Камрады ! Взываю о помощи с настройкой OpenVPN

Алоха !
Собственно вопрос в названии темы ...

Имеется несколько сетей, нуждающихся в объединении:
1-со статическим IP и роутером Linksys E3000 с DD-WRT на борту
2-с серым Ростелекомовским IP и Keenetic'om LITE II
3-,4- и т.д. аналогично второй

как было раньше - на DD-WRT крутился PPTP сервер, Keenetic-и коннектилися к нему, у всех прописаны статические маршруты, все всех видят, лепота ...

но гениальный Ростелекомовский разум решил фильтровать соединения по протоколу PPTP и накрылось все женским пельменем

Выход - в испльзовании OpenVPN, но тут я, пардон, полный нуб ...
Ключи-сертификаты создал, подключение происходит, но пинги не бегают, где-то накосячил ...

Есть спецы подсказать ? Заранее благодарен ...

собственно вопросы для начала - я поотключал нафиг шифрование и сжатие, может это быть источником засады ? как настроить Keenetic подключаться к DD-WRT с определенным адресом ?

конфиг Keenetic'a(192.168.56.1):

dev tun
proto udp
remote xxx 1194
ifconfig 10.10.10.208 192.168.0.208
route 192.168.1.0 255.255.255.0 192.168.0.1
route 192.168.2.0 255.255.255.0 192.168.0.1
tls-client
remote-cert-tls server
tun-mtu 1500
ping-restart 60
ping 10
<ca>
-----BEGIN CERTIFICATE-----
xxx
</ca>
<cert>
xxx
-----BEGIN CERTIFICATE-----
xxx
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN RSA PRIVATE KEY-----
xxx
-----END RSA PRIVATE KEY-----
</key>

вместо xxx ессесно соответственные значения

галки"Использовать для выхода в Интернет" и "Получать маршруты от удаленной стороны" в настройках подключения Keenetic'a сняты, правила в межсетевом экране прописаны на разрешение всего (TCP/UDP/ICMP) везде

лог Keenetic'a:

Мар 21 09:09:50 OpenVPN1
[UNDEF] Inactivity timeout (--ping-restart), restarting
Мар 21 09:09:50 OpenVPN1
SIGUSR1[soft,ping-restart] received, process restarting
Мар 21 09:09:50 ndm
Network::Interface::OpenVpn: "OpenVPN1": system failed [0xcffd0a22], unable to set down tunnel interface: no such device.
Мар 21 09:09:50 ndm
Network::Interface::OpenVpn: "OpenVPN1": system failed [0xcffd0a31], invalid argument.
Мар 21 09:09:50 ndm
Network::Interface::IP: "OpenVPN1": IP address cleared.
Мар 21 09:09:50 ndm
Network::Interface::OpenVpn: "OpenVPN1": remove installed accepted routes.
Мар 21 09:09:50 OpenVPN1
SIGINT[hard,init_instance] received, process exiting
Мар 21 09:09:52 OpenVPN1
disabling NCP mode (--ncp-disable) because not in P2MP client or server mode
Мар 21 09:09:52 OpenVPN1
OpenVPN 2.4.6 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD]
Мар 21 09:09:52 OpenVPN1
library versions: OpenSSL 1.1.1b 26 Feb 2019, LZO 2.10
Мар 21 09:09:52 OpenVPN1
TUN/TAP device tun0 opened
Мар 21 09:09:52 OpenVPN1
do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Мар 21 09:09:52 ndm
Network::Interface::IP: "OpenVPN1": IP address is 10.10.10.208/32.
Мар 21 09:09:52 ndm
Network::Interface::OpenVpn: "OpenVPN1": TUN peer address is 192.168.0.208.
Мар 21 09:09:52 ndm
Network::Interface::OpenVpn: "OpenVPN1": added host route to peer 192.168.0.208 via 10.10.10.208.
Мар 21 09:09:53 OpenVPN1
UDP link local (bound): [AF_INET][undef]:1194
Мар 21 09:09:53 OpenVPN1
UDP link remote: [AF_INET]x.x.x.x:1194
Мар 21 09:09:53 OpenVPN1
GID set to nobody
Мар 21 09:09:53 OpenVPN1
UID set to nobody
Мар 21 09:10:53 OpenVPN1
[UNDEF] Inactivity timeout (--ping-restart), restarting
Мар 21 09:10:53 OpenVPN1
SIGUSR1[soft,ping-restart] received, process restarting
Мар 21 09:10:54 ndm
Network::Interface::OpenVpn: "OpenVPN1": system failed [0xcffd0a22], unable to set down tunnel interface: no such device.
Мар 21 09:10:54 ndm
Network::Interface::OpenVpn: "OpenVPN1": system failed [0xcffd0a31], invalid argument.

конфиг с DD-WRT обнародовать пока не могу, ибо последний в результате игрищ подвис, на ping и telnet не отвечает, вебморда соответственно, но Keenetic упорно рапортует об успешном подключении и переподключении раз в минуту по неактивности ...

Это сообщение отредактировал Paralon4eg - 21.03.2019 - 09:27

192.168.0.1 = DD-WRT

А есть правило которое пакеты в тунель то заворачивает?

на DD-WRT прописаны пути в туннель. но до него пинга нет (

Извините, что влезаю в линухоидную тему, но просто для себя прояснить (для энциклопедии, сам недавно наебся с OpenVPN).
ТС, ты сервер OpenVPN хочешь взгромоздить на DD-WRT? И шоб кинетики подключались к нему снаружи?

Это сообщение отредактировал dmi220 - 21.03.2019 - 12:08

dmi220
Так он встроен туда вроде....

Со стороны сервера роутинг из впн подсети в локалку разрешен? В фаере

точно так

однако чудеса ... Keenetic упорно рапортует об успешном подключении и переподключении раз в минуту по неактивности теперь уже к физически отключенному DD-WRT

точно так

фаер отключен

L2TP+IPSEC тебя спасут. Проще настройка, меньшее потребление ресурсов, значительно выше пропуская способность при тех же ресурсах.

да я б с радостью, токмо прошивок таких на E3000 не нашел ... или плохо искал ?

А что в своё оправдание сказал Ростелеком?

Ты на DD-WRT не файерволл последним трогал часом? А то может там сейчас только 1194 и открыт)

Нет технической возможности обычно говорят.

отлючен нафиг

фильтрция отсутствует говорят

Я ничего не соображаю в настройках OpenVPN, всего раз настраивал по картинкам в интернетах, вроде ничего такого, но вот эти строки смущают:

Network::Interface::OpenVpn: "OpenVPN1": system failed [0xcffd0a22], unable to set down tunnel interface: no such device.
Мар 21 09:10:54 ndm
Network::Interface::OpenVpn: "OpenVPN1": system failed [0xcffd0a31], invalid argument.

И где конкретно в логе строчка об "успешном подключении" ?

Насколько я смог прочесть лог, тут установка различных параметров соединения, поднятие tun0 и на том всё, рестарт по таймауту(

зеленеет в настройках подключения ... но умудряется зеленеть даже при отключенном сервере ...

а что там еще должно быть ?

ТС оно даже не начинает сессию, т.е. не достукивается до сервера.
Давай конфиг с сервера и настройки фаера в студию.

пока не могу сам до него достучаться ... завтра токмо физически рядом буду ...
фаер отрублен

Это сообщение отредактировал Paralon4eg - 21.03.2019 - 17:27

Я когда в первый раз настраивал OpenVPN сервер, умудрился прописать правило, которое блокирует все порты, кроме впн, тогда знакомый одмин мне сказал, настройка iptables по ssh к дороге дальней...