ISP - это универсальные наименования интерфейсов?

    11 minutes ago, Le ecureuil said:

    в таком случае у вас из Home в ISP NAT будет, а в OpenVPN - нет

    Да, вероятно нужно отключть NAT только для OpenVPN, оставив доступ с LAN\Wi-Fi и в туннель и в интернет.

    Приведенные вами и поддержкой команды, как писал выше, делают интернет недоступным

    Вопросы по интеграции OpenVPN в NDMS

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted

    Добрый день. Надеюсь - не ошибся тредом и прошу извинить, если информация избыточна.

    Имеется центральный офис, в котором в локальной сети на сервере VmWare развернут Open VPN сервер на FreeBSD (используется pfSense 2.4.4). С этим сервером успешно работают филиалы, в качестве клиентов - Mikrotik, FreeBSD(pfSense) и т.д, Keenetic в этой сети пока не было.
    Исользуется конфигурация Open VPN site-to-site, филиалы видят сеть офиса за Open VPN, офис видит сети клиентов.
    Планируя очередной филиал, решил выбрать Keenetic Viva KN-1910 для подключения к Интернет, развертывания mesh и поднятия на нем Open VPN клиента.
    Столкнулся с тем, что сеть за этим клиентом не видит сеть офиса за Open VPN сервером, а сеть офиса - сеть за клиентом. Туннель поднимается, но из сети клиента доступен только LAN IP сервера VPN 192.168.7.65. Маршруты в сеть за сервером клиент Keenetic получает.

    Keenetic Viva KN-1910 (3.6.12)
    Сеть за сервером 192.168.0.0/21
    Сеть туннеля 10.20.20.0/24
    Сеть за клиентом, на котором тестировался Keenetic 10.10.5.0/24

    Конфиг сервера:
     

    Spoiler

    dev ovpns1
    verb 1
    dev-type tun
    dev-node /dev/tun1
    writepid /var/run/openvpn_server1.pid
    #user nobody
    #group nobody
    script-security 3
    daemon
    keepalive 10 60
    ping-timer-rem
    persist-tun
    persist-key
    proto tcp4-server
    cipher none
    auth SHA1
    up /usr/local/sbin/ovpn-linkup
    down /usr/local/sbin/ovpn-linkdown
    local 192.168.7.65
    engine cryptodev
    tls-server
    server 10.20.20.0 255.255.255.0
    client-config-dir /var/etc/openvpn-csc/server1
    ifconfig 10.20.20.1 10.20.20.2
    tls-verify "/usr/local/sbin/ovpn_auth_verify tls '......' 1"
    lport 31194
    management /var/etc/openvpn/server1.sock unix
    push "route 192.168.0.0 255.255.248.0"
    route 192.168.110.0 255.255.255.0
    route 192.168.82.0 255.255.255.0
    #
    #еще много route
    #
    route 10.10.5.0 255.255.255.0 #тестируемый клиент Keenetic

    ca /var/etc/openvpn/server1.ca
    cert /var/etc/openvpn/server1.cert
    key /var/etc/openvpn/server1.key
    dh /etc/dh-parameters.1024
    crl-verify /var/etc/openvpn/server1.crl-verify
    ncp-ciphers AES-128-GCM
    persist-remote-ip
    float
    topology subnet
    sndbuf 524288
    rcvbuf 524288
    push "sndbuf 393216"
    push "rcvbuf 393216"

    iroute для всех сетей филиалов на сервере в /ccd указаны

    Конфиг клиента Keenetic:

    Spoiler

    dev tun
    persist-tun
    persist-key
    cipher none
    auth SHA1
    tls-client
    client
    resolv-retry infinite
    remote-cert-tls server
    remote aa.aa.cc.dd 31194 tcp4
    <ca>
    -----BEGIN CERTIFICATE-----
    ....................
    -----END CERTIFICATE-----
    </ca>
    <cert>
    -----BEGIN CERTIFICATE-----
    ....................
    -----END CERTIFICATE-----
    </cert>
    <key>
    -----BEGIN PRIVATE KEY-----
    ...................
    -----END PRIVATE KEY-----
    </key>

    Клиент с данным конфигом успешно проверен на Mikrotik,Padavan

    Пингуя хост удаленной сети делал захват пакетов. 

    Пообщался с поддержкой.  Ответили так:

    Я могу предположить, что сервер ожидает в качестве источника ip не адрес в OVPN туннеле клиента, а непосредственно адрес хоста клиента в сети 10.10.5.0/24

    При конфигурации site-to-site вполне естественно, что сервер ожидает адрес хоста клиента в сети 10.10.5.0/24. Однако в туннель  IP хостов не уходят. NAT?

    Поддержка:

    Проверить это можно отключив NAT
    no ip nat Home
    ip static Home ISP
    system configuration save

    Естественно, при отключенном NAT все работает. Но тогда, что естественно, с ПК за Кинетик теряется доступ в интернет.

    Решаема ли эта проблема?

     

×
×
  • Create New...