23 Listopada 2024 20:11:56
Nawigacja
· Strona Główna
· Forum

· Tomato by Shibby
· FreshTomato


Wątki na forum
Najnowsze dyskusje
· [S] Asus RT-AC56U
· DIR868l OFW asus vs ...
· Szukam zaproszenia n...
· [MOD] FreshTomato-AR...
· Asus RT-AC5300 ,prob...
· archer c6 v3.20
· [S] Nighthawk R7000P...
· [S]Asus RT-AC5300 - ...
· Tanie N100 na promce...
· net z telefonu wifi+...
· Tomato - bugi/proble...
· HUAWEI z światłowodem
· Asus TUF-AX3000_V2 p...
· rt-ax88upro częste ...
· [Howto] Xpenology na...
· Jaki router pod Open...
· Ruter z tomato
· Czy to jeszcze NAS?
· RT AC66U B1
· Wireguard na FreshTo...
Najpopularniejsze obecnie wątki
· DIR868l OFW asus ... [8]
· [S] Asus RT-AC56U [0]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
36% [151 głosów]

Broadcom ARM
Broadcom ARM
52% [219 głosów]

Atheros
Atheros
5% [22 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
1% [3 głosów]

Intel/AMD/VIA
Intel/AMD/VIA
1% [5 głosów]

Żaden z powyższych
Żaden z powyższych
4% [15 głosów]

Ogółem głosów: 419
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38
Twoje IP
3.14.135.82
Zobacz wątek
OpenLinksys » :: OPROGRAMOWANIE :: » Tomato - firmware
 Drukuj wątek
OPENVPN - Połaczenie dwóch doległych sieci TUN
goof3r
Witam, przeczytałem już sporo tematów (nawet jeden jest podobny na forum ale przy zestawieniu dwoch routerów) na ten temat i powoli zaczyna mnie to przerastać może Wy coś konkretnego mi doradzicie.

Postanowiłem połaczyć dwie odległe sieci po OPENVPN TUN sieci wygladają tak jak na obrazku poniżej

naforum.zapodaj.net/thumbs/b39585cd088b.jpg

Debian jest serverem openvpn natomiast Tomato clientem. Problem jest tego typu ze po połaczeniu sieci
pingi od Tomato i jego klientów leca bez problemu na server (Debiana) po IP 192.168.1.1 i 10.0.1.1 ale do reszty klientow od Debiana nie ma możliwości.

Druga sprawa z servera (DEBIANA) ping do TOMATO 192.168.2.1 nie działa ale po IP 10.0.1.5 działa

Uproszczę to troche by chyba pogmatwałem :)

Pingi:

Z Debiana na Tomato 192.168.2.1 (nie działa) , a 10.0.1.5 (działa)
Z Tomato (i jego klientow) na Debiana 192.168.1.1 i 10.0.1.1 (działa) ale zeby puscic ping na klientow od Debiana czyli (192.168.1.3 ,192.168.1.4, 192.168.5) nie da się.

Ktoś ma pomysł? Poniżej configi:

SERVER DEBIAN:

Openvpn server.conf



port 1194
proto udp
dev tun11
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh2048.pem
server 10.0.1.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-config-dir /etc/openvpn/ccd
push route 192.168.1.0 255.255.255.0
push route 192.168.2.0 255.255.255.0
push route 10.0.1.0 255.255.255.0
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
client-to-client 1
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key 1
persist-tun 1
status openvpn-status.log
verb 3


Zawartość pliku w katalogu ccd



ifconfig-push 10.0.1.5 10.0.1.6
iroute 192.168.2.0 255.255.255.0


FIREWALL




echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
iptables -t mangle -F
iptables -t mangle -X

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED


# udostepniaie internetu w sieci lokalnej

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT




ifconfig



eth0      Link encap:Ethernet  HWaddr 20:e5:2a:23:5f:dd
          inet addr:79.124.xxx.xxx  Bcast:79.124.122.255  Mask:255.255.255.0
          inet6 addr: fe80::22e5:2aff:fe23:5fdd/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:203020874 errors:0 dropped:0 overruns:0 frame:0
          TX packets:86893647 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:143150800054 (133.3 GiB)  TX bytes:60884120300 (56.7 GiB)

eth1      Link encap:Ethernet  HWaddr fc:aa:14:25:7a:98
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::feaa:14ff:fe25:7a98/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:72511532 errors:0 dropped:0 overruns:0 frame:0
          TX packets:110604086 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:36492332499 (33.9 GiB)  TX bytes:149652267366 (139.3 GiB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:22508 errors:0 dropped:0 overruns:0 frame:0
          TX packets:22508 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:1509774 (1.4 MiB)  TX bytes:1509774 (1.4 MiB)

tun11     Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.0.1.1  P-t-P:10.0.1.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:32 errors:0 dropped:0 overruns:0 frame:0
          TX packets:19 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:2688 (2.6 KiB)  TX bytes:1596 (1.5 KiB)



route -n



Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         79.124.122.1    0.0.0.0         UG    0      0        0 eth0
10.0.1.0        10.0.1.2        255.255.255.0   UG    0      0        0 tun11
10.0.1.2        0.0.0.0         255.255.255.255 UH    0      0        0 tun11
79.124.122.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1



========================================================================

KLIENT TOMATO

SEKCJA BASIC:

naforum.zapodaj.net/thumbs/8ea2bde54bca.jpg


SEKCJA ADVANCED:

naforum.zapodaj.net/thumbs/dd031dce5dd4.jpg


ifconfig



br0        Link encap:Ethernet  HWaddr 84:1B:5E:DA:08:EA
           inet addr:192.168.2.1  Bcast:192.168.2.255  Mask:255.255.255.0
           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
           RX packets:99668 errors:0 dropped:0 overruns:0 frame:0
           TX packets:175248 errors:0 dropped:0 overruns:0 carrier:0
           collisions:0 txqueuelen:0
           RX bytes:14170727 (13.5 MiB)  TX bytes:201822272 (192.4 MiB)

eth0       Link encap:Ethernet  HWaddr 84:1B:5E:DA:08:EA
           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
           RX packets:2895433 errors:0 dropped:0 overruns:0 frame:0
           TX packets:104994 errors:0 dropped:0 overruns:0 carrier:0
           collisions:0 txqueuelen:1000
           RX bytes:993317081 (947.3 MiB)  TX bytes:20709769 (19.7 MiB)
           Interrupt:4 Base address:0x2000

eth1       Link encap:Ethernet  HWaddr 84:1B:5E:DA:08:EC
           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
           RX packets:98541 errors:0 dropped:0 overruns:0 frame:1053052
           TX packets:175282 errors:0 dropped:0 overruns:0 carrier:0
           collisions:0 txqueuelen:1000
           RX bytes:15453674 (14.7 MiB)  TX bytes:203214020 (193.7 MiB)
           Interrupt:3 Base address:0x1000

lo         Link encap:Local Loopback
           inet addr:127.0.0.1  Mask:255.0.0.0
           inet6 addr: ::1/128 Scope:Host
           UP LOOPBACK RUNNING MULTICAST  MTU:16436  Metric:1
           RX packets:29 errors:0 dropped:0 overruns:0 frame:0
           TX packets:29 errors:0 dropped:0 overruns:0 carrier:0
           collisions:0 txqueuelen:0
           RX bytes:3964 (3.8 KiB)  TX bytes:3964 (3.8 KiB)

tun11      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
           inet addr:10.0.1.5  P-t-P:10.0.1.6  Mask:255.255.255.255
           UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
           RX packets:19 errors:0 dropped:0 overruns:0 frame:0
           TX packets:32 errors:0 dropped:0 overruns:0 carrier:0
           collisions:0 txqueuelen:100
           RX bytes:1596 (1.5 KiB)  TX bytes:2688 (2.6 KiB)

vlan1      Link encap:Ethernet  HWaddr 84:1B:5E:DA:08:EA
           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
           RX packets:1119 errors:0 dropped:0 overruns:0 frame:0
           TX packets:2363 errors:0 dropped:0 overruns:0 carrier:0
           collisions:0 txqueuelen:0
           RX bytes:100105 (97.7 KiB)  TX bytes:176609 (172.4 KiB)

vlan2      Link encap:Ethernet  HWaddr C0:C1:C0:59:B1:C9
           inet addr:80.238.xxx.xxx  Bcast:80.238.71.255  Mask:255.255.254.0
           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
           RX packets:2894311 errors:0 dropped:0 overruns:0 frame:0
           TX packets:102631 errors:0 dropped:0 overruns:0 carrier:0
           collisions:0 txqueuelen:0
           RX bytes:941099032 (897.5 MiB)  TX bytes:20533160 (19.5 MiB)




route -n



Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.1.6        0.0.0.0         255.255.255.255 UH    0      0        0 tun11
80.238.70.1     0.0.0.0         255.255.255.255 UH    0      0        0 vlan2
10.0.1.0        10.0.1.6        255.255.255.0   UG    0      0        0 tun11
192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 br0
192.168.1.0     10.0.1.6        255.255.255.0   UG    0      0        0 tun11
80.238.70.0     0.0.0.0         255.255.254.0   U     0      0        0 vlan2
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         80.238.70.1     0.0.0.0         UG    0      0        0 vlan2
 
khain
Serwer nie ma routingu do podsieci za klientem. Wstaw taki config serwera

port 1194
proto udp
dev tun11
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh2048.pem
ifconfig 10.0.1.1 255.255.255.0
topology subnet
client-config-dir /etc/openvpn/ccd
route 192.168.2.0 255.255.255.0 10.0.1.5
push "route 192.168.1.0 255.255.255.0 10.0.1.1"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
push "topology subnet"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

Teraz w folderze ccd utwórz plik o nazwie takiej jaką ma Common Name w certyfikacie klienta Tomato. Plik ma mieć taką zawartość:

ifconfig-push 10.0.1.5 255.255.255.0
iroute 192.168.2.0 255.255.255.0
Jeśli masz więcej klientów np. smartphone'y to tworzysz kolejne pliki w ccd (pamietając o poprawnej nazwie) zmieniając tylko adres IP jaki mają otrzymać, np.:

ifconfig-push 10.0.1.2 255.255.255.0

TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
 
goof3r
Przy Twoim configu i nowym wpisie w ccd server nie wstaje.


root@xxx:/etc/openvpn# openvpn server2.conf
Options error: --client-config-dir/--ccd-exclusive requires --mode server



Przy odpaleniu mojego configa i przy Twoim wpisie w ccd wystapuje brak pingow na debianie i tomato tez
 
khain
Twój konfig nie będzie działał, bo masz źle routing zrobiony. Dopisz na początku konfigu serwera, który podałem tą linię:

mode server
Openvpn przecież sam o to prosi.
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
 
goof3r
Do Twojego configa musiałem dodac :



mode server
tls-server


i teraz wszystko smiga, dziekuje khain za bardzo dobrą pomoc.

Połączony z 27 luty 2017 22:30:52:
khain moja sieć VPN poszerzyła sie o kolejny router z wlasna siecią (IP 192.168.3.1)

w katalogu został zrobiony kolejny plik z zawartością:



ifconfig-push 10.0.1.7 255.255.255.0
iroute 192.168.3.0 255.255.255.0


A do configu serwera dodane:



route 192.168.3.0 255.255.255.0 10.0.1.7


Server (192.168.1.1) pinguje się bez problemu z nowym routerem(192.168.3.1) i jego klientami (w druga strone również działa).

Problem
pingi od klienta 192.168.2.1 do 192.168.3.1 nie działają i w druga strone też 192.168.3.1 ===> 192.168.2.1

Czy w configu servera brakuje jakiejś reguły?
Edytowany przez goof3r dnia 27-02-2017 22:30
 
bigl
Zmieniłeś konfigurację na paru klientów i do działania komunikacji pomiędzy nimi brakuje na serwerze opcji:

client-to-client
Router: Netgear R7000 + FreshTomato (latest)
Wi-Fi: Ubiquiti U6-Lite
NAS: AsRock BeeBox Fanless + Ubuntu 20.04 Server + WD My Book Essential 8TB
Players: Odroid N2+ with Coreelec / Android TV (Nokia Streaming Box 8010)
 
khain
Opcja client-to-client jest potrzebna przy topology net30 przy topology subnet nic nie daje. Podejrzewam, że klient2 nie ma routingu do podsieci za klientem3 (serwer openvpn ma), dodaj do konfigu serwera ten wpis:

push "route 192.168.3.0 255.255.255.0 10.0.1.7"

TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
 
goof3r
po dodaniu do konfigu :



push "route 192.168.2.0 255.255.255.0 10.0.1.5"
push "route 192.168.3.0 255.255.255.0 10.0.1.7"


Klienci w obu sieciach traca połączenie internetowe, tzn. maja wtedy dostep tylko do sieci VPN i pingi leca
 
khain
1) Opcje iroute nie są zdublowane w plikach ccd? 2) Korzystasz z opcji redirect-gateway na serwerze? 3) Jak wyglądają tablice routing i logi openvpn na serwerze i klientach.
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
 
goof3r
1) nie sa zdublowane:

klient2

ifconfig-push 10.0.1.5 255.255.255.0
iroute 192.168.2.0 255.255.255.0


klient3:


ifconfig-push 10.0.1.7 255.255.255.0
iroute 192.168.3.0 255.255.255.0


2) Nie korzystam z redirect-gateway - każdy klient2, klient3 i serwer Debian korzystają z własnego wyjscia na świat, wspolna maja miec sieć w vpnie.

=============Reszte podam wieczorem bo nie mam dostepu do serwera.

Połączony z 28 luty 2017 22:00:06:
CONFIG SERVERA:



#serwer goscia z tomato forum
mode server
tls-server
port 1194
proto udp
dev tun11
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh2048.pem
ifconfig 10.0.1.1 255.255.255.0
topology subnet
client-config-dir /etc/openvpn/ccd
route 192.168.2.0 255.255.255.0 10.0.1.5
route 192.168.3.0 255.255.255.0 10.0.1.7
push "route 192.168.1.0 255.255.255.0 10.0.1.1"
push "route 192.168.2.0 255.255.255.0 10.0.1.5"
#push "route 192.168.3.0 255.255.255.0 10.0.1.7"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
push "topology subnet"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3



LOGI VPNA servera:



Tue Feb 28 21:42:25 2017 OpenVPN 2.3.4 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [MH] [IPv6] built on Nov 12 2015
Tue Feb 28 21:42:25 2017 library versions: OpenSSL 1.0.1t  3 May 2016, LZO 2.08
Tue Feb 28 21:42:25 2017 Diffie-Hellman initialized with 2048 bit key
Tue Feb 28 21:42:25 2017 Socket Buffers: R=[212992->131072] S=[212992->131072]
Tue Feb 28 21:42:25 2017 ROUTE_GATEWAY 79.124.122.1/255.255.255.0 IFACE=eth0 HWADDR=20:e5:2a:23:5f:dc
Tue Feb 28 21:42:25 2017 TUN/TAP device tun11 opened
Tue Feb 28 21:42:25 2017 TUN/TAP TX queue length set to 100
Tue Feb 28 21:42:25 2017 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Tue Feb 28 21:42:25 2017 /sbin/ip link set dev tun11 up mtu 1500
Tue Feb 28 21:42:25 2017 /sbin/ip addr add dev tun11 10.0.1.1/24 broadcast 10.0.1.255
Tue Feb 28 21:42:25 2017 /sbin/ip route add 192.168.2.0/24 via 10.0.1.5
Tue Feb 28 21:42:25 2017 /sbin/ip route add 192.168.3.0/24 via 10.0.1.7
Tue Feb 28 21:42:25 2017 GID set to nogroup
Tue Feb 28 21:42:25 2017 UID set to nobody
Tue Feb 28 21:42:25 2017 UDPv4 link local (bound): [undef]
Tue Feb 28 21:42:25 2017 UDPv4 link remote: [undef]
Tue Feb 28 21:42:25 2017 MULTI: multi_init called, r=256 v=256
Tue Feb 28 21:42:25 2017 Initialization Sequence Completed
Tue Feb 28 21:42:37 2017 80.238.70.160:37684 TLS: Initial packet from [AF_INET]80.238.70.165:37684, sid=5b10756e 130f91c0
Tue Feb 28 21:42:39 2017 80.238.70.160:37684 VERIFY OK: depth=1, C=PL, ST=Rybnik, L=Rybnik, O=VPN gowniarz, OU=MyOrganizationalUnit, CN=VPN gowniarz CA, name=EasyRSA, emailAddress=me@myhost.mydomain
Tue Feb 28 21:42:39 2017 80.238.70.160:37684 VERIFY OK: depth=0, C=PL, ST=Rybnik, L=Rybnik, O=VPN gowniarz, OU=MyOrganizationalUnit, CN=vpn_elektrownia_client_ddns.net, name=EasyRSA, emailAddress=me@myhost.mydomain
Tue Feb 28 21:42:39 2017 80.238.70.160:37684 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Feb 28 21:42:39 2017 80.238.70.160:37684 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Feb 28 21:42:39 2017 80.238.70.160:37684 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Feb 28 21:42:39 2017 80.238.70.160:37684 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Feb 28 21:42:39 2017 80.238.70.160:37684 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Tue Feb 28 21:42:39 2017 80.238.70.160:37684 [vpn_elektrownia_client_ddns.net] Peer Connection Initiated with [AF_INET]80.238.70.160:37684
Tue Feb 28 21:42:39 2017 vpn_elektrownia_client_ddns.net/80.238.70.160:37684 OPTIONS IMPORT: reading client specific options from: /etc/openvpn/ccd/vpn_elektrownia_client_ddns.net
Tue Feb 28 21:42:39 2017 vpn_elektrownia_client_ddns.net/80.238.70.160:37684 MULTI: Learn: 10.0.1.5 -> vpn_elektrownia_client_ddns.net/80.238.70.160:37684
Tue Feb 28 21:42:39 2017 vpn_elektrownia_client_ddns.net/80.238.70.160:37684 MULTI: primary virtual IP for vpn_elektrownia_client_ddns.net/80.238.70.160:37684: 10.0.1.5
Tue Feb 28 21:42:39 2017 vpn_elektrownia_client_ddns.net/80.238.70.160:37684 MULTI: internal route 192.168.2.0/24 -> vpn_elektrownia_client_ddns.net/80.238.70.160:37684
Tue Feb 28 21:42:39 2017 vpn_elektrownia_client_ddns.net/80.238.70.160:37684 MULTI: Learn: 192.168.2.0/24 -> vpn_elektrownia_client_ddns.net/80.238.70.160:37684
Tue Feb 28 21:42:41 2017 vpn_elektrownia_client_ddns.net/80.238.70.160:37684 PUSH: Received control message: 'PUSH_REQUEST'
Tue Feb 28 21:42:41 2017 vpn_elektrownia_client_ddns.net/80.238.70.160:37684 send_push_reply(): safe_cap=940
Tue Feb 28 21:42:41 2017 vpn_elektrownia_client_ddns.net/80.238.70.160:37684 SENT CONTROL [vpn_elektrownia_client_ddns.net]: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0 10.0.1.1,route 192.168.2.0 255.255.255.0 10.0.1.5,dhcp-option DNS 8.8.8.8,dhcp-option DNS 8.8.4.4,topology subnet,ping 10,ping-restart 120,ifconfig 10.0.1.5 255.255.255.0' (status=1)



ROUTE -N (SERVER):



Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         79.124.122.1    0.0.0.0         UG    0      0        0 eth0
10.0.1.0        0.0.0.0         255.255.255.0   U     0      0        0 tun11
79.124.122.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.2.0     10.0.1.5        255.255.255.0   UG    0      0        0 tun11
192.168.3.0     10.0.1.7        255.255.255.0   UG    0      0        0 tun11


KLIENT2 192.168.2.1

LOG Z TOMATO


Feb 28 21:31:55 unknown daemon.info dnsmasq-dhcp[3961]: DHCP, IP range 192.168.2.2 -- 192.168.2.51, lease time 1d
Feb 28 21:31:55 unknown daemon.info dnsmasq[3961]: reading /etc/resolv.dnsmasq
Feb 28 21:31:55 unknown daemon.info dnsmasq[3961]: using nameserver 87.204.204.204#53
Feb 28 21:31:55 unknown daemon.info dnsmasq[3961]: using nameserver 62.233.233.233#53
Feb 28 21:31:55 unknown daemon.info dnsmasq[3961]: read /etc/hosts - 2 addresses
Feb 28 21:31:55 unknown daemon.info dnsmasq[3961]: read /etc/dnsmasq/hosts/hosts - 7 addresses
Feb 28 21:31:55 unknown daemon.info dnsmasq-dhcp[3961]: read /etc/dnsmasq/dhcp/dhcp-hosts
Feb 28 21:33:01 unknown user.info kernel: tun: Universal TUN/TAP device driver, 1.6
Feb 28 21:33:01 unknown user.info kernel: tun: (C) 1999-2004 Max Krasnyansky
Feb 28 21:33:01 unknown daemon.notice openvpn[3977]: OpenVPN 2.3.11 mipsel-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Aug  1 2016
Feb 28 21:33:01 unknown daemon.notice openvpn[3977]: library versions: OpenSSL 1.0.2h  3 May 2016, LZO 2.09
Feb 28 21:33:01 unknown daemon.warn openvpn[3986]: WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Feb 28 21:33:01 unknown daemon.warn openvpn[3986]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Feb 28 21:33:01 unknown daemon.notice openvpn[3986]: Socket Buffers: R=[112640->112640] S=[112640->112640]
Feb 28 21:33:01 unknown daemon.notice openvpn[3986]: UDPv4 link local: [undef]
Feb 28 21:33:01 unknown daemon.notice openvpn[3986]: UDPv4 link remote: [AF_INET]79.124.122.112:1194
Feb 28 21:33:01 unknown daemon.notice openvpn[3986]: TLS: Initial packet from [AF_INET]79.124.122.112:1194, sid=6f1f2a08 ccd4a20a
Feb 28 21:33:02 unknown user.notice root: vpnrouting: clean-up
Feb 28 21:33:02 unknown user.notice root: vpnrouting: searching gateway for tun11
Feb 28 21:33:04 unknown daemon.notice openvpn[3986]: VERIFY OK: depth=1, C=PL, ST=Rybnik, L=Rybnik, O=VPN gowniarz, OU=MyOrganizationalUnit, CN=VPN gowniarz CA, name=EasyRSA, emailAddress=me@myhost.mydomain
Feb 28 21:33:04 unknown daemon.notice openvpn[3986]: VERIFY OK: depth=0, C=PL, ST=Rybnik, L=Rybnik, O=VPN gowniarz, OU=MyOrganizationalUnit, CN=server, name=EasyRSA, emailAddress=me@myhost.mydomain
Feb 28 21:33:05 unknown daemon.notice openvpn[3986]: Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Feb 28 21:33:05 unknown daemon.notice openvpn[3986]: Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Feb 28 21:33:05 unknown daemon.notice openvpn[3986]: Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Feb 28 21:33:05 unknown daemon.notice openvpn[3986]: Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Feb 28 21:33:05 unknown daemon.notice openvpn[3986]: Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Feb 28 21:33:05 unknown daemon.notice openvpn[3986]: [server] Peer Connection Initiated with [AF_INET]79.124.122.112:1194
Feb 28 21:33:05 unknown daemon.err openvpn[3986]: event_wait : Interrupted system call (code=4)
Feb 28 21:33:05 unknown daemon.notice openvpn[3986]: OpenVPN STATISTICS
Feb 28 21:33:05 unknown daemon.notice openvpn[3986]: Updated,Tue Feb 28 21:33:05 2017
Feb 28 21:33:05 unknown daemon.notice openvpn[3986]: TUN/TAP read bytes,0
Feb 28 21:33:05 unknown daemon.notice openvpn[3986]: TUN/TAP write bytes,0
Feb 28 21:33:05 unknown daemon.notice openvpn[3986]: TCP/UDP read bytes,4900
Feb 28 21:33:05 unknown daemon.notice openvpn[3986]: TCP/UDP write bytes,4972
Feb 28 21:33:05 unknown daemon.notice openvpn[3986]: Auth read bytes,0
Feb 28 21:33:05 unknown daemon.notice openvpn[3986]: pre-compress bytes,0
Feb 28 21:33:05 unknown daemon.notice openvpn[3986]: post-compress bytes,0
Feb 28 21:33:05 unknown user.notice root: vpnrouting: searching gateway for tun11
Feb 28 21:33:07 unknown daemon.notice openvpn[3986]: SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Feb 28 21:33:07 unknown daemon.notice openvpn[3986]: PUSH: Received control message: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0 10.0.1.1,route 192.168.2.0 255.255.255.0 10.0.1.5,dhcp-option DNS 8.8.8.8,dhcp-option DNS 8.8.4.4,topology subnet,ping 10,ping-restart 120,ifconfig 10.0.1.5 255.255.255.0'
Feb 28 21:33:07 unknown daemon.notice openvpn[3986]: OPTIONS IMPORT: timers and/or timeouts modified
Feb 28 21:33:07 unknown daemon.notice openvpn[3986]: OPTIONS IMPORT: --ifconfig/up options modified
Feb 28 21:33:07 unknown daemon.notice openvpn[3986]: OPTIONS IMPORT: route options modified
Feb 28 21:33:07 unknown daemon.notice openvpn[3986]: OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Feb 28 21:33:07 unknown daemon.notice openvpn[3986]: TUN/TAP device tun11 opened
Feb 28 21:33:07 unknown daemon.notice openvpn[3986]: TUN/TAP TX queue length set to 100
Feb 28 21:33:07 unknown daemon.notice openvpn[3986]: do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Feb 28 21:33:07 unknown daemon.notice openvpn[3986]: /sbin/ifconfig tun11 10.0.1.5 netmask 255.255.255.0 mtu 1500 broadcast 10.0.1.255
Feb 28 21:33:07 unknown daemon.notice openvpn[3986]: updown.sh tun11 1500 1542 10.0.1.5 255.255.255.0 init
Feb 28 21:33:08 unknown daemon.info dnsmasq[3961]: exiting on receipt of SIGTERM
Feb 28 21:33:08 unknown user.debug init[1]: 255: pptp peerdns disabled
Feb 28 21:33:08 unknown daemon.info dnsmasq[4111]: started, version 2.76 cachesize 4096
Feb 28 21:33:08 unknown daemon.info dnsmasq[4111]: compile time options: IPv6 GNU-getopt no-RTC no-DBus no-i18n no-IDN DHCP DHCPv6 no-Lua TFTP no-conntrack ipset Tomato-helper auth DNSSEC loop-detect no-inotify
Feb 28 21:33:08 unknown daemon.info dnsmasq[4111]: asynchronous logging enabled, queue limit is 5 messages
Feb 28 21:33:08 unknown daemon.info dnsmasq-dhcp[4111]: DHCP, IP range 192.168.2.2 -- 192.168.2.51, lease time 1d
Feb 28 21:33:08 unknown daemon.info dnsmasq[4111]: reading /etc/resolv.dnsmasq
Feb 28 21:33:08 unknown daemon.info dnsmasq[4111]: using nameserver 8.8.8.8#53
Feb 28 21:33:08 unknown daemon.info dnsmasq[4111]: using nameserver 8.8.4.4#53
Feb 28 21:33:08 unknown daemon.info dnsmasq[4111]: read /etc/hosts - 2 addresses
Feb 28 21:33:08 unknown daemon.info dnsmasq[4111]: read /etc/dnsmasq/hosts/hosts - 7 addresses
Feb 28 21:33:08 unknown daemon.info dnsmasq-dhcp[4111]: read /etc/dnsmasq/dhcp/dhcp-hosts
Feb 28 21:33:08 unknown daemon.notice openvpn[3986]: /sbin/route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.0.1.1
Feb 28 21:33:08 unknown daemon.notice openvpn[3986]: /sbin/route add -net 192.168.2.0 netmask 255.255.255.0 gw 10.0.1.5
Feb 28 21:33:08 unknown daemon.notice openvpn[3986]: Initialization Sequence Completed
Feb 28 21:33:08 unknown user.notice root: vpnrouting: got gateway for tun11 - IP 10.0.1.5 - ID 311


ROUTE -N :



Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
80.238.70.1     0.0.0.0         255.255.255.255 UH    0      0        0 vlan2
10.0.1.0        0.0.0.0         255.255.255.0   U     0      0        0 tun11
192.168.2.0     10.0.1.5        255.255.255.0   UG    0      0        0 tun11
192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 br0
192.168.1.0     10.0.1.1        255.255.255.0   UG    0      0        0 tun11
80.238.70.0     0.0.0.0         255.255.254.0   U     0      0        0 vlan2
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         80.238.70.1     0.0.0.0         UG    0      0        0 vlan2



Przy opcji w configu


push "route 192.168.2.0 255.255.255.0 10.0.1.5"


Klient3(192.168.3.1) potrafi pingowac klienta2(192.168.2.1) i na odwrót, ale automatycznie wszyscy co sa w sieci 192.168.2.0 traca połaczenie z internetem. Z servera pingi nie ida na np. 192.168.2.6.
Edytowany przez goof3r dnia 28-02-2017 22:00
 
khain
Usuń poniższe opcje z konfiguracji serwera

push "route 192.168.2.0 255.255.255.0 10.0.1.5"
push "route 192.168.3.0 255.255.255.0 10.0.1.7"
Pliki w katalogu ccd muszą wyglądać następująco:
klient 2

ifconfig-push 10.0.1.5 255.255.255.0
iroute 192.168.2.0 255.255.255.0
push "route 192.168.3.0 255.255.255.0 10.0.1.7"

klient 3

ifconfig-push 10.0.1.7 255.255.255.0
iroute 192.168.3.0 255.255.255.0
push "route 192.168.2.0 255.255.255.0 10.0.1.5"

TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
 
goof3r
Tak teraz wszystko działa kazdy ma internet i moze kazdego pingowac. Dziekuję raz jeszcze!
 
ghost2005
To i ja się dołącze do pytania

po wygenerowaniu certyfikatow przez easy-rsa 3 na serwerze debian mam komunikat po stronie klienta


Mar  1 13:45:40 tomato daemon.err openvpn[2874]: VERIFY ERROR: depth=1, error=certificate signature failure: /C=PL/ST=ZA/L=N/O=NOpenVPN/CN=NOpenVPN_CA/name=EasyRSA/Email=Nmail@host.domain
Mar  1 13:45:40 tomato daemon.err openvpn[2874]: TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Mar  1 13:45:40 tomato daemon.err openvpn[2874]: TLS Error: TLS object -> incoming plaintext read error
Mar  1 13:45:40 tomato daemon.err openvpn[2874]: TLS Error: TLS handshake failed
Mar  1 13:45:40 tomato daemon.notice openvpn[2874]: TCP/UDP: Closing socket
Mar  1 13:45:40 tomato daemon.notice openvpn[2874]: SIGUSR1[soft,tls-error] received, process restarting
Mar  1 13:45:40 tomato daemon.notice openvpn[2874]: Restart pause, 2 second(s)
Mar  1 13:45:42 tomato daemon.warn openvpn[2874]: WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Mar  1 13:45:42 tomato daemon.warn openvpn[2874]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts


pytanie jak wygenerowac certyfikaty zgodne ze starszą wersją
OpenVPN 2.1.1 mipsel-unknown-linux-gnu [SSL] [LZO2] [EPOLL] built on Feb 11 2011

i czy moze autor postu jest wstanie odpowiedziec na pytanie o mozliwosc przekierowania portu z zewnatrz - serwer na port urzadzenia w kliencie vpn?
 
jurekk
moze ci to pomoze coś?
https://openlinksys.info/forum/viewthread.php?thread_id=20423

Połączony z 01 marzec 2017 17:17:57:
ja bym szukał openvpn na windowsa odpowiednio starego chyba
Edytowany przez jurekk dnia 01-03-2017 17:17
AX3000 v2 Tomato
ea6500v2 @Ac66u_B1 @1000 Aimesh
ea6700v cfe (custom) @AC66u_B1 node
node Aimesh,
 
goof3r
Jeżeli chodzi o przekierowanie portu wystarczy dodac do firewalla:



iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.x.x --dport 22 -j DNAT --to-destination 192.168.2.6
iptables -t nat -A PREROUTING -p udp -d xxx.xxx.x.x --dport 22 -j DNAT --to-destination 192.168.2.6

 
khain
@ghost2005 Klient nie może zweryfikować certyfikatu, więc nie ma on podanej ścieżki do CA albo certyfikaty są źle wygenerowane (np. zamiast użyć opcji server przy generowaniu certyfikatu serwera użyłeś opcji client, itp.).
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
 
ghost2005
okazało się że po zmianie routera z N10 na ac66u poszło z kopyta.

server ma adresacje 192.168.99.1

config serwera

Cytat

#serwer goscia z tomato forum
mode server
tls-server
port 1195
proto udp
dev tun11
ca /etc/openvpn/keys/tun/ca.crt
cert /etc/openvpn/keys/tun/server.crt
key /etc/openvpn/keys/tun/server.key
dh /etc/openvpn/keys/tun/dh.pem
ifconfig 10.0.1.1 255.255.255.0
topology subnet
client-config-dir /etc/openvpn/ccd
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
push "topology subnet"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
log-append log.log
verb 2
--script-security 2


ccd/client1

Cytat

ifconfig-push 10.0.1.5 255.255.255.0
iroute 192.168.2.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0 10.0.1.7"


ccd/client2

Cytat

ifconfig-push 10.0.1.7 255.255.255.0
iroute 192.168.1.0 255.255.255.0
push "route 192.168.2.0 255.255.255.0 10.0.1.5"


efekt ping
client1->server dziala
client2->server dziala
client1->client2 nie działa
client2->client1 nie działa
po 10.0.1.5 i 10.0.1.7 i 10.0.1.1 dzialaja wszystkie

Połączony z 08 marzec 2017 12:45:41:
Niestety nie mogę edytować postów

wynik komendy route -n
server

Cytat


Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 89.36.215.1 0.0.0.0 UG 0 0 0 eth0
10.0.1.0 0.0.0.0 255.255.255.0 U 0 0 0 tun11
89.36.215.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 tun11
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 tun11
192.168.99.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1

client1

Cytat


Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
83.145.159.254 0.0.0.0 255.255.255.255 UH 0 0 0 vlan2
10.0.1.0 0.0.0.0 255.255.255.0 U 0 0 0 tun11
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
192.168.1.0 10.0.1.7 255.255.255.0 UG 0 0 0 tun11
83.145.144.0 0.0.0.0 255.255.240.0 U 0 0 0 vlan2
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 83.145.159.254 0.0.0.0 UG 0 0 0 vlan2

client2

Cytat


Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
83.145.159.254 0.0.0.0 255.255.255.255 UH 0 0 0 vlan2
10.0.1.0 0.0.0.0 255.255.255.0 U 0 0 0 tun11
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
192.168.1.0 10.0.1.7 255.255.255.0 UG 0 0 0 tun11
83.145.144.0 0.0.0.0 255.255.240.0 U 0 0 0 vlan2
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 83.145.159.254 0.0.0.0 UG 0 0 0 vlan2



wynik traceroute client1->client2

Cytat


traceroute 192.168.1.241
traceroute to 192.168.1.241 (192.168.1.241), 30 hops max, 38 byte packets
1 10.0.1.7 (10.0.1.7) 141.512 ms 110.831 ms 118.107 ms
2 * * *
3 * *
root@unknown:/tmp/home/root# traceroute 192.168.1.242
traceroute to 192.168.1.242 (192.168.1.242), 30 hops max, 38 byte packets
1 10.0.1.7 (10.0.1.7) 163.033 ms 120.822 ms 118.793 ms
2 192.168.1.242 (192.168.1.242) 122.449 ms 132.825 ms 118.752 ms

Edytowany przez ghost2005 dnia 08-03-2017 12:45
 
goof3r
Dodaj do configa serwera :
route 192.168.2.0 255.255.255.0 10.0.1.5
route 192.168.1.0 255.255.255.0 10.0.1.7
 
Przejdź do forum
Zaloguj
Wprowadź adres e-mail lub nazwę użytkownika

Hasło



Nie masz jeszcze konta? Zarejestruj się.

Zapomniałeś/aś hasła?
Aktualnie online
· Gości online: 113

· Użytkowników online: 0

· Łącznie użytkowników: 24,115
· Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.

Maniek91PL
06-11-2024 22:37
dzięki !Grin

maxikaaz
29-10-2024 14:27
@Maniek91PL - Administration=> Admin Access, i tam masz "Allow Wireless Access" do zaznaczenia

Maniek91PL
26-10-2024 22:07
siemka! ktoś przypomni co się ustawiało jeśli nie mogę wejść od strony wifi do tomato? od lan działa

overflow2
04-10-2024 17:34
Kupowałem Asusy n10u albo n12d1 ale nie widzę ich, chyba już nie produkują, Chodzi o coś nowego i taniego. Transfery niewielkie.

maxikaaz
04-10-2024 09:38
@overflow2 patrząc po dostępności funkcji w nowych kompilacjach, to chyba nawet WRT54G/GL jeszcze ma OpenVPN, albo jakiś odpowiednik... zależy, na jakie transfery liczysz.

overflow2
30-09-2024 20:53
Jaki aktualnie najtańszy router do tomato do openvpn?

maxikaaz
27-07-2024 15:07
@servee - na początek router do rozebrania i obejrzenia, ciężko wróżyć tak tylko po objawach

maxikaaz
27-07-2024 14:55
@servee - cały kontroler nie pada tak sobie z powodu "zbiegu okoliczności",
więc prawdopodobnie gdzieś przepięcie.

servee
25-07-2024 13:33
@maxikaaz: działało, aż pewnego pięknego dnia przestało działać. W tym dniu była też burza, ale to raczej zbieg okoliczności.

maxikaaz
25-07-2024 11:38
@servee - o ile problem jest w obrębie samych wyjść (dławiki, warystory), to naprawialne, ale jeśli w samym SoC - to nienaprawialne ze względu na koszta. A co było przyczyną?

95,446,581 unikalnych wizyt