Jump to content

Recommended Posts

Posted
24 минуты назад, Le ecureuil сказал:

если что не работает - пишите.

Ну я уже неоднократно пишу свои проблемы сюда с логами с настройками но вы не отвечаете...

 

Posted
41 минуту назад, ICMP сказал:

Ну я уже неоднократно пишу свои проблемы сюда с логами с настройками но вы не отвечаете...

 

У вас проблемы не касаются интеграции OpenVPN в NDMS -> читайте официальные доки, читайте форумы по OpenVPN. Я не официальная техподдержка, и меня на всех не хватит.

Кто жалуется именно на интеграцию с NDMS - все получили ответы.

Posted (edited)

При конекте на сервер, маршрут прописанный в конфиге не поднимается автоматически, если зайти в настройки и сказать применить, то применяется и все работает. 

Дополнение:

Не работало через интерфейс созданный через CLI (+ стояло dev tun). Создал новый через WEB и поставил dev tap и все заработало.

Edited by User254
Posted
В 25.08.2017 в 14:50, Le ecureuil сказал:

В следующем draft должно стать получше, проверьте.

Здравствуйте!

Спасибо!!! После обновления все четыре роутера законнектились. Пойду куплю еще парочку :)

Posted

Здравствуйте.

Нельзя ли полный FAQ для чайников опубликовать-как и куда заходить в Кинетик?И какие файлы как и куда вставлять.А то у меня есть только логин и пароль от VPN сервиса и ссылки от сервиса на разный софт  для разных ОС-и два файла OpenVPN TCP и  Open VPN UDP.

 

Posted (edited)

Подскажите, что за ошибки выходят при передаче DNS?

При конфиге сервера:

Скрытый текст

port 1194
proto tcp
dev tun
dev-node VPN
ca C:\\OpenVPN\\server\\ca.crt
cert C:\\OpenVPN\\server\\server.crt
key C:\\OpenVPN\\server\\server.key
dh C:\\OpenVPN\\server\\dh1024.pem
tls-auth C:\\OpenVPN\\server\\ta.key 0
server 192.168.17.0 255.255.255.0
dhcp-option DNS 10.32.20.10
dhcp-option DNS 10.54.18.110
dhcp-option DNS 10.54.18.111
cipher DES-EDE3-CBC
ifconfig-pool-persist C:\\OpenVPN\\ipp\\ipp.txt
push "route 10.32.20.0 255.255.255.0"
push "route 10.2.20.0 255.255.255.0"
push "route 10.33.20.0 255.255.255.0"
push "route 10.54.0.0 255.255.0.0"
push "route 10.69.20.0 255.255.255.0"
push "route 10.76.20.0 255.255.255.0"
push "dhcp-option DNS 10.32.20.10"
push "dhcp-option DNS 10.54.18.110"
push "dhcp-option DNS 10.54.18.111"
client-config-dir C:\\OpenVPN\\ccd
route 192.168.178.0 255.255.255.128
client-to-client
keepalive 10 120
comp-lzo
max-clients 5
persist-key
persist-tun
status C:\\OpenVPN\\log\\openvpn-status.log
log C:\\OpenVPN\\log\\openvpn.log
verb 3

и клиента:

Скрытый текст

client
dev tun
proto tcp
remote ХХХХХХХХ ХХХХ
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
tls-client
keepalive 10 120
key-direction 1
cipher DES-EDE3-CBC
comp-lzo
verb 3
ca /opt/openvpn/clients/ca.crt
cert /opt/openvpn/clients/user.crt
key /opt/openvpn/clients/user.key
tls-auth /opt/openvpn/clients/ta.key

Выходят в логах ошибки: 

Aug 30 16:33:55ndm
Dns::Manager: name server 10.32.20.10 is disregarded while Yandex.DNS is active.
Aug 30 16:33:55ndm
Network::RoutingTable: gateway 192.168.17.7 is unreachable via OpenVPN0.
Aug 30 16:33:55ndm
Network::Interface::OpenVpn: "OpenVPN0": failed to add a nameserver route.
Aug 30 16:33:55ndm
Network::Interface::OpenVpn: "OpenVPN0": adding nameserver 10.54.18.110.
Aug 30 16:33:55ndm
Dns::Manager: name server 10.54.18.110 is disregarded while Yandex.DNS is active.
Aug 30 16:33:55ndm
Network::RoutingTable: gateway 192.168.17.7 is unreachable via OpenVPN0.
Aug 30 16:33:55ndm
Network::Interface::OpenVpn: "OpenVPN0": failed to add a nameserver route.
Aug 30 16:33:55ndm
Network::Interface::OpenVpn: "OpenVPN0": adding nameserver 10.54.18.111.
Aug 30 16:33:55ndm
Dns::Manager: name server 10.54.18.111 is disregarded while Yandex.DNS is active.
Aug 30 16:33:55ndm
Network::RoutingTable: gateway 192.168.17.7 is unreachable via OpenVPN0.
Aug 30 16:33:55ndm
Network::Interface::OpenVpn: "OpenVPN0": failed to add a nameserver route.

DNS адреса при этом передаются нормально.

Edited by Lordmaster
Posted

@Le ecureuil

А сейчас возможно реализовать роутинг в клиентские сети?

То что реализуется через настройку client-config-dir и файлики клиентов с iroute?

Posted

Тоже интересует как настроить маршруты за клиентом, полагаю один роут пишеться в конфиге сервера и один уже в веб морде?

Posted

И еще бы дать статические адреса клиентам было бы не плохо если их несколько...

Posted (edited)

Получил доступ к сети за клиентом при помощи ccd. IP с помощью этого же файла так же подтянулся.

 

Файл носит имя такое же как в сертификате прописано (name):

ifconfig-push 192.168.17.8 192.168.17.7
iroute 192.168.178.0 255.255.255.128

 

С данными настройками все работает.

Edited by Lordmaster
Posted
Только что, Lordmaster сказал:

ccd

ну этот файл как сохранить то на сервере?

Posted
Только что, ICMP сказал:

ну этот файл как сохранить то на сервере?

У меня сервер на винде. В конфиге задается папка для хранения этого: client-config-dir C:\\OpenVPN\\ccd

В этой папке создается файл с именем name из сертификата. В нем уже прописываются:

ifconfig-push 192.168.17.8 192.168.17.7 #статический ip
iroute 192.168.178.0 255.255.255.128 #доступ во внутреннюю сеть

Posted
16 часов назад, r13 сказал:

@Le ecureuil

А сейчас возможно реализовать роутинг в клиентские сети?

То что реализуется через настройку client-config-dir и файлики клиентов с iroute?

Нет, даже не проверялось. На Keeentic хранить что-либо кроме конфига нельзя.

Posted
17 часов назад, Lordmaster сказал:

Подскажите, что за ошибки выходят при передаче DNS?

При конфиге сервера:

  Показать содержимое

и клиента:

  Показать содержимое

Выходят в логах ошибки: 

Aug 30 16:33:55ndm
Dns::Manager: name server 10.32.20.10 is disregarded while Yandex.DNS is active.
Aug 30 16:33:55ndm
Network::RoutingTable: gateway 192.168.17.7 is unreachable via OpenVPN0.
Aug 30 16:33:55ndm
Network::Interface::OpenVpn: "OpenVPN0": failed to add a nameserver route.
Aug 30 16:33:55ndm
Network::Interface::OpenVpn: "OpenVPN0": adding nameserver 10.54.18.110.
Aug 30 16:33:55ndm
Dns::Manager: name server 10.54.18.110 is disregarded while Yandex.DNS is active.
Aug 30 16:33:55ndm
Network::RoutingTable: gateway 192.168.17.7 is unreachable via OpenVPN0.
Aug 30 16:33:55ndm
Network::Interface::OpenVpn: "OpenVPN0": failed to add a nameserver route.
Aug 30 16:33:55ndm
Network::Interface::OpenVpn: "OpenVPN0": adding nameserver 10.54.18.111.
Aug 30 16:33:55ndm
Dns::Manager: name server 10.54.18.111 is disregarded while Yandex.DNS is active.
Aug 30 16:33:55ndm
Network::RoutingTable: gateway 192.168.17.7 is unreachable via OpenVPN0.
Aug 30 16:33:55ndm
Network::Interface::OpenVpn: "OpenVPN0": failed to add a nameserver route.

DNS адреса при этом передаются нормально.

А можно полноценный self-test? Я по обрубкам лога гадать не умею.

Posted
7 минут назад, Le ecureuil сказал:

@Lordmaster а сами DNS активны при этом, к ним есть доступ, ping?

Да, dns активны и работают. И на момент старта OpenVPN, и сейчас. При чем они добавляются и работают, даже после этих ошибок. Проверено на внутренних сайтах

Скрытый текст
sending ICMP ECHO request to 10.32.20.10...
PING 10.32.20.10 (10.32.20.10) 0 (28) bytes of data.
28 bytes from 10.32.20.10: icmp_req=1, ttl=127
28 bytes from 10.32.20.10: icmp_req=2, ttl=127
"Destination unreachable" ICMP packet received from 127.0.0.1 (type = 3, code = 3).
28 bytes from 10.32.20.10: icmp_req=3, ttl=127
28 bytes from 10.32.20.10: icmp_req=4, ttl=127
28 bytes from 10.32.20.10: icmp_req=5, ttl=127
 
--- 10.32.20.10 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss,
0 duplicate(s), time 4047.74 ms.
Скрытый текст
sending ICMP ECHO request to 10.54.18.110...
PING 10.54.18.110 (10.54.18.110) 0 (28) bytes of data.
28 bytes from 10.54.18.110: icmp_req=1, ttl=120
28 bytes from 10.54.18.110: icmp_req=2, ttl=120
"Destination unreachable" ICMP packet received from 127.0.0.1 (type = 3, code = 3).
"Destination unreachable" ICMP packet received from 127.0.0.1 (type = 3, code = 3).
"Destination unreachable" ICMP packet received from 127.0.0.1 (type = 3, code = 3).
"Destination unreachable" ICMP packet received from 127.0.0.1 (type = 3, code = 3).
"Destination unreachable" ICMP packet received from 127.0.0.1 (type = 3, code = 3).
28 bytes from 10.54.18.110: icmp_req=3, ttl=120
28 bytes from 10.54.18.110: icmp_req=4, ttl=120
28 bytes from 10.54.18.110: icmp_req=5, ttl=120
 
--- 10.54.18.110 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss,
0 duplicate(s), time 4229.81 ms.
Скрытый текст
sending ICMP ECHO request to 10.54.18.111...
PING 10.54.18.111 (10.54.18.111) 0 (28) bytes of data.
28 bytes from 10.54.18.111: icmp_req=1, ttl=120
28 bytes from 10.54.18.111: icmp_req=2, ttl=120
"Destination unreachable" ICMP packet received from 94.231.136.102 (type = 3, code = 3).
28 bytes from 10.54.18.111: icmp_req=3, ttl=120
"Destination unreachable" ICMP packet received from 127.0.0.1 (type = 3, code = 3).
"Destination unreachable" ICMP packet received from 127.0.0.1 (type = 3, code = 3).
"Destination unreachable" ICMP packet received from 127.0.0.1 (type = 3, code = 3).
"Destination unreachable" ICMP packet received from 127.0.0.1 (type = 3, code = 3).
"Destination unreachable" ICMP packet received from 127.0.0.1 (type = 3, code = 3).
"Destination unreachable" ICMP packet received from 127.0.0.1 (type = 3, code = 3).
"Destination unreachable" ICMP packet received from 127.0.0.1 (type = 3, code = 3).
"Destination unreachable" ICMP packet received from 127.0.0.1 (type = 3, code = 3).
"Destination unreachable" ICMP packet received from 127.0.0.1 (type = 3, code = 3).
28 bytes from 10.54.18.111: icmp_req=4, ttl=120
28 bytes from 10.54.18.111: icmp_req=5, ttl=120
 
--- 10.54.18.111 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss,

 

Posted

Тогда можете игнорировать эти ошибки.

Насчет исправления не скажу, потому что слишком узкоспецифичная ситуация.

Posted (edited)
В 30.08.2017 в 08:32, Сергей Молоков сказал:
В 25.08.2017 в 14:50, Le ecureuil сказал:

В следующем draft должно стать получше, проверьте.

Здравствуйте!

Спасибо!!! После обновления все четыре роутера законнектились. Пойду куплю еще парочку :)

Здравствуйте!

Сегодня перезагрузил сервер OVPN. Клиенты, которые коннектятся через ISP (6 штук), переконнектились нормально. Имеется еще 3 клиента (два Keenetic III и один Keenetic DSL) c коннектом через PPPoE соединение. Те два, что на Keenetic III не законнектились. Позвонил и попросил перезагрузить роутеры. Один подключился, второй с пяти попыток нет. Приехал посмотреть, show ip route - шлюза нет, подсети OVPN нет. Прописал ip route default PPPoE, подключился к интернету. Через некоторое время появился маршрут OVPN сети и шлюз сменился через OpenVPN0. Лог скопировать изначально не смог, т.к. вин ХР c эксплорером, веб интерфейса не показывает, портабельный хром или фаерфокс загрузить дорого, нужно вести флешкой.

У этого клиента в ccd:

# маршруты до сервера OVPN

push "route xxx.xxx.xxx.xxx 255.255.255.255 192.168.221.1"
push "route yyy.yyy.yyy.yyy 255.255.255.255 192.168.221.1"
iroute 192.168.221.0 255.255.255.0

в настройках OpenVPN соединения стоит галочка получать маршруты, но ни в вебе в статических маршрутах ни в show ip route этих маршрутов нет. А на Keenetic DSL в вебе и в таблице маршрутизации эти маршруты есть, но в ccd клиента их нет, от куда они взялись и почему их нет в первом случае?

Edited by Сергей Молоков
Posted
В 30.08.2017 в 22:21, Lordmaster сказал:

iroute 192.168.178.0 255.255.255.128

 

С данными настройками все работает.

При таких настройках у вас проходит пинг на ИП клиента, на ИП за клиентом или нужно в межсетевой экран добавить правило? У меня только при добавлении правила работает, иначе ни пинга, ни радмина, ни веб роутера не работают.

Posted
8 минут назад, Сергей Молоков сказал:

При таких настройках у вас проходит пинг на ИП клиента, на ИП за клиентом или нужно в межсетевой экран добавить правило? У меня только при добавлении правила работает, иначе ни пинга, ни радмина, ни веб роутера не работают.

Я тоже в межсетевом добавлял правила. Иначе не пропускает

Posted
2 часа назад, Сергей Молоков сказал:

Здравствуйте!

Сегодня перезагрузил сервер OVPN. Клиенты, которые коннектятся через ISP (6 штук), переконнектились нормально. Имеется еще 3 клиента (два Keenetic III и один Keenetic DSL) c коннектом через PPPoE соединение. Те два, что на Keenetic III не законнектились. Позвонил и попросил перезагрузить роутеры. Один подключился, второй с пяти попыток нет. Приехал посмотреть, show ip route - шлюза нет, подсети OVPN нет. Прописал ip route default PPPoE, подключился к интернету. Через некоторое время появился маршрут OVPN сети и шлюз сменился через OpenVPN0. Лог скопировать изначально не смог, т.к. вин ХР c эксплорером, веб интерфейса не показывает, портабельный хром или фаерфокс загрузить дорого, нужно вести флешкой.

У этого клиента в ccd:

# маршруты до сервера OVPN

push "route xxx.xxx.xxx.xxx 255.255.255.255 192.168.221.1"
push "route yyy.yyy.yyy.yyy 255.255.255.255 192.168.221.1"
iroute 192.168.221.0 255.255.255.0

в настройках OpenVPN соединения стоит галочка получать маршруты, но ни в вебе в статических маршрутах ни в show ip route этих маршрутов нет. А на Keenetic DSL в вебе и в таблице маршрутизации эти маршруты есть, но в ccd клиента их нет, от куда они взялись и почему их нет в первом случае?

Везде нужны self-test, иначе ничего непонятно. Я даже слова ccd не понял.

Posted (edited)
17 часов назад, Le ecureuil сказал:

Везде нужны self-test, иначе ничего непонятно. Я даже слова ccd не понял.

С тестами очень сложно, т.к. удаленка и в работе. Постараюсь сговориться оставить их без связи на сколь-то времени и забрав роутер попробовать повторить у себя и снять self-test.

Про ccd: сорри за столь глобальное сокращение :( это клиентские настройки, которые с сервера -  client-config-dir c:/openvpn/config/ccd

self-test.txt

Edited by Сергей Молоков
На другом роутере повторил, сделал несколько перезагрузок, как обнаружилась проблема, сделал self-test, если сделал что-то не так, скажите как, переделаю.
Posted
6 часов назад, Сергей Молоков сказал:

С тестами очень сложно, т.к. удаленка и в работе. Постараюсь сговориться оставить их без связи на сколь-то времени и забрав роутер попробовать повторить у себя и снять self-test.

Про ccd: сорри за столь глобальное сокращение :( это клиентские настройки, которые с сервера -  client-config-dir c:/openvpn/config/ccd

self-test.txt

Примерно понятна ситуация, будем воспроизводить и чинить.

Posted

Не понял, объясните: в 2.10 была добавлена возможность коннектиться к серверу OpenVPN или сам сервер OpenVPN? Возможно ли теоретически в будущем сделать связку СерверOpenVPN+KeenDNSдляВходаКлиентовЧерезОблако?

Posted
50 минут назад, Vitaliy Timoshenko сказал:

Не понял, объясните: в 2.10 была добавлена возможность коннектиться к серверу OpenVPN или сам сервер OpenVPN? Возможно ли теоретически в будущем сделать связку СерверOpenVPN+KeenDNSдляВходаКлиентовЧерезОблако?

Пока работающей связки OpenVPN и KeenDNS нет.

Posted
В 9/5/2017 в 03:47, Сергей Молоков сказал:

С тестами очень сложно, т.к. удаленка и в работе. Постараюсь сговориться оставить их без связи на сколь-то времени и забрав роутер попробовать повторить у себя и снять self-test.

Про ccd: сорри за столь глобальное сокращение :( это клиентские настройки, которые с сервера -  client-config-dir c:/openvpn/config/ccd

self-test.txt

Вроде удалось нейтрализовать пропадание default route, проверьте на новом draft из 2.11.

Posted (edited)
В 08.09.2017 в 15:38, Le ecureuil сказал:

Пока работающей связки OpenVPN и KeenDNS нет.

Какая жаль... Было бы чудесно иметь возможность поднимать cервер OpenVPN (да собственно любой сервер VPN) на роутере, а потом подключать к нему клиентов через DynDNS или KeenDNS. Просто мега-фитча была бы. Она теоретически возможна (вроде как - мне так думается) на OpenWRT пакетах... но там надо быть потомственным шаманом 80 лвла. Нигде толковой статьи о таком я не нашёл. Было бы архиздорово, если бы в будущем такое реализовалось бы "в стиле" и "из коробки" Zyxel.

Edited by Vitaliy Timoshenko
Posted (edited)

@Le ecureuil

У меня на Ultra2 на 2.11 с включенным прошивочным OpenVPN сервером

обнаружил сегодня такое веселье в home.hosts:

Скрытый текст

FullSizeRender.thumb.jpg.675c3a11de9466e798fe14dbab3b1f8e.jpg

Выводит всю подсеть сервера.

ЗЫ на 2.10 такого не замечал.

ЗЫ2 Я так понимаю надо для него отключить опрос ip hotspot?

Вечером скину селфтест.

Edited by r13
  • Thanks 1
Posted
1 минуту назад, r13 сказал:

@Le ecureuil

У меня на Ultra2 на 2.11 с включенным прошивочным OpenVPN сервером

обнаружил сегодня такое веселье в home.hosts:

  Скрыть содержимое

FullSizeRender.thumb.jpg.675c3a11de9466e798fe14dbab3b1f8e.jpg

Выводит всю подсеть сервера.

ЗЫ на 2.10 такого не замечал.

Вечером скину селфтест.

Гыгы. 

В принципе, логичное поведение. У вас интерфейс OpenVPN имеет security-level private или public?

Исправим, чтобы ip hotspot autoscan игнорировал OpenVPN-интерфейсы.

Posted
Только что, Le ecureuil сказал:

Гыгы. 

В принципе, логичное поведение. У вас интерфейс OpenVPN имеет security-level private или public?

Исправим, чтобы ip hotspot autoscan игнорировал OpenVPN-интерфейсы.

Ну так как это сервер то private :)

 

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.