kpox
-
Posts
24 -
Joined
-
Last visited
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by kpox
-
-
В 24.11.2016 в 19:00, Le ecureuil сказал:
Уже неправда, это delta, которая умеет управлять компонентами.
Если обновить компоненты и эту прошивку до 2.04.C.7.0-9, то opkg пропадает.
-
1 минуту назад, zyxmon сказал:
Вы забыли сказать, что после обновления `opkg update; opkg upgrade` и перезагрузки Entware-ng перестаёт работать. Не вводите других в заблуждение.
Неверно высказался, правильнее будет так: Entware-ng работала, Entware-Keenetic работает.
-
39 минут назад, dioxyde сказал:
Знаю, интересует на 2,хх
На Keenetic Giga прошивка v2.04(USD.8)C7 - успешно работает как Entware-ng, так и Entware-Keenetic.
-
4 минуты назад, zyxmon сказал:
А что мешает все сделать в одном с помощью сравнения:
if [ "$table" == "filter" ]; then ..... fi if [ "$table" == "nat" ]; then ..... fi
Возможность сделать chmod -x для nat, не всем выход в инет нужен.
6 минут назад, zyxmon сказал:iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
Это вроде уже есть в заводских правилах - посмотрите, проверьте.
Возможно, но когда настраивал это давным давно на V2 было необходимо. (у меня гига белая)
7 минут назад, zyxmon сказал:iptables -I INPUT -p udp --dport 1194 -j ACCEPT
Это правильнее задать через морду.
У меня так и сделано :), но человек помощи просит и разбираться что и как там прописано в вебморде долго, а так заработает.
Про правило lo согласен - наверно можно и убрать.
- 1
-
32 минуты назад, drumad сказал:
Но с клиента пинг до сервера не идет, и выход в интернет нету. Что я делаю не так? (
В /opt/etc/ndm/netfilter.d/ должно быть 2 файла (не забудьте chmod +x им сделать):
1. 052-openvpn-filter.sh
#!/bin/sh [ "$table" != filter ] && exit 0 # check the table name iptables -I INPUT -i tun0 -j ACCEPT iptables -I FORWARD -s 10.8.0.0/24 -j ACCEPT iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -I INPUT -p udp --dport 1194 -j ACCEPT iptables -A INPUT -i lo -j ACCEPT
2. 053-openvpn-nat.sh
#!/bin/sh [ "$table" != nat ] && exit 0 # check the table name iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to ВАШ_ВНЕШНИЙ_IP
С такими правилами у меня openvpn работает.
- 1
-
22 минуты назад, drumad сказал:
Подскажите что не так здесь
Убрать
23 минуты назад, drumad сказал:iptables -D INPUT -p udp --dport 12345 -j ACCEPT
- 1
-
23 часа назад, zyxmon сказал:
Раньше считали, что web морду к openvpn не прикрутить. Сейчас прикручивают, но очень ограниченную. Openvpn настраивается через конфиги ручками. Что сервер, что клиент. Нормально через морду не настроить.
Это скрин от какого web-gui ?
-
В 02.07.2016 в 22:36, DimLAN сказал:
kpox, спасибо конечно за старания, но скрипт не работает ещё на этапе загрузки...
С опозданием конечно, но лучше поздно, чем никогда
Предполагаю, что не сделано вот это:
opkg update opkg install bash wget openssl-util
Потому что,
Скрытый текстwget --no-check-certificate https://raw.githubusercontent.com/kpoxxx/openvpn-install/master/openvpn-install.sh -O openvpn-install.sh
--2016-09-12 10:06:09-- https://raw.githubusercontent.com/kpoxxx/openvpn-install/master/openvpn-install.sh
Resolving raw.githubusercontent.com... 151.101.12.133
Connecting to raw.githubusercontent.com|151.101.12.133|:443... connected.
WARNING: cannot verify raw.githubusercontent.com's certificate, issued by 'CN=DigiCert SHA2 High Assurance Server CA,OU=www.digicert.com,O=DigiCert Inc,C=US':
Unable to locally verify the issuer's authority.
HTTP request sent, awaiting response... 200 OK
Length: 8498 (8.3K) [text/plain]
Saving to: 'openvpn-install.sh'openvpn-install.sh 100%[===========================================>] 8.30K --.-KB/s in 0.007s
2016-09-12 10:06:10 (1.13 MB/s) - 'openvpn-install.sh' saved [8498/8498]
-
На Ultra II сертификаты генерятся полтора часа. Не у каждого хватит терпения ждать
Ну DH я комментил у себя и делал на компе. Но это лишние телодвижения.
Кому-то нужно быстро, а кто-то хочет чтоб "все само".
-
Под entware-ng на NDMS v.2 для себя сделал такой скрипт https://github.com/kpoxxx/openvpn-install
Это переделанный скрипт отсюда https://github.com/Nyr/openvpn-install/blob/master/openvpn-install.sh
Может кому пригодится. Предполагается, что пакет openvpn уже установлен.
Далее делаем..
opkg update opkg install bash wget openssl-util wget --no-check-certificate https://raw.githubusercontent.com/kpoxxx/openvpn-install/master/openvpn-install.sh -O openvpn-install.sh && bash openvpn-install.sh
Получаем готовые ключи (генерируются на роутере долго !!!), конфигурацию сервера и клиента. Повторным запуском можно добавлять клиентов или отзывать сертификаты. Правила iptables тоже прописываются.
-
Вот дошли руки нормально проверить работу openvpn. Коннектится нормально, пинги через туннель проходят в подсети 10.8.0.0, но домашняя сеть не видна и инет не работает. Вот правила firewall, которые работали на V1, а сейчас не хотят.
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT iptables -I FORWARD -i tun0 -o br0 -j ACCEPT iptables -I INPUT -i tun0 -j ACCEPT iptables -I INPUT -p udp --dport 1194 -j ACCEPT iptables -I FORWARD -i tun0 -j ACCEPT iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE iptables -A INPUT -i lo -j ACCEPT
А вот такой вариант дал доступ к домашней сети
iptables -I FORWARD -o tun0 -j ACCEPT iptables -I FORWARD -i tun0 -j ACCEPT iptables -I INPUT -i tun0 -j ACCEPT
Есть какие то "подводные камни" использования iptables на V2 ?
Ошибки в логе 2.12.A.5.0-1
in 2.12
Posted · Edited by kpox
После обновления Giga (KN-1010) до 2.12.A.5.0-1 в лог постоянно сыпятся ошибки: