Jump to content

Recommended Posts

Под entware-ng на NDMS v.2 для себя сделал такой скрипт https://github.com/kpoxxx/openvpn-install

Это переделанный скрипт отсюда https://github.com/Nyr/openvpn-install/blob/master/openvpn-install.sh

Может кому пригодится. Предполагается, что пакет openvpn уже установлен.

Далее делаем..

opkg update
opkg install bash wget openssl-util
wget --no-check-certificate https://raw.githubusercontent.com/kpoxxx/openvpn-install/master/openvpn-install.sh -O openvpn-install.sh && bash openvpn-install.sh

Получаем готовые ключи (генерируются на роутере долго !!!), конфигурацию сервера и клиента. Повторным запуском можно добавлять клиентов или отзывать сертификаты. Правила iptables тоже прописываются.

Link to comment
Share on other sites

Запуск нескольких демонов openvpn (для одновременной работы клиента и сервера, или нескольких клиентов/серверов)

сделать симлинки на openvpn вида openvpn-cl/openvpn-srv в /opt/sbin/ (названия не должны пересекаться)

2016-02-01_222332.jpg.d25e55cf51ceba9542

2016-02-01_222407.jpg.a2e32353ef41c66885

Link to comment
Share on other sites

с помощью скрипта от kpox удалось все поставить и все заработало. в процессе столкнулся с 2-мя проблемами: не генерились сертификаты(автору в личку отписал логи) и таки пришлось доустанавливать пакет с iptables, хотя тут где-то читал что он работает и так если в прошивке есть ipv6.

kpox - огромное спасибо. без знаний linux-а самому тут ни черта не настроить )

Link to comment
Share on other sites

с помощью скрипта от kpox удалось все поставить и все заработало. в процессе столкнулся с 2-мя проблемами: не генерились сертификаты(автору в личку отписал логи) и таки пришлось доустанавливать пакет с iptables, хотя тут где-то читал что он работает и так если в прошивке есть ipv6.
На Ultra II сертификаты генерятся полтора часа. Не у каждого хватит терпения ждать:)
Link to comment
Share on other sites

Александр Рыжов, да вообще-то нет... у меня сгенерилось значительно быстрее. возможно минут 15, тоже Ultra 2. а ошибки такие были:

40.00K 25.1KB/s in 1.6s

2016-02-06 19:45:04 (25.1 KB/s) - '/opt/root/EasyRSA-3.0.1.tgz' saved [40960/40960]

mv: can't rename '/opt/etc/openvpn/EasyRSA-3.0.1/': No such file or directory

chown: /opt/etc/openvpn/easy-rsa/: No such file or directory

openvpn-install.sh: line 141: cd: /opt/etc/openvpn/easy-rsa/: No such file or directory

openvpn-install.sh: line 143: ./easyrsa: No such file or directory

openvpn-install.sh: line 144: ./easyrsa: No such file or directory

openvpn-install.sh: line 145: ./easyrsa: No such file or directory

openvpn-install.sh: line 146: ./easyrsa: No such file or directory

openvpn-install.sh: line 147: ./easyrsa: No such file or directory

openvpn-install.sh: line 148: ./easyrsa: No such file or directory

cp: can't stat 'pki/ca.crt': No such file or directory

cp: can't stat 'pki/private/ca.key': No such file or directory

cp: can't stat 'pki/dh.pem': No such file or directory

cp: can't stat 'pki/issued/server.crt': No such file or directory

cp: can't stat 'pki/private/server.key': No such file or directory

cat: can't open '/opt/etc/openvpn/easy-rsa/pki/ca.crt': No such file or directory

cat: can't open '/opt/etc/openvpn/easy-rsa/pki/issued/client.crt': No such file or directory

cat: can't open '/opt/etc/openvpn/easy-rsa/pki/private/client.key': No such file or directory

я руками раскидал папки в нужные места и по-очереди запускал

[spoiler=]/easyrsa init-pki

./easyrsa --batch build-ca nopass

./easyrsa gen-dh

./easyrsa build-server-full server nopass

./easyrsa build-client-full $CLIENT nopass

./easyrsa gen-crl

p.s.: кстати, кто-нибудь может пояснить, что тут с tls-auth. раньше отдельно генерился ta.key, а сейчас в конфиге клиента есть директива remote-cert-tls server. но в конфиге сервера вообще ничего не вижу похожего.

это тоже самое? насколько равноценная замена.

Link to comment
Share on other sites

На Ultra II сертификаты генерятся полтора часа. Не у каждого хватит терпения ждать:)

Может и больше, вы же генерируете параметры Диффи-Хеллмана, а там чистый рандом, как уж повезет! Может секунду, а может и час. А если учесть, что кинетик - не компьютер... Решение есть - сгенерируйте параметры на компьютере и предоставляйте их в скрипте, который генерирует сертификаты. Ничего страшного в том, что у всех пользователей параметры будут одинаковыми, нет. Сами сертификаты генерируются быстро.

Link to comment
Share on other sites

На Ultra II сертификаты генерятся полтора часа. Не у каждого хватит терпения ждать:)

:) Ну DH я комментил у себя и делал на компе. Но это лишние телодвижения.

Кому-то нужно быстро, а кто-то хочет чтоб "все само".

Link to comment
Share on other sites

  • 4 months later...

kpox, спасибо конечно за старания, но скрипт не работает ещё на этапе загрузки...

wget --no-check-certificate https://raw.githubusercontent.com/kpoxx ... install.sh -O openvpn-install.sh && bash openvpn-install.sh

Connecting to raw.githubusercontent.com (151.101.12.133:443)

wget: error getting response

хотя в браузере нормально открывается

Я конечно не гуру линукса, но даже я понимаю, что нельзя скопировать файл которого не существует

cp /opt/etc/openvpn/client-common.txt ~/$1.ovpn и т.д.
Press any key to continue...

Connecting to github.com (192.30.253.112:443)

wget: error getting response

tar: can't open '/opt/root//EasyRSA-3.0.1.tgz': No such file or directory

mv: can't rename '/opt/root//EasyRSA-3.0.1': No such file or directory

mv: can't rename '/opt/etc/openvpn/EasyRSA-3.0.1/': No such file or directory

chown: /opt/etc/openvpn/easy-rsa/: No such file or directory

openvpn-install.sh: line 152: cd: /opt/etc/openvpn/easy-rsa/: No such file or directory

openvpn-install.sh: line 159: ./easyrsa: No such file or directory

openvpn-install.sh: line 160: ./easyrsa: No such file or directory

openvpn-install.sh: line 161: ./easyrsa: No such file or directory

openvpn-install.sh: line 162: ./easyrsa: No such file or directory

openvpn-install.sh: line 163: ./easyrsa: No such file or directory

openvpn-install.sh: line 164: ./easyrsa: No such file or directory

cp: can't stat 'pki/ca.crt': No such file or directory

cp: can't stat 'pki/private/ca.key': No such file or directory

cp: can't stat 'pki/dh.pem': No such file or directory

cp: can't stat 'pki/issued/server.crt': No such file or directory

cp: can't stat 'pki/private/server.key': No such file or directory

openvpn-install.sh: line 224: /opt/etc/ndm/netfilter.d/052-openvpn-filter.sh: No such file or directory

chmod: /opt/etc/ndm/netfilter.d/052-openvpn-filter.sh: No such file or directory

openvpn-install.sh: line 231: /opt/etc/ndm/netfilter.d/053-openvpn-nat.sh: No such file or directory

chmod: /opt/etc/ndm/netfilter.d/053-openvpn-nat.sh: No such file or directory

cat: can't open '/opt/etc/openvpn/easy-rsa/pki/ca.crt': No such file or directory

cat: can't open '/opt/etc/openvpn/easy-rsa/pki/issued/client.crt': No such file or directory

cat: can't open '/opt/etc/openvpn/easy-rsa/pki/private/client.key': No such file or directory

Finished!

З.Ы. Вообще не понятно почему на форме keenopt в основном инструкции про entware...

Edited by Guest
Link to comment
Share on other sites

  • 2 months later...

Добрый час.

Установил openvpn-openssl на keenopt

В процессе запуска сервера в лог файле выдаёт ошибку:

Скрытый текст

OpenVPN 2.3.6 mipsel-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on May 25 2016
library versions: OpenSSL 1.0.2d 9 Jul 2015, LZO 2.08
Diffie-Hellman initialized with 1024 bit key
WARNING: file '/opt/etc/openvpn/keys/server.key' is group or others accessible
WARNING: file '/opt/etc/openvpn/keys/ta.key' is group or others accessible
Control Channel Authentication: using '/opt/etc/openvpn/keys/ta.key' as a OpenVPN static key file
Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Socket Buffers: R=[110592->131072] S=[110592->131072]
WARNING: Since you are using --dev tun with a point-to-point topology, the second argument to --ifconfig must be an IP address.  You are using something (255.255.255.0) that looks more like a netmask. (silence this warning with --ifconfig-nowarn)
TUN/TAP device tun0 opened
TUN/TAP TX queue length set to 100
do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
/opt/sbin/ifconfig tun0 х.х.0.0 pointopoint 255.255.255.0 mtu 1500
/opt/sbin/ifconfig: error while loading shared libraries: libcrypt.so.1: cannot open shared object file: No such file or directory
2016 Linux ifconfig failed: could not execute external program
Exiting due to fatal error

Что делаю неправильно?

Файл конфигурации сервера вот такой:

Скрытый текст

proto udp
port 1194
dev tun
dh /opt/etc/openvpn/keys/dh1024.pem
ca /opt/etc/openvpn/keys/ca.crt
cert /opt/etc/openvpn/keys/server.crt
key /opt/etc/openvpn/keys/server.key
tls-auth /opt/etc/openvpn/keys/ta.key 0
mode server
tls-server
ifconfig 10.8.0.0 255.255.255.0
client-to-client
crl-verify /opt/etc/openvpn/keys/crl.pem
persist-tun
persist-key
keepalive 10 120
cipher AES-128-CBC
log /opt/etc/openvpn/log/openvpn.log
status /opt/etc/openvpn/log/status.log
verb 3
mute 5

 

Link to comment
Share on other sites

40 минут назад, rotor сказал:

Добрый час.

Установил openvpn-openssl на keenopt

В процессе запуска сервера в лог файле выдаёт ошибку:

  Показать содержимое

Что делаю неправильно?

Файл конфигурации сервера вот такой:

  Показать содержимое

 

Переходите на entware или debian.

Link to comment
Share on other sites

В 02.07.2016 в 22:36, DimLAN сказал:

kpox, спасибо конечно за старания, но скрипт не работает ещё на этапе загрузки...

С опозданием конечно, но лучше поздно, чем никогда :) 

Предполагаю, что не сделано вот это: 

opkg update
opkg install bash wget openssl-util

Потому что, 

Скрытый текст

wget --no-check-certificate https://raw.githubusercontent.com/kpoxxx/openvpn-install/master/openvpn-install.sh -O openvpn-install.sh
--2016-09-12 10:06:09-- https://raw.githubusercontent.com/kpoxxx/openvpn-install/master/openvpn-install.sh
Resolving raw.githubusercontent.com... 151.101.12.133
Connecting to raw.githubusercontent.com|151.101.12.133|:443... connected.
WARNING: cannot verify raw.githubusercontent.com's certificate, issued by 'CN=DigiCert SHA2 High Assurance Server CA,OU=www.digicert.com,O=DigiCert Inc,C=US':
  Unable to locally verify the issuer's authority.
HTTP request sent, awaiting response... 200 OK
Length: 8498 (8.3K) [text/plain]
Saving to: 'openvpn-install.sh'

openvpn-install.sh          100%[===========================================>]   8.30K  --.-KB/s    in 0.007s

2016-09-12 10:06:10 (1.13 MB/s) - 'openvpn-install.sh' saved [8498/8498]
 

 

Edited by kpox
Link to comment
Share on other sites

  • 2 weeks later...

Прошу помочь!

Девайс: Giga 2 + NDMS v2 v2.06(AAFS.2)C0 + Entware Keenetic

После установки и настройки OpenVPN в качестве 3 vpn-клиентов, в веб-интерфейсе стала появляться ошибка

unable to find tap1 in Network::Interface::IP container.

Появляется в Домашняя сеть > Устройства, а также Системный монитор > Соединения || Клиенты Wi-Fi.

Как исправить?

Все конфиги используют tap-интерфейс для подключения. Перечитал много сайтов, но ответа, к сожалению, не нашёл.

 

Link to comment
Share on other sites

Раньше и на tun была ругань - разработчики прошивки исправили. Но работе openvpn и web-морде это не мешало.

Переходите на 2.08 на Giga II (только вышла). Хоть она и неофициальная, но Entware там явно стабильнее работает (лучше сразу перейти на Entware-3x).

Edited by zyxmon
Link to comment
Share on other sites

  • 1 month later...

Подскажите пожалуйста, 

пытаюсь настроить openvpn server на keenetic Extra

установлено: entware3 

opkg update
opkg install openvpn-openssl
opkg install bash wget openssl-util
wget --no-check-certificate https://raw.githubusercontent.com/kpoxxx/openvpn-install/master/openvpn-install.sh -O openvpn-install.sh && bash openvpn-install.sh

скрипт скачивается, запускается, но в ответ получаю:

Getting your ip address....please wait.
Looks like OpenVPN is already installed

What do you want to do?
   1) Add a cert for a new user
   2) Revoke existing user cert
   3) Exit
Select an option [1-3]: 1

Tell me a name for the client cert
Please, use one word only, no special characters
Client name: home
openvpn-install.sh: line 45: cd: /opt/etc/openvpn/easy-rsa/: No such file or directory
openvpn-install.sh: line 46: ./easyrsa: No such file or directory
cat: can't open '/opt/etc/openvpn/easy-rsa/pki/ca.crt': No such file or directory
cat: can't open '/opt/etc/openvpn/easy-rsa/pki/issued/home.crt': No such file or directory
cat: can't open '/opt/etc/openvpn/easy-rsa/pki/private/home.key': No such file or directory

Client home added, certs available at ~/home.ovpn
 

создать соответствующие подкаталоги (/easy-rsa/pki/) пробовал, не помогает.  

может они каким-то иным скриптом создаются? 

или под Экстру нужно совсем иначе скрипты править?

Link to comment
Share on other sites

Перед запуском мастера настройки

wget --no-check-certificate https://raw.githubusercontent.com/kpoxxx/openvpn-install/master/openvpn-install.sh -O openvpn-install.sh && bash openvpn-install.sh

удалите файл /opt/etc/openvpn/openvpn.conf, он создаётся автоматически при установке пакетов.

Link to comment
Share on other sites

Уважаемые форумчане, подскажите пожалуйста что могут означать в логе следующие строки: 

 

Nov 18 21:43:40ndm  Opkg::Manager: /opt/etc/ndm/netfilter.d/052-openvpn-filter.sh: Segmentation fault.

Nov 18 21:43:40ndm  Core::Syslog: last message repeated 4 times.

Nov 18 21:43:40ndm  Opkg::Manager: /opt/etc/ndm/netfilter.d/052-openvpn-filter.sh: exit code 139.

т.е. скрипт явно не выполнился, а почему непонятно,

содержимое скрипта /opt/etc/ndm/netfilter.d/052-openvpn-filter.sh: 

#!/bin/sh

[ "$table" != filter ] && exit 0   # check the table name
iptables -I INPUT -i tun0 -j ACCEPT
iptables -I FORWARD -s 10.8.0.0/24 -j ACCEPT
iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -I INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT 

 

 

Link to comment
Share on other sites

  • 6 months later...
2 часа назад, Ярослав Грицунь сказал:

Уважаемые знатоки, нужна помощь в организации работы сервера на OpenVPN 2.4.2 на роутере Keenetic Giga 3. Я полный нуб, поэтому, если можно и есть время у кого-то рассказать, что и как делать. Вот сами настройки: https://zaborona.help/extra.html . Спасибо

Screenshot_22.png

А ты на каком этапе остановился?  Entware-3x установили? openvpn-openssl установили? Тогда скачивайте сертификаты и ключ в папку /opt/etc/openvpn и, там-же создаете openvpn.conf с содержимым:

client
dev tun
proto tcp
remote vpn.zaborona.help 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert zaborona-help.crt
key zaborona-help.key
remote-cert-tls server
cipher AES-128-GCM
comp-lzo no
verb 3

Вроде не ошибся. Запускайте и добро пожаловать в VK.

  • Thanks 1
Link to comment
Share on other sites

25 минут назад, ChaoticSerg сказал:

А ты на каком этапе остановился?  Entware-3x установили? openvpn-openssl установили? Тогда скачивайте сертификаты и ключ в папку /opt/etc/openvpn и, там-же создаете openvpn.conf с содержимым:


client
dev tun
proto tcp
remote vpn.zaborona.help 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert zaborona-help.crt
key zaborona-help.key
remote-cert-tls server
cipher AES-128-GCM
comp-lzo no
verb 3

Вроде не ошибся. Запускайте и добро пожаловать в VK.

большинство слов из вашего сообщения, написанных латиницей, я не понимаю, пойду разбираться.. 

Link to comment
Share on other sites

Только что, Ярослав Грицунь сказал:

большинство слов из вашего сообщения, написанных латиницей, я не понимаю, пойду разбираться.. 

Тогда может вам проще поставить клиента openvpn на windows? Вот здесь https://openvpn.net/index.php/open-source/downloads.html

Файл настроек этот-же, только расширение должно быть ovpn и все храниться в C:\Program Files\OpenVPN\config

  • Thanks 1
Link to comment
Share on other sites

55 минут назад, Ярослав Грицунь сказал:

большинство слов из вашего сообщения, написанных латиницей, я не понимаю, пойду разбираться.. 

Для вас тогда

найдете свой ответ

Но для справки VPN сервисы могут быть блокированы - достаточно посмотреть принцип его работы и как результат

Скрытый текст

19.04.2017

В России разработан законопроект, предусматривающий блокировку анонимайзеров и VPN-сервисов, которые откажутся блокировать доступ к запрещенным сайтам. Об этом сообщает газета «Ведомости» со ссылкой на источники в интернет-компаниях и неназванного федерального чиновника.

По данным издания, законопроект подготовлен по инициативе Совета безопасности России, в разработке документа участвовали Роскомнадзор и Медиа-коммуникационный союз, объединяющий крупнейших операторов связи. Официально эта информация не подтверждена.

Согласно законопроекту, анонимайзеры и VPN-сервисы будут обязаны блокировать доступ к ресурсам, включенным в реестр запрещенных сайтов Роскомнадзора. Кроме того, предлагается запретить поисковым системам выдавать ссылки на запрещенный контент. За нарушение этого требования для поисковиков предусмотрен штраф в 700 тысяч рублей.

....

Полный текст можно найти в интернете

 

Edited by vasek00
Link to comment
Share on other sites

16 часов назад, vasek00 сказал:

Но для справки VPN сервисы могут быть блокированы - достаточно посмотреть принцип его работы и как результат

Можно ведь и грамотно все сделать. Там OVPN в принципе ничего так, особенно если фьюжн PSK с TLS.

Если особо не вдаваться в подробности, то CA разные, клиент генерирует private, при желании паролирует и хранит как зеницу ока, а не светит в паблике как если это норма (тут уже начинаешь сомневаться за будущее вообще), на основе него (private) - CSR, который отправляется туда, где его подпишет нужный CA и вернется клиенту в виде CRT .. и эти транзакции via TLS не ниже 1.2 в рамках тех же ЛК (что для сертификатов в принципе - лишнее, но на всякий).

Как бы задача сервиса сделать все так, чтобы все это было понятно, удобно и ненапряжно (желательно на полном автомате, чтобы минимизировать/исключить косяки со стороны хомо сапиенсов), а по вектору "Mellon", например, открывать возможность поднятия отдельного p2p instance на заданном порту.

А с базовыми контроллерами всегда начиналось заворачиванием в зазеркалье по диапазону ip, которые светились. А потом в их блогах читать какие они победоносные =)

При грамотной схеме им только пыль глотать.

Edited by IgaX
Link to comment
Share on other sites

37 минут назад, IgaX сказал:

Можно ведь и грамотно все сделать. Там OVPN в принципе ничего так, особенно если фьюжн PSK с TLS.

Если особо не вдаваться в подробности, то CA разные, клиент генерирует private, при желании паролирует и хранит как зеницу ока, а не светит в паблике как если это норма (тут уже начинаешь сомневаться за будущее вообще), на основе него (private) - CSR, который отправляется туда, где его подпишет нужный CA и вернется клиенту в виде CRT .. и эти транзакции via TLS не ниже 1.2 в рамках тех же ЛК (что для сертификатов в принципе - лишнее, но на всякий).

Как бы задача сервиса сделать все так, чтобы все это было понятно, удобно и ненапряжно (желательно на полном автомате, чтобы минимизировать/исключить косяки со стороны хомо сапиенсов), а по вектору "Mellon", например, открывать возможность поднятия отдельного p2p instance на заданном порту.

А с базовыми контроллерами всегда начиналось заворачиванием в зазеркалье по диапазону ip, которые светились. А потом в их блогах читать какие они победоносные =)

При грамотной схеме им только пыль глотать.

На много все проще - глубокий анализ пакетов на уровни DPI (сами данные кодированы не кодированы роли не играют они не нужны для провайдера), т.е. суть всего найти нужные "метки" в пакете по которым можно его заблокировать.

Link to comment
Share on other sites

42 минуты назад, vasek00 сказал:

На много все проще - глубокий анализ пакетов на уровни DPI (сами данные кодированы не кодированы роли не играют они не нужны для провайдера), т.е. суть всего найти нужные "метки" в пакете по которым можно его заблокировать.

не, при секьюрном хэндшейке на лету они, скорее всего, могут ток, например, DN/CN публичного ключа (сертификата) хоста заматчить и дать RST в трубу.

при остальных правильных требованиях к шифрованию - не выйдет точечно, ток все подряд, а тут и словят =)

***
т.е. под потенциальным ударом только фронт-энд сервиса в плане удобства доступности, на уровне движа ничего им не светит.

Edited by IgaX
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...