|
[Tutorial] Jak szybko i 'zdrowo' zrobić tunel VPN
|
| Bartko |
Dodano 12-03-2010 21:48
|
User
Posty: 56
Dołączył: 20/03/2008 23:14
|
Wiele osób potrzebuje mieć dostęp do zasobów swojej sieci z różnych miejsc. Niestety przekierowania portów nie zawsze wystarczają a często też są po prostu mało bezpieczne. VPN to wirtualny tunel, który prowadzi do Twojej sieci LAN. Tunel VPN okazuje się być całkiem dobrym i bezpiecznym rozwiązaniem. Z pomocą przychodzi Tomato z wbudowanym OpenVPN. Można pobrać z działu download lub stąd: http://tomato.groov.pl/ND-VPN/
Moja konfiguracja jest najprostszą z możliwych przez co ogranicza połączenie do jednego komputera.
Co i jak na komputerze z Windows XP:
Ściągamy i instalujemy OpenVPN na naszym komputerze. Podczas instalacji klikamy dalej, dalej, dalej, next, next itp itd. Zwykła standardowa instalacja bez żadnych zmian.
Podczas instalacji wyskoczy powiadomienie o sprzęcie niepodpisanym czy jakoś tak. Klimamy "Mimo to kontynuuj".
Teraz klikamy na Cytat Start>Programy>OpenVPN>Utilities>Generate a static OpenVPN key
Program potwierdzi nam utworzenie klucza w pliku tekstowym key.txt
Przechodzimy do Cytat C:\Program Files\OpenVPN\config
i kopiujemy całą zawartość pliku
UWAGA! Kopiujemy całość! To ważne! Ja na początku kopiowałem bez -----BEGIN OpenVPN Static key V1----- i dziwiłem się dlaczego nie działa. ;-) Po prostu zaznaczamy całość i kopiujemy.
No! [-:
Teraz klikamy dwa razy na plik znajdujący się w folderze Cytat C:\Program Files\OpenVPN\sample-config
Kasujemy całą jego zawartość i wklejamy do niego:
remote adres.naszego.routera.pl
dev tun
proto tcp-client
comp-lzo adaptive
keepalive 15 60
ifconfig 10.8.0.2 10.8.0.1
secret 'C:\Program Files\OpenVPN\config\key.txt'
route 192.168.1.0 255.255.255.0
persist-key
persist-tun
nobind
redirect-gateway
dhcp-option DNS 192.168.1.1
Uwaga! 192.168.1.1 jest IP routera. Jeżeli Twój router ma inne IP, należy wpisać IP Twojego routera zamiast 192.168.1.1 oraz odpowiednio zmienić linijkę route
W linijce remote jest adres naszego routera widziany z zewnątrz sieci. Może on być w formie domenowej lub IP
Zapisujemy i kopiujemy cały plik do folderu Cytat C:\Program Files\OpenVPN\config
Teraz klikamy dwa razy na ikonkę, która pojawiła się na pulpicie po instalacji. (OpenVPN GUI)
Powinna pojawić się koło zegarka w prawym dolnym rogu.
Co i jak na routerze:
Kwestię instalacji Tomato pominę, ponieważ w dziale Artykuły można znaleźć świetny poradnik autorstwa Robsona. Polecam!
Logujemy się na router przez przeglądarkę internetową i wchodzimy po lewej w menu i ustawiamy:
uruchom z routerem- [color=red]zaznaczamy[/color]
typ interfejsu: [color=red]TUN[/color]
protokół: [color=red]TCP[/color]
port: [color=red]1194[/color]
firewall: [color=red]automatyczny[/color]
tryb autoryzacji: [color=red]klucz statyczny[/color]
lokalne/zdalne adresy: [color=red]10.8.0.1[/color] oraz [color=red]10.8.0.2[/color]
W zakładce Zaawansowane można zaznaczyć "Odpowiedz na dns". Kompresja adaptacyjna.
W zakładce klucze wklejamy zawartość pliku
Klikamy na Zapisz a po chwili na Uruchom teraz.
Teraz prawoklik na wspomnianą ikonkę obok zegarka i Connect.
Powinno połączyć i możemy się cieszyć dostępem do naszej sieci z dowolnego miejsca na świecie. :-]
Ja czasem używam tego do drukowania na domowej drukarce, a nawet jako www proxy. Jak ktoś ma dysk sieciowy i jest on dostępny tylko wewnątrz sieci lokalnej to może się bezpiecznie z nim łączyć w ten sposób. Zastosowań jest wiele...
Enjoy!
Edytowany przez Bartko dnia 12-03-2010 22:04
|
| |
|
|
| shibby |
Dodano 13-03-2010 10:41
|
SysOp
Posty: 17109
Dołączył: 15/01/2009 20:30
|
static.key mozna tez wygenerowac na tomato.
Cytat cd /tmp
openvpn --genkey --secret static.key
cat static.key
i gotowe 
Warto tez dodac ze ww rozwiazanie pozwala na polaczenie p-t-p czyli punkt-do-punktu. Jedna osoba na raz moze sie polaczyc przy uzyciu static.key.
Malo kto tez wie ze vpn z uzyciem static.key swietnie sprawdza sie jako bridge Czyli mozna polaczyc z soba dwie sieci tak by wzajemnie sie widzialy B)
Edytowany przez shibby dnia 13-03-2010 10:43
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology SA6400
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
|
| |
|
|
| Jacq |
Dodano 15-03-2010 20:23
|
User
Posty: 11
Dołączył: 15/03/2010 19:38
|
Czy na tomato powinien się wyświetlać stan serwera?
Posiadam router WRT54GL
Edytowany przez Jacq dnia 15-03-2010 20:56
|
| |
|
|
| Bartko |
Dodano 18-03-2010 20:11
|
User
Posty: 56
Dołączył: 20/03/2008 23:14
|
Tak, powinien. U mnie się wyświetla. Ale miałem problemy z tym i dopiero po takiej konfiguracji zadziałało wszystko jak trzeba. |
| |
|
|
| edoos |
Dodano 18-03-2010 20:56
|
User
Posty: 123
Dołączył: 20/12/2009 00:29
|
Witam
Jak mam wersje ja z podpisu ext to musze vpn doinstalowac recznie czy poprostu zrobic nakladke ??
Potrzebuje sie tylko zostac z zewnatrz do dysu w routerze do ssh i czasem dodac jaies torty, ip mam zewnetrzne ale dynamiczne ( kablowka przez modem motoroli) |
| |
|
|
| shibby |
Dodano 19-03-2010 08:08
|
SysOp
Posty: 17109
Dołączył: 15/01/2009 20:30
|
problem z ip rozwiazujesz dyndnsem.
wersja ext nie ma w sobie vpn wiec albo instalujesz tomato vpn lub mozesz doinstalowac openvpn z optware i recznie go skonfigurowac.
Opis jak to zrobic (tyle ze w bardziej rozbudowanej wersji bo serwer-wielu_klientow a nie tak jak tu punkt-punkt) masz w wiki-tomato. Ale nic nie stoi na przeszkodzie by zamiast tworzyc centrum audytorskie i generowac certyfikaty wygenerowac sam secret..key i zestawic polaczenie punkt-punkt. To bulka z bananem 
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology SA6400
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
|
| |
|
|
| edoos |
Dodano 19-03-2010 10:06
|
User
Posty: 123
Dołączył: 20/12/2009 00:29
|
Dzieki ADAŚ ;P |
| |
|
|
| shibby |
Dodano 19-03-2010 10:23
|
SysOp
Posty: 17109
Dołączył: 15/01/2009 20:30
|
Cytat edoos napisał/a:
Dzieki ADAŚ ;P
??
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology SA6400
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
|
| |
|
|
| tomik67 |
Dodano 04-07-2010 23:55
|
User
Posty: 100
Dołączył: 02/04/2006 21:50
|
Cytat shibby napisał/a:
Malo kto tez wie ze vpn z uzyciem static.key swietnie sprawdza sie jako bridge Czyli mozna polaczyc z soba dwie sieci tak by wzajemnie sie widzialy B)
Witaj Shibby,czy istnieje tutorial pokazujący jak połączyć ze sobą dwie sieci?.
Chciałbym właśnie to uczynić,rozumiem że należy zainstalować w obydwu lokalizacjach Tomato VPN,wygenerować klucz,ale co należy wpisać w tablicach routingu?.
Sieć w pierwszej lokalizacji będzie miała statyczne IP publiczne,wewnątrz podsieć 10.0.0.0 , w drugiej lokalizacji także IP publiczne,zmienne,a podsieć wewnątrz 192.168.0.0
Czy mógłbym liczyć na wskazówki?.
R7000
Tomato Firmware 1.28.0000 -137 K26ARM USB AIO-64K
|
| |
|
|
| Darko_P |
Dodano 29-10-2010 12:38
|
User
Posty: 56
Dołączył: 12/10/2007 09:57
|
Skonfigurowałem vpn wg pierwszego postu. Łączy się z routerm. Mogę pingować na adres routera 192.168.1.1
Ale nie mogę pingować na inne adresy w sieci i nie mogę dostać się na udostępnione zasoby na innym komputerze.
Serwer przydziela adresy od 110 do 140 a do 109 są adresy stałe.
I na przykład na adresie 192.168.1.101 jest urządzenie które też nie odpowiada.
Czy tak działa ten openvpn, że widzę tylko router i to co router udostępnia, czy mogę dostać się też do komputerów wewnątrz sieci??
zainstalowane mam Tomato Firmware v1.28.9051 MIPSR1-beta22 K26 USB vpn3.6
W sumie wystarczyłoby mi, żeby można było przeglądać zawartość urządzenia na adresie 192.168.1.101 jest możliwość jakoś to skonfigurować??
Edytowany przez Darko_P dnia 29-10-2010 14:01
|
| |
|
|
| Darko_P |
Dodano 29-10-2010 17:34
|
User
Posty: 56
Dołączył: 12/10/2007 09:57
|
Czy ktoś mi podpowie jak użyć to w moim przypadku?
Expanding the scope of the VPN to include additional machines on either the client or server subnet.
Including multiple machines on the server side when using a routed VPN (dev tun)
Once the VPN is operational in a point-to-point capacity between client and server, it may be desirable to expand the scope of the VPN so that clients can reach multiple machines on the server network, rather than only the server machine itself.
For the purpose of this example, we will assume that the server-side LAN uses a subnet of 10.66.0.0/24 and the VPN IP address pool uses 10.8.0.0/24 as cited in the server directive in the OpenVPN server configuration file.
First, you must advertise the 10.66.0.0/24 subnet to VPN clients as being accessible through the VPN. This can easily be done with the following server-side config file directive:
push "route 10.66.0.0 255.255.255.0"
Next, you must set up a route on the server-side LAN gateway to route the VPN client subnet (10.8.0.0/24) to the OpenVPN server (this is only necessary if the OpenVPN server and the LAN gateway are different machines).
Make sure that you've enabled IP and TUN/TAP forwarding on the OpenVPN server machine
Ewentualnie jak ustawić vpn, żeby nie łączył się z adresem routera 192.168.1.1 tylko z adresem wewnątrz sieci 192.168.1.101 |
| |
|
|
| darecki_M |
Dodano 31-10-2010 15:04
|
User
Posty: 44
Dołączył: 19/10/2010 19:23
|
witam!
odpowie mi ktoś dlaczego po zestawieniu tunela pingować mogę tylko z routera klienta adresy 10.0.0.1 (poczatek tunelu) i 192.168.1.102 (adres kompa na którym jest openvpn).Pytanie moje dlaczego z kompa za routerem u klienta nie mogę pingować wdześniej podanych ip.
dodałem już takie wpisy do firewalla
iptables -t filter -A FORWARD -i tun0 -s 10.0.0.0/24 -d 172.168.15.240 -j ACCEPT
iptables -t filter -A FORWARD -o tun0 -s 172.168.15.240 -d 10.0.0.0/24 -j ACCEPT
iptables -t nat -I POSTROUTING -i tun0 -s 10.0.0.0/24 -d 172.168.15.240 -j MASQUERADE
iptables -t nat -I POSTROUTING -o tun0 -s 172.168.15.240 -d 10.0.0.0/24 -j MASQUERADE
i dupa dalej brak możliwości pingowania sieci od strony serwera.
172.168.15.240 -to komp który ma mieć dostęp do vpn,nawet nie musi mieć dostępu do internetu.
|
| |
|
|
| BK |
Dodano 14-09-2013 20:01
|
User
Posty: 55
Dołączył: 07/01/2007 22:34
|
Aby to działało komputer i router muszą mieć IP z innych puli. Chodzi o to, że jak router ma po LAN przykładowo 192.168.1.1/255 to nasz komputer nie może mieć IP z tego zakresu. Komputer musi mieć IP np z puli 10.0.0.1/255. Dlatego ogólnie warto sobie na routerze ustawić jakąś rzadko spotykają pulę adresów (przykładowo 192.168.168.1/255).
Jeżeli komputer ma IP zewnętrzne to nie ma problemu żadnego.
Jak to sprawdzić w Windowsie? Porównaj IP z tej strony: http://ip.wp.pl/ z IP, które wyświetla komenda wiersza poleceń ipconfig ( Start>uruchom>cmd>ipconfig ). Jeśli są takie same to znaczy, że masz IP zewnętrzne.
Edytowany przez BK dnia 14-09-2013 20:12
|
| |
|
|
| joseph |
Dodano 17-11-2013 12:01
|
Power User
Posty: 210
Dołączył: 16/11/2012 13:36
|
Witam
zrobiłem wszystko jak napisał Bartko lecz mam jakiś problem,
Teoretycznie wszystko ładnie się połączyło ale nie mam dostępu do zasobu sieciowego ani do routera poprzez 192.168.1.1.
Zauważyłem że w OpenVpn status są jakieś błędy:
Sun Nov 17 11:58:36 2013 ERROR: Windows route add command failed [adaptive]: returned error code 1
Sun Nov 17 11:58:36 2013 ROUTE: route deletion failed using DeleteIpForwardEntry: Odmowa dostępu.
˝Ądana operacja wymaga podniesienia uprawnieä.
Sun Nov 17 11:58:36 2013 ERROR: Windows route delete command failed [adaptive]: returned error code 1
Sun Nov 17 11:58:36 2013 ROUTE: route addition failed using CreateIpForwardEntry: Odmowa dostępu. [status=5 if_index=42]
˝Ądana operacja wymaga podniesienia uprawnieä.
Sun Nov 17 11:58:36 2013 ERROR: Windows route add command failed [adaptive]: returned error code 1
Sun Nov 17 11:58:36 2013 ROUTE: route addition failed using CreateIpForwardEntry: Odmowa dostępu. [status=5 if_index=42]
˝Ądana operacja wymaga podniesienia uprawnieä.
Sun Nov 17 11:58:36 2013 ERROR: Windows route add command failed [adaptive]: returned error code 1
Sun Nov 17 11:58:36 2013 Initialization Sequence Completed
Czy ktoś wie o co chodzi?
Bardzo proszę o pomoc |
| |
|
|
| hermes-80 |
Dodano 17-11-2013 12:05
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
Zestaw tunel na kącie administratora na PC.
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| joseph |
Dodano 17-11-2013 12:07
|
Power User
Posty: 210
Dołączył: 16/11/2012 13:36
|
Dzięki hermes-80 zawsze można na Ciebie liczyć
mam jedno konto z uprawnieniami administratora |
| |
|
|
| hermes-80 |
Dodano 17-11-2013 12:21
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
Nie pomyliłeś się z jakimś wpisem w plik konfiguracyjny klienta - z logów wynika, że jakaś komenda wymaga podniesionych uprawnień na PC lub jest błędna.
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| joseph |
Dodano 17-11-2013 12:43
|
Power User
Posty: 210
Dołączył: 16/11/2012 13:36
|
Zmieniłem we właściwościach OpenVPN GUI aby otwierał jako administrator i pomogło. Nie ma już tych błędów i mogę wejść na router poprzez 192.168.1.1.
Ale nadal nie mogę wejść na dysk sieciowy, mapuję go jak zwykle: \\192.168.1.1\dane
i nie łączy się z dyskiem.
w czym może być problem? oczywiście jak się połączę ze swoją siecią bezpośrednio to mapuje mi ten dysk i mam do niego dostęp.
Co robię nie tak? |
| |
|
|
| hermes-80 |
Dodano 17-11-2013 13:17
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
Spróbuj w CMD wpisać:
start \\192.168.1.1
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| joseph |
Dodano 17-11-2013 13:39
|
Power User
Posty: 210
Dołączył: 16/11/2012 13:36
|
Nic z tego...
Połączony z 17 listopad 2013 14:34:42:
W czym może być problem,
dodam że router mogę pingować (ping 192.168.1.1)
a np inny komputer nie mogę (ping 192.168.1.44)
Połączony z 17 listopad 2013 16:51:48:
Jak zmieniłem na routerze zakres adresów dhcp na
192.168.168.1-168.168.254
to faktycznie mogłem już pingować inne komputery w sieci lecz nadal nie mogę zmapować dysku.
Proszę o pomoc
Połączony z 18 listopad 2013 11:28:13:
Jest ktoś w stanie mi pomóc???
bardzo proszę
joseph załączono następujące plik:
Nie masz uprawnień, by zobaczyć załączniki w tym wątku.
Edytowany przez joseph dnia 18-11-2013 11:28
|
| |
|
' target='_blank'>Link
