Jump to content

Recommended Posts

Настройку OpenVPN-сервера в Debian-среде сильно облегчает скрипт OpenVPN road warrior. Рабочий сервер можно получить за несколько действий.

Белый IP-адрес является необходимым условием для того, чтобы можно было подключаться к серверу.

 

Скачайте скрипт, установите желаемую длину ключа для шифрование трафика и запустите его на исполнение:

apt-get update
apt-get install wget
cd ~
export EASYRSA_KEY_SIZE=1024
wget https://git.io/vpn -O openvpn-install.sh
chmod +x openvpn-install.sh
./openvpn-install.sh

Скрипт задаст несколько вопросов. Если не уверены что отвечать, то согласитесь с предлагаемыми значениями по умолчанию. Когда скрипт получит необходимые сведения начнётся генерация ключей для сервера и первого клиента, что на слабом роутере может занять несколько минут. Пример вывода скрипта ниже:

Скрытый текст

root@Keenetic_Omni:~# ./openvpn-install.sh
Welcome to this quick OpenVPN "road warrior" installer

I need to ask you a few questions before starting the setup
You can leave the default options and just press enter if you are ok with them

First I need to know the IPv4 address of the network interface you want OpenVPN
listening to.
IP address: 0.0.0.0

What port do you want for OpenVPN?
Port: 1194

What DNS do you want to use with the VPN?
   1) Current system resolvers
   2) Google
   3) OpenDNS
   4) NTT
   5) Hurricane Electric
   6) Verisign
DNS [1-6]: 2

Finally, tell me your name for the client cert
Please, use one word only, no special characters
Client name: k4

Okay, that was all I needed. We are ready to setup your OpenVPN server now
Press any key to continue...
Ign http://ftp.us.debian.org stable InRelease
Hit http://ftp.us.debian.org stable Release.gpg
Hit http://ftp.us.debian.org stable Release
Hit http://ftp.us.debian.org stable/main mipsel Packages
Hit http://ftp.us.debian.org stable/main Translation-en
Reading package lists... Done
Reading package lists... Done
Building dependency tree
Reading state information... Done
ca-certificates is already the newest version.
iptables is already the newest version.
openssl is already the newest version.
The following extra packages will be installed:
  easy-rsa liblzo2-2 libpkcs11-helper1 opensc opensc-pkcs11
Suggested packages:
  resolvconf
The following NEW packages will be installed:
  easy-rsa liblzo2-2 libpkcs11-helper1 opensc opensc-pkcs11 openvpn
0 upgraded, 6 newly installed, 0 to remove and 0 not upgraded.
Need to get 0 B/1295 kB of archives.
After this operation, 4545 kB of additional disk space will be used.
debconf: delaying package configuration, since apt-utils is not installed
Selecting previously unselected package liblzo2-2:mipsel.
(Reading database ... 18379 files and directories currently installed.)
Preparing to unpack .../liblzo2-2_2.08-1.2_mipsel.deb ...
Unpacking liblzo2-2:mipsel (2.08-1.2) ...
Selecting previously unselected package libpkcs11-helper1:mipsel.
Preparing to unpack .../libpkcs11-helper1_1.11-2_mipsel.deb ...
Unpacking libpkcs11-helper1:mipsel (1.11-2) ...
Selecting previously unselected package opensc-pkcs11:mipsel.
Preparing to unpack .../opensc-pkcs11_0.14.0-2_mipsel.deb ...
Unpacking opensc-pkcs11:mipsel (0.14.0-2) ...
Selecting previously unselected package openvpn.
Preparing to unpack .../openvpn_2.3.4-5+deb8u1_mipsel.deb ...
Unpacking openvpn (2.3.4-5+deb8u1) ...
Selecting previously unselected package easy-rsa.
Preparing to unpack .../easy-rsa_2.2.2-1_all.deb ...
Unpacking easy-rsa (2.2.2-1) ...
Selecting previously unselected package opensc.
Preparing to unpack .../opensc_0.14.0-2_mipsel.deb ...
Unpacking opensc (0.14.0-2) ...
Processing triggers for systemd (215-17+deb8u4) ...
Setting up liblzo2-2:mipsel (2.08-1.2) ...
Setting up libpkcs11-helper1:mipsel (1.11-2) ...
Setting up opensc-pkcs11:mipsel (0.14.0-2) ...
Setting up openvpn (2.3.4-5+deb8u1) ...
invoke-rc.d: action cond-restart is unknown, but proceeding anyway.
invoke-rc.d: policy-rc.d denied execution of cond-restart.
Setting up easy-rsa (2.2.2-1) ...
Setting up opensc (0.14.0-2) ...
Processing triggers for libc-bin (2.19-18+deb8u4) ...
Processing triggers for systemd (215-17+deb8u4) ...
converted 'https://github.com/OpenVPN/easy-rsa/releases/download/3.0.1/EasyRSA-3.0.1.tgz' (ANSI_X3.4-1968) -> 'https://github.com/OpenVPN/easy-rsa/releases/download/3.0.1/EasyRSA-3.0.1.tgz' (UTF-8)
--2016-07-21 17:32:06--  https://github.com/OpenVPN/easy-rsa/releases/download/3.0.1/EasyRSA-3.0.1.tgz
Resolving github.com (github.com)... 192.30.253.113
Connecting to github.com (github.com)|192.30.253.113|:443... connected.
HTTP request sent, awaiting response... 302 Found
Location: https://github-cloud.s3.amazonaws.com/releases/4519663/9dab10e8-7b6a-11e5-91af-0660987e9192.tgz?X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=AKIAISTNZFOVBIJMK3TQ%2F20160721%2Fus-east-1%2Fs3%2Faws4_request&X-Amz-Date=20160721T173208Z&X-Amz-Expires=300&X-Amz-Signature=cd2e4a644508fc86aab5f5ae82f0f063d477ea321ac2fd75ad832834ea3828f5&X-Amz-SignedHeaders=host&actor_id=0&response-content-disposition=attachment%3B%20filename%3DEasyRSA-3.0.1.tgz&response-content-type=application%2Foctet-stream [following]
converted 'https://github-cloud.s3.amazonaws.com/releases/4519663/9dab10e8-7b6a-11e5-91af-0660987e9192.tgz?X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=AKIAISTNZFOVBIJMK3TQ%2F20160721%2Fus-east-1%2Fs3%2Faws4_request&X-Amz-Date=20160721T173208Z&X-Amz-Expires=300&X-Amz-Signature=cd2e4a644508fc86aab5f5ae82f0f063d477ea321ac2fd75ad832834ea3828f5&X-Amz-SignedHeaders=host&actor_id=0&response-content-disposition=attachment%3B%20filename%3DEasyRSA-3.0.1.tgz&response-content-type=application%2Foctet-stream' (ANSI_X3.4-1968) -> 'https://github-cloud.s3.amazonaws.com/releases/4519663/9dab10e8-7b6a-11e5-91af-0660987e9192.tgz?X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=AKIAISTNZFOVBIJMK3TQ/20160721/us-east-1/s3/aws4_request&X-Amz-Date=20160721T173208Z&X-Amz-Expires=300&X-Amz-Signature=cd2e4a644508fc86aab5f5ae82f0f063d477ea321ac2fd75ad832834ea3828f5&X-Amz-SignedHeaders=host&actor_id=0&response-content-disposition=attachment; filename=EasyRSA-3.0.1.tgz&response-content-type=application/octet-stream' (UTF-8)
--2016-07-21 17:32:07--  https://github-cloud.s3.amazonaws.com/releases/4519663/9dab10e8-7b6a-11e5-91af-0660987e9192.tgz?X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=AKIAISTNZFOVBIJMK3TQ/20160721/us-east-1/s3/aws4_request&X-Amz-Date=20160721T173208Z&X-Amz-Expires=300&X-Amz-Signature=cd2e4a644508fc86aab5f5ae82f0f063d477ea321ac2fd75ad832834ea3828f5&X-Amz-SignedHeaders=host&actor_id=0&response-content-disposition=attachment;%20filename=EasyRSA-3.0.1.tgz&response-content-type=application/octet-stream
Resolving github-cloud.s3.amazonaws.com (github-cloud.s3.amazonaws.com)... 54.231.120.35
Connecting to github-cloud.s3.amazonaws.com (github-cloud.s3.amazonaws.com)|54.231.120.35|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 40960 (40K) [application/octet-stream]
Saving to: '/root/EasyRSA-3.0.1.tgz'

/root/EasyRSA-3.0.1 100%[=====================>]  40.00K   119KB/s   in 0.3s

2016-07-21 17:32:09 (119 KB/s) - '/root/EasyRSA-3.0.1.tgz' saved [40960/40960]


init-pki complete; you may now create a CA or requests.
Your newly created PKI dir is: /etc/openvpn/easy-rsa/pki

Generating a 1024 bit RSA private key
........++++++
....++++++
writing new private key to '/etc/openvpn/easy-rsa/pki/private/ca.key.O4VVTG2psl'
-----
Generating DH parameters, 1024 bit long safe prime, generator 2
This is going to take a long time
......................................................................................................+......................................+..............................................+.........................................+.......................+.......................................................................+........................+.........................+...............+...................+.....................................................+..................................+.+...................................................+.+.................................................+...................................................................................................................................................................................................................+............................................................................................+...........................................+............................+............................................................................................+..........................................+...+................................................................................................................................................................................................+................................................+......................+..............................................+...........................................+..................................................................+...............+...........................+.........+........+.................................................................+.....................................................+..........................................................................................................................................................+.......+......................................+...............................................................................................+..................................................+...+.......+.........................................................................................+......................................+................................................................................................................+.........................+................................+...+.......................+................+..........................+..........................................................+........................................+.............+.............................+........+...........................................+..........................+.........................................................................+...............................................................................................+.........................................+...+.......................+......+...........+....................................................+...........................................................+....+.......................................................................+.................+...........................................................+...+.+.......+.............................+..................................................................................................................+...............................................+..........................................................+..........+..................+................................................................+...............................+.+.....................+......................+...........+............................................+.....................................................................+..............+.................................................+.........++*++*++*

DH parameters of size 1024 created at /etc/openvpn/easy-rsa/pki/dh.pem

Generating a 1024 bit RSA private key
.....................++++++
..........................++++++
writing new private key to '/etc/openvpn/easy-rsa/pki/private/server.key.fpgt70JsCu'
-----
Using configuration from /etc/openvpn/easy-rsa/openssl-1.0.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
commonName            :ASN.1 12:'server'
Certificate is to be certified until Jul 19 17:41:00 2026 GMT (3650 days)

Write out database with 1 new entries
Data Base Updated
Generating a 1024 bit RSA private key
....++++++
............................................++++++
writing new private key to '/etc/openvpn/easy-rsa/pki/private/k4.key.GwKx4GAEuw'
-----
Using configuration from /etc/openvpn/easy-rsa/openssl-1.0.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
commonName            :ASN.1 12:'k4'
Certificate is to be certified until Jul 19 17:41:01 2026 GMT (3650 days)

Write out database with 1 new entries
Data Base Updated
Using configuration from /etc/openvpn/easy-rsa/openssl-1.0.cnf

An updated CRL has been created.
CRL file: /etc/openvpn/easy-rsa/pki/crl.pem

[ ok ] Stopping virtual private network daemon:.
[ ok ] Starting virtual private network daemon: server.

Looks like your server is behind a NAT!

If your server is NATed (e.g. LowEndSpirit), I need to know the external IP
If that's not the case, just ignore this and leave the next field blank
External IP:

Finished!

Your client config is available at ~/k4.ovpn
If you want to add more clients, you simply need to run this script another time!

 

Сформированный скриптом файл *.ovpn необходимо перенести на клиента, который будет подключаться к серверу. Сделать это можно по FTP, сетевому окружению или выводом его в консоль с последующей копипастой текста в новый файл.

Для того, чтобы сервер openvpn запускался автоматически при перезагрузке роутера, выполните:

echo 'openvpn' >> /chroot-services.list

Не забудьте открыть выбранный порт в файерволе для того, чтобы сервер был доступен из интернета. По умолчанию это UDP 1194.

Последнее — это настройка правила файервола, которое должно применяться прошивкой автоматически:

echo '#!/bin/sh' > /opt/etc/ndm/wan.d/010-openvpn.sh
echo 'iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to $address' >> /opt/etc/ndm/wan.d/010-openvpn.sh
chmod +x /opt/etc/ndm/wan.d/010-openvpn.sh

Всё!. С помощью повторного запуска скрипта можно добавить ещё одного клиента, отозвать любой из сформированных ранее клиентских сертификатов или удалить с роутера openvpn-сервер.

 

Edited by Александр Рыжов
  • Thanks 3
Link to comment
Share on other sites

  • 1 month later...

Доброго вечера! Пропадает интернет на клиентах после подключения к OpenVPN серверу на роутере.

port 12346
proto udp
dev tun
sndbuf 0
rcvbuf 0
ca ca.crt
cert server.crt
key server.key
dh dh.pem
tls-auth ta.key 0
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
cipher AES-128-CBC
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
crl-verify crl.pem
client-to-client
 

Подскажите. как быть

Link to comment
Share on other sites

Проблема может быть в другом: во время развёртывания OpenVPN скриптом добавляется правило:

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to $IP

которое позже перезатирается при обновлении правил файервола. Для корректной работы сервера openvpn это правило д.б. добавлено в /opt/etc/ndm/netfilter.d. 

Как это грациознее сделать в chroot'ed Debian'е пока не решил.

Link to comment
Share on other sites

В 10.09.2016 в 19:59, Ильгиз сказал:

Доброго вечера! Пропадает интернет на клиентах после подключения к OpenVPN серверу на роутере.

Обновил chroot-среду Debian, сделав доступными прошивочные хук-скрипты, обновил первый пост. Теперь интернет после переподключения WAN на клиентах OpenVPN пропадать не должен.

Link to comment
Share on other sites

В ‎10‎.‎09‎.‎2016 в 21:59, Ильгиз сказал:

Доброго вечера! Пропадает интернет на клиентах после подключения к OpenVPN серверу на роутере.

На роутере порты открыты ?

Link to comment
Share on other sites

  • 2 months later...

Столкнулся с проблемой! поставил openvpn настроил как клиента, клиент и сервер друг друга видят но... доступа из локальной сети в сеть vpn нету, аналогично и с той стороны, пингуется кинетик по двум айпишникам, а вот в локальную сеть уже не проходит

VPN интерфейс tun0    inet addr:10.10.10.1  P-t-P:10.10.10.1  Mask:255.255.255.0
Локальная сеть br0      inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          
Проблему думаю понял: кинетик не подхватывает маршруты из дебиана

Скрытый текст

маршруты зухель.JPG

Различия таблиц маршрутизации

Скрытый текст

маршруты debian.JPG

 

а в кинетикечерез веб морду этот маршрут не добавить ибо она не знает о существовании интерфейса tun0 с адресом 10.10.10.1 и ругается 

Скрытый текст

добавление маршрута кинетик.JPG

Как выкрутиться?

Edited by schokk89
Link to comment
Share on other sites

3 часа назад, schokk89 сказал:

Столкнулся с проблемой! поставил openvpn настроил как клиента, клиент и сервер друг друга видят но... доступа из локальной сети в сеть vpn нету, аналогично и с той стороны, пингуется кинетик по двум айпишникам, а вот в локальную сеть уже не проходит

VPN интерфейс tun0    inet addr:10.10.10.1  P-t-P:10.10.10.1  Mask:255.255.255.0
Локальная сеть br0      inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          
Проблему думаю понял: кинетик не подхватывает маршруты из дебиана

  Показать содержимое

Различия таблиц маршрутизации

  Скрыть содержимое

маршруты debian.JPG

 

а в кинетикечерез веб морду этот маршрут не добавить ибо она не знает о существовании интерфейса tun0 с адресом 10.10.10.1 и ругается 

  Показать содержимое

Как выкрутиться?

В таблице маршрутизации по-умолчанию (а именно такую выводит netstat) все идентично.

Попробуйте заставить openvpn прописывать маршуты самостоятельно (через команды route и push "route", как в примере): https://wiki.archlinux.org/index.php/OpenVPN_(Русский)#.D0.A1.D0.B2.D1.8F.D0.B7.D1.8C_.D0.BA.D0.BB.D0.B8.D0.B5.D0.BD.D1.82.D0.B0_.D0.B8_.D1.81.D0.B5.D1.80.D0.B2.D0.B5.D1.80.D0.B0_.D1.81_.D0.B8.D1.85_.D0.BB.D0.BE.D0.BA.D0.B0.D0.BB.D1.8C.D0.BD.D1.8B.D0.BC.D0.B8_.D1.81.D0.B5.D1.82.D1.8F.D0.BC.D0.B8

 

Link to comment
Share on other sites

4 часа назад, schokk89 сказал:

а вот в локальную сеть уже не проходит

Правила iptables через хуки выполняются? Подсмотреть можно тут

(TUN) http://forums.zyxmon.org/viewtopic.php?f=5&t=5344

(TAP) http://forums.zyxmon.org/viewtopic.php?f=5&t=5425

Link to comment
Share on other sites

В 07.12.2016 в 12:28, zyxmon сказал:

Правила iptables через хуки выполняются? Подсмотреть можно тут

(TUN) http://forums.zyxmon.org/viewtopic.php?f=5&t=5344

(TAP) http://forums.zyxmon.org/viewtopic.php?f=5&t=5425

Спасибо за информацию, заработало, добавил скрипт в  /opt/etc/ndm/netfilter.d/

Link to comment
Share on other sites

  • 1 month later...

Добрый вечер,

использую несовсем debian, а entware3x на первом Keenetic Ultra, но проблема аналогичная, при поднятии соединения с ПК к роутеру из сторонней сети интернет пропадает, есть доступ только к адресу роутера к 192.168.1.1.

В папке netfilter.d лежат 052-openvpn-filter.sh и 053-openvpn-nat.sh. Добавить через веб-морду маршрут 10.8.*.*. к 192.168.1.1 не выходит, т.к. разные подсети. Подскажите пожалуйста в какую сторону смотреть?

Благодарю!

#!/bin/sh
[ "$table" != filter ] && exit 0   # check the table name
iptables -I INPUT -i tun0 -j ACCEPT
iptables -I FORWARD -s 10.8.0.0/24 -j ACCEPT
iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -I INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT

[ "$table" != nat ] && exit 0   # check the table name
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to 194.186.172.89

 

Link to comment
Share on other sites

16 часов назад, Kirill сказал:

Добрый вечер,

использую несовсем debian, а entware3x на первом Keenetic Ultra, но проблема аналогичная, при поднятии соединения с ПК к роутеру из сторонней сети интернет пропадает, есть доступ только к адресу роутера к 192.168.1.1.

В папке netfilter.d лежат 052-openvpn-filter.sh и 053-openvpn-nat.sh. Добавить через веб-морду маршрут 10.8.*.*. к 192.168.1.1 не выходит, т.к. разные подсети. Подскажите пожалуйста в какую сторону смотреть?

Благодарю!


#!/bin/sh
[ "$table" != filter ] && exit 0   # check the table name
iptables -I INPUT -i tun0 -j ACCEPT
iptables -I FORWARD -s 10.8.0.0/24 -j ACCEPT
iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -I INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT

[ "$table" != nat ] && exit 0   # check the table name
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to 194.186.172.89

 

Создайте в netfilter.d два разных скрпита с шебангом #!/bin/sh.

В первый положите все, относящееся к таблице filter, а во второй - nat.

Ваш же скрипт работает неправильно, NAT никогда не добавляется.

Link to comment
Share on other sites

10 минут назад, Le ecureuil сказал:

Создайте в netfilter.d два разных скрпита с шебангом #!/bin/sh.

В первый положите все, относящееся к таблице filter, а во второй - nat.

Ваш же скрипт работает неправильно, NAT никогда не добавляется.

В netfilter.d скрипта два, 052-openvpn-filter.sh и 053-openvpn-nat.sh. Просто в самом сообщении вставился код как одно целое.

Link to comment
Share on other sites

10 минут назад, Le ecureuil сказал:

Создайте в netfilter.d два разных скрпита с шебангом #!/bin/sh.

В первый положите все, относящееся к таблице filter, а во второй - nat.

Ваш же скрипт работает неправильно, NAT никогда не добавляется.

В netfilter.d скрипта два, 052-openvpn-filter.sh и 053-openvpn-nat.sh. Просто в самом сообщении вставился код как одно целое.

Link to comment
Share on other sites

  • 2 months later...

День добрый.

Попытался поставить openvpn, но при подключения клиентом, в журнал сыпят ошибки

Mar 27 14:01:25ovpn-server[14933]2хх.ххх.ххх.хх6:63873 TLS Error: incoming packet authentication failed from [AF_INET]2хх.ххх.ххх.хх6:63873
Mar 27 14:01:26ovpn-server[14933]2хх.ххх.ххх.хх6:63873 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #1 / time = (1490612477) Mon Mar 27 14:01:17 2017 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Mar 27 14:01:26ovpn-server[14933]2хх.ххх.ххх.хх6:63873 TLS Error: incoming packet authentication failed from [AF_INET]2хх.ххх.ххх.хх6:63873
Mar 27 14:01:27ovpn-server[14933]2хх.ххх.ххх.хх6:55461 TLS: Initial packet from [AF_INET]2хх.ххх.ххх.хх6:55461, sid=0f802d22 c8550577
Mar 27 14:01:28ovpn-server[14933]2хх.ххх.ххх.хх6:55461 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #1 / time = (1490612487) Mon Mar 27 14:01:27 2017 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Mar 27 14:01:28ovpn-server[14933]2хх.ххх.ххх.хх6:55461 TLS Error: incoming packet authentication failed from [AF_INET]2хх.ххх.ххх.хх6:55461
Mar 27 14:01:38ovpn-server[14933]2хх.ххх.ххх.хх6:65362 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Mar 27 14:01:38ovpn-server[14933]2хх.ххх.ххх.хх6:65362 TLS Error: TLS handshake failed
Mar 27 14:01:38ovpn-server[14933]2хх.ххх.ххх.хх6:65362 SIGUSR1[soft,tls-error] received, client-instance restarting
Mar 27 14:01:47ovpn-server[14933]2хх.ххх.ххх.хх6:62129 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Mar 27 14:01:47ovpn-server[14933]2хх.ххх.ххх.хх6:62129 TLS Error: TLS handshake failed
Mar 27 14:01:47ovpn-server[14933]2хх.ххх.ххх.хх6:62129 SIGUSR1[soft,tls-error] received, client-instance restarting
Mar 27 14:01:57ovpn-server[14933]2хх.ххх.ххх.хх6:63848 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Mar 27 14:01:57ovpn-server[14933]2хх.ххх.ххх.хх6:63848 TLS Error: TLS handshake failed
Mar 27 14:01:57ovpn-server[14933]2хх.ххх.ххх.хх6:63848 SIGUSR1[soft,tls-error] received, client-instance restarting
Mar 27 14:02:07ovpn-server[14933]2хх.ххх.ххх.хх6:54652 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Mar 27 14:02:07ovpn-server[14933]2хх.ххх.ххх.хх6:54652 TLS Error: TLS handshake failed
Mar 27 14:02:07ovpn-server[14933]2хх.ххх.ххх.хх6:54652 SIGUSR1[soft,tls-error] received, client-instance restarting
Mar 27 14:02:17ovpn-server[14933]2хх.ххх.ххх.хх6:63873 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Mar 27 14:02:17ovpn-server[14933]2хх.ххх.ххх.хх6:63873 TLS Error: TLS handshake failed
Mar 27 14:02:17ovpn-server[14933]2хх.ххх.ххх.хх6:63873 SIGUSR1[soft,tls-error] received, client-instance restarting
Mar 27 14:02:27ovpn-server[14933]2хх.ххх.ххх.хх6:55461 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Mar 27 14:02:27ovpn-server[14933]2хх.ххх.ххх.хх6:55461 TLS Error: TLS handshake failed
Mar 27 14:02:27ovpn-server[14933]2хх.ххх.ххх.хх6:55461 SIGUSR1[soft,tls-error] received, client-instance restarting

есть предположение, что скрипт не полностью отработал, а именно:

An updated CRL has been created.
CRL file: /etc/openvpn/easy-rsa/pki/crl.pem

*** buffer overflow detected ***: iptables terminated
./openvpn-install.sh: line 416: 14876 Аварийный останов         iptables -I INPUT -p $PROTOCOL --dport $PORT -j ACCEPT
*** buffer overflow detected ***: iptables terminated
./openvpn-install.sh: line 416: 14877 Аварийный останов         iptables -I FORWARD -s 10.8.0.0/24 -j ACCEPT
*** buffer overflow detected ***: iptables terminated
./openvpn-install.sh: line 416: 14878 Аварийный останов         iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
[ ok ] Stopping virtual private network daemon: server.
[ ok ] Starting virtual private network daemon: server.

и еще смущает, что при выполнении руками скрипта из шапки, тоже ошибку дает:

root@Keenetic_Giga:~# iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to $address
iptables v1.4.21: option "--to" requires an argument
Try `iptables -h' or 'iptables --help' for more information.

Может я что то пропустил и что то нужно доустановить?

версия v2.08(AAUW.0)C1

компоненты opkg стоят все

Debian ставил так: 

заранее спасибо за советы

Link to comment
Share on other sites

23 минуты назад, m__a__l сказал:

Может я что то пропустил и что то нужно доустановить?

версия v2.08(AAUW.0)C1

компоненты opkg стоят все

Недавно писали - не ставьте лишнее, ненужное! Зачем Вы захламляете систему? (Это не ответ, на Ваш вопрос, это ремарка).

В гугле решение поищите.

Link to comment
Share on other sites

30 минут назад, zyxmon сказал:

Недавно писали - не ставьте лишнее, ненужное! Зачем Вы захламляете систему? (Это не ответ, на Ваш вопрос, это ремарка).

если это не мешает, то почему бы и не ставить?

31 минуту назад, zyxmon сказал:

В гугле решение поищите.

Естественно пытался искать, если бы ответ нашел, не стал бы задавать вопросов на форуме, а вот если честно, зачем вообще писать такие "полезные" комментарии???

 

А если по существу, вижу, что есть проблема с iptables, но как ее решить понятия не имею.

Link to comment
Share on other sites

4 минуты назад, m__a__l сказал:

если это не мешает, то почему бы и не ставить?

Разрабы рекомендовали не ставить. Некоторые комбинации могут мешать...

4 минуты назад, m__a__l сказал:

Естественно пытался искать

Проблема с TLS описана на каждом втором столбе. Не пробовали? Как Вы вообще пытались решить проблему кроме этого поста на форуме?

Link to comment
Share on other sites

1 минуту назад, zyxmon сказал:

Проблема с TLS описана на каждом втором столбе. Не пробовали? Как Вы вообще пытались решить проблему кроме этого поста на форуме?

 

Проблема с TLS явно от того, что не дописались правила в iptables, в клиенте видно, что от сервера нет ответов, а как поправить iptables я не знаю.

Link to comment
Share on other sites

1 час назад, m__a__l сказал:

есть предположение, что скрипт не полностью отработал, а именно:

В интернете полно инструкций, как поставить openvpn руками, без вспомогательных скриптов. Этот скрипт предназначен для VPS с фиксированным статическим ip и  прописывает правило

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to $address

Предед выполнением этой команды следует задать переменную address равнкю внешнему ip роутера.

Link to comment
Share on other sites

В 27.03.2017 в 15:35, zyxmon сказал:

В интернете полно инструкций, как поставить openvpn руками, без вспомогательных скриптов. Этот скрипт предназначен для VPS с фиксированным статическим ip и  прописывает правило

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to $address

Предед выполнением этой команды следует задать переменную address равнкю внешнему ip роутера.

Спасибо за ответ, вся проблема была из за того, что не ходил трафик udp (хотя странно, пару раз все таки коннект проходил), после перехода на TCP подключение происходит моментально.

Подключение проходит, сам сервер пингуется, но не могу попасть на устройства внутри сети (подключаюсь с iPhone), может что то нужно в конфигах или правилах прописать?

Конфиг сервера:

port 443
proto tcp
dev tun
sndbuf 0
rcvbuf 0
ca ca.crt
cert server.crt
key server.key
dh dh.pem
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
#push "redirect-gateway def1 bypass-dhcp" # с этим почему то нет инета
push "route 192.168.13.0 255.255.255.0"
push "dhcp-option DNS 192.168.13.1"
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
crl-verify /opt/etc/openvpn/easy-rsa/pki/crl.pem

в /opt/etc/ndm/netfilter.d/052-openvpn-filter.sh

#!/bin/sh

[ "$table" != filter ] && exit 0   # check the table name
iptables -I INPUT -i tun0 -j ACCEPT
iptables -I FORWARD -s 10.8.0.0/24 -j ACCEPT
iptables -I INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT

как работают iptables не понимаю, знаю, что нужно читать, но не всегда хватает времени.

Подскажите, что нужно дописать, что бы с клиента openvpn увидеть сеть за роутером?

Link to comment
Share on other sites

12 минуты назад, m__a__l сказал:

Подскажите, что нужно дописать, что бы с клиента openvpn увидеть сеть за роутером?

Инструкция по iptables тут - https://www.opennet.ru/docs/RUS/iptables/

Смотрите, какие правила у Вас на роутере при Вашем типе подключения и добавляйте свои. У Вас явно одно лишнее.

Link to comment
Share on other sites

  • 6 months later...

Установил Debian по инструкции из темы:
Полная установка entware-3x совместно с Debian 8, и настройка всей системы★

Установил OpenVPN:

Добаил правила Iptables
В папке netfilter.d положил скрипты

/opt/etc/ndm/netfilter.d/052-openvpn-filter.sh

!/bin/sh
[ "$table" != filter ] && exit 0   # check the table name
iptables -I INPUT -i tap0 -j ACCEPT
iptables -I FORWARD -s 10.8.0.0/24 -j ACCEPT
iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
# iptables -A INPUT -i lo -j ACCEPT


/opt/etc/ndm/netfilter.d/053-openvpn-nat.sh

#!/bin/sh
[ "$table" != nat ] && exit 0   # check the table name
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to 194.186.172.89
# iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth2.2 -j MASQUERADE

 Сделал проброс порта в Web морде роутера для сервера OpenVPN, работает, но в логах модема:

Network::Interface::Repository: unable to find tap0 as Network::Interface::IP.

 

 

 

Edited by Geniuser
Link to comment
Share on other sites

Есть задача пропустить трафик через OpenVPN. 

Поместил исполняемый скрипт в  /opt/etc/ndm/netfilter.d/010-intercept-dns.sh

#!/bin/sh

[ "$table" != "nat" ] && exit 0

# lan_ip=$(ndmq -p 'show interface Bridge0' -P address)
# iptables -t nat -I PREROUTING -p udp -m udp --dport 53 -j DNAT --to-destination $lan_ip:5353
# iptables -t nat -I PREROUTING -p tcp -m tcp --dport 53 -j DNAT --to-destination $lan_ip:5353

# iptables -t nat -A PREROUTING -i tap0 -p udp -s ! 10.8.0.1 -d 10.8.0.1 --dport 53 -j DNAT --to-destination 77.88.8.8
# iptables -t nat -A PREROUTING -i tap0 -p tcp -s ! 10.8.0.1 -d 10.8.0.1 --dport 53 -j DNAT --to-destination 77.88.8.8

iptables -t nat -I PREROUTING 1 -p udp -d 10.8.0.1 --dport 53 -j DNAT --to-destination 10.8.0.1:5353
iptables -t nat -I PREROUTING 1 -p tcp -d 10.8.0.1 --dport 53 -j DNAT --to-destination 10.8.0.1:5353
# iptables -t nat -I OUTPUT 1 -p udp -s 10.8.0.1 -d ! 10.8.0.1 --sport 5353 -j REDIRECT --to-ports 53
# iptables -t nat -I OUTPUT 1 -p tcp -s 10.8.0.1 -d ! 10.8.0.1 --sport 5353 -j REDIRECT --to-ports 53
# iptables -t nat -I POSTROUTING 1 -p udp -s 10.8.0.1 -d ! 10.8.0.1 --sport 5353 -j SNAT --to-source 10.8.0.1:53
# iptables -t nat -I POSTROUTING 1 -p tcp -s 10.8.0.1 -d ! 10.8.0.1 --sport 5353 -j SNAT --to-source 10.8.0.1:53

exit 0

Поместил исполняемый скрипт в /opt/etc/ndm/netfilter.d/053-openvpn-nat.sh

#!/bin/sh
[ "$table" != nat ] && exit 0   # check the table name

# ext_ip=$(ifconfig eth2.2 | grep "inet addr" | head -n 1 | cut -d : -f 2 | cut -d " " -f 1)
ext_ip=$(ifconfig eth2.2| sed -n '2 {s/^.*inet addr:\([0-9.]*\) .*/\1/;p}')

# iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth2.2 -j MASQUERADE

iptables -t nat -A POSTROUTING -p udp -s 10.8.0.1 --sport 5353 -j SNAT --to-source $ext_ip:53
iptables -t nat -A POSTROUTING -p tcp -s 10.8.0.1 --sport 5353 -j SNAT --to-source $ext_ip:53
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to-source $ext_ip

exit 0

Поместил исполняемый скрипт в /opt/etc/ndm/netfilter.d/052-openvpn-filter.sh
 

#!/bin/sh
[ "$table" != filter ] && exit 0   # check the table name

iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT
iptables -A FORWARD -d 10.8.0.0/24 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i tap0 -j ACCEPT
iptables -A FORWARD -i tap0 -j ACCEPT
iptables -A INPUT -p udp -d 10.8.0.1 --dport 5353 -j ACCEPT
iptables -A INPUT -p tcp -d 10.8.0.1 --dport 5353 -j ACCEPT

exit 0

Установил dnsmasq
В конфиге /etc/dnsmasq.conf

добавил  в настройки по умолчанию

port=5353
listen-address=10.8.0.1
bind-interfaces
server=77.88.8.8
server=8.8.8.8

Установил OpenVPN
В настройках OpenVPN сервера /etc/openvpn/server.conf

proto tcp
dev tap
server 10.8.0.0 255.255.255.0
push "redirect-gateway"
push "dhcp-option DNS 10.8.0.1"

В итоге инет работает и из локалки и из внешней сети при подключении к OpenVPN. Но сеть OpenVPN  пишет "Без доступа к интернету". А в логе роутера постоянно появлется это:

ndmNetwork::Interface::Repository: unable to find tap0 as Network::Interface::IP.
 
Как сделать, чтобы инет трафик шёл через OpenVPN? 
 
Edited by Geniuser
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...