Маршрутизация OpenVPN edgerouter

[Neexon89]

Добрый день!
Подскажите, сделано было по инструкции https://help.ubnt.com/hc/en-us/articles/115015971688-EdgeRouter-OpenVPN-Server
Второй edgerouter клиентом, линк поднялся.
Вопрос, можно ли на них реализовать следующую схему? - http://dropmefiles.com/xrGmO
В этих устройствах не нахожу привычного .../openvpn/server.conf, видимо добавление маршрутов тут реализуется как-то иначе...

 

[Neexon89]

Можно закрывать, разобрался. Либо (если кому интересно) могу выложить конфиг

 

[dimacbz]

Выкладывайте конечно

 

[Neexon89]

Настраиваем сервер как есть здесь https://help.ubnt.com/hc/en-us/articles/115015971688-EdgeRouter-OpenVPN-Server
На роутер-клиент в папку /config/auth/ копируем - cacert.pem, client1.key, client1.pem, er.ovpn.

Редактируем er.ovpn
client
dev tun
proto udp
remote <ip-adress or host name> 1194
float
resolv-retry infinite
nobind
persist-key
persist-tun
verb 3
auth md5
cipher aes-128-cbc
ca /config/auth/cacert.pem //здесь необходимо указать полный путь
cert /config/auth/client1.pem //здесь тоже
key /config/auth/client1.key // и тут тоже

Выполняем на клиенте через telnet:
configure
set interfaces openvpn vtun0 config-file /config/auth/er.ovpn
set interfaces openvpn vtun0 description ‘OpenVPN’
commit
save

Линк должен подняться.

Если необходима маршрутизация между локальными сетями клиентов, необходимо сделать следующее со стороны роутера-сервера (10.10.1.1) -
создаем папку /config/auth/ccd/ в ней файл 'client1'
Содержимое:
ifconfig-push 172.16.1.240 255.255.255.0
iroute 10.10.2.0 255.255.255.0
Заходим в админку этого же роутера - config tree - interfaces - openvpn-vtun0 и в openvpn-option добавляем следующее -

--client-to-client
--client-config-dir /config/auth/ccd
--route 10.10.2.0 255.255.255.0 172.16.1.240
--route 10.10.1.0 255.255.255.0 172.16.1.1
(кому как удобнее - это же можно сделать через telnet)

Очень важный момент, если нужна маршрутизация от клиентов к клиентам, от клиентов к серверу, короче говоря, "во все стороны", надо указать push маршруты в config tree (interfaces / openvpn / vtun0 / server : Server-mode options) или через telnet -
set server push-route 10.10.1.0/24
set server push-route 10.10.2.0/24
set server push-route 10.10.3.0/24

 

[Neexon89]

Однако, стоит отметить, что на edgerouter x скорость тоннеля не превышает 10 мбит/c. Видимо сказывается отсутствие аппаратного ускорения. Из всех опробованных вариантов немного помогло увеличение буферов, т.е. в том же openvpn-option можно указать:
--sndbuf 393216
--rcvbuf 393216
в файле /config/auth/ccd/client1 указать
push "sndbuf 393216"
push "rcvbuf 393216"

После этого скорость удалось увеличить до 15-17 мбит. Подозреваю что это предел для этого устройства.

 

[Tamtut]

Вижу, что старый топик. но я все равно попробую.
Конфигурация такая же, вот только openvpn по какой-то магической причине не ресолвит домейны.
Если в кофигурации route использую ip, то все чики поки. А вот если домейн, то фигвам. openvpn[1381]: RESOLVE: Cannot resolve host address: SERVERNAMECOMESHERE Temporary failure in name resolution
С именем все ок. Пока он мучается на подключении, ping, dig, nslookup к тому домейну работают нормально с роутера.
Почему, же оне меня так ненавидит?

 

[fAntom]

Возможно это поможет: https://community.ubnt.com/t5/UniFi-Routing-Switching/UniFi-USG-local-DNS-not-resolving-local-hostname-correctly/td-p/1656911

 

[Den_Long]

ДВС! Не могу победить OpenVpn. Все делал по той же самой инструкции. Труба между роутерами поднимается, но трафик по ней не идет.
НА сервере show openvpn status server видит клиента с ранее прописанным ip, на клиенте линк тоже поднимается. Во всяком случае его видно в дашборде. И все. Транзитные ip сервер-клиент и клиент-сервер не пингуются.
tcpdump показывает, что трафик идет по 1194. Уже даже и не знаю куда копать ...

 

[dimacbz]

ДВС! Не могу победить OpenVpn. Все делал по той же самой инструкции. Труба между роутерами поднимается, но трафик по ней не идет.
НА сервере show openvpn status server видит клиента с ранее прописанным ip, на клиенте линк тоже поднимается. Во всяком случае его видно в дашборде. И все. Транзитные ip сервер-клиент и клиент-сервер не пингуются.
tcpdump показывает, что трафик идет по 1194. Уже даже и не знаю куда копать ...

Возможно не добавили правила в Firewall
https://help.ubnt.com/hc/en-us/articles/115015971688-EdgeRouter-OpenVPN-Server

 

[Den_Long]

Добавил. По инструкции.

 

[Den_Long]

show openvpn status client на сервере видит клиента с назначенным адресом.

 

[Den_Long]

Подскажи пож.: если сервер видит клиентский роутер, значит ли это, что с клиентскими ключами все нормально?

 

[Den_Long]

Хорошо. Тогда такой вопрос: как корректно развалить впнсервер, что потом опять все настроить с нуля?