• Zarejestrowany: 2011-09-28
  • Posty: 145

Temat: Openvpn na openwrt + klient na androidzie

Witam.

Na Tplinku 1043 stoi serwer openvpn skonfigurowany wg. tutejszego poradnika. Klientem jest lapek bądź smarfon na Androidzie. Na serwerze włączony serwer dhcp z ipkami przypisanymi na stałe do adresów mac. Wszystko działa jak należy. Jedynym problemem do rozwiązania została kwestia umieszczenia w konfiguracji klienta smartfona skryptu, który wykona "ifconfig tap0 up" oraz "dhcpcd tap0", ponieważ za każdym razem należy te komendy wpisywać w terminal emulatorze. Telefon ma wgrane wszystko co trzeba by openvpn działało tj.: jest zrootowany, ma najnowszego busyboxa, tun.ko. Próbowałem to rozwiązać w poniższy sposób:

Konfiguracja klienta smarfona:

--------------------------
dev tap0
lladdr xx:xx:xx:xx:xx:xx   # bez tego nadaje mac automatycznie
up /root/home.up    # skrypt mający obudzić tap0 i wykonac dhcpcd
proto udp
remote xx.xxx.xxx.xx 1234
resolv-retry infinite
nobind
mute-replay-warnings
secret /sdcard/openvpn/secret.key
verb 3
float 
--------------------------

skrypt home.up

------------------
# home.up
#!/system/xbin/sh
ifconfig tap0 up
dhcpcd tap0
------------------

Na czym polega problem. Otóż wywala że nie może wywołać zewnętrznego skryptu. Log:

------------------------------

Wed Jun 20 16:18:07 2012 OpenVPN 2.1.1 i686-pc-linux-gnu [SSL] [LZO2] [EPOLL] built on Jan  6 2012
Wed Jun 20 16:18:07 2012 MANAGEMENT: TCP Socket listening on 127.0.0.1:16070
Wed Jun 20 16:18:07 2012 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Wed Jun 20 16:18:07 2012 WARNING: file '/sdcard/openvpn/secret.key' is group or others accessible
Wed Jun 20 16:18:07 2012 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Jun 20 16:18:07 2012 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Jun 20 16:18:07 2012 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Jun 20 16:18:07 2012 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Jun 20 16:18:07 2012 TUN/TAP device tap0 opened
Wed Jun 20 16:18:07 2012 TUN/TAP TX queue length set to 100
Wed Jun 20 16:18:07 2012 /system/xbin/ifconfig tap0 hw ether xx:xx:xx:xx:xx:xx
Wed Jun 20 16:18:07 2012 TUN/TAP link layer address set to xx:xx:xx:xx:xx:xx
Wed Jun 20 16:18:07 2012 /root/home.up tap0 1500 1576   init
Wed Jun 20 16:18:07 2012 script failed: could not execute external program
Wed Jun 20 16:18:07 2012 Exiting
-------------------------------

Początkowo myślalem, że przyczyną jest brak nagłówka #!/system/xbin/sh, ponieważ znalazłem informację "http://www.geeklab.info/2011/06/openvpn … l-program/", że nowsza wersja ze względu na lepsze bezpieczeństwo musi mieć wskazanego #!/bin/bash.

Próbowałem już #!/system/xbin/sh, #!/system/bin/sh, bo w obu tych folderach jest sh. Nie wiem, może powinien to być "bash", ale takowego w Andku nie mam. Czy ktoś spotkał się z podobnych problemem i czy jest z niego jakiejś wyjście. Zależy mi na pełnej automatyzacji openvpn. Pozdrawiam

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,033

Odp: Openvpn na openwrt + klient na androidzie

A  /root/home.up ma prawa wykonywania? Wywołaj go z konsoli z takimi jak wyżej parametrami.  #!/system/bin/sh wystarczy, ma to wskazywać na shella w którym się to będzie wykonywało.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez routheros (edytowany przez routheros 2012-06-20 16:28:21)

  • Zarejestrowany: 2011-09-28
  • Posty: 145

Odp: Openvpn na openwrt + klient na androidzie

Wchodzę w terminal:
su
./home.up
wykonuje normalnie.

Zastanawia mnie czy nie wywalić go gdzieś indziej, ale skoro Openvpn ma prawa roota, to powinno śmigać.

home.up -  rwxrwxrwx

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,033

Odp: Openvpn na openwrt + klient na androidzie

Takie małe ale- ta linia z tym # musi być jako pierwsza w pliku.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez routheros (edytowany przez routheros 2012-06-20 17:12:53)

  • Zarejestrowany: 2011-09-28
  • Posty: 145

Odp: Openvpn na openwrt + klient na androidzie

Wywaliłem pierwszą linię - # home.up, a #!/system/xbin/sh dałem jako pierwszą. Nadal script failed. Szukałem już bash na ten telefon (Samsung Galaxy Mini soft oryg. niebrandowy Gingerbread 2.34 KPK), ale jak na razie nici z poszukiwań. Czy brak bash może być przyczyną błędu? Czy w zupełności powinna wystarczyć powłoka sh?

A co jeszcze... Script Security Level ustawiony na Built-in + scripts.

6 Odpowiedź przez snifer

  • snifer
  • Użytkownik
  • Nieaktywny
  • Skąd: Mikołów
  • Zarejestrowany: 2010-05-26
  • Posty: 268

Odp: Openvpn na openwrt + klient na androidzie

Spróbuj w skrypcie podać pełne ścieżki do komend ifconfig i dhcpcd.

Archer C7 v.2 + LEDE by Cezary http://beta.speedtest.net/pl/result/6621599402

7 Odpowiedź przez routheros (edytowany przez routheros 2012-06-20 17:36:21)

  • Zarejestrowany: 2011-09-28
  • Posty: 145

Odp: Openvpn na openwrt + klient na androidzie

Aż mi się wierzyć nie chce, bo w konsoli dhcpcd odpalało z każdej lokalizacji, bez podawania ścieżki. Odpaliło skrypt !!! Dziękuję wszystkim za rady, a szczególnie Sniferowi. Wiszę piwo smile

8 Odpowiedź przez snifer

  • snifer
  • Użytkownik
  • Nieaktywny
  • Skąd: Mikołów
  • Zarejestrowany: 2010-05-26
  • Posty: 268

Odp: Openvpn na openwrt + klient na androidzie

Nie ma za co :-) niektóre procesy czasem po prostu nie widzą zmiennych systemowych w tym PATH i potem nie wiedza gdzie szukać.

Archer C7 v.2 + LEDE by Cezary http://beta.speedtest.net/pl/result/6621599402

9 Odpowiedź przez Tytan69

  • Zarejestrowany: 2010-01-30
  • Posty: 110

Odp: Openvpn na openwrt + klient na androidzie

Czy da się użyć wbudowanej aplikacji na androida VPN jako klienta do Openvpn na Openwrt?
Czy trzeba instalować OpenVPN Connect ze sklepiku?

10 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,033

Odp: Openvpn na openwrt + klient na androidzie

Nie, ta wbudowana to pptp/ipsec. Do openvpn musisz użyć dedykowanej aplikacji.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

11 Odpowiedź przez Tytan69 (edytowany przez Tytan69 2015-10-09 21:16:14)

  • Zarejestrowany: 2010-01-30
  • Posty: 110

Odp: Openvpn na openwrt + klient na androidzie

Mam problem jak stworzyć plik profilu .ovpn dla androida dla OpenVpn
Konfiguracja routera według tego http://eko.one.pl/?p=openwrt-openvpntun
Wklejam crt, csr, key ale aplikacja przy próbie połączenia krzyczy, że PolarSSL: error parsing cert certificate: X509- The CRT/CRL/CSR format is invalid..

mam tak w .ovpn:

client
dev tun
remote domena_moja 1194
proto udp
remote-cert-tls server
verb 3

<ca>
-----BEGIN CERTIFICATE-----
...
WFJFJJGJGSJSGGSL
...
-----END CERTIFICATE-----
</ca>

<cert>
-----BEGIN CERTIFICATE REQUEST-----
...
EFGJPOSGAJGS;G
...
-----END CERTIFICATE REQUEST-----
</cert>

<key>
-----BEGIN PRIVATE KEY-----
...
AG;MFDHAMSDFH;HH;HL;G
...
-----END PRIVATE KEY-----
</key>

12 Odpowiedź przez khain

  • khain
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-09-15
  • Posty: 328

Odp: Openvpn na openwrt + klient na androidzie

Jakiej aplikacji używasz? W wersji 1.3.8 PolarSSL został naprawiony bug. Spróbuj aplikacji, która ma tą lub wyższą wersję PolarSSL.

TP-Link TL-WDR3600 v1.5 -  OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163  +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7

13 Odpowiedź przez Tytan69

  • Zarejestrowany: 2010-01-30
  • Posty: 110

Odp: Openvpn na openwrt + klient na androidzie

To wyżej było na OpenVPN Connect i nie poradziłem sobie z tym profilem lub błędem.

Zmieniłem aplikację na "OpenVPN for Android"
Do tego wygenerowałem na routerze plik client.p12 i użyłem na androidzie według howto http://wiki.openwrt.org/inbox/vpn.howto
Teraz połączenie z androida śmiga.