LINUX.ORG.RU

9
Всего сообщений: 100

DD-WRT | swapon /dev/sda2 | Function not implemented

Пытаюсь добавить swap. Делаю по инструкции https://webcache.googleusercontent.com/search?q=cache:https%3A%2F%2Fwiki.dd-wrt.com%2Fwiki%2Findex.php%2FLinux_SWAP%2Fru

Но при swapon постоянно вылазит: swapon: /dev/sda2: Function not implemented

Вообще Function not implemented - это означает что функция не поддерживается ядром или иная причина?

 ,

FreakMurderer ()

Может ли запущенный, но не используемый OpenVPN-Server замедлять соединения?

Здравствуйте.

Суть: дома роутер с DD-WRT, на нём иногда запускаю OpenVPN чтобы подключаться к своей сети, и дальше к рабочей машине (RDP), когда знаю что надо будет сделать вид что сижу дома откуда-нибудь из леса.

Проблема: Вдруг обнаружилось, что при запуске OpenVPN-Server на роутере сразу резко падает «скорость интернета» по локальному соединению. Нормальные 40Мб/с превращаются в 10Мб/с только лишь от запуска сервиса.

Сама эта схема-то работает давно. То ли не замечал раньше, то ли что-то изменилось.

ЦПУ на роутере судя по top не так чтобы сильно загружен. 10-20%.

Если честно, стесняюсь спросить прямо: это точно проблема на моей стороне? Провайдер точно не может реагировать на запущенный, но неиспользуемый сервис?

 ,

Toxo2 ()

DIR 300 как обезопасить себя от взлома из-вне?

Доброго времени суток, уважаемые форумчане.

Исходные данные:

  • Роутер DIR300
  • прошивка: Firmware: DD-WRT v24-sp2 (03/25/13) std
  • подключен к интернет и имеет постоянный внешний IP 185.xx.xx.204
  • на нем запущен VPN server PPTP

В логах постоянно наблюдаю желающих «зайти в гости» по VPN. Поскольку все, что можно запретил в настройках Firewall (ssh, ping request, telnet, remote web control и т.д.), то остался только этот вариант )) Запросы не частые, и не то, чтобы уж их было сильно много, но запросов 10-15 в день имеется. Ниже привожу выдержку из журнала.

Так вот собственно вопросы:

  1. Какова вероятность того, что эти незваные гости рано или поздно все-таки смогут войти, хоть их никто и не приглашал?
  2. Как можно себя обезопасить еще больше? Какие методы фильтрации этих самых нежелательных запросов можно применить? Или тех настроек, что я уже сделал в фаерволе вполне достаточно?

Удаленный доступ к роутеру мне нужен по любому, так что отключать VPN - значит переходить на веб-морду - а это, наверное, еще менее надежно. Администрировать роутер тоже приходится с разных IP, так что привязки по этому параметру тоже не получится сделать.

Скрин настроек Firewall + VPN Server https://ibb.co/DDXBYkT

Jan 1 07:10:16 DD-WRT daemon.warn pptpd[565]: MGR: initial packet length 18245 outside (0 - 220) Jan 1 07:10:16 DD-WRT daemon.warn pptpd[565]: MGR: initial packet length 5635 outside (0 - 220)

Jan 1 19:44:28 DD-WRT daemon.info pptpd[13445]: CTRL: Client 71.6.146.185 control connection started Jan 1 19:44:28 DD-WRT daemon.err pptpd[13445]: CTRL: EOF or bad error reading ctrl packet length. Jan 1 19:44:28 DD-WRT daemon.err pptpd[13445]: CTRL: couldn’t read packet header (exit) Jan 1 19:44:28 DD-WRT daemon.err pptpd[13445]: CTRL: CTRL read failed Jan 1 19:44:28 DD-WRT daemon.debug pptpd[13445]: CTRL: Reaping child PPP[0] Jan 1 19:44:28 DD-WRT daemon.info pptpd[13445]: CTRL: Client 71.6.146.185 control connection finished

Jan 1 21:51:53 DD-WRT daemon.info pptpd[14608]: CTRL: Client 92.63.194.91 control connection started Jan 1 21:51:53 DD-WRT daemon.info pptpd[14608]: CTRL: Starting call (launching pppd, opening GRE) Jan 1 21:51:53 DD-WRT daemon.notice pppd[14609]: pppd 2.4.5 started by root, uid 0 Jan 1 21:51:57 DD-WRT daemon.err pptpd[14608]: CTRL: EOF or bad error reading ctrl packet length. Jan 1 21:51:57 DD-WRT daemon.err pptpd[14608]: CTRL: couldn’t read packet header (exit) Jan 1 21:51:57 DD-WRT daemon.err pptpd[14608]: CTRL: CTRL read failed Jan 1 21:51:57 DD-WRT daemon.debug pptpd[14608]: CTRL: Reaping child PPP[14609] Jan 1 21:51:57 DD-WRT daemon.info pppd[14609]: Exit. Jan 1 21:51:57 DD-WRT daemon.info pptpd[14608]: CTRL: Client 92.63.194.91 control connection finished

Jan 1 21:51:57 DD-WRT daemon.info pptpd[14611]: CTRL: Client 92.63.194.92 control connection started Jan 1 21:51:57 DD-WRT daemon.info pptpd[14611]: CTRL: Starting call (launching pppd, opening GRE) Jan 1 21:51:57 DD-WRT daemon.notice pppd[14612]: pppd 2.4.5 started by root, uid 0 Jan 1 21:52:09 DD-WRT daemon.err pptpd[14611]: CTRL: EOF or bad error reading ctrl packet length. Jan 1 21:52:09 DD-WRT daemon.err pptpd[14611]: CTRL: couldn’t read packet header (exit) Jan 1 21:52:09 DD-WRT daemon.err pptpd[14611]: CTRL: CTRL read failed Jan 1 21:52:09 DD-WRT daemon.debug pptpd[14611]: CTRL: Reaping child PPP[14612] Jan 1 21:52:09 DD-WRT daemon.info pppd[14612]: Exit. Jan 1 21:52:09 DD-WRT daemon.info pptpd[14611]: CTRL: Client 92.63.194.92 control connection finished

 , , , ,

shurc ()

Проблемы с OpenVPN на DDWRT

Ребят, помогите советом в настройке OpenVPN, особенно кто шарит в файлах crt, key, ovpn. Роутерсканом я насканил роутер на DDWRT (данные к роутеру будут ниже). Владелец роутера настроил впн тунель и в Services/VPN/OpenVPN Client прописал все данные сертификатов, ключей и настроек. Сразу скажу, у меня нет цели воровать его впн или пакостить на его роутере, поэтому не надо мне напоминать о статьях закона, я на этом примере хочу понять как собирать эти данные чтобы тоннель работал. если бы я хотел украсть, я бы просто переписал эти данные себе в прошивку ddwrt в те же места. Так вот, я скопировал данные из полей CA Cert, Private Client Key и остальных и у меня получились файлы ca.crt, client.key, client.ovpn и тд. Но закинув файлы в папку config (на винде), тоннель все равно не работает, я смотрел лог ошибок, методом тыка менял настройки в файле client.ovpn, но то же самое. Кто шарит, взгляните своим опытным глазом, что там нужно дописать или изменить, чтобы все заработало, я вроде все настройки переписал правильно которые прописал владелец роутера, но все равно не коннектиться. Все файлы конфигов которые я сделал и доступ к роутеру прикрепляю по ссылке. И просьба тем кто решит позаимствовать его впн, не пакостите на роутере. http://www.solidfiles.com/v/VBnx72VYznwep

 ,

lasikizeya ()

Android - PAC proxy - dd wrt - подружить.

Дано: Подсеть 192.168.1.0/24

Андроид кит-кат устройство - 192.168.1.147

Роутер на dd-wrt - 192.168.1.10

PAC proxy на роутере - 192.168.1.10/user/pac.js

Моё андроид устройство не поддерживает функцию proxy autoconfig для pac файлов.

Задачи: 1.Заставить устройство как-то работать с pac прокси файлами.

Или

2. Сделать transparent proxy через роутер используя pac файл.

3. Какие то другие варианты?

У пак файла сложный формат с ssl прокси серверами.

Идеи, пожелания, туториалы ?)

 , ,

FreakMurderer ()

OpenVPN не ВеПеЭнит один сайт.

Всем добра, дешевого и быстрого интернета, а кто покажет кулак - тому фак. 8-)

Провайдер Билайн.
Роутер NetGear R7000
Установил последнюю сборку DD-WRT: v3.0-r39296 std (03/27/19)
Купил аккаунт на NordVPN.
Настроил vpn клиент на роутере. Все работает. Все сайты открываются, но весь трафик идет через Амстердам. Что не кашерно.
Прописал в Additional Config сайты которые хочу пускать через vpn.

route-nopull
route nl367.nordvpn.com 255.255.255.255 net_gateway
route rutracker.org 255.255.255.255 vpn_gateway
route bt.t-ru.org 255.255.255.255 vpn_gateway
route bt2.t-ru.org 255.255.255.255 vpn_gateway
route bt3.t-ru.org 255.255.255.255 vpn_gateway
route bt4.t-ru.org 255.255.255.255 vpn_gateway
route kasparov.ru 255.255.255.255 vpn_gateway
route 216.92.111.41 255.255.255.255 vpn_gateway
route ej.ru 255.255.255.255 vpn_gateway

Все великолепно работает, кроме сайта kasparov.ru. Его прописал даже два раза: один раз по имени, а следом за ним по ip-адресу. Когда вызываю его по ip, выдает, что его ddos-ят.

Сайт Каспаров.Ru находится под DDoS-атакой!

Администрация сайта принимает меры для восстановления работоспособности сайта.

Спасибо, что Вы с нами!


Когда набираю в url имя сайта: каsparov.ru, то выдает заглушку от билайн, что мол заблокирован.

Как это объяснить и побороть?

 , ,

Axa ()

Настройка ssh на DD-WRT

У меня есть мой компьютер и удаленный компьютер. Хочу настроить ssh туннель чтобы выходить в сеть с айпи адреса удаленного компьютера (этакий впн). Держать постоянно включенным удаленный компьютер не вариант, прошил роутер на dd-wrt и решил настроить ssh сервер на роутере (удаленном).

В настройках пароль для ssh задать нельзя, но можно задать публичный ключ, когда я все задал и настроил, все равно при подключении по ssh через приватный ключ пишет что не хочет подключится через приватный/публичный ключ и просит пароль от рута. На ddwrt пользователь только один - root. Но пароль, какой бы я не прописывал при подключении через ssh оно не принимает. Пароль от админки роутера тоже не принимает.

Какой пароль от рута туда нужно прописать, чтобы оно его приняло и подключилось по ssh? В гугле ничего не нашел.

 

pozner_z ()

Прошивка D-LINK DIR-620 C1 (Broadcom)

Подскажите, как правильно залить .trx через `Broadcom CFE miniWeb Server`. Заливаю этот образ: http://tomato.groov.pl/download/K26RT-N/build5x-140-MultiWAN/Asus RT-Nxx/toma...

1. Я нажимаю шариковой ручкой Reset, и включаю роутер, не отпуская Reset.
2. Жду, когда роутер начнёт пинговаться.
3. Он не начинает пинговаться, пока не отпущу Reset. Но зато появляется веб-морда `Broadcom CFE miniWeb Server`.
4. Выбираю .trx-файл, нажимаю Upload, но происходит редирект на /f2.htm, которая недоступна «The connection was reset» (так как через какое-то время после отпускания Reset начинает грузиться стандартная веб-морда DLINK-а).
5. В итоге, прошивка не может залиться. То есть, POST-запрос не дожидается ответа, и браузер показывает «The connection was reset ... while the page was loading».

Подробной инструкции об использовании «аварийного режима» для DIR-620 не нашёл. Нашёл только для ASUS RT-AC68U:

*Continue firmly holding in the reset button.
*Power-on the router
*Start watching the ping activity.
*As soon as the pings start returning successfully, hit enter on your browser tab to bring up the miniCFE webpage.
*Immediately select your v1703 firmware file and click send. If you're using Chrome, the bottom-left corner of the window should show an upload status percentage. Watch it like a hawk.
*When it hits 10%, release the reset button
*When it hits 100% you should see the success-page I have attached to this post: the URL has been redirected to «192.168.29.1/f2.htm» and the content of the page reads: «Receive file size=16949294 / Upload completed. System is going to reboot. Please wait a few moments.»
*Give it several minutes to reboot and come back up.
Проблема в том, что интерфейс CFE miniWeb Server не появляется, пока не отпустишь кнопку «Reset» при старте роутера. А если отпустить - то при заливке «Upload» веб-морда CFE miniWeb делает редирект на /f2.htm, которая Not Found, так как уже пошла загрузка стандартной веб-морды от D-LINK.

Как правильно залить .trx?

 , , , ,

pacify ()

Настройка роутера dd-wrt

Добрый вечер! Проблема состоит в том что не могу нормально настроить dd-wrt. Нужно настроить его так чтобы статика шла только на один ПК, а вот остальные порты и wi-fi динамика. Если разбираетесь был бы рад за подробную инфу.

Сегодня пытался: wan настроил, задал статику на нее (динамика через lan пашет и с мобильных тоже пашет). Прошил бы его на tp-link но там уже тупняк перепробовал много способов прошить (но почему то сеть пропадает когда начинаю прошивать).

 

Kutman ()

Роутер TP-Link TL-WR841N с DD-WRT, подключение к другому роутеру с Chillispot.

Кто-нибудь пробовал настроить по WIFI,или дайте ссылку?

 

busfer ()

Настройка OpenVPN Client на DD-WRT.

Всем добрый вечер. Основную задачу, которую хочется решить - поднять туннель OpenVPN клиента и через него гонять «санкционные» (заблоченные) сайты, тем самым обходя блокировку. VPN сервер, через который буду обходить нашёл (через него многие ходят думаю), виндовый клиент к нему цепляется отлично, проблем с санкционкой нет :) Пытаюсь настроить клиента на dd-wrt, появляются определённые проблемы, которые не могу решить (причем тот же сервер на dd-wrt удалось поднять за несколько дней мучений, но сейчас не про это). Я заранее извиняюсь, что тема заезжена, но через маны и гугл ответы не смог найти :( Для клиента имеется следующий конфиг:

ca /tmp/openvpncl/ca.crt
cert /tmp/openvpncl/client.crt
key /tmp/openvpncl/client.key
management 127.0.0.1 16
management-log-cache 100
verb 3
mute 3
syslog
writepid /var/run/openvpncl.pid
client
resolv-retry infinite
nobind
persist-key
persist-tun
script-security 2
dev tun1
proto udp4
cipher aes-256-cbc
auth sha256
remote **** 1194
comp-lzo yes
tun-mtu 1500
mtu-disc yes
fast-io
remote-cert-tls server
explicit-exit-notify
route-nopull

Пробовал запускать без route-nopull, но тогда автоматом прописываются маршруты, которые всё равно не помогают. Клиент в итоге запускается и корректно соединяется:

Client: CONNECTED SUCCESS 
Local Address: 192.168.100.10
Remote Address: 192.168.100.10 
Таблица маршрутизация без route-nopull:
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         broadband-188-2 0.0.0.0         UG    0      0        0 eth0
127.0.0.0       *               255.0.0.0       U     0      0        0 lo
***.254.0.0     *               255.255.0.0     U     0      0        0 br0
***.***.30.0    *               255.255.255.0   U     0      0        0 eth0
192.168.1.0     *               255.255.255.0   U     0      0        0 br0
192.168.100.0   *               255.255.252.0   U     0      0        0 tun1
Пробую прогнать через туннель:
route add 104.31.73.111 dev tun1

Смотрю tcpdump:

tcpdump -i tun1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun1, link-type RAW (Raw IP), capture size 262144 bytes
23:15:54.505858 IP 192.168.100.10 > 104.31.73.111: ICMP echo request, id 1, seq 149, length 40
23:15:54.629827 IP 192.168.100.1 > 192.168.100.10: ICMP 104.31.73.111 protocol 1 port 19654 unreachable, length 68
23:15:55.509757 IP 192.168.100.10 > 104.31.73.111: ICMP echo request, id 1, seq 150, length 40
23:15:55.605185 IP 192.168.100.1 > 192.168.100.10: ICMP 104.31.73.111 protocol 1 port 19653 unreachable, length 68
23:15:56.510695 IP 192.168.100.10 > 104.31.73.111: ICMP echo request, id 1, seq 151, length 40
23:15:56.587372 IP 192.168.100.1 > 192.168.100.10: ICMP 104.31.73.111 protocol 1 port 19652 unreachable, length 68
23:15:57.503710 IP 192.168.100.10 > 104.31.73.111: ICMP echo request, id 1, seq 152, length 40

ifconfig с ошибками в пакетах:

tun1      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:192.168.100.10  P-t-P:192.168.100.10  Mask:255.255.252.0
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:9 errors:0 dropped:1 overruns:0 frame:0
          TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:752 (752.0 B)  TX bytes:480 (480.0 B)

Ошибок в логах клиента нет, а дебаг в verb в этой сборке не пашет, максимум verb -3. Фаерволл отключал. ip_forwarding включил ещё когда настройку сервера делал. Полагаю, что где-то лажаю с маршрутизацией. Подскажите, пожалуйста, куда стоит обратить внимание.

 ,

iSoier ()

DD wft прошика

Установил на роутер тпЛинк прошивку dd-wrt в надежде что там будет настройка для моего случая , но не нашел, думаю осуществить его можно с помощью написания кода. Суть Допустим этот роутер без пороля с прошивкой dd-wrt стоит в кафе, приходит посетитель делает заказ, и за одно подключается к этому роутеру, но после часа роутер его блокирует на часов 8, и так с каждым клиентом, это делается для того чтобы клиенты не засиживались , но и когда придут в следующий раз ( после истечения 8 часов ) они снова могли подключатся и снова пользоваться в течении 1 часа

Надеюсь поняли , и надеюсь поможете

 , , ,

levddd ()

Помогите выбрать новый роутер c 802.11ac и возможностью установки OpenWRT или DD-WRT

Хочу приобрести новый роутер c 802.11ac (бюджет 7000 рублей и по возможности двухдиапазонный) и впервые вкусить альтернативные прошивки (аля OpenWRT или DD-WRT).

Что можете посоветовать? И каким железом пользуетесь вы?

 , , , ,

RRR1993 ()

Программирование: OpenWRT или DD-WRT?

Привет. Давно хотел попробовать собрать себе прошивку с блэкджеком и необходимым софтом, убрать лишний функционал и все в этом духе. Но без документации мне будет это сложно сделать. Поэтому я бы хотел узнать, под что больше мануалов, документации и т.д. на русском языке? Под что проще?

 , ,

CryNet ()

Роутер TP-LINK TL-WR841N, DD-WRT или OpenWrt?

Доброго времени суток всем!

Есть бюджетный WiFi роутер TP-LINK TL-WR841N V9.2 с последней официальной прошивкой на борту.

Есть идея установить на него альтернативную прошивку. Что выбрать: DD-WRT или OpenWrt?

Какая из них лучше для данного роутера или аналогичных бюджетных моделей? Будут ли ощутимые приемущества по сравнению с официальной прошивкой? Если да, то какие? Вообще, смысл есть менять или остаться на официальной прошивке?

От девайса требуется только стабильная работа, один-два компьютера в сети. В данный момент стабильно теряет связь где-то раз в неделю.

Заранее всем спасибо.

 , ,

mad_austronaut ()

Помогите с pptp клиент

Всем привет! Вот расскажи дураку почему pptp на DD-WRT ver. 3.0 соединятся без проблем к серверу, а Lede 17 (OpenWrt) не в какую не хочет

LEDE

Fri May 18 12:21:05 2018 daemon.info pppd[3997]: PPTP plugin version 1.00 Fri May 18 12:21:05 2018 daemon.notice pppd[3997]: pppd 2.4.7 started by root, uid 0 Fri May 18 12:21:05 2018 daemon.debug pppd[3998]: pptp: call manager for Х.ХХ.ХХ.Х Fri May 18 12:21:05 2018 daemon.debug pppd[3998]: window size: 50 Fri May 18 12:21:05 2018 daemon.debug pppd[3998]: call id: 119 Fri May 18 12:21:22 2018 daemon.err pppd[3997]: Call manager exited with error 896 Fri May 18 12:21:22 2018 daemon.info pppd[3997]: Exit.

DDWRT

ppp0 Link encap:Point-to-Point Protocol inet addr:192.168.100.42 P-t-P:192.168.100.240 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1436 Metric:1 RX packets:4 errors:0 dropped:0 overruns:0 frame:0 TX packets:4 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:3 RX bytes:64 (64.0 B) TX bytes:82 (82.0 B)

 , , ,

m0rDev ()

DD-WRT пакеты Optware, какая-то фигня

Здравствуйте, имеется роутер NETGEAR WNR3500Lv2, прошил его на DD-WRT, взял флешку на 2гига, разбил на разделы, воткнул, замонтировал, поставил optware... все стандартно.

подключаюсь через telnet. Ставлю допустим пакет nano, он устанавливается, но если его попробовать запустить то он не запускается, просто курсор моргает в консоли. Жму ctrl+c, ставлю пакет mc. Запускаю mc, он работает - но если нажимать стрелками вниз, верх, назад, вперед - то снизу печатаются тупо символы, по папкам ходить нельзя. ctrl+z - выход т.к. F10 не пашет в нем так-же.

Пробовал включить SSH в прошивке, но туда не заходит, вот лог: [spoiler]

$ ssh root@192.168.72.1 -vv
OpenSSH_7.2p2 Ubuntu-4ubuntu2.4, OpenSSL 1.0.2g  1 Mar 2016
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug2: resolving "192.168.72.1" port 22
debug2: ssh_connect_direct: needpriv 0
debug1: Connecting to 192.168.72.1 [192.168.72.1] port 22.
debug1: Connection established.
debug1: identity file /home/proger/.ssh/id_rsa type 1
debug1: key_load_public: No such file or directory
debug1: identity file /home/proger/.ssh/id_rsa-cert type -1
debug1: key_load_public: No such file or directory
debug1: identity file /home/proger/.ssh/id_dsa type -1
debug1: key_load_public: No such file or directory
debug1: identity file /home/proger/.ssh/id_dsa-cert type -1
debug1: key_load_public: No such file or directory
debug1: identity file /home/proger/.ssh/id_ecdsa type -1
debug1: key_load_public: No such file or directory
debug1: identity file /home/proger/.ssh/id_ecdsa-cert type -1
debug1: key_load_public: No such file or directory
debug1: identity file /home/proger/.ssh/id_ed25519 type -1
debug1: key_load_public: No such file or directory
debug1: identity file /home/proger/.ssh/id_ed25519-cert type -1
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_7.2p2 Ubuntu-4ubuntu2.4
debug1: Remote protocol version 2.0, remote software version dropbear_2013.56
debug1: no match: dropbear_2013.56
debug2: fd 3 setting O_NONBLOCK
debug1: Authenticating to 192.168.72.1:22 as 'root'
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug2: local client KEXINIT proposal
debug2: KEX algorithms: curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,ext-info-c
debug2: host key algorithms: ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp521-cert-v01@openssh.com,ssh-ed25519-cert-v01@openssh.com,ssh-rsa-cert-v01@openssh.com,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,ssh-ed25519,rsa-sha2-512,rsa-sha2-256,ssh-rsa
debug2: ciphers ctos: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com,aes128-cbc,aes192-cbc,aes256-cbc,3des-cbc
debug2: ciphers stoc: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com,aes128-cbc,aes192-cbc,aes256-cbc,3des-cbc
debug2: MACs ctos: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: MACs stoc: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: compression ctos: none,zlib@openssh.com,zlib
debug2: compression stoc: none,zlib@openssh.com,zlib
debug2: languages ctos: 
debug2: languages stoc: 
debug2: first_kex_follows 0 
debug2: reserved 0 
debug2: peer server KEXINIT proposal
debug2: KEX algorithms: diffie-hellman-group1-sha1,diffie-hellman-group14-sha1
debug2: host key algorithms: ssh-rsa,ssh-dss
debug2: ciphers ctos: aes128-ctr,3des-ctr,aes256-ctr,aes128-cbc,3des-cbc,aes256-cbc,twofish256-cbc,twofish-cbc,twofish128-cbc
debug2: ciphers stoc: aes128-ctr,3des-ctr,aes256-ctr,aes128-cbc,3des-cbc,aes256-cbc,twofish256-cbc,twofish-cbc,twofish128-cbc
debug2: MACs ctos: hmac-sha1-96,hmac-sha1,hmac-md5
debug2: MACs stoc: hmac-sha1-96,hmac-sha1,hmac-md5
debug2: compression ctos: zlib,zlib@openssh.com,none
debug2: compression stoc: zlib,zlib@openssh.com,none
debug2: languages ctos: 
debug2: languages stoc: 
debug2: first_kex_follows 0 
debug2: reserved 0 
debug1: kex: algorithm: diffie-hellman-group14-sha1
debug1: kex: host key algorithm: ssh-rsa
debug1: kex: server->client cipher: aes128-ctr MAC: hmac-sha1 compression: none
debug1: kex: client->server cipher: aes128-ctr MAC: hmac-sha1 compression: none
debug1: sending SSH2_MSG_KEXDH_INIT
debug2: bits set: 1036/2048
debug1: expecting SSH2_MSG_KEXDH_REPLY
Connection closed by 192.168.72.1 port 22
[/spoiler]

Вот мой профайл [spoiler]

$ cat /opt/etc/profile 
export PATH=/bin:/sbin:/usr/bin:/usr/sbin:/opt/bin:/opt/sbin
export LD_LIBRARY_PATH=/lib:/usr/lib:/opt/lib:/opt/usr/lib
export PS1="\u@\h:\w\$ "
export TERMINFO=/opt/share/terminfo
export LC_ALL="ru_RU.UTF-8"

reboot() {
  for f in /opt/etc/init.d/S* ; do
    [ -x "$f" ] && "$f" stop
  done
  echo "#!/bin/sh" > /tmp/.rc_shutdown
  echo "$(nvram get rc_shutdown)" >> /tmp/.rc_shutdown
  if [ -f /tmp/.rc_shutdown ]; then
    chmod +x /tmp/.rc_shutdown
    /tmp/.rc_shutdown
  fi
  /sbin/reboot
}

[/spoiler]

 , , ,

dirsex ()

Не видно веб сервер в локалке :)

Установил дд-врт.
Проблему первую - даже не пинговались компы к локальной сети решил.
Проблема вторая - перестал видеться веб-сервак (из браузера) из виртуалки(бриидж).

 

darkenshvein ()

Заставить роутер пропускать пакеты в сеть OpenVPN

Имеем конфигурацию:

1. VDS-виртуалка в Интернете, на которой запущен сервер OpenVPN. Для vpn-сети задано адресное пространство 192.168.2.0/24. В этой vpn-cети данная виртуалка имеет IP 192.168.2.1.

2. Домашний роутер с прошивкой DD-WRT, на котором запущен openvpn-клиент. После соединения с сервером, роутер получает в vpn-сети IP 192.168.2.50. Его IP в локальной домашней сети 192.168.1.1.

3. Домашняя рабочая станция. Ее IP, к примеру 192.168.1.5. Маршрут по-умолчанию на ней установлен, естественно, на гейтвей 192.168.1.1.

Vpn-соединение между виртуалкой и роутером нормальное, работает в двух направлениях. Из консоли роутера пинги ходят до виртуалки. В консоле виртуалки пинги ходят до роутера.

Для начала задача простая: достучаться до виртуалки 192.168.2.1 с рабочей станции 192.168.1.5.

Для этого я на роутере сначала смотрю роутинг:

# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         192.214.221.83. 0.0.0.0         UG    0      0        0 ppp0
83.221.214.192  *               255.255.255.255 UH    0      0        0 ppp0
127.0.0.0       *               255.0.0.0       U     0      0        0 lo
169.254.0.0     *               255.255.0.0     U     0      0        0 br0
192.168.1.0     *               255.255.255.0   U     0      0        0 br0
192.168.2.0     *               255.255.255.0   U     0      0        0 tun0


Я не силен в сетях, поэтому не могу точно сказать, достаточно ли строки 192.168.2.0 для того, чтобы пакеты на сеть 192.168.2.0 заворачивались этим правилом. Поэтому добавляю такое правило (просто командой, не через WEB интерфейс):

# route add -net 192.168.2.0 netmask 255.255.255.0 gw 192.168.2.1 metric 1


После чего имею уже два правила:

# route | grep 192.168.2.0
192.168.2.0     *               255.255.255.0   U     0      0        0 tun0
192.168.2.0     192.168.2.1     255.255.255.0   UG    1      0        0 tun0


По идее, этого достаточно для того, чтобы роутер начал пробрасывать пакеты из сети 192.168.1.0/24 в 192.168.2.0/24, используя в качестве гейтвея хост с виртуалкой 192.168.2.1.

Однако ни ping 192.168.2.1, ни traceroute 192.168.2.1, выполненные в консоли домашней рабочей станции, не работают.

Я не пойму, почему так происходит. Может быть, пакеты пробрасываются до 192.168.2.1 из сети 192.168.1.0/24, но обратно не возвращаются, потому что нужно еще как-то маршрут возвращения прописать? Или пинги не проходят потому, что на роутере их рубит файрвол? Вот какую информацию могу дать по файрволу:

# cat /proc/sys/net/ipv4/ip_forward 
1
# iptables -L -n --line-numbers
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:8080 
2    DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80 
3    DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
4    DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:69 
5    DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22 

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         
1    ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
2    lan2wan    0    --  0.0.0.0/0            0.0.0.0/0           
3    ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0           
4    ACCEPT     udp  --  0.0.0.0/0            224.0.0.0/4         
5    TRIGGER    0    --  0.0.0.0/0            0.0.0.0/0           TRIGGER type:in match:0 relate:0 
6    trigger_out  0    --  0.0.0.0/0            0.0.0.0/0           
7    ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0           state NEW 

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination         

Chain advgrp_1 (0 references)
num  target     prot opt source               destination         

Chain advgrp_10 (0 references)
num  target     prot opt source               destination         

Chain advgrp_2 (0 references)
num  target     prot opt source               destination         

Chain advgrp_3 (0 references)
num  target     prot opt source               destination         

Chain advgrp_4 (0 references)
num  target     prot opt source               destination         

Chain advgrp_5 (0 references)
num  target     prot opt source               destination         

Chain advgrp_6 (0 references)
num  target     prot opt source               destination         

Chain advgrp_7 (0 references)
num  target     prot opt source               destination         

Chain advgrp_8 (0 references)
num  target     prot opt source               destination         

Chain advgrp_9 (0 references)
num  target     prot opt source               destination         

Chain grp_1 (1 references)
num  target     prot opt source               destination

Chain grp_10 (0 references)
num  target     prot opt source               destination

Chain grp_2 (0 references)
num  target     prot opt source               destination

Chain grp_3 (0 references)
num  target     prot opt source               destination

Chain grp_4 (0 references)
num  target     prot opt source               destination

Chain grp_5 (0 references)
num  target     prot opt source               destination

Chain grp_6 (0 references)
num  target     prot opt source               destination

Chain grp_7 (0 references)
num  target     prot opt source               destination

Chain grp_8 (0 references)
num  target     prot opt source               destination

Chain grp_9 (0 references)
num  target     prot opt source               destination

Chain lan2wan (1 references)
num  target     prot opt source               destination
1    grp_1      0    --  0.0.0.0/0            0.0.0.0/0

Chain logaccept (0 references)
num  target     prot opt source               destination
1    ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0

Chain logdrop (0 references)
num  target     prot opt source               destination
1    DROP       0    --  0.0.0.0/0            0.0.0.0/0

Chain logreject (0 references)
num  target     prot opt source               destination
1    REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0           reject-with tcp-reset

Chain trigger_out (1 references)
num  target     prot opt source               destination

Я добавил правило:

# iptables -A FORWARD -d 192.168.2.0/24 -j ACCEPT
# iptables -L -n --line-numbers | grep 192.168.2.0
8    ACCEPT     0    --  0.0.0.0/0            192.168.2.0/24

Но пинги/трейсроут с рабочей станции до виртуалки все равно не проходят.

Вопрос: что где надо еще настроить, чтобы начали ходить пинги от рабочей станции до виртуалки?

PS: Далее будет следующий вопрос: как заставить ходить пинги из виртуалки до рабочей станции. Ради этого, в принципе, все и затевалось.

 , ,

Xintrea ()

Как отключить TLS на OpenVPN-сервере?

Требуется мне сделать маленькую домашнюю сетку между VDS-виртуалкой в интернете, на которой запущен OpenVPN сервер и роутером с прошивкой DD-WRT v3.0-r28598 std (роутер должен подключаться как клиент).


Далее я использую термины:

- Виртуалка - удаленная виртуалка с запущенным OpenVPN сервером
- linux-машина - тестовая машина с OpenVPN клиентом
- тестовое соединение - соединение между тестовой linux-машиной и виртуалкой
- роутер - роутер Tp-Link TL-WR1043ND, на котором нужно заставить работать OpenVPN клиент


Для начала я отладил конфиги сервера и клиента на тестовом соединении. Все с поддержкой TLS, по взрослому. В качестве клиента использовал тестовую linux машину с Debian. Клиент подключается, сетка создается, все хорошо. Но мне нужно подключать не linux-машину, а роутер с DD-WRT.

В интерфейсе роутера я включаю OpenVPN клиента, задаю параметры, ключи, все делаю аналогично отлаженному на linux-машине конфигу. И соединения не происходит. Ошибки такие (лог клиента):

20171106 14:44:26 I OpenVPN 2.3.8 mips-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Dec 24 2015
20171106 14:44:26 I library versions: OpenSSL 1.0.2e 3 Dec 2015 LZO 2.09
20171106 14:44:26 W WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
20171106 14:44:26 W NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
20171106 14:44:26 W WARNING: file '/tmp/openvpncl/client.key' is group or others accessible
20171106 14:44:26 W WARNING: file '/tmp/openvpncl/ta.key' is group or others accessible
20171106 14:44:26 I Control Channel Authentication: using '/tmp/openvpncl/ta.key' as a OpenVPN static key file
20171106 14:44:26 I Attempting to establish TCP connection with [AF_INET]193.124.188.214:1194 [nonblock]
20171106 14:44:27 I TCP connection established with [AF_INET]193.124.188.214:1194
20171106 14:44:27 I TCPv4_CLIENT link local: [undef]
20171106 14:44:27 I TCPv4_CLIENT link remote: [AF_INET]193.124.188.214:1194
20171106 14:44:28 N VERIFY ERROR: depth=1 error=self signed certificate in certificate chain: CN=Webhamster.ru-CA
20171106 14:44:28 N TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:lib(20):func(144):reason(134)
20171106 14:44:28 N TLS Error: TLS object -> incoming plaintext read error
20171106 14:44:28 NOTE: --mute triggered...
20171106 14:44:28 1 variation(s) on previous 3 message(s) suppressed by --mute
20171106 14:44:28 N Fatal TLS error (check_tls_errors_co) restarting
20171106 14:44:28 I SIGUSR1[soft tls-error] received process restarting


По опыту отлаки конфигов на тестовом linux, я уже знаю, что такие ошибки могут быть по факту из-за одного-единственного параметра tls-cipher. Выяснилось, что даже если метод шифрования поддерживается и на клиенте, и на сервере (проверяется через команду openvpn --show-tls), то не факт, что соединение будет устанавливаться.

Так как в интерфейсе DD-WRT ограниченное число методов TLS шифрования, я только эти методы проверял на тестовом соединении. (Как мне в голову пришло это проверять? Я трое суток пытался запустить тестовое соединение с установленным методом TLS-RSA-WITH-AES-256-CBC-SHA256. Крутил все настройки кроме него. Ничего не помогало. Как только выставил TLS-RSA-WITH-AES-128-CBC-SHA, волшебным образом все заработало).

Чтобы собрать какую-то картину, я протестировал на тестовом соединении разные методы, и составил следующую таблицу:

TLS-DHE-RSA-WITH-AES-256-GCM-SHA384 - не работает
TLS-DHE-RSA-WITH-AES-256-CBC-SHA256 - не работает
TLS-DHE-RSA-WITH-AES-128-CBC-SHA - работает!
TLS-RSA-WITH-AES-256-GCM-SHA384 - не работает
TLS-RSA-WITH-AES-256-CBC-SHA256 - не работает
TLS-RSA-WITH-AES-128-CBC-SHA - работает!
TLS-RSA-WITH-RC4-128-MD5 - работает!


Вот такая несовместимость между OpenVPN 2.3.4/OpenSSL 1.0.1t на сервере и OpenVPN 2.3.4/OpenSSL 1.0.1t на linux-клиенте (да, версии vpn и ssl абсолютно одинаковые).

Зная это, расчитывать что клиент openvpn на DD-WRT будет без проблем работать с сервером, не приходится. Так и произошло. Никакие попытки подключиться путем конфигурирования в интерфейсе не завершились успехом. Кстати на роутере имеем следующие версии: OpenVPN 2.3.8/OpenSSL 1.0.2e.

Тогда я написал для роутера скрипт, в который поместил все настройки из тестового соединения, которые гарантированно работают на linux:

https://pastebin.com/WJbqc51V

После запуска этого скрипта роутер намертво вешается, поэтому посмотреть лог клиента не могу (он в роутере не сохраняется). А на сервере видно буквально следующее:

Nov  6 15:39:49 webhamster ovpn-server[25980]: TCP connection established with [AF_INET]31.23.46.17:48391
Nov  6 15:39:50 webhamster ovpn-server[25980]: 31.23.46.17:48391 Connection reset, restarting [0]
Nov  6 15:39:53 webhamster ovpn-server[25980]: TCP connection established with [AF_INET]31.23.46.17:48392
Nov  6 15:39:56 webhamster ovpn-server[25980]: 31.23.46.17:48392 [gw0] Peer Connection Initiated with [AF_INET]31.23.46.17:48392
Nov  6 15:39:56 webhamster ovpn-server[25980]: gw0/31.23.46.17:48392 MULTI_sva: pool returned IPv4=192.168.2.51, IPv6=(Not enabled)
Nov  6 15:39:58 webhamster ovpn-server[25980]: gw0/31.23.46.17:48392 send_push_reply(): safe_cap=940
Nov  6 15:45:10 webhamster ovpn-server[25980]: gw0/31.23.46.17:48392 [gw0] Inactivity timeout (--ping-restart), restarting


Похоже, что соединение даже устанавливается. Но толку от него нету, потому что роутер висит.

* * *

В общем, после всех этих плясок я хочу попробовать установить соединение без TLS, сконфигурировав клиента просто через админку DD-WRT. Для этого в конфиге сервера убираю опции:

tls-auth /etc/openvpn/ta.key 0
tls-server
tls-cipher TLS-RSA-WITH-RC4-128-MD5


Но как только я эти опции убираю, сервер не стартует с такой ошибкой:

Nov  6 16:01:11 webhamster ovpn-server[5447]: Options error: --mode server requires --tls-server
Nov  6 16:01:11 webhamster ovpn-server[5447]: Use --help for more information.
Nov  6 16:01:11 webhamster systemd[1]: openvpn@server.service: control process exited, code=exited status=1
Nov  6 16:01:11 webhamster systemd[1]: Failed to start OpenVPN connection to server.
Nov  6 16:01:11 webhamster systemd[1]: Unit openvpn@server.service entered failed state.


Это значит, что запуск OpenVPN в режиме сервера (в конфиге присутсвует опция «mode server») невозможен без обязательного прописывания опции «tls-server»?

То есть, нынче OpenVPN невозможно запустить без TLS? Или есть какой-то метод все-таки запустить OpenVPN без поддержки TLS?

 , ,

Xintrea ()