Вопросы по интеграции OpenVPN в NDMS

[ittiger]

В 06.10.2017 в 00:23, parkan сказал:

Доброго всем. Вопрос небольшой. 
Есть сетка с сервером OpenVPN 192.168.0.x (Pfsense)
Шлюз OpenVPN  10.0.6.1-10.0.6.2, tun
Сетка с клиентом OpenVPN, 192.168.6.x (Keenetic III, 2.11.A.4.0-0)

Как бы всё работает, в обе стороны, пингуется, открывается. Есть одно но: Компы за Кинетиком выходят в сетку с сервером под адресом OpenVPN, т.е. 10.0.6.2. Всё бы ничего, но голос VoIP в сторону Кинетика не проходит. Так было и на версии 2.08 с Entware.

Я уж интерфейс OpenVPN0 сделал private, и "no ip nat OpenVPN0", всё равно...

К этому же серверу подключено куча клиентов, и на dd-wrt, и на Giga II c v2.06(AAFS.7)C2. На них всё нормально, клиенты приходят со своими IP. 
Конфиг клиента: 

  Показать содержимое

remote xxx 1200
port 1200
dev tun
proto udp
nobind
persist-tun
cipher AES-128-CBC
verb 3
comp-lzo
keepalive 15 60
ifconfig 10.0.6.2 10.0.6.1
route 192.168.0.0 255.255.255.0
<secret>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
...
-----END OpenVPN Static key V1-----
</secret>

Это что-то в прошивках после 2.06 поменялось? Возможно ли поправить?

Может кому пригодиться. Была аналогичная проблема: ip.src в соединениях из домашней сети (192.168.12.0/24) подменяется на ip openvpn туннеля (172.16.0.12). 

Решение, как описано в статье https://help.keenetic.com/hc/ru/articles/115000045869:

no ip nat Home
interface PPTP0 security-level private
no isolate-private
ip static Home PPPoE1
system configuration save

Правило ip static появляться в веб-панели в разделе переадресация.

[Вежливый Снайпер]

Роутер режет скорость VPN или конфиг клиента кривой?... или роутер пора менять? ...

Всем привет!

Кинетик 2, драфт 2.14.A.4.0-2

Купил VPS, "настроил" OpenVPN через веб-морду Pritunl (конфиг дефолтный), сгенерированный конфиг скормил роутеру. Роутер подключается, но режет скорость до 1 МБ/с вообще на все, включая и торренты и скачивания по HTTP/S.

Если подключаться к VPN с ноутбука - скорость, как и положено - 100 Мбит/с. Пробовал убирать некоторые опции конфига, на которые роутер выдавал WARNING'и в своих логах, но это не помогло. Возможно, что-то упустил. Не особо понимаю что нужно делать. self-test (с interface OpenVPN1 debug) будет ниже, в скрытом посте. Вот дефолтный конфиг клиента:

Скрытый текст

setenv UV_ID z6dtbz6dtb7f6zstb76zsgvs
setenv UV_NAME y7szgy8z7stgs78tgf87szt
client
dev tun
dev-type tun
remote 2a02:2a02:2a02::2a02:2a02 7007 udp6
remote 185.185.185.185 7007 udp
remote-random
nobind
persist-tun
cipher AES-128-CBC
auth SHA1
verb 2
mute 3
push-peer-info
ping 10
ping-restart 60
hand-window 70
server-poll-timeout 4
reneg-sec 2592000
sndbuf 393216
rcvbuf 393216
max-routes 1000
remote-cert-tls server
comp-lzo no
ignore-unknown-option block-outside-dns
block-outside-dns
key-direction 1
<ca>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</ca>
<tls-auth>
#
# * bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
...
-----END OpenVPN Static key V1-----
</tls-auth>
<cert>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
...
-----END PRIVATE KEY-----
</key>

 

Раньше пользовался именно на самом роутере платным VPN от prostovpn, но там маршруты прописывались только к заблокированным сайтам, по другому не работало, да и не нужно было. Сейчас, если капризному кинетику нужны какие-то изменения на VPN сервере - их можно сделать, хоть и нежелательно.

Не знаю, правильно ли это, но чтобы VPN заработал, пришлось в приоритетах "подвинуть" провайдерское подключение на второе место, VPN на первое. По другому к VPN подключение было, но трафик шел в обход VPN (через провайдера).

И отдельно вопрос по поводу этой строчки в конфиге:

remote 2a02:2a02:2a02::2a02:2a02 7007 udp6

Если на роутере настроен 6to4, трафик ведь через него пойдет? По другому ведь никак по идее. Можно добавить исключение какое-то?

p.s. Айпишники я конечно поменял, не смущайтесь абракадабре.

Буду благодарен за любую помощь.

[Le ecureuil]

В 22.10.2018 в 15:44, Вежливый Снайпер сказал:

Роутер режет скорость VPN или конфиг клиента кривой?... или роутер пора менять? ...

Всем привет!

Кинетик 2, драфт 2.14.A.4.0-2

Купил VPS, "настроил" OpenVPN через веб-морду Pritunl (конфиг дефолтный), сгенерированный конфиг скормил роутеру. Роутер подключается, но режет скорость до 1 МБ/с вообще на все, включая и торренты и скачивания по HTTP/S.

Если подключаться к VPN с ноутбука - скорость, как и положено - 100 Мбит/с. Пробовал убирать некоторые опции конфига, на которые роутер выдавал WARNING'и в своих логах, но это не помогло. Возможно, что-то упустил. Не особо понимаю что нужно делать. self-test (с interface OpenVPN1 debug) будет ниже, в скрытом посте. Вот дефолтный конфиг клиента:

  Показать содержимое

setenv UV_ID z6dtbz6dtb7f6zstb76zsgvs
setenv UV_NAME y7szgy8z7stgs78tgf87szt
client
dev tun
dev-type tun
remote 2a02:2a02:2a02::2a02:2a02 7007 udp6
remote 185.185.185.185 7007 udp
remote-random
nobind
persist-tun
cipher AES-128-CBC
auth SHA1
verb 2
mute 3
push-peer-info
ping 10
ping-restart 60
hand-window 70
server-poll-timeout 4
reneg-sec 2592000
sndbuf 393216
rcvbuf 393216
max-routes 1000
remote-cert-tls server
comp-lzo no
ignore-unknown-option block-outside-dns
block-outside-dns
key-direction 1
<ca>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</ca>
<tls-auth>
#
# * bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
...
-----END OpenVPN Static key V1-----
</tls-auth>
<cert>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
...
-----END PRIVATE KEY-----
</key>

 

Раньше пользовался именно на самом роутере платным VPN от prostovpn, но там маршруты прописывались только к заблокированным сайтам, по другому не работало, да и не нужно было. Сейчас, если капризному кинетику нужны какие-то изменения на VPN сервере - их можно сделать, хоть и нежелательно.

Не знаю, правильно ли это, но чтобы VPN заработал, пришлось в приоритетах "подвинуть" провайдерское подключение на второе место, VPN на первое. По другому к VPN подключение было, но трафик шел в обход VPN (через провайдера).

И отдельно вопрос по поводу этой строчки в конфиге:

remote 2a02:2a02:2a02::2a02:2a02 7007 udp6

Если на роутере настроен 6to4, трафик ведь через него пойдет? По другому ведь никак по идее. Можно добавить исключение какое-то?

p.s. Айпишники я конечно поменял, не смущайтесь абракадабре.

Буду благодарен за любую помощь.

Вообще удалите настройку с ipv6 - такое может заработать, но мы это не гарантируем. Оставьте только udp4.

А вообще давайте поточнее в показаниях - 1 МБ/с это у вас 1 Мбит/с или 1 Мбайт/с?

[Вежливый Снайпер]

22 часа назад, Le ecureuil сказал:

Вообще удалите настройку с ipv6 - такое может заработать, но мы это не гарантируем. Оставьте только udp4.

А вообще давайте поточнее в показаниях - 1 МБ/с это у вас 1 Мбит/с или 1 Мбайт/с? 

Удалил. Дополнительно попробовал подключиться по TCP - скорость так и осталась не выше 1 Мбайт/с.. чаще скорость бегает даже в районе 600-900 КБ/с.

Можно было бы на "древний" роутер грешить, но нагрузка на проц с памятью не превышает даже 50%, и это при активном VPN с торрентами и Entware.

Могу выложить для тестов в скрытом посте ссылку на профиль для подключения к моему VPN. Вдруг проблема не на моей стороне, а в реализации OpenVPN.

[r13]

32 минуты назад, Вежливый Снайпер сказал:

Удалил. Дополнительно попробовал подключиться по TCP - скорость так и осталась не выше 1 Мбайт/с.. чаще скорость бегает даже в районе 600-900 КБ/с.

Можно было бы на "древний" роутер грешить, но нагрузка на проц с памятью не превышает даже 50%, и это при активном VPN с торрентами и Entware.

Могу выложить для тестов в скрытом посте ссылку на профиль для подключения к моему VPN. Вдруг проблема не на моей стороне, а в реализации OpenVPN.

1Мегабайт вполне нормальная скорость для кинетика

На топовых около 2х ?

ЗЫ 50% это считайте в полку(проц 2х поточный)

Изменено 24 октября, 2018 пользователем r13

[Le ecureuil]

1 час назад, Вежливый Снайпер сказал:

Удалил. Дополнительно попробовал подключиться по TCP - скорость так и осталась не выше 1 Мбайт/с.. чаще скорость бегает даже в районе 600-900 КБ/с.

Можно было бы на "древний" роутер грешить, но нагрузка на проц с памятью не превышает даже 50%, и это при активном VPN с торрентами и Entware.

Могу выложить для тестов в скрытом посте ссылку на профиль для подключения к моему VPN. Вдруг проблема не на моей стороне, а в реализации OpenVPN.

Да, 1 Мбайт/с - это вполне нормальная скорость.

[Alezzzander]

Здравствуйте!

Вопрос простой,есть keenetiс Giga III и новый ,прошивка последняя рекомендованная, есть конфиг с двумя remote  серверами. Первый сервер отключаю, впн не переподключается на второй сервер.Какие настройки необходимо добавить в конфиг ниже?

client
tls-client
dev tun
proto udp
remote 1.2.3.4 1196
remote 2.2.3.3 1196
remote-cert-tls server
cipher AES-256-CBC
auth SHA256
resolv-retry infinite
nobind
persist-key
persist-tun
compress lz4-v2
verb 3
auth-nocache
reneg-sec 0
connect-timeout 10

 

Спасибо!

[Сергей Молоков]

9 часов назад, Alezzzander сказал:

Первый сервер отключаю, впн не переподключается на второй сервер.

выше обсуждали это, нет такой возможности.

[Alezzzander]

3 часа назад, Сергей Молоков сказал:

выше обсуждали это, нет такой возможности.

По сути это баг,т.к.на Win,Linux устройствах мультисерверный конфиг работает.Просьба разработчиков пофиксить.

[Le ecureuil]

7 часов назад, Alezzzander сказал:

По сути это баг,т.к.на Win,Linux устройствах мультисерверный конфиг работает.Просьба разработчиков пофиксить.

Да, знаем, но в низком приоритете.

[Legoos]

В 20.09.2018 в 16:41, Le ecureuil сказал:

Новый OpenSSL 1.1.1 уже в 2.14, а вот когда chacha20-poly1305 добавят в openvpn - ждемс...

Уже добавили. Энтузиасты ставят эксперименты: https://4pda.ru/forum/index.php?s=&amp;showtopic=714487&amp;view=findpost&amp;p=79682591 и https://4pda.ru/forum/index.php?s=&amp;showtopic=714487&amp;view=findpost&amp;p=79817926

[Le ecureuil]

2 часа назад, Legoos сказал:

Уже добавили. Энтузиасты ставят эксперименты: https://4pda.ru/forum/index.php?s=&amp;showtopic=714487&amp;view=findpost&amp;p=79682591 и https://4pda.ru/forum/index.php?s=&amp;showtopic=714487&amp;view=findpost&amp;p=79817926

Как только выйдет релиз с этим - сразу появится в draft.

[AndreBA]

19 часов назад, Дмитрий Воронцов сказал:

Почему не хочет работать конфиг от antizapret?

Вроде бы всё правильно,но соединение не устанавливается)))

##############################################
# ProstoVPN.AntiZapret                       #
# http://antizapret.prostovpn.org #
##############################################

nobind
client

# Remote server here
remote vpn.antizapret.prostovpn.org

# Uncomment this is you are not on Windows
;fast-io

# Windows route method
;route-method exe

remote-cert-tls server

dev tun
proto udp

resolv-retry infinite
persist-key
persist-tun

explicit-exit-notify

comp-lzo
max-routes 30000

# Keys
<ca>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</ca>

<cert>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN PRIVATE KEY-----
...
-----END PRIVATE KEY-----
</key>

 

Здесь почитайте(обсуждение), может поможет:

Цитата

 

 

[Вежливый Снайпер]

23 часа назад, Дмитрий Воронцов сказал:

Почему не хочет работать конфиг от antizapret?

Вроде бы всё правильно,но соединение не устанавливается)))

 

Ну не хотят в кинетиках нормальную реализацию OpenVPN делать, да и смысл при скорости 30 Мбит/с максимум на топ моделях...

[Дмитрий Воронцов]

дайте пожалуйста рабочий конфиг для антизапрета уже с ключами......пробовал по инструкции соединение устанавливается но сайты не открывает....может я с конфигом,что напортачил))))

Изменено 9 декабря, 2018 пользователем Дмитрий Воронцов

[matterai]

Господа, добрый вечер!

Настраиваю OpenVPN клиент на своём Keenetic Extra. Что-то голову сломал - не могу понять в чём дело. Стоит свой Ubuntu 16.04 со сконфигурированный OpenVPN сервером, телефон и ноут цепляются без вопросов через OpenVPN приложения, а вот роутер ведёт себя странно. Подскажите пожалуйста, в чем может быть проблема. Забавно то, что соединение как будто происходит, в UI написано, что соединение установлено, написан по идее внутренний адрес роутера, но на деле ping этого адреса с машины-сервера 100% packet loss:

Вот конфигурация клиента:

client
dev tun
proto tcp
remote 168.63.78.151 443
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
comp-lzo
verb 3
cipher AES-128-CBC
auth SHA256

key-direction 1

<tls-auth>
</tls-auth>
<ca>
</ca>
<cert>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----
</key>

Вот лог с роутера:

Dec 22 23:07:56 OpenVPN0
OpenVPN 2.4.6 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD]
Dec 22 23:07:56 OpenVPN0
library versions: OpenSSL 1.1.1a 20 Nov 2018, LZO 2.10
Dec 22 23:07:56 OpenVPN0
Outgoing Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
Dec 22 23:07:56 OpenVPN0
Incoming Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
Dec 22 23:07:56 OpenVPN0
Socket Buffers: R=[87380->87380] S=[16384->16384]
Dec 22 23:07:56 OpenVPN0
Attempting to establish TCP connection with [AF_INET]168.63.78.151:443 [nonblock]
Dec 22 23:07:57 OpenVPN0
TCP connection established with [AF_INET]168.63.78.151:443
Dec 22 23:07:57 OpenVPN0
TCP_CLIENT link local: (not bound)
Dec 22 23:07:57 OpenVPN0
TCP_CLIENT link remote: [AF_INET]168.63.78.151:443
Dec 22 23:07:57 OpenVPN0
NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
Dec 22 23:07:57 OpenVPN0
TLS: Initial packet from [AF_INET]168.63.78.151:443, sid=75da2256 3936274e
Dec 22 23:07:58 OpenVPN0
VERIFY SCRIPT OK: depth=1, C=UK, ST=UK, L=London, O=m, OU=m, CN=m CA, name=server, emailAddress=m@m.com
Dec 22 23:07:58 OpenVPN0
VERIFY OK: depth=1, C=UK, ST=UK, L=London, O=m, OU=m, CN=m CA, name=server, emailAddress=m@m.com
Dec 22 23:07:58 OpenVPN0
VERIFY KU OK
Dec 22 23:07:58 OpenVPN0
Validating certificate extended key usage
Dec 22 23:07:58 OpenVPN0
++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Dec 22 23:07:58 OpenVPN0
VERIFY EKU OK
Dec 22 23:07:58 OpenVPN0
VERIFY SCRIPT OK: depth=0, C=UK, ST=UK, L=London, O=m, OU=m, CN=m, name=server, emailAddress=m@m.com
Dec 22 23:07:58 OpenVPN0
VERIFY OK: depth=0, C=UK, ST=UK, L=London, O=m, OU=m, CN=m, name=server, emailAddress=m@m.com
Dec 22 23:07:59 OpenVPN0
Control Channel: TLSv1.2, cipher TLSv1.2 DHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Dec 22 23:07:59 OpenVPN0
[matteraiserver] Peer Connection Initiated with [AF_INET]168.63.78.151:443
Dec 22 23:07:59 ndm
Network::Interface::OpenVpn: "OpenVPN0": connecting via ISP (FastEthernet0/Vlan2).
Dec 22 23:07:59 ndm
Network::Interface::OpenVpn: "OpenVPN0": added host route to remote endpoint 168.63.78.151 via 188.243.88.1.
Dec 22 23:08:00 OpenVPN0
SENT CONTROL [matteraiserver]: 'PUSH_REQUEST' (status=1)
Dec 22 23:08:00 OpenVPN0
PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 208.67.222.222,dhcp-option DNS 208.67.220.220,route 10.8.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.14 10.8.0.13'
Dec 22 23:08:00 OpenVPN0
OPTIONS IMPORT: timers and/or timeouts modified
Dec 22 23:08:00 OpenVPN0
OPTIONS IMPORT: --ifconfig/up options modified
Dec 22 23:08:00 OpenVPN0
OPTIONS IMPORT: route options modified
Dec 22 23:08:00 OpenVPN0
OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Dec 22 23:08:00 OpenVPN0
Outgoing Data Channel: Cipher 'AES-128-CBC' initialized with 128 bit key
Dec 22 23:08:00 OpenVPN0
Outgoing Data Channel: Using 256 bit message hash 'SHA256' for HMAC authentication
Dec 22 23:08:00 OpenVPN0
Incoming Data Channel: Cipher 'AES-128-CBC' initialized with 128 bit key
Dec 22 23:08:00 OpenVPN0
Incoming Data Channel: Using 256 bit message hash 'SHA256' for HMAC authentication
Dec 22 23:08:00 OpenVPN0
TUN/TAP device tun0 opened
Dec 22 23:08:00 OpenVPN0
TUN/TAP TX queue length set to 100
Dec 22 23:08:00 OpenVPN0
do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Dec 22 23:08:00 ndm
Network::Interface::IP: "OpenVPN0": IP address is 10.8.0.14/32.
Dec 22 23:08:00 ndm
Network::Interface::OpenVpn: "OpenVPN0": TUN peer address is 10.8.0.13.
Dec 22 23:08:00 ndm
Network::Interface::OpenVpn: "OpenVPN0": added host route to peer 10.8.0.13 via 10.8.0.14.
Dec 22 23:08:00 ndm
Network::Interface::OpenVpn: "OpenVPN0": install accepted default route via 10.8.0.14.
Dec 22 23:08:00 ndm
Network::Interface::OpenVpn: "OpenVPN0": install accepted route to 10.8.0.1/255.255.255.255 via 10.8.0.14.
Dec 22 23:08:01 ndm
Network::Interface::OpenVpn: "OpenVPN0": adding nameserver 208.67.222.222.
Dec 22 23:08:01 ndm
Dns::Manager: name server 208.67.222.222 added, domain (default).
Dec 22 23:08:01 ndm
Network::RoutingTable: gateway 10.8.0.13 is unreachable via OpenVPN0.
Dec 22 23:08:01 ndm
Network::Interface::OpenVpn: "OpenVPN0": failed to add a nameserver route.
Dec 22 23:08:01 ndm
Network::Interface::OpenVpn: "OpenVPN0": adding nameserver 208.67.220.220.
Dec 22 23:08:01 ndm
Dns::Manager: name server 208.67.220.220 added, domain (default).
Dec 22 23:08:01 ndm
Network::RoutingTable: gateway 10.8.0.13 is unreachable via OpenVPN0.
Dec 22 23:08:01 ndm
Network::Interface::OpenVpn: "OpenVPN0": failed to add a nameserver route.
Dec 22 23:08:01 OpenVPN0
GID set to nobody
Dec 22 23:08:01 OpenVPN0
UID set to nobody
Dec 22 23:08:01 OpenVPN0
Initialization Sequence Completed

А, и еще. Забавно то, что сервис Whatismyip выдаёт правильный IP, как будто бы я подключен! Но при этом в linkedin не зайти, например. А на телефоне и ноутбуке порядок.

Буду вам очень благодарен за терпение, даже если вопрос был. Я прочитал бОльшую часть темы, и честно говоря не нашел ответа, хотя попробовал разные предлагаемые решения.

[zyxmon]

@matterai обратите внимание на строки лога, где 

options modified

некоторые опции конфига и те, которые идут через push/pull могут игнорироваться. Нужно настраивать такое иначе. Вот мои рабочие конфиги сервера и клиента

port 2195
proto udp
dev tun
sndbuf 0
rcvbuf 0
ca ca.crt
cert server.crt
key server.key
dh dh.pem
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 4.2.2.2"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
crl-verify crl.pem

и

client
dev tun
proto udp
sndbuf 0
rcvbuf 0
remote xx.xx.xx.xx 2195
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
comp-lzo
verb 3
<ca>
-----BEGIN CERTIFICATE-----
....

 

[matterai]

Клиентские настройки у нас более менее одинаковые, за исключением наличия в ваших следующих строк, касающихся буфера:

sndbuf 0
rcvbuf 0

Из options modified у меня 4 потенциально изменяемых параметра, насколько я могу судить:

Dec 22 23:08:00 OpenVPN0
OPTIONS IMPORT: timers and/or timeouts modified
Dec 22 23:08:00 OpenVPN0
OPTIONS IMPORT: --ifconfig/up options modified
Dec 22 23:08:00 OpenVPN0
OPTIONS IMPORT: route options modified
Dec 22 23:08:00 OpenVPN0
OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified

Черт с ним с timers/timeouts. Но что значит --ifconfig/up options modified? И почему вдруг (и где) изменился route? Про 4-ый параметр вообще молчу, не очень понимаю вообще о чём в нём речь. Возможно, меня не очень вразумил ваш ответ, прошу прощения, не могли бы вы чуть конкретнее разъяснить в чем проблемы изменяющихся опций, или подсказать какой-то мануал/гайд, где бы это как-то было освещено?

Спасибо.

UPD

Надо было на строчку выше взглянуть: из push_reply от сервера импортируются опции и изменяются на клиенте, поэтому и modified. Выглядит весьма логично. В чём подвох?.. Почему я далее по логам получаю:

gateway 10.8.0.13 is unreachable via OpenVPN0.

Изменено 22 декабря, 2018 пользователем matterai
Дополнение к посту.

[zyxmon]

51 минуту назад, matterai сказал:

'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 208.67.222.222,dhcp-option DNS 208.67.220.220,route 10.8.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.14 10.8.0.13'

Сюда смотрите - Вы пушите опцию, и она, похоже не срабатывает. Это в настройках сервера. Все это мои предположения.

У меня заработало фактически из коробки. Одну строку конфига клиента пришлось выбросить.

[zyxmon]

А может быть ошибка и не попала в лог, ниже смотрите....

[matterai]

Я проверял - это все логи, что доступны после отключения и включения VPN.

Пока не вижу проблемы, к сожалению. PUSH_REPLY пришёл, опции изменились, порядок. Меня больше вот эти строки смущают, потому что я пока не очень понимаю что происходит на этом этапе:

Dec 22 23:08:00 ndm
Network::Interface::IP: "OpenVPN0": IP address is 10.8.0.14/32.
Dec 22 23:08:00 ndm
Network::Interface::OpenVpn: "OpenVPN0": TUN peer address is 10.8.0.13.
Dec 22 23:08:00 ndm
Network::Interface::OpenVpn: "OpenVPN0": added host route to peer 10.8.0.13 via 10.8.0.14.

Правильно ли я понимаю, что мне назначен IP: 10.8.0.14? И если да, то что происходит дальше? К слову, если пинговать с сервера, то ни 10.8.0.13, ни 10.8.0.14 недоступны.

Гадость какая-то =( 

[zyxmon]

3 минуты назад, matterai сказал:

Гадость какая-то =( 

Я предпочитаю topology=subnet. Все прозрачно тогда и понятно.

Попробуйте перезагрузить роутер, ну и другие пляски с бубном. В начале темы описано, что пересохранение конфига клиента (без изменений) решило подобную проблему.

[matterai]

Хорошо, спасибо больше за уделенное время и то, что подкинули идеи, куда глядеть. Пойду колдовать над этим чудом дальше. Отпишусь попозже, если что-нибудь придумаю.

[matterai]

В продолжении своего вопроса.

Достал со стороны сервера openvpn.log, и вот что нашел:

Sat Dec 22 22:05:31 2018 us=992261 home-network/xxx.xxx.xx.xx:50164 SENT CONTROL [home-network]: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 208.67.222.222,dhcp-option DNS 208.67.220.220,route 10.8.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.14 10.8.0.13' (status=1)
Sat Dec 22 22:05:32 2018 us=837164 home-network/xxx.xxx.xx.xx:50164 MULTI: bad source address from client [xxx.xxx.xx.xx], packet dropped

где xxx.xxx.xx.xx - это IP моего компьютера, очевидно. Согласно этой и этой ссылкам, сделал необходимые изменения в конфигурационном файле на сервере:

client-config-dir ccd
route 192.168.1.0 255.255.255.0

Перезапустил OpenVPN сервер, перезапустил роутер - ничего не изменилось. Разве что строчка 50164 MULTI: bad source address from client [xxx.xxx.xx.xx], packet dropped ушла из логов.

Может ли быть такое, что OpenVPN по указанному IP xxx.xxx.xx.xx найти не может мою машину? Может ему белый IP нужен? Тогда почему телефон и бук напрямую через VPN приложения могут подключиться без проблем?

Изменено 22 декабря, 2018 пользователем matterai

[Сергей Молоков]

Доброго времени!

Я особо не вчитывался и не вникал в логи, просто промелькнула шальная мысль, попробуйте в межсетевом экране, на интерфейсе OVPN разрешить ICMP.

 

[zyxmon]

@matterai 1. Включите verb=5 (через DebugLog - есть в теме) и посмотрите подробный лог со стороны клиента.

или 

2. попробуйте завести openvpn через Entware с тем же конфигом клиента. Почти наверняка заработает. У меня на одном из кинетиков крутится openvpn из Entware. Правда в качестве сервера. Тема по настройке клиента у меня на форуме.

[alxbz]

А есть ли возможность сделать так, чтобы dns-proxy использовал dhcp dns только до подключения, а после подключения openvpn клиента и получения push dhcp-option dns (ну, или при указании в клиентском openvpn конфиге dhcp-option DNS) кинетик использовал только DNS, полученный от сервера (или явно указанный в конфиге)?
Сейчас удалось добиться более-менее удобного поведения только полностью отключив dhcp-dns на основном интерфейсе. Если этого не сделать, даже не смотря на то, что vpn dns висит выше в списке show ip name-server, dns реквесты всё равно утекают в сервер, полученный по dhcp, видимо потому что он отвечает быстрее.
Однако это приводит к тому, что до подключения vpn dns не работает, и я не могу, например, указать в конфиге openvpn адрес сервера по доменному имени.
Спасибо.

Изменено 9 марта, 2019 пользователем alxbz
Уточнил случай при указании dhcp-option в клиентском конфиге

[Le ecureuil]

В 09.03.2019 в 21:11, alxbz сказал:

А есть ли возможность сделать так, чтобы dns-proxy использовал dhcp dns только до подключения, а после подключения openvpn клиента и получения push dhcp-option dns (ну, или при указании в клиентском openvpn конфиге dhcp-option DNS) кинетик использовал только DNS, полученный от сервера (или явно указанный в конфиге)?
Сейчас удалось добиться более-менее удобного поведения только полностью отключив dhcp-dns на основном интерфейсе. Если этого не сделать, даже не смотря на то, что vpn dns висит выше в списке show ip name-server, dns реквесты всё равно утекают в сервер, полученный по dhcp, видимо потому что он отвечает быстрее.
Однако это приводит к тому, что до подключения vpn dns не работает, и я не могу, например, указать в конфиге openvpn адрес сервера по доменному имени.
Спасибо.

Окольным путем это возможно:

- создаете профиль доступа, где есть только openvpn как wan, а остальных нет
- туда добавляете нужные устройства

В профилях доступа используются только dns, полученные от интерфейсов в этом профиле.

[T3ch Cat]

Добрый день

После обновления с 2.15.C.3.0-(0?) до 2.15.C.3.0-2 - перестал работать openvpn

[I] Apr 14 11:15:23 OpenVPN1: OpenVPN 2.4.6 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD]
[I] Apr 14 11:15:23 OpenVPN1: library versions: OpenSSL 1.1.1b  26 Feb 2019, LZO 2.10
[I] Apr 14 11:15:23 OpenVPN1: Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
[I] Apr 14 11:15:23 OpenVPN1: Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
[I] Apr 14 11:15:23 OpenVPN1: Socket Buffers: R=[155648->155648] S=[155648->155648]
[I] Apr 14 11:15:23 OpenVPN1: UDP link local: (not bound)
[I] Apr 14 11:15:23 OpenVPN1: UDP link remote: [AF_INET]X.X.X.X:4911
[I] Apr 14 11:15:23 OpenVPN1: NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
[E] Apr 14 11:15:23 OpenVPN1: write UDP: Network is unreachable (code=128)
[I] Apr 14 11:15:23 OpenVPN1: Network unreachable, restarting
[I] Apr 14 11:15:23 OpenVPN1: SIGTERM[soft,network-unreachable] received, process exiting
[E] Apr 14 11:15:23 ndm: Service: "OpenVPN1": unexpectedly stopped.

При этом другие устройства (и лэптоп, и телефоны) успешно коннектятся как и раньше.

[yuoras]

Ребята, такая ситуация.

Есть проводное интернет соединиение , резерв настрен на usb 4G.

Все прекрасно работает, пропадает основной проводной интернет, мгновенно переключается на 4G.

Суть вопроса, когда основной канал интернет работает, могу поднять openvpn соединение, а вот на резервном 4G нивкакую неподнимается.

 

Думал, может с 4G какая проблема, на компьютере без проблем, через 4G поднимается openvpn.

Что порекомендуете?