Вопросы по интеграции OpenVPN в NDMS

[utya]

OpenVPN сервер на кинетике нормально уживается с eoip. А то сервер openvpn полнял, а клиент не может подключится. В логах  клиента

 

Sat Oct 07 14:36:17 2017 UDP link local: (not bound)
Sat Oct 07 14:36:17 2017 UDP link remote: [AF_INET]чч.чч.чч.Чч:1194
Sat Oct 07 14:36:17 2017 MANAGEMENT: >STATE:1507376177,WAIT,,,,,,

А вот в логах кинетика вообще пуста, только при запуске есть строка котораря смущает
 

Could not determine IPv4/IPv6 protocol. Using AF_INET6

 

[Le ecureuil]

В 10/7/2017 в 00:17, parkan сказал:

(config)> interface OpenVPN0 no ip nat loopback
Network::StaticNat: NAT loopback is explicitly disabled on "OpenVPN0".

Сделал, сохранил, перезагрузил,  не помогло. Все устройства так же выходят под 10.0.6.2.

Может поможет: маршруты с работающей Giga II на 2.06: 
 

~ # route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.110.1      *               255.255.255.255 UH    0      0        0 tun0
192.168.0.0     10.0.110.1      255.255.255.0   UG    0      0        0 tun0
192.168.110.0   *               255.255.255.0   U     0      0        0 br0
10.200.44.0     *               255.255.252.0   U     0      0        0 eth2.2
default         10.200.44.1     0.0.0.0         UG    0      0        0 eth2.2
...

И с "продлемного" Кин. III на 2.11: (почему-то 10.0.6.1 идет через 10.0.6.2)
 

~ # route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         10.20.0.1       0.0.0.0         UG    0      0        0 eth2.2
10.0.6.1        10.0.6.2        255.255.255.255 UGH   0      0        0 ovpn_br0
10.20.0.0       *               255.252.0.0     U     0      0        0 eth2.2
192.168.0.0     10.0.6.1        255.255.255.0   UG    0      0        0 ovpn_br0
192.168.6.0     *               255.255.255.0   U     0      0        0 br0
~ #

 

 

А security-level у OpenVPN0 какой?

[Le ecureuil]

В 10/7/2017 в 14:38, utya сказал:

OpenVPN сервер на кинетике нормально уживается с eoip. А то сервер openvpn полнял, а клиент не может подключится. В логах  клиента

 

Sat Oct 07 14:36:17 2017 UDP link local: (not bound)
Sat Oct 07 14:36:17 2017 UDP link remote: [AF_INET]чч.чч.чч.Чч:1194
Sat Oct 07 14:36:17 2017 MANAGEMENT: >STATE:1507376177,WAIT,,,,,,

А вот в логах кинетика вообще пуста, только при запуске есть строка котораря смущает
 

Could not determine IPv4/IPv6 protocol. Using AF_INET6

 

Ничего не понял. Давайте подробнее, в том числе расставьте пунктуационные знаки.

[utya]

2 часа назад, Le ecureuil сказал:

Ничего не понял. Давайте подробнее, в том числе расставьте пунктуационные знаки.

Извините виноват, мысли быстрее рук плюс и грамотность хромает.

1. Хотел уточнить если работает eoip, он никак не мешает openvpn? Вдруг может есть какие-то подводные камни.
2. Второе, настроил ключи для openvpn, взял здесь в ветке конфиг для сервера и залил себе в giga3. Openvpn в логах пишет что поднялся, ну по крайней мере красного нет. Но есть такие надписи:

 

Could not determine IPv4/IPv6 protocol. Using AF_INET6

она и смущает. Далее пытаюсь подключится клиентом на windows, клиент пишет такое

 

Sat Oct 07 14:36:17 2017 UDP link local: (not bound)
Sat Oct 07 14:36:17 2017 UDP link remote: [AF_INET]чч.чч.чч.Чч:1194
Sat Oct 07 14:36:17 2017 MANAGEMENT: >STATE:1507376177,WAIT,,,,,,

и зависает. На стороне кинетика всё молчит. Такое ощущение что просто порт не открыт. Может нужно ручками на кинетики открыть порт 1194? или дело в другом. Снизу self-test прикладываю

Изменено 8 октября, 2017 пользователем utya

[Le ecureuil]

1 час назад, utya сказал:

Извините виноват, мысли быстрее рук плюс и грамотность хромает.

1. Хотел уточнить если работает eoip, он никак не мешает openvpn? Вдруг может есть какие-то подводные камни.
2. Второе, настроил ключи для openvpn, взял здесь в ветке конфиг для сервера и залил себе в giga3. Openvpn в логах пишет что поднялся, ну по крайней мере красного нет. Но есть такие надписи:

 

Could not determine IPv4/IPv6 protocol. Using AF_INET6

она и смущает. Далее пытаюсь подключится клиентом на windows, клиент пишет такое

 

Sat Oct 07 14:36:17 2017 UDP link local: (not bound)
Sat Oct 07 14:36:17 2017 UDP link remote: [AF_INET]чч.чч.чч.Чч:1194
Sat Oct 07 14:36:17 2017 MANAGEMENT: >STATE:1507376177,WAIT,,,,,,

и зависает. На стороне кинетика всё молчит. Такое ощущение что просто порт не открыт. Может нужно ручками на кинетики открыть порт 1194? или дело в другом. Снизу self-test прикладываю

Конечно порт на public-интерфейсе нужно открыть. Его за вас никто не откроет.

И не забудьте установить правильный протокол - proto udp или как у вас там.

[utya]

6 минут назад, Le ecureuil сказал:

Конечно порт на public-интерфейсе нужно открыть. Его за вас никто не откроет.

уже открыл, проверяю. я просто пробовал команду interface OpenVPN0 security-level private. Ок, спс уже хотя бы начал ругаться на что-то
TLS Error: cannot locate HMAC in incoming packet from [AF_INET6]::ffff:89.109.214.36:47607

Изменено 8 октября, 2017 пользователем utya

[parkan]

6 часов назад, Le ecureuil сказал:

А security-level у OpenVPN0 какой?

private. Сидит в домашней сети: 
 

[parkan]

заметил еще одну странность. 
При наличии в конфиге  строки route 192.168.0.0 255.255.255.0

маршрут до192.168.0.0 не появляется:
(config)> show ip route
0.0.0.0/0            10.20.0.1         ISP                               0
10.0.6.1/32          10.0.6.2          OpenVPN0                          0
10.20.0.0/14         0.0.0.0           ISP                               0
192.168.6.0/24       0.0.0.0           Home                              0

Если поставить галочку "Получать маршруты от удаленной стороны:", то появляется: 
0.0.0.0/0            10.20.0.1         ISP                               0
10.0.6.1/32          10.0.6.2          OpenVPN0                          0
10.20.0.0/14         0.0.0.0           ISP                               0
192.168.0.0/24       10.0.6.1          OpenVPN0                          0
192.168.6.0/24       0.0.0.0           Home                              0

Она почему не срабатывает?
 

[r13]

@parkan как показала практика роуты всех мастей передаются из openvpn в кинетик только после установки этой галки, так что ее надо скорее интерпретировать как получать маршруты из openvpn.

Изменено 12 октября, 2017 пользователем r13

[Le ecureuil]

1 час назад, r13 сказал:

@parkan как показала практика роуты всех мастей передаются из openvpn в кинетик только после установки этой галки, так что ее надо скорее интерпретировать как получать маршруты из openvpn.

Да, именно так это и работает.

[parkan]

Понятно, спасибо. А что делать с выходом в туннель под IP шлюза?  
А то например я с клиента 192.168.6.х стучусь к клиенту 192.168.5.х, и светится IP 10.0.6.2, соотв. ответ в никуда идет...

[r13]

46 минут назад, parkan сказал:

Понятно, спасибо. А что делать с выходом в туннель под IP шлюза?  
А то например я с клиента 192.168.6.х стучусь к клиенту 192.168.5.х, и светится IP 10.0.6.2, соотв. ответ в никуда идет...

С этим сложнее, если надо не под ip шлюза но надо nat отключать, но это коснется всего исходящего. Далее если таки нужен будет nat, например для выхода в интернет, то через ip static настраивать nat между конкретной парой интерфейсов.

[parkan]

6 часов назад, r13 сказал:

С этим сложнее, если надо не под ip шлюза но надо nat отключать, но это коснется всего исходящего. Далее если таки нужен будет nat, например для выхода в интернет, то через ip static настраивать nat между конкретной парой интерфейсов.

А на Giga II, 2.06 всё сделано принципиально по-другому? Там без бубнов всё работает как надо...

[r13]

9 часов назад, parkan сказал:

А на Giga II, 2.06 всё сделано принципиально по-другому? Там без бубнов всё работает как надо...

Вопрос был почему натит. А так смотрите маршрутизацию, что там куда ходит. С Nat в том числе тоже должно работать.

[Energy-TV]

Всем привет.

Прочитал почти всю ветку, но все равно никак не могу разобраться с проблемой

Итак, есть Кинетик с обновленной прошивкой до 2.11.A.4.0-1, из компонентов загружен OpenVPN клиент. И есть .ovpn конфигурационный файл, который отлично работает, будучи использован на клиентской машине.

Задача - скормить его Кинетику, чтобы он выходил в интернет через OpenVPN-интерфейс.

OpenVPN интерфейс создан. При попытке загрузить содержимое .ovpn файла интерфейс поднимается, но выхода в интернет не имеет, IP не получает, в журнале - ругань:

Oct 14 13:15:03OpenVPN0

Unrecognized option or missing or extra parameter(s) in configuration: (line 17): register-dns (2.4.4)

Oct 14 13:15:03OpenVPN0

Exiting due to fatal error

Oct 14 13:15:03ndm

Service: "OpenVPN0": unexpectedly stopped.

Oct 14 13:15:03ndm

Network::Interface::OpenVpn: "OpenVPN0": configuration is invalid.

 

Помогите, пожалуйста, разобраться. Я не большой специалист в этом, поэтому был бы признателен, если помощь была бы понятной простому пользователю.

Всю необходимую информацию предоставлю.

[Le ecureuil]

1 час назад, Energy-TV сказал:

Всем привет.

Прочитал почти всю ветку, но все равно никак не могу разобраться с проблемой

Итак, есть Кинетик с обновленной прошивкой до 2.11.A.4.0-1, из компонентов загружен OpenVPN клиент. И есть .ovpn конфигурационный файл, который отлично работает, будучи использован на клиентской машине.

Задача - скормить его Кинетику, чтобы он выходил в интернет через OpenVPN-интерфейс.

OpenVPN интерфейс создан. При попытке загрузить содержимое .ovpn файла интерфейс поднимается, но выхода в интернет не имеет, IP не получает, в журнале - ругань:

Oct 14 13:15:03OpenVPN0

Unrecognized option or missing or extra parameter(s) in configuration: (line 17): register-dns (2.4.4)

Oct 14 13:15:03OpenVPN0

Exiting due to fatal error

Oct 14 13:15:03ndm

Service: "OpenVPN0": unexpectedly stopped.

Oct 14 13:15:03ndm

Network::Interface::OpenVpn: "OpenVPN0": configuration is invalid.

 

Помогите, пожалуйста, разобраться. Я не большой специалист в этом, поэтому был бы признателен, если помощь была бы понятной простому пользователю.

Всю необходимую информацию предоставлю.

Удалите из конфига 17 строку с содержимым "register-dns" (неужели это непонятно из отладочного сообщения?), и попробуйте заново.

А вообще это какая-то невалидная опция, ее нет даже в мануале. Кто вам такой конфигурационный файл дал?

[utya]

В web в будущем можно будет посмотреть подключеннных клиентов?

[Energy-TV]

1 час назад, Le ecureuil сказал:

Удалите из конфига 17 строку с содержимым "register-dns" (неужели это непонятно из отладочного сообщения?), и попробуйте заново.

А вообще это какая-то невалидная опция, ее нет даже в мануале. Кто вам такой конфигурационный файл дал?

Начальство дало. Нам подписку продлевают постоянно, мы и пользуемся.

[Le ecureuil]

1 час назад, utya сказал:

В web в будущем можно будет посмотреть подключеннных клиентов?

Это вообще о чем вопрос? Разверните мысль подробнее.

[utya]

19 минут назад, Le ecureuil сказал:

Это вообще о чем вопрос? Разверните мысль подробнее.

ну в vpn ipsec или virtual ip можно же посмотреть подключенных клиентов, такое же будет для openvpn?

[Le ecureuil]

1 час назад, utya сказал:

ну в vpn ipsec или virtual ip можно же посмотреть подключенных клиентов, такое же будет для openvpn?

И тут тоже можно - если соединение зеленое, то оно подключено.

Если вы про серверную хаб-конфигурацию, то наврядли - очень редкий сценарий, который мы официально не поддерживаем и даже не тестировали.

[utya]

Только что, Le ecureuil сказал:

И тут тоже можно - если соединение зеленое, то оно подключено.

Если вы про серверную хаб-конфигурацию, то наврядли - очень редкий сценарий, который мы официально не поддерживаем и даже не тестировали.

да я про серверную, кинетик в качестве сервера используется, вот и хотел отслеживать сколько клиентов подключилось и т.д.

[artsel]

Есть локальный днс для сегмента Домашней сети

Поднят удаленный сервер OpenVPN и 2 клиента, один из которых роутер Keenetic Giga 3. Клиент#2 видит ресурсы роутера, но не ресолвит их через локальный днс, даже если ему его явно указать в конфиге. Как настроить? И есть ли CLI для OpenVPN?

[Le ecureuil]

6 часов назад, artsel сказал:

Есть локальный днс для сегмента Домашней сети

Поднят удаленный сервер OpenVPN и 2 клиента, один из которых роутер Keenetic Giga 3. Клиент#2 видит ресурсы роутера, но не ресолвит их через локальный днс, даже если ему его явно указать в конфиге. Как настроить? И есть ли CLI для OpenVPN?

Настраивать DNS на другом роутере нужно точно также, как и на любом другом интерфейсе.

CLI нет.

[artsel]

UPD: Всё заработало после открытия udp порта dns в firewall

@Le ecureuil Есть ли поддержка OpenVPN на аппаратном уровне и включена  ли она по умолчанию?

Изменено 15 октября, 2017 пользователем artsel

[Le ecureuil]

13 минуты назад, artsel сказал:

UPD: Всё заработало после открытия udp порта dns в firewall

@Le ecureuil Есть ли поддержка OpenVPN на аппаратном уровне и включена  ли она по умолчанию?

Поддержки на аппаратном уровне нет и пока не планируется.

[utya]

Товарищи как правильно уложить файлик с роутами для openvpn. Просто тут видел пишут storage. У меня entware нет. Есть только hdd c самба. Как правильно сделать? Через web кинетика положил в корень файлик с именем клиента в настройках openvpn клиента 
написал

client-config-dir storage

Но такое ощущение что он его подхватить не может.

[Le ecureuil]

В 10/16/2017 в 19:59, utya сказал:

Товарищи как правильно уложить файлик с роутами для openvpn. Просто тут видел пишут storage. У меня entware нет. Есть только hdd c самба. Как правильно сделать? Через web кинетика положил в корень файлик с именем клиента в настройках openvpn клиента 
написал

client-config-dir storage

Но такое ощущение что он его подхватить не может.

client-config-dir /storage

Только на устройствах с поддержкой USB-накопителей, на других такого раздела нет.

[utya]

58 минут назад, Le ecureuil сказал:

client-config-dir /storage

Только на устройствах с поддержкой USB-накопителей, на других такого раздела нет.

сделал как сказали, 
client-config-dir /storage
а там лежит файлик с именем vo2.txt.
сижу жду строку где типа будет имопрт настроек. а прилетаем тока такая

vor2/xx.xx.xx.xx OPTIONS IMPORT: reading client specific options from: /tmp/openvpn_cc_01b59d721778951f.tmp

Oct 18 11:56:40OpenVPN0

 

Те кто настраивал фал конфиг для путей посмотрите всё ли правильно.
вот конфиг

 

Цитата

port 1194
proto tcp
dev tun

tun-mtu 1500
mssfix
fast-io

sndbuf 0
rcvbuf 0
key-direction 0
topology subnet
server 10.8.234.0 255.255.255.0

client-config-dir /storage
route 192.168.233.0 255.255.255.0    

keepalive 10 120
comp-lzo adaptive
persist-key
persist-tun
verb 5

 

и файлик лежит прям в корне

 

Всё проблема решена. Файлик нужен без разрешения txt.

Изменено 18 октября, 2017 пользователем utya

[r13]

Судя по вашему логу клиент зовется vor2, переименуйте файл также, без всяких расширений.