Как включить автоматическое подключение к VPN на DD-WRT?

Question

[Dima_kras]

Добрый день, настроил VPN клиент на роутере Asus RT-N18U прошивка DD-WRT v3.0-r32170 std (06/01/17)
На вкладке Service-VPN, нажал VPN Client Enable, заполнил данные. Роутер подключается к сети, все ок. Но после перезагрузке роутера - не подключается автоматически. Нужно опять зайти на вкладку Service-VPN, щелкнуть VPN Client Disable - Enable, и подключится, при этом настройки ключей сохраняются.

Answer 1

[Виктор]

администрирование -> команды -> при запуске. настройки клиента поправить в зависимости от настроек вашего сервера

cd /tmp
ln -s /usr/sbin/openvpn /tmp/myvpn
echo "
#если на стороне сервера 1 провайдер убрать remite-random и оставить один remote
remote-random
remote *ip вашего сервера* *порт сервера*
remote * второй ip вашего сервра* *порт сервера*
proto udp
dev tun0
secret /tmp/static.key
verb 3
comp-lzo
keepalive 15 60
daemon
cipher AES-128-CBC
#auth SHA1
#cipher none
#cipher RC2-64-CBC
#fast-io
" > SiteA-SiteB.conf
echo "
-----BEGIN OpenVPN Static key V1-----
ключ сервера
-----END OpenVPN Static key V1-----
" > static.key
/tmp/myvpn --mktun --dev tun0
#настройка тунеля сервер-роутер. здесь указывается ip на стороне роутера
ifconfig tun0 192.168.120.2 netmask 255.255.255.0 promisc up
# Notice the first 10.0.144.0 being my pfsense LAN, the second 10.0.148.1 being the openvpn gateway
#добавление маршрута. исправить на сеть которая со стороны сервера
route add -net 192.168.0.0 netmask 255.255.252.0 gw 192.168.120.1
sleep 5
/tmp/myvpn --config SiteA-SiteB.conf

администрирование -> команды -> файрволл (убрать если что не нужно)
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
iptables -I INPUT 3 -i tun0 -p icmp -j ACCEPT
iptables -I INPUT 2 -p udp --dport *ваш порт* -j ACCEPT
iptables -I INPUT -i tun0 -j REJECT
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

работает в связке pfsense => 5 филиалов железобетонно 4+ лет. клиенты видят сеть центральную. из центральной видно сеть клиентов. между собой филиалы не видны (не настраивал)

Comments

[Виктор]

при текущих настройках вытяигвает 35-40 мегабит на rt18-u
на rt-ac68u 45+-
после добавления конфига перезагрузить роутер
PS решение не идеально скорее всего. но как вариант возможно устроит. Самая свежая прошивка это на 68 Firmware: DD-WRT v3.0-r36104 std (06/10/18). Остальные на rt-n18u старее.

[Dima_kras]

Мне бы пока чтобы просто запустить, пусть будет не идеально.

В примере только один ключ. А у меня их 3: Ca, Server и Client. С один ключом запускать?

Не могу сообразить как тут поправить:

#настройка тунеля сервер-роутер. здесь указывается ip на стороне роутера
ifconfig tun0 192.168.120.2 netmask 255.255.255.0 promisc up
# Notice the first 10.0.144.0 being my pfsense LAN, the second 10.0.148.1 being the openvpn gateway
#добавление маршрута. исправить на сеть которая со стороны сервера
route add -net 192.168.0.0 netmask 255.255.252.0 gw 192.168.120.1

Сеть роутера 192.168.5.1 - 192.168.5.255
Сеть VPN 10.10.0.0 - 10.10.255.255

[Виктор]

Dima_kras,
у меня в примере соединение сервер/клиент происходит на основе статического ключа, у вас на основе сертификатов.

прочитайте общую хотя бы информацию для понимания того, что делаете иначе ничего не получится...

конфиг клиента openvpn без инфы о настройках сервера openvpn никто не сделает. да и это уже выходит за рамки вопроса автоподключение.

[Dima_kras]

Виктор, пытаюсь разобраться. Но по DD-WRT и OpenVPN не могу сообразить.
У меня есть ovpn файл, как я понимаю он содержит всю необходимую информацию о настройках сервера (я поудалял куски ключей).

Я копирую эти данные, ip, порт, тип соединение, не могу понять где разместить ключи?

dev tun
proto tcp
remote 194.58.140.104 1500
client
resolv-retry infinite
persist-key
persist-tun
comp-lzo
verb 3

-----BEGIN CERTIFICATE-----
MIIDMjCCAhqgAwIBAgIJAN5tt91bugGPMA0GCSqGSIb3DQEBCwUAMBUxEzARBgNV
BAMMCmRjZGFpbHkucnUwHhcNMTkwNDAxMjIwNTA1WhcNMjkwMzI5MjIwNTA1WjAV
MRMwEQYDVQQDDApkY2RhaWx5LnJ1MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIB
CgKCAQEAxtr94BAHkRoDAQkMgUs4PO1x0zgYeFkZmgpmFRuUcPllev3/BMxx/gCi
-----END CERTIFICATE-----

Certificate:
Data:
Version: 3 (0x2)
Serial Number:
b7:de:14:fc:7f:6a:2f
Signature Algorithm: sha256WithRSAEncryption
Issuer: CN=dcdaily.ru
Validity
Not Before: Apr 26 08:47:40 2019 GMT
Not After : Oct 16 08:47:40 2024 GMT
Subject: CN=test_kiosk_MV
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:bc:0a:7d:52:34:95:37:1f:5d:b4:78:7c:ad:af:
c2:83:64:3f:b0:ca:ac:a5:8b:83:2f:55:7f:00:cf:
e4:0c:d3:a7:ec:eb:36:58:76:ff:55:8f:40:dc:12:
47:b0:03:6d:c3:1b:37:d3:12:57:04:f2:8a:e9:dd:
d4:f8:c4:b0:dc:d8:f9:18:c8:88:25:6f:6d:c9:3f:
f5:e6:e9:38:97:b1:67:1a:f7:98:cb:4f:7a:b9:76:
82:ff:e1:8c:56:ea:e8:27:ab:d2:6c:3c:94:21:d5:
0c:db:fe:f6:42:ab:56:3c:ad:ff:d1:9c:1e:9e:a5:
cf:9d:f9:3b:df:bd:8
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
X509v3 Subject Key Identifier:
9B:51:47:FC:DF:CB:B6:F0:09
X509v3 Authority Key Identifier:
keyid:DD:14:F6:65
DirName:/CN=site.ru
serial:DE:6D:B

X509v3 Extended Key Usage:
TLS Web Client Authentication
X509v3 Key Usage:
Digital Signature
Signature Algorithm: sha256WithRSAEncryption
49:4c:6a:25:8e:fa:8d:8b:2a:7e:0d:96:2a:9f:56:ed:6d:43:
05:68:8b:30:19:58:fb:b5:b1:4c:08:f4:33:f7:38:5f:09:4b:
ee:43:0a:89:3a:89:de:9e:61:b9:95:16:fd:d9:bb:3f:f5:45:
de:67:fb:41:28:74:22:3d:45:e0:cb:1b:81:2c:59:7f:3f:b9:
a9:a6:41:4d:df:62:ba:3c:88:c0:73:7e:85:83:e5:76:b7:a7:
ff:29:44:ed:71:b5:51:73
-----BEGIN CERTIFICATE-----
MIIDTzCCAjegAwIBAgIRALfeFPx/ai+zJbA4HPvGUv4wDQYJKoZIhvcNAQELBQAw
FTETMBEGA1
-----END CERTIFICATE-----

-----BEGIN PRIVATE KEY-----
MIIEvgIBADANBgkqhkiG9w0BAQEFAASCBKgwggSkAgEAAoIBAQC8Cn1SNJU3H120
eHytr8KDZD+wyqyli4MvVX8Az+QM06fs6zZYdv9Vj0DcEkewA23DGzfTElcE8orp
3dT
-----END PRIVATE KEY-----