|
VPN - TUN
|
| khain |
Dodano 20-12-2017 20:07
|
Power User
Posty: 335
Dołączył: 25/07/2007 17:09
|
1) Sprawdź routing na serwerze i kliencie.
2) Nie używaj adresów publicznych w sieci LAN i w tunel openvpn.
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
|
| |
|
|
| kpietrek |
Dodano 20-12-2017 21:03
|
Power User
Posty: 301
Dołączył: 13/07/2009 21:41
|
1. Właśnie nie bardzo wiem o co chodzi z tym routingiem. Jak byś mógł w tym pomóc?
2. Wiec jakie adresy proponujesz?
Netgear R7000 + FreshTomato Firmware 2021.2 K26ARM USB AIO-64K
Asus RT-N18U + FreshTomato Firmware 2021.2 K26ARM USB VPN-64K-NOSMP
Asus RT-AC56U + Tomato Firmware 1.28.0000 -138 K26ARM USB AIO-64K
|
| |
|
|
| Steel_Rat |
Dodano 20-12-2017 21:37
|
OL Maniac
Posty: 1831
Dołączył: 29/05/2011 22:24
|
Adresy masz zastosować prywatne masz do dyspozycji trzy klasy:
"w klasie A: zakres od 10.0.0.0 do 10.255.255.255 (notacja CIDR: 10.0.0.0/8) w klasie B: zakres od 172.16.0.0 do 172.31.255.255 (notacja CIDR: 172.16.0.0/12) w klasie C: zakres od 192.168.0.0 do 192.168.255.255 (notacja CIDR: 192.168.0.0/16)"
Którą wybierzesz to już od ciebie zależy.
WRT3200ACN (WRT32X) + OpenWRT 18.06+światełko 150/150 Mb/s
Asus RT-AC68UvE1 + RMerlin + Entware
Netgear WNR3500Lv2 + DDWRT
|
| |
|
|
| khain |
Dodano 20-12-2017 22:38
|
Power User
Posty: 335
Dołączył: 25/07/2007 17:09
|
Uzupełnię odpowiedź Steel_Rata:
1) Tablicę routingu sprawdź w zakładce Advanced -> Routing w Tomato: po zestawieniu tunelu vpn serwer musi mieć wpis o trasie do podsieci klienta (patrz wpis, który ma interfjes tun). Analogicznie dla klienta.
2) Ja nadaję adres IP (konkretnie trzeci oktet) taki jaki jest numer domu lub mieszkania gdzie dana sieć się znajduje, np. 192.168.x.0/24 gdzie x to właśnie numer domu - przy większej ilości klientów vpn łatwiej to potem ogarnąć.
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
|
| |
|
|
| kpietrek |
Dodano 21-12-2017 18:50
|
Power User
Posty: 301
Dołączył: 13/07/2009 21:41
|
A więc tak.
Serwer: 10.1.1.1/24
Klient: 10.1.2.1/24
Poniżej konfiguracja i tabela routingu.
kpietrek załączono następujące plik:
Nie masz uprawnień, by zobaczyć załączniki w tym wątku.
Edytowany przez kpietrek dnia 21-12-2017 18:56
Netgear R7000 + FreshTomato Firmware 2021.2 K26ARM USB AIO-64K
Asus RT-N18U + FreshTomato Firmware 2021.2 K26ARM USB VPN-64K-NOSMP
Asus RT-AC56U + Tomato Firmware 1.28.0000 -138 K26ARM USB AIO-64K
|
| |
|
|
| khain |
Dodano 21-12-2017 21:40
|
Power User
Posty: 335
Dołączył: 25/07/2007 17:09
|
W konfigu serwera podałeś, że klient ma podsieć LAN 12.1.1/0/24, gdy w rzeczywistości ma 10.1.2.0/24.
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
|
| |
|
|
| kpietrek |
Dodano 22-12-2017 17:00
|
Power User
Posty: 301
Dołączył: 13/07/2009 21:41
|
Słuszna uwaga. Teraz sieci się widzą.
Zostaje jeszcze problem internetu. Na kliencie go brakuje. Czy za to odpowiadają te opcje?:
Redirect Internet traffic
Ignore Redirect Gateway (route-nopull)
Ignore Redirect Gateway (route-noexec)
Możecie mi je objaśnić??
Netgear R7000 + FreshTomato Firmware 2021.2 K26ARM USB AIO-64K
Asus RT-N18U + FreshTomato Firmware 2021.2 K26ARM USB VPN-64K-NOSMP
Asus RT-AC56U + Tomato Firmware 1.28.0000 -138 K26ARM USB AIO-64K
|
| |
|
|
| khain |
Dodano 22-12-2017 22:28
|
Power User
Posty: 335
Dołączył: 25/07/2007 17:09
|
https://openvpn.net/index.php/open-so...l#redirect
https://community.openvpn.net/openvpn...ectGateway
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
|
| |
|
|
| kpietrek |
Dodano 22-12-2017 22:34
|
Power User
Posty: 301
Dołączył: 13/07/2009 21:41
|
No ok. Tylko nadal nie wiem co zrobić by był na kliencie internet.
Netgear R7000 + FreshTomato Firmware 2021.2 K26ARM USB AIO-64K
Asus RT-N18U + FreshTomato Firmware 2021.2 K26ARM USB VPN-64K-NOSMP
Asus RT-AC56U + Tomato Firmware 1.28.0000 -138 K26ARM USB AIO-64K
|
| |
|
|
| khain |
Dodano 23-12-2017 15:23
|
Power User
Posty: 335
Dołączył: 25/07/2007 17:09
|
Odznacz Redirect Internet traffic w konfigu serwera.
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
|
| |
|
|
| kpietrek |
Dodano 26-12-2017 11:23
|
Power User
Posty: 301
Dołączył: 13/07/2009 21:41
|
Dziękuję. Działa.
Netgear R7000 + FreshTomato Firmware 2021.2 K26ARM USB AIO-64K
Asus RT-N18U + FreshTomato Firmware 2021.2 K26ARM USB VPN-64K-NOSMP
Asus RT-AC56U + Tomato Firmware 1.28.0000 -138 K26ARM USB AIO-64K
|
| |
|
|
| matiaszon |
Dodano 28-12-2017 23:03
|
User
Posty: 15
Dołączył: 27/12/2017 23:17
|
Witam szanowne grono.
Podłączam się pod ten post, bo chyba najbardziej adekwatny do mojej sytuacji.
Na wstępie zaznaczę, że nie mam na co dzień do czynienia z tomato.
Postawiłem na VPS serwer OpenVPN. U siebie w domu mam router MikroTik i udało mi się ładnie go spiąć z VPN. Na routerze poustawiałem wszystkie reguły itd. Jednym słowem wszystko lata. Teraz chcę do tego samego VPN wpiąć kolegę, który używa Tomato Firmware 1.28.0000 MIPSR2-140 K26 USB AIO-64K. Tu też mi się udało go ładnie wpiąć, router łączy się z serwerem, widzi mój LAN. Wszystko prawie pięknie.
Problem jest taki, że jak się połączy z VPN, to przy zaznaczonym "Redirect internet traffic" żadne urządzenie nie jest w stanie się komunikować z routerem. Z kolei jak wybiorę ignorowanie (route-nopull) to oczywiście nie widać go z poziomu VPN. Domyślam się, że kwestia jest pewnie ustawień firewalla itp., ale kompletnie nie wiem gdzie co i jak. Tak naprawdę, to chciałbym osiągnąć następujące rzeczy:
1) dla jednego urządzenia (192.168.1.101) z jego sieci umożliwić ruch do Internetu przez VPN, ale przy okazji, żeby to urządzenie było cały czas dostępne dla innych urządzeń z sieci 192.168.1.0/24,
2) umożliwić mi abym widział całą jego sieć 192.168.1.0/24 (wszystkie ustawienia OpenVPN są zrobione OK, ponieważ jest jeszcze trzecia sieć domowa, gdzie również stoi MikroTik i wszystko działa jak należy).
Będę wdzięczny za pomoc. |
| |
|
|
| khain |
Dodano 30-12-2017 19:58
|
Power User
Posty: 335
Dołączył: 25/07/2007 17:09
|
Cytat (..)przy zaznaczonym "Redirect internet traffic" żadne urządzenie nie jest w stanie się komunikować z routerem (..)
Aby działało redirect gateway musi pojawić się wpis w configu serwera
push "redirect-gateway def1"
sudo iptables -I FORWARD 1 -i tun0 -o wan -j ACCEPT
1) Squid proxy można zastosować dla danego hosta w sieci, ale tylko dla ruchu HTTP/HTTPS, ale nie wiem czy squid jest dostępny dla tomato i czy router kolegi udźwignie taki ruch (na openwrt/lede zalecany jest exroot, bo może zabraknąć RAMu na cache proxy)
2) To można prosto osiągnąć zakładając, że nadal wysyłasz do klientów odrzucając wszystkie trasy (route-nopull) i dodać trasę w Custom Configuration klienta w tomato:
route 192.168.1.0 255.255.255.0 10.8.0.1
3) Można zrobić osobny VLAN na routerze z tomato dla tego jednego hosta(wpiąć do niego jeden interfejs rj-45 albo podpiąć drugą sieć wifi) i osobny tunel vpn z redirect-gateway oraz ustawić routing + forwarding pomiędzy LAN a VLAN. Według mnie najłatwiejsze rozwiązanie jeśli router-klient byłby na openwert/lede. Niestety nie mam routera na tomato, aby to wyklikać i sprawdzić czy by zadziałało. W tomato kilka funkcji nie działa lub ma bugi, więc nie jest w stanie zagwarantować, że to rozwiązanie zadziała.
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
|
| |
|
|
| matiaszon |
Dodano 30-12-2017 21:00
|
User
Posty: 15
Dołączył: 27/12/2017 23:17
|
Nie wiem do czego odnosi się pierwsza część postu. Generalnie inni klienci łączą się bez problemu i kieruję ruch jak chcę, ale to są MikroTiki, z którymi mam styczność na co dzień.
Natomiast po zastosowaniu punktu 2., jestem chyba o krok bliżej.
Reasumując
1. Sieć u kolegi to 192.168.1.0/24 i chciałbym mieć dostęp do jego sieci (wszelkie reguły dodane do konfigów po stronie serwera i działają, bo na innych 2 klientach wszystko ładnie działa)
2. Dodałem do custom config w tomato "route 192.168.1.0 255.255.255.0 10.1.0.1" i po stronie serwera VPN widzę to urządzenie jako 10.1.0.30.
3. Niestety, gdy od strony serwera próbuję zrobić ping na urządzenie wewnątrz sieci lokalnej kolegi, to dostaję:
na router:
root@e8e064:~# ping 192.168.1.1
PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data.
64 bytes from 192.168.1.1: icmp_req=1 ttl=64 time=58.5 ms
64 bytes from 192.168.1.1: icmp_req=2 ttl=64 time=118 ms
64 bytes from 192.168.1.1: icmp_req=3 ttl=64 time=118 ms
^C
--- 192.168.1.1 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 58.508/98.744/118.869/28.453 ms
na inne urządzenie:
root@e8e064:~# ping 192.168.1.101
PING 192.168.1.101 (192.168.1.101) 56(84) bytes of data.
From 10.1.0.30: icmp_seq=2 Redirect Host(New nexthop: 10.1.0.1)
From 10.1.0.30: icmp_seq=3 Redirect Host(New nexthop: 10.1.0.1)
From 10.1.0.30: icmp_seq=4 Redirect Host(New nexthop: 10.1.0.1)
^C
--- 192.168.1.101 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3011ms
Niestety też, urządzenie 192.168.1.101 nie jest już dostępne z netu na porcie, na którym zazwyczaj jest dostępne (publiczne_IP_kolegi:1234 > port forwarding > 192.168.1.101:1234).
Domyślam się, że chodzi pewnie o jakieś ustawienie na pomidorze (maskarada?), żeby ten ruch przeszedł...? Pewnie coś jeszcze... |
| |
|
|
| khain |
Dodano 30-12-2017 21:32
|
Power User
Posty: 335
Dołączył: 25/07/2007 17:09
|
Pierwsza część postu odnosiła sie do wymaganego konfigu serwera, jeśli byś go potrzebował.
Maskarada nie jest potrzebna. Podejrzewam brak forwardingu vpn <-> lan na tomato (choć wydaje mi się, że tomato powinno ustawić to automatycznie).
iptables -A FORWARD -i tun11 -o br0 -j ACCEPT
iptables -A FORWARD -i br0 -o tun11 -j ACCEPT
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
|
| |
|
|
| matiaszon |
Dodano 30-12-2017 22:05
|
User
Posty: 15
Dołączył: 27/12/2017 23:17
|
Czy to należy wpisać w:
Advanced > Scripts > zakładka Firewall? |
| |
|
|
| khain |
Dodano 30-12-2017 23:02
|
Power User
Posty: 335
Dołączył: 25/07/2007 17:09
|
Jeśli chcesz, żeby przetrwało reboot to tak.
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
|
| |
|
|
| matiaszon |
Dodano 31-12-2017 01:35
|
User
Posty: 15
Dołączył: 27/12/2017 23:17
|
Jakiś krok w przód jest, ale ciągle mało...
Po poprawieniu
route 192.168.1.0 255.255.255.0 10.8.0.1
na
route 10.10.10.0 255.255.255.0 10.1.0.1
w Customs Config na tomato, gdzie:
10.10.10.0/24 - to moja sieć LAN
10.1.0.1 - IP serwera OpenVPN
192.168.1.0/24 - sieć kolegi z pomidorem
oraz po dodaniu reguł do iptables efekt jest taki, że mogę pingować każde urządzenie w sieci kolegi 192.168.1.0/24 ale tylko z poziomu serwera VPN (10.1.0.1). Od siebie z sieci nic nie widzę.
Natomiast od niego z sieci mogę się dostać bezpośrednio na każde urządzenie w mojej sieci. :)
Już jak ma być tylko w jedną stronę, to wolę w drugą :D
Czyli jest tak:
192.168.1.0/24<----> 10.1.0.1 - działa w obie strony
192.168.1.0/24 -----> 10.10.10.0/24 - działa tylko tak, jak pokazuje strzałka |
| |
|
|
| khain |
Dodano 31-12-2017 15:17
|
Power User
Posty: 335
Dołączył: 25/07/2007 17:09
|
A serwer vpn ma routing do sieci 10.10.10.0/24 ustawiony?
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
|
| |
|
|
| matiaszon |
Dodano 31-12-2017 16:28
|
User
Posty: 15
Dołączył: 27/12/2017 23:17
|
Oczywiście. Sieć innego kolegi widzi u mnie wszystko, ale nasze obie sieci "kończą się" mikrotikami, które umiałem ustawić.
Jak nie zaznaczam tej opcji "nopull" na pomidorze, to wtedy widzę całą sieć kolegi, ale niestety cała ta jego sieć nie ma wyjścia przez normalną bramę i można się dostać na niektóre urządzenia nie korzystając z VPN, czyli normalnie przez jego publiczne IP.
Połączony z 31 grudzień 2017 19:00:00:
Na tomato ifconfig daje m.in.:
tun11 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.1.0.30 P-t-P:10.1.0.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:130 errors:0 dropped:0 overruns:0 frame:0
TX packets:69 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:9212 (8.9 KiB) TX bytes:5796 (5.6 KiB)
Jednak z poziomu mojej sieci, nawet z routera, 10.1.0.30 nie odpowiada na pingi.
Edytowany przez matiaszon dnia 31-12-2017 19:00
|
| |
|
' target='_blank'>Link
