OpenVPN и Asus RT-AC51U

pigbrother

NOTE: the current –script-security setting may allow this configuration to call user-defined scripts

Это на поднятие туннеля не влияет.

Конфиг на WIN7 верный? Запускаете клиента от администратора?

rze

Лог с телефона, все подключается и работает
http://i.imgur.com/vWCFfdo.png

@werter:

Сменили провайдера и на сервере

1. У вас теперь серый ип на WAN
2. Провайдер блокирует порты.

На сервере белый статичный
эм, как то тогда частично блокируют, "своих" не пускают, а чужие пожалуйста.

Я так понимаю затык у провайдера, вопросы к ним? ))
Сделал отдельным сообщением, вдруг пропустили

Конфиг на WIN7 верный? Запускаете клиента от администратора?

Верный, нет, завтра от админа запущу, как то даже выпало из головы.

pigbrother

Заодно для теста отключите на WIN7 брандмауэр и тп Касперских, убедитесь также, что запущена служба DHCP-клиент.

rze

@pigbrother:

Заодно для теста отключите на WIN7 брандмауэр и тп Касперских, убедитесь также, что запущена служба DHCP-клиент.

Попробовал, на двух компах из той сети. Логи те же. Но и изначально думал, что не поможет, ибо что же тогда мешало подключиться к роутеру? Думаю надо обращаться к провайдеру.
P.S. попробовал сменить порт. история та же

rze

Апну темку мб кому пригодится
Сегодня дошли руки посидел поковырялся. Все оказалось просто. Достаточно было мне было заглянуть в лог фаервола и увидеть  там что клиент долбится не с внешнего адреса, а с адреса вида 10.205.. отключил Block private networks and loopback addresses и Block bogon networks в настройках WAN и все заработало ))

werter

2 rze
Доброе.
Рекомендую для вашего роутера эту прошивку - https://bitbucket.org/padavan/rt-n56u/downloads
Стабильнее , свежее,  больше возможностей - https://bitbucket.org/padavan/rt-n56u/wiki/browse/RU

pigbrother

Сегодня дошли руки посидел поковырялся. Все оказалось просто. Достаточно было мне было заглянуть в лог фаервола и увидеть  там что клиент долбится не с внешнего адреса, а с адреса вида 10.205..

Спишем это на особенности работы конкретного провайдера.
Обычно серые адреса не видны на WAN-интерфейсе, предположу, что и OVPN-сервер pf и проблемный клиент обслуживаются одним провайдером.

rze

@werter:

2 rze
Доброе.
Рекомендую для вашего роутера эту прошивку - https://bitbucket.org/padavan/rt-n56u/downloads

Доброе, как раз она и стоит, как раз таки вы мне ее и советовали  ;)

@pigbrother:

Спишем это на особенности работы конкретного провайдера.
Обычно серые адреса не видны на WAN-интерфейсе, предположу, что и OVPN-сервер pf и проблемный клиент обслуживаются одним провайдером.

Именно так. До этого тоже обслуживалось одним провайдером, но другим, и таких проблем не было.

rze

Здравствуйте, появилась проблемка, к примеру, прихожу после выходных соединения нет с удаленным офисом.
Лог на сервере```
Mar 9 08:08:03 openvpn 16624 Authenticate/Decrypt packet error: packet HMAC authentication failed
Mar 9 08:08:03 openvpn 16624 TLS Error: incoming packet authentication failed from [AF_INET]10.201.1.23:28057

Лог на клиенте```
Mar  9 08:08:05 RT-AC51U: starting OpenVPN client...
Mar  9 08:08:05 openvpn-cli[538]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Mar  9 08:08:05 openvpn-cli[538]: Cannot load private key file /etc/storage/openvpn/client/client.key: error:0B080074:lib(11):func(128):reason(116)
Mar  9 08:08:05 openvpn-cli[538]: Error: private key password verification failed
Mar  9 08:09:24 RT-AC51U: starting OpenVPN client...
Mar  9 08:09:24 openvpn-cli[573]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Mar  9 08:09:28 vpnc-script: tun0 up

Захожу на роутер клиента, заполняю сертификаты, сохраняю - работает. Судя по времени работы роутера, его там выключают на выходных. Куда копать, что можно сделать?

P.S. Remote Access (SSl/TLS) UDP tun. Сервер и клиент в одном городе, один провайдер, пинг нормальный.
P.S2. Рассинхрона по времени нет, на сервере и на клиенте время правильное.

pigbrother

Захожу на роутер клиента, заполняю сертификаты, сохраняю - работает. Судя по времени работы роутера, его там выключают на выходных. Куда копать, что можно сделать?

Похоже сертификаты Асус хранит не в jffs (flash), а где-то в ОЗУ, например в /tmp, который реально - рам-диск.

Посмотрите, на какие пути к сертификатам ссылается конфиг клиента.

rze

@pigbrother:

Захожу на роутер клиента, заполняю сертификаты, сохраняю - работает. Судя по времени работы роутера, его там выключают на выходных. Куда копать, что можно сделать?

Похоже сертификаты Асус хранит не в jffs (flash), а где-то в ОЗУ, например в /tmp, который реально - рам-диск.

Посмотрите, на какие пути к сертификатам ссылается конфиг клиента.

как в логе и написано - http://i.imgur.com/rNbQTw8.png . Единственное что не смотрел если роутер обесточить.

http://i.imgur.com/3EAI7jt.png - вот пути в конфиге

pigbrother

Выкладывайте картинки сюда, в тему через Attachments and other options ниже формы для поста.
Обесточьте  и посмотрите, что останется в etc/storage.

rze

@pigbrother:

Выкладывайте картинки сюда, в тему через Attachments and other options ниже формы для поста.
Обесточьте  и посмотрите, что останется в etc/storage.

Обесточил, впн поднялся сам, без проблем.
Понаблюдаю еще

werter

Доброе
На роутере необходимо доп. понажимать кнопки save в настройках, чтобы сертификаты сохр. в хранилище. Сам на это натыкался.