slydiman

Развязка... В настройках OpenVPN сервера на Кинетике прописываем topology p2p и на всякий случай mode p2p В UI роутера Tandem для OpenVPN есть компрессия LZ4 - не работает (в логах ничего внятного), поэтому оставить LZ0 на обоих концах. В advanced добавить redirect-gateway def1 bypass-dhcp И наконец включить маскарадинг для интерфейса ovpn (зона vpn) в настройках файрвола и перезагрузить интерфейс. PS: Всё что я услышал от техподдержки micro-drive.ru - это что WireGuard планируется. Надеюсь эта информация будет кому-то полезной. На всякий случай это всё про то как с российского роутера Tandem установленного в машине получить доступ к домашнему роутеру Кинетик и через него в интернет.

Рано обрадовался. Всё было отлажено на ноуте с модемом и в процессе затесался параметр topology subnet Но когда я добрался до гаража и роутера Tandem, оказалось что в нем OpenVPN 2.5 и topology subnet там в принципе не работает. Local и remote IP задаются через UI В итоге на Кинетике так и не удалось настроить NAT для OpenVPN TUN без topology subnet.

После обращения в поддержку Кинетика, их ответ (верните как в статье и сделайте дамп трафика) навёл меня на мысль прописать ip nat 10.1.0.0 255.255.255.252 и всё заработало! Так что стоит исправить статью! Кстати, OpenVPN клиенты не видны в списке клиентов на Кинетике, как сказано в статье. Возможно, если бы OpenVPN сервер был сконфигурирован на пул адресов (для нескольких клиентов), то совет ip nat OpenVPN0 сработал бы.

Увы, но нет. Замена ip nat 10.1.0.2 255.255.255.255 на ip nat OpenVPN0 не изменила ничего. Таблица роутинга не изменилась. Поведение тоже. Скачал конфиг Кинетика перепроверить: access-list _WEBADMIN_GigabitEthernet1 permit tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 1194 permit description OpenVPN-srv-car auto-delete ! interface OpenVPN0 description OpenVPN-srv-car role misc security-level private ip dhcp client dns-routes ip access-group _WEBADMIN_OpenVPN0 in ip tcp adjust-mss pmtu ip name-servers openvpn accept-routes openvpn connect up ! ip nat OpenVPN0 Для проверки взял ноут, поднял на нём OpenVPN клиент 2.6.х, в конфиге прописал redirect-gateway def1, подключился из внешки к OpenVPN Кинетика, на клиенте вижу точно такую же таблицу роутинга, к сети Кинетика доступ есть, а интернета нет. То есть проблема на стороне Кинетика. Обновил Кинетик до v4.3.6 - ничего не изменилось. Если в логах чего и не хватает, то не знаю чего. Всё что там есть вопросов не вызывает. Куда копать? PS: На этом же Кинетике поднят ещё WireGuard и клиенты WireGuard без проблем ходят в интернет через Кинетик.

Сервер OpenVPN на Кинетике v4.3.5 настроен согласно https://help.keenetic.com/hc/ru/articles/360000880359-Клиент-и-сервер-OpenVPN Клиент OpenVPN (v2.4.0) на роутере Tandem 4GX-6 https://www.micro-drive.ru/products/tandem-4gx-6-3g/4g-router-lte-cat.6/ Там основная настройка OpenVPN через UI, но можно прописывать параметры в advanced. OpenVPN TUN (L3) точка-точка, соединение есть, устройства из сети Кинетика видят устройства за Tandem 4GX, аналогично устройства за Tandem 4GX видят сеть за Кинетиком. Не получается направить весь трафик от Tandem 4GX в тоннель. На Кинетике в таблице маршрутизации есть строка 10.1.0.2/32 gateway 10.1.0.1 interface OpenVPN-srv-my Если на клиенте (Tandem 4GX) в настройках OpenVPN прописать route 0.0.0.0 0.0.0.0 то вообще всё перестаёт работать. Если на клиенте (Tandem 4GX) в настройках OpenVPN прописать redirect-gateway def1 bypass-dhcp то на клиенте появляются 3 маршрута - 0.0.0.0/1 и 128.0.0.0/1 gateway 10.1.0.1 metric 0 interface ovpn и маршрут до сервера через интерфейс модема. Доступ к сети Кинетика всё ещё есть, но доступ в интернет отрубается. Команда на Кинетике ip nat 10.1.0.2 255.255.255.255 выполнена и это не помогает. В статье выше есть такое Профиль/политика по умолчанию, то есть доступ в интернет должен быть. Но вот в списке устройств на Кинетике клиентов OpenVPN не видно. no isolate-private прописано. Где чего не хватает?

Я правильно понимаю что при удалённом компоненте Cloud services agent (и соответственно неработающем KeenDNS) поднять OpenConnect server на роутере не получится из-за невозможности подсунуть свой сертификат? То есть ровно такая же проблема как тут?

Так и сделал, хотел написать, а тут уже такой же ответ.

Это никак не поможет. Статья, на которую я дал ссылку в первом посте, не просто так появилась.

Есть 3 интернет провайдера и 3 роутера Keenetic. Роутеры имеют IP 192.168.1.1, 192.168.8.1, 192.168.9.1 Каждый роутер подключен к своему провайдеру, за каждым роутером свои сервера. На первом роутере который 192.168.1.1 помимо основного WAN1 настроены WAN2 и WAN3 и подключены к двум другим роутерам. На первом роутере этим WAN портам соответствуют IP 192.168.8.100 и 192.168.9.100 Это позволяет клиентам первого роутера настроить через какого провайдера (или нескольких с балансировкой) ходить в интернет. Также из сети 192.168.1.х можно спокойно попасть в админку 2-го и 3-го роутера просто открыв в браузере 192.168.8.1 или 192.168.9.1 Проблема возникла когда на первом роутере настроился WireGuard сервер, пусть будет подсеть 172.16.82.х Так вот задача VPN клиенту попасть в админку 2-го и 3-го роутера. Ситуация в точности как описано тут https://help.keenetic.com/hc/ru/articles/4403101043218-Доступ-в-веб-интерфейс-USB-модема-за-VPN-клиентом-Wireguard-туннеля Только там вместо 2-го роутера 4G модем, но суть та же. Всё решается добавлением очень странной переадресации ВСЕГО, где вход - это целая подсеть 172.16.82.х (которая VPN). Тут слушается целая подсеть и если указать конкретный хост вместо подсети, то это не работает. И собственно сама проблема - подсеть VPN можно перенаправить только на ОДИН адрес, то есть например на 2-й роутер. Тогда VPN клиент имеет доступ на 192.168.8.1, но не имеет доступа к 192.168.9.1 Как сделать чтобы VPN клиент имел доступ к обоим роутерам 192.168.8.1 и 192.168.9.1 одновременно?

Не понимаю что значит может использовать только сертификаты от LE. Не важно как получен сертификат. Он где-то хранится. Что мешает туда же записать его просто из веба? Ладно, всё понятно. Спасибо что на сегодня хотя бы ещё можно удалить компонент Cloud services agent. Эх, шикарный был облачный сервис. В новом облаке обнаружил подписку на уведомления в телеграм - просто супер, знаешь когда кто домой пришёл, телевизор включил. Но времена нынче такие, что приходится выбирать и чем-то жертвовать.

Чтобы без реверс прокси на третьих девайсах я поднимаю (слово из 3х букв которое нельзя называть) до роутера и захожу по HTTP на внутренний IP роутера. Но хотелось бы без костылей. Все остальные девайсы сети зависят от роутера. Делать саму админку роутера зависимой ещё от каких-то девайсов - так себе решение.

Он у меня просто есть со всеми ключами, причем wildcard, ибо за этим роутером куча сайтов и сервисов с этим сертификатом.

Я удалил не KeenDNS, а Cloud services agent, потому что он делал лишнего даже при выключенной галочке Keenetic Cloud access. Отдельно компонент KeenDNS поставить не возможно. Я не очень понимаю что за acme компонент и зачем ему KeenDNS. Есть обращение к WEB UI снаружи по HTTPS. WEB сервер должен использовать какой-то сертификат для TLS/SSL хэндшейка. Нужно как-то дать ему этот сертификат и всё. Ни KeenDNS, ни acme, ни Let's encrypt в этом никак не должны участвовать.

Я правильно понимаю что указать свой домен (и сертификат) для доступа к роутеру снаружи нельзя? Только *.keenetic.pro или .link через KeenDNS и всеми облачными тараканами? Возможно ли добавление такой опции в будущем?

Когда облако всё видит даже при выключенной галочке Keenetic Cloud access - это напрягает. В связи с непонятками вокруг переезда на netcraze снёс нафиг Cloud services agent, ибо непонятно кому он ещё стучит и о чём. При удалении Cloud services agent пропал и KeenDNS. В Remote Web interface connections стоит HTTPS only. У меня белый статический IP и свой домен. Я не использую никаких DynDNS и пр. Как указать роутеру свой домен чтобы при обращении снаружи не получать ERR_SSL_UNRECOGNIZED_NAME_ALERT? Заранее спасибо