Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    OpenVPN подключается, но ничего не пингует

    Scheduled Pinned Locked Moved Russian
    23 Posts 4 Posters 7.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • werterW
      werter
      last edited by

      Доброе.

      Пробуйте http://wiki.openwrt.org/doc/howto/vpn.client.openvpn.tun

      Вот всегда забываю про оф. вики  :)

      1 Reply Last reply Reply Quote 0
      • P
        pigbrother
        last edited by

        По идее openwrt - классика, и а в ней оно не может не заработать.
        Недавно поднимал клиента site-to-site (но в режиме remote access+user auth, логин\пароль лишними не бывают ) на Asus c Asuswrt-Merlin. Open VPN в ней - порт с Tomato.
        Кроме импорта .ovpn-конфига практически никаких настроек делать не пришлось.
        Вот рабочий конфиг с Асуса:

        /tmp/etc/openvpn

        # Automatically generated configuration
        daemon
        client
        dev tun11
        proto tcp-client
        remote 1.2.2.2  хххx
        resolv-retry infinite
        nobind
        persist-key
        persist-tun
        comp-lzo adaptive
        ncp-ciphers AES-128-GCM:AES-256-GCM:AES-128-CBC:AES-256-CBC
        cipher AES-128-CBC
        script-security 2
        route-delay 2
        route-up vpnrouting.sh
        route-pre-down vpnrouting.sh
        verb 3
        tls-auth static.key 1
        ca ca.crt
        cert client.crt
        key client.key
        auth-user-pass up
        status-version 2
        status status 10
        
        # Custom Configuration
        auth SHA1
        tls-client
        verify-x509-name xxx-xxx-cert name
        ns-cert-type server
        

        Вот, что добавляет скрипт client1-fw.sh  Асуса в iptables:
        #!/bin/sh
        iptables -I INPUT -i tun11 -j ACCEPT
        iptables -I FORWARD 2 -i tun11 -j ACCEPT
        iptables -t mangle -I PREROUTING -i tun11 -j MARK –set-mark 0x01/0x7

        Вот конфиг сервера, с котрым работает Асус:

        dev ovpns2
        verb 1
        dev-type tun
        tun-ipv6
        dev-node /dev/tun2
        writepid /var/run/openvpn_server2.pid
        #user nobody
        #group nobody
        script-security 3
        daemon
        keepalive 10 60
        ping-timer-rem
        persist-tun
        persist-key
        proto tcp-server
        cipher AES-128-CBC
        auth SHA1
        up /usr/local/sbin/ovpn-linkup
        down /usr/local/sbin/ovpn-linkdown
        client-connect /usr/local/sbin/openvpn.attributes.sh
        client-disconnect /usr/local/sbin/openvpn.attributes.sh
        local  1.2.2.2 
        tls-server
        server 10.11.10.0 255.255.255.0
        client-config-dir /var/etc/openvpn-csc/server2
        username-as-common-name
        auth-user-pass-verify "/usr/local/sbin/ovpn_auth_verify user 'Local Database' true server2" via-env
        tls-verify "/usr/local/sbin/ovpn_auth_verify tls 'xxx-xxx-cert' 1"
        lport хххx
        management /var/etc/openvpn/server2.sock unix
        push "route 10.0.2.0 255.255.255.0"
        ca /var/etc/openvpn/server2.ca 
        cert /var/etc/openvpn/server2.cert 
        key /var/etc/openvpn/server2.key 
        dh /etc/dh-parameters.1024
        crl-verify /var/etc/openvpn/server2.crl-verify 
        tls-auth /var/etc/openvpn/server2.tls-auth 0
        comp-lzo adaptive
        persist-remote-ip
        float
        topology subnet
        route 10.168.1.0 255.255.255.0 
        

        10.11.10.0 - сеть туннеля
        10.0.2.0  - сеть офиса за Pfsense
        10.168.1.0 - сеть за Асусом

        tcp выбран сознательно

        Ну и не забыть про iroute (или IPv4 Remote Network) в Open VPN-Client Specific Overrides на pfSense

        1 Reply Last reply Reply Quote 0
        • werterW
          werter
          last edited by

          У ТС проблема не c установкой линка, а с правилами iptables, nat на OpenWRT.

          P.s. Все же тот же Padavan куда интереснее Asuswrt-Merlin. Если железо позволяет, конечно.
          http://forum.ixbt.com/topic.cgi?id=14:62022
          https://bitbucket.org/padavan/rt-n56u/wiki/EN/CommonTips
          http://4pda.ru/forum/index.php?showtopic=714487
          https://bitbucket.org/padavan/rt-n56u/wiki/browse/RU

          1 Reply Last reply Reply Quote 0
          • P
            pigbrother
            last edited by

            Устройство не мое, Asuswrt-Merlin - выбор его хозяина, оспаривать который субординация мне не позволяет.

            Я не акцентировал ответ на предмет проблем установки линка, Subject топика говорит сам себя
            Пример изменений в iptables я привел.
            Пинги не ходят ни внутри туннеля, ни, тем более, между сетями.

            ТС нужен site-to-site. Зачем NAT,  если можно без него?

            1 Reply Last reply Reply Quote 0
            • werterW
              werter
              last edited by

              NAT в OpenWRT.
              Если получится и без nat - замечательно. Линк по настройке я дал. Ждем результатов от ТС.

              1 Reply Last reply Reply Quote 0
              • A
                AlexSYS
                last edited by

                Спасибо всем участвующим. Но не фига не помогает. Уже пробовал и tun и tap, менял топологию - туннель поднимается, но пинги все также не идут.
                Понятно что ковырял и iptables. Проверял по последней ссылке - все также.
                Вот что в /etc/config/firewall:

                
                config defaults
                        option syn_flood '1'
                        option input 'ACCEPT'
                        option output 'ACCEPT'
                        option forward 'REJECT'
                
                config zone
                        option name 'lan'
                        option input 'ACCEPT'
                        option output 'ACCEPT'
                        option network 'lan'
                        option forward 'REJECT'
                
                config zone
                        option name 'wan'
                        option input 'REJECT'
                        option output 'ACCEPT'
                        option forward 'REJECT'
                        option masq '1'
                        option mtu_fix '1'
                        option network 'wan'
                
                config rule
                        option name 'Allow-DHCP-Renew'
                        option src 'wan'
                        option proto 'udp'
                        option dest_port '68'
                        option target 'ACCEPT'
                        option family 'ipv4'
                
                config rule
                        option name 'Allow-Ping'
                        option src 'wan'
                        option proto 'icmp'
                        option icmp_type 'echo-request'
                        option family 'ipv4'
                        option target 'ACCEPT'
                
                config rule
                        option name 'Allow-DHCPv6'
                        option src 'wan'
                        option proto 'udp'
                        option src_ip 'fe80::/10'
                        option src_port '547'
                        option dest_ip 'fe80::/10'
                        option dest_port '546'
                        option family 'ipv6'
                        option target 'ACCEPT'
                
                config rule
                        option name 'Allow-ICMPv6-Input'
                        option src 'wan'
                        option proto 'icmp'
                        list icmp_type 'echo-request'
                        list icmp_type 'echo-reply'
                        list icmp_type 'destination-unreachable'
                        list icmp_type 'packet-too-big'
                        list icmp_type 'time-exceeded'
                        list icmp_type 'bad-header'
                        list icmp_type 'unknown-header-type'
                        list icmp_type 'router-solicitation'
                        list icmp_type 'neighbour-solicitation'
                        list icmp_type 'router-advertisement'
                        list icmp_type 'neighbour-advertisement'
                        option limit '1000/sec'
                        option family 'ipv6'
                        option target 'ACCEPT'
                
                config rule
                        option name 'Allow-ICMPv6-Forward'
                        option src 'wan'
                        option dest '*'
                        option proto 'icmp'
                        list icmp_type 'echo-request'
                        list icmp_type 'echo-reply'
                        list icmp_type 'destination-unreachable'
                        list icmp_type 'packet-too-big'
                        list icmp_type 'time-exceeded'
                        list icmp_type 'bad-header'
                        list icmp_type 'unknown-header-type'
                        option limit '1000/sec'
                        option family 'ipv6'
                        option target 'ACCEPT'
                
                config include
                        option path '/etc/firewall.user'
                
                config rule
                        option name 'Unencrypted-CO-NET'
                        option src 'lan'
                        option dest 'wan'
                        option dest_ip '192.168.1.0/24'
                        option family 'ipv4'
                        option target 'REJECT'
                        option proto 'all'
                
                config zone
                        option name 'wan_3g'
                        option forward 'REJECT'
                        option output 'ACCEPT'
                        option input 'REJECT'
                        option masq '1'
                        option mtu_fix '1'
                        option network '3g'
                
                config forwarding
                        option dest 'wan'
                        option src 'lan'
                
                config forwarding
                        option dest 'wan_3g'
                        option src 'lan'
                
                config zone
                        option input 'ACCEPT'
                        option output 'ACCEPT'
                        option network 'vpn0'
                        option name 'vpn'
                        option forward 'ACCEPT'
                        option masq '1'
                
                config forwarding
                        option dest 'lan'
                        option src 'vpn'
                
                config forwarding
                        option dest 'vpn'
                        option src 'lan'
                
                

                ifconfig:

                
                3g-3g     Link encap:Point-to-Point Protocol
                          inet addr:100.65.68.191  P-t-P:10.64.64.64  Mask:255.255.255.255
                          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
                          RX packets:825 errors:0 dropped:0 overruns:0 frame:0
                          TX packets:863 errors:0 dropped:0 overruns:0 carrier:0
                          collisions:0 txqueuelen:3
                          RX bytes:109792 (107.2 KiB)  TX bytes:102232 (99.8 KiB)
                
                br-lan    Link encap:Ethernet  HWaddr 14:CC:20:48:8F:DC
                          inet addr:10.254.254.1  Bcast:10.254.254.255  Mask:255.255.255.0
                          inet6 addr: fe80::16cc:20ff:fe48:8fdc/64 Scope:Link
                          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
                          RX packets:3004 errors:0 dropped:0 overruns:0 frame:0
                          TX packets:3315 errors:0 dropped:0 overruns:0 carrier:0
                          collisions:0 txqueuelen:0
                          RX bytes:353452 (345.1 KiB)  TX bytes:689049 (672.8 KiB)
                
                eth0      Link encap:Ethernet  HWaddr 14:CC:20:48:8F:DC
                          inet6 addr: fe80::16cc:20ff:fe48:8fdc/64 Scope:Link
                          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
                          RX packets:3217 errors:0 dropped:7 overruns:0 frame:0
                          TX packets:3997 errors:0 dropped:0 overruns:0 carrier:0
                          collisions:0 txqueuelen:1000
                          RX bytes:433092 (422.9 KiB)  TX bytes:890725 (869.8 KiB)
                          Interrupt:4
                
                eth0.1    Link encap:Ethernet  HWaddr 14:CC:20:48:8F:DC
                          UP BROADCAST RUNNING PROMISC ALLMULTI MULTICAST  MTU:1500  Metric:1
                          RX packets:3192 errors:0 dropped:0 overruns:0 frame:0
                          TX packets:3246 errors:0 dropped:0 overruns:0 carrier:0
                          collisions:0 txqueuelen:0
                          RX bytes:373022 (364.2 KiB)  TX bytes:682475 (666.4 KiB)
                
                eth0.2    Link encap:Ethernet  HWaddr 14:CC:20:48:8F:DC
                          inet6 addr: fe80::16cc:20ff:fe48:8fdc/64 Scope:Link
                          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
                          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
                          TX packets:727 errors:0 dropped:0 overruns:0 carrier:0
                          collisions:0 txqueuelen:0
                          RX bytes:0 (0.0 B)  TX bytes:189694 (185.2 KiB)
                
                lo        Link encap:Local Loopback
                          inet addr:127.0.0.1  Mask:255.0.0.0
                          inet6 addr: ::1/128 Scope:Host
                          UP LOOPBACK RUNNING  MTU:65536  Metric:1
                          RX packets:1073 errors:0 dropped:0 overruns:0 frame:0
                          TX packets:1073 errors:0 dropped:0 overruns:0 carrier:0
                          collisions:0 txqueuelen:0
                          RX bytes:82180 (80.2 KiB)  TX bytes:82180 (80.2 KiB)
                
                tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
                          inet addr:10.0.0.6  P-t-P:10.0.0.5  Mask:255.255.255.255
                          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
                          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
                          TX packets:5 errors:0 dropped:0 overruns:0 carrier:0
                          collisions:0 txqueuelen:100
                          RX bytes:0 (0.0 B)  TX bytes:420 (420.0 B)
                
                

                route:

                
                default         10.64.64.64     0.0.0.0         UG    0      0        0 3g-3g
                10.0.0.1        10.0.0.5        255.255.255.255 UGH   0      0        0 tun0
                10.0.0.5        *               255.255.255.255 UH    0      0        0 tun0
                10.64.64.64     *               255.255.255.255 UH    0      0        0 3g-3g
                10.254.254.0    *               255.255.255.0   U     0      0        0 br-lan
                192.168.100.0   10.0.0.5        255.255.255.0   UG    0      0        0 tun0
                
                

                При всем при этом, на том же pfsense корректно работает другой Openvpn сервер на другом порту, используется tls user/pass, но клиент под виндой, таким образом запускал через импорт ovpn. На проблемном сервере-клиенте использую p12.

                1 Reply Last reply Reply Quote 0
                • werterW
                  werter
                  last edited by

                  Доброе.

                  Вот это зачем ?

                  config rule
                          option name 'Unencrypted-CO-NET'
                          option src 'lan'
                          option dest 'wan'
                          option dest_ip '192.168.1.0/24'
                          option family 'ipv4'
                          option target 'REJECT'
                          option proto 'all'
                  

                  Попробуйте уйти от адресации 10.x.x.x в туннельной сети. Смените на 172.16.х.х, напр.

                  1 Reply Last reply Reply Quote 0
                  • A
                    AlexSYS
                    last edited by

                    Лишнее правило убрал, сеть поменял. Без изменений.

                    Если запускаю пинги openwrt до pfsense, то на pfsense Bytes Recived увеличивается - вообще не ясно.

                    1 Reply Last reply Reply Quote 0
                    • P
                      pigbrother
                      last edited by

                      openvpn tunnel between openwrt and pfsense
                      https://forum.pfsense.org/index.php?topic=61884.0

                      How to configure OpenVPN tunnels using pfSense and OpenWRT
                      http://www.dd-wrt.com/phpBB2/download.php?id=8941

                      OpenVPN on OpenWRT CHAOS CALMER
                      https://forum.openwrt.org/viewtopic.php?id=60552

                      https://habrahabr.ru/post/56652/

                      HTH.

                      1 Reply Last reply Reply Quote 0
                      • werterW
                        werter
                        last edited by

                        Кхм, может перейти на remote access (клиент-сервер) ?

                        Ps. Покажите tracert из сети за wrt в сеть за pf.

                        Ps2. Это есть на pf ?

                        route 10.254.254.0 255.255.255.0;
                        push "route 192.168.100.0 255.255.255.0";
                        
                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.