|
Linksys WRT54GL TomatoVPN OpenVPN widoczny tylko z sieci lan
|
| _Tomo_ |
Dodano 19-08-2010 11:24
|
User
Posty: 5
Dołączył: 19/08/2010 11:22
|
Witam.
Proszę o pomoc w poprawnym skonfigurowaniu serwera OpenVPN.
Założenie:
Linksys stoi w domu podpięty pod WAN (pppoe), chciałbym tunelować przez niego ruch z zewnątrz.
Posiadam zewnętrzne IP
Wszystko działa dopóki łączę się z nim z locala (192.168.1.x). Z zewnątrz jest wklejony niżej log z klienta ovpn
Być może moje założenia do tego jak to powinno działać są błędne.
Dodam, że mam już wygenerowane ceryfikaty, zarówno dla klienta jak i serwera. O ich poprawności prawdopodobnie świadczy możliwość podłączenia się pod VPN z lana
Podaję konfigurację (z GUI tomatoVPN, jeżeli potrzeba pliku .conf prosze o instrukcję jak go wydobyć przez SSH), gdzie v - zaznaczone o - puste
Basic:
Start with WAN - v
Interface Type - TAP
Protocol - UDP
Port 1194
Firewall - Automatic
Authorisation Mode - TLS
Extra HMAC authorization (tls-auth) - disabled
Client address pool - v DHCP
Advanced:
Poll Interval - 0 (in minutes, 0 to disable)
Direct clients to redirect Internet traffic - o
Respond to DNS - o
Encryption cipher - none
Compression - enabled
TLS Renegotiation Time -1 (in seconds, -1 for default)
Manage Client-Specific Options - o
custom configuration - null
Keys:
klucze prawdopodobnie działają skoro autoryzuje mnie z locala
log z klienta openVPN:
Tue Aug 17 23:50:27 2010 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Tue Aug 17 23:50:27 2010 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Tue Aug 17 23:50:27 2010 LZO compression initialized
Tue Aug 17 23:50:27 2010 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue Aug 17 23:50:27 2010 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Tue Aug 17 23:50:27 2010 Local Options hash (VER=V4): 'd79ca330'
Tue Aug 17 23:50:27 2010 Expected Remote Options hash (VER=V4): 'f7df56b8'
Tue Aug 17 23:50:27 2010 UDPv4 link local: [undef]
Tue Aug 17 23:50:27 2010 UDPv4 link remote: 80.48.x.x:1194
Tue Aug 17 23:51:27 2010 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Tue Aug 17 23:51:27 2010 TLS Error: TLS handshake failed
Tue Aug 17 23:51:27 2010 TCP/UDP: Closing socket
Tue Aug 17 23:51:27 2010 SIGUSR1[soft,tls-error] received, process restarting
Tue Aug 17 23:51:27 2010 Restart pause, 2 second(s)
I prawdopodobnie nic tutaj nie widać ale log z Linksysa, swoją drogą to nie wiem gdzie mu datę ustawić
Aug 17 14:32:13 unknown daemon.notice openvpn[1623]: OpenVPN 2.1.1 mipsel-unknown-linux-gnu [SSL] [LZO2] built on Jan 31 2010
Aug 17 14:32:13 unknown daemon.warn openvpn[1623]: NOTE: when bridging your LAN adapter with the TAP adapter, note that the new bridge adapter will often take on its own IP address that is different from what the LAN adapter was previously set to
Aug 17 14:32:13 unknown daemon.warn openvpn[1623]: NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Aug 17 14:32:13 unknown daemon.notice openvpn[1623]: Diffie-Hellman initialized with 1024 bit key
Aug 17 14:32:13 unknown daemon.warn openvpn[1623]: ******* WARNING *******: null cipher specified, no encryption will be used
Aug 17 14:32:13 unknown daemon.notice openvpn[1623]: TLS-Auth MTU parms [ L:1558 D:138 EF:38 EB:0 ET:0 EL:0 ]
Aug 17 14:32:13 unknown daemon.notice openvpn[1623]: TUN/TAP device tap21 opened
Aug 17 14:32:13 unknown daemon.notice openvpn[1623]: TUN/TAP TX queue length set to 100
Aug 17 14:32:13 unknown daemon.notice openvpn[1623]: Data Channel MTU parms [ L:1558 D:1450 EF:26 EB:135 ET:32 EL:0 AF:14/26 ]
Aug 17 14:32:13 unknown daemon.notice openvpn[1627]: Socket Buffers: R=[32767->65534] S=[32767->65534]
Aug 17 14:32:13 unknown daemon.notice openvpn[1627]: UDPv4 link local (bound): [undef]:1194
Aug 17 14:32:13 unknown daemon.notice openvpn[1627]: UDPv4 link remote: [undef]
Aug 17 14:32:13 unknown daemon.notice openvpn[1627]: MULTI: multi_init called, r=256 v=256
Aug 17 14:32:13 unknown daemon.notice openvpn[1627]: Initialization Sequence Completed
Być może problem jest prosty, no ale router mam od kilku dni a wcześniej z openVPNem miałem styczność jedynie jako klient takiej usługi. |
| |
|
|
| zabolchomicka |
Dodano 19-08-2010 20:06
|
Power User
Posty: 207
Dołączył: 06/08/2008 01:28
|
]
Port masz otwarty
|
| |
|
|
| _Tomo_ |
Dodano 19-08-2010 21:31
|
User
Posty: 5
Dołączył: 19/08/2010 11:22
|
Jeżeli to było pytanie, to tak.
Zasadniczą sprawą jest to, czy ja dobrze rozumiem działanie takiego serwera. Czy takie działanie w ogóle jest możliwe.
Jeżeli ktoś faktycznie chciałby pomóc to proszę o PM wygenerujemy klucze i popróbujemy. |
| |
|
|
| shibby |
Dodano 20-08-2010 07:30
|
SysOp
Posty: 17111
Dołączył: 15/01/2009 20:30
|
przeciez ci sie klient nie zestawia
Cytat Tue Aug 17 23:51:27 2010 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Tue Aug 17 23:51:27 2010 TLS Error: TLS handshake failed
A co do przekierowania internetu (bramy) to
Cytat Direct clients to redirect Internet traffic
musi byc wlaczone.
Router: Unifi Cloud Gateway Max
Switch: Netgear MS510TXPP
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| _Tomo_ |
Dodano 20-08-2010 09:56
|
User
Posty: 5
Dołączył: 19/08/2010 11:22
|
Podaje config dla klienta, może tutaj tkwi problem.
client
dev tap
proto udp
remote 80.48.x.x 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
ns-cert-type server
comp-lzo
verb 3
|
| |
|
|
| shibby |
Dodano 20-08-2010 10:57
|
SysOp
Posty: 17111
Dołączył: 15/01/2009 20:30
|
a czemu uzywasz tapa? Tun kolego tun 
taki konfig ja z powodzeniem stosuje u klientow
Cytat client
dev tun
comp-lzo
cipher none
resolv-retry infinite
mute-replay-warnings
keepalive 10 60
comp-lzo
verb 3
#vista i win7
route-method exe
route-delay 2
#host zdalny i certyfikaty
proto tcp
remote host port
ca ca.crt
cert aaaa.crt
key aaaa.key
oczywiscie pod udp trzeba go lekko zpodyfikowac.
Router: Unifi Cloud Gateway Max
Switch: Netgear MS510TXPP
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| _Tomo_ |
Dodano 20-08-2010 23:08
|
User
Posty: 5
Dołączył: 19/08/2010 11:22
|
Użyłem takich ustawień jak Twoje.
Możesz mi jeszcze dla pewności napisać, czego treść powinna być w poszczególnych sekcjach w serwerze
Certificate Authority - zawartość ca.crt
-----BEGIN CERTIFICATE-----
xxx
-----END CERTIFICATE-----
Server Certificate - zawartość wytworzonego server.crt
-----BEGIN CERTIFICATE-----
xxx
-----END CERTIFICATE-----
Server Key - zawartość server.key
-----BEGIN PRIVATE KEY-----
xxx
-----END PRIVATE KEY-----
Diffie Hellman parameters - zawartość dh1024.pem
-----BEGIN DH PARAMETERS-----
xxx
-----END DH PARAMETERS-----
Może tu powklejałem nie to, co potrzeba ?
Edytowany przez _Tomo_ dnia 20-08-2010 23:10
|
| |
|
|
| shibby |
Dodano 21-08-2010 10:17
|
SysOp
Posty: 17111
Dołączył: 15/01/2009 20:30
|
dobrze jest.
Router: Unifi Cloud Gateway Max
Switch: Netgear MS510TXPP
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| dervih |
Dodano 21-08-2010 16:35
|
User
Posty: 48
Dołączył: 14/08/2010 12:30
|
Sprawdź iptables, czy na pewno port 1194 jest dostępny z zewnątrz. Co do interfejsu, to "tap" stosuje się tylko jeśli sieć vpna ma być zmostkowana z LANem. Ja tak mam i działa rewelacyjnie. Spróbuj też zmienić protokół z UDP na TCP ( mi nie działało na UDP, kiedy tunelowałem port przez SSH ). |
| |
|
|
| _Tomo_ |
Dodano 21-08-2010 18:29
|
User
Posty: 5
Dołączył: 19/08/2010 11:22
|
Mógłbyś powiedzieć coś więcej o iptables jak to poustawiać ?
ew jakaś publikacja / stonka cokolwiek, gdzie mógłbym poczytac ?
Nie mam pojęcia jak to działa.
Edytowany przez _Tomo_ dnia 21-08-2010 18:30
|
| |
|
|
| shibby |
Dodano 21-08-2010 21:18
|
SysOp
Posty: 17111
Dołączył: 15/01/2009 20:30
|
przeciez juz ci zrobilem dzialajacy ovpn na static.key Dziala na udp.
Jak mi podeslesz wygenerowane certyfikaty (bo mi centrum CA nie chce sie tworzyc) to ci zrobie na certach.
Router: Unifi Cloud Gateway Max
Switch: Netgear MS510TXPP
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| dervih |
Dodano 22-08-2010 10:23
|
User
Posty: 48
Dołączył: 14/08/2010 12:30
|
No, o iptables to bardzo proponuje poczytać. To podstawa ochrony sieci domowej. Jest to dość spójne i szerokie podejście do kwestii reguł ruchu i kierowania pakietów w routerach i nie tylko. Za pomocą iptables forwarduje się porty, blokuje się dostęp z zewnątrz, tworzy się bramę (gateway) do WANu, maskuje się sieć lokalną (masquering).
Co do Tomato, to masz opcje w zakładce debugowanie, która zapisze Ci aktualny stan iptables do pliku ("Download Iptables Dump"). Sprawdź tam, czy dla portu 1194 masz regułkę akceptującą. |
| |
|
|
| shibby |
Dodano 22-08-2010 13:43
|
SysOp
Posty: 17111
Dołączył: 15/01/2009 20:30
|
prostrzy sposob na sprawdzenie zawartosci firewalla to
cat /etc/iptables
Jezeli a openvpn wybierze sie opcje firewall auto to sam dodaje potrzebne wpisy, lacznie z otwarciem portu.
Router: Unifi Cloud Gateway Max
Switch: Netgear MS510TXPP
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| lpm11 |
Dodano 22-08-2010 14:35
|
User
Posty: 56
Dołączył: 05/03/2009 21:43
|
Problemem jest brak łączności spoza lan, np. przez zablokowany port.
Spróbuj wpisać: iptables -A INPUT -p udp --dport 1194 -j ACCEPT. |
| |
|
' target='_blank'>Link
