|
Openvpn połączenie sieci
|
| HARPII |
Dodano 26-08-2013 16:26
|
User
Posty: 49
Dołączył: 08/01/2013 13:49
|
Panowie,
prośba o pomoc w konfiguracji połaczenia (spięcia) sieci pomiedzy dwoma lokalizacjami tak aby wzajemnie sie widziały.
Jako serwer Openvpn rtn16u z najnowszym tomato by shibby, jako klient gargoyle 1.5.10 na MR3020 z internetem mobilnym 3g.
Połączenie vpn zestawia się bardzo ładnie, ale mam problem z konfiguracją dostepu z hostów za serwerem vpn do hostów za klientem vpn, w drugą stronę wszystko działa ok.
Przeczytałem wiele postów na ten temat na tym i innych forach i poczyniłem wiele prób ale niestety już nie mam do tematu siły i dlatego do was sie z prośbą o pomoc zwracam.
Ping z klienta openvpn na serwer openevpn działa na oba IP-ki 10.8.0.1 i 192.168.1.1
Ping z klienta openvpn na ip 192.168.1.x działa.
W drugą strone ping z serwera openvpn na klienta (router) 10.8.0.6 działa ale już na 192.168.2.1 nie działa.
Próbowałem wielu wskazówek z waszych postów w innych wątkach ale niestety prawdopodobnie coś źle zrobie.
Aktualnie jest jak powyżej bez zmian w firewallu i bez zmian w route.
Poniżej konfiguracja.
Serwer:
# Automatically generated configuration
daemon
server 10.8.0.0 255.255.255.0
proto tcp-server
port 1194
dev tun21
comp-lzo adaptive
keepalive 15 60
verb 3
push "route 192.168.1.0 255.255.255.0"
ca ca.crt
dh dh.pem
cert server.crt
key server.key
status-version 2
status status
# Custom Configuration
ifconfig
br0 Link encap:Ethernet HWaddr 10:BF:48:E6:39:A3
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:244 errors:0 dropped:0 overruns:0 frame:0
TX packets:208 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:67721 (66.1 KiB) TX bytes:48112 (46.9 KiB)
eth0 Link encap:Ethernet HWaddr 10:BF:48:E6:39:A3
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:28825 errors:0 dropped:0 overruns:0 frame:0
TX packets:2751 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:2248089 (2.1 MiB) TX bytes:461873 (451.0 KiB)
Interrupt:4 Base address:0x2000
eth1 Link encap:Ethernet HWaddr 10:BF:48:E6:39:A5
UP BROADCAST RUNNING ALLMULTI MULTICAST MTU:1500 Metric:1
RX packets:239 errors:0 dropped:0 overruns:0 frame:146500
TX packets:389 errors:7 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:70587 (68.9 KiB) TX bytes:118283 (115.5 KiB)
Interrupt:3 Base address:0x1000
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MULTICAST MTU:16436 Metric:1
RX packets:38 errors:0 dropped:0 overruns:0 frame:0
TX packets:38 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:3801 (3.7 KiB) TX bytes:3801 (3.7 KiB)
tun21 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.8.0.1 P-t-P:10.8.0.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP PROMISC MULTICAST MTU:1500 Metric:1
RX packets:2199 errors:0 dropped:0 overruns:0 frame:0
TX packets:2199 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:129008 (125.9 KiB) TX bytes:87960 (85.8 KiB)
vlan1 Link encap:Ethernet HWaddr 10:BF:48:E6:39:A3
UP BROADCAST RUNNING ALLMULTI MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:389 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:110304 (107.7 KiB)
vlan2 Link encap:Ethernet HWaddr 10:BF:48:E6:39:A4
inet addr:31.11.xxx.xxx Bcast:31.11.135.255 Mask:255.255.252.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:28824 errors:0 dropped:0 overruns:0 frame:0
TX packets:2362 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1729189 (1.6 MiB) TX bytes:351569 (343.3 KiB)
route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
31.11.132.1 0.0.0.0 255.255.255.255 UH 0 0 0 vlan2
10.8.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun21
10.8.0.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun21
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
31.11.132.0 0.0.0.0 255.255.252.0 U 0 0 0 vlan2
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 31.11.132.1 0.0.0.0 UG 0 0 0 vlan2
********************************************************
KLIENT:
cipher BF-CBC
keysize 128
client
dev tun0
proto tcp-client
remote xxxxx.no-ip.org 1194
resolv-retry 30
nobind
persist-key
persist-tun
comp-lzo adaptive
verb 3
status-version 2
status /var/openvpn/current_status
ca /etc/openvpn/grouter_client_survhfortzjd_ca.crt
cert /etc/openvpn/grouter_client_survhfortzjd.crt
key /etc/openvpn/grouter_client_survhfortzjd.key
ifconfig
3g-wan Link encap:Point-to-Point Protocol
inet addr:31.60.162.252 P-t-P:10.64.64.64 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:3254 errors:0 dropped:0 overruns:0 frame:0
TX packets:5353 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:812995 (793.9 KiB) TX bytes:556619 (543.5 KiB)
br-lan Link encap:Ethernet HWaddr F8:D1:11:A0:41:9A
inet addr:192.168.2.1 Bcast:192.168.2.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:4473 errors:0 dropped:0 overruns:0 frame:0
TX packets:4462 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:393053 (383.8 KiB) TX bytes:1274222 (1.2 MiB)
eth0 Link encap:Ethernet HWaddr F8:D1:11:A0:41:9A
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:4638 errors:0 dropped:0 overruns:0 frame:0
TX packets:4462 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:479050 (467.8 KiB) TX bytes:1274222 (1.2 MiB)
Interrupt:4
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:70 errors:0 dropped:0 overruns:0 frame:0
TX packets:70 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:5788 (5.6 KiB) TX bytes:5788 (5.6 KiB)
tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.8.0.6 P-t-P:10.8.0.5 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:2115 errors:0 dropped:0 overruns:0 frame:0
TX packets:2118 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:84600 (82.6 KiB) TX bytes:124252 (121.3 KiB)
route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 10.64.64.64 0.0.0.0 UG 0 0 0 3g-wan
10.8.0.1 10.8.0.5 255.255.255.255 UGH 0 0 0 tun0
10.8.0.5 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
10.64.64.64 0.0.0.0 255.255.255.255 UH 0 0 0 3g-wan
192.168.1.0 10.8.0.5 255.255.255.0 UG 0 0 0 tun0
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 br-lan
HARPII załączono następujące plik:
Nie masz uprawnień, by zobaczyć załączniki w tym wątku.
|
| |
|
|
| khain |
Dodano 26-08-2013 18:00
|
Power User
Posty: 335
Dołączył: 25/07/2007 17:09
|
Nie masz uruchomionej opcji client-config-dir. Więcej tutaj http://openvpn.net/index.php/open-sou...npage.html
Przejdź do zakładki "Advanced" serwera OpenVPN w tomato i zaznacz opcję "Manage Client-Specific Options", a następnie "Allow Only These Clients" oraz dodaj następujący wpis w tabelce, która się pojawi:
Common Name: jest to nazwa klienta zawarta w pliku z certyfikatem klienta pod oznaczeniem "CN" w linii "Subject"
Subnet: adres sieci klienta (w przykładzie powyżej to będzie 192.168.2.0)
Netmask: wiadomo (pewnie 255.255.255.0)
Zaznaczmy opcję "Push", klikamy "Add" i zapisujemy ustawienia.
Powinien utworzyć się katalog "ccd" w /etc/openvpn/server1/ który powienien zawierać plik o nazwie takiej jak nazwa CN w certyfikacie klienta, a jego zawartość dla tego przykładu to:
iroute 192.168.2.0 255.255.255.0
Ps. Po dodaniu tych opcji w tablicy routingu serwera powinien automatycznie utworzyć się wpis o ścieżce do sieci klienta (u ciebie takiej ścieżki nie ma, a dodawanie jej ręcznie nic nie zmieni)
Edytowany przez khain dnia 26-08-2013 18:13
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
|
| |
|
|
| HARPII |
Dodano 27-08-2013 13:24
|
User
Posty: 49
Dołączył: 08/01/2013 13:49
|
Działa jak złoto, bardzo dziękuję.
Połączony z 30 sierpień 2013 11:52:06:
A jeszcze takie pytanko, jak przekierować porty na hosta za klientem VPN. Myślałem że jak już pingi działają pomiędzy komputerami za serwerem openvpn a za klientem vpn to już dalej standardowo da się przekierować port z gui, ale jak zwykle pod górkę  . Lokalnie przekierowania działają ok.
Edytowany przez HARPII dnia 30-08-2013 11:52
|
| |
|
|
| khain |
Dodano 01-09-2013 12:36
|
Power User
Posty: 335
Dołączył: 25/07/2007 17:09
|
Napisz co ci nie działa, bo wszystkie usługi, które przechodzą przez NAT muszą działać, a przekierowanie portów w GUI tomato tyczy się ruchu z WAN do LAN, a nie przez sieć VPN.
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
|
| |
|
|
| HARPII |
Dodano 01-09-2013 14:32
|
User
Posty: 49
Dołączył: 08/01/2013 13:49
|
Jak wyżej widać połączyłem ze sobą dwie sieci LAN, 192.168.1.0 i 192.168.2.0. Komputery za serwerem openvpn (192.168.1.1) pingują się w obu kierunkach z komputerami za klientem vpn 192.168.2.1
Na sieci lan 192.168.1.0 jest zewnętrzne ip i serwer openvpn
Próbowałem przekierować port dla zdalnego pulpitu 3389 tak aby łącząc się z publicznym ip po stronie serwera połączyć się komputerem np 192.168.2.2 (za klientem vpn )gdzie na porcie 3389 działa usługa zdalnego pulpitu . |
| |
|
|
| khain |
Dodano 01-09-2013 19:44
|
Power User
Posty: 335
Dołączył: 25/07/2007 17:09
|
Aż tak to nie próbowałem się bawić, ale nie lepiej przekierować ten port na routerze, który robi za klienta vpn i łączyć się z pulpitem zdalnym poprzez adres WAN klienta? (możesz zastosować dynamic DNS)
Albo inaczej dodać kolejnego klienta VPN do serwera, a następnie połączyć się za pomocą programu OpenVPN do sieci prywatnej i wtedy dopiero uruchomić pulpit zdalny? (tylko trzeba zaznaczyć "Allow Client<->Client" w serwerze VPN)
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
|
| |
|
|
| koralm |
Dodano 01-09-2013 20:02
|
Super User
Posty: 505
Dołączył: 29/07/2006 23:19
|
@HARPII, jeśli dobrze rozumiem to chcesz się dostać po RDP do kompa niezależnie od VPN. Po prostu przekieruj port i już. VPN będzie sobie działać i między sieciami wszystko ładnie chodzi a z zewnątrz wywołując IPzew ort będzie przekierowywać na IPwew:3389.
Proud winner of Netgear WNR3500L
|
| |
|
|
| HARPII |
Dodano 02-09-2013 10:55
|
User
Posty: 49
Dołączył: 08/01/2013 13:49
|
@khain
1.Nie mogę przekierować bo tam jest Aero2 i brak zewn IP
2.Bardziej mi chodzi o to żeby móc sie dostać po IP zewnętrznym do komputera za klientem vpn, ja sobie z klientem vpn poradzę ale to nie ja mam tylko z tego korzystać.
@koralm
Nie niezależnie od VPN, tylko z internetu przez serwer vpn do komputera za klientem vpn , jak na załączniku.
HARPII załączono następujące plik:
Nie masz uprawnień, by zobaczyć załączniki w tym wątku.
|
| |
|
|
| khain |
Dodano 02-09-2013 13:30
|
Power User
Posty: 335
Dołączył: 25/07/2007 17:09
|
Jeśli nie działa przekierowanie portów to jedyne wyjście to łączenie się do serwera VPN jako drugi klient przy użyciu osobnego klucza albo zainstalowanie na tym kompie teamviewera i korzystanie z niego zamiast RDP
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
|
| |
|
|
| HARPII |
Dodano 02-09-2013 15:58
|
User
Posty: 49
Dołączył: 08/01/2013 13:49
|
Teamviewer odpada, bo docelewo komputer testowy z RDP zostanie zastąpiony kamerą IP. |
| |
|
|
| gorus1 |
Dodano 02-09-2013 22:31
|
Power User
Posty: 208
Dołączył: 13/08/2011 02:22
|
Skoro masz zestawiony tunel to od strony routera z gargoyle pozostaje przypisać statyczne IP dla kamerki, a od strony rotera z tomato wystarczy przekierować jakiś port zewnętrzny(np. 12345) na wewnętrzny port 80 adresu IP kamerki. Wtedy będziesz mógł zalogować się na kamerkę wpisując publiczne IP (takie jak ma router z tomato) przez port 12345. |
| |
|
|
| HARPII |
Dodano 03-09-2013 11:54
|
User
Posty: 49
Dołączył: 08/01/2013 13:49
|
Własnie też mi się tak wydawało, ale niestety nie działa w ten sposób.
Przekierowanie do kamerki jeżeli kamera jest w tej samej podsieci co router z openvpn server działa, ale jak jest kamerka podłączona za klientem vpn to już niestety nie. |
| |
|
|
| skala |
Dodano 04-09-2013 16:11
|
User
Posty: 3
Dołączył: 01/03/2012 11:35
|
Też walczę z podobną konfiguracją i nie wszystko jeszcze potrafię ustawić jak należy. Co prawda przy innych ustawieniach, ale problem z dostępem do kamerki wiązał się u mnie z niewłaściwą bramą domyślną - przy połączeniu OpenVPN trzeba było ją zmienić.
Może przy okazji ktoś mi podpowie co zrobić w takim przypadku (sytuacja podobna jak u HARPII, na kliencie Aero2):
- OpenVPN po TAP, sieć z jednej i z drugiej strony 192.168.1.0
- mam dostęp z internetu do kamerki, natomiast nagrywa mi (na routerze, gdzie jest klient OpenVPN) jakąś klatkę na 3 sekundy. Podejrzewam, że cały ruch idzie przez router z serwerem OpenVPN i stąd te opóźnienia. Gdy wyłączę OpenVPN, nagrywa obraz płynnie.
Czy da się się zrobić tak (i jaką konfigurację zastosować), aby mieć i dostęp z zewnątrz i maksymalny transfer po LAN przy nagrywaniu? |
| |
|
|
| gorus1 |
Dodano 05-09-2013 23:03
|
Power User
Posty: 208
Dołączył: 13/08/2011 02:22
|
HARPII - mam w tunelu kilka routerów. Na routerze serwerze openVPN mam przekierowany jakiś konkretny port zewnętrzny na port 80 danego routera w sieci openVPN. Ponadto mam dwa rejestratory kamer w sieci openVPN i przekierowanie portów na rejestratory analogicznie jak w przypadku routerów z tym, że to inne porty HTTP, ale dostęp bez problemu przez internet. Zobacz, może na kamerce jest port lokalny i zdalny do skonfigurowania - także sprawdź jeszcze z portem zdalnym.
Skala: w takiej konfiguracji VPN za dużo pakietów biega po sieci i stąd te opóźnienia. Najlepiej sieci łączyć w warswie TUN. Ja kiedyś też miałem duże problemy z zestawieniem sieci za pomocą GUI tomato. Najlepiej w GUI tomato dotyczący serwera openVPN ustawić tryb uwierzytelniania na własny i w następnej zakładce wpisać własną konfigurację. Ja się kiedyś tyle namęczyłęm, aż w ręce wpadł mi jakiś router z gargoyle, w którym konfiguracja openVPN to bajka w porównaniu z tomato. Podejrzałem w plik konfiguracyjny i bez problemu wprowadziłem te ustawienia, ale manualnie do tomato.
Pozdr |
| |
|
|
| skala |
Dodano 16-10-2013 12:00
|
User
Posty: 3
Dołączył: 01/03/2012 11:35
|
Dzięki gorus1, po przygodach z routingiem wreszcie działa jak powinno na TUN i hosty za serwerem widzą się ładnie z hostami za klientem (i na odwrót).
Jedyny problem, nad którym teraz siedzę, to dostęp z zewnątrz na hosta za klientem. Nie działa standardowe przekierowania portów z GUI tomato. Czy mógłbym mi ktoś pomóc rozwiązać ten problem?
Sytuacja wygląda tak:
Świat <-> 192.168.1.1<->10.8.0.1<->10.8.0.2<->192.168.2.1
Do 192.168.2.1 podpięte jest urządzenie pod adresem 192.168.2.34, do którego chciałbym uzyskać dostęp np. na porcie 80, z zewnętrznego 8080. Port 8080 w firewallu serwera odblokowałem.
Pozdrawiam
skala |
| |
|
|
| donkarleone83 |
Dodano 21-05-2015 17:27
|
Power User
Posty: 260
Dołączył: 24/11/2014 17:36
|
panowie czy ktos moze mi napisac krok po kroku jak wygenerowac klucze z konsoli do servera openvpn ,odpadam juz na samym poczatku przygody
Certificate Authority
Server Certificate
Server Key
Diffie Hellman
chciałbym postawic server openvpn 2-3 klientów
a moze ktos by miał czas na pomoc zdalną |
| |
|
|
| joseph |
Dodano 21-05-2015 20:44
|
Power User
Posty: 210
Dołączył: 16/11/2012 13:36
|
tutaj masz wytłumaczone krok po kroku:
https://openlinksys.info/forum/viewthread.php?thread_id=16352&rowstart=400 |
| |
|
|
| donkarleone83 |
Dodano 21-05-2015 21:12
|
Power User
Posty: 260
Dołączył: 24/11/2014 17:36
|
dzieki szukałem ale to mi umkneło |
| |
|
|
| AdamB |
Dodano 15-02-2016 15:42
|
User
Posty: 1
Dołączył: 15/02/2016 15:33
|
Cytat khain napisał(a):
... zaznacz opcję "Manage Client-Specific Options", a następnie "Allow Only These Clients" oraz dodaj następujący wpis w tabelce, która się pojawi:
Common Name: jest to nazwa klienta zawarta w pliku z certyfikatem klienta pod oznaczeniem "CN" w linii "Subject"
Subnet: adres sieci klienta (w przykładzie powyżej to będzie 192.168.2.0)
Netmask: wiadomo (pewnie 255.255.255.0)
Zaznaczmy opcję "Push", klikamy "Add" i zapisujemy ustawienia.
Dziwna sprawa. Kierując się powyższą poradą, dokładnie tak zrobiłem i po zapisaniu, router przestał działać  .
Nie mogę się połączyć na web interfejs tomato. Nic nie pinguje. Lampki świecą.
Czy te parametry mogły coś popsuć, czy to tylko przypadek ?
Proszę o pomoc, bo nic mi do głowy nie przychodzi. |
| |
|
|
| donkarleone83 |
Dodano 16-02-2016 13:41
|
Power User
Posty: 260
Dołączył: 24/11/2014 17:36
|
Witam mam zestawiony tunel VPN tun klucz tls mam jednego klient i teraz zastanawiam sie czy mozliwe jest skonfigurowanie klienta na androidzie wiem ze jest program OPENVPN ANDROID mam tez gotowe certy dla innych klientow
Enable Common Name Subnet Netmask Push
client1 192.168.2.0 255.255.255.0
zastanawiem sie co wpisac dla klienta na telefonie
================================
Asus RT N66U + Merlin +Entware
Asus RT N18U + tomato-RT-N18U-ARM--132-AIO-64K + 1 TB WD RED
nBox ADB 5800S Enigma2 HIPERION 5.1 HDD
Vu-Solo2 Hiperion 5.1
Rasphery pi 2 kodi klient-vu
|
| |
|
' target='_blank'>Link
