IlPuntoTecnico

Hardware e Software => Connessioni ADSL/VDSL/FTTC => Topic aperto da: roleo - 17 Novembre 2017, 12:24

Titolo: OpenVPN su AGTEF/AGTHP
Inserito da: roleo - 17 Novembre 2017, 12:24
Ho scritto questa guida per la configurazione di OpenVPN su AGTEF e AGTHP in modalità routing.
Gli indirizzi usati per la lan sono quelli canonici 192.168.1.x.
Gli indirizzi usati per la rete vpn sono quelli canonici 10.8.0.x.
Pertanto se volete utilizzare i vostri indirizzi dovete modificare gli script che ho postato, soprattutto nella parte firewalling.
In questo esempio non è previsto l'utilizzo di interfacce grafiche (es. Luci), tutta la configurazione è manuale.

Verificare di avere opkg configurato correttamente per accedere al repository
#AGTEF < 1.1.0
https://repository.ilpuntotecnico.com/files/roleo/public/agtef/brcm63xx-tch/packages
#AGTHP < 1.1.0
https://repository.ilpuntotecnico.com/files/roleo/public/agthp/brcm63xx-tch/packages
#AGTEF/AGTHP >= 1.1.0
https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages

ed eseguire un aggiornamento con
Codice: [Seleziona]
opkg update

Se la procedura fallisce a causa di errori openssl eseguire il comando seguente per installare openssl-util:
#AGTEF < 1.1.0
Codice: [Seleziona]
opkg install https://repository.ilpuntotecnico.com/files/roleo/public/agtef/brcm63xx-tch/packages/base/openssl-util_1.0.2n-1_brcm63xx-tch.ipk
#AGTHP < 1.1.0
Codice: [Seleziona]
opkg install https://repository.ilpuntotecnico.com/files/roleo/public/agthp/brcm63xx-tch/packages/base/openssl-util_1.0.2n-1_brcm63xx-tch.ipk
#AGTEF/AGTHP >= 1.1.0
Codice: [Seleziona]
opkg install https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/base/openssl-util_1.0.2q-2_brcm63xx-tch.ipk
e poi riprovare l'aggiornamento.

Sostituire la libreria openssl esistente con la versione 1.0.2n-1 o 1.0.2q-2:
#AGTEF < 1.1.0
Codice: [Seleziona]
opkg remove libopenssl --force-depends
opkg install https://repository.ilpuntotecnico.com/files/roleo/public/agtef/brcm63xx-tch/packages/base/libopenssl_1.0.2n-1_brcm63xx-tch.ipk
#AGTHP < 1.1.0
Codice: [Seleziona]
opkg remove libopenssl --force-depends
opkg install https://repository.ilpuntotecnico.com/files/roleo/public/agthp/brcm63xx-tch/packages/base/libopenssl_1.0.2n-1_brcm63xx-tch.ipk
#AGTEF/AGTHP >= 1.1.0
Codice: [Seleziona]
opkg remove libopenssl --force-depends
opkg install https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/base/libopenssl_1.0.2q-2_brcm63xx-tch.ipk

A questo punto ho seguito la guida che era disponibile all'indirizzo https://openwrt.org/docs/guide-user/services/vpn/openvpn/basic e che ora è cambiata:

Installare openvpn e le relative dipendenze:
Codice: [Seleziona]
opkg install openvpn-openssl openssl-util

Eseguire lo script di generazione delle chiavi:
Codice: [Seleziona]
#!/bin/sh

# Creating Directory Structure
VPN_DIR="/etc/openvpn"
PKI_DIR="$VPN_DIR/ssl"

if [ -d "$PKI_DIR" ]
then
    rm -rf "$PKI_DIR"
fi
mkdir -p "$PKI_DIR"
chmod -R 600 "$PKI_DIR"
cd "$PKI_DIR"
touch index.txt index
echo 1000 > serial
cp -f /etc/ssl/openssl.cnf "$PKI_DIR"

# Customizing openssl.cnf
PKI_CONF="$PKI_DIR/openssl.cnf"

sed -i "
                              s:\\\\:/:g
/^dir/                        s:=.*:= $PKI_DIR:
/^new_certs_dir/              s:=.*:= $PKI_DIR:
/.*Name/                      s:= match:= optional:
/organizationName_default/    s:= .*:= WWW Ltd.:
/stateOrProvinceName_default/ s:= .*:= London:
/countryName_default/         s:= .*:= GB:
/default_days/                s:=.*:= 3650:
/default_bits/                s:=.*:= 4096:
" "$PKI_CONF"

cat << "EOF" >> "$PKI_CONF"
[ vpnserver ]
  keyUsage = digitalSignature, keyEncipherment
  extendedKeyUsage = serverAuth

[ vpnclient ]
  keyUsage = digitalSignature
  extendedKeyUsage = clientAuth
EOF

# Generating Server PSK and CA, Server, & Client Certs
# Generating Certifcate Authority Cert & Key
openssl req -batch -nodes -new -keyout "ca.key" -out "ca.crt" -x509 -config "$PKI_CONF" -days "3650"
# Generating Server Cert & Key
openssl req -batch -nodes -new -keyout "my-server.key" -out "my-server.csr" -subj "/CN=my-server" -config "$PKI_CONF"
# Signing Server Cert
openssl ca  -batch -keyfile "ca.key" -cert "ca.crt" -in "my-server.csr" -out "my-server.crt" -config "$PKI_CONF" -extensions "vpnserver"
# Generating Client Cert & Key
# PASSPHRASE MUST BE SET (4 chars minimum, 16+ chars recommended)
openssl req -batch -nodes -new -keyout "my-client.key" -out "my-client.csr" -subj "/CN=my-client" -config "$PKI_CONF"
# Signing Client Cert
openssl ca  -batch -keyfile "ca.key" -cert "ca.crt" -in "my-client.csr" -out "my-client.crt" -config "$PKI_CONF" -extensions "vpnclient"

# Generating OpenVPN TLS PSK
openvpn --genkey --secret "tls-auth.key"

# Generating Diffie-Hellman Cert
# May take a while to complete (~25m on WRT3200ACM)
openssl dhparam -out "dh2048.pem" 2048

# Correcting Permissions
chmod 600 tls-auth.key dh2048.pem ca.key my-server.key my-client.key

# Copying Certs & Keys to $VPN_DIR
cp tls-auth.key dh2048.pem ca.crt my-server.* my-client.* "$VPN_DIR"

# Returning to initial working directory
cd -

# Done

Eseguire i seguenti comandi uci per impostare la configurazione di openvpn (personalizzate chiaramente ciò che ritenete opportuno):
Codice: [Seleziona]
uci set openvpn.vpnserver='openvpn'
uci set openvpn.vpnserver.enabled='1'
uci set openvpn.vpnserver.dev='tun'
uci set openvpn.vpnserver.proto='udp'
uci set openvpn.vpnserver.port='1194'
uci set openvpn.vpnserver.tls_server='1'
uci set openvpn.vpnserver.mode='server'
uci set openvpn.vpnserver.server='10.8.0.0 255.255.255.0'
uci set openvpn.vpnserver.comp_lzo='yes'
uci set openvpn.vpnserver.keepalive='10 120'
uci set openvpn.vpnserver.persist_key='1'
uci set openvpn.vpnserver.persist_tun='1'
uci set openvpn.vpnserver.cipher='aes-256-cbc'
uci set openvpn.vpnserver.auth='sha256'
uci set openvpn.vpnserver.ca='/etc/openvpn/ca.crt'
uci set openvpn.vpnserver.cert='/etc/openvpn/my-server.crt'
uci set openvpn.vpnserver.key='/etc/openvpn/my-server.key'
uci set openvpn.vpnserver.dh='/etc/openvpn/dh2048.pem'
uci set openvpn.vpnserver.tls_auth='/etc/openvpn/tls-auth.key 0'
uci set openvpn.vpnserver.log='/var/log/openvpn.log'
uci set openvpn.vpnserver.status='/var/log/openvpn-status.log'
uci set openvpn.vpnserver.verb=3
# uci add_list openvpn.vpnserver.push='redirect-gateway def1'
# uci add_list openvpn.vpnserver.push='route-gateway dhcp'
uci add_list openvpn.vpnserver.push='route 192.168.1.0 255.255.255.0'
uci add_list openvpn.vpnserver.push='dhcp-option DNS 208.67.222.222'
uci add_list openvpn.vpnserver.push='dhcp-option DNS 208.67.220.220'

uci commit openvpn

Eseguire openvpn:
Codice: [Seleziona]
/etc/init.d/openvpn enable
/etc/init.d/openvpn start

Creare sul proprio client OpenVPN il file di configurazione come segue:
Codice: [Seleziona]
client
dev tun
proto udp
remote my-server-name 1194
remote-cert-tls server
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert my-client.crt
key my-client.key
tls-auth tls-aut.key
comp-lzo
verb 3
key-direction 1
cipher aes-256-cbc
auth sha256

Nella stessa cartella copiare dal server i file ca.crt, my-client.crt, my-client.key e tls-auth.key
Se preferite avere la configurazione ovpn con le chiavi incorporate per gestire un file solo, usate il seguente script che concatena i file in un file unico.
Codice: [Seleziona]
#!/bin/sh

PKI_DIR="/etc/openvpn"
VPN_SERV="my-server-name"

# Configuration parameters
VPN_PORT="$(uci get openvpn.vpnserver.port)"
VPN_PROTO="$(uci get openvpn.vpnserver.proto)"
VPN_DEV="$(uci get openvpn.vpnserver.dev)"
TLS_KEY="$(sed -e "/^#/d;/^\w/N;s/\n//" "${PKI_DIR}/tls-auth.key")"
CA_CERT="$(openssl x509 -in "${PKI_DIR}/ca.crt")"
NL=$'\n'

VPNC_ID="my-client"
VPNC_CONF="${PKI_DIR}/${VPNC_ID}.ovpn"
VPNC_CONF_2="${PKI_DIR}/${VPNC_ID}_2.ovpn"
VPNC_CERT="$(openssl x509 -in "${PKI_DIR}/${VPNC_ID}.crt")"
VPNC_KEY="$(cat "${PKI_DIR}/${VPNC_ID}.key")"
cat << EOF > "${VPNC_CONF_2}"
client
dev ${VPN_DEV}
proto ${VPN_PROTO}
remote ${VPN_SERV} ${VPN_PORT}
remote-cert-tls server
resolv-retry infinite
nobind
persist-key
persist-tun
#ca ca.crt
#cert my-client.crt
#key my-client.key
#tls-auth tls-aut.key
comp-lzo
verb 3
key-direction 1
cipher aes-256-cbc
auth sha256
<ca>${NL}${CA_CERT}${NL}</ca>
<cert>${NL}${VPNC_CERT}${NL}</cert>
<key>${NL}${VPNC_KEY}${NL}</key>
<tls-auth>${NL}${TLS_KEY}${NL}</tls-auth>
EOF

Eseguire i seguenti comandi uci per impostare l'interfaccia di rete e le regole di firewalling:
Codice: [Seleziona]
uci set network.vpn0=interface
uci set network.vpn0.ifname=tun0
uci set network.vpn0.proto=none
uci set network.vpn0.auto=1

uci set firewall.Allow_OpenVPN_Inbound=rule
uci set firewall.Allow_OpenVPN_Inbound.target=ACCEPT
uci set firewall.Allow_OpenVPN_Inbound.src=*
uci set firewall.Allow_OpenVPN_Inbound.proto=udp
uci set firewall.Allow_OpenVPN_Inbound.dest_port=1194

uci set firewall.vpn=zone
uci set firewall.vpn.name=vpn
uci set firewall.vpn.network=vpn0
uci set firewall.vpn.input=ACCEPT
uci set firewall.vpn.forward=REJECT
uci set firewall.vpn.output=ACCEPT
uci set firewall.vpn.masq=1

uci set firewall.vpn_forwarding_lan_in=forwarding
uci set firewall.vpn_forwarding_lan_in.src=vpn
uci set firewall.vpn_forwarding_lan_in.dest=lan

uci set firewall.vpn_forwarding_lan_out=forwarding
uci set firewall.vpn_forwarding_lan_out.src=lan
uci set firewall.vpn_forwarding_lan_out.dest=vpn

uci commit network
/etc/init.d/network reload
uci commit firewall
/etc/init.d/firewall reload

A questo punto non resta che testare la connessione per verificare che funzioni.

Mi sono poi accorto che, una volta connesso, riuscivo ad accedere solo al router.
Quindi ho dovuto aggiungere una regola di firewalling per accedere anche a tutta la LAN 192.168.1.x.
Ecco la regola:
Codice: [Seleziona]
uci set firewall.vpn_snat_lan_out=redirect
uci set firewall.vpn_snat_lan_out.src=vpn
uci set firewall.vpn_snat_lan_out.dest=lan
uci set firewall.vpn_snat_lan_out.src_ip=10.8.0.0/24
uci set firewall.vpn_snat_lan_out.src_dip=192.168.1.1
uci set firewall.vpn_snat_lan_out.proto=all
uci set firewall.vpn_snat_lan_out.target=SNAT

uci commit firewall
/etc/init.d/firewall reload

- EDIT -

Se volete che anche il traffico internet del client passi per la vpn leggete qualche post più avanti:
https://www.ilpuntotecnico.com/forum/index.php/topic,77856.msg223384.html#msg223384

- AGGIORNAMENTO 17/01/2018 -

Inserita compatibilità AGTHP.

- AGGIORNAMENTO 13/07/2018 -

Inserita nuova procedura di generazione delle chiavi.

- AGGIORNAMENTO 03/01/2019 -

Modifica algoritmo e bug-fixing.

- AGGIORNAMENTO 25/04/2019 -

Aggiornamento script di generazione dei certificati.
Titolo: Re:OpenVPN su AGTEF
Inserito da: -Mirco- - 17 Novembre 2017, 12:29
Ottimo, appena ho modo di testarla ti fornisco feedback  :bravo:
Titolo: Re:OpenVPN su AGTEF
Inserito da: nclmrc - 18 Novembre 2017, 09:49
provata la guida, installato client su android, mi rimane però fermo su waiting for server. Come mai secondo voi non raggiunge il server?
Titolo: Re:OpenVPN su AGTEF
Inserito da: roleo - 18 Novembre 2017, 11:36
Qual è la tua configurazione?
L'AGTEF è router adsl o in cascata a un altro router?
Hai configurato un ddns o punti all'ip?
Titolo: Re:OpenVPN su AGTEF
Inserito da: nclmrc - 18 Novembre 2017, 11:39
Qual è la tua configurazione?
L'AGTEF è router adsl o in cascata a un altro router?
Hai configurato un ddns o punti all'ip?
È configurato da modem/router. Ho un ip statico ma ugualmente ho associato un ddns.  Nel file ho provato sia con ip sia ddns.
Titolo: Re:OpenVPN su AGTEF
Inserito da: roleo - 18 Novembre 2017, 12:01
Io purtroppo non ce l'ho configurato nello stesso modo quindi faccio fatica a esserti d'aiuto.
Prova a postare il log del client.
Titolo: Re:OpenVPN su AGTEF
Inserito da: nclmrc - 18 Novembre 2017, 15:29
Io purtroppo non ce l'ho configurato nello stesso modo quindi faccio fatica a esserti d'aiuto.
Prova a postare il log del client.
ti ho mandato un MP
Titolo: Re:OpenVPN su AGTEF
Inserito da: Diavulrus - 18 Novembre 2017, 20:53
La vpn funziona alla grande, grazie @roleo  !!!
Il tunnel va su, la connessione è instaurata e riesco a pingare anche le altre macchine presenti nella rete del modem, la mia domanda è che regole devo impostare al firewall per poter utilizzare anche internet attraverso la vpn?
Titolo: Re:OpenVPN su AGTEF
Inserito da: roleo - 18 Novembre 2017, 21:17
@Diavulrus prova a mettere questa rotta in più nella configurazione del server:
Codice: [Seleziona]
push "redirect-gateway def1"
Titolo: Re:OpenVPN su AGTEF
Inserito da: nclmrc - 18 Novembre 2017, 21:57
Prova a mettere questa rotta in più nella configurazione del server:
Codice: [Seleziona]
push "redirect-gateway def1"
Per chi era questo messaggio?
Titolo: Re:OpenVPN su AGTEF
Inserito da: DavideRodeo - 18 Novembre 2017, 23:28
Una curiosità
Codice: [Seleziona]
build-dhma questo comando quando tempo ci mette a completarsi?
Titolo: Re:OpenVPN su AGTEF
Inserito da: nclmrc - 18 Novembre 2017, 23:30
Una curiosità
Codice: [Seleziona]
build-dhma questo comando quando tempo ci mette a completarsi?
Una mezzora
Titolo: Re:OpenVPN su AGTEF
Inserito da: Diavulrus - 18 Novembre 2017, 23:55
@Diavulrus prova a mettere questa rotta in più nella configurazione del server:
Codice: [Seleziona]
push "redirect-gateway def1"
Aggiunta la rotta ma non è cambiato nulla, penso che il problema sia che non si crei il bridge tra vpn e wan... Tra poco provo a dare qualche comando simile a quelli che ci sono nel primo post cambiando il nome di interfaccia di destinazione e provenienza poi ti faccio sapere

----EDIT----

Ho risolto impostando il forward oltre che della LAN anche della WAN e ora funziona tutto.
Ecco i comandi:
Codice: [Seleziona]
uci set firewall.vpn_forwarding_wan_in=forwarding
uci set firewall.vpn_forwarding_wan_in.src=vpn
uci set firewall.vpn_forwarding_wan_in.dest=wan

uci set firewall.vpn_forwarding_wan_out=forwarding
uci set firewall.vpn_forwarding_wan_out.src=wan
uci set firewall.vpn_forwarding_wan_out.dest=vpn

uci commit network
/etc/init.d/network reload
uci commit firewall
/etc/init.d/firewall reload

Grazie ancora per la guida!!  :rock:
Titolo: Re:OpenVPN su AGTEF
Inserito da: DavideRodeo - 19 Novembre 2017, 00:34
Funziona  :good: anche grazie all'intervento di @Diavulrus . Comunque per il voip mi fa registrare l'applicazione ma quando cerco di chiamare non parte la chiamate  :lolz:
Titolo: Re:OpenVPN su AGTEF
Inserito da: ^NiCo^ - 19 Novembre 2017, 05:04
Mitico @roleo (ho ancora 1 aga con il tuo fw usr era una bomba)
Due domande niubbe, sarebbe possibile fare uno scriptino che fà tutta questa roba giusto ? tipo questo (credo sia in python) per rpi

Codice: [Seleziona]
apt_update: true
packages:
  - openvpn
  - easy-rsa
  - curl
runcmd:
  - IPADDR=$(curl -s http://169.254.169.254/metadata/v1/interfaces/public/0/ipv4/address)
  - gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz > /etc/openvpn/server.conf
  - sed -i -e 's/dh dh1024.pem/dh dh2048.pem/' /etc/openvpn/server.conf
  - sed -i -e 's/;push "redirect-gateway def1 bypass-dhcp"/push "redirect-gateway def1 bypass-dhcp"/' /etc/openvpn/server.conf
  - sed -i -e 's/;push "dhcp-option DNS 208.67.222.222"/push "dhcp-option DNS 208.67.222.222"/' /etc/openvpn/server.conf
  - sed -i -e 's/;push "dhcp-option DNS 208.67.220.220"/push "dhcp-option DNS 208.67.220.220"/' /etc/openvpn/server.conf
  - sed -i -e 's/;user nobody/user nobody/' /etc/openvpn/server.conf
  - sed -i -e 's/;group nogroup/group nogroup/' /etc/openvpn/server.conf
  - echo 1 > /proc/sys/net/ipv4/ip_forward
  - sed -i -e 's/#net.ipv4.ip_forward=1/net.ipv4.ip_forward=1/' /etc/sysctl.conf
  - ufw allow ssh
  - ufw allow 1194/udp
  - sed -i -e 's/DEFAULT_FORWARD_POLICY="DROP"/DEFAULT_FORWARD_POLICY="ACCEPT"/' /etc/default/ufw
  - sed -i "1i# START OPENVPN RULES\n# NAT table rules\n*nat\n:POSTROUTING ACCEPT [0:0]\n# Allow traffic from OpenVPN client to eth0\n\n-A POSTROUTING -s 10.8.0.0/8 -o eth0 -j MASQUERADE\nCOMMIT\n# END OPENVPN RULES\n" /etc/ufw/before.rules
  - ufw --force enable

  - cp -r /usr/share/easy-rsa/ /etc/openvpn
  - mkdir /etc/openvpn/easy-rsa/keys
  - sed -i -e 's/KEY_NAME="EasyRSA"/KEY_NAME="server"/' /etc/openvpn/easy-rsa/vars
  - openssl dhparam -out /etc/openvpn/dh2048.pem 2048
  - cd /etc/openvpn/easy-rsa && . ./vars
  # Optionally set indentity information for certificates:
  # - export KEY_COUNTRY="<%COUNTRY%>" # 2-char country code
  # - export KEY_PROVINCE="<%PROVINCE%>" # 2-char state/province code
  # - export KEY_CITY="<%CITY%>" # City name
  # - export KEY_ORG="<%ORG%>" # Org/company name
  # - export KEY_EMAIL="<%EMAIL%>" # Email address
  # - export KEY_OU="<%ORG_UNIT%>" # Orgizational unit / department
  - cd /etc/openvpn/easy-rsa && ./clean-all
  - cd /etc/openvpn/easy-rsa && ./build-ca --batch
  - cd /etc/openvpn/easy-rsa && ./build-key-server --batch server
  - cp /etc/openvpn/easy-rsa/keys/server.crt /etc/openvpn
  - cp /etc/openvpn/easy-rsa/keys/server.key /etc/openvpn
  - cp /etc/openvpn/easy-rsa/keys/ca.crt /etc/openvpn
  - service openvpn start

  - cd /etc/openvpn/easy-rsa && ./build-key --batch client1
  - cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/easy-rsa/keys/client.ovpn
  - sed -i -e "s/my-server-1/$IPADDR/" /etc/openvpn/easy-rsa/keys/client.ovpn
  - sed -i -e 's/;user nobody/user nobody/' /etc/openvpn/easy-rsa/keys/client.ovpn
  - sed -i -e 's/;group nogroup/group nogroup/' /etc/openvpn/easy-rsa/keys/client.ovpn
  - sed -i -e 's/ca ca.crt//' /etc/openvpn/easy-rsa/keys/client.ovpn
  - sed -i -e 's/cert client.crt//' /etc/openvpn/easy-rsa/keys/client.ovpn
  - sed -i -e 's/key client.key//' /etc/openvpn/easy-rsa/keys/client.ovpn
  - echo "<ca>" >> /etc/openvpn/easy-rsa/keys/client.ovpn
  - cat /etc/openvpn/ca.crt >> /etc/openvpn/easy-rsa/keys/client.ovpn
  - echo "</ca>" >> /etc/openvpn/easy-rsa/keys/client.ovpn
  - echo "<cert>" >> /etc/openvpn/easy-rsa/keys/client.ovpn
  - openssl x509 -outform PEM -in /etc/openvpn/easy-rsa/keys/client1.crt >> /etc/openvpn/easy-rsa/keys/client.ovpn
  - echo "</cert>" >> /etc/openvpn/easy-rsa/keys/client.ovpn
  - echo "<key>" >> /etc/openvpn/easy-rsa/keys/client.ovpn
  - cat /etc/openvpn/easy-rsa/keys/client1.key >> /etc/openvpn/easy-rsa/keys/client.ovpn
  - echo "</key>" >> /etc/openvpn/easy-rsa/keys/client.ovpn

  - cp /etc/openvpn/easy-rsa/keys/client.ovpn /root/
  - cp /etc/openvpn/easy-rsa/keys/client1.crt /root/
  - cp /etc/openvpn/easy-rsa/keys/client1.key /root/
  - cp /etc/openvpn/easy-rsa/keys/ca.crt /root/

E invece che aspettare mezzora per i certificati fatti dal modem non possiamo farli da pc e buttare sul modem i suoi ?
Titolo: Re:OpenVPN su AGTEF
Inserito da: roleo - 19 Novembre 2017, 08:49
Aggiunta la rotta ma non è cambiato nulla, penso che il problema sia che non si crei il bridge tra vpn e wan...

Se aggiungi le regole di firewalling senza la rotta "redirect-gateway def1" funziona oppure sono necessarie entrambe le cose?

@^NiCo^
Immagino che uno script si possa fare. Ma le variabili sono tante per cui bisogna fare un bel lavoro. Se ci sono volontari...
Per quanto riguarda la generazione dei certificati è possibile generarli su un PC, io le prime volte ho fatto così.
Titolo: Re:OpenVPN su AGTEF
Inserito da: Diavulrus - 19 Novembre 2017, 11:55
Se aggiungi le regole di firewalling senza la rotta "redirect-gateway def1" funziona oppure sono necessarie entrambe le cose?

Ho provato a commentare la rotta e con le regole di firewalling impostate internet funziona comunque.
Io la regola la lascio comunque con l'opzione bypass-dhcp perché la rete da cui mi connetto solitamente utilizza la stessa subnet della mia LAN ma, salvo esigenze particolari, non dovrebbe creare problemi il non averla.
Titolo: Re:OpenVPN su AGTEF
Inserito da: aezakmi123 - 19 Novembre 2017, 23:20
Ho seguito passo passo la guida ma non riesco a connettermi, qualcuno può aiutarmi?
I log
Codice: [Seleziona]
Sun Nov 19 23:01:23 2017 OpenVPN 2.4.4 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Sep 26 2017
Sun Nov 19 23:01:23 2017 Windows version 6.2 (Windows 8 or greater) 64bit
Sun Nov 19 23:01:23 2017 library versions: OpenSSL 1.0.2l  25 May 2017, LZO 2.10
Enter Management Password:
Sun Nov 19 23:01:23 2017 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25341
Sun Nov 19 23:01:23 2017 Need hold release from management interface, waiting...
Sun Nov 19 23:01:23 2017 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25341
Sun Nov 19 23:01:24 2017 MANAGEMENT: CMD 'state on'
Sun Nov 19 23:01:24 2017 MANAGEMENT: CMD 'log all on'
Sun Nov 19 23:01:24 2017 MANAGEMENT: CMD 'echo all on'
Sun Nov 19 23:01:24 2017 MANAGEMENT: CMD 'hold off'
Sun Nov 19 23:01:24 2017 MANAGEMENT: CMD 'hold release'
Sun Nov 19 23:01:24 2017 MANAGEMENT: >STATE:1511128884,RESOLVE,,,,,,
Sun Nov 19 23:01:24 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]87.10.127.95:1194
Sun Nov 19 23:01:24 2017 Socket Buffers: R=[65536->65536] S=[65536->65536]
Sun Nov 19 23:01:24 2017 UDP link local: (not bound)
Sun Nov 19 23:01:24 2017 UDP link remote: [AF_INET]87.10.127.95:1194
Sun Nov 19 23:01:24 2017 MANAGEMENT: >STATE:1511128884,WAIT,,,,,,
Sun Nov 19 23:02:24 2017 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun Nov 19 23:02:24 2017 TLS Error: TLS handshake failed
Sun Nov 19 23:02:24 2017 SIGUSR1[soft,tls-error] received, process restarting
Sun Nov 19 23:02:24 2017 MANAGEMENT: >STATE:1511128944,RECONNECTING,tls-error,,,,,
Sun Nov 19 23:02:24 2017 Restart pause, 5 second(s)
Sun Nov 19 23:02:29 2017 MANAGEMENT: >STATE:1511128949,RESOLVE,,,,,,
Sun Nov 19 23:02:29 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]87.10.127.95:1194
Sun Nov 19 23:02:29 2017 Socket Buffers: R=[65536->65536] S=[65536->65536]
Sun Nov 19 23:02:29 2017 UDP link local: (not bound)
Sun Nov 19 23:02:29 2017 UDP link remote: [AF_INET]87.10.127.95:1194
Sun Nov 19 23:02:29 2017 MANAGEMENT: >STATE:1511128949,WAIT,,,,,,

Ho anche provato seguendo questo post
Citazione
Ho risolto impostando il forward oltre che della LAN anche della WAN e ora funziona tutto.
Ecco i comandi:
Codice: [Seleziona]
uci set firewall.vpn_forwarding_wan_in=forwarding
uci set firewall.vpn_forwarding_wan_in.src=vpn
uci set firewall.vpn_forwarding_wan_in.dest=wan

uci set firewall.vpn_forwarding_wan_out=forwarding
uci set firewall.vpn_forwarding_wan_out.src=wan
uci set firewall.vpn_forwarding_wan_out.dest=vpn

uci commit network
/etc/init.d/network reload
uci commit firewall
/etc/init.d/firewall reload
Titolo: Re:OpenVPN su AGTEF
Inserito da: roleo - 20 Novembre 2017, 09:19
https://openvpn.net/index.php/open-source/faq/79-client/253-tls-error-tls-key-negotiation-failed-to-occur-within-60-seconds-check-your-network-connectivity.html
Titolo: Re:OpenVPN su AGTEF
Inserito da: nclmrc - 20 Novembre 2017, 13:52
@roleo c'e un errore nel codice quando copia i certificati in /etc/openvpn/keys. Manca keys
cp /etc/easy-rsa/keys/ca.crt /etc/easy-rsa/keys/my-server.* /etc/easy-rsa/keys/dh2048.pem /etc/openvpn
cp /etc/easy-rsa/keys/ca.crt /etc/easy-rsa/keys/my-server.* /etc/easy-rsa/keys/dh2048.pem /etc/openvpn/keys
Titolo: Re:OpenVPN su AGTEF
Inserito da: gianluigi84 - 24 Novembre 2017, 07:45
Ciao a tutti, sono riuscito a configurare il tutto ma ho un piccolo problema. In pratica quando sono fuori casa e mi collego dal cellulare in 4g se controllo l'ip pubblico del cellulare in quel momento risulta quello del provider mobile e non quello del router, suggerimenti? Grazie
Titolo: Re:OpenVPN su AGTEF
Inserito da: roleo - 24 Novembre 2017, 09:45
@nclmrc
Sistemato grazie.

Ciao a tutti, sono riuscito a configurare il tutto ma ho un piccolo problema. In pratica quando sono fuori casa e mi collego dal cellulare in 4g se controllo l'ip pubblico del cellulare in quel momento risulta quello del provider mobile e non quello del router, suggerimenti? Grazie

Nella configurazione base che ho fatto al primo post, solo il traffico della sottorete 192.168.1.x passa per la vpn.
Il traffico internet va diretto.
Leggi i post successivi sempre in prima pagina.

Titolo: Re:OpenVPN su AGTEF
Inserito da: gianluigi84 - 24 Novembre 2017, 16:32
Nella configurazione base che ho fatto al primo post, solo il traffico della sottorete 192.168.1.x passa per la vpn.
Il traffico internet va diretto.
Leggi i post successivi sempre in prima pagina.

Ciao roleo, si ho letto ma non c'è modo per far passare tutto dalla vpn?
Grazie :)
Titolo: Re:OpenVPN su AGTEF
Inserito da: roleo - 24 Novembre 2017, 16:39
Ciao roleo, si ho letto ma non c'è modo per far passare tutto dalla vpn?
Grazie :)

Appunto, c'è scritto nella prima pagina.
Titolo: Re:OpenVPN su AGTEF
Inserito da: gianluigi84 - 24 Novembre 2017, 19:28
Appunto, c'è scritto nella prima pagina.

Si, l'errore che facevo era quello di aggiungere la riga push "redirect-gateway def1" al file sbagliato, ovvero /etc/config/openvpn. Il file da modificare invece è /etc/openvpn/my-vpn.conf

Se dovesse tornare utile a qualcuno per navigare su internet con l'ip del router la procedura è:

Codice: [Seleziona]
echo "push "redirect-gateway def1"" >>/etc/openvpn/my-vpn.conf
uci set firewall.vpn_forwarding_wan_in=forwarding
uci set firewall.vpn_forwarding_wan_in.src=vpn
uci set firewall.vpn_forwarding_wan_in.dest=wan

uci set firewall.vpn_forwarding_wan_out=forwarding
uci set firewall.vpn_forwarding_wan_out.src=wan
uci set firewall.vpn_forwarding_wan_out.dest=vpn

uci commit network
/etc/init.d/network reload
uci commit firewall
/etc/init.d/firewall reload


 ;)
Titolo: Re:OpenVPN su AGTEF
Inserito da: puandr - 01 Dicembre 2017, 16:14
La seguente è un'interessante applicazione risultante dall'aver installato OpenVPN sul modem DGA.

La portabilità del numero fisso sullo smartphone:
https://youtu.be/GLBi0r-tNBk (https://youtu.be/GLBi0r-tNBk)

Titolo: Re:OpenVPN su AGTEF
Inserito da: aezakmi123 - 02 Dicembre 2017, 16:42
È da un po' che sto cercando di farlo funzionare, ho provato anche a generare i certificati da PC e importarli sul router. Su Ubuntu sono riuscito a configurarlo e connettermi ad OpenVPN senza problemi mentre sullo scolapasta quando cerco di connettermi rimane in waiting for server e di conseguenza connection timeout
La mia rete lan è 192.168.1.1 perciò non ho modificato i comandi da dare

L'unica cosa che ho fatto è stato modificare nel file per il client
remote my-server-name 1194     con il DDNS e aggiungere i certificati e key nella stessa cartella

Sbaglio qualcosa?
Titolo: Re:OpenVPN su AGTEF
Inserito da: Diavulrus - 02 Dicembre 2017, 19:21
....
Sbaglio qualcosa?

Dovresti  provare a postare il log del client (oscurando le informazioni sensibili) e da lì si può iniziare a capire cosa non funziona
Titolo: Re:OpenVPN su AGTEF
Inserito da: aezakmi123 - 02 Dicembre 2017, 20:08
Dopo un pomeriggio proprio grazie ai log sono riuscito a capire il problema, era la chiave  :facepalm:
Titolo: Re:OpenVPN su AGTEF
Inserito da: eeye13 - 11 Dicembre 2017, 13:57
salve, ho provato a configurare OpenVPN ma dal cellulare non riesce a connettersi alla vpn. vi posto i log:

Codice: [Seleziona]
Client:
2017-12-11 13:52:22 ----- OpenVPN Start -----
OpenVPN core 3.1.2 ios arm64 64-bit built on Dec  5 2016 12:50:25
2017-12-11 13:52:22 Frame=512/2048/512 mssfix-ctrl=1250
2017-12-11 13:52:22 UNUSED OPTIONS
4 [resolv-retry] [infinite]
5 [nobind]
6 [persist-key]
7 [persist-tun]
13 [verb] [3]

2017-12-11 13:52:22 EVENT: RESOLVE
2017-12-11 13:52:22 Contacting 79.12.xxx.xxx:1194 via UDP
2017-12-11 13:52:22 EVENT: WAIT
2017-12-11 13:52:22 SetTunnelSocket returned 1
2017-12-11 13:52:22 Connecting to [mioddns.ddns.net]:1194 (79.12.xxx.xxx) via UDPv4
2017-12-11 13:52:23 NET Internet:ReachableViaWWAN/WR t------
2017-12-11 13:52:32 Server poll timeout, trying next remote entry...
2017-12-11 13:52:32 EVENT: RECONNECTING
2017-12-11 13:52:32 EVENT: RESOLVE
2017-12-11 13:52:32 Contacting 79.12.xxx.xxx:1194 via UDP
2017-12-11 13:52:32 EVENT: WAIT
2017-12-11 13:52:32 SetTunnelSocket returned 1
2017-12-11 13:52:32 Connecting to [mioddns.ddns.net]:1194 (79.12.xxx.xxx) via UDPv4
2017-12-11 13:52:42 Server poll timeout, trying next remote entry...
2017-12-11 13:52:42 EVENT: RECONNECTING
2017-12-11 13:52:42 EVENT: RESOLVE
2017-12-11 13:52:42 Contacting 79.12.xxx.xxx:1194 via UDP
2017-12-11 13:52:42 EVENT: WAIT
2017-12-11 13:52:42 SetTunnelSocket returned 1
2017-12-11 13:52:42 Connecting to [mioddns.ddns.net]:1194 (79.12.xxx.xxx) via UDPv4
2017-12-11 13:52:52 Server poll timeout, trying next remote entry...
2017-12-11 13:52:52 EVENT: RECONNECTING
2017-12-11 13:52:52 EVENT: RESOLVE
2017-12-11 13:52:52 Contacting 79.12.xxx.xxx:1194 via UDP
2017-12-11 13:52:52 EVENT: WAIT
2017-12-11 13:52:52 SetTunnelSocket returned 1
2017-12-11 13:52:52 Connecting to [mioddns.ddns.net]:1194 (79.12.xxx.xxx) via UDPv4
2017-12-11 13:53:02 Server poll timeout, trying next remote entry...
2017-12-11 13:53:02 EVENT: RECONNECTING
2017-12-11 13:53:02 EVENT: RESOLVE
2017-12-11 13:53:02 Contacting 79.12.xxx.xxx:1194 via UDP
2017-12-11 13:53:02 EVENT: WAIT
2017-12-11 13:53:02 SetTunnelSocket returned 1
2017-12-11 13:53:02 Connecting to [mioddns.ddns.net]:1194 (79.12.xxx.xxx) via UDPv4
2017-12-11 13:53:12 Server poll timeout, trying next remote entry...
2017-12-11 13:53:12 EVENT: RECONNECTING
2017-12-11 13:53:12 EVENT: RESOLVE
2017-12-11 13:53:12 Contacting 79.12.xxx.xxx:1194 via UDP
2017-12-11 13:53:12 EVENT: WAIT
2017-12-11 13:53:12 SetTunnelSocket returned 1
2017-12-11 13:53:12 Connecting to [mioddns.ddns.net]:1194 (79.12.xxx.xxx) via UDPv4
2017-12-11 13:53:22 EVENT: CONNECTION_TIMEOUT [ERR]
2017-12-11 13:53:22 EVENT: DISCONNECTED
2017-12-11 13:53:22 Raw stats on disconnect:
  BYTES_OUT : 840
  PACKETS_OUT : 60
  CONNECTION_TIMEOUT : 1
  N_RECONNECT : 5
2017-12-11 13:53:22 Performance stats on disconnect:
  CPU usage (microseconds): 49642
  Network bytes per CPU second: 16921
  Tunnel bytes per CPU second: 0
2017-12-11 13:53:22 EVENT: DISCONNECT_PENDING
2017-12-11 13:53:22 ----- OpenVPN Stop -----

Server:
Mon Dec 11 13:52:11 2017 OpenVPN 2.3.18 arm-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Nov 23 2017
Mon Dec 11 13:52:11 2017 library versions: OpenSSL 1.0.2m  2 Nov 2017, LZO 2.10
Mon Dec 11 13:52:11 2017 TUN/TAP device tun0 opened
Mon Dec 11 13:52:11 2017 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Mon Dec 11 13:52:11 2017 /sbin/ifconfig tun0 10.8.0.1 pointopoint 10.8.0.2 mtu 1500
Mon Dec 11 13:52:11 2017 GID set to nogroup
Mon Dec 11 13:52:11 2017 UID set to nobody
Mon Dec 11 13:52:11 2017 UDPv4 link local (bound): [undef]
Mon Dec 11 13:52:11 2017 UDPv4 link remote: [undef]
Mon Dec 11 13:52:11 2017 Initialization Sequence Completed

Idee? Grazie!
Titolo: Re:OpenVPN su AGTEF
Inserito da: MisterFTTH - 11 Dicembre 2017, 14:08
@eeye13 quando riporti un lungo testo stile log o simile utilizza sempre il tag "code" o "spoiler" per appesantire meno la pagina

La connessione ti va in timeout soltanto da client cell? Ovviamente hai aperto sul router la porta UDP 1194 giusto? Non è che il server ti sta girando sulla 1194 TCP?
Titolo: Re:OpenVPN su AGTEF
Inserito da: eeye13 - 11 Dicembre 2017, 15:00
@eeye13 quando riporti un lungo testo stile log o simile utilizza sempre il tag "code" o "spoiler" per appesantire meno la pagina

La connessione ti va in timeout soltanto da client cell? Ovviamente hai aperto sul router la porta UDP 1194 giusto? Non è che il server ti sta girando sulla 1194 TCP?

il server gira su 1194 udp, l'unico dubbio che mi viene che ho aperto in modo non corretto la porta:

servizio OpenVPN
protocollo UDP
porta wan: 1194
porta lan: 1194
mac di destinazione: quello del router

è esatto?

Edit: ho fatto un port scan sulla 1194

Host is up.

PORT     STATE         SERVICE

1194/tcp filtered      openvpn

1194/udp open|filtered openvpn
Titolo: Re:OpenVPN su AGTEF
Inserito da: aezakmi123 - 14 Dicembre 2017, 14:47
@eeye13 posta i log del server

/var/log/openvpn-status.log
/var/log/openvpn.log
Titolo: Re:OpenVPN su AGTEF
Inserito da: eeye13 - 14 Dicembre 2017, 22:32
@eeye13 posta i log del server

/var/log/openvpn-status.log
/var/log/openvpn.log

openvpn.log:

[ You must login or register to view this spoiler! ]

openvpn-status.log:

[ You must login or register to view this spoiler! ]
Titolo: Re:OpenVPN su AGTEF
Inserito da: aezakmi123 - 15 Dicembre 2017, 00:29
@eeye13 il log è pulito, potresti provare prima a connetterti e poi mandare il log
Basta /var/log/openvpn.log

La prova la devi fare con un'altra connessione, per esempio il 4G del cellulare
Connettendoti alla VPN con la stessa connessione (sotto la stessa rete WiFi) non funziona
Titolo: Re:OpenVPN su AGTEF
Inserito da: eeye13 - 15 Dicembre 2017, 00:55
Ho provato usando il 4g dal cell ovviamente, è come se il server non rispondesse perché nel log non appare nulla quando provo a connettermi ed openvpn su cell mi da "connection timeout". Ho anche provato a cambiare ed aprire una porta diversa (9201) ma niente, non si collega.
Titolo: Re:OpenVPN su AGTEF
Inserito da: aezakmi123 - 15 Dicembre 2017, 01:09
Anche io avevo il problema "connection timeout" e controllando i log (del server) ho visto che era dovuto alla chiave/certificati
Perciò la causa può non essere collegata alla porta
Non ho in mente altre soluzioni, se hai voglia resetta e riprova da capo. So quanto può essere frustrante dato che ci ho buttato giorni prima di farlo funzionare >:(
Titolo: Re:OpenVPN su AGTEF
Inserito da: eeye13 - 15 Dicembre 2017, 16:31
ho fatto una prova reinstallando tutto da capo e provando a connettermi usando il pc (non in wifi ovviamente) sono giunto alla conclusione che la vpn non è raggiungibile perchè nemmeno dal pc si collega.
ho impostato il port forwarding su 1194 con protocollo udp e mac di destinazione quello del router, ho copiato ed eseguito i comandi della guida per impostare il routing. idee?
Titolo: Re:OpenVPN su AGTEF
Inserito da: Diavulrus - 16 Dicembre 2017, 12:04
Sul client usi un file di configurazione o importi i certificati manualmente?
Titolo: Re:OpenVPN su AGTEF
Inserito da: eeye13 - 17 Dicembre 2017, 14:05
sul client (iOS) importo con iTunes il file ovpn, ca, client crt e key. Provato anche su pc con openvpn mettendo conf e chiavi nella cartella config, ugualmente non si collega. Guardando i log del server non c'è proprio nessun tentativo di connessione del client
Titolo: Re:OpenVPN su AGTEF
Inserito da: eeye13 - 17 Dicembre 2017, 19:42
facendo qualche prova, paradossalmente, si collega alla VPN se sono connesso alla stessa rete, dall'esterno invece non è raggiungibile la VPN e non riesco a capire perchè, ho impostato la porta UDP 1194 e le regole del firewall.. boooooh!

firewall
[ You must login or register to view this spoiler! ]

network
[ You must login or register to view this spoiler! ]

file config server
[ You must login or register to view this spoiler! ]

log server
[ You must login or register to view this spoiler! ]

openvpn-status
[ You must login or register to view this spoiler! ]
Titolo: Re:OpenVPN su AGTEF
Inserito da: fedfed - 19 Dicembre 2017, 00:32
Salve ragazzi,

Sto provando a mettere la VPN sul mio DGA ma sono bloccato qua in build-key-pkcs12 my-client. Ecco cosa mi restituisce:
Codice: [Seleziona]
Sign the certificate? [y/n]:y
failed to update database
TXT_DB error number 2
Cosa ho sbagliato? :facepalm:

EDIT: Risolto, avevo messo il common-name uguale sia per il server che per il client.

@aezakmi123 Anche io ho lo stesso tuo problema TLS. Come hai risolto alla fine?
Tra l'altro se avvio OpenVPN internamente, dà questo problema.
Se invece avvio OpenVPN con un'altra rete, si collega senza nessun problema ma è come se la VPN non fosse attiva...
Titolo: Re:OpenVPN su AGTEF
Inserito da: aezakmi123 - 19 Dicembre 2017, 19:09
@fedfed in che senso
Citazione
si collega senza nessun problema ma è come se la VPN non fosse attiva
È normale che non funzioni con la stessa connessione
Titolo: Re:OpenVPN su AGTEF
Inserito da: fedfed - 19 Dicembre 2017, 20:44
@aezakmi123 in grassetto l'errore che anche tu avevi avuto. Ti volevo chiedere come avevi risolto...
[ You must login or register to view this spoiler! ]
Mi spiego meglio.
Praticamente se utilizzo la connessione locale (IP 213....) mi restituisce questo errore.

EDIT: Funziona dall'esterno! Ce l'ho fatta! E' accessibile dall'esterno ma soltanto il modem e HD collegato al modem, la Wan no. Riprovo via putty le regole firewall.
Titolo: Re:OpenVPN su AGTEF
Inserito da: eeye13 - 19 Dicembre 2017, 22:30
sono l'unico che non riesce a farla partire questa vpn a quanto pare  :D
Titolo: Re:OpenVPN su AGTEF
Inserito da: fedfed - 19 Dicembre 2017, 22:52
@eeye13 eeh guarda non è facile soprattutto per me che è un argomento nuovo.
Fammi capire bene come si fa (quando finalmente tutto funzionerà) e poi se posso, ti aiuterò!
Titolo: Re:OpenVPN su AGTEF
Inserito da: fedfed - 21 Dicembre 2017, 12:49
Bene, ce l'ho fatta anche io ad installare la VPN sia sul PC che sul telefono e mi han dato non poche noie per cose banali (es. disinstallare app e rimetterla, riavviare modem ecc..)

Un grazie a tutti voi per la guida e per i preziosi suggerimenti!
Titolo: Re:OpenVPN su AGTEF
Inserito da: puandr - 21 Dicembre 2017, 22:53
@roleo, potresti aggiornare la libreria openssl alla 1.0.2n?
https://www.openssl.org/news/secadv/20171207.txt
Titolo: Re:OpenVPN su AGTEF
Inserito da: reds - 09 Gennaio 2018, 23:08
La seguente è un'interessante applicazione risultante dall'aver installato OpenVPN sul modem DGA.

La portabilità del numero fisso sullo smartphone:
https://youtu.be/GLBi0r-tNBk (https://youtu.be/GLBi0r-tNBk)
Sarebbe gradevole una guida . :pray:
Titolo: Re:OpenVPN su AGTEF
Inserito da: roleo - 10 Gennaio 2018, 00:18
@roleo, potresti aggiornare la libreria openssl alla 1.0.2n?
https://www.openssl.org/news/secadv/20171207.txt

Fatto.
Titolo: Re:OpenVPN su AGTEF
Inserito da: nclmrc - 10 Gennaio 2018, 09:56
Da quando ho aggiornato sia libopenssl che openssl-util il modem si riavvia di continuo
Titolo: Re:OpenVPN su AGTEF
Inserito da: nclmrc - 10 Gennaio 2018, 13:36
Non installate l'ultima versione di libopenssl fa crashare il modem
Titolo: Re:OpenVPN su AGTEF
Inserito da: roleo - 10 Gennaio 2018, 17:41
Quando si fanno esperimenti bisogna sempre ricordare di disattivare il reboot su coredump.
Ora ricontrollo openssl.
Titolo: Re:OpenVPN su AGTEF
Inserito da: nclmrc - 10 Gennaio 2018, 23:32
In pratica come si disattiva?
Titolo: Re:OpenVPN su AGTEF
Inserito da: ^NiCo^ - 11 Gennaio 2018, 02:46
uci set [email protected][0].reboot='0'
uci commit

@roleo Basta questo ?
E' capitato anche a me ieri sera, mentre testavo delle cose per cercare di mettere insieme uno script per automatizzare tutto o quasi, mi sono sbagliato e ho fatto partire un opkg upgrade libopenssl  :headbang: :headbang: :headbang:
Titolo: Re:OpenVPN su AGTEF
Inserito da: roleo - 11 Gennaio 2018, 07:53
Basta quello.
Oggi cambio la libreria ma non posso testarla perché ho briccato il router.

--- EDIT ---

Ripristinato il vecchio ma senza testare nulla.
Titolo: Re:OpenVPN su AGTEF
Inserito da: reds - 11 Gennaio 2018, 16:51
Quindi si puo installare OpenVPN su AGTEF o meglio aspettare??
Titolo: Re:OpenVPN su AGTEF
Inserito da: roleo - 11 Gennaio 2018, 17:48
Quindi si puo installare OpenVPN su AGTEF o meglio aspettare??

Il mio AGTEF è briccato, non posso più fare test.
Però con la versione che ho uppato ora, prima andava tutto.
Titolo: Re:OpenVPN su AGTEF
Inserito da: reds - 16 Gennaio 2018, 19:28
Qualcuno ha testato l'installazione di OpenVPN??
Titolo: Re:OpenVPN su AGTEF
Inserito da: Diavulrus - 17 Gennaio 2018, 08:10
Sì e ti posso assicurare che, configurata correttamente, funziona alla perfezione.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: roleo - 17 Gennaio 2018, 14:11
Ho aggiornato il primo post.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: ^NiCo^ - 18 Gennaio 2018, 03:29
@roleo Una domanda, come mai per aggiornare libopenssl lo fai togliere e rimettere ? opkg update libopenssl sminchia qualcosa ? non aggiorna le dipendenze ?
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: roleo - 18 Gennaio 2018, 10:07
La prima volta che provai non funzionò perché la libopenssl originale non è completa.
Se devo dire la verità da allora non ho più riprovato.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: Crist - 24 Gennaio 2018, 21:05
Salve.

Collegandomi al post da me aperto sul thread iinet/AGTOT https://www.ilpuntotecnico.com/forum/index.php/topic,77981.msg228810.html#msg228810 (https://www.ilpuntotecnico.com/forum/index.php/topic,77981.msg228810.html#msg228810), che voi sappiate l'incopatibilità del kernel segnalata da opkg durante l'installazione di un pacchetto, è bypassabile?
Openvpn-easy-rsa viene installato ma openvpn-openssl no per via del kernel. Io uso il repo di roleo (AGTEF) provando i pacchetti su iinet (ex AGTOT) del 789vac2.
Grazie

OK Mi hanno risposto nell'altro post: è un repo incompatibile. Contavo sul fatto che l'architettura fosse uguale ma evidentemente la compilazione è strettamente legata all'hw specifico.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: roleo - 25 Gennaio 2018, 10:50
Se l'architettura è uguale hai 2 possibilità.
O forzi il caricamento del driver con l'opzione apposita (-f se non ricordo male) oppure ricompili il kernel forzando a mano il vermagic dell'AGTOT.
A questo punto il caricamento va liscio.
Tutti i pacchetti che contengono moduli kernel hanno questo problema perché la dipendenza dal kernel è espressa col vermagic.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: nclmrc - 04 Febbraio 2018, 10:57
Ciao @roleo volevo implementare la funzione Wake on Lan attraverso la VPN. Ho provato ad accendere un pc da remoto ma non funziona. Visto che funziona attraverso il broadcast ad occhio penserei che la rete della vpn e della lan debbano condividere proprio quello. Mi daresti qualche consiglio grazie.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: roleo - 04 Febbraio 2018, 11:11
La configurazione che ho proposto è quella routed, come indicato nel primo post.
Dal punto di vista teorico credo che ci siano 2 possibilità (entrambe poi da verificare sul campo):
1 - Configurare la VPN bridged che ti consente di avere un IP della stessa classe di quella del router (192.168.1.x).
2 - Mandare il pacchetto magico all'indirizzo broadcast della subnet (directed broadcast) cioè il 192.168.1.255 invece che al limited broadcast 255.255.255.255.

Per il punto 1 va rivista tutta la configurazione che ho proposto.
Per il punto 2 bisogna vedere se il software che usi ti consente di farlo e se il router ruota correttamente i pacchetti directed broadcast (le policy di sicurezza standard di solito non lo consentono).
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: nclmrc - 04 Febbraio 2018, 12:54
@roleo ma la 10.8.0.0/24 non è già routata sulla lan?
Poi un altra cosa, come mai tutti i client che si connettono alla vpn prendono tutti lo stesso ip 10.8.0.6?
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: roleo - 04 Febbraio 2018, 13:30
La 10.8.0.0/24 è ruotata sulla 192.168.1.0/24.
Se mandi un pacchetto  broadcast non passa il router, se lo mandi al 192.168.1.255 in teoria il router lo gira.
Però molti router sono configurati per ignorare i pacchetti directed broadcast. Non so cosa fa il DGA413x.

Per quanto riguarda il discorso dell'IP 10.8.0.6 invece non ti so rispondere. Dovrei fare qualche prova.
https://doc.pfsense.org/index.php/Why_do_my_OpenVPN_clients_all_get_the_same_IP
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: nclmrc - 07 Febbraio 2018, 22:59
Grazie @roleo funziona!!
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: roleo - 08 Febbraio 2018, 09:11
Con quale soluzione?
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: nclmrc - 08 Febbraio 2018, 09:21
@roleo mi riferivo alla soluzione per l'ip diversi. per quanto riguarda la vpn per quel tipo di soluzione deve essere bridge con la lan è condividere lo stesso dhcp. però questa soluzione complica non poco la gestione dei conflitti ip
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: shin01 - 09 Febbraio 2018, 17:31
Quali problemi di conflitto IP pensi possano verificarsi?
ho settato la OpenVpn in bridged con TAP,  il dhcp locale assegna gli ip dal 192.168.1.2 al 192.168.1.150, e openvpn assegna ai client IP dal 151 al 200 e non ho mai avuto problemi di conflitto
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: nclmrc - 09 Febbraio 2018, 18:13
@shin01 se sei connesso ad un altra lan potresti avere duplicazione di ip
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: radero - 11 Febbraio 2018, 16:12
Installato su router, applicazione openvpn su cell android, tutto ok. Ho provato la fonia da rete esterna, usato il programma csipsimple e zoiper, entrambi funzionano perfettamente.  Per la configurazione dei due programmi, la user: +39xxxxxx, la pwd ovviamente quella lunga, come server: telecomitalia.it, invece il proxy: 85.38.239.72, trasporto UDP.
Su zoiper non dimenticate di togliere la spunta alla voce "Use RPORT for Signaling", altrimenti non si sente l'interlocutore, si trova nella configurazione dell'account e poi "Network Settings".
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: reds - 11 Febbraio 2018, 16:38
@radero  con al soluzione?
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: radero - 11 Febbraio 2018, 18:35
scusami @reds non ho capito
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: reds - 12 Febbraio 2018, 22:57
@rodedro  mi sembrava che oltre Roleo c'era una altra guida............... :help: ma se mi confermi che hai usata quella di roleo senza problemi ci proverò anch'io.........
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: radero - 16 Febbraio 2018, 15:11
Confermo, usata quella di Roleo.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: aezakmi123 - 17 Febbraio 2018, 17:22
@roleo Ma openvpn funziona con la versione AGTEF_1.1.0? Con la 1.0.4 bastava forzare le dipendenze (opkg install --force-depends openvpn-openssl) e funzionava ma con la nuova versione non parte
Codice: [Seleziona]
Sat Feb 17 17:15:46 2018 OpenVPN 2.3.18 arm-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Jan 11 2018
Sat Feb 17 17:15:46 2018 library versions: OpenSSL 1.0.2k  26 Jan 2017, LZO 2.10
Sat Feb 17 17:15:47 2018 WARNING: file '/etc/openvpn/keys/my-server.key' is group or others accessible
Sat Feb 17 17:15:47 2018 Cipher algorithm 'BF-CBC' not found
Sat Feb 17 17:15:47 2018 Exiting due to fatal error
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: puandr - 17 Febbraio 2018, 17:28
Eh! Ma hai la OpenSSL versione 1.0.2k, perchè non installi la 1.0.2m?

p.s. Roleo, quando inserirai nel repository la 1.0.2n?
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: roleo - 17 Febbraio 2018, 17:29
Hai sovrascritto la libopenssl esistente con la libopenssl_1.0.2m-1_brcm63xx-tch.ipk?

@puandr
L'avevo fatto ma non funzionava pià niente...
https://www.ilpuntotecnico.com/forum/index.php/topic,77856.msg227781.html#msg227781
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: puandr - 17 Febbraio 2018, 17:37
Ha! Cavolo! Ho letto solo ora!
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: aezakmi123 - 17 Febbraio 2018, 17:47
Colpa mia, non usando più la GUI di Ansuel con dentro già openSSL l'ho installato a mano e non andava
Tutto risolto grazie
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: ttt666 - 18 Febbraio 2018, 11:19
Colpa mia, non usando più la GUI di Ansuel con dentro già openSSL l'ho installato a mano e non andava
Tutto risolto grazie
Come hai risolto?

@roleo
- Installato e rootato ultimo firmware AGTEF_1.1.0_CLOSED.rbi:

- sostituita la libreria openssl esistente con la versione 1.0.2m-1 digitando:
Codice: [Seleziona]
opkg remove libopenssl --force-depends
opkg install https://repository.ilpuntotecnico.com/files/roleo/public/agtef/brcm63xx-tch/packages/base/libopenssl_1.0.2m-1_brcm63xx-tch.ipk

- In seguito ecco l'errore:
Codice: [Seleziona]
[email protected]:~# opkg install openvpn-openssl openvpn-easy-rsa
Installing openvpn-openssl (2.3.18-1) to root...
Downloading https://repository.ilpuntotecnico.com/files/roleo/public/agtef/brcm63xx-tch/packages/base/openvpn-openssl_2.3.18-1_brcm63xx-tch.ipk
Package openvpn-easy-rsa (2013-01-30-2) installed in root is up to date.
Collected errors:
 * satisfy_dependencies_for: Cannot satisfy the following dependencies for openvpn-openssl:
 *      kernel (= 3.4.11-1-0b3a287109a01f28a0c5f067991f321a) *
 * opkg_install_cmd: Cannot install package openvpn-openssl.

- versione kernel:
Codice: [Seleziona]
[email protected]:~# uname -a
Linux modemtim 3.4.11-rt19 #1 SMP PREEMPT Wed Nov 1 04:19:23 UTC 2017 armv7l GNU/Linux


...Suggerimenti? Bisogna ricompilare tutto per cambiamento kernel???
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: roleo - 18 Febbraio 2018, 11:49
Ritengo che abbiano ricompilato il kernel, quindi è cambiato il vermagic.
Prova un
Codice: [Seleziona]
opkg list-installed | grep kernel

In ogni caso non saprei come gestire la cosa.
Non vorrei dover fare un repo per ogni versione.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: ttt666 - 18 Febbraio 2018, 12:03
Ecco:
Codice: [Seleziona]
[email protected]:/# opkg list-installed | grep kernel
kernel - 3.4.11-1-a81b4bb6dafe4640ec19d2e01179ebce
kmod-modmmconnkernelbrcm - 3.4.11+2012.09-1

...visti che le ricompilazioni di kernel non mi sembrano frequenti, almeno per questa nuova versione ti verrebbe complicato fare un nuovo repo?
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: roleo - 18 Febbraio 2018, 12:20
Confermo, il vermagic è cambiato.
Adesso ci faccio una pensata.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: ttt666 - 18 Febbraio 2018, 12:32
Grazie ;), sarebbe una gran cosa visto che questo nuovo firmware mi sembra molto stabile rispetto al precedente.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: aezakmi123 - 18 Febbraio 2018, 13:50
Come hai risolto?
Per ora forzando le dipendenze con opkg install --force-depends openvpn-openssl
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: roleo - 19 Febbraio 2018, 08:47
Ho fatto una prova togliendo le dipendenze dalla versione kernel specifica. Dovrebbe funzionare.
Se volete provare ho creato un repo temporaneo:
https://repository.ilpuntotecnico.com/files/roleo/public/agtef/test/brcm63xx-tch/

--- EDIT ---

Potete darmi un feedback di openvpn su fw AGTEF 1.1.0?
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: ttt666 - 20 Febbraio 2018, 08:57
Sulla 1.1.0 ho appena rimosso openvpn-openssl e reinstallato dal tuo repo di test: tutto ok  ;) :D

Non ho fatto altre prove...

Grazie mille!
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: roleo - 20 Febbraio 2018, 09:32
Puoi verificare se anche il tun.ko si riesce a installare dal repo di test?
E se poi funziona tutto dopo?
Se così fosse sposterei tutto sul repo ufficiale.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: ttt666 - 20 Febbraio 2018, 15:01
A me funziona tutto su fw AGTEF 1.1.0, compreso installare tun.ko dal repo di test  ;)

Ecco cosa ho fatto:
- inserito il tuo repo di test (ed esclusi gli altri)
- rimosso il file tun.ko nei moduli di sistema
- rimossi openvpn-openssl openvpn-easy-rsa
- rimossa tutta la configurazione di openvpn (interfaccia di rete e regole di firewall)
- rimosso kmod-tun

Poi ho reinstallato kmod-tun e tutto OpenVPN dalla guida:
Codice: [Seleziona]
[email protected]:~# opkg install kmod-tun
Installing kmod-tun (3.4.11-1) to root...
Downloading https://repository.ilpuntotecnico.com/files/roleo/public/agtef/test/brcm63xx-tch/packages/base/kmod-tun_3.4.11-1_brcm63xx-tch.ipk
Configuring kmod-tun.

[email protected]:~# opkg install https://repository.ilpuntotecnico.com/files/roleo/public/agtef/test/brcm63xx-tch/packages/base/libopenssl_1.0.2m-1_brcm63xx-tch.ipk
Downloading https://repository.ilpuntotecnico.com/files/roleo/public/agtef/test/brcm63xx-tch/packages/base/libopenssl_1.0.2m-1_brcm63xx-tch.ipk
Installing libopenssl (1.0.2m-1) to root...
Configuring libopenssl.

[email protected]:~# opkg install openvpn-openssl openvpn-easy-rsa
Installing openvpn-openssl (2.3.18-1) to root...
Downloading https://repository.ilpuntotecnico.com/files/roleo/public/agtef/test/brcm63xx-tch/packages/base/openvpn-openssl_2.3.18-1_brcm63xx-tch.ipk
Installing openvpn-easy-rsa (2013-01-30-2) to root...
Downloading https://repository.ilpuntotecnico.com/files/roleo/public/agtef/test/brcm63xx-tch/packages/base/openvpn-easy-rsa_2013-01-30-2_brcm63xx-tch.ipk
Configuring openvpn-openssl.
Configuring openvpn-easy-rsa.

...altre installazioni come da guida

Alla fine tutto ok, OpenVPN perfettamente funzionante, per me puoi procedere  :D

p.s.= io ho solo il problema che molte volte non aggancio la portante dopo il riavvio o lo spegnimento: dopo device ptm0 entered promiscuous mode molto spesso non ottengo Line 0: VDSL G.993 started, non riesco proprio a capirne il motivo. Me lo fa solo dopo che sblocco il firmware e in alcune situazioni...e non ho problemi di linea.

Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: roleo - 21 Febbraio 2018, 09:06
Eh! Ma hai la OpenSSL versione 1.0.2k, perchè non installi la 1.0.2m?

p.s. Roleo, quando inserirai nel repository la 1.0.2n?

@puandr
Se hai voglia di fare una prova ho creato un repo temporaneo:
https://repository.ilpuntotecnico.com/files/roleo/public/agtef/prova/brcm63xx-tch
dove ho messo i pacchetti compilati dopo il git pull di chaos_calmer.
Quindi trovi openssl 1.0.2n.
Se mi dai un feedback positivo sposto tutto sul repo standard.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: puandr - 21 Febbraio 2018, 10:13
Bravo!  :clap:
Stasera provo da casa e ti faccio sapere

EDIT

Ok Va !!
Codice: [Seleziona]
Wed Feb 21 17:23:19 2018 OpenVPN 2.3.18 arm-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Nov 17 2017
Wed Feb 21 17:23:19 2018 library versions: OpenSSL 1.0.2n  7 Dec 2017, LZO 2.10

 :D :D :D
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: roleo - 21 Febbraio 2018, 22:15
Ok.
Domani committo.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: gianluigi84 - 02 Marzo 2018, 17:37
Ciao, che fine ha fatto il repository di roleo? I files non sono più accessibili :facepalm:
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: puandr - 02 Marzo 2018, 19:16
A me risultano accessibilissimi:
Codice: [Seleziona]
[email protected]:~# opkg update
Downloading https://repository.ilpuntotecnico.com/files/roleo/public/agtef/brcm63xx-tch/packages/base/Packages.gz.
Updated list of available packages in /var/opkg-lists/chaos_calmer_base.
Downloading https://repository.ilpuntotecnico.com/files/roleo/public/agtef/brcm63xx-tch/packages/packages/Packages.gz.
Updated list of available packages in /var/opkg-lists/chaos_calmer_packages.
Downloading https://repository.ilpuntotecnico.com/files/roleo/public/agtef/brcm63xx-tch/packages/luci/Packages.gz.
Updated list of available packages in /var/opkg-lists/chaos_calmer_luci.
Downloading https://repository.ilpuntotecnico.com/files/roleo/public/agtef/brcm63xx-tch/packages/routing/Packages.gz.
Updated list of available packages in /var/opkg-lists/chaos_calmer_routing.
Downloading https://repository.ilpuntotecnico.com/files/roleo/public/agtef/brcm63xx-tch/packages/telephony/Packages.gz.
Updated list of available packages in /var/opkg-lists/chaos_calmer_telephony.
Downloading https://repository.ilpuntotecnico.com/files/roleo/public/agtef/brcm63xx-tch/packages/management/Packages.gz.
Updated list of available packages in /var/opkg-lists/chaos_calmer_management.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: Release - 03 Aprile 2018, 13:01
Dopo l'installazione di openvpn e l'inserimento delle regole del firewall non riesco più ad accedere all'interfaccia web (pannello di amministrazione): su 192.168.1.1 rimane in caricamento perenne!

Intendo naturalmente che non riesco ad accedere nè tramite connessione vpn, nè tramite normale connessione da rete locale!

Ho AGTEF_1.1.0 con gui di Ansuel ed aria installato.
Dopo la modifica di cui alla prima pagina (ho seguito le istruzioni per bene) non accede alla pagina principale 192.168.1.1 . Stranamente però se punto a 192.168.1.1/aria, accede alla pagina di AriaNG, anche se non riesce a scaricare tutti i file della pagina (ad esempio ha problemi a caricare un font .woff2 che rimane in "pending").

Ho provato da più dispositivi a connettermi al pannelo di amministrazione del modem, ma niente.
Riesco ad entrare ancora in ssh. Ho provato a vedere da ssh se il server http rispondesse localmente con un wget 127.0.0.1, ma è rimasto anch'esso in attesa.

Cosa sta succedendo? è problema di qualche regola di firewall o di openvpn? Devo cancellare qualcosa? Posso riconfigurare in qualche modo il firewall?
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: Diavulrus - 03 Aprile 2018, 23:46
@Release hai provato a dare
Codice: [Seleziona]
/etc/init.d/transformer restart
/etc/init.d/nginx restart
da ssh?
L'installazione di openvpn non dovrebbe modificare in alcun modo i file della gui e tantomeno le regole del firewall non connesse alla vpn
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: Release - 04 Aprile 2018, 11:57
@Diavulrus alla fine (qualche minuto fa) ho disinstallato openvpn-openssl e riavviato il router e tutto è tornato alla normalità. Avevo paura a riavviare perchè temevo un brick, per fortuna tutto è andato per il verso giusto!
Non utilizzerò per ora openvpn, per quanto mi sarebbe piaciuto molto, ma dopo l'installazione e qualche test da remoto le cose non funzionavano neanche molto bene. Ad esempio, puntando all'indirizzo del router con browser, invece di caricarmi l'interfaccia di login di amministrazione puntava direttamente ad aria (!!!) senza scaricare i file linkati nel dom (i vari css, js ecc). Cosa stranissima...
Magari avrei dovuto fare un riavvio prima di demoralizzarmi, ma tant'è. Riproverò tra qualche mese, magari ci saranno novità a riguardo :)
Grazie per l'aiuto in ogni caso
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: roleo - 04 Aprile 2018, 16:18
Uso regolarmente OpenVPN e non ho problemi.
Devi aver avuto qualche strano problema sui demoni web.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: guyshi1995 - 19 Aprile 2018, 14:54
Salve,
stavo provando la configurazione di openvpn su un technicolor tg789 vac v2 con firmware iinet, (prendendo i pacchetti dalla repository di Roleo per agtot), va tutto a buon fine, non riesco però a comunicare con gli host della LAN (con indirizzi 192.168.1.*)

Qualcuno ha già provato per caso con questo router?
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: roleo - 19 Aprile 2018, 15:30
Ho provato io e non funziona.
Credo che sia un problema di firewalling relativo ai moduli kernel ma non ci posso fare niente.
Ho già provato in diversi modi ma niente.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: ELGeKo - 25 Aprile 2018, 20:47
Esiste qualche video guida? Ci sono vari punti della guida che non capisco e un video che spiega passo passo cosa sto facendo non sarebbe male
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: MisterFTTH - 25 Aprile 2018, 20:56
Idea interessante: in attesa che sia eventualmente prodotta, indica i passaggi incriminati, magari è possibile chiarirli.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: ELGeKo - 25 Aprile 2018, 21:53
Idea interessante: in attesa che sia eventualmente prodotta, indica i passaggi incriminati, magari è possibile chiarirli.

Allora:

Non capisco cosa scrivere quando eseguo il primo comando, mi richiede i dati della società e roba varia, posso inventare o devo mettere quelli della mia vpn?
Codice: [Seleziona]
    build-ca
    build-dh
    build-key-server my-server
    build-key-pkcs12 my-client

Qui il file .openvpn non va bene?
Codice: [Seleziona]
Creare sul proprio client OpenVPN il file di configurazione come segue:

    client
    dev tun
    proto udp
    remote my-server-name 1194
    resolv-retry infinite
    nobind
    persist-key
    persist-tun
    ca ca.crt
    cert my-client.crt
    key my-client.key
    ns-cert-type server
    comp-lzo
    verb 3


Inoltre, avrò un'nterfaccia grafica per gestire la vpn? E se volessi cambiare server come dovrei fare?
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: MisterFTTH - 25 Aprile 2018, 22:08
mi richiede i dati della società e roba varia, posso inventare o devo mettere quelli della mia vpn?

Sono dati arbitrari: se prevedi un utilizzo squisitamente personale, a maggior ragione possono essere del tutto fittizi.

Citazione
Qui il file .openvpn non va bene?

C'è qualche intervento precedente che magari non ho letto e riporta qualche problema con quei parametri?
Oppure è una generica richiesta di conferma validità di quei parametri?

Citazione
avrò un'nterfaccia grafica per gestire la vpn?

In questo caso è prevista la gestione (creazione o revoca nuovi certificati) esclusivamente da riga di comando.

Citazione
E se volessi cambiare server come dovrei fare?

Cosa intendi per cambio server?
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: ELGeKo - 25 Aprile 2018, 23:00
Può essere che ho capito male io, ma effettuando queste operazioni avrò la possibilità di far passare tutto il traffico della mia rete attraverso una VPN, quindi si presume che io debba sotoscrivere un abbonamento e poi inserire i dati del server attraverso il quale voglio fare passare il mio traffico, quindi da qualche parte dovrò inserire i dati relativi al quel server (Indirizzo, username, password) oppure come si fa da pc, caricando soltanto il relativo file .openvpn.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: MisterFTTH - 25 Aprile 2018, 23:20
Confermo che hai capito male: la procedura di cui si parla in questa discussione è relativa all'installazione e configurazione sul router del server OpenVPN, non del client, pertanto lo scopo è utilizzare il router medesimo quale server cui collegarsi da remoto.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: Nasa - 26 Aprile 2018, 19:06
Ciao a tutti,
ho installato il pacchetto di openvpn sul dga4130 seguendo la guida in pagina, però quando vado a dare lo start al processo dai log del router vedo questo errore:
daemon.err
openvpn(custom_config)[14260]
Options error: Unrecognized option or missing parameter(s) in /etc/openvpn/my-vpn.conf:4: build-key-pkcs12 (2.3.18)

deduco che ci sia qualche problema col file di config creato, però l'ho ricontrollato più volte ed è uguale a quello sulla guida, salvo la lan che .0.0 anziché .1.0
ps: ho già provato a rifare la procedura "build-key-pkcs12 my-client"

ps2: ho notato che in prima pagina nel file di config alla riga 4 indica"build-key-pkcs12 my-client", mentre nella prima pagina del 3d non c'è, ho eliminato la riga, ora dal log non ci sono più errori, ma il server openvpn non va lo stesso.

ps3: se elimino quella voce, riavvio il router e tento di avviare il servizio, non parte e nel file di log trovo:
  Thu Apr 26 19:37:42 2018 OpenVPN 2.3.18 arm-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Feb 21 2018
  Thu Apr 26 19:37:42 2018 library versions: OpenSSL 1.0.2n  7 Dec 2017, LZO 2.10
  Thu Apr 26 19:37:42 2018 OpenSSL: error:02001014:lib(2):func(1):reason(20)
  Thu Apr 26 19:37:42 2018 OpenSSL: error:2006D002:lib(32):func(109):reason(2)
  Thu Apr 26 19:37:42 2018 Cannot open /etc/openvpn/keys/dh2048.pem for DH parameters
  Thu Apr 26 19:37:42 2018 Exiting due to fatal error

la rimetto e torno al punto2...

qualcuno ha idea di cosa può essere?
grazie mille
Nasa
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: Diavulrus - 26 Aprile 2018, 21:46
@Nasa hai spostato tutti i file creati con easy-rsa nella cartella /etc/openvpn/keys/ ?
Se si, hai controllato che il nome del file dh in /keys/ sia uguale a quello che hai scritto nella configurazione?
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: Nasa - 26 Aprile 2018, 22:05
direi di sì, ti posto gli screen...
(https://img.overpic.net/images/u/k/4/xuk4mp6cdnvl3la9m6cse.png)
(https://img.overpic.net/images/a/g/1/xag1nd2vknapyks5n3e96.png)

ora però temo di aver fatto una cazzata, nella cartella "openvpn" avevo un file che si chiama "keys" ed una cartella che si chiamava "Keys" mentre provavo a ricreare la cartella "keys" ho dato invio su sovrascrivi ed ho perso il file "keys" con all'interno la stringa della chiave...
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: Diavulrus - 26 Aprile 2018, 22:24
Per il file non dlvrebbe essere un grosso problema... Mentre per la configurazione, cancella la riga build-key-pkcs12 my-client. Quello è un comando, non è da inserire nella configurazione. Fatto questo prova a riavviare il server e dovrebbe partire
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: Nasa - 26 Aprile 2018, 22:47
Ottimo, ora funziona tutto,
ti ringrazio davvero.

solo alcuni consigli:
-correggere in home la riga che non va nel file di config "build-key-pkcs12 my-client"

-Eseguire openvpn:
    /etc/init.d/openvpn enable
    /etc/init.d/openvpn enable --> in realtà il secondo comando è "/etc/init.d/openvpn start"

-se ci si connette da cellulare ho trovato più semplice inserire configurazione certificati e key all'interno dello stesso file, ho quindi:
stringhe di configurazione

<ca>
incollare il contenuto del file "ca.crt"
</ca>

<cert>
incollare il contenuto del file "my-server.crt"
</cert>

<key>
incollare il contenuto del file "my-server.key"
</key>

grazie ancora
alla prossima!
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: Crist - 06 Giugno 2018, 15:14
Salve a tutti.
Sono riuscito a mettere le mani su di un AGTEF e sbloccarlo.
Ho seguito la guida per la VPN e sembra che i passaggi siano andati a buon fine tranne per il fatto che non mi ritrovo la cartella keys dentro openvpn; poco male perchè lascio i files dentro /openvpn con relativa modifica sul file conf).
Anche la porta, invece della standard UDP 1194 opto per la UDP 1195 (con relativa modifica sul file conf).
Dal conf ho tolto la riga inutile "build-key-pkcs12 my-client".
Sul client (OpenVPN per Android) ho importato i files relativi alla configurazione e correttamente caricati dal client stesso.
Il servizio è stato correttamente caricato/riavviato lato server.

Eppure non riesco a connettermi a casua credo del non raggiungimento della porta UDP:

Codice: [Seleziona]
2018-06-06 14:48:27 versione ufficiale 0.7.5 in esecuzione su samsung SM-N910F (APQ8084), Android 7.1.2 (NJH47F) API 25, ABI armeabi-v7a, (samsung/trltexx/trlte:6.0.1/MMB29M/N910FXXS1DQH9:user/release-keys)
2018-06-06 14:48:27 Configurazione in corso…
2018-06-06 14:48:27 New OpenVPN Status (VPN_GENERATE_CONFIG->LEVEL_START):
2018-06-06 14:48:27 New OpenVPN Status (VPN_GENERATE_CONFIG->LEVEL_START):
2018-06-06 14:48:27 started Socket Thread
2018-06-06 14:48:27 Stato della rete: CONNECTED UMTS to MOBILE tre.it
2018-06-06 14:48:27 Debug state info: CONNECTED UMTS to MOBILE tre.it, pause: userPause, shouldbeconnected: true, network: SHOULDBECONNECTED
2018-06-06 14:48:27 Debug state info: CONNECTED UMTS to MOBILE tre.it, pause: userPause, shouldbeconnected: true, network: SHOULDBECONNECTED
2018-06-06 14:48:28 Current Parameter Settings:
2018-06-06 14:48:28   config = '/data/user/0/de.blinkt.openvpn/cache/android.conf'
2018-06-06 14:48:28   mode = 0
2018-06-06 14:48:28   show_ciphers = DISABLED
2018-06-06 14:48:28   show_digests = DISABLED
2018-06-06 14:48:28   show_engines = DISABLED
2018-06-06 14:48:28   genkey = DISABLED
2018-06-06 14:48:28   key_pass_file = '[UNDEF]'
2018-06-06 14:48:28   show_tls_ciphers = DISABLED
2018-06-06 14:48:28   connect_retry_max = 0
2018-06-06 14:48:28 Connection profiles [0]:
2018-06-06 14:48:28   proto = udp
2018-06-06 14:48:28   local = '[UNDEF]'
2018-06-06 14:48:28   local_port = '[UNDEF]'
2018-06-06 14:48:28   remote = '10.8.0.0'
2018-06-06 14:48:28   remote_port = '1195'
2018-06-06 14:48:28   remote_float = DISABLED
2018-06-06 14:48:28   bind_defined = DISABLED
2018-06-06 14:48:28   bind_local = DISABLED
2018-06-06 14:48:28   bind_ipv6_only = DISABLED
2018-06-06 14:48:28   connect_retry_seconds = 2
2018-06-06 14:48:28   connect_timeout = 120
2018-06-06 14:48:28   socks_proxy_server = '[UNDEF]'
2018-06-06 14:48:28   socks_proxy_port = '[UNDEF]'
2018-06-06 14:48:28   tun_mtu = 1500
2018-06-06 14:48:28   tun_mtu_defined = ENABLED
2018-06-06 14:48:28   link_mtu = 1500
2018-06-06 14:48:28 Attendere 0s secondi tra i tentativi di connessione
2018-06-06 14:48:28   link_mtu_defined = DISABLED
2018-06-06 14:48:28   tun_mtu_extra = 0
2018-06-06 14:48:28   tun_mtu_extra_defined = DISABLED
2018-06-06 14:48:28   mtu_discover_type = -1
2018-06-06 14:48:28   fragment = 0
2018-06-06 14:48:28   mssfix = 1450
2018-06-06 14:48:28   explicit_exit_notification = 0
2018-06-06 14:48:28 Connection profiles END
2018-06-06 14:48:28   remote_random = DISABLED
2018-06-06 14:48:28   ipchange = '[UNDEF]'
2018-06-06 14:48:28   dev = 'tun'
2018-06-06 14:48:28   dev_type = '[UNDEF]'
2018-06-06 14:48:28   dev_node = '[UNDEF]'
2018-06-06 14:48:28   lladdr = '[UNDEF]'
2018-06-06 14:48:28   topology = 1
2018-06-06 14:48:28   ifconfig_local = '[UNDEF]'
2018-06-06 14:48:28   ifconfig_remote_netmask = '[UNDEF]'
2018-06-06 14:48:28   ifconfig_noexec = DISABLED
2018-06-06 14:48:28   ifconfig_nowarn = ENABLED
2018-06-06 14:48:28   ifconfig_ipv6_local = '[UNDEF]'
2018-06-06 14:48:28   ifconfig_ipv6_netbits = 0
2018-06-06 14:48:28   ifconfig_ipv6_remote = '[UNDEF]'
2018-06-06 14:48:28   shaper = 0
2018-06-06 14:48:28   mtu_test = 0
2018-06-06 14:48:28   mlock = DISABLED
2018-06-06 14:48:28   keepalive_ping = 0
2018-06-06 14:48:28   keepalive_timeout = 0
2018-06-06 14:48:28   inactivity_timeout = 0
2018-06-06 14:48:28   ping_send_timeout = 0
2018-06-06 14:48:28   ping_rec_timeout = 0
2018-06-06 14:48:28   ping_rec_timeout_action = 0
2018-06-06 14:48:28   ping_timer_remote = DISABLED
2018-06-06 14:48:28   remap_sigusr1 = 0
2018-06-06 14:48:28   persist_tun = ENABLED
2018-06-06 14:48:28   persist_local_ip = DISABLED
2018-06-06 14:48:28   persist_remote_ip = DISABLED
2018-06-06 14:48:28   persist_key = DISABLED
2018-06-06 14:48:28   passtos = DISABLED
2018-06-06 14:48:28   resolve_retry_seconds = 1000000000
2018-06-06 14:48:28   resolve_in_advance = ENABLED
2018-06-06 14:48:28   username = '[UNDEF]'
2018-06-06 14:48:28   groupname = '[UNDEF]'
2018-06-06 14:48:28   chroot_dir = '[UNDEF]'
2018-06-06 14:48:28   cd_dir = '[UNDEF]'
2018-06-06 14:48:28   writepid = '[UNDEF]'
2018-06-06 14:48:28   up_script = '[UNDEF]'
2018-06-06 14:48:28   down_script = '[UNDEF]'
2018-06-06 14:48:28   down_pre = DISABLED
2018-06-06 14:48:28   up_restart = DISABLED
2018-06-06 14:48:28   up_delay = DISABLED
2018-06-06 14:48:28   daemon = DISABLED
2018-06-06 14:48:28   inetd = 0
2018-06-06 14:48:28   log = DISABLED
2018-06-06 14:48:28   suppress_timestamps = DISABLED
2018-06-06 14:48:28   machine_readable_output = ENABLED
2018-06-06 14:48:28   nice = 0
2018-06-06 14:48:28   verbosity = 4
2018-06-06 14:48:28   mute = 0
2018-06-06 14:48:28   gremlin = 0
2018-06-06 14:48:28   status_file = '[UNDEF]'
2018-06-06 14:48:28   status_file_version = 1
2018-06-06 14:48:28   status_file_update_freq = 60
2018-06-06 14:48:28   occ = ENABLED
2018-06-06 14:48:28   rcvbuf = 0
2018-06-06 14:48:28   sndbuf = 0
2018-06-06 14:48:28   sockflags = 0
2018-06-06 14:48:28   fast_io = DISABLED
2018-06-06 14:48:28   comp.alg = 2
2018-06-06 14:48:28   comp.flags = 1
2018-06-06 14:48:28   route_script = '[UNDEF]'
2018-06-06 14:48:28   route_default_gateway = '[UNDEF]'
2018-06-06 14:48:28   route_default_metric = 0
2018-06-06 14:48:28   route_noexec = DISABLED
2018-06-06 14:48:28   route_delay = 0
2018-06-06 14:48:28   route_delay_window = 30
2018-06-06 14:48:28   route_delay_defined = DISABLED
2018-06-06 14:48:28   route_nopull = DISABLED
2018-06-06 14:48:28   route_gateway_via_dhcp = DISABLED
2018-06-06 14:48:28   allow_pull_fqdn = DISABLED
2018-06-06 14:48:28   management_addr = '/data/user/0/de.blinkt.openvpn/cache/mgmtsocket'
2018-06-06 14:48:28   management_port = 'unix'
2018-06-06 14:48:28   management_user_pass = '[UNDEF]'
2018-06-06 14:48:28   management_log_history_cache = 250
2018-06-06 14:48:28   management_echo_buffer_size = 100
2018-06-06 14:48:28   management_write_peer_info_file = '[UNDEF]'
2018-06-06 14:48:28   management_client_user = '[UNDEF]'
2018-06-06 14:48:28   management_client_group = '[UNDEF]'
2018-06-06 14:48:28   management_flags = 4390
2018-06-06 14:48:28   shared_secret_file = '[UNDEF]'
2018-06-06 14:48:28   key_direction = not set
2018-06-06 14:48:28   ciphername = 'BF-CBC'
2018-06-06 14:48:28   ncp_enabled = ENABLED
2018-06-06 14:48:28   ncp_ciphers = 'AES-256-GCM:AES-128-GCM'
2018-06-06 14:48:28   authname = 'SHA1'
2018-06-06 14:48:28   prng_hash = 'SHA1'
2018-06-06 14:48:28   prng_nonce_secret_len = 16
2018-06-06 14:48:28   keysize = 0
2018-06-06 14:48:28   engine = DISABLED
2018-06-06 14:48:28   replay = ENABLED
2018-06-06 14:48:28   mute_replay_warnings = DISABLED
2018-06-06 14:48:28   replay_window = 64
2018-06-06 14:48:28   replay_time = 15
2018-06-06 14:48:28   packet_id_file = '[UNDEF]'
2018-06-06 14:48:28   test_crypto = DISABLED
2018-06-06 14:48:28   tls_server = DISABLED
2018-06-06 14:48:28   tls_client = ENABLED
2018-06-06 14:48:28   key_method = 2
2018-06-06 14:48:28   ca_file = '[[INLINE]]'
2018-06-06 14:48:28   ca_path = '[UNDEF]'
2018-06-06 14:48:28   dh_file = '[UNDEF]'
2018-06-06 14:48:28   cert_file = '[[INLINE]]'
2018-06-06 14:48:28   extra_certs_file = '[UNDEF]'
2018-06-06 14:48:28   priv_key_file = '[[INLINE]]'
2018-06-06 14:48:28   pkcs12_file = '[UNDEF]'
2018-06-06 14:48:28   cipher_list = '[UNDEF]'
2018-06-06 14:48:28   tls_cert_profile = '[UNDEF]'
2018-06-06 14:48:28   tls_verify = '[UNDEF]'
2018-06-06 14:48:28   tls_export_cert = '[UNDEF]'
2018-06-06 14:48:28   verify_x509_type = 0
2018-06-06 14:48:28   verify_x509_name = '[UNDEF]'
2018-06-06 14:48:28   crl_file = '[UNDEF]'
2018-06-06 14:48:28   ns_cert_type = 1
2018-06-06 14:48:28   remote_cert_ku[i] = 0
2018-06-06 14:48:28   remote_cert_ku[i] = 0
2018-06-06 14:48:28   remote_cert_ku[i] = 0
2018-06-06 14:48:28   remote_cert_ku[i] = 0
2018-06-06 14:48:28   remote_cert_ku[i] = 0
2018-06-06 14:48:28   remote_cert_ku[i] = 0
2018-06-06 14:48:28   remote_cert_ku[i] = 0
2018-06-06 14:48:28   remote_cert_ku[i] = 0
2018-06-06 14:48:28   remote_cert_ku[i] = 0
2018-06-06 14:48:28   remote_cert_ku[i] = 0
2018-06-06 14:48:28   remote_cert_ku[i] = 0
2018-06-06 14:48:28   remote_cert_ku[i] = 0
2018-06-06 14:48:28   remote_cert_ku[i] = 0
2018-06-06 14:48:28   remote_cert_ku[i] = 0
2018-06-06 14:48:28   remote_cert_ku[i] = 0
2018-06-06 14:48:28   remote_cert_ku[i] = 0
2018-06-06 14:48:28   remote_cert_eku = '[UNDEF]'
2018-06-06 14:48:28   ssl_flags = 0
2018-06-06 14:48:28   tls_timeout = 2
2018-06-06 14:48:28   renegotiate_bytes = -1
2018-06-06 14:48:28   renegotiate_packets = 0
2018-06-06 14:48:28   renegotiate_seconds = 3600
2018-06-06 14:48:28   handshake_window = 60
2018-06-06 14:48:28   transition_window = 3600
2018-06-06 14:48:28   single_session = DISABLED
2018-06-06 14:48:28   push_peer_info = DISABLED
2018-06-06 14:48:28   tls_exit = DISABLED
2018-06-06 14:48:28   tls_auth_file = '[UNDEF]'
2018-06-06 14:48:28   tls_crypt_file = '[UNDEF]'
2018-06-06 14:48:28   client = ENABLED
2018-06-06 14:48:28   pull = ENABLED
2018-06-06 14:48:28   auth_user_pass_file = '[UNDEF]'
2018-06-06 14:48:28 OpenVPN 2.5-icsopenvpn [git:v2.4_rc2-301-g14adf04a] armeabi-v7a [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD] built on May  3 2018
2018-06-06 14:48:28 library versions: OpenSSL 1.1.0h  27 Mar 2018, LZO 2.10
2018-06-06 14:48:28 MANAGEMENT: Connected to management server at /data/user/0/de.blinkt.openvpn/cache/mgmtsocket
2018-06-06 14:48:28 MANAGEMENT: CMD 'version 2'
2018-06-06 14:48:28 MANAGEMENT: CMD 'hold release'
2018-06-06 14:48:28 MANAGEMENT: CMD 'proxy NONE'
2018-06-06 14:48:28 MANAGEMENT: CMD 'bytecount 2'
2018-06-06 14:48:28 MANAGEMENT: CMD 'state on'
2018-06-06 14:48:29 WARNING: --ns-cert-type is DEPRECATED.  Use --remote-cert-tls instead.
2018-06-06 14:48:29 LZO compression initializing
2018-06-06 14:48:29 Control Channel MTU parms [ L:1622 D:1212 EF:38 EB:0 ET:0 EL:3 ]
2018-06-06 14:48:29 Data Channel MTU parms [ L:1622 D:1450 EF:122 EB:406 ET:0 EL:3 ]
2018-06-06 14:48:29 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
2018-06-06 14:48:29 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
2018-06-06 14:48:29 TCP/UDP: Preserving recently used remote address: [AF_INET]10.8.0.0:1195
2018-06-06 14:48:29 Socket Buffers: R=[163840->163840] S=[163840->163840]
2018-06-06 14:48:29 MANAGEMENT: CMD 'needok 'PROTECTFD' ok'
2018-06-06 14:48:29 UDP link local: (not bound)
2018-06-06 14:48:29 UDP link remote: [AF_INET]10.8.0.0:1195
2018-06-06 14:48:29 MANAGEMENT: >STATE:1528289309,WAIT,,,,,,
2018-06-06 14:48:29 New OpenVPN Status (WAIT->LEVEL_CONNECTING_NO_SERVER_REPLY_YET): ,,,,,
2018-06-06 14:48:29 New OpenVPN Status (WAIT->LEVEL_CONNECTING_NO_SERVER_REPLY_YET): ,,,,,
2018-06-06 14:49:29 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
2018-06-06 14:49:29 New OpenVPN Status (RECONNECTING->LEVEL_CONNECTING_NO_SERVER_REPLY_YET): tls-error,,,,,
2018-06-06 14:49:29 New OpenVPN Status (RECONNECTING->LEVEL_CONNECTING_NO_SERVER_REPLY_YET): tls-error,,,,,
2018-06-06 14:49:29 TLS Error: TLS handshake failed
2018-06-06 14:49:29 TCP/UDP: Closing socket
2018-06-06 14:49:29 SIGUSR1[soft,tls-error] received, process restarting

Sono consapevole che i log possono cambiare da client a client però magari qualcuno più esperto di VPN (per me sarebbe le prima volta) può scorgere qualche errore/mancanza... :'(
Grazie

EDIT: Ho provato a testare la porta 1195 dall'esterno tramite GRC ShieldsUP (https://www.grc.com/x/ne.dll?bh0bkyd2)

Port           Status            Protocol and Application

1195    Stealth            Unknown Protocol and application for this port

E' normale che dall'esterno risulti stealth (ovvero nè open, nè closed)?

Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: roleo - 07 Giugno 2018, 17:30
Oltre che nel conf hai configurato il firewall sulla 1195?
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: Crist - 08 Giugno 2018, 01:10
Questo il mi fw:

Codice: [Seleziona]
config rule 'Allow_OpenVPN_Inbound'
option target 'ACCEPT'
option src '*'
option proto 'udp'
option dest_port '1195'

config zone 'vpn'
option name 'vpn'
option network 'vpn0'
option input 'ACCEPT'
option forward 'REJECT'
option output 'ACCEPT'
option masq '1'

config forwarding 'vpn_forwarding_lan_in'
option src 'vpn'
option dest 'lan'

config forwarding 'vpn_forwarding_lan_out'
option src 'lan'
option dest 'vpn'

config redirect 'vpn_snat_lan_out'
option src 'vpn'
option dest 'lan'
option src_ip '10.8.0.0/24'
option src_dip '192.168.1.1'
option proto 'all'
option target 'SNAT'

config forwarding 'vpn_forwarding_wan_in'
   option src 'vpn'
   option dest 'wan'

config forwarding 'vpn_forwarding_wan_out'
   option src 'wan'
   option dest 'vpn'

config userredirect 'OpenVPN'
        option family 'ipv4'
        option dest_ip '192.168.1.1'
        option dest 'lan'
        option name 'OpenVPN'
        option src_dport '1195'
        option src 'wan'
        option target 'DNAT'
        option dest_port '1195'
        option enabled '1'
        list proto 'udp'

Sembrerebbe a posto; unico dubbio la riga option forward 'REJECT'...che dici?
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: roleo - 08 Giugno 2018, 08:30
L'ultima sezione "config userredirect" a cosa ti serve?
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: Crist - 08 Giugno 2018, 11:13
Credo sia un refuso di una prova fatta da GUI e non più "pulita": provo a toglierla e ti faccio sapere.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: Crist - 09 Giugno 2018, 07:53
Come non detto: stesso esito.
Continuerò a provare appena possibile.
Notavo che la guida sul wiki openwrt è stata aggiornata sulla wiki nuova openwrt: che dici varrebbe la pena tentare (usando le differenze relative al nostro modem)?
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: Crist - 10 Giugno 2018, 18:26
Funziona tutto alla perfezione!

Ho seguito la guida nuova a questo link: https://openwrt.org/docs/guide-user/services/vpn/openvpn/server.setup (https://openwrt.org/docs/guide-user/services/vpn/openvpn/server.setup)

Per chi si fosse trovato nella mia stessa situazione (ovvero segunedo la guida su questo sito), prima di buttarsi sulla nuova NON dovete disinstallare openSSL e openvpn già installati precedentemente (se vi funzionavano/installavano senza errori).
Perchè in pratica dovrete solo rifare le configarzioni e rigenerare i certificati seguendo i passaggi mostrati DOPO la fase iniziale di installazione (che voi avete fatto già).
Quindi avrete i files vari tutti in /etc/openvpn (genererà anche una sottocartella di appoggio SSL).

Consiglio di "pulire" i files openvpn.conf (tutto), network e firewall dalle voci relative alla vpn; i comandi che andrete a immettere da terminale, li ripopoleranno senza rischiare doppioni o intrugli vari.
La prima grande differenza rispetto alla guida di Roleo è che qui si usa il file config di openvpn (e non uno custom), con vari settaggi.
La seconda è che non serve spostare i file client: verrà generato un unico file .OVPN copiando i comandi dagli script sulla guida.
La terza (e credo cruciale per quanto mi riguarda) è che se non si dispone di un vero IP statico, bisogna appoggiarsi ad un DDNS (che possedevo già con no-ip): è per quello che non vedeva la porta dall'esterno; rimane comunque strano che a nessun'altro questo particolare abbia influito...

In pratica non si dovrebbero fare errori gravi appunto perchè si toccano le configurazioni e non parti cruciali del sistema.
Spero sia di aiuto.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: Crist - 11 Giugno 2018, 21:52
Dopo alcune prove, nonostante la connessione stabilita, non riesco a navigare o chiamare via voip (non mi registra il servizio).
Sullo smartphone (Samsung Note4 con custom rom Ressurrection Remix) uso due app vpn (OpenVPN ufficiale e "OpenVPN per Android"): entrambe con lo stesso esito ovvero connessione ok ma non riesco ad ineragire in nessun modo:
- no browsing www;
- no browsing in locale (puntando ip interni alla mi rete, sia ip regolari 192.168.1.x sia ip assegnati da vpn 192.168.200.x);
- no voip (uso Zoiper).

Mi sono riletto i post di questo thread dall'inizio, modificando il firewall con l'aggiunta delle due regole di fw avendo come src lan/wan.
Niente.

Vi posto la situazione attuale, magari a qualcuno verrà un'idea...

Log lato server (c'è n'è uno dentro /tmp)

Codice: [Seleziona]
Sun Jun 10 17:45:22 2018 OpenVPN 2.3.18 arm-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on May 11 2018
Sun Jun 10 17:45:22 2018 library versions: OpenSSL 1.0.2n  7 Dec 2017, LZO 2.10
Sun Jun 10 17:45:22 2018 Control Channel Authentication: using '/etc/openvpn/tls-auth.key' as a OpenVPN static key file
Sun Jun 10 17:45:22 2018 TUN/TAP device ovpns0 opened
Sun Jun 10 17:45:22 2018 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Sun Jun 10 17:45:22 2018 /sbin/ifconfig ovpns0 192.168.200.1 netmask 255.255.255.0 mtu 1500 broadcast 192.168.200.255
Sun Jun 10 17:45:22 2018 UDPv4 link local (bound): [undef]
Sun Jun 10 17:45:22 2018 UDPv4 link remote: [undef]
Sun Jun 10 17:45:22 2018 Initialization Sequence Completed
Sun Jun 10 18:05:08 2018 xxx.xxx.xxx.xxx:63365 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #1 / time = (1528646707) Sun Jun 10 18:05:07 2018 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Sun Jun 10 18:05:08 2018 xxx.xxx.xxx.xxx:63365 TLS Error: incoming packet authentication failed from [AF_INET]xxx.xxx.xxx.xxx:63365
Sun Jun 10 18:05:09 2018 xxx.xxx.xxx.xxx:63365 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #2 / time = (1528646707) Sun Jun 10 18:05:07 2018 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Sun Jun 10 18:05:09 2018 xxx.xxx.xxx.xxx:63365 TLS Error: incoming packet authentication failed from [AF_INET]xxx.xxx.xxx.xxx:63365
Sun Jun 10 18:05:10 2018 xxx.xxx.xxx.xxx:63365 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #7 / time = (1528646707) Sun Jun 10 18:05:07 2018 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Sun Jun 10 18:05:10 2018 xxx.xxx.xxx.xxx:63365 TLS Error: incoming packet authentication failed from [AF_INET]xxx.xxx.xxx.xxx:63365
Sun Jun 10 18:05:10 2018 xxx.xxx.xxx.xxx:63365 WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Sun Jun 10 18:05:10 2018 xxx.xxx.xxx.xxx:63365 WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Sun Jun 10 18:05:10 2018xxx.xxx.xxx.xxx:63365 WARNING: cipher with small block size in use, reducing reneg-bytes to 64MB to mitigate SWEET32 attacks.
Sun Jun 10 18:05:10 2018 xxx.xxx.xxx.xxx:63365 [my-client] Peer Connection Initiated with [AF_INET]xxx.xxx.xxx.xxx:63365
Sun Jun 10 18:05:10 2018 my-client/xxx.xxx.xxx.xxx:63365 MULTI_sva: pool returned IPv4=192.168.200.2, IPv6=(Not enabled)
Sun Jun 10 18:05:10 2018 my-client/xxx.xxx.xxx.xxx:63365 send_push_reply(): safe_cap=940
Sun Jun 10 23:09:42 2018 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]xxx.xxx.xxx.xxx:36131
Mon Jun 11 10:42:29 2018 xxx.xxx.xxx.xxx:38406 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #7 / time = (1528706547) Mon Jun 11 10:42:27 2018 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings

Gli errori di cifratura non so quanto possano influire (visto che comunque si connette); però quel TLS?

firewall

Codice: [Seleziona]
config rule
option name 'Allow-OpenVPN-Inbound'
option target 'ACCEPT'
option src '*'
option proto 'tcpudp'
option dest_port '1194'

config zone
option name 'vpnserver'
option network 'vpnserver'
option input 'ACCEPT'
option forward 'REJECT'
option output 'ACCEPT'
option masq '1'

config forwarding
option src 'vpnserver'
option dest 'wan'

config forwarding
option src 'vpnserver'
option dest 'lan'

config forwarding
option src 'lan'
option dest 'vpnserver'

config forwarding
option src 'wan'
option dest 'vpnserver'

Network

Codice: [Seleziona]
config interface 'vpnserver'
    option  ifname      'ovpns0'
    option  proto       'none'
    option  auto        1

openvpn.conf

Codice: [Seleziona]
config openvpn 'vpnserver'
    option  enabled             1
    option  dev_type            'tun'
    option  dev                 'ovpns0'
    option  port                1194
    option  proto               'udp'
 
    option  comp_lzo            'yes'
    option  keepalive           '10 120'
    option  persist_key         1
    option  persist_tun         1
 
    option  ca                  '/etc/openvpn/ca.crt'
    option  cert                '/etc/openvpn/my-server.crt'
    option  key                 '/etc/openvpn/my-server.key'
    option  dh                  '/etc/openvpn/dh2048.pem'
    option  tls_auth            '/etc/openvpn/tls-auth.key 0'
 
    option  mode                'server'
    option  tls_server          '1'
    option  server              '192.168.200.0 255.255.255.0'
    option  topology            'subnet'
    option  route_gateway       'dhcp'
 
    option  client_to_client    '1'
    option log '/tmp/openvpn.log'
 
 
    list    push                'comp-lzo yes'
    list    push                'persist-key'
    list    push                'persist-tun'
    list    push                'topology subnet'
    list    push                'route-gateway dhcp'
    list    push                'redirect-gateway def1'
    list    push                'route 192.168.200.0 255.255.255.0'
    list    push                'dhcp-option DNS 192.168.1.1'

Come vedete la riga "push                'redirect-gateway def1'" era già presente.

Magari lato conf è tutto ok e forse mi veniva in mente che bisogna fare qualche modifica lato router, più precisamente dalla piastrella "Informazioni extra IP", nella quale si dichiarano le regole di instradamento.
Boh

Continuerò a provare.

Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: roleo - 12 Giugno 2018, 08:42
- no browsing www;
Con questo intendi che vorresti navigare attraverso la vpn? Cioè che tutto il traffico passi attraverso la vpn?
Visto che "redirect-gateway" è a posto e le regole di firewalling ci sono proverei a togliere il push di "topology subnet".

- no browsing in locale (puntando ip interni alla mi rete, sia ip regolari 192.168.1.x sia ip assegnati da vpn 192.168.200.x);
Riesci a pingare l'ip del server vpn?
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: Crist - 12 Giugno 2018, 12:24
@roleo sei un grande!

Togliendo quel settaggio va tutto alla grande! Ora lo provo appena esco di casa per la canonica "prova del nove" (chiamate e navigamento random) ma già da qui, in LTE, mi si collega (mantenendo l'IP 192.168.200.2) sia sul web che su Zoiper.

In pratica prima mi si collegava solo fino al server vpn e poi non venivo instradato nel router: mi fermavo lì.

Un consiglio: puoi affiancare, anche semplicemente con un link, la guida nuova OpenWRT sull'installazione vpn alla tua già ottima guida (basata sul precedente riferimento OpenWRT), per chi dovesse incontrare problemi. "Tu is meglie che uan!" (cit.)  :D
Grazie ancora.  :clap:

Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: yhcim86 - 17 Giugno 2018, 20:31
@Crist ho visto che sei riuscito nell'intento della VPN e di far Funzionare il Numero Voip TIM tramite app. android zoiper alla fine riesci a telefonare da rete 4g tramite vpn con il modem di casa???
Se si mi puoi dare una mano cortesemente anche a me?
Grazie mille
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: Crist - 18 Giugno 2018, 14:39
Non hai riportato il problema che riscontri.
Come ho già scritto, se hai seguito la procedura di Roleo (che si basa in parte sulla prima/vecchia guida dal sito OpenWRT), devi solo cancellare tutti i file di certificazione creati, il file conf custom della vpn, fermare il servizio vpn e i file certificazione/conf lato client.
Dopo segui la procedura nuova dal sito OpenWRT (link già postato precedentemente), avendo cura alla fine di togliere dal file di conf la riga che si riferisce al push di "topology subnet".
Rifai partire il servizio vpn e non dovresti avere problemi.
In caso dimmi e cercherò di aiutarti.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: yhcim86 - 18 Giugno 2018, 19:53
@Crist  io devo fare per la prima volta questa procedura e se non ti dispiace la vorrei fare passo passo con te che sei più esperto.
Semmai Open VPN ha un costo mensile o annuale o è totalmente Free???
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: Crist - 18 Giugno 2018, 22:04
Esperto è una parola decisamente grossa... :D
Considera che anche io la vpn l'ho usata poco in ambito lavorativo (nel 2005 la usavo con il servizio CheckPoint) e non me ne sono mai interessato a fondo perchè non mi serviva in ambito privato.
In questo caso si parla di VPN open, ovvero un server creato sul tuo dispositivo (in questo caso un modem/router); poi ci sono anche quelli a pagamento offerti da varie compagnie, con le più disparate opzioni e combinazioni.
E' gratuito e si basa su uno scambio di certificazioni e chiavi, impostate precedentemente in fase di installazione: quindi niente autenticazione user:pwd "on demand".

Io avevo iniziato con il seguire la guida di Roleo ma non mi funzionava, ovvero non riusciva a raggiungere il mio server vpn sul mio router; il servizio girava regolarmente e le porte erano correttamente settate ma dal mio client sullo smartphone non riuscivo a stabilire il contatto con il server.

Mi stavo abbacchiando quando mi venne in mente che, nella pagina OpenWRT citata da Roleo era presente il link per la nuova guida su OpneVPN. Avevo deciso di dargli una chance.
E iniziando a leggere un po, avevo già individuato il mio problema principale: bisognava settare un DDNS (o usare un IP statico se in uso). Quindi se non disponi di un IP statico, dovrai inscriverti ad un servizio DDNS (io uso No-IP e pago 30 ero l'anno ma puoi usarlo anche gratis con delle limitazioni). In questo modo avrai un DNS con il quale poter raggiungere il tuo modem/router dall'esterno.

Se tu non hai iniziato ad installare nessuno dei programmi utilizzati per la vpn, allora la guida la puoi seguire dall'inizio: https://openwrt.org/docs/guide-user/services/vpn/openvpn/server.setup (https://openwrt.org/docs/guide-user/services/vpn/openvpn/server.setup)
Attenzione: controlla di avere i repository settati correttamente su questo sito, per il DGA4310 (ora non ricordo se sulla cartella di Ansuel o Roleo) perchè sulla guida OpenWRT fanno riferimento ai pacchetti generali; ma ogni architettura ha bisogno dei suoi.

Fammi sapere se fin qui è tutto chiaro.

EDIT: Questo il repo https://repository.ilpuntotecnico.com/files/roleo/public/agtef/brcm63xx-tch/packages (https://repository.ilpuntotecnico.com/files/roleo/public/agtef/brcm63xx-tch/packages)





Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: freddy0h - 29 Giugno 2018, 20:10
per usare openvpn client anzichè server, che regole devo inserire su uci? qualcuno di voi ci ha già provato?
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: ELGeKo - 28 Luglio 2018, 16:41
Se volessi collegare il mio modem ad una vpn di terze parti, e quindi renderlo un client, in modo da dirottare tutto il traffico, come dovrei fare?
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: mavelot - 28 Luglio 2018, 21:22
Devi impostare adeguatamente le regole di routing.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: ELGeKo - 28 Luglio 2018, 23:05
Non c'è qualche tutorial al rigurado?
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: graphixillusion - 12 Agosto 2018, 16:48
Mi associo anche io alla richiesta di ElGeko: quali sarebbero gli step e le configurazioni necessarie affinchè il router diventi un router vpn collegandolo ad un servizio di terze parti? Grazie!
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: nclmrc - 12 Agosto 2018, 23:47
Seguite questa, cambiando opportunamente il file ovpn e i nomi. Provata da un altro utente, ha funzionato.
https://nordvpn.com/it/tutorials/openwrt/openvpn/
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: ELGeKo - 09 Settembre 2018, 19:14
Seguendo questa guida il VoIP funziona?
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: lorenzocanalelc - 28 Ottobre 2018, 11:58
Buongiorno, ho aggiornato il mio AGTHP all'ultima versione stabile (1.1.2) e quindi mi ritrovo a dover reinstallare OpenVPN, purtroppo il link per generare i certificati è obsoleto e seguendo passo passo la nuova guida di OpenWrt Project nel momento in cui vado ad inserire il file ovpn sul mio client mi viene chiesta una password che non ho idea di quale sia. L'unica cosa che mi viene in mente è che durante la generazione dei certificati della nuova guida mi viene chiesta una PEM password, però anche provando ad inserire quest'ultima la connessione non va. Mi potete dare una mano e con la scusa possibilmente aggiornare la guida? Grazie mille
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: roleo - 08 Novembre 2018, 12:32
Aggiornato il primo post.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: hasalm60 - 03 Dicembre 2018, 12:09
buongiorno a tutti voi
ho un problema ad installare openvpn errore opkg update
opkg downloads failed http://download.openwrt.org/chaos_calmer/15.05.1/brcm63xx_tch/VBNTK/pacages/Pacages.gz
qualcuno mi puo aiutare grazie a tutti
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: radero - 03 Dicembre 2018, 20:32
Chiedo gentilmente a Roleo di rivedere un pò il primo post qualche link non funziona bene, non riesco ad installare in modo corretto openvpn su AGTHP.

Poi una curiosità ma i comandi uci uno alla volta o si possono copiare ed incollare in blocco?

Grazie
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: MisterFTTH - 03 Dicembre 2018, 20:40
I 4 link presenti nella guida risultano tutti attivi, a quali ti riferisci?
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: radero - 03 Dicembre 2018, 20:44
Verificare di avere opkg configurato correttamente per accedere al repository
#AGTEF
https://repository.ilpuntotecnico.com/files/roleo/public/agtef/brcm63xx-tch/packages
#AGTHP
https://repository.ilpuntotecnico.com/files/roleo/public/agthp/brcm63xx-tch/packages

devo configuare qualche file distfeeds o customfeeds in etc\opkg\ ?
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: MisterFTTH - 03 Dicembre 2018, 20:51
Esatto, se non sbaglio va modificato /etc/opkg/distfeeds.conf
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: radero - 03 Dicembre 2018, 20:53
adesso c'è questo:
src/gz chaos_calmer http://downloads.openwrt.org/chaos_calmer/15.05.1/brcm63xx-tch/VBNTK/packages

cosa e come devo mettere per AGTHP

chiedo scusa per le domande stile chat, ma penso che interessi un pò tutti.
Poi se puoi rispondimi sul fatto dei comandi UCI se vanno una riga  alla volta o si possono copiare in blocco

Non riesco a vedere sul router la directory /etc/openvpn /keys  da cui si dovrebbero poi copiare i file da portare nel client, vedo solo la cartella SSL

Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: hasalm60 - 04 Dicembre 2018, 10:21
salve a tutti
neanche io trovo  /etc/openvpn /keys  tls-auth.key , nel realizzare il file .ovpn inserisco BEGIN OpenVPN Static key V1
 prelevando i dati da /etc/openvpn/t.psk ma chiaramente non riesco a stabilire una connessione da cell. utilizzando openvpn per android
servirebbe una config funzionante per test per capire se il server funziona grazie grazie

posto il log di openvpn con una voglia matta di capirci  qualcosa grazie
Codice: [Seleziona]
Tue Dec  4 11:22:43 2018 OpenVPN 2.3.18 arm-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Aug  5 2018
Tue Dec  4 11:22:43 2018 library versions: OpenSSL 1.0.2n  7 Dec 2017, LZO 2.10
Tue Dec  4 11:22:43 2018 OpenSSL: error:02001002:lib(2):func(1):reason(2)
Tue Dec  4 11:22:43 2018 OpenSSL: error:2006D080:lib(32):func(109):reason(128)
Tue Dec  4 11:22:43 2018 Cannot open /etc/openvpn/keys/dh2048.pem for DH parameters
Tue Dec  4 11:22:43 2018 Exiting due to fatal error
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: puandr - 07 Dicembre 2018, 00:17
@roleo , riusciresti ad aggiornare OpenSSL alla 1.0.2q ?
https://www.openssl.org/news/openssl-1.0.2-notes.html
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: zoomx - 07 Dicembre 2018, 09:24
@radero
non ho mai provato ad immettere comandi tutti in una volta, in genere creo un file di testo con tutti i comandi e lancio quello, come fosse un .bat
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: hasalm60 - 07 Dicembre 2018, 12:25
buongiorno a tutto il forum
ancora problemi installazione opkg update
collected errors:
* opkg_download: failed to download https://repository.ilpuntotecnico.com/files/roleo/public/agthp/brcm63xx-tch/packages/packages.gz
grazie per un aiuto
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: MisterFTTH - 07 Dicembre 2018, 12:30
Il link corretto è https://repository.ilpuntotecnico.com/files/roleo/public/agthp/brcm63xx-tch/packages/packages/Packages.gz
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: hasalm60 - 08 Dicembre 2018, 09:31
salve a tutti
ho fatto oltre 10 tentativi ho modificato etc/opkg.conf cambiando gli indirizzi repository da agtef a agthp il risultato non cambia con entrambi
il tutto viene installato ma non trovo ancora  la cartella Keys e quindi tls-auth.key non viene creato quindi sto a zero.
chiedo lumi ai guru del forum, pregandoli di fare una prova per cercare di capire cosa non va oppure se sbaglio io.
fiducioso ringrazio tutti coloro che mi possono aiutare grazie buona giornata.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: flapane - 01 Gennaio 2019, 19:25
Codice: [Seleziona]
Tue Dec  4 11:22:43 2018 OpenVPN 2.3.18 arm-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Aug  5 2018
Tue Dec  4 11:22:43 2018 library versions: OpenSSL 1.0.2n  7 Dec 2017, LZO 2.10
Tue Dec  4 11:22:43 2018 OpenSSL: error:02001002:lib(2):func(1):reason(2)
Tue Dec  4 11:22:43 2018 OpenSSL: error:2006D080:lib(32):func(109):reason(128)
Tue Dec  4 11:22:43 2018 Cannot open /etc/openvpn/keys/dh2048.pem for DH parameters
Tue Dec  4 11:22:43 2018 Exiting due to fatal error

Problema avuto oggi: il tutto è in realtà in /etc/openvpn, senza /keys. Credo sia un errore della guida.
Adesso tutto funziona, e da telefono (Vodafone) riesco ad avere un IP Tiscali. :)
Abitando all'estero, ogni tanto ho bisogno di un IP italiano, e di accedere ad una memoria USB connessa al router, senza fare il forward di Samba via SSH.

P.S Attenzione all'exploit, aggiornate il metodo di criptaggio nel file di config!!! https://bobcares.com/blog/how-to-prevent-sweet32-birthday-attacks-openvpn-blowfish-cipher-vulnerability/
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: puandr - 02 Gennaio 2019, 01:20
E' vero, andrebbero aggiunte, su entrambi i configuration file del client e del server, le righe:
Codice: [Seleziona]
cipher aes-256-cbc
auth sha256

Perchè di default OpenVPN setta come algoritmo di cifratura Blowfish 64bit (che è soggetto al suddetto exploit) e di autenticazione SHA-1, che è debole
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: hasalm60 - 02 Gennaio 2019, 14:46
Buon 2019 a tutti (lato server,lato client)
vedo che il membro flapane ha riscontrato il problema della non creazione delle Keys
chiedo gentilmente di volerci illuminare come ha risolto il problema.
Grazie.

Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: flapane - 04 Gennaio 2019, 16:49
Ho solo scritto che il percorso della guida è errato. Le chiavi vengono create.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: jarod73 - 03 Febbraio 2019, 18:58

Verificare di avere opkg configurato correttamente per accedere al repository
#AGTEF
https://repository.ilpuntotecnico.com/files/roleo/public/agtef/brcm63xx-tch/packages
#AGTHP
https://repository.ilpuntotecnico.com/files/roleo/public/agthp/brcm63xx-tch/packages


@roleo  essendo il repository  1.1.0 unificato agtef/agthp e' ancora necessario impostarlo così??
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: roleo - 08 Febbraio 2019, 15:14
No, non è necessario.
L'url per versioni >= 1.1.0:
https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: nclmrc - 08 Febbraio 2019, 19:34
ma non è lo stesso url caricato di default nella GUI di Ansuel?
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: fedfed - 18 Febbraio 2019, 16:51
Ciao ragazzi. Domanda veloce: se faccio
Codice: [Seleziona]
opkg udate mi restuituisce questo errore:
Codice: [Seleziona]
Collected errors:
 * opkg_download: Failed to download http://downloads.openwrt.org/chaos_calmer/15.05.1/brcm63xx-tch/VBNTK/packages/Packages.gz, wget returned 1.
In effetti il sito restituisce 404. Come posso risolvere? Grazie
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: puandr - 18 Febbraio 2019, 17:29
[email protected]:~# cat /var/log/openvpn.log
Mon Feb 18 17:23:55 2019 OpenVPN 2.3.18 arm-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Nov 17 2017
Mon Feb 18 17:23:55 2019 library versions: OpenSSL 1.0.2q  20 Nov 2018, LZO 2.10

Grande @roleo  :clap: :clap: :clap:

@fedfed
il file /etc/opkg.conf punta al package errato
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: fedfed - 18 Febbraio 2019, 18:27
@puandr Ho notato... Correggetemi se sbaglio: in /etc/opkg/distfeeds.conf va direttamente modificato il link?
Il link corretto quale sarebbe?
Grazie.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: puandr - 18 Febbraio 2019, 18:59
Codice: [Seleziona]
src/gz chaos_calmer_base https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/base
src/gz chaos_calmer_packages https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/packages
src/gz chaos_calmer_luci hhttps://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/luci
src/gz chaos_calmer_routing https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/routing
src/gz chaos_calmer_telephony https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/telephony
src/gz chaos_calmer_management https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/management
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: fedfed - 18 Febbraio 2019, 23:17
Grazie mille @puandr
Ora avrei questo problemino..  :facepalm:
Quando faccio "opkg update", mi restituisce il seguente errore:
Codice: [Seleziona]
Downloading https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/base/Packages.gz
wget: can't load library 'libssl.so.1.0.0'
*** Failed to download the package list from https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/base/Packages.gz
...

Collected errors:
 * opkg_download: Failed to download https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/base/Packages.gz, wget returned 16
...

Il problema è pertanto installare OpenSSL. Come ovviare? Grazie
EDIT: anche in passato avevo questo problema, toglievo la S dopo Http ma ora non funziona più
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: puandr - 18 Febbraio 2019, 23:45
Dimmi se il seguente comando da shell ti dà errore:

Codice: [Seleziona]
wget -P /tmp https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/base/Packages.gz
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: fedfed - 18 Febbraio 2019, 23:47
@puandr yes
Codice: [Seleziona]
[email protected]:~# wget -P /tmp https://repository.ilpuntotecnico.com/files/roleo/
public/agtef/1.1.0/brcm63xx-tch/packages/base/Packages.gz
wget: can't load library 'libssl.so.1.0.0'
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: puandr - 19 Febbraio 2019, 00:00
Installa i seguenti pacchetti:

Codice: [Seleziona]
cd /tmp
opkg install http://blacklist.satellitar.it/repository/wget_1.17.1-1_brcm63xx-tch.ipk
opkg install  http://blacklist.satellitar.it/repository/ca-certificates_20161130+nmu1_all.ipk
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: fedfed - 19 Febbraio 2019, 08:54
@puandr sempre lo stesso problema.
In ogni caso ho resettato tutto e la sto rifacendo da capo. E' bastato fare opkg update e ha aggiornato correttamente senza alcun problema. Se faccio opkg remove libopenssl, allora mi blocca tutto.
Tra l'altro è proprio necessario cambiare la libreria OpenSSL 1.0.2n-1? Perchè mi da errori:
[ You must login or register to view this spoiler! ]

Infine poi se faccio questa istruzione, mi restituisce qualche errore:
[ You must login or register to view this spoiler! ]
Grazie mille per l'aiuto...
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: puandr - 19 Febbraio 2019, 09:46
Stai dando il comando di aggiornamento sbagliato, non è dando l'URL:

Codice: [Seleziona]
opkg install https://repository.ilpuntotecnico.com/files/roleo/public/agtef/brcm63xx-tch/packages/base/libopenssl_1.0.2n-1_brcm63xx-tch.ipk
Che tra l'altro non esiste, perchè aggiornato con la 1.0.2q

Nè facendo il remove

Ma è

Codice: [Seleziona]
opkg upgrade libopenssl
Quegli errori sono warning, perchè hai dichiarazioni duplicate del repository nei file di config di opkg

Citazione
Tra l'altro è proprio necessario cambiare la libreria OpenSSL 1.0.2n-1?

Non è necessario ma consigliato, qui trovi le vulnerabilità che risolve https://www.openssl.org/news/openssl-1.0.2-notes.html
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: ELGeKo - 23 Febbraio 2019, 17:00
C'è modo di mettere solo alcuni dispositivi sotto vpn e non tutta la rete?
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: puandr - 23 Febbraio 2019, 17:14
Eh!?
Ma qui si tratta di una vpn client-to-lan!
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: ELGeKo - 23 Febbraio 2019, 17:26
Io ho fatto l'inverso, non ci sarebbe un modo per reindirizzare solo alcuni dispositivi sotto la vpn?
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: puandr - 23 Febbraio 2019, 17:59
Imposterei delle regole iptables verso l'interfaccia virtuale tun creata dalla vpn sul modem
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: morrison945 - 21 Marzo 2019, 21:23
Scusate l'ignoranza..
ho provato a verificare se accedevo ai repository e mi apriva i link correttamente.. ho cosi iniziato a copiare i comandi in putty. I primi… poi mi sono accorto che mi stava dando degli errori.. preso un po' dal panico ho chiuso e da allora anche cliccando sui link dei repository, mi dice che la pagina non è disponibile..
ho fatto qualche impiccio? come mai non riesco più ad accedervi?
Grazie

EDIT
Non so come ma ora riesco ad accedervi di nuovo.. ma facendo opkg update mi da errori..

can't load library libssl.so.1.0.0

e tutti wget returned 16 ai tentativi di download dei pachetti
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: mtmtko - 29 Marzo 2019, 10:14
Io ho fatto l'inverso, non ci sarebbe un modo per reindirizzare solo alcuni dispositivi sotto la vpn?

scusa posso chiederti come hai fatto?

io vorrei stabilire un tunnel VPN verso l'esterno (ho ip user e pass), successivamente, instradare solo alcuni client della rete verso quella vpn per usarla come gateway,
come posso fare?

Grazie in anticipo!
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: aezakmi123 - 08 Aprile 2019, 10:44
Qualcuno riesce a pingare i dispositivi connessi alla VPN?
Esempio:
cellulare con IP 10.8.0.6
PC con IP 10.8.0.3
L'unico pingabile è il router 10.8.0.1

Per i dispositivi sulla LAN 192.168.1.X non ci sono problemi
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: fabiobassa - 08 Aprile 2019, 23:27
@aezakmi123

Per fare si che i dispositivi si vedano tra di loro nel file conf deve essere esplicitamente dichiarato client to client 1
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: aezakmi123 - 09 Aprile 2019, 14:57
Aggiunta l'opzione client-to-client in /etc/openvpn/my-vpn.conf ora riesco a pingare i dispositivi
Grazie!
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: fabiobassa - 09 Aprile 2019, 15:13
 @aezakmi123
Di nulla , i forum a questo servono !
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: ELGeKo - 11 Aprile 2019, 17:53
scusa posso chiederti come hai fatto?

Io avevo tutta la rete sotto VPN e come te volevo instradare solo alcuni client, ma non so come si fa, adesso ho rimosso tutto
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: fabiobassa - 11 Aprile 2019, 18:52
googleando un poco ho trovato alcuni tutorials di come instradare solo alcune direttrici verso la vpn
metto il link di uno in particolare che è molto chiaro, comunque si tratta di intervenire nella conf ( openvpn.conf)

Il link rimanda ad un forum di terze persone cui vanno tutti i CREDITS , spero questo non infranga la policy del puntotecnico, in caso contrario prego qualche amministratore di rimuovere questo post.

https://serverfault.com/questions/631037/how-to-route-only-specific-openvpn-traffic-through-a-openvpn-based-on-ip-filteri (https://serverfault.com/questions/631037/how-to-route-only-specific-openvpn-traffic-through-a-openvpn-based-on-ip-filteri)

Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: bambo85 - 14 Aprile 2019, 11:39
Scusate l'ignoranza... Ho sbloccato l'agthp e un agtef, tutto funziona senza problemi, a dir poco perfetto. Avrei eprò necessità di configurare la Vpn come server... devo andare in Cina e volevo collegarmi per avere accesso ai file e per baypassare la censura :). Ho seguito la guida per openvpn, ma mi sono completamente perso.

C'è qualche anima pia che potrebbe darmi due dritte anche per configurare correttamente opkg con  i link corretti per agthp? Many thanks
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: nclmrc - 25 Aprile 2019, 10:22
@roleo entrambe le guide per le VPN non funzionano più, penso siano cambiati gli script presenti sul sito di openvpn
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: roleo - 25 Aprile 2019, 10:47
Certo che potrebbero stare un po' fermi...
 :D :D :D

- EDIT -

Aggiornato primo post.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: nclmrc - 26 Aprile 2019, 04:40
@roleo c'è sempre lo script per creare un file ovpn con tutto incluso?
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: aezakmi123 - 26 Aprile 2019, 16:23
Sono OT ma avrei la necessità di installare oltre al server VPN un server HTTP proxy, esiste qualcosa nei repository?
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: roleo - 28 Aprile 2019, 22:50
@roleo c'è sempre lo script per creare un file ovpn con tutto incluso?

Aggiornato il primo post.
Ma a dire la verità non l'ho testato.

Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: giromancino - 30 Aprile 2019, 11:38
Provandolo ad utilizzare ho visto che il file prodotto riporta il nome della variabile anzichè il nome server a cui collegarsi.  Controllando lo script ho visto che per errore c'è una [ anzichè una {     .   
Prendo l'occasione per ringraziare @roleo  per l'ottimo lavoro svolto che è stato utile a me e a molti altri utenti.

Segnalo un problema che ho riscontrato seguendo la guida, magari può essere utile nel caso qualcuno incontri lo stesso problema.
Lo script di esempio per la configurazione server e client non sono compatibili relativamente al meccanismo di compressione e questo, almeno nel mio caso, non permetteva nessuna comunicazione tra client e server anche se la vpn risultava come connessa(ho provato sia con il cliente ufficiale openVPN per windows che un paio di client per Android).
Non so magari con altre versioni meno recenti di quelle attuali del server/client i valori di default erano diversi e funzionava tutto.
Soluzione 1 :
no compressione specificata lato client: si toglie "comp-lzo" dal file di configurazione del client
Soluzione2(quella che ho deciso di adottare):
abilitazione compressione lato server: Si aggiunge la direttiva "comp_lzo 'yes'"   (aggiugendo la riga "option comp_lzo 'yes'" al file di configurazione /etc/config/openvpn o con il comando uci).

In questo modo funziona tutto regolarmente
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: roleo - 30 Aprile 2019, 13:17
Ho corretto le segnalazioni che hai fatto.
Testato e funzionante.
Grazie.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: lorenzocanalelc - 06 Maggio 2019, 10:41
Ciao ragazzi, ho provato la guida sul DGA4131 sbloccato con la GUI di Ansuel, dato che comunque ho notato che il kernel era sempre 3.4.11-rt19 come per il DGA4132, ma non ha funzionato (non che mi aspettassi funzionasse) . Tutto il processo è andato bene fino al momento in cui ho ho eseguito OpenVPN. In quel momento (Immagino a causa del kmod incompatibile) il modem si è riavviato ed è entrato in un bootloop (Probabilmente a causa del OpenVPN enable). Per fortuna il modem si avviava quasi completamente quindi grazie ad un reset non ho avuto problemi a reinstallare la GUI e tutto. Pensate ci sia possibilità per il futuro di adattare la guida?? P.S.:Come repository ho usato quella default della gui di Ansuel che era: https://repository.ilpuntotecnico.com/files/roleo/public/agtef/brcm63xx-tch/packages che immagino fosse adeguato visto che il fw era il 17.2
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: LuKePicci - 06 Maggio 2019, 16:04
Quando fai queste prove, per sicurezza, falle mentre hai avviato bank_2 con bank_1 attiva e piallata, così per rientrare in caso di problemi ti basta caricare il firmware da tftp in bank_1
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: lorenzocanalelc - 06 Maggio 2019, 16:16
Scusa perché con Bank_2? Io avrei detto Bank_1, tra l'altro la GUI di Ansuel quando viene installata mi ha automaticamente clonato la Bank_2 in 1 e switchato in Bank_1. Pensavo di essere più al sicuro su essa proprio per il fatto del TFTP (Avendo avuto brutte esperienze con l'AGTOT ormai non mi spavento più dei bootloop).
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: LuKePicci - 06 Maggio 2019, 17:22
Lo so è controintuitivo, ma è così. Se stai in bank_1 e la incasini sei potenzialmente fritto, perchè poi a quel punto far avviare la 2, a seconda di quanto e come tu abbia incasinato le cose è complicato, e le speranze di recuperarlo dipenderebbero dalle condizioni in cui è bank_2 in quel momento, cioè se c'è gia sopra o meno un firmware sboccato/sbloccabile. Ti basti pensare che il disco di ripristino nei vecchi pc senza modalità di recovery funziona allo stesso modo. Hai il pc che tenta prima l'avvio da floppy, per un eventuale ripristino, poi l'hd interno potenzialmente incasinato. Se il floppy non è inserito parte l'os dal disco rigido.
Se come hai detto sei finito in un bootloop continuo vuol dire che la tua bank_2 aveva qualche problema. In questo caso, se il casino fosse stato più grave non saresti stato in grado di lanciare il reset col pulsante, e i giochi sarebbero finiti perchè non avevi modo di far funzionare l'altra bank

La situazione ideale di normale utilizzo secondo me è:
bank_1 (/dev/mtd3): vuota, attiva, non avviata
/overlay/bank_1: sblocco essenziale
bank_2 (/dev/mtd4): fw in uso, non attiva, avviata
/overlay/bank_2: sblocco ed esperimenti vari

Supponi di fare al contrario, cioè di usare quotidianamente bank_1:
- se il casino che fai ti porta ad un freeze senza bootloop e senza possibilità di reset da tasto, andare in bank_2 quando la attiva è la 1 è un casino e se in bank_2 non c'è già qualcosa di buono sei fritto; con il setup che ho detto sopra ti basta caricare un firmware sbloccabile con tftp in bank_1 ed entri.
- se invece va in bootloop, senza freeze, ma comunque prima che il reset da tasto possa funzionare e in bank_2 non c'è tutto pronto come dovrebbe sei dl nuovo fregato; anche qui con l'altro setup invece ti salvi
 - se ti va in bootloop con overlay piena il reset da tasto non funziona. e se in bank_2 non hai già tutto pronto, sbloccato e intatto allora sei di nuovo fregato; con l'altro setup, la cosa non differisce di molto, almeno che non predisponi lo sblocco essenziale su una delle due in modo da fungere da vera e propria recovery, cioè gli fai formattare tutto prima che i servizi vadano in errore tentando di accedere all'overlay, l'unico pro del far fungere come recovery la numero 1 è che così facendo puoi caricare tu quando serve il firmware giusto da tftp, cosa che in bank_2 richiede invece una predisposizione a priori

Infine, se usi giornalmente bank_2, puoi formattare bank_1 per salvarci dentro, invece che un firmware, tutte le modifiche che ti pare guadagnando un bel po' di spazio. Se salvavi in bank_1 i kmod incopatibili e facevi in modo che li caricasse da lì, in caso di problemi, di nuovo, ti bastava caricare in bank_1 un firmware qualsiasi che avrebbe sovrascritto tutta la roba problematica.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: lorenzocanalelc - 06 Maggio 2019, 18:44
Interessantissima spiegazione, completa e precisa in ogni punto. Solo un paio di domande
1) Cosa intendi in
bank_1 (/dev/mtd3): vuota, attiva, non avviata
per attiva, per caso che appunto monto /dev/mtd3 e la rendo visibile dal fw che è in esecuzione su Bank_2, se si come dovrei fare?
2) Credo che in realtà io non abbia dato il tempo di riavviarsi le 3 volte necessari per switchare in Bank 2 (Si è riavviato credo solo 2 volte e poi ho effettuato il reset), quindi spero che in realtà in questo momento sulla Bank 2 ci sia lo stesso identico set-up della Bank 1 (Visto che la GUI di Ansuel nello script di installazione ha copiato il fw e eseguito lo switchover), c'è un modo per verificarlo senza effettivamente fare lo switchover?
3) Perché dovrebbe essere più facile passare dalla 2 alla 1? La procedura non dovrebbe essere la stessa?
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: LuKePicci - 06 Maggio 2019, 19:47
1) No, per attiva intendo che di default, all'avvio lui tenta di avviare quella. Se la 1 è attiva ma vuota (cioè mtd3 piena di zeri o spazzatura), fallisce tre volte e parte dalla 2. Lo switchover cambia la bank attiva.

2) Certo che c'è un modo semplice, pialla la bank 1, spegni e riaccendi. Dopo 3 fallimenti parte la 2, e questo senza aver fatto alcuno switch. Però non so cosa tenti di fare a quel punto la custom gui, se parte di nuovo a "clonarsi" sulla 1 per poi fare ciecamente uno switch senza notare che la 1 è già attiva potresti dover attendere una nuova iterazione dello stesso processo prima che si stabilizzi come è ora. Oppure ti sfogli la cartella /overlay/bank_2 e vedi cosa c'è dentro interpretando "a mano" il contenuto cercando di capire cosa avverrà in caso di problemi.

3) Perchè se la attiva è la 1, vuota, ti si avvia la 2, a quel punto ti basta rimetterci qualcosa dentro con tftp per avviarla. Il contrario non puoi farlo, perchè tftp scrive sempre nella 1.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: lorenzocanalelc - 06 Maggio 2019, 22:48
Interessantissima questa cosa della Bank attiva ma non avviata, non avevo idea funzionasse così, sembra veramente la soluzione migliore. Quindi se io adesso svuoto la mtd3 (Quale sarebbe il comando da dare?) lui avvia la bank_2 e ad ogni riavvio prova ad avviare la bank_1? (Così nel caso qualcosa non funzioni basta inviare un fw via tftp e lui lo avvia in automatico così che possa sistemare le bank_2?)
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: LuKePicci - 06 Maggio 2019, 23:06
Esatto, ma prima di farlo chiedi a chi sviluppa la dev cosa succede facendolo per il motivo di cui parlavo prima. Il comando per cancellare una partizione è mtd erase. Poi devi dargli o il percorso dell'mtd device (/dev/mtdX) o il nome della partizione come lo vedi da 'cat /proc/mtd' (quindi bank_1), meglio il secondo per non fare un guaio.

Chiedo scusa per aver deviato OT questa discussione ma penso che la cosa possa tornare utile per chi sperimenta con queste mod come openvpn che richiedono di installare pacchetti più "pericolosi".
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: lorenzocanalelc - 06 Maggio 2019, 23:10
Grazie di tutto, chiedo scusa anch’io
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: puandr - 12 Giugno 2019, 11:31
Attenzione che l'opzione comp-lzo (utilizzata nella configurazione della sessione), sarà deprecata dalla prossima versione di openvpn, la 2.4
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: Snake1980 - 29 Luglio 2019, 00:50
Ciao a tutti, sono sulla 2.0.1.
Sto seguendo la guida in prima pagina per le verisoni successive alla 1.1.0, ma credo si sia "rotto" tutto in questo preciso momento...

Codice: [Seleziona]
opkg remove libopenssl --force-depends
opkg install https://repository.ilpuntotecnico.com/files/roleo/public/agtef/brcm63xx-tch/packages/base/libopenssl_1.0.2n-1_brcm63xx-tch.ipk

Ora in pratica non riesco più nemmeno a fare un update...

Ottengo sempre questi errori...

Codice: [Seleziona]
...
Downloading https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/packages/Packages.gz
wget: can't load library 'libssl.so.1.0.0'
*** Failed to download the package list from https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/packages/Packages.gz
...
...
...
 * opkg_download: Failed to download https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/packages/Packages.gz, wget returned 16.

Ho anche provato a cambiare il protocollo (passando in http) per tutti i repository sotto /etc/opkg.conf, ma niente.
Ho scaricato in locale il pacchetto https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/base/libopenssl_1.0.2q-2_brcm63xx-tch.ipk per provare ad installarlo "offline", ma mi dà questo errore...

Codice: [Seleziona]
[email protected]:/tmp# ll | grep libopen
-rw-r--r--    1 root     root        751037 Jul 29 00:47 libopenssl_1.0.2q-2_brcm63xx-tch.ipk
[email protected]:/tmp# opkg install libopenssl_1.0.2q-2_brcm63xx-tch.ipk
Installing libopenssl (1.0.2q-2) to root...
Downloading http://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/base/libopenssl_1.0.2q-2_brcm63xx-tch.ipk
wget: can't load library 'libssl.so.1.0.0'
Collected errors:
 * opkg_download: Failed to download http://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/base/libopenssl_1.0.2q-2_brcm63xx-tch.ipk, wget returned 16.
 * opkg_install_pkg: Failed to download libopenssl. Perhaps you need to run 'opkg update'?
 * opkg_install_cmd: Cannot install package libopenssl.

come ne esco ?  :huh:
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: aezakmi123 - 04 Agosto 2019, 12:56
Qualche settimana fa ho notato nel log di OpenVPN /var/log/openvpn.log alcuni strani accessi e geolocalizzando gli IP uscivano fuori Cina e USA. Ho subito terminato il processo e creato nuove chiavi (anche con diversi PC per paura di aver preso qualche virus come un RAT) il risultato non cambia, dopo pochi giorni dall'installazione delle nuove chiavi noto nuovamente accessi non miei.
Queste chiavi non dovrebbero essere a prova di bomba o comunque hanno bisogno di supercomputer per essere forzate?
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: fabiobassa - 04 Agosto 2019, 14:35
@aezakmi123
Ti confermo la cosa e inoltre a me hanno sfondato anche SSH, ip Chinese.

Come é mai possibile ? E va tenuto presente anche che non erano su porte note ( né 22 né 1194)

Che sia qualche nuovo exploit ?
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: aezakmi123 - 04 Agosto 2019, 15:23
@fabiobassa come anche l'SSH, c'è un modo per sapere i login effettuati? Io per la VPN ho fatto uno script che monitora il log e manda delle notifiche su un bot Telegram.
Proprio ora che sono dovuto partire  :wtf:, ho bisogno di connettermi alla VPN

Edit:
Ora che ci penso si spiega anche l'SSH, ecco perché mi sono trovato svuotata la cartella root del router
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: fabiobassa - 04 Agosto 2019, 15:28
Me ne sono accorto perché ad un mio accesso mi é comparsa la scritta
Codice: [Seleziona]
last login on .... from 105.xxx.xxx.xxxed era un ip cinese.

Bel casotto .

EDIT:
A te ha attaccato e cancellato la root, a me ha creato utenti VoIP su asterisk
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: larsen64it - 05 Agosto 2019, 04:27
@aezakmi123 @fabiobassa
Ragazzi bene l'allerta sul forum, se le cose stanno in questo modo, mandate una comunicazione quantomeno agli autori dei programmi in modo che il bubbone venga allo scoperto... è importante.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: fabiobassa - 05 Agosto 2019, 09:50
@larsen64it

Ciao Larsen, si la cosa è importante ma non a caso ho risposto ad un post di @aezakmi123 e non ho fatto una segnalazione mia , perchè alcune cose vanno prima vagliate, confermate, riprodotte.

Segnalare la cosa agli sviluppatori "potrebbe" creare allarmismo e,  se non confermato,  suscitare risposte poco ortodosse, fischi pernacchi e inviti a compare tricicli ( gia successo  ::)  )

Vediamo se altri qui sul forum sono incappati nel problema, altrimenti devo optare in una cattiva configurazione MIA o altri guai ( keylogger ? virus su qualche app del telefono? woodo ? spiriti maligni ? )
Insomma, confermiamo la cosa

EDIT : confermiamo la cosa.... questo è il log di stamattina
Codice: [Seleziona]
Mon Aug  5 08:57:52 2019 TCPv4_SERVER link remote: 186.23.160.189:54241
Mon Aug  5 08:57:54 2019 186.23.160.189:54241 WARNING: Bad encapsulated packet length from peer (5635), which must be > 0 and <= 1543 -- please ensure that --tun-mtu or --link-mtu is equal on both peers -- this condition could also indicate a possible active attack on the TCP link -- [Attempting restart...]
Mon Aug  5 08:57:54 2019 186.23.160.189:54241 Connection reset, restarting [0]
Mon Aug  5 08:57:54 2019 186.23.160.189:54241 SIGUSR1[soft,connection-reset] received, client-instance restarting
Mon Aug  5 08:57:54 2019 TCP/UDP: Closing socket
fortunatamente credo di capire Closing socket ma leggo anche this condition could also indicate a possible active attack on the TCP link
meno male che dunque connessione abortita.. ma intanto questo è ...
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: LuKePicci - 05 Agosto 2019, 10:11
Questo mi sembra più inerente i recenti sviluppi su TCP-SACK ma con l'accesso abusivo non credo c'entri nulla.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: fabiobassa - 05 Agosto 2019, 10:29
@LuKePicci

Ho letto qualcosa su questo tpc-sack , ma è anche vero che uno degli accessi ( grazie ad @aezakmi123 che ha segnalato la cosa perche a me non sarebbe mai venuto in mente di controllare il log  ) riporta almeno un tentativo di transazione, fortunatamente andato a male
Codice: [Seleziona]
Sun Aug  4 20:52:22 2019 TCPv4_SERVER link remote: 141.98.81.254:2216
Sun Aug  4 20:53:22 2019 141.98.81.254:2216 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun Aug  4 20:53:22 2019 141.98.81.254:2216 TLS Error: TLS handshake failed
Sun Aug  4 20:53:22 2019 141.98.81.254:2216 Fatal TLS error (check_tls_errors_co), restarting
Sun Aug  4 20:53:22 2019 141.98.81.254:2216 SIGUSR1[soft,tls-error] received, client-instance restarting
Sun Aug  4 20:53:22 2019 TCP/UDP: Closing socket

Forse si tratta di qualche nuova forma congiunta di attacco

Io purtroppo non ho le skills per fare una indagine " forense " cosi approfondita, forse qualcuno degli admin potrebbe aprire un post per le segnalazioni  di chiunque abbia un vpn-server attivo e fare un confronto

EDIT : tutti ip east -middle east
https://report.cs.rutgers.edu/DROP/attackers
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: aezakmi123 - 05 Agosto 2019, 14:33
Se può servirvi io per ora ho realizzato questo script per controllare gli accessi, come ho detto non posso disattivare tutto non essendo a casa e avendo la necessità di connettermi alla VPN

Controllo accesso SSH (che ho solo in locale)
Controllo accesso VPN
Utilizzo un bot Telegram per mandare la notifica ma può essere adattato anche per mandare un'email

Lo script viene avviato in modo sporco mettendo il percorso in /etc/rc.local
Es: /root/controlloaccessi.sh &

Codice: [Seleziona]
#!/bin/sh

URL="https://api.telegram.org/botXXXXX:XXXXXXXXXXXXXXXXXXXXX/sendMessage"

logread -f | (while true ; do
    read -r line_to_check
        if echo $line_to_check | grep "Password auth succeeded" > /dev/null ; then
                curl -F chat_id='XXXXXX' -F text="$line_to_check" $URL
        fi
  done
) &

tail -f /var/log/openvpn.log | (while true ; do
    read -r line_to_check
        if echo $line_to_check | grep "Peer Connection Initiated" > /dev/null ; then
                curl -F chat_id='XXXXXX' -F text="$line_to_check" $URL
        fi
  done
) &
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: fabiobassa - 05 Agosto 2019, 14:43
@aezakmi123

Perfetto io nel frattempo ho visto se fosse possibile implementare fail2ban su openwrt ma assorbirebbe troppe risorse python

 esiste un progetto alternativo con droobear e iptables
Tu che sai scrivere codice potresti integrarli forse
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: scaci - 05 Agosto 2019, 15:23
Su openwrt sarebbe possibile utilizzare delle liste ricorrendo all'estensione ipset di netfilter; tuttavia è un modulo a parte e potrebbe non essere supportato. Secondo me sarebbe la soluzione migliore e semplice

https://openwrt.org/docs/guide-user/firewall/fw3_configurations/fw3_config_ipset (https://openwrt.org/docs/guide-user/firewall/fw3_configurations/fw3_config_ipset)
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: fabiobassa - 05 Agosto 2019, 15:36
@scaci
eh... solo che la lista la si deve mettere a mano

 l'ideale sarebbe aggiungere gli ip alla blacklist via via  che tentano e, si spera, non entrino
ho trovato questi scripts , qualcuno che mastica codice e li puo' integrare prelevando il log dal ssh log  e openvpn log  ?
https://github.com/robzr/dropBrute (https://github.com/robzr/dropBrute)
https://github.com/robzr/bearDropper (https://github.com/robzr/bearDropper)
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: scaci - 05 Agosto 2019, 15:46
@fabiobassa  si e no. 
si potrebbe comunque risolvere con uno script che identifica gli ip. Il vantaggio è che non devi impazzire a scrivere i comandi di iptable, lo fa il router una sola volta ed è la lista ad essere dinamica
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: FrancYescO - 05 Agosto 2019, 21:09
ma siete sicuri siano tentativi di login effettuati con successo e non connessioni in attesa di completamento di autenticazione? il grep "connection established" a me non sembra un tentativo di accesso..

che ci siano bot cinesi che scansionano (e bruteforzano) notte e giorno poi e' pratica standard
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: fabiobassa - 05 Agosto 2019, 21:33
@FrancYescO
no quel log che vedi è SOLO di questa mattina, ma io mi sono ritrovato utenti creati su asterisk e @aezakmi123 si è ritrovato la root svuotata.
Da quel log non risulta che ci siano riusciti, ma prima ci devono essere riusciti in qualche modo.

certo che questi tempo da perdere ne hanno, poi non hanno forse ragione a "diffidare" del 5 G ???

sto mettendo su una vpn farlocca giusto per loggare un po di traffico.
Domanda: siccome nel creare le chiavi di solito si accettano le cose prestabilite ( fort Huston, texas , vuoto, vuoto, etc etc ) e poi quello che cambia è la " miscelazione" con la chiave creata in locale, non è che cambiando quei parametri aumentiamo un po' la sicurezza del tutto?
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: aezakmi123 - 05 Agosto 2019, 23:39
@FrancYescO hai ragione il parametro nel grep è sbagliato, l'ho modificato e ora dovrebbe essere giusto (cioè solo login effettuati con successo) comunque degli accessi non miei ma andati a buon fine ci sono stati ma come già detto probabilmente è per qualche virus preso. Con questo script almeno ricevo delle notifiche istantanee per controllare gli accessi effettuati
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: scaci - 05 Agosto 2019, 23:47

Domanda: siccome nel creare le chiavi di solito si accettano le cose prestabilite ( fort Huston, texas , vuoto, vuoto, etc etc ) e poi quello che cambia è la " miscelazione" con la chiave creata in locale, non è che cambiando quei parametri aumentiamo un po' la sicurezza del tutto?

no, quei campi servono solo ad identificare il proprietario/organizzazione del certificato, ma dato che userai (presumo) un certificato self-signed, poco importa. i parametri che devi modificare sono dentro il file vars di easyrsa e sono:

EASYRSA_KEY_SIZE almeno 2048
EASYRSA_ALGO rsa (credo sia già questo)
EASYRSA_CURVE secp384r1
EASYRSA_DIGEST almeno sha256

nella conf di openvpn, se il router ce la fa, metti "cipher AES-256-CBC"

per ulteriori info https://en.wikipedia.org/wiki/NSA_Suite_B_Cryptography (https://en.wikipedia.org/wiki/NSA_Suite_B_Cryptography)
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: FrancYescO - 05 Agosto 2019, 23:54
Cambiare i valori della CA del certificato self-signed non cambia nulla a livello di sicurezza, il tutto lo fa la generazione della chiave che anche con i parametri standard e' piu' che sicura per le potenze di calcolo odierne

che qualcuno possa in qualche modo aver fatto accesso al router non lo metto in dubbio (qualche tempo fa capitava che per qualche bug si resettava la password ssh a root, anche a me e' capitato qualche volta, bhe in quel caso tempo 1 giorno e qualche bot si sara' impiantato chissa' come/dove nel router se si ha ssh esposto su wan (forse anche meno se lo si fa girare su porta default)

insomma come dicevi anche tu quello che voglio dire piuttosto che "gridare al bug" assicuriamoci prima che almeno il punto di accesso sia stato quello

PS. ci sarebbe wireguard da testare sulle ultime versioni 2.1+ dei firmware DGA, il pacchetto compilato e' gia in repo
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: fabiobassa - 06 Agosto 2019, 00:02
Citazione
....piuttosto che "gridare al bug"...

no no , per carità,  ma sicuramente cerchiamo di replicare ( se è replicabile ) l'avvenuto e debuggare.

Grazie a tutti per le pagine e le soluzioni segnalate
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: turi79 - 17 Agosto 2019, 00:41
Salve mi dite come mettere OpenVPN su tim hub con firmware 2.1.0 e ultima GUI ? Grazie! Poiché ho seguito la guida ma parla di problemi di compatibilità col kernel....
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: yhcim86 - 17 Agosto 2019, 10:33
@turi79  sono interessato anche io a questa modifica perchè dovrei andare in spagna e mi occorre avere un indirizzo italiano e magari poter usare il telefono cellulare come come cordless con il numero di casa italiano, se mi aiuti nella modifica io sono qui ok?
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: LuKePicci - 17 Agosto 2019, 20:30
Io per fare la stessa cosa che vuoi fare tu sto usando strongswan dal dga4131
https://imgur.com/a/WHUe7Gm
se da windows imposto la crittografia a livello standard va praticamente al doppio.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: roleo - 18 Agosto 2019, 19:10
Ho controllato il mio log e non ci sono accessi eseguiti con successo oltre ai miei.
Sarebbe un problemone se veramente ci fosse un buco di questo tipo.
Tengo monitorata la situazione.

Qualcuno potrebbe cortesemente verificare la guida con fw 2? Viste le segnalazioni fatte nei post precedenti.
Io non ho un router a disposizione al momento.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: turi79 - 31 Agosto 2019, 08:17
C’è qualcuno che ha una guida come istallare una vpn commerciale su tim hub praticamente solo lato client?
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: bob8x - 06 Settembre 2019, 16:03
Salve mi dite come mettere OpenVPN su tim hub con firmware 2.1.0 e ultima GUI ? Grazie! Poiché ho seguito la guida ma parla di problemi di compatibilità col kernel....

Anche io ho avuto problemi con la 2.2.
Addirittura quando ho provato ad attivare tun ( modprobe tun ) mi si è freezato il modem ed è andato in bootloop
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: FrancYescO - 06 Settembre 2019, 16:50
con firmware >=2.1.0 la guida è da considerarsi deprecata, o per lo meno i link agli ipk, dato che è cambiato il kernel e quei moduli compilati non vanno più bene.

se viene installata la GUI vengono installati i feeds nuovi compilati da Ansuel https://github.com/Ansuel/GUI_ipk/tree/kernel-4.1 in cui dovrebbero essere già presenti i pacchetti per openvpn, ma che io sappia ad ora ancora nessuno ha confermato tutto funzioni.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: lorenzocanalelc - 06 Settembre 2019, 21:04
Io ho seguito la guida ufficiale (https://openwrt.org/docs/guide-user/services/vpn/openvpn/basic)  e ho installato senza problemi OpenVPN su DGA4130 con Firmware 2.2.0_001, purtroppo però non so se funziona correttamente perché non avevo una connessione con IP Pubblico attiva in quel modem
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: bob8x - 07 Settembre 2019, 11:50
Installare si installa da me, è proprio che non va'.... 

obiettivamente col fatto del kernel 4.1 non ho il downgrade dei pacchetti openssl, ma non credo faccia differenza...
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: LuKePicci - 07 Settembre 2019, 12:47
Io il problema del driver tun che manda in crash i dispositivo ce l'ho anche sul 4131 col pacchetto compilato con le sue configurazioni specifiche, devo ancora capire se nei sorgenti di quella famiglia c'è qualche differenza rilevante a proposito che possa fare risolvere la cosa. @roleo tu avevi fatto qualcosa di particolare a quel driver perchè funzionasse?
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: bob8x - 07 Settembre 2019, 13:49
sisi credo che abbiamo lo stesso problema...
dopo aver usato lo script e le regole firewall della prima pagina, con tutti i pacchetti presi dal repo di ansuel gui_4.1 l'errore che ho mi da' il log è
Codice: [Seleziona]
>  ERROR: Cannot open TUN/TAP dev /dev/net/tun: No such file or directory (errno=2)allo scorso tentativo ad abilitare il tun ( modprobe tun ) mi frozza/riavvia il router
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: LuKePicci - 07 Settembre 2019, 18:44
A me il modprobe va a buon fine, ma crasha quando vado effettivamente a creare l'interfaccia tun
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: lucash78 - 11 Settembre 2019, 14:46
Buon pomeriggio a tutti.
Qualcuno di voi per caso ha provato a installare e configurare il tutto su un TG789vac v2 (aka AGTOT) con firmware iiNet 2.2.1?
In ogni caso, chiedo ai più esperti, varrebbe la pena fare un tentativo?

Grazie
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: LuKePicci - 11 Settembre 2019, 16:20
Qualche driver tun per linux 3.4 su mips ce l'abbiamo, qualcuno compilato artigianalmente, qualcun altro recuperato da dispositivi technicolor diversi che ce lo hanno installato di fabbrica, ma tutti quelli che ho provato provocano il crash del dispositivo.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: lucash78 - 11 Settembre 2019, 16:39
Quindi tutto quello che trovo qui (https://repository.ilpuntotecnico.com/files/roleo/public/agtot_iinet/brcm63xx-tch/packages/base/) non è funzionante?
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: LuKePicci - 11 Settembre 2019, 17:26
I pacchetti di applicazioni e librerie userspace che sono li dentro dovrebbero per lo più funzionare, ma tutto ciò che richiede come dipendenza un pacchetto driver (kmod) è possibile che non funzioni perchè i sorgenti in nostro (mio) possesso non sono abbastanza completi da permetterci di compilare correttamente i suddetti driver. Quello tun (kmod-tun) si installa, carica correttamente, (mi) va in crash quando avvio una interfaccia tun. Altri driver più semplici (soprattutto quelli che non riguardano da vicino il networking) potrebbero funzionare. Nota solo che "agtot_iinet" è una etichetta poco azzeccata, se è iinet non è agtot, e sostanzialmente quei pacchetti funzionano anche su altri firmware simili che siano sempre basati su linux 3.4 per mips. Lo stesso discorso vale per qualsiasi altra repo simile trovi in giro per mips. L'unica differenza tra quelle che conosco è che in questa di roleo i pacchetti sono stati effettivamente ricompilati da zero, in quella sul github di FrancYescO ci sono i pacchetti originali di openwrt per mips non ricompilati ma rimpacchettati in moda da risultare compatibili ai controlli, quelli ufficiali nelle repo di openwrt sono uguali ma devi forzarne l'installazione perchè nei loro metadati espongono compatibilità con una board di nome diverso e con una versione diversa del kernel linux.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: vinceg - 16 Settembre 2019, 09:55
Ciao, volevo provare a installare la vpn ma sono completamente digiuno di certi argomenti. Ho avviato Putty ed eseguito i primi comandi descritti ad inizio topic rimuovendo la libreria con

opkg remove libopenssl --force-depends

ma quando digito

opkg install http://repository.ilpuntotecnico.com/files/roleo/public/agtef/brcm63xx-tch/packages/base/libopenssl_1.0.2m-1_brcm63xx-tch.ipk

mi restituisce questo errore

Collected errors:
 * opkg_download: Failed to download http://repository.ilpuntotecnico.com/files/roleo/public/agtef/brcm63xx-tch/packages/base/libopenssl_1.0.2m-1_brcm63xx-tch.ipk, wget returned 1.

Non ho capito se devo configurare opkg (che non so cosa sia) per poter accedere al repository e come farlo.
Qualcuno potrebbe aiutarmi passo passo?
Grazie
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: LuKePicci - 16 Settembre 2019, 10:07
Cambia 1.0.2m in 1.0.2n, la vecchia versione non c'è più nella repo.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: vinceg - 16 Settembre 2019, 11:46
Mi restituisce questo

Collected errors:
 * wfopen: https://repository.ilpuntotecnico.com/files/roleo/public/agtef/brcm63xx-tch/packages/base/libopenssl_1.0.2n-1_brcm63xx-tch.ipk: No such file or directory.
 * pkg_init_from_file: Failed to extract control file from https://repository.ilpuntotecnico.com/files/roleo/public/agtef/brcm63xx-tch/packages/base/libopenssl_1.0.2n-1_brcm63xx-tch.ipk.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: FrancYescO - 16 Settembre 2019, 11:54
aggiorna wget (e forse anche libopenssl) quello di default è incompatibile con https e non fa funzionare i download dalle repo con opkg, piazza i file ipk in /tmp e li installi da li.

in alternativa installi tutto cosi:
Codice: [Seleziona]
curl -k https://repository.ilpuntotecnico.com/files/roleo/public/agtef/brcm63xx-tch/packages/base/libopenssl_1.0.2n-1_brcm63xx-tch.ipk -o /tmp/libopenssl_1.0.2n-1_brcm63xx-tch.ipk
opkg install /tmp/libopenssl_1.0.2n-1_brcm63xx-tch.ipk
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: vinceg - 16 Settembre 2019, 12:09
Ok, sembrerebbe abbia funzionato. Adesso procedo continuando a seguire la guida?
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: vinceg - 16 Settembre 2019, 12:14
Adesso mi da questo. Quindi è opkg il problema?

[email protected]:~# opkg install openvpn-openssl openssl-util
Unknown package 'openvpn-openssl'.
Unknown package 'openssl-util'.
Collected errors:
 * opkg_install_cmd: Cannot install package openvpn-openssl.
 * opkg_install_cmd: Cannot install package openssl-util.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: larsen64it - 16 Settembre 2019, 13:59
Se hai i repository giusti, devi dare opkg update prima
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: vinceg - 16 Settembre 2019, 14:54
Boh, io ottengo sempre gli stessi errori. Qualcuno può darmi una mano? Se può essere d'aiuto, la versione software del mio modem è
AGTEF_1.1.2
Versione Gui 3.36
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: FrancYescO - 16 Settembre 2019, 15:23
Codice: [Seleziona]
curl -k https://repository.ilpuntotecnico.com/files/roleo/public/agtef/brcm63xx-tch/packages/packages/wget_1.17.1-1_brcm63xx-tch.ipk -o /tmp/wget_1.17.1-1_brcm63xx-tch.ipk
opkg install /tmp/wget_1.17.1-1_brcm63xx-tch.ipk
opkg update

e forse hai bisogno anche di
Codice: [Seleziona]
curl -k https://repository.ilpuntotecnico.com/files/roleo/public/agtef/brcm63xx-tch/packages/base/openssl-util_1.0.2n-1_brcm63xx-tch.ipk -o /tmp/openssl-util_1.0.2n-1_brcm63xx-tch.ipk
opkg install /tmp/openssl-util_1.0.2n-1_brcm63xx-tch.ipk
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: vinceg - 16 Settembre 2019, 15:33
Grazie!! Adesso funziona. Procedo secondo la guida?

Codice: [Seleziona]
update
ho copiato i comandi per la generazione delle chiavi e sta procedendo

update
ha finito di generare le chiavi. Adesso mi trovo queste istruzioni

uci set openvpn.vpnserver='openvpn'
uci set openvpn.vpnserver.enabled='1'
uci set openvpn.vpnserver.dev='tun'
uci set openvpn.vpnserver.proto='udp'
uci set openvpn.vpnserver.port='1194'
uci set openvpn.vpnserver.tls_server='1'
uci set openvpn.vpnserver.mode='server'
uci set openvpn.vpnserver.server='10.8.0.0 255.255.255.0'
uci set openvpn.vpnserver.comp_lzo='yes'
uci set openvpn.vpnserver.keepalive='10 120'
uci set openvpn.vpnserver.persist_key='1'
uci set openvpn.vpnserver.persist_tun='1'
uci set openvpn.vpnserver.cipher='aes-256-cbc'
uci set openvpn.vpnserver.auth='sha256'
uci set openvpn.vpnserver.ca='/etc/openvpn/ca.crt'
uci set openvpn.vpnserver.cert='/etc/openvpn/my-server.crt'
uci set openvpn.vpnserver.key='/etc/openvpn/my-server.key'
uci set openvpn.vpnserver.dh='/etc/openvpn/dh2048.pem'
uci set openvpn.vpnserver.tls_auth='/etc/openvpn/tls-auth.key 0'
uci set openvpn.vpnserver.log='/var/log/openvpn.log'
uci set openvpn.vpnserver.status='/var/log/openvpn-status.log'
uci set openvpn.vpnserver.verb=3
# uci add_list openvpn.vpnserver.push='redirect-gateway def1'
# uci add_list openvpn.vpnserver.push='route-gateway dhcp'
uci add_list openvpn.vpnserver.push='route 192.168.1.0 255.255.255.0'
uci add_list openvpn.vpnserver.push='dhcp-option DNS 208.67.222.222'
uci add_list openvpn.vpnserver.push='dhcp-option DNS 208.67.220.220'

uci commit openvpn
ma mi restituisce entry  not found a ogni riga
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: FrancYescO - 16 Settembre 2019, 16:27
Codice: [Seleziona]
touch /etc/config/openvpn
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: vinceg - 16 Settembre 2019, 18:32
Ok, adesso, inviando i comandi per eseguire openvpn mi restituisce questo

[email protected]:~# /etc/init.d/openvpn enable
-ash: /etc/init.d/openvpn: not found
[email protected]:~# /etc/init.d/openvpn start
-ash: /etc/init.d/openvpn: not found
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: vinceg - 16 Settembre 2019, 21:04
@vinceg direi l'installazione di qualche ipk e stata saltata (infatti mi pareva strano avevi bisogno del touch) .. reinstallali

credo che manchi l'installazione di openvpn-openssl. Ho copiato la procedura che hai scritto prima, mettendo openvpn-openssl_2.3.18-1_brcm63xx-tch.ipk in tmp  ma poi durante l'installazione mi dice

Installing openvpn-openssl (2.3.18-1) to root...
Collected errors:
 * satisfy_dependencies_for: Cannot satisfy the following dependencies for openvpn-openssl:
 *      kmod-tun *      liblzo *
 * opkg_install_cmd: Cannot install package openvpn-openssl.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: DS-1 - 17 Settembre 2019, 11:55
Ciao ragazzi,

su fw 2.1.0 la guida è la stessa?

Grazie in anticipo per la risposta!
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: FrancYescO - 17 Settembre 2019, 12:22
leggi le ultime pagine.

tl;dr: non funziona con firmware>=2.1.0, usa strongswan.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: natalinux - 17 Settembre 2019, 14:55
@ FrancYescO con la cura dimagrante della gui non mi funziona più la chiavetta 3G e l'explorer non apre correttamente la gui cosa che prima faceva puoi ripristinare quei file, grazie
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: FrancYescO - 17 Settembre 2019, 15:19
a cosa ti riferisci nello specifico? parliamo dI openvpn o cosa? fai questa stessa prova https://www.ilpuntotecnico.com/forum/index.php/topic,78162.msg255155.html#msg255155
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: vinceg - 17 Settembre 2019, 16:47
credo che manchi l'installazione di openvpn-openssl. Ho copiato la procedura che hai scritto prima, mettendo openvpn-openssl_2.3.18-1_brcm63xx-tch.ipk in tmp  ma poi durante l'installazione mi dice

Installing openvpn-openssl (2.3.18-1) to root...
Collected errors:
 * satisfy_dependencies_for: Cannot satisfy the following dependencies for openvpn-openssl:
 *      kmod-tun *      liblzo *
 * opkg_install_cmd: Cannot install package openvpn-openssl.

Scusate ragazzi, io sono ancora fermo qui. Sono ignorante in queste cose ma mi serve il vpn, qualcuno per favore può aiutarmi?
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: FrancYescO - 17 Settembre 2019, 17:06
dai opkg update prima di dare l'install. sempre che tu abbia prima impostato in modo giusto opkg...

leggiti un po di pagine perchè sono argomenti e problemi base e già affrontati.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: vinceg - 17 Settembre 2019, 17:13
@FrancYescO opkg update lo do sempre, puoi dirmi come impostare opkg?
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: SpiK369 - 11 Novembre 2019, 21:34
Scusate ma con Rel. 2.2.0_003 che guida occorre seguire per installare OpenVPN?
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: FrancYescO - 11 Novembre 2019, 21:42
nessuno ancora ha compilato modulo kernel compatibile con versioni >=2.1.0.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: danilos92 - 20 Novembre 2019, 19:55
Salve, c'è qualche altro modo per settare la vpn sul router con AGTEF_2.2.0_001? dato che questa guida non è compatibile con i nuovi update, vorrei utilizzare expressvpn, grazie in anticipo per l'aiuto.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: FrancYescO - 07 Gennaio 2020, 19:25
Credo puoi usare strongswan (IKEv2) o wireguard
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: viesse - 10 Febbraio 2020, 10:49
Scusate la mia ignoranza in materia.
Ho un Tim hub sbloccato con la gui di Ansuel.
Ho speranza di poter installare i pacchetti per implementare una OpenWpn ?
Una piccola guida per utilizzare i repository è disponibile ?

Grazie e ciao a tutti
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: LuKePicci - 10 Febbraio 2020, 11:29
No, passa a strongswan (esistono guide specifiche valide anche su Homeware) o wireguard (non so se possa funzionare, a sentire @FrancYescO pare di sì).

Gli unici driver tun funzionanti su Homeware esistono per VBNT-K/S 16.x e 17.x (linux 3.4) e altri su cui c'è già nel firmware stock.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: viesse - 10 Febbraio 2020, 16:37
Ho scritto questa guida per la configurazione di OpenVPN su AGTEF e AGTHP in modalità routing.
@roleo
Scusa ma io con la versione sw AGTHP_1.0.3 devo seguire la guida per #AGTHP < 1.1.0 ? eseguendo passo passo tutti gli script ?
Titolo: droppare traffico se openvpn è down
Inserito da: darkangel85 - 06 Marzo 2020, 20:01
come da oggetto, ho configurato con successo un tunnel vpn (openvpn)

il problema è che allo stato attuale se il tunnel non viene instaurato, esce comunque.

il router (un dga4130) è in cascata a altro modem.

network.conf
Codice: [Seleziona]
config interface 'loopback'
option ifname 'lo'
option proto 'static'
option ipaddr '127.0.0.1'
option netmask '255.0.0.0'

config globals 'globals'
option ula_prefix 'none'
option default_ps '0'

config device 'waneth4'
option type '8021q'
option name 'waneth4'
option macaddr ...
option vid '835'
option ipv6 '0'

config device 'wanptm0'
option type '8021q'
option name 'wanptm0'
option macaddr  ...
option ifname 'ptm0'
option vid '835'
option ipv6 '0'

config interface 'wan'
option demand '0'
option ipv6 '0'
option reqopts '1 3 6 15 33 42 51 121 249'
option keepalive_adaptive '0'
option dns_metric '0'
option username 'benvenuto'
option password 'ospite'
option proto 'static'
option netmask '255.255.255.0'
option ipaddr '192.168.2.106'
option gateway '192.168.2.1'
option ifname 'eth4'
option peerdns '0'
list dns '208.67.222.222'
list dns '208.67.220.220'

config config 'config'
option wan_mode 'static'

config interface 'wwan'
option proto 'mobiled'
option session_id '0'
option profile '1'
option auto '0'

config interface 'wan6'
option ifname '@wan'
option proto 'dhcpv6'
option reqopts '12 21 22 23 24 25 31 56 64 67 82 83'
option noslaaconly '1'
option iface_464xlat '0'
option dns_metric '20'

config interface 'lan'
option type 'bridge'
option proto 'static'
option netmask '255.255.255.0'
option ip6assign '64'
option force_link '0'
option ipv6 '0'
option ipaddr '192.168.10.1'
list ifname 'eth0'
list ifname 'eth1'
list ifname 'eth2'
list ifname 'eth3'
list ifname 'eth5'
list pppoerelay 'waneth4'
option dns '8.8.8.8 208.67.222.222'

config switch 'bcmsw'
option reset '1'
option enable_vlan '1'
option qosimppauseenable '0'
option jumbo '0'

config switch_vlan
option device 'bcmsw'
option vlan '1'
option ports '0 1 2'

config interface 'wlnet_b_5'
option proto 'static'
option ip6assign '64'
option ipv6 '0'
option ip6hint '2'
option netmask '255.255.255.128'
option ipaddr '192.168.168.129'
option ifname 'wl1_1'
option force_link '0'
option name '...'

config device 'wlnet_b_5eth5'
option type '8021q'
option name 'wl1_1'
option enabled '1'
option ifname 'eth5'
option vid '3'
option ipv6 '0'

config interface 'public_lan'
option ifname '@lan'
option proto 'static'
option ipaddr '0.0.0.0'
option netmask '0.0.0.0'
option auto '0'
option disabled_info 'proto=static,ip=0.0.0.0,mask=255.255.255.248'
option dns '8.8.8.8 208.67.222.222'

config interface 'ipoe'
option proto 'dhcp'
option metric '1'
option reqopts '1 3 6 43 51 58 59'
option release '1'
option neighreachabletime '1200000'
option neighgcstaletime '2400'
option ipv6 '1'

config switch_vlan
option device 'bcmsw'
option vlan '2'
option ports '3'

config interface 'purevpntun'
option proto 'none'
option ifname 'tun0'

firewall.conf
Codice: [Seleziona]

config defaults
option syn_flood '1'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'
option drop_invalid '1'

config zone 'lan'
option name 'lan'
list network 'lan'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'ACCEPT'
option mtu_fix '1'
option wan '0'

config zone 'wan'
option name 'wan'
list network 'wan'
list network 'wan6'
list network 'wwan'
option output 'ACCEPT'
option masq '1'
option conntrack '1'
option mtu_fix '1'
option wan '1'
option forward 'REJECT'
option input 'REJECT'

config forwarding 'lan_wan'
option src 'lan'
option dest 'wan'

config zone 'z_wlnetb24'
option name 'z_wlnetb24'
list network 'wlnet_b_24'
option input 'DROP'
option output 'ACCEPT'
option forward 'REJECT'
option mtu_fix '1'
option wan '0'

config forwarding 'for_wlnetb24'
option src 'z_wlnetb24'
option dest 'wan'

config rule 'Drop_non_TCP_SYN'
option name 'Drop_non_TCP_SYN'
option src 'wan'
option dest '*'
option proto 'tcp'
option target 'DROP'
option extra '! --tcp-flags ALL SYN'

config rule 'drop_lan_2_z_wlnetb24'
option name 'drop_lan_2_z_wlnetb24'
option src 'lan'
option dest 'z_wlnetb24'
option proto 'all'
option target 'DROP'

config rule 'drop_z_wlnetb24_2_lan'
option name 'drop_z_wlnetb24_2_lan'
option src 'z_wlnetb24'
option dest 'lan'
option proto 'all'
option target 'DROP'

config rule 'drop_lan_2_z_wlnetb24_GW'
option name 'drop-lan_2_z_wlnetb24_GW'
option src 'lan'
option proto 'all'
option target 'DROP'
option family 'ipv4'
option dest_ip '192.168.168.1'

config rule 'Allow_z_wlnetb24_ICMP'
option name 'Allow_z_wlnetb24_ICMP'
option src 'z_wlnetb24'
option proto 'igmp'
option target 'ACCEPT'
option family 'ipv4'
option dest_ip '192.168.168.1'

config rule 'Allow_z_wlnetb24_DHCP'
option name 'Allow_z_wlnetb24_DHCP'
option src 'z_wlnetb24'
option proto 'udp'
option dest_port '67'
option target 'ACCEPT'
option family 'ipv4'

config rule 'Allow_z_wlnetb24_DNS'
option name 'Allow_z_wlnetb24_DNS'
option src 'z_wlnetb24'
option proto 'udp'
option dest_port '53'
option target 'ACCEPT'
option family 'ipv4'

config rule 'Allow_z_wlnetb24_ICMPv6'
option name 'Allow-z_wlnetb24_ICMPv6'
option src 'z_wlnetb24'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
list icmp_type 'router-solicitation'
list icmp_type 'neighbour-solicitation'
list icmp_type 'router-advertisement'
list icmp_type 'neighbour-advertisement'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'

config zone 'z_wlnetb5'
option name 'z_wlnetb5'
list network 'wlnet_b_5'
option input 'DROP'
option output 'ACCEPT'
option forward 'REJECT'
option wan '0'

config forwarding 'for_wlnetb5'
option src 'z_wlnetb5'
option dest 'wan'

config rule 'drop_lan_2_z_wlnetb5'
option name 'drop_lan_2_z_wlnetb5'
option src 'lan'
option dest 'z_wlnetb5'
option proto 'all'
option target 'DROP'

config rule 'drop_z_wlnetb5_2_lan'
option name 'drop_z_wlnetb5_2_lan'
option src 'z_wlnetb5'
option dest 'lan'
option proto 'all'
option target 'DROP'

config rule 'drop_lan_2_z_wlnetb5_GW'
option name 'drop-lan_2_z_wlnetb5_GW'
option src 'lan'
option proto 'all'
option target 'DROP'
option family 'ipv4'
option dest_ip '192.168.168.129'

config rule 'Allow_z_wlnetb5_ICMP'
option name 'Allow_z_wlnetb5_ICMP'
option src 'z_wlnetb5'
option proto 'igmp'
option target 'ACCEPT'
option family 'ipv4'
option dest_ip '192.168.168.129'

config rule 'Allow_z_wlnetb5_DHCP'
option name 'Allow_z_wlnetb5_DHCP'
option src 'z_wlnetb5'
option proto 'udp'
option dest_port '67'
option target 'ACCEPT'
option family 'ipv4'

config rule 'Allow_z_wlnetb5_DNS'
option name 'Allow_z_wlnetb5_DNS'
option src 'z_wlnetb5'
option proto 'udp'
option dest_port '53'
option target 'ACCEPT'
option family 'ipv4'

config rule 'Allow_z_wlnetb5_ICMPv6'
option name 'Allow-z_wlnetb5_ICMPv6'
option src 'z_wlnetb5'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
list icmp_type 'router-solicitation'
list icmp_type 'neighbour-solicitation'
list icmp_type 'router-advertisement'
list icmp_type 'neighbour-advertisement'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'

config zone 'public_lan'
option name 'public_lan'
list network 'public_lan'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'ACCEPT'
option wan '0'
option log '1'
option log_limit '5/minute'

config forwarding 'public_lan_wan'
option src 'public_lan'
option dest 'wan'
option name 'subnet_out'
option enabled '1'

config forwarding 'wan_public_lan'
option src 'wan'
option dest 'public_lan'
option name 'subnet_in'
option enabled '1'

config rule 'rule1'
option name 'Allow-DHCP-Renew'
option src 'wan'
option proto 'udp'
option dest_port '68'
option target 'ACCEPT'
option family 'ipv4'

config rule 'rule2'
option name 'Allow-Ping'
option src 'wan'
option proto 'icmp'
list icmp_type 'echo-request'
option family 'ipv4'
option target 'ACCEPT'

config rule 'rule3'
option name 'Allow-DHCPv6'
option src 'wan'
option proto 'udp'
option src_ip 'fc00::/6'
option dest_ip 'fc00::/6'
option dest_port '546'
option family 'ipv6'
option target 'ACCEPT'

config rule 'rule4'
option name 'Allow-ICMPv6-Input'
option src 'wan'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
list icmp_type 'router-solicitation'
list icmp_type 'neighbour-solicitation'
list icmp_type 'router-advertisement'
list icmp_type 'neighbour-advertisement'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'

config rule 'rule5'
option name 'Allow-ICMPv6-Forward'
option src 'wan'
option dest '*'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'

config rule 'rule6'
option name 'access_2_LAN_IP'
option src 'lan'
option proto 'tcp'
option family 'ipv4'
option extra '-m multiport --dports 80,22,8080,443,8443 -m addrtype --limit-iface-in ! --dst-type LOCAL'
option target 'REJECT'

config rule 'rule7'
option name 'close_port_139'
option src 'wan'
option proto 'tcp'
option dest_port '139'
option family 'ipv4'
option target 'DROP'

config rule 'rule8'
option name 'close_port_445'
option src 'wan'
option proto 'tcp'
option dest_port '445'
option family 'ipv4'
option target 'DROP'

config rule 'rule9'
option name 'Deny-CUPS-lan'
option src 'lan'
option proto 'tcp'
option dest_port '631'
option family 'ipv4'
option target 'DROP'

config rule 'rule10'
option name 'Deny-CUPS-wan'
option src 'wan'
option proto 'tcp'
option dest_port '631'
option family 'ipv4'
option target 'DROP'

config rule 'rule11'
option name 'Deny-CUPS-lan-v6'
option src 'lan'
option proto 'tcp'
option dest_port '631'
option family 'ipv6'
option target 'DROP'

config rule 'rule12'
option name 'Deny-CUPS-wan-v6'
option src 'wan'
option proto 'tcp'
option dest_port '631'
option family 'ipv6'
option target 'DROP'

config rule 'rule13'
option name 'Allow-Ping6'
option src 'wan'
option proto 'icmp'
list icmp_type 'echo-request'
option family 'ipv6'
option target 'ACCEPT'
option enabled '0'

config rule 'SSH_wan'
option name 'SSH_wan'
option src 'wan'
option proto 'tcp'
option dest_port '22'
option target 'DROP'
option family 'ipv4'

config rule
option name 'Restrict-TCP-LAN-Input'
option src 'lan'
option dest_ip '!lan'
option proto 'tcp'
option family 'ipv4'
option extra '-m mark --mark 0/0x9000000'
option target 'REJECT'

config include
option path '/etc/firewall.user'

config include 'tchext_restart'
option type 'script'
option path '/lib/functions/firewall-restart-ext-tch.sh'

config include 'tchext'
option type 'script'
option path '/lib/functions/firewall-ext-tch.sh'
option reload '1'

config cone 'cone1'
option name 'PS and XBox Live 1'
option src 'wan'
option dest_port '88'

config cone 'cone2'
option name 'PS and XBox Live 2'
option src 'wan'
option dest_port '3074:3658'

config cone 'cone3'
option name 'PS and XBox Live 3'
option src 'wan'
option dest_port '10070'

config cone 'cone4'
option name 'PS and XBox Live 4'
option src 'wan'
option dest_port '4500'

config include 'tod'
option type 'script'
option path '/lib/functions/tod.sh'
option reload '1'

config include 'intercept'
option type 'script'
option path '/usr/lib/intercept/firewall.sh'

config fwconfig 'fwconfig'
option defaultoutgoing_lax 'ACCEPT'
option defaultoutgoing_normal 'ACCEPT'
option defaultoutgoing_high 'DROP'
option defaultoutgoing_user 'ACCEPT'
option defaultincoming_lax 'REJECT'
option defaultincoming_normal 'DROP'
option defaultincoming_high 'DROP'
option defaultincoming_user 'DROP'
option level 'lax'

config rulesgroup 'pinholerules'
option enabled '1'
option name 'FW rules for opening pinholes'
option type 'pinholerule'

config redirectsgroup 'userredirects'
option enabled '1'
option name 'FW redirects defined by the user'
option type 'userredirect'

config redirectsgroup 'dmzredirects'
option enabled '0'
option name 'FW redirects for the DMZ functionality'
option type 'dmzredirect'

config dmzredirect 'dmzredirect'
option name 'DMZ rule'
option src 'wan'
option dest 'lan'
option family 'ipv4'
option target 'DNAT'
option proto 'tcpudp'

config rulesgroup 'normalrules'
option name 'FW rules for normal level'
option type 'normalrule'
option enabled '0'

config rulesgroup 'laxrules'
option name 'FW rules for lax level'
option type 'laxrule'
option enabled '1'

config rulesgroup 'highrules'
option enabled '0'
option name 'FW rules for high level'
option type 'highrule'

config rulesgroup 'userrules'
option enabled '0'
option name 'FW rules for user level'
option type 'userrule'

config rulesgroup 'userrules_v6'
option enabled '0'
option name 'FW rules for user level IPv6'
option type 'userrule_v6'

config rulesgroup 'defaultrules'
option enabled '1'
option name 'FW rules for default behavior'
option type 'defaultrule'

config highrule 'highrule1'
option name 'HTTP'
option src 'lan'
option dest 'wan'
option proto 'tcp'
option dest_port '80'
option target 'ACCEPT'

config highrule 'highrule2'
option name 'HTTPS'
option src 'lan'
option dest 'wan'
option proto 'tcp'
option dest_port '443'
option target 'ACCEPT'

config highrule 'highrule3'
option name 'SMTP'
option src 'lan'
option dest 'wan'
option proto 'tcp'
option dest_port '25'
option target 'ACCEPT'

config highrule 'highrule4'
option name 'POP3'
option src 'lan'
option dest 'wan'
option proto 'tcp'
option dest_port '110'
option target 'ACCEPT'

config highrule 'highrule5'
option name 'IMAP'
option src 'lan'
option dest 'wan'
option proto 'tcp'
option dest_port '445'
option target 'ACCEPT'

config highrule 'highrule6'
option name 'SSH'
option src 'lan'
option dest 'wan'
option proto 'tcp'
option dest_port '22'
option target 'ACCEPT'

config defaultrule 'defaultipv6incoming'
option name 'Default action for incoming IPv6 traffic'
option src 'wan'
option dest 'lan'
option proto 'all'
option family 'ipv6'
option target 'ACCEPT'
option enabled '1'

config defaultrule 'defaultipv6outgoing'
option name 'Default action for outgoing IPv6 traffic'
option src 'lan'
option dest 'wan'
option proto 'all'
option family 'ipv6'
option target 'ACCEPT'
option enabled '1'

config defaultrule 'defaultoutgoing'
option name 'Default action for outgoing NAT'
option src 'lan'
option dest 'wan'
option proto 'all'
option target 'ACCEPT'

config helper 'ftphelper'
option helper 'ftp'
option dest_port '21'
option proto 'tcp'

config helper 'tftphelper'
option helper 'tftp'
option dest_port '69'
option proto 'udp'

config helper 'snmphelper'
option helper 'snmp'
option family 'ipv4'
option dest_port '161'
option proto 'udp'

config helper 'pptphelper'
option helper 'pptp'
option family 'ipv4'
option dest_port '1723'
option proto 'tcp'

config helper 'siphelper'
option enable '0'
option helper 'sip'
option dest_port '5060'
option proto 'udp'

config helper 'siploopback'
option helper 'sip'
option dest_port '5060'
option proto 'udp'
option intf 'loopback'

config helper 'irchelper'
option helper 'irc'
option family 'ipv4'
option dest_port '6667'
option proto 'tcp'

config helper 'amandahelper'
option helper 'amanda'
option dest_port '10080'
option proto 'udp'

config helper 'rtsphelper'
option helper 'rtsp'
option dest_port '554'
option family 'ipv4'
option proto 'tcp'

config zone
option name 'vpnfirewall'
option input 'REJECT'
option output 'ACCEPT'
option forward 'REJECT'
option masq '1'
option mtu_fix '1'
list network 'purevpntun'

config forwarding
option src 'lan'
option dest 'vpnfirewall'

config rule 'ovpn'
option name 'Allow-OpenVPN'
option src 'wan'
option dest_port '1194'
option proto 'udp'
option target 'ACCEPT'
option enabled '1'


oltre questo, come suggerito da nordvpn avevo aggiunto questo script in /etc/firewall.user
Citazione
if (! ip a s tun0 up) && (! iptables -C forwarding_rule -j REJECT); then
       iptables -I forwarding_rule -j REJECT
fi
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: darkangel85 - 06 Marzo 2020, 21:13
Ringrazio per aver spostato il mio precedente messaggio in questa discussione, specifico: io lo uso in modalità client
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: sturia - 20 Giugno 2020, 22:30
ciao,
sto cercando di far funzionare openvpn in modalità client su un TG789vac v2 con FW Tiscali a cui ho accesso root. Kernel 3.4.11. Tutti i moduli tun.ko che ho provato però - prendendoli da repository vari - crashano quando creo l'interfaccia per la vpn. Quello che non mi è chiaro in definitiva è quale immagine firmware caricare per potermi trovare nella condizione che rende possibile quanto descritto qui https://www.ilpuntotecnico.com/forum/index.php/topic,77856.0.html (https://www.ilpuntotecnico.com/forum/index.php/topic,77856.0.html).
Mi sapreste consigliare? ho letto decine di post e forum vari, ma non riesco a trovare una risposta univoca e le prove finora effettuate non hanno dato risultati positivi.  :headbang:
Ho già in piedi una vpn basata su openvpn quindi cambiare tecnologia sarebbe in questo momento impraticabile.

grazie
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: LuKePicci - 20 Giugno 2020, 23:35
Non ne esiste una disponibile che abbia o per cui esista un driver tun funzionante.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: ivan1970 - 24 Giugno 2020, 20:11
non so se questo è il thread gusto per questa domanda.. ma ho difficoltà a configurare opkg.
ho configurato il file /etc/opkg.conf in questo modo
Citazione
dest root /
dest ram /tmp
lists_dir ext /var/opkg-lists
option overlay_root /overlaya
arch all 100
arch brcm63xx 200
arch brcm63xx-tch 300
ho aggiunto nel file /etc/opkg/customfeeds.conf le seguenti righe
Citazione
src/gz chaos_calmer_base https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/base
src/gz chaos_calmer_packages https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/packages
src/gz chaos_calmer_luci https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/luci
src/gz chaos_calmer_routing https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/routing
src/gz chaos_calmer_telephony https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/telephony
src/gz chaos_calmer_management https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/management
ma quando lancio il comando
Citazione
opkg update

ricevo un sacco di questi errori:
Citazione
Package lcmd version 1.0 has no valid architecture, ignoring.
Package conf-dhcpcoptions version 1.1 has no valid architecture, ignoring.
Package mcsnooper-tch version 5.2 has no valid architecture, ignoring.
Package kmod-usb-storage version git_gitolite_openwrt__openwrt_broadcom_bcm963xx_5_02L_07_git-tch_bcm5_02L_07patch1-1 has no valid architecture, ignoring.
Package conf-ledfw version 1.0 has no valid architecture, ignoring.
Package mappings-cwmpd version 1.0 has no valid architecture, ignoring.
Package bulkdata version 1.0 has no valid architecture, ignoring.
Package libparsifal version 1.1.0-0 has no valid architecture, ignoring.
Package preloader-tch version 1.0 has no valid architecture, ignoring.
Package kmod-ipt-nfqueue version git_gitolite_openwrt__openwrt_broadcom_bcm963xx_5_02L_07_git-tch_bcm5_02L_07patch1-1 has no valid architecture, ignoring.
Package wifi-conductor version 6.11.14 has no valid architecture, ignoring.
Package kmod-bcm6xxx-tch-enet version git_gitolite_openwrt__openwrt_broadcom_bcm963xx_5_02L_07_git-tch_bcm5_02L_07patch1-1 has no valid architecture, ignoring.
Package conf-button version 1.0 has no valid architecture, ignoring.
Package kmodparams version 1.0 has no valid architecture, ignoring.
..........

se provo ad installare openssl-util ricevo questo errore:
Citazione
Installing openssl-util (1.0.2q-2) to root...
Downloading https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/base/openssl-util_1.0.2q-2_brcm63xx-tch.ipk
Collected errors:
 * satisfy_dependencies_for: Cannot satisfy the following dependencies for openssl-util:
 *      libc
 * opkg_install_cmd: Cannot install package openssl-util.
e se provo ad installare libc ricevo questo errore:
Citazione
Unknown package 'libc'.
Collected errors:
 * opkg_install_cmd: Cannot install package libc.

sto puntando a dei repository errati?
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: FrancYescO - 24 Giugno 2020, 22:05
Si sei nel topic sbagliato.
e si direi che stai usando feed sbagliati quello vanno bene quelli vanno bene per i firmware con kernel 4.1.38 e processore arm (>=2.1.0 <2.2.2)
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: ivan1970 - 24 Giugno 2020, 23:07
ok @FrancYescO grazie..
Comunque, sono riuscito a configurare il repository, ho installato il pacchetto openssl-util  ma se provo ad installare openvpn-openssl ricevo questo errore:
Citazione
Configuring kmod-tun.
//usr/lib/opkg/info/kmod-tun.postinst: /usr/lib/opkg/info/kmod-tun.postinst-pkg: line 4: insert_modules: not found
Collected errors:
 * pkg_run_script: package "kmod-tun" postinst script returned status 127.
 * opkg_configure: kmod-tun.postinst returned 127.
immagino che dipenda dalla mia versione kernel. Ho il firmware AGTHP 2.2.2_001 con kernel 4.1.52, non c'è modo di installare un openvpn client su questa versione?
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: FrancYescO - 24 Giugno 2020, 23:50
gia non c'era modo su >=2.1.0 figuriamoci su 2.2.2 che ha ancora un'altro kernel
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: ivan1970 - 27 Giugno 2020, 16:56
Ma il problema qual’è? Perché non si riescono a compilare?
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: LuKePicci - 27 Giugno 2020, 21:42
Si possono compilare ma crashano quando li usi.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: kisspachyousee - 16 Ottobre 2020, 01:05
ok, ho fatto crashare il modem 3 volte prima di leggere le ultime pagine e capire che la guida non è usabile con gli ultimi firmware  :facepalm:
Qualche consiglio su qualche guida alternativa che posso seguire?
vorrei accedere da remoto all'HDD collegato al modem AGTHP, con firmware 2.2.1_001.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: a1pollo - 16 Ottobre 2020, 06:59
Per la vpn dovrebbe funzionare strongswan:
Codice: [Seleziona]
https://www.ilpuntotecnico.com/forum/index.php/topic,82673.0.html

Se hai la gui mod potresti provare:
Codice: [Seleziona]
https://www.ilpuntotecnico.com/forum/index.php/topic,81299.0.html
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: krono86 - 27 Gennaio 2021, 11:13
Ciao a tutti!
Utilizzo già da qualche anno con soddisfazione il buon vecchio TIM HUB con la custom GUI di Ansuel per fornire connettività internet ad alcuni PC non raggiunti da connessione internet cablata; il collegamento WAN è garantito da un dongle 4G (rndis).
Ho già una VPN, configurata con OpenVPN, composta da un server nel cloud e diversi client sparsi per la rete internet; inoltre ho un terminale off-line che utilizzo come certificate authority per la generazione delle chiavi e dei file di configurazione .ovpn per ciascun client.
Vorrei collegare il router suddetto alla VPN, come client, in modo da esporre ad altri client della VPN (non a tutti, quindi non intendo fare un "push" da parte del server, ma modificherò opportunamente i file .ovpn dei client che necessiteranno l'accesso) tutti i computer appartenenti alla LAN del router.

Al file .ovpn dei client abilitati all'accesso ho aggiunto la direttiva:
Codice: [Seleziona]
route 192.xxx.yyy.0 255.255.255.0 10.8.0.Xdove 192.xxx.yyy.0 è la sottorete della LAN che voglio esporre (di cui il router fa parte), e 10.8.0.X è l'indirizzo IP con cui il router si espone alla VPN.

Ho già generato un file di configurazione .ovpn corredato di chiavi correttamente "issued" per il router.
Immagino che oltre a questo servano delle direttive al firewall del router per consentire il traffico proveniente da tun0... Quale sarebbe la procedura?
Vi ringrazio in anticipo per l'aiuto.

Ivan
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: flyingwings - 21 Marzo 2021, 11:52
Ho scritto questa guida per la configurazione di OpenVPN su AGTEF e AGTHP in modalità routing.

Ciao purtroppo non sono un programmatore ed è la prima volta che provo ad inserire un vpn client per internet sul mio router. Potresti essere più specifico nei singoli passaggi? Purtroppo mi sono perso subito alle prime righe :D
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: FrancYescO - 22 Marzo 2021, 11:10
cerca di essere tu più specifico sul cosa ti blocchi, per la maggiore son comandi da dare via ssh
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: flyingwings - 27 Marzo 2021, 16:49
Verificare di avere opkg configurato correttamente per accedere al repository
#AGTEF < 1.1.0
https://repository.ilpuntotecnico.com/files/roleo/public/agtef/brcm63xx-tch/packages
#AGTHP < 1.1.0
https://repository.ilpuntotecnico.com/files/roleo/public/agthp/brcm63xx-tch/packages
#AGTEF/AGTHP >= 1.1.0
https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages

ed eseguire un aggiornamento con
Codice: [Seleziona]
opkg update


Per esempio già qui, da dove devo dare quel comando?
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: FrancYescO - 28 Marzo 2021, 11:23
terminale SSH, se hai quel firmware e installato la GUI custom avrai già quei repository impostati.
Titolo: Re:OpenVPN su AGTEF/AGTHP
Inserito da: Crist - 10 Giugno 2021, 23:04
Salve a tutti.
Da un mesetto scarso non riesco più a connettermi ad openvpn server su AGTEF correttamente configurato.
Mi connettevo bene dai miei due client su Android (Openvpn per Android e Openvpn Connect) e il mio servizio DNS NoIP è funzionante (dall'esterno pingo il mio DNS) e correttamente settato nel router.
Il messaggio che sostanzialmente mi restituisce il client è "read UDP ECONNREFUSED: connection refused (code=111)". Capisco che il messaggio segnala una generica mancanza di connessione dovuta al fatto che non riesce a trovare la porta aperta (nel mio caso la classica 1194) ma non ne capisco il motivo, visto che non ho smanettato nulla.
Ho controllato con Nmap dal mio PC puntando il mio router sulla porta UDP 1194 e mi segnala che il servizio associato è effettivamente openvpn ma la porta risulta chiusa...perchè?
Ho risvuotato il file cofig di openvpn e firewall per poi ripopolarli; ho controllato il file config network; ho controllato i config lato client.
Non so speravo in qualche intuizione da parte vostra...
Grazie

openvpn config server
Codice: [Seleziona]
config openvpn 'vpnserver'
    option  enabled             1
    option  dev_type            'tun'
    option  dev                 'ovpns0'
    option  port                1194
    option  proto               'udp'
 
    option  comp_lzo            'yes'
    option  keepalive           '10 120'
    option  persist_key         1
    option  persist_tun         1
 
    option  ca                  '/etc/openvpn/ca.crt'
    option  cert                '/etc/openvpn/my-server.crt'
    option  key                 '/etc/openvpn/my-server.key'
    option  dh                  '/etc/openvpn/dh2048.pem'
    option  tls_auth            '/etc/openvpn/tls-auth.key 0'
 
    option  mode                'server'
    option  tls_server          '1'
    option  server              '192.168.200.0 255.255.255.0'
    option  topology            'subnet'
    option  route_gateway       'dhcp'
 
    option  client_to_client    '1'
    option log '/tmp/openvpn.log'
 
 
    list    push                'comp-lzo yes'
    list    push                'persist-key'
    list    push                'persist-tun'
    list    push                'route-gateway dhcp'
    list    push                'redirect-gateway def1'
    list    push                'route 192.168.200.0 255.255.255.0'
    list    push                'dhcp-option DNS 192.168.1.1'

config firewall
Codice: [Seleziona]
..............
config rule
 option name 'Allow-OpenVPN-Inbound'
 option target 'ACCEPT'
 option src '*'
 option proto 'udp'
 option dest_port '1194'

config zone
 option name 'vpnserver'
 option network 'vpnserver'
 option input 'ACCEPT'
 option forward 'REJECT'
 option output 'ACCEPT'
 option masq '1'

config forwarding
 option src 'vpnserver'
 option dest 'wan'

config forwarding
 option src 'vpnserver'
 option dest 'lan'
 
config forwarding
 option src 'lan'
 option dest 'vpnserver'
 
config forwarding
 option src 'wan'
 option dest 'vpnserver'

config redirect 'vpn_snat_lan_out'
option src 'vpn'
option dest 'lan'
option src_ip '10.8.0.0/24'
option src_dip '192.168.1.1'
option proto 'all'
option target 'SNAT'

config network
Codice: [Seleziona]
config interface 'vpnserver'
option ifname 'ovpns0'
option proto 'none'
option auto '1'

EDIT: Ho ripulito il config firewall dalle voci specifiche della openvpn e ripopolate tramite UCI (con conseguente reload delle impostazioni) ma non cambia niente. Il check l'ho fatto con:
Codice: [Seleziona]
nmap -sU -p 1190-1195 localhostLa porta UDP è correttamente associata a openvpn ma rimane chiusa. Come può essersi chiusa all'improvviso da sola e rimanere chiusa nonostante le impostazioni sul firewall?