OpenVPN и Asus RT-AC51U



  • Здравствуйте
    Такая проблема, хочу подружить pfsense и маршрутизатор Asus RT-AC51U

    Главный офис, стоит pfsense 192.168.1.*
    Доп. офис стоит выше указанный роутер 192.168.2.*

    На pfsense поднят openvpn, на роутере выбираю клиент openvpn выбираю конфиг, вручную прописываю в поля ca и прочее.
    В итоге он не подключается. Лог

    Jul  7 07:44:50 rc_service: httpd 207:notify_rc restart_vpncall
    Jul  7 07:44:51 openvpn[1380]: OpenVPN 2.3.2 mipsel-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [eurephia] [MH] [IPv6] built on Sep 23 2015
    Jul  7 07:44:51 openvpn[1380]: WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
    Jul  7 07:44:51 openvpn[1380]: Socket Buffers: R=[116736->131072] S=[116736->131072]
    Jul  7 07:44:51 openvpn[1380]: RESOLVE: Cannot resolve host address: 1194: Name or service not known
    Jul  7 07:44:51 openvpn[1386]: RESOLVE: Cannot resolve host address: 1194: Name or service not known
    Jul  7 07:44:56 openvpn[1386]: RESOLVE: Cannot resolve host address: 1194: Name or service not known
    Jul  7 07:45:01 openvpn[1386]: RESOLVE: Cannot resolve host address: 1194: Name or service not known
    

    При этом, если ставить openvpn на комп\телефон, то все отлично подключается.

    P.S. порт openvpn с 1194 менял на случайный пятизначный, в конфиге прописан. При этом пробовал ставить стандартный 1194, лог тот же, и меня udp на tcp. Лог тот же
    P.s.s. щас стоит pfsense 2.2.5 стоит ли обновляться на последнюю, как там с багами? ))
    конфиг сервера впн
    http://i.imgur.com/vXQ1stQ.png  http://i.imgur.com/MMxsaAt.png      http://i.imgur.com/F7qUPUz.png



  • Доброе

    Главный офис, стоит pfsense 192.168.1.*

    Что на WAN пф ? Нужна белая статика\динамика

    Jul  7 07:44:51 openvpn[1380]: RESOLVE: Cannot resolve host address: 1194: Name or service not known

    Обратитесь с асуса к пф по IP, а не по имени. Если настраиваете на пф впн на нестандартном порту - проверяйте , появилось ли разреш. правило
    fw на WAN пф для впн . Само оно там может не появиться.

    Asus RT-AC51U

    Смените  прошивку на http://forum.ixbt.com/topic.cgi?id=14:63015
    Стабильнее, шустрее etc. Ваша с full в названии - https://bitbucket.org/padavan/rt-n56u/downloads

    Что еще умеет - https://bitbucket.org/padavan/rt-n56u/wiki/browse/RU



  • в главном ип белый, статика

    Обратитесь с асуса к пф по IP, а не по имени. Если настраиваете на пф впн на нестандартном порту - проверяйте , появилось ли разреш. правило
    fw на WAN пф для впн . Само оно там может не появиться.

    обращается по ип, ddns не делал, в конфигах ип стоит.
    Порт нестандартный, в правилах стоит (с компа и телефона же подключается  :) )

    Попробую прошивку, позже отпишусь



  • Что в нате для исходящих пакетов?
    попробуйте создать другой, новый сервер и настроить. Проверьте не используется ли этот порт где-либо еще.

    У меня все проще, вместо интернета на вторую точку проброшен канал провайдером до филиала, интернет берем с головного офиса.



  • Смените  прошивку

    Спасибо, прошивка помогла, теперь без проблем подключается )
    Но, подскажите, из главного офиса (192.168.1.) не видно сеть доп. офиса(192.168.2.). Из доп офиса, пингует сеть гл. офиса, но на расшаренные папки клиентов не заходит. Что и куда добавить? )
    Или же, для этого каждому ставить openvpn клиент и заходить на шару через подсеть впн?(10.7.7.*)

    У меня все проще, вместо интернета на вторую точку проброшен канал провайдером до филиала, интернет берем с головного офиса.

    Как раз сейчас на нового провайдера переходим, нам предлагали такой же вариант, я был за него. Но вышестоящее начальство решила иначе  :-X



  • но на расшаренные папки клиентов не заходит. Что и куда добавить? )

    Вы по ип обратитесь к шаре. Типа Пуск-> Выполнить -> \xxx.xxx.xxx.xxx



  • @werter:

    но на расшаренные папки клиентов не заходит. Что и куда добавить? )

    Вы по ип обратитесь к шаре. Типа Пуск-> Выполнить -> \xxx.xxx.xxx.xxx

    да, так и делал

    из доп.офиса заходит на сенс и по 10.7.7.1 и по 192.168.1.1 Пк в сети не пингует, хотя на вебморды серверов сети лезет.
    А из главного офиса  192.168.2.* не пингует и не доступен



  • подскажите, из главного офиса (192.168.1.) не видно сеть доп. офиса(192.168.2.).

    1. iroute для 192.168.2.0/24 в client specific overrides указан?
    2. На pfSense правило вида

    IPv4 * LAN net * 192.168.2.0/24 * * none

    создано?



  • @pigbrother:

    подскажите, из главного офиса (192.168.1.) не видно сеть доп. офиса(192.168.2.).

    1. iroute для 192.168.2.0/24 в client specific overrides указан?
    2. На pfSense правило вида

    IPv4 * LAN net * 192.168.2.0/24 * * none

    создано?

    Прописал и то и то, результата нет

    где то, что то я не так делаю…



  • Проверяйте настройки.
    Asus и pfSense при поднятом туннеле должны иметь маршруты в сети друг друга.
    На pfSense маршруты смотреть тут:
    Diagnostics: Routing tables

    Возможно в Asus маршрут нужно добавить вручную.



  • @pigbrother:

    Проверяйте настройки.
    Asus и pfSense при поднятом туннеле должны иметь маршруты в сети друг друга.
    На pfSense маршруты смотреть тут:
    Diagnostics: Routing tables

    да да, как раз мониторю таблицу маршрутизации.
    маршрута к 192.168.2.* там нет, и я не знаю куда и что прописать



  • В общем удалось добиться что у доп. офиса открывается шары компов и гл.офиса. Но в гл. офисе по прежнему не видно ни шар ни пинга сети доп офиса.

    1 - таблица сервера http://i.imgur.com/c4N3kTk.png
    2 - таблица клиента http://i.imgur.com/RLQydVB.png

    p.s. добился путем добавления route 192.168.2.0 255.255.255.0; push "route 192.168.1.0 255.255.255.0" в Advanced на сервере. Client Specific Override пуст.

    Что еще сделать мне?



  • Все сделал, все получилось

    Итоговый вариант в конфиге сервера

    route 192.168.2.0 255.255.255.0; push "route 192.168.1.0 255.255.255.0"; push "route 192.168.2.0 255.255.255.0"

    в Client Specific Override

    iroute 192.168.2.0 255.255.255.0

    Спасибо за помощь  :)



  • Рекомендую в настр. сервера в Адвансед добавить :

    sndbuf 100000;
    rcvbuf 100000;
    push "sndbuf 100000";
    push "rcvbuf 100000";



  • @werter:

    Рекомендую в настр. сервера в Адвансед добавить :

    sndbuf 100000;
    rcvbuf 100000;
    push "sndbuf 100000";
    push "rcvbuf 100000";

    Спасибо, добавил



  • Апну темку
    Сменили провайдера и на сервере и на клиенте, перестал подключаться впн. ( и с роутера, и с пк через клиент)
    Конфиги не менялись (исключая ip). При этом с телефона и домашнего компа, другого провайдера, подключается.
    На роутере в логах спамится строчка```
    Aug  9 12:04:36 openvpn-cli[697]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts

    В клиенте лог```
    Fri Aug 05 08:35:08 2016 OpenVPN 2.3.11 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on May 10 2016
    Fri Aug 05 08:35:08 2016 Windows version 6.1 (Windows 7) 64bit
    Fri Aug 05 08:35:08 2016 library versions: OpenSSL 1.0.1t  3 May 2016, LZO 2.09
    Fri Aug 05 08:35:09 2016 Control Channel Authentication: using 'бла-бла-бла-tls.key' as a OpenVPN static key file
    Fri Aug 05 08:35:09 2016 UDPv4 link local (bound): [undef]
    Fri Aug 05 08:35:09 2016 UDPv4 link remote: [AF_INET]Айпи:Порт
    Fri Aug 05 08:36:09 2016 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
    Fri Aug 05 08:36:09 2016 TLS Error: TLS handshake failed
    Fri Aug 05 08:36:09 2016 SIGUSR1[soft,tls-error] received, process restarting
    Fri Aug 05 08:36:11 2016 UDPv4 link local (bound): [undef]
    Fri Aug 05 08:36:11 2016 UDPv4 link remote: [AF_INET]Айпи:Порт
    
    


  • TLS key negotiation failed to occur within 60 seconds

    Наиболее  общая ошибка, говорящая о невозможности начать соединение (о недоступности IP или порта OVPN-сервера).

    https://openvpn.net/index.php/open-source/faq/79-client/253-tls-error-tls-key-negotiation-failed-to-occur-within-60-seconds-check-your-network-connectivity.html

    Убедитесь, что OVPN-сервер привязан к правильному интерфейсу, что для этого интерфейса и порта создано на WAN правило,  что провайдер действительно дает "белый" IP и не блокирует нужный порт.

    Проверить, к примеру можно так - перевести сервер в TCP (UDP так не протестировать)  и проверить снаружи этот IP:порт телнетом или nmap, этим, например, сервисом
    http://hideme.ru/ports/
    Указав свой порт.



  • Сменили провайдера и на сервере

    1. У вас теперь серый ип на WAN
    2. Провайдер блокирует порты.



  • @pigbrother:

    Убедитесь, что OVPN-сервер привязан к правильному интерфейсу, что для этого интерфейса и порта создано на WAN правило,  что провайдер действительно дает "белый" IP и не блокирует нужный порт.

    Проверить, к примеру можно так - перевести сервер в TCP (UDP так не протестировать)  и проверить снаружи этот IP:порт телнетом или nmap, этим, например, сервисом
    http://hideme.ru/ports/
    Указав свой порт.

    Привязан правильно, порт открыт. С телефона (через мобильного оператора) и через другого провайдера на домашнем ПК же подключается.

    PORT      STATE SERVICE
    ****/tcp open  unknown
    Nmap done: 1 IP address (1 host up) scanned in 0.20 seconds
    

    Перевел в tcp сервер, лог клиента```
    Tue Aug 09 16:12:52 2016 OpenVPN 2.3.11 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on May 10 2016
    Tue Aug 09 16:12:52 2016 Windows version 6.1 (Windows 7) 32bit
    Tue Aug 09 16:12:52 2016 library versions: OpenSSL 1.0.1t  3 May 2016, LZO 2.09
    Tue Aug 09 16:12:52 2016 Control Channel Authentication: using 'блабла-tls.key' as a OpenVPN static key file
    Tue Aug 09 16:12:52 2016 Attempting to establish TCP connection with [AF_INET]Ип:порт [nonblock]
    Tue Aug 09 16:13:02 2016 TCP: connect to [AF_INET]Ип:порт failed, will try again in 5 seconds: Connection timed out (WSAETIMEDOUT)
    Tue Aug 09 16:13:17 2016 TCP: connect to [AF_INET]Ип:порт failed, will try again in 5 seconds: Connection timed out (WSAETIMEDOUT)
    Tue Aug 09 16:13:32 2016 TCP: connect to [AF_INET]Ип:порт failed, will try again in 5 seconds: Connection timed out (WSAETIMEDOUT)
    Tue Aug 09 16:13:47 2016 TCP: connect to [AF_INET]Ип:порт failed, will try again in 5 seconds: Connection timed out (WSAETIMEDOUT)

    а роутер так же строчку
    

    NOTE: the current --script-security setting may allow this configuration to call user-defined scripts



  • NOTE: the current –script-security setting may allow this configuration to call user-defined scripts

    Это на поднятие туннеля не влияет.

    Конфиг на WIN7 верный? Запускаете клиента от администратора?



  • Лог с телефона, все подключается и работает
    http://i.imgur.com/vWCFfdo.png

    @werter:

    Сменили провайдера и на сервере

    1. У вас теперь серый ип на WAN
    2. Провайдер блокирует порты.

    На сервере белый статичный
    эм, как то тогда частично блокируют, "своих" не пускают, а чужие пожалуйста.

    Я так понимаю затык у провайдера, вопросы к ним? ))
    Сделал отдельным сообщением, вдруг пропустили

    Конфиг на WIN7 верный? Запускаете клиента от администратора?

    Верный, нет, завтра от админа запущу, как то даже выпало из головы.



  • Заодно для теста отключите на WIN7 брандмауэр и тп Касперских, убедитесь также, что запущена служба DHCP-клиент.



  • @pigbrother:

    Заодно для теста отключите на WIN7 брандмауэр и тп Касперских, убедитесь также, что запущена служба DHCP-клиент.

    Попробовал, на двух компах из той сети. Логи те же. Но и изначально думал, что не поможет, ибо что же тогда мешало подключиться к роутеру? Думаю надо обращаться к провайдеру.
    P.S. попробовал сменить порт. история та же



  • Апну темку мб кому пригодится
    Сегодня дошли руки посидел поковырялся. Все оказалось просто. Достаточно было мне было заглянуть в лог фаервола и увидеть  там что клиент долбится не с внешнего адреса, а с адреса вида 10.205.. отключил Block private networks and loopback addresses и Block bogon networks в настройках WAN и все заработало ))



  • 2 rze
    Доброе.
    Рекомендую для вашего роутера эту прошивку - https://bitbucket.org/padavan/rt-n56u/downloads
    Стабильнее , свежее,  больше возможностей - https://bitbucket.org/padavan/rt-n56u/wiki/browse/RU



  • Сегодня дошли руки посидел поковырялся. Все оказалось просто. Достаточно было мне было заглянуть в лог фаервола и увидеть  там что клиент долбится не с внешнего адреса, а с адреса вида 10.205..

    Спишем это на особенности работы конкретного провайдера.
    Обычно серые адреса не видны на WAN-интерфейсе, предположу, что и OVPN-сервер pf и проблемный клиент обслуживаются одним провайдером.



  • @werter:

    2 rze
    Доброе.
    Рекомендую для вашего роутера эту прошивку - https://bitbucket.org/padavan/rt-n56u/downloads

    Доброе, как раз она и стоит, как раз таки вы мне ее и советовали  ;)

    @pigbrother:

    Спишем это на особенности работы конкретного провайдера.
    Обычно серые адреса не видны на WAN-интерфейсе, предположу, что и OVPN-сервер pf и проблемный клиент обслуживаются одним провайдером.

    Именно так. До этого тоже обслуживалось одним провайдером, но другим, и таких проблем не было.



  • Здравствуйте, появилась проблемка, к примеру, прихожу после выходных соединения нет с удаленным офисом.
    Лог на сервере```
    Mar 9 08:08:03 openvpn 16624 Authenticate/Decrypt packet error: packet HMAC authentication failed
    Mar 9 08:08:03 openvpn 16624 TLS Error: incoming packet authentication failed from [AF_INET]10.201.1.23:28057

    Лог на клиенте```
    Mar  9 08:08:05 RT-AC51U: starting OpenVPN client...
    Mar  9 08:08:05 openvpn-cli[538]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
    Mar  9 08:08:05 openvpn-cli[538]: Cannot load private key file /etc/storage/openvpn/client/client.key: error:0B080074:lib(11):func(128):reason(116)
    Mar  9 08:08:05 openvpn-cli[538]: Error: private key password verification failed
    Mar  9 08:09:24 RT-AC51U: starting OpenVPN client...
    Mar  9 08:09:24 openvpn-cli[573]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
    Mar  9 08:09:28 vpnc-script: tun0 up
    

    Захожу на роутер клиента, заполняю сертификаты, сохраняю - работает. Судя по времени работы роутера, его там выключают на выходных. Куда копать, что можно сделать?

    P.S. Remote Access (SSl/TLS) UDP tun. Сервер и клиент в одном городе, один провайдер, пинг нормальный.
    P.S2. Рассинхрона по времени нет, на сервере и на клиенте время правильное.



  • Захожу на роутер клиента, заполняю сертификаты, сохраняю - работает. Судя по времени работы роутера, его там выключают на выходных. Куда копать, что можно сделать?

    Похоже сертификаты Асус хранит не в jffs (flash), а где-то в ОЗУ, например в /tmp, который реально - рам-диск.

    Посмотрите, на какие пути к сертификатам ссылается конфиг клиента.



  • @pigbrother:

    Захожу на роутер клиента, заполняю сертификаты, сохраняю - работает. Судя по времени работы роутера, его там выключают на выходных. Куда копать, что можно сделать?

    Похоже сертификаты Асус хранит не в jffs (flash), а где-то в ОЗУ, например в /tmp, который реально - рам-диск.

    Посмотрите, на какие пути к сертификатам ссылается конфиг клиента.

    как в логе и написано - http://i.imgur.com/rNbQTw8.png . Единственное что не смотрел если роутер обесточить.

    http://i.imgur.com/3EAI7jt.png - вот пути в конфиге



  • Выкладывайте картинки сюда, в тему через Attachments and other options ниже формы для поста.
    Обесточьте  и посмотрите, что останется в etc/storage.



  • @pigbrother:

    Выкладывайте картинки сюда, в тему через Attachments and other options ниже формы для поста.
    Обесточьте  и посмотрите, что останется в etc/storage.

    Обесточил, впн поднялся сам, без проблем.
    Понаблюдаю еще






  • Доброе
    На роутере необходимо доп. понажимать кнопки save в настройках, чтобы сертификаты сохр. в хранилище. Сам на это натыкался.