Jump to content

Вопросы по интеграции OpenVPN в NDMS


Recommended Posts

В 06.10.2017 в 00:23, parkan сказал:

Доброго всем. Вопрос небольшой. 
Есть сетка с сервером OpenVPN 192.168.0.x (Pfsense)
Шлюз OpenVPN  10.0.6.1-10.0.6.2, tun
Сетка с клиентом OpenVPN, 192.168.6.x (Keenetic III, 2.11.A.4.0-0)

Как бы всё работает, в обе стороны, пингуется, открывается. Есть одно но: Компы за Кинетиком выходят в сетку с сервером под адресом OpenVPN, т.е. 10.0.6.2. Всё бы ничего, но голос VoIP в сторону Кинетика не проходит. Так было и на версии 2.08 с Entware.

Я уж интерфейс OpenVPN0 сделал private, и "no ip nat OpenVPN0", всё равно...

К этому же серверу подключено куча клиентов, и на dd-wrt, и на Giga II c v2.06(AAFS.7)C2. На них всё нормально, клиенты приходят со своими IP. 
Конфиг клиента: 

  Показать содержимое

remote xxx 1200
port 1200
dev tun
proto udp
nobind
persist-tun
cipher AES-128-CBC
verb 3
comp-lzo
keepalive 15 60
ifconfig 10.0.6.2 10.0.6.1
route 192.168.0.0 255.255.255.0
<secret>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
...
-----END OpenVPN Static key V1-----
</secret>

Это что-то в прошивках после 2.06 поменялось? Возможно ли поправить?

Может кому пригодиться. Была аналогичная проблема: ip.src в соединениях из домашней сети (192.168.12.0/24) подменяется на ip openvpn туннеля (172.16.0.12). 

Решение, как описано в статье https://help.keenetic.com/hc/ru/articles/115000045869:

no ip nat Home
interface PPTP0 security-level private
no isolate-private
ip static Home PPPoE1
system configuration save

Правило ip static появляться в веб-панели в разделе переадресация.

Link to comment
Share on other sites

  • 4 weeks later...

Роутер режет скорость VPN или конфиг клиента кривой?... или роутер пора менять? ...

Всем привет!

Кинетик 2, драфт 2.14.A.4.0-2

Купил VPS, "настроил" OpenVPN через веб-морду Pritunl (конфиг дефолтный), сгенерированный конфиг скормил роутеру. Роутер подключается, но режет скорость до 1 МБ/с вообще на все, включая и торренты и скачивания по HTTP/S.

Если подключаться к VPN с ноутбука - скорость, как и положено - 100 Мбит/с. Пробовал убирать некоторые опции конфига, на которые роутер выдавал WARNING'и в своих логах, но это не помогло. Возможно, что-то упустил. Не особо понимаю что нужно делать. self-test (с interface OpenVPN1 debug) будет ниже, в скрытом посте. Вот дефолтный конфиг клиента:

Скрытый текст

setenv UV_ID z6dtbz6dtb7f6zstb76zsgvs
setenv UV_NAME y7szgy8z7stgs78tgf87szt
client
dev tun
dev-type tun
remote 2a02:2a02:2a02::2a02:2a02 7007 udp6
remote 185.185.185.185 7007 udp
remote-random
nobind
persist-tun
cipher AES-128-CBC
auth SHA1
verb 2
mute 3
push-peer-info
ping 10
ping-restart 60
hand-window 70
server-poll-timeout 4
reneg-sec 2592000
sndbuf 393216
rcvbuf 393216
max-routes 1000
remote-cert-tls server
comp-lzo no
ignore-unknown-option block-outside-dns
block-outside-dns
key-direction 1
<ca>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</ca>
<tls-auth>
#
# * bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
...
-----END OpenVPN Static key V1-----
</tls-auth>
<cert>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
...
-----END PRIVATE KEY-----
</key>

 

Раньше пользовался именно на самом роутере платным VPN от prostovpn, но там маршруты прописывались только к заблокированным сайтам, по другому не работало, да и не нужно было. Сейчас, если капризному кинетику нужны какие-то изменения на VPN сервере - их можно сделать, хоть и нежелательно.

Не знаю, правильно ли это, но чтобы VPN заработал, пришлось в приоритетах "подвинуть" провайдерское подключение на второе место, VPN на первое. По другому к VPN подключение было, но трафик шел в обход VPN (через провайдера).

И отдельно вопрос по поводу этой строчки в конфиге:

remote 2a02:2a02:2a02::2a02:2a02 7007 udp6

Если на роутере настроен 6to4, трафик ведь через него пойдет? По другому ведь никак по идее. Можно добавить исключение какое-то?

p.s. Айпишники я конечно поменял, не смущайтесь абракадабре.

Буду благодарен за любую помощь.

Link to comment
Share on other sites

В 22.10.2018 в 15:44, Вежливый Снайпер сказал:

Роутер режет скорость VPN или конфиг клиента кривой?... или роутер пора менять? ...

Всем привет!

Кинетик 2, драфт 2.14.A.4.0-2

Купил VPS, "настроил" OpenVPN через веб-морду Pritunl (конфиг дефолтный), сгенерированный конфиг скормил роутеру. Роутер подключается, но режет скорость до 1 МБ/с вообще на все, включая и торренты и скачивания по HTTP/S.

Если подключаться к VPN с ноутбука - скорость, как и положено - 100 Мбит/с. Пробовал убирать некоторые опции конфига, на которые роутер выдавал WARNING'и в своих логах, но это не помогло. Возможно, что-то упустил. Не особо понимаю что нужно делать. self-test (с interface OpenVPN1 debug) будет ниже, в скрытом посте. Вот дефолтный конфиг клиента:

  Показать содержимое

Раньше пользовался именно на самом роутере платным VPN от prostovpn, но там маршруты прописывались только к заблокированным сайтам, по другому не работало, да и не нужно было. Сейчас, если капризному кинетику нужны какие-то изменения на VPN сервере - их можно сделать, хоть и нежелательно.

Не знаю, правильно ли это, но чтобы VPN заработал, пришлось в приоритетах "подвинуть" провайдерское подключение на второе место, VPN на первое. По другому к VPN подключение было, но трафик шел в обход VPN (через провайдера).

И отдельно вопрос по поводу этой строчки в конфиге:


remote 2a02:2a02:2a02::2a02:2a02 7007 udp6

Если на роутере настроен 6to4, трафик ведь через него пойдет? По другому ведь никак по идее. Можно добавить исключение какое-то?

p.s. Айпишники я конечно поменял, не смущайтесь абракадабре.

Буду благодарен за любую помощь.

Вообще удалите настройку с ipv6 - такое может заработать, но мы это не гарантируем. Оставьте только udp4.

А вообще давайте поточнее в показаниях - 1 МБ/с это у вас 1 Мбит/с или 1 Мбайт/с?

Link to comment
Share on other sites

22 часа назад, Le ecureuil сказал:

Вообще удалите настройку с ipv6 - такое может заработать, но мы это не гарантируем. Оставьте только udp4.

А вообще давайте поточнее в показаниях - 1 МБ/с это у вас 1 Мбит/с или 1 Мбайт/с? 

Удалил. Дополнительно попробовал подключиться по TCP - скорость так и осталась не выше 1 Мбайт/с.. чаще скорость бегает даже в районе 600-900 КБ/с.

Можно было бы на "древний" роутер грешить, но нагрузка на проц с памятью не превышает даже 50%, и это при активном VPN с торрентами и Entware.

Могу выложить для тестов в скрытом посте ссылку на профиль для подключения к моему VPN. Вдруг проблема не на моей стороне, а в реализации OpenVPN.

Link to comment
Share on other sites

32 минуты назад, Вежливый Снайпер сказал:

Удалил. Дополнительно попробовал подключиться по TCP - скорость так и осталась не выше 1 Мбайт/с.. чаще скорость бегает даже в районе 600-900 КБ/с.

Можно было бы на "древний" роутер грешить, но нагрузка на проц с памятью не превышает даже 50%, и это при активном VPN с торрентами и Entware.

Могу выложить для тестов в скрытом посте ссылку на профиль для подключения к моему VPN. Вдруг проблема не на моей стороне, а в реализации OpenVPN.

1Мегабайт вполне нормальная скорость для кинетика

На топовых около 2х ?

ЗЫ 50% это считайте в полку(проц 2х поточный)

Edited by r13
  • Thanks 1
Link to comment
Share on other sites

1 час назад, Вежливый Снайпер сказал:

Удалил. Дополнительно попробовал подключиться по TCP - скорость так и осталась не выше 1 Мбайт/с.. чаще скорость бегает даже в районе 600-900 КБ/с.

Можно было бы на "древний" роутер грешить, но нагрузка на проц с памятью не превышает даже 50%, и это при активном VPN с торрентами и Entware.

Могу выложить для тестов в скрытом посте ссылку на профиль для подключения к моему VPN. Вдруг проблема не на моей стороне, а в реализации OpenVPN.

Да, 1 Мбайт/с - это вполне нормальная скорость.

  • Upvote 1
Link to comment
Share on other sites

  • 5 weeks later...

Здравствуйте!

Вопрос простой,есть keenetiс Giga III и новый ,прошивка последняя рекомендованная, есть конфиг с двумя remote  серверами. Первый сервер отключаю, впн не переподключается на второй сервер.Какие настройки необходимо добавить в конфиг ниже?

client
tls-client
dev tun
proto udp
remote 1.2.3.4 1196
remote 2.2.3.3 1196
remote-cert-tls server
cipher AES-256-CBC
auth SHA256
resolv-retry infinite
nobind
persist-key
persist-tun
compress lz4-v2
verb 3
auth-nocache
reneg-sec 0
connect-timeout 10

 

Спасибо!

Link to comment
Share on other sites

9 часов назад, Alezzzander сказал:

Первый сервер отключаю, впн не переподключается на второй сервер.

выше обсуждали это, нет такой возможности.

Link to comment
Share on other sites

3 часа назад, Сергей Молоков сказал:

выше обсуждали это, нет такой возможности.

По сути это баг,т.к.на Win,Linux устройствах мультисерверный конфиг работает.Просьба разработчиков пофиксить.

Link to comment
Share on other sites

7 часов назад, Alezzzander сказал:

По сути это баг,т.к.на Win,Linux устройствах мультисерверный конфиг работает.Просьба разработчиков пофиксить.

Да, знаем, но в низком приоритете.

Link to comment
Share on other sites

  • 2 weeks later...
В 20.09.2018 в 16:41, Le ecureuil сказал:

Новый OpenSSL 1.1.1 уже в 2.14, а вот когда chacha20-poly1305 добавят в openvpn - ждемс...

Уже добавили. Энтузиасты ставят эксперименты: https://4pda.ru/forum/index.php?s=&amp;showtopic=714487&amp;view=findpost&amp;p=79682591 и https://4pda.ru/forum/index.php?s=&amp;showtopic=714487&amp;view=findpost&amp;p=79817926

Link to comment
Share on other sites

2 часа назад, Legoos сказал:

Как только выйдет релиз с этим - сразу появится в draft.

Link to comment
Share on other sites

19 часов назад, Дмитрий Воронцов сказал:

Почему не хочет работать конфиг от antizapret?

Вроде бы всё правильно,но соединение не устанавливается)))

##############################################
# ProstoVPN.AntiZapret                       #
# http://antizapret.prostovpn.org #
##############################################

nobind
client

# Remote server here
remote vpn.antizapret.prostovpn.org

# Uncomment this is you are not on Windows
;fast-io

# Windows route method
;route-method exe

remote-cert-tls server

dev tun
proto udp

resolv-retry infinite
persist-key
persist-tun

explicit-exit-notify

comp-lzo
max-routes 30000

# Keys
<ca>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</ca>

<cert>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN PRIVATE KEY-----
...
-----END PRIVATE KEY-----
</key>

 

Здесь почитайте(обсуждение), может поможет:

Цитата

 

 

Link to comment
Share on other sites

23 часа назад, Дмитрий Воронцов сказал:

Почему не хочет работать конфиг от antizapret?

Вроде бы всё правильно,но соединение не устанавливается)))

 

Ну не хотят в кинетиках нормальную реализацию OpenVPN делать, да и смысл при скорости 30 Мбит/с максимум на топ моделях...

Link to comment
Share on other sites

дайте пожалуйста рабочий конфиг для антизапрета уже с ключами......пробовал по инструкции соединение устанавливается но сайты не открывает....может я с конфигом,что напортачил))))

Edited by Дмитрий Воронцов
Link to comment
Share on other sites

  • 2 weeks later...

Господа, добрый вечер!

Настраиваю OpenVPN клиент на своём Keenetic Extra. Что-то голову сломал - не могу понять в чём дело. Стоит свой Ubuntu 16.04 со сконфигурированный OpenVPN сервером, телефон и ноут цепляются без вопросов через OpenVPN приложения, а вот роутер ведёт себя странно. Подскажите пожалуйста, в чем может быть проблема. Забавно то, что соединение как будто происходит, в UI написано, что соединение установлено, написан по идее внутренний адрес роутера, но на деле ping этого адреса с машины-сервера 100% packet loss:

image.png.fe11bf03286e115114e791383d747f2f.png

Вот конфигурация клиента:

client
dev tun
proto tcp
remote 168.63.78.151 443
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
comp-lzo
verb 3
cipher AES-128-CBC
auth SHA256

key-direction 1

<tls-auth>
</tls-auth>
<ca>
</ca>
<cert>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----
</key>

Вот лог с роутера:

Dec 22 23:07:56 OpenVPN0
OpenVPN 2.4.6 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD]
Dec 22 23:07:56 OpenVPN0
library versions: OpenSSL 1.1.1a 20 Nov 2018, LZO 2.10
Dec 22 23:07:56 OpenVPN0
Outgoing Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
Dec 22 23:07:56 OpenVPN0
Incoming Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
Dec 22 23:07:56 OpenVPN0
Socket Buffers: R=[87380->87380] S=[16384->16384]
Dec 22 23:07:56 OpenVPN0
Attempting to establish TCP connection with [AF_INET]168.63.78.151:443 [nonblock]
Dec 22 23:07:57 OpenVPN0
TCP connection established with [AF_INET]168.63.78.151:443
Dec 22 23:07:57 OpenVPN0
TCP_CLIENT link local: (not bound)
Dec 22 23:07:57 OpenVPN0
TCP_CLIENT link remote: [AF_INET]168.63.78.151:443
Dec 22 23:07:57 OpenVPN0
NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
Dec 22 23:07:57 OpenVPN0
TLS: Initial packet from [AF_INET]168.63.78.151:443, sid=75da2256 3936274e
Dec 22 23:07:58 OpenVPN0
VERIFY SCRIPT OK: depth=1, C=UK, ST=UK, L=London, O=m, OU=m, CN=m CA, name=server, emailAddress=m@m.com
Dec 22 23:07:58 OpenVPN0
VERIFY OK: depth=1, C=UK, ST=UK, L=London, O=m, OU=m, CN=m CA, name=server, emailAddress=m@m.com
Dec 22 23:07:58 OpenVPN0
VERIFY KU OK
Dec 22 23:07:58 OpenVPN0
Validating certificate extended key usage
Dec 22 23:07:58 OpenVPN0
++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Dec 22 23:07:58 OpenVPN0
VERIFY EKU OK
Dec 22 23:07:58 OpenVPN0
VERIFY SCRIPT OK: depth=0, C=UK, ST=UK, L=London, O=m, OU=m, CN=m, name=server, emailAddress=m@m.com
Dec 22 23:07:58 OpenVPN0
VERIFY OK: depth=0, C=UK, ST=UK, L=London, O=m, OU=m, CN=m, name=server, emailAddress=m@m.com
Dec 22 23:07:59 OpenVPN0
Control Channel: TLSv1.2, cipher TLSv1.2 DHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Dec 22 23:07:59 OpenVPN0
[matteraiserver] Peer Connection Initiated with [AF_INET]168.63.78.151:443
Dec 22 23:07:59 ndm
Network::Interface::OpenVpn: "OpenVPN0": connecting via ISP (FastEthernet0/Vlan2).
Dec 22 23:07:59 ndm
Network::Interface::OpenVpn: "OpenVPN0": added host route to remote endpoint 168.63.78.151 via 188.243.88.1.
Dec 22 23:08:00 OpenVPN0
SENT CONTROL [matteraiserver]: 'PUSH_REQUEST' (status=1)
Dec 22 23:08:00 OpenVPN0
PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 208.67.222.222,dhcp-option DNS 208.67.220.220,route 10.8.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.14 10.8.0.13'
Dec 22 23:08:00 OpenVPN0
OPTIONS IMPORT: timers and/or timeouts modified
Dec 22 23:08:00 OpenVPN0
OPTIONS IMPORT: --ifconfig/up options modified
Dec 22 23:08:00 OpenVPN0
OPTIONS IMPORT: route options modified
Dec 22 23:08:00 OpenVPN0
OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Dec 22 23:08:00 OpenVPN0
Outgoing Data Channel: Cipher 'AES-128-CBC' initialized with 128 bit key
Dec 22 23:08:00 OpenVPN0
Outgoing Data Channel: Using 256 bit message hash 'SHA256' for HMAC authentication
Dec 22 23:08:00 OpenVPN0
Incoming Data Channel: Cipher 'AES-128-CBC' initialized with 128 bit key
Dec 22 23:08:00 OpenVPN0
Incoming Data Channel: Using 256 bit message hash 'SHA256' for HMAC authentication
Dec 22 23:08:00 OpenVPN0
TUN/TAP device tun0 opened
Dec 22 23:08:00 OpenVPN0
TUN/TAP TX queue length set to 100
Dec 22 23:08:00 OpenVPN0
do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Dec 22 23:08:00 ndm
Network::Interface::IP: "OpenVPN0": IP address is 10.8.0.14/32.
Dec 22 23:08:00 ndm
Network::Interface::OpenVpn: "OpenVPN0": TUN peer address is 10.8.0.13.
Dec 22 23:08:00 ndm
Network::Interface::OpenVpn: "OpenVPN0": added host route to peer 10.8.0.13 via 10.8.0.14.
Dec 22 23:08:00 ndm
Network::Interface::OpenVpn: "OpenVPN0": install accepted default route via 10.8.0.14.
Dec 22 23:08:00 ndm
Network::Interface::OpenVpn: "OpenVPN0": install accepted route to 10.8.0.1/255.255.255.255 via 10.8.0.14.
Dec 22 23:08:01 ndm
Network::Interface::OpenVpn: "OpenVPN0": adding nameserver 208.67.222.222.
Dec 22 23:08:01 ndm
Dns::Manager: name server 208.67.222.222 added, domain (default).
Dec 22 23:08:01 ndm
Network::RoutingTable: gateway 10.8.0.13 is unreachable via OpenVPN0.
Dec 22 23:08:01 ndm
Network::Interface::OpenVpn: "OpenVPN0": failed to add a nameserver route.
Dec 22 23:08:01 ndm
Network::Interface::OpenVpn: "OpenVPN0": adding nameserver 208.67.220.220.
Dec 22 23:08:01 ndm
Dns::Manager: name server 208.67.220.220 added, domain (default).
Dec 22 23:08:01 ndm
Network::RoutingTable: gateway 10.8.0.13 is unreachable via OpenVPN0.
Dec 22 23:08:01 ndm
Network::Interface::OpenVpn: "OpenVPN0": failed to add a nameserver route.
Dec 22 23:08:01 OpenVPN0
GID set to nobody
Dec 22 23:08:01 OpenVPN0
UID set to nobody
Dec 22 23:08:01 OpenVPN0
Initialization Sequence Completed

А, и еще. Забавно то, что сервис Whatismyip выдаёт правильный IP, как будто бы я подключен! Но при этом в linkedin не зайти, например. А на телефоне и ноутбуке порядок.

Буду вам очень благодарен за терпение, даже если вопрос был. Я прочитал бОльшую часть темы, и честно говоря не нашел ответа, хотя попробовал разные предлагаемые решения.

Link to comment
Share on other sites

@matterai обратите внимание на строки лога, где 

options modified

некоторые опции конфига и те, которые идут через push/pull могут игнорироваться. Нужно настраивать такое иначе. Вот мои рабочие конфиги сервера и клиента

port 2195
proto udp
dev tun
sndbuf 0
rcvbuf 0
ca ca.crt
cert server.crt
key server.key
dh dh.pem
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 4.2.2.2"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
crl-verify crl.pem

и

client
dev tun
proto udp
sndbuf 0
rcvbuf 0
remote xx.xx.xx.xx 2195
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
comp-lzo
verb 3
<ca>
-----BEGIN CERTIFICATE-----
....

 

Link to comment
Share on other sites

Клиентские настройки у нас более менее одинаковые, за исключением наличия в ваших следующих строк, касающихся буфера:

sndbuf 0
rcvbuf 0

Из options modified у меня 4 потенциально изменяемых параметра, насколько я могу судить:

Dec 22 23:08:00 OpenVPN0
OPTIONS IMPORT: timers and/or timeouts modified
Dec 22 23:08:00 OpenVPN0
OPTIONS IMPORT: --ifconfig/up options modified
Dec 22 23:08:00 OpenVPN0
OPTIONS IMPORT: route options modified
Dec 22 23:08:00 OpenVPN0
OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified

Черт с ним с timers/timeouts. Но что значит --ifconfig/up options modified? И почему вдруг (и где) изменился route? Про 4-ый параметр вообще молчу, не очень понимаю вообще о чём в нём речь. Возможно, меня не очень вразумил ваш ответ, прошу прощения, не могли бы вы чуть конкретнее разъяснить в чем проблемы изменяющихся опций, или подсказать какой-то мануал/гайд, где бы это как-то было освещено?

Спасибо.

UPD

Надо было на строчку выше взглянуть: из push_reply от сервера импортируются опции и изменяются на клиенте, поэтому и modified. Выглядит весьма логично. В чём подвох?.. Почему я далее по логам получаю:

gateway 10.8.0.13 is unreachable via OpenVPN0.
Edited by matterai
Дополнение к посту.
Link to comment
Share on other sites

51 минуту назад, matterai сказал:

'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 208.67.222.222,dhcp-option DNS 208.67.220.220,route 10.8.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.14 10.8.0.13'

Сюда смотрите - Вы пушите опцию, и она, похоже не срабатывает. Это в настройках сервера. Все это мои предположения.

У меня заработало фактически из коробки. Одну строку конфига клиента пришлось выбросить.

Link to comment
Share on other sites

Я проверял - это все логи, что доступны после отключения и включения VPN.

Пока не вижу проблемы, к сожалению. PUSH_REPLY пришёл, опции изменились, порядок. Меня больше вот эти строки смущают, потому что я пока не очень понимаю что происходит на этом этапе:

Dec 22 23:08:00 ndm
Network::Interface::IP: "OpenVPN0": IP address is 10.8.0.14/32.
Dec 22 23:08:00 ndm
Network::Interface::OpenVpn: "OpenVPN0": TUN peer address is 10.8.0.13.
Dec 22 23:08:00 ndm
Network::Interface::OpenVpn: "OpenVPN0": added host route to peer 10.8.0.13 via 10.8.0.14.

Правильно ли я понимаю, что мне назначен IP: 10.8.0.14? И если да, то что происходит дальше? К слову, если пинговать с сервера, то ни 10.8.0.13, ни 10.8.0.14 недоступны.

Гадость какая-то =( 

Link to comment
Share on other sites

3 минуты назад, matterai сказал:

Гадость какая-то =( 

Я предпочитаю topology=subnet. Все прозрачно тогда и понятно.

Попробуйте перезагрузить роутер, ну и другие пляски с бубном. В начале темы описано, что пересохранение конфига клиента (без изменений) решило подобную проблему.

Link to comment
Share on other sites

Хорошо, спасибо больше за уделенное время и то, что подкинули идеи, куда глядеть. Пойду колдовать над этим чудом дальше. Отпишусь попозже, если что-нибудь придумаю.

Link to comment
Share on other sites

В продолжении своего вопроса.

Достал со стороны сервера openvpn.log, и вот что нашел:

Sat Dec 22 22:05:31 2018 us=992261 home-network/xxx.xxx.xx.xx:50164 SENT CONTROL [home-network]: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 208.67.222.222,dhcp-option DNS 208.67.220.220,route 10.8.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.14 10.8.0.13' (status=1)
Sat Dec 22 22:05:32 2018 us=837164 home-network/xxx.xxx.xx.xx:50164 MULTI: bad source address from client [xxx.xxx.xx.xx], packet dropped

где xxx.xxx.xx.xx - это IP моего компьютера, очевидно. Согласно этой и этой ссылкам, сделал необходимые изменения в конфигурационном файле на сервере:

client-config-dir ccd
route 192.168.1.0 255.255.255.0

Перезапустил OpenVPN сервер, перезапустил роутер - ничего не изменилось. Разве что строчка 50164 MULTI: bad source address from client [xxx.xxx.xx.xx], packet dropped ушла из логов.

Может ли быть такое, что OpenVPN по указанному IP xxx.xxx.xx.xx найти не может мою машину? Может ему белый IP нужен? Тогда почему телефон и бук напрямую через VPN приложения могут подключиться без проблем?

Edited by matterai
Link to comment
Share on other sites

Доброго времени!

Я особо не вчитывался и не вникал в логи, просто промелькнула шальная мысль, попробуйте в межсетевом экране, на интерфейсе OVPN разрешить ICMP.

 

Link to comment
Share on other sites

@matterai 1. Включите verb=5 (через DebugLog - есть в теме) и посмотрите подробный лог со стороны клиента.

или 

2. попробуйте завести openvpn через Entware с тем же конфигом клиента. Почти наверняка заработает. У меня на одном из кинетиков крутится openvpn из Entware. Правда в качестве сервера. Тема по настройке клиента у меня на форуме.

Link to comment
Share on other sites

  • 2 months later...

А есть ли возможность сделать так, чтобы dns-proxy использовал dhcp dns только до подключения, а после подключения openvpn клиента и получения push dhcp-option dns (ну, или при указании в клиентском openvpn конфиге dhcp-option DNS) кинетик использовал только DNS, полученный от сервера (или явно указанный в конфиге)?
Сейчас удалось добиться более-менее удобного поведения только полностью отключив dhcp-dns на основном интерфейсе. Если этого не сделать, даже не смотря на то, что vpn dns висит выше в списке show ip name-server, dns реквесты всё равно утекают в сервер, полученный по dhcp, видимо потому что он отвечает быстрее.
Однако это приводит к тому, что до подключения vpn dns не работает, и я не могу, например, указать в конфиге openvpn адрес сервера по доменному имени.
Спасибо.

Edited by alxbz
Уточнил случай при указании dhcp-option в клиентском конфиге
Link to comment
Share on other sites

  • 3 weeks later...
В 09.03.2019 в 21:11, alxbz сказал:

А есть ли возможность сделать так, чтобы dns-proxy использовал dhcp dns только до подключения, а после подключения openvpn клиента и получения push dhcp-option dns (ну, или при указании в клиентском openvpn конфиге dhcp-option DNS) кинетик использовал только DNS, полученный от сервера (или явно указанный в конфиге)?
Сейчас удалось добиться более-менее удобного поведения только полностью отключив dhcp-dns на основном интерфейсе. Если этого не сделать, даже не смотря на то, что vpn dns висит выше в списке show ip name-server, dns реквесты всё равно утекают в сервер, полученный по dhcp, видимо потому что он отвечает быстрее.
Однако это приводит к тому, что до подключения vpn dns не работает, и я не могу, например, указать в конфиге openvpn адрес сервера по доменному имени.
Спасибо.

Окольным путем это возможно:

- создаете профиль доступа, где есть только openvpn как wan, а остальных нет
- туда добавляете нужные устройства

В профилях доступа используются только dns, полученные от интерфейсов в этом профиле.

  • Thanks 3
Link to comment
Share on other sites

  • 3 weeks later...

Добрый день

После обновления с 2.15.C.3.0-(0?) до 2.15.C.3.0-2 - перестал работать openvpn

[I] Apr 14 11:15:23 OpenVPN1: OpenVPN 2.4.6 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD]
[I] Apr 14 11:15:23 OpenVPN1: library versions: OpenSSL 1.1.1b  26 Feb 2019, LZO 2.10
[I] Apr 14 11:15:23 OpenVPN1: Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
[I] Apr 14 11:15:23 OpenVPN1: Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
[I] Apr 14 11:15:23 OpenVPN1: Socket Buffers: R=[155648->155648] S=[155648->155648]
[I] Apr 14 11:15:23 OpenVPN1: UDP link local: (not bound)
[I] Apr 14 11:15:23 OpenVPN1: UDP link remote: [AF_INET]X.X.X.X:4911
[I] Apr 14 11:15:23 OpenVPN1: NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
[E] Apr 14 11:15:23 OpenVPN1: write UDP: Network is unreachable (code=128)
[I] Apr 14 11:15:23 OpenVPN1: Network unreachable, restarting
[I] Apr 14 11:15:23 OpenVPN1: SIGTERM[soft,network-unreachable] received, process exiting
[E] Apr 14 11:15:23 ndm: Service: "OpenVPN1": unexpectedly stopped.

При этом другие устройства (и лэптоп, и телефоны) успешно коннектятся как и раньше.

Link to comment
Share on other sites

  • 3 weeks later...

Ребята, такая ситуация.

Есть проводное интернет соединиение , резерв настрен на usb 4G.

Все прекрасно работает, пропадает основной проводной интернет, мгновенно переключается на 4G.

Суть вопроса, когда основной канал интернет работает, могу поднять openvpn соединение, а вот на резервном 4G нивкакую неподнимается.

 

Думал, может с 4G какая проблема, на компьютере без проблем, через 4G поднимается openvpn.

Что порекомендуете?

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...