Александр Рыжов Posted July 21, 2016 Share Posted July 21, 2016 (edited) Настройку OpenVPN-сервера в Debian-среде сильно облегчает скрипт OpenVPN road warrior. Рабочий сервер можно получить за несколько действий. Белый IP-адрес является необходимым условием для того, чтобы можно было подключаться к серверу. Скачайте скрипт, установите желаемую длину ключа для шифрование трафика и запустите его на исполнение: apt-get update apt-get install wget cd ~ export EASYRSA_KEY_SIZE=1024 wget https://git.io/vpn -O openvpn-install.sh chmod +x openvpn-install.sh ./openvpn-install.sh Скрипт задаст несколько вопросов. Если не уверены что отвечать, то согласитесь с предлагаемыми значениями по умолчанию. Когда скрипт получит необходимые сведения начнётся генерация ключей для сервера и первого клиента, что на слабом роутере может занять несколько минут. Пример вывода скрипта ниже: Скрытый текст root@Keenetic_Omni:~# ./openvpn-install.sh Welcome to this quick OpenVPN "road warrior" installer I need to ask you a few questions before starting the setup You can leave the default options and just press enter if you are ok with them First I need to know the IPv4 address of the network interface you want OpenVPN listening to. IP address: 0.0.0.0 What port do you want for OpenVPN? Port: 1194 What DNS do you want to use with the VPN? 1) Current system resolvers 2) Google 3) OpenDNS 4) NTT 5) Hurricane Electric 6) Verisign DNS [1-6]: 2 Finally, tell me your name for the client cert Please, use one word only, no special characters Client name: k4 Okay, that was all I needed. We are ready to setup your OpenVPN server now Press any key to continue... Ign http://ftp.us.debian.org stable InRelease Hit http://ftp.us.debian.org stable Release.gpg Hit http://ftp.us.debian.org stable Release Hit http://ftp.us.debian.org stable/main mipsel Packages Hit http://ftp.us.debian.org stable/main Translation-en Reading package lists... Done Reading package lists... Done Building dependency tree Reading state information... Done ca-certificates is already the newest version. iptables is already the newest version. openssl is already the newest version. The following extra packages will be installed: easy-rsa liblzo2-2 libpkcs11-helper1 opensc opensc-pkcs11 Suggested packages: resolvconf The following NEW packages will be installed: easy-rsa liblzo2-2 libpkcs11-helper1 opensc opensc-pkcs11 openvpn 0 upgraded, 6 newly installed, 0 to remove and 0 not upgraded. Need to get 0 B/1295 kB of archives. After this operation, 4545 kB of additional disk space will be used. debconf: delaying package configuration, since apt-utils is not installed Selecting previously unselected package liblzo2-2:mipsel. (Reading database ... 18379 files and directories currently installed.) Preparing to unpack .../liblzo2-2_2.08-1.2_mipsel.deb ... Unpacking liblzo2-2:mipsel (2.08-1.2) ... Selecting previously unselected package libpkcs11-helper1:mipsel. Preparing to unpack .../libpkcs11-helper1_1.11-2_mipsel.deb ... Unpacking libpkcs11-helper1:mipsel (1.11-2) ... Selecting previously unselected package opensc-pkcs11:mipsel. Preparing to unpack .../opensc-pkcs11_0.14.0-2_mipsel.deb ... Unpacking opensc-pkcs11:mipsel (0.14.0-2) ... Selecting previously unselected package openvpn. Preparing to unpack .../openvpn_2.3.4-5+deb8u1_mipsel.deb ... Unpacking openvpn (2.3.4-5+deb8u1) ... Selecting previously unselected package easy-rsa. Preparing to unpack .../easy-rsa_2.2.2-1_all.deb ... Unpacking easy-rsa (2.2.2-1) ... Selecting previously unselected package opensc. Preparing to unpack .../opensc_0.14.0-2_mipsel.deb ... Unpacking opensc (0.14.0-2) ... Processing triggers for systemd (215-17+deb8u4) ... Setting up liblzo2-2:mipsel (2.08-1.2) ... Setting up libpkcs11-helper1:mipsel (1.11-2) ... Setting up opensc-pkcs11:mipsel (0.14.0-2) ... Setting up openvpn (2.3.4-5+deb8u1) ... invoke-rc.d: action cond-restart is unknown, but proceeding anyway. invoke-rc.d: policy-rc.d denied execution of cond-restart. Setting up easy-rsa (2.2.2-1) ... Setting up opensc (0.14.0-2) ... Processing triggers for libc-bin (2.19-18+deb8u4) ... Processing triggers for systemd (215-17+deb8u4) ... converted 'https://github.com/OpenVPN/easy-rsa/releases/download/3.0.1/EasyRSA-3.0.1.tgz' (ANSI_X3.4-1968) -> 'https://github.com/OpenVPN/easy-rsa/releases/download/3.0.1/EasyRSA-3.0.1.tgz' (UTF-8) --2016-07-21 17:32:06-- https://github.com/OpenVPN/easy-rsa/releases/download/3.0.1/EasyRSA-3.0.1.tgz Resolving github.com (github.com)... 192.30.253.113 Connecting to github.com (github.com)|192.30.253.113|:443... connected. HTTP request sent, awaiting response... 302 Found Location: https://github-cloud.s3.amazonaws.com/releases/4519663/9dab10e8-7b6a-11e5-91af-0660987e9192.tgz?X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=AKIAISTNZFOVBIJMK3TQ%2F20160721%2Fus-east-1%2Fs3%2Faws4_request&X-Amz-Date=20160721T173208Z&X-Amz-Expires=300&X-Amz-Signature=cd2e4a644508fc86aab5f5ae82f0f063d477ea321ac2fd75ad832834ea3828f5&X-Amz-SignedHeaders=host&actor_id=0&response-content-disposition=attachment%3B%20filename%3DEasyRSA-3.0.1.tgz&response-content-type=application%2Foctet-stream [following] converted 'https://github-cloud.s3.amazonaws.com/releases/4519663/9dab10e8-7b6a-11e5-91af-0660987e9192.tgz?X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=AKIAISTNZFOVBIJMK3TQ%2F20160721%2Fus-east-1%2Fs3%2Faws4_request&X-Amz-Date=20160721T173208Z&X-Amz-Expires=300&X-Amz-Signature=cd2e4a644508fc86aab5f5ae82f0f063d477ea321ac2fd75ad832834ea3828f5&X-Amz-SignedHeaders=host&actor_id=0&response-content-disposition=attachment%3B%20filename%3DEasyRSA-3.0.1.tgz&response-content-type=application%2Foctet-stream' (ANSI_X3.4-1968) -> 'https://github-cloud.s3.amazonaws.com/releases/4519663/9dab10e8-7b6a-11e5-91af-0660987e9192.tgz?X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=AKIAISTNZFOVBIJMK3TQ/20160721/us-east-1/s3/aws4_request&X-Amz-Date=20160721T173208Z&X-Amz-Expires=300&X-Amz-Signature=cd2e4a644508fc86aab5f5ae82f0f063d477ea321ac2fd75ad832834ea3828f5&X-Amz-SignedHeaders=host&actor_id=0&response-content-disposition=attachment; filename=EasyRSA-3.0.1.tgz&response-content-type=application/octet-stream' (UTF-8) --2016-07-21 17:32:07-- https://github-cloud.s3.amazonaws.com/releases/4519663/9dab10e8-7b6a-11e5-91af-0660987e9192.tgz?X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=AKIAISTNZFOVBIJMK3TQ/20160721/us-east-1/s3/aws4_request&X-Amz-Date=20160721T173208Z&X-Amz-Expires=300&X-Amz-Signature=cd2e4a644508fc86aab5f5ae82f0f063d477ea321ac2fd75ad832834ea3828f5&X-Amz-SignedHeaders=host&actor_id=0&response-content-disposition=attachment;%20filename=EasyRSA-3.0.1.tgz&response-content-type=application/octet-stream Resolving github-cloud.s3.amazonaws.com (github-cloud.s3.amazonaws.com)... 54.231.120.35 Connecting to github-cloud.s3.amazonaws.com (github-cloud.s3.amazonaws.com)|54.231.120.35|:443... connected. HTTP request sent, awaiting response... 200 OK Length: 40960 (40K) [application/octet-stream] Saving to: '/root/EasyRSA-3.0.1.tgz' /root/EasyRSA-3.0.1 100%[=====================>] 40.00K 119KB/s in 0.3s 2016-07-21 17:32:09 (119 KB/s) - '/root/EasyRSA-3.0.1.tgz' saved [40960/40960] init-pki complete; you may now create a CA or requests. Your newly created PKI dir is: /etc/openvpn/easy-rsa/pki Generating a 1024 bit RSA private key ........++++++ ....++++++ writing new private key to '/etc/openvpn/easy-rsa/pki/private/ca.key.O4VVTG2psl' ----- Generating DH parameters, 1024 bit long safe prime, generator 2 This is going to take a long time ......................................................................................................+......................................+..............................................+.........................................+.......................+.......................................................................+........................+.........................+...............+...................+.....................................................+..................................+.+...................................................+.+.................................................+...................................................................................................................................................................................................................+............................................................................................+...........................................+............................+............................................................................................+..........................................+...+................................................................................................................................................................................................+................................................+......................+..............................................+...........................................+..................................................................+...............+...........................+.........+........+.................................................................+.....................................................+..........................................................................................................................................................+.......+......................................+...............................................................................................+..................................................+...+.......+.........................................................................................+......................................+................................................................................................................+.........................+................................+...+.......................+................+..........................+..........................................................+........................................+.............+.............................+........+...........................................+..........................+.........................................................................+...............................................................................................+.........................................+...+.......................+......+...........+....................................................+...........................................................+....+.......................................................................+.................+...........................................................+...+.+.......+.............................+..................................................................................................................+...............................................+..........................................................+..........+..................+................................................................+...............................+.+.....................+......................+...........+............................................+.....................................................................+..............+.................................................+.........++*++*++* DH parameters of size 1024 created at /etc/openvpn/easy-rsa/pki/dh.pem Generating a 1024 bit RSA private key .....................++++++ ..........................++++++ writing new private key to '/etc/openvpn/easy-rsa/pki/private/server.key.fpgt70JsCu' ----- Using configuration from /etc/openvpn/easy-rsa/openssl-1.0.cnf Check that the request matches the signature Signature ok The Subject's Distinguished Name is as follows commonName :ASN.1 12:'server' Certificate is to be certified until Jul 19 17:41:00 2026 GMT (3650 days) Write out database with 1 new entries Data Base Updated Generating a 1024 bit RSA private key ....++++++ ............................................++++++ writing new private key to '/etc/openvpn/easy-rsa/pki/private/k4.key.GwKx4GAEuw' ----- Using configuration from /etc/openvpn/easy-rsa/openssl-1.0.cnf Check that the request matches the signature Signature ok The Subject's Distinguished Name is as follows commonName :ASN.1 12:'k4' Certificate is to be certified until Jul 19 17:41:01 2026 GMT (3650 days) Write out database with 1 new entries Data Base Updated Using configuration from /etc/openvpn/easy-rsa/openssl-1.0.cnf An updated CRL has been created. CRL file: /etc/openvpn/easy-rsa/pki/crl.pem [ ok ] Stopping virtual private network daemon:. [ ok ] Starting virtual private network daemon: server. Looks like your server is behind a NAT! If your server is NATed (e.g. LowEndSpirit), I need to know the external IP If that's not the case, just ignore this and leave the next field blank External IP: Finished! Your client config is available at ~/k4.ovpn If you want to add more clients, you simply need to run this script another time! Сформированный скриптом файл *.ovpn необходимо перенести на клиента, который будет подключаться к серверу. Сделать это можно по FTP, сетевому окружению или выводом его в консоль с последующей копипастой текста в новый файл. Для того, чтобы сервер openvpn запускался автоматически при перезагрузке роутера, выполните: echo 'openvpn' >> /chroot-services.list Не забудьте открыть выбранный порт в файерволе для того, чтобы сервер был доступен из интернета. По умолчанию это UDP 1194. Последнее — это настройка правила файервола, которое должно применяться прошивкой автоматически: echo '#!/bin/sh' > /opt/etc/ndm/wan.d/010-openvpn.sh echo 'iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to $address' >> /opt/etc/ndm/wan.d/010-openvpn.sh chmod +x /opt/etc/ndm/wan.d/010-openvpn.sh Всё!. С помощью повторного запуска скрипта можно добавить ещё одного клиента, отозвать любой из сформированных ранее клиентских сертификатов или удалить с роутера openvpn-сервер. Edited September 27, 2016 by Александр Рыжов 3 Quote Link to comment Share on other sites More sharing options...
Ильгиз Posted September 10, 2016 Share Posted September 10, 2016 Доброго вечера! Пропадает интернет на клиентах после подключения к OpenVPN серверу на роутере. port 12346 proto udp dev tun sndbuf 0 rcvbuf 0 ca ca.crt cert server.crt key server.key dh dh.pem tls-auth ta.key 0 topology subnet server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 8.8.8.8" push "dhcp-option DNS 8.8.4.4" keepalive 10 120 cipher AES-128-CBC comp-lzo user nobody group nogroup persist-key persist-tun status openvpn-status.log verb 3 crl-verify crl.pem client-to-client Подскажите. как быть Quote Link to comment Share on other sites More sharing options...
Frakir Posted September 18, 2016 Share Posted September 18, 2016 изучение работы вот этой опции push "redirect-gateway def1 bypass-dhcp" тебе должно помочь Quote Link to comment Share on other sites More sharing options...
Александр Рыжов Posted September 18, 2016 Author Share Posted September 18, 2016 Проблема может быть в другом: во время развёртывания OpenVPN скриптом добавляется правило: iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to $IP которое позже перезатирается при обновлении правил файервола. Для корректной работы сервера openvpn это правило д.б. добавлено в /opt/etc/ndm/netfilter.d. Как это грациознее сделать в chroot'ed Debian'е пока не решил. Quote Link to comment Share on other sites More sharing options...
Александр Рыжов Posted September 27, 2016 Author Share Posted September 27, 2016 В 10.09.2016 в 19:59, Ильгиз сказал: Доброго вечера! Пропадает интернет на клиентах после подключения к OpenVPN серверу на роутере. Обновил chroot-среду Debian, сделав доступными прошивочные хук-скрипты, обновил первый пост. Теперь интернет после переподключения WAN на клиентах OpenVPN пропадать не должен. Quote Link to comment Share on other sites More sharing options...
SlvIT Posted September 29, 2016 Share Posted September 29, 2016 В 10.09.2016 в 21:59, Ильгиз сказал: Доброго вечера! Пропадает интернет на клиентах после подключения к OpenVPN серверу на роутере. На роутере порты открыты ? Quote Link to comment Share on other sites More sharing options...
schokk89 Posted December 7, 2016 Share Posted December 7, 2016 (edited) Столкнулся с проблемой! поставил openvpn настроил как клиента, клиент и сервер друг друга видят но... доступа из локальной сети в сеть vpn нету, аналогично и с той стороны, пингуется кинетик по двум айпишникам, а вот в локальную сеть уже не проходит VPN интерфейс tun0 inet addr:10.10.10.1 P-t-P:10.10.10.1 Mask:255.255.255.0 Локальная сеть br0 inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0 Проблему думаю понял: кинетик не подхватывает маршруты из дебиана Скрытый текст Различия таблиц маршрутизации Скрытый текст а в кинетикечерез веб морду этот маршрут не добавить ибо она не знает о существовании интерфейса tun0 с адресом 10.10.10.1 и ругается Скрытый текст Как выкрутиться? Edited December 7, 2016 by schokk89 Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted December 7, 2016 Share Posted December 7, 2016 3 часа назад, schokk89 сказал: Столкнулся с проблемой! поставил openvpn настроил как клиента, клиент и сервер друг друга видят но... доступа из локальной сети в сеть vpn нету, аналогично и с той стороны, пингуется кинетик по двум айпишникам, а вот в локальную сеть уже не проходит VPN интерфейс tun0 inet addr:10.10.10.1 P-t-P:10.10.10.1 Mask:255.255.255.0 Локальная сеть br0 inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0 Проблему думаю понял: кинетик не подхватывает маршруты из дебиана Показать содержимое Различия таблиц маршрутизации Скрыть содержимое а в кинетикечерез веб морду этот маршрут не добавить ибо она не знает о существовании интерфейса tun0 с адресом 10.10.10.1 и ругается Показать содержимое Как выкрутиться? В таблице маршрутизации по-умолчанию (а именно такую выводит netstat) все идентично. Попробуйте заставить openvpn прописывать маршуты самостоятельно (через команды route и push "route", как в примере): https://wiki.archlinux.org/index.php/OpenVPN_(Русский)#.D0.A1.D0.B2.D1.8F.D0.B7.D1.8C_.D0.BA.D0.BB.D0.B8.D0.B5.D0.BD.D1.82.D0.B0_.D0.B8_.D1.81.D0.B5.D1.80.D0.B2.D0.B5.D1.80.D0.B0_.D1.81_.D0.B8.D1.85_.D0.BB.D0.BE.D0.BA.D0.B0.D0.BB.D1.8C.D0.BD.D1.8B.D0.BC.D0.B8_.D1.81.D0.B5.D1.82.D1.8F.D0.BC.D0.B8 Quote Link to comment Share on other sites More sharing options...
zyxmon Posted December 7, 2016 Share Posted December 7, 2016 4 часа назад, schokk89 сказал: а вот в локальную сеть уже не проходит Правила iptables через хуки выполняются? Подсмотреть можно тут (TUN) http://forums.zyxmon.org/viewtopic.php?f=5&t=5344 (TAP) http://forums.zyxmon.org/viewtopic.php?f=5&t=5425 Quote Link to comment Share on other sites More sharing options...
schokk89 Posted December 8, 2016 Share Posted December 8, 2016 В 07.12.2016 в 12:28, zyxmon сказал: Правила iptables через хуки выполняются? Подсмотреть можно тут (TUN) http://forums.zyxmon.org/viewtopic.php?f=5&t=5344 (TAP) http://forums.zyxmon.org/viewtopic.php?f=5&t=5425 Спасибо за информацию, заработало, добавил скрипт в /opt/etc/ndm/netfilter.d/ Quote Link to comment Share on other sites More sharing options...
Kirill Posted January 8, 2017 Share Posted January 8, 2017 Добрый вечер, использую несовсем debian, а entware3x на первом Keenetic Ultra, но проблема аналогичная, при поднятии соединения с ПК к роутеру из сторонней сети интернет пропадает, есть доступ только к адресу роутера к 192.168.1.1. В папке netfilter.d лежат 052-openvpn-filter.sh и 053-openvpn-nat.sh. Добавить через веб-морду маршрут 10.8.*.*. к 192.168.1.1 не выходит, т.к. разные подсети. Подскажите пожалуйста в какую сторону смотреть? Благодарю! #!/bin/sh [ "$table" != filter ] && exit 0 # check the table name iptables -I INPUT -i tun0 -j ACCEPT iptables -I FORWARD -s 10.8.0.0/24 -j ACCEPT iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -I INPUT -p tcp --dport 443 -j ACCEPT iptables -A INPUT -i lo -j ACCEPT [ "$table" != nat ] && exit 0 # check the table name iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to 194.186.172.89 Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted January 9, 2017 Share Posted January 9, 2017 16 часов назад, Kirill сказал: Добрый вечер, использую несовсем debian, а entware3x на первом Keenetic Ultra, но проблема аналогичная, при поднятии соединения с ПК к роутеру из сторонней сети интернет пропадает, есть доступ только к адресу роутера к 192.168.1.1. В папке netfilter.d лежат 052-openvpn-filter.sh и 053-openvpn-nat.sh. Добавить через веб-морду маршрут 10.8.*.*. к 192.168.1.1 не выходит, т.к. разные подсети. Подскажите пожалуйста в какую сторону смотреть? Благодарю! #!/bin/sh [ "$table" != filter ] && exit 0 # check the table name iptables -I INPUT -i tun0 -j ACCEPT iptables -I FORWARD -s 10.8.0.0/24 -j ACCEPT iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -I INPUT -p tcp --dport 443 -j ACCEPT iptables -A INPUT -i lo -j ACCEPT [ "$table" != nat ] && exit 0 # check the table name iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to 194.186.172.89 Создайте в netfilter.d два разных скрпита с шебангом #!/bin/sh. В первый положите все, относящееся к таблице filter, а во второй - nat. Ваш же скрипт работает неправильно, NAT никогда не добавляется. Quote Link to comment Share on other sites More sharing options...
Kirill Posted January 9, 2017 Share Posted January 9, 2017 10 минут назад, Le ecureuil сказал: Создайте в netfilter.d два разных скрпита с шебангом #!/bin/sh. В первый положите все, относящееся к таблице filter, а во второй - nat. Ваш же скрипт работает неправильно, NAT никогда не добавляется. В netfilter.d скрипта два, 052-openvpn-filter.sh и 053-openvpn-nat.sh. Просто в самом сообщении вставился код как одно целое. Quote Link to comment Share on other sites More sharing options...
Kirill Posted January 9, 2017 Share Posted January 9, 2017 10 минут назад, Le ecureuil сказал: Создайте в netfilter.d два разных скрпита с шебангом #!/bin/sh. В первый положите все, относящееся к таблице filter, а во второй - nat. Ваш же скрипт работает неправильно, NAT никогда не добавляется. В netfilter.d скрипта два, 052-openvpn-filter.sh и 053-openvpn-nat.sh. Просто в самом сообщении вставился код как одно целое. Quote Link to comment Share on other sites More sharing options...
m__a__l Posted March 27, 2017 Share Posted March 27, 2017 День добрый. Попытался поставить openvpn, но при подключения клиентом, в журнал сыпят ошибки Mar 27 14:01:25ovpn-server[14933]2хх.ххх.ххх.хх6:63873 TLS Error: incoming packet authentication failed from [AF_INET]2хх.ххх.ххх.хх6:63873 Mar 27 14:01:26ovpn-server[14933]2хх.ххх.ххх.хх6:63873 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #1 / time = (1490612477) Mon Mar 27 14:01:17 2017 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings Mar 27 14:01:26ovpn-server[14933]2хх.ххх.ххх.хх6:63873 TLS Error: incoming packet authentication failed from [AF_INET]2хх.ххх.ххх.хх6:63873 Mar 27 14:01:27ovpn-server[14933]2хх.ххх.ххх.хх6:55461 TLS: Initial packet from [AF_INET]2хх.ххх.ххх.хх6:55461, sid=0f802d22 c8550577 Mar 27 14:01:28ovpn-server[14933]2хх.ххх.ххх.хх6:55461 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #1 / time = (1490612487) Mon Mar 27 14:01:27 2017 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings Mar 27 14:01:28ovpn-server[14933]2хх.ххх.ххх.хх6:55461 TLS Error: incoming packet authentication failed from [AF_INET]2хх.ххх.ххх.хх6:55461 Mar 27 14:01:38ovpn-server[14933]2хх.ххх.ххх.хх6:65362 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) Mar 27 14:01:38ovpn-server[14933]2хх.ххх.ххх.хх6:65362 TLS Error: TLS handshake failed Mar 27 14:01:38ovpn-server[14933]2хх.ххх.ххх.хх6:65362 SIGUSR1[soft,tls-error] received, client-instance restarting Mar 27 14:01:47ovpn-server[14933]2хх.ххх.ххх.хх6:62129 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) Mar 27 14:01:47ovpn-server[14933]2хх.ххх.ххх.хх6:62129 TLS Error: TLS handshake failed Mar 27 14:01:47ovpn-server[14933]2хх.ххх.ххх.хх6:62129 SIGUSR1[soft,tls-error] received, client-instance restarting Mar 27 14:01:57ovpn-server[14933]2хх.ххх.ххх.хх6:63848 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) Mar 27 14:01:57ovpn-server[14933]2хх.ххх.ххх.хх6:63848 TLS Error: TLS handshake failed Mar 27 14:01:57ovpn-server[14933]2хх.ххх.ххх.хх6:63848 SIGUSR1[soft,tls-error] received, client-instance restarting Mar 27 14:02:07ovpn-server[14933]2хх.ххх.ххх.хх6:54652 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) Mar 27 14:02:07ovpn-server[14933]2хх.ххх.ххх.хх6:54652 TLS Error: TLS handshake failed Mar 27 14:02:07ovpn-server[14933]2хх.ххх.ххх.хх6:54652 SIGUSR1[soft,tls-error] received, client-instance restarting Mar 27 14:02:17ovpn-server[14933]2хх.ххх.ххх.хх6:63873 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) Mar 27 14:02:17ovpn-server[14933]2хх.ххх.ххх.хх6:63873 TLS Error: TLS handshake failed Mar 27 14:02:17ovpn-server[14933]2хх.ххх.ххх.хх6:63873 SIGUSR1[soft,tls-error] received, client-instance restarting Mar 27 14:02:27ovpn-server[14933]2хх.ххх.ххх.хх6:55461 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) Mar 27 14:02:27ovpn-server[14933]2хх.ххх.ххх.хх6:55461 TLS Error: TLS handshake failed Mar 27 14:02:27ovpn-server[14933]2хх.ххх.ххх.хх6:55461 SIGUSR1[soft,tls-error] received, client-instance restarting есть предположение, что скрипт не полностью отработал, а именно: An updated CRL has been created. CRL file: /etc/openvpn/easy-rsa/pki/crl.pem *** buffer overflow detected ***: iptables terminated ./openvpn-install.sh: line 416: 14876 Аварийный останов iptables -I INPUT -p $PROTOCOL --dport $PORT -j ACCEPT *** buffer overflow detected ***: iptables terminated ./openvpn-install.sh: line 416: 14877 Аварийный останов iptables -I FORWARD -s 10.8.0.0/24 -j ACCEPT *** buffer overflow detected ***: iptables terminated ./openvpn-install.sh: line 416: 14878 Аварийный останов iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT [ ok ] Stopping virtual private network daemon: server. [ ok ] Starting virtual private network daemon: server. и еще смущает, что при выполнении руками скрипта из шапки, тоже ошибку дает: root@Keenetic_Giga:~# iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to $address iptables v1.4.21: option "--to" requires an argument Try `iptables -h' or 'iptables --help' for more information. Может я что то пропустил и что то нужно доустановить? версия v2.08(AAUW.0)C1 компоненты opkg стоят все Debian ставил так: заранее спасибо за советы Quote Link to comment Share on other sites More sharing options...
zyxmon Posted March 27, 2017 Share Posted March 27, 2017 23 минуты назад, m__a__l сказал: Может я что то пропустил и что то нужно доустановить? версия v2.08(AAUW.0)C1 компоненты opkg стоят все Недавно писали - не ставьте лишнее, ненужное! Зачем Вы захламляете систему? (Это не ответ, на Ваш вопрос, это ремарка). В гугле решение поищите. Quote Link to comment Share on other sites More sharing options...
m__a__l Posted March 27, 2017 Share Posted March 27, 2017 30 минут назад, zyxmon сказал: Недавно писали - не ставьте лишнее, ненужное! Зачем Вы захламляете систему? (Это не ответ, на Ваш вопрос, это ремарка). если это не мешает, то почему бы и не ставить? 31 минуту назад, zyxmon сказал: В гугле решение поищите. Естественно пытался искать, если бы ответ нашел, не стал бы задавать вопросов на форуме, а вот если честно, зачем вообще писать такие "полезные" комментарии??? А если по существу, вижу, что есть проблема с iptables, но как ее решить понятия не имею. Quote Link to comment Share on other sites More sharing options...
zyxmon Posted March 27, 2017 Share Posted March 27, 2017 4 минуты назад, m__a__l сказал: если это не мешает, то почему бы и не ставить? Разрабы рекомендовали не ставить. Некоторые комбинации могут мешать... 4 минуты назад, m__a__l сказал: Естественно пытался искать Проблема с TLS описана на каждом втором столбе. Не пробовали? Как Вы вообще пытались решить проблему кроме этого поста на форуме? Quote Link to comment Share on other sites More sharing options...
m__a__l Posted March 27, 2017 Share Posted March 27, 2017 1 минуту назад, zyxmon сказал: Проблема с TLS описана на каждом втором столбе. Не пробовали? Как Вы вообще пытались решить проблему кроме этого поста на форуме? Проблема с TLS явно от того, что не дописались правила в iptables, в клиенте видно, что от сервера нет ответов, а как поправить iptables я не знаю. Quote Link to comment Share on other sites More sharing options...
zyxmon Posted March 27, 2017 Share Posted March 27, 2017 1 час назад, m__a__l сказал: есть предположение, что скрипт не полностью отработал, а именно: В интернете полно инструкций, как поставить openvpn руками, без вспомогательных скриптов. Этот скрипт предназначен для VPS с фиксированным статическим ip и прописывает правило iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to $address Предед выполнением этой команды следует задать переменную address равнкю внешнему ip роутера. Quote Link to comment Share on other sites More sharing options...
m__a__l Posted March 31, 2017 Share Posted March 31, 2017 В 27.03.2017 в 15:35, zyxmon сказал: В интернете полно инструкций, как поставить openvpn руками, без вспомогательных скриптов. Этот скрипт предназначен для VPS с фиксированным статическим ip и прописывает правило iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to $address Предед выполнением этой команды следует задать переменную address равнкю внешнему ip роутера. Спасибо за ответ, вся проблема была из за того, что не ходил трафик udp (хотя странно, пару раз все таки коннект проходил), после перехода на TCP подключение происходит моментально. Подключение проходит, сам сервер пингуется, но не могу попасть на устройства внутри сети (подключаюсь с iPhone), может что то нужно в конфигах или правилах прописать? Конфиг сервера: port 443 proto tcp dev tun sndbuf 0 rcvbuf 0 ca ca.crt cert server.crt key server.key dh dh.pem topology subnet server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt #push "redirect-gateway def1 bypass-dhcp" # с этим почему то нет инета push "route 192.168.13.0 255.255.255.0" push "dhcp-option DNS 192.168.13.1" keepalive 10 120 comp-lzo persist-key persist-tun status openvpn-status.log verb 3 crl-verify /opt/etc/openvpn/easy-rsa/pki/crl.pem в /opt/etc/ndm/netfilter.d/052-openvpn-filter.sh #!/bin/sh [ "$table" != filter ] && exit 0 # check the table name iptables -I INPUT -i tun0 -j ACCEPT iptables -I FORWARD -s 10.8.0.0/24 -j ACCEPT iptables -I INPUT -p tcp --dport 443 -j ACCEPT iptables -A INPUT -i lo -j ACCEPT как работают iptables не понимаю, знаю, что нужно читать, но не всегда хватает времени. Подскажите, что нужно дописать, что бы с клиента openvpn увидеть сеть за роутером? Quote Link to comment Share on other sites More sharing options...
zyxmon Posted March 31, 2017 Share Posted March 31, 2017 12 минуты назад, m__a__l сказал: Подскажите, что нужно дописать, что бы с клиента openvpn увидеть сеть за роутером? Инструкция по iptables тут - https://www.opennet.ru/docs/RUS/iptables/ Смотрите, какие правила у Вас на роутере при Вашем типе подключения и добавляйте свои. У Вас явно одно лишнее. Quote Link to comment Share on other sites More sharing options...
Geniuser Posted October 25, 2017 Share Posted October 25, 2017 (edited) Установил Debian по инструкции из темы: Полная установка entware-3x совместно с Debian 8, и настройка всей системы★ Установил OpenVPN: Добаил правила Iptables В папке netfilter.d положил скрипты /opt/etc/ndm/netfilter.d/052-openvpn-filter.sh !/bin/sh [ "$table" != filter ] && exit 0 # check the table name iptables -I INPUT -i tap0 -j ACCEPT iptables -I FORWARD -s 10.8.0.0/24 -j ACCEPT iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT # iptables -A INPUT -i lo -j ACCEPT /opt/etc/ndm/netfilter.d/053-openvpn-nat.sh #!/bin/sh [ "$table" != nat ] && exit 0 # check the table name iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to 194.186.172.89 # iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth2.2 -j MASQUERADE Сделал проброс порта в Web морде роутера для сервера OpenVPN, работает, но в логах модема: Network::Interface::Repository: unable to find tap0 as Network::Interface::IP. Edited October 25, 2017 by Geniuser Quote Link to comment Share on other sites More sharing options...
Geniuser Posted October 26, 2017 Share Posted October 26, 2017 (edited) Есть задача пропустить трафик через OpenVPN. Поместил исполняемый скрипт в /opt/etc/ndm/netfilter.d/010-intercept-dns.sh #!/bin/sh [ "$table" != "nat" ] && exit 0 # lan_ip=$(ndmq -p 'show interface Bridge0' -P address) # iptables -t nat -I PREROUTING -p udp -m udp --dport 53 -j DNAT --to-destination $lan_ip:5353 # iptables -t nat -I PREROUTING -p tcp -m tcp --dport 53 -j DNAT --to-destination $lan_ip:5353 # iptables -t nat -A PREROUTING -i tap0 -p udp -s ! 10.8.0.1 -d 10.8.0.1 --dport 53 -j DNAT --to-destination 77.88.8.8 # iptables -t nat -A PREROUTING -i tap0 -p tcp -s ! 10.8.0.1 -d 10.8.0.1 --dport 53 -j DNAT --to-destination 77.88.8.8 iptables -t nat -I PREROUTING 1 -p udp -d 10.8.0.1 --dport 53 -j DNAT --to-destination 10.8.0.1:5353 iptables -t nat -I PREROUTING 1 -p tcp -d 10.8.0.1 --dport 53 -j DNAT --to-destination 10.8.0.1:5353 # iptables -t nat -I OUTPUT 1 -p udp -s 10.8.0.1 -d ! 10.8.0.1 --sport 5353 -j REDIRECT --to-ports 53 # iptables -t nat -I OUTPUT 1 -p tcp -s 10.8.0.1 -d ! 10.8.0.1 --sport 5353 -j REDIRECT --to-ports 53 # iptables -t nat -I POSTROUTING 1 -p udp -s 10.8.0.1 -d ! 10.8.0.1 --sport 5353 -j SNAT --to-source 10.8.0.1:53 # iptables -t nat -I POSTROUTING 1 -p tcp -s 10.8.0.1 -d ! 10.8.0.1 --sport 5353 -j SNAT --to-source 10.8.0.1:53 exit 0 Поместил исполняемый скрипт в /opt/etc/ndm/netfilter.d/053-openvpn-nat.sh #!/bin/sh [ "$table" != nat ] && exit 0 # check the table name # ext_ip=$(ifconfig eth2.2 | grep "inet addr" | head -n 1 | cut -d : -f 2 | cut -d " " -f 1) ext_ip=$(ifconfig eth2.2| sed -n '2 {s/^.*inet addr:\([0-9.]*\) .*/\1/;p}') # iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth2.2 -j MASQUERADE iptables -t nat -A POSTROUTING -p udp -s 10.8.0.1 --sport 5353 -j SNAT --to-source $ext_ip:53 iptables -t nat -A POSTROUTING -p tcp -s 10.8.0.1 --sport 5353 -j SNAT --to-source $ext_ip:53 iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to-source $ext_ip exit 0 Поместил исполняемый скрипт в /opt/etc/ndm/netfilter.d/052-openvpn-filter.sh #!/bin/sh [ "$table" != filter ] && exit 0 # check the table name iptables -A INPUT -i lo -j ACCEPT iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT iptables -A FORWARD -d 10.8.0.0/24 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -i tap0 -j ACCEPT iptables -A FORWARD -i tap0 -j ACCEPT iptables -A INPUT -p udp -d 10.8.0.1 --dport 5353 -j ACCEPT iptables -A INPUT -p tcp -d 10.8.0.1 --dport 5353 -j ACCEPT exit 0 Установил dnsmasq В конфиге /etc/dnsmasq.conf добавил в настройки по умолчанию port=5353 listen-address=10.8.0.1 bind-interfaces server=77.88.8.8 server=8.8.8.8 Установил OpenVPN В настройках OpenVPN сервера /etc/openvpn/server.conf proto tcp dev tap server 10.8.0.0 255.255.255.0 push "redirect-gateway" push "dhcp-option DNS 10.8.0.1" В итоге инет работает и из локалки и из внешней сети при подключении к OpenVPN. Но сеть OpenVPN пишет "Без доступа к интернету". А в логе роутера постоянно появлется это: ndmNetwork::Interface::Repository: unable to find tap0 as Network::Interface::IP. Как сделать, чтобы инет трафик шёл через OpenVPN? Edited October 26, 2017 by Geniuser Quote Link to comment Share on other sites More sharing options...
meylisso Posted December 15, 2022 Share Posted December 15, 2022 Помогите пожалуйста. Openvpn собрал из исходников и установил на Debian 10 . Если запускать так "openvpn --daemon --cd /etc/openvpn/ --config /etc/openvpn/client.conf" подключается и трафик идет с него без проблем. Теперь как сделать автозапуск два openvpn подключение и можно ли их использовать в policy с параметром multipath? Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.