|
Połączenie dwóch sieci OpenVPN z obustronnym dostępem do urządzeń
|
| Theo16 |
Dodano 06-06-2023 13:27
|
User
Posty: 42
Dołączył: 27/12/2011 09:31
|
Potrzebuję pomocy przy konfiguracji połączenia VPN. Próbuję spiąć ze sobą dwie sieci tak aby był dostęp do urządzeń w sieciach LAN. Konfiguracja urządzeń wygląda tak:
- Sieć z publicznym IP: główny router RT-AX55 192.168.1.1 (LAN), jako AP działa RT-N18U (192.168.1.2) na tomato i tu najlepiej jakby działał serwer OpenVPN bo mam wrażenie że oryginalny soft Asusa ma mocno ograniczone możliwości konfiguracji.
- Sieć bez publicznego IP: Modem B535-232 192.168.0.1 z przekierowanymi wszystkimi portami na główny router RN-N16 z tomato 192.168.0.2 (WAN). 192.168.2.0 (LAN).
Tak jak wspomniałem na początku chciałbym, aby sieć 192.168.1.0 miała dostęp do urządzeń 192.168.2.0 i vice versa. Próbowałem różnych poradników, ale na żadnym nie chciało mi to działać w obie strony. Będę wdzięczny za pomoc i wskazówki. |
| |
|
|
| hermes-80 |
Dodano 06-06-2023 13:44
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
Bo nie będzie działać to w konfiguracji AP ze względu na to, że OpenVPN jest tak ustawiony że uruchamia się z włączeniem portu WAN.
Druga sprawa - jakiej przepustowości oczekujesz po tunelu.
Trzecia - czy ma to działać w jednej domenie rozgłoszeniowej (tap) czy w trybie routingu (tun).
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| Theo16 |
Dodano 06-06-2023 14:29
|
User
Posty: 42
Dołączył: 27/12/2011 09:31
|
Serwer może stać na RT-AX55 jeżeli jest to warunek działania. Przepustowość na poziomie 20-30 Mbit w zupełności będzie wystarczająca. Czytałem, że TUN znacznie mniej obciąża procesor więc wolałbym iść w te stronę. |
| |
|
|
| dar3k |
Dodano 06-06-2023 15:08
|
Super User
Posty: 419
Dołączył: 29/11/2013 22:48
|
Jeżeli nie przeszkadza Ci wspólna adresacja w obu sieciach to ja u siebie mam dwie lokalizacje spięte tak:
https://openlinksys.info/forum/viewthread.php?thread_id=19009
Wszystko działa jakby było w jednej sieci - a statycznie wpisując bramę z drugiej lokalizacji można nawet wyjść na świat z tamtym adresem IP 
ER-12 + 4x UAP-AC-PRO
|
| |
|
|
| hermes-80 |
Dodano 06-06-2023 17:42
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
Na serwer wybiera sie silniejsze sprzetowo urządzenie. Na AP też jest możliwe uruchomienie tunelu ale wtedy już trzeba z palca dodawać odpowiednie komendy.
Postawienie tunelu przez GUI nie jest jakoś bardzo skompplikowane.
RT-AX55 jest na to Tomato?
Edytowany przez hermes-80 dnia 06-06-2023 17:53
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| Theo16 |
Dodano 06-06-2023 18:16
|
User
Posty: 42
Dołączył: 27/12/2011 09:31
|
dar3k spróbuję tą metodą, ale problemem może być, że serwer dhcp jest na innym urządzaniu niż serwer vpn.
hermes-80 Ciężko mi porównać RT-AX55 do RT-N18U gdyż są to raczej podstawowe urządzenia różniące się głównie obsługą różnych WiFi. Na RT-AX55 nie ma tomato ani merlin wrt. |
| |
|
|
| dar3k |
Dodano 06-06-2023 21:50
|
Super User
Posty: 419
Dołączył: 29/11/2013 22:48
|
Theo16 napisał: ↑ dar3k spróbuję tą metodą, ale problemem może być, że serwer dhcp jest na innym urządzaniu niż serwer vpn.
To też nie problem - tylko zablokuj w ebtables zapytania DHCP - bo inaczej będziesz miał w jednej sieci 2 serwery dhcp i adresy będzie Ci przydzielał losowo - który pierwszy odpowie (a ten przez vpn często będzie pierwszy).
ER-12 + 4x UAP-AC-PRO
|
| |
|
|
| Theo16 |
Dodano 07-06-2023 08:37
|
User
Posty: 42
Dołączył: 27/12/2011 09:31
|
dar3k napisał: ↑ Theo16 napisał: ↑ dar3k spróbuję tą metodą, ale problemem może być, że serwer dhcp jest na innym urządzaniu niż serwer vpn.
To też nie problem - tylko zablokuj w ebtables zapytania DHCP - bo inaczej będziesz miał w jednej sieci 2 serwery dhcp i adresy będzie Ci przydzielał losowo - który pierwszy odpowie (a ten przez vpn często będzie pierwszy).
Ustawienia tak jak na zdjęciach. Tunel połączony, ale nie mogę się dostać na urządzenia zarówno z jednej strony jak i z drugiej.
Theo16 załączono następujące plik:
Nie masz uprawnień, by zobaczyć załączniki w tym wątku.
|
| |
|
|
| dar3k |
Dodano 07-06-2023 08:49
|
Super User
Posty: 419
Dołączył: 29/11/2013 22:48
|
A jak masz ustawione IP ? Nie mają konfliktu (routery muszą mieć inne IP i inną pulę przydzielania dhcp np. jedna sieć 192.168.0.1 IP routera i DHCP 192.168.0.2-50, 192.168.0.51 drugi router i dhcp 192.168.0.52-100).
Dodatkowo dałbym Firewall: Automatic
ER-12 + 4x UAP-AC-PRO
|
| |
|
|
| Theo16 |
Dodano 07-06-2023 09:36
|
User
Posty: 42
Dołączył: 27/12/2011 09:31
|
Konfliktu nie ma jeden jest od 1 do 199 drugi od 201 do 250 obie w sieci 192.168.1.XXX. Sprawdzę popołudniu czy zmiana ustawień firewalla coś pomoże. |
| |
|
|
| hermes-80 |
Dodano 07-06-2023 11:06
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
Firewall na automatic
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| Theo16 |
Dodano 07-06-2023 21:11
|
User
Posty: 42
Dołączył: 27/12/2011 09:31
|
Przełączenie na automatic nic nie zmieniło. Log od momentu włączenia serwera po włączenie klienta:
- serwer
Jun 7 21:03:57 daemon notice openvpn-server1[5465] Closing TUN/TAP interface
Jun 7 21:03:57 daemon notice openvpn-server1[5465] SIGTERM[hard,init_instance] received, process exiting
Jun 7 21:03:57 kern info kernel br0: port 4(tap21) entering forwarding state
Jun 7 21:03:57 kern info kernel br0: port 4(tap21) entering forwarding state
Jun 7 21:03:57 kern info kernel br0: port 4(tap21) entering forwarding state
Jun 7 21:03:57 kern info kernel br0: port 4(tap21) entering forwarding state
Jun 7 21:03:57 kern info kernel br0: port 4(tap21) entering disabled state
Jun 7 21:04:03 kern info kernel device tap21 entered promiscuous mode
Jun 7 21:04:03 kern info kernel ADDRCONF(NETDEV_UP): tap21: link is not ready
Jun 7 21:04:03 daemon warn openvpn-server1[7405] DEPRECATED OPTION: The option --secret is deprecated.
Jun 7 21:04:03 daemon notice openvpn-server1[7405] DEPRECATION: No tls-client or tls-server option in configuration detected. OpenVPN 2.7 will remove the functionality to run a VPN without TLS. See the examples section in the manual page for examples of a similar quick setup with peer-fingerprint.
Jun 7 21:04:03 daemon notice openvpn-server1[7405] OpenVPN 2.6.1 arm-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD]
Jun 7 21:04:03 daemon notice openvpn-server1[7405] library versions: OpenSSL 1.1.1t 7 Feb 2023, LZO 2.10
Jun 7 21:04:03 daemon notice openvpn-server1[7406] TUN/TAP device tap21 opened
Jun 7 21:04:03 daemon notice openvpn-server1[7406] TUN/TAP TX queue length set to 1000
Jun 7 21:04:03 daemon warn openvpn-server1[7406] Could not determine IPv4/IPv6 protocol. Using AF_INET6
Jun 7 21:04:03 daemon notice openvpn-server1[7406] Socket Buffers: R=[87380->87380] S=[16384->16384]
Jun 7 21:04:03 daemon notice openvpn-server1[7406] setsockopt(IPV6_V6ONLY=0)
Jun 7 21:04:03 daemon notice openvpn-server1[7406] Listening for incoming TCP connection on [AF_INET6][undef]:1194
Jun 7 21:04:03 kern info kernel ADDRCONF(NETDEV_CHANGE): tap21: link becomes ready
Jun 7 21:04:03 kern info kernel br0: port 4(tap21) entering forwarding state
Jun 7 21:04:03 kern info kernel br0: port 4(tap21) entering forwarding state
-klient
Jun 7 21:04:30 unknown user.info kernel: device tap11 entered promiscuous mode
Jun 7 21:04:30 unknown user.info kernel: br0: port 3(tap11) entering forwarding state
Jun 7 21:04:31 unknown daemon.warn openvpn-client1[5536]: Cipher negotiation is disabled since neither P2MP client nor server mode is enabled
Jun 7 21:04:31 unknown daemon.notice openvpn-client1[5536]: OpenVPN 2.5.9 mipsel-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD]
Jun 7 21:04:31 unknown daemon.notice openvpn-client1[5536]: library versions: OpenSSL 1.1.1t 7 Feb 2023, LZO 2.10
Jun 7 21:04:31 unknown daemon.warn openvpn-client1[5538]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Jun 7 21:04:31 unknown daemon.warn openvpn-client1[5538]: WARNING: INSECURE cipher (BF-CBC) with block size less than 128 bit (64 bit). This allows attacks like SWEET32. Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC). Support for these insecure ciphers will be removed in OpenVPN 2.7.
Jun 7 21:04:31 unknown daemon.notice openvpn-client1[5538]: Outgoing Static Key Encryption: Cipher 'BF-CBC' initialized with 128 bit key
Jun 7 21:04:31 unknown daemon.warn openvpn-client1[5538]: WARNING: INSECURE cipher (BF-CBC) with block size less than 128 bit (64 bit). This allows attacks like SWEET32. Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC). Support for these insecure ciphers will be removed in OpenVPN 2.7.
Jun 7 21:04:31 unknown daemon.notice openvpn-client1[5538]: Outgoing Static Key Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication
Jun 7 21:04:31 unknown daemon.notice openvpn-client1[5538]: Incoming Static Key Encryption: Cipher 'BF-CBC' initialized with 128 bit key
Jun 7 21:04:31 unknown daemon.warn openvpn-client1[5538]: WARNING: INSECURE cipher (BF-CBC) with block size less than 128 bit (64 bit). This allows attacks like SWEET32. Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC). Support for these insecure ciphers will be removed in OpenVPN 2.7.
Jun 7 21:04:31 unknown daemon.notice openvpn-client1[5538]: Incoming Static Key Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication
Jun 7 21:04:31 unknown daemon.notice openvpn-client1[5538]: TUN/TAP device tap11 opened
Jun 7 21:04:31 unknown daemon.notice openvpn-client1[5538]: TUN/TAP TX queue length set to 1000
Jun 7 21:04:31 unknown daemon.notice openvpn-client1[5538]: /usr/sbin/ip link set dev tap11 up mtu 1500
Jun 7 21:04:31 unknown daemon.notice openvpn-client1[5538]: /usr/sbin/ip link set dev tap11 up
Jun 7 21:04:31 unknown daemon.notice openvpn-client1[5538]: /usr/sbin/ip addr add dev tap11 10.8.0.2/24
Jun 7 21:04:31 unknown daemon.notice openvpn-client1[5538]: updown-client.sh tap11 1500 1590 10.8.0.2 255.255.255.0 init
Jun 7 21:04:31 unknown daemon.notice openvpn-client1[5538]: TCP/UDP: Preserving recently used remote address: [AF_INET]XXX.XXX.XXX.XXX:1194
Jun 7 21:04:31 unknown daemon.notice openvpn-client1[5538]: Socket Buffers: R=[87380->87380] S=[16384->16384]
Jun 7 21:04:31 unknown daemon.notice openvpn-client1[5538]: Attempting to establish TCP connection with [AF_INET]XXX.XXX.XXX.XXX:1194 [nonblock]
Jun 7 21:04:31 unknown daemon.notice openvpn-client1[5538]: TCP connection established with [AF_INET]XXX.XXX.XXX.XXX:1194
Jun 7 21:04:31 unknown daemon.notice openvpn-client1[5538]: TCP_CLIENT link local: (not bound)
Jun 7 21:04:31 unknown daemon.notice openvpn-client1[5538]: TCP_CLIENT link remote: [AF_INET]XXX.XXX.XXX.XXX:1194
Jun 7 21:04:31 unknown daemon.err openvpn-client1[5538]: Authenticate/Decrypt packet error: cipher final failed
Jun 7 21:04:31 unknown daemon.err openvpn-client1[5538]: Fatal decryption error (process_incoming_link), restarting
Jun 7 21:04:31 unknown daemon.notice openvpn-client1[5538]: SIGUSR1[soft,decryption-error] received, process restarting
Jun 7 21:04:31 unknown daemon.notice openvpn-client1[5538]: Restart pause, 5 second(s)
Jun 7 21:04:36 unknown daemon.warn openvpn-client1[5538]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Jun 7 21:04:36 unknown daemon.notice openvpn-client1[5538]: Re-using pre-shared static key
Jun 7 21:04:36 unknown daemon.notice openvpn-client1[5538]: Preserving previous TUN/TAP instance: tap11
Jun 7 21:04:36 unknown daemon.notice openvpn-client1[5538]: TCP/UDP: Preserving recently used remote address: [AF_INET]XXX.XXX.XXX.XXX:1194
Jun 7 21:04:36 unknown daemon.notice openvpn-client1[5538]: Socket Buffers: R=[87380->87380] S=[16384->16384]
Jun 7 21:04:36 unknown daemon.notice openvpn-client1[5538]: Attempting to establish TCP connection with [AF_INET]XXX.XXX.XXX.XXX:1194 [nonblock]
Jun 7 21:04:36 unknown daemon.notice openvpn-client1[5538]: TCP connection established with [AF_INET]XXX.XXX.XXX.XXX:1194
Jun 7 21:04:36 unknown daemon.notice openvpn-client1[5538]: TCP_CLIENT link local: (not bound)
Jun 7 21:04:36 unknown daemon.notice openvpn-client1[5538]: TCP_CLIENT link remote: [AF_INET]XXX.XXX.XXX.XXX:1194
Jun 7 21:04:37 unknown daemon.err openvpn-client1[5538]: Authenticate/Decrypt packet error: cipher final failed
Jun 7 21:04:37 unknown daemon.err openvpn-client1[5538]: Fatal decryption error (process_incoming_link), restarting
Jun 7 21:04:37 unknown daemon.notice openvpn-client1[5538]: SIGUSR1[soft,decryption-error] received, process restarting
Jun 7 21:04:37 unknown daemon.notice openvpn-client1[5538]: Restart pause, 5 second(s)
Jun 7 21:04:42 unknown daemon.warn openvpn-client1[5538]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
|
| |
|
|
| hermes-80 |
Dodano 08-06-2023 15:53
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
Szyfrowanie z domyślnego zmień na AES-256-CBC
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| Theo16 |
Dodano 09-06-2023 09:36
|
User
Posty: 42
Dołączył: 27/12/2011 09:31
|
Dziękuje wszystkim za pomoc. Po zresetowaniu urządzeń do ustawień fabrycznych oraz ustawieniu serwera i klienta od nowa zgodnie z instrukcjami od dar3k oraz radami od hermes-80 połączenie działa prawidłowo. Potrzebuję jeszcze informacji co i gdzie dopisać, aby będąc za serwerem móc się dostać na modem B535-232 192.168.0.1 dający Internet klientowi. W kliencie w basic->network mam ustawiony Route Modem IP. |
| |
|
|
| dar3k |
Dodano 10-06-2023 21:30
|
Super User
Posty: 419
Dołączył: 29/11/2013 22:48
|
A ustawiając z ręki jako bramę adres drugiego routera (tego za serwerem vpn, do którego ten modem jest wpięty jako WAN fizycznie) możesz się dostać na ten modem?
ER-12 + 4x UAP-AC-PRO
|
| |
|
|
| Theo16 |
Dodano 13-06-2023 20:35
|
User
Posty: 42
Dołączył: 27/12/2011 09:31
|
Router po stronie klienta jest ustawiony tak jak widać na załączniku i w tej sieci mam dostęp do modemu na 192.168.0.1. Chciałbym mieć jeszcze dostęp do niego będąc podłączony do sieci po stronie serwera.
Theo16 załączono następujące plik:
Nie masz uprawnień, by zobaczyć załączniki w tym wątku.
|
| |
|
|
| dar3k |
Dodano 15-06-2023 10:46
|
Super User
Posty: 419
Dołączył: 29/11/2013 22:48
|
Wpisz ręcznie w ustawienia karty sieciowej bramę na ten router, gdzie chcesz się do modemu dostać i zobacz czy widzisz ten modem - problem jest taki, że po VPN nie zrobisz routingu dwóch sieci, a jak odpowiada Ci po zmianie bramy to może rozwiąże Twój problem
ER-12 + 4x UAP-AC-PRO
|
| |
|
|
| Theo16 |
Dodano 16-06-2023 07:53
|
User
Posty: 42
Dołączył: 27/12/2011 09:31
|
Właśnie myślałem, że można ustawić jakiś routing na stałe, bo ręczna zmiana bramy jest męczące zwłaszcza jak potrzebowałbym się dostać np. z telefonu. |
| |
|
|
| hermes-80 |
Dodano 16-06-2023 11:59
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
Dodajesz trasę na serwerze openvpn w custom config - route 192.168.0.0
Przy twoich potrzebach skonfigurował bym OVPN jako tun. Poza tym dodał bym parametry wskazane przez shbbiego: https://openlinksys.info/forum/viewth...ost_179893 by troszkę przepustowość zwiększyć.
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
' target='_blank'>Link
