Вопросы по интеграции OpenVPN в NDMS

[Алексей Воловиков]

Подскажите, пожалуйста, пытаюсь поднять VPN (от prostovpn), вот что пишет лог:

Это с UDP, с TCP всё окей но нужен именно UDP.

 

Apr 26 08:52:08

 

OpenVPN1

OpenVPN 2.4.6 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD]

Apr 26 08:52:08

 

OpenVPN1

library versions: OpenSSL 1.1.1d 10 Sep 2019, LZO 2.10

Apr 26 08:52:08

 

OpenVPN1

UDP link local: (not bound)

Apr 26 08:52:08

 

OpenVPN1

UDP link remote: [AF_INET6]2a00:d880:5:a29::2:1194

Apr 26 08:52:08

 

OpenVPN1

NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay

Apr 26 08:52:08

 

OpenVPN1

write UDP: Network is unreachable (code=128)

Apr 26 08:52:08

 

OpenVPN1

Network unreachable, restarting

Apr 26 08:52:08

 

OpenVPN1

SIGTERM received, sending exit notification to peer

Apr 26 08:52:09

 

OpenVPN1

SIGTERM[soft,exit-with-notification] received, process exiting

Apr 26 08:52:09

 

ndm

Service: "OpenVPN1": unexpectedly stopped.

[Le ecureuil]

Он у вас по ipv6 пытается соединиться. Я бы в вашем случае форсировал ipv4.

[Alexashka]

14 hours ago, Алексей Воловиков said:

Подскажите, пожалуйста, пытаюсь поднять VPN (от prostovpn), вот что пишет лог:

Это с UDP, с TCP всё окей но нужен именно UDP.

 

Apr 26 08:52:08

 

OpenVPN1

OpenVPN 2.4.6 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD]

Apr 26 08:52:08

 

OpenVPN1

library versions: OpenSSL 1.1.1d 10 Sep 2019, LZO 2.10

Apr 26 08:52:08

 

OpenVPN1

UDP link local: (not bound)

Apr 26 08:52:08

 

OpenVPN1

UDP link remote: [AF_INET6]2a00:d880:5:a29::2:1194

Apr 26 08:52:08

 

OpenVPN1

NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay

Apr 26 08:52:08

 

OpenVPN1

write UDP: Network is unreachable (code=128)

Apr 26 08:52:08

 

OpenVPN1

Network unreachable, restarting

Apr 26 08:52:08

 

OpenVPN1

SIGTERM received, sending exit notification to peer

Apr 26 08:52:09

 

OpenVPN1

SIGTERM[soft,exit-with-notification] received, process exiting

Apr 26 08:52:09

 

ndm

Service: "OpenVPN1": unexpectedly stopped.

proto udp4

[Алексей Воловиков]

А подскажите, пожалуйста, что с этим делать? По совету выше исправил на udp4, все прекрасно работало день, на следующий перестало - пишет на странице соединения No IP Address. Хотя в логе ничего критичного не вижу. Куда копать?

Spoiler

May 12 20:23:59

 

ndm

Core::Syslog: the system log has been cleared.

May 12 20:24:03

 

kernel

IPv6: ADDRCONF(NETDEV_UP): ovpn_br0: link is not ready

May 12 20:24:03

 

ndm

Network::Interface::Base: "OpenVPN0": interface is up.

May 12 20:24:03

 

ndm

Core::ConfigurationSaver: saving configuration...

May 12 20:24:06

 

OpenVPN0

OpenVPN 2.4.6 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD]

May 12 20:24:06

 

OpenVPN0

library versions: OpenSSL 1.1.1d 10 Sep 2019, LZO 2.10

May 12 20:24:06

 

OpenVPN0

UDPv4 link local: (not bound)

May 12 20:24:06

 

OpenVPN0

UDPv4 link remote: [AF_INET]185.14.28.10:1194

May 12 20:24:06

 

OpenVPN0

NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay

May 12 20:24:07

 

ndm

Core::ConfigurationSaver: configuration saved.

May 12 20:24:11

 

OpenVPN0

[nl6.pvpn.pw] Peer Connection Initiated with [AF_INET]185.14.28.10:1194

May 12 20:24:11

 

ndm

Network::Interface::OpenVpn: "OpenVPN0": connecting via PPPoE0 (PPPoE0).

May 12 20:24:11

 

ndm

Network::Interface::OpenVpn: "OpenVPN0": added host route to remote endpoint 185.14.28.10 via PPPoE0.

May 12 20:24:17

 

OpenVPN0

WARNING: INSECURE cipher with block size less than 128 bit (64 bit). This allows attacks like SWEET32. Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).

May 12 20:24:17

 

OpenVPN0

WARNING: INSECURE cipher with block size less than 128 bit (64 bit). This allows attacks like SWEET32. Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).

May 12 20:24:17

 

OpenVPN0

WARNING: cipher with small block size in use, reducing reneg-bytes to 64MB to mitigate SWEET32 attacks.

May 12 20:24:17

 

OpenVPN0

TUN/TAP device tun0 opened

May 12 20:24:17

 

OpenVPN0

do_ifconfig, tt->did_ifconfig_ipv6_setup=1

May 12 20:24:17

 

kernel

IPv6: ADDRCONF(NETDEV_CHANGE): ovpn_br0: link becomes ready

May 12 20:24:17

 

ndm

Network::Interface::Ip: "OpenVPN0": IP address is 192.168.101.3/24.

May 12 20:24:17

 

OpenVPN0

IPv6 is not supported yet (ifconfig)

May 12 20:24:18

 

OpenVPN0

add_route_ipv6(2000::/3 -> 2002:b90e:1c0a:1::1 metric -1) dev tun0

May 12 20:24:18

 

OpenVPN0

IPv6 is not supported yet (add route)

May 12 20:24:18

 

OpenVPN0

add_route_ipv6(::/3 -> 2002:b90e:1c0a:1::1 metric -1) dev tun0

May 12 20:24:18

 

OpenVPN0

IPv6 is not supported yet (add route)

May 12 20:24:18

 

OpenVPN0

add_route_ipv6(2000::/4 -> 2002:b90e:1c0a:1::1 metric -1) dev tun0

May 12 20:24:18

 

OpenVPN0

IPv6 is not supported yet (add route)

May 12 20:24:18

 

OpenVPN0

add_route_ipv6(3000::/4 -> 2002:b90e:1c0a:1::1 metric -1) dev tun0

May 12 20:24:18

 

OpenVPN0

IPv6 is not supported yet (add route)

May 12 20:24:18

 

OpenVPN0

add_route_ipv6(fc00::/7 -> 2002:b90e:1c0a:1::1 metric -1) dev tun0

May 12 20:24:18

 

OpenVPN0

IPv6 is not supported yet (add route)

May 12 20:24:18

 

ndm

Network::Interface::OpenVpn: "OpenVPN0": adding nameserver 192.168.101.1.

May 12 20:24:18

 

ndm

Dns::Manager: name server 192.168.101.1 added, domain (default).

May 12 20:24:18

 

ndm

Network::Interface::OpenVpn: "OpenVPN0": add route to nameserver 192.168.101.1 via 0.0.0.0 (OpenVPN0).

May 12 20:24:18

 

OpenVPN0

GID set to nobody

May 12 20:24:18

 

OpenVPN0

UID set to nobody

May 12 20:24:18

 

OpenVPN0

Initialization Sequence Completed

May 12 20:24:18

 

ndm

Http::Nginx: loaded SSL certificate for "61eefb62507a4b30d21eb455.keenetic.io".

May 12 20:24:18

 

ndm

Http::Nginx: loaded SSL certificate for "hench.keenetic.pro".

May 12 20:24:18

 

ndm

Core::Server: started Session /var/run/ndm.core.socket.

May 12 20:24:18

 

ndm

Core::Session: client disconnected.

May 12 20:24:19

 

ndm

Http::Manager: updated configuration.

May 12 20:24:19

 

ndm

Core::Server: started Session /var/run/ndm.core.socket.

May 12 20:24:19

 

ndm

Core::Session: client disconnected.

May 12 20:24:21

 

ndhcpc

OpenVPN0: NDM DHCP client (version 3.2.37) started.

May 12 20:24:21

 

ndhcpc

OpenVPN0: created PID file "/var/run/ndhcpc-ovpn_br0.pid".

May 12 20:24:22

 

ndm

Network::Interface::Ip: "OpenVPN0": IP address cleared.

May 12 20:24:22

 

ndm

Http::Nginx: loaded SSL certificate for "61eefb62507a4b30d21eb455.keenetic.io".

May 12 20:24:22

 

ndm

Http::Nginx: loaded SSL certificate for "hench.keenetic.pro".

May 12 20:24:23

 

ndm

Core::Server: started Session /var/run/ndm.core.socket.

May 12 20:24:23

 

ndm

Core::Session: client disconnected.

May 12 20:24:23

 

ndm

Http::Manager: updated configuration.

May 12 20:24:23

 

ndm

Core::Server: started Session /var/run/ndm.core.socket.

May 12 20:24:23

 

ndm

Core::Session: client disconnected.

Изменено 12 мая, 2020 пользователем Алексей Воловиков

[maxvit]

Имеется Keenetic 4G, KeeneticOS: 3.4.6. Есть проблема с подключением к OpenVPN серверу.

Конфиг:

client
dev tun
proto udp
remote 192.168.0.1 1195
resolv-retry infinite
auth SHA1
cipher BF-CBC
comp-lzo
verb 5

<ca>
...
</ca>

<cert>
...
</cert>

<key>
...
</key>

Лог:

[I] Jun 22 16:06:34 OpenVPN1: Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
[I] Jun 22 16:06:34 OpenVPN1: Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
[I] Jun 22 16:06:34 OpenVPN1: Socket Buffers: R=[155648->155648] S=[155648->155648]
[I] Jun 22 16:06:34 OpenVPN1: UDP link local (bound): [AF_INET][undef]:1194
[I] Jun 22 16:06:34 OpenVPN1: UDP link remote: [AF_INET]192.168.0.1:1195
[I] Jun 22 16:06:34 OpenVPN1: NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
[I] Jun 22 16:06:34 OpenVPN1: TLS: Initial packet from [AF_INET]192.168.0.1:1195, sid=c399bbe9 6b9069d9
[E] Jun 22 16:06:35 OpenVPN1: OpenSSL: error:1425F102:lib(20):func(607):reason(258)
[E] Jun 22 16:06:35 OpenVPN1: TLS_ERROR: BIO read tls_read_plaintext error
[E] Jun 22 16:06:35 OpenVPN1: TLS Error: TLS object -> incoming plaintext read error
[E] Jun 22 16:06:35 OpenVPN1: TLS Error: TLS handshake failed
[I] Jun 22 16:06:35 OpenVPN1: TCP/UDP: Closing socket
[I] Jun 22 16:06:35 OpenVPN1: SIGTERM[soft,tls-error] received, process exiting
[E] Jun 22 16:06:35 ndm: Service: "OpenVPN1": unexpectedly stopped

Я так понимаю, проблема в том, что на сервере OpenVPN используется TLSv1, а на Keenetic openssl без поддержки TLSv1. Можно ли как-то включить поддержку TLSv1?

[Le ecureuil]

23 часа назад, maxvit сказал:

Имеется Keenetic 4G, KeeneticOS: 3.4.6. Есть проблема с подключением к OpenVPN серверу.

Конфиг:

client
dev tun
proto udp
remote 192.168.0.1 1195
resolv-retry infinite
auth SHA1
cipher BF-CBC
comp-lzo
verb 5

<ca>
...
</ca>

<cert>
...
</cert>

<key>
...
</key>

Лог:

[I] Jun 22 16:06:34 OpenVPN1: Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
[I] Jun 22 16:06:34 OpenVPN1: Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
[I] Jun 22 16:06:34 OpenVPN1: Socket Buffers: R=[155648->155648] S=[155648->155648]
[I] Jun 22 16:06:34 OpenVPN1: UDP link local (bound): [AF_INET][undef]:1194
[I] Jun 22 16:06:34 OpenVPN1: UDP link remote: [AF_INET]192.168.0.1:1195
[I] Jun 22 16:06:34 OpenVPN1: NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
[I] Jun 22 16:06:34 OpenVPN1: TLS: Initial packet from [AF_INET]192.168.0.1:1195, sid=c399bbe9 6b9069d9
[E] Jun 22 16:06:35 OpenVPN1: OpenSSL: error:1425F102:lib(20):func(607):reason(258)
[E] Jun 22 16:06:35 OpenVPN1: TLS_ERROR: BIO read tls_read_plaintext error
[E] Jun 22 16:06:35 OpenVPN1: TLS Error: TLS object -> incoming plaintext read error
[E] Jun 22 16:06:35 OpenVPN1: TLS Error: TLS handshake failed
[I] Jun 22 16:06:35 OpenVPN1: TCP/UDP: Closing socket
[I] Jun 22 16:06:35 OpenVPN1: SIGTERM[soft,tls-error] received, process exiting
[E] Jun 22 16:06:35 ndm: Service: "OpenVPN1": unexpectedly stopped

Я так понимаю, проблема в том, что на сервере OpenVPN используется TLSv1, а на Keenetic openssl без поддержки TLSv1. Можно ли как-то включить поддержку TLSv1?

Поддержка TLS 1.0 есть, равно как и 1.2. Нет только SSL3 и TLS1.1.

[maxvit]

8 hours ago, Le ecureuil said:

Поддержка TLS 1.0 есть, равно как и 1.2. Нет только SSL3 и TLS1.1.

Удалось обновить openssl и openvpn на сервере.

 

Проблема вопроизводится при указании в конфигурации сервера:

tls-version-max 1.0

 

[SSTP]

скажите а версия openvpn будет обновлена до 2.5.0 ?

[Le ecureuil]

20 часов назад, SSTP сказал:

скажите а версия openvpn будет обновлена до 2.5.0 ?

Ощутимые причины?

[SSTP]

5 часов назад, Le ecureuil сказал:

Ощутимые причины?

chacha20 использовать !

[r13]

20 минут назад, SSTP сказал:

chacha20 использовать !

Оно с прошивки 3.3 доступно

 

Изменено 28 декабря, 2020 пользователем r13

[Oleg Nekrylov]

Вопрос, надо ли делать “ip nat OpenVPNx”, для tap, если мне надо попасть внутрь сети подключённого клиента (на стороне клиента входящий трафик разрешён). Точнее, будет ли в принципе работать, тк в таблице маршрутизации tap не виден, тк сидит на Bridge0? При этом я тоже являюсь клиентом и в конфигурации сервера клиент-клиент разрешён.

Изменено 5 июля, 2021 пользователем Oleg Nekrylov

[Oleg Nekrylov]

Извиняюсь, затупил, тяжелый день был, сам же ответ и написал в последнем предложении  

[SSTP]

почему опенвпн не подключается по порту 53 ??? и поддерживает ли openvpn клиент tls-crypt v2  ??? openvpn уже 2.5.3 есть ! а  кенетик 2.4.6 !

[Le ecureuil]

16 часов назад, SSTP сказал:

почему опенвпн не подключается по порту 53 ??? и поддерживает ли openvpn клиент tls-crypt v2  ??? openvpn уже 2.5.3 есть ! а  кенетик 2.4.6 !

Давайте по шагам.

 - OpenVPN на 53 порту по идее не работает, это порт для DNS.

 - tls-crypt-v2 поддерживает.

 - в нашей версии 2.4.6 есть все патчи по CVE и принесена поддержка chapoly. Что еще вам не хватает в 2.4.6 из 2.5.3?

[SSTP]

1 час назад, Le ecureuil сказал:

OpenVPN на 53 порту по идее не работает

этот порт не работает только на кенетике на остальнов всем работает

1 час назад, Le ecureuil сказал:

Давайте по шагам.

 - tls-crypt-v2 поддерживает.

это хорошо !

1 час назад, Le ecureuil сказал:

Что еще вам не хватает в 2.4.6 из 2.5.3?

мне та хвотает просто вы почитайте что нового в последних версиях много чего ввели . и новое она и есть новое

[Andy Moore]

tls-crypt-v2  работает только начиная с версии 2.5.0 и он не может работать на версии  2.4.х 

может перепутали просто tls-crypt ??? На 2.4.x  работает tls-crypt и tls-auth

[Andy Moore]

Unrecognized option or missing or extra parameter(s) in configuration: (line 24): tls-crypt-v2 (2.4.6)

[Le ecureuil]

18 минут назад, Andy Moore сказал:

tls-crypt-v2  работает только начиная с версии 2.5.0 и он не может работать на версии  2.4.х 

может перепутали просто tls-crypt ??? На 2.4.x  работает tls-crypt и tls-auth

Хм, да, появилась такая тема.
А реально какие-то серверы ее требуют (покупные, а не самодельные)?

Я лично жду версии 2.6, чтобы сразу с dco все добавить. Если сейчас добавлять на месяца-полтора 2.5, а потом снова 2.6 - это лишняя работа. Прошу немного обождать.

[Andy Moore]

4 минуты назад, Le ecureuil сказал:

Хм, да, появилась такая тема.
А реально какие-то серверы ее требуют (покупные, а не самодельные)?

Есть и самодельные и покупные , есть те кто не стоит на месте 

 

5 минут назад, Le ecureuil сказал:

Я лично жду версии 2.6

не думаю что в ближайшие года 2 мы ее увидим 

[vadimbn]

20 часов назад, SSTP сказал:

почему опенвпн не подключается по порту 53 ???

Потому что...

~ # lsof -P -i |grep ndnproxy 
================================== Skiped ==================================
ndnproxy   1438   root    4u  IPv4     13102      0t0  UDP *:53 
ndnproxy   1438   root    5u  IPv4     13103      0t0  UDP *:56298 
ndnproxy   1438   root    6u  IPv6     13104      0t0  UDP *:53 
ndnproxy   1438   root    8u  IPv4     13106      0t0  TCP *:53 (LISTEN)
ndnproxy   1438   root    9u  IPv6     13107      0t0  TCP *:53 (LISTEN)
================================== Skiped ==================================
 

Что вы будете делать с DNS proxy?  Свой DNS-сервер ставить?

[Le ecureuil]

54 минуты назад, Andy Moore сказал:

есть те кто не стоит на месте 

Тот, кто не стоит на месте может спокойно в opkg замутить что хочет (или в sdk).

Если массовой потребности нет, то пока я смысла вижу мало.

[Andy Moore]

Мое дело предложить, как потребителю продукта , а решать уже вам, релиз 2.4.6 был в апреле 2018 если не ошибаюсь, а нынче грядет 2022

[zhidkovu]

5 часов назад, Le ecureuil сказал:

Хм, да, появилась такая тема.
А реально какие-то серверы ее требуют (покупные, а не самодельные)?

Я лично жду версии 2.6, чтобы сразу с dco все добавить. Если сейчас добавлять на месяца-полтора 2.5, а потом снова 2.6 - это лишняя работа. Прошу немного обождать.

Полностью за такое решение!

Лучше бросьте ресурсы на действительно важную функцию - на ускорение OpenVPN (dco)

Думаю многие вам за это скажут спасибо и для кого-то это будет плюс для выбора кинетика для покупки, т.к. у остальных роутеров эта функция думаю появится намного позже, судя по скорости развития вами NDMS..

Я например жду ускорения OVPN с момента покупки Giga уже пару лет, т.к. сейчас скорость 100мбит канала утилизируется только на четверть.. а другие VPN утилизируют канал на 100% но по разным причинам не подходят.. например Wireguard работал-работал, а потом резко перестал и мне так и не удалось его больше заставить работать... пришлось вернуться на медленный но надежный OVPN

[Le ecureuil]

15 часов назад, Yury Zhidkov сказал:

Полностью за такое решение!

Лучше бросьте ресурсы на действительно важную функцию - на ускорение OpenVPN (dco)

Думаю многие вам за это скажут спасибо и для кого-то это будет плюс для выбора кинетика для покупки, т.к. у остальных роутеров эта функция думаю появится намного позже, судя по скорости развития вами NDMS..

Я например жду ускорения OVPN с момента покупки Giga уже пару лет, т.к. сейчас скорость 100мбит канала утилизируется только на четверть.. а другие VPN утилизируют канал на 100% но по разным причинам не подходят.. например Wireguard работал-работал, а потом резко перестал и мне так и не удалось его больше заставить работать... пришлось вернуться на медленный но надежный OVPN

Я уже пробовал dco в январе 2021, и на тот момент там было очень "сыро" + в ветке ovpn 2.x не было поддержки, я ее приделал сам, но все равно там далеко от того, что можно показать пользователям было. Сейчас уже стало вроде постабильнее, будем ждать и надеятся что в 2.6 таки допилят сами разработчики (а если нет, то я может и реанимирую код январский и доделаю).

[Le ecureuil]

Согласно официальному roadmap обещают 2.6 alpha к "End of December 2021": https://community.openvpn.net/openvpn/wiki/StatusOfOpenvpn26

Ждем с нетерпением.

[drk]

Добрый день. Надеюсь - не ошибся тредом и прошу извинить, если информация избыточна.

Имеется центральный офис, в котором в локальной сети на сервере VmWare развернут Open VPN сервер на FreeBSD (используется pfSense 2.4.4). С этим сервером успешно работают филиалы, в качестве клиентов - Mikrotik, FreeBSD(pfSense) и т.д, Keenetic в этой сети пока не было.
Исользуется конфигурация Open VPN site-to-site, филиалы видят сеть офиса за Open VPN, офис видит сети клиентов.
Планируя очередной филиал, решил выбрать Keenetic Viva KN-1910 для подключения к Интернет, развертывания mesh и поднятия на нем Open VPN клиента.
Столкнулся с тем, что сеть за этим клиентом не видит сеть офиса за Open VPN сервером, а сеть офиса - сеть за клиентом. Туннель поднимается, но из сети клиента доступен только LAN IP сервера VPN 192.168.7.65. Маршруты в сеть за сервером клиент Keenetic получает.

Keenetic Viva KN-1910 (3.6.12)
Сеть за сервером 192.168.0.0/21
Сеть туннеля 10.20.20.0/24
Сеть за клиентом, на котором тестировался Keenetic 10.10.5.0/24

Конфиг сервера:
 

Spoiler

dev ovpns1
verb 1
dev-type tun
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto tcp4-server
cipher none
auth SHA1
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local 192.168.7.65
engine cryptodev
tls-server
server 10.20.20.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc/server1
ifconfig 10.20.20.1 10.20.20.2
tls-verify "/usr/local/sbin/ovpn_auth_verify tls '......' 1"
lport 31194
management /var/etc/openvpn/server1.sock unix
push "route 192.168.0.0 255.255.248.0"
route 192.168.110.0 255.255.255.0
route 192.168.82.0 255.255.255.0
#
#еще много route
#
route 10.10.5.0 255.255.255.0 #тестируемый клиент Keenetic

ca /var/etc/openvpn/server1.ca
cert /var/etc/openvpn/server1.cert
key /var/etc/openvpn/server1.key
dh /etc/dh-parameters.1024
crl-verify /var/etc/openvpn/server1.crl-verify
ncp-ciphers AES-128-GCM
persist-remote-ip
float
topology subnet
sndbuf 524288
rcvbuf 524288
push "sndbuf 393216"
push "rcvbuf 393216"

iroute для всех сетей филиалов на сервере в /ccd указаны

Конфиг клиента Keenetic:

Spoiler

dev tun
persist-tun
persist-key
cipher none
auth SHA1
tls-client
client
resolv-retry infinite
remote-cert-tls server
remote aa.aa.cc.dd 31194 tcp4
<ca>
-----BEGIN CERTIFICATE-----
....................
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
....................
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
...................
-----END PRIVATE KEY-----
</key>

Клиент с данным конфигом успешно проверен на Mikrotik,Padavan

Пингуя хост удаленной сети делал захват пакетов. 

Пообщался с поддержкой.  Ответили так:

Я могу предположить, что сервер ожидает в качестве источника ip не адрес в OVPN туннеле клиента, а непосредственно адрес хоста клиента в сети 10.10.5.0/24

При конфигурации site-to-site вполне естественно, что сервер ожидает адрес хоста клиента в сети 10.10.5.0/24. Однако в туннель  IP хостов не уходят. NAT?

Поддержка:

Проверить это можно отключив NAT
no ip nat Home
ip static Home ISP
system configuration save

Естественно, при отключенном NAT все работает. Но тогда, что естественно, с ПК за Кинетик теряется доступ в интернет.

Решаема ли эта проблема?

 

[Le ecureuil]

Если вопрос только в NAT, то отлючаете его совсем для домашней сети:
> no ip nat Home
и включаете только между теми интерфейсами, где он нужен:
> ip static Home ISP

в таком случае у вас из Home в ISP NAT будет, а в OpenVPN - нет.

[Le ecureuil]

Поддержка, кстати, все правильно сказала.

[drk]

5 minutes ago, Le ecureuil said:

Поддержка, кстати, все правильно сказала.

Поддержка на то и поддержка. 😃

Home и Home ISP - это универсальные наименования интерфейсов?

11 minutes ago, Le ecureuil said:

в таком случае у вас из Home в ISP NAT будет, а в OpenVPN - нет

Да, вероятно нужно отключть NAT только для OpenVPN, оставив доступ с LAN\Wi-Fi и в туннель и в интернет.

Приведенные вами и поддержкой команды, как писал выше, делают интернет недоступным