TheRock666 Posted December 31, 2016 Share Posted December 31, 2016 Помогите разобраться с настройкой OpenVPN клиента, вероятнее всего проблема в itables потому как сам клиент запускается но зайти на сайты не могу. Делал все по этой инструкции https://habrahabr.ru/post/306378/ , правила itables оттуда же. Роутер обычный Keenetic 3, прошивка v2.08(AAUU.0)B0. Лог запуска OpenVPN Скрытый текст Dec 31 14:45:56dropbear[1692]Child connection from 192.168.10.2:49699 Dec 31 14:46:03dropbear[1692]Password auth succeeded for 'root' from 192.168.10.2:49699 Dec 31 14:46:10openvpn[1719]OpenVPN 2.3.13 mipsel-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] Dec 31 14:46:10openvpn[1719]library versions: OpenSSL 1.0.2j 26 Sep 2016, LZO 2.09 Dec 31 14:46:10openvpn[1719]WARNING: file 'pass.txt' is group or others accessible Dec 31 14:46:10openvpn[1722]Control Channel Authentication: tls-auth using INLINE static key file Dec 31 14:46:10openvpn[1722]Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication Dec 31 14:46:10openvpn[1722]Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication Dec 31 14:46:10openvpn[1722]UDPv4 link local: [undef] Dec 31 14:46:10openvpn[1722]UDPv4 link remote: [AF_INET]89.163.208.94:19699 Dec 31 14:46:10rootStarted openvpn from . Dec 31 14:46:10openvpn[1722]WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this Dec 31 14:46:11openvpn[1722]VERIFY OK: depth=1, O=574402f8c928ee09e1e0776c, CN=574402f8c928ee09e1e07770 Dec 31 14:46:11openvpn[1722]Validating certificate key usage Dec 31 14:46:11openvpn[1722]++ Certificate has key usage 00a0, expects 00a0 Dec 31 14:46:11openvpn[1722]NOTE: --mute triggered... Dec 31 14:46:13openvpn[1722]10 variation(s) on previous 3 message(s) suppressed by --mute Dec 31 14:46:13openvpn[1722][574402f8c928ee09e1e07788] Peer Connection Initiated with [AF_INET]89.163.208.94:19699 Dec 31 14:46:15openvpn[1722]TUN/TAP device tun0 opened Dec 31 14:46:15openvpn[1722]do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0 Dec 31 14:46:15openvpn[1722]/opt/sbin/ifconfig tun0 192.168.226.252 netmask 255.255.255.0 mtu 1500 broadcast 192.168.226.255 Dec 31 14:46:15openvpn[1722]Initialization Sequence Completed Quote Link to comment Share on other sites More sharing options...
TheRock666 Posted December 31, 2016 Author Share Posted December 31, 2016 (edited) А вот этой фигней начинает сыпать периодически как только вставляю скрипт из той инструкции(после перезагрузки тоже самое), так до бесконечности. Соответственно ничего не работает Скрытый текст Dec 31 14:51:15pure-ftpd(?@192.168.10.2) [INFO] New connection from 192.168.10.2 Dec 31 14:51:15ndmCore::Server: started Session /var/run/ndm.core.socket. Dec 31 14:51:15pure-ftpd(?@192.168.10.2) [INFO] anonymous is now logged in Dec 31 14:51:15ndmCore::Server: client disconnected. Dec 31 14:51:25pure-ftpd(anonymous@192.168.10.2) [NOTICE] /openvpnfil.sh uploaded (191 bytes, 44.93KB/sec). Dec 31 14:51:25ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: /opt/etc/ndm/netfilter.d/openvpnfil.sh: exit: line 3: Illegal number: 0. Dec 31 14:51:25ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: exit code 2. Dec 31 14:51:25ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information. Dec 31 14:51:25ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information. Dec 31 14:51:25ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: /opt/etc/ndm/netfilter.d/openvpnfil.sh: exit: line 3: Illegal number: 0. Dec 31 14:51:25ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: exit code 2. Dec 31 14:51:25ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information. Dec 31 14:51:25ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information. Dec 31 14:51:25ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information. Dec 31 14:51:30ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: /opt/etc/ndm/netfilter.d/openvpnfil.sh: exit: line 3: Illegal number: 0. Dec 31 14:51:30ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: exit code 2. Dec 31 14:51:30ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information. Dec 31 14:51:30ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information. Dec 31 14:51:31ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: /opt/etc/ndm/netfilter.d/openvpnfil.sh: exit: line 3: Illegal number: 0. Dec 31 14:51:31ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: exit code 2. Dec 31 14:51:31ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information. Dec 31 14:51:31ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information. Dec 31 14:51:36ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: /opt/etc/ndm/netfilter.d/openvpnfil.sh: exit: line 3: Illegal number: 0. Dec 31 14:51:36ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: exit code 2. Dec 31 14:51:36ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information. Dec 31 14:51:36ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information. Dec 31 14:51:36ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: /opt/etc/ndm/netfilter.d/openvpnfil.sh: exit: line 3: Illegal number: 0. Dec 31 14:51:36ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: exit code 2. Edited December 31, 2016 by TheRock666 Quote Link to comment Share on other sites More sharing options...
zyxmon Posted December 31, 2016 Share Posted December 31, 2016 Для начала освойте форум и приведите логи в читаемый вид. Quote Link to comment Share on other sites More sharing options...
TheRock666 Posted December 31, 2016 Author Share Posted December 31, 2016 1 час назад, zyxmon сказал: Для начала освойте форум и приведите логи в читаемый вид. Так нормально? Сори, не совсем понимаю что вы имели в виду под "читаемый вид" Quote Link to comment Share on other sites More sharing options...
zyxmon Posted December 31, 2016 Share Posted December 31, 2016 Так лучше, хотя ... Ищите ошибку в 3й строке скрипта /opt/etc/ndm/netfilter.d/openvpnfil.sh Quote Link to comment Share on other sites More sharing options...
TheRock666 Posted December 31, 2016 Author Share Posted December 31, 2016 2 часа назад, zyxmon сказал: Ищите ошибку в 3й строке скрипта /opt/etc/ndm/netfilter.d/openvpnfil.sh [ "$table" != filter ] && exit 0 , если бы я не был нубом и имел дело с iptables до этого, а так только методом тыка пробовать. Тогда другой вопрос, где можно найти полный список команд для iptables? Через "iptables -h" похоже список не полный, так-как в том скрипте который создаю по инструкции есть команды которых нет в списке хелпа. Quote Link to comment Share on other sites More sharing options...
zyxmon Posted December 31, 2016 Share Posted December 31, 2016 27 минут назад, TheRock666 сказал: где можно найти полный список команд для iptables? В гугле не забанили? https://www.opennet.ru/docs/RUS/iptables/ Quote Link to comment Share on other sites More sharing options...
TheRock666 Posted December 31, 2016 Author Share Posted December 31, 2016 (edited) Так вроде все правильно в скрипте, во всяком случае в последних 3 строках, но единственное что tun+ поменял на tun0 по названию интерфейса, только это нечего не дало. Если в 3 строке которая "[ "$table" != filter ] && exit 0" поставить любое слово после "0" то ошибки уже нет, точно так же ее нет и если вообще удалить строчку. Если менять 0 на любое другое однозначное число то ошибка так же есть но уже ссылается не на "0", а на то число которое поставил. Так вот если там после "0" еще слово и ошибка пропадает, все равно идет спам одним и тем же сообщением Opkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information. и не чего не работает. Как вообще должен выглядеть лог если скрипт нормально включится? Спама ведь быть не должно? P/S. С наступившим UPD: Попробовал без скрипта запустить openvpn и в терминале прописать iptables -I FORWARD -i br0 -o tun0 -j ACCEPT iptables -I FORWARD -i tun0 -o br0 -j ACCEPT iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE тоже самое в итоге, только в консоли вебморды вообще никакой реакции, как будто и не писал ничего. Может быть такое что проблема где-то в настройках основной прошивки роутера скрыта? Edited December 31, 2016 by TheRock666 Quote Link to comment Share on other sites More sharing options...
TheRock666 Posted January 4, 2017 Author Share Posted January 4, 2017 Если лог вот такой фигней сыпет это значит что скрипт не применяется я правильно понимаю? Неужели тут не кто не настраивал openvpn на новых версиях прошивки? Скрытый текстOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information. Opkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information. Opkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information. Opkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information. Opkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information. Opkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information. Core::Syslog: last message repeated 62 times. Quote Link to comment Share on other sites More sharing options...
zyxmon Posted January 4, 2017 Share Posted January 4, 2017 40 минут назад, TheRock666 сказал: Неужели тут не кто не настраивал openvpn на новых версиях прошивки? Настройка от версии прошивки не зависит. Quote Link to comment Share on other sites More sharing options...
TheRock666 Posted January 4, 2017 Author Share Posted January 4, 2017 Цитата Настройка от версии прошивки не зависит. Ну так в чем тогда может быть дело? Хоть какие-то наводки можете дать? Я читал тот мануал по iptables, много там всего, сразу естественно все не усвоишь. Но как понял строки из инструкции в интернете(кстати она просто доработка вашей судя по всему, видел на вашем форуме ее тоже) должны работать. Ибо идет проброс br0(роутер) на tun0(vpn) и в обратную сторону. Маскарадинг как понял из вашего-же форума не нужен вообще, так-как он уже вшит в само ядро. Так чего ему не хватает? Я пробовал уже правила и в терминале прописывать, и кучу других вариантов, весь гугл обшарил. Все должно работать, но не работает. Quote Link to comment Share on other sites More sharing options...
TheRock666 Posted January 20, 2017 Author Share Posted January 20, 2017 (edited) Спустя пол месяца я таки настроил эту фигню, но скорость подозрительно мала. Через роутер жмет около 5 мегабит, при этом с теми-же настройками на ПК выжимает 15-20 мегабит без проблем(больше не могу сказать, так-как 20 мегабит тариф ограничивает). Это нормально что на роутере скорость ниже чем на ПК или я где-то с настройкой лапухнулся и нужно искать косяк? Edited January 20, 2017 by TheRock666 Quote Link to comment Share on other sites More sharing options...
r13 Posted January 20, 2017 Share Posted January 20, 2017 А загрузка процессора какая при этом? Quote Link to comment Share on other sites More sharing options...
zyxmon Posted January 20, 2017 Share Posted January 20, 2017 39 минут назад, TheRock666 сказал: Через роутер жмет около 5 мегабит Маловато будет. Около 10 получали на белых кинетиках (первых, старых) давным давно. А на новых можно получить и 100 http://forums.zyxmon.org/viewtopic.php?p=16291#p16291 Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted January 20, 2017 Share Posted January 20, 2017 25 минут назад, zyxmon сказал: Маловато будет. Около 10 получали на белых кинетиках (первых, старых) давным давно. А на новых можно получить и 100 http://forums.zyxmon.org/viewtopic.php?p=16291#p16291 В наших тестах на 7621 можно получить не более 20 Мбит/с А результаты как у товарища по ссылке можно получить лишь на OpenVPN/TCP, что в целом не рекомендуется для массового применения. Quote Link to comment Share on other sites More sharing options...
TheRock666 Posted January 20, 2017 Author Share Posted January 20, 2017 10 часов назад, r13 сказал: А загрузка процессора какая при этом? От ~20 до 92, постоянно прыгает. Протокол UDP., похожу что это нормально. Главное чтоб не существенно ниже было как 100 мегабит против 5... Quote Link to comment Share on other sites More sharing options...
kekych Posted February 2, 2017 Share Posted February 2, 2017 В 20.01.2017 в 16:04, TheRock666 сказал: Спустя пол месяца я таки настроил эту фигню @TheRock666, покажи свой файл конфигурации. Я такую же ошибку ловлю. Избавляюсь от неё путём добавления символа ";" в конец строк, но такое решение неправильно на мой взгляд Кстати, как избавиться от дублирования правила в таблицу nat. В filter дублирования не происходит. Вот мой файл: Скрытый текст #!/bin/sh echo "Table 1:: $table"; [ "$table" != "filter" ] && exit 0; # check the table name # Доступ к серверу с VPN iptables -I INPUT -i tun0 -s 10.15.0.0/24 -j ACCEPT; # Так как трафик транзитный, то позволяем пакетам ходить между LAN и VPN iptables -I FORWARD 1 -i br0 -o tun0 -j ACCEPT; iptables -I FORWARD 2 -i tun0 -o br0 -j ACCEPT; iptables -t nat -I POSTROUTING -s 10.15.0.0/24 -j MASQUERADE; echo "Iptables: changed!"; Quote Link to comment Share on other sites More sharing options...
r13 Posted February 2, 2017 Share Posted February 2, 2017 (edited) @kekych При таком скрипте nat правило создается только на хуке filter. В результате у вас nat правила замножаются, а при срабатывании хука nat очищаются и не восстанавливаются. Пишите отдельный скрипт для nat или меняйте логику в этом скрипте. Edited February 2, 2017 by r13 Quote Link to comment Share on other sites More sharing options...
kekych Posted February 2, 2017 Share Posted February 2, 2017 5 минут назад, r13 сказал: Пишите отдельный скрипт для nat То есть, если я правильно понял, то надо в папке netfilter.d создать ещё один скрипт с такой структурой: Скрытый текст #!/bin/sh iptables -t nat -I POSTROUTING -s 10.15.0.0/24 -j MASQUERADE; echo "Iptables: NAT changed!"; Quote Link to comment Share on other sites More sharing options...
r13 Posted February 2, 2017 Share Posted February 2, 2017 И кодом в начале скрипта по ангиологии с первым иначе опять будет замножаться: [ "$table" != "nat" ] && exit 0; # check the table name Quote Link to comment Share on other sites More sharing options...
kekych Posted February 2, 2017 Share Posted February 2, 2017 (edited) @r13, да точно! Второпях написал Сейчас попробую. UPD: отлично отработало! Однако в лог теперь пишется ошибка из прошлого файла ( Opkg::Manager: /opt/etc/ndm/netfilter.d/fw.sh: exit code 127. ) , хотя правила устанавливаются в iptables o_O. Ошибка говорит, что команда найдена, но библиотека, требуемая командой, не найдена. И так и сяк посмотрел, покрутил скрипт. Ошибка лезет, но все исправно работает. Ну и фиг с ней @r13, а получается что в скрипте каждую строчку надо завершать знаком ";"? Без них скрипт в ошибку почему-то валится Edited February 2, 2017 by kekych Quote Link to comment Share on other sites More sharing options...
TheBB Posted February 2, 2017 Share Posted February 2, 2017 windows? блокнот? "дружелюбный" vim отложим в сторону... есть ещё nano и mcedit (всё равно стоит система пакетов, так?) чем не редакторы? Quote Link to comment Share on other sites More sharing options...
Kosty7777 Posted April 17, 2017 Share Posted April 17, 2017 Добрый день. Помогите переделать правила iptables для OpenVPN из NDMSv1 в NDMSv2. Скрипт NDMSv1: #!/bin/sh # Разрешаем внутрисетевой обмен iptables -I INPUT -i lo -j ACCEPT # SSH iptables -I INPUT -p tcp --dport 45017 -j ACCEPT # OpenVPN iptables -I INPUT -p udp --dport 45015 -j ACCEPT iptables -I FORWARD 1 --source 172.16.10.0/24 -j ACCEPT iptables -I FORWARD -i br0 -o tun0 -j ACCEPT iptables -I FORWARD -i tun0 -o br0 -j ACCEPT iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE При подключении клиента к серверу OpenVPN был доступ к внутренней сети домашнего роутера(172.16.7.0/24) и к интернету через домашний роутер. Роутер: Zyxel Keenetic Ultra Прошивка: 2.08 + Entware-3x Quote Link to comment Share on other sites More sharing options...
Stasmin Posted May 15, 2018 Share Posted May 15, 2018 (edited) В 20.01.2017 в 17:09, Le ecureuil сказал: В наших тестах на 7621 можно получить не более 20 Мбит/с А результаты как у товарища по ссылке можно получить лишь на OpenVPN/TCP, что в целом не рекомендуется для массового применения. А с чем это связано? А то перелез сегодня с Lite iii на последнюю гигу с 7621A и крайне удивился:) Входящая 12-13 Мбит/с, исх. 23 Мбит/с при загрузке ЦП 20-25% против 70-80 Мбит/с напрямую с компа Edited May 15, 2018 by Stasmin Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted May 25, 2018 Share Posted May 25, 2018 В 5/15/2018 в 22:54, Stasmin сказал: А с чем это связано? А то перелез сегодня с Lite iii на последнюю гигу с 7621A и крайне удивился:) Входящая 12-13 Мбит/с, исх. 23 Мбит/с при загрузке ЦП 20-25% против 70-80 Мбит/с напрямую с компа Процессор слабоват для openvpn. Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.