Помогите настроить OpenVPN клиент.

[TheRock666]

Помогите разобраться с настройкой OpenVPN клиента, вероятнее всего проблема в itables потому как сам клиент запускается но зайти на сайты не могу. Делал все по этой инструкции https://habrahabr.ru/post/306378/ , правила itables оттуда же. Роутер обычный Keenetic 3, прошивка  v2.08(AAUU.0)B0.

Лог запуска OpenVPN

Скрытый текст

Dec 31 14:45:56dropbear[1692]Child connection from 192.168.10.2:49699
Dec 31 14:46:03dropbear[1692]Password auth succeeded for 'root' from 192.168.10.2:49699
Dec 31 14:46:10openvpn[1719]OpenVPN 2.3.13 mipsel-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6]
Dec 31 14:46:10openvpn[1719]library versions: OpenSSL 1.0.2j  26 Sep 2016, LZO 2.09
Dec 31 14:46:10openvpn[1719]WARNING: file 'pass.txt' is group or others accessible
Dec 31 14:46:10openvpn[1722]Control Channel Authentication: tls-auth using INLINE static key file
Dec 31 14:46:10openvpn[1722]Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Dec 31 14:46:10openvpn[1722]Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Dec 31 14:46:10openvpn[1722]UDPv4 link local: [undef]
Dec 31 14:46:10openvpn[1722]UDPv4 link remote: [AF_INET]89.163.208.94:19699
Dec 31 14:46:10rootStarted openvpn from .
Dec 31 14:46:10openvpn[1722]WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Dec 31 14:46:11openvpn[1722]VERIFY OK: depth=1, O=574402f8c928ee09e1e0776c, CN=574402f8c928ee09e1e07770
Dec 31 14:46:11openvpn[1722]Validating certificate key usage
Dec 31 14:46:11openvpn[1722]++ Certificate has key usage  00a0, expects 00a0
Dec 31 14:46:11openvpn[1722]NOTE: --mute triggered...
Dec 31 14:46:13openvpn[1722]10 variation(s) on previous 3 message(s) suppressed by --mute
Dec 31 14:46:13openvpn[1722][574402f8c928ee09e1e07788] Peer Connection Initiated with [AF_INET]89.163.208.94:19699
Dec 31 14:46:15openvpn[1722]TUN/TAP device tun0 opened
Dec 31 14:46:15openvpn[1722]do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Dec 31 14:46:15openvpn[1722]/opt/sbin/ifconfig tun0 192.168.226.252 netmask 255.255.255.0 mtu 1500 broadcast 192.168.226.255
Dec 31 14:46:15openvpn[1722]Initialization Sequence Completed

 

[TheRock666]

А вот этой фигней начинает сыпать периодически как только вставляю скрипт из той инструкции(после перезагрузки тоже самое), так до бесконечности. Соответственно ничего не работает 

Скрытый текст

Dec 31 14:51:15pure-ftpd(?@192.168.10.2) [INFO] New connection from 192.168.10.2
Dec 31 14:51:15ndmCore::Server: started Session /var/run/ndm.core.socket.
Dec 31 14:51:15pure-ftpd(?@192.168.10.2) [INFO] anonymous is now logged in
Dec 31 14:51:15ndmCore::Server: client disconnected.
Dec 31 14:51:25pure-ftpd(anonymous@192.168.10.2) [NOTICE] /openvpnfil.sh uploaded (191 bytes, 44.93KB/sec).
Dec 31 14:51:25ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: /opt/etc/ndm/netfilter.d/openvpnfil.sh: exit: line 3: Illegal number: 0.
Dec 31 14:51:25ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: exit code 2.
Dec 31 14:51:25ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information.
Dec 31 14:51:25ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information.
Dec 31 14:51:25ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: /opt/etc/ndm/netfilter.d/openvpnfil.sh: exit: line 3: Illegal number: 0.
Dec 31 14:51:25ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: exit code 2.
Dec 31 14:51:25ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information.
Dec 31 14:51:25ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information.
Dec 31 14:51:25ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information.
Dec 31 14:51:30ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: /opt/etc/ndm/netfilter.d/openvpnfil.sh: exit: line 3: Illegal number: 0.
Dec 31 14:51:30ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: exit code 2.
Dec 31 14:51:30ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information.
Dec 31 14:51:30ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information.
Dec 31 14:51:31ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: /opt/etc/ndm/netfilter.d/openvpnfil.sh: exit: line 3: Illegal number: 0.
Dec 31 14:51:31ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: exit code 2.
Dec 31 14:51:31ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information.
Dec 31 14:51:31ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information.
Dec 31 14:51:36ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: /opt/etc/ndm/netfilter.d/openvpnfil.sh: exit: line 3: Illegal number: 0.
Dec 31 14:51:36ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: exit code 2.
Dec 31 14:51:36ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information.
Dec 31 14:51:36ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information.
Dec 31 14:51:36ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: /opt/etc/ndm/netfilter.d/openvpnfil.sh: exit: line 3: Illegal number: 0.
Dec 31 14:51:36ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: exit code 2.

 

 

Изменено 31 декабря, 2016 пользователем TheRock666

[zyxmon]

Для начала освойте форум и приведите логи в читаемый вид.

[TheRock666]

1 час назад, zyxmon сказал:

Для начала освойте форум и приведите логи в читаемый вид.

Так нормально? Сори, не совсем понимаю что вы имели в виду под "читаемый вид"

[zyxmon]

Так лучше, хотя ...

Ищите ошибку в 3й строке скрипта  /opt/etc/ndm/netfilter.d/openvpnfil.sh

[TheRock666]

2 часа назад, zyxmon сказал:

Ищите ошибку в 3й строке скрипта  /opt/etc/ndm/netfilter.d/openvpnfil.sh

[ "$table" != filter ] && exit 0 , если бы я не был нубом и имел дело с iptables до этого, а так только методом тыка пробовать. Тогда другой вопрос, где можно найти полный список команд для iptables? Через "iptables -h" похоже список не полный, так-как в том скрипте который создаю по инструкции есть команды которых нет в списке хелпа.

[zyxmon]

27 минут назад, TheRock666 сказал:

где можно найти полный список команд для iptables?

В гугле не забанили? https://www.opennet.ru/docs/RUS/iptables/

[TheRock666]

Так вроде все правильно в скрипте, во всяком случае в последних 3 строках, но единственное что tun+ поменял на tun0 по названию интерфейса, только это нечего не дало. Если в 3 строке которая  "[ "$table" != filter ] && exit 0" поставить любое слово после "0" то ошибки уже нет, точно так же ее нет и если вообще удалить строчку. Если менять 0 на любое другое однозначное число то ошибка так же есть но уже ссылается не на "0", а на то число которое поставил. Так вот если там после "0" еще слово и ошибка пропадает, все равно идет спам одним и тем же сообщением

Opkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information.

и не чего не работает. Как вообще должен выглядеть лог если скрипт нормально включится? Спама ведь быть не должно?

P/S. С наступившим

 

UPD: Попробовал без скрипта запустить openvpn и в терминале прописать

iptables -I FORWARD -i br0 -o tun0 -j ACCEPT

iptables -I FORWARD -i tun0 -o br0 -j ACCEPT

iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

тоже самое в итоге, только в консоли вебморды вообще никакой реакции, как будто и не писал ничего.  Может быть такое что проблема где-то в настройках основной прошивки роутера скрыта?

Изменено 31 декабря, 2016 пользователем TheRock666

[TheRock666]

Если лог вот такой фигней сыпет это значит что скрипт не применяется я правильно понимаю? Неужели тут не кто не настраивал openvpn на новых версиях прошивки? 

Скрытый текстOpkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information.

Opkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information.
Opkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information.
Opkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information.
Opkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information.
Opkg::Manager: /opt/etc/ndm/netfilter.d/openvpnfil.sh: Try `iptables -h' or 'iptables --help' for more information.
Core::Syslog: last message repeated 62 times.

[zyxmon]

40 минут назад, TheRock666 сказал:

Неужели тут не кто не настраивал openvpn на новых версиях прошивки? 

Настройка от версии прошивки не зависит.

[TheRock666]

Цитата

Настройка от версии прошивки не зависит.

Ну так в чем тогда может быть дело? Хоть какие-то наводки можете дать? Я читал тот мануал по iptables, много там всего, сразу естественно все не усвоишь. Но как понял строки из инструкции в интернете(кстати она просто доработка вашей судя по всему, видел на вашем форуме ее тоже) должны работать. Ибо идет проброс br0(роутер) на tun0(vpn) и в обратную сторону. Маскарадинг как понял из вашего-же форума не нужен вообще, так-как он уже вшит в само ядро. Так чего ему не хватает? Я пробовал уже правила и в терминале прописывать, и кучу других вариантов, весь гугл обшарил. Все должно работать, но не работает.

[TheRock666]

Спустя пол месяца я таки настроил эту фигню, но скорость подозрительно мала. Через роутер жмет около 5 мегабит, при этом с теми-же настройками на ПК выжимает 15-20 мегабит без проблем(больше не могу сказать, так-как 20 мегабит тариф ограничивает). Это нормально что на роутере скорость ниже чем на ПК или я где-то с настройкой лапухнулся и нужно искать косяк? 

Изменено 20 января, 2017 пользователем TheRock666

[r13]

А загрузка процессора какая при этом? 

[zyxmon]

39 минут назад, TheRock666 сказал:

Через роутер жмет около 5 мегабит

Маловато будет. Около 10 получали на белых кинетиках (первых, старых) давным давно. А на новых можно получить и 100

http://forums.zyxmon.org/viewtopic.php?p=16291#p16291

[Le ecureuil]

25 минут назад, zyxmon сказал:

Маловато будет. Около 10 получали на белых кинетиках (первых, старых) давным давно. А на новых можно получить и 100

http://forums.zyxmon.org/viewtopic.php?p=16291#p16291

В наших тестах на 7621 можно получить не более 20 Мбит/с

А результаты как у товарища по ссылке можно получить лишь на OpenVPN/TCP, что в целом не рекомендуется для массового применения.

[TheRock666]

10 часов назад, r13 сказал:

А загрузка процессора какая при этом? 

От ~20 до 92, постоянно прыгает.

Протокол UDP., похожу что это нормально. Главное чтоб не существенно ниже было как 100 мегабит против 5...

[kekych]

В 20.01.2017 в 16:04, TheRock666 сказал:

Спустя пол месяца я таки настроил эту фигню

@TheRock666, покажи свой файл конфигурации. Я такую же ошибку ловлю.

Избавляюсь от неё путём добавления символа ";" в конец строк, но такое решение неправильно на мой взгляд

Кстати, как избавиться от дублирования правила в таблицу nat. В filter дублирования не происходит.

Вот мой файл:

Скрытый текст

#!/bin/sh
echo "Table 1:: $table";
[ "$table" != "filter" ] && exit 0;   # check the table name
# Доступ к серверу с VPN
iptables -I INPUT -i tun0 -s 10.15.0.0/24 -j ACCEPT;
# Так как трафик транзитный, то позволяем пакетам ходить между LAN и VPN
iptables -I FORWARD 1 -i br0 -o tun0 -j ACCEPT;
iptables -I FORWARD 2 -i tun0 -o br0 -j ACCEPT;
iptables -t nat -I POSTROUTING -s 10.15.0.0/24 -j MASQUERADE;
echo "Iptables: changed!";

 

[r13]

@kekych При таком скрипте nat правило создается только на хуке filter.

В результате у вас nat правила замножаются, а при срабатывании хука nat очищаются и не восстанавливаются.

Пишите отдельный скрипт для nat или меняйте логику в этом скрипте.

Изменено 2 февраля, 2017 пользователем r13

[kekych]

5 минут назад, r13 сказал:

Пишите отдельный скрипт для nat

То есть, если я правильно понял, то надо в папке netfilter.d создать ещё один скрипт с такой структурой:

Скрытый текст

#!/bin/sh

iptables -t nat -I POSTROUTING -s 10.15.0.0/24 -j MASQUERADE;
echo "Iptables: NAT changed!";

 

[r13]

И кодом в начале скрипта по ангиологии с первым иначе опять будет замножаться:

[ "$table" != "nat" ] && exit 0;   # check the table name

[kekych]

@r13, да точно! Второпях написал

Сейчас попробую.

UPD: отлично отработало! Однако в лог теперь пишется ошибка из прошлого файла ( Opkg::Manager: /opt/etc/ndm/netfilter.d/fw.sh: exit code 127. ) , хотя правила устанавливаются в iptables o_O. Ошибка говорит, что команда найдена, но библиотека, требуемая командой, не найдена.

И так и сяк посмотрел, покрутил скрипт. Ошибка лезет, но все исправно работает. Ну и фиг с ней

 

@r13, а получается что в скрипте каждую строчку надо завершать знаком ";"? Без них скрипт в ошибку почему-то валится

Изменено 2 февраля, 2017 пользователем kekych

[TheBB]

windows? блокнот? "дружелюбный" vim отложим в сторону... есть ещё nano и mcedit (всё равно стоит система пакетов, так?) чем не редакторы?

[Kosty7777]

Добрый день.

 

Помогите переделать правила iptables для OpenVPN  из NDMSv1 в NDMSv2.

 

Скрипт NDMSv1:

#!/bin/sh

 

# Разрешаем внутрисетевой обмен

iptables -I INPUT -i lo -j ACCEPT

 

# SSH

iptables -I INPUT -p tcp --dport 45017 -j ACCEPT

 

# OpenVPN

iptables -I INPUT -p udp --dport 45015 -j ACCEPT

iptables -I FORWARD 1 --source 172.16.10.0/24 -j ACCEPT

iptables -I FORWARD -i br0 -o tun0 -j ACCEPT

iptables -I FORWARD -i tun0 -o br0 -j ACCEPT

iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE

 

 

 

При подключении клиента к серверу OpenVPN был доступ к внутренней сети домашнего роутера(172.16.7.0/24) и к интернету через домашний роутер.

 

Роутер: Zyxel Keenetic Ultra

Прошивка: 2.08 + Entware-3x

[Stasmin]

В 20.01.2017 в 17:09, Le ecureuil сказал:

В наших тестах на 7621 можно получить не более 20 Мбит/с

А результаты как у товарища по ссылке можно получить лишь на OpenVPN/TCP, что в целом не рекомендуется для массового применения.

А с чем это связано? А то перелез сегодня с Lite iii на последнюю гигу с 7621A и крайне удивился:) Входящая 12-13 Мбит/с, исх. 23 Мбит/с при загрузке ЦП 20-25% против 70-80 Мбит/с напрямую с компа

Изменено 15 мая, 2018 пользователем Stasmin

[Le ecureuil]

В 5/15/2018 в 22:54, Stasmin сказал:

А с чем это связано? А то перелез сегодня с Lite iii на последнюю гигу с 7621A и крайне удивился:) Входящая 12-13 Мбит/с, исх. 23 Мбит/с при загрузке ЦП 20-25% против 70-80 Мбит/с напрямую с компа

Процессор слабоват для openvpn.