Hej,
Usiłuję połączyć dwie sieci LAN. W jednej stoi router, który jest serwerem OpenVPN (wszystko śmiga dobrze i klienci mogą się podłączyć, używam tap, a nie tun, czyli mam bridge-mode).
Router ma ip: 10.89.9.1 i ze swojej puli DHCP daje IP klientom podpiętym przez OpenVPNa. Oprócz tego w firefallu mam:
Cytat iptables -I FORWARD -i br0 -o tap21 -j ACCEPT
iptables -I FORWARD -i tap21 -o br0 -j ACCEPT
Na windowsach klientom działa to bezproblemowo. Na Ubuntu musiałem napisać taki skrypt w bashu, aby to śmigało:
#!/bin/bash
sudo cd ~
sudo openvpn --config ~/OpenVPN/config/client.ovpn &
for (( i=1; $i <= 20; i++ )) ;
do
echo " Waiting: $i"
sleep 1
done
echo "Adding routes for tap0..."
sudo ifconfig tap0 10.89.9.8 netmask 255.255.255.0 up
sudo route add -net 10.89.9.0 netmask 255.255.255.0 tap0
echo "Done"
echo "Press any key to close OpenVPN connection..."
read
echo "Exiting..."
sudo ifconfig tap0 down
sudo killall openvpn
sudo tunctl -d tap0
Teraz chcę podpiąć całą sieć LAN. W tym celu na allegro kupiłem WRT54G 3.1 i śmiga na nim już tomato z openvpn na pokładzie (przy okazji mógłby ktoś odpowiedzieć na to pytanie. Po zrobieniu kluczy, certyfikatów itd. klient router łączy się z serwerem, ale... klient nie dostaje swojego IP...
Logi z klienta:
Oct 26 10:52:12 unknown daemon.notice openvpn[989]: OpenVPN 2.1.1 mipsel-unknown-linux-gnu [SSL] [LZO2] built on Jan 31 2010
Oct 26 10:52:12 unknown daemon.warn openvpn[989]: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Oct 26 10:52:12 unknown daemon.warn openvpn[989]: NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Oct 26 10:52:12 unknown daemon.notice openvpn[989]: LZO compression initialized
Oct 26 10:52:12 unknown daemon.notice openvpn[989]: Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Oct 26 10:52:12 unknown daemon.notice openvpn[989]: Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Oct 26 10:52:12 unknown daemon.notice openvpn[993]: Socket Buffers: R=[32767->65534] S=[32767->65534]
Oct 26 10:52:12 unknown daemon.notice openvpn[993]: UDPv4 link local: [undef]
Oct 26 10:52:12 unknown daemon.notice openvpn[993]: UDPv4 link remote: 8x.xx.xx.xx:1194
Oct 26 10:52:12 unknown daemon.err openvpn[993]: read UDPv4 [ENETUNREACH]: Network is unreachable (code=128)
Oct 26 10:52:16 unknown daemon.notice openvpn[993]: TLS: Initial packet from 87.xx.xx.xx:1194, sid=e1e61860 e70bcfb3
Oct 26 10:52:23 unknown daemon.notice openvpn[993]: VERIFY OK:
Oct 26 10:52:23 unknown daemon.notice openvpn[993]: VERIFY OK:
Oct 26 10:52:33 unknown daemon.notice openvpn[993]: Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Oct 26 10:52:33 unknown daemon.notice openvpn[993]: Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Oct 26 10:52:33 unknown daemon.notice openvpn[993]: Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Oct 26 10:52:33 unknown daemon.notice openvpn[993]: Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Oct 26 10:52:33 unknown daemon.notice openvpn[993]: Control Channel: TLSv1, cipher TLSv1/SSLv3 EDH-RSA-DES-CBC3-SHA, 1024 bit RSA
Oct 26 10:52:33 unknown daemon.notice openvpn[993]: [OpenVPN-RP] Peer Connection Initiated with 87.206.4.112:1194
Oct 26 10:52:35 unknown daemon.notice openvpn[993]: SENT CONTROL [OpenVPN-RP]: 'PUSH_REQUEST' (status=1)
Oct 26 10:52:37 unknown daemon.notice openvpn[993]: PUSH: Received control message: 'PUSH_REPLY,route 10.89.10.0 255.255.255.0,route-gateway dhcp,ping 15,ping-restart 60'
Oct 26 10:52:37 unknown daemon.notice openvpn[993]: OPTIONS IMPORT: timers and/or timeouts modified
Oct 26 10:52:37 unknown daemon.notice openvpn[993]: OPTIONS IMPORT: route options modified
Oct 26 10:52:37 unknown daemon.notice openvpn[993]: OPTIONS IMPORT: route-related options modified
Oct 26 10:52:37 unknown daemon.warn openvpn[993]: OpenVPN ROUTE: OpenVPN needs a gateway parameter for a --route option and no default was specified by either --route-gateway or --ifconfig options
Oct 26 10:52:37 unknown daemon.warn openvpn[993]: OpenVPN ROUTE: failed to parse/resolve route for host/network: 10.89.10.0
Oct 26 10:52:37 unknown daemon.notice openvpn[993]: TUN/TAP device tap11 opened
Oct 26 10:52:37 unknown daemon.notice openvpn[993]: TUN/TAP TX queue length set to 100
Oct 26 10:52:37 unknown daemon.notice openvpn[993]: Initialization Sequence Completed
Ogólnie to chcę zrobić takie cudo:
Router-server:
ip: 10.89.9.1
zakres: 10.89.9.2 - 10.89.9.50
OpenVPN serwer na TAP
Router-client
ip: 10.89.9.51
zakres: 10.89.9.52 - 10.89.9.100
klient openvpn
Chodzi o to, aby powstała jedna sieć. To znaczy wszystkie komputery siebie widziały (także za pomocą otoczenia siecowego w windowsie, teraz jak podepnę pojedyncze komputery przez OpenVPN działa tak jak zamierzałem).
Próbowałem takiej konfiguracji OpenVPN: http://www.dd-wrt.com/wiki/index.php/...wo_Routers, ale niestety coś nie bangla....
Macie może jakieś pomysły? Może ktoś z Was coś podobnego robił? Czy może jednak zrobić dwa serwery OpenVPN - jeden na TAP, a drugi na TUN dla routera i zrobić routed-mode?
Połączony z 26 październik 2011 17:06:31:
Ok...
Po walkach z TAP zrobiłem jednak po prostu drugi serwer, który stoi na TUN.
Teraz prawie wszystko działa. To znaczy serwer i klient się widzą.
To znaczy:
serwer ma 10.89.9.0/24
klient ma 10.89.10.0/24
i mogę wejść z serwera na 10.89.10.1 (adres routera klienta) i na odwrót.
Na serwerze mam takie info:
Client List
Common Name Real Address Virtual Address Bytes Received Bytes Sent Connected Since
Router_TBG 77.255.124.115:23925 10.8.0.6 1241919 2967671 Wed Oct 26 15:30:49 2011
Routing Table
Virtual Address Common Name Real Address Last Ref
10.89.10.0/24 Router_TBG 77.255.124.115:23925 Wed Oct 26 15:30:51 2011
10.89.10.27C Router_TBG 77.255.124.115:23925 Wed Oct 26 16:29:07 2011
10.8.0.6 Router_TBG 77.255.124.115:23925 Wed Oct 26 15:39:04 2011
Ale nie jestem w stanie spingować np z 10.89.10.1 (klient vpn) -> 10.89.9.119 (jakiś komputer w LANie serwera). Ani z serwera vpn nie mogę spingować komputera w LANie klienta.
Tablica routingu dla serwera:
87.xx.xx.xx * 255.255.255.255 0 vlan2 (WAN)
10.8.0.2 * 255.255.255.255 0 tun22
10.89.10.0 10.8.0.2 255.255.255.0 0 tun22
10.89.9.0 * 255.255.255.0 0 br0 (LAN)
10.8.0.0 10.8.0.2 255.255.255.0 0 tun22
87.206.4.0 * 255.255.252.0 0 vlan2 (WAN)
127.0.0.0 * 255.0.0.0 0 lo
default 87.206.4.1 0.0.0.0 0 vlan2 (WAN)
Po walkach okazało się, że wszystko śmiga tylko windowsy firewall blokował pakiety z innej podsieci :/
W każdym razie ma ktoś pomysł jak to zrobić, żeby śmigało z TAP?
Połączony z 30 październik 2011 11:18:42:
Ufff! Udało się skonfigurować to łączenie LANów przez TAP.
Pierwsza wersja tutoriala. Jak go dopracuję umieszczę na forum ;-)
http://radziu.jogger.pl/2011/10/30/op...eci-sieci/
Edytowany przez radzio dnia 30-10-2011 15:02
Linksys E4200 v1 - Tomato 1.28 092V K26 RT-N USB AIO by shibby
Linksys WRT54G v3.1 - Tomato 1.28 062 K26 VPN by shibby
|
' target='_blank'>Link
