Вопросы по интеграции OpenVPN в NDMS

[ICMP]

24 минуты назад, Le ecureuil сказал:

если что не работает - пишите.

Ну я уже неоднократно пишу свои проблемы сюда с логами с настройками но вы не отвечаете...

 

[Le ecureuil]

41 минуту назад, ICMP сказал:

Ну я уже неоднократно пишу свои проблемы сюда с логами с настройками но вы не отвечаете...

 

У вас проблемы не касаются интеграции OpenVPN в NDMS -> читайте официальные доки, читайте форумы по OpenVPN. Я не официальная техподдержка, и меня на всех не хватит.

Кто жалуется именно на интеграцию с NDMS - все получили ответы.

[User254]

При конекте на сервер, маршрут прописанный в конфиге не поднимается автоматически, если зайти в настройки и сказать применить, то применяется и все работает. 

Дополнение:

Не работало через интерфейс созданный через CLI (+ стояло dev tun). Создал новый через WEB и поставил dev tap и все заработало.

Изменено 29 августа, 2017 пользователем User254

[Сергей Молоков]

В 25.08.2017 в 14:50, Le ecureuil сказал:

В следующем draft должно стать получше, проверьте.

Здравствуйте!

Спасибо!!! После обновления все четыре роутера законнектились. Пойду куплю еще парочку

[tolpol]

Здравствуйте.

Нельзя ли полный FAQ для чайников опубликовать-как и куда заходить в Кинетик?И какие файлы как и куда вставлять.А то у меня есть только логин и пароль от VPN сервиса и ссылки от сервиса на разный софт  для разных ОС-и два файла OpenVPN TCP и  Open VPN UDP.

 

[Lordmaster]

Подскажите, что за ошибки выходят при передаче DNS?

При конфиге сервера:

Скрытый текст

port 1194
proto tcp
dev tun
dev-node VPN
ca C:\\OpenVPN\\server\\ca.crt
cert C:\\OpenVPN\\server\\server.crt
key C:\\OpenVPN\\server\\server.key
dh C:\\OpenVPN\\server\\dh1024.pem
tls-auth C:\\OpenVPN\\server\\ta.key 0
server 192.168.17.0 255.255.255.0
dhcp-option DNS 10.32.20.10
dhcp-option DNS 10.54.18.110
dhcp-option DNS 10.54.18.111
cipher DES-EDE3-CBC
ifconfig-pool-persist C:\\OpenVPN\\ipp\\ipp.txt
push "route 10.32.20.0 255.255.255.0"
push "route 10.2.20.0 255.255.255.0"
push "route 10.33.20.0 255.255.255.0"
push "route 10.54.0.0 255.255.0.0"
push "route 10.69.20.0 255.255.255.0"
push "route 10.76.20.0 255.255.255.0"
push "dhcp-option DNS 10.32.20.10"
push "dhcp-option DNS 10.54.18.110"
push "dhcp-option DNS 10.54.18.111"
client-config-dir C:\\OpenVPN\\ccd
route 192.168.178.0 255.255.255.128
client-to-client
keepalive 10 120
comp-lzo
max-clients 5
persist-key
persist-tun
status C:\\OpenVPN\\log\\openvpn-status.log
log C:\\OpenVPN\\log\\openvpn.log
verb 3

и клиента:

Скрытый текст

client
dev tun
proto tcp
remote ХХХХХХХХ ХХХХ
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
tls-client
keepalive 10 120
key-direction 1
cipher DES-EDE3-CBC
comp-lzo
verb 3
ca /opt/openvpn/clients/ca.crt
cert /opt/openvpn/clients/user.crt
key /opt/openvpn/clients/user.key
tls-auth /opt/openvpn/clients/ta.key

Выходят в логах ошибки: 

Aug 30 16:33:55ndm

Dns::Manager: name server 10.32.20.10 is disregarded while Yandex.DNS is active.

Aug 30 16:33:55ndm

Network::RoutingTable: gateway 192.168.17.7 is unreachable via OpenVPN0.

Aug 30 16:33:55ndm

Network::Interface::OpenVpn: "OpenVPN0": failed to add a nameserver route.

Aug 30 16:33:55ndm

Network::Interface::OpenVpn: "OpenVPN0": adding nameserver 10.54.18.110.

Aug 30 16:33:55ndm

Dns::Manager: name server 10.54.18.110 is disregarded while Yandex.DNS is active.

Aug 30 16:33:55ndm

Network::RoutingTable: gateway 192.168.17.7 is unreachable via OpenVPN0.

Aug 30 16:33:55ndm

Network::Interface::OpenVpn: "OpenVPN0": failed to add a nameserver route.

Aug 30 16:33:55ndm

Network::Interface::OpenVpn: "OpenVPN0": adding nameserver 10.54.18.111.

Aug 30 16:33:55ndm

Dns::Manager: name server 10.54.18.111 is disregarded while Yandex.DNS is active.

Aug 30 16:33:55ndm

Network::RoutingTable: gateway 192.168.17.7 is unreachable via OpenVPN0.

Aug 30 16:33:55ndm

Network::Interface::OpenVpn: "OpenVPN0": failed to add a nameserver route.

DNS адреса при этом передаются нормально.

Изменено 30 августа, 2017 пользователем Lordmaster

[r13]

@Le ecureuil

А сейчас возможно реализовать роутинг в клиентские сети?

То что реализуется через настройку client-config-dir и файлики клиентов с iroute?

[ICMP]

Тоже интересует как настроить маршруты за клиентом, полагаю один роут пишеться в конфиге сервера и один уже в веб морде?

[ICMP]

И еще бы дать статические адреса клиентам было бы не плохо если их несколько...

[Lordmaster]

Получил доступ к сети за клиентом при помощи ccd. IP с помощью этого же файла так же подтянулся.

 

Файл носит имя такое же как в сертификате прописано (name):

ifconfig-push 192.168.17.8 192.168.17.7
iroute 192.168.178.0 255.255.255.128

 

С данными настройками все работает.

Изменено 30 августа, 2017 пользователем Lordmaster

[ICMP]

Только что, Lordmaster сказал:

ccd

ну этот файл как сохранить то на сервере?

[Lordmaster]

Только что, ICMP сказал:

ну этот файл как сохранить то на сервере?

У меня сервер на винде. В конфиге задается папка для хранения этого: client-config-dir C:\\OpenVPN\\ccd

В этой папке создается файл с именем name из сертификата. В нем уже прописываются:

ifconfig-push 192.168.17.8 192.168.17.7 #статический ip
iroute 192.168.178.0 255.255.255.128 #доступ во внутреннюю сеть

[Le ecureuil]

16 часов назад, r13 сказал:

@Le ecureuil

А сейчас возможно реализовать роутинг в клиентские сети?

То что реализуется через настройку client-config-dir и файлики клиентов с iroute?

Нет, даже не проверялось. На Keeentic хранить что-либо кроме конфига нельзя.

[Le ecureuil]

17 часов назад, Lordmaster сказал:

Подскажите, что за ошибки выходят при передаче DNS?

При конфиге сервера:

  Показать содержимое

port 1194
proto tcp
dev tun
dev-node VPN
ca C:\\OpenVPN\\server\\ca.crt
cert C:\\OpenVPN\\server\\server.crt
key C:\\OpenVPN\\server\\server.key
dh C:\\OpenVPN\\server\\dh1024.pem
tls-auth C:\\OpenVPN\\server\\ta.key 0
server 192.168.17.0 255.255.255.0
dhcp-option DNS 10.32.20.10
dhcp-option DNS 10.54.18.110
dhcp-option DNS 10.54.18.111
cipher DES-EDE3-CBC
ifconfig-pool-persist C:\\OpenVPN\\ipp\\ipp.txt
push "route 10.32.20.0 255.255.255.0"
push "route 10.2.20.0 255.255.255.0"
push "route 10.33.20.0 255.255.255.0"
push "route 10.54.0.0 255.255.0.0"
push "route 10.69.20.0 255.255.255.0"
push "route 10.76.20.0 255.255.255.0"
push "dhcp-option DNS 10.32.20.10"
push "dhcp-option DNS 10.54.18.110"
push "dhcp-option DNS 10.54.18.111"
client-config-dir C:\\OpenVPN\\ccd
route 192.168.178.0 255.255.255.128
client-to-client
keepalive 10 120
comp-lzo
max-clients 5
persist-key
persist-tun
status C:\\OpenVPN\\log\\openvpn-status.log
log C:\\OpenVPN\\log\\openvpn.log
verb 3

и клиента:

  Показать содержимое

client
dev tun
proto tcp
remote ХХХХХХХХ ХХХХ
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
tls-client
keepalive 10 120
key-direction 1
cipher DES-EDE3-CBC
comp-lzo
verb 3
ca /opt/openvpn/clients/ca.crt
cert /opt/openvpn/clients/user.crt
key /opt/openvpn/clients/user.key
tls-auth /opt/openvpn/clients/ta.key

Выходят в логах ошибки: 

Aug 30 16:33:55ndm

Dns::Manager: name server 10.32.20.10 is disregarded while Yandex.DNS is active.

Aug 30 16:33:55ndm

Network::RoutingTable: gateway 192.168.17.7 is unreachable via OpenVPN0.

Aug 30 16:33:55ndm

Network::Interface::OpenVpn: "OpenVPN0": failed to add a nameserver route.

Aug 30 16:33:55ndm

Network::Interface::OpenVpn: "OpenVPN0": adding nameserver 10.54.18.110.

Aug 30 16:33:55ndm

Dns::Manager: name server 10.54.18.110 is disregarded while Yandex.DNS is active.

Aug 30 16:33:55ndm

Network::RoutingTable: gateway 192.168.17.7 is unreachable via OpenVPN0.

Aug 30 16:33:55ndm

Network::Interface::OpenVpn: "OpenVPN0": failed to add a nameserver route.

Aug 30 16:33:55ndm

Network::Interface::OpenVpn: "OpenVPN0": adding nameserver 10.54.18.111.

Aug 30 16:33:55ndm

Dns::Manager: name server 10.54.18.111 is disregarded while Yandex.DNS is active.

Aug 30 16:33:55ndm

Network::RoutingTable: gateway 192.168.17.7 is unreachable via OpenVPN0.

Aug 30 16:33:55ndm

Network::Interface::OpenVpn: "OpenVPN0": failed to add a nameserver route.

DNS адреса при этом передаются нормально.

А можно полноценный self-test? Я по обрубкам лога гадать не умею.

[Le ecureuil]

@Lordmaster а сами DNS активны при этом, к ним есть доступ, ping?

[Lordmaster]

7 минут назад, Le ecureuil сказал:

@Lordmaster а сами DNS активны при этом, к ним есть доступ, ping?

Да, dns активны и работают. И на момент старта OpenVPN, и сейчас. При чем они добавляются и работают, даже после этих ошибок. Проверено на внутренних сайтах

Скрытый текст

sending ICMP ECHO request to 10.32.20.10...

PING 10.32.20.10 (10.32.20.10) 0 (28) bytes of data.

28 bytes from 10.32.20.10: icmp_req=1, ttl=127

28 bytes from 10.32.20.10: icmp_req=2, ttl=127

"Destination unreachable" ICMP packet received from 127.0.0.1 (type = 3, code = 3).

28 bytes from 10.32.20.10: icmp_req=3, ttl=127

28 bytes from 10.32.20.10: icmp_req=4, ttl=127

28 bytes from 10.32.20.10: icmp_req=5, ttl=127

 

--- 10.32.20.10 ping statistics ---

5 packets transmitted, 5 packets received, 0% packet loss,

0 duplicate(s), time 4047.74 ms.

Скрытый текст

sending ICMP ECHO request to 10.54.18.110...

PING 10.54.18.110 (10.54.18.110) 0 (28) bytes of data.

28 bytes from 10.54.18.110: icmp_req=1, ttl=120

28 bytes from 10.54.18.110: icmp_req=2, ttl=120

"Destination unreachable" ICMP packet received from 127.0.0.1 (type = 3, code = 3).

"Destination unreachable" ICMP packet received from 127.0.0.1 (type = 3, code = 3).

"Destination unreachable" ICMP packet received from 127.0.0.1 (type = 3, code = 3).

"Destination unreachable" ICMP packet received from 127.0.0.1 (type = 3, code = 3).

"Destination unreachable" ICMP packet received from 127.0.0.1 (type = 3, code = 3).

28 bytes from 10.54.18.110: icmp_req=3, ttl=120

28 bytes from 10.54.18.110: icmp_req=4, ttl=120

28 bytes from 10.54.18.110: icmp_req=5, ttl=120

 

--- 10.54.18.110 ping statistics ---

5 packets transmitted, 5 packets received, 0% packet loss,

0 duplicate(s), time 4229.81 ms.

Скрытый текст

sending ICMP ECHO request to 10.54.18.111...

PING 10.54.18.111 (10.54.18.111) 0 (28) bytes of data.

28 bytes from 10.54.18.111: icmp_req=1, ttl=120

28 bytes from 10.54.18.111: icmp_req=2, ttl=120

"Destination unreachable" ICMP packet received from 94.231.136.102 (type = 3, code = 3).

28 bytes from 10.54.18.111: icmp_req=3, ttl=120

"Destination unreachable" ICMP packet received from 127.0.0.1 (type = 3, code = 3).

"Destination unreachable" ICMP packet received from 127.0.0.1 (type = 3, code = 3).

"Destination unreachable" ICMP packet received from 127.0.0.1 (type = 3, code = 3).

"Destination unreachable" ICMP packet received from 127.0.0.1 (type = 3, code = 3).

"Destination unreachable" ICMP packet received from 127.0.0.1 (type = 3, code = 3).

"Destination unreachable" ICMP packet received from 127.0.0.1 (type = 3, code = 3).

"Destination unreachable" ICMP packet received from 127.0.0.1 (type = 3, code = 3).

"Destination unreachable" ICMP packet received from 127.0.0.1 (type = 3, code = 3).

"Destination unreachable" ICMP packet received from 127.0.0.1 (type = 3, code = 3).

28 bytes from 10.54.18.111: icmp_req=4, ttl=120

28 bytes from 10.54.18.111: icmp_req=5, ttl=120

 

--- 10.54.18.111 ping statistics ---

5 packets transmitted, 5 packets received, 0% packet loss,

 

[Le ecureuil]

Тогда можете игнорировать эти ошибки.

Насчет исправления не скажу, потому что слишком узкоспецифичная ситуация.

[Сергей Молоков]

В 30.08.2017 в 08:32, Сергей Молоков сказал:

В 25.08.2017 в 14:50, Le ecureuil сказал:

В следующем draft должно стать получше, проверьте.

Здравствуйте!

Спасибо!!! После обновления все четыре роутера законнектились. Пойду куплю еще парочку

Здравствуйте!

Сегодня перезагрузил сервер OVPN. Клиенты, которые коннектятся через ISP (6 штук), переконнектились нормально. Имеется еще 3 клиента (два Keenetic III и один Keenetic DSL) c коннектом через PPPoE соединение. Те два, что на Keenetic III не законнектились. Позвонил и попросил перезагрузить роутеры. Один подключился, второй с пяти попыток нет. Приехал посмотреть, show ip route - шлюза нет, подсети OVPN нет. Прописал ip route default PPPoE, подключился к интернету. Через некоторое время появился маршрут OVPN сети и шлюз сменился через OpenVPN0. Лог скопировать изначально не смог, т.к. вин ХР c эксплорером, веб интерфейса не показывает, портабельный хром или фаерфокс загрузить дорого, нужно вести флешкой.

У этого клиента в ccd:

# маршруты до сервера OVPN

push "route xxx.xxx.xxx.xxx 255.255.255.255 192.168.221.1"
push "route yyy.yyy.yyy.yyy 255.255.255.255 192.168.221.1"
iroute 192.168.221.0 255.255.255.0

в настройках OpenVPN соединения стоит галочка получать маршруты, но ни в вебе в статических маршрутах ни в show ip route этих маршрутов нет. А на Keenetic DSL в вебе и в таблице маршрутизации эти маршруты есть, но в ccd клиента их нет, от куда они взялись и почему их нет в первом случае?

Изменено 4 сентября, 2017 пользователем Сергей Молоков

[Сергей Молоков]

В 30.08.2017 в 22:21, Lordmaster сказал:

iroute 192.168.178.0 255.255.255.128

 

С данными настройками все работает.

При таких настройках у вас проходит пинг на ИП клиента, на ИП за клиентом или нужно в межсетевой экран добавить правило? У меня только при добавлении правила работает, иначе ни пинга, ни радмина, ни веб роутера не работают.

[Lordmaster]

8 минут назад, Сергей Молоков сказал:

При таких настройках у вас проходит пинг на ИП клиента, на ИП за клиентом или нужно в межсетевой экран добавить правило? У меня только при добавлении правила работает, иначе ни пинга, ни радмина, ни веб роутера не работают.

Я тоже в межсетевом добавлял правила. Иначе не пропускает

[Le ecureuil]

2 часа назад, Сергей Молоков сказал:

Здравствуйте!

Сегодня перезагрузил сервер OVPN. Клиенты, которые коннектятся через ISP (6 штук), переконнектились нормально. Имеется еще 3 клиента (два Keenetic III и один Keenetic DSL) c коннектом через PPPoE соединение. Те два, что на Keenetic III не законнектились. Позвонил и попросил перезагрузить роутеры. Один подключился, второй с пяти попыток нет. Приехал посмотреть, show ip route - шлюза нет, подсети OVPN нет. Прописал ip route default PPPoE, подключился к интернету. Через некоторое время появился маршрут OVPN сети и шлюз сменился через OpenVPN0. Лог скопировать изначально не смог, т.к. вин ХР c эксплорером, веб интерфейса не показывает, портабельный хром или фаерфокс загрузить дорого, нужно вести флешкой.

У этого клиента в ccd:

# маршруты до сервера OVPN

push "route xxx.xxx.xxx.xxx 255.255.255.255 192.168.221.1"
push "route yyy.yyy.yyy.yyy 255.255.255.255 192.168.221.1"
iroute 192.168.221.0 255.255.255.0

в настройках OpenVPN соединения стоит галочка получать маршруты, но ни в вебе в статических маршрутах ни в show ip route этих маршрутов нет. А на Keenetic DSL в вебе и в таблице маршрутизации эти маршруты есть, но в ccd клиента их нет, от куда они взялись и почему их нет в первом случае?

Везде нужны self-test, иначе ничего непонятно. Я даже слова ccd не понял.

[Сергей Молоков]

17 часов назад, Le ecureuil сказал:

Везде нужны self-test, иначе ничего непонятно. Я даже слова ccd не понял.

С тестами очень сложно, т.к. удаленка и в работе. Постараюсь сговориться оставить их без связи на сколь-то времени и забрав роутер попробовать повторить у себя и снять self-test.

Про ccd: сорри за столь глобальное сокращение это клиентские настройки, которые с сервера -  client-config-dir c:/openvpn/config/ccd

self-test.txt

Изменено 5 сентября, 2017 пользователем Сергей Молоков
На другом роутере повторил, сделал несколько перезагрузок, как обнаружилась проблема, сделал self-test, если сделал что-то не так, скажите как, переделаю.

[Le ecureuil]

6 часов назад, Сергей Молоков сказал:

С тестами очень сложно, т.к. удаленка и в работе. Постараюсь сговориться оставить их без связи на сколь-то времени и забрав роутер попробовать повторить у себя и снять self-test.

Про ccd: сорри за столь глобальное сокращение это клиентские настройки, которые с сервера -  client-config-dir c:/openvpn/config/ccd

self-test.txt

Примерно понятна ситуация, будем воспроизводить и чинить.

[Vitaliy Timoshenko]

Не понял, объясните: в 2.10 была добавлена возможность коннектиться к серверу OpenVPN или сам сервер OpenVPN? Возможно ли теоретически в будущем сделать связку СерверOpenVPN+KeenDNSдляВходаКлиентовЧерезОблако?

[Le ecureuil]

50 минут назад, Vitaliy Timoshenko сказал:

Не понял, объясните: в 2.10 была добавлена возможность коннектиться к серверу OpenVPN или сам сервер OpenVPN? Возможно ли теоретически в будущем сделать связку СерверOpenVPN+KeenDNSдляВходаКлиентовЧерезОблако?

Пока работающей связки OpenVPN и KeenDNS нет.

[Le ecureuil]

В 9/5/2017 в 03:47, Сергей Молоков сказал:

С тестами очень сложно, т.к. удаленка и в работе. Постараюсь сговориться оставить их без связи на сколь-то времени и забрав роутер попробовать повторить у себя и снять self-test.

Про ccd: сорри за столь глобальное сокращение это клиентские настройки, которые с сервера -  client-config-dir c:/openvpn/config/ccd

self-test.txt

Вроде удалось нейтрализовать пропадание default route, проверьте на новом draft из 2.11.

[Vitaliy Timoshenko]

В 08.09.2017 в 15:38, Le ecureuil сказал:

Пока работающей связки OpenVPN и KeenDNS нет.

Какая жаль... Было бы чудесно иметь возможность поднимать cервер OpenVPN (да собственно любой сервер VPN) на роутере, а потом подключать к нему клиентов через DynDNS или KeenDNS. Просто мега-фитча была бы. Она теоретически возможна (вроде как - мне так думается) на OpenWRT пакетах... но там надо быть потомственным шаманом 80 лвла. Нигде толковой статьи о таком я не нашёл. Было бы архиздорово, если бы в будущем такое реализовалось бы "в стиле" и "из коробки" Zyxel.

Изменено 9 сентября, 2017 пользователем Vitaliy Timoshenko

[r13]

@Le ecureuil

У меня на Ultra2 на 2.11 с включенным прошивочным OpenVPN сервером

обнаружил сегодня такое веселье в home.hosts:

Скрытый текст

Выводит всю подсеть сервера.

ЗЫ на 2.10 такого не замечал.

ЗЫ2 Я так понимаю надо для него отключить опрос ip hotspot?

Вечером скину селфтест.

Изменено 11 сентября, 2017 пользователем r13

[Le ecureuil]

1 минуту назад, r13 сказал:

@Le ecureuil

У меня на Ultra2 на 2.11 с включенным прошивочным OpenVPN сервером

обнаружил сегодня такое веселье в home.hosts:

  Скрыть содержимое

Выводит всю подсеть сервера.

ЗЫ на 2.10 такого не замечал.

Вечером скину селфтест.

Гыгы. 

В принципе, логичное поведение. У вас интерфейс OpenVPN имеет security-level private или public?

Исправим, чтобы ip hotspot autoscan игнорировал OpenVPN-интерфейсы.

[r13]

Только что, Le ecureuil сказал:

Гыгы. 

В принципе, логичное поведение. У вас интерфейс OpenVPN имеет security-level private или public?

Исправим, чтобы ip hotspot autoscan игнорировал OpenVPN-интерфейсы.

Ну так как это сервер то private :)