Konfiguracja VPN jakiej jeszcze nie było. Dostęp do sicie LAN po stronie klienta.
|
mvincm |
Dodano 09-06-2012 14:13
|
User
Posty: 60
Dołączył: 22/06/2006 09:08
|
Witam.
Z reguły zawsze googluje i szukam zanim coś napisze ale takiej konfiguracji VPN to chyba jeszcze nie było Może mi pomożecie i podpowiecie jak to zrobić.
W pierwszej kolejności krótki opis problemu. Jak może wiecie jak się ma dostęp do internetu przez LTE (u mnie konkretnie przez operatora Plus) to nie ma się publicznego IP (nie ma nawet możliwości dokupienia takiej usługi dodatkowej dla LTE - dla starszych/wolniejszych technologii jest taka opcja a dla LTE nie ma zapewne celowo).
I teraz właściwy problem. Z sieci LAN w jednej lokalizacji (nazwijmy ją LAN "B") z konkretnego hosta/urządzenia (nie routera!) muszę mieć dostęp do konkretnego hosta/urządzenia (też nie router) w sieci LAN która to właśnie wyjście na Internet ma przez Plus LTE (nazwijmy ją LAN "A").
W przypadku LAN "B" domyślna brama ma publiczne IP i jest na Tomato (by Shibby) i tu postawiłem serwer VPN (zero problemu). W sieci "A" domyślna brama nie jest na Tomato tylko wyjście w świat zapewnia router Dovado (jeden z lepszych przy LTE). Tak więc dodatkowo w sieci "A" jest postawiony drugi router na Tomato i on jest klientem VPN. Klient łączy się do serwera i wszystko śmiga. To znaczy, że jest z klienta bez problemu jest zestawiany tunel do serwera, pingi i usługi chodzą. Wszystko ok. Nawet wyporne to jest na zerwanie połączenia czy restarty serwera vpn.
No ale... przez tak postawiony tunel nie mogę przecież dostać się z jednego hosta/urządzenia w sieci "B" do hosta urządzenia w sieci "A". W sieci "A" klient vpn nie jest przecież domyślną bramą więc routing nie zadziała. Pomyślałem więc, że zrobię DNAT no ale też nie działa. Wykombinowałem tak:
Na serwerze VPN dodałem regułę:
iptables -t nat -I PREROUTING -p tcp -d 192.168.1.1 --dport 5522 -j DNAT --to-destination 10.8.0.6:5522
Gdzie: 192.168.1.1 to adres serwera vpn/routera a port 5522 to docelowy port na zdalnym urządzeniu do którego się chcę dostać.
Na kliencie VPN dodałem regułę:
iptables -t nat -I PREROUTING -p tcp -d 10.8.0.6 --dport 5522 -j DNAT --to-destination 192.168.2.2:22
Gdzie 192.168.2.2 to ip urządzenia na które muszę się wbić (testowo na port ssh - odpalić połączenie).
Przy takich wpisach teoretycznie i ustawieniu w urządzeniu/hoscie z sieci "B" jako adres pod którym na szukać usług adresu 192.168.1.1:5522 powinno śmigać. No ale nie śmiga.
Czy ktoś jest mi w stanie pomóc jak ustawić iptables/routing po stronie klienta vpn abym mógł się dostać do urządzenia w sieci "A".
Z góry dziękuję. Rysunek poglądowy poniżej:
HOST B ----> ROUTER/SERWER VPN ----> internet---->Modem/router LTE---->KLIENT VPN---->HOST A
Czy jak robić aby B widział A (może być po MASQ).
P.S.
Wiem o istnieniu SSH Revers Tunnel i nawet go testuje ale działa mniej stabilniej niż OpenVPN.
Dziękuję.
MvincM |
|
|
|
eRd |
Dodano 09-06-2012 14:35
|
OL Maniac
Posty: 1090
Dołączył: 11/03/2007 13:15
|
Ja mam podobny problem, chociaż nieco inny. Mam 2 routery z OpenVPN - klient z modemem z Aero2 oraz serwer na stałym zewnętrznym IP. Oba pracują w tej samej podsieci (192.168.2.x i mają inne IP żeby się nie gryzły. Co ciekawe gdy jestem podłączony (po wifi) z routerem z Aero2 to mogę się logować na stronę drugiego routera bez problemu, a odwrotnie to nie działa. Mi właśnie przede wszystkim chodzi o to żeby z zewnątrz móc logować się na router z Aero2. Ktoś może wie jak to rozwiązać?
WRT54GL v 1.1 Tomato Firmware 1.28.0005 108 ND VPN + 11 użyszkodników na kablu + 1 wifi
Netgear WNR3500L v1 @500MHz Tomato Firmware 1.28.0000 MIPSR2-108 K26 USB BTgui-VPN
PAP2T soft 5.1.6 LS / IPFON
Zotac HD-ID11 (ION2),
|
|
|
|
lazik |
Dodano 09-06-2012 14:41
|
Power User
Posty: 356
Dołączył: 09/12/2011 13:09
|
http://openlinksys.info/forum/viewthread.php?thread_id=13479 |
|
|
|
radzio |
Dodano 09-06-2012 14:54
|
User
Posty: 112
Dołączył: 13/06/2011 22:02
|
http://radziu.jogger.pl/2011/10/30/openvpn-i-tomato-laczenie-dwoch-odleglych-sieci-sieci/
Linksys E4200 v1 - Tomato 1.28 092V K26 RT-N USB AIO by shibby
Linksys WRT54G v3.1 - Tomato 1.28 062 K26 VPN by shibby
|
|
|
|
mvincm |
Dodano 09-06-2012 15:38
|
User
Posty: 60
Dołączył: 22/06/2006 09:08
|
Szanowni...
Chyba chyba o to chodziło Jestem po konfiguracji i pierwsze testy przebiegły ok. Pracuję i testuję dalej Dziękuję za szybką odpowiedź.
@eRd
Jeśli faktycznie ta metoda zadziała to też masz problem rozwiązany. Wystarczy abyś na routerze z publicznym IP zrobił sobie przekierowanie dowolnego wolnego portu na adres prywatny Twojego routera z Areo2 i po sprawie.
MvincM |
|
|
|
eRd |
Dodano 09-06-2012 16:06
|
OL Maniac
Posty: 1090
Dołączył: 11/03/2007 13:15
|
Dzięki za linka. Nie ukrywam, że wzorowałem się na tym linku, który podał radzio już wcześniej, ale jak widać czasem trzeba i z 10 razy coś przeczytać, żeby zrobić jak trzeba. Zmieniłem zakres ip na taki, który zawiera obie sieci, które łączę, a nie tylko jedną i działa Mogę się już logować wszędzie, ale wydaje mi się, że w otoczeniu sieciowym nie widzą się te sieci. Czy za to odpowiadają te wpisy z tap21 w firewallu? Czy trzeba te wpisy dodać na serwerze czy kliencie?
Dzięki i pozdrawiam
WRT54GL v 1.1 Tomato Firmware 1.28.0005 108 ND VPN + 11 użyszkodników na kablu + 1 wifi
Netgear WNR3500L v1 @500MHz Tomato Firmware 1.28.0000 MIPSR2-108 K26 USB BTgui-VPN
PAP2T soft 5.1.6 LS / IPFON
Zotac HD-ID11 (ION2),
|
|
|
|
mvincm |
Dodano 09-06-2012 16:56
|
User
Posty: 60
Dołączył: 22/06/2006 09:08
|
Super. Dziękuję. Działa doskonale.
No może z jednym małym wyjątkiem. W Tomato (by Shibby) na WRT54GL nie ma niestety ebtables a faktycznie przydałoby się zablokować pomiędzy sieciami ruch DHCP i UPnP. Panowie może jakiś pomysł? Jakie wiemy w WRT54GL jest tylko 4MB flash więc paczka z optware pewnie się nie zmieści.
P.S.
Czy jak walczyliście z OpenVPN to zastanawialiście się nad jakiś watchdog'iem dla usługi VPN (czy to klient czy serwer)?
Dzięki i pozdrawiam,
MvincM |
|
|
|
eRd |
Dodano 09-06-2012 17:42
|
OL Maniac
Posty: 1090
Dołączył: 11/03/2007 13:15
|
Jeżeli na obu routerach mamy włączony File Sharing to warto na jednym z nich (u mnie na serwerze) wyłączyć master browser i wins server żeby się wzajemnie nie gryzły.
Dodam jeszcze, że u mnie nie widzą się w otoczeniu sieciowym obie sieci, ale jak z wiersza poleceń chcę się dostać do jakiegoś zasobu to działa bez zarzutu, np. \\nas
Edytowany przez eRd dnia 09-06-2012 17:54
WRT54GL v 1.1 Tomato Firmware 1.28.0005 108 ND VPN + 11 użyszkodników na kablu + 1 wifi
Netgear WNR3500L v1 @500MHz Tomato Firmware 1.28.0000 MIPSR2-108 K26 USB BTgui-VPN
PAP2T soft 5.1.6 LS / IPFON
Zotac HD-ID11 (ION2),
|
|
|
|
mvincm |
Dodano 10-06-2012 14:28
|
User
Posty: 60
Dołączył: 22/06/2006 09:08
|
No i jeszcze jeden drobny mankament. Zestawienie takiego tunelu (bridge mode) generuje pewien ruch do/z Internetu (rozumiem, że jest to ruch badający tunel oraz wszystkie komunikaty rozgłoszeniowe sieci ethernet). Nie jest to wielki ruch ale z moich wyliczeń (oby błędnych) to sam standby tunelu może zjeść ok 1GB na miesiąc. Dla łącza bez limitu to nie problem ale dla łącza LTE/3G gdzie są w miarę ostre limity to sporo.
Postaram się na IPTABLES wyciąć cały ruch jaki mi nie jest potrzebny ale jeśli to faktycznie ruch ethernetowy to go za wiele nie wytnę...
P.S.
A bawił się ktoś autossh na Tomato?
MvincM |
|
|
|
eRd |
Dodano 16-06-2012 19:04
|
OL Maniac
Posty: 1090
Dołączył: 11/03/2007 13:15
|
Da się jakoś to przerobić na iptables?
ebtables -I FORWARD -i tap21 -p IPv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -I FORWARD -o tap21 -p IPv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -I INPUT -i tap21 -p IPv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -I OUTPUT -o tap21 -p IPv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
#Block UPnP between OpenVPN TAP
ebtables -I FORWARD -i tap21 -p IPv4 --ip-protocol udp --ip-destination-port 1900 -j DROP
ebtables -I FORWARD -o tap21 -p IPv4 --ip-protocol udp --ip-destination-port 1900 -j DROP
ebtables -I INPUT -i tap21 -p IPv4 --ip-protocol udp --ip-destination-port 1900 -j DROP
ebtables -I OUTPUT -o tap21 -p IPv4 --ip-protocol udp --ip-destination-port 1900 -j DROP
bo dzisiaj miałem sytuację, że na komputerze z domu zamiast korzystać ze swojego stałego (szybszego) łącza to przełączyło mnie na aero (tak byłem identyfikowany choćby na speedtest).
Nikt nie pomoże jak ten ruch wyciąć? Mimo ustawienia static IP dla mojego komputera z zakresu DHCP servera ovpn to raz korzystam z łącza aero a raz ze stałego co bardzo wkurza jeżeli chodzi o prędkość.
Edytowany przez eRd dnia 19-06-2012 00:13
WRT54GL v 1.1 Tomato Firmware 1.28.0005 108 ND VPN + 11 użyszkodników na kablu + 1 wifi
Netgear WNR3500L v1 @500MHz Tomato Firmware 1.28.0000 MIPSR2-108 K26 USB BTgui-VPN
PAP2T soft 5.1.6 LS / IPFON
Zotac HD-ID11 (ION2),
|
|
|