|
OpenVPN Tomato - nie działa
|
| radoart |
Dodano 11-11-2020 16:35
|
User
Posty: 30
Dołączył: 02/04/2008 10:56
|
Jade od paru lat na PPTP gdyż nigdy nie udąło mi się uruchomić OpenVPN, teraz p latach znowu spróbowałem bo wiecej pracuje z domu niż wcześniej, i dalej to samo, kompletnie nic się nie zmieniło OpenVPN pod Windowsem sypie błędami że masakra. Zongluje komiplacjami tomato i openvpn pod windows i tylko zmeiniają się errory na inne.
Próbuje generowac certy na tomato potem generuje pliki i przenosze do openvpn na windows, efekt, error, że certyfikat wygasł.
Próbuję generować certy na kliencie windowsowym, nie działa polecenie "build-ca" dostaję komunikat: "openssl is not recognized as an internal or external command, operable program or batch file"
U gościa na filmie oczywiście działa: https://www.youtube.com/watch?v=14-lGVcKBNA&t=739s
Czy jest na forum ktoś komu udąło się to uruchomic i mógłby pomóc? |
| |
|
|
| pedro |
Dodano 11-11-2020 19:05
|
Moderator
Posty: 1001
Dołączył: 21/09/2015 15:03
|
Radzę zmienić temat wątku na coś podobnego do "Nie potrafię uruchomić OpenVPN pod tomato".
Bo w tej chwili sugeruje on, że jest coś skopane we FreshTomato (mogę się tylko domyślać w jakiej wersji, bo po co napisać...), a nie jest, o czym świadczą setki osób używających w/w. w tym ja.
Netowski 1Gb/1Gb
Huawei E3372s-153 non-hilink + 2x15dBi MIMO
FreshTomato: Asus RT-AC3200 + RT-N18U + RT-N66U + RT-N12
|
| |
|
|
| rako28 |
Dodano 11-11-2020 19:23
|
User
Posty: 85
Dołączył: 04/02/2014 19:41
|
Ja przy tworzeniu certyfikatów podpieralem się tym tutorialem.
Udało się działa w trybie tap,nawet telefon idzie podłączyć jako klienta.Na kompie też działa ok.Nie pamiętam teraz jaka wersję tomato mam teraz chyba FreshTomato Firmware 2019.3.220 -beta K26ARM USB AIO-64K.
[Asus Tuf ax3000v2 ofv
Asus ax56u Merlin
Netgear WNR3500L v2 Freshtomato
Netgear R8000
|
| |
|
|
| radoart |
Dodano 12-11-2020 20:02
|
User
Posty: 30
Dołączył: 02/04/2008 10:56
|
Chętnie bym zmienił temat ale nie wiem jak.
Obecna wersja tomato to: 2020.7 MIPSR2 K26AC USB AIO-64K
WinOpenVPN to 2.5.0.
Pytanie podstawowe to czy w obecnych najnowszysch wersjach oprogramowania certy generuje sie w tomato czy na windowsie? |
| |
|
|
| gorus1 |
Dodano 12-11-2020 20:19
|
Power User
Posty: 208
Dołączył: 13/08/2011 02:22
|
Od blisko 10 lat mam na kilku routerach z tomato ustawione klienty opevpn i wszystko działa jak należy.
Poniżej przykładowy config dla klienta
client
remote IP.ADRE.SS 1194
dev tun
proto udp
status current_status
resolv-retry infinite
ns-cert-type server
topology subnet
verb 3
cipher AES-256-CBC
ca ca.crt
cert client1.crt
key client1.key
tls-auth ta.key 1
nobind
persist-key
persist-tun
comp-lzo
a serwer openvpn działa na ubuntu serwer 18.04
podobnie jak tu https://www.digitalocean.com/community/tutorials/how-to-set-up-an-openvpn-server-on-ubuntu-18-04
natomiast jego config wygląda tak
mode server
local ip.se.rwera
port 1194
proto udp
tls-server
ifconfig 10.8.0.1 255.255.255.0
topology subnet
client-config-dir /etc/openvpn/ccd
client-to-client
cipher AES-256-CBC
dev tun
keepalive 25 180
status /var/run/openvpn_status
verb 3
dh /etc/openvpn/dh1024.pem
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
tls-auth /etc/openvpn/ta.key 0
persist-key
persist-tun
comp-lzo
push "topology subnet"
push "route-gateway 10.8.0.1"
route 192.168.2.0 255.255.255.0 10.8.0.2
route 192.168.3.0 255.255.255.0 10.8.0.3
route 192.168.4.0 255.255.255.0 10.8.0.4
gdyby taki config udało Ci się wyklikać w tomato to nie może nie działać.
Jeszcze jedno - jak widać w configu serwera - wszystkie ustawienia dla klientów takie jak ip, routing itp. są pobierane z serwera z katalogu /openvpn/ccd
Prykładowy config wygląda następująco
ifconfig-push 10.8.0.2 255.255.255.0
iroute 192.168.2 255.255.255.0
push "route 192.168.3.0 255.255.255.0 10.8.0.1"
push "route 192.168.4.0 255.255.255.0 10.8.0.1"
jak to ustawisz to nie ma wała, aby nie działało (oczywiście jeżeli firewall jest odpowiednio skonfigurowany). |
| |
|
|
| amikot |
Dodano 12-11-2020 20:55
|
Power User
Posty: 298
Dołączył: 14/12/2018 18:24
|
Certy możesz sobie generować gdzie chcesz - ważne żeby odpowiednie certy wkleić w odpowiednie miejsca w ustawieniach.
ZTE MF286D - Stock Firmware (Vodafone UK)
ASUS TUF-AX3000 V2 - AsusWRT/FreshTomato 3.0.0.4.2023_4-gb6923ed
Acer Aspire E1-571 - OMV 6
|
| |
|
|
| gorus1 |
Dodano 13-11-2020 09:12
|
Power User
Posty: 208
Dołączył: 13/08/2011 02:22
|
No właśnie z tym miewałem nie raz problemy - czy mógłbyś napisać które certy gdzie przekopiować, aby móc wygenerować certy dla kolejnych klientów z zachowaniem certyfikatu serwera? |
| |
|
|
| Gomi |
Dodano 13-11-2020 14:30
|
User
Posty: 89
Dołączył: 27/07/2010 15:10
|
@radoart próbowałeś z mojego starego tematu - https://openlinksys.info/forum/viewthread.php?thread_id=20423 ?
Powinno działać, mimo że pisałem to kilka lat temu. |
| |
|
|
| tombono |
Dodano 13-11-2020 19:14
|
User
Posty: 13
Dołączył: 13/09/2018 18:20
|
Posiadam router rt-n16 z freshtomato 2020.6
Zauważyłem, że jak np. mam brak prądu to open VPN serwer nie startuje automatycznie - muszę zalogować się do routera i nacisnąć przycisk start now.
Zaznaczam, że jak nacisnę przycisk start now to zawsze jeszcze klikam save - ale po kolejnym braku prądu mam ten sam problem.
Czy jest jakieś inne rozwiązanie lub jakiś skrypt który by to sprawdzał i w razie W uruchamiał?
Z góry dziękuję za pomoc. |
| |
|
|
| amikot |
Dodano 13-11-2020 22:00
|
Power User
Posty: 298
Dołączył: 14/12/2018 18:24
|
Tombono: możesz sobie ustawić watchdoga sprawdzającego co jakiś czas w harmonogramie czy VPN działa, albo komendę startującą w skryptach (WAN UP).
W obu przypadkach powinno działać:
if ! /bin/ps w | grep vpnclient1 | grep -v -e "grep"; then
service vpnclient1 restart
fi
Gorus1: No coś tu chyba albo ja nie rozumiem albo ty nie rozumiesz.
Przecież zestaw certyfikatów jest jeden dla każdego serwera. Wszyscy klienci danego serwera mają te same certyfikaty - Jeśli chcesz kontrolować dostęp dla użytkowników to do tego masz opcję loginu i hasła.
Jak już masz serwer ustawiony, to masz tam przycisk generowania konfigu dla klienta.
ZTE MF286D - Stock Firmware (Vodafone UK)
ASUS TUF-AX3000 V2 - AsusWRT/FreshTomato 3.0.0.4.2023_4-gb6923ed
Acer Aspire E1-571 - OMV 6
|
| |
|
|
| pedro |
Dodano 13-11-2020 23:51
|
Moderator
Posty: 1001
Dołączył: 21/09/2015 15:03
|
Cytat tombono napisał(a):
Posiadam router rt-n16 z freshtomato 2020.6
Zauważyłem, że jak np. mam brak prądu to open VPN serwer nie startuje automatycznie - muszę zalogować się do routera i nacisnąć przycisk start now.
Zaznaczam, że jak nacisnę przycisk start now to zawsze jeszcze klikam save - ale po kolejnym braku prądu mam ten sam problem.
Czy jest jakieś inne rozwiązanie lub jakiś skrypt który by to sprawdzał i w razie W uruchamiał?
Z góry dziękuję za pomoc.
Zaklikać "Start with WAN"
Netowski 1Gb/1Gb
Huawei E3372s-153 non-hilink + 2x15dBi MIMO
FreshTomato: Asus RT-AC3200 + RT-N18U + RT-N66U + RT-N12
|
| |
|
|
| tombono |
Dodano 14-11-2020 12:31
|
User
Posty: 13
Dołączył: 13/09/2018 18:20
|
@pedro i @amikot
Dzięki Panowie za pomoc - wszystko działa jak należy
Pozdrawiam |
| |
|
|
| gorus1 |
Dodano 14-11-2020 13:27
|
Power User
Posty: 208
Dołączył: 13/08/2011 02:22
|
amikot:
chodziło mi o to, aby móc generować certyfikaty dla kolejnych klientów openvpn w różnych miejscach (urządzeniach) bez wpływu na dotychczasowe ustawienia.
Aby to zrobić to chyba muszę przenieść certyfikaty serwera openvpn (ewentualnie ustawienia openssl), ale co i gdzie przenieść tego nie wiem, a załóżmy, że chciałbym od teraz generować certyfikaty na windows. |
| |
|
|
| amikot |
Dodano 14-11-2020 21:17
|
Power User
Posty: 298
Dołączył: 14/12/2018 18:24
|
Jak odpalałem serwer OVPN na ubuntu to nie miałem takich problemów. Na tomato nie próbowałem ale wydaje mi się, że webUI tomato nie pozwala skonfigurować serwera aby korzystał z kluczy klientów.
Wygląda na to, że serwer postawiony na tomato pozwala jedynie na logowanie jedynie z certyfikatem serwera i ewentualnie za pomocą loginu/hasła (które można ustawić w zakładce Advanced po zaptaszkowaniu odpowiedniej opcji).
Klient OVPN w tomato oczywiście ma opcję użycia klucza, ale to jest inna bajka.
Przypuszczam, ze gdyby konfigurować serwer z linii poleceń to możnaby też jakoś ominąć ograniczenia WebUI - no chyba że problemem jest pojemność NVRAM (zestaw certyfikatów samego serwera zajmuje pokaźną część NVRAM, a co dopiero certyfikaty klientów których może być przecież więcej).
Możliwe, że problem można ominąć za pomocą wersji OpenVPN z entware - ten ustawienia zapisuje zapewne na dysku /opt/ czyli może być na jakimś pendrive.
Zawsze opcją jest jakiś mikroPC z linuxem który by to ogarnął a router zostawić temu co robi najlepiej  .
ZTE MF286D - Stock Firmware (Vodafone UK)
ASUS TUF-AX3000 V2 - AsusWRT/FreshTomato 3.0.0.4.2023_4-gb6923ed
Acer Aspire E1-571 - OMV 6
|
| |
|
|
| gorus1 |
Dodano 15-11-2020 20:32
|
Power User
Posty: 208
Dołączył: 13/08/2011 02:22
|
Całkowicie nie o to mi chodziło.
Załóżmy, że przenoszę serwer openvpn na inną maszynę (np. inny vps także z ubuntu server 18.04).
Samo przeniesienie openvpn jest dość proste i nie jest wymagana żadna filozowia.
Problem pojawia się wtedy, kiedy chcę na na nowym serwerze wygenerować certyfikaty dla nowego klienta przy zachowaniu dotychczasowych certyfikatów openvpn serwera i pozostałych klientów.
Aby to zrobić to na pewno muszę przenieść certyfikaty serwera, ale do jakiego katalogu tego nie wiem, tak samo nie wiem czy przypadkiem nie trzeba przenieść ustawień openssl i liczyłem na podpowiedź w tym zakresie. |
| |
|
|
| khain |
Dodano 16-11-2020 10:52
|
Power User
Posty: 335
Dołączył: 25/07/2007 17:09
|
Zainstaluj openssl i easy-rsa
Skopiuj ca.crt do /etc/easy-rsa/pki
Skopiuj ca.key do /etc/easy-rsa/pki/private
Sprawdź czy wszystkie ścieżki w pliku /etc/easy-rsa/openssl.cnf się zgadzają.
Utwórz wymagane katalogi
Skopiuj pliki index.txt i serial do /etc/easy-rsa/pki/keys/
Jeśli ich nie masz to wykonaj:
touch /etc/easy-rsa/pki/keys/index.txt
echo 00 > /etc/easy-rsa/pki/keys/serial
Wykonaj poniższe polecenia jeśli chcesz wygenerować certy dla nowego użytkownika
cd /etc/easy-rsa/
openssl req -nodes -config openssl.cnf -newkey rsa:2048 -days 3650 -keyout userkey.pem -out usercert.req
openssl ca -config openssl.cnf -out usercert.pem -keyfile ./pki/private/cakey.pem -infiles usercert.req
Jeśli krzyczy błędami to znaczy, że pliki są w nieodpowiednich katalogach albo nie ma tych katalogów. |
| |
|
|
| gorus1 |
Dodano 26-11-2020 16:10
|
Power User
Posty: 208
Dołączył: 13/08/2011 02:22
|
Duże dzięki khain - właśnie o to mi chodziło.
Pozdr |
| |
|
|
| qwerty321 |
Dodano 20-01-2021 06:57
|
Super User
Posty: 571
Dołączył: 27/04/2014 18:11
|
Cytat radoart napisał(a):
Pytanie podstawowe to czy w obecnych najnowszysch wersjach oprogramowania certy generuje sie w tomato czy na windowsie?
W nowym OpenVPN pod windows uprościli teraz generowanie kluczy. Masz tam EasyRSA shell EasyRSA-Start.bat specjalnie do generowania kluczy. Tam jest readme, to bardzo proste narzędzie. Na pewno ma lepszy generator liczb losowych. |
| |
|
' target='_blank'>Link
