|
VPN TAP między 2 Tomato - dostęp z WAN
|
| lucapaco |
Dodano 05-10-2014 11:07
|
User
Posty: 11
Dołączył: 05/10/2014 10:38
|
Witam!
Mam do czynienia z taką siecią:
Mam problem, żeby uzyskać dostęp do routera tomato 192.168.1.1 spoza sieci.
Nie ma problemu, żeby uzyskać dostęp do routera 192.168.1.2
Z wnętrza sieci nie ma problemu z dostępem do routerów.
Nie daję rady przekierować połączenia z WAN za TAP tj. do 192.168.1.1.
Narazie próbuje zrobić chociaż to, ponieważ potrzebuje w późniejszym czasie dostępu z zewnątrz do innego urządzenia w sieci 192.168.1.0/24
Używając PLUS LTE nie mam możliwości uzyskać publicznego IP, dlatego próbuje zrobić to w taki sposób.
Czy ktoś jest w stanie podpowiedzieć mi jakie wpisy w iptables powinienem zamieścić, aby mieć dostęp do urządzeń za tunelem TAP?
Dzięki i pozdrawiam |
| |
|
|
| khain |
Dodano 05-10-2014 11:28
|
Power User
Posty: 335
Dołączył: 25/07/2007 17:09
|
Musisz zmienić typ interfejsu na tun, wygenerować klucze dla klienta (najlepiej na linuxie), a potem ustawić serwer openvpn tak jak opisałem to tutaj https://openlinksys.info/forum/viewth...ost_124967
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
|
| |
|
|
| lucapaco |
Dodano 05-10-2014 14:03
|
User
Posty: 11
Dołączył: 05/10/2014 10:38
|
Dzięki za szybką odpowiedź. Sprawdziłem opcję z TUN. Po zrobieniu tego co sugerowałeś w podanym wątku, co prawda pojawiły się nowe wpisy w tablicy routingu, ale tylko tyle. Przekierowanie portów wydaje się nie działać (przynajmniej z poziomu GUI). Cigle nie mogę sie zalogować z zewnątrz do routera za VAN  Może jakieś inne sugestie?
Pzdr |
| |
|
|
| khain |
Dodano 05-10-2014 19:45
|
Power User
Posty: 335
Dołączył: 25/07/2007 17:09
|
Wystarczy podłączyć się drugim klientem do servera openvpn (oczywiście trzeba wygenerować dla niego klucze) i mieć zaznaczoną opcję "Allow Client<->Client"w serwerze. Przekierowanie portów z poziomu GUI tomato nie będzie działać.
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
|
| |
|
|
| lucapaco |
Dodano 05-10-2014 21:07
|
User
Posty: 11
Dołączył: 05/10/2014 10:38
|
Takie rozwiązanie mnie nie ratuje
Dążę do tego, żeby otworzyć port zewn. dla urządzenia w Polsce, na którym nie da się postawić klienta VPN (Pompa Ciepła).
http://alpha-innotec.pl/SEEEMS.asp?id...?id=104547
Muszę mieć (wg. tego co podał producent) otwarty port 21. Mąjac Internet Plus LTE nie jestem w stanie tego zrobić bezpośrednio, dlatego ta cała kombinacja z tunelowaniem do routera Tomato ze stałym IP. Sądziłem, że jest to wykonalne oraz spodziewałem się, że nie będzie to proste.
Po dwóch dniach kombinacji postanowiłem zapytać się o poradę mądrzejszych głów w tej dziedzinie 
Pozdrawiam |
| |
|
|
| jimmy |
Dodano 05-10-2014 21:45
|
Super User
Posty: 464
Dołączył: 15/03/2007 19:13
|
Czy nie powinno być odwrotnie z tym TAP tzn. serwer VPN jest na norweskim Tomato (A) a tomato w Polsce (B) się do niego podłącza. Na routerze A jest stałe przekierowanie jakiegoś portu na adres routera B (adres interfejsu VPN). Później ew. dalsze przekierowanie na routerze B do urządzenia w sieci lokalnej (pewnie już poza GUI). Wtedy wchodząc na norweski adres IP WAN i port przechodzimy do routera B i ew. stamtąd do pompy ciepła.
Niedawno rozważałem podobne rozwiązanie (dostęp VPN do sieci za LTE) ale póki co nie wyszło to poza teorię więc mogę pisać głupoty. |
| |
|
|
| lucapaco |
Dodano 06-10-2014 07:16
|
User
Posty: 11
Dołączył: 05/10/2014 10:38
|
W poprzednim poście wyraziłem się chyba nie logicznie Tak to jest zrobione, ze na norweskim routerze z Tomato stoi serwer, który ma stały IP, bo inaczej nie mógłbym podłączyć się klientem. Tylko, że przekierowanie portów na serwerze nie daje jakichkolwiek efektów. Narazie próbuje bezskutecznie chociażby połączyć się z panelem administracyjnym Tomato w Polsce wykorzystując dostęp zdalny, ale z poziomu WAN nic nie przechodzi poza tunel. Próbuje doczytać czy dałoby się i w jaki sposób zrobić to za pomocą iptables w tablicach routingu i firewall'a. Z Linuxami nie mam za dużo do czynienia zatem muszę uczyć się od podstaw  .
Pzdr
Edytowany przez lucapaco dnia 06-10-2014 07:21
|
| |
|
|
| hermes-80 |
Dodano 06-10-2014 10:04
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
A dlaczego z 3 zdalnej lokalizacji nie łączysz się też za pomocą vpn tylko chcesz wyrzucić port z tunelu na konkretne IP?
Trochę źle narysowałeś ten schemat chyba.
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| lucapaco |
Dodano 06-10-2014 10:12
|
User
Posty: 11
Dołączył: 05/10/2014 10:38
|
Port nie otwieram dla siebie. Ja nie będę miał bezpośredniej możliwości podpięcia się do pompy ciepła. To serwer producenta musi mieć połączenie z pompa ciepła. Ja będę miał możliwość sterowania i odczytywania parametrów przez połączenie i zalogowanie się na serwer producenta używając www lub apki na Andorida/iOS. Rozwiązanie Hermes'a miałoby rację bytu, gdybym chciał mieć dostęp do np. kamery IP. |
| |
|
|
| hermes-80 |
Dodano 06-10-2014 10:24
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
Nie tylko kamery IP ale rozumiem twoją koncepcję.
Skoro tak to wystarczy tunel TUN - TAP jest bardziej skomplikowany i w tym przypadku niepotrzebny tylko nie wiem jak wyrzucić z tunelu jeden port na nieszyfrowany WAN.
Edytowany przez hermes-80 dnia 06-10-2014 10:26
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| dar3k |
Dodano 06-10-2014 10:25
|
Super User
Posty: 419
Dołączył: 29/11/2013 22:48
|
Nie jestem orłem w VPN ale wydaje mi się, że powinieneś spróbować to zrobić według tego opisu: https://openlinksys.info/forum/viewthread.php?thread_id=16352
Wtedy na jednym porcie w routerze klienta będziesz miał sieć z routera serwera (pompa zapewne i tak po kablu jest wpinana). I na to IP, które jest na kliencie musisz przekierować porty - myślę, że wtedy to podziała ale pewny nie jestem bo aż tak dobrze się nie znam.
ER-12 + 4x UAP-AC-PRO
|
| |
|
|
| lucapaco |
Dodano 06-10-2014 11:01
|
User
Posty: 11
Dołączył: 05/10/2014 10:38
|
Cytat dar3k napisał(a):
Nie jestem orłem w VPN ale wydaje mi się, że powinieneś spróbować to zrobić według tego opisu: https://openlinksys.info/forum/viewthread.php?thread_id=16352
Wtedy na jednym porcie w routerze klienta będziesz miał sieć z routera serwera (pompa zapewne i tak po kablu jest wpinana). I na to IP, które jest na kliencie musisz przekierować porty - myślę, że wtedy to podziała ale pewny nie jestem bo aż tak dobrze się nie znam.
Widziałem ten tutorial, ale on się dotyczy połączeń wewnątrz sieci połączonych tunelem. To już u mnie działa. pewnie Multiroom działałby bez problemu
Problemem jest to, ze przekierowanie portów połączeń przychodzących z WAN na serwerze na adresy IP znajdujące się za tunelem wydaje się w ogóle nie działać.
Pzdr |
| |
|
|
| hermes-80 |
Dodano 06-10-2014 11:10
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
Chyba o taka koncepcje ci chodzi:
Ale nie rozumiem tego, że skoro pompa jest klientem serwera to na co jej publiczny IP?
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| lucapaco |
Dodano 06-10-2014 11:29
|
User
Posty: 11
Dołączył: 05/10/2014 10:38
|
Tak to z grubsza miałoby wyglądać z tym, że serwer pompy jest po stronie producenta i raczej nie będzie miał tego samego IP co sama pompa. Producent podaje, cytuje:
"Niezbędne wymogi techniczne:
- dostęp do przewodowego internetu DSL
- otwarty port 21
- przewód RJ-45"
I wszystko rozbiega się o to otwarcie portu 21. Używając Plus LTE nie ma takiej możliwości. Nie wymyśliłem innego sposobu jak otwarcie portu i przekierowanie połączenia z miejsca gdzie mam stały IP. Po stronie klienta chyba tylko tunel pomoże mi na ominięcie ograniczeń łącza Plus LTE (tzn. brak publicznego IP i możliwości ustawienia firewall'a). |
| |
|
|
| dar3k |
Dodano 06-10-2014 11:43
|
Super User
Posty: 419
Dołączył: 29/11/2013 22:48
|
A nie lepiej dopłacić 6zł za publiczny IP -> http://www.plus.pl/dla-firm/uslugi/pu...y-adres-ip
ER-12 + 4x UAP-AC-PRO
|
| |
|
|
| hermes-80 |
Dodano 06-10-2014 11:44
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
Więc samym problemem jest tylko wypuszczenie portu z tunelu VPN w interfejs WAN internetowy, inaczej - wpuszczenie połączeń przychodzących z interfejsu internetowego do interfejsu wirtualnego VPN - tu by się musiał @shibby wypowiedzieć.
Na LTE nie ma publicznych IP w żadnej sieci mobilnej.
Cytat nie będzie miał tego samego IP co sama pompa
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| lucapaco |
Dodano 06-10-2014 11:50
|
User
Posty: 11
Dołączył: 05/10/2014 10:38
|
Cytat hermes-80 napisał(a):
Więc samym problemem jest tylko wypuszczenie portu z tunelu VPN w interfejs WAN internetowy, inaczej - wpuszczenie połączeń przychodzących z interfejsu internetowego do interfejsu wirtualnego VPN
Dokładnie to próbuje cały czas osiągnąć
Opcja ta nie dotyczy LTE |
| |
|
|
| hermes-80 |
Dodano 06-10-2014 11:57
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
A dużą przepustowość ma być do tego serwisu i czy LTE to u ciebie domowe łącze bo w najgorszym wypadku dla samej pompy jakiś osobny dostęp przez 3G + wykupienia usługi publicznego IP i jakiegoś transferu (kwestia jakie jest zapotrzebowanie miesięczne tego wynalazku  )
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| lucapaco |
Dodano 06-10-2014 12:24
|
User
Posty: 11
Dołączył: 05/10/2014 10:38
|
Ostatnio podpisałem 2 letnią umowę na Power LTE i jest to moje domowe łącze (wyszło najtaniej i najkorzystniej - dom jest poza miastem). Nie wydaje mi się, żeby tych danych było jakoś dużo (pewnie kilka MB miesięcznie). Aby dokupić usługę publicznego IP, musi to być umowa abonamentowa . Czyli minimalnie to jakieś 29,90 + 6,15 (IP) = 35,05 zł miesięcznie (prawie połowa tego co płacę teraz). Jednak fajnie by było gdybym nie był zmuszony do takiego rozwiązania |
| |
|
|
| dar3k |
Dodano 06-10-2014 13:12
|
Super User
Posty: 419
Dołączył: 29/11/2013 22:48
|
w takim razie pokaż wynik na serwerze i kliencie:
ER-12 + 4x UAP-AC-PRO
|
| |
|
' target='_blank'>Link
