Вопросы по интеграции OpenVPN в NDMS

[thefox]

Всем привет!

Не пойму, в старом интерфейсе все работало и работает, а в новом не особо хочет... соединение поднято, висит, а трафик через него не идет... в старом у ovpn был приоритет выше чем у интернет-соединения, а как тут его поднять?

Изменено 6 марта, 2018 пользователем thefox

[Le ecureuil]

1 час назад, thefox сказал:

Всем привет!

Не пойму, в старом интерфейсе все работало и работает, а в новом не особо хочет... соединение поднято, висит, а трафик через него не идет... в старом у ovpn был приоритет выше чем у интернет-соединения, а как тут его поднять?

Создавайте тему в 2.12 про новый веб.

[dmitrya]

Мои замеры показали 20-25 Мб/с. Неплохо для Ultra II с openvpn сервером.

[vleonv]

Друзья, помогите, пожалуйста, найти причину в настройках OpenVPN подключения. В качестве сервера выступает KN-1010 с 2.12, в качестве клиента S7 (SM-G930F) c OpenVPN для Android 0.6.73 (хотя клиент значения не имеет, тоже самое и с другими клиентами). Подключение происходит, пинг между клиентом и сервером проходит в обе стороны, клиент прекрасно выходит в мир, но не вижу ни одного клиента из домашней сети, подключенных к роутеру кабелем или wifi

Конфиг сревера

Скрытый текст

port 1194

proto udp

dev tun

<ca>
</ca>
<cert>
</cert>
<key>
</key>
<dh>
</dh>

topology subnet

server 192.168.128.0 255.255.255.0

client-to-client

keepalive 10 120

<tls-auth>
</tls-auth>

key-direction 0

cipher AES-256-CBC

persist-key

persist-tun

verb 3explicit-exit-notify 1

конфиг клиента

Скрытый текст

client

dev tun

proto udp

remote my host 1194
resolv-retry infinite

nobind

route 0.0.0.0 0.0.0.0

persist-key
persist-tun

<ca>

</ca>
<cert>
</cert>
<key>
</key>

remote-cert-tls server

<tls-auth>
</tls-auth>

key-direction 1

cipher AES-256-CBC

verb 3

 

[Le ecureuil]

23 часа назад, vleonv сказал:

Друзья, помогите, пожалуйста, найти причину в настройках OpenVPN подключения. В качестве сервера выступает KN-1010 с 2.12, в качестве клиента S7 (SM-G930F) c OpenVPN для Android 0.6.73 (хотя клиент значения не имеет, тоже самое и с другими клиентами). Подключение происходит, пинг между клиентом и сервером проходит в обе стороны, клиент прекрасно выходит в мир, но не вижу ни одного клиента из домашней сети, подключенных к роутеру кабелем или wifi

Конфиг сревера

  Показать содержимое

port 1194

proto udp

dev tun

<ca>
</ca>
<cert>
</cert>
<key>
</key>
<dh>
</dh>

topology subnet

server 192.168.128.0 255.255.255.0

client-to-client

keepalive 10 120

<tls-auth>
</tls-auth>

key-direction 0

cipher AES-256-CBC

persist-key

persist-tun

verb 3explicit-exit-notify 1

конфиг клиента

  Показать содержимое

client

dev tun

proto udp

remote my host 1194
resolv-retry infinite

nobind

route 0.0.0.0 0.0.0.0

persist-key
persist-tun

<ca>

</ca>
<cert>
</cert>
<key>
</key>

remote-cert-tls server

<tls-auth>
</tls-auth>

key-direction 1

cipher AES-256-CBC

verb 3

 

Нужен еще конфиг устройства и более развернутое описание, что вы подразумеваете под "не видит клиентов", хотя "пинг ходит".

[vleonv]

Скрытый текст

! $$$ Model: Keenetic Giga
! $$$ Version: 2.06.1
! $$$ Agent: http/rci
! $$$ Last change: Sun, 25 Mar 2018 19:13:36 GMT
! $$$ Md5 checksum: fddcaca52aa5aafa8b83f27072946593

system
    set net.ipv4.ip_forward 1
    set net.ipv4.tcp_fin_timeout 30
    set net.ipv4.tcp_keepalive_time 120
    set net.ipv4.neigh.default.gc_thresh1 256
    set net.ipv4.neigh.default.gc_thresh2 1024
    set net.ipv4.neigh.default.gc_thresh3 2048
    set net.ipv6.neigh.default.gc_thresh1 256
    set net.ipv6.neigh.default.gc_thresh2 1024
    set net.ipv6.neigh.default.gc_thresh3 2048
    set net.netfilter.nf_conntrack_tcp_timeout_established 1200
    set net.netfilter.nf_conntrack_max 16384
    set vm.swappiness 60
    set vm.overcommit_memory 0
    set vm.vfs_cache_pressure 1000
    set net.ipv6.conf.all.forwarding 1
    set net.ipv6.conf.all.accept_ra 1
    no led FN_1 indicate
    no led FN_2 indicate
    no button WLAN on click
    no button WLAN on double-click
    no button WLAN on hold
    no button FN1 on click
    no button FN2 on click
    clock timezone Europe/Moscow
    clock date 25 Mar 2018 22:13:35
    domainname WORKGROUP
    hostname Keenetic
!
ntp server 0.pool.ntp.org
ntp server 1.pool.ntp.org
ntp server 2.pool.ntp.org
ntp server 3.pool.ntp.org

access-list _WEBADMIN_PPPoE0
    permit icmp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    permit tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 157
    permit udp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 1194
!
access-list _WEBADMIN_ISP
    permit icmp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    permit tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 157
    permit udp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 1194
!
isolate-private
user admin
    password md5
    password nt
    tag cli
!
user xxx
    password md5
    password nt
    tag http-proxy
    tag cli
    tag http
!
interface GigabitEthernet0
    up
!
interface GigabitEthernet0/0
    rename 1
    switchport mode access
    switchport access vlan 1
    up
!
interface GigabitEthernet0/1
    rename 2
    switchport mode access
    switchport access vlan 1
    up
!
interface GigabitEthernet0/2
    rename 3
    switchport mode access
    switchport access vlan 1
    up
!
interface GigabitEthernet0/3
    rename 4
    switchport mode access
    switchport access vlan 1
    up
!
interface GigabitEthernet0/Vlan1
    description "Home VLAN"
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    up
!
interface GigabitEthernet0/Vlan3
    description "Guest VLAN"
    security-level protected
    ip dhcp client dns-routes
    ip dhcp client name-servers
    up
!
interface GigabitEthernet1
    rename ISP
    description "Broadband connection"
    mac address factory wan
    security-level public
    ip address dhcp
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ip mtu 1500
    ip access-group _WEBADMIN_ISP in
    igmp upstream
    up
!
interface GigabitEthernet1/0
    rename 0
    up
!
interface WifiMaster0
    country-code US
    compatibility N
    channel width 40-below
    beamforming no explicit
    no vht
    up
!
interface WifiMaster0/AccessPoint0
    rename AccessPoint
    description "Wi-Fi access point"
    mac access-list type none
    security-level private
    authentication wpa-psk ns3
    encryption enable
    encryption wpa2
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ssid xxx
    wmm
    up
!
interface WifiMaster0/AccessPoint1
    rename GuestWiFi
    description "Guest access point"
    mac access-list type none
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ssid Guest
    wmm
    down
!
interface WifiMaster0/AccessPoint2
    mac access-list type none
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    down
!
interface WifiMaster0/AccessPoint3
    mac access-list type none
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    down
!
interface WifiMaster0/WifiStation0
    security-level public
    encryption disable
    ip dhcp client dns-routes
    ip dhcp client name-servers
    down
!
interface WifiMaster1
    country-code US
    compatibility AN+AC
    channel 44
    channel width 40-above/80
    no band-steering
    beamforming no explicit
    up
!
interface WifiMaster1/AccessPoint0
    rename AccessPoint_5G
    description "5Ghz Wi-Fi access point"
    mac access-list type none
    security-level private
    authentication wpa-psk ns3
    encryption enable
    encryption wpa2
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ssid xxx_5G
    wmm
    up
!
interface WifiMaster1/AccessPoint1
    mac access-list type none
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    down
!
interface WifiMaster1/AccessPoint2
    mac access-list type none
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    down
!
interface WifiMaster1/AccessPoint3
    mac access-list type none
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    down
!
interface WifiMaster1/WifiStation0
    security-level public
    encryption disable
    ip dhcp client dns-routes
    ip dhcp client name-servers
    down
!
interface Bridge0
    rename Home
    description "Home network"
    inherit GigabitEthernet0/Vlan1
    include AccessPoint
    include AccessPoint_5G
    security-level private
    ip address 192.168.1.1 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    up
!
interface Bridge1
    rename Guest
    description "Guest network"
    traffic-shape rate 5120
    inherit GigabitEthernet0/Vlan3
    include GuestWiFi
    security-level protected
    ip address 10.1.30.1 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    up
!
interface PPPoE0
    description "Broadband connection"
    role inet
    no ipv6cp
    lcp echo 30 3
    ipcp default-route
    ipcp name-servers
    ipcp dns-routes
    no ccp
    security-level public
    authentication identity xxx
    authentication password ns3
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ip mtu 1492
    ip access-group _WEBADMIN_PPPoE0 in
    ip global 350
    ip tcp adjust-mss pmtu
    ipv6 address auto
    ipv6 prefix auto
    ipv6 name-servers auto
    ping-check profile default
    connect via ISP
    up
!
interface OpenVPN0
    description OpenVpn
    role misc
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ip tcp adjust-mss pmtu
    openvpn accept-routes
    up
!
ip dhcp pool _WEBADMIN
    range 192.168.1.33 192.168.1.72
    lease 25200
    bind Home
    enable
!
ip dhcp pool _WEBADMIN_GUEST_AP
    range 10.1.30.33 10.1.30.52
    bind Guest
    enable
!
ip http port 80
ip http security-level private
ip http lockout-policy 5 15 3
ip http ssl enable
ip http ssl redirect
ip nat Home
ip nat Guest
ip nat OpenVPN0
ip telnet
    port 23
    security-level private
    lockout-policy 5 15 3
!
ip ssh
    port 157
    security-level private
    lockout-policy 5 15 3
!
ip hotspot
    default-policy deny
!
ipv6 subnet Default
    bind Home
    number 0
    mode slaac
!
ipv6 firewall
ppe software
ppe hardware
upnp lan Home
service dhcp
service dns-proxy
service igmp-proxy
service http
service telnet
service ssh
service ntp-client
service upnp
components
    auto-update disable
!
!

Пинг проходит со стороны роутера (непосредственно с роутера) к клиенту, и с клиента на сам роутер, а вот компьютеры, NAS и прочие домашние устройства недоступны. Другими слова клиент подключенный к роутеру по OpenVPN полноценно видит мир и сам роутер, но не видит домашнюю сеть

Изменено 27 марта, 2018 пользователем vleonv

[dvg_lab]

Коллеги, подскажите зачем создается роут /32 в сторону OpenVPN сервера? Суть в чем, у меня например статический WAN, дублирующийся USB модемом через MTC, так вот openvpn клиент поднимает соединение, все хорошо, потом у меня падает статический WAN, пингчекер это видит, сразу же дефолт переключает на USB модем, но OpenVPN не может пере-поднять  соединение потому что в таблице маршрутизации стоит жесткий роут на IP адрес OpenVPN сервера через тот упавший интерфейс. 

При этом интернет функционирует, сайты открываются и все нормально, но на сайты таких вот роутов нет..

Пока что кроме ребута роутера ничего не придумал, понимаю что можно каким-то макаром этот /32й роут переставлять на свисток... но мож я что не так делаю подскажите плс как победить резервирование OpenVPN подключения в автомате?

[r13]

@dvg_lab Вообще должен перескакивавать при переподключении openvpn, если нет, то бага или в насройках openvpn включена опция подключаться через этот интерфейс.  потестю на досуге. 

[dvg_lab]

Забыл сказать, что я на отладочной 2.12.А.4.0-9, после нескольких перезагрузок стал нормально работать и этот мелкий роут исчезает при обрыве WAN. Изначальная настройка на OpenVPN подключаться через любой доступный интерфейс.

Возможно проблема именно в бетта версии прошивки.. попробую откатить на сток и потестить там.

 

PS: Похоже я похороню все свои 200 асусов и перезакуплюсь зухелями )) Казалось бы простой функционал - OpenVPN клиент с резервированием аплинка и вменяемым файрволингом из коробки нормально работает только на Кинетиках. Из хотелок остались съемные рога (не везде нужен WiFi), питание через POE, соответственно и POE инжектор хотябы на одном порту и 8 портов LAN, и конкуренты будут долго и нервно курить в сторонке, это будет Killer фича для бизнеса с мелкими филиалами по всей стране, куда железку дороже 10к просто экономически невыгодно ставить.

[ndm]

1 hour ago, dvg_lab said:

Казалось бы простой функционал - OpenVPN клиент с резервированием аплинка и вменяемым файрволингом из коробки нормально работает только на Кинетиках.

В 2.13 мы планируем и дальше развивать функцию "подключаться через", а именно задействовать routing policy для явного указания перечня подключений и их приоритетов, которыми будет пользоваться VPN-клиент (любой, в том числе OpenVPN). Следите за новостями.

[Le ecureuil]

8 часов назад, dvg_lab сказал:

Коллеги, подскажите зачем создается роут /32 в сторону OpenVPN сервера? Суть в чем, у меня например статический WAN, дублирующийся USB модемом через MTC, так вот openvpn клиент поднимает соединение, все хорошо, потом у меня падает статический WAN, пингчекер это видит, сразу же дефолт переключает на USB модем, но OpenVPN не может пере-поднять  соединение потому что в таблице маршрутизации стоит жесткий роут на IP адрес OpenVPN сервера через тот упавший интерфейс. 

При этом интернет функционирует, сайты открываются и все нормально, но на сайты таких вот роутов нет..

Пока что кроме ребута роутера ничего не придумал, понимаю что можно каким-то макаром этот /32й роут переставлять на свисток... но мож я что не так делаю подскажите плс как победить резервирование OpenVPN подключения в автомате?

OpenVPN внутри себя имеет ping-check встроенный, настройте его так, чтобы он через 30 секунд недоступности туннеля (или сколько вам хочется) переинициировал соединение. Или скиньте конфиг openvpn с вырезаными ключами, посмотрим что там не так и подправим.

[Usatyj]

1 час назад, Le ecureuil сказал:

Или скиньте конфиг openvpn с вырезаными ключами, посмотрим что там не так и подправим.

Del

 

Изменено 30 марта, 2018 пользователем Usatyj
Это не мой случай

[dvg_lab]

13 часа назад, Le ecureuil сказал:

OpenVPN внутри себя имеет ping-check встроенный, настройте его так, чтобы он через 30 секунд недоступности туннеля (или сколько вам хочется) переинициировал соединение. Или скиньте конфиг openvpn с вырезаными ключами, посмотрим что там не так и подправим.

Заработало и пока повторить подобное поведение не удается (пока еще на отладочной прошивке), сейчас экспериментирую с lz4-v2, там не все так очевидно, клиент вангует что применяется опция comp-lzo но это я так понимаю косяки самого openvpn и к интеграции отношения не имеют.

Планируется ли к выпуску железка со съемными рогами? У меня под кассой места категорически нет, рога мешают

Не совсем по теме маленький вопрос - ткните чем автоматизировать настройку новых роутеров, как заливать openvpn.conf в железку, ато мне их 200шт подымать, руками копипастить или curl к вебу прикручивать это изврат кмк.

[Сергей Молоков]

11 минуту назад, dvg_lab сказал:

Планируется ли к выпуску железка со съемными рогами? У меня под кассой места категорически нет, рога мешают

Рога напрягают, согласен. Тоже испытываю неудобства на розничных точках. Раньше съемные были, было удобно!

[raf]

Как указать, чтобы openvpn клиенту выдавался конкретный статический ip?

Обычно это делается на сервере в именных файлах в ccd/ командой 'ifconfig-push 10.8.0.x 255.255.255.0'. Как это реализовано в NDMS?

[dvg_lab]

Я в замешательстве.

За Кинетиком сеть 10.4.49.0/24, она роутится, вот ccd:

ifconfig-push 10.8.0.3 255.255.0.0
iroute 10.4.49.0 255.255.255.0

в openvpn.conf на сервере также прописано:

route 10.4.49.0 255.255.255.0 10.8.0.3

Я с компа за Кинетиком (10.4.49.200) пингую комп уже за OpenVPN сервером, то есть условно между двумя компами находится OpenVPN сервер с двумя интерфейсами и Кинетик, а на OpenVPN клиенте (?) пакеты натятся, хотя не должны.

Подробнее: пинг уходит по такой цепочке Комп 10.4.49.200 -> Keenetic 10.4.49.1 (OpenVPN клиент 10.8.0.3) -> Сервер 10.8.0.1 (второй интерфейс сервера 192.168.200.11) -> комп 192.168.200.5 и вот тут я вижу что пакеты приходят с 10.8.0.3, хотя должны приходить с 10.4.49.200.

В конфиге кинетика не нашел где может натится на OpenVPN интерфейсе. Да topology subnet... Подскажите куда копнуть плс.

Причем с сервера пинги на 10.4.49.200 проходят..

Изменено 2 апреля, 2018 пользователем dvg_lab

[dvg_lab]

Почитал тему... походу NAT на интерфейсе openvpn не выключается... это печаль..

Господа, правильно ли я понял что когда будет внедрён PBR, то тогда появится возможность вырубать NAT на openvpn интерфейсе?

[Le ecureuil]

В 3/31/2018 в 08:00, dvg_lab сказал:

Заработало и пока повторить подобное поведение не удается (пока еще на отладочной прошивке), сейчас экспериментирую с lz4-v2, там не все так очевидно, клиент вангует что применяется опция comp-lzo но это я так понимаю косяки самого openvpn и к интеграции отношения не имеют.

Планируется ли к выпуску железка со съемными рогами? У меня под кассой места категорически нет, рога мешают

Не совсем по теме маленький вопрос - ткните чем автоматизировать настройку новых роутеров, как заливать openvpn.conf в железку, ато мне их 200шт подымать, руками копипастить или curl к вебу прикручивать это изврат кмк.

Через curl + rci все можно отлично сделать.

Например, создать интерфейс OpenVPN0, сделать его глобальным с приоритетом 200, включить получение роутов, сразу залить конфиг:

curl -X POST http://192.168.1.1/rci/interface?name=OpenVPN0 -H "Content-Type: application/json" -d "{\"up\": true, \"ip\":{\"global\":{\"priority\":200}}, \"openvpn\":{\"accept-routes\":true, \"config\":\"JSON_ESCAPED_CONFIG\"}}" --digest -uadmin:test

Сохранить настройки:
 

curl -X POST http://192.168.1.1/rci/system/configuration/save -H "Content-Type: application/json" -d "{}" --digest -uadmin:test

 

[raf]

Cоздаю соединение OVPN:

Цитата

mode server
tls-server
port xxx
proto tcp-server
dev tap
topology subnet
client-to-client

ifconfig x.x.x.1 255.255.255.0
ifconfig-pool x.x.x.2 x.x.x.99
push "route-gateway x.x.x.1"
route-gateway x.x.x.1

...

Все работает: клиенты подключаются.

Но в списке сетей не появляется сегмент OVPN и мониторить подключенные компьютеры нет возможности. Его (сегмент) надо добавлять вручную? Как это сделать?

 

[Le ecureuil]

37 минут назад, raf сказал:

Cоздаю соединение OVPN:

Все работает: клиенты подключаются.

Но в списке сетей не появляется сегмент OVPN и мониторить подключенные компьютеры нет возможности. Его (сегмент) надо добавлять вручную? Как это сделать?

 

Пока никак, функционал сервера openvpn пока реализован на зачаточном уровне.

Планируется улучшение ситуации.

[vleonv]

В 26.03.2018 в 11:53, vleonv сказал:

Друзья, помогите, пожалуйста, найти причину в настройках OpenVPN подключения. В качестве сервера выступает KN-1010 с 2.12, в качестве клиента S7 (SM-G930F) c OpenVPN для Android 0.6.73 (хотя клиент значения не имеет, тоже самое и с другими клиентами). Подключение происходит, пинг между клиентом и сервером проходит в обе стороны, клиент прекрасно выходит в мир, но не вижу ни одного клиента из домашней сети, подключенных к роутеру кабелем или wifi

Конфиг сревера

  Показать содержимое

port 1194

proto udp

dev tun

<ca>
</ca>
<cert>
</cert>
<key>
</key>
<dh>
</dh>

topology subnet

server 192.168.128.0 255.255.255.0

client-to-client

keepalive 10 120

<tls-auth>
</tls-auth>

key-direction 0

cipher AES-256-CBC

persist-key

persist-tun

verb 3explicit-exit-notify 1

конфиг клиента

  Показать содержимое

client

dev tun

proto udp

remote my host 1194
resolv-retry infinite

nobind

route 0.0.0.0 0.0.0.0

persist-key
persist-tun

<ca>

</ca>
<cert>
</cert>
<key>
</key>

remote-cert-tls server

<tls-auth>
</tls-auth>

key-direction 1

cipher AES-256-CBC

verb 3

 

 

В 27.03.2018 в 11:14, vleonv сказал:

  Показать содержимое

! $$$ Model: Keenetic Giga
! $$$ Version: 2.06.1
! $$$ Agent: http/rci
! $$$ Last change: Sun, 25 Mar 2018 19:13:36 GMT
! $$$ Md5 checksum: fddcaca52aa5aafa8b83f27072946593

system
    set net.ipv4.ip_forward 1
    set net.ipv4.tcp_fin_timeout 30
    set net.ipv4.tcp_keepalive_time 120
    set net.ipv4.neigh.default.gc_thresh1 256
    set net.ipv4.neigh.default.gc_thresh2 1024
    set net.ipv4.neigh.default.gc_thresh3 2048
    set net.ipv6.neigh.default.gc_thresh1 256
    set net.ipv6.neigh.default.gc_thresh2 1024
    set net.ipv6.neigh.default.gc_thresh3 2048
    set net.netfilter.nf_conntrack_tcp_timeout_established 1200
    set net.netfilter.nf_conntrack_max 16384
    set vm.swappiness 60
    set vm.overcommit_memory 0
    set vm.vfs_cache_pressure 1000
    set net.ipv6.conf.all.forwarding 1
    set net.ipv6.conf.all.accept_ra 1
    no led FN_1 indicate
    no led FN_2 indicate
    no button WLAN on click
    no button WLAN on double-click
    no button WLAN on hold
    no button FN1 on click
    no button FN2 on click
    clock timezone Europe/Moscow
    clock date 25 Mar 2018 22:13:35
    domainname WORKGROUP
    hostname Keenetic
!
ntp server 0.pool.ntp.org
ntp server 1.pool.ntp.org
ntp server 2.pool.ntp.org
ntp server 3.pool.ntp.org

access-list _WEBADMIN_PPPoE0
    permit icmp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    permit tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 157
    permit udp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 1194
!
access-list _WEBADMIN_ISP
    permit icmp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    permit tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 157
    permit udp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 1194
!
isolate-private
user admin
    password md5
    password nt
    tag cli
!
user xxx
    password md5
    password nt
    tag http-proxy
    tag cli
    tag http
!
interface GigabitEthernet0
    up
!
interface GigabitEthernet0/0
    rename 1
    switchport mode access
    switchport access vlan 1
    up
!
interface GigabitEthernet0/1
    rename 2
    switchport mode access
    switchport access vlan 1
    up
!
interface GigabitEthernet0/2
    rename 3
    switchport mode access
    switchport access vlan 1
    up
!
interface GigabitEthernet0/3
    rename 4
    switchport mode access
    switchport access vlan 1
    up
!
interface GigabitEthernet0/Vlan1
    description "Home VLAN"
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    up
!
interface GigabitEthernet0/Vlan3
    description "Guest VLAN"
    security-level protected
    ip dhcp client dns-routes
    ip dhcp client name-servers
    up
!
interface GigabitEthernet1
    rename ISP
    description "Broadband connection"
    mac address factory wan
    security-level public
    ip address dhcp
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ip mtu 1500
    ip access-group _WEBADMIN_ISP in
    igmp upstream
    up
!
interface GigabitEthernet1/0
    rename 0
    up
!
interface WifiMaster0
    country-code US
    compatibility N
    channel width 40-below
    beamforming no explicit
    no vht
    up
!
interface WifiMaster0/AccessPoint0
    rename AccessPoint
    description "Wi-Fi access point"
    mac access-list type none
    security-level private
    authentication wpa-psk ns3
    encryption enable
    encryption wpa2
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ssid xxx
    wmm
    up
!
interface WifiMaster0/AccessPoint1
    rename GuestWiFi
    description "Guest access point"
    mac access-list type none
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ssid Guest
    wmm
    down
!
interface WifiMaster0/AccessPoint2
    mac access-list type none
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    down
!
interface WifiMaster0/AccessPoint3
    mac access-list type none
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    down
!
interface WifiMaster0/WifiStation0
    security-level public
    encryption disable
    ip dhcp client dns-routes
    ip dhcp client name-servers
    down
!
interface WifiMaster1
    country-code US
    compatibility AN+AC
    channel 44
    channel width 40-above/80
    no band-steering
    beamforming no explicit
    up
!
interface WifiMaster1/AccessPoint0
    rename AccessPoint_5G
    description "5Ghz Wi-Fi access point"
    mac access-list type none
    security-level private
    authentication wpa-psk ns3
    encryption enable
    encryption wpa2
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ssid xxx_5G
    wmm
    up
!
interface WifiMaster1/AccessPoint1
    mac access-list type none
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    down
!
interface WifiMaster1/AccessPoint2
    mac access-list type none
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    down
!
interface WifiMaster1/AccessPoint3
    mac access-list type none
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    down
!
interface WifiMaster1/WifiStation0
    security-level public
    encryption disable
    ip dhcp client dns-routes
    ip dhcp client name-servers
    down
!
interface Bridge0
    rename Home
    description "Home network"
    inherit GigabitEthernet0/Vlan1
    include AccessPoint
    include AccessPoint_5G
    security-level private
    ip address 192.168.1.1 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    up
!
interface Bridge1
    rename Guest
    description "Guest network"
    traffic-shape rate 5120
    inherit GigabitEthernet0/Vlan3
    include GuestWiFi
    security-level protected
    ip address 10.1.30.1 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    up
!
interface PPPoE0
    description "Broadband connection"
    role inet
    no ipv6cp
    lcp echo 30 3
    ipcp default-route
    ipcp name-servers
    ipcp dns-routes
    no ccp
    security-level public
    authentication identity xxx
    authentication password ns3
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ip mtu 1492
    ip access-group _WEBADMIN_PPPoE0 in
    ip global 350
    ip tcp adjust-mss pmtu
    ipv6 address auto
    ipv6 prefix auto
    ipv6 name-servers auto
    ping-check profile default
    connect via ISP
    up
!
interface OpenVPN0
    description OpenVpn
    role misc
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ip tcp adjust-mss pmtu
    openvpn accept-routes
    up
!
ip dhcp pool _WEBADMIN
    range 192.168.1.33 192.168.1.72
    lease 25200
    bind Home
    enable
!
ip dhcp pool _WEBADMIN_GUEST_AP
    range 10.1.30.33 10.1.30.52
    bind Guest
    enable
!
ip http port 80
ip http security-level private
ip http lockout-policy 5 15 3
ip http ssl enable
ip http ssl redirect
ip nat Home
ip nat Guest
ip nat OpenVPN0
ip telnet
    port 23
    security-level private
    lockout-policy 5 15 3
!
ip ssh
    port 157
    security-level private
    lockout-policy 5 15 3
!
ip hotspot
    default-policy deny
!
ipv6 subnet Default
    bind Home
    number 0
    mode slaac
!
ipv6 firewall
ppe software
ppe hardware
upnp lan Home
service dhcp
service dns-proxy
service igmp-proxy
service http
service telnet
service ssh
service ntp-client
service upnp
components
    auto-update disable
!
!

Пинг проходит со стороны роутера (непосредственно с роутера) к клиенту, и с клиента на сам роутер, а вот компьютеры, NAS и прочие домашние устройства недоступны. Другими слова клиент подключенный к роутеру по OpenVPN полноценно видит мир и сам роутер, но не видит домашнюю сеть

 

Друзья, может кто-нибудь поможет найти мне ошибку? Из-за чего клиенты подключенные к роутеру из домашней сети кроме роутера никого не видят?

[r13]

18 минут назад, vleonv сказал:

 

 

Друзья, может кто-нибудь поможет найти мне ошибку? Из-за чего клиенты подключенные к роутеру из домашней сети кроме роутера никого не видят?

а если добавить в конфиг сервера

push "route 192.168.1.0 255.255.255.0"

 

Изменено 5 апреля, 2018 пользователем r13

[artsel]

Как пробросить интерфейс CDCEthernet через OpenVPN?

 Доступ ко всем устройствам домашней сети уже есть, а пробросить Bridge не получается

[vleonv]

2 часа назад, r13 сказал:

а если добавить в конфиг сервера

push "route 192.168.1.0 255.255.255.0"

 

К сожалению не помогло

[r13]

22 минуты назад, vleonv сказал:

К сожалению не помогло

Тогда описывайте подробно и в деталях кто и кого не видит и как проверяли.

ЗЫ еще смущает route 0.0.0.0 0.0.0.0 в клиентском конфиге. ИМХО лучше управлять роутингом openvpn со стороны сервера.

[vleonv]

Постараюсь доступно описать. Имеем роутер KN-1010, к которому подключено чуть более десятка устройств (компьютеры, файловое хранилище, смартфоны и т.п.). На роутере поднимаем openvpn сервер, конфиг выше приложен. Далее есть несколько удаленных клиентов, которые подключаются по openvpn, при этом не имеет значения виндовый или линуксный клиент это. Для примера я беру смартфон Galaxy S7 (SM-G930F) c OpenVPN для Android 0.6.73, его конфиг выше приложен.Теперь описываю ситуацию:

удаленный клиент S7 подключается по openvpn к роутеру KN-1010 при этом получает ip 192.168.128.2 и весь интернет трафик заворачивается через роутер. Т.е. работает так как надо, но у клиента отсутствует доступ к домашним устройствам подключенным к роутеру (отсутствие доступа обоюдное, т.е. домашние тоже не могут даже пропинговать клиент S7). Но при этом как с клиента S7 я могу получить доступ к web-морде роутера по адресу 192.168.1.1, так и роутер может пропинговать клиента по адресу 192.168.128.2

route 0.0.0.0 0.0.0.0 в клиентском конфиге могу убрать и проверить завтра днем работу без него, но эту строку добавляет само приложение OpenVPN для Android 0.6.73 при активации пункта "направлять весь IPv4 трафик через сервер" и в конфиге виндовых или линуксовых клиентов этого нет

[Le ecureuil]

38 минут назад, vleonv сказал:

Постараюсь доступно описать. Имеем роутер KN-1010, к которому подключено чуть более десятка устройств (компьютеры, файловое хранилище, смартфоны и т.п.). На роутере поднимаем openvpn сервер, конфиг выше приложен. Далее есть несколько удаленных клиентов, которые подключаются по openvpn, при этом не имеет значения виндовый или линуксный клиент это. Для примера я беру смартфон Galaxy S7 (SM-G930F) c OpenVPN для Android 0.6.73, его конфиг выше приложен.Теперь описываю ситуацию:

удаленный клиент S7 подключается по openvpn к роутеру KN-1010 при этом получает ip 192.168.128.2 и весь интернет трафик заворачивается через роутер. Т.е. работает так как надо, но у клиента отсутствует доступ к домашним устройствам подключенным к роутеру (отсутствие доступа обоюдное, т.е. домашние тоже не могут даже пропинговать клиент S7). Но при этом как с клиента S7 я могу получить доступ к web-морде роутера по адресу 192.168.1.1, так и роутер может пропинговать клиента по адресу 192.168.128.2

route 0.0.0.0 0.0.0.0 в клиентском конфиге могу убрать и проверить завтра днем работу без него, но эту строку добавляет само приложение OpenVPN для Android 0.6.73 при активации пункта "направлять весь IPv4 трафик через сервер" и в конфиге виндовых или линуксовых клиентов этого нет

Скидывайте self-test с сервера, постараюсь разобраться что там не так.

[vleonv]

Хорошо, завтра так и сделаю, когда буду удаленно заходить домой

 

P.S. Хотя для чего ждать завтра если можно сейчас подключится к соседской точке. Короче self-test прилагаю

Изменено 5 апреля, 2018 пользователем vleonv

[r13]

9 минут назад, vleonv сказал:

Хорошо, завтра так и сделаю, когда буду удаленно заходить домой

Еще в cli выполните

no isolate-private
system configuration save

 

[vleonv]

Всем откликнувшимся спасибо, особенно r13. Вопрос закрыт для меня, все работает