Недавно ушёл с работы. Уехал за город отдыхать. Рукам скучно и они всегда ищут на чём потренироваться. Был вечер и мне написал мой давний приятель по радиоэфиру. Мол, раз ты у нас админ, хоть и в прошлом, то уж точно должен знать, как выполнить тривиальную задачу: необходимо сети дачи и квартиры между собой объединить через OpenVPN. Белый динамический IP существует и даже с двух сторон. Устройства Kennetic Lite и Asus. У него получилась следующее:

Дома поднят OpenVPN сервер на Asus RT-56U и на дачу скопирована конфигурация с ключами. Соединение устанавливается, но он с дачи видит то, что существует дома, а из дома - не видит дачи.

Как ни пытался он из дома достучаться до дачи - никак. Ничего умнее не придумал, как создать сервер PPTP на Keenetic Lite и для доступа из дома через роутер подключаться на дачу. Теперь он видел сеть, которая существует на даче, но при этом весь интернет трафик заворачивается на дачу.

Требуется же сделать так, чтобы сети были общие, а в интернет все ходили по своим коннектам. Задача, на мой взгляд, плёвая и решалась мной обычно не дольше, чем за десять минут. Из которых пять уходило на заполнение задачи.

Вот только что-то пошло не так. То ли кризис на мировых биржах, то ли ураган за окном, то ли коронавирус. С сетевым оборудованием Asus не работал уже сотню лет и, если честно, то не особо мне с ним хочется работать. Мне дали доступ ко всему оборудованию и я приступил в ночи.  Первое, что посмотрел, что у нас происходит в таблицах роутинга. Keenetic при подключении получает push от Asus и добавляет в свою динамическую таблицу правильно:

192.168.85.0 255.255.255.0 10.8.0.2

то есть за полученным адресом 10.8.0.2 существует домашняя сеть 192.168.85.0/24.

Смотрю на то, что со стороны Asus и не вижу ни созданной сети OpenVPN 10.8.0.0 255.255.255.0 10.8.0.1, ни 192.168.100.0 255.255.255.0 10.8.0.2. Вижу только 10.8.0.0 255.255.255.0 * (дефолтный маршрут).

Вебинтерфейс Asus при всей своей красоте очень скучен для настроек. Бился с ним долго и не получил никакого результата. За окном дождь превращался то в крупу, то в снег, а ветер хлестал по окнам. Полистал форумы. Написано, что если что-то и можно сделать, то исключительно через SSH. Включил. Посмотрел настройки через консоль. Добавил клиентский файл для включения роутинга с прописанной сетью. В логах ошибки нет, но не подключает он его. Совсем. И так крутил, и сяк крутил. Умаялся. На часах был третий час. Ушёл спать.

Сдаваться не хотел. Сказал человеку всё, что думаю, что Asus скорее всего имеет на своём борту урезанный OpenVPN, поэтому через него не получится. Решил отдохнуть от задачи. Дел в доме до фига, в том числе и от этого сильного ветра.

У меня получалось установить соединение и в ручном режиме добавить рутинги. Сеть за Keenetic'ом была видна, но после добавления правил файрвола для ICMP, TCP, UDP. После разрыва соединения маршруты необходимо было писать заново.

Выходные прошли и тут решил попробовать сделать иначе. Раз доступен PPTP, то следует изучить его. В консоли по настройкам оного ничего (повторяю по буквам: НИ-ЧЕ-ГО) нет. Кроме общих файлов секретов.

Изучил настройки подключения клиента PPTP в вебе и понял, что можно указать сеть клиента при подключении, что и сделал. Добавил на Keenetic те же правила файрвола и... сеть за ним стала доступна, но ввиду отсутствия галки у default route, который используется для проброса всего трафика до квартиры, на Zyxel пришлось добавить статические маршруты для этого соединения с указанием подсети 192.168.85.0 255.255.255.0, а в шлюзе оставил пустоту, интерфейс мной был указан PPTP (по названию соединения). Трафик начал ходить в обе стороны, интернет у каждого роутера свой. Задача выполнена полностью и правильно. Себе на пиво заработал.

Подытожу: на стороне сервера Asus RT-56U необходимо создать PPTP сервер, создать подключение, в свойствах которого необходимо указать сеть, находящуюся за этим соединением при подключении в формате подсеть/маска (192.168.0.0/255.255.255.0).

На стороне Zyxel Keenetic: создать соединение с реквизитами. заданными на PPTP сервере и не использовать его для выхода в интернет. Для добавить в маршруты сеть, находящуюся за PPTP-сервером для этого подключения, поставив галку автоматическое создание при подключении. И создать правила файрвола для этого соединения, где необходимо разрешить нужные вам протоколы ICMP/TCP/UDP и прочее.

Человек доволен, что ему пока не придётся менять сетевое оборудование. Мне же урок, что всякая железка может иметь свою реализацию, которая может не отвечать общепринятым стандартам.

Предлагаю Вашему вниманию обзор статьи о решении по управление ключами и сертификатами OpenVPN в XCA.

XCA (X Window System Certification authority) — если кратко, то это программа для управления ключами и сертификатами, она использует библиотеку OpenSSL, написана на  C++,  а для GUI используется библиотека Qt.

Домашняя страница программы: http://hohnstaedt.de/xca/

За основу статьи взята публикация  2011 года Using XCA to configure the(OpenVPN_ЦС) OpenVPN PKI part as an alternative to OpenVPN's easy-rsa.

Для удобства работы создана БД OpenVPN.xdb с шаблонами которые позволяют быстро создать:

• Центр сертификации (ЦС)

• Сервер

• Клиент

Также можно удобно и быстро выполнять следующие типовые действия:

• Создание нового клиента

• Экспорт сертификата клиента

• Экспорт закрытого ключа клиента

• Отзыв сертификата

• Экспорт сертификата сервера

• Экспорт закрытого ключа сервера

• Генерация параметров Диффи — Хеллмана

• Экспорт сертификата центра сертификации

К сожалению существуют и ограничения этого решения :

• Нельзя сохранить в БД параметры Диффи — Хеллмана, их можно только создать
• Нельзя создать и сохранить в БД ta.key, используемый для tls-auth

Полная версия статьи здесь.

После очередного принудительного обновления от Мелкомягких перестали мои устройства на Windows 10 подключаться к моему серверу OpenVPN.

До середины июля все было шик и блеск, работало корректно и стабильно. После накатывания обновы параметры в системе не поменялись(и на том спасибо, MS), но к одному из моих серверов OpenVPN устройства подключаться перестали.

Исходные данные:

Сервер на Ubuntu, настроенный на работу по UDP. К нему подключаются и корректно работают по сей день несколько машинок на Win7, несколько на Debian и Ubuntu и одна на Win 10, где обновления отключены по-максимому(насколько это сейчас позволяет система и лайфхаки).

Конфиги приводить не буду, т.к. сервер с другими машинами функционирует корректно, а клиент-конфиги у всех одинаковые(только каждый со своими сертификатами).

Проблема исключительно в винде, т.к. в локалке есть Ubuntu машина, которая через мой роутер и моего провайдера удачно работает с сервером.

Всякие фаерволы на винде поотрубал, ничего вроде сеть не контролирует. Левого ПО нет(ноут так вообще чистый, только Putty, OpenVPN и Chrome стоят).

По факту происходит следующее:

Клиент отправляет серверу по нужному порту пакет запроса на подключение(14 байт), а ответа от сервера не получает. После чего через некоторое время несколько раз дублирует пакет, а потом говорит, что все плохо.

Логи, если это необходимо, могу приложить, но в них ничего интересного. Клиент не дожидается ответа от сервера, а на сервере в логах видна попытка подключения и сервер даже верифицирует коннект.

Может кто сталкивался и знает куда копать?

P.S. Есть также еще один OpenVPN настроенный на TCP протокол. Работает на Win 10 машинах нормально.

Будет интересно при наличии ограничений провайдера, в частности мобильный интернет от Yota и т.п. В первую очередь молодым людям, еще не сильно разобравшихся в вопросе, и дядькам (таким, как я), которые когда-никогда хотят скачать  вареза или свежего кинца  сугубо лицензионные вещи с торрента. Описаный мной способ решает вопрос ограничения на скачивание торрентов у провайдера, а также в некоторых случаях исправляет пинг для онлайн-игр. Не подходит для статического IP-адреса. Абсолютно бесплатно.

Началось всё с чего...

Имею: симка Yota и ноутбук.

Задача: по выходным качать торренты и играть в онлайн-игру WarThunder.

Проблема: p2p трафик блокируется, а пинг в онлайн играх намеренно завышается.

Решение: VPN. Только с ним удаётся в танки погонять да торрентов покачать. Но денег то жалко, не так часто пользуюсь, чтобы 250-500 рублей отдавать. А бесплатные VPN разве что для чтения запрещённых сайтов пригодны. Можно использовать Socks5 для торрентов... 100р/месяц, можно и бесплатные поискать, методом перебора. Но бесплатные недолговечные. Надоело. А деньги из принципа платить не хочу))

Мой вариант: Бесплатный пробный VPN на сутки, при необходимости повторить =)

А теперь реализация. Лично я знаю пару сайтов, предоставляющих платные услуги VPN, и дающие сутки безвозмездно на пробу. Если Вам знакома схема с одноразовыми почтовыми ящиками и подобные сайты, дальнейшая часть поста Вам будет не нова и не интересна. Для остальных, в картинках и пошагово, как/что делать.

1. Заходим на сайт, предоставляющий VPN бесплатно на пробу на сутки, ищем заветную кнопку "Бесплатно". Нас попросят ввести свой почтовый ящик...

2. ...Но мы умнее. Не реклама, но лучше не видел - temp-mail.org. Сервис бесплатно генерирует временные почтовые ящики. Cервис VPN, в свою очередь, проверяет, получал ли пользователь под Вашим ip тестовый период, а также с Вашим почтовым ящиком. В последнее время иногда ругается на недопустимую почту, пробуйте с другой. Как сменить динамический IP? Да просто перезагрузите устройство интернет дающее)) У меня это модем 4G.

3. Получен заветный код. Далее пути могут расходиться... Лёжа на диване с телефоном, я использую приложение от VPN сервиса с этим кодом. Для компьютера необходимо скачать и установить программу OpenVPN. Открывать её и разбираться с ней нам не понадобится. Просто получаем от VPN сервиса файлы конфигурации, используя код:

4. Файлы конфигурации у нас. Распаковываем архив, заходим в папку. Программа OpenVPN установлена, а значит в контекстном меню, что по правой кнопке мыши открывается, видим пункт - Start OpenVPN on this config file, и смело жмакаем его.

5. Откроется окошко командной строки. Там побегают страшные слова, если последнее "Complete" - то Вы подключены к VPN на сутки, пока окошко открыто. Немного советов... Выбирайте российские сервера для файлов и игры из России (на скриншоте Россия, Москва 5), и иностранные, если нужный вам ресурс почему-то не открывается.

6. Через сутки или по необходимости, Вы меняете IP-адрес, почтовый ящик, в редких случаях чистите данные сайта в браузере и вуаля! Опять сутки бесплатно.

Мне уже на протяжении более года этот способ помогает ирать в Warthunder (yota режет пинг жёстко), а также иногда скачивать с торрентов для моего телевизора и PS3. Пользуюсь тарифом Yota для телефона, безлимитным.

ЗЫ: статистика моего "свистка" за последний год.