KorDen Posted June 10, 2017 Author Share Posted June 10, 2017 2 часа назад, IgaX сказал: они все-равно палятся, когда не по форме отвечают: Речь не об OpenVPN на 443 порту, а о детексте наличия OpenVPN со стороны сервера, на который вы заходите - https://habrahabr.ru/post/216295/ + https://witch.valdikss.org.ru/ @T@rkus, с такими параметрами mtu я бы не рекомендовал использовать TCP, тем более если у вас UDP нормально работает. Лучше всего использовать UDP на 1194 порту, 53 и 443 используются для специфических случаев (выход через HTTP-прокси и т.п.) 1 Quote Link to comment Share on other sites More sharing options...
IgaX Posted June 11, 2017 Share Posted June 11, 2017 9 часов назад, KorDen сказал: Речь не об OpenVPN на 443 порту Не, речь как раз о том, что было бы в кассу: port-share И если честно, то после WoSign и StartCom читать не стал. Quote Link to comment Share on other sites More sharing options...
Александр Рыжов Posted June 11, 2017 Share Posted June 11, 2017 10 часов назад, KorDen сказал: 53 и 443 используются для специфических случаев (выход через HTTP-прокси и т.п.) ЗЫ Гостевые сети на SmartBox'ах заворачивают на Captive Portal только порты TCP80 и TCP443. И позволяет спокойно подключаться к OpenVPN-серверу на порту UDP53. Quote Link to comment Share on other sites More sharing options...
KorDen Posted June 11, 2017 Author Share Posted June 11, 2017 47 минут назад, Александр Рыжов сказал: ЗЫ Гостевые сети на SmartBox'ах заворачивают на Captive Portal только порты TCP80 и TCP443. И позволяет спокойно подключаться к OpenVPN-серверу на порту UDP53. Смысл UDP/53 мне ясен (отчасти), но у некоторых провайдеров UDP/53 полностью перенаправляется на свои серверы, в итоге работать не будет. Quote Link to comment Share on other sites More sharing options...
pachalia Posted June 11, 2017 Share Posted June 11, 2017 А можно ли где находиться список устройств домашней сети добавить ещё один пункт: Подключение через _. И дальше выбрать какое подключение использовать. Просто если включаешь OpenVPN то все переводятся на него. Было бы неплохо иметь возможность раскидать клиентов на тех кто на нём сидит, и на тех кто на обычном подключение. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted June 11, 2017 Share Posted June 11, 2017 2 часа назад, pachalia сказал: А можно ли где находиться список устройств домашней сети добавить ещё один пункт: Подключение через _. И дальше выбрать какое подключение использовать. Просто если включаешь OpenVPN то все переводятся на него. Было бы неплохо иметь возможность раскидать клиентов на тех кто на нём сидит, и на тех кто на обычном подключение. Пока точно нет. Quote Link to comment Share on other sites More sharing options...
pachalia Posted June 11, 2017 Share Posted June 11, 2017 3 часа назад, Le ecureuil сказал: Пока точно нет. А такое вообще реализовать можно? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted June 11, 2017 Share Posted June 11, 2017 Только что, pachalia сказал: А такое вообще реализовать можно? Вообще можно, а через Entware/Debian даже сейчас. Но средствами прошивки пока нельзя. Quote Link to comment Share on other sites More sharing options...
Александр Рыжов Posted June 11, 2017 Share Posted June 11, 2017 4 часа назад, pachalia сказал: Просто если включаешь OpenVPN то все переводятся на него. Было бы неплохо иметь возможность раскидать клиентов на тех кто на нём сидит, и на тех кто на обычном подключение. 2 часа назад, Le ecureuil сказал: Вообще можно, а через Entware/Debian даже сейчас. Но средствами прошивки пока нельзя. Может добавить в /opt/etc/ndm/openvpn.d стандартные вызовы скриптов OpenVPN? $ cat openvpn.conf ... script-security 2 client-connect /opt/etc/ndm/openvnp.d/... client-disconnect /opt/etc/ndm/openvnp.d/... И для сервера и для клиента. Тогда можно будет и подсети друг с другом дружить, и клиентам выборочно роутинг назначать и сделать "always VPN" как в ондроеде. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted June 11, 2017 Share Posted June 11, 2017 4 часа назад, Александр Рыжов сказал: Может добавить в /opt/etc/ndm/openvpn.d стандартные вызовы скриптов OpenVPN? $ cat openvpn.conf ... script-security 2 client-connect /opt/etc/ndm/openvnp.d/... client-disconnect /opt/etc/ndm/openvnp.d/... И для сервера и для клиента. Тогда можно будет и подсети друг с другом дружить, и клиентам выборочно роутинг назначать и сделать "always VPN" как в ондроеде. Можно, наверное так и сделаем. Сложность только в том, что не все скрипты разрешены во всех режимах + openvpn работает от nobody для снижения привелегий, но это поправимо. Quote Link to comment Share on other sites More sharing options...
Сергей Молоков Posted June 13, 2017 Share Posted June 13, 2017 В 10.06.2017 в 20:43, KorDen сказал: Вариант 2, более правильный: засунуть содержимое crt и key в ovpn: Открываем все файлы на редактирование в блокноте, смотрим в ovpn, какой файл указан в директиве ca (например ca serverca.crt). Удаляем эту строчку, вместо этого помещаем содержимое нужного файла в <ca> </ca> в конце ovpn файла. Аналогично делаем для key (<key>) и cert (<cert>). Использую такой конфиг: remote 10.2.9.84 port 1194 proto udp dev tun pkcs12 /opt/etc/openvpn/keys/clientvpn11.p12 dh /opt/etc/openvpn/keys/dh1024.pem tls-auth /opt/etc/openvpn/keys/ta.key 1 status /opt/etc/openvpn/status.log log /opt/etc/openvpn/openvpn.log route-method exe route-delay 3 client tls-client ns-cert-type server keepalive 10 120 comp-lzo persist-key persist-tun verb 3 как быть с pkcs12? Quote Link to comment Share on other sites More sharing options...
Dale Posted June 13, 2017 Share Posted June 13, 2017 (edited) Хотелось бы, чтобы клиент поддерживал вариант конфига с CA и X509 PEM, конечно же в виде файлов. Спасибо. Edited June 13, 2017 by Dale Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted June 13, 2017 Share Posted June 13, 2017 6 часов назад, Сергей Молоков сказал: Использую такой конфиг: remote 10.2.9.84 port 1194 proto udp dev tun pkcs12 /opt/etc/openvpn/keys/clientvpn11.p12 dh /opt/etc/openvpn/keys/dh1024.pem tls-auth /opt/etc/openvpn/keys/ta.key 1 status /opt/etc/openvpn/status.log log /opt/etc/openvpn/openvpn.log route-method exe route-delay 3 client tls-client ns-cert-type server keepalive 10 120 comp-lzo persist-key persist-tun verb 3 как быть с pkcs12? Вставляйте в тело конфига содержимое clientvpn11.p12 внутрь тегов <pkcs12></pkcs12>. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted June 13, 2017 Share Posted June 13, 2017 1 час назад, Dale сказал: Хотелось бы, чтобы клиент поддерживал вариант конфига с CA и X509 PEM, конечно же в виде файлов. Спасибо. Изначальный план у нас на встраивание CA/PEM внутрь конфига. Пока встраивание нужно делать руками, возможно потом это станет делать web, но суть все равно едина. Quote Link to comment Share on other sites More sharing options...
Dale Posted June 13, 2017 Share Posted June 13, 2017 (edited) 1 hour ago, Le ecureuil said: Изначальный план у нас на встраивание CA/PEM внутрь конфига. Пока встраивание нужно делать руками, возможно потом это станет делать web, но суть все равно едина. То есть сейчас PEM уже поддерживается? Какой для него нужно ставить тег, <pem></pem>? auth-user-pass, как я понял, пока не поддерживается? Edited June 13, 2017 by Dale Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted June 13, 2017 Share Posted June 13, 2017 4 часа назад, Dale сказал: То есть сейчас PEM уже поддерживается? Какой для него нужно ставить тег, <pem></pem>? auth-user-pass, как я понял, пока не поддерживается? Тег нужно ставить согласно команде, по которой он прописывается. auth-user-pass не поддерживается, потом сделаем чтобы блок <up></up> принимался заместо нее. Quote Link to comment Share on other sites More sharing options...
Сергей Молоков Posted June 14, 2017 Share Posted June 14, 2017 19 часов назад, Le ecureuil сказал: Вставляйте в тело конфига содержимое clientvpn11.p12 внутрь тегов <pkcs12></pkcs12>. Здравствуйте! такой получился конфиг: remote 10.2.9.84 port 1194 proto udp dev tun route-method exe route-delay 3 client tls-client ns-cert-type server keepalive 10 120 comp-lzo persist-key persist-tun verb 4 <tls-auth> # # 2048 bit OpenVPN static key # -----BEGIN OpenVPN Static key V1----- 1f1d18875c3bc7dac1652f6475681dd9 2951c918675974cc9915f913269e49bf 451131bab72a2aa148a6ed86d974cdbe f0b3425ab0a588301e54a9ea5ff8dffd 6539ef7aa34f2237375c85a46cf07970 b673c646a7fceed4fd179ddbaa3aea52 910f8a481a95494e3ecc0e046d253380 a64281682ee71658e876a6a139a6e456 d70a8a05cd7cca9660ede617d772c4f8 923d9130e07b179da1a4136e71910cb5 049b016744d7923d5669a240aa2d4bf6 e9564459826d89316f677c7823ae608a 1e8dbde98b45a29d9dee25beeeea9bcd 5d1f14f80c3bc0e0f5ca3fdf6d2eb4e9 a2b087cc36e7582a018f4688b4806178 452a850a66e33730671f8bb02ffe963e -----END OpenVPN Static key V1----- </tls-auth> <dh> -----BEGIN DH PARAMETERS----- MIGHAoGBANtvB/QMdIVgZOm1MnJC1At+GdJAO4CgmctrePs2+w4Pyl3xYg5sXBsn gzKCHpiAtaMS7ukOmiP6sNpZwuuyj1bkWJI/IuKm+DmFjtv2EUcTRaIbxDbirbjC Db9vJ4bCfARtW4eUbwuE0Yc8eLcJK4uT6J/BO94L+ChCt3wD2XtjAgEC -----END DH PARAMETERS----- </dh> <pkcs12> 0‚H66yH50H49H510‚H66?H54 *†H†ч H49H55H49 ‚H660H52‚H66,0‚H66(0‚�'H54 *†H†ч H49H55H54 ‚�I560‚�I52H50H49 0‚� H54 *†H†ч H49H55H490I67H54 *†H†ч H49�H49H540H69H52�ZI57З Ь�CH50H50� Ђ‚H55а�ИЪI66B€‘”ҐUI52вrI70щЮ`пыaЉ[6g0I57¤ p) ѓT.К\@књ5аСЗ[•n"BщH$$IGФH54™y8alH66і 8ћЯ2УЮёҐk_ёaX¶8M.Ѕв&e№I69ћI57гR№‚]&–€цN»И/тЫ“‘RI51Н‡H70Чv%ИuH518I54›H55ЏЖЧZ€3C[µbЂ'�|ѕЭ<т2MI50CМI51M�ѓд_§L,\Т|H50"~сЊ'¬H53єЙYСТв#(kЅњF·ЛшI52H55гЄH49�OСмЎdшлH54I50aI65 (зЁ€dНЇ±7‚FGџ I57Іб©H55Ѕf•«[i¦2тGH533ЗОJy4їЛј=I51С`м‹яШ lNдЄ9o¶МмІЖS9ҐэEҐЕb =Ц=P&иц–,ђі<нНIH52*0LЬH50ёСH50І/X-РЌрп‘@ЕЊzH49Z®ѓVП)сHOH55$_9 ms·Щr‹I67H69фI51m=H51HH55hRІ:Ю#F^H66яBH66кгwџaЦ H53ШхфнZџGЇ~I65Qс ЯуЛґI51ѓ$Ч±TfМ@PRЖщжp{t]H50Жp\иЅИҐI54qЫќќЯH53ЖGкb У7·e‘ДлulѕI69еБkU(ХКҐИH55OH54u<=Ь…њ¬„I66.Uk?.іC_I49ъµів–bЙ&MР’jеEІI50�*X–nп‚ „Ъ>‰‚BzС еИ~¤?‡BќxI52PфўzH55ѓ]5#—Ґё!H51R™5…zЧяКнЎI66Я\%M“�#j{YзїI48iщm…±I660^H66џ|ЗYвЈ¬ТйI66Ё-чЅ4№ЁH55†%hf#K�дЛk) E1ч±U I52ъI56Q[p±ѕF„™ЦP°ZLH505фК7Dј®dпщUа ЮГУЦnDкWэЖАcґI526H49ҐE›�12a4аI81в` ІцmMЙћ’}©I50H70к–Ґй�bСй<ыjУВУ3I52бъТЮдЏ*ъFю«I70бзrZЗNhPЌ‘®C—pКI51h@6ъI54&UёjL„иtH51tЋжл5fI49 чJ€,+wc5 ie~ЯH50I49GH52ЋЅw]Н¤ЪCIњUU„H660t™‹3?ў&шТъI53т»И‹д4f™!– k‚I56z\›gц»М"±H53”тBЅЊ6b¦4‹hIићї"/-¤I52±аrjаБdk'э‹юP§Ѕ(ЕЇ5o)19‹/…(шH55РЮ—Uп„”yљМSyµqdgЌЃE·Ф8№r4¦«ЁBI51бЊЭ®GгOYI50rх~Д6gЊ+I54hI70©eM»ЈдyH54H55'Вkэ]ьEI53т¦V№у=I66ЋH69bО‹(¬ohщQ9H51H690}°„(ВИжI55H69pиХ[є€ћОИZH700a±мH66D4I688H52*ЪzSHЫI56’b|uд;°“%Л?ЯH52>H70ШЪБЅSQXNб.гЖЎR›єL µ!%E{�ЦaI67ќОЯ§ дCI56)§щБ�I55ч‚I660Ы�H52ъЙћ+7H52 S"ћ®H66№ЦXд±ћ2nTµѕ¤AQ™zїKтйаS¦ЇyЭАБ‡юXИлI70I69СXI35їWWl¦МС(іK¶”І!аЫH518ЖH54I69H70_�·®H51d¤ТH54ЬOLћ-®Ѕ”; ¬BНэ”Ы-Є}CѕКU1I65‚ Zі:H53пC¤mнНhџH49аш>I53b+й^,ҐСJРЛw@Шtх?Дµ1�PrI56O·КцEвіwґКmВ–°~©jQJ�тN*dЏЄБI48I67I65Ыbz=o7ХІ:+ "H51‹I56 )H69с_A8‡хЕp#2рj@-pvH69и:э€Орфє0om�I49I66°x;Ґш[3H50ЇUH53ВВ§ЏVXј]Гџ–s%a/ЅtРьI70КЄ7•rH70o|чстгѓЅ<чK…�H51H516'іIwЙыѕWжMH70@�I57Х”БЗќI51АЌЧѕщ—n°bЁуЄ®H70[3В•ч4™ЧqЁC`ўI56FфdІЌ6±>MЌ»ё3—8щъiЭZ$Йs(э:SY'2ШWQШ%пЦПКW4€X?I54є$зБЃчVm‰A‘’I56ЊЯ¶НЉ”>фCH51I70ЁЁI50_»·фУ.·H53Эч›H51ОqnКЇЯxSFАH49dћ?ММ„ гЁ@уСCH70 fЫ±€�YЫ¦H53n¬9…яГ¦'ф СЬ :®Ъ/ I66Б ТІЉюH70[фїI69H51H49Ф{~охI56`›m¦ю_ дI69rbцO—чЮГ�І‘п8I69аФц€I69C§LЊѓ—yьIgXв?QH55I49=$vQaH70·I70єЉ"'Мs?%zH49‚рх7-8ќLwўж§ЛбИјю!Ей#�/=Fў(Ї±�5чд‘TґечЧ�7•§“:”к$·I69УѓJ!Ь]г;4#±‹«умђд§y7•mбH51H69ХµgЋH—но)ЏіАрI51“®С%}fSЯв¶i¬JloхЧѕЁѕL+3±'w¬cp‚Њёи—УKч#ЅV][GSI53ЄЎ™I67-S‰”H51I55б†MА¦L»\џћOA$xI54H54`ТiЌухыГI66[нїр H54Xх5†ФYH55РbI488“,rЩI57Г.њgYЕH54 ,Cп•љ{8Tg�}“H50>™¶гmVI70ќ°H49k}яЅ &чle“C#чєе‘ЊѕAH55дЪяы6ҐJ@~ґvMI70I521!ёђH51kЛfЇ@OyРРхl–ђ†©ђјЁ–ФтI53дЯl{ЮМЩI56ж<2_Wы/щjЃз!9К.+{ж]g…юI700ў©I56H49Јм»юЂgI·[§HЁшWP|ШWЊ1lOјЇHмћЫЦЉ°кГH692G ‰є(Ш?ЄЊю)RG{;ґЃXіїЏйdX;† ¬~ДTOC&ХИшLЖќod9±#H49]CЈЙkY6иЬfюkўэзЕ›€�јP№ЧzТҐ·WнQ >ш[I65ЭwI67xЉ/7/cv0‚H50щH54 *†H†ч H49H55H49 ‚H50кH52‚H50ж0‚H50в0‚H50ЮH54H66*†H†ч H49� H49H50 ‚H50¦0‚H20ў0I67H54 *†H†ч H49�H49H510H69H52�I49€оЄ т\QH50H50� H52‚H50Ђфх©†|I672°q1мѓJ“юБZоE=•�N¬“чy®!№H50I69шФI18¬м€\&й"FыhЪI66Љ©KО8% Г%dўОУkH69ЃљkѕI54�=ЊМ єI68ЁаМ8R™АcI52NҐI57¤ЏэыЇvт `H49f¦B§7lI50uЅФII562H55_I52cюnI54|я›џXI48H70ъ¦Nъбр№o»Р:{H70w:@h1_{3Ыi}уzЇІЁa#|eH667БH55“™I69�QЗэtґС™CЄ’Щјуе’єЏћI52?ґ‹ОКЦЭґsг+`]I57Ю[ЂЩIа%:I66ФЗH55ь#I69mН…¶fOєґAw†P>I54\¦ђrI55эI52Шsњ‘“ I49VuI65лH66эЭъkыeC: T‰Ї й„ I48€џЈаehм§)zI67H66YЦФяњЂҐIЗcИ-»§hhl±A!kFлKI67–Џtў I53ю °I52I49JЅђ“";БLэMvэOйI50#©сЛ�ЁЯ*¤RI48ХЪарI53H«фэG:Гb`ЎХ?I54ьЇ8шOъзH49ШїпцkњQ>х1I515‰зЪ!В8ќЭI56К¬и<ХI50?63EYХїosГзџl I57МB;ЃДI57ХbC\s#�в„Ш1џjПwb¦a‘Ѓ\дЈ}И–oH51ќI56›„‹I50ZXЖАpўxvЁ ЭИtdКR!›еµь7G�yпH54|H70I55LэЁJ€I56»Ш‘lуvt у—Л5«n*~БI676Я|чсхxѓ–•ЅрЈРU&Ь#дH69ЬМЯЙH50lJI57j;нЫҐ Ч§ўlI535ЧH70\@H55фм#…ЮF}{>&H70µўҐ“ нО»I567ГH50p¶H щyqКd§@:H69„Lt‡ЃI69ЃH55I57I66Xz�Њ„І·I57I55H54С�I49I48Ф UЫGI50Ёџcе—ѓ¤H55:як›н4Ћ…РпI56I53¤я¬ Иm1%0#H54 *†H†ч H49 I531I54H52I52j~�]‹6,5H505"NґГsL#I56®о010!0 H54H53+H69H51H50I65H53 H52I52�Ѕ=ЕЛЄaH66qAьe{у?abА<гH52�e7ф/SS4»H50H50� </pkcs12> а это лог: Jun 14 11:29:14 OpenVPN0 OpenVPN 2.4.2 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD] Jun 14 11:29:14 OpenVPN0 library versions: OpenSSL 1.0.2k 26 Jan 2017, LZO 2.10 Jun 14 11:29:14 OpenVPN0 WARNING: --ns-cert-type is DEPRECATED. Use --remote-cert-tls instead. Jun 14 11:29:14 OpenVPN0 OpenSSL: error:0D07207B:lib(13):func(114):reason(123) Jun 14 11:29:14 OpenVPN0 Error reading inline PKCS#12 file Jun 14 11:29:14 OpenVPN0 Exiting due to fatal error Jun 14 11:29:14 ndm Service: "OpenVPN": unexpectedly stopped. в конфиге заменил: ns-cert-type server на: remote-cert-tls server правильно ли я понял предупреждение в логе? и что я сделал не правильно с PKCS#12? Спасибо за помощь! Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted June 14, 2017 Share Posted June 14, 2017 https://serverfault.com/questions/483941/generate-an-openvpn-profile-for-client-user-to-import Переведите .p12 файл в base64-форму: $ openssl base64 -in input.p12 И уже это base64-содержимое вставьте внутри конфига в теги <pkcs12></pkcs12>. Можно использовать online-конверторы вроде http://www.motobit.com/util/base64-decoder-encoder.asp или http://base64-encoding.online-domain-tools.com/, но тогда ваши ключи утекут "на сторону". Quote Link to comment Share on other sites More sharing options...
vasek00 Posted June 14, 2017 Share Posted June 14, 2017 В 13.06.2017 в 11:32, Le ecureuil сказал: Изначальный план у нас на встраивание CA/PEM внутрь конфига. Пока встраивание нужно делать руками, возможно потом это станет делать web, но суть все равно едина. А почему нельзя через файлы pkcs12 /tmp...openvpn/keys/clientvpn11.p12 dh /tmp...openvpn/keys/dh1024.pem tls-auth /tmp/...openvpn/keys/ta.key 1 а уж кто там в /tmp создаст дело третье Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted June 14, 2017 Share Posted June 14, 2017 44 минуты назад, vasek00 сказал: А почему нельзя через файлы pkcs12 /tmp...openvpn/keys/clientvpn11.p12 dh /tmp...openvpn/keys/dh1024.pem tls-auth /tmp/...openvpn/keys/ta.key 1 а уж кто там в /tmp создаст дело третье Потому что это единообразно и не размазано по системе. Quote Link to comment Share on other sites More sharing options...
vasek00 Posted June 14, 2017 Share Posted June 14, 2017 (edited) 1 час назад, Le ecureuil сказал: Потому что это единообразно и не размазано по системе. Вы про что, я про то что OpenVPN использует конфиг в своем запуске Скрытый текст .... --syslog OpenVPN0 --config /tmp/....../openvpn.config ... /tmp/.... # ls -l ... -rw-r--r-- 1 root root 482 Jun 14 13:51 openvpn.config ... /tmp/... # /tmp/... # cat openvpn.config client dev tun1 persist-key persist-tun nobind proto tcp4-client ... ca /tmp....openvpn/ca.crt cert /tmp...openvpn/client.crt key /tmp....openvpn/client.key ... после запуска он не нужен. О каком "единообразно" идет речь и что тут не правильного. Наверное ошибся в каталоге Скрытый текст /tmp/run # ... minidlna.conf options-PPPoE0 vpnserver .... Или мы не идем легкими путями. Edited June 14, 2017 by vasek00 Quote Link to comment Share on other sites More sharing options...
Сергей Молоков Posted June 15, 2017 Share Posted June 15, 2017 В 14.06.2017 в 15:43, Le ecureuil сказал: Переведите .p12 файл в base64-форму: $ openssl base64 -in input.p12 1. Отлично! Спасибо! Конфиг загрузился, в журнале ошибок нет, но подключения тоже нет. Перечитал всю ветку, так и не понял, что нужно, чтобы подключился? Может какие-то компоненты не установил, которые нужны для OpenVPN? Например не сразу нарыл, что если не установить PPPoE то и OpenVPNа не будет. 2. Роутер (Keenetic Extra II) постоянно повисает, закономерности еще не понял, последний раз после загрузки простоял с час, все хорошо, потом открыл конфиг OVPN и применил без изменений, в журнале полезли предупреждения (позже повторю и покажу их) и при попытке переключиться на другую закладку повис. Перед этим, роутер был сброшен на заводские настройки, изменен локальный IP, задан пароль и залит конфиг OVPN. Больше ничего не настраивалось. Quote Link to comment Share on other sites More sharing options...
Сергей Молоков Posted June 15, 2017 Share Posted June 15, 2017 Перезагрузил роутер, открыл конфиг OVPNа применил ничего не меняя, в журнале следующее: Jun 15 16:37:15ndmNetwork::Interface::Base: "OpenVPN0": interface is up. Jun 15 16:37:15ndmNetwork::Interface::Base: "OpenVPN0": description saved. Jun 15 16:37:15ndmNetwork::Interface::IP: "OpenVPN0": global priority enabled. Jun 15 16:37:15ndmNetwork::Interface::IP: TCP-MSS adjustment enabled. Jun 15 16:37:15ndmNetwork::Interface::IP: "OpenVPN0": IP address cleared. Jun 15 16:37:15ndmNetwork::Interface::Base: "OpenVPN0": schedule cleared. Jun 15 16:37:15ndmNetwork::Interface::OpenVpn: "OpenVPN0": set connection via any interface. Jun 15 16:37:16ndmNetwork::Interface::OpenVpn: "OpenVPN0": configuration successfully saved. Jun 15 16:37:16ndmNetwork::Interface::OpenVpn: "OpenVPN0": enable automatic routes accept via tunnel. Jun 15 16:37:16ndmCore::ConfigurationSaver: saving configuration... Jun 15 16:37:46ndmAlarmListener: sending alarm to "Network::Interface::LinkDetector" 30 seconds. Jun 15 16:37:55ndmEvent::Acceptor: sending "Event::Type::Neighbour" to "Network::Interface::AccessPoint" 30 seconds. Jun 15 16:38:16ndmAlarmListener: sending alarm to "Network::Interface::LinkDetector" 60 seconds. Jun 15 16:38:17keenetic_extra nginx(conn: *96) upstream timed out (145: Unknown error) while reading response header from upstream, client: 192.168.211.66 Jun 15 16:38:25ndmEvent::Acceptor: sending "Event::Type::Neighbour" to "Network::Interface::AccessPoint" 60 seconds. Jun 15 16:38:46ndmAlarmListener: sending alarm to "Network::Interface::LinkDetector" 90 seconds. Jun 15 16:38:55ndmEvent::Acceptor: sending "Event::Type::Neighbour" to "Network::Interface::AccessPoint" 90 seconds. Jun 15 16:39:16ndmAlarmListener: sending alarm to "Network::Interface::LinkDetector" 120 seconds. Jun 15 16:39:25ndmEvent::Acceptor: sending "Event::Type::Neighbour" to "Network::Interface::AccessPoint" 120 seconds. Quote Link to comment Share on other sites More sharing options...
Bluesboy Posted June 15, 2017 Share Posted June 15, 2017 (edited) Все завелось сразу, скормил конфиг вместе с сертификатами, вот такого вида и все взлетело как надо client proto udp remote example.com 1147 dev tun nobind comp-lzo remote-cert-tls server tls-client key-direction 1 <ca> .... </ca> <tls-auth> ... </tls-auth> <cert> ... </cert> <key> ... </key> Единственное что: не передались с сервера опции push `"dhcp-option DNS 192.168.xx.zz"` и `push "dhcp-option DOMAIN example.local"`, хотя это легко настроить на устройствах, может все-таки, есть способ приметь эти настройки автоматически? Огромное спасибо! Теперь можно задействовать Debian для каких нибудь других целей, или просто освободить USB для чего-нибудь еще. Edited June 15, 2017 by Bluesboy Quote Link to comment Share on other sites More sharing options...
Сергей Молоков Posted June 16, 2017 Share Posted June 16, 2017 Повторил на Keenetic III, результат тот же. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted June 16, 2017 Share Posted June 16, 2017 8 часов назад, Bluesboy сказал: Все завелось сразу, скормил конфиг вместе с сертификатами, вот такого вида и все взлетело как надо client proto udp remote example.com 1147 dev tun nobind comp-lzo remote-cert-tls server tls-client key-direction 1 <ca> .... </ca> <tls-auth> ... </tls-auth> <cert> ... </cert> <key> ... </key> Единственное что: не передались с сервера опции push `"dhcp-option DNS 192.168.xx.zz"` и `push "dhcp-option DOMAIN example.local"`, хотя это легко настроить на устройствах, может все-таки, есть способ приметь эти настройки автоматически? Огромное спасибо! Теперь можно задействовать Debian для каких нибудь других целей, или просто освободить USB для чего-нибудь еще. Распространенные опции обязательно сделаем, пока до них не дошли руки. Но "машина уже в пути" (ц). 1 Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted June 16, 2017 Share Posted June 16, 2017 22 часа назад, Сергей Молоков сказал: Перезагрузил роутер, открыл конфиг OVPNа применил ничего не меняя, в журнале следующее: Jun 15 16:37:15ndmNetwork::Interface::Base: "OpenVPN0": interface is up. Jun 15 16:37:15ndmNetwork::Interface::Base: "OpenVPN0": description saved. Jun 15 16:37:15ndmNetwork::Interface::IP: "OpenVPN0": global priority enabled. Jun 15 16:37:15ndmNetwork::Interface::IP: TCP-MSS adjustment enabled. Jun 15 16:37:15ndmNetwork::Interface::IP: "OpenVPN0": IP address cleared. Jun 15 16:37:15ndmNetwork::Interface::Base: "OpenVPN0": schedule cleared. Jun 15 16:37:15ndmNetwork::Interface::OpenVpn: "OpenVPN0": set connection via any interface. Jun 15 16:37:16ndmNetwork::Interface::OpenVpn: "OpenVPN0": configuration successfully saved. Jun 15 16:37:16ndmNetwork::Interface::OpenVpn: "OpenVPN0": enable automatic routes accept via tunnel. Jun 15 16:37:16ndmCore::ConfigurationSaver: saving configuration... Jun 15 16:37:46ndmAlarmListener: sending alarm to "Network::Interface::LinkDetector" 30 seconds. Jun 15 16:37:55ndmEvent::Acceptor: sending "Event::Type::Neighbour" to "Network::Interface::AccessPoint" 30 seconds. Jun 15 16:38:16ndmAlarmListener: sending alarm to "Network::Interface::LinkDetector" 60 seconds. Jun 15 16:38:17keenetic_extra nginx(conn: *96) upstream timed out (145: Unknown error) while reading response header from upstream, client: 192.168.211.66 Jun 15 16:38:25ndmEvent::Acceptor: sending "Event::Type::Neighbour" to "Network::Interface::AccessPoint" 60 seconds. Jun 15 16:38:46ndmAlarmListener: sending alarm to "Network::Interface::LinkDetector" 90 seconds. Jun 15 16:38:55ndmEvent::Acceptor: sending "Event::Type::Neighbour" to "Network::Interface::AccessPoint" 90 seconds. Jun 15 16:39:16ndmAlarmListener: sending alarm to "Network::Interface::LinkDetector" 120 seconds. Jun 15 16:39:25ndmEvent::Acceptor: sending "Event::Type::Neighbour" to "Network::Interface::AccessPoint" 120 seconds. Скиньте ваш конфиг в личку, попробую поразбираться. Quote Link to comment Share on other sites More sharing options...
Сергей Молоков Posted June 16, 2017 Share Posted June 16, 2017 1 час назад, Le ecureuil сказал: Скиньте ваш конфиг в личку, попробую поразбираться. скинул Quote Link to comment Share on other sites More sharing options...
Сергей Молоков Posted June 16, 2017 Share Posted June 16, 2017 10 часов назад, Bluesboy сказал: Все завелось сразу, скормил конфиг вместе с сертификатами, вот такого вида и все взлетело как надо Повторил ваш конфиг за исключением удаленного адреса и порта и включенных файлов, у меня включение выглядит так: <tls-auth> ..... </tls-auth> <dh> ..... </dh> <pkcs12> ..... </pkcs12> Если дело не в этом, может все-таки мне не хватает какой-нибудь компоненты, во вложении те, что у меня сейчас установлены Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted June 16, 2017 Share Posted June 16, 2017 Всем: в эту пятницу (то есть сегодня) улучшений именно по OpenVPN не ждите, я немного на море Но все отчеты в этой теме приняты, будем постепенно работать. Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.