Камрады ! Взываю о помощи с настройкой OpenVPN


Страницы: (3) 1 [2] 3	[ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]

Paralon4eg

21.03.2019 - 18:05

Статус: Offline

Юморист

Регистрация: 10.10.13
Сообщений: 563

Цитата (NetFix @ 21.03.2019 - 17:59)

Цитата (Paralon4eg @ 21.03.2019 - 17:27)

Цитата (tumbochko @ 21.03.2019 - 16:55)

ТС оно даже не начинает сессию, т.е. не достукивается до сервера.
Давай конфиг с сервера и настройки фаера в студию.

пока не могу сам до него достучаться ... завтра токмо физически рядом буду ...
фаер отрублен

Я когда в первый раз настраивал OpenVPN сервер, умудрился прописать правило, которое блокирует все порты, кроме впн, тогда знакомый одмин мне сказал, настройка iptables по ssh к дороге дальней...

да я там не прописывал ничего особо, там в вебморде настройки ... пара моментов непонятных была - типа forward default gateway ... завтра уже выложу все скрины с него ...

[^]

Paralon4eg	21.03.2019 - 18:07 [ показать ] 0
Статус: Offline Юморист Регистрация: 10.10.13 Сообщений: 563	закрались у меня сомнения по поводу Е3000 с DD-WRT который ... не издох ли он часом ... а то мож и кипишь не по делу ... короче до завтра пауза по-любому ...
	[^]

NURman	21.03.2019 - 18:11 [ показать ] 0
Статус: Offline Лев, который как кот, гуляет сам по себе Регистрация: 21.08.17 Сообщений: 405	Я в свое время убил несколтко дней на настройку проблемы ТС. Неполучилось в итоге. Потом очень кстати попалась статья, http://www.yaplakal.com/forum2/topic177427...дин евро И всё у меня зашибись. Всё работает и с компа и с телефона. Это сообщение отредактировал NURman - 21.03.2019 - 18:18
	[^]

NetFix

21.03.2019 - 18:13

Статус: Offline

Ярила

Регистрация: 14.08.13
Сообщений: 1543

Цитата (Paralon4eg @ 21.03.2019 - 16:18)

Цитата (NetFix @ 21.03.2019 - 15:59)

Насколько я смог прочесть лог, тут установка различных параметров соединения, поднятие tun0 и на том всё, рестарт по таймауту(

а что там еще должно быть ?

Как минимум ответ сервера, я бы поднял сервер с клиентом на компах, просто для понимания аспектов их работы, у девайсов soho класса обычно бывают свои специфичные глюки, которые без опыта просто не понять, когда хз что должно быть, а чего не должно...

У всех девайсов должны быть даты соответствующие времени действия сертификатов, иначе впн будет динамить без объявления войны(из того что вспомнилось), поднимал OpenVPN, когда был выделенный сервер, кинцо заблоченное посмотреть.

Это сообщение отредактировал NetFix - 21.03.2019 - 18:18

[^]

NetFix	21.03.2019 - 18:29 [ показать ] 0
Статус: Offline Ярила Регистрация: 14.08.13 Сообщений: 1543	Я на микротике боюсь Openvpn настраивать, стрёмно как то, сменю его на комп с дебиан или центос, их поведение предсказуемо, а тратить нервы на изучение костылей, которые показались кому то истинно верными, мне не хочется. Его бедного и так глючит иногда.
	[^]

NetFix

21.03.2019 - 18:31

Статус: Offline

Ярила

Регистрация: 14.08.13
Сообщений: 1543

Цитата (Paralon4eg @ 21.03.2019 - 18:07)

закрались у меня сомнения по поводу Е3000 с DD-WRT который ... не издох ли он часом ... а то мож и кипишь не по делу ... короче до завтра пауза по-любому ...

Дык есть ping, если не проходит, значит повис.

[^]

Taicho

21.03.2019 - 18:42

Статус: Offline

Ярила

Регистрация: 2.03.10
Сообщений: 2218

Цитата

Дык есть ping, если не проходит, значит повис.

Угу, или галка стоит "Не отвечать на ICMP запросы"

[^]

NetFix

21.03.2019 - 18:51

Статус: Offline

Ярила

Регистрация: 14.08.13
Сообщений: 1543

Цитата (Taicho @ 21.03.2019 - 18:42)

Цитата

Дык есть ping, если не проходит, значит повис.

Угу, или галка стоит "Не отвечать на ICMP запросы"

А где ты видел такую галку в роутерах? Роутеру не хочется получать инфу от соседних роутеров? Он раком будет выполнять обновление таблицы маршрутов?

[^]

Taicho

21.03.2019 - 19:12

Статус: Offline

Ярила

Регистрация: 2.03.10
Сообщений: 2218

Цитата (NetFix @ 21.03.2019 - 18:51)

Цитата (Taicho @ 21.03.2019 - 18:42)

Цитата

Дык есть ping, если не проходит, значит повис.

Угу, или галка стоит "Не отвечать на ICMP запросы"

и при чем тут таблица маршрутов, соседние роутеры и пинг?

Это сообщение отредактировал Taicho - 21.03.2019 - 19:13

Камрады ! Взываю о помощи с настройкой OpenVPN

[^]

vaisman

21.03.2019 - 19:16

Статус: Online

Ярила

Регистрация: 10.03.14
Сообщений: 26455

Цитата (NetFix @ 21.03.2019 - 17:59)

Цитата (Paralon4eg @ 21.03.2019 - 17:27)

Цитата (tumbochko @ 21.03.2019 - 16:55)

пока не могу сам до него достучаться ... завтра токмо физически рядом буду ...
фаер отрублен

А все потому, что надо оставлять для себя альтернативный вариант подключения, или первое правило должно разрешать тебе ssh или иной способ удаленного управления, а все остальное - ниже.

[^]

NetFix

21.03.2019 - 19:16

Статус: Offline

Ярила

Регистрация: 14.08.13
Сообщений: 1543

Цитата (Taicho @ 21.03.2019 - 19:12)

Цитата (NetFix @ 21.03.2019 - 18:51)

Цитата (Taicho @ 21.03.2019 - 18:42)

Цитата

Дык есть ping, если не проходит, значит повис.

Угу, или галка стоит "Не отвечать на ICMP запросы"

и при чем тут таблица маршрутов, соседние роутеры и пинг?

Угу, или галка стоит "Не отвечать на ICMP запросы" gigi.gif

https://ru.wikipedia.org/wiki/ICMP

[^]

Taicho

21.03.2019 - 19:23

Статус: Offline

Ярила

Регистрация: 2.03.10
Сообщений: 2218

Цитата (vaisman @ 21.03.2019 - 19:16)

Цитата (NetFix @ 21.03.2019 - 17:59)

Цитата (Paralon4eg @ 21.03.2019 - 17:27)

Цитата (tumbochko @ 21.03.2019 - 16:55)

пока не могу сам до него достучаться ... завтра токмо физически рядом буду ...
фаер отрублен

А я Fail2Ban настраивал на Asterisk.
3 неудачных попытки логина в Астериск - и айпишник улетает в бан

Благо сервак стоял рядом на столе, с клавой и моником

[^]

NetFix

21.03.2019 - 19:26

Статус: Offline

Ярила

Регистрация: 14.08.13
Сообщений: 1543

Цитата (vaisman @ 21.03.2019 - 19:16)

Цитата (NetFix @ 21.03.2019 - 17:59)

Цитата (Paralon4eg @ 21.03.2019 - 17:27)

Цитата (tumbochko @ 21.03.2019 - 16:55)

пока не могу сам до него достучаться ... завтра токмо физически рядом буду ...
фаер отрублен

Да не может там быть резервного правила или варианта, прописал команды и всё, ошибся - твои проблемы.

[^]

NetFix	21.03.2019 - 19:30 [ показать ] 0
Статус: Offline Ярила Регистрация: 14.08.13 Сообщений: 1543	Хотя я погорячился, наверняка можно забиндить резервное упраление на внешний сервер. и если все входящие прикрыты, то спасут исходящие, но я не знаю как это сделать(
	[^]

NetFix

21.03.2019 - 19:32

Статус: Offline

Ярила

Регистрация: 14.08.13
Сообщений: 1543

Цитата (Taicho @ 21.03.2019 - 19:23)

Цитата (vaisman @ 21.03.2019 - 19:16)

Цитата (NetFix @ 21.03.2019 - 17:59)

Цитата (Paralon4eg @ 21.03.2019 - 17:27)

Цитата (tumbochko @ 21.03.2019 - 16:55)

пока не могу сам до него достучаться ... завтра токмо физически рядом буду ...
фаер отрублен

А я Fail2Ban настраивал на Asterisk.
3 неудачных попытки логина в Астериск - и айпишник улетает в бан

Благо сервак стоял рядом на столе, с клавой и моником

Благо у тебя был логин и пароль.

[^]

vaisman	21.03.2019 - 19:39 [ показать ] 0
Статус: Online Ярила Регистрация: 10.03.14 Сообщений: 26455	NetFix, я стараюсь на удаленных объектах или иметь вторую точку входа (даже хотя бы виндовую машину и пользователя, способного врубить тимвьювер) или все эксперименты провожу, когда у меня там выездная команда сидит. Опять же я все таки предпочитаю микротик, а там если первое правило доступ к управлению разрешает, все что ниже не проблема, сложновато себе в ногу выстрелить. Круто, кчтати, Д-Линк на "взрослых" железках сделал - после применения настроек ты должен за 30 секунд переподключиться, если не подключился, он откатывает конфигурацию.
	[^]

Paralon4eg

21.03.2019 - 21:19

Статус: Offline

Юморист

Регистрация: 10.10.13
Сообщений: 563

Цитата (Taicho @ 21.03.2019 - 18:42)

Цитата

Дык есть ping, если не проходит, значит повис.

Угу, или галка стоит "Не отвечать на ICMP запросы"

не, был же ... потом пропал ...

[^]

Paralon4eg

21.03.2019 - 21:20

Статус: Offline

Юморист

Регистрация: 10.10.13
Сообщений: 563

Цитата (vaisman @ 21.03.2019 - 19:39)

NetFix, я стараюсь на удаленных объектах или иметь вторую точку входа (даже хотя бы виндовую машину и пользователя, способного врубить тимвьювер) или все эксперименты провожу, когда у меня там выездная команда сидит. Опять же я все таки предпочитаю микротик, а там если первое правило доступ к управлению разрешает, все что ниже не проблема, сложновато себе в ногу выстрелить. Круто, кчтати, Д-Линк на "взрослых" железках сделал - после применения настроек ты должен за 30 секунд переподключиться, если не подключился, он откатывает конфигурацию.

на серых IP точки есть, на DD-WRT белый IP - вроде как не надо было, хотя тоже не вопрос

[^]

Shadow2091

22.03.2019 - 10:10

Статус: Offline

Status Quo

Регистрация: 27.02.13
Сообщений: 68

Цитата (NetFix @ 21.03.2019 - 18:29)

Я на микротике боюсь Openvpn настраивать, стрёмно как то, сменю его на комп с дебиан или центос, их поведение предсказуемо, а тратить нервы на изучение костылей, которые показались кому то истинно верными, мне не хочется.

Его бедного и так глючит иногда.

На микроте опенвпна - бойся, все верно. Он там кастрированный и мертворожденный. Что касается бубнов для поднятия VPN сервера - под чистыми никсами их на три порядка больше, чем на микроте - поверь.

[^]

Taicho

22.03.2019 - 10:17

Статус: Offline

Ярила

Регистрация: 2.03.10
Сообщений: 2218

Цитата

Что касается бубнов для поднятия VPN сервера - под чистыми никсами их на три порядка больше, чем на микроте - поверь.

Установить сам пакет
Сгенерить сертификаты
Перекинуть сертификаты на клиент
настроить 1 файл конфига
завернуть трафик в тунель

на клиенте
прописать сертификаты
настроить 1 файл конфига

[^]

Shadow2091

22.03.2019 - 10:20

Статус: Offline

Status Quo

Регистрация: 27.02.13
Сообщений: 68

Цитата (Taicho @ 22.03.2019 - 10:17)

Цитата

Ага, как по ману. А на практике + настройка файрвола, маскарадинга, запихнуть OSPF в туннель, победить тот самый "1 файл конфига", допилить скрипты подключения-отключения, ну и в догонку привести в порядок кривой keepalive для tun'а

[^]

Taicho

22.03.2019 - 10:39

Статус: Offline

Ярила

Регистрация: 2.03.10
Сообщений: 2218

Код

iptables -t nat -A POSTROUTING -s xxx.xxx.xxx.xxx/24 -o ethX -j MASQUERADE

[^]

Paralon4eg	22.03.2019 - 12:20 [ показать ] 0
Статус: Offline Юморист Регистрация: 10.10.13 Сообщений: 563	и снова здравствуйте физический доступ к Е3000 с DD-WRT показал впадание последнего в маразм хард-ресет, обнова и старичок снова в строю ... как оказалось, мой наезд на Ростелеком оказался необоснованным, за что приношу извинения всем причастным и неравнодушным ... тем не менее, раз уж пошла такая пьянка, то разобраться с OpenVPN таки хочется - на будущее (ж-ж-ж-ж-ж по поводу блокировки PPTP Ростелекомом не спроста, думаю) и для общего, так сказать развития ... да и скорости на нем говорят повеселее, чем PPTP. собственно ниже конфиги OPenVPN сервера с вебморды DD-WRT
	[^]

Paralon4eg	22.03.2019 - 12:20 [ показать ] 0
Статус: Offline Юморист Регистрация: 10.10.13 Сообщений: 563	два
	[^]

Paralon4eg	22.03.2019 - 12:20 [ показать ] 0
Статус: Offline Юморист Регистрация: 10.10.13 Сообщений: 563	три
	[^]

Понравился пост? Еще больше интересного в Телеграм-канале ЯПлакалъ!

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.

1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)	Просмотры темы: 5916
0 Пользователей: