OpenVPN подключается, но ничего не пингует
-
Доброе.
Пробуйте http://wiki.openwrt.org/doc/howto/vpn.client.openvpn.tun
Вот всегда забываю про оф. вики :)
-
По идее openwrt - классика, и а в ней оно не может не заработать.
Недавно поднимал клиента site-to-site (но в режиме remote access+user auth, логин\пароль лишними не бывают ) на Asus c Asuswrt-Merlin. Open VPN в ней - порт с Tomato.
Кроме импорта .ovpn-конфига практически никаких настроек делать не пришлось.
Вот рабочий конфиг с Асуса:/tmp/etc/openvpn
# Automatically generated configuration daemon client dev tun11 proto tcp-client remote 1.2.2.2 хххx resolv-retry infinite nobind persist-key persist-tun comp-lzo adaptive ncp-ciphers AES-128-GCM:AES-256-GCM:AES-128-CBC:AES-256-CBC cipher AES-128-CBC script-security 2 route-delay 2 route-up vpnrouting.sh route-pre-down vpnrouting.sh verb 3 tls-auth static.key 1 ca ca.crt cert client.crt key client.key auth-user-pass up status-version 2 status status 10 # Custom Configuration auth SHA1 tls-client verify-x509-name xxx-xxx-cert name ns-cert-type serverВот, что добавляет скрипт client1-fw.sh Асуса в iptables:
#!/bin/sh
iptables -I INPUT -i tun11 -j ACCEPT
iptables -I FORWARD 2 -i tun11 -j ACCEPT
iptables -t mangle -I PREROUTING -i tun11 -j MARK –set-mark 0x01/0x7Вот конфиг сервера, с котрым работает Асус:
dev ovpns2 verb 1 dev-type tun tun-ipv6 dev-node /dev/tun2 writepid /var/run/openvpn_server2.pid #user nobody #group nobody script-security 3 daemon keepalive 10 60 ping-timer-rem persist-tun persist-key proto tcp-server cipher AES-128-CBC auth SHA1 up /usr/local/sbin/ovpn-linkup down /usr/local/sbin/ovpn-linkdown client-connect /usr/local/sbin/openvpn.attributes.sh client-disconnect /usr/local/sbin/openvpn.attributes.sh local 1.2.2.2 tls-server server 10.11.10.0 255.255.255.0 client-config-dir /var/etc/openvpn-csc/server2 username-as-common-name auth-user-pass-verify "/usr/local/sbin/ovpn_auth_verify user 'Local Database' true server2" via-env tls-verify "/usr/local/sbin/ovpn_auth_verify tls 'xxx-xxx-cert' 1" lport хххx management /var/etc/openvpn/server2.sock unix push "route 10.0.2.0 255.255.255.0" ca /var/etc/openvpn/server2.ca cert /var/etc/openvpn/server2.cert key /var/etc/openvpn/server2.key dh /etc/dh-parameters.1024 crl-verify /var/etc/openvpn/server2.crl-verify tls-auth /var/etc/openvpn/server2.tls-auth 0 comp-lzo adaptive persist-remote-ip float topology subnet route 10.168.1.0 255.255.255.010.11.10.0 - сеть туннеля
10.0.2.0 - сеть офиса за Pfsense
10.168.1.0 - сеть за Асусомtcp выбран сознательно
Ну и не забыть про iroute (или IPv4 Remote Network) в Open VPN-Client Specific Overrides на pfSense
-
У ТС проблема не c установкой линка, а с правилами iptables, nat на OpenWRT.
P.s. Все же тот же Padavan куда интереснее Asuswrt-Merlin. Если железо позволяет, конечно.
http://forum.ixbt.com/topic.cgi?id=14:62022
https://bitbucket.org/padavan/rt-n56u/wiki/EN/CommonTips
http://4pda.ru/forum/index.php?showtopic=714487
https://bitbucket.org/padavan/rt-n56u/wiki/browse/RU -
Устройство не мое, Asuswrt-Merlin - выбор его хозяина, оспаривать который субординация мне не позволяет.
Я не акцентировал ответ на предмет проблем установки линка, Subject топика говорит сам себя
Пример изменений в iptables я привел.
Пинги не ходят ни внутри туннеля, ни, тем более, между сетями.ТС нужен site-to-site. Зачем NAT, если можно без него?
-
NAT в OpenWRT.
Если получится и без nat - замечательно. Линк по настройке я дал. Ждем результатов от ТС. -
Спасибо всем участвующим. Но не фига не помогает. Уже пробовал и tun и tap, менял топологию - туннель поднимается, но пинги все также не идут.
Понятно что ковырял и iptables. Проверял по последней ссылке - все также.
Вот что в /etc/config/firewall:config defaults option syn_flood '1' option input 'ACCEPT' option output 'ACCEPT' option forward 'REJECT' config zone option name 'lan' option input 'ACCEPT' option output 'ACCEPT' option network 'lan' option forward 'REJECT' config zone option name 'wan' option input 'REJECT' option output 'ACCEPT' option forward 'REJECT' option masq '1' option mtu_fix '1' option network 'wan' config rule option name 'Allow-DHCP-Renew' option src 'wan' option proto 'udp' option dest_port '68' option target 'ACCEPT' option family 'ipv4' config rule option name 'Allow-Ping' option src 'wan' option proto 'icmp' option icmp_type 'echo-request' option family 'ipv4' option target 'ACCEPT' config rule option name 'Allow-DHCPv6' option src 'wan' option proto 'udp' option src_ip 'fe80::/10' option src_port '547' option dest_ip 'fe80::/10' option dest_port '546' option family 'ipv6' option target 'ACCEPT' config rule option name 'Allow-ICMPv6-Input' option src 'wan' option proto 'icmp' list icmp_type 'echo-request' list icmp_type 'echo-reply' list icmp_type 'destination-unreachable' list icmp_type 'packet-too-big' list icmp_type 'time-exceeded' list icmp_type 'bad-header' list icmp_type 'unknown-header-type' list icmp_type 'router-solicitation' list icmp_type 'neighbour-solicitation' list icmp_type 'router-advertisement' list icmp_type 'neighbour-advertisement' option limit '1000/sec' option family 'ipv6' option target 'ACCEPT' config rule option name 'Allow-ICMPv6-Forward' option src 'wan' option dest '*' option proto 'icmp' list icmp_type 'echo-request' list icmp_type 'echo-reply' list icmp_type 'destination-unreachable' list icmp_type 'packet-too-big' list icmp_type 'time-exceeded' list icmp_type 'bad-header' list icmp_type 'unknown-header-type' option limit '1000/sec' option family 'ipv6' option target 'ACCEPT' config include option path '/etc/firewall.user' config rule option name 'Unencrypted-CO-NET' option src 'lan' option dest 'wan' option dest_ip '192.168.1.0/24' option family 'ipv4' option target 'REJECT' option proto 'all' config zone option name 'wan_3g' option forward 'REJECT' option output 'ACCEPT' option input 'REJECT' option masq '1' option mtu_fix '1' option network '3g' config forwarding option dest 'wan' option src 'lan' config forwarding option dest 'wan_3g' option src 'lan' config zone option input 'ACCEPT' option output 'ACCEPT' option network 'vpn0' option name 'vpn' option forward 'ACCEPT' option masq '1' config forwarding option dest 'lan' option src 'vpn' config forwarding option dest 'vpn' option src 'lan'ifconfig:
3g-3g Link encap:Point-to-Point Protocol inet addr:100.65.68.191 P-t-P:10.64.64.64 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:825 errors:0 dropped:0 overruns:0 frame:0 TX packets:863 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:3 RX bytes:109792 (107.2 KiB) TX bytes:102232 (99.8 KiB) br-lan Link encap:Ethernet HWaddr 14:CC:20:48:8F:DC inet addr:10.254.254.1 Bcast:10.254.254.255 Mask:255.255.255.0 inet6 addr: fe80::16cc:20ff:fe48:8fdc/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:3004 errors:0 dropped:0 overruns:0 frame:0 TX packets:3315 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:353452 (345.1 KiB) TX bytes:689049 (672.8 KiB) eth0 Link encap:Ethernet HWaddr 14:CC:20:48:8F:DC inet6 addr: fe80::16cc:20ff:fe48:8fdc/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:3217 errors:0 dropped:7 overruns:0 frame:0 TX packets:3997 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:433092 (422.9 KiB) TX bytes:890725 (869.8 KiB) Interrupt:4 eth0.1 Link encap:Ethernet HWaddr 14:CC:20:48:8F:DC UP BROADCAST RUNNING PROMISC ALLMULTI MULTICAST MTU:1500 Metric:1 RX packets:3192 errors:0 dropped:0 overruns:0 frame:0 TX packets:3246 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:373022 (364.2 KiB) TX bytes:682475 (666.4 KiB) eth0.2 Link encap:Ethernet HWaddr 14:CC:20:48:8F:DC inet6 addr: fe80::16cc:20ff:fe48:8fdc/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:727 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 B) TX bytes:189694 (185.2 KiB) lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:65536 Metric:1 RX packets:1073 errors:0 dropped:0 overruns:0 frame:0 TX packets:1073 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:82180 (80.2 KiB) TX bytes:82180 (80.2 KiB) tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet addr:10.0.0.6 P-t-P:10.0.0.5 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:5 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:0 (0.0 B) TX bytes:420 (420.0 B)route:
default 10.64.64.64 0.0.0.0 UG 0 0 0 3g-3g 10.0.0.1 10.0.0.5 255.255.255.255 UGH 0 0 0 tun0 10.0.0.5 * 255.255.255.255 UH 0 0 0 tun0 10.64.64.64 * 255.255.255.255 UH 0 0 0 3g-3g 10.254.254.0 * 255.255.255.0 U 0 0 0 br-lan 192.168.100.0 10.0.0.5 255.255.255.0 UG 0 0 0 tun0При всем при этом, на том же pfsense корректно работает другой Openvpn сервер на другом порту, используется tls user/pass, но клиент под виндой, таким образом запускал через импорт ovpn. На проблемном сервере-клиенте использую p12.
-
Доброе.
Вот это зачем ?
config rule option name 'Unencrypted-CO-NET' option src 'lan' option dest 'wan' option dest_ip '192.168.1.0/24' option family 'ipv4' option target 'REJECT' option proto 'all'Попробуйте уйти от адресации 10.x.x.x в туннельной сети. Смените на 172.16.х.х, напр.
-
Лишнее правило убрал, сеть поменял. Без изменений.
Если запускаю пинги openwrt до pfsense, то на pfsense Bytes Recived увеличивается - вообще не ясно.
-
openvpn tunnel between openwrt and pfsense
https://forum.pfsense.org/index.php?topic=61884.0How to configure OpenVPN tunnels using pfSense and OpenWRT
http://www.dd-wrt.com/phpBB2/download.php?id=8941OpenVPN on OpenWRT CHAOS CALMER
https://forum.openwrt.org/viewtopic.php?id=60552https://habrahabr.ru/post/56652/
HTH.
-
Кхм, может перейти на remote access (клиент-сервер) ?
Ps. Покажите tracert из сети за wrt в сеть за pf.
Ps2. Это есть на pf ?
route 10.254.254.0 255.255.255.0; push "route 192.168.100.0 255.255.255.0";
