|
VPN miedzy dd-wrt a openwrt
|
| coverek |
Dodano 17-08-2010 21:27
|
User
Posty: 72
Dołączył: 27/01/2009 14:31
|
Witam,
Czulem ze sie nie obejdzie bez problemow... Chcialem zestawic dd-wrt(serwer) oraz openwrt(client). Ustawilem dd-wrt wedle tego tutka: http://www.dd-wrt.com/wiki/index.php/VPN_%28the_easy_way%29_v24%2B , zmienilem jedynie adresy ip, a na openwrt dalem w pliku /etc/openvpn/my-vpn.conf
3G ~ # cat /etc/openvpn/my-vpn.conf
remote x.x.x.x 1194
client
remote-cert-tls server
dev tun0
proto udp
resolv-retry infinite
nobind
persist-key
persist-tun
float
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key
Niestety jak moje ubuntu, jak i nieszczesliwe openwrt nie moga sie podlaczyc.... Openwrt daje taki oto komunikat:
3G ~ # openvpn --config /etc/openvpn/my-vpn.conf
Tue Aug 17 21:27:21 2010 OpenVPN 2.1.1 mipsel-openwrt-linux [SSL] [LZO2] built on Mar 20 2010
Tue Aug 17 21:27:21 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue Aug 17 21:27:22 2010 Cannot load private key file /etc/openvpn/client1.key: error:02001002:lib(2):func(1):reason(2): error:20074002:lib(32):func(116):reason(2): error:140B0002:lib(20):func(176):reason(2)
Tue Aug 17 21:27:22 2010 Error: private key password verification failed
Tue Aug 17 21:27:22 2010 Exiting
!@#$% dlaczego to nie dziala?!
Edytowany przez coverek dnia 17-08-2010 21:54
[url=www.at-web.pl]at-web cms[/url]
|
| |
|
|
| shibby |
Dodano 18-08-2010 08:43
|
SysOp
Posty: 17138
Dołączył: 15/01/2009 20:30
|
ze tak powiem przeciez masz podany blad
Cytat Cannot load private key file /etc/openvpn/client1.key
Error: private key password verification failed
nie moze wczytac klucza prywatnego bo nie zdjales z niego hasla!
Router: Unifi Cloud Gateway Max
Switch: Unifi USW-Lite-16-PoE
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| coverek |
Dodano 18-08-2010 13:17
|
User
Posty: 72
Dołączył: 27/01/2009 14:31
|
ale to haslo sie kiedy zdejmuje? przy generowaniu? tam gdzie sie podaje jakies haslo? 
[url=www.at-web.pl]at-web cms[/url]
|
| |
|
|
| shibby |
Dodano 18-08-2010 15:05
|
SysOp
Posty: 17138
Dołączył: 15/01/2009 20:30
|
podczas generowania certyfikatu klienta zakladasz haslo na jego klucz prywatny. Poźniej nalezy go usunac.
Wystarczy w google wpisac
Cytat remove password from private key
i masz stos przykladow jak to zrobic
Cytat EXAMPLES
To remove the pass phrase on an RSA private key:
openssl rsa -in key.pem -out keyout.pem
Router: Unifi Cloud Gateway Max
Switch: Unifi USW-Lite-16-PoE
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| coverek |
Dodano 18-08-2010 16:14
|
User
Posty: 72
Dołączył: 27/01/2009 14:31
|
Hmm.. Hula. :)
Teraz jeszcze mam problem z routingiem...
Mam sieci
10.0.0.0 (serwer) <-> 10.0.2.0 (VPN) <-> 192.168.2.0
Z 192.168.2.1 na 10.0.0.1 jest komunikacja, ale odwrotnie juz nie ma...
Do pliku konfiguracyjnego w kliencie(openwrt) dodalem:
push "route 192.168.2.0 255.255.255.0"
Ale nie dziala...
Edytowany przez coverek dnia 18-08-2010 16:15
[url=www.at-web.pl]at-web cms[/url]
|
| |
|
|
| shibby |
Dodano 18-08-2010 18:24
|
SysOp
Posty: 17138
Dołączył: 15/01/2009 20:30
|
podsiec serwera nie pokrywa ci sie z podsiecia vpn?
klient nie ma czasem firewalla wlaczonego?
trasa routingu na routerze do 192.168.2.0 jest dodana?
rzuc okiem w moj opis odnosnie openvpn. Na koncu opisu sa dwie linijki FORWARD zezwanajace na ruch w obie strony. Moze tego ci brakuje.
Router: Unifi Cloud Gateway Max
Switch: Unifi USW-Lite-16-PoE
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| coverek |
Dodano 18-08-2010 20:34
|
User
Posty: 72
Dołączył: 27/01/2009 14:31
|
mam tak, to co za # to stare...
iptables -I INPUT 1 -p udp --dport 1194 -j ACCEPT
# iptables -I FORWARD 1 --source 10.0.2.0/24 -j ACCEPT
iptables -A FORWARD -i tun0 -s 10.0.0.0/24 -d 10.0.2.0/24 -j ACCEPT
iptables -A FORWARD -o tun0 -s 10.0.2.0/24 -d 10.0.0.0/24 -j ACCEPT
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
[url=www.at-web.pl]at-web cms[/url]
|
| |
|
|
| shibby |
Dodano 18-08-2010 21:00
|
SysOp
Posty: 17138
Dołączył: 15/01/2009 20:30
|
sprawdz czy klient nie ma firewalla oraz czy klasy routera i vpna sie nie pokrywaja,
Router: Unifi Cloud Gateway Max
Switch: Unifi USW-Lite-16-PoE
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| coverek |
Dodano 18-08-2010 21:23
|
User
Posty: 72
Dołączył: 27/01/2009 14:31
|
Klasy sie pokrywaja?! Chyba raczej nie.. Siec lokalna na routerze to 10.0.0.0, na kliencie 192.168.2.0 i VPN ma 10.0.2.0...
Firewall na kliencie to:
[url=www.at-web.pl]at-web cms[/url]
|
| |
|
|
| coverek |
Dodano 19-08-2010 09:19
|
User
Posty: 72
Dołączył: 27/01/2009 14:31
|
No i co to moze byc? 
[url=www.at-web.pl]at-web cms[/url]
|
| |
|
|
| shibby |
Dodano 19-08-2010 10:10
|
SysOp
Posty: 17138
Dołączył: 15/01/2009 20:30
|
Cytat Klasy sie pokrywaja?! Chyba raczej nie.. Siec lokalna na routerze to 10.0.0.0, na kliencie 192.168.2.0 i VPN ma 10.0.2.0...
no to jezeli router lub vpn maja maske 16bitowa to sie pokrywaja.
Cytat #Allow ping
config rule
option src wan
option proto icmp
option icmp_type echo-request
option target ACCEPT
zezwalasz na ping tylko z WAN. Zezwol tez z tuna lub z kazdego interfejsu.
Router: Unifi Cloud Gateway Max
Switch: Unifi USW-Lite-16-PoE
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| coverek |
Dodano 19-08-2010 11:48
|
User
Posty: 72
Dołączył: 27/01/2009 14:31
|
generalnie net jest z wwan (siec gsm), wiec zamiast wan dalem wwan w 'option src wwan'.
Szczerze mowiac niebardzo wiem jak wlaczyc na wszystko tego pinga, dalem jeszcze dla testu
iptables -I INPUT 1 -p udp --dport 1194 -j ACCEPT
iptables -I FORWARD 1 --source 10.0.2.0/24 -j ACCEPT
# iptables -A FORWARD -i tun0 -s 10.0.0.0/24 -d 10.0.2.0/24 -j ACCEPT
# iptables -A FORWARD -o tun0 -s 10.0.2.0/24 -d 10.0.0.0/24 -j ACCEPT
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
ale tez nie moge z rouera z serwerem VPN dac pinga na adres lokalny klienta VPN...
[url=www.at-web.pl]at-web cms[/url]
|
| |
|
' target='_blank'>Link
