|
OpenVPN - polecane ustawienia IP dla Tomato i VPN
|
| radzio |
Dodano 15-09-2011 18:24
|
User
Posty: 112
Dołączył: 13/06/2011 22:02
|
Hej,
Postawiłem OpenVPN i wszystko śmiga jak należy... ale no właśnie.
W tej chwili sieć domową mam postawioną na takich ustawieniach:
Adresy IP routera 192.168.1.1/24 dla LAN (br0)
DHCP 192.168.1.2 - 192.168.1.51 dla LAN (br0)
OpenVPN: 10.8.0.0/24
Ale jak łączę z sieci, której adresem jest także 192.168.1.1 to już widzę komputerów bo się zwyczajnie nakładają sieci.
Rozwiązanie problemu wydaje się proste - użyć takiego mojej adresu sieci, aby prawdopobonieństwo takiego błędu było niskie.
Tak swoją drogą czy Waszym zdaniem danie OpenVPNowi ipków z tej samej póli co sieć domowa jest dobrym rozwiązaniem (w tym przypadku 192.168.1.0 :> )
A teraz drugie pytanie - w jaki sprytny sposób można zmienić w Tomato adres ip routera + sieci etc. W tej chwili mam też trochę wpisów w statycznym dhcp. Jak spróbowałem to zrobię ręcznie skończło się na tym, że nie mogłem dostać się do routera (nawet za pomocą mac adresu, którego router nie zna  ) i musiałem robić reseta aby wrócić do 192.168.1.1.
Macie jakieś pomysły? Dobre rady :>?
Zależy mi na tym, aby komputery podpięte bezprośrednio do routera byly widoczne od ręki w komputerze podpiętym przez OpenVPN, nie mówiąc już o udostępnionych zasobach. W rozwiązaniu, które mam obecnie musiałem ręcznie wpisywać adres ip komputera i śmigało. Mogę to przeboleć, ale... może da się to jakoś ładnie rozwiązać :>? |
| |
|
|
| Steel_Rat |
Dodano 15-09-2011 19:30
|
OL Maniac
Posty: 1831
Dołączył: 29/05/2011 22:24
|
W zakładce Podstawowe->Sieć->Lan ustawiasz nowe IP routera. (wyłącz statyczne wpisy bo i tak je musisz zmienić po zmianie podsieci).
Ustaw proaidłowy zakres DHCP - dopiero wtedy zapisz wyniki.
Powinieneś stosować adresację najmniej popularną w domu np 192.168.10.X. Wtedy nie będziesz maił problemów.
Odresację OpenVPN zostaw tak jak jest.
WRT3200ACN (WRT32X) + OpenWRT 18.06+światełko 150/150 Mb/s
Asus RT-AC68UvE1 + RMerlin + Entware
Netgear WNR3500Lv2 + DDWRT
|
| |
|
|
| radzio |
Dodano 15-09-2011 20:04
|
User
Posty: 112
Dołączył: 13/06/2011 22:02
|
Ok ;-) ze zmianą IPków sobie poradziłem ;-)
a co do VPN to już mogę sprecyzować pytanie - chcę zrobię bridge'owanie przez TAP http://www.youtube.com/watch?v=QqEine5_hO4 ale bez static key. Jakieś rady. Bo łączyć się lączy wszystko, ale coś nie bangla :/
Połączony z 15 wrzesień 2011 20:25:28:
Ok już wyczaiłem. Wszystko śmiga jak należy, ale wygląda na to, że coś nie tak jest z routingiem. Tzn
Klient łączy się z routerem router go ładnie rozpoznaje, ale pakiety klienta nie dochodządalej bo giną w pewnym momencie ;/
Jak puściłem pinga wewnątrz sieci na IP kompa podpiętego przez VPN nagle zaczęło wszystko działać. Jakieś pomysły :>?
Edytowany przez radzio dnia 15-09-2011 20:25
|
| |
|
|
| gorus1 |
Dodano 16-09-2011 01:28
|
Power User
Posty: 208
Dołączył: 13/08/2011 02:22
|
Masz dosłownie identyczny problem z tym, że u mnie klientem vpn jest router z tomato. Sieć routera serwera to 192.168.1.0/24, a routera klienta 192.168.2.0/24. Połączone są ze sobą po interfejsach tap, autoryzajca TLS, a klient vpn otrzymuje IP z DHCP serwera tj. adres 192.168.1.50. Wszystko ok. do momentu gdy chcę zapingować z hosta routera klinta vpn jakiegoś hosta za routerem serwerem vpn - nie przechodzą pingi pomimo dodania odpowiednich tras routingu natomiast komunikacja w drugą stronę przebiega bez problemu. Jedyny adres na jaki przechodzą pingi z hostów z sieci 192.168.2.0/24 to adres 192.168.1.50.
Nie wiem gdzie może leżeć problem, ale prawdopodobnie tam gdzie problem radzia.
Poniżej tablice routingu:
Serwer:
Destination Gateway Genmask Flags Metric Ref Use Iface
74XXX.XXX.XXX * 255.255.255.255 UH 0 0 0 ppp0
192.168.2.0 192.168.1.50 255.255.255.0 UG 0 0 0 br0
192.168.1.0 * 255.255.255.0 U 0 0 0 br0
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default rev74XXX.XXX 0.0.0.0 UG 0 0 0 ppp0
Klient:
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.9.1 * 255.255.255.255 UH 0 0 0 vlan1
192.168.2.0 * 255.255.255.0 U 0 0 0 br0
192.168.1.0 192.168.1.1 255.255.255.0 UG 0 0 0 tap11
192.168.1.0 * 255.255.255.0 U 0 0 0 tap11
192.168.9.0 * 255.255.255.0 U 0 0 0 vlan1
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default 192.168.9.1 0.0.0.0 UG 0 0 0 vlan1 |
| |
|
|
| radzio |
Dodano 16-09-2011 08:56
|
User
Posty: 112
Dołączył: 13/06/2011 22:02
|
Hm... a u mnie ciekawe rzeczy się porobiły ;D
Na windowsie wszystko śmiga, aczkolwiek musi minąć chwila zanim wszystko zacznie siebie widzieć... także mam wrażenie, jakby rzeczywiście coś z routingiem było nie tak...
Spróbowałem się na ubuntu podpiąć do VPN i nie zadziałał DHCP :| i musiałem wykonać takie operacje:
$ sudo openvpn --config config.ovpn
$ sudo ifconfig tap0 192.10.9.10 netmask 255.255.255.0 up
$ sudo route add -net 192.10.9.0 netmask 255.255.255.0 tap0
wtedy poszło. Może trzeba jakieś routes dodać do plików config vpn, aby śmigało lepiej :>?. |
| |
|
|
| venonx |
Dodano 17-09-2011 13:11
|
User
Posty: 2
Dołączył: 01/07/2008 17:50
|
Mam coś podobnego.
Router na Tomato by Shibby jest klientem OpenVPN.
Serwer VPN jest w sieci 192.168.0.0/24 i przekuje tablice routingu do klienta w konfiguracji linijka:
push "route 192.168.0.0 255.255.255.0"
ja mam sieć 192.168.1.0/24 i nie widzę żadnych kompów z sieci 192.168.0.0/24.
Jednak z samego routera Tomato można pingować kompy z tej sieci.
Wygląda to tak jakby Tomato nie przekazywało pakietów.
Na tej wersji wszystko działa: http://tomatovpn.keithmoyer.com/searc...el/release bez żadnych zmian w ustawieniach.
Edytowany przez venonx dnia 17-09-2011 13:24
|
| |
|
|
| gorus1 |
Dodano 19-09-2011 01:45
|
Power User
Posty: 208
Dołączył: 13/08/2011 02:22
|
Witaj venonx. Również korzystałem z tomto by shibby, ale pisząc posta nie wspomniałem o tym ponieważ nie przypuszczałem, że akurat w oprogramowaniu może leżeć przyczyna. Twój post zmobilizował mnie do przetestowania oprogramowania z linku, który podałeś. Otóż co się okazało: tomato RAF by shibby powoduje problemy z routingiem, ale tylko wtedy jeżeli openvpn na tym oprogramowaniu jest uruchomiony jako klient. Jeżeli natomiast serwer openvpn jest uruchomiony na tomato by shibby, a klient na tomato z Twojego linku to routing działa bez problemu w obydwie strony. Już wcześniej miałem z tym problemy w innych konfiguracjach vpn (pisałem również posty na tym forum dotyczące routingu ,jednak bez odzewu), ale nie przypuszczałem, że przyczyna tkwi w oprogramowaniu...
Edytowany przez gorus1 dnia 19-09-2011 01:55
|
| |
|
|
| krzysionet |
Dodano 19-09-2011 12:44
|
User
Posty: 10
Dołączył: 28/08/2008 14:26
|
Jest problem z VPNem, przynajmniej z klientem, od wersji 065 w górę. |
| |
|
|
| shibby |
Dodano 19-09-2011 15:18
|
SysOp
Posty: 17147
Dołączył: 15/01/2009 20:30
|
poprostu w tomato-vlan wszystkie interfejsy są izolowane od siebie. Musisz zezwolić na komunikację.
dla przykładu:
iptables -A FORWARD -i br0 -o tun21 -j ACCEPT
tyle wystarczy dodać do firewalla. Oczywiście br i tun musisz ustawić pod siebie.
Router: Unifi Cloud Gateway Max
Switch: Unifi USW-Lite-16-PoE
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 4x 2TB SSD
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| gorus1 |
Dodano 19-09-2011 16:34
|
Power User
Posty: 208
Dołączył: 13/08/2011 02:22
|
To co powiesz na to:
jeżeli mam konfigurację opartą o statickey to komunikacja działa w obydwie strony natomiast jeżeli wybieram TLS to jest problem z dostępem do hostów za klientem z hostów za serwerem. Serwer i klient vpn na tomato, a trasy routingu w obydwu przypadkach wpisane w custom configuration vpn. Gdzie szukać przyczyny skoro w obydwu konfiguracjach odpowiednie trasy są widoczne w zakładce advenced/routing? Powyższa regułka do firewalla także nic nie daje.
gorus1 załączono następujące plik:
Nie masz uprawnień, by zobaczyć załączniki w tym wątku.
|
| |
|
|
| venonx |
Dodano 19-09-2011 20:18
|
User
Posty: 2
Dołączył: 01/07/2008 17:50
|
Cytat shibby napisał(a):
poprostu w tomato-vlan wszystkie interfejsy są izolowane od siebie. Musisz zezwolić na komunikację.
dla przykładu:
iptables -A FORWARD -i br0 -o tun21 -j ACCEPT
tyle wystarczy dodać do firewalla. Oczywiście br i tun musisz ustawić pod siebie.
Tak myślałem, że ma to związek z VLan`em, Dzięki shibby regułka działa. |
| |
|
|
| radzio |
Dodano 28-09-2011 10:57
|
User
Posty: 112
Dołączył: 13/06/2011 22:02
|
Cytat venonx napisał(a):
Cytat shibby napisał(a):
poprostu w tomato-vlan wszystkie interfejsy są izolowane od siebie. Musisz zezwolić na komunikację.
dla przykładu:
iptables -A FORWARD -i br0 -o tun21 -j ACCEPT
tyle wystarczy dodać do firewalla. Oczywiście br i tun musisz ustawić pod siebie.
Tak myślałem, że ma to związek z VLan`em, Dzięki shibby regułka działa.
Głupie pytanie, ale gdzie to polecenie wpisać? Przez SSH czy jakoś przez GUI Tomato?
Tak BTW - jak zachować w tomato takie ustawienia + np statyczne IP i inne między upgrade'ami Tomato? Jest jakaś dobra metoda na to? |
| |
|
|
| LDevil |
Dodano 04-10-2011 23:07
|
User
Posty: 76
Dołączył: 04/08/2011 10:44
|
Mam pewien problem z VPNem, konfiguracja wygląda tak:
SerwerVPN: 192.168.1.1/24, klientVPN 192.168.35.1/24
Podczas wykonanie komendy ping 192.168.1.120 z komputera z sieci klienta nie dochodzą odpowiedzi na pakiety. Po uruhomieniu tcpdumpa na routerze klienckim widzimy coś takiego:
[root@router root]$ tcpdump -ni tun11
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun11, link-type RAW (Raw IP), capture size 68 bytes
22:45:20.707509 IP 31.174.197.155 > 192.168.1.120: ICMP echo request, id 1, seq 6046, length 40
22:45:25.711608 IP 31.174.197.155 > 192.168.1.120: ICMP echo request, id 1, seq 6047, length 40
Gdzie ip 31.174.197.155 to zewnętrzny ip routera klienckiego.
W tym samym czasie próba wbicia się na adres 192.168.1.120 udaje się bez problemu, tcpdump pokazuje normalne adresy ip:
23:00:33.451537 IP 10.8.0.6.63503 > 192.168.1.120.80: Flags [.], ack 432, win 16308, length 0
23:00:33.456153 IP 10.8.0.6.63503 > 192.168.1.120.80: Flags [F.], seq 421, ack 432, win 16308, length 0
2
Po pewnym czasie pingowanie adresu 192.168.1.120 zaczyna działać:
23:03:49.938456 IP 10.8.0.6 > 192.168.1.120: ICMP echo request, id 1, seq 6183, length 40
23:03:50.391009 IP 192.168.1.120 > 10.8.0.6: ICMP echo reply, id 1, seq 6183, length 40
Oczywiście w międzyczasie nie zmieniam nic na żadnym routerze. Jedyne co robię, to pingowanie innych ipków lub próba wbicia się na www na adresie 192.168.1.120.
Ustawienia routingu w routerze klienckim wyglądają tak:
[root@router root]$ route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.8.0.5 * 255.255.255.255 UH 0 0 0 tun11
10.64.64.64 * 255.255.255.255 UH 0 0 0 ppp0
192.168.35.0 * 255.255.255.0 U 0 0 0 br0
10.8.0.0 10.8.0.5 255.255.255.0 UG 0 0 0 tun11
192.168.1.0 10.8.0.5 255.255.255.0 UG 0 0 0 tun11
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default 10.64.64.64 0.0.0.0 UG 0 0 0 ppp0
Czy wie ktoś czym te cuda mogą być spowodowane?
Tomato v2020.3 MIPSR2 K26 USB VPN
|
| |
|
' target='_blank'>Link
