|
Problem OpenVPN, a WWW / WebIf Tomato
|
| bigtarget |
Dodano 04-04-2011 20:03
|
User
Posty: 10
Dołączył: 07/04/2006 22:46
|
Skonfigurowalem wszystko na certyfikacie itp. Wszystko dziala pieknie, ale nie moge sie wbic na router przez www, nawet jesli odblokuje zdalny dostep. Moge natomiast sie wbic przez ssh, ale fajnie by bylo miec tez www przez vpn.
OpenVpn jest zrobione na TUN, UDP sprawdzalem tez TCP, ale to samo?
Chcialbym miec zabezpieczona siec na maxa i nie chce otwierac portu dla polaczen dla routera, poza tym klienci sa za NAT'em, wiec tylko po tunelu bede mial dostep.
Moze cos musze dodac do firewalla przez iptables
Z gory dzieki za porady.
Potestuje wszystko, bo reszta smiga.
Dodam, ze wystarczy mi wbicie sie na wwwTomato z serwera do kazdego klienta.
Jak probuje wejsc to dostaje:
Błąd 101 (net::ERR_CONNECTION_RESET): Nieznany błąd.
Edytowany przez bigtarget dnia 04-04-2011 20:14
|
| |
|
|
| falitorek |
Dodano 04-04-2011 20:36
|
User
Posty: 140
Dołączył: 04/03/2006 21:30
|
Ja na tomato nie mam żadnego problemu z openvpn, ale korzystam z TAP.
Mogę nawet powiedzieć ze na tomato ustawienie openvpn jest banalnie proste i bezproblemowe w porównaniu z dd-wrt.
Spróbuj na TAP, ale przede wszystkim musisz mieć dobrze wygenerowane certyfikaty i klucze.
1xRT-N16
2xWRT610N v2
1xQNAP TS-110
1xPCH C-200
|
| |
|
|
| bigtarget |
Dodano 05-04-2011 10:09
|
User
Posty: 10
Dołączył: 07/04/2006 22:46
|
Na TAP działa dzieki. |
| |
|
|
| bigtarget |
Dodano 05-04-2011 10:19
|
User
Posty: 10
Dołączył: 07/04/2006 22:46
|
Ale mam jeszcze pytanie. To bedzie chyba dzialac tylko dla serwer-klient. A ja chce podlaczyc serwer i dwoch klientow. Czy bedzie to smigac? |
| |
|
|
| falitorek |
Dodano 05-04-2011 11:19
|
User
Posty: 140
Dołączył: 04/03/2006 21:30
|
Z tego co pamiętam jak testowałem to działa z tyloma klientami ile sobie wygenerujesz certyfikatów i kluczy dla klientów.
Ja testowałem na dwóch klientach.
Jak się nie mylę to któryś parametr w configu serwera (duplicate-cn) pozwala na korzystanie klientom z tych samych certyfikatów i kluczy, ale to na FreeBSD (konkretnie FreeNAS).
Na tomato nie znalazłem tego parametru wiec chyba pozostaje generacja dla każdego klienta osobno
1xRT-N16
2xWRT610N v2
1xQNAP TS-110
1xPCH C-200
|
| |
|
|
| bigtarget |
Dodano 11-04-2011 15:35
|
User
Posty: 10
Dołączył: 07/04/2006 22:46
|
Wszystko dziala pieknie tylko mam problem z netem przy dwoch klientach  Strasznie spowalnia jak serwer VPN chodzi.
Routing mam taki:
Destination Gateway Genmask Flags Metric Ref Use Iface
213.xx.xx.1 * 255.255.255.255 UH 0 0 0 vlan1
213.xx.xx.0 * 255.255.255.0 U 0 0 0 vlan1
192.168.1.0 * 255.255.255.0 U 0 0 0 br0
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default tutaj gateway dostawcy 0.0.0.0 UG 0 0 0 vlan1
Wyglada na to ze caly ruch sieciowy idzie przez VPN i tak jakby sciagal plik przez klienta . Jak wylacze serwer VPN to wszysko smiga.
Startuj wraz z WAN zaznaczone
Typ interfejsu TAP
Protokół UDP
Port xxx
Firewall Automatycznie
Autoryzacja TLS
Autoryzacja HMAC (tls-auth) wylaczony
Pula adresów klienta DHCP zaznaczony check
w Zaawansowanych nic nie zmienialem ustawienia domyslne:
Interwał badania (w minutach, 0 by wyłączyć) 0
Przekierowanie ruchu
internetowego klientów odznaczone
Odpowiadanie na DNS odznaczone
Klucz szyfrujący uzyj domeslnego
Kompresja adaptacja
Czas renegocjacji TLS (w sekundach, -1 domyślnie) -1
Zarządzanie klientami odznaczone
Własna konfiguracja puste
Nastepny problem to VPN nie startuje samodzielnie po restarcie przy zaznaczonym checku startuj z WAN jest jakas komenda, ktora by mozna dodac do skryptu, aby VPN sam sie podnosil?
Co moze byc nie tak???
Dzieki.
Edytowany przez bigtarget dnia 11-04-2011 15:43
|
| |
|
|
| bigtarget |
Dodano 11-04-2011 18:54
|
User
Posty: 10
Dołączył: 07/04/2006 22:46
|
JUz zrobilem dla klientow routera byly dwie bramy domyslne i wybieral ta z VPN klienta
wystarczylo odznaczyc Pula adresów klienta DHCP |
| |
|
|
| bigtarget |
Dodano 11-04-2011 18:56
|
User
Posty: 10
Dołączył: 07/04/2006 22:46
|
Teraz mam tylko problem z tym, zeby serwer vpn wlaczal sie przy starcie, bo nie chce startowac jak mam zalaczone "Startuj wraz z WAN"
Jest jakas komenda co mozna dodac do skryptu?? Bo po wylaczeniu serwera konfiguracja znika z /etc/openvpn/....
Z gory dzieki. |
| |
|
|
| falitorek |
Dodano 11-04-2011 21:58
|
User
Posty: 140
Dołączył: 04/03/2006 21:30
|
Dziwne, nigdy nie miałem takich problemów.
Powiem więcej, mam nawet dwa interface sieciowe i łącze się z dwoma miejscami na raz po vpn.
Zastanawia mnie również to co pisałeś o routingu.
Co do startowania vpn z wan to musisz mieć port wan podpięty do neta i z tego co wiem jest pobierany czas z neta dla sprawdzenia ważności certyfikatów, wiec sprawdź czy masz ustawione wsio w zakładce time.
Krótko mówiąc - nie ma nic na wan - vpn nie startnie.
Moja konfiguracja:
Startuj wraz z WAN zaznaczone
Typ interfejsu TAP
Protokół UDP
Port xxx
Firewall Automatycznie
Autoryzacja TLS
Autoryzacja HMAC (tls-auth) właczony
Pula adresów klienta DHCP zaznaczony check
w zaawansowanych:
Interwał badania (w minutach, 0 by wyłączyć) 0
Przekierowanie ruchu internetowego klientów odznaczone
Odpowiadanie na DNS odznaczone
Klucz szyfrujący użyj domyślnego
Kompresja enabled
Czas renegocjacji TLS (w sekundach, -1 domyślnie) -1
Zarządzanie klientami odznaczone
Własna konfiguracja puste
Edytowany przez falitorek dnia 11-04-2011 22:07
1xRT-N16
2xWRT610N v2
1xQNAP TS-110
1xPCH C-200
|
| |
|
|
| bigtarget |
Dodano 12-04-2011 10:15
|
User
Posty: 10
Dołączył: 07/04/2006 22:46
|
Z tym routingiem to bylo ta, ze brama domyslna sie ustawiala na brame klienta i caly ruch szedl przez klienta. A po wylaczeniu opcji Pula adresów klienta DHCP. Brama sie ustawiala juz poprawnie na lokalna.
Ja mam takie adresy 192.168.1.1 serwer 192.168.1.2-3 klienci + oczywiscie wszyscy podpieci do sieci lokalnej 192.168.1.0.
A co do wan to dziala jak robie restart z Tomato, a jesli wylacze z sieci i podlacze (test jakby prad wylaczyli) to juz nie wstaje .
Edytowany przez bigtarget dnia 12-04-2011 13:36
|
| |
|
|
| bigtarget |
Dodano 26-04-2011 11:41
|
User
Posty: 10
Dołączył: 07/04/2006 22:46
|
Znow mam problem z domyslna brama w polaczeniu Gdy lacze sie do routera to DHCP mi ustawia brame z klienta, co masakrycznie zwalnia mi internet Pula adresów klienta mam odznaczone, ale niestety nic to nie daje. Łącze sie przez wifi.
Aha w ustawieniach nic nie mienialem. Moze firewall trzeba zmienic na Manual na wszystkich klientach i na serwerze?
Prosba o rady...
THX. |
| |
|
|
| falitorek |
Dodano 26-04-2011 19:15
|
User
Posty: 140
Dołączył: 04/03/2006 21:30
|
W sumie bardzo dziwna sprawa, tyle razy już to ustawiałem i nie miałem takiego problemu.
Sprawdź jaką masz kolejność sieci (Połączenia sieciowe > Zaawansowane > Ustawienia Zaawansowane > Karty i Powiązania) to przez co łączysz się z netem ma być na samej górze a te interfejsy z openvpn na samym dole.
Piszę z windy xp nie wiem jak to jest na 7.
Jak to nie pomoże to jeszcze możesz spróbować zmienić metrykę interfejsu sieciowego w ustawieniach tcp/ip np. na 20 zamiast z automatu (ta do netu).
To wszystko dotyczy xp.
Edytowany przez falitorek dnia 26-04-2011 19:28
1xRT-N16
2xWRT610N v2
1xQNAP TS-110
1xPCH C-200
|
| |
|
|
| bigtarget |
Dodano 27-04-2011 09:13
|
User
Posty: 10
Dołączył: 07/04/2006 22:46
|
Masz racje wczesniej wywalelem ta brame recznie
route delete 0.0.0.0 192.168.1.3, ktora miala metryke wieksza niz 192.168.1.1
Ale chyba znalazlem sposob na to, jak na razie zrobiłem tak i dziala:
Zaznaczylem na serwerze:
Przekierowanie ruchu
internetowego klientów
A na klintach zaznaczylem przekierowanie ruchu internetowego i ustawilem brame ip routerow. I jak na razie jest ok.
Jak cos bedzie nie tak to dam znac, ale wyglada na to ze pomoglo.
Dzieki.
Edytowany przez bigtarget dnia 27-04-2011 09:23
|
| |
|
' target='_blank'>Link
