|
Dostęp z zewnątrz przez OpenVPN
|
| djecstasy |
Dodano 05-01-2018 14:58
|
User
Posty: 23
Dołączył: 23/02/2015 09:13
|
Witam,
Mam problem z dostaniem się z zewnątrz na router po OpenVPN.
Opiszę najpierw całą sieć:
Lokalizacja A
Orange
Funbox + Asus z serwerem OpenVPN (192.168.0.3)
Ustawiony DDNS
Lokalizacja B
Play
Asus z klientem OpenVPN (192.168.0.101)
Dla testów ustawiłem na Funoxie DMZ na ip Asusa z serwerem OpenVPN (192.168.0.3)
mogę teraz zalogować się po adresie ddns na Funbox oraz Asusa z serwerem, a więc działa.
Następnie Ustawiłem kolejny DMZ (w asusie z serwerem) na Asusa z klientem (192.168.0.101)
Teoretycznie powinienem móc zalogować się na drugiego Asusa jednak to nie działa.
Dlaczego używam DMZ? żeby wykluczyć błąd w przekierowaniu portów.
Ktoś ma jakiś pomysł jak to ogarnąć? |
| |
|
|
| khain |
Dodano 05-01-2018 17:27
|
Power User
Posty: 335
Dołączył: 25/07/2007 17:09
|
Sprawdź logi serwera i klienta - tam znajdziesz odpowiedź dlaczego nie działa.
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
|
| |
|
|
| djecstasy |
Dodano 05-01-2018 17:45
|
User
Posty: 23
Dołączył: 23/02/2015 09:13
|
Na serwerze w logach nie ma kompletnie nic a na kliencie coś takiego:
Jan 5 17:44:15 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.184 DST=172.217.16.14 LEN=83 TOS=0x00 PREC=0x00 TTL=63 ID=22201 DF PROTO=TCP SPT=51327 DPT=443 SEQ=3199237842 ACK=3696098223 WINDOW=1486 RES=0x00 ACK PSH URGP=0 OPT (0101080A00420580A2E389FB)
Jan 5 17:44:22 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.129 DST=168.63.16.185 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=7420 DF PROTO=TCP SPT=59679 DPT=443 SEQ=2025326873 ACK=0 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405B40103030201010402) |
| |
|
|
| khain |
Dodano 05-01-2018 19:56
|
Power User
Posty: 335
Dołączył: 25/07/2007 17:09
|
To nie jest log openvpn. Przede wszystkim włącz logowanie poprzez dodanie do konfigu
Log powinien trafiać do sysloga chyba, że masz opcję
w konfigu, wtedy log trafia do tego pliku.
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
|
| |
|
|
| djecstasy |
Dodano 05-01-2018 21:48
|
User
Posty: 23
Dołączył: 23/02/2015 09:13
|
na serwerze:
Jan 5 21:43:19 Leka daemon.notice openvpn[20654]: 94.254.241.164:62068 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Jan 5 21:43:19 Leka daemon.notice openvpn[20654]: 94.254.241.164:62068 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Jan 5 21:43:19 Leka daemon.notice openvpn[20654]: 94.254.241.164:62068 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Jan 5 21:43:19 Leka daemon.notice openvpn[20654]: 94.254.241.164:62068 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Jan 5 21:43:19 Leka daemon.notice openvpn[20654]: 94.254.241.164:62068 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-GCM-SHA384, 1024 bit RSA
Jan 5 21:43:19 Leka daemon.notice openvpn[20654]: 94.254.241.164:62068 [mulicka] Peer Connection Initiated with [AF_INET]94.254.241.164:62068
Jan 5 21:43:19 Leka daemon.notice openvpn[20654]: mulicka/94.254.241.164:62068 OPTIONS IMPORT: reading client specific options from: ccd/mulicka
Jan 5 21:43:19 Leka daemon.err openvpn[20654]: mulicka/94.254.241.164:62068 Options error: in --iroute 192.168.0.101 255.255.255.0 : Bad network/subnet specification
Jan 5 21:43:19 Leka daemon.notice openvpn[20654]: mulicka/94.254.241.164:62068 MULTI_sva: pool returned IPv4=192.168.0.102, IPv6=(Not enabled)
Jan 5 21:43:21 Leka daemon.notice openvpn[20654]: mulicka/94.254.241.164:62068 MULTI: Learn: e0:3f:49:8b:12:84 -> mulicka/94.254.241.164:62068
Jan 5 21:43:21 Leka daemon.notice openvpn[20654]: mulicka/94.254.241.164:62068 PUSH: Received control message: 'PUSH_REQUEST'
Jan 5 21:43:21 Leka daemon.notice openvpn[20654]: mulicka/94.254.241.164:62068 send_push_reply(): safe_cap=940
Jan 5 21:43:21 Leka daemon.notice openvpn[20654]: mulicka/94.254.241.164:62068 SENT CONTROL [mulicka]: 'PUSH_REPLY,route 192.168.0.101 255.255.255.0,route 192.168.0.135 255.255.255.0,route 192.168.0.0 255.255.255.255,route-gateway 192.168.0.3,ping 15,ping-restart 60,ifconfig 192.168.0.102 255.255.255.0' (status=1)
Jan 5 21:43:21 Leka daemon.notice openvpn[20654]: mulicka/94.254.241.164:62068 MULTI: Learn: e0:b9:a5:45:7b:2c -> mulicka/94.254.241.164:62068
Jan 5 21:43:35 Leka daemon.notice openvpn[20654]: mulicka/94.254.241.164:62068 MULTI: Learn: d0:ae:ec:3b:9d:15 -> mulicka/94.254.241.164:62068
Jan 5 21:43:36 Leka daemon.notice openvpn[20654]: mulicka/94.254.241.164:62068 MULTI: Learn: 00:24:b2:45:53:2e -> mulicka/94.254.241.164:62068
Jan 5 21:44:10 Leka daemon.notice openvpn[20654]: mulicka/94.254.241.164:62068 MULTI: Learn: 18:1e:78:54:d9:03 -> mulicka/94.254.241.164:62068 |
| |
|
|
| khain |
Dodano 05-01-2018 21:57
|
Power User
Posty: 335
Dołączył: 25/07/2007 17:09
|
Options error: in --iroute 192.168.0.101 255.255.255.0 : Bad network/subnet specification
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
|
| |
|
|
| djecstasy |
Dodano 05-01-2018 22:13
|
User
Posty: 23
Dołączył: 23/02/2015 09:13
|
Ale to jest adres podsieci klienta...
Na kliencie tylko to:
Jan 5 22:08:50 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.184 DST=31.13.81.9 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=41355 DF PROTO=TCP SPT=41726 DPT=443 SEQ=2300921817 ACK=0 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405500402080A004BE6520000000001030306)
Jan 5 22:09:04 Wroclaw daemon.err openvpn[2286]: event_wait : Interrupted system call (code=4)
Jan 5 22:09:04 Wroclaw daemon.notice openvpn[2286]: OpenVPN STATISTICS
Jan 5 22:09:04 Wroclaw daemon.notice openvpn[2286]: Updated,Fri Jan 5 22:09:04 2018
Jan 5 22:09:04 Wroclaw daemon.notice openvpn[2286]: TUN/TAP read bytes,967192
Jan 5 22:09:04 Wroclaw daemon.notice openvpn[2286]: TUN/TAP write bytes,558751
Jan 5 22:09:04 Wroclaw daemon.notice openvpn[2286]: TCP/UDP read bytes,758698
Jan 5 22:09:04 Wroclaw daemon.notice openvpn[2286]: TCP/UDP write bytes,1091435
Jan 5 22:09:04 Wroclaw daemon.notice openvpn[2286]: Auth read bytes,558751
Jan 5 22:09:04 Wroclaw daemon.notice openvpn[2286]: pre-compress bytes,197472
Jan 5 22:09:04 Wroclaw daemon.notice openvpn[2286]: post-compress bytes,182608
Jan 5 22:09:36 Wroclaw daemon.info dnsmasq-dhcp[2366]: DHCPREQUEST(br0) 192.168.0.180 d0:ae:ec:3b:9d:15
Jan 5 22:09:36 Wroclaw daemon.info dnsmasq-dhcp[2366]: DHCPACK(br0) 192.168.0.180 d0:ae:ec:3b:9d:15
Jan 5 22:09:43 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.184 DST=172.217.16.35 LEN=1378 TOS=0x00 PREC=0x00 TTL=63 ID=64223 DF PROTO=UDP SPT=57312 DPT=443 LEN=1358
Jan 5 22:09:43 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.184 DST=172.217.16.35 LEN=817 TOS=0x00 PREC=0x00 TTL=63 ID=64224 DF PROTO=UDP SPT=57312 DPT=443 LEN=797
Jan 5 22:09:43 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.184 DST=172.217.16.36 LEN=1378 TOS=0x00 PREC=0x00 TTL=63 ID=64227 DF PROTO=UDP SPT=60066 DPT=443 LEN=1358
Jan 5 22:09:43 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.184 DST=172.217.16.46 LEN=1378 TOS=0x00 PREC=0x00 TTL=63 ID=64219 DF PROTO=UDP SPT=42784 DPT=443 LEN=1358
Jan 5 22:09:43 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.184 DST=172.217.16.36 LEN=480 TOS=0x00 PREC=0x00 TTL=63 ID=64228 DF PROTO=UDP SPT=60066 DPT=443 LEN=460
Jan 5 22:10:01 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.184 DST=79.191.198.25 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=54142 DF PROTO=TCP SPT=58180 DPT=81 SEQ=1070059867 ACK=0 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405500402080A004C02250000000001030306)
Jan 5 22:10:01 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.184 DST=79.191.198.25 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=5832 DF PROTO=TCP SPT=58181 DPT=81 SEQ=2164462829 ACK=0 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405500402080A004C02250000000001030306)
Jan 5 22:10:01 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.184 DST=79.191.198.25 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=13521 DF PROTO=TCP SPT=58182 DPT=81 SEQ=1236612860 ACK=0 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405500402080A004C022D0000000001030306)
Jan 5 22:10:01 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.184 DST=172.217.16.42 LEN=1378 TOS=0x00 PREC=0x00 TTL=63 ID=571 DF PROTO=UDP SPT=33983 DPT=443 LEN=1358
Jan 5 22:10:02 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.184 DST=79.191.198.25 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=54389 DF PROTO=TCP SPT=58183 DPT=81 SEQ=3014776331 ACK=0 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405500402080A004C027E0000000001030306) |
| |
|
|
| khain |
Dodano 06-01-2018 09:17
|
Power User
Posty: 335
Dołączył: 25/07/2007 17:09
|
No właśnie ma być adres podsieci klienta, a nie adres hosta w tej podsieci.
Dostajesz
event_wait : Interrupted system call (code=4)
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
|
| |
|
|
| djecstasy |
Dodano 06-01-2018 20:24
|
User
Posty: 23
Dołączył: 23/02/2015 09:13
|
Wydaje się być ok
Klient:
Serwer:
 |
| |
|
|
| khain |
Dodano 07-01-2018 08:06
|
Power User
Posty: 335
Dołączył: 25/07/2007 17:09
|
Nie stosuj TAPa do łączenia dwóch podsieci. Podsieć za serwerem i klientem musi mieć inną adresację.
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
|
| |
|
|
| djecstasy |
Dodano 07-01-2018 11:08
|
User
Posty: 23
Dołączył: 23/02/2015 09:13
|
Tylko jest jedno ale. OpenVPN postawiony na potrzeby multiroom nc+ wg:
https://openlinksys.info/forum/viewthread.php?thread_id=16352
Obawiam się że z dwoma podsieciami to nie zadziała...
poza tym:
Cytat OpenVPN może działać w jednym z dwóch trybów - routowania (tun) oraz w trybie mostkowania, czyli bridge (tap):
Tryb routowania - używany w przypadku konfiguracji typu brama + wielu klientów lub brama-brama. Przykładem wykorzystania tego trybu jest łączenie się z firmą pracowników zdalnych.
Tryb bridge - używany w przypadku łączenia kilku sieci. W tym przypadku między sieciami przekazywany jest cały ruch, łącznie z broadcastem (pakietami rozgłoszeniowymi), co może prowadzić do nadmiernego obciążenia tunelu VPN niepotrzebnym ruchem. Przykładem wykorzystania tego trybu jest połączenie pomiędzy oddziałem firmy a centralą.
a więc dzięki temu wszystkie urządzenia widzą się wzajemnie. |
| |
|
|
| khain |
Dodano 07-01-2018 12:32
|
Power User
Posty: 335
Dołączył: 25/07/2007 17:09
|
Tak, jeśli chcesz, żeby NC+ działał to musisz zastosować TAP, ale ja bym wydzielił osobny VLAN na NC+ i zastosował drugi serwer vpn dla pzostałych urządzeń w LAN. Tak czy inaczej podawanie
przy TAPie nie ma sensu tak samo jak stosowanie "Manage client Specific Options" (na dodatek nadal błędnie podajesz tam adresy hostów zamiast podsieci).
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
|
| |
|
|
| djecstasy |
Dodano 08-01-2018 17:01
|
User
Posty: 23
Dołączył: 23/02/2015 09:13
|
Czyli mam rozumieć że na TAPie i na na jednej adresacji nie ma możliwości aby działało przekierowanie portów? |
| |
|
|
| khain |
Dodano 08-01-2018 18:44
|
Power User
Posty: 335
Dołączył: 25/07/2007 17:09
|
Bedzie działac, tylko, ze nie ustawiasz tego w openvpn a w firewallu. Najpierw trzeba zestawić poprawnie tunel openvpn i zablokować przepływ pakietów DHCP pomiędzy klientem a serwerem (jeśli używa się TAPa).
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
|
| |
|
' target='_blank'>Link
