Настройка гаргульи

Здравствуйте!
Требуется помощь в настройке роутера на прошивке гаргулья.
Прошивка ( www.gargoyle-router.com/ ) штатно имеет возможность работы с openVPN.
Для настройки можно загрузить настроечный файл (зип-архив) или настроить все руками.
К сожалению - полученный от vpnki файл не архив. И его недостаточно для настройки руками (текстовым редактором пользоваться умею, структуру файла "разгадал")
требуется (помимо общих данных сервера) указать ключи:
CA Certificate (этот есть в файле vpnki)
Client Certificate (подозреваю что это должна сгенерировать сама гаргулья.. но как?)
Client Key (то же самое... пробовал в этих двух полях прописывать логин и пароль - не помогло)
TLS-Auth Key (этот тоже есть в vpnki)

Теоретически - прошивка собрана на основе OpenWRT. если кто то научит, как подключиться без openVPN - скажу большое спасибо. Работать в терминале могу, подключиться телнетом тоже (но не более). Убить роутер не боюсь - методика восстановления прошивки отработана

В скачанном файле .ovpn есть:
- между тегами <tls-auth> и <tls-auth> - это точно нужно вставить в tls-auth
- секция между тегами <ca> и </ca> - это сертификат центра сертификации которым подписан сертификат сервера
- сертификата клиента у нас в системе нет и не надо
- так как нет сертификата клиента, то и это можно попробовать пропустить
Попробуйте так.

С тегами то понятно. Спасибо. К сожалению - не помогло. После сохранения настроек дает ошибку "Parameters saved but OpenVPN failed to connect. Re-check your configuration."
Смущает то, что полей для логина-пароля нет. Подозреваю что в этом проблема
Может есть какие то ключи в секции client для логина-пароля? Эту секцию в настройках есть куда вставить (она самозаполняется при ручном указании параметров, типа сервера итд. но если вставить ее содержимое из файла vpnki то параметры меняются, т.е можно та и так настроить.

Если нет поля с логином и паролем, то возможно, где-то в его параметрах есть опция по включению ссылки на файл с логином и паролем... это уж точно должно быть.

Есть поле с конфигурацией, которое "заполняется автоматически" на основе заполняемых полей (типа адреса сервера, порта итп). Но, поле можно заполнить и вручную (соответствующие поля тогда меняются соответственно).
В общем то если в это поле вставить данные из файла vpnki до <ca>, то все и заполнится...
Среди параметров в этом поле (вернее - в файле) есть параметр
auth-user-pass
(который, как я уже знаю, говоорит клиенту что требуется запрос логина-пароля)
Сделал так:
auth-user-pass /etc/openvpn/pass.txt
в файле pass прописал первой строчкой - логин, второй строкой - пароль
Увы - не помогло
Вышла новая версия прошивки, было объявлено что работа openvpn расширена. Надеялся на появление новых настроек. Увы - обновился - все осталось (внешне) по-старому.
Есть ли какой ни будь лог и/или монитор на стороне сервера, чтобы посмотреть - есть ли хотя-бы попытки соединения?
Ну и - может нет смысла дальше ковырять openvpn а попробовать какой либо другой способ? Прошивка на основе openwrt.

Да, такой лог есть. Он весьма огромен и чтобы что-то там найти мне нужны:
1. имя в формате userxxx
2. точное время по Мск с точностью до секунд
3. реальный IP адрес, откуда должно было бы идти подключение... узнать можно на whatismyip.com

1. user2abc
2. Вот тут сложно Я не знаю когда прошивка пытается подключиться. Все происходит так: заполняю параметры, нажимаю "сохранить" - жду.... если не дождусь ошибки, то рефреш странички дает текущие (сохранившиеся) настройки и информацмю, что "тоннель не установлен". Сегодня, 26.11.17, кнопку "сохранить" нажимал 2 раза: 10:39:39 и 10:58:30 (мск)
3. на момент выполнения попыток было 109.xx.yyy.zzz
Просто убедиться - оно хоть пытается что то делать или тупо висит после сохранения?

Посмотрел логи, но, увы, ничего нет. Ни по имени, ни по адресу.
С этого адреса есть только пакеты на веб-сайт, но ни одного пакета VPN вообще...
Похоже, что гаргулья даже не пытается ...

я так и подозревал, что оно ничего не делает...
Попробовал практически тыкать наугад... среди тычков были переключение впн на роутере в режим сервера, сброс настроек (скорее всего это помогло), заполнение Client Certificate и Client Key вменяемыми данными (до этого просто писал туда 1 символ, т.к. с пустыми полями сохранить не давало), которые взял из конфигурации когда делал роутер сервером (после заполнения полей нажатие на "сохранить" завершалось какой то вменяемой ошибкой, а не висело бесконечно). И последнее - сменил TLS-Auth Direction (до этого не трогал это поле). Похоже - сработало все сразу - туннель установился!
Спасибо! Буду исследовать дальше. Пока память жива - нарисовать инструкцию по настройке?

Мои поздравления! Да, если не сложно - скиньте скриншоты и мы выложим на сайт. Вдруг кому-то пригодится.

Итак, настройки прошли, но видимо не очень
Имеем две сети. 192,168,0,0 и 192,168,1,0
Первая - за маршрутизатором DIR-615S. Настроил pptp по инструкции (отличия не большие).
Вторая - встроенный openVpn на гаргулье.
В гргулье поднят маршрут на 192.168.0.0 через 172.16.0.1
В длинке пришлось прописать аналогичный маршрут руками.
в каждой сетке есть устройство на esp8266 которое прикидывается вебсервером.
Из первой сетки (из длинка) веб во второй открывается без проблем (стал открываться сразу после прописывания маршрута).
А вот наоборот (из гаргульи) - сервер в первой сетке не виден.
Трассировка затыкается на третьем хопе:
1 <1 мс <1 мс <1 мс Gargoyle.lan [192.168.1.1]
2 166 ms 142 ms 202 ms 172.16.0.1
3 307 ms 384 ms 333 ms 172.16.13.108
4 * * * Превышен интервал ожидания для запроса.
Вроде как маршрут нормально отработал.

Не могу понять - на какой стороне затык? Где поковырять?

Проблема еще в том, что доступ к первой сетке (на длинке) у меня есть раз в пару месяцев. Хорошо бы чтобы проблема оказалась на стороне гаргульи

В планах попробовать коннектиться к сетке через сервис прокси. Пока неторопясь читаю как это делается. Неторопясь, т.к. к первой сетке ближайший месяц поездки не планируются.

Спасибо за любые советы!

ps Инструкцию по настройке не получили? Или написано сумбурно-непонятно? Только что настроил новый роутер (проапгрейдился) по этой инструкции - все заработало без бубна. Готов подробнее описать непонятные моменты.

Начну с конца.
Я не получал инструкции. Вы высылали на Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.? Сообщите дату, может я пропустил чего.

Да, маршрут отработал. Проблема начинается после 172.16.13.108...
1. Я с сервера не могу сделать пинг 172.16.13.108 - скорее всего его межсетевой экран запрещает отвечать на пинги
2. Не могу выполнить пинг 192.168.0.1 по причине скорее всего тоже п.1, но помимо просто ответов на icmp еще должно быть разрешение пропускать icmp, tcp, udp внутрь
И да, стоит иметь ввиду, что NAT в этом устройстве должен быть выключен для VPN интерфейса.

странно, отправлял сразу - посмотреть сейчас что когда не могу - с работы все левые почты заблокированы. Проще отправить еще раз (собственно - так и сделал - с рабочего адреса). Возможно прошлый раз тоже с работы отправлял местный антивирус иногда пароноидально относится к вложениям Если и в этот раз не дойдет - вечером из дома брошу еще раз.

По вопросу - понятно. Значит нужно ехать "на тот конец". Ну это не скоро - пока раслабимся Похоже проблема именно в файрволе. Потому что в инструкции написано: "3. Чуть ниже на странице выключите функцию NAT для туннельного интерфейсе. Сетевой экран можете оставить включенным. " Ну я так и сделал - нат выключил а файрвол оставил включенным

Спасибо - как доберусь, исправлю.

Съездил. отключил сетевой экран. Все заработало! спасибо! Надо бы в инструкции по настройке DIR-825 исправить - что галочку "сетевой экран" нужно тоже снимать. Ну либо дописать предупреждение, что "в случае если галочку не снять, доступ из этой сети будет, а в эту сеть - нет".

Спасибо! Добавлю завтра вечером