openvpn сервер на keenetik Lite (KN-1311) для подключения к нему из другой сети

[bagas]

Привет.

Не пойму как настраивать openvpn сервер на keenetik Lite (KN-1311) для подклчюения из другой сети?

Есть статический ип адрес который получаю от провайдера, провайдер подключен к роутеру.

Подключаться к openvpn серверу буду из линукс системы.

 

Допустим пример конфига который хочу использовать на сервере openvpn:

local мой_внешний_статический_ипадрес
port 25311

proto udp
dev tun

server 10.1.0.2 255.255.255.0
route 192.168.2.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.2.0 255.255.255.0"

sndbuf 262144
rcvbuf 262144
push "sndbuf 262144"
push "rcvbuf 262144"

keepalive 10 120
data-ciphers AES-128-GCM
data-ciphers-fallback AES-128-GCM
auth SHA256
max-clients 5
persist-key
persist-tun

verb 3
mute 20

А вот как сгенерировать  ca, cert, key, tls-auth?

В мануалах по кинетику есть только настройка site-to-site.

https://help.keenetic.com/hc/ru/articles/360000880359-Клиент-и-сервер-OpenVPN

[Кинетиковод]

10 минут назад, bagas сказал:

А вот как сгенерировать  ca, cert, key, tls-auth?

В мануалах по кинетику есть только настройка site-to-site.

Мануал тут. Хотя зачем вам именно openvpn, да ещё и на Lite непонятно. Что-то попроще никак не подходит? На Lite лучше использовать wireguard.

[bagas]

openvpn сервер поднялся, клиент openvpn на линукс подключился к openvpn серверу, пинги в обе стороны есть.

Но я не как не могу понять, как мне теперь завернуть нужный для меня исходящий трафик на кинетике через впн тунель созданый между keenetik Lite (KN-1311) и linux debian клиентским подключением openvpn, что бы сгенерированный трафик выходил через клиентский openvpn.

на клиентской системе Linux Debian поднялся интерфейс tun0.

tun0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST>  mtu 1500
        inet 10.45.45.6  netmask 255.255.255.255  destination 10.45.45.5
        unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  txqueuelen 500  (UNSPEC)
        RX packets 27  bytes 1932 (1.8 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 20  bytes 1708 (1.6 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

В iptables такие правила.

root@mynetworks:~# iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 67 packets, 4329 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain INPUT (policy ACCEPT 19 packets, 1212 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 14 packets, 973 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 5 packets, 319 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    9   654 MASQUERADE  0    --  *      eth0    0.0.0.0/0            0.0.0.0/0 

root@mynetworks:~# iptables -nvL
Chain INPUT (policy DROP 53 packets, 3345 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   10   780 ACCEPT     0    --  lo     *       0.0.0.0/0            0.0.0.0/0           
  277 32922 ACCEPT     0    --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
    0     0 REJECT     6    --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID,NEW tcp flags:0x12/0x12 reject-with tcp-reset
    0     0 ACCEPT     6    --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
    0     0 ACCEPT     6    --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443
    2   120 ACCEPT     0    --  *      *       17.45.20.26          0.0.0.0/0           
    0     0 ACCEPT     0    --  *      *       17.45.21.172         0.0.0.0/0           
    0     0 ACCEPT     17   --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:45215
   17  1092 ACCEPT     0    --  *      *       10.45.45.0/24        0.0.0.0/0           

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     0    --  eth0   tun0    0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     0    --  tun0   eth0    0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT 241 packets, 38612 bytes)
 pkts bytes target     prot opt in     out     source               destination  

Где статический ip адрес 17.45.20.26 это мой кинетика.

Конфиг файл openvpn сервера.

port 25311

proto udp
dev tun

server 10.45.45.0 255.255.255.0

sndbuf 262144
rcvbuf 262144
push "sndbuf 262144"
push "rcvbuf 262144"

keepalive 10 120
data-ciphers AES-128-GCM
data-ciphers-fallback AES-128-GCM
auth SHA256
max-clients 5
persist-key
persist-tun

verb 3
mute 20

<ca>
CA-сертификат
</ca>
<cert>
серт сервера
</cert>
<key>
ключ
</key>
<tls-auth>
ключ
</tls-auth>
dh none

конфиг клиента

client
dev tun
proto udp
remote 17.45.20.26 25215
sndbuf 262144
rcvbuf 262144
comp-lzo no
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
data-ciphers AES-128-GCM
data-ciphers-fallback AES-128-GCM
auth SHA256
verb 0
key-direction 1
<ca>
серт цетра
</ca>
<cert>
серт пользователя
</cert>
<key>
ключ
</key>
<tls-auth>
ключ
</tls-auth>
dh none

 

[bagas]

На кинетики вижу что поднялся openvpn сервер.

 

Изменено Пятница в 12:52 пользователем bagas

[bagas]

все перепробовал, не пойму как заставить рабоать.

на keenetik Lite (KN-1311) сервер openvpn поднялся без ошибок.

на клиентской системе linux debian openvpn client тунель поднялся нормально без ошибок.

Пытаюсь с роутер keenetik Lite (KN-1311) завернуть трафик в тунель openvpn и не получатеся, перепробовал логичное и не логчиное, нивкакую трафик нехочет бежать в тунель и выходить в мир через linux debian openvpn client.

[Mamay]

Только что, bagas сказал:

все перепробовал, не пойму как заставить рабоать..

На форуме можно до бесконечности разговаривать самим с собой. Есть вопросы к базовому функционалу? - вперёд к специально обученным людям, читайте официальную техническую поддержку.

Предвосхищая события адрес офТП в моей подписи.

[Denis P]

24 минуты назад, bagas сказал:

все перепробовал, не пойму как заставить рабоать.

на keenetik Lite (KN-1311) сервер openvpn поднялся без ошибок.

на клиентской системе linux debian openvpn client тунель поднялся нормально без ошибок.

Пытаюсь с роутер keenetik Lite (KN-1311) завернуть трафик в тунель openvpn и не получатеся, перепробовал логичное и не логчиное, нивкакую трафик нехочет бежать в тунель и выходить в мир через linux debian openvpn client.

если вы хотите пускать трафик через ж.. (вырезано цензурой)
возьмите для этих целей wireguard и не мучайтесь, там нет разницы кто сервер кто клиент

[bagas]

wireguard забанен в России,

а выход - openvpn client EN + openvpn server RU - вход, работает.

Другие протоколы vpn с обфускацие неподдерживаются кинетиком.

Изменено Пятница в 18:11 пользователем bagas

[Илья Картавенко]

Только что, bagas сказал:

wireguard забанен в России,

а openvpn client EN + openvpn server RU, работает.

Другие протоколы vpn с обфускацие неподдерживаются кинетиком.

Это вам блогеры сказали? Все работает.