Вопросы по интеграции OpenVPN в NDMS

[toomuchneon]

Всем привет. Вопрос, идентичный drk.

Роутер Giant c прошивкой 3.9.0.6  WAN выступает интерфейс UsbQmi0. Сеть кинетика 192.168.1.0/24

К кинетику подключен роутер с сетью 192.168.7.0/24, с прошивкой Tomatousb. Есть третий роутер, с OpenVpn сервер. На сервере все iroute прописаны. Когда подключаюсь к серверу из прошивки Tomatousb, все для всех доступны.

Когда подключаюсь из кинетика к серверу OpenVpn, из сети кинетика и Tomatousb сервер доступен, а со стороны сервера доступа нет.

Прочитав эту ветку и в частности случай drk, решил, что в моем случае нужно прописать

no ip nat Home

ip static Home UsbQmi0

Но не помогло 😕

Подскажите, пожалуйста, что нужно посмотреть/поправить.

 

Попробовал

interface Bridge0 include  OpenVpn0

 

Со стороны сервера стала доступна сеть 192.168.1.0/24 , но вторая сеть 192.168.7.0/24 

недоступна.

Edited October 3, 2022 by toomuchneon

[dgokoko]

Здравствуйте!
Роутер модели Start (KN-1112), версия прошивки 3.8.5.4.

С опен-впн клиента с мобилки и пк без проблем подключалось по файлику.
Подскажите пожалуйста как исправить ошибку. В логах роутера:

Network::RoutingTable: gateway 192.168.255.9 is unreachable via OpenVPN0.

Ноя 26 22:22:56

Network::Interface::OpenVpn: "OpenVPN0": failed to add a nameserver route.

Вот файлик .ovpn:
client
nobind
dev tun
remote-cert-tls server
pull-filter ignore "block-outside-dns"

remote <IP> 1194 udp

<key>
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----
</key>
<cert>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</cert>
<ca>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</ca>
key-direction 1
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
-----END OpenVPN Static key V1-----
</tls-auth>

redirect-gateway def1
 

Edited November 26, 2022 by dgokoko

[zhidkovu]

приветствую!

как я понял посмотрев версию модуля openvpn на последних прошивках наконнц то обновили до версии 2.6 где должна быть поддержка dco с помощью которой можно значительно увеличить скорость vpn соединения

пробовал поставить клиент 2.6 win и не увидел никакой разницы в скорости...

кто-нибудь уже тестировал dco?

[protos69]

Добрый день, подскажите как сделать правильно - 

Есть KN-2310,  на нём поднят интернет через 4G(встроенный модем) 

Через этот интернет поднимается VPN тунель до сервера.  

Надо чтобы весь трафик с устройств, подключённых через вайфай или кабель шли в этот VPN, а не в интерфейс мобилы. 

Прописываю статический маршрут "по умолчанию", чтобы со всех устройств  идти в шлюз VPN(10.8.0.6)

И всё вроде работает, до перезагрузки роутера.  При перезагрузке роутера маршрут просто пропадает.  

Как сделать, чтобы маршрут всегда был железно и никакой другой?  

[keenet07]

Попробуйте в пользовательском маршруте включить режим Добавлять автоматически.

Edited February 1 by keenet07

[protos69]

13 минуты назад, keenet07 сказал:

Попробуйте в пользовательском маршруте включить режим Добавлять автоматически.

нет такой галочки при создании маршрута "по умолчанию"

[keenet07]

17 минут назад, protos69 сказал:

нет такой галочки при создании маршрута "по умолчанию"

Тогда затрудняюсь ответить почему слетает.

Я бы попробовал ещё команду system configuration save в консоле, после того как создали маршрут.

Можно тут http://192.168.1.1/a

Edited February 1 by keenet07

[protos69]

30 минут назад, keenet07 сказал:

Тогда затрудняюсь ответить почему слетает.

Я бы попробовал ещё команду system configuration save в консоле, после того как создали маршрут.

Можно тут http://192.168.1.1/a

не помогает, к сожалению.  перезагрузка роутера и всё чистое

А можно как-то отредактировать startup-config и добавить туда тупо строчку ip route default 10.8.0.6

?

Edited February 1 by protos69

[keenet07]

11 минуту назад, protos69 сказал:

не помогает, к сожалению.  перезагрузка роутера и всё чистое

Прошивка свежая стабильная?

[keenet07]

Попробуйте в маршруте указать помимо шлюза ещё и интерфейс вашего VPN соединения.

[protos69]

6 минут назад, keenet07 сказал:

Прошивка свежая стабильная?

3.9.2  последняя

[protos69]

6 минут назад, keenet07 сказал:

Попробуйте в маршруте указать помимо шлюза ещё и интерфейс вашего VPN соединения.

подскажите синтакс пжлст

Проверил startup-config, строчка  ip route default 10.8.0.6 !VPN  там есть, но видимо не отрабатывает, потому что ВПН поднимается после того как  появится интернет в  модеме. 

[keenet07]

27 минут назад, protos69 сказал:

подскажите синтакс пжлст

Проверил startup-config, строчка  ip route default 10.8.0.6 !VPN  там есть, но видимо не отрабатывает, потому что ВПН поднимается после того как  появится интернет в  модеме. 

ip route default 10.8.0.6 интерфейсВПН !VPN

Но проще же через веб-интерфес делается. Наглядно всё. И не нужное правильное название интерфесаВПН искать.

Если не дает добавить, строчку старую сотрите.

Edited February 1 by keenet07

[protos69]

9 минут назад, keenet07 сказал:

ip route default 10.8.0.6 интерфейсВПН !VPN

Но проще же через веб-интерфес делается. Наглядно всё. И не нужное правильное название интерфесаВПН искать.

Если не дает добавить, строчку старую сотрите.

все добавляет и сохраняет  но эффекта 0.   Маршрут не загружается при рестарте.  

[keenet07]

9 минут назад, protos69 сказал:

все добавляет и сохраняет  но эффекта 0.   Маршрут не загружается при рестарте.  

Проверьте шлюз VPN точно тот который вы указываете или может быть он поменялся.

Можно ещё попробовать добавить маршрут с указанием интерфейса, но не указывая ИП шлюза. Пусть сам берет тот который обнаружит.

Edited February 1 by keenet07

[keenet07]

А вообще наверное и не должно оно так работать. Если у вас весь трафик заворачивается в тунель который работает через интернет по изначальному шлюзу по умолчанию. Ну т.е. не заведется он если сразу будет такой шлюз по умолчанию. Просто не поднимется VPN подключение. 

Edited February 1 by keenet07

[protos69]

11 минуту назад, keenet07 сказал:

Проверьте шлюз VPN точно тот который вы указываете или может быть он поменялся.

нет, шлюз тот же, вручную команда проходит "на ура", маршрут появляется и всё бежит как надо.  А вот при загрузке не хочет кушать команду

[protos69]

5 минут назад, keenet07 сказал:

А вообще наверное и не должно оно так работать. Если у вас весь трафик заворачивается в тунель который работает через интернет по изначальному шлюзу по умолчанию. Ну т.е. не заведется он если сразу будет такой шлюз по умолчанию. Просто не поднимется VPN подключение. 

может быть, видимо ВПН еще не поднялся, поэтому шлюза не существует..   

Вроде для этого есть параметр  auto (типа маршрут включается когда можно) .  Но он не помогает ввиду отсутствия к этому моменту шлюза.

А есть какой-то параметр задержки, чтобы команда в конфиге отработала секунд через 10-20 после старта?.  

Edited February 1 by protos69

[keenet07]

10 минут назад, protos69 сказал:

может быть, видимо ВПН еще не поднялся, поэтому шлюза не существует..   

Вроде для этого есть параметр  auto (типа маршрут включается когда можно) .  Но он не помогает ввиду отсутствия к этому моменту шлюза.

А есть какой-то параметр задержки, чтобы команда в конфете отработала секунд через 10-20 после старта?.  

При загрузке с вашим маршрутом по умолчанию по идее на роутере и интернета то быть не может. Поэтому VPN не подключается. В прошивке видимо есть механизм проверки на такой случай и он отключает неправильный маршрут по умолчанию и ставит стандартный для интерфеса интернет и далее уже всё загружается. 

Просто посмотри в log и почитайте что там происходит на этапе загрузки.

Наверное для шлюза по умолчанию механизм AUTO не применим.

А почему вы просто не поставите в настройке VPN соединения галочку Использовать для входа в интернет. 

Вот тогда роутер сам поставит правильный маршрут по умолчанию. И весь трафик пойдёт через VPN при его подключении. 

Edited February 1 by keenet07

[protos69]

4 минуты назад, keenet07 сказал:

А почему вы просто не поставите в настройке VPN соединение галочку Использовать для входа в интернет. 

Вот тогда роутер сам поставит правильный маршрут по умолчанию. И весь трафик пойдёт через VPN. 

галочка стоит, но у роутера сначала появляется маршрут через сотовую связь, потом поднимается ВПН, и роутер продолжает использовать маршрут по умолчанию через сотовую связь, мимо ВПН. Хотя приоритет подключения у ВПН выше 

Edited February 1 by protos69

[keenet07]

7 минут назад, protos69 сказал:

галочка стоит, но у роутера сначала появляется маршрут через сотовую связь, потом поднимается ВПН, и роутер продолжает использовать маршрут по умолчанию через сотовую связь, мимо ВПН.

В приоритеты подключений загляните.  Есть там ваш VPN? Подвигайте его, выше-ниже.

https://help.keenetic.com/hc/ru/articles/360000521799-Приоритеты-подключений

Внимательно почитайте статью. Думаю решение вашей задачи там. Возможно вам и не нужно все устройства перенаправлять на VPN. Всё это настраивается тут.

Edited February 1 by keenet07

[protos69]

6 минут назад, keenet07 сказал:

В приоритеты подключений загляните.  Есть там ваш VPN? Подвигайте его, выше-ниже.

да, все на месте.  Двигал ВПН туда-сюда, не помогает.  

Edited February 1 by protos69

[keenet07]

3 минуты назад, protos69 сказал:

да, все на месте.  Двигал ВПН туда-сюда, не помогает.  

Политику VPN создайте в соседней вкладке и переместите туда устройства которые должны ходить через VPN. В статье всё есть.

Edited February 1 by keenet07

[keenet07]

35 минут назад, protos69 сказал:

да, все на месте.  Двигал ВПН туда-сюда, не помогает.  

Это замечательно. Но то что у вас сейчас настроено подразумевает лишь то, что когда ваш Оператор мобильной связи станет вдруг офлайн. Шлюзом по умолчанию будет назначен ВПН. Но он не сможет им стать, т.к. без интернета также станет оффлайн. И останется только Эзернет провайдера.

Поэтому создайте новую политику, назовите её москва или ВПН, да как угодно и переместите в неё ВПН соединение Moscow. А дальше уже в соседней вкладке настройте применение политики по устройствам.

Edited February 1 by keenet07

[protos69]

Уфф!   

Спасибо огромное!   Кажется проблема решилась.  Не нужен никакой статический маршрут. 

1. В Приоритетах подключений создаем новую политику доступа и включаем в ней VPN

2. В Политике применения перетаскиваем устройства или сегмент сети в эту политику.

ВАЖНО! - в настройках OpenVPN подключения должна быть проставлена галочка "Получать маршруты от удаленной стороны".  В случае со статическим маршрутом эта галочка наоборот не нужна.  

При перезагрузке все работает как настроили, ничего не сбрасывается. 

[keenet07]

9 минут назад, protos69 сказал:

Спасибо огромное!   Кажется проблема решилась.  Не нужен никакой статический маршрут. 

Хорошо. В следующий раз только создавайте свою тему с вопросом, если не нашли похожей. А то мы тут нафлудили не по теме. )) Хотя тут и без нас уже всё подряд со словом OpenVPN.

Edited February 1 by keenet07

[pankov]

Здравствуйте.
Устройство: keenetic extra
Установленная версия: 3.8.7
Клиент и сервер OpenVPN установлен

Хочу сделать так: у меня есть 2 точки доступа вайфай, одна из них работает без впн, а другая строго по впн.

У меня пока не выходит, я делаю так:

1) Купил VPN и мне выдали openvpn профиль
2) согласно инструкции я его загрузил в роутер

статус пишет готов, вроде никаких ошибок (в конфиге указал логин и пароль, тип tcp)

3) Далее иду в приоритеты подключений и настраиваю новую политику как на скриншоте

4) после этого на вкладке "применение политик" настраиваю, что все устройства wifi сети (сегмента) должны использовать openVPN политику

Великобритания - это сегмент с wifi точкой доступа к которой я подключаюсь

Вроде все, подключаюсь с другого устройства к wifi, ожидаю что доступ в интернет будет через VPN но у меня вообще доступа в интернет нет, почему?

Пробовал по разному, даже менял политики и строго указывал что использовать устройству 

Результата нет, не могу выйти в интернет, кстати попробовал через спец клиенты openVPN - с ними все работает (те конфиг рабочий), но хочется сделать отдельную wifi сеть для выхода в интернет через vpn?

Когда подключаюсь с wifi (великобритания) то у меня ошибка в барузере err_name_not_resolved
похоже что-то с DNS, куда копать дальше и что делать не могу понять.
Помню что год назад все настроил минут за 5, не было никаких проблем, а сейчас уже сутки сижу...


В логах тоже ничего криминального не вижу, даже ip получаю от vpn
Но смущает все же ipшник DNS:
 

Фев 18 15:42:11

OpenVPN0

++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication

Фев 18 15:42:11

 

OpenVPN0

VERIFY EKU OK

Фев 18 15:42:11

 

OpenVPN0

VERIFY SCRIPT OK: depth=0, CN=server

Фев 18 15:42:11

 

OpenVPN0

VERIFY OK: depth=0, CN=server

Фев 18 15:42:12

 

OpenVPN0

Control Channel: TLSv1.3, cipher TLSv1.3 TLS_AES_256_GCM_SHA384, 2048 bit RSA

Фев 18 15:42:12

 

OpenVPN0

[server] Peer Connection Initiated with [AF_INET]51.89.151.241:443

Фев 18 15:42:12

 

ndm

Network::Interface::OpenVpn: "OpenVPN0": connecting via PPPoE0 (PPPoE0).

Фев 18 15:42:12

 

ndm

Network::Interface::OpenVpn: "OpenVPN0": added host route to remote endpoint 51.89.151.241 via PPPoE0.

Фев 18 15:42:12

 

ndm

Core::System::StartupConfig: configuration saved.

Фев 18 15:42:13

 

OpenVPN0

SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)

Фев 18 15:42:18

 

OpenVPN0

SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)

Фев 18 15:42:18

 

OpenVPN0

PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1,dhcp-option DNS 216.146.35.35,dhcp-option DNS 1.1.1.1,dhcp-option DNS 74.82.42.42,block-outside-dns,route 10.9.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.9.0.30 10.9.0.29,peer-id 6,cipher AES-256-GCM'

Вот тут вот dhcp-option dhcp-option DNS 216.146.35.35,dhcp-option DNS 1.1.1.1,dhcp-option DNS 74.82.42.42

Edited February 18 by pankov

[keenet07]

1 час назад, pankov сказал:

Вроде все, подключаюсь с другого устройства к wifi, ожидаю что доступ в интернет будет через VPN но у меня вообще доступа в интернет нет, почему?

Галочка  на "Использовать для выхода в интернет" в настройках VPN стоит?

[SergeIv]

всем привет

подскажите - в openvpn можно как-то включить поддержку аппаратной шифрации?

а то с AES-128-GCM на чистом 100Мб канале всего 20Мб и одно из ядер загружено на 100%.

в то время как если запустить с компа - ~80Мб.

[krass]

22 минуты назад, SergeIv сказал:

всем привет

подскажите - в openvpn можно как-то включить поддержку аппаратной шифрации?

а то с AES-128-GCM на чистом 100Мб канале всего 20Мб и одно из ядер загружено на 100%.

в то время как если запустить с компа - ~80Мб.

Если вы хотите  более скоростной openvpn то из представленных моделей это либо 2710  либо 1811. В остальных гораздо более слабый cpu