Keenetic openvpn error private key password verification failed

Code: Select all

  $ openssl rsa -pubout < client.key  | md5
  ced1920e9e99be57146864d09e9e0684

  $ openssl x509 -noout -pubkey < client.crt | md5
  ced1920e9e99be57146864d09e9e0684

Code: Select all

   ./easyrsa build-<client|server>-full <name> nopass

Client

Log

Code: Select all

me@home ~/Downloads/EasyRSA/EasyRSA-3.0.4 $ ./easyrsa init-pki

Note: using Easy-RSA configuration from: ./vars


WARNING!!!

You are about to remove the EASYRSA_PKI at: /home/me/Downloads/EasyRSA/EasyRSA-3.0.4/pki
and initialize a fresh PKI here.

Type the word 'yes' to continue, or any other input to abort.
  Confirm removal: yes

init-pki complete; you may now create a CA or requests.
Your newly created PKI dir is: /home/me/Downloads/EasyRSA/EasyRSA-3.0.4/pki

me@home ~/Downloads/EasyRSA/EasyRSA-3.0.4 $ ./easyrsa build-ca

Note: using Easy-RSA configuration from: ./vars
Generating a 2048 bit RSA private key
.............................................................................................................................+++
.......................+++
writing new private key to '/home/me/Downloads/EasyRSA/EasyRSA-3.0.4/pki/private/ca.key.Gg6XF1WsOp'
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
140429633050272:error:28069065:lib(40):UI_set_result:result too small:ui_lib.c:869:You must type in 4 to 1024 characters
140429633050272:error:0906406D:PEM routines:PEM_def_callback:problems getting password:pem_lib.c:111:
140429633050272:error:0907E06F:PEM routines:DO_PK8PKEY:read key:pem_pk8.c:130:

Easy-RSA error:

Failed to build the CA
me@home ~/Downloads/EasyRSA/EasyRSA-3.0.4 $ ./easyrsa build-ca

Note: using Easy-RSA configuration from: ./vars
Generating a 2048 bit RSA private key
.............+++
....................+++
writing new private key to '/home/me/Downloads/EasyRSA/EasyRSA-3.0.4/pki/private/ca.key.zecimuElQ5'
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Common Name (eg: your user, host, or server name) [Easy-RSA CA]:

CA creation complete and you may now import and sign cert requests.
Your new CA certificate file for publishing is at:
/home/me/Downloads/EasyRSA/EasyRSA-3.0.4/pki/ca.crt

me@home ~/Downloads/EasyRSA/EasyRSA-3.0.4 $ ./easyrsa build-server-full test-s01

Note: using Easy-RSA configuration from: ./vars
Generating a 2048 bit RSA private key
.............................................+++
........................................................................+++
writing new private key to '/home/me/Downloads/EasyRSA/EasyRSA-3.0.4/pki/private/test-s01.key.uiPaCp5kFJ'
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----
Using configuration from ./openssl-easyrsa.cnf
Enter pass phrase for /home/me/Downloads/EasyRSA/EasyRSA-3.0.4/pki/private/ca.key:
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
commonName            :PRINTABLE:'test-s01'
Certificate is to be certified until Mar 22 13:30:43 2028 GMT (3650 days)

Write out database with 1 new entries
Data Base Updated
me@home ~/Downloads/EasyRSA/EasyRSA-3.0.4 $ ./easyrsa build-client-full test-c01

Note: using Easy-RSA configuration from: ./vars
Generating a 2048 bit RSA private key
...................+++
...+++
writing new private key to '/home/me/Downloads/EasyRSA/EasyRSA-3.0.4/pki/private/test-c01.key.IswcnAET2V'
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----
Using configuration from ./openssl-easyrsa.cnf
Enter pass phrase for /home/me/Downloads/EasyRSA/EasyRSA-3.0.4/pki/private/ca.key:
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
commonName            :PRINTABLE:'test-c01'
Certificate is to be certified until Mar 22 13:31:02 2028 GMT (3650 days)

Write out database with 1 new entries
Data Base Updated
me@home ~/Downloads/EasyRSA/EasyRSA-3.0.4 $ 

Code: Select all

~$ lsb_release -a
No LSB modules are available.
Distributor ID: Debian
Description:    Debian GNU/Linux 9.4 (stretch)
Release:        9.4
Codename:       stretch

~$ mkdir easyrsa3

~$ cd easyrsa3/

~/easyrsa3$ wget https://github.com/OpenVPN/easy-rsa/releases/download/v3.0.4/EasyRSA-3.0.4.tgz -q

~/easyrsa3$ tar -xzf EasyRSA-3.0.4.tgz 

~/easyrsa3$ cd EasyRSA-3.0.4/

~/easyrsa3/EasyRSA-3.0.4$ cp vars.example vars

~/easyrsa3/EasyRSA-3.0.4$ vi vars

~/easyrsa3/EasyRSA-3.0.4$ diff vars vars.example
91,96c91,96
< set_var EASYRSA_REQ_COUNTRY   "US"
< set_var EASYRSA_REQ_PROVINCE  "Some State"
< set_var EASYRSA_REQ_CITY      "Some City"
< set_var EASYRSA_REQ_ORG       "Some Org"
< set_var EASYRSA_REQ_EMAIL     "some-email@example.com"
< set_var EASYRSA_REQ_OU                "Some Organizational Unit"
---
> #set_var EASYRSA_REQ_COUNTRY  "US"
> #set_var EASYRSA_REQ_PROVINCE "California"
> #set_var EASYRSA_REQ_CITY     "San Francisco"
> #set_var EASYRSA_REQ_ORG      "Copyleft Certificate Co"
> #set_var EASYRSA_REQ_EMAIL    "me@example.net"
> #set_var EASYRSA_REQ_OU               "My Organizational Unit"
104c104
< set_var EASYRSA_KEY_SIZE      2048
---
> #set_var EASYRSA_KEY_SIZE     2048

~/easyrsa3/EasyRSA-3.0.4$ ./easyrsa init-pki
init-pki complete; you may now create a CA or requests.
Your newly created PKI dir is: /home/user/easyrsa3/EasyRSA-3.0.4/pki

~/easyrsa3/EasyRSA-3.0.4$ ./easyrsa build-ca nopass

Note: using Easy-RSA configuration from: ./vars
Generating a 2048 bit RSA private key
..........................................................................................................+++
...................+++
writing new private key to '/home/user/easyrsa3/EasyRSA-3.0.4/pki/private/ca.key.YlNb3EOaET'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Common Name (eg: your user, host, or server name) [Easy-RSA CA]:Some CA
into your certificate request.
CA creation complete and you may now import and sign cert requests.
Your new CA certificate file for publishing is at:
/home/user/easyrsa3/EasyRSA-3.0.4/pki/ca.crt

~/easyrsa3/EasyRSA-3.0.4$ ./easyrsa build-server-full server nopass
Note: using Easy-RSA configuration from: ./vars
Generating a 2048 bit RSA private key
............................+++
........................................................................................................................................+++
writing new private key to '/home/user/easyrsa3/EasyRSA-3.0.4/pki/private/server.key.DoPsvGEEBh'
-----
Using configuration from ./openssl-easyrsa.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
commonName            :ASN.1 12:'server'
Certificate is to be certified until Mar 22 13:45:16 2028 GMT (3650 days)
Write out database with 1 new entries
Data Base Updated

~/easyrsa3/EasyRSA-3.0.4$ ./easyrsa build-client-full someuser@example.org nopass
Note: using Easy-RSA configuration from: ./vars
Generating a 2048 bit RSA private key
.+++
.......................................................................+++
writing new private key to '/home/user/easyrsa3/EasyRSA-3.0.4/pki/private/someuser@example.org.key.L9ccfeHFqQ'
-----
Using configuration from ./openssl-easyrsa.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
commonName            :ASN.1 12:'someuser@example.org'
Certificate is to be certified until Mar 22 13:45:53 2028 GMT (3650 days)
Write out database with 1 new entries
Data Base Updated
ote: using Easy-RSA configuration from: ./vars
Generating DH parameters, 2048 bit long safe prime, generator 2
This is going to take a long time
...........................................................+...............................................................................+................


...
..
........................................................................................+...................................................................
..........++*++*
DH parameters of size 2048 created at /home/user/easyrsa3/EasyRSA-3.0.4/pki/dh.pem

Всем привет. Попытался настроить возможность аутентификации через логин пароль, добавил на сервер скрипт проверки аутентификации с отрытым паролем на sh, все запустилось но при коннекте, коннект рушиться, в логах WARNING: Failed running command (—auth-user-pass-verify): could not execute external program; по гуглил поставил security level 3, не помогло. Предполагаю есть нюансы. Плиз хелп, какие мысли будут по этому?
Конфиг сервера

port xxxx
proto tcp-server
dev tun0

dh dh1024.pem
ca ca.crt
cert server.crt
key server.key

tls-server
mode server

server 10.3.0.0 255.255.255.0
push "route 192.168.59.0 255.255.255.0"

script-security 3
auth-user-pass-verify verify.sh via-env
client-cert-not-required
username-as-common-name
tmp-dir /media/DISK_A1/system/etc/openvpn/tmp

client-to-client

cipher AES-128-CBC
keepalive 10 120

persist-key
persist-tun
comp-lzo
status logs/status.log
log logs/openvpn.log
verb 3
mute 5

Конфиг клиента

client
dev tun
proto tcp
port xxxx
nobind
remote xxxx.xx
ca client.ca.crt
cert client.crt
key client.key
tls-client
client
resolv-retry infinite
ns-cert-type server
cipher AES-128-CBC
persist-key
persist-tun
comp-lzo
verb 3
mute 5
auth-user-pass

Лог сервера

Fri Dec 27 21:45:52 2013 OpenVPN 2.3.2 mipsel-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Jul 29 2013
Fri Dec 27 21:45:52 2013 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Fri Dec 27 21:45:52 2013 Diffie-Hellman initialized with 1024 bit key
Fri Dec 27 21:45:52 2013 WARNING: POTENTIALLY DANGEROUS OPTION --client-cert-not-required may accept clients which do not present a certificate
Fri Dec 27 21:45:52 2013 WARNING: file 'server.key' is group or others accessible
Fri Dec 27 21:45:52 2013 Socket Buffers: R=[87380->131072] S=[16384->131072]
Fri Dec 27 21:45:52 2013 TUN/TAP device tun0 opened
Fri Dec 27 21:45:52 2013 TUN/TAP TX queue length set to 100
Fri Dec 27 21:45:52 2013 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Fri Dec 27 21:45:52 2013 /sbin/ifconfig tun0 10.3.0.1 pointopoint 10.3.0.2 mtu 1500
Fri Dec 27 21:45:52 2013 /sbin/route add -net 10.3.0.0 netmask 255.255.255.0 gw 10.3.0.2
Fri Dec 27 21:45:52 2013 Listening for incoming TCP connection on [undef]
Fri Dec 27 21:45:52 2013 TCPv4_SERVER link local (bound): [undef]
Fri Dec 27 21:45:52 2013 TCPv4_SERVER link remote: [undef]
Fri Dec 27 21:45:52 2013 MULTI: multi_init called, r=256 v=256
Fri Dec 27 21:45:52 2013 IFCONFIG POOL: base=10.3.0.4 size=62, ipv6=0
Fri Dec 27 21:45:52 2013 MULTI: TCP INIT maxclients=1024 maxevents=1028
Fri Dec 27 21:45:52 2013 Initialization Sequence Completed
Fri Dec 27 21:46:29 2013 TCP connection established with [AF_INET]XXX.XXX.XXX.XXX:52327
Fri Dec 27 21:46:29 2013 XXX.XXX.XXX.XXX:52327 TLS: Initial packet from [AF_INET]XXX.XXX.XXX.XXX:52327, sid=986febc1 d04c036b
Fri Dec 27 21:46:30 2013 XXX.XXX.XXX.XXX:52327 WARNING: Failed running command (--auth-user-pass-verify): could not execute external program
Fri Dec 27 21:46:30 2013 XXX.XXX.XXX.XXX:52327 TLS Auth Error: Auth Username/Password verification failed for peer
Fri Dec 27 21:46:30 2013 XXX.XXX.XXX.XXX:52327 SIGTERM[soft,auth-control-exit] received, client-instance exiting
Fri Dec 27 21:46:35 2013 TCP connection established with [AF_INET]XXX.XXX.XXX.XXX:52332
Fri Dec 27 21:46:35 2013 XXX.XXX.XXX.XXX:52332 Connection reset, restarting [0]
Fri Dec 27 21:46:35 2013 XXX.XXX.XXX.XXX2:52332 SIGUSR1[soft,connection-reset] received, client-instance restarting

P.S Права на выполнение скрипта давал chmod +X verify.sh; Делал файл чтоб возвращал 0 (1 тоже пробовал).

Отредактировано darkfloppy (2013-12-28 10:10:57)

Уже нашел, но менять не стал, принцип правилен;)
P.s. не находил из-за необходимости авторизации на форуме, гость перенаправляется в другое место((

Отредактировано XAP9I (2013-12-29 12:51:08)

господа линуксойды, при всём уважении, не являюсь техническим специалистом,  по вышеуказанным советам в топике решить проблему с tun.ko не удалось, однозначных советов и инструкций решающих проблему я так и не нашёл

Итак, роутер Zyxel Keenetic, V1.00(BFW.4.4)D0(последняя официальная 1.0 доступная на оффсайте zyxel)
Делал всё по инструкции
http://www.3dnews.ru/workshop/612504
естественно, наткнулся на ту же проблему что и ТС, далее, на 14-й странице данного топика наткнулся на совет
г-на Maltar-a

не помогло, как я я понял из-за проблемы с tun.ko,

opkg install —force-reinstall kmod-tun
не помогло
отключение аппаратного nat-a не помогло

логи девайса касательно запуска демона
6 янв 03:23:31    openvpn[1451]    OpenVPN 2.3.2 mipsel-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Jul 29 2013
6 янв 03:23:31    openvpn[1451]    WARNING: file ‘/media/DISK_A1/system/var/static.key’ is group or others accessible
6 янв 03:23:31    openvpn[1451]    ERROR: Cannot open TUN/TAP dev /dev/net/tun: No such device (errno=19)
6 янв 03:23:31    openvpn[1451]    Exiting due to fatal error

Что делать, где взять «правильный» tun для моей версии ПО и как его установить?
Только если можно на уровне чайника а не гуру, ядра там всякие и мануалы это нереально для меня сейчас. 
lsmod

Где читаете инструкцию — там и вопросы задавайту. У нас тут свои инструкции — а та устаревшая. Скорее всего Вы намешали солянку из разных инструкций.

«Ваша» инструкция это имеется ввиду вот эта?
http://keenetic.zyxmon.org/wiki/doku.ph … ka_openvpn
или какая-то другая ссылка есть?

устанавливать «правильно» okpg нужно по следующей инструкции?
http://keenetic.zyxmon.org/wiki/doku.ph … ka_paketov
и что значит «правильная» okpg, она вроде одна и та же для всех версий прошивки ВЫПУЩЕННЫХ ПОСЛЕ 10 НОЯБРЯ 2011 ГОДА

вот этот файл.
И какую прошивку устанавливать чтобы было меньше гемора- последнюю официальную V1.00(BFW.4.4)D0
или новые кастомные 1.11 или какая там последняя стабильная?
Заранее благодарность и уважение.

Спасибо огромное за помощь, туннель до роутера поднялся, теперь основной вопрос…
туннель то поднялся но хотелось бы чтобы весь интернет траффик с ноутбука и на ноутбук шел через этот шифрованный туннель, а сейчас всё по прежнему, туннель поднят но при серфинге траффик идёт, страницы грузятся в обход туннеля, по-старому.

Я конечно понимаю что вопрос тупой, но за помощь был бы благодарен, как я понимаю, нужно что то прописать в config.ovpn клиента, если не прав, поправьте что нужно сделать,

Это уже конечно за рамки темы, но
можно в командной строке ноута вбить:
route add 87.240.0.0 mask 255.255.0.0 10.8.0.5
адреса из примера:
87.240.0.0 — адрес подсетки в которую хотим идти через ВПН
255.255.0.0 — маска этой подсетки (примеры реальные от серверов вконтакте, которые обычно заблочены в организациях)
10.8.0.5 — виртуальный адрес шлюза. вот тут внимание! это пример если вы работаете через «dev tun». если ipconfig на ноуте показывает 10.8.0.6, то виртуальный адрес шлюза будет 10.8.0.5 (на единичку меньше и он не пингуется!)
Как назначить маршрут для всего интернета — догадайтесь сами. И да, команды route можно описать в конфиге OpenVPn, так чтобы они передавались каждому клиенту, который подключается (команда push «route add 87.240.0.0 mask 255.255.0.0 10.8.0.5» вроде бы).

PS: на самом кинетике, еще вероятно придется пошаманить с iptables, чтобы трафик из VPN ретранслировался в inet.

Отредактировано SkyKilla (2014-01-20 06:15:23)

спасибо гуру но что то не получается,

мои данные подключения с монитора кинетика
IP-адрес:    46.188.55.189
Маска подсети:    255.255.255.0
Основной шлюз:    46.188.55.1

а мои действующие маршруты на мониторе кинетика выглядят вот так:
10.8.0.2    255.255.255.255    0.0.0.0    tun0
46.188.55.0    255.255.255.0    0.0.0.0    WAN
192.168.1.0    255.255.255.0    0.0.0.0    LAN
0.0.0.0    0.0.0.0    46.188.55.1    WAN

следовательно, насколько я понимаю, чтобы завернуть абсолютно весь траффик на клиентской машине на этот туннель
в командной строке нужно вбивать  route add 46.188.55.0 mask 255.255.0.0 10.8.0.1?
вбиваю, пишет сбой добавления маршрута: параметр задан неверно

где ошибка?

суровы вы как то к нам чайникам.

эээ, а более конкретно никак нельзя, исходя из моей карты маршрутов указанной сверху, а то «подшаманить» то легко сказать, а чайнику мануалы дня три читать 

P.S. посмотрел клиентский конфиг программы Comodo TrustConnect которой я пользуюсь иногда, так там протокол тоннеля указан tcp, а в нашем поднятом тоннеле протокол стоит udp, а я хочу чтобы абсолютно весь траффик с ноутбука шел через тоннель(включая скайп , сайты и т.д.), т.е. выход во внешний интернет с клиентского ноутбука должен быть только через кинетик(все протоколы весь траффик вообще) , как такое устроить , я конечно понимаю, тупой вопрос, мануалы читать просто из-за занятости не могу себе позволить на данный момент:o .

P.P.S. если всё получится то с меня пиво

vanyaivanov, в конфиге сервера

Ph’nglui mglw’nafh Cthulhu R’lyeh wgah’nagl fhtagn…
Keenetic Giga & WD Mybook Live user

Действительно, очень тупой вопрос, так как ты перепутал транспортный протокол и то, что по нему будет передаваться. «Узбагойзя», передастся не только UDP.

Ph’nglui mglw’nafh Cthulhu R’lyeh wgah’nagl fhtagn…
Keenetic Giga & WD Mybook Live user

Мой серверный openvpn.conf:

mlock
nice -5
fast-io
tls-server

######################################################################

port 1194
proto udp
dev tun
tun-mtu 1500
tun-mtu-extra 32
mssfix maybe
fragment maybe

######################################################################

float
client-to-client
keepalive 10 120
comp-lzo
persist-key
persist-tun
replay-window 64 15

######################################################################

server 192.168.1.0 255.255.255.0

push "comp-lzo"
push "persist-tun"

push "ping 10"
push "ping-restart 60"
push "route-delay 3"
push "route-method exe"
push "route 192.168.0.0 255.255.255.0" # Сеть LAN
push "dhcp-option DNS 192.168.0.1"
push "redirect-gateway"

######################################################################

ifconfig-pool-persist "/opt/var/lib/openvpn/openvpn.ipp"

status-version 2
status "/var/run/openvpn.status"


######################################################################

ca "/opt/etc/openvpn/keys/ca.crt"

dh "/opt/etc/openvpn/keys/dh2048.pem"

tls-auth "/opt/etc/openvpn/keys/ta.key" 0

cert "/opt/etc/openvpn/keys/server.crt"
key "/opt/etc/openvpn/keys/server.key"

#crl-verify "/opt/etc/openvpn/keys/crl.pem" # Раскомментировать, если есть отозванные сертификаты

######################################################################

client-config-dir "/opt/etc/openvpn/ccd"

######################################################################

#verb 0 # Раскомментировать, когда всё отладите
#mute 10 # Раскомментировать, когда всё отладите

Сертификаты генерировались по мануалу на офсайте. Ради интереса, в этот раз я их на роутере и сгенерил.

Отредактировано ZimniY (2014-01-20 15:47:08)

Ph’nglui mglw’nafh Cthulhu R’lyeh wgah’nagl fhtagn…
Keenetic Giga & WD Mybook Live user

не помогает, с клиентского ноутбука продолжает лезть в интернет напрямую, а не через туннель

мой серверный openvpn.conf(ключ пока один файл -простейший static.key, когда с ним всё поднимется- буду дальше с ключами разбираться.)
######################################################################
port 1194
proto udp
dev tun
secret /media/DISK_A1/system/var/static.key
ifconfig 10.8.0.1 10.8.0.2
keepalive 10 120
persist-key
persist-tun
comp-lzo
push «default-gateway»
status /media/DISK_A1/data/status.log
log /media/DISK_A1/data/openvpn.log
verb 3
mute 5

может еще что то добавить сюда?

задача то в принципе простая- при поднятии туннеля на клиентском ноутбуке выход во внешний инет должен осуществляться ТОЛЬКО через туннель(роутер)

p.s. клиентский конфиг(router.ovpn):

Отредактировано vanyaivanov (2014-01-20 17:20:35)

vanyaivanov, у тебя point-to-point конфигурация, емнип. Там некуда приделывать «default-gateway».

Ph’nglui mglw’nafh Cthulhu R’lyeh wgah’nagl fhtagn…
Keenetic Giga & WD Mybook Live user

Имеется клиент, которому пров динамически выдает реальник, но т.к. там бывают довольно часто разрывы то при переподключении PPoE IP может измениться за час до 3 раз, а может и сутки быть не изменным. Задача такова, что б при подключении этого клиента выполнялся скрипт(желательно на клиенте), который бы обновлял запись А в доменной зоне на этот хост. Сооответственно срабатывал при ip up. Можно ли это как-то прикрутить к лиенту? Добавил сегодня в конфиг клиента «up-restart «, но после ребута ovpn на стороне клиента он больше не вернулся.

Можно конечно этот скрипт к крону привязать, но не охото, что б он постоянно долбил DNS зону на сервере.

Или же как-то это прикрутить к серверу, но как вытащить IP c которого коннектится именно этот конкретный клиент?

Keenetic выступает в роли сервера.
Подскажите, пожалуйста, какие из строк, приведенных ниже, нужно оставить по минимуму, чтобы:
1) клиент мог выходить через keenetic в Интернет
2) из домашней сети можно было обращаться к клиенту (в частности удаленный рабочий стол)
3) клиент не имел доступа к ресурсам домашней сети (в частности к USB-диску, подключенному к Keenetic)
Необходимо выполнение всех 3-х условий, т.к. клиент поднимается на работе и в теории возможна ситуация, когда к рабочему компу будут иметь доступ 3-и лица.

#!/bin/sh
iptables -I FORWARD 1 --source 172.10.0.0/24 -j ACCEPT
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
iptables -I INPUT -i tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -j ACCEPT
iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE
iptables -t filter -A INPUT -i lo -j ACCEPT

Отредактировано WiMAX (2014-02-19 00:41:20)

/media/DISK_A1/system/root # /media/DISK_A1/system/etc/init.d/K11openvpn start

Loading OpenVPN kernel modules:
rmmod: tun: No such file or directory
insmod: cannot insert '/media/DISK_A1/system/lib/modules/2.6.22-tc/tun.ko': invalid module format (-1): Exec format error

Starting OpenVPN in daemon mode....failed
/media/DISK_A1/system/root #

/media/DISK_A1/system/root # lsmod tun.ko
Module                  Size  Used by    Tainted: P
cc                     37632  0
fastvpn                 5712  0
fastnat                 3200  0
swlink                  2976  0
hw_nat                 32624  0
rt5390ap             1014480  1
pppol2tp               11744  2
uvcvideo               67296  0
videodev               86608  1 uvcvideo
hfsplus               100592  0
sierra                 12912  0
tntfs                 491328  16
powerstat               2656  0
ipt_webstr              4160  0
ipt_ipp2p               9728  0
xt_mark                 1344  0
xt_mac                  1440  0
raeth                 121152  2 swlink
rtled                   4848  1 rt5390ap
/media/DISK_A1/system/root #

/media/DISK_A1/system/root # rmmod tun.ko
rmmod: tun.ko: No such file or directory

/media/DISK_A1/system/root # ls /media/DISK_A1/system/lib/
modules  upgrade
/media/DISK_A1/system/root # ls /media/DISK_A1/system/lib/modules
2.6.22-tc
/media/DISK_A1/system/root # ls /media/DISK_A1/system/lib/modules/2.6.22-tc/
tun.ko

/media/DISK_A1/system/root # uname -a
Linux Giga2-KMS 2.6.22.15 #1 SMP Sun Dec 29 19:10:23 MSK 2013 mips GNU/Linux 

Пробовал все версии tun, найденные на данном форуме. Вопрос так и не решился?

А зачем их пробовать, если последние версии прошивки 1.11 идут с tun.ko в папке /lib/modules…..
PS Выложенные мной модули на dropbox совпадают бинарно с модулями из прошивки.

Добрый день! Несколько часов поисков нужной версии tun.ko не дали результата, потратил время впустую. Желаю всем кто столкнется с проблемой запуска openvpn сэкономить время.
Указываю явно что нужно сделать:
Проблема

insmod: cannot insert '/media/DISK_A1/system/lib/modules/2.6.22-tc/tun.ko': invalid module format (-1): Exec format

Решение
Исправить скрипт инициализации /media/DISK_A1/system/etc/init.d/K11openvpn (или похожий путь)

#       insmod $MOUNT/lib/modules/2.6.22-tc/tun.ko  заменить на
        insmod /lib/modules/current/tun.ko

затем успешный запуск /media/DISK_A1/system/etc/init.d/K11openvpn start
Выражаем благодарность Zyxmon’у.