Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    OpenVPN PKI: Site-to-Site инструкция для обсуждения

    Scheduled Pinned Locked Moved Russian
    376 Posts 39 Posters 192.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • werterW
      werter
      last edited by

      @ Tr0tter

      В Томато Опевпн идет с GUI . Настройка заключается в "тыкание" кнопок - куда проще чем в ДД-ВРТ.
      Если охота заморачиваться с правкой конфига руками в ДД-ВРТ - Ваше право.

      Я лишь предложил более простой и удобной вариант.

      http://ru.wikipedia.org/wiki/Tomato
      http://en.wikipedia.org/wiki/Tomato_(firmware)

      1 Reply Last reply Reply Quote 0
      • T
        Tr0tter
        last edited by

        @werter:

        @ Tr0tter

        В Томато Опевпн идет с GUI . Настройка заключается в "тыкание" кнопок - куда проще чем в ДД-ВРТ.
        Если охота заморачиваться с правкой конфига руками в ДД-ВРТ - Ваше право.

        Я лишь предложил более простой и удобной вариант.

        http://ru.wikipedia.org/wiki/Tomato
        http://en.wikipedia.org/wiki/Tomato_(firmware)

        Есть подозрение, то что я, что то не то сделал на pfsense именно с сервером опенвпн… (

        1 Reply Last reply Reply Quote 0
        • T
          Tr0tter
          last edited by

          Вопрос, будет ли работать данная настройка если запустить файлики получившиеся по этой статье, под виндой в OpenVPN ?
          Или исключительно только на роутерах ?

          1 Reply Last reply Reply Quote 0
          • werterW
            werter
            last edited by

            В чем проблема проверить ?

            1 Reply Last reply Reply Quote 0
            • T
              Tr0tter
              last edited by

              Подключился, но пинги не ходят, только для виртуального IP ходят
              Удалёнка 192.168.5.0\24
              Офис        192.168.0.0\24
              VPN          10.0.1.0\24
              Пингуется только VPN

              1 Reply Last reply Reply Quote 0
              • werterW
                werter
                last edited by

                Директива iroute. Плюс, если у вас Win в кач-ве клиента и вы хотите увидеть сеть за ним, то не все так просто. Необходимо патчить реестр на предмет IPRoute enable и настраивать службу "Маршрутизации и удаленного доступа". Можете нагуглить решение.

                P.s. Выкладывайте скрины fw на LAN, OPENVPN, NAT.

                1 Reply Last reply Reply Quote 0
                • T
                  Tr0tter
                  last edited by

                  @werter:

                  Директива iroute. Плюс, если у вас Win в кач-ве клиента и вы хотите увидеть сеть за ним, то не все так просто. Необходимо патчить реестр на предмет IPRoute enable и настраивать службу "Маршрутизации и удаленного доступа". Можете нагуглить решение.

                  P.s. Выкладывайте скрины fw на LAN, OPENVPN, NAT.

                  И так бох с ней с виндой, главная задача настроить DD-WRT, что бы сети видели друг друга полноценно по ихним же ИП а не по виртуальным, вот набросал скриптик, но пока что не пробовал, поправьте если что то не так.
                  #!/bin/sh

                  #USERNAME="MyUsername"
                  #PASSWORD="MyPassword" # Your HMA_USER_PASSWORD not PPTP password
                  PROTOCOL="udp" # udp / tcp MUST BE lower case

                  Add - delete - edit servers between ##BB## and ##EE##

                  REMOTE_SERVERS="
                  ##BB##

                  Atlanta - UDP

                  remote Мой IP порт
                  ##EE##
                  "

                  DO NOT CHANGE below this line

                  CA_CRT='–---BEGIN CERTIFICATE-----
                  ключик
                  -----END CERTIFICATE-----
                  '

                  CLIENT_CRT='Ключик
                  '

                  CLIENT_KEY='Ключик'

                  OPVPNENABLE=nvram get openvpncl_enable | awk '$1 == "0" {print $1}'

                  if [ "$OPVPNENABLE" != 0 ]
                  then
                    nvram set openvpncl_enable=0
                    nvram commit
                  fi

                  sleep 30
                  mkdir /tmp/hmavpncl; cd /tmp/hmavpncl
                  #echo -e "$USERNAME\n$PASSWORD" > userpass.conf
                  echo "$CA_CRT" > ca.crt; echo "$CLIENT_CRT" > client.crt; echo "$CLIENT_KEY" > client.key
                  echo "#!/bin/sh" > route-up.sh; echo -e "#!/bin/sh\nsleep 2" > route-down.sh
                  echo "#!/bin/sh
                  iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
                  iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
                  iptables -I INPUT -i tun0 -j REJECT
                  iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE" > /tmp/.rc_firewall
                  chmod 644 ca.crt client.crt; chmod 600 client.key userpass.conf; chmod 700 route-up.sh route-down.sh
                  chmod 700 /tmp/.rc_firewall
                  sleep 30
                  echo "client
                  proto $PROTOCOL
                  tls-client
                  client
                  dev tun
                  #proto udp
                  tun-mtu 1400
                  remote-random
                  cipher BF-CBC
                  comp-lzo
                  verb 3
                  ns-cert-type server
                  ca ca.crt
                  cert client.crt
                  key client.key
                  daemon
                  #auth-user-pass userpass.conf
                  #remote-random
                  $REMOTE_SERVERS" > openvpn.conf
                  ln -s /tmp/hmavpncl/hmavpn.log /tmp/hmavpn.log
                  (killall openvpn; openvpn –config /tmp/hmavpncl/openvpn.conf --route-up /tmp/hmavpncl/route-up.sh --down-pre /tmp/hmavpncl/route-down.sh) &
                  exit 0

                  Стоит ли добавлять вот это ?
                  iptables -I INPUT 3 -i tun0 -p icmp -j ACCEPT
                  iptables -I INPUT 1 -i tun0 -p tcp --dport 80 -j ACCEPT

                  Вот не подключается он с этим конфигом, хоть тресни (((
                  Добавил в Sava Start Up
                  Ребутнул роутер, смотрю лог в pfsense а он пустой, он даже не пытается стукнутся

                  1 Reply Last reply Reply Quote 0
                  • werterW
                    werter
                    last edited by

                    @ Tr0tter

                    Я Вам предложил намного более удобный вариант. По вопросам настройки DD-WRT все же лучше обращаться в профильный форум -  http://www.dd-wrt.com/phpBB2/search.php (поиск по слову openvpn)

                    P.s. http://www.dd-wrt.com/wiki/index.php/OpenVPN_-_Site-to-Site_routed_VPN_between_two_routers

                    1 Reply Last reply Reply Quote 0
                    • T
                      Tr0tter
                      last edited by

                      @werter:

                      @ Tr0tter

                      Я Вам предложил намного более удобный вариант.

                      ладно попробую Томато, надеюсь оно того стоит )
                      И надеюсь вы мне поможете с томато.. )

                      1 Reply Last reply Reply Quote 0
                      • werterW
                        werter
                        last edited by

                        Offtop :
                        Сброс NVRAM не забудьте сделать!

                        1 Reply Last reply Reply Quote 0
                        • T
                          Tr0tter
                          last edited by

                          @werter:

                          Offtop :
                          Сброс NVRAM не забудьте сделать!

                          И так роутер перепрошился успешно, попробовал настроить сам VPN не увенчалось успехом.
                          Хотелось бы мануал.
                          Ну и попутный вопрос.
                          в Тамато есть только одно поле скорее всего для одного ключа (statik key) я туда засунул 3 (ca, caserver, kyeuser)
                          И так по поводу сети.
                          192.168.5.0\24 - сеть удалённого офиса
                          192.168.0.0\24 - центральный
                          как их подружить ?

                          1 Reply Last reply Reply Quote 0
                          • werterW
                            werter
                            last edited by

                            http://www.bxtra.net/articles/2012-12-23/how-to-flash-tomatousb-by-shibby-on-asus-rt-n12-b1c1-wireless-n-router

                            Сброс NVRAM не забудьте сделать!

                            P.s. https://forums.openvpn.net/topic12384.html

                            1 Reply Last reply Reply Quote 0
                            • T
                              Tr0tter
                              last edited by

                              Вроде сделал всё по статье, но у меня теперь OpenVPN не работает на PFsense
                              http://s020.radikal.ru/i722/1404/54/cd8a5727205f.png
                              куда посмотреть ? что показать ?
                              после запуска вот что пишет:
                              http://i011.radikal.ru/1404/7c/b9d70cc0ada4.png
                              запускал из:
                              Status-OpenVPN (первый скрин)
                              Недавно обновился на 2.1.1 Не из за этого ли ?

                              Вопрос закрыт, было так route 192.168.5.0 255.255.255.0 push "route 10.0.0.0 255.0.0.0
                              Сделал так route 192.168.5.0 255.255.255.0 push "route 10.0.0.0 255.0.0.0"

                              Продолжаю наблюдения… )

                              1 Reply Last reply Reply Quote 0
                              • T
                                Tr0tter
                                last edited by

                                Вот лог, когда подключился, сеть центрального офиса пинговать я не мог…
                                Apr 8 12:07:03 openvpn: user 'User' authenticated
                                Apr 8 12:07:03 openvpn[96712]: 95.37.126.124:17483 [User] Peer Connection Initiated with [AF_INET]95.37.126.124:17483
                                Apr 8 12:07:03 openvpn[96712]: User/95.37.126.124:17483 MULTI_sva: pool returned IPv4=10.200.0.6, IPv6=(Not enabled)
                                Apr 8 12:07:05 openvpn[96712]: User/95.37.126.124:17483 send_push_reply(): safe_cap=940
                                Apr 8 12:18:48 openvpn[96712]: User/95.37.126.124:17483 [User] Inactivity timeout (–ping-restart), restarting

                                1 Reply Last reply Reply Quote 0
                                • T
                                  Tr0tter
                                  last edited by

                                  Apr 8 14:49:56 openvpn: user 'User' authenticated
                                  Apr 8 14:49:56 openvpn[99997]: 79.126.25.160:5272 [User] Peer Connection Initiated with [AF_INET]79.126.25.160:5272
                                  Apr 8 14:49:56 openvpn[99997]: User/79.126.25.160:5272 MULTI_sva: pool returned IPv4=10.200.0.6, IPv6=(Not enabled)
                                  Apr 8 14:49:58 openvpn[99997]: User/79.126.25.160:5272 send_push_reply(): safe_cap=940

                                  Ни чего не пингуется совсем

                                  1 Reply Last reply Reply Quote 0
                                  • werterW
                                    werter
                                    last edited by

                                    Удалёнка 192.168.5.0\24
                                    Офис        192.168.0.0\24

                                    pfsense :

                                    route 192.168.5.0 255.255.255.0;
                                    push "route 192.168.0.0 255.255.255.0";

                                    Client specific overide (на pfsense):

                                    iroute 192.168.5.0 255.255.255.0;

                                    На TomatoUSB в конфиг добавьте директиву pull

                                    1 Reply Last reply Reply Quote 0
                                    • T
                                      Tr0tter
                                      last edited by

                                      @werter:

                                      На TomatoUSB в конфиг добавьте директиву pull

                                      Это где делается ?
                                      И как в томато вообще править конфиг, тама же всё через web делается

                                      1 Reply Last reply Reply Quote 0
                                      • werterW
                                        werter
                                        last edited by

                                        Скрины правил fw на LAN, WAN и OpenVPN покажите.

                                        1 Reply Last reply Reply Quote 0
                                        • T
                                          Tr0tter
                                          last edited by

                                          @werter:

                                          Скрины правил fw на LAN, WAN и OpenVPN покажите.

                                          http://i069.radikal.ru/1404/06/2ed5e43c3635.png
                                          http://s43.radikal.ru/i099/1404/78/45f0c9a98704.png
                                          http://s019.radikal.ru/i614/1404/7d/fa3431ce47ae.png

                                          1 Reply Last reply Reply Quote 0
                                          • werterW
                                            werter
                                            last edited by

                                            Прикрепите скрины здесь, пож-та.

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.