Skocz do zawartości

OpenVPN


Gość Dbcooper
 Udostępnij

Rekomendowane odpowiedzi

Gość Dbcooper

Witam,

 

 

Jak w temacie... Prośba o info jak zainstalować, co gdzie dopisać aby startowało i działało.

Jest parę wątków porozrzucanych na forum, ale fajnie by było jakby to w jednym miejscu wszystko się znalazło.

 

 

Pozdrawiam

Odnośnik do komentarza
Udostępnij na innych stronach

  • Odpowiedzi 184
  • Dodano
  • Ostatniej odpowiedzi

Top użytkownicy w tym temacie

Top użytkownicy w tym temacie

paczka np. stąd, u mnie działa, a opisów konfiguracji jest na sieci mnóstwo, od najprostszego p2p do bardziej zmodyfikowanych konfiguracji.

 

 

jeśli link jest nieaktualny to poniżej w załączniku binarka

Odnośnik do komentarza
Udostępnij na innych stronach

Gość Dbcooper

przy próbie instalacji takie oto coś:

 

 

tuxish-nBox:~# ipkg install /hdd/enigma2-plugin-utilities-openvpn_1.0_sh4.ipk

Installing enigma2-plugin-utilities-openvpn (1.0) to root...

Configuring enigma2-plugin-utilities-openvpn.

Collected errors:

* pkg_parse_from_stream_nomalloc: Missing new line character at end of file!

* pkg_parse_from_stream_nomalloc: Missing new line character at end of file!

 

 

Odnośnik do komentarza
Udostępnij na innych stronach

Dodam, że instalację paczki przeprowadziłem pod 7.1.6 odbyło się bez problemu, softu tux'a użuwam na pendrivie, a w nand nadal trzymam 7.1.6. OpenVPN przewaliłem do softu podmontowując nand i kopiując odpowiednie pliki w odpowiednie miejsca i dla utrzymania porządku dodając wpisy w /etc/init.d/rcS.user.sh

mój rcS.users.sh

MODDIR=/lib/modules

if [ ! -e /dev/net ]; then
    mkdir /dev/net
    mknod -m 666 /dev/net/tun c 10 200
    elif [ ! -e /dev/net/tun ]; then
    mknod -m 666 /dev/net/tun c 10 200
    fi

  echo "init TUN"
   insmod $MODDIR/tun.ko

  echo "Start openvpn"
    /etc/init.d/vpn.sh &

 

vpn.sh

usr/local/sbin/openvpn --daemon --config /etc/openvpn/konfig.ovpn

 

i to wszystko. Konfigurację mam opartą na kluczach, które wygenerowałem na osobnej maszynce. Samych opisów konfiguracji na sieci jest mnóstwo.

 

Ale myślę że w zależności do czego chcesz używać tunelowania, od momentu umieszczenia pełnego ssh przez tux w systemie można by wykorzystać tworzenie VPN przez ssh, trochę prościej i szybciej. Potrzebny uml-utilities (polecenie tunctl). Na wolnej chwili sprawdzę co uda się znaleźć na sieci.

Nie mam tutaj absolutnie na myśli dodawania kolejnej roboty twórcy i pomysłodawcy systemu, który i tak swój wolny czas z pewnością ma zajęty na maxa.

 

z pozdrowieniami

Odnośnik do komentarza
Udostępnij na innych stronach

  • 3 tygodnie później...
Gość slimaktlen

witam, odświeżę prośbę ,czy jest szansa aby openvpn był na stałe w sofcie ? co by go przy każdej aktualizacji nie trzeba było dogrywać lub inaczej ,poprawna konfiguracja chyba w rcS niech siedzi a reszta jako plugin do pobrania .

Jakieś realne szanse ? ;)

Odnośnik do komentarza
Udostępnij na innych stronach

  • 4 tygodnie później...
Gość slimaktlen

Dodam, że instalację paczki przeprowadziłem pod 7.1.6 odbyło się bez problemu, softu tux'a użuwam na pendrivie, a w nand nadal trzymam 7.1.6. OpenVPN przewaliłem do softu podmontowując nand i kopiując odpowiednie pliki w odpowiednie miejsca i dla utrzymania porządku dodając wpisy w /etc/init.d/rcS.user.sh

mój rcS.users.sh

MODDIR=/lib/modules

if [ ! -e /dev/net ]; then
    mkdir /dev/net
    mknod -m 666 /dev/net/tun c 10 200
    elif [ ! -e /dev/net/tun ]; then
    mknod -m 666 /dev/net/tun c 10 200
    fi

  echo "init TUN"
   insmod $MODDIR/tun.ko

  echo "Start openvpn"
    /etc/init.d/vpn.sh &

 

vpn.sh

usr/local/sbin/openvpn --daemon --config /etc/openvpn/konfig.ovpn

 

i to wszystko. Konfigurację mam opartą na kluczach, które wygenerowałem na osobnej maszynce. Samych opisów konfiguracji na sieci jest mnóstwo.

 

Ale myślę że w zależności do czego chcesz używać tunelowania, od momentu umieszczenia pełnego ssh przez tux w systemie można by wykorzystać tworzenie VPN przez ssh, trochę prościej i szybciej. Potrzebny uml-utilities (polecenie tunctl). Na wolnej chwili sprawdzę co uda się znaleźć na sieci.

Nie mam tutaj absolutnie na myśli dodawania kolejnej roboty twórcy i pomysłodawcy systemu, który i tak swój wolny czas z pewnością ma zajęty na maxa.

 

z pozdrowieniami

 

 

pomożesz z tym vpn ? wrzuciłem binarke openvpn do katalogu usr/local/sbin i odpowiednie konfigi do etc ale nie tworzy mi sie wirtualny port  >:(

Odnośnik do komentarza
Udostępnij na innych stronach

Gość slimaktlen

ok , mysle ze niewiele potrzeba ,tylko kilka wpisow w rcs bo dopisalem to co kolega "info" ale nie chce wstac  :(

nie wykonuje mi sie ten skrypt w rcs.user  :(

jak recznie wpisze te polecenia to wstaje wszystko  :D

widze ze rcs start jest polecenie uruchomienia rsc users czy moze trzeba rcs users gdzies specjalenie uruchomic

Odnośnik do komentarza
Udostępnij na innych stronach

Gość slimaktlen

zrobiłem uf...

edytowalem notepad++ i zostały znaczniki konca lini w rcs.users  :'(  , brat mi poprawil "vi" i działają wpisy kolegi @info

@tux

w sumie to tak na szybko jak by wrzucić do softu na stałe tylko wpisy do rcS żeby sie wirtualny port tworzył i było by git ,a można ręczni wrzucić binarke openvpn i konfigi bo to proste... :P ..

nie moge zalaczyc pliku  :(

Odnośnik do komentarza
Udostępnij na innych stronach

nie podawałem konfiguracji openvpn bo opisów tej usługi w googlach jest sporo,

 

mój konfig z dynamicznym przydziałem adresów

[port]  #wpisz jakiś port może być domyślny, ja jednak ze względów bezpieczeństwa używam wysokich portów, podajemy oczywiście bez []
proto udp
dev tun
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/srv.crt
key /etc/openvpn/keys/srv.key
dh /etc/openvpn/keys/dh2048.pem
server 172.16.2.0 255.255.255.0
#ifconfig-pool-persist /etc/openvpn/ipp.txt
client-config-dir /etc/openvpn/ccd
keepalive 10 120
comp-lzo
persist-key
persist-tun
status "/etc/openvpn/status.log"
verb 3

 

konfig klienta - w tym przypadku z windows


client
dev tun
proto udp
remote [adres ip lub domena] [port] # wpisujemy oczywiście bez []
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt  #jeśli potrzeba to podajemy pełną ścieżkę
cert c1.crt # jak wyżej
key c1.key # jak wyżej
comp-lzo
verb 3

 

Status można sobie darować (przedostatnia linia), nie będę zanudzał i opisywał co znaczą poszczególne parametry (polecam szukajkę), klucze (oczywiście komplet) wygenerowałem na oddzielnej  maszynce z linuxem, nie wiem czy można jeszcze jaśniej, tak jak napisałem wyżej, zależy do czego chcesz użyć, ilu klientów podłączyć w sieć, czy wszyscy mają się widzieć czy nie (tap/tun), dalej czy przypisać im adresy z góry? Czy nBox ma być serwerem czy klientem? Jeśli potrzebujesz połaczenia peer to peer to konfiguracja jest o wiele prostsza. W moim przypadku nBox oczywiście jest serwerem.

 

 

edit: na przenośnym mam win7 i domyślny edytor ustawiony notepad++, aby właśnie uniknąć taki sytuacji jak kolega wyżej, jednak na windows do połaczeń konsolowych dobrze jest korzystaś z putty i vi, lub winscp. Vi (vim) wbrew pozorom nie jest trudny, wystarczy dosłownie zapamiętać klika podstawowych trików. 

 

edit2: @tux na emailę poszła binarka openvpn

openvpn.tar.gz

Odnośnik do komentarza
Udostępnij na innych stronach

  • 3 miesiące temu...

Dla tych co korzystają z openvpn na tunerkach najnowsza paczuszka z wersja 2.3.2.

Może działa, może nie ... dajcie feedback.

 

EDIT: Nowa wersja - bez dodatkowych zewnetrznych bibliotek

EDIT2: 300 kb mniej :)

 

Poprowny link w poscie nizej

Odnośnik do komentarza
Udostępnij na innych stronach

OpenSSL w G2 (takiej wersji softu używam) wydaje się, że nie wspiera szyfrowania Blowfish, mam coś takiego przy binarce kolegi Nimloth

 

Wed Oct  2 19:27:28 2013 OpenVPN 2.3.2 sh4-unknown-linux-gnu [sSL (OpenSSL)] [LZO] [EPOLL] [eurephia] [MH] [iPv6] built on Sep 30 2013
Wed Oct  2 19:27:33 2013 Diffie-Hellman initialized with 2048 bit key
Wed Oct  2 19:27:33 2013 Cipher algorithm 'BF-CBC' not found (OpenSSL)
Wed Oct  2 19:27:33 2013 Exiting due to fatal error

 

Podsumowując - dla mnie bez znaczenia, to co jest na stan obecny działa bez zarzutu i w moim przypadku w 100% spełnia swoje zadanie. :)

 

 

edit: ale jest rozwiązanie tej sytuacji

 

/usr/sbin/openvpn --cipher DES-EDE3-CBC --daemon --config /etc/openvpn/konfig.ovpn

 

Odnośnik do komentarza
Udostępnij na innych stronach

Ahh tak to jest jak niekompletne biblioteki wrzuca się do kompilatora ... już powinno być ok

 

DES-CBC 64 bit default key (fixed)
IDEA-CBC 128 bit default key (fixed)
RC2-CBC 128 bit default key (variable)
DES-EDE-CBC 128 bit default key (fixed)
DES-EDE3-CBC 192 bit default key (fixed)
DESX-CBC 192 bit default key (fixed)
BF-CBC 128 bit default key (variable)
RC2-40-CBC 40 bit default key (variable)
CAST5-CBC 128 bit default key (variable)
RC2-64-CBC 64 bit default key (variable)
AES-128-CBC 128 bit default key (fixed)
AES-192-CBC 192 bit default key (fixed)
AES-256-CBC 256 bit default key (fixed)
CAMELLIA-128-CBC 128 bit default key (fixed)
CAMELLIA-192-CBC 192 bit default key (fixed)
CAMELLIA-256-CBC 256 bit default key (fixed)
SEED-CBC 128 bit default key (fixed)

openvpn_2.3.2.tar.gz

Odnośnik do komentarza
Udostępnij na innych stronach

  • 1 miesiąc temu...

Postaram się znaleźć chwilę wieczorem i przygotować ipk-a.

 

Ahh tak to jest jak niekompletne biblioteki wrzuca się do kompilatora ... już powinno być ok

 

Kolego @Nimloth, podeślij mi proszę na priv opcje użyte przy kompilacji. Sprawdzę przez paczkowaniem, czy da się jeszcze przyciąć trochę binarkę.

 

Zweryfikujcie proszę załączone archiwum.

 

Pytanie do osób używających - czy paczka powinna zawierać jakąś domyślną konfigurację w /etc/ ?

openvpn_2.3.2_sh4.tar.gz

Odnośnik do komentarza
Udostępnij na innych stronach

Gość slimaktlen

wg mnie powinna, przynajmniej będzie przykładowy konfig we właściwymi miejscu, pewno do lekkiej modyfikacji, załączam mój.

 

 

 

@rekin28

na rc1 działa normalnie, pliki masz w  tym temacie, załączyłem też swoje (vpn1), pliki są w katalogach gdzie być powinny, więc tylko poprzenosić, certyfikaty oczywiście własne.( sprawdzić wykonywalność na wszystkich plikach-chmod755)

client.txt

vpn1.zip

Odnośnik do komentarza
Udostępnij na innych stronach

Pytanie do osób używających - czy paczka powinna zawierać jakąś domyślną konfigurację w /etc/ ?

Jeśli chodzi o konfigi, to OpenVPN nie ma typowych, tu każdy musi to zrobić w zależności od tego z jakiego typu połączenia vpn korzysta. Proponuję do /etc/openvpn wrzucić w katalogu sample-config-files pliki przykładowe z dokumentacji OpenVPN.

http://openvpn.net/index.php/open-source/documentation/howto.html#server

http://openvpn.net/index.php/open-source/documentation/howto.html#client

Odnośnik do komentarza
Udostępnij na innych stronach

wrzuciłem pliki zrobiłem restart dekodera lecz brak połączenia VPN może być to problemem ze mam klucz Blowfish-CBC 256bit?

 

Momencik, uruchamiam szklaną kulę... :-)

 

Nie napisałeś, które pliki wrzuciłeś. Jeżeli użyłeś .tar.gz załączonego przeze mnie, to sam restart nic nie da - aplikacja nie jest dopisana do rcS.

Załączenie ewentualnych logów z próby uruchomienia openvpn (polecenie i rezultat) mogłoby pomóc rozwiązać Twój problem.

Odnośnik do komentarza
Udostępnij na innych stronach

Ok więc piszę pliki wgrałem od użytkownika slimaktlen jest tam wszystko razem z wpisami do rcS,  do  /etc/openvpn/  wrzuciłem pliki z certyfikatem uruchomiłem dekoder sprawdziłem czy jest połączenie ale brak.

Wpisałem w ssh komendę żeby uruchomić ręcznie więc wpisałem /etc/init.d/vpn.sh start zaakceptowało bez żadnego błędu ale dalej brak połączenia.

Chmod 755 mam tylko na vpn.sh  a openvpn na 777 reszta jest na 644.

 

Mam pytanie gdzie sprawdzić logi?

 

 

Dzięki za pomoc

Odnośnik do komentarza
Udostępnij na innych stronach

Gość slimaktlen

u mnie z tym konfigiem logi zapisują się w głównym katalogu, zaloguj się przez ssh i wydaj komendę "ps" i zobacz czy wstał, powinieneś mieć taki wpis w procesach:

 

 

1203 root      3460 S    /usr/local/sbin/openvpn --daemon --config /etc/openv

 

jeśli pracuje to "ifconfig" zobaczysz czy podniósł wirtualny interfejs :

 

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00

          inet addr:192.168.10.50  P-t-P:192.168.10.1  Mask:255.255.255.255

          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1

          RX packets:40140 errors:0 dropped:0 overruns:0 frame:0

          TX packets:41582 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:100

          RX bytes:2613254 (2.4 MiB)  TX bytes:6971599 (6.6 MiB)

 

 

na rcS.user też musisz mieć 755

 

 

 

 

 

Odnośnik do komentarza
Udostępnij na innych stronach

zrobiłem tak jak mówiłeś ale brak wpisu  1203 root      3460 S    /usr/local/sbin/openvpn --daemon --config /etc/openv

 

swoje pliki z cert sprawdziłem na kompie w openvpn i wszystko działa wiec z tej strony jest ok no chyba że z szyfrowaniem Blowfish-CBC 256bit jest problem?

Odnośnik do komentarza
Udostępnij na innych stronach

Gość slimaktlen

sprawdzić wykonywalność na wszystkich plikach-chmod755

 

Mam nadzieje, że kolega nie każe nadać 755 na wszystkie pliki a jedynie te co mają być wykonywalne :)

na moją modłę to 3 ,binarka openvpn,rcS.users,vpn.sh ;)

Odnośnik do komentarza
Udostępnij na innych stronach

Witam,

 

 

mam pytanie jak zrobić żeby połączenie openvpn po rozłączeniu próbowało połączyć się automatycznie, gdyż mam problem gdy dekoder rozłączy się z internetem i połączy ponownie nie łączy się poprzez vpn muszę zrobić restart dekodera.

Odnośnik do komentarza
Udostępnij na innych stronach

  • 1 miesiąc temu...

Witam,

 

jakis czas temu zainstalowałem sobie openvpn z jakiejs paczuszki w wersji 2.1

 

nbox:/etc/init.d# /sbin/openvpn --version
OpenVPN 2.1.4 sh4-linux-gnu [sSL] [LZO2] [EPOLL] built on Nov 11 2010
Originally developed by James Yonan
Copyright (C) 2002-2010 OpenVPN Technologies, Inc. <sales@openvpn.net>

 

działa to bardzo dobrze na configu :

client
remote          x.x.x.x 500
dev             tun
proto           udp
status          current_status
resolv-retry    infinite
ns-cert-type    server
topology        subnet
verb            3

cipher          AES-128-CBC


ca              /etc/openvpn/ca.crt
cert            /etc/openvpn/client.crt
key             /etc/openvpn/client.key
tls-auth        /etc/openvpn/ta.key 1

nobind
persist-key
persist-tun
comp-lzo

 

gdy zainstalowałem openvpn z opkg w wersji 2.3.2

 

# /usr/sbin/openvpn --version
OpenVPN 2.3.2 sh4-unknown-linux-gnu [sSL (OpenSSL)] [LZO] [EPOLL] [eurephia] [MH] [iPv6] built on Nov 16 2013
Originally developed by James Yonan
Copyright (C) 2002-2010 OpenVPN Technologies, Inc. <sales@openvpn.net>
Compile time defines: enable_crypto=yes enable_debug=no enable_def_auth=yes enable_dlopen=unknown enable_dlopen_self=unknown enable_dlopen_self_static=unknown enable_eurephia=yes enable_fast_install=yes enable_fragment=yes enable_http_proxy=yes enable_iproute2=no enable_libtool_lock=yes enable_lzo=yes enable_lzo_stub=no enable_management=yes enable_multi=yes enable_multihome=yes enable_pam_dlopen=no enable_password_save=no enable_pedantic=no enable_pf=yes enable_pkcs11=no enable_plugin_auth_pam=no enable_plugin_down_root=yes enable_plugins=yes enable_port_share=yes enable_selinux=no enable_server=yes enable_shared=no enable_shared_with_static_runtimes=no enable_small=no enable_socks=yes enable_ssl=yes enable_static=yes enable_strict=no enable_strict_options=no enable_systemd=no enable_win32_dll=yes enable_x509_alt_username=no with_crypto_library=openssl with_gnu_ld=no with_mem_check=no with_plugindir='$(libdir)/openvpn/plugins' with_sysroot=no

 

i próbuje uruchomić na tym configu oczywiście wcześniej dodaje tun itd.. tak jak poprzednio

 

otrzymuje następujący komunikat:

 

/usr/sbin/openvpn --config /etc/openvpn/client.conf
Sun Jan 12 17:18:53 2014 OpenVPN 2.3.2 sh4-unknown-linux-gnu [sSL (OpenSSL)] [LZO] [EPOLL] [eurephia] [MH] [iPv6] built on Nov 16 2013
Sun Jan 12 17:18:53 2014 Control Channel Authentication: using '/etc/openvpn/ta.key' as a OpenVPN static key file
Sun Jan 12 17:18:53 2014 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Jan 12 17:18:53 2014 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Jan 12 17:18:53 2014 Socket Buffers: R=[105472->131072] S=[105472->131072]
Sun Jan 12 17:18:53 2014 UDPv4 link local: [undef]
Sun Jan 12 17:18:53 2014 UDPv4 link remote: [AF_INET]x.x.x.x:500
Sun Jan 12 17:18:54 2014 TLS: Initial packet from [AF_INET]x.x.x.x:500, sid=d4cc588f 3796ceaf
Segmentation fault

 

i tyle, szukałem rozwiązania tego problemu w necie ale niesety.

 

Ma ktoś jakieś pomysły?

 

EDIT:

Może problem jest w tym że w openvpn udostępnionym w repo wyłączony jest pkcs11 albo/i x509?

 

I w wersji 2.3.2 jest [LZO] zamiast [LZO2] - może to jest powód?

 

wersja serwera:

 /usr/sbin/openvpn --version
OpenVPN 2.2.2 mips-openwrt-linux [sSL] [LZO2] [EPOLL] built on Jul  9 2013
Originally developed by James Yonan
Copyright (C) 2002-2010 OpenVPN Technologies, Inc. <sales@openvpn.net>

Odnośnik do komentarza
Udostępnij na innych stronach

  • 1 miesiąc temu...
  • 2 tygodnie później...

Binarka pobrana przez opkg działa......ale z małym ale - tylko i wyłącznie na kluczu STATYCZNYM minimalna wersja konfiguracji.

Bardziej rozbudowanej nie próbowałem.

Na pełnych kluczach niestety występuje segmentation fault w momencie weryfikacji kluczy - jako serwer i jako klient.

 

Pozdrawiam

Krzysztof.

 

Odnośnik do komentarza
Udostępnij na innych stronach

Gość voyteckst

Własnie sprawdziłem na najnowszej wersji GOS i segmentation fault (konfiguracja jako serwer) jest przy próbie połączenia i uwierzytelnienia certyfikatem (zaraz po otrzymaniu przez serwer początkowego pakietu TLS). Wygląda to chyba na jakiś problem z openssl.

Jako tymczasowe rozwiązanie podmieniłem samą binarkę na wersję z H3 - co prawda stara jak świat (2.1_rc19), ale działa jak trzeba.

Odnośnik do komentarza
Udostępnij na innych stronach

Działa tylko z kluczem statycznym - jako klient i jako serwer.

Przy certyfikatach segmentation fsult jako serwer i klient.

Prawdopodobnie coś w opcjach kompilacji jest do d... lub specjalnie "wersja okrojona" jest bardzo duża różnica w rozmiarze binarki.

Jeżeli jest ktoś zainteresowany mogę wysłać działające konfigi dla static keys.

Odnośnik do komentarza
Udostępnij na innych stronach

  • 1 miesiąc temu...

Witam

 

Zainstalowałem OpenVPN przez opkg wrzuciłem ustawienia jako klient, certyfikaty klucze i otrzymuje coś takiego:

 

# ./rcS.users.sh

insmod: can't insert '/lib/modules/tun.ko': File exists

sh: off: unknown operand

Start OpenVPN

 

nie wstaje TUN i openvpn, na pc i telefonie z andkiem wszystko śmiga i trochę się pogubiłem

 

podpowiecie co moge z tym zrobić??

 

 

Odnośnik do komentarza
Udostępnij na innych stronach

@voyteckst: restart Boksa nie pomaga jest cały czas to samo, poprzednie info pokazuje informacje z ręcznego uruchomienia, poczekam chyba na jakąś większą aktualizację jak nie wpadnę jak to rozgryźć

 

Wysłane z mojego Nexus przy użyciu Tapatalka

 

 

Odnośnik do komentarza
Udostępnij na innych stronach

Dołącz do dyskusji

Możesz dodać zawartość już teraz a zarejestrować się później. Jeśli posiadasz już konto, zaloguj się aby dodać zawartość za jego pomocą.

Gość
Dodaj odpowiedź do tematu...

×   Wklejono zawartość z formatowaniem.   Usuń formatowanie

  Dozwolonych jest tylko 75 emoji.

×   Odnośnik został automatycznie osadzony.   Przywróć wyświetlanie jako odnośnik

×   Przywrócono poprzednią zawartość.   Wyczyść edytor

×   Nie możesz bezpośrednio wkleić grafiki. Dodaj lub załącz grafiki z adresu URL.

 Udostępnij


×
×
  • Dodaj nową pozycję...