[Crist]

Credo sia un refuso di una prova fatta da GUI e non più "pulita": provo a toglierla e ti faccio sapere.

[Crist]

Come non detto: stesso esito.
Continuerò a provare appena possibile.
Notavo che la guida sul wiki openwrt è stata aggiornata sulla wiki nuova openwrt: che dici varrebbe la pena tentare (usando le differenze relative al nostro modem)?

[Crist]

Funziona tutto alla perfezione!

Ho seguito la guida nuova a questo link: https://openwrt.org/docs/guide-user/services/vpn/openvpn/server.setup

Per chi si fosse trovato nella mia stessa situazione (ovvero segunedo la guida su questo sito), prima di buttarsi sulla nuova NON dovete disinstallare openSSL e openvpn già installati precedentemente (se vi funzionavano/installavano senza errori).
Perchè in pratica dovrete solo rifare le configarzioni e rigenerare i certificati seguendo i passaggi mostrati DOPO la fase iniziale di installazione (che voi avete fatto già).
Quindi avrete i files vari tutti in /etc/openvpn (genererà anche una sottocartella di appoggio SSL).

Consiglio di "pulire" i files openvpn.conf (tutto), network e firewall dalle voci relative alla vpn; i comandi che andrete a immettere da terminale, li ripopoleranno senza rischiare doppioni o intrugli vari.
La prima grande differenza rispetto alla guida di Roleo è che qui si usa il file config di openvpn (e non uno custom), con vari settaggi.
La seconda è che non serve spostare i file client: verrà generato un unico file .OVPN copiando i comandi dagli script sulla guida.
La terza (e credo cruciale per quanto mi riguarda) è che se non si dispone di un vero IP statico, bisogna appoggiarsi ad un DDNS (che possedevo già con no-ip): è per quello che non vedeva la porta dall'esterno; rimane comunque strano che a nessun'altro questo particolare abbia influito...

In pratica non si dovrebbero fare errori gravi appunto perchè si toccano le configurazioni e non parti cruciali del sistema.
Spero sia di aiuto.

[Crist]

Dopo alcune prove, nonostante la connessione stabilita, non riesco a navigare o chiamare via voip (non mi registra il servizio).
Sullo smartphone (Samsung Note4 con custom rom Ressurrection Remix) uso due app vpn (OpenVPN ufficiale e "OpenVPN per Android"): entrambe con lo stesso esito ovvero connessione ok ma non riesco ad ineragire in nessun modo:
- no browsing www;
- no browsing in locale (puntando ip interni alla mi rete, sia ip regolari 192.168.1.x sia ip assegnati da vpn 192.168.200.x);
- no voip (uso Zoiper).

Mi sono riletto i post di questo thread dall'inizio, modificando il firewall con l'aggiunta delle due regole di fw avendo come src lan/wan.
Niente.

Vi posto la situazione attuale, magari a qualcuno verrà un'idea...

Log lato server (c'è n'è uno dentro /tmp)

Codice: [Seleziona]

Sun Jun 10 17:45:22 2018 OpenVPN 2.3.18 arm-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on May 11 2018
Sun Jun 10 17:45:22 2018 library versions: OpenSSL 1.0.2n  7 Dec 2017, LZO 2.10
Sun Jun 10 17:45:22 2018 Control Channel Authentication: using '/etc/openvpn/tls-auth.key' as a OpenVPN static key file
Sun Jun 10 17:45:22 2018 TUN/TAP device ovpns0 opened
Sun Jun 10 17:45:22 2018 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Sun Jun 10 17:45:22 2018 /sbin/ifconfig ovpns0 192.168.200.1 netmask 255.255.255.0 mtu 1500 broadcast 192.168.200.255
Sun Jun 10 17:45:22 2018 UDPv4 link local (bound): [undef]
Sun Jun 10 17:45:22 2018 UDPv4 link remote: [undef]
Sun Jun 10 17:45:22 2018 Initialization Sequence Completed
Sun Jun 10 18:05:08 2018 xxx.xxx.xxx.xxx:63365 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #1 / time = (1528646707) Sun Jun 10 18:05:07 2018 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Sun Jun 10 18:05:08 2018 xxx.xxx.xxx.xxx:63365 TLS Error: incoming packet authentication failed from [AF_INET]xxx.xxx.xxx.xxx:63365
Sun Jun 10 18:05:09 2018 xxx.xxx.xxx.xxx:63365 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #2 / time = (1528646707) Sun Jun 10 18:05:07 2018 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Sun Jun 10 18:05:09 2018 xxx.xxx.xxx.xxx:63365 TLS Error: incoming packet authentication failed from [AF_INET]xxx.xxx.xxx.xxx:63365
Sun Jun 10 18:05:10 2018 xxx.xxx.xxx.xxx:63365 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #7 / time = (1528646707) Sun Jun 10 18:05:07 2018 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Sun Jun 10 18:05:10 2018 xxx.xxx.xxx.xxx:63365 TLS Error: incoming packet authentication failed from [AF_INET]xxx.xxx.xxx.xxx:63365
Sun Jun 10 18:05:10 2018 xxx.xxx.xxx.xxx:63365 WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Sun Jun 10 18:05:10 2018 xxx.xxx.xxx.xxx:63365 WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Sun Jun 10 18:05:10 2018xxx.xxx.xxx.xxx:63365 WARNING: cipher with small block size in use, reducing reneg-bytes to 64MB to mitigate SWEET32 attacks.
Sun Jun 10 18:05:10 2018 xxx.xxx.xxx.xxx:63365 [my-client] Peer Connection Initiated with [AF_INET]xxx.xxx.xxx.xxx:63365
Sun Jun 10 18:05:10 2018 my-client/xxx.xxx.xxx.xxx:63365 MULTI_sva: pool returned IPv4=192.168.200.2, IPv6=(Not enabled)
Sun Jun 10 18:05:10 2018 my-client/xxx.xxx.xxx.xxx:63365 send_push_reply(): safe_cap=940
Sun Jun 10 23:09:42 2018 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]xxx.xxx.xxx.xxx:36131
Mon Jun 11 10:42:29 2018 xxx.xxx.xxx.xxx:38406 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #7 / time = (1528706547) Mon Jun 11 10:42:27 2018 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings

Gli errori di cifratura non so quanto possano influire (visto che comunque si connette); però quel TLS?

firewall

Codice: [Seleziona]

config rule
option name 'Allow-OpenVPN-Inbound'
option target 'ACCEPT'
option src '*'
option proto 'tcpudp'
option dest_port '1194'

config zone
option name 'vpnserver'
option network 'vpnserver'
option input 'ACCEPT'
option forward 'REJECT'
option output 'ACCEPT'
option masq '1'

config forwarding
option src 'vpnserver'
option dest 'wan'

config forwarding
option src 'vpnserver'
option dest 'lan'

config forwarding
option src 'lan'
option dest 'vpnserver'

config forwarding
option src 'wan'
option dest 'vpnserver'

Network

Codice: [Seleziona]

config interface 'vpnserver'
    option  ifname      'ovpns0'
    option  proto       'none'
    option  auto        1

openvpn.conf

Codice: [Seleziona]

config openvpn 'vpnserver'
    option  enabled             1
    option  dev_type            'tun'
    option  dev                 'ovpns0'
    option  port                1194
    option  proto               'udp'
 
    option  comp_lzo            'yes'
    option  keepalive           '10 120'
    option  persist_key         1
    option  persist_tun         1
 
    option  ca                  '/etc/openvpn/ca.crt'
    option  cert                '/etc/openvpn/my-server.crt'
    option  key                 '/etc/openvpn/my-server.key'
    option  dh                  '/etc/openvpn/dh2048.pem'
    option  tls_auth            '/etc/openvpn/tls-auth.key 0'
 
    option  mode                'server'
    option  tls_server          '1'
    option  server              '192.168.200.0 255.255.255.0'
    option  topology            'subnet'
    option  route_gateway       'dhcp'
 
    option  client_to_client    '1'
    option log '/tmp/openvpn.log'
 
 
    list    push                'comp-lzo yes'
    list    push                'persist-key'
    list    push                'persist-tun'
    list    push                'topology subnet'
    list    push                'route-gateway dhcp'
    list    push                'redirect-gateway def1'
    list    push                'route 192.168.200.0 255.255.255.0'
    list    push                'dhcp-option DNS 192.168.1.1'

Come vedete la riga "push                'redirect-gateway def1'" era già presente.

Magari lato conf è tutto ok e forse mi veniva in mente che bisogna fare qualche modifica lato router, più precisamente dalla piastrella "Informazioni extra IP", nella quale si dichiarano le regole di instradamento.
Boh

Continuerò a provare.

[roleo]

- no browsing www;

Con questo intendi che vorresti navigare attraverso la vpn? Cioè che tutto il traffico passi attraverso la vpn?
Visto che "redirect-gateway" è a posto e le regole di firewalling ci sono proverei a togliere il push di "topology subnet".

- no browsing in locale (puntando ip interni alla mi rete, sia ip regolari 192.168.1.x sia ip assegnati da vpn 192.168.200.x);

Riesci a pingare l'ip del server vpn?

[Crist]

@roleo sei un grande!

Togliendo quel settaggio va tutto alla grande! Ora lo provo appena esco di casa per la canonica "prova del nove" (chiamate e navigamento random) ma già da qui, in LTE, mi si collega (mantenendo l'IP 192.168.200.2) sia sul web che su Zoiper.

In pratica prima mi si collegava solo fino al server vpn e poi non venivo instradato nel router: mi fermavo lì.

Un consiglio: puoi affiancare, anche semplicemente con un link, la guida nuova OpenWRT sull'installazione vpn alla tua già ottima guida (basata sul precedente riferimento OpenWRT), per chi dovesse incontrare problemi. "Tu is meglie che uan!" (cit.) 
Grazie ancora. 

[yhcim86]

@Crist ho visto che sei riuscito nell'intento della VPN e di far Funzionare il Numero Voip TIM tramite app. android zoiper alla fine riesci a telefonare da rete 4g tramite vpn con il modem di casa???
Se si mi puoi dare una mano cortesemente anche a me?
Grazie mille

[Crist]

Non hai riportato il problema che riscontri.
Come ho già scritto, se hai seguito la procedura di Roleo (che si basa in parte sulla prima/vecchia guida dal sito OpenWRT), devi solo cancellare tutti i file di certificazione creati, il file conf custom della vpn, fermare il servizio vpn e i file certificazione/conf lato client.
Dopo segui la procedura nuova dal sito OpenWRT (link già postato precedentemente), avendo cura alla fine di togliere dal file di conf la riga che si riferisce al push di "topology subnet".
Rifai partire il servizio vpn e non dovresti avere problemi.
In caso dimmi e cercherò di aiutarti.

[yhcim86]

@Crist  io devo fare per la prima volta questa procedura e se non ti dispiace la vorrei fare passo passo con te che sei più esperto.
Semmai Open VPN ha un costo mensile o annuale o è totalmente Free???

[Crist]

Esperto è una parola decisamente grossa...
Considera che anche io la vpn l'ho usata poco in ambito lavorativo (nel 2005 la usavo con il servizio CheckPoint) e non me ne sono mai interessato a fondo perchè non mi serviva in ambito privato.
In questo caso si parla di VPN open, ovvero un server creato sul tuo dispositivo (in questo caso un modem/router); poi ci sono anche quelli a pagamento offerti da varie compagnie, con le più disparate opzioni e combinazioni.
E' gratuito e si basa su uno scambio di certificazioni e chiavi, impostate precedentemente in fase di installazione: quindi niente autenticazione user:pwd "on demand".

Io avevo iniziato con il seguire la guida di Roleo ma non mi funzionava, ovvero non riusciva a raggiungere il mio server vpn sul mio router; il servizio girava regolarmente e le porte erano correttamente settate ma dal mio client sullo smartphone non riuscivo a stabilire il contatto con il server.

Mi stavo abbacchiando quando mi venne in mente che, nella pagina OpenWRT citata da Roleo era presente il link per la nuova guida su OpneVPN. Avevo deciso di dargli una chance.
E iniziando a leggere un po, avevo già individuato il mio problema principale: bisognava settare un DDNS (o usare un IP statico se in uso). Quindi se non disponi di un IP statico, dovrai inscriverti ad un servizio DDNS (io uso No-IP e pago 30 ero l'anno ma puoi usarlo anche gratis con delle limitazioni). In questo modo avrai un DNS con il quale poter raggiungere il tuo modem/router dall'esterno.

Se tu non hai iniziato ad installare nessuno dei programmi utilizzati per la vpn, allora la guida la puoi seguire dall'inizio: https://openwrt.org/docs/guide-user/services/vpn/openvpn/server.setup
Attenzione: controlla di avere i repository settati correttamente su questo sito, per il DGA4310 (ora non ricordo se sulla cartella di Ansuel o Roleo) perchè sulla guida OpenWRT fanno riferimento ai pacchetti generali; ma ogni architettura ha bisogno dei suoi.

Fammi sapere se fin qui è tutto chiaro.

EDIT: Questo il repo https://repository.ilpuntotecnico.com/files/roleo/public/agtef/brcm63xx-tch/packages

[freddy0h]

per usare openvpn client anzichè server, che regole devo inserire su uci? qualcuno di voi ci ha già provato?

[ELGeKo]

Se volessi collegare il mio modem ad una vpn di terze parti, e quindi renderlo un client, in modo da dirottare tutto il traffico, come dovrei fare?

[mavelot]

Devi impostare adeguatamente le regole di routing.

[ELGeKo]

Non c'è qualche tutorial al rigurado?

[graphixillusion]

Mi associo anche io alla richiesta di ElGeko: quali sarebbero gli step e le configurazioni necessarie affinchè il router diventi un router vpn collegandolo ad un servizio di terze parti? Grazie!