исправлено OpenVPN - недоступна подсеть за клиентом

[dexter]

На клиенте "no isolate-private" и security-level private не забыли?

[Pablo]

On 3/5/2018 at 9:05 PM, dexter said:

На клиенте "no isolate-private" и security-level private не забыли?

а я не знаю, что это и где это написать.

[Le ecureuil]

В 3/5/2018 в 19:46, Pablo сказал:

Господа, я сейчас специально купил Кинетик Старт, поднял  на нем клиента, от него вижу подсеть за сервером, от сервера клиент кинетик не виден.

Возникает вопрос, это у меня кривые руки или не у меня.

Пожалуйста, скиньте конфиги сервера и клиента, я проверю что там у вас происходит.

[Le ecureuil]

@Pablo уважаемый, вы уже решили проблему? Нет желания досвести до конца?

[Pablo]

On 3/16/2018 at 12:10 PM, Le ecureuil said:

@Pablo уважаемый, вы уже решили проблему? Нет желания досвести до конца?

Пока бодаемся с саппортом, находимся ровно на той же стадии. Если хотите, пришлю селфтесты, скажите, куда.

Айсолэйт-прайвит не помог.

Изменено 18 марта, 2018 пользователем Pablo

[r13]

4 минуты назад, Pablo сказал:

Пока бодаемся с саппортом, находимся ровно на той же стадии. Если хотите, пришлю селфтесты, скажите, куда.

https://forum.keenetic.net/announcement/4-как-правильно-добавить-self-test-и-прочую-отладку-в-тему/

[Pablo]

Получилось (но это не точно ). А то в еще одной теме просто вся тема удалилась.

[r13]

57 минут назад, Pablo сказал:

Получилось (но это не точно ). А то в еще одной теме просто вся тема удалилась.

Вся тема, если вы первый пост скрываете. 

[Le ecureuil]

3 часа назад, Pablo сказал:

Получилось (но это не точно ). А то в еще одной теме просто вся тема удалилась.

Спасибо, буду разбираться.

[Le ecureuil]

В 3/18/2018 в 20:27, Pablo сказал:

Получилось (но это не точно ). А то в еще одной теме просто вся тема удалилась.

Итак, удалось разобраться в чем дело.

Вся суть в том, что OpenVPN в режиме topology subnet кроме системного роутинга использует еще и внутренний, который как раз и вредит в данном случае. А внутренний роутинг задается только через директиву iroute.

Кратко, вывод такой:

 - дождаться следующего draft, в котором будет полноценная поддержка iroute.

 - для клиента создать ccd-файл в разделе storage, с указанием подсети, в вашем случае с 2 кинетиками он будет выглядеть так:

push "route 192.168.1.0 255.255.255.0"
push "route 10.8.0.1 255.255.255.255" 
iroute 192.168.2.0 255.255.255.0

 - убрать все упоминания о push route и route из основного конфига в ccd-файл.

 - указать в конфиге директиву client-config-dir /storage для работы ccd.

 - залить ccd-файл клиента в storage можно даже через web.

 

Неустранимый минус такого решения - сервер может быть только на устройстве, где есть раздел /storage, то есть только на устройствах с USB-портом. Клиентом же может выступать абсолютно любое устройство.

 

Если все будет работать нормально, перенесем исправление и в 2.11.

[r13]

8 минут назад, Le ecureuil сказал:

Итак, удалось разобраться в чем дело.

Вся суть в том, что OpenVPN в режиме topology subnet кроме системного роутинга использует еще и внутренний, который как раз и вредит в данном случае. А внутренний роутинг задается только через директиву iroute.

Кратко, вывод такой:

 - дождаться следующего draft, в котором будет полноценная поддержка iroute.

 - для клиента создать ccd-файл в разделе storage, с указанием подсети, в вашем случае с 2 кинетиками он будет выглядеть так:

push "route 192.168.1.0 255.255.255.0"
push "route 10.8.0.1 255.255.255.255" 
iroute 192.168.2.0 255.255.255.0

 - убрать все упоминания о push route и route из основного конфига в ccd-файл.

 - указать в конфиге директиву client-config-dir /storage для работы ccd.

 - залить ccd-файл клиента в storage можно даже через web.

 

Неустранимый минус такого решения - сервер может быть только на устройстве, где есть раздел /storage, то есть только на устройствах с USB-портом. Клиентом же может выступать абсолютно любое устройство.

 

Если все будет работать нормально, перенесем исправление и в 2.11.

@Le ecureuil А что изменилось? Эти манипуляции можно и сейчас проделать, я во всяком случае iroute в таком варианте испытывал.

[Pablo]

Вот, что мне ответил сегодня саппорт.

Quote

Добрый день Павел.

Да я попробовал с вашими конфигурациями OpenVPN. Описываемая проблема существует.
Ее нет, если использовать топологию не сервер, а точка-точка, т.е. указать в конфиге сервера:
tls-server
ifconfig 10.8.0.1 10.8.0.2
вместо 
server 10.8.0.0 255.255.255.0
client-to-client
topology subnet
а на клиенте:
tls-client
ifconfig 10.8.0.2 10.8.0.1
вместо
client
и задать на клиенте маршрут в сеть сервера, а push на стороне сервера соответственно убрать
У меня такая конфигурация изначально и работала, поэтому удивился, что у вас не работает. Даже еще проще была ,без сертификатов и tls, как в первой части: https://help.keenetic.net/hc/ru/articles/115005822629,
Почему доступа нет в топологии сервер пока разбираюсь, вероятно потребуется настройка вроде этой: 
https://community.openvpn.net/openvpn/wiki/RoutedLans






 

ifconfig 10.8.0.2 10.8.0.1

 

С уважением,
служба поддержки.

По клиент-клиент более-менее понятно.

А по ccd на стр. 1 r13 говорил, что раздел /storage есть в дефолте на 1010, и не надо USB-девайсов.

По iroute - делаем стандартно, как в большом OpevVPN?

> - залить ccd-файл клиента в storage можно даже через web.

Можно тут подробнее?

На мой взгляд, если делать в прошивке iroute, то надо это тоже выносить в веб-морду.

Давайте обсудим.

Изменено 21 марта, 2018 пользователем Pablo

[r13]

31 минуту назад, Pablo сказал:

Вот, что мне ответил сегодня саппорт.

По клиент-клиент более-менее понятно.

А по ccd на стр. 1 r13 говорил, что раздел /storage есть в дефолте на 1010, и не надо USB-девайсов.

По iroute - делаем стандартно, как в большом OpevVPN?

> - залить ccd-файл клиента в storage можно даже через web.

Можно тут подробнее?

На мой взгляд, если делать в прошивке iroute, то надо это тоже выносить в веб-морду.

Давайте обсудим.

Сама флешка не нужна, просто раздел storage есть только на устройствах с usb

[Pablo]

Про /storage. Если я правильно понимаю, то все файлы, которые показываются в веб-интерфейсе, лежат в /flash

Т.е., руками создаем там где-то папочку, и кладем ccd? Вопрос - где его создавать. Оно при перезагрузке не удалится?

Как положить каталог/файлы из веб-морды?

Изменено 21 марта, 2018 пользователем Pablo

[Le ecureuil]

6 часов назад, r13 сказал:

@Le ecureuil А что изменилось? Эти манипуляции можно и сейчас проделать, я во всяком случае iroute в таком варианте испытывал.

Сейчас iroute для внутренней маршрутизации работает, но роуты, которые он добавляет, не приходят в систему.

То есть между клиентами связь есть, а от сервера к клиентам (если за клиентами подсети какие-то) без ручной настройки не заведется.

[Le ecureuil]

5 часов назад, Pablo сказал:

Вот, что мне ответил сегодня саппорт.

По клиент-клиент более-менее понятно.

А по ccd на стр. 1 r13 говорил, что раздел /storage есть в дефолте на 1010, и не надо USB-девайсов.

По iroute - делаем стандартно, как в большом OpevVPN?

> - залить ccd-файл клиента в storage можно даже через web.

Можно тут подробнее?

На мой взгляд, если делать в прошивке iroute, то надо это тоже выносить в веб-морду.

Давайте обсудим.

Раздел /storage есть на любом устройстве с USB-портом, даже если порты не используются. Он обычно пустой, и предназначен в первую очередь для драйверов принтеров. Однако, мы его со спокойной совестью можем использовать для ccd.

Да, делаем стандартно, как в большом OpenVPN.

Залить файл можно через Web - идите в просмотр файлов, выбираете раздел storage, и заливаете туда файл.

Насчет iroute в прошивке - это уже в следующем релизе, потому что еще нужно с PKI разобраться.

[Pablo]

7 minutes ago, Le ecureuil said:

Раздел /storage есть на любом устройстве с USB-портом, даже если порты не используются. Он обычно пустой, и предназначен в первую очередь для драйверов принтеров. Однако, мы его со спокойной совестью можем использовать для ccd.

Да, делаем стандартно, как в большом OpenVPN.

Залить файл можно через Web - идите в просмотр файлов, выбираете раздел storage, и заливаете туда файл.

Насчет iroute в прошивке - это уже в следующем релизе, потому что еще нужно с PKI разобраться.

Спасибо за подробное объяснение. Просмотра файлов это тут (картинка)? Как тут пойти в просмотр? Извините за дурацкий вопрос.

>То есть между клиентами связь есть, а от сервера к клиентам (если за клиентами подсети какие-то) без ручной настройки не заведется.

Т.е., если имеем клиента 192.168.х.0/24, то при пуше маршрутов из iroute сервера будет видна сеть 192.168.х.0/24 или нет? В текущих прошивках это можно как-то сделать вообще?

Изменено 21 марта, 2018 пользователем Pablo

[Le ecureuil]

2 часа назад, Pablo сказал:

Про /storage. Если я правильно понимаю, то все файлы, которые показываются в веб-интерфейсе, лежат в /flash

Т.е., руками создаем там где-то папочку, и кладем ccd? Вопрос - где его создавать. Оно при перезагрузке не удалится?

Как положить каталог/файлы из веб-морды?

Они лежат реально в /storage.

При перезагрузке не удалится.

В новом web пока это еще не доделано, а в старом можно все сделать тут:

Если у вас KN-1010, то придется на время поставить 2.11, чтобы залить нужные файлы - старый веб для них в 2.12 уже недоступен.

[r13]

13 минуты назад, Le ecureuil сказал:

Сейчас iroute для внутренней маршрутизации работает, но роуты, которые он добавляет, не приходят в систему.

То есть между клиентами связь есть, а от сервера к клиентам (если за клиентами подсети какие-то) без ручной настройки не заведется.

Посмотрим конечно в следующем драфте, но iroute вроде как и не должен ничего добавлять в основную таблицу. 

route в основном конфиге. добавляет записи во внешнюю таблицу маршрутизации( добавляем route со всеми клинтскими сетями в основной конфиг)

push route передает маршруты клиентам ( также в основной конфиг push route со всеми сетями включая серверную)

iroute в ccd он обеспечивает внутреннюю маршрутизацию(привязку сетей к клинтам) а также препятствует передаче на клинта маршрута из команды. push route совпадающего с iroute. 

Помоему так. 

[Le ecureuil]

9 минут назад, Pablo сказал:

>То есть между клиентами связь есть, а от сервера к клиентам (если за клиентами подсети какие-то) без ручной настройки не заведется.

Т.е., если имеем клиента 192.168.х.0/24, то при пуше маршрутов из iroute сервера будет видна сеть 192.168.х.0/24 или нет? В текущих прошивках это можно как-то сделать вообще?

 

Между двумя кинетиками-клиентами, подключенными к одному серверу, у каждого из которых своя подсеть за ним и каждому настроен iroute - все работает уже сейчас. Однако от сервера к этим подсетям пока доступа нет - это было недоделано. Именно этот сценарий как раз проявляется у вас.

[Le ecureuil]

2 минуты назад, r13 сказал:

Посмотрим конечно в следующем драфте, но iroute вроде как и не должен ничего добавлять в основную таблицу. 

route в основном конфиге. добавляет записи во внешнюю таблицу маршрутизации( добавляем route со всеми клинтскими сетями в основной конфиг)

push route передает маршруты клиентам ( также в основной конфиг push route со всеми сетями включая серверную)

iroute в ccd он обеспечивает внутреннюю маршрутизацию(привязку сетей к клинтам) а также препятствует передаче на клинта маршрута из команды. push route совпадающего с iroute. 

Помоему так. 

Маршрут из iroute должен попадать на сервер, иначе от сервера в эти подсети за клиентами в режиме subnet попасть невозможно (если только их руками не прописать) - как раз эта проблема и была у ТС.

Да, можно закостылить с двумя одинаковыми опциями в конфиге - iroute + route, но это некрасиво и неочевидно.

[r13]

1 минуту назад, Le ecureuil сказал:

Маршрут из iroute должен попадать на сервер, иначе от сервера в эти подсети за клиентами в режиме subnet попасть невозможно (если только их руками не прописать) - как раз эта проблема и была у ТС.

Т е попадания в основную таблицу маршрута до клиента через команду route не достаточно?  Ок попробую на досуге. 

[Pablo]

10 minutes ago, Le ecureuil said:

Между двумя кинетиками-клиентами, подключенными к одному серверу, у каждого из которых своя подсеть за ним и каждому настроен iroute - все работает уже сейчас. Однако от сервера к этим подсетям пока доступа нет - это было недоделано. Именно этот сценарий как раз проявляется у вас.

в общем, на текущий момент ответ — никак. Т.е., полноценного сервера не получить, в лучшем случае точка-точка, только соединение двух (и не более) подсетей, как мне ответили в саппорте, я правильно понимаю?

Изменено 21 марта, 2018 пользователем Pablo

[Le ecureuil]

6 минут назад, r13 сказал:

Т е попадания в основную таблицу маршрута до клиента через команду route не достаточно?  Ок попробую на досуге. 

route недостаточно, в topology subnet уже внутренний роутинг не пустит. iroute не добавит маршрут в систему. Комбинация в теории поможет, но лучше сразу сделать нормальную обработку iroute.

[Le ecureuil]

2 минуты назад, Pablo сказал:

в общем, на текущий момент ответ — никак. Т.е., полноценного сервера не получить, в лучшем случае client-to-client, только соединение двух (и не более) подсетей, как мне ответили в саппорте, я правильно понимаю?

Подождите до пятницы, выйдет draft с исправлением - и все настроите.

[r13]

3 минуты назад, Le ecureuil сказал:

route недостаточно, в topology subnet уже внутренний роутинг не пустит. iroute не добавит маршрут в систему. Комбинация в теории поможет, но лучше сразу сделать нормальную обработку iroute.

Возможно не точно выразился, конечно комбинация route+iroute

Во всяком случае openvpn faq рекомендует именно так

https://community.openvpn.net/openvpn/wiki/RoutedLans

[Le ecureuil]

8 минут назад, r13 сказал:

Возможно не точно выразился, конечно комбинация route+iroute

Во всяком случае openvpn faq рекомендует именно так

https://community.openvpn.net/openvpn/wiki/RoutedLans

К сожалению, даже ТС неосилил это мануал  Потому все же сделем лицом к пользователям.

[r13]

Только что, Le ecureuil сказал:

К сожалению, даже ТС неосилил это мануал  Потому все же сделем лицом к пользователям.

Это да, в какой-то степени эту доработку можно считать упрощением настройки.

[Pablo]

13 minutes ago, Le ecureuil said:

К сожалению, даже ТС неосилил это мануал  Потому все же сделем лицом к пользователям.

вы меня, конечно, простите, но ТС осилил и этот мануал, и перечитал все остальное. Т.к. кинетик покупался с целью не ходить в CLI и не писать туда старт-скрипты и прочие дроп реджекты и маскарады, то я просто жду развития событий.

Асус, который сдох, и вместо которого и был куплен Кинетик был настроен именно так - с ccd, iroute и т.д. Правда, версия была старовата, в последних версиях OpenVPN, когда в хидерах знаки поменялись, перестали клиенты ходить, да мне и не надо было.

Изменено 21 марта, 2018 пользователем Pablo

[r13]

21 час назад, Pablo сказал:

вы меня, конечно, простите, но ТС осилил и этот мануал, и перечитал все остальное. Т.к. кинетик покупался с целью не ходить в CLI и не писать туда старт-скрипты и прочие дроп реджекты и маскарады, то я просто жду развития событий.

Асус, который сдох, и вместо которого и был куплен Кинетик был настроен именно так - с ccd, iroute и т.д. Правда, версия была старовата, в последних версиях OpenVPN, когда в хидерах знаки поменялись, перестали клиенты ходить, да мне и не надо было.

Собрал стенд, воспроизвел инструкцию.

Все работает. Сети за сервером и клиентом доступны друг другу.

Сеть  сервера 192.168.255.0/24

Сеть  клиента 192.168.4.0/24

Конфиг на сервере:

topology subnet
server 10.8.1.0 255.255.255.0
client-to-client
client-config-dir /storage/ccd
route 192.168.4.0 255.255.255.0
push "route 192.168.255.0 255.255.255.0"
push "route 192.168.4.0 255.255.255.0"

CCD на сервере:

iroute 192.168.4.0 255.255.255.0