Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Где взять тестовые сборки
Официальное хранилище ПО в виде файлов
  • 0

OpenWrt VPN client to Keenetic VPN server

Alex M. Jake

Ответ от Alex M. Jake,

 Поделиться

Вопрос

Alex M. Jake Пользователь

Alex M. Jake

Опубликовано
Опубликовано

Задача, надо объединить сегменты сетей. На Giga поднимаю VPN сервер:

1. PPTP не хочу, не секьюрно. Но потыкавшись с остальными, попробовал и его. На OpenWrt создал интерфейс, в котором снял галку default gateway (что-то типа этого). Но не соединяется, выдаёт invalid proto.

2. IPsec IKE2 тоже не хочу, пакеты для OpenWrt очень тяжёлые. Все в память роутера не влазят, а какие минимально необходимый комплект пакетов поставить - пока не знаю.

3. L2TP/IPsec нативно в OpenWrt не поддерживается, только L2TP. Как настроить L2TP/IPsec в OpenWrt - инструкции найти не могу.

4. SSTP, пока главный кандидат. Поставил sstp-client пакет. Как я понял, в uci он не поддерживается. На роутере в ssh запустил команду "sstpc --cert-warn --save-server-route --user <login> --password <pass> <gate>.keenetic.link" - соединение поднялось, ура! Теперь вопрос, как прописать это в конфиги на OpenWrt, чтобы поднималось само при старте. Ещё вопрос, SSTP в Гиге акселирируется хардварно или нет?

8 ответов на этот вопрос

Рекомендуемые сообщения

  • 0
ndm Старожил

ndm

Опубликовано
Опубликовано
7 минут назад, Alex M. Jake сказал:

Ещё вопрос, SSTP в Гиге акселирируется хардварно или нет?

Нет. Wireguard попробуйте, он по скорости гораздо приятнее.

  • 0
Alex M. Jake Пользователь

Alex M. Jake

Опубликовано
  • Автор
Опубликовано
23 minutes ago, ndm said:

Нет. Wireguard попробуйте, он по скорости гораздо приятнее.

Wireguard у меня работал, когда на обоих концах стоял OpenWrt. Сейчас решил основной роутер заменить на Гигу, отчасти из-за того, что приличный роутер, на который можно поставить OpenWrt, стоит столько же (!).

 

С wireguard заметил такую "фичу", он ресолвит ddns имя при старте и в дальнейшем при потере соединения пытается соединится с уже полученным ip. Получается, при динамическом IP, соединение может не восстановится при перезагрузке роутера. Это не проблема, на удалённом роутере можно тоже поднять ddns и основной роутер при перезагрузке будет сам восстанавливать соединение с удалённым роутером. Но у меня удалённому роутеру провайдер иногда выдаёт серый ip, поэтому в идеале я бы хотел, чтобы инициатором соединения был удалённый роутер, а основной (Гига) пассивно ждал входящего соединения.

Ещё смущает реализация wireguard в Гиге, он opkg тянет. Хотелось бы обойтись без них. Может дадите инструкцию как L2TP/IPsec в OpenWrt поднять?

  • 0
Mamay Старожил

Mamay

Опубликовано
Опубликовано
32 минуты назад, Alex M. Jake сказал:

Ещё смущает реализация wireguard в Гиге, он opkg тянет. Хотелось бы обойтись без них. 

В ветке 3.3 wireguard идёт "из коробки" без opkg...

  • Спасибо 1
  • 0
Mamay Старожил

Mamay

Опубликовано
Опубликовано
1 час назад, Alex M. Jake сказал:

Осталось дождатья когда 3.3 в релиз уйдёт. В январе, судя по ченджлогу 3.1

Можно не ждать 2020, а проставить себе draft и помочь разработчикам свой скилл повысить. )))

  • 0
WOFF4EG Новичок

WOFF4EG

Опубликовано
Опубликовано
В 28.10.2019 в 11:17, Alex M. Jake сказал:

Задача, надо объединить сегменты сетей. На Giga поднимаю VPN сервер:

1. PPTP не хочу, не секьюрно. Но потыкавшись с остальными, попробовал и его. На OpenWrt создал интерфейс, в котором снял галку default gateway (что-то типа этого). Но не соединяется, выдаёт invalid proto.

2. IPsec IKE2 тоже не хочу, пакеты для OpenWrt очень тяжёлые. Все в память роутера не влазят, а какие минимально необходимый комплект пакетов поставить - пока не знаю.

3. L2TP/IPsec нативно в OpenWrt не поддерживается, только L2TP. Как настроить L2TP/IPsec в OpenWrt - инструкции найти не могу.

4. SSTP, пока главный кандидат. Поставил sstp-client пакет. Как я понял, в uci он не поддерживается. На роутере в ssh запустил команду "sstpc --cert-warn --save-server-route --user <login> --password <pass> <gate>.keenetic.link" - соединение поднялось, ура! Теперь вопрос, как прописать это в конфиги на OpenWrt, чтобы поднималось само при старте. Ещё вопрос, SSTP в Гиге акселирируется хардварно или нет?

Вопрос по SSTP клиенту.

Тоже хотелось бы объеденить сети. В качестве сервера выступает keenetic, а клиентом будет служить роутер с OpenWrt 19.07.

Получилось только поднять соединение командой sstpc --cert-warn --tls-ext --save-server-route --user *** --password *** sh
aman4egs.keenetic.pro

Но вот получить достум через созданный интерфейс

ppp0 Link encap:Point-to-Point Protocol
inet addr:192.168.200.7 P-t-P:192.168.1.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1350 Metric:1
RX packets:4 errors:0 dropped:0 overruns:0 frame:0
TX packets:4 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:40 (40.0 B) TX bytes:46 (46.0 B)

 к клиентам в локальной сети сервера так и не получилось. Пробовал добавлять маршруты, но делал это всё на ходу...

Маршруты на OpenWrt

root@OpenWrt:~# route

Kernel IP routing table

Destination Gateway Genmask Flags Metric Ref Use Iface

default 192.168.27.181 0.0.0.0 UG 0 0 0 wlan0

95.84.164.227 192.168.27.181 255.255.255.255 UGH 0 0 0 wlan0

192.168.1.0 192.168.1.1 255.255.255.0 UG 0 0 0 ppp0

192.168.27.0 * 255.255.255.0 U 0 0 0 wlan0

192.168.100.0 * 255.255.255.0 U 0 0 0 br-lan

Эхо-запрос до 192.168.1.1 (IP роутера keenetic) при поднятом соединении доходитдоходит.

Теперь вопрос в том, как это всё прописать чтобы соединение поднималось само и был маршрут в локальную сеть сервера.

сервераПростое создание сетевого интерфейса в etc/config/network не помогает.

  • 0
VecH Продвинутый пользователь

VecH

Опубликовано
Опубликовано (изменено)

Ставим обновляем список пакетов и устанавливаем необходимые 

opkg update
opkg install ca-certificates luci-proto-sstp sstp-client

Обязательно надо перезагрузить роутер (что бы luci начала принимать протокол sstp)
Можно это сделать и безе перезагрузки, но я не помню как

Создаете соединение (Network / Interfaces), и в созданном подключении нужно вбить 5 параметров

Закладка General Settings
Protocol: SSTP
SSTP Server: xxxxx.keenetic.link
PAP/CHAP username: vpn_sstp_user
PAP/CHAP password: vpn_sstp_password

Закладка: Advanced Settings
Extra sstpc options: --tls-ext --save-server-route
Extra pppd options: refuse-eap refuse-pap refuse-mschap require-mschap-v2 noauth noipdefault

Use default gateway: нужно убрать если доступ только в локальную сеть сервера
если галочка поставлена, весь трафик пойдет в туннель

Всё, так у меня стало подключаться к роутеру кинетик по протоколу sstp

параметр --save-server-route видимо не работает или игнорируется при подключении
из за этого на клиенте маршрут в локальную сеть сервера нужно прописывать вручную

Изменено пользователем VecH

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить на вопрос...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку вопросов

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю