|
Openvpn site to site problemy
|
| g4ce |
Dodano 20-09-2011 14:44
|
User
Posty: 5
Dołączył: 24/09/2010 10:27
|
Witam.
Chcialbym skonfigurowac OpenVPN na dwoch urzadzeniach z oprogramowaniem Tomato aby dzialaly w systemie site to site(obie sieci widoczne w kazda strone), przekopalem cale google i niestety nie moge poradzic sobie z tym problemem.
Jeden z nich robi za serwer vpn drugi za klienta . Tunel sie ladnie zestawia, mam mozliwosc pingowania podsieci za serwerem i korzystania z jej zasobow jednak w druga strone niestety to nie dziala. Dla testow wylaczalem iptables. Niestety zero rezultatow. Prosze o pomoc.. |
| |
|
|
| Nimloth |
Dodano 20-09-2011 14:49
|
User
Posty: 19
Dołączył: 19/07/2011 08:08
|
Pokaz configi |
| |
|
|
| g4ce |
Dodano 20-09-2011 15:10
|
User
Posty: 5
Dołączył: 24/09/2010 10:27
|
Adresacja sieci:
po stronie serwera vpn 10.10.10.0
po stronie klienta vpn 10.10.20.0
# Automatically generated configuration
daemon
server 10.0.8.0 255.255.255.0
proto udp
port 1194
dev tun21
comp-lzo adaptive
keepalive 15 60
verb 3
push "route 10.10.10.0 255.255.255.0"
client-config-dir ccd
client-to-client
ca ca.crt
dh dh.pem
cert server.crt
key server.key
status-version 2
status status
# Custom Configuration |
| |
|
|
| tecumseh |
Dodano 20-09-2011 15:52
|
User
Posty: 45
Dołączył: 23/10/2008 15:35
|
Aby routing działał pomiędzy serwerem, a klientem musisz na zakladce Advanced w ustawieniach VPN na serwerze, zaznaczyc opcje Manage Client-Specific Options i w tabeli ponizej wpisac odpowiedni CommonName, siec i maske dla podsieci klienta.
|
| |
|
|
| g4ce |
Dodano 20-09-2011 16:07
|
User
Posty: 5
Dołączył: 24/09/2010 10:27
|
Niestety ustawienie tego powoduje calkowity zanik sieci po stronie klienta. Nie moge nawet pingowac routera klienckiego |
| |
|
|
| tecumseh |
Dodano 20-09-2011 16:14
|
User
Posty: 45
Dołączył: 23/10/2008 15:35
|
KanałVPN zestawia sie poprawnie? Jak wersja tomato?
|
| |
|
|
| g4ce |
Dodano 20-09-2011 16:16
|
User
Posty: 5
Dołączył: 24/09/2010 10:27
|
Tak zestawia sie poprawnie. Wersja 1.27 |
| |
|
|
| gorus1 |
Dodano 20-09-2011 16:20
|
Power User
Posty: 208
Dołączył: 13/08/2011 02:22
|
Miałem dokładnie, ale to dokładnie taki sam problem i takie same objawy i dołączam się do postu choć przypuszczam, że problem pozostanie nie rozwiązany gdyż sam już pisałem o tym chociażby tu http://www.openlinksys.info/forum/vie...d_id=13280 i wydaje się jakoby nikt nie znał recepty.
g4ce spróbuj w ustawieniach serwera vpn dopisać w zakładce advenced
route 10.10.20.0 255.255.255.0 |
| |
|
|
| Nimloth |
Dodano 20-09-2011 21:40
|
User
Posty: 19
Dołączył: 19/07/2011 08:08
|
Mialem ten sam problem ... niestety przy tym rozwiazaniu serwer nie bedzie mogl pingowac LAN'u po stronie klienta.
Musisz zmienic cala architekture na ifconfig
Moje przyklady:
1) Serwer
dev tun0
ifconfig 10.62.1.1 10.62.1.2
tls-server
dh /etc/openvpn/keys/dh1024.pem
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
crl-verify /etc/openvpn/keys/crl.pem
tls-auth /etc/openvpn/keys/ta.key 0
port 1194
user nobody
group nogroup
comp-lzo
ping 15
ping-restart 45
ping-timer-rem
persist-tun
persist-key
verb 3
cipher DES-EDE3-CBC # Triple-DES
2) Klient
# Automatically generated configuration
daemon
dev tun11
proto udp
remote x.x.x.x 1194
resolv-retry infinite
nobind
persist-key
persist-tun
comp-lzo yes
cipher DES-EDE3-CBC
verb 3
status-version 2
status status
# Custom Configuration
client
ifconfig 10.62.1.2 10.62.1.1
#pull
tls-client
ca /opt/ca.crt
cert /opt/xxx.crt
key /opt/xxx.key
tls-auth /opt/ta.key 1
ns-cert-type server
ping 15
ping-restart 45
Push route i route juz sam sobie dopisz wedlug wlasnych ustawien.
Wada tego rozwiazania jest ze dla kazdego nowego tunelu musisz tworzyc kolejna konfiguracje i wystartowac kolejna sesje openvpn na serwerze
Edytowany przez Nimloth dnia 20-09-2011 21:52
|
| |
|
|
| gorus1 |
Dodano 21-09-2011 00:50
|
Power User
Posty: 208
Dołączył: 13/08/2011 02:22
|
Właśnie o to mi chodziło. Dzięki wielkie. Domniemam, że swoją konfigurację serwera wpisuję w zakładkę "advenced" i w pole "custom configuration". Jednak jak tam to wklejam to serwer nie chce wstać. Zasadniczo chodzi o to w jaki sposób uruchomić swoją konfigurację nie uruchamiając automatycznej konfiguracji?
Edytowany przez gorus1 dnia 21-09-2011 01:06
|
| |
|
|
| g4ce |
Dodano 21-09-2011 09:43
|
User
Posty: 5
Dołączył: 24/09/2010 10:27
|
U mnie na tomato konfig generuje sie w locie. Jak temu zaradzic? |
| |
|
|
| Nimloth |
Dodano 21-09-2011 13:13
|
User
Posty: 19
Dołączył: 19/07/2011 08:08
|
Zmiencie opcje Authorization Mode na Custom i wpisujcie wszystko w Advanced
Konfig dalej bedzie generowal sie w locie ale z waszymi recznie ustawionymi parametrami. |
| |
|
|
| gorus1 |
Dodano 21-09-2011 15:04
|
Power User
Posty: 208
Dołączył: 13/08/2011 02:22
|
Dzięki za wyjaśnienia. Faktycznie, że nowe ustawienia zapisują się w katalogu /etc/openvpn. Nie rozumiem tylko tych dwóch wpisów:
crl-verify /etc/openvpn/keys/crl.pem
tls-auth /etc/openvpn/keys/ta.key 0
tzn. nie tyle nie rozumiem, co nie mam tych dówch plików u siebie (pozostałe tzn. certyfikaty i klucze znikają po restarcie routera). Poza tym moja konfigracja zapisuje się w /etc/openvpn/server1/config.ovpn. Skąd u Ciebie katalog "keys? Sam go tam utworzyłeś? Jeszcze jedno, jeżeli wybieram typ autoryzacji na "custom" to wtedy nic nie mogę wpisać w zakładkę "keys". Czy muszę je ręcznie wgrać?
Edytowany przez gorus1 dnia 21-09-2011 15:27
|
| |
|
|
| Nimloth |
Dodano 21-09-2011 15:43
|
User
Posty: 19
Dołączył: 19/07/2011 08:08
|
Ten przyklad jest akurat z serwera Ubuntu ... ale w tomato mozesz uzyc partycji, ktora zostaje po restarcie, np. JFFS badz zewnetrzna pamiec (pendrive)
To sa dodatkowe klucze i nie musisz ich uzywac u siebie.
PS. sekcja client ktora podalem jest zrobiona na tomato i jak widzisz ja zapisalem klucze na zewnetrznego pena podmontowanego pod /opt
Opis jak podmontowac pen pod opt znajdziesz (nie wszystko z tego opisu jest Ci potrzebne):
http://openlinksys.info/forum/viewthread.php?thread_id=7607
Jak masz custom to klucze wpisujesz wedlug formatu:
dh /opt/keys/dh1024.pem
ca /opt/keys/ca.crt
cert /opt/keys/server.crt
key /opt/keys/server.key
crl-verify /opt/keys/crl.pem
tls-auth /optn/keys/ta.key 0
Oczywiscie ilosc kluczy jak i sciezki sam musis zpod siebie dostosowac ... bierz przyklad z sekcji client |
| |
|
|
| gorus1 |
Dodano 21-09-2011 18:10
|
Power User
Posty: 208
Dołączył: 13/08/2011 02:22
|
Użyłem do tego CIFS Client - działa wyśmienicie, ale wolałbym mieć te certyfikaty na routerze. Czy da się je jakoś na stałe zaimplementować bez użycia JFFS? Chyba, że jest możliwość uruchomienia tej partycji pod tomato K26-1.28.905xRAF-EN-MIPSR1-065V-VPN na routerze WRT54GL...
Połączony z 22 wrzesień 2011 18:55:33:
Cytat Wada tego rozwiazania jest ze dla kazdego nowego tunelu musisz tworzyc kolejna konfiguracje i wystartowac kolejna sesje openvpn na serwerze
W tomato vpn jest zakładka server1 i server2, mam rozumieć, że można odpalić tylko dwie sesje czy też manualnie można odpalić ich więcej?
Edytowany przez gorus1 dnia 22-09-2011 18:56
|
| |
|
|
| MEXYK |
Dodano 06-12-2011 19:39
|
User
Posty: 18
Dołączył: 26/01/2010 14:27
|
Pytanie do wszystkich, którzy wdrożyli już OpenVPN, i czynnie z niego korzystają 
Czy próbował ktoś odwoływać certyfikat danego klienta, jeśli tak to z jakim skutkiem ? |
| |
|
' target='_blank'>Link
