thefox Posted March 6, 2018 Share Posted March 6, 2018 (edited) Всем привет! Не пойму, в старом интерфейсе все работало и работает, а в новом не особо хочет... соединение поднято, висит, а трафик через него не идет... в старом у ovpn был приоритет выше чем у интернет-соединения, а как тут его поднять? Edited March 6, 2018 by thefox Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted March 6, 2018 Share Posted March 6, 2018 1 час назад, thefox сказал: Всем привет! Не пойму, в старом интерфейсе все работало и работает, а в новом не особо хочет... соединение поднято, висит, а трафик через него не идет... в старом у ovpn был приоритет выше чем у интернет-соединения, а как тут его поднять? Создавайте тему в 2.12 про новый веб. Quote Link to comment Share on other sites More sharing options...
dmitrya Posted March 11, 2018 Share Posted March 11, 2018 Мои замеры показали 20-25 Мб/с. Неплохо для Ultra II с openvpn сервером. Quote Link to comment Share on other sites More sharing options...
vleonv Posted March 26, 2018 Share Posted March 26, 2018 Друзья, помогите, пожалуйста, найти причину в настройках OpenVPN подключения. В качестве сервера выступает KN-1010 с 2.12, в качестве клиента S7 (SM-G930F) c OpenVPN для Android 0.6.73 (хотя клиент значения не имеет, тоже самое и с другими клиентами). Подключение происходит, пинг между клиентом и сервером проходит в обе стороны, клиент прекрасно выходит в мир, но не вижу ни одного клиента из домашней сети, подключенных к роутеру кабелем или wifi Конфиг сревера Скрытый текст port 1194 proto udp dev tun <ca> </ca> <cert> </cert> <key> </key> <dh> </dh> topology subnet server 192.168.128.0 255.255.255.0 client-to-client keepalive 10 120 <tls-auth> </tls-auth> key-direction 0 cipher AES-256-CBC persist-key persist-tun verb 3explicit-exit-notify 1 конфиг клиента Скрытый текст client dev tun proto udp remote my host 1194 resolv-retry infinite nobind route 0.0.0.0 0.0.0.0 persist-key persist-tun <ca> </ca> <cert> </cert> <key> </key> remote-cert-tls server <tls-auth> </tls-auth> key-direction 1 cipher AES-256-CBC verb 3 Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted March 27, 2018 Share Posted March 27, 2018 23 часа назад, vleonv сказал: Друзья, помогите, пожалуйста, найти причину в настройках OpenVPN подключения. В качестве сервера выступает KN-1010 с 2.12, в качестве клиента S7 (SM-G930F) c OpenVPN для Android 0.6.73 (хотя клиент значения не имеет, тоже самое и с другими клиентами). Подключение происходит, пинг между клиентом и сервером проходит в обе стороны, клиент прекрасно выходит в мир, но не вижу ни одного клиента из домашней сети, подключенных к роутеру кабелем или wifi Конфиг сревера Показать содержимое port 1194 proto udp dev tun <ca> </ca> <cert> </cert> <key> </key> <dh> </dh> topology subnet server 192.168.128.0 255.255.255.0 client-to-client keepalive 10 120 <tls-auth> </tls-auth> key-direction 0 cipher AES-256-CBC persist-key persist-tun verb 3explicit-exit-notify 1 конфиг клиента Показать содержимое client dev tun proto udp remote my host 1194 resolv-retry infinite nobind route 0.0.0.0 0.0.0.0 persist-key persist-tun <ca> </ca> <cert> </cert> <key> </key> remote-cert-tls server <tls-auth> </tls-auth> key-direction 1 cipher AES-256-CBC verb 3 Нужен еще конфиг устройства и более развернутое описание, что вы подразумеваете под "не видит клиентов", хотя "пинг ходит". Quote Link to comment Share on other sites More sharing options...
vleonv Posted March 27, 2018 Share Posted March 27, 2018 (edited) Скрытый текст ! $$$ Model: Keenetic Giga ! $$$ Version: 2.06.1 ! $$$ Agent: http/rci ! $$$ Last change: Sun, 25 Mar 2018 19:13:36 GMT ! $$$ Md5 checksum: fddcaca52aa5aafa8b83f27072946593 system set net.ipv4.ip_forward 1 set net.ipv4.tcp_fin_timeout 30 set net.ipv4.tcp_keepalive_time 120 set net.ipv4.neigh.default.gc_thresh1 256 set net.ipv4.neigh.default.gc_thresh2 1024 set net.ipv4.neigh.default.gc_thresh3 2048 set net.ipv6.neigh.default.gc_thresh1 256 set net.ipv6.neigh.default.gc_thresh2 1024 set net.ipv6.neigh.default.gc_thresh3 2048 set net.netfilter.nf_conntrack_tcp_timeout_established 1200 set net.netfilter.nf_conntrack_max 16384 set vm.swappiness 60 set vm.overcommit_memory 0 set vm.vfs_cache_pressure 1000 set net.ipv6.conf.all.forwarding 1 set net.ipv6.conf.all.accept_ra 1 no led FN_1 indicate no led FN_2 indicate no button WLAN on click no button WLAN on double-click no button WLAN on hold no button FN1 on click no button FN2 on click clock timezone Europe/Moscow clock date 25 Mar 2018 22:13:35 domainname WORKGROUP hostname Keenetic ! ntp server 0.pool.ntp.org ntp server 1.pool.ntp.org ntp server 2.pool.ntp.org ntp server 3.pool.ntp.org access-list _WEBADMIN_PPPoE0 permit icmp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 permit tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 157 permit udp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 1194 ! access-list _WEBADMIN_ISP permit icmp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 permit tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 157 permit udp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 1194 ! isolate-private user admin password md5 password nt tag cli ! user xxx password md5 password nt tag http-proxy tag cli tag http ! interface GigabitEthernet0 up ! interface GigabitEthernet0/0 rename 1 switchport mode access switchport access vlan 1 up ! interface GigabitEthernet0/1 rename 2 switchport mode access switchport access vlan 1 up ! interface GigabitEthernet0/2 rename 3 switchport mode access switchport access vlan 1 up ! interface GigabitEthernet0/3 rename 4 switchport mode access switchport access vlan 1 up ! interface GigabitEthernet0/Vlan1 description "Home VLAN" security-level private ip dhcp client dns-routes ip dhcp client name-servers up ! interface GigabitEthernet0/Vlan3 description "Guest VLAN" security-level protected ip dhcp client dns-routes ip dhcp client name-servers up ! interface GigabitEthernet1 rename ISP description "Broadband connection" mac address factory wan security-level public ip address dhcp ip dhcp client dns-routes ip dhcp client name-servers ip mtu 1500 ip access-group _WEBADMIN_ISP in igmp upstream up ! interface GigabitEthernet1/0 rename 0 up ! interface WifiMaster0 country-code US compatibility N channel width 40-below beamforming no explicit no vht up ! interface WifiMaster0/AccessPoint0 rename AccessPoint description "Wi-Fi access point" mac access-list type none security-level private authentication wpa-psk ns3 encryption enable encryption wpa2 ip dhcp client dns-routes ip dhcp client name-servers ssid xxx wmm up ! interface WifiMaster0/AccessPoint1 rename GuestWiFi description "Guest access point" mac access-list type none security-level private ip dhcp client dns-routes ip dhcp client name-servers ssid Guest wmm down ! interface WifiMaster0/AccessPoint2 mac access-list type none security-level private ip dhcp client dns-routes ip dhcp client name-servers down ! interface WifiMaster0/AccessPoint3 mac access-list type none security-level private ip dhcp client dns-routes ip dhcp client name-servers down ! interface WifiMaster0/WifiStation0 security-level public encryption disable ip dhcp client dns-routes ip dhcp client name-servers down ! interface WifiMaster1 country-code US compatibility AN+AC channel 44 channel width 40-above/80 no band-steering beamforming no explicit up ! interface WifiMaster1/AccessPoint0 rename AccessPoint_5G description "5Ghz Wi-Fi access point" mac access-list type none security-level private authentication wpa-psk ns3 encryption enable encryption wpa2 ip dhcp client dns-routes ip dhcp client name-servers ssid xxx_5G wmm up ! interface WifiMaster1/AccessPoint1 mac access-list type none security-level private ip dhcp client dns-routes ip dhcp client name-servers down ! interface WifiMaster1/AccessPoint2 mac access-list type none security-level private ip dhcp client dns-routes ip dhcp client name-servers down ! interface WifiMaster1/AccessPoint3 mac access-list type none security-level private ip dhcp client dns-routes ip dhcp client name-servers down ! interface WifiMaster1/WifiStation0 security-level public encryption disable ip dhcp client dns-routes ip dhcp client name-servers down ! interface Bridge0 rename Home description "Home network" inherit GigabitEthernet0/Vlan1 include AccessPoint include AccessPoint_5G security-level private ip address 192.168.1.1 255.255.255.0 ip dhcp client dns-routes ip dhcp client name-servers up ! interface Bridge1 rename Guest description "Guest network" traffic-shape rate 5120 inherit GigabitEthernet0/Vlan3 include GuestWiFi security-level protected ip address 10.1.30.1 255.255.255.0 ip dhcp client dns-routes ip dhcp client name-servers up ! interface PPPoE0 description "Broadband connection" role inet no ipv6cp lcp echo 30 3 ipcp default-route ipcp name-servers ipcp dns-routes no ccp security-level public authentication identity xxx authentication password ns3 ip dhcp client dns-routes ip dhcp client name-servers ip mtu 1492 ip access-group _WEBADMIN_PPPoE0 in ip global 350 ip tcp adjust-mss pmtu ipv6 address auto ipv6 prefix auto ipv6 name-servers auto ping-check profile default connect via ISP up ! interface OpenVPN0 description OpenVpn role misc security-level private ip dhcp client dns-routes ip dhcp client name-servers ip tcp adjust-mss pmtu openvpn accept-routes up ! ip dhcp pool _WEBADMIN range 192.168.1.33 192.168.1.72 lease 25200 bind Home enable ! ip dhcp pool _WEBADMIN_GUEST_AP range 10.1.30.33 10.1.30.52 bind Guest enable ! ip http port 80 ip http security-level private ip http lockout-policy 5 15 3 ip http ssl enable ip http ssl redirect ip nat Home ip nat Guest ip nat OpenVPN0 ip telnet port 23 security-level private lockout-policy 5 15 3 ! ip ssh port 157 security-level private lockout-policy 5 15 3 ! ip hotspot default-policy deny ! ipv6 subnet Default bind Home number 0 mode slaac ! ipv6 firewall ppe software ppe hardware upnp lan Home service dhcp service dns-proxy service igmp-proxy service http service telnet service ssh service ntp-client service upnp components auto-update disable ! ! Пинг проходит со стороны роутера (непосредственно с роутера) к клиенту, и с клиента на сам роутер, а вот компьютеры, NAS и прочие домашние устройства недоступны. Другими слова клиент подключенный к роутеру по OpenVPN полноценно видит мир и сам роутер, но не видит домашнюю сеть Edited March 27, 2018 by vleonv Quote Link to comment Share on other sites More sharing options...
dvg_lab Posted March 30, 2018 Share Posted March 30, 2018 Коллеги, подскажите зачем создается роут /32 в сторону OpenVPN сервера? Суть в чем, у меня например статический WAN, дублирующийся USB модемом через MTC, так вот openvpn клиент поднимает соединение, все хорошо, потом у меня падает статический WAN, пингчекер это видит, сразу же дефолт переключает на USB модем, но OpenVPN не может пере-поднять соединение потому что в таблице маршрутизации стоит жесткий роут на IP адрес OpenVPN сервера через тот упавший интерфейс. При этом интернет функционирует, сайты открываются и все нормально, но на сайты таких вот роутов нет.. Пока что кроме ребута роутера ничего не придумал, понимаю что можно каким-то макаром этот /32й роут переставлять на свисток... но мож я что не так делаю подскажите плс как победить резервирование OpenVPN подключения в автомате? Quote Link to comment Share on other sites More sharing options...
r13 Posted March 30, 2018 Share Posted March 30, 2018 @dvg_lab Вообще должен перескакивавать при переподключении openvpn, если нет, то бага или в насройках openvpn включена опция подключаться через этот интерфейс. потестю на досуге. Quote Link to comment Share on other sites More sharing options...
dvg_lab Posted March 30, 2018 Share Posted March 30, 2018 Забыл сказать, что я на отладочной 2.12.А.4.0-9, после нескольких перезагрузок стал нормально работать и этот мелкий роут исчезает при обрыве WAN. Изначальная настройка на OpenVPN подключаться через любой доступный интерфейс. Возможно проблема именно в бетта версии прошивки.. попробую откатить на сток и потестить там. PS: Похоже я похороню все свои 200 асусов и перезакуплюсь зухелями )) Казалось бы простой функционал - OpenVPN клиент с резервированием аплинка и вменяемым файрволингом из коробки нормально работает только на Кинетиках. Из хотелок остались съемные рога (не везде нужен WiFi), питание через POE, соответственно и POE инжектор хотябы на одном порту и 8 портов LAN, и конкуренты будут долго и нервно курить в сторонке, это будет Killer фича для бизнеса с мелкими филиалами по всей стране, куда железку дороже 10к просто экономически невыгодно ставить. Quote Link to comment Share on other sites More sharing options...
ndm Posted March 30, 2018 Share Posted March 30, 2018 1 hour ago, dvg_lab said: Казалось бы простой функционал - OpenVPN клиент с резервированием аплинка и вменяемым файрволингом из коробки нормально работает только на Кинетиках. В 2.13 мы планируем и дальше развивать функцию "подключаться через", а именно задействовать routing policy для явного указания перечня подключений и их приоритетов, которыми будет пользоваться VPN-клиент (любой, в том числе OpenVPN). Следите за новостями. 2 Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted March 30, 2018 Share Posted March 30, 2018 8 часов назад, dvg_lab сказал: Коллеги, подскажите зачем создается роут /32 в сторону OpenVPN сервера? Суть в чем, у меня например статический WAN, дублирующийся USB модемом через MTC, так вот openvpn клиент поднимает соединение, все хорошо, потом у меня падает статический WAN, пингчекер это видит, сразу же дефолт переключает на USB модем, но OpenVPN не может пере-поднять соединение потому что в таблице маршрутизации стоит жесткий роут на IP адрес OpenVPN сервера через тот упавший интерфейс. При этом интернет функционирует, сайты открываются и все нормально, но на сайты таких вот роутов нет.. Пока что кроме ребута роутера ничего не придумал, понимаю что можно каким-то макаром этот /32й роут переставлять на свисток... но мож я что не так делаю подскажите плс как победить резервирование OpenVPN подключения в автомате? OpenVPN внутри себя имеет ping-check встроенный, настройте его так, чтобы он через 30 секунд недоступности туннеля (или сколько вам хочется) переинициировал соединение. Или скиньте конфиг openvpn с вырезаными ключами, посмотрим что там не так и подправим. Quote Link to comment Share on other sites More sharing options...
Usatyj Posted March 30, 2018 Share Posted March 30, 2018 (edited) 1 час назад, Le ecureuil сказал: Или скиньте конфиг openvpn с вырезаными ключами, посмотрим что там не так и подправим. Del Edited March 30, 2018 by Usatyj Это не мой случай Quote Link to comment Share on other sites More sharing options...
dvg_lab Posted March 31, 2018 Share Posted March 31, 2018 13 часа назад, Le ecureuil сказал: OpenVPN внутри себя имеет ping-check встроенный, настройте его так, чтобы он через 30 секунд недоступности туннеля (или сколько вам хочется) переинициировал соединение. Или скиньте конфиг openvpn с вырезаными ключами, посмотрим что там не так и подправим. Заработало и пока повторить подобное поведение не удается (пока еще на отладочной прошивке), сейчас экспериментирую с lz4-v2, там не все так очевидно, клиент вангует что применяется опция comp-lzo но это я так понимаю косяки самого openvpn и к интеграции отношения не имеют. Планируется ли к выпуску железка со съемными рогами? У меня под кассой места категорически нет, рога мешают Не совсем по теме маленький вопрос - ткните чем автоматизировать настройку новых роутеров, как заливать openvpn.conf в железку, ато мне их 200шт подымать, руками копипастить или curl к вебу прикручивать это изврат кмк. Quote Link to comment Share on other sites More sharing options...
Сергей Молоков Posted March 31, 2018 Share Posted March 31, 2018 11 минуту назад, dvg_lab сказал: Планируется ли к выпуску железка со съемными рогами? У меня под кассой места категорически нет, рога мешают Рога напрягают, согласен. Тоже испытываю неудобства на розничных точках. Раньше съемные были, было удобно! Quote Link to comment Share on other sites More sharing options...
raf Posted April 1, 2018 Share Posted April 1, 2018 Как указать, чтобы openvpn клиенту выдавался конкретный статический ip? Обычно это делается на сервере в именных файлах в ccd/ командой 'ifconfig-push 10.8.0.x 255.255.255.0'. Как это реализовано в NDMS? Quote Link to comment Share on other sites More sharing options...
dvg_lab Posted April 2, 2018 Share Posted April 2, 2018 (edited) Я в замешательстве. За Кинетиком сеть 10.4.49.0/24, она роутится, вот ccd: ifconfig-push 10.8.0.3 255.255.0.0 iroute 10.4.49.0 255.255.255.0 в openvpn.conf на сервере также прописано: route 10.4.49.0 255.255.255.0 10.8.0.3 Я с компа за Кинетиком (10.4.49.200) пингую комп уже за OpenVPN сервером, то есть условно между двумя компами находится OpenVPN сервер с двумя интерфейсами и Кинетик, а на OpenVPN клиенте (?) пакеты натятся, хотя не должны. Подробнее: пинг уходит по такой цепочке Комп 10.4.49.200 -> Keenetic 10.4.49.1 (OpenVPN клиент 10.8.0.3) -> Сервер 10.8.0.1 (второй интерфейс сервера 192.168.200.11) -> комп 192.168.200.5 и вот тут я вижу что пакеты приходят с 10.8.0.3, хотя должны приходить с 10.4.49.200. В конфиге кинетика не нашел где может натится на OpenVPN интерфейсе. Да topology subnet... Подскажите куда копнуть плс. Причем с сервера пинги на 10.4.49.200 проходят.. Edited April 2, 2018 by dvg_lab Quote Link to comment Share on other sites More sharing options...
dvg_lab Posted April 2, 2018 Share Posted April 2, 2018 Почитал тему... походу NAT на интерфейсе openvpn не выключается... это печаль.. Господа, правильно ли я понял что когда будет внедрён PBR, то тогда появится возможность вырубать NAT на openvpn интерфейсе? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted April 4, 2018 Share Posted April 4, 2018 В 3/31/2018 в 08:00, dvg_lab сказал: Заработало и пока повторить подобное поведение не удается (пока еще на отладочной прошивке), сейчас экспериментирую с lz4-v2, там не все так очевидно, клиент вангует что применяется опция comp-lzo но это я так понимаю косяки самого openvpn и к интеграции отношения не имеют. Планируется ли к выпуску железка со съемными рогами? У меня под кассой места категорически нет, рога мешают Не совсем по теме маленький вопрос - ткните чем автоматизировать настройку новых роутеров, как заливать openvpn.conf в железку, ато мне их 200шт подымать, руками копипастить или curl к вебу прикручивать это изврат кмк. Через curl + rci все можно отлично сделать. Например, создать интерфейс OpenVPN0, сделать его глобальным с приоритетом 200, включить получение роутов, сразу залить конфиг: curl -X POST http://192.168.1.1/rci/interface?name=OpenVPN0 -H "Content-Type: application/json" -d "{\"up\": true, \"ip\":{\"global\":{\"priority\":200}}, \"openvpn\":{\"accept-routes\":true, \"config\":\"JSON_ESCAPED_CONFIG\"}}" --digest -uadmin:test Сохранить настройки: curl -X POST http://192.168.1.1/rci/system/configuration/save -H "Content-Type: application/json" -d "{}" --digest -uadmin:test Quote Link to comment Share on other sites More sharing options...
raf Posted April 5, 2018 Share Posted April 5, 2018 Cоздаю соединение OVPN: Цитата mode server tls-server port xxx proto tcp-server dev tap topology subnet client-to-client ifconfig x.x.x.1 255.255.255.0 ifconfig-pool x.x.x.2 x.x.x.99 push "route-gateway x.x.x.1" route-gateway x.x.x.1 ... Все работает: клиенты подключаются. Но в списке сетей не появляется сегмент OVPN и мониторить подключенные компьютеры нет возможности. Его (сегмент) надо добавлять вручную? Как это сделать? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted April 5, 2018 Share Posted April 5, 2018 37 минут назад, raf сказал: Cоздаю соединение OVPN: Все работает: клиенты подключаются. Но в списке сетей не появляется сегмент OVPN и мониторить подключенные компьютеры нет возможности. Его (сегмент) надо добавлять вручную? Как это сделать? Пока никак, функционал сервера openvpn пока реализован на зачаточном уровне. Планируется улучшение ситуации. Quote Link to comment Share on other sites More sharing options...
vleonv Posted April 5, 2018 Share Posted April 5, 2018 В 26.03.2018 в 11:53, vleonv сказал: Друзья, помогите, пожалуйста, найти причину в настройках OpenVPN подключения. В качестве сервера выступает KN-1010 с 2.12, в качестве клиента S7 (SM-G930F) c OpenVPN для Android 0.6.73 (хотя клиент значения не имеет, тоже самое и с другими клиентами). Подключение происходит, пинг между клиентом и сервером проходит в обе стороны, клиент прекрасно выходит в мир, но не вижу ни одного клиента из домашней сети, подключенных к роутеру кабелем или wifi Конфиг сревера Показать содержимое port 1194 proto udp dev tun <ca> </ca> <cert> </cert> <key> </key> <dh> </dh> topology subnet server 192.168.128.0 255.255.255.0 client-to-client keepalive 10 120 <tls-auth> </tls-auth> key-direction 0 cipher AES-256-CBC persist-key persist-tun verb 3explicit-exit-notify 1 конфиг клиента Показать содержимое client dev tun proto udp remote my host 1194 resolv-retry infinite nobind route 0.0.0.0 0.0.0.0 persist-key persist-tun <ca> </ca> <cert> </cert> <key> </key> remote-cert-tls server <tls-auth> </tls-auth> key-direction 1 cipher AES-256-CBC verb 3 В 27.03.2018 в 11:14, vleonv сказал: Показать содержимое ! $$$ Model: Keenetic Giga ! $$$ Version: 2.06.1 ! $$$ Agent: http/rci ! $$$ Last change: Sun, 25 Mar 2018 19:13:36 GMT ! $$$ Md5 checksum: fddcaca52aa5aafa8b83f27072946593 system set net.ipv4.ip_forward 1 set net.ipv4.tcp_fin_timeout 30 set net.ipv4.tcp_keepalive_time 120 set net.ipv4.neigh.default.gc_thresh1 256 set net.ipv4.neigh.default.gc_thresh2 1024 set net.ipv4.neigh.default.gc_thresh3 2048 set net.ipv6.neigh.default.gc_thresh1 256 set net.ipv6.neigh.default.gc_thresh2 1024 set net.ipv6.neigh.default.gc_thresh3 2048 set net.netfilter.nf_conntrack_tcp_timeout_established 1200 set net.netfilter.nf_conntrack_max 16384 set vm.swappiness 60 set vm.overcommit_memory 0 set vm.vfs_cache_pressure 1000 set net.ipv6.conf.all.forwarding 1 set net.ipv6.conf.all.accept_ra 1 no led FN_1 indicate no led FN_2 indicate no button WLAN on click no button WLAN on double-click no button WLAN on hold no button FN1 on click no button FN2 on click clock timezone Europe/Moscow clock date 25 Mar 2018 22:13:35 domainname WORKGROUP hostname Keenetic ! ntp server 0.pool.ntp.org ntp server 1.pool.ntp.org ntp server 2.pool.ntp.org ntp server 3.pool.ntp.org access-list _WEBADMIN_PPPoE0 permit icmp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 permit tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 157 permit udp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 1194 ! access-list _WEBADMIN_ISP permit icmp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 permit tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 157 permit udp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 1194 ! isolate-private user admin password md5 password nt tag cli ! user xxx password md5 password nt tag http-proxy tag cli tag http ! interface GigabitEthernet0 up ! interface GigabitEthernet0/0 rename 1 switchport mode access switchport access vlan 1 up ! interface GigabitEthernet0/1 rename 2 switchport mode access switchport access vlan 1 up ! interface GigabitEthernet0/2 rename 3 switchport mode access switchport access vlan 1 up ! interface GigabitEthernet0/3 rename 4 switchport mode access switchport access vlan 1 up ! interface GigabitEthernet0/Vlan1 description "Home VLAN" security-level private ip dhcp client dns-routes ip dhcp client name-servers up ! interface GigabitEthernet0/Vlan3 description "Guest VLAN" security-level protected ip dhcp client dns-routes ip dhcp client name-servers up ! interface GigabitEthernet1 rename ISP description "Broadband connection" mac address factory wan security-level public ip address dhcp ip dhcp client dns-routes ip dhcp client name-servers ip mtu 1500 ip access-group _WEBADMIN_ISP in igmp upstream up ! interface GigabitEthernet1/0 rename 0 up ! interface WifiMaster0 country-code US compatibility N channel width 40-below beamforming no explicit no vht up ! interface WifiMaster0/AccessPoint0 rename AccessPoint description "Wi-Fi access point" mac access-list type none security-level private authentication wpa-psk ns3 encryption enable encryption wpa2 ip dhcp client dns-routes ip dhcp client name-servers ssid xxx wmm up ! interface WifiMaster0/AccessPoint1 rename GuestWiFi description "Guest access point" mac access-list type none security-level private ip dhcp client dns-routes ip dhcp client name-servers ssid Guest wmm down ! interface WifiMaster0/AccessPoint2 mac access-list type none security-level private ip dhcp client dns-routes ip dhcp client name-servers down ! interface WifiMaster0/AccessPoint3 mac access-list type none security-level private ip dhcp client dns-routes ip dhcp client name-servers down ! interface WifiMaster0/WifiStation0 security-level public encryption disable ip dhcp client dns-routes ip dhcp client name-servers down ! interface WifiMaster1 country-code US compatibility AN+AC channel 44 channel width 40-above/80 no band-steering beamforming no explicit up ! interface WifiMaster1/AccessPoint0 rename AccessPoint_5G description "5Ghz Wi-Fi access point" mac access-list type none security-level private authentication wpa-psk ns3 encryption enable encryption wpa2 ip dhcp client dns-routes ip dhcp client name-servers ssid xxx_5G wmm up ! interface WifiMaster1/AccessPoint1 mac access-list type none security-level private ip dhcp client dns-routes ip dhcp client name-servers down ! interface WifiMaster1/AccessPoint2 mac access-list type none security-level private ip dhcp client dns-routes ip dhcp client name-servers down ! interface WifiMaster1/AccessPoint3 mac access-list type none security-level private ip dhcp client dns-routes ip dhcp client name-servers down ! interface WifiMaster1/WifiStation0 security-level public encryption disable ip dhcp client dns-routes ip dhcp client name-servers down ! interface Bridge0 rename Home description "Home network" inherit GigabitEthernet0/Vlan1 include AccessPoint include AccessPoint_5G security-level private ip address 192.168.1.1 255.255.255.0 ip dhcp client dns-routes ip dhcp client name-servers up ! interface Bridge1 rename Guest description "Guest network" traffic-shape rate 5120 inherit GigabitEthernet0/Vlan3 include GuestWiFi security-level protected ip address 10.1.30.1 255.255.255.0 ip dhcp client dns-routes ip dhcp client name-servers up ! interface PPPoE0 description "Broadband connection" role inet no ipv6cp lcp echo 30 3 ipcp default-route ipcp name-servers ipcp dns-routes no ccp security-level public authentication identity xxx authentication password ns3 ip dhcp client dns-routes ip dhcp client name-servers ip mtu 1492 ip access-group _WEBADMIN_PPPoE0 in ip global 350 ip tcp adjust-mss pmtu ipv6 address auto ipv6 prefix auto ipv6 name-servers auto ping-check profile default connect via ISP up ! interface OpenVPN0 description OpenVpn role misc security-level private ip dhcp client dns-routes ip dhcp client name-servers ip tcp adjust-mss pmtu openvpn accept-routes up ! ip dhcp pool _WEBADMIN range 192.168.1.33 192.168.1.72 lease 25200 bind Home enable ! ip dhcp pool _WEBADMIN_GUEST_AP range 10.1.30.33 10.1.30.52 bind Guest enable ! ip http port 80 ip http security-level private ip http lockout-policy 5 15 3 ip http ssl enable ip http ssl redirect ip nat Home ip nat Guest ip nat OpenVPN0 ip telnet port 23 security-level private lockout-policy 5 15 3 ! ip ssh port 157 security-level private lockout-policy 5 15 3 ! ip hotspot default-policy deny ! ipv6 subnet Default bind Home number 0 mode slaac ! ipv6 firewall ppe software ppe hardware upnp lan Home service dhcp service dns-proxy service igmp-proxy service http service telnet service ssh service ntp-client service upnp components auto-update disable ! ! Пинг проходит со стороны роутера (непосредственно с роутера) к клиенту, и с клиента на сам роутер, а вот компьютеры, NAS и прочие домашние устройства недоступны. Другими слова клиент подключенный к роутеру по OpenVPN полноценно видит мир и сам роутер, но не видит домашнюю сеть Друзья, может кто-нибудь поможет найти мне ошибку? Из-за чего клиенты подключенные к роутеру из домашней сети кроме роутера никого не видят? Quote Link to comment Share on other sites More sharing options...
r13 Posted April 5, 2018 Share Posted April 5, 2018 (edited) 18 минут назад, vleonv сказал: Друзья, может кто-нибудь поможет найти мне ошибку? Из-за чего клиенты подключенные к роутеру из домашней сети кроме роутера никого не видят? а если добавить в конфиг сервера push "route 192.168.1.0 255.255.255.0" Edited April 5, 2018 by r13 Quote Link to comment Share on other sites More sharing options...
artsel Posted April 5, 2018 Share Posted April 5, 2018 Как пробросить интерфейс CDCEthernet через OpenVPN? Доступ ко всем устройствам домашней сети уже есть, а пробросить Bridge не получается Quote Link to comment Share on other sites More sharing options...
vleonv Posted April 5, 2018 Share Posted April 5, 2018 2 часа назад, r13 сказал: а если добавить в конфиг сервера push "route 192.168.1.0 255.255.255.0" К сожалению не помогло Quote Link to comment Share on other sites More sharing options...
r13 Posted April 5, 2018 Share Posted April 5, 2018 22 минуты назад, vleonv сказал: К сожалению не помогло Тогда описывайте подробно и в деталях кто и кого не видит и как проверяли. ЗЫ еще смущает route 0.0.0.0 0.0.0.0 в клиентском конфиге. ИМХО лучше управлять роутингом openvpn со стороны сервера. Quote Link to comment Share on other sites More sharing options...
vleonv Posted April 5, 2018 Share Posted April 5, 2018 Постараюсь доступно описать. Имеем роутер KN-1010, к которому подключено чуть более десятка устройств (компьютеры, файловое хранилище, смартфоны и т.п.). На роутере поднимаем openvpn сервер, конфиг выше приложен. Далее есть несколько удаленных клиентов, которые подключаются по openvpn, при этом не имеет значения виндовый или линуксный клиент это. Для примера я беру смартфон Galaxy S7 (SM-G930F) c OpenVPN для Android 0.6.73, его конфиг выше приложен.Теперь описываю ситуацию: удаленный клиент S7 подключается по openvpn к роутеру KN-1010 при этом получает ip 192.168.128.2 и весь интернет трафик заворачивается через роутер. Т.е. работает так как надо, но у клиента отсутствует доступ к домашним устройствам подключенным к роутеру (отсутствие доступа обоюдное, т.е. домашние тоже не могут даже пропинговать клиент S7). Но при этом как с клиента S7 я могу получить доступ к web-морде роутера по адресу 192.168.1.1, так и роутер может пропинговать клиента по адресу 192.168.128.2 route 0.0.0.0 0.0.0.0 в клиентском конфиге могу убрать и проверить завтра днем работу без него, но эту строку добавляет само приложение OpenVPN для Android 0.6.73 при активации пункта "направлять весь IPv4 трафик через сервер" и в конфиге виндовых или линуксовых клиентов этого нет Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted April 5, 2018 Share Posted April 5, 2018 38 минут назад, vleonv сказал: Постараюсь доступно описать. Имеем роутер KN-1010, к которому подключено чуть более десятка устройств (компьютеры, файловое хранилище, смартфоны и т.п.). На роутере поднимаем openvpn сервер, конфиг выше приложен. Далее есть несколько удаленных клиентов, которые подключаются по openvpn, при этом не имеет значения виндовый или линуксный клиент это. Для примера я беру смартфон Galaxy S7 (SM-G930F) c OpenVPN для Android 0.6.73, его конфиг выше приложен.Теперь описываю ситуацию: удаленный клиент S7 подключается по openvpn к роутеру KN-1010 при этом получает ip 192.168.128.2 и весь интернет трафик заворачивается через роутер. Т.е. работает так как надо, но у клиента отсутствует доступ к домашним устройствам подключенным к роутеру (отсутствие доступа обоюдное, т.е. домашние тоже не могут даже пропинговать клиент S7). Но при этом как с клиента S7 я могу получить доступ к web-морде роутера по адресу 192.168.1.1, так и роутер может пропинговать клиента по адресу 192.168.128.2 route 0.0.0.0 0.0.0.0 в клиентском конфиге могу убрать и проверить завтра днем работу без него, но эту строку добавляет само приложение OpenVPN для Android 0.6.73 при активации пункта "направлять весь IPv4 трафик через сервер" и в конфиге виндовых или линуксовых клиентов этого нет Скидывайте self-test с сервера, постараюсь разобраться что там не так. 1 Quote Link to comment Share on other sites More sharing options...
vleonv Posted April 5, 2018 Share Posted April 5, 2018 (edited) Хорошо, завтра так и сделаю, когда буду удаленно заходить домой P.S. Хотя для чего ждать завтра если можно сейчас подключится к соседской точке. Короче self-test прилагаю Edited April 5, 2018 by vleonv Quote Link to comment Share on other sites More sharing options...
r13 Posted April 5, 2018 Share Posted April 5, 2018 9 минут назад, vleonv сказал: Хорошо, завтра так и сделаю, когда буду удаленно заходить домой Еще в cli выполните no isolate-private system configuration save 1 Quote Link to comment Share on other sites More sharing options...
vleonv Posted April 5, 2018 Share Posted April 5, 2018 Всем откликнувшимся спасибо, особенно r13. Вопрос закрыт для меня, все работает Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.