OpenVPN PKI: Site-to-Site инструкция для обсуждения
-
@ Tr0tter
Я бы еще tun0 заменил на tun+
http://glycogen.net/2012/12/01/pfsense-openvpn-server-with-dd-wrt-clients/
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-wrt-router-oder-pfsense-firewall-123285.htmlВот вы мне даёте две ссылки, по какой из них мне пробовать работать ? Какая из них более правильная ? Может быть просто кто нито поделится скриптом правильным, пожалуйста.
-
Вот вы мне даёте две ссылки, по какой из них мне пробовать работать ? Какая из них более правильная ? Может быть просто кто нито поделится скриптом правильным, пожалуйста.
Пробуйте. Никто за Вас не будет решать.
P.s. Что у вас за роутер ? Модель ? -
Вот вы мне даёте две ссылки, по какой из них мне пробовать работать ? Какая из них более правильная ? Может быть просто кто нито поделится скриптом правильным, пожалуйста.
Пробуйте. Никто за Вас не будет решать.
P.s. Что у вас за роутер ? Модель ?Попробовал подключится из под винды делал всё вот по этой статейки:
http://glycogen.net/2012/12/01/pfsense-openvpn-server-with-dd-wrt-clients/
вот с таким вот конфигом:
#OpenVPN Client conf
tls-client
client
dev tun
proto udp
tun-mtu 1400
remote МОЙ IP ПОРТ
ca ca.crt
cert client.crt
key client.key
cipher BF-CBC
comp-lzo
verb 3
ns-cert-type serverВот ошибка:
Fri Mar 28 10:14:55 2014 TLS Error: Unroutable control packet received from [AF_INET]МойIP И ПОРТ (si=3 op=P_CONTROL_V1)
Fri Mar 28 10:14:55 2014 TLS Error: Unroutable control packet received from [AF_INET]МойIP И ПОРТ (si=3 op=P_CONTROL_V1)
Fri Mar 28 10:14:56 2014 TLS Error: Unroutable control packet received from [AF_INET]МойIP И ПОРТ (si=3 op=P_CONTROL_V1)
Fri Mar 28 10:14:56 2014 TLS Error: Unroutable control packet received from [AF_INET]МойIP И ПОРТ (si=3 op=P_ACK_V1)
Fri Mar 28 10:14:57 2014 TLS Error: Unroutable control packet received from [AF_INET]МойIP И ПОРТ (si=3 op=P_CONTROL_V1)Что не так сделал ?)
Или эта статейка исключительно для dd-wrt
и для этого скрипта?:
http://wiki.hidemyass.com/files/Startup_Script_UDP_Extended-V2.3.txtРоутер у меня asus RT-N10U
Полный лог:
Fri Mar 28 10:14:36 2014 OpenVPN 2.3.2 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [eurephia] [IPv6] built on Aug 22 2013
Fri Mar 28 10:14:36 2014 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Fri Mar 28 10:14:36 2014 Need hold release from management interface, waiting…
Fri Mar 28 10:14:37 2014 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Fri Mar 28 10:14:37 2014 MANAGEMENT: CMD 'state on'
Fri Mar 28 10:14:37 2014 MANAGEMENT: CMD 'log all on'
Fri Mar 28 10:14:37 2014 MANAGEMENT: CMD 'hold off'
Fri Mar 28 10:14:37 2014 MANAGEMENT: CMD 'hold release'
Fri Mar 28 10:14:37 2014 WARNING: normally if you use –mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1400)
Fri Mar 28 10:14:37 2014 Socket Buffers: R=[8192->8192] S=[8192->8192]
Fri Mar 28 10:14:37 2014 UDPv4 link local (bound): [undef]
Fri Mar 28 10:14:37 2014 UDPv4 link remote: [AF_INET]МойIP И ПОРТ
Fri Mar 28 10:14:37 2014 MANAGEMENT: >STATE:1395990877,WAIT,,,
Fri Mar 28 10:14:37 2014 MANAGEMENT: >STATE:1395990877,AUTH,,,
Fri Mar 28 10:14:37 2014 TLS: Initial packet from [AF_INET]МойIP И ПОРТ, sid=35784b38 88708ec3
Fri Mar 28 10:14:37 2014 VERIFY OK: depth=1, C=US, ST=NN, L=bor, O=фирма, emailAddress=Почта, CN=internal-ca
Fri Mar 28 10:14:37 2014 VERIFY nsCertType ERROR: C=US, ST=NN, L=bor, O=фирма, emailAddress=Почта, CN=ФИРМА, require nsCertType=SERVER
Fri Mar 28 10:14:37 2014 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Fri Mar 28 10:14:37 2014 TLS Error: TLS object -> incoming plaintext read error
Fri Mar 28 10:14:37 2014 TLS Error: TLS handshake failed
Fri Mar 28 10:14:37 2014 SIGUSR1[soft,tls-error] received, process restarting
Fri Mar 28 10:14:37 2014 MANAGEMENT: >STATE:1395990877,RECONNECTING,tls-error,,
Fri Mar 28 10:14:37 2014 Restart pause, 2 second(s)
Fri Mar 28 10:14:39 2014 WARNING: normally if you use –mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1400)
Fri Mar 28 10:14:39 2014 Socket Buffers: R=[8192->8192] S=[8192->8192]
Fri Mar 28 10:14:39 2014 UDPv4 link local (bound): [undef]
Fri Mar 28 10:14:39 2014 UDPv4 link remote: [AF_INET]МойIP И ПОРТ
Fri Mar 28 10:14:39 2014 MANAGEMENT: >STATE:1395990879,WAIT,,,
Fri Mar 28 10:14:39 2014 TLS Error: Unroutable control packet received from [AF_INET]МойIP И ПОРТ (si=3 op=P_CONTROL_V1)
Fri Mar 28 10:14:39 2014 MANAGEMENT: >STATE:1395990879,AUTH,,,
Fri Mar 28 10:14:39 2014 TLS: Initial packet from [AF_INET]МойIP И ПОРТ, sid=12277969 66f96b8a
Fri Mar 28 10:14:40 2014 VERIFY OK: depth=1, C=US, ST=NN, L=bor, O=фирма, emailAddress=Почта, CN=internal-ca
Fri Mar 28 10:14:40 2014 VERIFY nsCertType ERROR: C=US, ST=NN, L=bor, O=фирма, emailAddress=Почта, CN=ФИРМА, require nsCertType=SERVER
Fri Mar 28 10:14:40 2014 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Fri Mar 28 10:14:40 2014 TLS Error: TLS object -> incoming plaintext read error
Fri Mar 28 10:14:40 2014 TLS Error: TLS handshake failed
Fri Mar 28 10:14:40 2014 SIGUSR1[soft,tls-error] received, process restarting
Fri Mar 28 10:14:40 2014 MANAGEMENT: >STATE:1395990880,RECONNECTING,tls-error,,
Fri Mar 28 10:14:40 2014 Restart pause, 2 second(s)
Fri Mar 28 10:14:42 2014 WARNING: normally if you use –mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1400)
Fri Mar 28 10:14:42 2014 Socket Buffers: R=[8192->8192] S=[8192->8192]
Fri Mar 28 10:14:42 2014 UDPv4 link local (bound): [undef]
Fri Mar 28 10:14:42 2014 UDPv4 link remote: [AF_INET]МойIP И ПОРТ
Fri Mar 28 10:14:42 2014 MANAGEMENT: >STATE:1395990882,WAIT,,,
Fri Mar 28 10:14:42 2014 TLS Error: Unroutable control packet received from [AF_INET]МойIP И ПОРТ (si=3 op=P_CONTROL_V1)
Fri Mar 28 10:14:42 2014 TLS Error: Unroutable control packet received from [AF_INET]МойIP И ПОРТ (si=3 op=P_CONTROL_V1)
Fri Mar 28 10:14:43 2014 TLS Error: Unroutable control packet received from [AF_INET]МойIP И ПОРТ (si=3 op=P_CONTROL_V1)
Fri Mar 28 10:14:43 2014 TLS Error: Unroutable control packet received from [AF_INET]МойIP И ПОРТ (si=3 op=P_CONTROL_V1)
Fri Mar 28 10:14:44 2014 TLS Error: Unroutable control packet received from [AF_INET]МойIP И ПОРТ (si=3 op=P_CONTROL_V1)
Fri Mar 28 10:14:44 2014 TLS Error: Unroutable control packet received from [AF_INET]МойIP И ПОРТ (si=3 op=P_CONTROL_V1)
Fri Mar 28 10:14:44 2014 TLS Error: Unroutable control packet received from [AF_INET]МойIP И ПОРТ (si=3 op=P_ACK_V1)
Fri Mar 28 10:14:45 2014 TLS Error: Unroutable control packet received from [AF_INET]МойIP И ПОРТ (si=3 op=P_CONTROL_V1)
Fri Mar 28 10:14:45 2014 TLS Error: Unroutable control packet received from [AF_INET]МойIP И ПОРТ (si=3 op=P_CONTROL_V1)
Fri Mar 28 10:14:46 2014 TLS Error: Unroutable control packet received from [AF_INET]МойIP И ПОРТ (si=3 op=P_CONTROL_V1)
Fri Mar 28 10:14:46 2014 TLS Error: Unroutable control packet received from [AF_INET]МойIP И ПОРТ (si=3 op=P_CONTROL_V1)
Fri Mar 28 10:14:47 2014 TLS Error: Unroutable control packet received from [AF_INET]МойIP И ПОРТ (si=3 op=P_CONTROL_V1)
Fri Mar 28 10:14:47 2014 TLS Error: Unroutable control packet received from [AF_INET]МойIP И ПОРТ (si=3 op=P_CONTROL_V1)
Fri Mar 28 10:14:48 2014 TLS Error: Unroutable control packet received from [AF_INET]МойIP И ПОРТ (si=3 op=P_CONTROL_V1)
Fri Mar 28 10:14:49 2014 TLS Error: Unroutable control packet received from [AF_INET]МойIP И ПОРТ (si=3 op=P_CONTROL_V1)
Fri Mar 28 10:14:51 2014 TLS Error: Unroutable control packet received from [AF_INET]МойIP И ПОРТ (si=3 op=P_CONTROL_V1)
Fri Mar 28 10:14:53 2014 TLS Error: Unroutable control packet received from [AF_INET]МойIP И ПОРТ (si=3 op=P_CONTROL_V1)
Fri Mar 28 10:14:54 2014 TLS Error: Unroutable control packet received from [AF_INET]МойIP И ПОРТ (si=3 op=P_CONTROL_V1)
Fri Mar 28 10:14:54 2014 TLS Error: Unroutable control packet received from [AF_INET]МойIP И ПОРТ (si=3 op=P_CONTROL_V1)
Fri Mar 28 10:14:55 2014 TLS Error: Unroutable control packet received from [AF_INET]МойIP И ПОРТ (si=3 op=P_CONTROL_V1)
Fri Mar 28 10:14:55 2014 TLS Error: Unroutable control packet received from [AF_INET]МойIP И ПОРТ (si=3 op=P_CONTROL_V1)
Fri Mar 28 10:14:56 2014 TLS Error: Unroutable control packet received from [AF_INET]МойIP И ПОРТ (si=3 op=P_CONTROL_V1)
Fri Mar 28 10:14:56 2014 TLS Error: Unroutable control packet received from [AF_INET]МойIP И ПОРТ (si=3 op=P_ACK_V1)
Fri Mar 28 10:14:57 2014 TLS Error: Unroutable control packet received from [AF_INET]МойIP И ПОРТ (si=3 op=P_CONTROL_V1)Белая IP сервера из дома не пингуется, может быть FW не так настроен ? и поэтому не получает доступ ?
-
Роутер у меня asus RT-N10U
О-о-о! Да вам повезло!
Шейте его этим - http://tomato.groov.pl/ (версия для для Вашего - http://tomato.groov.pl/download/K26RT-N/build5x-116-EN/Asus%20RT-Nxx/tomato-K26USB-1.28.RT-N5x-MIPSR2-116-Big-VPN.trx) . В этой прошивке OpenVPN (client\server) из-коробки идет (и не только он). DD-WRT - просто жалкая поделка в сравнении с TomatoUSB.P.s. Только после перепрошивки не забудьте сбросить NVRAM! http://www.bxtra.net/articles/2012-12-23/how-to-flash-tomatousb-by-shibby-on-asus-rt-n12-b1c1-wireless-n-router
-
Роутер у меня asus RT-N10U
О-о-о! Да вам повезло!
И чем же ? Хотелось бы на DD-WRT, я думаю он сможет справится с тем что мне нужно, томато для болие опытных админов с большим функционалом, который скорее всего мне не нужен, он же не проще в настройках.
-
@ Tr0tter
В Томато Опевпн идет с GUI . Настройка заключается в "тыкание" кнопок - куда проще чем в ДД-ВРТ.
Если охота заморачиваться с правкой конфига руками в ДД-ВРТ - Ваше право.Я лишь предложил более простой и удобной вариант.
http://ru.wikipedia.org/wiki/Tomato
http://en.wikipedia.org/wiki/Tomato_(firmware) -
@ Tr0tter
В Томато Опевпн идет с GUI . Настройка заключается в "тыкание" кнопок - куда проще чем в ДД-ВРТ.
Если охота заморачиваться с правкой конфига руками в ДД-ВРТ - Ваше право.Я лишь предложил более простой и удобной вариант.
http://ru.wikipedia.org/wiki/Tomato
http://en.wikipedia.org/wiki/Tomato_(firmware)Есть подозрение, то что я, что то не то сделал на pfsense именно с сервером опенвпн… (
-
Вопрос, будет ли работать данная настройка если запустить файлики получившиеся по этой статье, под виндой в OpenVPN ?
Или исключительно только на роутерах ? -
В чем проблема проверить ?
-
Подключился, но пинги не ходят, только для виртуального IP ходят
Удалёнка 192.168.5.0\24
Офис 192.168.0.0\24
VPN 10.0.1.0\24
Пингуется только VPN -
Директива iroute. Плюс, если у вас Win в кач-ве клиента и вы хотите увидеть сеть за ним, то не все так просто. Необходимо патчить реестр на предмет IPRoute enable и настраивать службу "Маршрутизации и удаленного доступа". Можете нагуглить решение.
P.s. Выкладывайте скрины fw на LAN, OPENVPN, NAT.
-
Директива iroute. Плюс, если у вас Win в кач-ве клиента и вы хотите увидеть сеть за ним, то не все так просто. Необходимо патчить реестр на предмет IPRoute enable и настраивать службу "Маршрутизации и удаленного доступа". Можете нагуглить решение.
P.s. Выкладывайте скрины fw на LAN, OPENVPN, NAT.
И так бох с ней с виндой, главная задача настроить DD-WRT, что бы сети видели друг друга полноценно по ихним же ИП а не по виртуальным, вот набросал скриптик, но пока что не пробовал, поправьте если что то не так.
#!/bin/sh#USERNAME="MyUsername"
#PASSWORD="MyPassword" # Your HMA_USER_PASSWORD not PPTP password
PROTOCOL="udp" # udp / tcp MUST BE lower caseAdd - delete - edit servers between ##BB## and ##EE##
REMOTE_SERVERS="
##BB##Atlanta - UDP
remote Мой IP порт
##EE##
"DO NOT CHANGE below this line
CA_CRT='–---BEGIN CERTIFICATE-----
ключик
-----END CERTIFICATE-----
'CLIENT_CRT='Ключик
'CLIENT_KEY='Ключик'
OPVPNENABLE=
nvram get openvpncl_enable | awk '$1 == "0" {print $1}'if [ "$OPVPNENABLE" != 0 ]
then
nvram set openvpncl_enable=0
nvram commit
fisleep 30
mkdir /tmp/hmavpncl; cd /tmp/hmavpncl
#echo -e "$USERNAME\n$PASSWORD" > userpass.conf
echo "$CA_CRT" > ca.crt; echo "$CLIENT_CRT" > client.crt; echo "$CLIENT_KEY" > client.key
echo "#!/bin/sh" > route-up.sh; echo -e "#!/bin/sh\nsleep 2" > route-down.sh
echo "#!/bin/sh
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
iptables -I INPUT -i tun0 -j REJECT
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE" > /tmp/.rc_firewall
chmod 644 ca.crt client.crt; chmod 600 client.key userpass.conf; chmod 700 route-up.sh route-down.sh
chmod 700 /tmp/.rc_firewall
sleep 30
echo "client
proto $PROTOCOL
tls-client
client
dev tun
#proto udp
tun-mtu 1400
remote-random
cipher BF-CBC
comp-lzo
verb 3
ns-cert-type server
ca ca.crt
cert client.crt
key client.key
daemon
#auth-user-pass userpass.conf
#remote-random
$REMOTE_SERVERS" > openvpn.conf
ln -s /tmp/hmavpncl/hmavpn.log /tmp/hmavpn.log
(killall openvpn; openvpn –config /tmp/hmavpncl/openvpn.conf --route-up /tmp/hmavpncl/route-up.sh --down-pre /tmp/hmavpncl/route-down.sh) &
exit 0Стоит ли добавлять вот это ?
iptables -I INPUT 3 -i tun0 -p icmp -j ACCEPT
iptables -I INPUT 1 -i tun0 -p tcp --dport 80 -j ACCEPTВот не подключается он с этим конфигом, хоть тресни (((
Добавил в Sava Start Up
Ребутнул роутер, смотрю лог в pfsense а он пустой, он даже не пытается стукнутся -
@ Tr0tter
Я Вам предложил намного более удобный вариант. По вопросам настройки DD-WRT все же лучше обращаться в профильный форум - http://www.dd-wrt.com/phpBB2/search.php (поиск по слову openvpn)
P.s. http://www.dd-wrt.com/wiki/index.php/OpenVPN_-_Site-to-Site_routed_VPN_between_two_routers
-
@ Tr0tter
Я Вам предложил намного более удобный вариант.
ладно попробую Томато, надеюсь оно того стоит )
И надеюсь вы мне поможете с томато.. ) -
Offtop :
Сброс NVRAM не забудьте сделать! -
Offtop :
Сброс NVRAM не забудьте сделать!И так роутер перепрошился успешно, попробовал настроить сам VPN не увенчалось успехом.
Хотелось бы мануал.
Ну и попутный вопрос.
в Тамато есть только одно поле скорее всего для одного ключа (statik key) я туда засунул 3 (ca, caserver, kyeuser)
И так по поводу сети.
192.168.5.0\24 - сеть удалённого офиса
192.168.0.0\24 - центральный
как их подружить ? -
http://www.bxtra.net/articles/2012-12-23/how-to-flash-tomatousb-by-shibby-on-asus-rt-n12-b1c1-wireless-n-router
Сброс NVRAM не забудьте сделать!
P.s. https://forums.openvpn.net/topic12384.html
-
Вроде сделал всё по статье, но у меня теперь OpenVPN не работает на PFsense
http://s020.radikal.ru/i722/1404/54/cd8a5727205f.png
куда посмотреть ? что показать ?
после запуска вот что пишет:
http://i011.radikal.ru/1404/7c/b9d70cc0ada4.png
запускал из:
Status-OpenVPN (первый скрин)
Недавно обновился на 2.1.1 Не из за этого ли ?Вопрос закрыт, было так route 192.168.5.0 255.255.255.0 push "route 10.0.0.0 255.0.0.0
Сделал так route 192.168.5.0 255.255.255.0 push "route 10.0.0.0 255.0.0.0"Продолжаю наблюдения… )
-
Вот лог, когда подключился, сеть центрального офиса пинговать я не мог…
Apr 8 12:07:03 openvpn: user 'User' authenticated
Apr 8 12:07:03 openvpn[96712]: 95.37.126.124:17483 [User] Peer Connection Initiated with [AF_INET]95.37.126.124:17483
Apr 8 12:07:03 openvpn[96712]: User/95.37.126.124:17483 MULTI_sva: pool returned IPv4=10.200.0.6, IPv6=(Not enabled)
Apr 8 12:07:05 openvpn[96712]: User/95.37.126.124:17483 send_push_reply(): safe_cap=940
Apr 8 12:18:48 openvpn[96712]: User/95.37.126.124:17483 [User] Inactivity timeout (–ping-restart), restarting -
Apr 8 14:49:56 openvpn: user 'User' authenticated
Apr 8 14:49:56 openvpn[99997]: 79.126.25.160:5272 [User] Peer Connection Initiated with [AF_INET]79.126.25.160:5272
Apr 8 14:49:56 openvpn[99997]: User/79.126.25.160:5272 MULTI_sva: pool returned IPv4=10.200.0.6, IPv6=(Not enabled)
Apr 8 14:49:58 openvpn[99997]: User/79.126.25.160:5272 send_push_reply(): safe_cap=940Ни чего не пингуется совсем
