r13 Posted September 13, 2017 Share Posted September 13, 2017 6 минут назад, Saymer сказал: Я бы с радостью, но на сайте написано: Ну по идее того что написано достаточно(сервер, логин, пароль, общий ключ) ну раз не завелось ну и ладно. Quote Link to comment Share on other sites More sharing options...
arbayten Posted September 13, 2017 Share Posted September 13, 2017 35 минут назад, Le ecureuil сказал: Для нормального результата с криптоускорителем нужны пакеты в 1400 (а желательно вообще в 10К - вот там можно и 800 Мбит достичь в теории). А OpenVPN сильно дробит пакеты на блоки перед шифрованием. вроде чтобы не дробило сильно как раз и используем: sndbuf 0 rcvbuf 0 fragment 0 mssfix 0 остальной сэтап учитывает: Цитата The MTU size on all switches in the gigabit LAN was set to 1500. The first tweak made was: - increase the MTU size of the tun adapter ('--tun-mtu') to 6000 bytes. This resembles Jumbo frames on a regular Ethernet LAN. Note that the MTU size on the underlying network switches was not altered. - disable OpenVPN's internal fragmentation algorithm using '--fragment 0'. - disable OpenVPN's 'TCP Maximum Segment Size' limitor using '--mssfix 0'. т.е. клиенты вроде на стандартном MTU. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 13, 2017 Share Posted September 13, 2017 6 минут назад, arbayten сказал: вроде чтобы не дробило сильно как раз и используем: sndbuf 0 rcvbuf 0 fragment 0 mssfix 0 остальной сэтап учитывает: т.е. клиенты вроде на стандартном MTU. В теории может и норм, но на практике я бы посмотрел на такое. Имхо пинг и джиттер сделают такой канал невменяемым. Quote Link to comment Share on other sites More sharing options...
Saymer Posted September 13, 2017 Share Posted September 13, 2017 20 минут назад, r13 сказал: Ну по идее того что написано достаточно(сервер, логин, пароль, общий ключ) ну раз не завелось ну и ладно. При вводе этих значений, как там, ну адрес сервера, логин и пароль и ключ, статус соединения написано "Не готово". Почему оно не готово я не понял. А есть какое то решение по проблеме с прохождением пакетов? Quote Link to comment Share on other sites More sharing options...
arbayten Posted September 13, 2017 Share Posted September 13, 2017 20 минут назад, Le ecureuil сказал: Имхо пинг и джиттер сделают такой канал невменяемым. ну, пока не попробуешь - не узнаешь =) ... можно попробовать сгладить поставив туннель на tcp, но тоже не самая лучшая идея Quote Link to comment Share on other sites More sharing options...
Дмитрий Вагин Posted September 14, 2017 Share Posted September 14, 2017 Здравствуйте, все никак не могу победить, помогите пожалуйста. client dev tun proto udp remote vpn.tdural-k.ru 1196 resolv-retry infinite nobind persist-key persist-tun ns-cert-type server verb 3 key-direction 1 <ca> -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- </ca> <cert> -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- </cert> <key> -----BEGIN PRIVATE KEY----- -----END PRIVATE KEY----- </key> <tls-auth> # # 2048 bit OpenVPN static key # -----BEGIN OpenVPN Static key V1----- -----END OpenVPN Static key V1----- </tls-auth> Sep 14 13:34:42OpenVPN0Authenticate/Decrypt packet error: cipher final failed Sep 14 13:35:22OpenVPN0Core::Syslog: last message repeated 4 times. Sep 14 13:35:32OpenVPN0[ovpns3] Inactivity timeout (--ping-restart), restarting Sep 14 13:35:32OpenVPN0SIGUSR1[soft,ping-restart] received, process restarting Sep 14 13:35:32OpenVPN0Restart pause, 5 second(s) Sep 14 13:35:32ndmNetwork::Interface::IP: "OpenVPN0": IP address cleared. Sep 14 13:35:33OpenVPN0Closing TUN/TAP interface Sep 14 13:35:33OpenVPN0SIGINT[hard,init_instance] received, process exiting Sep 14 13:35:35OpenVPN0OpenVPN 2.4.3 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD] Sep 14 13:35:35OpenVPN0library versions: OpenSSL 1.0.2l 25 May 2017, LZO 2.10 Sep 14 13:35:35OpenVPN0WARNING: --ns-cert-type is DEPRECATED. Use --remote-cert-tls instead. Sep 14 13:35:35OpenVPN0Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication Sep 14 13:35:35OpenVPN0Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication Sep 14 13:35:35OpenVPN0TCP/UDP: Preserving recently used remote address: [AF_INET]91.191.231.34:1196 Sep 14 13:35:35OpenVPN0Socket Buffers: R=[155648->155648] S=[155648->155648] Sep 14 13:35:35OpenVPN0UDP link local: (not bound) Sep 14 13:35:35OpenVPN0UDP link remote: [AF_INET]91.191.231.34:1196 Sep 14 13:35:35OpenVPN0NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay Sep 14 13:35:35OpenVPN0TLS: Initial packet from [AF_INET]91.191.231.34:1196, sid=3224e7d6 87a15644 Sep 14 13:35:35OpenVPN0VERIFY SCRIPT OK: depth=1, C=RU, ST=Sverdlovskaya, L=Yekaterinburg, O=Ural-K, emailAddress=it-adm@tdural-k.ru, CN=tdural-k.ru-ca Sep 14 13:35:35OpenVPN0VERIFY OK: depth=1, C=RU, ST=Sverdlovskaya, L=Yekaterinburg, O=Ural-K, emailAddress=it-adm@tdural-k.ru, CN=tdural-k.ru-ca Sep 14 13:35:35OpenVPN0VERIFY OK: nsCertType=SERVER Sep 14 13:35:35OpenVPN0VERIFY SCRIPT OK: depth=0, C=RU, ST=Sverdlovskaya, L=Yekaterinburg, O=Ural-K, emailAddress=it-adm@tdural-k.ru, CN=ovpns3 Sep 14 13:35:35OpenVPN0VERIFY OK: depth=0, C=RU, ST=Sverdlovskaya, L=Yekaterinburg, O=Ural-K, emailAddress=it-adm@tdural-k.ru, CN=ovpns3 Sep 14 13:35:35OpenVPN0WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1541', remote='link-mtu 1558' Sep 14 13:35:35OpenVPN0WARNING: 'cipher' is used inconsistently, local='cipher BF-CBC', remote='cipher AES-256-CBC' Sep 14 13:35:35OpenVPN0WARNING: 'keysize' is used inconsistently, local='keysize 128', remote='keysize 256' Sep 14 13:35:35OpenVPN0WARNING: 'comp-lzo' is present in remote config but missing in local config, remote='comp-lzo' Sep 14 13:35:35OpenVPN0Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-GCM-SHA384, 2048 bit RSA Sep 14 13:35:35OpenVPN0[ovpns3] Peer Connection Initiated with [AF_INET]91.191.231.34:1196 Sep 14 13:35:35ndmNetwork::Interface::OpenVpn: "OpenVPN0": added host route to remote endpoint 91.191.231.34 via 192.168.30.1. Sep 14 13:35:36OpenVPN0SENT CONTROL [ovpns3]: 'PUSH_REQUEST' (status=1) Sep 14 13:35:36OpenVPN0PUSH: Received control message: 'PUSH_REPLY,route 10.0.8.0 255.255.255.0,route 10.0.9.0 255.255.255.0,route 192.168.20.0 255.255.255.0,route 192.168.30.0 255.255.255.0,route 192.168.33.0 255.255.255.0,dhcp-option DNS 192.168.30.209,route 10.0.10.1,topology net30,ping 10,ping-restart 60,ifconfig 10.0.10.58 10.0.10.57' Sep 14 13:35:36OpenVPN0OPTIONS IMPORT: timers and/or timeouts modified Sep 14 13:35:36OpenVPN0OPTIONS IMPORT: --ifconfig/up options modified Sep 14 13:35:36OpenVPN0OPTIONS IMPORT: route options modified Sep 14 13:35:36OpenVPN0OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified Sep 14 13:35:36OpenVPN0Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key Sep 14 13:35:36OpenVPN0WARNING: INSECURE cipher with block size less than 128 bit (64 bit). This allows attacks like SWEET32. Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC). Sep 14 13:35:36OpenVPN0Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Sep 14 13:35:36OpenVPN0Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key Sep 14 13:35:36OpenVPN0WARNING: INSECURE cipher with block size less than 128 bit (64 bit). This allows attacks like SWEET32. Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC). Sep 14 13:35:36OpenVPN0Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Sep 14 13:35:36OpenVPN0WARNING: cipher with small block size in use, reducing reneg-bytes to 64MB to mitigate SWEET32 attacks. Sep 14 13:35:36OpenVPN0TUN/TAP device tun0 opened Sep 14 13:35:36OpenVPN0TUN/TAP TX queue length set to 100 Sep 14 13:35:36OpenVPN0do_ifconfig, tt->did_ifconfig_ipv6_setup=0 Sep 14 13:35:36ndmNetwork::Interface::IP: "OpenVPN0": IP address is 10.0.10.58/32. Sep 14 13:35:36ndmNetwork::Interface::OpenVpn: "OpenVPN0": TUN peer address is 10.0.10.57. Sep 14 13:35:36ndmNetwork::Interface::OpenVpn: "OpenVPN0": added host route to peer 10.0.10.57 via 10.0.10.58. Sep 14 13:35:36ndmNetwork::Interface::OpenVpn: "OpenVPN0": install accepted route to 10.0.8.0/255.255.255.0 via 10.0.10.57. Sep 14 13:35:37ndmNetwork::Interface::OpenVpn: "OpenVPN0": install accepted route to 10.0.9.0/255.255.255.0 via 10.0.10.57. Sep 14 13:35:37ndmNetwork::Interface::OpenVpn: "OpenVPN0": install accepted route to 192.168.20.0/255.255.255.0 via 10.0.10.57. Sep 14 13:35:37ndmNetwork::Interface::OpenVpn: "OpenVPN0": install accepted route to 192.168.30.0/255.255.255.0 via 10.0.10.57. Sep 14 13:35:37ndmNetwork::Interface::OpenVpn: "OpenVPN0": install accepted route to 192.168.33.0/255.255.255.0 via 10.0.10.57. Sep 14 13:35:37ndmNetwork::Interface::OpenVpn: "OpenVPN0": install accepted route to 10.0.10.1/255.255.255.255 via 10.0.10.57. Sep 14 13:35:37ndmNetwork::Interface::OpenVpn: "OpenVPN0": adding nameserver 192.168.30.209. Sep 14 13:35:37ndmDns::Manager: name server 192.168.30.209 added, domain (default). Sep 14 13:35:37ndmNetwork::RoutingTable: gateway 10.0.10.57 is unreachable via OpenVPN0. Sep 14 13:35:37ndmNetwork::Interface::OpenVpn: "OpenVPN0": failed to add a nameserver route. Sep 14 13:35:37OpenVPN0GID set to nobody Sep 14 13:35:37OpenVPN0UID set to nobody Sep 14 13:35:37OpenVPN0Initialization Sequence Completed Sep 14 13:35:47OpenVPN0Authenticate/Decrypt packet error: cipher final failed Sep 14 13:36:28OpenVPN0Core::Syslog: last message repeated 4 times. Quote Link to comment Share on other sites More sharing options...
r13 Posted September 14, 2017 Share Posted September 14, 2017 13 минуты назад, Дмитрий Вагин сказал: Здравствуйте, все никак не могу победить, помогите пожалуйста. Sep 14 13:35:35OpenVPN0WARNING: 'cipher' is used inconsistently, local='cipher BF-CBC', remote='cipher AES-256-CBC' Sep 14 13:35:35OpenVPN0WARNING: 'keysize' is used inconsistently, local='keysize 128', remote='keysize 256' Все у вас в логе! добавьте в конфиг cipher AES-256-CBC Quote Link to comment Share on other sites More sharing options...
Дмитрий Вагин Posted September 14, 2017 Share Posted September 14, 2017 Благодарю, но теперь сыпятся ошибки write to TUN/TAP : Invalid argument (code=22) Quote Link to comment Share on other sites More sharing options...
Дмитрий Вагин Posted September 14, 2017 Share Posted September 14, 2017 Перезагрузил роутер, вроде как заработало, пингуются днс имена внутренней сети, однако в логах вот такое выпадает Sep 14 14:12:54OpenVPN0OpenVPN 2.4.3 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD] Sep 14 14:12:54OpenVPN0library versions: OpenSSL 1.0.2l 25 May 2017, LZO 2.10 Sep 14 14:12:54OpenVPN0WARNING: --ns-cert-type is DEPRECATED. Use --remote-cert-tls instead. Sep 14 14:12:54OpenVPN0Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication Sep 14 14:12:54OpenVPN0Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication Sep 14 14:12:54OpenVPN0TCP/UDP: Preserving recently used remote address: [AF_INET]192.168.30.1:1196 Sep 14 14:12:54OpenVPN0Socket Buffers: R=[155648->155648] S=[155648->155648] Sep 14 14:12:54OpenVPN0UDP link local: (not bound) Sep 14 14:12:54OpenVPN0UDP link remote: [AF_INET]192.168.30.1:1196 Sep 14 14:12:54OpenVPN0NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay Sep 14 14:15:08ndmCore::System::Clock: system time has been changed. Sep 14 14:15:08ndmCore::System::Clock: system time has been changed. Sep 14 14:15:08ndmNtp::Client: time synchronized with "2.pool.ntp.org". Sep 14 14:15:08OpenVPN0[UNDEF] Inactivity timeout (--ping-restart), restarting Sep 14 14:15:08OpenVPN0SIGUSR1[soft,ping-restart] received, process restarting Sep 14 14:15:08OpenVPN0Restart pause, 5 second(s) Sep 14 14:15:13OpenVPN0WARNING: --ns-cert-type is DEPRECATED. Use --remote-cert-tls instead. Sep 14 14:15:13OpenVPN0TCP/UDP: Preserving recently used remote address: [AF_INET]192.168.30.1:1196 Sep 14 14:15:13OpenVPN0Socket Buffers: R=[155648->155648] S=[155648->155648] Sep 14 14:15:13OpenVPN0UDP link local: (not bound) Sep 14 14:15:13OpenVPN0UDP link remote: [AF_INET]192.168.30.1:1196 Sep 14 14:16:13OpenVPN0TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) Sep 14 14:16:13OpenVPN0TLS Error: TLS handshake failed Sep 14 14:16:13OpenVPN0SIGTERM[soft,tls-error] received, process exiting Sep 14 14:16:13ndmService: "OpenVPN0": unexpectedly stopped. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 14, 2017 Share Posted September 14, 2017 Один раз после загрузки такое может произойти, если во время TLS-хэндшейка произошла синхронизация часов на Keenetic. Однако потом должно работать нормально. Quote Link to comment Share on other sites More sharing options...
Дмитрий Вагин Posted September 16, 2017 Share Posted September 16, 2017 Подключил на домашнем интернете, все плохо( client dev tun proto udp cipher AES-256-CBC remote 91.191.231.34 1196 resolv-retry infinite nobind ncp-disable persist-key persist-tun ns-cert-type server verb 3 key-direction 1 <tls-auth> # # 2048 bit OpenVPN static key # -----BEGIN OpenVPN Static key V1----- -----END OpenVPN Static key V1----- </tls-auth> <ca> -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- </ca> <cert> -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- </cert> <key> -----BEGIN PRIVATE KEY----- -----END PRIVATE KEY----- </key> Sep 16 23:18:04OpenVPN0SIGINT[hard,] received, process exiting Sep 16 23:18:07OpenVPN0OpenVPN 2.4.3 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD] Sep 16 23:18:07OpenVPN0library versions: OpenSSL 1.0.2l 25 May 2017, LZO 2.10 Sep 16 23:18:07OpenVPN0WARNING: --ns-cert-type is DEPRECATED. Use --remote-cert-tls instead. Sep 16 23:18:07OpenVPN0Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication Sep 16 23:18:07OpenVPN0Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication Sep 16 23:18:07OpenVPN0TCP/UDP: Preserving recently used remote address: [AF_INET]91.191.231.34:1196 Sep 16 23:18:07OpenVPN0Socket Buffers: R=[155648->155648] S=[155648->155648] Sep 16 23:18:07OpenVPN0UDP link local: (not bound) Sep 16 23:18:07OpenVPN0UDP link remote: [AF_INET]91.191.231.34:1196 Sep 16 23:18:07OpenVPN0NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay Sep 16 23:18:07OpenVPN0TLS: Initial packet from [AF_INET]91.191.231.34:1196, sid=9d84a6c5 9d847b60 Sep 16 23:18:07OpenVPN0VERIFY SCRIPT OK: depth=1, C=RU, ST=Sverdlovskaya, L=Yekaterinburg, O=Ural-K, emailAddress=it-adm@tdural-k.ru, CN=tdural-k.ru-ca Sep 16 23:18:07OpenVPN0VERIFY OK: depth=1, C=RU, ST=Sverdlovskaya, L=Yekaterinburg, O=Ural-K, emailAddress=it-adm@tdural-k.ru, CN=tdural-k.ru-ca Sep 16 23:18:07OpenVPN0VERIFY OK: nsCertType=SERVER Sep 16 23:18:07OpenVPN0VERIFY SCRIPT OK: depth=0, C=RU, ST=Sverdlovskaya, L=Yekaterinburg, O=Ural-K, emailAddress=it-adm@tdural-k.ru, CN=ovpns3 Sep 16 23:18:07OpenVPN0VERIFY OK: depth=0, C=RU, ST=Sverdlovskaya, L=Yekaterinburg, O=Ural-K, emailAddress=it-adm@tdural-k.ru, CN=ovpns3 Sep 16 23:18:07OpenVPN0WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1557', remote='link-mtu 1558' Sep 16 23:18:07OpenVPN0WARNING: 'comp-lzo' is present in remote config but missing in local config, remote='comp-lzo' Sep 16 23:18:07OpenVPN0Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-GCM-SHA384, 2048 bit RSA Sep 16 23:18:07OpenVPN0[ovpns3] Peer Connection Initiated with [AF_INET]91.191.231.34:1196 Sep 16 23:18:07ndmNetwork::Interface::OpenVpn: "OpenVPN0": added host route to remote endpoint 91.191.231.34 via 5.189.60.1. Sep 16 23:18:08ndmCore::ConfigurationSaver: configuration saved. Sep 16 23:18:08ndmNetwork::Interface::IP: "GigabitEthernet0/Vlan2": global priority is 700. Sep 16 23:18:08ndmNetwork::Interface::IP: "OpenVPN0": global priority is 1000. Sep 16 23:18:08ndmCore::ConfigurationSaver: saving configuration... Sep 16 23:18:08OpenVPN0SENT CONTROL [ovpns3]: 'PUSH_REQUEST' (status=1) Sep 16 23:18:08OpenVPN0PUSH: Received control message: 'PUSH_REPLY,route 10.0.8.0 255.255.255.0,route 10.0.9.0 255.255.255.0,route 192.168.20.0 255.255.255.0,route 192.168.30.0 255.255.255.0,route 192.168.33.0 255.255.255.0,dhcp-option DNS 192.168.30.209,route 10.0.10.1,topology net30,ping 10,ping-restart 60,ifconfig 10.0.10.58 10.0.10.57' Sep 16 23:18:08OpenVPN0OPTIONS IMPORT: timers and/or timeouts modified Sep 16 23:18:08OpenVPN0OPTIONS IMPORT: --ifconfig/up options modified Sep 16 23:18:08OpenVPN0OPTIONS IMPORT: route options modified Sep 16 23:18:08OpenVPN0OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified Sep 16 23:18:08OpenVPN0Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key Sep 16 23:18:08OpenVPN0Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Sep 16 23:18:08OpenVPN0Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key Sep 16 23:18:08OpenVPN0Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Sep 16 23:18:08OpenVPN0TUN/TAP device tun0 opened Sep 16 23:18:08OpenVPN0TUN/TAP TX queue length set to 100 Sep 16 23:18:08OpenVPN0do_ifconfig, tt->did_ifconfig_ipv6_setup=0 Sep 16 23:18:08ndmNetwork::Interface::IP: "OpenVPN0": IP address is 10.0.10.58/32. Sep 16 23:18:08ndmNetwork::Interface::OpenVpn: "OpenVPN0": TUN peer address is 10.0.10.57. Sep 16 23:18:08ndmNetwork::Interface::OpenVpn: "OpenVPN0": added host route to peer 10.0.10.57 via 10.0.10.58. Sep 16 23:18:09ndmNetwork::Interface::OpenVpn: "OpenVPN0": install accepted route to 10.0.8.0/255.255.255.0 via 10.0.10.57. Sep 16 23:18:09ndmNetwork::Interface::OpenVpn: "OpenVPN0": install accepted route to 10.0.9.0/255.255.255.0 via 10.0.10.57. Sep 16 23:18:09ndmNetwork::Interface::OpenVpn: "OpenVPN0": install accepted route to 192.168.20.0/255.255.255.0 via 10.0.10.57. Sep 16 23:18:09ndmNetwork::Interface::OpenVpn: "OpenVPN0": install accepted route to 192.168.30.0/255.255.255.0 via 10.0.10.57. Sep 16 23:18:09ndmNetwork::Interface::OpenVpn: "OpenVPN0": install accepted route to 192.168.33.0/255.255.255.0 via 10.0.10.57. Sep 16 23:18:09ndmNetwork::Interface::OpenVpn: "OpenVPN0": install accepted route to 10.0.10.1/255.255.255.255 via 10.0.10.57. Sep 16 23:18:09ndmNetwork::Interface::OpenVpn: "OpenVPN0": adding nameserver 192.168.30.209. Sep 16 23:18:09ndmDns::Manager: name server 192.168.30.209 added, domain (default). Sep 16 23:18:09ndmNetwork::RoutingTable: gateway 10.0.10.57 is unreachable via OpenVPN0. Sep 16 23:18:09ndmNetwork::Interface::OpenVpn: "OpenVPN0": failed to add a nameserver route. Sep 16 23:18:09OpenVPN0GID set to nobody Sep 16 23:18:09OpenVPN0UID set to nobody Sep 16 23:18:09OpenVPN0Initialization Sequence Completed Sep 16 23:18:12ndmCore::ConfigurationSaver: configuration saved. Sep 16 23:18:18OpenVPN0write to TUN/TAP : Invalid argument (code=22) Sep 16 23:20:09OpenVPN0Core::Syslog: last message repeated 11 times. Quote Link to comment Share on other sites More sharing options...
Дмитрий Вагин Posted September 17, 2017 Share Posted September 17, 2017 Извините, оказалось нужно добавить еще comp-lzo adaptive. Quote Link to comment Share on other sites More sharing options...
r13 Posted September 19, 2017 Share Posted September 19, 2017 (edited) @Le ecureuil Бага в веб интерфейсе: Если на OpenVPN интерфейсе повесить флаг ipsec ignore interface OpenVPN1 ipsec ignore то веб начинает считать данный интерфейс L2TP/IPSec интерфейсом. После удаления флага работоспособность редактирования в веб OpenVPN интерфейса восстанавливается. Edited September 19, 2017 by r13 1 Quote Link to comment Share on other sites More sharing options...
r13 Posted September 19, 2017 Share Posted September 19, 2017 @Le ecureuil При соединении с сервером по ipv6 протоколу в лог вываливается какой-то дамп, но при это все работает. При коннекте к тому же серверу по ipv4 такого дампа нет Скрытый текст Sep 19 20:39:17ndm Network::Interface::OpenVpn: "OpenVPN0": ERR feedback dump: /tmp/openvpn/OpenVPN0/openvpn-ipchange. Sep 19 20:39:17ndm Network::Interface::OpenVpn: "OpenVPN0": argv[0] = '[AF_INET6]2001:****:***:***::1 1194'. Sep 19 20:39:17ndm Network::Interface::OpenVpn: "OpenVPN0": env[script_type] = 'ipchange'. Sep 19 20:39:17ndm Network::Interface::OpenVpn: "OpenVPN0": env[common_name] = '****'. Sep 19 20:39:17ndm Network::Interface::OpenVpn: "OpenVPN0": env[trusted_port] = '1194'. Sep 19 20:39:17ndm Network::Interface::OpenVpn: "OpenVPN0": env[trusted_ip6] = '2001:****:***:***::1'. Sep 19 20:39:17ndm Network::Interface::OpenVpn: "OpenVPN0": env[untrusted_port] = '1194'. Sep 19 20:39:17ndm Network::Interface::OpenVpn: "OpenVPN0": env[untrusted_ip6] = '2001:****:***:***::1'. Sep 19 20:39:17ndm Network::Interface::OpenVpn: "OpenVPN0": env[tls_serial_hex_0] = '01'. Sep 19 20:39:17ndm Network::Interface::OpenVpn: "OpenVPN0": env[tls_serial_0] = '1'. Sep 19 20:39:17ndm Network::Interface::OpenVpn: "OpenVPN0": env[tls_digest_sha256_0] = Sep 19 20:39:17ndm Network::Interface::OpenVpn: "OpenVPN0": ERR feedback dump: /tmp/openvpn/OpenVPN0/openvpn-ipchange. Sep 19 20:39:17ndm Network::Interface::OpenVpn: "OpenVPN0": argv[0] = '[AF_INET6]2001:****:***:***::1 1194'. Sep 19 20:39:17ndm Network::Interface::OpenVpn: "OpenVPN0": env[script_type] = 'ipchange'. Sep 19 20:39:17ndm Network::Interface::OpenVpn: "OpenVPN0": env[common_name] = '****'. Sep 19 20:39:17ndm Network::Interface::OpenVpn: "OpenVPN0": env[trusted_port] = '1194'. Sep 19 20:39:17ndm Network::Interface::OpenVpn: "OpenVPN0": env[trusted_ip6] = '2001:****:***:***::1'. Sep 19 20:39:17ndm Network::Interface::OpenVpn: "OpenVPN0": env[untrusted_port] = '1194'. Sep 19 20:39:17ndm Network::Interface::OpenVpn: "OpenVPN0": env[untrusted_ip6] = '2001:****:***:***::1'. Sep 19 20:39:17ndm Network::Interface::OpenVpn: "OpenVPN0": env[tls_serial_hex_0] = '01'. Sep 19 20:39:17ndm Network::Interface::OpenVpn: "OpenVPN0": env[tls_serial_0] = '1'. Sep 19 20:39:17ndm Network::Interface::OpenVpn: "OpenVPN0": env[tls_digest_sha256_0] = селф далее 1 Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 19, 2017 Share Posted September 19, 2017 Все верно. IPv6 как транспортный протокол вообще не поддерживается, и что у вас что-то работает - большая удача. А дамп специально выводится в случаях, когда "шеф, усе пропало" чтобы потом мне было проще понять где же именно все пропало в self-test'ах юзеров. Quote Link to comment Share on other sites More sharing options...
ICMP Posted September 20, 2017 Share Posted September 20, 2017 (edited) @Le ecureuil Доброе время суток! Пытаюсь настроить "Трансляцию сетевых адресов (NAT)" на сервере openvpn, до клиентского порта, со стороны ISP сервера, подскажите может чего дополнительно надо сделать? Со стороны сервера 10.8.0.2 естественно открывается... Edited September 20, 2017 by ICMP Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 21, 2017 Share Posted September 21, 2017 В принципе все верно настроено, но я не уверен в том, что вы делаете то, что вам нужно, а не то что вам кажется нужным. Quote Link to comment Share on other sites More sharing options...
ICMP Posted September 21, 2017 Share Posted September 21, 2017 18 минут назад, Le ecureuil сказал: верно настроено Но почему то не работает, скажите "Трансляция сетевых адресов (NAT)" работает только в сторону lan? 20 минут назад, Le ecureuil сказал: но я не уверен в том, что вы делаете то, что вам нужно, а не то что вам кажется нужным. Да я тоже долго голову ломал ,этот вариант самый оптимальный, короче все клиенты на Keenetic и в них usb модемы с серыми адресами, у них клиенты IP камеры, я объединил их и пробрасываю (пытаюсь) с белого IP... Quote Link to comment Share on other sites More sharing options...
ICMP Posted September 22, 2017 Share Posted September 22, 2017 Блин омогите настроить проброс портов в туннель, чтоб когда из вне обращался к белому ип сервера попадал на клиентов, никак не могу завернуть ответы обратно в туннель... Quote Link to comment Share on other sites More sharing options...
Byuri Posted September 26, 2017 Share Posted September 26, 2017 Добрый день. Тестировал OpenVPN на Keenetic III с прошивкой in_rb_draft_2.10.A.5.0-2 - все работало нормально. Приобрел Keenetic Lite III rev. B обновил на kl_rh_draft_2.10.A.5.0-2 и последующую 2.11.A.3.0-0 и OpenVPN на том же конфиге перестал работать. Выдает ошибку: Sep 26 10:48:15OpenVPN0OpenVPN 2.4.3 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD] Sep 26 10:48:15OpenVPN0library versions: OpenSSL 1.1.0f 25 May 2017, LZO 2.10 Sep 26 10:48:15OpenVPN0WARNING: --ns-cert-type is DEPRECATED. Use --remote-cert-tls instead. Sep 26 10:48:15OpenVPN0OpenSSL: error:140AB18E:lib(20):func(171):reason(398) Sep 26 10:48:15OpenVPN0Cannot load inline certificate file Sep 26 10:48:15OpenVPN0Exiting due to fatal error Sep 26 10:48:15ndmService: "OpenVPN0": unexpectedly stopped. Конфиг клиента: client dev tun proto udp remote xx.xxx.xxx.xx 11194 (порты до сервера проброшены) resolv-retry infinite nobind persist-key persist-tun ns-cert-type server comp-lzo verb 3 #askpass key-direction 1 <tls-auth> </tls-auth> <ca> </ca> <cert> </cert> <key> </key> Конфиг сервера, на нем висит 200 клиентов как софтовых, так и на DD-WRT port 1194 proto udp dev tun ca c:\\openvpn\\ssl\\ca.crt cert c:\\openvpn\\ssl\\server.crt key c:\\openvpn\\ssl\\server.key dh c:\\openvpn\\ssl\\dh1024.pem client-to-client topology subnet server 172.16.0.0 255.255.248.0 management 127.0.0.1 54321 ifconfig-pool-persist ipp.txt push "dhcp-option DNS 172.16.0.1" keepalive 10 60 tls-auth c:\\openvpn\\ssl\\ta.key 0 # This file is secret cipher BF-CBC # Blowfish (default) comp-lzo mssfix max-clients 500 persist-key persist-tun status c:\\openvpn\\log\\status.log log-append c:\\openvpn\\log\\openvpn.log verb 4 ;mute 20 Сейф-тест роутера: Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 26, 2017 Share Posted September 26, 2017 5 часов назад, Byuri сказал: Добрый день. Тестировал OpenVPN на Keenetic III с прошивкой in_rb_draft_2.10.A.5.0-2 - все работало нормально. Приобрел Keenetic Lite III rev. B обновил на kl_rh_draft_2.10.A.5.0-2 и последующую 2.11.A.3.0-0 и OpenVPN на том же конфиге перестал работать. Выдает ошибку: Sep 26 10:48:15OpenVPN0OpenVPN 2.4.3 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD] Sep 26 10:48:15OpenVPN0library versions: OpenSSL 1.1.0f 25 May 2017, LZO 2.10 Sep 26 10:48:15OpenVPN0WARNING: --ns-cert-type is DEPRECATED. Use --remote-cert-tls instead. Sep 26 10:48:15OpenVPN0OpenSSL: error:140AB18E:lib(20):func(171):reason(398) Sep 26 10:48:15OpenVPN0Cannot load inline certificate file Sep 26 10:48:15OpenVPN0Exiting due to fatal error Sep 26 10:48:15ndmService: "OpenVPN0": unexpectedly stopped. Конфиг клиента: client dev tun proto udp remote xx.xxx.xxx.xx 11194 (порты до сервера проброшены) resolv-retry infinite nobind persist-key persist-tun ns-cert-type server comp-lzo verb 3 #askpass key-direction 1 <tls-auth> </tls-auth> <ca> </ca> <cert> </cert> <key> </key> Конфиг сервера, на нем висит 200 клиентов как софтовых, так и на DD-WRT port 1194 proto udp dev tun ca c:\\openvpn\\ssl\\ca.crt cert c:\\openvpn\\ssl\\server.crt key c:\\openvpn\\ssl\\server.key dh c:\\openvpn\\ssl\\dh1024.pem client-to-client topology subnet server 172.16.0.0 255.255.248.0 management 127.0.0.1 54321 ifconfig-pool-persist ipp.txt push "dhcp-option DNS 172.16.0.1" keepalive 10 60 tls-auth c:\\openvpn\\ssl\\ta.key 0 # This file is secret cipher BF-CBC # Blowfish (default) comp-lzo mssfix max-clients 500 persist-key persist-tun status c:\\openvpn\\log\\status.log log-append c:\\openvpn\\log\\openvpn.log verb 4 ;mute 20 Ваши сертификаты подписаны MD5, и новый OpenSSL считает эту подпись слишком слабой - потому и не дает коннекта. Подробности здесь: https://forums.openvpn.net/viewtopic.php?t=23979 Вообще я с ними согласен, неплохо бы перевыпустить сертификаты с SHA256 (SHA1 тоже уже устарел), но в качестве обходного решения попробуйте добавить tls-cipher "DEFAULT:@SECLEVEL=0" в конфиг OpenVPN для обхода ситуации. 1 Quote Link to comment Share on other sites More sharing options...
Byuri Posted September 26, 2017 Share Posted September 26, 2017 50 минут назад, Le ecureuil сказал: Ваши сертификаты подписаны MD5, и новый OpenSSL считает эту подпись слишком слабой - потому и не дает коннекта. Подробности здесь: https://forums.openvpn.net/viewtopic.php?t=23979 Вообще я с ними согласен, неплохо бы перевыпустить сертификаты с SHA256 (SHA1 тоже уже устарел), но в качестве обходного решения попробуйте добавить tls-cipher "DEFAULT:@SECLEVEL=0" в конфиг OpenVPN для обхода ситуации. Добавление опции не помогло. Ошибка осталась. Последовал рекомендации в данной Вами ссылке: Цитата I circumvented/fixed the problem by editing the openssl-1.0.0.cnf file in my easy-rsa directory and changing "default_md" from md5 to sha256 and then regenerating my certificates. После этого заработало, с сервером соединилось. Спасибо за помощь. Quote Link to comment Share on other sites More sharing options...
Dream Posted October 5, 2017 Share Posted October 5, 2017 Добрый день, не увидел в теме. Подскажите пожалуйста мне нужно подключится по openvpn как клиент(приобрёл на месяц). Сейчас обновился на своём до 2.11.A.4.0-0. Как мне ввести логин и пароль для доступа? или это нужно как-то прописать? client dev tun proto udp remote xxx.xxxx.xxxxx.xxx resolv-retry infinite remote-random nobind tun-mtu 1500 tun-mtu-extra 32 mssfix 1450 persist-key persist-tun ping 15 ping-restart 0 ping-timer-rem reneg-sec 0 explicit-exit-notify 3 remote-cert-tls server #mute 10000 auth-user-pass comp-lzo verb 3 pull fast-io cipher AES-256-CBC <ca> -----BEGIN CERTIFICATE----- xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx -----END CERTIFICATE----- </ca> key-direction 1 <tls-auth> # # 2048 bit OpenVPN static key # -----BEGIN OpenVPN Static key V1----- xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx -----END OpenVPN Static key V1----- </tls-auth> Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted October 5, 2017 Share Posted October 5, 2017 2 часа назад, Dream сказал: Добрый день, не увидел в теме. Подскажите пожалуйста мне нужно подключится по openvpn как клиент(приобрёл на месяц). Сейчас обновился на своём до 2.11.A.4.0-0. Как мне ввести логин и пароль для доступа? или это нужно как-то прописать? client dev tun proto udp remote xxx.xxxx.xxxxx.xxx resolv-retry infinite remote-random nobind tun-mtu 1500 tun-mtu-extra 32 mssfix 1450 persist-key persist-tun ping 15 ping-restart 0 ping-timer-rem reneg-sec 0 explicit-exit-notify 3 remote-cert-tls server #mute 10000 auth-user-pass comp-lzo verb 3 pull fast-io cipher AES-256-CBC <ca> -----BEGIN CERTIFICATE----- xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx -----END CERTIFICATE----- </ca> key-direction 1 <tls-auth> # # 2048 bit OpenVPN static key # -----BEGIN OpenVPN Static key V1----- xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx -----END OpenVPN Static key V1----- </tls-auth> Строку Цитата auth-user-pass в вашем конфиге замените на <auth-user-pass> login password </auth-user-pass> И с таким конфигом все должно работать (не забудьте про галочку "получать маршруты от сервера"). Quote Link to comment Share on other sites More sharing options...
parkan Posted October 5, 2017 Share Posted October 5, 2017 (edited) Доброго всем. Вопрос небольшой. Есть сетка с сервером OpenVPN 192.168.0.x (Pfsense) Шлюз OpenVPN 10.0.6.1-10.0.6.2, tun Сетка с клиентом OpenVPN, 192.168.6.x (Keenetic III, 2.11.A.4.0-0) Как бы всё работает, в обе стороны, пингуется, открывается. Есть одно но: Компы за Кинетиком выходят в сетку с сервером под адресом OpenVPN, т.е. 10.0.6.2. Всё бы ничего, но голос VoIP в сторону Кинетика не проходит. Так было и на версии 2.08 с Entware. Я уж интерфейс OpenVPN0 сделал private, и "no ip nat OpenVPN0", всё равно... К этому же серверу подключено куча клиентов, и на dd-wrt, и на Giga II c v2.06(AAFS.7)C2. На них всё нормально, клиенты приходят со своими IP. Конфиг клиента: Скрытый текст remote xxx 1200 port 1200 dev tun proto udp nobind persist-tun cipher AES-128-CBC verb 3 comp-lzo keepalive 15 60 ifconfig 10.0.6.2 10.0.6.1 route 192.168.0.0 255.255.255.0 <secret> # # 2048 bit OpenVPN static key # -----BEGIN OpenVPN Static key V1----- ... -----END OpenVPN Static key V1----- </secret> Это что-то в прошивках после 2.06 поменялось? Возможно ли поправить? Edited October 5, 2017 by parkan Add Quote Link to comment Share on other sites More sharing options...
Dream Posted October 6, 2017 Share Posted October 6, 2017 (edited) Спасибо большое) Только проблема возникла очень странная, я подключился как клиент, 5 сек соединение работало и всё) Такое ощущение openvpn забирает полностью соединение и отключает основное. Приоритет приходится выставлять равный основному подключению, иначе соединение остаётся резервным. После того как подключается тут же теряет соединение, ставишь для openvpn меньше значение перекидывает на основное соединение и связь восстанавливается Скрытый текст Oct 06 08:01:46ndm Network::Interface::Supplicant: "OpenVPN0": authnentication is unchanged. Oct 06 08:01:47ndm Network::Interface::Base: "OpenVPN0": description saved. Oct 06 08:01:47ndm Network::Interface::IP: "OpenVPN0": IP address cleared. Oct 06 08:01:47ndm Network::Interface::IP: "OpenVPN0": global priority enabled. Oct 06 08:01:47ndm Network::Interface::IP: "OpenVPN0": TCP-MSS adjustment enabled. Oct 06 08:01:47ndm Network::Interface::OpenVpn: "OpenVPN0": configuration successfully saved. Oct 06 08:01:47ndm Network::Interface::OpenVpn: "OpenVPN0": enable automatic routes accept via tunnel. Oct 06 08:01:47ndm Network::Interface::OpenVpn: "OpenVPN0": set connection via any interface. Oct 06 08:01:47ndm Network::Interface::Base: "OpenVPN0": interface is up. Oct 06 08:01:47ndm Network::Interface::Base: "OpenVPN0": schedule cleared. Oct 06 08:01:47ndm Core::ConfigurationSaver: saving configuration... Oct 06 08:01:48ndm Network::Interface::IP: "OpenVPN0": IP address cleared. Oct 06 08:01:48OpenVPN0 event_wait : Interrupted system call (code=4) Oct 06 08:01:48OpenVPN0 Closing TUN/TAP interface Oct 06 08:01:48OpenVPN0 SIGINT[hard,] received, process exiting Oct 06 08:01:51OpenVPN0 OpenVPN 2.4.4 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD] Oct 06 08:01:51OpenVPN0 library versions: OpenSSL 1.1.0f 25 May 2017, LZO 2.10 Oct 06 08:01:51OpenVPN0 WARNING: --ping should normally be used with --ping-restart or --ping-exit Oct 06 08:01:51OpenVPN0 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication Oct 06 08:01:51OpenVPN0 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication Oct 06 08:01:51OpenVPN0 TCP/UDP: Preserving recently used remote address: [AF_INET]91.210.105.101:1194 Oct 06 08:01:51OpenVPN0 Socket Buffers: R=[155648->155648] S=[155648->155648] Oct 06 08:01:51OpenVPN0 UDP link local: (not bound) Oct 06 08:01:51OpenVPN0 UDP link remote: [AF_INET]91.210.105.101:1194 Oct 06 08:01:51OpenVPN0 NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay Oct 06 08:01:51OpenVPN0 TLS: Initial packet from [AF_INET]91.210.105.101:1194, sid=XXXXXXX XXXXXXX Oct 06 08:01:51OpenVPN0 VERIFY SCRIPT OK: depth=1, C=PA, ST=PA, L=Panama, O=NordVPN, OU=NordVPN, CN=ru3.nordvpn.com, name=NordVPN, emailAddress=cert@nordvpn.com Oct 06 08:01:51OpenVPN0 VERIFY OK: depth=1, C=PA, ST=PA, L=Panama, O=NordVPN, OU=NordVPN, CN=ru3.nordvpn.com, name=NordVPN, emailAddress=cert@nordvpn.com Oct 06 08:01:51OpenVPN0 VERIFY KU OK Oct 06 08:01:51OpenVPN0 Validating certificate extended key usage Oct 06 08:01:51OpenVPN0 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication Oct 06 08:01:51OpenVPN0 VERIFY EKU OK Oct 06 08:01:51OpenVPN0 VERIFY SCRIPT OK: depth=0, C=PA, ST=PA, L=Panama, O=NordVPN, OU=NordVPN, CN=ru3.nordvpn.com, name=NordVPN, emailAddress=cert@nordvpn.com Oct 06 08:01:51OpenVPN0 VERIFY OK: depth=0, C=PA, ST=PA, L=Panama, O=NordVPN, OU=NordVPN, CN=ru3.nordvpn.com, name=NordVPN, emailAddress=cert@nordvpn.com Oct 06 08:01:52OpenVPN0 Control Channel: TLSv1.2, cipher TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA Oct 06 08:01:52OpenVPN0 [ru3.nordvpn.com] Peer Connection Initiated with [AF_INET]91.210.105.101:1194 Oct 06 08:01:52ndm Network::Interface::OpenVpn: "OpenVPN0": added host route to remote endpoint 91.210.105.101 via 192.168.2.1. Oct 06 08:01:52ndm Core::ConfigurationSaver: configuration saved. Oct 06 08:01:53OpenVPN0 SENT CONTROL [ru3.nordvpn.com]: 'PUSH_REQUEST' (status=1) Oct 06 08:01:53OpenVPN0 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1,sndbuf 524288,rcvbuf 524288,dhcp-option DNS 78.46.223.24,dhcp-option DNS 162.242.211.137,route-gateway 10.8.8.1,topology subnet,ping 60,ping-restart 180,ifconfig 10.8.8.126 255.255.255.0,peer-id 12,cipher AES-256-GCM' Oct 06 08:01:53OpenVPN0 OPTIONS IMPORT: timers and/or timeouts modified Oct 06 08:01:53OpenVPN0 OPTIONS IMPORT: --sndbuf/--rcvbuf options modified Oct 06 08:01:53OpenVPN0 Socket Buffers: R=[155648->1048576] S=[155648->1048576] Oct 06 08:01:53OpenVPN0 OPTIONS IMPORT: --ifconfig/up options modified Oct 06 08:01:53OpenVPN0 OPTIONS IMPORT: route options modified Oct 06 08:01:53OpenVPN0 OPTIONS IMPORT: route-related options modified Oct 06 08:01:53OpenVPN0 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified Oct 06 08:01:53OpenVPN0 OPTIONS IMPORT: peer-id set Oct 06 08:01:53OpenVPN0 OPTIONS IMPORT: adjusting link_mtu to 1657 Oct 06 08:01:53OpenVPN0 OPTIONS IMPORT: data channel crypto options modified Oct 06 08:01:53OpenVPN0 Data Channel: using negotiated cipher 'AES-256-GCM' Oct 06 08:01:53OpenVPN0 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key Oct 06 08:01:53OpenVPN0 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key Oct 06 08:01:53OpenVPN0 TUN/TAP device tun0 opened Oct 06 08:01:53OpenVPN0 TUN/TAP TX queue length set to 100 Oct 06 08:01:53OpenVPN0 do_ifconfig, tt->did_ifconfig_ipv6_setup=0 Oct 06 08:01:53ndm Network::Interface::IP: "OpenVPN0": IP address is 10.8.8.126/24. Oct 06 08:01:53ndm Network::Interface::OpenVpn: "OpenVPN0": install accepted default route via 10.8.8.1. Oct 06 08:01:54ndm Network::Interface::OpenVpn: "OpenVPN0": adding nameserver 78.46.223.24. Oct 06 08:01:54ndm Dns::Manager: name server 78.46.223.24 added, domain (default). Oct 06 08:01:54ndm Network::Interface::OpenVpn: "OpenVPN0": add route to nameserver 78.46.223.24 via 0.0.0.0 (OpenVPN0). Oct 06 08:01:54ndm Network::Interface::OpenVpn: "OpenVPN0": adding nameserver 162.242.211.137. Oct 06 08:01:54ndm Dns::Manager: name server 162.242.211.137 added, domain (default). Oct 06 08:01:54ndm Network::Interface::OpenVpn: "OpenVPN0": add route to nameserver 162.242.211.137 via 0.0.0.0 (OpenVPN0). Oct 06 08:01:54OpenVPN0 GID set to nobody Oct 06 08:01:54OpenVPN0 UID set to nobody Oct 06 08:01:54OpenVPN0 Initialization Sequence Completed Oct 06 08:01:54ndm kernel: IPv4 conntrack wan: flushed 65 entries with address 192.168.2.10 Oct 06 08:01:54ndm Network::InterfaceFlusher: flushed FastEthernet0/Vlan2 conntrack and route cache. Oct 06 08:01:54upnp shutting down MiniUPnPd Oct 06 08:01:54ndm Core::Server: client disconnected. Oct 06 08:01:56ndm Core::Server: started Session /var/run/ndm.core.socket. Oct 06 08:01:56upnp HTTP listening on port 41984 Oct 06 08:01:56upnp Listening for NAT-PMP/PCP traffic on port 5351 Oct 06 08:02:20ndm Network::InternetChecker: Internet access is disappeared. Oct 06 08:02:28ndm Cloud::Agent: can not connect to the cloud server. Edited October 6, 2017 by Dream Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted October 6, 2017 Share Posted October 6, 2017 Надо ставить не равный, а больше текущего. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted October 6, 2017 Share Posted October 6, 2017 18 часов назад, parkan сказал: Доброго всем. Вопрос небольшой. Есть сетка с сервером OpenVPN 192.168.0.x (Pfsense) Шлюз OpenVPN 10.0.6.1-10.0.6.2, tun Сетка с клиентом OpenVPN, 192.168.6.x (Keenetic III, 2.11.A.4.0-0) Как бы всё работает, в обе стороны, пингуется, открывается. Есть одно но: Компы за Кинетиком выходят в сетку с сервером под адресом OpenVPN, т.е. 10.0.6.2. Всё бы ничего, но голос VoIP в сторону Кинетика не проходит. Так было и на версии 2.08 с Entware. Я уж интерфейс OpenVPN0 сделал private, и "no ip nat OpenVPN0", всё равно... К этому же серверу подключено куча клиентов, и на dd-wrt, и на Giga II c v2.06(AAFS.7)C2. На них всё нормально, клиенты приходят со своими IP. Конфиг клиента: Показать содержимое remote xxx 1200 port 1200 dev tun proto udp nobind persist-tun cipher AES-128-CBC verb 3 comp-lzo keepalive 15 60 ifconfig 10.0.6.2 10.0.6.1 route 192.168.0.0 255.255.255.0 <secret> # # 2048 bit OpenVPN static key # -----BEGIN OpenVPN Static key V1----- ... -----END OpenVPN Static key V1----- </secret> Это что-то в прошивках после 2.06 поменялось? Возможно ли поправить? Попробуйте отключить nat loopback. Quote Link to comment Share on other sites More sharing options...
alexxx0677 Posted October 6, 2017 Share Posted October 6, 2017 (edited) Здравствуйте! У меня Keenetic Omni с прошивкой 2.11 в связке с 4g модемом. Задача сделать так, чтобы интернет на домашнюю сеть раздавался только через впн, а пока впн соединения нет чтобы устройства из домашней сети не ломились через модем. В настройках модема нет галочки, чтобы отключить раздачу интернета. Решил это удалив строку ip global в файле startup-config, Пока использовал L2TP всё работало как надо, соединение шло через не раздающий интернет модем, весь остальной трафик ждал установления соединение. Сейчас захотел настроить OpenVPN, но он не видит модема, в логах пишет что не может через него соединиться с сервером. Работает всё очень странным образом - сначала поднимаю L2TP, а уже через него соединяется OpenVPN. Если потом разорвать OpenVPN, то L2TP не становится активным, остается серым, хотя чекпинг пишет что интерфейс доступен. В тоже время OpenVPN снова не может соединиться, так как L2TP и модем остаются серыми. Если пересчелкнуть вручную L2TP, то он снова становится зеленым, и следом подгружается OpenVPN. Не могли бы вы подправить прошивку, чтобы если чекпинг говорит что интернет доступен, то и OpenVPN могло пользоваться, как L2TP. Или хотябы чтобы L2TP становился зеленым после отключения OpenVPN. Надеюсь не сильно запутал.. Edited October 6, 2017 by alexxx0677 1 Quote Link to comment Share on other sites More sharing options...
parkan Posted October 6, 2017 Share Posted October 6, 2017 (edited) 7 часов назад, Le ecureuil сказал: Попробуйте отключить nat loopback. (config)> interface OpenVPN0 no ip nat loopback Network::StaticNat: NAT loopback is explicitly disabled on "OpenVPN0". Сделал, сохранил, перезагрузил, не помогло. Все устройства так же выходят под 10.0.6.2. Может поможет: маршруты с работающей Giga II на 2.06: ~ # route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 10.0.110.1 * 255.255.255.255 UH 0 0 0 tun0 192.168.0.0 10.0.110.1 255.255.255.0 UG 0 0 0 tun0 192.168.110.0 * 255.255.255.0 U 0 0 0 br0 10.200.44.0 * 255.255.252.0 U 0 0 0 eth2.2 default 10.200.44.1 0.0.0.0 UG 0 0 0 eth2.2 ... И с "продлемного" Кин. III на 2.11: (почему-то 10.0.6.1 идет через 10.0.6.2) ~ # route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface default 10.20.0.1 0.0.0.0 UG 0 0 0 eth2.2 10.0.6.1 10.0.6.2 255.255.255.255 UGH 0 0 0 ovpn_br0 10.20.0.0 * 255.252.0.0 U 0 0 0 eth2.2 192.168.0.0 10.0.6.1 255.255.255.0 UG 0 0 0 ovpn_br0 192.168.6.0 * 255.255.255.0 U 0 0 0 br0 ~ # Edited October 6, 2017 by parkan add Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.