Jump to content
Как правильно добавить self-test и прочую отладку в тему
Где взять тестовые сборки
Официальное хранилище ПО в виде файлов
  • 0

OpenWrt VPN client to Keenetic VPN server

Alex M. Jake

Asked by Alex M. Jake,

 Share

Question

Alex M. Jake Member

Alex M. Jake

Posted
Posted

Задача, надо объединить сегменты сетей. На Giga поднимаю VPN сервер:

1. PPTP не хочу, не секьюрно. Но потыкавшись с остальными, попробовал и его. На OpenWrt создал интерфейс, в котором снял галку default gateway (что-то типа этого). Но не соединяется, выдаёт invalid proto.

2. IPsec IKE2 тоже не хочу, пакеты для OpenWrt очень тяжёлые. Все в память роутера не влазят, а какие минимально необходимый комплект пакетов поставить - пока не знаю.

3. L2TP/IPsec нативно в OpenWrt не поддерживается, только L2TP. Как настроить L2TP/IPsec в OpenWrt - инструкции найти не могу.

4. SSTP, пока главный кандидат. Поставил sstp-client пакет. Как я понял, в uci он не поддерживается. На роутере в ssh запустил команду "sstpc --cert-warn --save-server-route --user <login> --password <pass> <gate>.keenetic.link" - соединение поднялось, ура! Теперь вопрос, как прописать это в конфиги на OpenWrt, чтобы поднималось само при старте. Ещё вопрос, SSTP в Гиге акселирируется хардварно или нет?

Link to comment
Share on other sites

8 answers to this question

Recommended Posts

  • 0
ndm Honored Flooder

ndm

Posted
Posted
7 минут назад, Alex M. Jake сказал:

Ещё вопрос, SSTP в Гиге акселирируется хардварно или нет?

Нет. Wireguard попробуйте, он по скорости гораздо приятнее.

Link to comment
Share on other sites
  • 0
Alex M. Jake Member

Alex M. Jake

Posted
  • Author
Posted
23 minutes ago, ndm said:

Нет. Wireguard попробуйте, он по скорости гораздо приятнее.

Wireguard у меня работал, когда на обоих концах стоял OpenWrt. Сейчас решил основной роутер заменить на Гигу, отчасти из-за того, что приличный роутер, на который можно поставить OpenWrt, стоит столько же (!).

 

С wireguard заметил такую "фичу", он ресолвит ddns имя при старте и в дальнейшем при потере соединения пытается соединится с уже полученным ip. Получается, при динамическом IP, соединение может не восстановится при перезагрузке роутера. Это не проблема, на удалённом роутере можно тоже поднять ddns и основной роутер при перезагрузке будет сам восстанавливать соединение с удалённым роутером. Но у меня удалённому роутеру провайдер иногда выдаёт серый ip, поэтому в идеале я бы хотел, чтобы инициатором соединения был удалённый роутер, а основной (Гига) пассивно ждал входящего соединения.

Ещё смущает реализация wireguard в Гиге, он opkg тянет. Хотелось бы обойтись без них. Может дадите инструкцию как L2TP/IPsec в OpenWrt поднять?

Link to comment
Share on other sites
  • 0
Mamay Honored Flooder

Mamay

Posted
Posted
32 минуты назад, Alex M. Jake сказал:

Ещё смущает реализация wireguard в Гиге, он opkg тянет. Хотелось бы обойтись без них. 

В ветке 3.3 wireguard идёт "из коробки" без opkg...

  • Thanks 1
Link to comment
Share on other sites
  • 0
Mamay Honored Flooder

Mamay

Posted
Posted
1 час назад, Alex M. Jake сказал:

Осталось дождатья когда 3.3 в релиз уйдёт. В январе, судя по ченджлогу 3.1

Можно не ждать 2020, а проставить себе draft и помочь разработчикам свой скилл повысить. )))

Link to comment
Share on other sites
  • 0
WOFF4EG Newbie

WOFF4EG

Posted
Posted
В 28.10.2019 в 11:17, Alex M. Jake сказал:

Задача, надо объединить сегменты сетей. На Giga поднимаю VPN сервер:

1. PPTP не хочу, не секьюрно. Но потыкавшись с остальными, попробовал и его. На OpenWrt создал интерфейс, в котором снял галку default gateway (что-то типа этого). Но не соединяется, выдаёт invalid proto.

2. IPsec IKE2 тоже не хочу, пакеты для OpenWrt очень тяжёлые. Все в память роутера не влазят, а какие минимально необходимый комплект пакетов поставить - пока не знаю.

3. L2TP/IPsec нативно в OpenWrt не поддерживается, только L2TP. Как настроить L2TP/IPsec в OpenWrt - инструкции найти не могу.

4. SSTP, пока главный кандидат. Поставил sstp-client пакет. Как я понял, в uci он не поддерживается. На роутере в ssh запустил команду "sstpc --cert-warn --save-server-route --user <login> --password <pass> <gate>.keenetic.link" - соединение поднялось, ура! Теперь вопрос, как прописать это в конфиги на OpenWrt, чтобы поднималось само при старте. Ещё вопрос, SSTP в Гиге акселирируется хардварно или нет?

Вопрос по SSTP клиенту.

Тоже хотелось бы объеденить сети. В качестве сервера выступает keenetic, а клиентом будет служить роутер с OpenWrt 19.07.

Получилось только поднять соединение командой sstpc --cert-warn --tls-ext --save-server-route --user *** --password *** sh
aman4egs.keenetic.pro

Но вот получить достум через созданный интерфейс

ppp0 Link encap:Point-to-Point Protocol
inet addr:192.168.200.7 P-t-P:192.168.1.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1350 Metric:1
RX packets:4 errors:0 dropped:0 overruns:0 frame:0
TX packets:4 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:40 (40.0 B) TX bytes:46 (46.0 B)

 к клиентам в локальной сети сервера так и не получилось. Пробовал добавлять маршруты, но делал это всё на ходу...

Маршруты на OpenWrt

root@OpenWrt:~# route

Kernel IP routing table

Destination Gateway Genmask Flags Metric Ref Use Iface

default 192.168.27.181 0.0.0.0 UG 0 0 0 wlan0

95.84.164.227 192.168.27.181 255.255.255.255 UGH 0 0 0 wlan0

192.168.1.0 192.168.1.1 255.255.255.0 UG 0 0 0 ppp0

192.168.27.0 * 255.255.255.0 U 0 0 0 wlan0

192.168.100.0 * 255.255.255.0 U 0 0 0 br-lan

Эхо-запрос до 192.168.1.1 (IP роутера keenetic) при поднятом соединении доходитдоходит.

Теперь вопрос в том, как это всё прописать чтобы соединение поднималось само и был маршрут в локальную сеть сервера.

сервераПростое создание сетевого интерфейса в etc/config/network не помогает.

Link to comment
Share on other sites
  • 0
VecH Member

VecH

Posted
Posted (edited)

Ставим обновляем список пакетов и устанавливаем необходимые 

opkg update
opkg install ca-certificates luci-proto-sstp sstp-client

Обязательно надо перезагрузить роутер (что бы luci начала принимать протокол sstp)
Можно это сделать и безе перезагрузки, но я не помню как

Создаете соединение (Network / Interfaces), и в созданном подключении нужно вбить 5 параметров

Закладка General Settings
Protocol: SSTP
SSTP Server: xxxxx.keenetic.link
PAP/CHAP username: vpn_sstp_user
PAP/CHAP password: vpn_sstp_password

Закладка: Advanced Settings
Extra sstpc options: --tls-ext --save-server-route
Extra pppd options: refuse-eap refuse-pap refuse-mschap require-mschap-v2 noauth noipdefault

Use default gateway: нужно убрать если доступ только в локальную сеть сервера
если галочка поставлена, весь трафик пойдет в туннель

Всё, так у меня стало подключаться к роутеру кинетик по протоколу sstp

параметр --save-server-route видимо не работает или игнорируется при подключении
из за этого на клиенте маршрут в локальную сеть сервера нужно прописывать вручную

Edited by VecH
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to question listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...