Алексей Воловиков Posted April 25, 2020 Share Posted April 25, 2020 Подскажите, пожалуйста, пытаюсь поднять VPN (от prostovpn), вот что пишет лог: Это с UDP, с TCP всё окей но нужен именно UDP. Apr 26 08:52:08 OpenVPN1 OpenVPN 2.4.6 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD] Apr 26 08:52:08 OpenVPN1 library versions: OpenSSL 1.1.1d 10 Sep 2019, LZO 2.10 Apr 26 08:52:08 OpenVPN1 UDP link local: (not bound) Apr 26 08:52:08 OpenVPN1 UDP link remote: [AF_INET6]2a00:d880:5:a29::2:1194 Apr 26 08:52:08 OpenVPN1 NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay Apr 26 08:52:08 OpenVPN1 write UDP: Network is unreachable (code=128) Apr 26 08:52:08 OpenVPN1 Network unreachable, restarting Apr 26 08:52:08 OpenVPN1 SIGTERM received, sending exit notification to peer Apr 26 08:52:09 OpenVPN1 SIGTERM[soft,exit-with-notification] received, process exiting Apr 26 08:52:09 ndm Service: "OpenVPN1": unexpectedly stopped. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted April 26, 2020 Share Posted April 26, 2020 Он у вас по ipv6 пытается соединиться. Я бы в вашем случае форсировал ipv4. Quote Link to comment Share on other sites More sharing options...
Alexashka Posted April 26, 2020 Share Posted April 26, 2020 14 hours ago, Алексей Воловиков said: Подскажите, пожалуйста, пытаюсь поднять VPN (от prostovpn), вот что пишет лог: Это с UDP, с TCP всё окей но нужен именно UDP. Apr 26 08:52:08 OpenVPN1 OpenVPN 2.4.6 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD] Apr 26 08:52:08 OpenVPN1 library versions: OpenSSL 1.1.1d 10 Sep 2019, LZO 2.10 Apr 26 08:52:08 OpenVPN1 UDP link local: (not bound) Apr 26 08:52:08 OpenVPN1 UDP link remote: [AF_INET6]2a00:d880:5:a29::2:1194 Apr 26 08:52:08 OpenVPN1 NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay Apr 26 08:52:08 OpenVPN1 write UDP: Network is unreachable (code=128) Apr 26 08:52:08 OpenVPN1 Network unreachable, restarting Apr 26 08:52:08 OpenVPN1 SIGTERM received, sending exit notification to peer Apr 26 08:52:09 OpenVPN1 SIGTERM[soft,exit-with-notification] received, process exiting Apr 26 08:52:09 ndm Service: "OpenVPN1": unexpectedly stopped. proto udp4 1 Quote Link to comment Share on other sites More sharing options...
Алексей Воловиков Posted May 12, 2020 Share Posted May 12, 2020 (edited) А подскажите, пожалуйста, что с этим делать? По совету выше исправил на udp4, все прекрасно работало день, на следующий перестало - пишет на странице соединения No IP Address. Хотя в логе ничего критичного не вижу. Куда копать? Spoiler May 12 20:23:59 ndm Core::Syslog: the system log has been cleared. May 12 20:24:03 kernel IPv6: ADDRCONF(NETDEV_UP): ovpn_br0: link is not ready May 12 20:24:03 ndm Network::Interface::Base: "OpenVPN0": interface is up. May 12 20:24:03 ndm Core::ConfigurationSaver: saving configuration... May 12 20:24:06 OpenVPN0 OpenVPN 2.4.6 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD] May 12 20:24:06 OpenVPN0 library versions: OpenSSL 1.1.1d 10 Sep 2019, LZO 2.10 May 12 20:24:06 OpenVPN0 UDPv4 link local: (not bound) May 12 20:24:06 OpenVPN0 UDPv4 link remote: [AF_INET]185.14.28.10:1194 May 12 20:24:06 OpenVPN0 NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay May 12 20:24:07 ndm Core::ConfigurationSaver: configuration saved. May 12 20:24:11 OpenVPN0 [nl6.pvpn.pw] Peer Connection Initiated with [AF_INET]185.14.28.10:1194 May 12 20:24:11 ndm Network::Interface::OpenVpn: "OpenVPN0": connecting via PPPoE0 (PPPoE0). May 12 20:24:11 ndm Network::Interface::OpenVpn: "OpenVPN0": added host route to remote endpoint 185.14.28.10 via PPPoE0. May 12 20:24:17 OpenVPN0 WARNING: INSECURE cipher with block size less than 128 bit (64 bit). This allows attacks like SWEET32. Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC). May 12 20:24:17 OpenVPN0 WARNING: INSECURE cipher with block size less than 128 bit (64 bit). This allows attacks like SWEET32. Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC). May 12 20:24:17 OpenVPN0 WARNING: cipher with small block size in use, reducing reneg-bytes to 64MB to mitigate SWEET32 attacks. May 12 20:24:17 OpenVPN0 TUN/TAP device tun0 opened May 12 20:24:17 OpenVPN0 do_ifconfig, tt->did_ifconfig_ipv6_setup=1 May 12 20:24:17 kernel IPv6: ADDRCONF(NETDEV_CHANGE): ovpn_br0: link becomes ready May 12 20:24:17 ndm Network::Interface::Ip: "OpenVPN0": IP address is 192.168.101.3/24. May 12 20:24:17 OpenVPN0 IPv6 is not supported yet (ifconfig) May 12 20:24:18 OpenVPN0 add_route_ipv6(2000::/3 -> 2002:b90e:1c0a:1::1 metric -1) dev tun0 May 12 20:24:18 OpenVPN0 IPv6 is not supported yet (add route) May 12 20:24:18 OpenVPN0 add_route_ipv6(::/3 -> 2002:b90e:1c0a:1::1 metric -1) dev tun0 May 12 20:24:18 OpenVPN0 IPv6 is not supported yet (add route) May 12 20:24:18 OpenVPN0 add_route_ipv6(2000::/4 -> 2002:b90e:1c0a:1::1 metric -1) dev tun0 May 12 20:24:18 OpenVPN0 IPv6 is not supported yet (add route) May 12 20:24:18 OpenVPN0 add_route_ipv6(3000::/4 -> 2002:b90e:1c0a:1::1 metric -1) dev tun0 May 12 20:24:18 OpenVPN0 IPv6 is not supported yet (add route) May 12 20:24:18 OpenVPN0 add_route_ipv6(fc00::/7 -> 2002:b90e:1c0a:1::1 metric -1) dev tun0 May 12 20:24:18 OpenVPN0 IPv6 is not supported yet (add route) May 12 20:24:18 ndm Network::Interface::OpenVpn: "OpenVPN0": adding nameserver 192.168.101.1. May 12 20:24:18 ndm Dns::Manager: name server 192.168.101.1 added, domain (default). May 12 20:24:18 ndm Network::Interface::OpenVpn: "OpenVPN0": add route to nameserver 192.168.101.1 via 0.0.0.0 (OpenVPN0). May 12 20:24:18 OpenVPN0 GID set to nobody May 12 20:24:18 OpenVPN0 UID set to nobody May 12 20:24:18 OpenVPN0 Initialization Sequence Completed May 12 20:24:18 ndm Http::Nginx: loaded SSL certificate for "61eefb62507a4b30d21eb455.keenetic.io". May 12 20:24:18 ndm Http::Nginx: loaded SSL certificate for "hench.keenetic.pro". May 12 20:24:18 ndm Core::Server: started Session /var/run/ndm.core.socket. May 12 20:24:18 ndm Core::Session: client disconnected. May 12 20:24:19 ndm Http::Manager: updated configuration. May 12 20:24:19 ndm Core::Server: started Session /var/run/ndm.core.socket. May 12 20:24:19 ndm Core::Session: client disconnected. May 12 20:24:21 ndhcpc OpenVPN0: NDM DHCP client (version 3.2.37) started. May 12 20:24:21 ndhcpc OpenVPN0: created PID file "/var/run/ndhcpc-ovpn_br0.pid". May 12 20:24:22 ndm Network::Interface::Ip: "OpenVPN0": IP address cleared. May 12 20:24:22 ndm Http::Nginx: loaded SSL certificate for "61eefb62507a4b30d21eb455.keenetic.io". May 12 20:24:22 ndm Http::Nginx: loaded SSL certificate for "hench.keenetic.pro". May 12 20:24:23 ndm Core::Server: started Session /var/run/ndm.core.socket. May 12 20:24:23 ndm Core::Session: client disconnected. May 12 20:24:23 ndm Http::Manager: updated configuration. May 12 20:24:23 ndm Core::Server: started Session /var/run/ndm.core.socket. May 12 20:24:23 ndm Core::Session: client disconnected. Edited May 12, 2020 by Алексей Воловиков Quote Link to comment Share on other sites More sharing options...
maxvit Posted June 22, 2020 Share Posted June 22, 2020 Имеется Keenetic 4G, KeeneticOS: 3.4.6. Есть проблема с подключением к OpenVPN серверу. Конфиг: client dev tun proto udp remote 192.168.0.1 1195 resolv-retry infinite auth SHA1 cipher BF-CBC comp-lzo verb 5 <ca> ... </ca> <cert> ... </cert> <key> ... </key> Лог: [I] Jun 22 16:06:34 OpenVPN1: Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client' [I] Jun 22 16:06:34 OpenVPN1: Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server' [I] Jun 22 16:06:34 OpenVPN1: Socket Buffers: R=[155648->155648] S=[155648->155648] [I] Jun 22 16:06:34 OpenVPN1: UDP link local (bound): [AF_INET][undef]:1194 [I] Jun 22 16:06:34 OpenVPN1: UDP link remote: [AF_INET]192.168.0.1:1195 [I] Jun 22 16:06:34 OpenVPN1: NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay [I] Jun 22 16:06:34 OpenVPN1: TLS: Initial packet from [AF_INET]192.168.0.1:1195, sid=c399bbe9 6b9069d9 [E] Jun 22 16:06:35 OpenVPN1: OpenSSL: error:1425F102:lib(20):func(607):reason(258) [E] Jun 22 16:06:35 OpenVPN1: TLS_ERROR: BIO read tls_read_plaintext error [E] Jun 22 16:06:35 OpenVPN1: TLS Error: TLS object -> incoming plaintext read error [E] Jun 22 16:06:35 OpenVPN1: TLS Error: TLS handshake failed [I] Jun 22 16:06:35 OpenVPN1: TCP/UDP: Closing socket [I] Jun 22 16:06:35 OpenVPN1: SIGTERM[soft,tls-error] received, process exiting [E] Jun 22 16:06:35 ndm: Service: "OpenVPN1": unexpectedly stopped Я так понимаю, проблема в том, что на сервере OpenVPN используется TLSv1, а на Keenetic openssl без поддержки TLSv1. Можно ли как-то включить поддержку TLSv1? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted June 23, 2020 Share Posted June 23, 2020 23 часа назад, maxvit сказал: Имеется Keenetic 4G, KeeneticOS: 3.4.6. Есть проблема с подключением к OpenVPN серверу. Конфиг: client dev tun proto udp remote 192.168.0.1 1195 resolv-retry infinite auth SHA1 cipher BF-CBC comp-lzo verb 5 <ca> ... </ca> <cert> ... </cert> <key> ... </key> Лог: [I] Jun 22 16:06:34 OpenVPN1: Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client' [I] Jun 22 16:06:34 OpenVPN1: Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server' [I] Jun 22 16:06:34 OpenVPN1: Socket Buffers: R=[155648->155648] S=[155648->155648] [I] Jun 22 16:06:34 OpenVPN1: UDP link local (bound): [AF_INET][undef]:1194 [I] Jun 22 16:06:34 OpenVPN1: UDP link remote: [AF_INET]192.168.0.1:1195 [I] Jun 22 16:06:34 OpenVPN1: NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay [I] Jun 22 16:06:34 OpenVPN1: TLS: Initial packet from [AF_INET]192.168.0.1:1195, sid=c399bbe9 6b9069d9 [E] Jun 22 16:06:35 OpenVPN1: OpenSSL: error:1425F102:lib(20):func(607):reason(258) [E] Jun 22 16:06:35 OpenVPN1: TLS_ERROR: BIO read tls_read_plaintext error [E] Jun 22 16:06:35 OpenVPN1: TLS Error: TLS object -> incoming plaintext read error [E] Jun 22 16:06:35 OpenVPN1: TLS Error: TLS handshake failed [I] Jun 22 16:06:35 OpenVPN1: TCP/UDP: Closing socket [I] Jun 22 16:06:35 OpenVPN1: SIGTERM[soft,tls-error] received, process exiting [E] Jun 22 16:06:35 ndm: Service: "OpenVPN1": unexpectedly stopped Я так понимаю, проблема в том, что на сервере OpenVPN используется TLSv1, а на Keenetic openssl без поддержки TLSv1. Можно ли как-то включить поддержку TLSv1? Поддержка TLS 1.0 есть, равно как и 1.2. Нет только SSL3 и TLS1.1. Quote Link to comment Share on other sites More sharing options...
maxvit Posted June 23, 2020 Share Posted June 23, 2020 8 hours ago, Le ecureuil said: Поддержка TLS 1.0 есть, равно как и 1.2. Нет только SSL3 и TLS1.1. Удалось обновить openssl и openvpn на сервере. Проблема вопроизводится при указании в конфигурации сервера: tls-version-max 1.0 Quote Link to comment Share on other sites More sharing options...
SSTP Posted December 27, 2020 Share Posted December 27, 2020 скажите а версия openvpn будет обновлена до 2.5.0 ? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted December 28, 2020 Share Posted December 28, 2020 20 часов назад, SSTP сказал: скажите а версия openvpn будет обновлена до 2.5.0 ? Ощутимые причины? Quote Link to comment Share on other sites More sharing options...
SSTP Posted December 28, 2020 Share Posted December 28, 2020 5 часов назад, Le ecureuil сказал: Ощутимые причины? chacha20 использовать ! Quote Link to comment Share on other sites More sharing options...
r13 Posted December 28, 2020 Share Posted December 28, 2020 (edited) 20 минут назад, SSTP сказал: chacha20 использовать ! Оно с прошивки 3.3 доступно Edited December 28, 2020 by r13 Quote Link to comment Share on other sites More sharing options...
Oleg Nekrylov Posted July 5, 2021 Share Posted July 5, 2021 (edited) Вопрос, надо ли делать “ip nat OpenVPNx”, для tap, если мне надо попасть внутрь сети подключённого клиента (на стороне клиента входящий трафик разрешён). Точнее, будет ли в принципе работать, тк в таблице маршрутизации tap не виден, тк сидит на Bridge0? При этом я тоже являюсь клиентом и в конфигурации сервера клиент-клиент разрешён. Edited July 5, 2021 by Oleg Nekrylov Quote Link to comment Share on other sites More sharing options...
Oleg Nekrylov Posted July 5, 2021 Share Posted July 5, 2021 Извиняюсь, затупил, тяжелый день был, сам же ответ и написал в последнем предложении Quote Link to comment Share on other sites More sharing options...
SSTP Posted September 30, 2021 Share Posted September 30, 2021 почему опенвпн не подключается по порту 53 ??? и поддерживает ли openvpn клиент tls-crypt v2 ??? openvpn уже 2.5.3 есть ! а кенетик 2.4.6 ! 1 Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted October 1, 2021 Share Posted October 1, 2021 16 часов назад, SSTP сказал: почему опенвпн не подключается по порту 53 ??? и поддерживает ли openvpn клиент tls-crypt v2 ??? openvpn уже 2.5.3 есть ! а кенетик 2.4.6 ! Давайте по шагам. - OpenVPN на 53 порту по идее не работает, это порт для DNS. - tls-crypt-v2 поддерживает. - в нашей версии 2.4.6 есть все патчи по CVE и принесена поддержка chapoly. Что еще вам не хватает в 2.4.6 из 2.5.3? 1 Quote Link to comment Share on other sites More sharing options...
SSTP Posted October 1, 2021 Share Posted October 1, 2021 1 час назад, Le ecureuil сказал: OpenVPN на 53 порту по идее не работает этот порт не работает только на кенетике на остальнов всем работает 1 час назад, Le ecureuil сказал: Давайте по шагам. - tls-crypt-v2 поддерживает. это хорошо ! 1 час назад, Le ecureuil сказал: Что еще вам не хватает в 2.4.6 из 2.5.3? мне та хвотает просто вы почитайте что нового в последних версиях много чего ввели . и новое она и есть новое Quote Link to comment Share on other sites More sharing options...
Andy Moore Posted October 1, 2021 Share Posted October 1, 2021 tls-crypt-v2 работает только начиная с версии 2.5.0 и он не может работать на версии 2.4.х может перепутали просто tls-crypt ??? На 2.4.x работает tls-crypt и tls-auth Quote Link to comment Share on other sites More sharing options...
Andy Moore Posted October 1, 2021 Share Posted October 1, 2021 Unrecognized option or missing or extra parameter(s) in configuration: (line 24): tls-crypt-v2 (2.4.6) Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted October 1, 2021 Share Posted October 1, 2021 18 минут назад, Andy Moore сказал: tls-crypt-v2 работает только начиная с версии 2.5.0 и он не может работать на версии 2.4.х может перепутали просто tls-crypt ??? На 2.4.x работает tls-crypt и tls-auth Хм, да, появилась такая тема. А реально какие-то серверы ее требуют (покупные, а не самодельные)? Я лично жду версии 2.6, чтобы сразу с dco все добавить. Если сейчас добавлять на месяца-полтора 2.5, а потом снова 2.6 - это лишняя работа. Прошу немного обождать. 2 Quote Link to comment Share on other sites More sharing options...
Andy Moore Posted October 1, 2021 Share Posted October 1, 2021 4 минуты назад, Le ecureuil сказал: Хм, да, появилась такая тема. А реально какие-то серверы ее требуют (покупные, а не самодельные)? Есть и самодельные и покупные , есть те кто не стоит на месте 5 минут назад, Le ecureuil сказал: Я лично жду версии 2.6 не думаю что в ближайшие года 2 мы ее увидим 1 Quote Link to comment Share on other sites More sharing options...
vadimbn Posted October 1, 2021 Share Posted October 1, 2021 20 часов назад, SSTP сказал: почему опенвпн не подключается по порту 53 ??? Потому что... ~ # lsof -P -i |grep ndnproxy ================================== Skiped ================================== ndnproxy 1438 root 4u IPv4 13102 0t0 UDP *:53 ndnproxy 1438 root 5u IPv4 13103 0t0 UDP *:56298 ndnproxy 1438 root 6u IPv6 13104 0t0 UDP *:53 ndnproxy 1438 root 8u IPv4 13106 0t0 TCP *:53 (LISTEN) ndnproxy 1438 root 9u IPv6 13107 0t0 TCP *:53 (LISTEN) ================================== Skiped ================================== Что вы будете делать с DNS proxy? Свой DNS-сервер ставить? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted October 1, 2021 Share Posted October 1, 2021 54 минуты назад, Andy Moore сказал: есть те кто не стоит на месте Тот, кто не стоит на месте может спокойно в opkg замутить что хочет (или в sdk). Если массовой потребности нет, то пока я смысла вижу мало. 1 Quote Link to comment Share on other sites More sharing options...
Andy Moore Posted October 1, 2021 Share Posted October 1, 2021 Мое дело предложить, как потребителю продукта , а решать уже вам, релиз 2.4.6 был в апреле 2018 если не ошибаюсь, а нынче грядет 2022 2 Quote Link to comment Share on other sites More sharing options...
zhidkovu Posted October 1, 2021 Share Posted October 1, 2021 5 часов назад, Le ecureuil сказал: Хм, да, появилась такая тема. А реально какие-то серверы ее требуют (покупные, а не самодельные)? Я лично жду версии 2.6, чтобы сразу с dco все добавить. Если сейчас добавлять на месяца-полтора 2.5, а потом снова 2.6 - это лишняя работа. Прошу немного обождать. Полностью за такое решение! Лучше бросьте ресурсы на действительно важную функцию - на ускорение OpenVPN (dco) Думаю многие вам за это скажут спасибо и для кого-то это будет плюс для выбора кинетика для покупки, т.к. у остальных роутеров эта функция думаю появится намного позже, судя по скорости развития вами NDMS.. Я например жду ускорения OVPN с момента покупки Giga уже пару лет, т.к. сейчас скорость 100мбит канала утилизируется только на четверть.. а другие VPN утилизируют канал на 100% но по разным причинам не подходят.. например Wireguard работал-работал, а потом резко перестал и мне так и не удалось его больше заставить работать... пришлось вернуться на медленный но надежный OVPN 1 1 Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted October 2, 2021 Share Posted October 2, 2021 15 часов назад, Yury Zhidkov сказал: Полностью за такое решение! Лучше бросьте ресурсы на действительно важную функцию - на ускорение OpenVPN (dco) Думаю многие вам за это скажут спасибо и для кого-то это будет плюс для выбора кинетика для покупки, т.к. у остальных роутеров эта функция думаю появится намного позже, судя по скорости развития вами NDMS.. Я например жду ускорения OVPN с момента покупки Giga уже пару лет, т.к. сейчас скорость 100мбит канала утилизируется только на четверть.. а другие VPN утилизируют канал на 100% но по разным причинам не подходят.. например Wireguard работал-работал, а потом резко перестал и мне так и не удалось его больше заставить работать... пришлось вернуться на медленный но надежный OVPN Я уже пробовал dco в январе 2021, и на тот момент там было очень "сыро" + в ветке ovpn 2.x не было поддержки, я ее приделал сам, но все равно там далеко от того, что можно показать пользователям было. Сейчас уже стало вроде постабильнее, будем ждать и надеятся что в 2.6 таки допилят сами разработчики (а если нет, то я может и реанимирую код январский и доделаю). 5 Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted November 10, 2021 Share Posted November 10, 2021 Согласно официальному roadmap обещают 2.6 alpha к "End of December 2021": https://community.openvpn.net/openvpn/wiki/StatusOfOpenvpn26 Ждем с нетерпением. 3 Quote Link to comment Share on other sites More sharing options...
drk Posted November 23, 2021 Share Posted November 23, 2021 Добрый день. Надеюсь - не ошибся тредом и прошу извинить, если информация избыточна. Имеется центральный офис, в котором в локальной сети на сервере VmWare развернут Open VPN сервер на FreeBSD (используется pfSense 2.4.4). С этим сервером успешно работают филиалы, в качестве клиентов - Mikrotik, FreeBSD(pfSense) и т.д, Keenetic в этой сети пока не было. Исользуется конфигурация Open VPN site-to-site, филиалы видят сеть офиса за Open VPN, офис видит сети клиентов. Планируя очередной филиал, решил выбрать Keenetic Viva KN-1910 для подключения к Интернет, развертывания mesh и поднятия на нем Open VPN клиента. Столкнулся с тем, что сеть за этим клиентом не видит сеть офиса за Open VPN сервером, а сеть офиса - сеть за клиентом. Туннель поднимается, но из сети клиента доступен только LAN IP сервера VPN 192.168.7.65. Маршруты в сеть за сервером клиент Keenetic получает. Keenetic Viva KN-1910 (3.6.12) Сеть за сервером 192.168.0.0/21 Сеть туннеля 10.20.20.0/24 Сеть за клиентом, на котором тестировался Keenetic 10.10.5.0/24 Конфиг сервера: Spoiler dev ovpns1 verb 1 dev-type tun dev-node /dev/tun1 writepid /var/run/openvpn_server1.pid #user nobody #group nobody script-security 3 daemon keepalive 10 60 ping-timer-rem persist-tun persist-key proto tcp4-server cipher none auth SHA1 up /usr/local/sbin/ovpn-linkup down /usr/local/sbin/ovpn-linkdown local 192.168.7.65 engine cryptodev tls-server server 10.20.20.0 255.255.255.0 client-config-dir /var/etc/openvpn-csc/server1 ifconfig 10.20.20.1 10.20.20.2 tls-verify "/usr/local/sbin/ovpn_auth_verify tls '......' 1" lport 31194 management /var/etc/openvpn/server1.sock unix push "route 192.168.0.0 255.255.248.0" route 192.168.110.0 255.255.255.0 route 192.168.82.0 255.255.255.0 # #еще много route # route 10.10.5.0 255.255.255.0 #тестируемый клиент Keenetic ca /var/etc/openvpn/server1.ca cert /var/etc/openvpn/server1.cert key /var/etc/openvpn/server1.key dh /etc/dh-parameters.1024 crl-verify /var/etc/openvpn/server1.crl-verify ncp-ciphers AES-128-GCM persist-remote-ip float topology subnet sndbuf 524288 rcvbuf 524288 push "sndbuf 393216" push "rcvbuf 393216" iroute для всех сетей филиалов на сервере в /ccd указаны Конфиг клиента Keenetic: Spoiler dev tun persist-tun persist-key cipher none auth SHA1 tls-client client resolv-retry infinite remote-cert-tls server remote aa.aa.cc.dd 31194 tcp4 <ca> -----BEGIN CERTIFICATE----- .................... -----END CERTIFICATE----- </ca> <cert> -----BEGIN CERTIFICATE----- .................... -----END CERTIFICATE----- </cert> <key> -----BEGIN PRIVATE KEY----- ................... -----END PRIVATE KEY----- </key> Клиент с данным конфигом успешно проверен на Mikrotik,Padavan Пингуя хост удаленной сети делал захват пакетов. Пообщался с поддержкой. Ответили так: Я могу предположить, что сервер ожидает в качестве источника ip не адрес в OVPN туннеле клиента, а непосредственно адрес хоста клиента в сети 10.10.5.0/24 При конфигурации site-to-site вполне естественно, что сервер ожидает адрес хоста клиента в сети 10.10.5.0/24. Однако в туннель IP хостов не уходят. NAT? Поддержка: Проверить это можно отключив NAT no ip nat Home ip static Home ISP system configuration save Естественно, при отключенном NAT все работает. Но тогда, что естественно, с ПК за Кинетик теряется доступ в интернет. Решаема ли эта проблема? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted November 23, 2021 Share Posted November 23, 2021 Если вопрос только в NAT, то отлючаете его совсем для домашней сети: > no ip nat Home и включаете только между теми интерфейсами, где он нужен: > ip static Home ISP в таком случае у вас из Home в ISP NAT будет, а в OpenVPN - нет. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted November 23, 2021 Share Posted November 23, 2021 Поддержка, кстати, все правильно сказала. Quote Link to comment Share on other sites More sharing options...
drk Posted November 23, 2021 Share Posted November 23, 2021 5 minutes ago, Le ecureuil said: Поддержка, кстати, все правильно сказала. Поддержка на то и поддержка. 😃 Home и Home ISP - это универсальные наименования интерфейсов? 11 minutes ago, Le ecureuil said: в таком случае у вас из Home в ISP NAT будет, а в OpenVPN - нет Да, вероятно нужно отключть NAT только для OpenVPN, оставив доступ с LAN\Wi-Fi и в туннель и в интернет. Приведенные вами и поддержкой команды, как писал выше, делают интернет недоступным Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.