Jump to content

openvpn не работает на Keenetic Omni (чёрном)

putivol
 Share

Recommended Posts

putivol Newbie

putivol

Posted
Posted

Здравствуйте! По всем инструкциям добавил в роутер поддержку opkg, поставил репозиторий Entware, из него установил пакет openvpn-openssl.

До запуска туннеля с помощью /opt/etc/init.d/S20openvpn start доступ в Интернет работал.

После запуска OpenVPN он поднимается, даже в самом кинетике видно по логам, да и пинги и трассировки идут с роутера через туннель, а с клиентских устройств в локальной сети - нет. То есть выход трафика в туннель отсутствует. 

~ # traceroute 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 38 byte packets
1  *  *  10.9.0.1 (10.9.0.1)  56.467 ms
2  176.126.237.193 (176.126.237.193)  58.495 ms  *  *
3  185.57.80.77 (185.57.80.77)  87.309 ms  67.047 ms  *
4  *  buc-ird-01c.voxility.net (195.60.76.125)  1363.005 ms  *
5  buc-ird-01gw.voxility.net (109.163.235.57)  98.596 ms  *  62.950 ms
6  *  fra-eq5-01gw.voxility.net (195.60.76.62)  117.580 ms  114.592 ms
7  fra-anc-06gw.voxility.net (93.115.89.6)  86.889 ms  *  *
8  de-cix10.net.google.com (80.81.192.108)  98.586 ms  91.649 ms  92.394 ms
9  216.239.47.84 (216.239.47.84)  90.270 ms
 

Пробовал ставить iptables и связывать интерфейсы локальной сети роутера (172.22.0.1/27) с tun1 - не вышло. Оказалось, тут реализована маршрутизация с помощью route.

Прошу помощи, как организовать доступ устройствам из локальной сети в Интернет через туннель поверх существующего соединения с провайдером eth2.1923.

Вот мои интерфейсы:

Скрытый текст 

~ # ifconfig

apcli0 Link encap:Ethernet HWaddr 2A:28:5D:7B:B5:8A

inet addr:192.168.0.104 Bcast:192.168.0.255 Mask:255.255.255.0

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

RX packets:10148 errors:0 dropped:0 overruns:0 frame:0

TX packets:2070 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:1000

RX bytes:3240141 (3.0 MiB) TX bytes:215167 (210.1 KiB)

br0 Link encap:Ethernet HWaddr 28:28:5D:7B:B5:8A

inet addr:172.22.0.1 Bcast:172.22.0.31 Mask:255.255.255.224

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

RX packets:533855 errors:0 dropped:0 overruns:0 frame:0

TX packets:642942 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:1000

RX bytes:64860579 (61.8 MiB) TX bytes:687965608 (656.0 MiB)

eth2 Link encap:Ethernet HWaddr 28:28:5D:7B:B5:8A

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

RX packets:1657991 errors:0 dropped:0 overruns:0 frame:0

TX packets:1551520 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:1000

RX bytes:1167720265 (1.0 GiB) TX bytes:1061342794 (1012.1 MiB)

Interrupt:3

eth2.1 Link encap:Ethernet HWaddr 28:28:5D:7B:B5:8A

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

RX packets:709397 errors:0 dropped:0 overruns:0 frame:0

TX packets:856679 errors:0 dropped:3 overruns:0 carrier:0

collisions:0 txqueuelen:1000

RX bytes:77205369 (73.6 MiB) TX bytes:958744860 (914.3 MiB)

eth2.1589 Link encap:Ethernet HWaddr 28:28:5D:7B:B5:8A

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

RX packets:103763 errors:0 dropped:0 overruns:0 frame:0

TX packets:0 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:1000

RX bytes:113605706 (108.3 MiB) TX bytes:0 (0.0 B)

eth2.1923 Link encap:Ethernet HWaddr 00:0D:93:82:2B:46

inet addr:134.17.183.0 Bcast:134.17.191.255 Mask:255.255.224.0

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

RX packets:812862 errors:0 dropped:0 overruns:0 frame:0

TX packets:694841 errors:0 dropped:3410 overruns:0 carrier:0

collisions:0 txqueuelen:1000

RX bytes:923339683 (880.5 MiB) TX bytes:83385426 (79.5 MiB)

lo Link encap:Local Loopback

inet addr:127.0.0.1 Mask:255.0.0.0

UP LOOPBACK RUNNING MTU:16436 Metric:1

RX packets:13133 errors:0 dropped:0 overruns:0 frame:0

TX packets:13133 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:0

RX bytes:8234066 (7.8 MiB) TX bytes:8234066 (7.8 MiB)

ra0 Link encap:Ethernet HWaddr 28:28:5D:7B:B5:8A

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

RX packets:6087 errors:0 dropped:0 overruns:0 frame:0

TX packets:3721 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:1000

RX bytes:676278 (660.4 KiB) TX bytes:2539773 (2.4 MiB)

Interrupt:4

tun1 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00

inet addr:10.9.2.46 P-t-P:10.9.2.45 Mask:255.255.255.255

UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1

RX packets:1411 errors:0 dropped:0 overruns:0 frame:0

TX packets:2182 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:100

RX bytes:775842 (757.6 KiB) TX bytes:313530 (306.1 KiB)

 

 

Вот, что происходит с таблицей route после старта OpenVPN:

а) когда всё работало, была такая 

~ # route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
178.168.190.2   134.17.160.1    255.255.255.255 UGH   0      0        0 eth2.1923
87.252.243.193  134.17.160.1    255.255.255.255 UGH   0      0        0 eth2.1923
172.22.0.0      *               255.255.255.224 U     0      0        0 br0
192.168.0.0     *               255.255.255.0   U     0      0        0 apcli0
134.17.160.0    *               255.255.224.0   U     0      0        0 eth2.1923
default         134.17.160.1    0.0.0.0         UG    0      0        0 eth2.1923
~ #
 

б) после запуска туннеля стала такая: (почему-то два шлюза по умолчанию. пробовал удалять их и прописывать один на

default 10.9.0.89 128.0.0.0 UG 0 0 0 tun1 - не помогло) 

~ # route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
176.126.237.214 134.17.160.1    255.255.255.255 UGH   0      0        0 eth2.1923
10.9.0.1        10.9.0.89       255.255.255.255 UGH   0      0        0 tun1
10.9.0.89       *               255.255.255.255 UH    0      0        0 tun1
178.168.190.2   134.17.160.1    255.255.255.255 UGH   0      0        0 eth2.1923
87.252.243.193  134.17.160.1    255.255.255.255 UGH   0      0        0 eth2.1923
172.22.0.0      *               255.255.255.224 U     0      0        0 br0
192.168.0.0     *               255.255.255.0   U     0      0        0 apcli0
134.17.160.0    *               255.255.224.0   U     0      0        0 eth2.1923
default         10.9.0.89       128.0.0.0       UG    0      0        0 tun1
128.0.0.0       10.9.0.89       128.0.0.0       UG    0      0        0 tun1
default         134.17.160.1    0.0.0.0         UG    0      0        0 eth2.1923
~ #
 
Link to comment
Share on other sites
zyxmon Honored Flooder

zyxmon

Posted
Posted

А у меня работает на черном

И сервер - http://forums.zyxmon.org/viewtopic.php?f=5&t=36

И клиент - http://forums.zyxmon.org/viewtopic.php?f=5&t=5344

Мой миелофон не позволил это оределить :(:(

Пробовал ставить iptables и связывать интерфейсы

Это нужно делать через хуки https://github.com/ndmsystems/packages/ ... netfilterd

Link to comment
Share on other sites
putivol Newbie

putivol

Posted
  • Author
Posted

Это нужно делать через хуки https://github.com/ndmsystems/packages/ ... netfilterd

Спасибо за реплай! Я хотел клиент. По ману - делал всё так, только не запрещал серверу командовать шлюзом по умолчанию, т.к. цель и стоит в редиректе всего трафика из br0 в туннель.

Как это реализовать iptables через хуки? iptables же нет по умолчанию, пришлось поставить opkg install iptables. После ввода правил ничего не изменилос - роутер через туннель может ходить, клиенты в локалке - нет. Хотя забавный факт: Телеграм заработал :)

Или я что-то не понимаю, и тут iptables в ядро встроен и подхватывает из конфигов правила при буте, и ставить его не нужно?

Конкретно по хуку вопрос:

/opt/etc/ndm/netfilter.d - какого вида файл с правилами в нём указывать? примерчик бы...

Link to comment
Share on other sites
zyxmon Honored Flooder

zyxmon

Posted
Posted
...

Конкретно по хуку вопрос:

/opt/etc/ndm/netfilter.d - какого вида файл с правилами в нём указывать? примерчик бы...

Примерчик(и) есть в теме по серверу. Очень рекомендую изучить документацию по openvpn.

В интеренете описаний настройки openvpn во всяких позах вагон и тележка. Все давно расписано и разжевано.

Link to comment
Share on other sites
putivol Newbie

putivol

Posted
  • Author
Posted
...

Конкретно по хуку вопрос:

/opt/etc/ndm/netfilter.d - какого вида файл с правилами в нём указывать? примерчик бы...

Примерчик(и) есть в теме по серверу. Очень рекомендую изучить документацию по openvpn.

В интеренете описаний настройки openvpn во всяких позах вагон и тележка. Все давно расписано и разжевано.

Буду изучать :)

Добавил туда скрипт 

[ "$table" != filter ] && exit 0   # check the table name
iptables -I FORWARD -i br0 -o tun1 -j ACCEPT
iptables -I FORWARD -i tun1 -o br0 -j ACCEPT
iptables -t nat -A POSTROUTING -o tun1 -j MASQUERADE
iptables -A INPUT -i lo -j ACCEPT

После перезагрузки роутера сразу завелось!

Только в логах сыпется

Jul 11 08:31:55ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: iptables: Resource temporarily unavailable.

Jul 11 08:32:05ndmNetfilter::Table: IPT_SO_SET_REPLACE failed: resource temporarily unavailable.

С чего бы это?

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...