|
OpenVPN Server - konfiguracja
|
| luke |
Dodano 14-09-2015 15:23
|
User
Posty: 14
Dołączył: 14/09/2015 15:02
|
Witam,
od niedawana zacząłem przygodę z routerami na sofcie Tomato by Shibby (najnowsza wersja v131). Potrzebuję stworzyć bezpieczną sieć na OpenVPN. Jeden serwer OpenVPN (router Netgear WNR3500L v2) do niego połączonych około 11 klientów (routerów Netgear WNR3500L v2). Pytanie, gdzie mogę uzyskać jakieś informację na temat utworzenia serwera a konkretnie w jaki sposób mam wygenerować te certyfikaty, klucze? Sam interfejs www jest jak najbardziej czytelny ale szukając z wujkiem google znalazłem jakieś informację iż muszę zrobić to przez putty? Czy mógłby mi ktoś pomóc, ewentualnie wskazać jakąś drogę?? |
| |
|
|
| shibby |
Dodano 14-09-2015 15:37
|
SysOp
Posty: 17109
Dołączył: 15/01/2009 20:30
|
zajrzyj to działu tutoriale na forum
Jeżeli VPNem będzie łączył się tylko jeden osobnik to wystarczy konfiguracja na kluczu static key. Jak więcej osób to już TLS i postawienie centrum autoryzacji cię czeka (CA)
Router: Unifi Cloud Gateway Max
Switch: Netgear MS510TXPP
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| luke |
Dodano 14-09-2015 23:15
|
User
Posty: 14
Dołączył: 14/09/2015 15:02
|
Zamiarem jest podłączenie 11 routerów OpenVPN-em do 1 sieci. Więc rozumiem, że sama konfiguracja klucza mi już nie wystarczy? Czy routery mogą jednocześnie działać na 1 kluczu? Znalazłem w dziale Tutoriale: https://openlinksys.info/forum/viewthread.php?thread_id=10065&rowstart=0
ale przyznam, że niezbyt jasno dla mnie jest to wyjaśnione. Może jakąś bardziej łopatologiczną wskazówkę?
Dzięki za szybkie odpisanie |
| |
|
|
| joseph |
Dodano 15-09-2015 08:41
|
Power User
Posty: 210
Dołączył: 16/11/2012 13:36
|
Jeśli chcesz podłączyć 11 router to static key odpada.
Tutaj kolega overflow2 wytłumaczył łopatologicznie jak na linuxie wygenerować klucze do połączenia TLS:
https://openlinksys.info/forum/viewthread.php?thread_id=16352&rowstart=400 |
| |
|
|
| luke |
Dodano 15-09-2015 16:12
|
User
Posty: 14
Dołączył: 14/09/2015 15:02
|
No i niestety wychodzi chyba na to, że coś ze mną nie tak... albo za dużo windowsa... Przeglądając różnego typu poradniki, doszedłem do wniosku, że muszę zacząć od początku. Konkretnie od zamontowania jakieś pamięci, na które mam pobrać i zainstalować pliki:
(https://github.com/OpenVPN/easy-rsa) Podłączyłem dowolny pendrive do USB do routera. Sformatowałem i przydzieliłem mu partycje za pomocą konsolki putty. Próbując pobrać z powyższego linku pliki (polecenie wget https://github.com/OpenVPN/easy-rsa) wyświetla mi się błąd "wget: error getting response: Connection reset by peer" i niestety aktualnie na tym problemie utkwiłem... Jak pewnie dało się zauważyć to moje początki z linuksem i niestety jeszcze wielu rzeczy nie rozumiem... Proszę mimo wszystko o wyrozumiałość i dalszą pomoc. |
| |
|
|
| overflow2 |
Dodano 15-09-2015 16:17
|
Super User
Posty: 612
Dołączył: 28/01/2008 08:36
|
Zainstaluj sobie jakieś ubuntu koło windowsa i tam próbuj. Generowania kluczy już bardziej łopatologicznie niż w podanym wyżej linku chyba się nie da opisać.
Asus RT-AC56U FT-AIO
|
| |
|
|
| Steel_Rat |
Dodano 15-09-2015 16:21
|
OL Maniac
Posty: 1831
Dołączył: 29/05/2011 22:24
|
z windowsa też się da generować klucze. Trzeba OpenVPN zainstalować. Potem z lini komend.
WRT3200ACN (WRT32X) + OpenWRT 18.06+światełko 150/150 Mb/s
Asus RT-AC68UvE1 + RMerlin + Entware
Netgear WNR3500Lv2 + DDWRT
|
| |
|
|
| luke |
Dodano 15-09-2015 17:16
|
User
Posty: 14
Dołączył: 14/09/2015 15:02
|
Cytat Steel_Rat napisał(a):
z windowsa też się da generować klucze. Trzeba OpenVPN zainstalować. Potem z lini komend.
Mam zainstalowaną najnowszą wersje OpenVPN-s. O jakich komendach mowa? |
| |
|
|
| Steel_Rat |
Dodano 15-09-2015 17:37
|
OL Maniac
Posty: 1831
Dołączył: 29/05/2011 22:24
|
Przy instalacji openVPN musisz zaznaczyć wszystkie opcje.
Potem w katalogu gdzie się zainstalował openVPN jast katalog "easy-rsa". Za pomocą tych plików wsadowych generuje się certyfikaty.
WRT3200ACN (WRT32X) + OpenWRT 18.06+światełko 150/150 Mb/s
Asus RT-AC68UvE1 + RMerlin + Entware
Netgear WNR3500Lv2 + DDWRT
|
| |
|
|
| luke |
Dodano 15-09-2015 18:35
|
User
Posty: 14
Dołączył: 14/09/2015 15:02
|
Tak wogle to dziękuję wszystkim za pomoc... Zainstalowałem OpenVPN 2.3.8 i będę tworzył certyfikaty wedle poradnika:
http://www.networkservices.pl/baza-wiedzy/instalacja-i-konfiguracja-openvpn-w-windows
Po utworzeniu rozumiem, że będę musiał je przenieść na router? Które pliki powinny znajdować się na serwerze a które u klientów? I jak to zrobić?
PS. Patrząc na wasze posty i na brak mojej wiedzy odnośnie linuksów zastanawiałem się, żeby ustawić serwer PPTP z szyfrowaniem 128-bit ale Tomato obsługuje tylko 6 adresów Czy da się może zwiększyć tą liczbę? |
| |
|
|
| Steel_Rat |
Dodano 15-09-2015 18:47
|
OL Maniac
Posty: 1831
Dołączył: 29/05/2011 22:24
|
Dla serwera
Certificate Authority (ca.crt)
Server Certificate (certyfikat servera crt)
Server Key (klucz servera key)
Diffie Hellman parameters (dh1024.pem)
Dla clientów
Certificate Authority (ca.crt)
Client Certificate (certfikat klienta crt)
Client Key (klucz kienta key)
WRT3200ACN (WRT32X) + OpenWRT 18.06+światełko 150/150 Mb/s
Asus RT-AC68UvE1 + RMerlin + Entware
Netgear WNR3500Lv2 + DDWRT
|
| |
|
|
| luke |
Dodano 15-09-2015 19:02
|
User
Posty: 14
Dołączył: 14/09/2015 15:02
|
Do jakiego folderu na routerze powinienem przenieść te pliki? Mile widziana komenda przy jakiej powinienem to zrobić |
| |
|
|
| Steel_Rat |
Dodano 15-09-2015 19:32
|
OL Maniac
Posty: 1831
Dołączył: 29/05/2011 22:24
|
W tutorialu jest Ale powiem. Generalnie to zawartość tych plików kopiujesz do odpowiednich pól w tomato. (w kolejności jak podałem).
WRT3200ACN (WRT32X) + OpenWRT 18.06+światełko 150/150 Mb/s
Asus RT-AC68UvE1 + RMerlin + Entware
Netgear WNR3500Lv2 + DDWRT
|
| |
|
|
| luke |
Dodano 15-09-2015 23:37
|
User
Posty: 14
Dołączył: 14/09/2015 15:02
|
Panowie dzięki waszej pomocy jest duży progres Utworzyłem w windowsie wszystkie niezbędne pliki i wedle poradnika zawartość skopiowałem do odpowiednich pól na routerze. Zastanawiam się tylko czy przy tworzeniu pliku ca.crt i server.crt w polu "common name" powinienem dać tą samą nazwę, bo dałem różne. Przy pomocy tutoriala (https://openlinksys.info/forum/viewthread.php?thread_id=16352) ustawiłem server. Jednak przy próbie uruchomienia (kilkam w przycisk "Start now" ), miel kilka sekund ale nic się nie dzieje i nie uruchamia serwera. Co może być przyczyną? |
| |
|
|
| Steel_Rat |
Dodano 16-09-2015 00:05
|
OL Maniac
Posty: 1831
Dołączył: 29/05/2011 22:24
|
Sprawdź w logach.
WRT3200ACN (WRT32X) + OpenWRT 18.06+światełko 150/150 Mb/s
Asus RT-AC68UvE1 + RMerlin + Entware
Netgear WNR3500Lv2 + DDWRT
|
| |
|
|
| luke |
Dodano 16-09-2015 10:50
|
User
Posty: 14
Dołączył: 14/09/2015 15:02
|
I sprawdziłem - była to wina błędnie ustawionej adresacji... Udało mi się zrobić już połączenie 2 klientów do 1 serwera. W statusie widnieje połączenie 2 urządzeń. Jednak oba urządzenia korzystając ze swojego internetu, a domyślnie mój zamiar był aby cały ruch był przekierowany na serwer... (tak jak to ma miejsce w PPTP) No i niestety muszę znów was prosić o pomoc odnośnie owej konfiguracji... |
| |
|
|
| Steel_Rat |
Dodano 16-09-2015 11:06
|
OL Maniac
Posty: 1831
Dołączył: 29/05/2011 22:24
|
Opcja do zaznaczenia "Direct clients to redirect Internet traffic" na serwerze w zaawansowanych ustawieniach.
WRT3200ACN (WRT32X) + OpenWRT 18.06+światełko 150/150 Mb/s
Asus RT-AC68UvE1 + RMerlin + Entware
Netgear WNR3500Lv2 + DDWRT
|
| |
|
|
| luke |
Dodano 16-09-2015 11:19
|
User
Posty: 14
Dołączył: 14/09/2015 15:02
|
I tak mam zaznaczone. Szyfrowanie "AES-256-CBC" a kompresja na "Adaptive". a co powinienem ustawić na kliencie? |
| |
|
|
| Steel_Rat |
Dodano 16-09-2015 11:26
|
OL Maniac
Posty: 1831
Dołączył: 29/05/2011 22:24
|
Na routerze nie ustawiałem clienta. Spróbuj jeszcze "Redirect Internet traffic"
WRT3200ACN (WRT32X) + OpenWRT 18.06+światełko 150/150 Mb/s
Asus RT-AC68UvE1 + RMerlin + Entware
Netgear WNR3500Lv2 + DDWRT
|
| |
|
|
| luke |
Dodano 16-09-2015 12:24
|
User
Posty: 14
Dołączył: 14/09/2015 15:02
|
Przy wyborze tej opcji router wymaga wpisania adresu bramy. Pytanie której? Bramy serwera WAN czy LAN? Zestawienie niby jest bo w statusie widać przesyłane pakiety ale jeśli próbuję puścić jakiegoś pinga żadne urządzenie nie odpowiada. Może ktoś już z was ustawiał połączenie OpenVPN na routerach??? A może to wina firwall-a? Bo przekierowałem tylko ten jeden port UDP na serwerze???
Edytowany przez luke dnia 16-09-2015 12:33
|
| |
|
' target='_blank'>Link
