[Thread ufficiale] amod - firmware modificato per DGND4000, DGN3500, DGN2200V3/V4

[alfonsor]

qui funziona

la prova è stata fatta con un 3500 connesso ad internet con il server openvpn lanciato

quindi un 2200 che faceva solo da router con il client openvpn lanciato

una volta che il client sul 2200 si è connesso allo ip pubblico del 3500, qualsiasi host connesso al 2200 viaggiava su Internet con la vpn del 3500 e non più con la connessione del 2200

per dire aprendo su un browser un sito qualsiasi di "quale è il mio ip" usciva lo ip del 3500 e non quello del 2200

cioé "funziona"

ora perché da te "non funziona" non lo so :P

[JackLayne]

Quote:

Originariamente inviato da alfonsor

qui funziona

la prova è stata fatta con un 3500 connesso ad internet con il server openvpn lanciato

quindi un 2200 che faceva solo da router con il client openvpn lanciato

una volta che il client sul 2200 si è connesso allo ip pubblico del 3500, qualsiasi host connesso al 2200 viaggiava su Internet con la vpn del 3500 e non più con la connessione del 2200

per dire aprendo su un browser un sito qualsiasi di "quale è il mio ip" usciva lo ip del 3500 e non quello del 2200

cioé "funziona"

ora perché da te "non funziona" non lo so :P

sisi avevo capito può centrare qualcosa che uso la porta WAN internet e non la ppp?

[alfonsor]

iptables -L lista filter

per listare nat devi usare
iptables -t nat -L

o anche

iptables-save | grep MASQ

per dire per vedere se c'è un masquerade da qualche parte

non ho capito bene la porta wan o ppp ...

se fai
ip ro

alla fine ci sarà un default gateway, per dire
192.168.100.1 dev ppp1 proto kernel scope link src 87.7.175.18
192.168.0.0/24 dev group1 proto kernel scope link src 192.168.0.1
239.0.0.0/8 dev group1 scope link
127.0.0.0/8 dev lo scope link
default via 192.168.100.1 dev ppp1

copi tutta la riga in basso in un
ip ro del default via 192.168.100.1 dev ppp1

se tu hai altro che ne so
default via 192.168.3.24 dev eth4
farai
ip ro del default via 192.168.3.24 dev eth4

[JackLayne]

Quote:

Originariamente inviato da alfonsor

iptables -L lista filter

per listare nat devi usare
iptables -t nat -L

o anche

iptables-save | grep MASQ

per dire per vedere se c'è un masquerade da qualche parte

non ho capito bene la porta wan o ppp ...

se fai
ip ro

alla fine ci sarà un default gateway, per dire
192.168.100.1 dev ppp1 proto kernel scope link src 87.7.175.18
192.168.0.0/24 dev group1 proto kernel scope link src 192.168.0.1
239.0.0.0/8 dev group1 scope link
127.0.0.0/8 dev lo scope link
default via 192.168.100.1 dev ppp1

copi tutta la riga in basso in un
ip ro del default via 192.168.100.1 dev ppp1

se tu hai altro che ne so
default via 192.168.3.24 dev eth4
farai
ip ro del default via 192.168.3.24 dev eth4

sisi ma lo faccio..

infatti il mio ip route è questo:

Codice:

94.198.97.10 via 192.168.1.254 dev eth4 
192.168.1.0/24 dev eth4  proto kernel  scope link  src 192.168.1.13 
192.168.0.0/24 dev group1  proto kernel  scope link  src 192.168.0.1 
172.20.32.0/22 dev tun0  proto kernel  scope link  src 172.20.34.242 
239.0.0.0/8 dev group1  scope link 
127.0.0.0/8 dev lo  scope link 
0.0.0.0/1 via 172.20.32.1 dev tun0 
128.0.0.0/1 via 172.20.32.1 dev tun0 
default via 172.20.32.1 dev tun0

mentre l'iptables è questo:

Codice:

DGND4000 ~ # iptables-save|grep MASQ
-A POSTROUTING -s 192.168.0.0/24 -o tun0 -j MASQUERADE 
-A POST_NAT -o eth4 -j MASQUERADE 

DGND4000 ~ # iptables-save|grep FORWARD|grep tun0
-A FORWARD -i tun0 -o group1 -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -i group1 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT

e questo è l'ifconfig...

Codice:

bcmsw     Link encap:Ethernet  HWaddr 00:8E:F2:90:6A:A6  
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:4782 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4285 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:890273 (869.4 KiB)  TX bytes:2570523 (2.4 MiB)
          Base address:0xda00 

eth0      Link encap:Ethernet  HWaddr 00:8E:F2:90:6A:A6  
          inet6 addr: fe80::28e:f2ff:fe90:6aa6/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:4782 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4285 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:890273 (869.4 KiB)  TX bytes:2570523 (2.4 MiB)

eth1      Link encap:Ethernet  HWaddr 00:8E:F2:90:6A:A6  
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
          

eth2      Link encap:Ethernet  HWaddr 00:8E:F2:90:6A:A6  
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
          

eth3      Link encap:Ethernet  HWaddr 00:8E:F2:90:6A:A6  
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
          

eth4      Link encap:Ethernet  HWaddr 00:8E:F2:90:6A:A8  
          inet addr:192.168.1.13  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: 2a01:e35:2e61:d340:28e:f2ff:fe90:6aa8/64 Scope:Global
          inet6 addr: fe80::28e:f2ff:fe90:6aa8/64 Scope:Link
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:5612 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3984 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:3033554 (2.8 MiB)  TX bytes:809846 (790.8 KiB)
          

group1    Link encap:Ethernet  HWaddr 00:8E:F2:90:6A:A6  
          inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::28e:f2ff:fe90:6aa6/64 Scope:Link
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:5750 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4797 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:1061069 (1.0 MiB)  TX bytes:3243132 (3.0 MiB)

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:1778 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1778 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:438282 (428.0 KiB)  TX bytes:438282 (428.0 KiB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:172.20.34.242  P-t-P:172.20.34.242  Mask:255.255.252.0
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:30 errors:0 dropped:0 overruns:0 frame:0
          TX packets:30 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:2412 (2.3 KiB)  TX bytes:1140 (1.1 KiB)

come vedi, interfacce, rotte, etc sono corrette..
il router tutto ok, mentre i client ancora vanno sul router 192.168.1.254

[Robermix]

Quote:

Originariamente inviato da marcof12

Ciao a tutti. Intanto faccio i complimenti al creatore di Amod, mi ha risolto un sacco di grane con la possibilità di modificare l'snr in modo permanente e tutte le altre funzionalità implementate. Davvero i miei complimenti!

Vengo al mio problema: uso il 2200v4 con amod e spesso vado sulla pagina di gestione del Netgear per cambiare impostazioni o fare il retrain. Unico neo di questo modem\router è che la copertura wifi non mi è affatto sufficiente, quindi ci ho affiancato giusto ieri un router puro Asus.
Ho messo quindi a gestire tutta la parte wifi\router l'Asus con ip 192.168.1.1 e il modem Netgear con ip 192.168.0.1,spegnendone il wifi e il dhcp ed impostando "solo modem" nella pagina di configurazione. il Netgear è quindi collegato con cavo ethernet alla porta Wan dell'asus. Il problema è che l'indirizzo 192.168.0.1 del netgear non è più raggingibile direttamente dalla rete gestita dall'Asus
Ho provato a mettere il router e il modem nella stessa serie di indirizzi ip lan (quindi tutti e due con ip 192.168.0.x) ma il Netgear è sempre inaccessibile e il led internet è rosso (ma in realtà la connessione internet c'è e funziona). Viste le mie scarse conoscenze in fatto di reti, come risolvo per avere accesso diretto alla gestione Netgear\amod dalla rete wifi gestita dal router Asus? Per ora vorrei evitare se possibile di riattivare la parte router sul 2200.

Anche se mettessi il 2200v4 e l'Asus sulla stessa net, per esempio con netmask 255.255.254.0 che permetterebbe ad entrambi di "vedersi", non funzionerebbe comunque in quanto di norma lo switch LAN è separato da quello WAN.

Prova del fatto che se imposti sia il 2200v4 che l'Asus con netmask 255.255.254.0 (o decrescenti) ed il cavo dal 2200v4 lo colleghi ad una porta LAN (invece che WAN) dell'Asus, riesci ad accedere al 2200v4.

Ovviamente internet non andrebbe perchè tale configurazione sarebbe per fare dell'Asus un access point, il che richiede che qualcuno sopra di lui abbia già instaurato una sessione PPP.


Insomma ritornando alle tue necessità di avere il 2200v4 solo modem e l'Asus come router, è una domanda che avresti dovuto fare su un (qualsiasi) thread Asus, ma ormai.

La questione è che essendo lo switch WAN e LAN di default separati, i clients (dell'Asus) quando tentano di accedere al 2200v4 arrivano prima all'Asus, ma lì si fermano perchè non sanno come raggiungere la WAN.

Per raggiungere il 2200v4 devi istruire i clients dicendogli come possono farlo, ovvero impostando sull'Asus una Static Route (ed ecco perchè la questione non è pertinente con questo thread), con la quale specifichi come si fa a raggiungere una certa/o rete/client.

Ci son tre metodi:

- impostando manualmente una static route nella GUI;
- tramite shell con comandi ifconfig e iptables (poi però devi fare in modo che vengano eseguiti automaticamente al riavvio, ergo ti serve Asus Merlin);

oppure fai il terzo che probabilmente è il più immediato, ovvero entri nella pagina di configurazione dell'Asus -> WAN -> Ottieni automaticamente indirizzo IP -> Spunta NO.

Ovviamente devi inserire dei valori tu. Se hai detto che il 2200v4 che fa da modem è in 192.168.0.1 allora nell'Asus imposta:

- IP: 192.168.0.2
- Subnet Mask: 255.255.255.0
- Gateway predefinito: 192.168.0.1


Disabilitando l'IP automatico viene anche disabilitato l'ottenimento dei DNS.

Se vuoi usare quelli dell'ISP allora primo campo mettici un indirizzo a caso, anche quello dell'Asus e poi fai Applica.
Riclicca su WAN e ora sarà possibile spuntare il pallino SI su "Ottieni DNS automaticamente" (mi raccomando DNS e non IP) e fai di nuovo Applica.


Non dovrebbe essere necessario un riavvio, ma nel caso non fa male.



PS: Ora in Mappa Rete se clicchi sul mondo blu ti farà vedere le infomazioni della connessione, quali anche il vero IP pubblico, oltre quello privato impostato manualmente, ed i DNS.

[alfonsor]

@jack

guarda, solo cambiare il nome dell'interfaccia, capisci che non fa funzionare più lo script che lancia openvpn? perché nello script ci sono regole iptables aggiunte che usano ovpnc come nome interfaccia, tu puoi cambiare qualsiasi cosa, ma poi non puoi usare la pagina web e lo script che lancia e ferma openvpn

amod cerca di offrire strumenti; nel caso della vpn offre l'ultimissima versione di openvpn, completa di tutto; offre uno script ed una pagina web in cui openvpn viene usata come client o server per fare una connessione p2p tra due cosi

se uno ha bisogno di un differente uso, deve rinunciare completamente a script e pagina web e fare le cose da solo, scrivendosi lui uno script che lancia e ferma openvpn come serve a lui, secondo le sue esigenze

quello che potevo fare lo ho fatto

[JackLayne]

Quote:

Originariamente inviato da alfonsor

@jack

guarda, solo cambiare il nome dell'interfaccia, capisci che non fa funzionare più lo script che lancia openvpn? perché nello script ci sono regole iptables aggiunte che usano ovpnc come nome interfaccia, tu puoi cambiare qualsiasi cosa, ma poi non puoi usare la pagina web e lo script che lancia e ferma openvpn

amod cerca di offrire strumenti; nel caso della vpn offre l'ultimissima versione di openvpn, completa di tutto; offre uno script ed una pagina web in cui openvpn viene usata come client o server per fare una connessione p2p tra due cosi

se uno ha bisogno di un differente uso, deve rinunciare completamente a script e pagina web e fare le cose da solo, scrivendosi lui uno script che lancia e ferma openvpn come serve a lui, secondo le sue esigenze

quello che potevo fare lo ho fatto

ma tu intendi lo script eseguito dalla pagina web? perché in realta io la eseguo da terminale con il classico comando "openvpn --config /percorso/della/config" in teoria cosi dovrebbe funzionare come in qualsiasi ambiente linux, o sbaglio? considerando che tutte le regole di config le prende tramite push direttamente dal server, nome interfaccia compresa..

[reddevils]

Ciao Raga'
è possibile configurare purevpn sull'ultima amod?

[alfonsor]

Quote:

Originariamente inviato da JackLayne

ma tu intendi lo script eseguito dalla pagina web? perché in realta io la eseguo da terminale con il classico comando "openvpn --config /percorso/della/config" in teoria cosi dovrebbe funzionare come in qualsiasi ambiente linux, o sbaglio? considerando che tutte le regole di config le prende tramite push direttamente dal server, nome interfaccia compresa..

ma le cose mica funzionano così

forse sul 3500 funzionerebbero, ma sul 2200V3 e 4000 ci sono altissime probabilità che non funzionano

perché usano moduli kernel chiusi, usano tabelle di routing diverse, se dai ip ru show, vedrai che non hai il classico local, main, default, ma hai la stramaledetta tabella 101

per cui i "push" che il server fa, inseriscono delle regole iptables, ma mica è detto che funzionino

ovvero bisogna sedersi e vedere cosa in realtà bisogna fare perché le cose funzionino

comunque, quelle tre righe che ti ho scritto portano sicuramente il traffico verso la vpn, cioé se la vpn sta funzionando, riesci tranquillamente a pingare il server, quelle regole redirigono il traffico verso la vpn

PS
comunque il default gateway deve essere verso la tun locale, cioé nel tuo caso 172.20.34.242 non verso il server

[JackLayne]

Quote:

Originariamente inviato da alfonsor

ma le cose mica funzionano così

forse sul 3500 funzionerebbero, ma sul 2200V3 e 4000 ci sono altissime probabilità che non funzionano

perché usano moduli kernel chiusi, usano tabelle di routing diverse, se dai ip ru show, vedrai che non hai il classico local, main, default, ma hai la stramaledetta tabella 101

per cui i "push" che il server fa, inseriscono delle regole iptables, ma mica è detto che funzionino

ovvero bisogna sedersi e vedere cosa in realtà bisogna fare perché le cose funzionino

comunque, quelle tre righe che ti ho scritto portano sicuramente il traffico verso la vpn, cioé se la vpn sta funzionando, riesci tranquillamente a pingare il server, quelle regole redirigono il traffico verso la vpn

PS
comunque il default gateway deve essere verso la tun locale, cioé nel tuo caso 172.20.34.242 non verso il server

Me ne sono accorto che le iptables sono un po diverse dal solito

ora provo a vedere dei dai client riesco a pingare qualcosa verso la vpn.
Intanto ti ringrazio per tutto il supporto che mi stai dando

Mi dispiacerebbe dover cambiare router solo per 3 regole iptables

[alfonsor]

Quote:

Originariamente inviato da reddevils

Ciao Raga'
è possibile configurare purevpn sull'ultima amod?

ragazzuoli, non per venalità eh giuro, ma vi prego di riflettere un tantino sul tipo di domande che fate...

capisco che siamo nell'era in cui ti serve un 3d autocad e ci sono i forum dove un ragazzino del bangladesh te lo va per 50 euro, siamo nell'epoca dove uno che scrive php è pagato 4 dollari l'ora e via dicendo

ma avete idea del lavoro necessario per rispondere a domande come la tua?

sono ore di lavoro; non ho purevpn, non so manco cosa sia, vedo che è un servizio vpn un tot al mese, mai usato, perché non vivo in Cina

per cui dovrei abbonarmici, quindi vedere di farlo funzionare sul tuo router, non su amod, perché ogni router è differente, sicuramente sul 2200V4 NON funziona, sugli altri richiede lavoro

quindi scrivere la mia esperienza in forma di relazione chiara

e questo è appunto "un lavoro", cioé non è più un piacere

strumentiiiiiiiiii, lo scopo è offrire strumentiiiiiii

[alfonsor]

Quote:

Originariamente inviato da JackLayne

ora provo a vedere dei dai client riesco a pingare qualcosa verso la vpn.

cioé fammi capire :PPP

tutto sta sequenza di post e non sai manco se la vpn funziona?

[alfonsor]

Quote:

Originariamente inviato da JackLayne

Me ne sono accorto che le iptables sono un po diverse dal solito

guarda, non esiste "il solito"

se hai un firewall, hai regole che fanno il firewall, hai regole, tabelle e tutto costituisce il firewall ed ogni firewall è diverso da un altro

[alfonsor]

Quote:

Originariamente inviato da Robermix

Anche se mettessi il 2200v4 e l'Asus sulla stessa net, per esempio con netmask 255.255.254.0 che permetterebbe ad entrambi di "vedersi", non funzionerebbe comunque in quanto di norma lo switch LAN è separato da quello WAN.

Prova del fatto che se imposti sia il 2200v4 che l'Asus con netmask 255.255.254.0 (o decrescenti) ed il cavo dal 2200v4 lo colleghi ad una porta LAN (invece che WAN) dell'Asus, riesci ad accedere al 2200v4.

Ovviamente internet non andrebbe perchè tale configurazione sarebbe per fare dell'Asus un access point, il che richiede che qualcuno sopra di lui abbia già instaurato una sessione PPP.


Insomma ritornando alle tue necessità di avere il 2200v4 solo modem e l'Asus come router, è una domanda che avresti dovuto fare su un (qualsiasi) thread Asus, ma ormai.

La questione è che essendo lo switch WAN e LAN di default separati, i clients (dell'Asus) quando tentano di accedere al 2200v4 arrivano prima all'Asus, ma lì si fermano perchè non sanno come raggiungere la WAN.

Per raggiungere il 2200v4 devi istruire i clients dicendogli come possono farlo, ovvero impostando sull'Asus una Static Route (ed ecco perchè la questione non è pertinente con questo thread), con la quale specifichi come si fa a raggiungere una certa/o rete/client.

Ci son tre metodi:

- impostando manualmente una static route nella GUI;
- tramite shell con comandi ifconfig e iptables (poi però devi fare in modo che vengano eseguiti automaticamente al riavvio, ergo ti serve Asus Merlin);

oppure fai il terzo che probabilmente è il più immediato, ovvero entri nella pagina di configurazione dell'Asus -> WAN -> Ottieni automaticamente indirizzo IP -> Spunta NO.

Ovviamente devi inserire dei valori tu. Se hai detto che il 2200v4 che fa da modem è in 192.168.0.1 allora nell'Asus imposta:

- IP: 192.168.0.2
- Subnet Mask: 255.255.255.0
- Gateway predefinito: 192.168.0.1


Disabilitando l'IP automatico viene anche disabilitato l'ottenimento dei DNS.

Se vuoi usare quelli dell'ISP allora primo campo mettici un indirizzo a caso, anche quello dell'Asus e poi fai Applica.
Riclicca su WAN e ora sarà possibile spuntare il pallino SI su "Ottieni DNS automaticamente" (mi raccomando DNS e non IP) e fai di nuovo Applica.


Non dovrebbe essere necessario un riavvio, ma nel caso non fa male.



PS: Ora in Mappa Rete se clicchi sul mondo blu ti farà vedere le infomazioni della connessione, quali anche il vero IP pubblico, oltre quello privato impostato manualmente, ed i DNS.

a dire il vero il giochino di avere la stessa net e due cavi che escono dal modem uno va alla wan ed uno va alla lan può anche funzionare, ma va impostato per bene, richiede che lo switch di entrambi sia configurato per evitare loop e cose del genere e lo sconsiglio altamente

invece quello che consigli, ovvero di mettere l'asus come router senza connessione pppoe, funziona se il 2200 è configurato come router, se è configurato come modem, come nel nostro caso, nessuno fa la connessione pppoe e non vai su Internet; inoltre, il 2200 sarebbe sempre un router, farebbe sempre il routing dei pacchetti, avresti bisogno del doppio nat, e sarebbe davvero come sprecare l'asus

[JackLayne]

Quote:

Originariamente inviato da alfonsor

cioé fammi capire :PPP

tutto sta sequenza di post e non sai manco se la vpn funziona?

Forse mi sono spiegato male io. Ci tengo a premettere che non sono digiuno in materia ( iptables un po meno ) per cui sono cose che solitamente faccio.

Allora la VPN dal router funziona, verificato con ping e traceroute. Io dai client pingo tranquillamente il 172.20.34.242, ma quello l'ho sempre fatto.

Ad esempio, non pingo il 172.20.32.1, mentre dal router ( tramite ssh ) funziona tutto.

[JackLayne]

Avviato OpenVPN con il seguente comando:

openvpn --config /config/xxx/amod/openvpn/openvpn_client.conf

Traceroute via ssh dal router:

Codice:

traceroute to google.it (173.194.40.159), 30 hops max, 38 byte packets
 1  172.20.32.1 (172.20.32.1)  54.902 ms  55.397 ms  54.074 ms
 2  95.141.37.1 (95.141.37.1)  59.744 ms  55.368 ms  54.973 ms
 3  95.141.47.254 (95.141.47.254)  54.366 ms  54.862 ms  53.829 ms
 4  google.mix-it.net (217.29.66.96)  54.613 ms  60.834 ms  54.242 ms
 5  209.85.249.54 (209.85.249.54)  55.321 ms  216.239.47.128 (216.239.47.128)  53.800 ms  209.85.249.54 (209.85.249.54)  61.695 ms
 6  209.85.253.9 (209.85.253.9)  62.132 ms  209.85.253.11 (209.85.253.11)  61.835 ms  209.85.253.9 (209.85.253.9)  61.826 ms
 7  209.85.143.219 (209.85.143.219)  72.268 ms  209.85.142.249 (209.85.142.249)  71.676 ms  97.713 ms
 8  209.85.245.73 (209.85.245.73)  83.057 ms  209.85.245.80 (209.85.245.80)  74.632 ms  84.835 ms
 9  209.85.243.47 (209.85.243.47)  74.352 ms  72.212 ms  73.742 ms
10  par10s10-in-f31.1e100.net (173.194.40.159)  82.169 ms  71.274 ms  72.681 ms
DGND4000 ~ #

aggiungo le seguenti regole:

Codice:

iptables -A FORWARD -i tun0 -o group1 -m state --state RELATED,ESTABLISHED -j ACCEPT 
iptables -A FORWARD -i group1 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o tun0 -j MASQUERADE
ip ro del default via 192.168.1.254
ip ro add default via 172.20.34.242 dev tun0

anche se cambio questa ip ro add default via 172.20.34.242 dev tun0 con questa ip ro add default via 172.20.32.1 dev tun0 non cambia assolutamente nulla.

la tabella di routing è questa:

Codice:

DGND4000 ~ # route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
94.198.97.10    192.168.1.254   255.255.255.255 UGH   0      0        0 eth4
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth4
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 group1
172.20.32.0     0.0.0.0         255.255.252.0   U     0      0        0 tun0
239.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 group1
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         172.20.32.1     128.0.0.0       UG    0      0        0 tun0
128.0.0.0       172.20.32.1     128.0.0.0       UG    0      0        0 tun0
0.0.0.0         172.20.34.242   0.0.0.0         UG    0      0        0 tun0
DGND4000 ~ #

da un qualsiasi client della rete:

ping 172.20.32.1 ( fallisce, non lo raggiunge )
ping 172.20.34.242 ( funziona, ma è normale è quello assegnato all'interfaccia tun0 )

grazie ancora per tutto l'aiuto

[alfonsor]

prima di tutto usa il comando ip

mostra le regole
ip ru

mostra le route della tabella main
ip ro

mostra le route della tabella 101
ip ro show table 101

secondo, quando tiri su una vpn se non riesci a pingare l'altro capo della vpn, se p2p o client server non cambia, qualcosa non va, o non è connessa proprio, o non ci sono regole adatte

siccome fai tutto a mano, devi almeno inserire queste regole

iptables -A INPUT -i ovpnc -j ACCEPT
iptables -A FORWARD -i ovpnc -j ACCEPT
iptables -A OUTPUT -o ovpnc -j ACCEPT
iptables -A FORWARD -o ovpnc -j ACCEPT

cambia ovpnc con quello che usi

se inoltre vuoi inserire regole per il routing verso la "LAN remota", cioé quello che sarebbe nella pagina web Remote Network, devi pure fare

ip ru add from all to REMOTENET lookup main
ip ru add from REMOTENET lookup main

molto probabilmente tu però non hai una LAN remota a cui accedere

quindi, avvia la vpn senza l'opzione per diventare daemon e con un verbose di 3 4 5 e vedi da quanto esce scritto se si connette o ci sono problemi;

in un'altra shell, inserisci le regole di iptables sopra e vedi se funziona la vpn pingando l'altra parte del tunnel

[alfonsor]

siccome è stato toccato l'argomento, ho flashato su un 2200V3 il firmware 1.1.00.25 e lo ho impostato in maniera del tutto basica, llc 8 35, pppoe, nessuna regola firewall

questi sono i ping verso 192.168.100.1 e 8.8.8.8

Codice:

# ping -c 16 192.168.100.1
PING 192.168.100.1 (192.168.100.1): 56 data bytes
no need set tos. 0
64 bytes from 192.168.100.1: seq=0 ttl=127 time=26.177 ms
64 bytes from 192.168.100.1: seq=1 ttl=127 time=29.460 ms
64 bytes from 192.168.100.1: seq=2 ttl=127 time=26.161 ms
64 bytes from 192.168.100.1: seq=3 ttl=127 time=28.388 ms
64 bytes from 192.168.100.1: seq=4 ttl=127 time=27.449 ms
64 bytes from 192.168.100.1: seq=5 ttl=127 time=26.262 ms
64 bytes from 192.168.100.1: seq=6 ttl=127 time=27.094 ms
64 bytes from 192.168.100.1: seq=7 ttl=127 time=25.841 ms
64 bytes from 192.168.100.1: seq=8 ttl=127 time=26.731 ms
64 bytes from 192.168.100.1: seq=9 ttl=127 time=31.224 ms
64 bytes from 192.168.100.1: seq=10 ttl=127 time=26.211 ms
64 bytes from 192.168.100.1: seq=11 ttl=127 time=30.217 ms
64 bytes from 192.168.100.1: seq=12 ttl=127 time=26.539 ms
64 bytes from 192.168.100.1: seq=13 ttl=127 time=27.578 ms
64 bytes from 192.168.100.1: seq=14 ttl=127 time=27.146 ms
64 bytes from 192.168.100.1: seq=15 ttl=127 time=26.964 ms

--- 192.168.100.1 ping statistics ---
16 packets transmitted, 16 packets received, 0% packet loss
round-trip min/avg/max = 25.841/27.465/31.224 ms


# ping -c 16 8.8.8.8
PING 8.8.8.8 (8.8.8.8): 56 data bytes
no need set tos. 0
64 bytes from 8.8.8.8: seq=0 ttl=57 time=40.174 ms
64 bytes from 8.8.8.8: seq=1 ttl=57 time=39.198 ms
64 bytes from 8.8.8.8: seq=2 ttl=57 time=39.159 ms
64 bytes from 8.8.8.8: seq=3 ttl=57 time=40.318 ms
64 bytes from 8.8.8.8: seq=4 ttl=57 time=39.542 ms
64 bytes from 8.8.8.8: seq=5 ttl=57 time=39.567 ms
64 bytes from 8.8.8.8: seq=6 ttl=57 time=39.385 ms
64 bytes from 8.8.8.8: seq=7 ttl=57 time=39.886 ms
64 bytes from 8.8.8.8: seq=8 ttl=57 time=39.677 ms
64 bytes from 8.8.8.8: seq=9 ttl=57 time=39.516 ms
64 bytes from 8.8.8.8: seq=10 ttl=57 time=39.316 ms
64 bytes from 8.8.8.8: seq=11 ttl=57 time=39.123 ms
64 bytes from 8.8.8.8: seq=12 ttl=57 time=39.397 ms
64 bytes from 8.8.8.8: seq=13 ttl=57 time=40.680 ms
64 bytes from 8.8.8.8: seq=14 ttl=57 time=39.699 ms
64 bytes from 8.8.8.8: seq=15 ttl=57 time=39.696 ms

--- 8.8.8.8 ping statistics ---
16 packets transmitted, 16 packets received, 0% packet loss
round-trip min/avg/max = 39.123/39.645/40.680 ms

sono ping eseguiti una sola volta, non hanno praticamente senso, magari dopo 10 minuti i valori sarebbero cambiati ma questi sono

questi sono i ping con l'ultima versione di amod, con le stesse identiche impostazioni dell'altro 2200V3

Codice:

DGN2200v3 ~ # ping -c 16 192.168.100.1
PING 192.168.100.1 (192.168.100.1): 56 data bytes
64 bytes from 192.168.100.1: seq=0 ttl=127 time=27.119 ms
64 bytes from 192.168.100.1: seq=1 ttl=127 time=27.085 ms
64 bytes from 192.168.100.1: seq=2 ttl=127 time=28.551 ms
64 bytes from 192.168.100.1: seq=3 ttl=127 time=26.872 ms
64 bytes from 192.168.100.1: seq=4 ttl=127 time=27.391 ms
64 bytes from 192.168.100.1: seq=5 ttl=127 time=50.609 ms
64 bytes from 192.168.100.1: seq=6 ttl=127 time=26.738 ms
64 bytes from 192.168.100.1: seq=7 ttl=127 time=26.539 ms
64 bytes from 192.168.100.1: seq=8 ttl=127 time=51.007 ms
64 bytes from 192.168.100.1: seq=9 ttl=127 time=56.148 ms
64 bytes from 192.168.100.1: seq=10 ttl=127 time=27.190 ms
64 bytes from 192.168.100.1: seq=11 ttl=127 time=26.434 ms
64 bytes from 192.168.100.1: seq=12 ttl=127 time=27.230 ms
64 bytes from 192.168.100.1: seq=13 ttl=127 time=52.892 ms
64 bytes from 192.168.100.1: seq=14 ttl=127 time=26.541 ms
64 bytes from 192.168.100.1: seq=15 ttl=127 time=29.116 ms

--- 192.168.100.1 ping statistics ---
16 packets transmitted, 16 packets received, 0% packet loss
round-trip min/avg/max = 26.434/33.591/56.148 ms

DGN2200v3 ~ # ping -c 16 8.8.8.8
PING 8.8.8.8 (8.8.8.8): 56 data bytes
64 bytes from 8.8.8.8: seq=0 ttl=57 time=41.737 ms
64 bytes from 8.8.8.8: seq=1 ttl=57 time=40.612 ms
64 bytes from 8.8.8.8: seq=2 ttl=57 time=40.647 ms
64 bytes from 8.8.8.8: seq=3 ttl=57 time=40.239 ms
64 bytes from 8.8.8.8: seq=4 ttl=57 time=40.213 ms
64 bytes from 8.8.8.8: seq=5 ttl=57 time=39.529 ms
64 bytes from 8.8.8.8: seq=6 ttl=57 time=39.805 ms
64 bytes from 8.8.8.8: seq=7 ttl=57 time=39.606 ms
64 bytes from 8.8.8.8: seq=8 ttl=57 time=39.645 ms
64 bytes from 8.8.8.8: seq=9 ttl=57 time=40.220 ms
64 bytes from 8.8.8.8: seq=10 ttl=57 time=39.717 ms
64 bytes from 8.8.8.8: seq=11 ttl=57 time=40.262 ms
64 bytes from 8.8.8.8: seq=12 ttl=57 time=40.076 ms
64 bytes from 8.8.8.8: seq=13 ttl=57 time=40.345 ms
64 bytes from 8.8.8.8: seq=14 ttl=57 time=39.654 ms
64 bytes from 8.8.8.8: seq=15 ttl=57 time=39.645 ms

--- 8.8.8.8 ping statistics ---
16 packets transmitted, 16 packets received, 0% packet loss
round-trip min/avg/max = 39.529/40.122/41.737 ms

ultimo firmware netgear
gw: round-trip min/avg/max = 25.841/27.465/31.224 ms
google: round-trip min/avg/max = 39.123/39.645/40.680 ms

ultimo amod
gw: round-trip min/avg/max = 26.434/33.591/56.148 ms
google: round-trip min/avg/max = 39.529/40.122/41.737 ms

io li chiamo "identici"

[JackLayne]

allora:

ecco "ip ru", "ip ro" e "ip ro show table 101" prima di avviare la VPN

Codice:

DGND4000 ~ # ip ru
0:	from all lookup local 
32761:	from all iif eth4 lookup 101 
32762:	from 192.168.1.13 lookup 101 
32763:	from all scmark 0x1 lookup 101 
32764:	from all iif group1 lookup 101 
32765:	from 192.168.0.1 lookup 101 
32766:	from all lookup main 
32767:	from all lookup default 
DGND4000 ~ #

Codice:

DGND4000 ~ # ip ro
192.168.1.0/24 dev eth4  proto kernel  scope link  src 192.168.1.13 
192.168.0.0/24 dev group1  proto kernel  scope link  src 192.168.0.1 
239.0.0.0/8 dev group1  scope link 
127.0.0.0/8 dev lo  scope link 
default via 192.168.1.254 dev eth4 
DGND4000 ~ #

Codice:

DGND4000 ~ # ip ro show table 101
192.168.1.0/24 dev eth4  scope link 
192.168.0.0/24 dev group1  scope link 
default via 192.168.1.254 dev eth4 
DGND4000 ~ #

dopodiché, modificata la config da verbose 3 a verbose 5, visto che in verbose 3 io non vedevo nessun errore.


client
dev tun
proto udp
remote lin-c04.ipvanish.com 443
resolv-retry infinite
nobind
persist-key
persist-tun
persist-remote-ip
ca /config/xxx/amod/openvpn/ca.crt
tls-remote lin-c04.ipvanish.com
auth-user-pass /config/xxx/amod/openvpn/auth.conf
comp-lzo
verb 5
auth SHA256
cipher AES-256-CBC
keysize 256
tls-cipher DHE-RSA-AES256-SHAHE-DSS-AES256-SHA:AES256-SHA


avviata la VPN tramite il seguento comando:

Codice:

openvpn --config /config/xxx/amod/openvpn/openvpn_client.conf

LOG avvio VPN:

Codice:

DGND4000 ~ # openvpn --config /config/xxx/amod/openvpn/openvpn_client.conf 
Mon Aug 31 11:17:27 2015 DEPRECATED OPTION: --tls-remote, please update your configuration
Mon Aug 31 11:17:27 2015 us=852468 Current Parameter Settings:
Mon Aug 31 11:17:27 2015 us=854752   config = '/config/xxx/amod/openvpn/openvpn_client.conf'
Mon Aug 31 11:17:27 2015 us=857141   mode = 0
Mon Aug 31 11:17:27 2015 us=859216   persist_config = DISABLED
Mon Aug 31 11:17:27 2015 us=861702   persist_mode = 1
Mon Aug 31 11:17:27 2015 us=864065   show_ciphers = DISABLED
Mon Aug 31 11:17:27 2015 us=866298   show_digests = DISABLED
Mon Aug 31 11:17:27 2015 us=868662   show_engines = DISABLED
Mon Aug 31 11:17:27 2015 us=871132   genkey = DISABLED
Mon Aug 31 11:17:27 2015 us=873378   key_pass_file = '[UNDEF]'
Mon Aug 31 11:17:27 2015 us=875665   show_tls_ciphers = DISABLED
Mon Aug 31 11:17:27 2015 us=878034 Connection profiles [default]:
Mon Aug 31 11:17:27 2015 us=880603   proto = udp
Mon Aug 31 11:17:27 2015 us=883128   local = '[UNDEF]'
Mon Aug 31 11:17:27 2015 us=885366   local_port = 0
Mon Aug 31 11:17:27 2015 us=887606   remote = 'lin-c04.ipvanish.com'
Mon Aug 31 11:17:27 2015 us=890018   remote_port = 443
Mon Aug 31 11:17:27 2015 us=890298   remote_float = DISABLED
Mon Aug 31 11:17:27 2015 us=890511   bind_defined = DISABLED
Mon Aug 31 11:17:27 2015 us=890724   bind_local = DISABLED
Mon Aug 31 11:17:27 2015 us=891072   connect_retry_seconds = 5
Mon Aug 31 11:17:27 2015 us=891295   connect_timeout = 10
Mon Aug 31 11:17:27 2015 us=891497   connect_retry_max = 0
Mon Aug 31 11:17:27 2015 us=891708   socks_proxy_server = '[UNDEF]'
Mon Aug 31 11:17:27 2015 us=892049   socks_proxy_port = 0
Mon Aug 31 11:17:27 2015 us=892238   socks_proxy_retry = DISABLED
Mon Aug 31 11:17:27 2015 us=892432   tun_mtu = 1500
Mon Aug 31 11:17:27 2015 us=892632   tun_mtu_defined = ENABLED
Mon Aug 31 11:17:27 2015 us=892913   link_mtu = 1500
Mon Aug 31 11:17:27 2015 us=893134   link_mtu_defined = DISABLED
Mon Aug 31 11:17:27 2015 us=893337   tun_mtu_extra = 0
Mon Aug 31 11:17:27 2015 us=893537   tun_mtu_extra_defined = DISABLED
Mon Aug 31 11:17:27 2015 us=893734   mtu_discover_type = -1
Mon Aug 31 11:17:27 2015 us=894029   fragment = 0
Mon Aug 31 11:17:27 2015 us=894223   mssfix = 1450
Mon Aug 31 11:17:27 2015 us=894415   explicit_exit_notification = 0
Mon Aug 31 11:17:27 2015 us=894650 Connection profiles END
Mon Aug 31 11:17:27 2015 us=894965   remote_random = DISABLED
Mon Aug 31 11:17:27 2015 us=895182   ipchange = '[UNDEF]'
Mon Aug 31 11:17:27 2015 us=895421   dev = 'tun'
Mon Aug 31 11:17:27 2015 us=895641   dev_type = '[UNDEF]'
Mon Aug 31 11:17:27 2015 us=895942   dev_node = '[UNDEF]'
Mon Aug 31 11:17:27 2015 us=896156   lladdr = '[UNDEF]'
Mon Aug 31 11:17:27 2015 us=896366   topology = 1
Mon Aug 31 11:17:27 2015 us=896572   tun_ipv6 = DISABLED
Mon Aug 31 11:17:27 2015 us=896756   ifconfig_local = '[UNDEF]'
Mon Aug 31 11:17:27 2015 us=897056   ifconfig_remote_netmask = '[UNDEF]'
Mon Aug 31 11:17:27 2015 us=897291   ifconfig_noexec = DISABLED
Mon Aug 31 11:17:27 2015 us=897503   ifconfig_nowarn = DISABLED
Mon Aug 31 11:17:27 2015 us=897701   ifconfig_ipv6_local = '[UNDEF]'
Mon Aug 31 11:17:27 2015 us=897989   ifconfig_ipv6_netbits = 0
Mon Aug 31 11:17:27 2015 us=898208   ifconfig_ipv6_remote = '[UNDEF]'
Mon Aug 31 11:17:27 2015 us=898429   shaper = 0
Mon Aug 31 11:17:27 2015 us=898649   mtu_test = 0
Mon Aug 31 11:17:27 2015 us=898933   mlock = DISABLED
Mon Aug 31 11:17:27 2015 us=899164   keepalive_ping = 0
Mon Aug 31 11:17:27 2015 us=899530   keepalive_timeout = 0
Mon Aug 31 11:17:27 2015 us=899782   inactivity_timeout = 0
Mon Aug 31 11:17:27 2015 us=900124   ping_send_timeout = 0
Mon Aug 31 11:17:27 2015 us=900344   ping_rec_timeout = 0
Mon Aug 31 11:17:27 2015 us=900551   ping_rec_timeout_action = 0
Mon Aug 31 11:17:27 2015 us=900739   ping_timer_remote = DISABLED
Mon Aug 31 11:17:27 2015 us=901024   remap_sigusr1 = 0
Mon Aug 31 11:17:27 2015 us=901260   persist_tun = ENABLED
Mon Aug 31 11:17:27 2015 us=901468   persist_local_ip = DISABLED
Mon Aug 31 11:17:27 2015 us=901665   persist_remote_ip = ENABLED
Mon Aug 31 11:17:27 2015 us=901931   persist_key = ENABLED
Mon Aug 31 11:17:27 2015 us=902164   passtos = DISABLED
Mon Aug 31 11:17:27 2015 us=902371   resolve_retry_seconds = 1000000000
Mon Aug 31 11:17:27 2015 us=902573   username = '[UNDEF]'
Mon Aug 31 11:17:27 2015 us=902739   groupname = '[UNDEF]'
Mon Aug 31 11:17:27 2015 us=903040   chroot_dir = '[UNDEF]'
Mon Aug 31 11:17:27 2015 us=903271   cd_dir = '[UNDEF]'
Mon Aug 31 11:17:27 2015 us=903467   writepid = '[UNDEF]'
Mon Aug 31 11:17:27 2015 us=903649   up_script = '[UNDEF]'
Mon Aug 31 11:17:27 2015 us=903932   down_script = '[UNDEF]'
Mon Aug 31 11:17:27 2015 us=904174   down_pre = DISABLED
Mon Aug 31 11:17:27 2015 us=904414   up_restart = DISABLED
Mon Aug 31 11:17:27 2015 us=904612   up_delay = DISABLED
Mon Aug 31 11:17:27 2015 us=904786   daemon = DISABLED
Mon Aug 31 11:17:27 2015 us=905145   inetd = 0
Mon Aug 31 11:17:27 2015 us=905365   log = DISABLED
Mon Aug 31 11:17:27 2015 us=905556   suppress_timestamps = DISABLED
Mon Aug 31 11:17:27 2015 us=905720   nice = 0
Mon Aug 31 11:17:27 2015 us=906040   verbosity = 5
Mon Aug 31 11:17:27 2015 us=906281   mute = 0
Mon Aug 31 11:17:27 2015 us=906494   status_file = '[UNDEF]'
Mon Aug 31 11:17:27 2015 us=906668   status_file_version = 1
Mon Aug 31 11:17:27 2015 us=906942   status_file_update_freq = 60
Mon Aug 31 11:17:27 2015 us=907187   occ = ENABLED
Mon Aug 31 11:17:27 2015 us=907402   rcvbuf = 65536
Mon Aug 31 11:17:27 2015 us=907580   sndbuf = 65536
Mon Aug 31 11:17:27 2015 us=907752   mark = 0
Mon Aug 31 11:17:27 2015 us=908088   sockflags = 0
Mon Aug 31 11:17:27 2015 us=908304   fast_io = DISABLED
Mon Aug 31 11:17:27 2015 us=908512   lzo = 7
Mon Aug 31 11:17:27 2015 us=908676   route_script = '[UNDEF]'
Mon Aug 31 11:17:27 2015 us=908971   route_default_gateway = '[UNDEF]'
Mon Aug 31 11:17:27 2015 us=909206   route_default_metric = 0
Mon Aug 31 11:17:27 2015 us=909446   route_noexec = DISABLED
Mon Aug 31 11:17:27 2015 us=909638   route_delay = 0
Mon Aug 31 11:17:27 2015 us=909941   route_delay_window = 30
Mon Aug 31 11:17:27 2015 us=910191   route_delay_defined = DISABLED
Mon Aug 31 11:17:27 2015 us=910400   route_nopull = DISABLED
Mon Aug 31 11:17:27 2015 us=910580   route_gateway_via_dhcp = DISABLED
Mon Aug 31 11:17:27 2015 us=910759   max_routes = 100
Mon Aug 31 11:17:27 2015 us=911107   allow_pull_fqdn = DISABLED
Mon Aug 31 11:17:27 2015 us=911299   management_addr = '[UNDEF]'
Mon Aug 31 11:17:27 2015 us=911511   management_port = 0
Mon Aug 31 11:17:27 2015 us=911690   management_user_pass = '[UNDEF]'
Mon Aug 31 11:17:27 2015 us=912009   management_log_history_cache = 250
Mon Aug 31 11:17:27 2015 us=912241   management_echo_buffer_size = 100
Mon Aug 31 11:17:27 2015 us=912448   management_write_peer_info_file = '[UNDEF]'
Mon Aug 31 11:17:27 2015 us=912653   management_client_user = '[UNDEF]'
Mon Aug 31 11:17:27 2015 us=912968   management_client_group = '[UNDEF]'
Mon Aug 31 11:17:27 2015 us=913151   management_flags = 0
Mon Aug 31 11:17:27 2015 us=913357   shared_secret_file = '[UNDEF]'
Mon Aug 31 11:17:27 2015 us=913560   key_direction = 0
Mon Aug 31 11:17:27 2015 us=913758   ciphername_defined = ENABLED
Mon Aug 31 11:17:27 2015 us=914071   ciphername = 'AES-256-CBC'
Mon Aug 31 11:17:27 2015 us=914280   authname_defined = ENABLED
Mon Aug 31 11:17:27 2015 us=914488   authname = 'SHA256'
Mon Aug 31 11:17:27 2015 us=914691   prng_hash = 'SHA1'
Mon Aug 31 11:17:27 2015 us=914988   prng_nonce_secret_len = 16
Mon Aug 31 11:17:27 2015 us=915197   keysize = 32
Mon Aug 31 11:17:27 2015 us=915408   engine = DISABLED
Mon Aug 31 11:17:27 2015 us=915610   replay = ENABLED
Mon Aug 31 11:17:27 2015 us=915793   mute_replay_warnings = DISABLED
Mon Aug 31 11:17:27 2015 us=916124   replay_window = 64
Mon Aug 31 11:17:27 2015 us=916346   replay_time = 15
Mon Aug 31 11:17:27 2015 us=916560   packet_id_file = '[UNDEF]'
Mon Aug 31 11:17:27 2015 us=916747   use_iv = ENABLED
Mon Aug 31 11:17:27 2015 us=917037   test_crypto = DISABLED
Mon Aug 31 11:17:27 2015 us=917270   tls_server = DISABLED
Mon Aug 31 11:17:27 2015 us=917481   tls_client = ENABLED
Mon Aug 31 11:17:27 2015 us=917676   key_method = 2
Mon Aug 31 11:17:27 2015 us=917948   ca_file = '/config/xxx/amod/openvpn/ca.crt'
Mon Aug 31 11:17:27 2015 us=918191   ca_path = '[UNDEF]'
Mon Aug 31 11:17:27 2015 us=918399   dh_file = '[UNDEF]'
Mon Aug 31 11:17:27 2015 us=918594   cert_file = '[UNDEF]'
Mon Aug 31 11:17:27 2015 us=918760   priv_key_file = '[UNDEF]'
Mon Aug 31 11:17:27 2015 us=919087   pkcs12_file = '[UNDEF]'
Mon Aug 31 11:17:27 2015 us=919313   cipher_list = 'DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:AES256-SHA'
Mon Aug 31 11:17:27 2015 us=919521   tls_verify = '[UNDEF]'
Mon Aug 31 11:17:27 2015 us=919698   tls_export_cert = '[UNDEF]'
Mon Aug 31 11:17:27 2015 us=920007   verify_x509_type = 259
Mon Aug 31 11:17:27 2015 us=920240   verify_x509_name = 'lin-c04.ipvanish.com'
Mon Aug 31 11:17:27 2015 us=920459   crl_file = '[UNDEF]'
Mon Aug 31 11:17:27 2015 us=920666   ns_cert_type = 0
Mon Aug 31 11:17:27 2015 us=920942   remote_cert_ku[i] = 0
Mon Aug 31 11:17:27 2015 us=921132   remote_cert_ku[i] = 0
Mon Aug 31 11:17:27 2015 us=921348   remote_cert_ku[i] = 0
Mon Aug 31 11:17:27 2015 us=921553   remote_cert_ku[i] = 0
Mon Aug 31 11:17:27 2015 us=921752   remote_cert_ku[i] = 0
Mon Aug 31 11:17:27 2015 us=922047   remote_cert_ku[i] = 0
Mon Aug 31 11:17:27 2015 us=922272   remote_cert_ku[i] = 0
Mon Aug 31 11:17:27 2015 us=922487   remote_cert_ku[i] = 0
Mon Aug 31 11:17:27 2015 us=922702   remote_cert_ku[i] = 0
Mon Aug 31 11:17:27 2015 us=922997   remote_cert_ku[i] = 0
Mon Aug 31 11:17:27 2015 us=923196   remote_cert_ku[i] = 0
Mon Aug 31 11:17:27 2015 us=923382   remote_cert_ku[i] = 0
Mon Aug 31 11:17:27 2015 us=923584   remote_cert_ku[i] = 0
Mon Aug 31 11:17:27 2015 us=923784   remote_cert_ku[i] = 0
Mon Aug 31 11:17:27 2015 us=924106   remote_cert_ku[i] = 0
Mon Aug 31 11:17:27 2015 us=924301   remote_cert_ku[i] = 0
Mon Aug 31 11:17:27 2015 us=924507   remote_cert_eku = '[UNDEF]'
Mon Aug 31 11:17:27 2015 us=924712   ssl_flags = 0
Mon Aug 31 11:17:27 2015 us=925041   tls_timeout = 2
Mon Aug 31 11:17:27 2015 us=925229   renegotiate_bytes = 0
Mon Aug 31 11:17:27 2015 us=925439   renegotiate_packets = 0
Mon Aug 31 11:17:27 2015 us=925644   renegotiate_seconds = 3600
Mon Aug 31 11:17:27 2015 us=925941   handshake_window = 60
Mon Aug 31 11:17:27 2015 us=926131   transition_window = 3600
Mon Aug 31 11:17:27 2015 us=926339   single_session = DISABLED
Mon Aug 31 11:17:27 2015 us=926534   push_peer_info = DISABLED
Mon Aug 31 11:17:27 2015 us=926734   tls_exit = DISABLED
Mon Aug 31 11:17:27 2015 us=927013   tls_auth_file = '[UNDEF]'
Mon Aug 31 11:17:27 2015 us=927318   server_network = 0.0.0.0
Mon Aug 31 11:17:27 2015 us=927561   server_netmask = 0.0.0.0
Mon Aug 31 11:17:27 2015 us=927997   server_network_ipv6 = ::
Mon Aug 31 11:17:27 2015 us=928246   server_netbits_ipv6 = 0
Mon Aug 31 11:17:27 2015 us=928479   server_bridge_ip = 0.0.0.0
Mon Aug 31 11:17:27 2015 us=928700   server_bridge_netmask = 0.0.0.0
Mon Aug 31 11:17:27 2015 us=929007   server_bridge_pool_start = 0.0.0.0
Mon Aug 31 11:17:27 2015 us=929260   server_bridge_pool_end = 0.0.0.0
Mon Aug 31 11:17:27 2015 us=929469   ifconfig_pool_defined = DISABLED
Mon Aug 31 11:17:27 2015 us=929676   ifconfig_pool_start = 0.0.0.0
Mon Aug 31 11:17:27 2015 us=929976   ifconfig_pool_end = 0.0.0.0
Mon Aug 31 11:17:27 2015 us=930230   ifconfig_pool_netmask = 0.0.0.0
Mon Aug 31 11:17:27 2015 us=930449   ifconfig_pool_persist_filename = '[UNDEF]'
Mon Aug 31 11:17:27 2015 us=930646   ifconfig_pool_persist_refresh_freq = 600
Mon Aug 31 11:17:27 2015 us=930911   ifconfig_ipv6_pool_defined = DISABLED
Mon Aug 31 11:17:27 2015 us=931183   ifconfig_ipv6_pool_base = ::
Mon Aug 31 11:17:27 2015 us=931386   ifconfig_ipv6_pool_netbits = 0
Mon Aug 31 11:17:27 2015 us=931591   n_bcast_buf = 256
Mon Aug 31 11:17:27 2015 us=931768   tcp_queue_limit = 64
Mon Aug 31 11:17:27 2015 us=932268   real_hash_size = 256
Mon Aug 31 11:17:27 2015 us=932517   virtual_hash_size = 256
Mon Aug 31 11:17:27 2015 us=932792   client_connect_script = '[UNDEF]'
Mon Aug 31 11:17:27 2015 us=933113   learn_address_script = '[UNDEF]'
Mon Aug 31 11:17:27 2015 us=933342   client_disconnect_script = '[UNDEF]'
Mon Aug 31 11:17:27 2015 us=933536   client_config_dir = '[UNDEF]'
Mon Aug 31 11:17:27 2015 us=933736   ccd_exclusive = DISABLED
Mon Aug 31 11:17:27 2015 us=934041   tmp_dir = '/tmp'
Mon Aug 31 11:17:27 2015 us=934256   push_ifconfig_defined = DISABLED
Mon Aug 31 11:17:27 2015 us=934481   push_ifconfig_local = 0.0.0.0
Mon Aug 31 11:17:27 2015 us=934693   push_ifconfig_remote_netmask = 0.0.0.0
Mon Aug 31 11:17:27 2015 us=934992   push_ifconfig_ipv6_defined = DISABLED
Mon Aug 31 11:17:27 2015 us=935245   push_ifconfig_ipv6_local = ::/0
Mon Aug 31 11:17:27 2015 us=935485   push_ifconfig_ipv6_remote = ::
Mon Aug 31 11:17:27 2015 us=935694   enable_c2c = DISABLED
Mon Aug 31 11:17:27 2015 us=935979   duplicate_cn = DISABLED
Mon Aug 31 11:17:27 2015 us=936206   cf_max = 0
Mon Aug 31 11:17:27 2015 us=936418   cf_per = 0
Mon Aug 31 11:17:27 2015 us=936614   max_clients = 1024
Mon Aug 31 11:17:27 2015 us=936791   max_routes_per_client = 256
Mon Aug 31 11:17:27 2015 us=937117   auth_user_pass_verify_script = '[UNDEF]'
Mon Aug 31 11:17:27 2015 us=937344   auth_user_pass_verify_script_via_file = DISABLED
Mon Aug 31 11:17:27 2015 us=937560   port_share_host = '[UNDEF]'
Mon Aug 31 11:17:27 2015 us=937742   port_share_port = 0
Mon Aug 31 11:17:27 2015 us=938041   client = ENABLED
Mon Aug 31 11:17:27 2015 us=938277   pull = ENABLED
Mon Aug 31 11:17:27 2015 us=938491   auth_user_pass_file = '/config/xxx/amod/openvpn/auth.conf'
Mon Aug 31 11:17:27 2015 us=938690 OpenVPN 2.3.7 mips-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Jul 24 2015
Mon Aug 31 11:17:27 2015 us=939097 library versions: OpenSSL 1.0.2d 9 Jul 2015, LZO 2.09
Mon Aug 31 11:17:28 2015 us=14720 Deprecated TLS cipher name 'DHE-RSA-AES256-SHA', please use IANA name 'TLS-DHE-RSA-WITH-AES-256-CBC-SHA'
Mon Aug 31 11:17:28 2015 us=15192 Deprecated TLS cipher name 'DHE-DSS-AES256-SHA', please use IANA name 'TLS-DHE-DSS-WITH-AES-256-CBC-SHA'
Mon Aug 31 11:17:28 2015 us=15414 Deprecated TLS cipher name 'AES256-SHA', please use IANA name 'TLS-RSA-WITH-AES-256-CBC-SHA'
Mon Aug 31 11:17:28 2015 us=16742 LZO compression initialized
Mon Aug 31 11:17:28 2015 us=19299 Control Channel MTU parms [ L:1570 D:138 EF:38 EB:0 ET:0 EL:3 ]
Mon Aug 31 11:17:28 2015 us=20303 Socket Buffers: R=[122880->131072] S=[122880->131072]
Mon Aug 31 11:17:28 2015 us=211005 Data Channel MTU parms [ L:1570 D:1450 EF:70 EB:143 ET:0 EL:3 AF:3/1 ]
Mon Aug 31 11:17:28 2015 us=211545 Local Options String: 'V4,dev-type tun,link-mtu 1570,tun-mtu 1500,proto UDPv4,comp-lzo,cipher AES-256-CBC,auth SHA256,keysize 256,key-method 2,tls-client'
Mon Aug 31 11:17:28 2015 us=211914 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1570,tun-mtu 1500,proto UDPv4,comp-lzo,cipher AES-256-CBC,auth SHA256,keysize 256,key-method 2,tls-server'
Mon Aug 31 11:17:28 2015 us=212493 Local Options hash (VER=V4): 'fc8ba345'
Mon Aug 31 11:17:28 2015 us=212962 Expected Remote Options hash (VER=V4): '79a26cd9'
Mon Aug 31 11:17:28 2015 us=213336 UDPv4 link local: [undef]
Mon Aug 31 11:17:28 2015 us=213603 UDPv4 link remote: [AF_INET]94.198.97.10:443
Mon Aug 31 11:17:28 2015 us=284078 TLS: Initial packet from [AF_INET]94.198.97.10:443, sid=d48c21ca b64f05b6
Mon Aug 31 11:17:28 2015 us=285568 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Mon Aug 31 11:17:29 2015 us=61465 VERIFY OK: depth=1, /C=US/ST=FL/L=Winter_Park/O=IPVanish/OU=IPVanish_VPN/CN=IPVanish_CA/emailAddress=support@ipvanish.com
Mon Aug 31 11:17:29 2015 us=73452 VERIFY X509NAME OK: /C=US/ST=FL/L=Winter_Park/O=IPVanish/OU=IPVanish_VPN/CN=lin-c04.ipvanish.com/emailAddress=support@ipvanish.com
Mon Aug 31 11:17:29 2015 us=75658 VERIFY OK: depth=0, /C=US/ST=FL/L=Winter_Park/O=IPVanish/OU=IPVanish_VPN/CN=lin-c04.ipvanish.com/emailAddress=support@ipvanish.com
Mon Aug 31 11:17:31 2015 us=88496 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Mon Aug 31 11:17:31 2015 us=90940 Data Channel Encrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
Mon Aug 31 11:17:31 2015 us=93221 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Mon Aug 31 11:17:31 2015 us=95560 Data Channel Decrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
Mon Aug 31 11:17:31 2015 us=101333 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Mon Aug 31 11:17:31 2015 us=103956 [lin-c04.ipvanish.com] Peer Connection Initiated with [AF_INET]94.198.97.10:443
Mon Aug 31 11:17:33 2015 us=478265 SENT CONTROL [lin-c04.ipvanish.com]: 'PUSH_REQUEST' (status=1)
Mon Aug 31 11:17:33 2015 us=553326 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 198.18.0.1,dhcp-option DNS 198.18.0.2,rcvbuf 262144,explicit-exit-notify 5,route-gateway 172.20.32.1,topology subnet,ping 20,ping-restart 40,ifconfig 172.20.34.242 255.255.252.0'
Mon Aug 31 11:17:33 2015 us=556510 OPTIONS IMPORT: timers and/or timeouts modified
Mon Aug 31 11:17:33 2015 us=558574 OPTIONS IMPORT: explicit notify parm(s) modified
Mon Aug 31 11:17:33 2015 us=561140 OPTIONS IMPORT: --sndbuf/--rcvbuf options modified
Mon Aug 31 11:17:33 2015 us=563537 Socket Buffers: R=[131072->245760] S=[131072->131072]
Mon Aug 31 11:17:33 2015 us=565621 OPTIONS IMPORT: --ifconfig/up options modified
Mon Aug 31 11:17:33 2015 us=568152 OPTIONS IMPORT: route options modified
Mon Aug 31 11:17:33 2015 us=570165 OPTIONS IMPORT: route-related options modified
Mon Aug 31 11:17:33 2015 us=572412 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Mon Aug 31 11:17:33 2015 us=590669 TUN/TAP device tun0 opened
Mon Aug 31 11:17:33 2015 us=595479 TUN/TAP TX queue length set to 100
Mon Aug 31 11:17:33 2015 us=599475 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Mon Aug 31 11:17:33 2015 us=603081 /bin/ip link set dev tun0 up mtu 1500
Mon Aug 31 11:17:33 2015 us=618292 /bin/ip addr add dev tun0 172.20.34.242/22 broadcast 172.20.35.255
Mon Aug 31 11:17:33 2015 us=702471 /bin/ip route add 94.198.97.10/32 via 192.168.1.254
Mon Aug 31 11:17:33 2015 us=723529 /bin/ip route add 0.0.0.0/1 via 172.20.32.1
Mon Aug 31 11:17:33 2015 us=745235 /bin/ip route add 128.0.0.0/1 via 172.20.32.1
Mon Aug 31 11:17:33 2015 us=755732 Initialization Sequence Completed

a questo punto eseugito i seguenti comandi:

Codice:

iptables -A INPUT -i tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -j ACCEPT
iptables -A OUTPUT -o tun0 -j ACCEPT
iptables -A FORWARD -o tun0 -j ACCEPT

iptables -A FORWARD -i tun0 -o group1 -m state --state RELATED,ESTABLISHED -j ACCEPT 
iptables -A FORWARD -i group1 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o tun0 -j MASQUERADE
ip ro del default 
ip ro add default via 172.20.34.242 dev tun0

a questo punto da router eseguo ping e traceroute

Codice:

DGND4000 ~ # ping 172.20.32.1
PING 172.20.32.1 (172.20.32.1): 56 data bytes
64 bytes from 172.20.32.1: seq=0 ttl=64 time=81.715 ms
64 bytes from 172.20.32.1: seq=1 ttl=64 time=81.050 ms
64 bytes from 172.20.32.1: seq=2 ttl=64 time=68.285 ms
64 bytes from 172.20.32.1: seq=3 ttl=64 time=65.064 ms
64 bytes from 172.20.32.1: seq=4 ttl=64 time=83.842 ms
^C
--- 172.20.32.1 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max = 65.064/75.991/83.842 ms

Codice:

DGND4000 ~ # traceroute google.it
traceroute to google.it (173.194.45.63), 30 hops max, 38 byte packets
 1  172.20.32.1 (172.20.32.1)  66.511 ms  123.497 ms  67.042 ms
 2  95.141.37.1 (95.141.37.1)  138.305 ms  79.089 ms  135.288 ms
 3  95.141.47.254 (95.141.47.254)  68.388 ms  66.516 ms  173.084 ms
 4  google.mix-it.net (217.29.66.96)  91.695 ms  172.054 ms  63.379 ms
 5  209.85.249.54 (209.85.249.54)  178.449 ms  77.640 ms  216.239.47.128 (216.239.47.128)  91.579 ms
 6  209.85.253.11 (209.85.253.11)  84.403 ms  83.721 ms  209.85.253.9 (209.85.253.9)  135.533 ms
 7  209.85.143.219 (209.85.143.219)  90.280 ms  106.528 ms  209.85.142.249 (209.85.142.249)  105.757 ms
 8  209.85.245.71 (209.85.245.71)  111.140 ms  83.396 ms  117.645 ms
 9  66.249.94.79 (66.249.94.79)  82.857 ms  82.670 ms  79.878 ms
10  par03s12-in-f31.1e100.net (173.194.45.63)  77.875 ms  88.540 ms  189.464 ms
DGND4000 ~ #

questi sono adesso gli "ip ru" "ip ro" ed "ip ro show table 101" dopo avviato la vpn

Codice:

GND4000 ~ # ip ru
0:	from all lookup local 
32761:	from all iif eth4 lookup 101 
32762:	from 192.168.1.13 lookup 101 
32763:	from all scmark 0x1 lookup 101 
32764:	from all iif group1 lookup 101 
32765:	from 192.168.0.1 lookup 101 
32766:	from all lookup main 
32767:	from all lookup default 
DGND4000 ~ #

Codice:

DGND4000 ~ # ip ro
94.198.97.10 via 192.168.1.254 dev eth4 
192.168.1.0/24 dev eth4  proto kernel  scope link  src 192.168.1.13 
192.168.0.0/24 dev group1  proto kernel  scope link  src 192.168.0.1 
172.20.32.0/22 dev tun0  proto kernel  scope link  src 172.20.34.242 
239.0.0.0/8 dev group1  scope link 
127.0.0.0/8 dev lo  scope link 
0.0.0.0/1 via 172.20.32.1 dev tun0 
128.0.0.0/1 via 172.20.32.1 dev tun0 
default via 172.20.34.242 dev tun0 
DGND4000 ~ #

Codice:

DGND4000 ~ # ip ro show table 101
192.168.1.0/24 dev eth4  scope link 
192.168.0.0/24 dev group1  scope link 
default via 192.168.1.254 dev eth4 
DGND4000 ~ #

Direi che dal router la vpn funziona..

da un client nella rete invece, ecco traceroute e ping

Codice:

MacBook-Pro-di-Emiliano:~ emiliano$ traceroute google.it
traceroute: Warning: google.it has multiple addresses; using 173.194.45.55
traceroute to google.it (173.194.45.55), 64 hops max, 52 byte packets
 1  192.168.0.1 (192.168.0.1)  1.629 ms  0.494 ms  0.340 ms
 2  192.168.1.254 (192.168.1.254)  1.654 ms  0.966 ms  0.691 ms
 3  82.230.29.254 (82.230.29.254)  33.742 ms  42.983 ms  38.874 ms
 4  montpellier-6k-1-a5.routers.proxad.net (213.228.12.62)  44.754 ms  42.169 ms  33.422 ms
 5  montpellier-crs8-1-be2100.intf.routers.proxad.net (78.254.249.30)  42.942 ms  37.756 ms  36.549 ms
 6  p11-cr16-1-be1103.intf.routers.proxad.net (194.149.160.21)  48.692 ms *  81.513 ms
 7  cbv-9k-1-be1001.intf.routers.proxad.net (194.149.161.14)  49.911 ms  58.885 ms  40.578 ms
 8  72.14.211.26 (72.14.211.26)  42.538 ms  97.853 ms  53.908 ms
 9  72.14.239.145 (72.14.239.145)  47.137 ms  50.225 ms  52.944 ms
10  66.249.94.79 (66.249.94.79)  70.445 ms  46.773 ms  49.291 ms
11  par03s12-in-f23.1e100.net (173.194.45.55)  40.427 ms  50.187 ms  40.555 ms
MacBook-Pro-di-Emiliano:~ emiliano$

e il ping verso la vpn

Codice:

MacBook-Pro-di-Emiliano:~ emiliano$ traceroute google.it
traceroute: Warning: google.it has multiple addresses; using 173.194.45.55
traceroute to google.it (173.194.45.55), 64 hops max, 52 byte packets
 1  192.168.0.1 (192.168.0.1)  1.629 ms  0.494 ms  0.340 ms
 2  192.168.1.254 (192.168.1.254)  1.654 ms  0.966 ms  0.691 ms
 3  82.230.29.254 (82.230.29.254)  33.742 ms  42.983 ms  38.874 ms
 4  montpellier-6k-1-a5.routers.proxad.net (213.228.12.62)  44.754 ms  42.169 ms  33.422 ms
 5  montpellier-crs8-1-be2100.intf.routers.proxad.net (78.254.249.30)  42.942 ms  37.756 ms  36.549 ms
 6  p11-cr16-1-be1103.intf.routers.proxad.net (194.149.160.21)  48.692 ms *  81.513 ms
 7  cbv-9k-1-be1001.intf.routers.proxad.net (194.149.161.14)  49.911 ms  58.885 ms  40.578 ms
 8  72.14.211.26 (72.14.211.26)  42.538 ms  97.853 ms  53.908 ms
 9  72.14.239.145 (72.14.239.145)  47.137 ms  50.225 ms  52.944 ms
10  66.249.94.79 (66.249.94.79)  70.445 ms  46.773 ms  49.291 ms
11  par03s12-in-f23.1e100.net (173.194.45.55)  40.427 ms  50.187 ms  40.555 ms
MacBook-Pro-di-Emiliano:~ emiliano$

so che ti sto rompendo altamente ma credo che manchi davvero una cavolata per farla funzionare..

[alfonsor]

prova togliere queste due regole

0.0.0.0/1 via 172.20.32.1 dev tun0
128.0.0.0/1 via 172.20.32.1 dev tun0

cioé
ip ro del 0.0.0.0/1 via 172.20.32.1 dev tun0
ip to del 128.0.0.0/1 via 172.20.32.1 dev tun0

che non so a che servono e saranno state messo via push

però più di tanto non posso, anche perché non posso provare una cosa del genere