|
2 lokalne sieci przez VPN
|
| adam_kasprzak |
Dodano 06-02-2011 15:41
|
User
Posty: 8
Dołączył: 06/02/2011 15:25
|
Witajcie!
Jest to mój pierwszy post na tym forum i chciałbym się przywitać. Także dzień dobry 
Chcialbym również podziękować za poniższy tutorial:
http://openlinksys.info/forum/viewthr...d_id=10065
Mój problem będzie polegał na zestawieniu połączenia VPN 2 sieci lokalnych. Routery są podłączone do stałego łącza.
Do dyspozycji mam 2 WRT54GL z Tomato Firmware v1.25vpn3.4.4a8380cb VPN integration and GUI Copyright (C) 2008 Keith Moyer, tomatovpn@keithmoyer.com.
Moje małe pytanie: Czy bazując na przytoczonym tutorialu dam radę takie połączenie zestawić?
Wyobrażam sobie tak, że na obu routerach ustawię przydzielanie DHCP w taki sposó, żeby numery się nie nachodziły. Nie wiem jeszcze jak i co ustawię, aby przypisywanie adresów odbywało się na "lokalnym" routerze. Najwyżej ustwię przypisywanie przez MAC adresy.
Mam zamiar zabrać się za to jutro i chciałbym, aby zakończyło się sukcesem w tym samym dniu
Czy mógłby mi ktoś obeznany powiedzieć jakie problemy mogę napotkać po drodze?
Z góry dzięki za odpowiedzi!
Pozdrawiam,
Adam
www.blog.adamkasprzak.com
|
| |
|
|
| pol1 |
Dodano 07-02-2011 11:13
|
User
Posty: 65
Dołączył: 04/07/2008 13:41
|
Czy dobrze rozumiem? Chcesz, żeby 2 routery dzielone przez Internet tworzyły wspólną sieć i komputery widziały siebie w tej wspólnej sieci?
Sieć:
komputery1 => router1 <- Internet -> router2 <= komputery2
Komputery widzą siebie na wzajem:
komputery1 <-> komputery2
O to chodzi?
3x Asus RT-N66U + tomato-K26USB-1.28.RT-N5x-MIPSR2-112-AIO-64K
Asus RT-N10U + tomato-K26USB-1.28.RT-N5x-MIPSR2-107-VPN
Asus RT-N16 + tomato-K26USB-1.28.RT5x-MIPSR2-083V-Big-VPN
2x Linksys WRT-54GL + TomatoVPN v1.27vpn3.6.4 b
|
| |
|
|
| adam_kasprzak |
Dodano 07-02-2011 11:25
|
User
Posty: 8
Dołączył: 06/02/2011 15:25
|
Dokładnie tak jak piszesz
siec 1 => router1 <- Internet -> router2 <= siec 2
Idealnie by było, gdyby komputery z sieci 1 widziały się z komputerami z sieci 2, ale najbardziej zależy mi, aby widzieć dwa serwery z sieci 1 w sieci 2.
Nie rozumiem, jak mogłyby się te komputery widzieć, jeżeli mają różną numerację IP (a czytałem, że tak powinno być).
Po przeczytaniu Twojej odpowiedzi, zacytuję kawałek  :
Cytat Powiem tak: przez 2 dni nasza sieć tak działała. Komputery nie widziały siebie w grupie roboczej, ale działały po PING. Byłem w stanie ping-ować z "sieci 2" komputery z "sieci 1". Niestety w drugą stronę to działało tylko czasami, a dokładniej tylko wtedy, gdy były włączone "komputery 2" i był ruch z "sieci 2" w kierunku "sieci 1". Przy braku ruchu połączenie zamierało.
To było o tyle uciążliwe, że nie mogłem wejść z "sieci 1" w dowolnym czasie do "routera 2" i włączyć komputerów poprzez "Wake On LAN", więc w końcu zrezygnowałem z tego pomysłu, zwłaszcza, że routery były obciążone (routery mają słabe procesory).
Chyba zostanę przy rozwiązaniu:
siec2 widzi komputery w sieci1 ( w sumie w drugą stronie w ogóle mi to nie jest potrzebne)
Rozumiem, że w tym momencie muszę jedynie wygenerować klucze openvpn, na routerze w sieci1 ustawić serwer, a na routerze w sieci2 ustawić klient?
Do czego odnoszą się numery w sekcji: "VPN subnet/netmask"?
www.blog.adamkasprzak.com
|
| |
|
|
| pol1 |
Dodano 07-02-2011 11:37
|
User
Posty: 65
Dołączył: 04/07/2008 13:41
|
Jeżeli takie rozwiązanie Ci odpowiada to musisz "router 1" skonfigurować jako serwer OpenVPN, a "router 2" jako klient.
Popatrz dokładnie na moje zrzuty ekranu z mojego wątku:
http://openlinksys.info/forum/viewthr...d_id=11789
Tam bardzo dokładnie to opisałem. Jest to połączenie oparte o współdzielony klucz statyczny. W tym przypadku jest to najlepsze rozwiązanie. Klucz taki można wygenerować mając na komputerze oprogramowanie OpenVPN GUI dla Windows.
3x Asus RT-N66U + tomato-K26USB-1.28.RT-N5x-MIPSR2-112-AIO-64K
Asus RT-N10U + tomato-K26USB-1.28.RT-N5x-MIPSR2-107-VPN
Asus RT-N16 + tomato-K26USB-1.28.RT5x-MIPSR2-083V-Big-VPN
2x Linksys WRT-54GL + TomatoVPN v1.27vpn3.6.4 b
|
| |
|
|
| adam_kasprzak |
Dodano 07-02-2011 11:39
|
User
Posty: 8
Dołączył: 06/02/2011 15:25
|
Super! Dzisiaj będę generował klucze a jutro jadę do firmy i zajmę sie konfiguracją routera. Klucze muszą być "wklejone" na obydwu routerach oczywiście?
Jak wszystko skonfiguruję, wrzucę swoje screeny.
www.blog.adamkasprzak.com
|
| |
|
|
| pol1 |
Dodano 07-02-2011 11:51
|
User
Posty: 65
Dołączył: 04/07/2008 13:41
|
Tak, na obydwu routerach muszą być wklejone takie same klucze.
3x Asus RT-N66U + tomato-K26USB-1.28.RT-N5x-MIPSR2-112-AIO-64K
Asus RT-N10U + tomato-K26USB-1.28.RT-N5x-MIPSR2-107-VPN
Asus RT-N16 + tomato-K26USB-1.28.RT5x-MIPSR2-083V-Big-VPN
2x Linksys WRT-54GL + TomatoVPN v1.27vpn3.6.4 b
|
| |
|
|
| adam_kasprzak |
Dodano 22-02-2011 13:45
|
User
Posty: 8
Dołączył: 06/02/2011 15:25
|
W końcu znalazłem trochę czasu, żeby się za to wziąć
Niestety nie poszło tak gładko jak myślałem, że pójdzie. Zrobiłem wszystko krok po kroku, tak jak w tutorialach. Moje konfiguracje poniżej są. niebieski - serwer, czerwony - klient.
 
jakieś pomysły co by tu zmienić?
Aha, po stronie serwera numeracja jest 192.168.0.X, a po stronie klienta 192.168.1.X
Powinienem móc pingować 192.168.0.X ze strony klienta, jeżeli wszystko będzie ok ustawione?
EDIT////////////
Ok, przejrzałem jeszcze raz wątek kolegi "polbud" i skumałem się, że trzeba wszystko oprzeć o static key. Zrobiłem tak i nadal nie śmiga:
 
Edytowany przez adam_kasprzak dnia 22-02-2011 15:24
www.blog.adamkasprzak.com
|
| |
|
|
| adam_kasprzak |
Dodano 22-02-2011 16:02
|
User
Posty: 8
Dołączył: 06/02/2011 15:25
|
Dodałem skrypty WAN UP:
http://openlinksys.info/forum/viewthr...post_75438
oraz wpis w tablicy rutingu na kliencie:
route 192.168.0.0/24 dev tun11
coś się chyba ruszyło, ale nadal nie mogę pingować komputerów po stronie serwera
Sprawdziłem teraz o po stronie serwera w General Statistics wszystkie wartości są zerowe. Bardzo liczę na Waszą pomoc!
Edytowany przez adam_kasprzak dnia 22-02-2011 16:10
www.blog.adamkasprzak.com
|
| |
|
|
| pol1 |
Dodano 26-02-2011 11:09
|
User
Posty: 65
Dołączył: 04/07/2008 13:41
|
Czyli działa PING z komputerów1 za routerem-serwerem do komputerów2 za routerem-klientem, ale nie działa już na odwrót?
Fajnie, że ustawiłeś różne kolory na Tomato w routerach. Lepiej się to przegląda.
Przejrzałem zrzuty ekranu i w konfiguracji nie widzę błędów. Ciekawi mnie jedynie trasowanie.
Czy mógłbyś na routerach się zalogować przez Telnet i sprawdzić trasowanie?
polecenie: route -e
Chciałem Ci przypomnieć, że u mnie generalnie komunikacja również była jednostronna. Komputery z sieci2 (klienta) mogły PINGować komputery z sieci1. Komputery z sieci1 (serwera) już nie mogły PINGować drugich komputerów. Komunikacja obustronna zdarzała się jedynie chwilowo, gdy komputery z sieci2 (klienta) generowały ruch ciągły w stronę sieci1 (serwera), co tak naprawdę nie było za bardzo pomocne:
Polaczenie 2 sieci LAN przy pomocy TomatoVPN
http://openlinksys.info/forum/viewthr...d_id=11789
Podobnie z resztą (jak u mnie) było u użytkownika nerio88:
Tomato - połączenie 2 lokalizacji OpenVPN
http://openlinksys.info/forum/viewthr...light=jedn
Nam tych problemów nie udało się wtedy rozwiązać.
Ostatecznie poszliśmy w zupełnie innym kierunku.
3x Asus RT-N66U + tomato-K26USB-1.28.RT-N5x-MIPSR2-112-AIO-64K
Asus RT-N10U + tomato-K26USB-1.28.RT-N5x-MIPSR2-107-VPN
Asus RT-N16 + tomato-K26USB-1.28.RT5x-MIPSR2-083V-Big-VPN
2x Linksys WRT-54GL + TomatoVPN v1.27vpn3.6.4 b
|
| |
|
|
| adam_kasprzak |
Dodano 26-02-2011 11:14
|
User
Posty: 8
Dołączył: 06/02/2011 15:25
|
Gdybym mógł pingować kompy po stronie serwera nie byłoby problemu :) właśnie nie mogę. Mogę jedynie pingować sam router-serwer po 10.8.0.1. Polecenie route na kliencie wygląda tak:
Destination Gateway Genmask Flags MSS Window irtt Iface
10.8.0.1 * 255.255.255.255 UH 40 0 0 tun11
192.168.1.0 * 255.255.255.0 U 40 0 0 br0
84.XX.XX.0 * 255.255.255.0 U 40 0 0 vlan1
127.0.0.0 * 255.0.0.0 U 40 0 0 lo
default 84-XX-XX-1.metr 0.0.0.0 UG 40 0 0 vlan1
Na serwerowym:
10.8.0.2 * 255.255.255.255 0 tun21
79.XXX.XXX.80 * 255.255.255.248 0 vlan1 (WAN)
192.168.0.0 * 255.255.255.0 0 br0 (LAN)
127.0.0.0 * 255.0.0.0 0 lo
default 79.XX.XXX.81 0.0.0.0 0 vlan1 (WAN)
Na początku myślałem, że problemem jest to, że router serwerowy jakby nie działa przez to, że mam poblokowane wszystkie porty oprócz wychodzącego maila no i właśnie 1194 do komunikacji VPN, ale to nie to jest problemem...
Upewnię się, że dobrze myślę :) Czy jeżeli wszysto będzie śmigać tak jak powinno, to na kompie podłączonym do klienta (IP: 192.168.1.190) mogę zapuścić pinga na IP:192.168.0.113 (po stronie serwera) i powinienem dostać odpowiedź?
A jeżeli mogę się jeszcze spytać - jakiego narzędzia używacie teraz?
Edytowany przez adam_kasprzak dnia 26-02-2011 11:27
www.blog.adamkasprzak.com
|
| |
|
|
| pol1 |
Dodano 28-02-2011 08:05
|
User
Posty: 65
Dołączył: 04/07/2008 13:41
|
Kurczę, nie widzę błędów. Dziwne. Wszystko wygląda ok...
Spróbuję skontaktować się z nerio88, może on zauważy to, czego ja nie widzę.
Co do pingów to u mnie działało dokładnie analogicznie do tego co napisałeś (pingi działały z komputerów od klienta w kierunku komputerów zza serwera).
Ja używam routery Linksys WRT54GL (mam obecnie 3 sztuki) + oprogramowanie TomatoVPN 1.27.
nerio88 napisał, że pracuje na oprogramowaniu 1.28-ND STD (czyli TomatoUSB)
3x Asus RT-N66U + tomato-K26USB-1.28.RT-N5x-MIPSR2-112-AIO-64K
Asus RT-N10U + tomato-K26USB-1.28.RT-N5x-MIPSR2-107-VPN
Asus RT-N16 + tomato-K26USB-1.28.RT5x-MIPSR2-083V-Big-VPN
2x Linksys WRT-54GL + TomatoVPN v1.27vpn3.6.4 b
|
| |
|
|
| nerio88 |
Dodano 28-02-2011 23:11
|
User
Posty: 175
Dołączył: 10/06/2010 21:50
|
IMO nie masz dodanych tras... a jak nie ma tras to router nie wie którędy przesłać danych ruch
czyli:
- potrzebujesz tras na OBU routerach (do komunikacji potrzeba informacji na obu urządzeniach), czyli na tym co ma pod sobą podsieć 192.168.0.0/24 trasę do sieci 192.168.1,0/24, a ten co ma pod sobą 192.168.1.0/24 trasę do sieci 192.168.0.0/24
Ciężko tutaj jednoznacznie określić, czy powinieneś to mieć w postaci jakiegoś skryptu, czy dodać w odpowiedniej zakładce Tomato, bo trasy NIE DODASZ jeżeli nie istnieje interfejs, którym mają wychodzić pakiety (a jak nie trudno się domyślić - odpowiednie interfejsy tun podnoszą się razem z tunelem...)
W temacie podanym przez polbud'a nadmieniłem o tym jak dodać trasy z palca z użyciem połączenia ssh do odpowiedniego routera (można to potem dodać do harmonogramu co x czasu - jak tunel się podniesie to polecenie zostanie wykonane poprawnie)...
http://openlinksys.info/forum/viewthr...post_75438
http://openlinksys.info/forum/viewthr...post_75571
Widać, że trasa poprawnie dodała się po jakimś czasie...
Obecnie nie mam dostępu do Tomato z klientem / serwerem VPN. Na moje potrzeby wystarcza tunel SSH - http://openlinksys.info/forum/viewthr...d_id=11745 |
| |
|
|
| adam_kasprzak |
Dodano 01-03-2011 09:26
|
User
Posty: 8
Dołączył: 06/02/2011 15:25
|
Dzięki za odpowiedzi!
Z tablicą routingu jest dosyć śmieszna sprawa - dodaję wpis przez telnet, potem restartuje router (lub zapisuję zaminy) i wpis znika. Na razie nie będę tracił czasu na Tomato (dam sobie powiedzmytydzień przerwy )
Dzisiaj zainstaluję WServ2008 i tam ustawię serwer VPN - zobaczymy jak to zadziała...
ciężka sprawa z tym VPN...
www.blog.adamkasprzak.com
|
| |
|
|
| nerio88 |
Dodano 01-03-2011 12:05
|
User
Posty: 175
Dołączył: 10/06/2010 21:50
|
jeżeli restartujesz router to wpisy siłą rzeczy wyparowują... |
| |
|
|
| pol1 |
Dodano 01-03-2011 14:04
|
User
Posty: 65
Dołączył: 04/07/2008 13:41
|
Ja z czasem porzuciłem pomysł z TUN łączący 2 routery na stałe. Pozostałem przy sprawdzonym tunelu TAP.
Postawiłem oddzielnie na obu routerach serwery TAP. Żeby sobie ułatwić - z identycznym certyfikatem CA, certyfikatem i kluczem serwera.
Dzięki temu:
1. Pozbyłem się problemów z jednostronną komunikacją
2. Router główny stał się mniej obciążony
3. Miałem dostęp do drugiego routera wtedy kiedy chciałem (włącznie z opcją Wake On LAN, na której mi bardzo zależało)
4. Łatwiej można diagnozować ewentualne problemy z pojedynczymi klientami
5. Zaczął działać NetBIOS, co oznacza, że mogłem widzieć wszystkie komputery w obu sieciach i pingować je po nazwach, a nie tylko po adresie IP
3x Asus RT-N66U + tomato-K26USB-1.28.RT-N5x-MIPSR2-112-AIO-64K
Asus RT-N10U + tomato-K26USB-1.28.RT-N5x-MIPSR2-107-VPN
Asus RT-N16 + tomato-K26USB-1.28.RT5x-MIPSR2-083V-Big-VPN
2x Linksys WRT-54GL + TomatoVPN v1.27vpn3.6.4 b
|
| |
|
|
| pol1 |
Dodano 13-03-2011 12:55
|
User
Posty: 65
Dołączył: 04/07/2008 13:41
|
Jak tam poszło? Co ostatecznie zrobiłeś?
3x Asus RT-N66U + tomato-K26USB-1.28.RT-N5x-MIPSR2-112-AIO-64K
Asus RT-N10U + tomato-K26USB-1.28.RT-N5x-MIPSR2-107-VPN
Asus RT-N16 + tomato-K26USB-1.28.RT5x-MIPSR2-083V-Big-VPN
2x Linksys WRT-54GL + TomatoVPN v1.27vpn3.6.4 b
|
| |
|
|
| adam_kasprzak |
Dodano 19-07-2011 15:43
|
User
Posty: 8
Dołączył: 06/02/2011 15:25
|
Bardzo Was przepraszam za brak odpowiedzi w tym temacie. Temat był na dłuższy czas porzucony z powodu ważniejszych spraw. Ale koniec końców muszę do niego powrócić. W chwili obecnej próbuję uruchomić serer VPN na Mac OS Snow Leopard Server. Do dzisiaj nie udało mi się połączyć dwóch linksysów ze sobą...
www.blog.adamkasprzak.com
|
| |
|
' target='_blank'>Link
