24 Listopada 2024 04:18:12
Nawigacja
· Strona Główna
· Forum

· Tomato by Shibby
· FreshTomato


Wątki na forum
Najnowsze dyskusje
· [S] Asus RT-AC56U
· DIR868l OFW asus vs ...
· Szukam zaproszenia n...
· [MOD] FreshTomato-AR...
· Asus RT-AC5300 ,prob...
· archer c6 v3.20
· [S] Nighthawk R7000P...
· [S]Asus RT-AC5300 - ...
· Tanie N100 na promce...
· net z telefonu wifi+...
· Tomato - bugi/proble...
· HUAWEI z światłowodem
· Asus TUF-AX3000_V2 p...
· rt-ax88upro częste ...
· [Howto] Xpenology na...
· Jaki router pod Open...
· Ruter z tomato
· Czy to jeszcze NAS?
· RT AC66U B1
· Wireguard na FreshTo...
Najpopularniejsze obecnie wątki
· DIR868l OFW asus ... [8]
· [S] Asus RT-AC56U [0]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
36% [151 głosów]

Broadcom ARM
Broadcom ARM
52% [219 głosów]

Atheros
Atheros
5% [22 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
1% [3 głosów]

Intel/AMD/VIA
Intel/AMD/VIA
1% [5 głosów]

Żaden z powyższych
Żaden z powyższych
4% [15 głosów]

Ogółem głosów: 419
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38
Twoje IP
3.149.232.87
Zobacz wątek
OpenLinksys » :: PORTAL :: » Tutoriale
 Drukuj wątek
Step-by-step OpenVPN w TOMATO i DDWRT
shibby
Opis dotyczy konfiguracji openvpn pod tomato/ddwrt, które NIE POSIADA wkompilowanej obslugi openvpn z poziomu GUI!

Opis nie bedzie lopatologiczny a wrecz ogolny, przedstawiajacy mniej wiecej krok o kroku sposob instalacji i konfiguracji openvpn.

WYMAGANIA:
- router z tomato lub ddwrt
- zainstalowane i skonfigurowane optware

1. Zaczynamy od instalacji potrzebnych paczek i modulow.
paczki:

Cytat

ipkg install openvpn openssl bash


modul:

Cytat

mkdir /opt/lib/modules
wget http://update.groov.pl/tun.o -O /opt/lib/modules/tun.o


probojemy zaladowac modul

Cytat

insmod /opt/lib/modules/tun.o


jezeli nie mamy bledow to idziemy dalej.

2) Skrypty i konfigi.
Na poczatek usuwamy wszystko z katalogu /opt/etc/openvpn

Tworzymy odpowiednia strukture plikow, skryptow i katalogow.

Cytat

cd /opt/etc/openvpn
mkdir easy-rsa
touch ipp.txt
touch openvpn.conf
cd easy-rsa
mkdir keys
touch generujCA.sh
touch generujCertClient.sh
touch generujDH.sh
touch generujServerCert.sh
touch openssl.cnf
chmod +x generuj*
cd keys
touch index.txt
touch index.txt.attr
touch serial
mkdir csr
echo "00" > serial
echo "unique_subject = no" > index.txt.attr


Mamy strukturę, teraz będę zamieszczał zawartość plików. Należy je oczywiście wkleić do odpowiednich plików.

/opt/etc/openvpn/openvpn.conf

Cytat

dev tun0

server 10.0.0.0 255.255.255.0
push "route 192.168.0.0 255.255.255.0"

ifconfig-pool-persist ipp.txt

tls-server

dh /opt/etc/openvpn/easy-rsa/keys/dh1024.pem
ca /opt/etc/openvpn/easy-rsa/keys/ca.crt
cert /opt/etc/openvpn/easy-rsa/keys/gateway.crt
key /opt/etc/openvpn/easy-rsa/keys/gateway.key

proto tcp
port 10000
mode server

user nobody
group nobody

keepalive 10 60
max-clients 20
cipher none
comp-lzo
persist-tun
persist-key

verb 3

status /opt/var/log/openvpn/openvpn-status.log
log /opt/var/log/openvpn/openvpn.log


gdzie serwer 10.0.0.0 to pula ovpn a route 192.168.0.0 to nasza siec wewnetrzna. Oczywiście trzeba to zmienic wg uznania i potrzeb. Port 10000 oczywiscie tez do zmiany jezeli ktos chce inny.

!!UWAGA w ddwrt nie ma usera u grupy nobody trzeba zmienic na roota

Cytat

user root
group root

i to jest jedyna roznica w instalacji miedzy tomato a ddwrt :)

/opt/etc/openvpn/easy-rsa/generujCA.sh

Cytat

#!/opt/bin/bash

cd /opt/etc/openvpn/easy-rsa/keys && \
openssl req -days 1825 -new -x509 -keyout ca.key -out ca.crt -config ../openssl.cnf && chmod 0600 ca.key


/opt/etc/openvpn/easy-rsa/generujCertClient.sh

Cytat

#!/opt/bin/bash

HOSTNAME=$1

cd /opt/etc/openvpn/easy-rsa/keys && \
openssl req -days 365 -nodes -new -keyout $1.key -out $1.csr -config ../openssl.cnf && \
openssl ca -days 365 -out $1.crt -in $1.csr -config ../openssl.cnf

mv $1.csr csr/$1.csr


/opt/etc/openvpn/easy-rsa/generujDH.sh

Cytat

#!/opt/bin/bash

openssl dhparam -out /opt/etc/openvpn/easy-rsa/keys/dh1024.pem 1024


/opt/etc/openvpn/easy-rsa/generujServerCert.sh

Cytat

#!/opt/bin/bash

cd /opt/etc/openvpn/easy-rsa/keys && \
openssl req -days 1825 -nodes -new -keyout gateway.key -out gateway.csr -extensions server -config ../openssl.cnf && \
openssl ca -days 1825 -out gateway.crt -in gateway.csr -extensions server -config ../openssl.cnf && \
chmod 0600 gateway.key
mv gateway.csr csr/gateway.csr


/opt/etc/openvpn/easy-rsa/openssl.cnf

Cytat

# OpenSSL example configuration file.
HOME = .
RANDFILE = $ENV::HOME/.rnd

oid_section = new_oids

[ new_oids ]

[ ca ]
default_ca = CA_default # The default ca section

[ CA_default ]

dir = /opt/etc/openvpn/easy-rsa/keys # Where everything is kept
certs = $dir # Where the issued certs are kept
crl_dir = $dir # Where the issued crl are kept
database = $dir/index.txt # database index file.
new_certs_dir = $dir # default place for new certs.

certificate = $dir/ca.crt # The CA certificate
serial = $dir/serial # The current serial number
crl = $dir/crl.pem # The current CRL
private_key = $dir/ca.key # The private key
RANDFILE = $dir/.rand # private random number file

x509_extensions = usr_cert # The extentions to add to the cert

default_days = 3650 # how long to certify for
default_crl_days= 30 # how long before next CRL
default_md = md5 # which md to use.
preserve = no # keep passed DN ordering

policy = policy_match

[ policy_match ]
countryName = match
stateOrProvinceName = match
organizationName = match
organizationalUnitName = optional
commonName = supplied
emailAddress = optional

[ policy_anything ]
countryName = optional
stateOrProvinceName = optional
localityName = optional
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = optional

####################################################################
[ req ]
default_bits = 1024
default_keyfile = privkey.pem
distinguished_name = req_distinguished_name
attributes = req_attributes
x509_extensions = v3_ca # The extentions to add to the self signed cert

string_mask = nombstr

[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = PL
countryName_min = 2
countryName_max = 2

stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = woj. dolnoslaskie

localityName = Locality Name (eg, city)
localityName_default = Olesnica

0.organizationName = Organization Name (eg, company)
0.organizationName_default = GROOV.PL

# we can do this but it is not needed normally :-)
#1.organizationName = Second Organization Name (eg, company)
#1.organizationName_default = World Wide Web Pty Ltd

organizationalUnitName = Organizational Unit Name (eg, section)
organizationalUnitName_default = IT Division

commonName = Common Name (eg, your name or your server\'s hostname)
commonName_max = 64

emailAddress = Email Address
emailAddress_default = admin@groov.pl
emailAddress_max = 40

[ req_attributes ]
challengePassword = A challenge password
challengePassword_min = 4
challengePassword_max = 20

unstructuredName = An optional company name

[ usr_cert ]

basicConstraints=CA:FALSE

nsComment = "OpenSSL Generated Certificate"

subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer:always

[ server ]

basicConstraints=CA:FALSE
nsCertType = server
nsComment = "OpenSSL Generated Server Certificate"
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer:always

[ v3_req ]

basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment

[ v3_ca ]

subjectKeyIdentifier=hash

authorityKeyIdentifier=keyid:always,issuer:always

basicConstraints = CA:true

[ crl_ext ]

authorityKeyIdentifier=keyid:always,issuer:always


tu zmieniamy jedynie dane w sekcji [ req_distinguished_name ] ustawione jako default, czyli nazwe, miejscowosc, wojewodztwo, email itd Reszta bez zmian

3. Generowanie certyfikatów.

Mamy już skrypty, czas więc wygenerować to i tamto :)
Po stronie serwera potrzebujemy CA, DH i Certyfikat bramy (ServerCert). a więc

Cytat

cd /opt/etc/openvpn/easy-rsa/
./generujDH.sh

#tu sobie poczekamy

./generujCA.sh

#tu wpisujemy haslo dla CA.key. Tym kluczem będziemy podpisywać inne certyfikaty, każdorazowo podając hasło do CA.key.

./generujServerCert.sh

#gdy nas poprosi o haslo CommonName wpisujemy jakas nazwe np gateway. Jak poprosi o haslo to podajemy haslo do CA.key


Mamy już wygenerowane certyfikaty a więc pozostała nam jedna zmiana w pliku startowym i możemy odpalać OpenVPN.

W /opt/etc/init.d/S20openvpn remujemy linijke return 0 tam gdzie nas o to proszą. Ma to wyglądać docelowo tak:

Cytat

# I you want a standalone server (not xinetd), comment out the return statement below
#return 0


4. Odpalamy serwer

Cytat

/opt/etc/init.d/S20openvpn


Sprawczamy czy "ps w" zroci nam linijke:

Cytat

23055 nobody 3840 S /opt/sbin/openvpn --daemon --cd /opt/etc/openvpn --config openvpn.conf


Jeżeli tak to sprawdzmy jeszcze czy wstał nam interfejs

Cytat

[root@groov easy-rsa]$ ifconfig tun0
tun0 Link encap:Point-to-Point Protocol
inet addr:10.0.0.1 P-t-P:10.0.0.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:401 errors:0 dropped:0 overruns:0 frame:0
TX packets:422 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:32961 (32.1 KiB) TX bytes:145266 (141.8 KiB)


Tak? no to wszystko gra. Serwer juz stoi. Wystarczy Dopisać co nie co do firewalla

Cytat

#openvpn
/opt/etc/init.d/S20openvpn
iptables -A INPUT -p tcp --dport 10000 -j ACCEPT
iptables -A FORWARD -i tun0 -s 10.0.0.0/24 -d 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -o tun0 -s 192.168.0.0/24 -d 10.0.0.0/24 -j ACCEPT


gdzie 10.0.0.0/24 to adresacja vpna. jezeli zmienialismy to musimy tu poprawic, a 192.168.0.0/24 to siec lan. zmienic na swoja.

5. A co z klientami.

Mamy serwer, zabieramy sie za klientow.
Generujemy certyfikat klienta

Cytat

cd /opt/etc/openvpn/easy-rsa
./generujCertClient.sh nazwa_certyfikatu

#czyli np ./generujCertClient.sh klient1
#w polu CommonName powtarzamy nazwe_certyfikatu. pomoze nam to identyfikowac certyfikaty
#haslo jak poprosi oczywiscie podajemy do CA.key


Mamy certyfikaty dla pierwszego klienta.
Instalujemy sobie openvpna u klienta (www.openvpn.org)
do katalogu c:\program files\openvpn\config wrzucamy z serwera:
-ca.crt (BRON BOZE DAWAC CA.key!!!, to jest klucz prywatny i nikt nie ma prawa go miec)
-klient1.crt
-klient1.key

gdzie klient.cert i key to certyfikat i klucz klienta ktore generowalismy na koncu. Jakby ktos pytal to wszystkie klucze i certyfikaty znajduja sie na serwerze (jak mozna sie domyslec) w /opt/etc/openvpn/easy-rsa/keys/

Potrzebujemy jeszcze config klienta. Oto przykladowy:

Cytat

client
dev tun
comp-lzo
cipher none
resolv-retry infinite
mute-replay-warnings
keepalive 10 60
comp-lzo
verb 3

#vista i win7
route-method exe
route-delay 2

#host zdalny i certyfikaty
remote ip_publiczne 10000
ca ca.crt
cert klient1.crt
key klient1.key


oczywiscie nazwy certyfikatow musza sie zgadzac.
W lini remote podajemy nasze publiczne stałe ip lub domene z dyndns oraz port openvpna.

Łączymy się i cieszymy się dzialającym ovpnem :)

Logi na serwerze można znależć w /opt/var/log/openvpn/

Podziekowal B)

---------------------
Słowo na koniec. Opis pisany z głowy więc może zawierać literówki, więc śmiało zwracać uwagę bo mogłem coś przeoczyć :)

Uwagi mile widziane.
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology SA6400
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
 
robotics

Cytat



Cytat

#openvpn
/opt/etc/init.d/S20openvpn
iptables -A INPUT -p tcp --dport 10000 -j ACCEPT
iptables -A FORWARD -i tun0 -s 10.0.0.0/24 -d 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -o tun0 -s 192.168.0.0/24 -d 10.0.0.0/24 -j ACCEPT


gdzie 10.0.0.0/24 to adresacja vpna. jezeli zmienialismy to musimy tu poprawic, a 192.168.0.0/24 to siec lan. zmienic na swoja.


takie pytanie - 10.0.0.0/24 oznacza to zakres IP od 10.0.0.0 do 10.0.0.24? co ten slash oznacza? Pytam bo mam wywala mi błędy jak chcę wrzucić swój zakres IP - mam 192.168.1.1 do 192.168.1.254 - wywala mi "invalid mask `254' specified"... o co tu chodzi?
 
shibby
eh slash okresla maske sieci (maska 24bitowa, jakbys rozbil maske na system dwojkowy to suma jedynek daje maske) Smile a wiec zapis 10.0.0.0/24 jest rownoznaczy z 10.0.0.0 maska 255.255.255.0 a wiec zakres ip 10.0.0.1-10.0.0.254

a wiec ty powinienes miec 192.168.1.0/24
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology SA6400
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
 
robotics

Cytat

shibby napisał/a:
eh slash okresla maske sieci (maska 24bitowa, jakbys rozbil maske na system dwojkowy to suma jedynek daje maske) Smile a wiec zapis 10.0.0.0/24 jest rownoznaczy z 10.0.0.0 maska 255.255.255.0 a wiec zakres ip 10.0.0.1-10.0.0.254

a wiec ty powinienes miec 192.168.1.0/24


Shock

dzięki popróbuję!

edit:
niestety dalej połączenie bez problemu zostaje nawiązane, karta tun0 po pingu odpowiada, a przy 192.168.1.1 głucho...

i jeszcze jedno - czy wpis "/opt/etc/init.d/S20openvpn" nie powinien być w "wan up" (jest "firewall")?
Edytowany przez robotics dnia 24-09-2009 22:37
 
shibby
obojetnie, tak naprawde. najpierw startuje firewall a pozniej wanup. ja lubie miec porzadek... skoro w firewallu otwieram porty to odrazu tam dalem start uslugi Smile
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology SA6400
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
 
robotics
nie działa dalej - postanowiłem zrobić dokładnie jak piszesz.

co do tutoriala:
- trzeba dopisać "touch" przed "generujServerCert.sh" w drugim punkcie
- nie chciał mi w ogóle generować kluczy za pomocą polecenia "./generujXXX.sh", dopiero po zmienieniu na ". generujXXX.sh" działał.
- nie wiem czy to jest moja wina, ale nie zawsze generuje mi klucze. Czasami putty/telnet się po prostu wyłącza po wydaniu komendy i trzeba ręcznie klepać w klawiaturę zawartość pliku "generujXXX.sh"
- do pliku openvpn.conf i client.ovpn dopisałem jeszcze "proto tpc" i "port 10000" bo chciał łączyć się przez standardowy port (1194 chyba)
- do pliku client.ovpn dopisałem jeszcze "dev-node nazwa_karty_sieciowej_VPNu" (ale i tak IP nie dostaje?? - dlaczego??)

Cytat

shibby napisał/a:
obojetnie, tak naprawde. najpierw startuje firewall a pozniej wanup. ja lubie miec porzadek... skoro w firewallu otwieram porty to odrazu tam dalem start uslugi :)


usługa mi z firewalla w ogóle nie startuje, jak przepisałem do wan up (wszystko) to moduł tun i openvpn startuje. Co do iptables to nie wiem, bo jeszcze nie udało mi się połączyć.

Teraz do rzeczy - wszystko skonfigurowałem, wygenerowałem klucze z problemami, ale są. Żaden log nie upomina się o klucze, więc je widzi, a jednak nie potrafię się podłączyć, karta sieciowa nie udaje nawet, że się podłącza.

log klienta:


Sat Sep 26 10:51:19 2009 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2006
Sat Sep 26 10:51:19 2009 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Sat Sep 26 10:51:19 2009 ******* WARNING *******: null cipher specified, no encryption will be used
Sat Sep 26 10:51:19 2009 LZO compression initialized
Sat Sep 26 10:51:19 2009 Control Channel MTU parms [ L:1528 D:140 EF:40 EB:0 ET:0 EL:0 ]
Sat Sep 26 10:51:19 2009 Data Channel MTU parms [ L:1528 D:1450 EF:28 EB:135 ET:0 EL:0 AF:14/28 ]
Sat Sep 26 10:51:19 2009 Local Options hash (VER=V4): '8c7b630b'
Sat Sep 26 10:51:19 2009 Expected Remote Options hash (VER=V4): '2072ce18'
Sat Sep 26 10:51:19 2009 Attempting to establish TCP connection with moje_IP_zewnętrzne:10000
Sat Sep 26 10:51:40 2009 TCP: connect to moje_IP_zewnętrzne:10000 failed, will try again in 5 seconds


to chyba nie ma znaczenia, że się łączę z mojej sieci, w której stoi serwer OVPN?

aha - ps w zwraca mi podobną linijkę, ale nie taką samą (inne liczby):

509 nobody    3544 S    /opt/sbin/openvpn --daemon --cd /opt/etc/openvpn --config openvpn.conf

to źle?

z góry dzięki!
Edytowany przez robotics dnia 26-09-2009 11:01
 
shibby

Cytat

- trzeba dopisać "touch" przed "generujServerCert.sh" w drugim punkcie


dzieki, dopisalem

Cytat

- nie chciał mi w ogóle generować kluczy za pomocą polecenia "./generujXXX.sh", dopiero po zmienieniu na ". generujXXX.sh" działał.
- nie wiem czy to jest moja wina, ale nie zawsze generuje mi klucze. Czasami putty/telnet się po prostu wyłącza po wydaniu komendy i trzeba ręcznie klepać w klawiaturę zawartość pliku "generujXXX.sh"


mi bez problemu generuje, przez jaki edytor skrypty wklejales?

Cytat

Sat Sep 26 10:51:19 2009 Attempting to establish TCP connection with moje_IP_zewnętrzne:10000
Sat Sep 26 10:51:40 2009 TCP: connect to moje_IP_zewnętrzne:10000 failed, will try again in 5 seconds


zablokowany port, zobacz czy z localhosta mozesz sie na niego zatelnetowac

Cytat

- do pliku openvpn.conf i client.ovpn dopisałem jeszcze "proto tpc" i "port 10000" bo chciał łączyć się przez standardowy port (1194 chyba)


przeciez w configu serwera jest to wpisane, a po stronie klienta jest to niepotrzebne bo laczysz sie przeciez na remote ip port_zdalny. po stronie klienta nie stosuje sie parametru port.

Cytat

- do pliku client.ovpn dopisałem jeszcze "dev-node nazwa_karty_sieciowej_VPNu"


mozna ale przeciez i tak masz tylko jeden tun/tap Smile co innego jakby klient mial pare urzadzen tun/tap
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology SA6400
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
 
n00bek2
Przeszedłem punkt 1 i 2. Problem mam przy 3 - generowanie kluczy.

Cytat

root@unknown:/opt/etc/openvpn/easy-rsa# ./generujDH.sh
openssl:Error: 'dhparam' is an invalid command.

Standard commands
req rsa x509

o co cmon?
D-Link DIR-320 | Tomato 1.27.8741 ND USB Ext

milion500100900 TB HDD + drukarnia + callcenterVoIP + jeszcze jeden wolny port USB Smile
 
shibby
zainstalowales openssl z optware?

masz dodane exporty do profile?
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology SA6400
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
 
n00bek2
no rzeczywiście nie miałem dodanego exporty do profile, lecim dalej

Cytat


root@unknown:/opt/etc/openvpn/easy-rsa# ./generujCA.sh
req [options] outfile
where options are
-inform arg input format - DER or PEM
-outform arg output format - DER or PEM
-in arg input file
-out arg output file
-text text form of request
-pubkey output public key
-noout do not output REQ
-verify verify signature on REQ
-modulus RSA modulus
-nodes don't encrypt the output key
-engine e use engine e, possibly a hardware device
-subject output the request's subject
-passin private key password source
-key file use the private key contained in file
-keyform arg key file format
-keyout arg file to send the key to
-rand file:file:...
load the file (or the files in the directory) into
the random number generator
-newkey rsa:bits generate a new RSA key of 'bits' in size
-newkey dsa:file generate a new DSA key, parameters taken from CA in 'file'
-[digest] Digest to sign with (md5, sha1, md2, mdc2, md4)
-config file request template file.
-subj arg set or modify request subject
-new new request.
-batch do not ask anything during request generation
-x509 output a x509 structure instead of a cert. req.
-days number of days a certificate generated by -x509 is valid for.
-set_serial serial number to use for a certificate generated by -x509.
-newhdr output "NEW" in the header lines
-asn1-kludge Output the 'request' in a format that is wrong but some CA's
have been reported as requiring
-extensions .. specify certificate extension section (override value in config file)
-reqexts .. specify request extension section (override value in config file)
-utf8 input characters are UTF8 (default ASCII)
-nameopt arg - various certificate name options
-reqopt arg - various request text options

../openssl.cnf: line 2: HOME: command not found
../openssl.cnf: line 3: RANDFILE: command not found
../openssl.cnf: line 5: oid_section: command not found
../openssl.cnf: line 10: default_ca: command not found
../openssl.cnf: line 14: dir: command not found
../openssl.cnf: line 15: certs: command not found
../openssl.cnf: line 16: crl_dir: command not found
../openssl.cnf: line 17: database: command not found
../openssl.cnf: line 18: new_certs_dir: command not found
../openssl.cnf: line 20: certificate: command not found
../openssl.cnf: line 21: serial: command not found
../openssl.cnf: line 22: crl: command not found
../openssl.cnf: line 23: private_key: command not found
../openssl.cnf: line 24: RANDFILE: command not found
../openssl.cnf: line 26: x509_extensions: command not found
../openssl.cnf: line 28: default_days: command not found
../openssl.cnf: line 29: 30: command not found
../openssl.cnf: line 30: default_md: command not found
../openssl.cnf: line 31: preserve: command not found
../openssl.cnf: line 33: policy: command not found
../openssl.cnf: line 36: countryName: command not found
../openssl.cnf: line 37: stateOrProvinceName: command not found
../openssl.cnf: line 38: organizationName: command not found
../openssl.cnf: line 39: organizationalUnitName: command not found
../openssl.cnf: line 40: commonName: command not found
../openssl.cnf: line 41: emailAddress: command not found
../openssl.cnf: line 44: countryName: command not found
../openssl.cnf: line 45: stateOrProvinceName: command not found
../openssl.cnf: line 46: localityName: command not found
../openssl.cnf: line 47: organizationName: command not found
../openssl.cnf: line 48: organizationalUnitName: command not found
../openssl.cnf: line 49: commonName: command not found
../openssl.cnf: line 50: emailAddress: command not found
../openssl.cnf: line 54: default_bits: command not found
../openssl.cnf: line 55: default_keyfile: command not found
../openssl.cnf: line 56: distinguished_name: command not found
../openssl.cnf: line 57: attributes: command not found
../openssl.cnf: line 58: x509_extensions: command not found
../openssl.cnf: line 60: string_mask: command not found
../openssl.cnf: line 63: syntax error near unexpected token `('
../openssl.cnf: line 63: `countryName = Country Name (2 letter code)'

D-Link DIR-320 | Tomato 1.27.8741 ND USB Ext

milion500100900 TB HDD + drukarnia + callcenterVoIP + jeszcze jeden wolny port USB Smile
 
shibby
co zle skopiowaly ci sie konfigi i skrypty.

sprobuj to http://update.groov.pl/openvpn.tar.gz

to archiwum ze skryptami i configami. wypakuj w odpowiednie miejsce ale tez rzuc okiem na nie czy jest ok, bo juz nie pamietam czy mam wszystko tak jak w tym tutorialu czy cos zmienialem w miedzy czasie Smile
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology SA6400
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
 
n00bek2
wypakowalem i poszło dalej. Rzuciłem okiem, no i tyle bo co ja tam mam poprawić jak nie wiem co.
Pewnie gdzieś jeszcze mam złe konfingi, bo nie odpala się /opt/etc/init.d/S20openvpn Sad
D-Link DIR-320 | Tomato 1.27.8741 ND USB Ext

milion500100900 TB HDD + drukarnia + callcenterVoIP + jeszcze jeden wolny port USB Smile
 
shibby
to pokaz jaki blad, w logu.
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology SA6400
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
 
n00bek2
przypomnij proszę jaka to komenda?
D-Link DIR-320 | Tomato 1.27.8741 ND USB Ext

milion500100900 TB HDD + drukarnia + callcenterVoIP + jeszcze jeden wolny port USB Smile
 
shibby
cat /opt/var/log/openvpn/openvpn.log


pokaz ostatnie np 30 linijek
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology SA6400
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
 
n00bek2
Wygenrowałem od nowe klucze i teraz w ps mam /opt/sbin/openvpn --daemon --cd /opt/etc/openvpn --config openvpn.conf

log teraz wygląda tak

Cytat


[root@unknown easy-rsa]$ cat /opt/var/log/openvpn/openvpn.log
Fri Nov 20 22:39:43 2009 OpenVPN 2.1_rc15 mipsel-linux [SSL] [LZO1] [EPOLL] built on Feb 23 2009
Fri Nov 20 22:39:43 2009 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri Nov 20 22:39:43 2009 Diffie-Hellman initialized with 1024 bit key
Fri Nov 20 22:39:43 2009 ******* WARNING *******: null cipher specified, no encryption will be used
Fri Nov 20 22:39:43 2009 TLS-Auth MTU parms [ L:1528 D:140 EF:40 EB:0 ET:0 EL:0 ]
Fri Nov 20 22:39:43 2009 TCP/UDP: Socket bind failed on local address [undef]:10000: Address already in use
Fri Nov 20 22:39:43 2009 Exiting

interfejs tak:

Cytat


[root@unknown easy-rsa]$ ifconfig tun0
tun0 Link encapPfftoint-to-Point Protocol
inet addr:10.0.0.1 P-t-P:10.0.0.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)


shibby jak to wygląda?

na jutro zostawie sobie zrobienie klienta i testy vpna
D-Link DIR-320 | Tomato 1.27.8741 ND USB Ext

milion500100900 TB HDD + drukarnia + callcenterVoIP + jeszcze jeden wolny port USB Smile
 
shibby
TCP/UDP: Socket bind failed on local address [undef]:10000: Address already in use

wyglada tak jakbys mial 2x odpalone bo pisze ze adres jest juz w uzyciu. pozamykaj wszystkie openvpny i odpal jeszcze raz. log po poprawnym odpaleniu serwera powinien zakonczyc sie komunikatem ze inicjalizacja zakonczona sie sukcesem.
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology SA6400
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
 
n00bek2
tak to powinno wyglądać?

Cytat

[root@unknown easy-rsa]$ cat /opt/var/log/openvpn/openvpn.log
Sat Nov 21 18:46:12 2009 OpenVPN 2.1_rc15 mipsel-linux [SSL] [LZO1] [EPOLL] built on Feb 23 2009
Sat Nov 21 18:46:12 2009 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sat Nov 21 18:46:13 2009 Diffie-Hellman initialized with 1024 bit key
Sat Nov 21 18:46:13 2009 ******* WARNING *******: null cipher specified, no encryption will be used
Sat Nov 21 18:46:13 2009 TLS-Auth MTU parms [ L:1528 D:140 EF:40 EB:0 ET:0 EL:0 ]
Sat Nov 21 18:46:13 2009 ROUTE default_gateway=87.206.240.1
Sat Nov 21 18:46:13 2009 TUN/TAP device tun0 opened
Sat Nov 21 18:46:13 2009 TUN/TAP TX queue length set to 100
Sat Nov 21 18:46:13 2009 /sbin/ifconfig tun0 10.0.0.1 pointopoint 10.0.0.2 mtu 1500
Sat Nov 21 18:46:13 2009 /sbin/route add -net 10.0.0.0 netmask 255.255.255.0 gw 10.0.0.2
Sat Nov 21 18:46:13 2009 Data Channel MTU parms [ L:1528 D:1450 EF:28 EB:135 ET:0 EL:0 AF:14/28 ]
Sat Nov 21 18:46:13 2009 GID set to nobody
Sat Nov 21 18:46:13 2009 UID set to nobody
Sat Nov 21 18:46:13 2009 Listening for incoming TCP connection on [undef]:10000
Sat Nov 21 18:46:13 2009 Socket Buffers: R=[43689->131072] S=[16384->131072]
Sat Nov 21 18:46:13 2009 TCPv4_SERVER link local (bound): [undef]:10000
Sat Nov 21 18:46:13 2009 TCPv4_SERVER link remote: [undef]
Sat Nov 21 18:46:13 2009 MULTI: multi_init called, r=256 v=256
Sat Nov 21 18:46:13 2009 IFCONFIG POOL: base=10.0.0.4 size=62
Sat Nov 21 18:46:13 2009 IFCONFIG POOL LIST
Sat Nov 21 18:46:13 2009 Note: sys_epoll API is unavailable, falling back to poll/select API
Sat Nov 21 18:46:13 2009 MULTI: TCP INIT maxclients=20 maxevents=24
Sat Nov 21 18:46:13 2009 Initialization Sequence Completed



D-Link DIR-320 | Tomato 1.27.8741 ND USB Ext

milion500100900 TB HDD + drukarnia + callcenterVoIP + jeszcze jeden wolny port USB Smile
 
shibby
tak

Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology SA6400
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
 
n00bek2
mogę przetestować vpn na lapku w tej samej sieci ?(nie mam innego połącznia z netem)

lapek xppro sp3
client z openvpn.net

w remote wpisałem 10.0.0.1 10000
łączy się, nawet zielona ikonka jest Wink, ale po paru sekundach resetuje połączanie

Cytat

Sat Nov 21 19:40:50 2009 MULTI: multi_create_instance called
Sat Nov 21 19:40:50 2009 Re-using SSL/TLS context
Sat Nov 21 19:40:50 2009 LZO compression initialized
Sat Nov 21 19:40:50 2009 Control Channel MTU parms [ L:1528 D:140 EF:40 EB:0 ET:0 EL:0 ]
Sat Nov 21 19:40:50 2009 Data Channel MTU parms [ L:1528 D:1450 EF:28 EB:135 ET:0 EL:0 AF:14/28 ]
Sat Nov 21 19:40:50 2009 Local Options hash (VER=V4): '2072ce18'
Sat Nov 21 19:40:50 2009 Expected Remote Options hash (VER=V4): '8c7b630b'
Sat Nov 21 19:40:50 2009 TCP connection established with 192.168.1.130:2776
Sat Nov 21 19:40:50 2009 Socket Buffers: R=[131072->131072] S=[131072->131072]
Sat Nov 21 19:40:50 2009 TCPv4_SERVER link local: [undef]
Sat Nov 21 19:40:50 2009 TCPv4_SERVER link remote: 192.168.1.130:2776
Sat Nov 21 19:40:50 2009 192.168.1.130:2776 TLS: Initial packet from 192.168.1.130:2776, sid=2c85c798 54df67aa
Sat Nov 21 19:40:51 2009 192.168.1.130:2776 VERIFY OK: depth=1, ***
Sat Nov 21 19:40:51 2009 192.168.1.130:2776 VERIFY OK: depth=0, ***
Sat Nov 21 19:40:51 2009 192.168.1.130:2776 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Nov 21 19:40:51 2009 192.168.1.130:2776 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Nov 21 19:40:51 2009 192.168.1.130:2776 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Sat Nov 21 19:40:51 2009 192.168.1.130:2776 [klient1] Peer Connection Initiated with 192.168.1.130:2776
Sat Nov 21 19:40:51 2009 klient1/192.168.1.130:2776 MULTI: Learn: 10.0.0.6 -> klient1/192.168.1.130:2776
Sat Nov 21 19:40:51 2009 klient1/192.168.1.130:2776 MULTI: primary virtual IP for klient1/192.168.1.130:2776: 10.0.0.6
Sat Nov 21 19:40:54 2009 klient1/192.168.1.130:2776 PUSH: Received control message: 'PUSH_REQUEST'
Sat Nov 21 19:40:54 2009 klient1/192.168.1.130:2776 SENT CONTROL [klient1]: 'PUSH_REPLY,route 192.168.0.0 255.255.255.0,route 10.0.0.1,topology net30,ping 10,ping-restart 60,ifconfig 10.0.0.6 10.0.0.5' (status=1)
Sat Nov 21 19:41:19 2009 klient1/192.168.1.130:2776 read TCPv4_SERVER [NO-INFO]: Connection timed out (code=145)
Sat Nov 21 19:41:19 2009 klient1/192.168.1.130:2776 Connection reset, restarting [0]
Sat Nov 21 19:41:19 2009 klient1/192.168.1.130:2776 SIGUSR1[soft,connection-reset] received, client-instance restarting
Sat Nov 21 19:41:19 2009 TCP/UDP: Closing socket

Sad
log klienta

Cytat

Sat Nov 21 19:41:01 2009 OpenVPN 2.1_rc22 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Nov 20 2009
Sat Nov 21 19:41:01 2009 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Sat Nov 21 19:41:01 2009 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sat Nov 21 19:41:02 2009 ******* WARNING *******: null cipher specified, no encryption will be used
Sat Nov 21 19:41:02 2009 LZO compression initialized
Sat Nov 21 19:41:02 2009 Control Channel MTU parms [ L:1528 D:140 EF:40 EB:0 ET:0 EL:0 ]
Sat Nov 21 19:41:02 2009 Data Channel MTU parms [ L:1528 D:1450 EF:28 EB:135 ET:0 EL:0 AF:14/28 ]
Sat Nov 21 19:41:02 2009 Local Options hash (VER=V4): '8c7b630b'
Sat Nov 21 19:41:02 2009 Expected Remote Options hash (VER=V4): '2072ce18'
Sat Nov 21 19:41:02 2009 Attempting to establish TCP connection with 10.0.0.1:10000
Sat Nov 21 19:41:02 2009 TCP connection established with 10.0.0.1:10000
Sat Nov 21 19:41:02 2009 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sat Nov 21 19:41:02 2009 TCPv4_CLIENT link local: [undef]
Sat Nov 21 19:41:02 2009 TCPv4_CLIENT link remote: 10.0.0.1:10000
Sat Nov 21 19:41:02 2009 TLS: Initial packet from 10.0.0.1:10000, sid=0fba3436 a5f4b258
Sat Nov 21 19:41:02 2009 VERIFY OK: depth=1, ***
Sat Nov 21 19:41:02 2009 VERIFY OK: depth=0, ***
Sat Nov 21 19:41:03 2009 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Nov 21 19:41:03 2009 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Nov 21 19:41:03 2009 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Sat Nov 21 19:41:03 2009 [gateway] Peer Connection Initiated with 10.0.0.1:10000
Sat Nov 21 19:41:06 2009 SENT CONTROL [gateway]: 'PUSH_REQUEST' (status=1)
Sat Nov 21 19:41:06 2009 PUSH: Received control message: 'PUSH_REPLY,route 192.168.0.0 255.255.255.0,route 10.0.0.1,topology net30,ping 10,ping-restart 60,ifconfig 10.0.0.6 10.0.0.5'
Sat Nov 21 19:41:06 2009 OPTIONS IMPORT: timers and/or timeouts modified
Sat Nov 21 19:41:06 2009 OPTIONS IMPORT: --ifconfig/up options modified
Sat Nov 21 19:41:06 2009 OPTIONS IMPORT: route options modified
Sat Nov 21 19:41:06 2009 WARNING: potential conflict between --remote address [10.0.0.1] and --ifconfig address pair [10.0.0.6, 10.0.0.5] -- this is a warning only that is triggered when local/remote addresses exist within the same /24 subnet as --ifconfig endpoints. (silence this warning with --ifconfig-nowarn)
Sat Nov 21 19:41:06 2009 ROUTE default_gateway=192.168.1.1
Sat Nov 21 19:41:06 2009 TAP-WIN32 device [tuptup] opened: \\.\Global\{1977BA6E-D16E-4F50-B2CB-472DF71D39FB}.tap
Sat Nov 21 19:41:06 2009 TAP-Win32 Driver Version 9.6
Sat Nov 21 19:41:06 2009 TAP-Win32 MTU=1500
Sat Nov 21 19:41:06 2009 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.0.0.6/255.255.255.252 on interface {1977BA6E-D16E-4F50-B2CB-472DF71D39FB} [DHCP-serv: 10.0.0.5, lease-time: 31536000]
Sat Nov 21 19:41:06 2009 Successful ARP Flush on interface [65540] {1977BA6E-D16E-4F50-B2CB-472DF71D39FB}
Sat Nov 21 19:41:11 2009 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Sat Nov 21 19:41:11 2009 C:\WINDOWS\system32\route.exe ADD 192.168.0.0 MASK 255.255.255.0 10.0.0.5
Sat Nov 21 19:41:11 2009 Route addition via IPAPI succeeded [adaptive]
Sat Nov 21 19:41:11 2009 C:\WINDOWS\system32\route.exe ADD 10.0.0.1 MASK 255.255.255.255 10.0.0.5
Sat Nov 21 19:41:11 2009 Route addition via IPAPI succeeded [adaptive]
Sat Nov 21 19:41:11 2009 Initialization Sequence Completed
Sat Nov 21 19:41:37 2009 Connection reset, restarting [-1]
Sat Nov 21 19:41:37 2009 TCP/UDP: Closing socket
Sat Nov 21 19:41:37 2009 C:\WINDOWS\system32\route.exe DELETE 10.0.0.1 MASK 255.255.255.255 10.0.0.5
Sat Nov 21 19:41:37 2009 Route deletion via IPAPI succeeded [adaptive]
Sat Nov 21 19:41:37 2009 C:\WINDOWS\system32\route.exe DELETE 192.168.0.0 MASK 255.255.255.0 10.0.0.5
Sat Nov 21 19:41:37 2009 Route deletion via IPAPI succeeded [adaptive]
Sat Nov 21 19:41:37 2009 Closing TUN/TAP interface
Sat Nov 21 19:41:37 2009 SIGUSR1[soft,connection-reset] received, process restarting
Sat Nov 21 19:41:37 2009 Restart pause, 5 second(s)

Edytowany przez n00bek2 dnia 21-11-2009 19:53
D-Link DIR-320 | Tomato 1.27.8741 ND USB Ext

milion500100900 TB HDD + drukarnia + callcenterVoIP + jeszcze jeden wolny port USB Smile
 
Przejdź do forum
Zaloguj
Wprowadź adres e-mail lub nazwę użytkownika

Hasło



Nie masz jeszcze konta? Zarejestruj się.

Zapomniałeś/aś hasła?
Aktualnie online
· Gości online: 101

· Użytkowników online: 0

· Łącznie użytkowników: 24,115
· Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.

Maniek91PL
06-11-2024 22:37
dzięki !Grin

maxikaaz
29-10-2024 14:27
@Maniek91PL - Administration=> Admin Access, i tam masz "Allow Wireless Access" do zaznaczenia

Maniek91PL
26-10-2024 22:07
siemka! ktoś przypomni co się ustawiało jeśli nie mogę wejść od strony wifi do tomato? od lan działa

overflow2
04-10-2024 17:34
Kupowałem Asusy n10u albo n12d1 ale nie widzę ich, chyba już nie produkują, Chodzi o coś nowego i taniego. Transfery niewielkie.

maxikaaz
04-10-2024 09:38
@overflow2 patrząc po dostępności funkcji w nowych kompilacjach, to chyba nawet WRT54G/GL jeszcze ma OpenVPN, albo jakiś odpowiednik... zależy, na jakie transfery liczysz.

overflow2
30-09-2024 20:53
Jaki aktualnie najtańszy router do tomato do openvpn?

maxikaaz
27-07-2024 15:07
@servee - na początek router do rozebrania i obejrzenia, ciężko wróżyć tak tylko po objawach

maxikaaz
27-07-2024 14:55
@servee - cały kontroler nie pada tak sobie z powodu "zbiegu okoliczności",
więc prawdopodobnie gdzieś przepięcie.

servee
25-07-2024 13:33
@maxikaaz: działało, aż pewnego pięknego dnia przestało działać. W tym dniu była też burza, ale to raczej zbieg okoliczności.

maxikaaz
25-07-2024 11:38
@servee - o ile problem jest w obrębie samych wyjść (dławiki, warystory), to naprawialne, ale jeśli w samym SoC - to nienaprawialne ze względu na koszta. A co było przyczyną?

95,517,466 unikalnych wizyt