|
OpenVPN TUN + dostęp do zasobów LAN SMB SAMBA
|
| hermes-80 |
Dodano 22-04-2020 21:19
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
Zanim odpalasz tunel klient w jakiejś sieci musi się znajdować więc jaka to adresacja sieci LAN klienta.
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| marianpro |
Dodano 22-04-2020 21:42
|
User
Posty: 47
Dołączył: 01/09/2018 12:50
|
Cytat hermes-80 napisał(a):
Zanim odpalasz tunel klient w jakiejś sieci musi się znajdować więc jaka to adresacja sieci LAN klienta.
Ja tego nie robię "na żywca" paraliżując pracę firmy, tylko mam osobno cały zestaw, więc mogę poustawiać dowolne adresacje, a nawet zmienić router, modem, firmware, PC, rodzaj łącza (w pewnym zakresie oczywiście - Neostrada ADSL, DSL, LTE).
Przykładowo mogę połączyć się jako klient przez LTE, tak jak Ci już odpisywałem wcześniej.
Jeżeli to istotne i muszę łączyć się z określonej sieci, którą muszę skonfigurować wcześniej (muszę znać jej IP), no to będzie lipa, bo wtedy cały pomysł bierze w łeb.
Sądziłem, że tylko nie może to być ta sama adresacja co wirtualnego TUN.
Docelowo jest problem z konfliktem adresacji stąd TUN, ale tym problemem na razie się nie zajmuję, bo to mi nie działa na żadnej adresacji. No chyba, że to nie będzie działać jak mam te same adresy w LAN, ale wtedy to ja już nic nie rozumiem, po co TUN i po co wirtualna adresacja klientów. |
| |
|
|
| kobrawerde |
Dodano 22-04-2020 21:49
|
Power User
Posty: 357
Dołączył: 07/05/2008 20:07
|
A w Sambie klienta smb.conf nie musisz zmienić dodać jakiś info żeby klient mógł przeglądać tą sieć np. 10.0.0.0/24. ?
interfaces = 127.0.0.0/8 eth0 10.0.0.0/24
Netgear R7000 - FreshTomato Firmware 2023.5 K26ARM USB AIO-64K
Proxmox VE: (Topton X6C) Intel N100, 32GB RAM, 2x2TB SSD / NVMe
VM NAS: Xpenology SA6400 (TCRP: tinycore-redpill.v1.0.1.0.m-shell)
VM VPS: Debian-12.5.0-xfce , Kodi , Jellyfin
Wi-Fi: Ubiquiti U6-Lite
|
| |
|
|
| marianpro |
Dodano 22-04-2020 22:03
|
User
Posty: 47
Dołączył: 01/09/2018 12:50
|
Cytat kobrawerde napisał(a):
A w Sambie klienta smb.conf nie musisz zmienić dodać jakiś info żeby klient mógł przeglądać tą sieć np. 10.0.0.0/24. ?
interfaces = 127.0.0.0/8 eth0 10.0.0.0/24
Oj, trudne pytania mi zadajesz. ;) Dlatego pytam tutaj, bo nie wiem właśnie czy coś trzeba jeszcze czy nie i czy te iptables sa ok czy nie czy jeszcze coś itp.
Tak poza tym plik smb.conf w Windowsie? |
| |
|
|
| hermes-80 |
Dodano 22-04-2020 22:14
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
Chodzi mi o takie zjawisko, że:
LAN1, do której się chcesz dostać to 192.168.0.x na routerze brzegowy masz postawione w tej sieci serwer OVPN, który tworzy tunel na adresacji 10.0.0.x.
Komp klient podłączasz się w sieci LAN2 takiej samej jak zdalnej czyli 192.168.0.x (ten tą pule dostajesz na interfejs fizyczny klienta) odpalając tunel tworzysz interfejs wirtualny z adresacją 10.0.0.x. Serwer OpenVPN powinien ci wepchać trasy routingu do sieci LAN1.
I teraz pytanie - skąd system ma wiedzieć gdzie pchać komunikacje do sieci LAN1 czy przez interfejs zdalny czy fizyczny skoro IP ma identyczne jak LAN2.
O takie zjawisko mi chodzi że LAN1 nie może mieć tej samej adresacji co LAN2.
Sprawdź trasy routingu na klientach, komunikacje między danymi segmentami, prawdopodobnie będzie gdzieś problem z firewalem na serwerze OVPN.
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| marianpro |
Dodano 22-04-2020 23:04
|
User
Posty: 47
Dołączył: 01/09/2018 12:50
|
Cytat hermes-80 napisał(a):
Chodzi mi o takie zjawisko, że:
LAN1, do której się chcesz dostać to 192.168.0.x na routerze brzegowy masz postawione w tej sieci serwer OVPN, który tworzy tunel na adresacji 10.0.0.x.
Komp klient podłączasz się w sieci LAN2 takiej samej jak zdalnej czyli 192.168.0.x (ten tą pule dostajesz na interfejs fizyczny klienta) odpalając tunel tworzysz interfejs wirtualny z adresacją 10.0.0.x. Serwer OpenVPN powinien ci wepchać trasy routingu do sieci LAN1.
I teraz pytanie - skąd system ma wiedzieć gdzie pchać komunikacje do sieci LAN1 czy przez interfejs zdalny czy fizyczny skoro IP ma identyczne jak LAN2.
O takie zjawisko mi chodzi że LAN1 nie może mieć tej samej adresacji co LAN2.
Sprawdź trasy routingu na klientach, komunikacje między danymi segmentami, prawdopodobnie będzie gdzieś problem z firewalem na serwerze OVPN.
Ok, czyli 100% jesteś pewny, że LAN1 i LAN2 muszą mieć inną adresację? Nie jest ważna wirtualna podsieć jaką tworzy TUN, która jest odrębna od obu?
Tak dobry w tym nie jestem by sprawdzać te trasy. Nie wiem jak miałbym się do tego zabrać. Być może komendą tracert, ale dokładnie to nie wiem.
Obecnie konfliktu nie ma, bo robię to na sieci testowej i też nie działa. Jeśli problem jest na serwerze OpenVPN to jest to problem na Tomato i tu trzeba go rozwiązać.
No to wracam do TAP chyba i czeka mnie walka z MS SQL i zmianami adresacji, skoro poległem tutaj.
Myślałem, że ten TUN jest taki genialny z tym wirtualnym interfejsem, po to właśnie by uniknąć konfliktów, tylko wymaga tych jakichś konfiguracji dodatkowych. |
| |
|
|
| hermes-80 |
Dodano 22-04-2020 23:12
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
Problem w takim wypadku jak opisałem nie stanowi połączenie vpn lecz ogłupiały system bo nie wie gdzie posłać pakiet. Na kliencie wpisz w cmd jako admin: route print i pokaz wynik.
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| marianpro |
Dodano 23-04-2020 13:14
|
User
Posty: 47
Dołączył: 01/09/2018 12:50
|
Cytat hermes-80 napisał(a):
Problem w takim wypadku jak opisałem nie stanowi połączenie vpn lecz ogłupiały system bo nie wie gdzie posłać pakiet. Na kliencie wpisz w cmd jako admin: route print i pokaz wynik.
Połączyłem się przez LTE udostępnionym ze smarfona, przez klienta OpenVPN na PC z MS Windows 10 i takie coś mi wypluło na kliencie:
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.43.1 192.168.43.187 50
10.6.0.1 255.255.255.255 10.6.0.5 10.6.0.6 281
10.6.0.4 255.255.255.252 On-link 10.6.0.6 281
10.6.0.6 255.255.255.255 On-link 10.6.0.6 281
10.6.0.7 255.255.255.255 On-link 10.6.0.6 281
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.1.0 255.255.255.0 10.6.0.5 10.6.0.6 281
192.168.43.0 255.255.255.0 On-link 192.168.43.187 306
192.168.43.187 255.255.255.255 On-link 192.168.43.187 306
192.168.43.255 255.255.255.255 On-link 192.168.43.187 306
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 10.6.0.6 281
224.0.0.0 240.0.0.0 On-link 192.168.43.187 306
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 10.6.0.6 281
255.255.255.255 255.255.255.255 On-link 192.168.43.187 306
===========================================================================
Persistent Routes:
None |
| |
|
|
| hermes-80 |
Dodano 23-04-2020 19:54
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
To teraz z klienta puszczaj pinga do:
- 10.6.0.6
- 10.6.0.5
- IP LAN-owe routera gdzie jest Serwer Openvpn (pewnie 192.168.1.1)
- do jakiegoś kompa w LAN-ie (sprawdź jego firewall czy nie blokuje icmp- Czy dany komp odpowiada na ping z innego kompa w sieci LAN serwera)
Pokaz wyniki
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| marianpro |
Dodano 23-04-2020 23:41
|
User
Posty: 47
Dołączył: 01/09/2018 12:50
|
Cytat hermes-80 napisał(a):
To teraz z klienta puszczaj pinga do:
- 10.6.0.6
- 10.6.0.5
- IP LAN-owe routera gdzie jest Serwer Openvpn (pewnie 192.168.1.1)
- do jakiegoś kompa w LAN-ie (sprawdź jego firewall czy nie blokuje icmp- Czy dany komp odpowiada na ping z innego kompa w sieci LAN serwera)
Pokaz wyniki
10.6.0.6 to do samego siebie ping jest, no to działa.
10.6.0.5 to nie wiem co to za komp był, ale dziś go nie ma.
192.168.1.1 to router / serwer OpenVPN zarazem, pinguje się przez tunel OpenVPN z klienta
192.168.1.24 to komp testowy dołączony do routera / serwera OpenVPN po LAN'ie i nie da się go spingować z klienta przez tunel OpenVPN TUN, ale działa RDP, czyli fizycznie jakieś pakiety są w stanie przejść
192.168.1.24 z LAN'u oczywiście z innego kompa ping działa, podobnie jak przez tunel TAP z klienta OpenVPN |
| |
|
|
| hermes-80 |
Dodano 26-04-2020 10:56
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
Zestawiasz tunel na certyfikatach?
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| marianpro |
Dodano 26-04-2020 18:05
|
User
Posty: 47
Dołączył: 01/09/2018 12:50
|
Tak, a co to ma do rzeczy? |
| |
|
' target='_blank'>Link
