Jump to content

Вопросы по интеграции OpenVPN в NDMS


Recommended Posts

Подскажите, пожалуйста, пытаюсь поднять VPN (от prostovpn), вот что пишет лог:

Это с UDP, с TCP всё окей но нужен именно UDP.

 

Apr 26 08:52:08
 
OpenVPN1
OpenVPN 2.4.6 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD]
Apr 26 08:52:08
 
OpenVPN1
library versions: OpenSSL 1.1.1d 10 Sep 2019, LZO 2.10
Apr 26 08:52:08
 
OpenVPN1
UDP link local: (not bound)
Apr 26 08:52:08
 
OpenVPN1
UDP link remote: [AF_INET6]2a00:d880:5:a29::2:1194
Apr 26 08:52:08
 
OpenVPN1
NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
Apr 26 08:52:08
 
OpenVPN1
write UDP: Network is unreachable (code=128)
Apr 26 08:52:08
 
OpenVPN1
Network unreachable, restarting
Apr 26 08:52:08
 
OpenVPN1
SIGTERM received, sending exit notification to peer
Apr 26 08:52:09
 
OpenVPN1
SIGTERM[soft,exit-with-notification] received, process exiting
Apr 26 08:52:09
 
ndm
Service: "OpenVPN1": unexpectedly stopped.
Link to comment
Share on other sites

14 hours ago, Алексей Воловиков said:

Подскажите, пожалуйста, пытаюсь поднять VPN (от prostovpn), вот что пишет лог:

Это с UDP, с TCP всё окей но нужен именно UDP.

 

Apr 26 08:52:08
 
OpenVPN1
OpenVPN 2.4.6 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD]
Apr 26 08:52:08
 
OpenVPN1
library versions: OpenSSL 1.1.1d 10 Sep 2019, LZO 2.10
Apr 26 08:52:08
 
OpenVPN1
UDP link local: (not bound)
Apr 26 08:52:08
 
OpenVPN1
UDP link remote: [AF_INET6]2a00:d880:5:a29::2:1194
Apr 26 08:52:08
 
OpenVPN1
NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
Apr 26 08:52:08
 
OpenVPN1
write UDP: Network is unreachable (code=128)
Apr 26 08:52:08
 
OpenVPN1
Network unreachable, restarting
Apr 26 08:52:08
 
OpenVPN1
SIGTERM received, sending exit notification to peer
Apr 26 08:52:09
 
OpenVPN1
SIGTERM[soft,exit-with-notification] received, process exiting
Apr 26 08:52:09
 
ndm
Service: "OpenVPN1": unexpectedly stopped.
proto udp4
  • Upvote 1
Link to comment
Share on other sites

  • 3 weeks later...

А подскажите, пожалуйста, что с этим делать? По совету выше исправил на udp4, все прекрасно работало день, на следующий перестало - пишет на странице соединения No IP Address. Хотя в логе ничего критичного не вижу. Куда копать?

Spoiler
May 12 20:23:59
 
ndm
Core::Syslog: the system log has been cleared.
May 12 20:24:03
 
kernel
IPv6: ADDRCONF(NETDEV_UP): ovpn_br0: link is not ready
May 12 20:24:03
 
ndm
Network::Interface::Base: "OpenVPN0": interface is up.
May 12 20:24:03
 
ndm
Core::ConfigurationSaver: saving configuration...
May 12 20:24:06
 
OpenVPN0
OpenVPN 2.4.6 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD]
May 12 20:24:06
 
OpenVPN0
library versions: OpenSSL 1.1.1d 10 Sep 2019, LZO 2.10
May 12 20:24:06
 
OpenVPN0
UDPv4 link local: (not bound)
May 12 20:24:06
 
OpenVPN0
UDPv4 link remote: [AF_INET]185.14.28.10:1194
May 12 20:24:06
 
OpenVPN0
NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
May 12 20:24:07
 
ndm
Core::ConfigurationSaver: configuration saved.
May 12 20:24:11
 
OpenVPN0
[nl6.pvpn.pw] Peer Connection Initiated with [AF_INET]185.14.28.10:1194
May 12 20:24:11
 
ndm
Network::Interface::OpenVpn: "OpenVPN0": connecting via PPPoE0 (PPPoE0).
May 12 20:24:11
 
ndm
Network::Interface::OpenVpn: "OpenVPN0": added host route to remote endpoint 185.14.28.10 via PPPoE0.
May 12 20:24:17
 
OpenVPN0
WARNING: INSECURE cipher with block size less than 128 bit (64 bit). This allows attacks like SWEET32. Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
May 12 20:24:17
 
OpenVPN0
WARNING: INSECURE cipher with block size less than 128 bit (64 bit). This allows attacks like SWEET32. Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
May 12 20:24:17
 
OpenVPN0
WARNING: cipher with small block size in use, reducing reneg-bytes to 64MB to mitigate SWEET32 attacks.
May 12 20:24:17
 
OpenVPN0
TUN/TAP device tun0 opened
May 12 20:24:17
 
OpenVPN0
do_ifconfig, tt->did_ifconfig_ipv6_setup=1
May 12 20:24:17
 
kernel
IPv6: ADDRCONF(NETDEV_CHANGE): ovpn_br0: link becomes ready
May 12 20:24:17
 
ndm
Network::Interface::Ip: "OpenVPN0": IP address is 192.168.101.3/24.
May 12 20:24:17
 
OpenVPN0
IPv6 is not supported yet (ifconfig)
May 12 20:24:18
 
OpenVPN0
add_route_ipv6(2000::/3 -> 2002:b90e:1c0a:1::1 metric -1) dev tun0
May 12 20:24:18
 
OpenVPN0
IPv6 is not supported yet (add route)
May 12 20:24:18
 
OpenVPN0
add_route_ipv6(::/3 -> 2002:b90e:1c0a:1::1 metric -1) dev tun0
May 12 20:24:18
 
OpenVPN0
IPv6 is not supported yet (add route)
May 12 20:24:18
 
OpenVPN0
add_route_ipv6(2000::/4 -> 2002:b90e:1c0a:1::1 metric -1) dev tun0
May 12 20:24:18
 
OpenVPN0
IPv6 is not supported yet (add route)
May 12 20:24:18
 
OpenVPN0
add_route_ipv6(3000::/4 -> 2002:b90e:1c0a:1::1 metric -1) dev tun0
May 12 20:24:18
 
OpenVPN0
IPv6 is not supported yet (add route)
May 12 20:24:18
 
OpenVPN0
add_route_ipv6(fc00::/7 -> 2002:b90e:1c0a:1::1 metric -1) dev tun0
May 12 20:24:18
 
OpenVPN0
IPv6 is not supported yet (add route)
May 12 20:24:18
 
ndm
Network::Interface::OpenVpn: "OpenVPN0": adding nameserver 192.168.101.1.
May 12 20:24:18
 
ndm
Dns::Manager: name server 192.168.101.1 added, domain (default).
May 12 20:24:18
 
ndm
Network::Interface::OpenVpn: "OpenVPN0": add route to nameserver 192.168.101.1 via 0.0.0.0 (OpenVPN0).
May 12 20:24:18
 
OpenVPN0
GID set to nobody
May 12 20:24:18
 
OpenVPN0
UID set to nobody
May 12 20:24:18
 
OpenVPN0
Initialization Sequence Completed
May 12 20:24:18
 
ndm
Http::Nginx: loaded SSL certificate for "61eefb62507a4b30d21eb455.keenetic.io".
May 12 20:24:18
 
ndm
Http::Nginx: loaded SSL certificate for "hench.keenetic.pro".
May 12 20:24:18
 
ndm
Core::Server: started Session /var/run/ndm.core.socket.
May 12 20:24:18
 
ndm
Core::Session: client disconnected.
May 12 20:24:19
 
ndm
Http::Manager: updated configuration.
May 12 20:24:19
 
ndm
Core::Server: started Session /var/run/ndm.core.socket.
May 12 20:24:19
 
ndm
Core::Session: client disconnected.
May 12 20:24:21
 
ndhcpc
OpenVPN0: NDM DHCP client (version 3.2.37) started.
May 12 20:24:21
 
ndhcpc
OpenVPN0: created PID file "/var/run/ndhcpc-ovpn_br0.pid".
May 12 20:24:22
 
ndm
Network::Interface::Ip: "OpenVPN0": IP address cleared.
May 12 20:24:22
 
ndm
Http::Nginx: loaded SSL certificate for "61eefb62507a4b30d21eb455.keenetic.io".
May 12 20:24:22
 
ndm
Http::Nginx: loaded SSL certificate for "hench.keenetic.pro".
May 12 20:24:23
 
ndm
Core::Server: started Session /var/run/ndm.core.socket.
May 12 20:24:23
 
ndm
Core::Session: client disconnected.
May 12 20:24:23
 
ndm
Http::Manager: updated configuration.
May 12 20:24:23
 
ndm
Core::Server: started Session /var/run/ndm.core.socket.
May 12 20:24:23
 
ndm
Core::Session: client disconnected.
Edited by Алексей Воловиков
Link to comment
Share on other sites

  • 1 month later...

Имеется Keenetic 4G, KeeneticOS: 3.4.6. Есть проблема с подключением к OpenVPN серверу.

Конфиг:

client
dev tun
proto udp
remote 192.168.0.1 1195
resolv-retry infinite
auth SHA1
cipher BF-CBC
comp-lzo
verb 5

<ca>
...
</ca>

<cert>
...
</cert>

<key>
...
</key>

Лог:

[I] Jun 22 16:06:34 OpenVPN1: Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
[I] Jun 22 16:06:34 OpenVPN1: Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
[I] Jun 22 16:06:34 OpenVPN1: Socket Buffers: R=[155648->155648] S=[155648->155648]
[I] Jun 22 16:06:34 OpenVPN1: UDP link local (bound): [AF_INET][undef]:1194
[I] Jun 22 16:06:34 OpenVPN1: UDP link remote: [AF_INET]192.168.0.1:1195
[I] Jun 22 16:06:34 OpenVPN1: NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
[I] Jun 22 16:06:34 OpenVPN1: TLS: Initial packet from [AF_INET]192.168.0.1:1195, sid=c399bbe9 6b9069d9
[E] Jun 22 16:06:35 OpenVPN1: OpenSSL: error:1425F102:lib(20):func(607):reason(258)
[E] Jun 22 16:06:35 OpenVPN1: TLS_ERROR: BIO read tls_read_plaintext error
[E] Jun 22 16:06:35 OpenVPN1: TLS Error: TLS object -> incoming plaintext read error
[E] Jun 22 16:06:35 OpenVPN1: TLS Error: TLS handshake failed
[I] Jun 22 16:06:35 OpenVPN1: TCP/UDP: Closing socket
[I] Jun 22 16:06:35 OpenVPN1: SIGTERM[soft,tls-error] received, process exiting
[E] Jun 22 16:06:35 ndm: Service: "OpenVPN1": unexpectedly stopped

Я так понимаю, проблема в том, что на сервере OpenVPN используется TLSv1, а на Keenetic openssl без поддержки TLSv1. Можно ли как-то включить поддержку TLSv1?

Link to comment
Share on other sites

23 часа назад, maxvit сказал:

Имеется Keenetic 4G, KeeneticOS: 3.4.6. Есть проблема с подключением к OpenVPN серверу.

Конфиг:


client
dev tun
proto udp
remote 192.168.0.1 1195
resolv-retry infinite
auth SHA1
cipher BF-CBC
comp-lzo
verb 5

<ca>
...
</ca>

<cert>
...
</cert>

<key>
...
</key>

Лог:


[I] Jun 22 16:06:34 OpenVPN1: Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
[I] Jun 22 16:06:34 OpenVPN1: Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
[I] Jun 22 16:06:34 OpenVPN1: Socket Buffers: R=[155648->155648] S=[155648->155648]
[I] Jun 22 16:06:34 OpenVPN1: UDP link local (bound): [AF_INET][undef]:1194
[I] Jun 22 16:06:34 OpenVPN1: UDP link remote: [AF_INET]192.168.0.1:1195
[I] Jun 22 16:06:34 OpenVPN1: NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
[I] Jun 22 16:06:34 OpenVPN1: TLS: Initial packet from [AF_INET]192.168.0.1:1195, sid=c399bbe9 6b9069d9
[E] Jun 22 16:06:35 OpenVPN1: OpenSSL: error:1425F102:lib(20):func(607):reason(258)
[E] Jun 22 16:06:35 OpenVPN1: TLS_ERROR: BIO read tls_read_plaintext error
[E] Jun 22 16:06:35 OpenVPN1: TLS Error: TLS object -> incoming plaintext read error
[E] Jun 22 16:06:35 OpenVPN1: TLS Error: TLS handshake failed
[I] Jun 22 16:06:35 OpenVPN1: TCP/UDP: Closing socket
[I] Jun 22 16:06:35 OpenVPN1: SIGTERM[soft,tls-error] received, process exiting
[E] Jun 22 16:06:35 ndm: Service: "OpenVPN1": unexpectedly stopped

Я так понимаю, проблема в том, что на сервере OpenVPN используется TLSv1, а на Keenetic openssl без поддержки TLSv1. Можно ли как-то включить поддержку TLSv1?

Поддержка TLS 1.0 есть, равно как и 1.2. Нет только SSL3 и TLS1.1.

Link to comment
Share on other sites

8 hours ago, Le ecureuil said:

Поддержка TLS 1.0 есть, равно как и 1.2. Нет только SSL3 и TLS1.1.

Удалось обновить openssl и openvpn на сервере.

 

Проблема вопроизводится при указании в конфигурации сервера:

tls-version-max 1.0

 

Link to comment
Share on other sites

  • 6 months later...
20 минут назад, SSTP сказал:

chacha20 использовать !

Оно с прошивки 3.3 доступно

 

Edited by r13
Link to comment
Share on other sites

  • 6 months later...

Вопрос, надо ли делать “ip nat OpenVPNx”, для tap, если мне надо попасть внутрь сети подключённого клиента (на стороне клиента входящий трафик разрешён). Точнее, будет ли в принципе работать, тк в таблице маршрутизации tap не виден, тк сидит на Bridge0? При этом я тоже являюсь клиентом и в конфигурации сервера клиент-клиент разрешён.

Edited by Oleg Nekrylov
Link to comment
Share on other sites

  • 2 months later...
16 часов назад, SSTP сказал:

почему опенвпн не подключается по порту 53 ??? и поддерживает ли openvpn клиент tls-crypt v2  ??? openvpn уже 2.5.3 есть ! а  кенетик 2.4.6 !

Давайте по шагам.

 - OpenVPN на 53 порту по идее не работает, это порт для DNS.

 - tls-crypt-v2 поддерживает.

 - в нашей версии 2.4.6 есть все патчи по CVE и принесена поддержка chapoly. Что еще вам не хватает в 2.4.6 из 2.5.3?

  • Upvote 1
Link to comment
Share on other sites

1 час назад, Le ecureuil сказал:

OpenVPN на 53 порту по идее не работает

этот порт не работает только на кенетике на остальнов всем работает

1 час назад, Le ecureuil сказал:

Давайте по шагам.

 - tls-crypt-v2 поддерживает.

это хорошо !

1 час назад, Le ecureuil сказал:

Что еще вам не хватает в 2.4.6 из 2.5.3?

мне та хвотает просто вы почитайте что нового в последних версиях много чего ввели . и новое она и есть новое

Link to comment
Share on other sites

tls-crypt-v2  работает только начиная с версии 2.5.0 и он не может работать на версии  2.4.х 

может перепутали просто tls-crypt ??? На 2.4.x  работает tls-crypt и tls-auth

Link to comment
Share on other sites

18 минут назад, Andy Moore сказал:

tls-crypt-v2  работает только начиная с версии 2.5.0 и он не может работать на версии  2.4.х 

может перепутали просто tls-crypt ??? На 2.4.x  работает tls-crypt и tls-auth

Хм, да, появилась такая тема.
А реально какие-то серверы ее требуют (покупные, а не самодельные)?

Я лично жду версии 2.6, чтобы сразу с dco все добавить. Если сейчас добавлять на месяца-полтора 2.5, а потом снова 2.6 - это лишняя работа. Прошу немного обождать.

  • Upvote 2
Link to comment
Share on other sites

4 минуты назад, Le ecureuil сказал:

Хм, да, появилась такая тема.
А реально какие-то серверы ее требуют (покупные, а не самодельные)?

Есть и самодельные и покупные , есть те кто не стоит на месте 

 

5 минут назад, Le ecureuil сказал:

Я лично жду версии 2.6

не думаю что в ближайшие года 2 мы ее увидим 

  • Upvote 1
Link to comment
Share on other sites

20 часов назад, SSTP сказал:

почему опенвпн не подключается по порту 53 ???

Потому что...

~ # lsof -P -i |grep ndnproxy 
================================== Skiped ==================================
ndnproxy   1438   root    4u  IPv4     13102      0t0  UDP *:53 
ndnproxy   1438   root    5u  IPv4     13103      0t0  UDP *:56298 
ndnproxy   1438   root    6u  IPv6     13104      0t0  UDP *:53 
ndnproxy   1438   root    8u  IPv4     13106      0t0  TCP *:53 (LISTEN)
ndnproxy   1438   root    9u  IPv6     13107      0t0  TCP *:53 (LISTEN)
================================== Skiped ==================================
 

Что вы будете делать с DNS proxy?  Свой DNS-сервер ставить?

Link to comment
Share on other sites

54 минуты назад, Andy Moore сказал:

есть те кто не стоит на месте 

Тот, кто не стоит на месте может спокойно в opkg замутить что хочет (или в sdk).

Если массовой потребности нет, то пока я смысла вижу мало.

  • Upvote 1
Link to comment
Share on other sites

Мое дело предложить, как потребителю продукта , а решать уже вам, релиз 2.4.6 был в апреле 2018 если не ошибаюсь, а нынче грядет 2022

  • Upvote 2
Link to comment
Share on other sites

5 часов назад, Le ecureuil сказал:

Хм, да, появилась такая тема.
А реально какие-то серверы ее требуют (покупные, а не самодельные)?

Я лично жду версии 2.6, чтобы сразу с dco все добавить. Если сейчас добавлять на месяца-полтора 2.5, а потом снова 2.6 - это лишняя работа. Прошу немного обождать.

Полностью за такое решение!

Лучше бросьте ресурсы на действительно важную функцию - на ускорение OpenVPN (dco)

Думаю многие вам за это скажут спасибо и для кого-то это будет плюс для выбора кинетика для покупки, т.к. у остальных роутеров эта функция думаю появится намного позже, судя по скорости развития вами NDMS..

Я например жду ускорения OVPN с момента покупки Giga уже пару лет, т.к. сейчас скорость 100мбит канала утилизируется только на четверть.. а другие VPN утилизируют канал на 100% но по разным причинам не подходят.. например Wireguard работал-работал, а потом резко перестал и мне так и не удалось его больше заставить работать... пришлось вернуться на медленный но надежный OVPN

  • Upvote 1
  • Y'r wrong 1
Link to comment
Share on other sites

15 часов назад, Yury Zhidkov сказал:

Полностью за такое решение!

Лучше бросьте ресурсы на действительно важную функцию - на ускорение OpenVPN (dco)

Думаю многие вам за это скажут спасибо и для кого-то это будет плюс для выбора кинетика для покупки, т.к. у остальных роутеров эта функция думаю появится намного позже, судя по скорости развития вами NDMS..

Я например жду ускорения OVPN с момента покупки Giga уже пару лет, т.к. сейчас скорость 100мбит канала утилизируется только на четверть.. а другие VPN утилизируют канал на 100% но по разным причинам не подходят.. например Wireguard работал-работал, а потом резко перестал и мне так и не удалось его больше заставить работать... пришлось вернуться на медленный но надежный OVPN

Я уже пробовал dco в январе 2021, и на тот момент там было очень "сыро" + в ветке ovpn 2.x не было поддержки, я ее приделал сам, но все равно там далеко от того, что можно показать пользователям было. Сейчас уже стало вроде постабильнее, будем ждать и надеятся что в 2.6 таки допилят сами разработчики (а если нет, то я может и реанимирую код январский и доделаю).

  • Upvote 5
Link to comment
Share on other sites

  • 1 month later...
  • 2 weeks later...

Добрый день. Надеюсь - не ошибся тредом и прошу извинить, если информация избыточна.

Имеется центральный офис, в котором в локальной сети на сервере VmWare развернут Open VPN сервер на FreeBSD (используется pfSense 2.4.4). С этим сервером успешно работают филиалы, в качестве клиентов - Mikrotik, FreeBSD(pfSense) и т.д, Keenetic в этой сети пока не было.
Исользуется конфигурация Open VPN site-to-site, филиалы видят сеть офиса за Open VPN, офис видит сети клиентов.
Планируя очередной филиал, решил выбрать Keenetic Viva KN-1910 для подключения к Интернет, развертывания mesh и поднятия на нем Open VPN клиента.
Столкнулся с тем, что сеть за этим клиентом не видит сеть офиса за Open VPN сервером, а сеть офиса - сеть за клиентом. Туннель поднимается, но из сети клиента доступен только LAN IP сервера VPN 192.168.7.65. Маршруты в сеть за сервером клиент Keenetic получает.

Keenetic Viva KN-1910 (3.6.12)
Сеть за сервером 192.168.0.0/21
Сеть туннеля 10.20.20.0/24
Сеть за клиентом, на котором тестировался Keenetic 10.10.5.0/24

Конфиг сервера:
 

Spoiler

dev ovpns1
verb 1
dev-type tun
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto tcp4-server
cipher none
auth SHA1
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local 192.168.7.65
engine cryptodev
tls-server
server 10.20.20.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc/server1
ifconfig 10.20.20.1 10.20.20.2
tls-verify "/usr/local/sbin/ovpn_auth_verify tls '......' 1"
lport 31194
management /var/etc/openvpn/server1.sock unix
push "route 192.168.0.0 255.255.248.0"
route 192.168.110.0 255.255.255.0
route 192.168.82.0 255.255.255.0
#
#еще много route
#
route 10.10.5.0 255.255.255.0 #тестируемый клиент Keenetic

ca /var/etc/openvpn/server1.ca
cert /var/etc/openvpn/server1.cert
key /var/etc/openvpn/server1.key
dh /etc/dh-parameters.1024
crl-verify /var/etc/openvpn/server1.crl-verify
ncp-ciphers AES-128-GCM
persist-remote-ip
float
topology subnet
sndbuf 524288
rcvbuf 524288
push "sndbuf 393216"
push "rcvbuf 393216"

iroute для всех сетей филиалов на сервере в /ccd указаны

Конфиг клиента Keenetic:

Spoiler

dev tun
persist-tun
persist-key
cipher none
auth SHA1
tls-client
client
resolv-retry infinite
remote-cert-tls server
remote aa.aa.cc.dd 31194 tcp4
<ca>
-----BEGIN CERTIFICATE-----
....................
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
....................
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
...................
-----END PRIVATE KEY-----
</key>

Клиент с данным конфигом успешно проверен на Mikrotik,Padavan

Пингуя хост удаленной сети делал захват пакетов. 

Пообщался с поддержкой.  Ответили так:

Я могу предположить, что сервер ожидает в качестве источника ip не адрес в OVPN туннеле клиента, а непосредственно адрес хоста клиента в сети 10.10.5.0/24

При конфигурации site-to-site вполне естественно, что сервер ожидает адрес хоста клиента в сети 10.10.5.0/24. Однако в туннель  IP хостов не уходят. NAT?

Поддержка:

Проверить это можно отключив NAT
no ip nat Home
ip static Home ISP
system configuration save

Естественно, при отключенном NAT все работает. Но тогда, что естественно, с ПК за Кинетик теряется доступ в интернет.

Решаема ли эта проблема?

 

Link to comment
Share on other sites

Если вопрос только в NAT, то отлючаете его совсем для домашней сети:
> no ip nat Home
и включаете только между теми интерфейсами, где он нужен:
> ip static Home ISP

в таком случае у вас из Home в ISP NAT будет, а в OpenVPN - нет.

Link to comment
Share on other sites

5 minutes ago, Le ecureuil said:

Поддержка, кстати, все правильно сказала.

Поддержка на то и поддержка. 😃

Home и Home ISP - это универсальные наименования интерфейсов?

11 minutes ago, Le ecureuil said:

в таком случае у вас из Home в ISP NAT будет, а в OpenVPN - нет

Да, вероятно нужно отключть NAT только для OpenVPN, оставив доступ с LAN\Wi-Fi и в туннель и в интернет.

Приведенные вами и поддержкой команды, как писал выше, делают интернет недоступным

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...