|
Tunel VPN - łączenie sieci
|
| eldawid2 |
Dodano 05-04-2012 23:40
|
User
Posty: 2
Dołączył: 05/04/2012 23:29
|
mam podobny problem. Widzę że kolega sszpila zrobił to... Mógłbyś mi opisać co dokładnie zrobiłeś? Będę naprawdę wdzięczny. Niestety siedzę już nad tym tyle czasu i bez efektu żadnego... będę bardzo wdzięczny...również mam do zestawienia tunel openvpn server-client. |
| |
|
|
| sszpila |
Dodano 06-04-2012 08:17
|
User
Posty: 147
Dołączył: 20/08/2009 10:59
|
Zrobiłem wszystko tak jak opisałem w poście http://openlinksys.info/forum/viewthr...post_98336. Dodatkowo powyłączałem firewalle w komputerach, bo wg mnie za tomato są one już zbędne, a przynajmniej powodują więcej problemów niż dobrego. |
| |
|
|
| eldawid2 |
Dodano 19-04-2012 19:54
|
User
Posty: 2
Dołączył: 05/04/2012 23:29
|
hej a miałbym jeszcze jedno pytanie do ciebie. Połączyć mi się udało. Jednak zastanawiają mnie dwa ustawienia w twoim konfigu tj status-version2 i status status. Nigdzie nic konkretnego nie moge znaleźć na ten temat. Mógłbyś mi podpowiedzieć co obydwa polecenia oznaczają?
pozdr Dawid |
| |
|
|
| sszpila |
Dodano 19-04-2012 20:04
|
User
Posty: 147
Dołączył: 20/08/2009 10:59
|
Cytowane z manuala openvpn'a:
Cytat --status file [n]
Write operational status to file every n seconds.
--status-version [n]
Choose the status file format version number. Currently n can be 1, 2, or 3 and defaults to 1.
To są polecenia automatycznie dodawane przez tomato. Pewnie są wymagane, aby w GUI działały zakładki statusu openvpn'a |
| |
|
|
| AaaA |
Dodano 30-04-2012 12:58
|
User
Posty: 68
Dołączył: 23/08/2006 23:45
|
Borykam się z połączeniem dwóch sieci (z różna adresacją rzecz jasna) za pomocą TUN przy użyciu openvpn jaki jest częścią TomatoUSB VPN.
Połączenie VPN jest ustanowione. Trasy na kliencie i serwerze też dodałem. Wygląda na to, że:
- kliencki router działa echo na serwer (sukces)
- kliencki router działa echo na hosty za routerem serwerem (sukces)
- rotuer serwer nie widzi klienta na jego adresie w sieci lokalnej, to samo z klientami za routerem klientem (brak sukcesu)
Widzę, że domyślnie klient i serwer generuje sobie skrypt firewalla /etc/openvpn/fw/:
skryp serwera:
iptables -t nat -I PREROUTING -p [proto] --dport [port] -j ACCEPT
iptables -I INPUT -p [proto] --dport [port] -j ACCEPT
iptables -I INPUT -i tun21 -j ACCEPT
iptables -I FORWARD -i tun21 -j ACCEPT
skrypt klienta:
iptables -I INPUT -i tun11 -j ACCEPT
iptables -I FORWARD -i tun11 -j ACCEPT
Co jeszcze dodać, żeby
- serwer zobaczył klienta i sieć za nim?
- poprawnie skonfigurować routing aby hosty z jednej sieci widziały hosty z drugiej i odwrotnie (checkbox na routerze kliencie Create NAT on tunnel - który dodaje "iptables -t nat -I POSTROUTING -s siec_klienta/maska -o tun11 -j MASQUERADE" pozwala osiągnąć to, że hosty po stronie klienta widza hosty po stronie serwera)
Edytowany przez AaaA dnia 30-04-2012 13:42
|
| |
|
|
| sszpila |
Dodano 30-04-2012 15:17
|
User
Posty: 147
Dołączył: 20/08/2009 10:59
|
Ja mam na kliencie odznaczone "Create NAT on tunnel". Inaczej nie chciało mi to ustrojstwo poprawnie działać. Dodam, że firewalle na maszynach windowsowych mogą blokować pingi i w efekcie fałszować "badanie" tunelu. Założyłem, że jeśli sieć jest chroniona firewallem działającym na roterze z tomato, to dodatkowa zapora w windowsach tylko będzie przeszkadzała. Odkąd sieć mi zaskoczyła i komunikacja odbywa się w dwie strony bezproblemowo, nawet nie dotykam się konfiguracji VPNów na tych routerach  |
| |
|
|
| AaaA |
Dodano 30-04-2012 15:33
|
User
Posty: 68
Dołączył: 23/08/2006 23:45
|
Akurat u mnie problemem nie jest konfiguracja firewalla na hostach ale dziękuję za tip.
Czy mógłyś zrobić screeny swojej konfiguracji w panelu, wygumkować sekretne dane i pokazać dokładnie jak to u Ciebie wygląda? Może coś przeoczyłem.
|
| |
|
|
| hermes-80 |
Dodano 30-04-2012 15:46
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
Sprawdź poprawność tabeli routingowych na kliencie i serwerze - oraz na końcówkach.
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| AaaA |
Dodano 30-04-2012 22:00
|
User
Posty: 68
Dołączył: 23/08/2006 23:45
|
Tabela routingu wygląda OK.
To do czego się dogrzebałem to, że to bardziej ficzer niż problem: http://www.linksysinfo.org/index.php?...511/page-4
Cytat Site-to-site TAN and TUN work with no custom configuration
TUN site-to-site only allows client->server communication (not visa versa, see below) unless you add client-config-dir or client-connect scripts.
The TUN (or TAP across different subnets) tunnels are only client->server (server LAN can't see client LAN) without Custom Configuration because a NAT is set up on the client side (optional via GUI). Without this NAT, the server side would need to have configuration settings specific to each client. If I did this automatically, it would be difficult to add your own settings in this manner on top of it. So I felt this was a good compromise. You can either a) set up two tunnels one each way or b) set up a client-config-dir setup.
Problem znany od dość dawna i pewnie pojawił się workaround
Update: to jest workaround tylko w tej chwili nie mam możliwości się mu przyjerzeć: http://tomatovpn.keithmoyer.com/2009/...tions.html
Update 2: tak rzeczywiście workaround działa, nawet więcej po zaznaczeniu "Manage Client-Specific Options", "Allow Client<->Client" i wyspecyfikowaniu poniżej w tabelce który klient, mający jaką sieć i wypchnięciu tej konfiguracji nie ma konieczności manualnego konfigurowania tras (odpada dodawanie "route siec maska" do "Custom Configuration" na klienci i serwerze.
Dzięki za pomoc
Edytowany przez AaaA dnia 01-05-2012 05:45
|
| |
|
|
| sszpila |
Dodano 01-05-2012 15:30
|
User
Posty: 147
Dołączył: 20/08/2009 10:59
|
Cieszę się że koledze udało się to zrobić, i widzę chyba ze z autoryzacją TLS. Ja to zrobiłem na interfejsie TUN i kluczach statycznych tak jak tu: http://openlinksys.info/forum/viewthr...post_98336 i wszystko działa w obydwie strony. Bez problemu widzą się komputery za routerami. I tak jak pisałem, jak zaczęło działać to nawet palcem nie dotykam zakładki VPN ;-) |
| |
|
|
| gorus1 |
Dodano 29-06-2012 13:42
|
Power User
Posty: 208
Dołączył: 13/08/2011 02:22
|
Witam! Odświeżę nieco temat gdyż sam się tym zajmowałem swego czasu i udało mi się połączyć dwie sieci z autoryzacją TLS na certyfikatach tak, że wszystkie hosty obydwu sieci się widziały. Sieci były zarządzane przez rotuery WRT54GL z tomato VPN. Oto moja konfiguracja serwera:
daemon
proto udp
port 1194
dev tun21
comp-lzo adaptive
keepalive 15 60
verb 3
status-version 2
status status
ifconfig 10.8.4.1 10.8.4.2
tls-server
push "route 192.168.1.0 255.255.255.0"
route 192.168.2.0 255.255.255.0
ca /cifs2/ca.crt
dh /cifs2/dh.pem
cert /cifs2/server.crt
key /cifs2/server.key
user nobody
persist-tun
persist-key
verb 3
keepalive 10 120
Chcę dalej pociągnąć temat, bo chcę połączyć więcej niż dwie sieci więc moje pytanie brzmi:
czy zadziała połączenie z trzecią siecią jeżeli tylko w konfiguracji serwera dopiszę linię:
ifconfig 10.8.4.1 10.8.4.3
P.S. również jak powyżej userzy przy konfiguracji -miałem problemy z widocznością hostów za routerem klientem vpn sprzed rotuera serwera VPN przy konfiguracji serwer TLS. Własna konfiguracja z "IFCONFIG" załatwiła sprawę, ale to były tylko dwie sieci, a co w przypadku trzech i więcej....? |
| |
|
|
| PawelM78 |
Dodano 18-02-2013 21:27
|
User
Posty: 106
Dołączył: 18/01/2012 19:08
|
A ja mam połączone dwie lokalizacje za pomocą TAP. Wszystkie komputery widzą się wzajemnie w sieci 192.168.0.1 Problem z DHCP rozwiązałem w ten sposób, że w jednej lokalizacji klienta mam statycznie nadane adresy a tam gdzie server to mam DHCP.
Problemem jest przepustowość tunelu ograniczona nie wiem dlaczego do 15Mbps pomimo łącza 60Mbps.
Próbowałem zmieniać:
TCP/UDP oraz klucz szyfrujący z 256 na 128, włączając i wyłączając kompresje - bez rezultatów
2x ASUS RT-N66U + Tomato by Shibby VPN(Nka)
|
| |
|
|
| rako28 |
Dodano 16-01-2015 09:04
|
User
Posty: 85
Dołączył: 04/02/2014 19:41
|
Witam.Mam tunel w trybie tap.Niby dziala ok.Mam problem z przekierowaniem klienta (windows 8.1)przez serwer.Ping ok widze inne komputery dysk itp.Ale gdy sprawdzam ip na kliencie np. na stronie moje ip. jest to adres sieci w ktorej uzywam a nie adres publiczny z domu
client
dev tap
proto udp
remote ip.,......
port 1194
nobind
persist-tun
ca ca.crt c:/Program Files/OpenVPN/config/ca"
cert client2.crt "c:/Program Files/OpenVPN/config/client2"
key client2.key c:/Program Files/OpenVPN/config/client2.key"
comp-lzo
verb 3
mute 20
auth-nocache
rako28 załączono następujące plik:
Nie masz uprawnień, by zobaczyć załączniki w tym wątku.
Edytowany przez rako28 dnia 16-01-2015 09:11
[Asus Tuf ax3000v2 ofv
Asus ax56u Merlin
Netgear WNR3500L v2 Freshtomato
Netgear R8000
|
| |
|
|
| smereka |
Dodano 16-01-2015 12:20
|
User
Posty: 112
Dołączył: 26/01/2012 23:45
|
Ja mam trochę inną sytuację. Trochę VPN-ów juz skonfigurowałem ale z tym zadaniem mam kłopot. Mam skonfigurowane połączenie VPN tun na RT-N16. Klienci otrzymują adresy 10.8.1.0/24. Chcę aby część klientów nie mogła mieć dostępu do zasobów lokalnych za ruterem vpn. Ja chciałbym mieć dostęp do klientów ale żeby oni nie mieli dostępu do moich. Jest jakaś reguła w iptables, która sprawi to, że moja koncepcja zadziała?
Dla klienta o adresie 10.8.1.17 próbowałem takiej:
iptables -I FORWARD -s 10.8.1.17 -d 192.168.1.0/24 -j DROP
ale niestety blokuje ona zarówno dostęp dla klienta do mojej sieci lan jak również dostęp do klienta z mojej sieci. Ma ktoś jakiś pomysł? |
| |
|
' target='_blank'>Link
