|
Open VPN Conect
|
| Steel_Rat |
Dodano 30-10-2015 22:21
|
OL Maniac
Posty: 1831
Dołączył: 29/05/2011 22:24
|
Tutorial mały dla static key dla OpenVPN for android.
Używamy interfejsu TUN.
1) Dodajemy nowy profil (znaczek + na górze z prawej) i wpisujemy nazwę.
2) Zakładka "PODSTAWOWE" w polu "TYP" wybieramy "statyczne klucze"
3) Zakładka "LISTA SERWERÓW" podajemy adres naszego serwera VPN
3) Zakładka "IP I DNS" w polu "Adres IPv4" podajemy IP drugiej końcówki z serwera VPN, domyślnie "10.8.0.2"
4) Zakładka "UWIERZYTELNIANIE/SZYFROWANIE" naciskamy pole "Plik TLS" i tuwybieramy nasz plik "static.key"
5) W sumie można już wyjść z konfiguracji.
6) Łączymy się z VPN.
WRT3200ACN (WRT32X) + OpenWRT 18.06+światełko 150/150 Mb/s
Asus RT-AC68UvE1 + RMerlin + Entware
Netgear WNR3500Lv2 + DDWRT
|
| |
|
|
| WojtekPL |
Dodano 31-10-2015 08:38
|
User
Posty: 138
Dołączył: 17/06/2014 08:39
|
Za pomocą aplikacji OpenVPN for android połączyłem się bez najmniejszego problemu. Szkoda że od razu nie znalazłem tej aplikacji w sklepie play.
Dziękuję wszystkim za pomoc.
Pozdrawiam Wojtek |
| |
|
|
| rako28 |
Dodano 03-11-2015 10:07
|
User
Posty: 83
Dołączył: 04/02/2014 19:41
|
Cytat solldat napisał(a):
Osobiście używam OpenVpn Client i działa w trybie TAP, ale żeby działał TAP, wersja free będzie wołać o zakup wersji pro. I działa bez zarzutu.
Uzywasz wersji pro? Telefonem huawei bez root wersja free polaczylem sie z serwerem w trybie TAP adres przydzielony z puli serwera.ale ping nie idzie w zadna strone.Nie dziala rowniez internet w telefonie po polaczeniu.Ta sama konfiguracja clienta na sg2 z rootem dziala ok.tylko ze na sg2 uzywam innej aplikacji do polaczenia.adres zewnetrzny na sg2 jest inny niz na laczu gdzie stoi serwer vpn,polaczenie nie idzie chyba vpn ale urzadzenia w domu moge pingowac i sie do nich dostac zewnatrz.
[Netgear WNR3500L v2 Tomato Firmware 1.28.0000 MIPSR2-137 K26 USB AIO
Netgear R8000 FreshTomato Firmware 2019.3.220 -beta K26ARM USB AIO-64K
Asus ax56u Merlin 386.1.2
|
| |
|
|
| solldat |
Dodano 03-11-2015 13:26
|
User
Posty: 77
Dołączył: 30/10/2015 10:36
|
Musisz potestować. Myślę, że może mieć znaczenie wersja androida, jaki kernel itp. Bo te starsze androidy mogą tego TAP wogóle nie obsługiwać. Ja działam na andku 5.1.1 w oneplus one i nie ma problemu. A pingi sprawdź czy nie są odznaczone na firewallu w tomato.
Zaprawdę wódka jest potężna, lecz bimber większą mocą włada.
|
| |
|
|
| rako28 |
Dodano 03-11-2015 16:50
|
User
Posty: 83
Dołączył: 04/02/2014 19:41
|
log z polaczenia write to tun/tap invalid argument code 22.Laczy ale nie moge sie dostac do zadnego uzadzenia.
Połączony z 04 listopad 2015 02:15:23:
Cytat rako28 napisał(a):
log z polaczenia write to tun/tap invalid argument code 22.Laczy ale nie moge sie dostac do zadnego uzadzenia.
Juz wszystko ok. po aktualizacji wersji pro dziala.
rako28 załączono następujące plik:
Nie masz uprawnień, by zobaczyć załączniki w tym wątku.
Edytowany przez rako28 dnia 04-11-2015 02:15
[Netgear WNR3500L v2 Tomato Firmware 1.28.0000 MIPSR2-137 K26 USB AIO
Netgear R8000 FreshTomato Firmware 2019.3.220 -beta K26ARM USB AIO-64K
Asus ax56u Merlin 386.1.2
|
| |
|
|
| WojtekPL |
Dodano 10-05-2016 09:22
|
User
Posty: 138
Dołączył: 17/06/2014 08:39
|
Witam. Czy udało się komuś połączyć na telefonie ale z uwierzytelnianiem TLS?
Jak zrobiłem na kluczu statycznym, według tego co napisał: Steel_Rat to działa super, lecz chciałbym zmienić na TLS
W OpenVPN dla Androida w zakładce podstawowe zmieniłem typ na Certyfikaty.
Jako Certyfikat CA wskazałem plik ca.crt
Jako Certyfikat klienta wskazałem plik client.crt
I jako klucz klienta wskazałem plik client.key
Niestety nie chce się połączyć, pojawiają się takie logi:
09:13 Attempting to establish TCP connection with [AF_INET] X.X.X.X:1196 [nonblock]
09:13 TCP connection established with [AF_INET] X.X.X.X:1196
09:13 TCP_CLIENT link local: (not bound)
09:13 TCP_CLIENT link remote: [AF_INET]X.X.X.X:1196
09:13 OpenSSL: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
09:13 TLS_ERROR: BIO read tls_read_plaintext error
09:13 TLS Error: TLS object -> incoming plaintext read error
09:13 TLS Error: TLS handshake failed
09:13 Fatal TLS error (check_tls_errors_co), restarting
09:13 SIGUSR1[soft,tls-error] received, process restarting
09:13 MGMT: Got unrecognized command>FATAL:All connections have been connect-retry-max (5) times unsuccessful, exiting
09:13 All connections have been connect-retry-max (5) times unsuccessful, exiting
09:13 Exiting due to fatal error
09:13 Process exited with exit value 1
Dodam że na innych urządzeniach używając tych plików łączę się bez problemu.
Czy ktoś ma jakiś pomysł dlaczego to nie działa? |
| |
|
|
| khain |
Dodano 10-05-2016 15:57
|
Power User
Posty: 335
Dołączył: 25/07/2007 17:09
|
Masz błąd w plikach albo w konfigu klienta. Skopiuj certyfikaty i klucz jeszcze raz na telefon i zrób od nowa konfig w aplikacji.
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
|
| |
|
|
| susser |
Dodano 10-05-2016 20:56
|
User
Posty: 114
Dołączył: 05/09/2014 11:42
|
Moze sprobuj dodac do conf/client: tls-auth static.key 0 albo jak masz wszystko w jednym pliku to po private key dodaj przed OpenVPN Static key key-direction 0
Daj znac jesli nie zakumales...
Pozdro...
Edytowany przez susser dnia 10-05-2016 21:03
|
| |
|
|
| WojtekPL |
Dodano 11-05-2016 07:40
|
User
Posty: 138
Dołączył: 17/06/2014 08:39
|
Dzięki za zainteresowanie.
Khain- próbowałem kilkakrotnie.
Susser- jak dopisałem:
key-direction 0
to konfiguracja nie chciała się zaimportować do aplikacji (może w złym miejscu to wpisałem)
Tak wygląda moja konfiguracja:
# Enables connection to GUI
management /data/data/de.blinkt.openvpn/cache/mgmtsocket unix
management-client
management-query-passwords
management-hold
setenv IV_GUI_VER "de.blinkt.openvpn 0.6.55"
setenv IV_PLAT_VER "19 4.4.2 armeabi-v7a samsung universal5260 SM-N7505"
machine-readable-output
ifconfig-nowarn
client
verb 4
connect-retry-max 5
connect-retry 5
resolv-retry 60
dev tun
remote X.X.X.X 1196 tcp-client
connect-timeout 243
-----BEGIN CERTIFICATE-----
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
-----END CERTIFICATE-----
-----BEGIN PRIVATE KEY-----
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
-----END PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
-----END CERTIFICATE-----
comp-lzo
route-ipv6 ::/0
route 0.0.0.0 0.0.0.0 vpn_gateway
verify-x509-name X.X.X.X name
# Use system proxy setting
management-query-proxy |
| |
|
|
| khain |
Dodano 11-05-2016 09:36
|
Power User
Posty: 335
Dołączył: 25/07/2007 17:09
|
@susser błąd dotyczy uwierzytelniania TLS użytkownika, a opcja tls-auth dotyczy Extra HMAC authorization, której WojtekPL nie używa.
@WojtekPL
Ja używam aplikacji OpenVPN for Android i u mnie smiga.
Zauważyłem różnicę w sekcji
Ja przed -----BEGIN CERTIFICATE----- mam jeszcze informacje o certyfikacie, m.in. Common Name usera - dlatego serwer u Ciebie odrzuca połączenie. Moja sekcja konfiguracji klienta na androidzie wygląda tak:
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 1 (0x1)
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=??, ST=UnknownProvince, L=UnknownCity, O=UnknownOrg, OU=UnknownOrgUnit, CN=(...)/name=(...)/emailAddress=(...)
Validity
Not Before: Feb 25 08:37:10 2016 GMT
Not After : Dec 25 08:37:10 2037 GMT
Subject: C=??, ST=UnknownProvince, L=UnknownCity, O=UnknownOrg, OU=UnknownOrgUnit, CN=(...)/name=(...)/emailAddress=(...)@.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (1024 bit)
Modulus:
(...)
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Comment:
Easy-RSA Generated Certificate
X509v3 Subject Key Identifier:
(...)
X509v3 Authority Key Identifier:
keyid:(...)
DirName:/C=??/ST=UnknownProvince/L=UnknownCity/O=UnknownOrg/OU=UnknownOrgUnit/CN=(...)/name=(...)/emailAddress=(...)
serial:(...)
X509v3 Extended Key Usage:
TLS Web Client Authentication
X509v3 Key Usage:
Digital Signature
Signature Algorithm: sha1WithRSAEncryption
(...)
-----BEGIN CERTIFICATE-----
(...)
-----END CERTIFICATE-----
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
|
| |
|
|
| WojtekPL |
Dodano 11-05-2016 11:01
|
User
Posty: 138
Dołączył: 17/06/2014 08:39
|
To w takim razie co i gdzie powinienem zmienić w swojej konfiguracji? |
| |
|
|
| khain |
Dodano 11-05-2016 11:39
|
Power User
Posty: 335
Dołączył: 25/07/2007 17:09
|
Certyfikat usera masz niepełny. Najprościej to zainstalować aplikację OpenVPN for Android, wpisać adres domenowy serwera, port itp. a na końcu zaimportować certyfikaty oraz klucze. Konfiguracja utworzy się automatycznie.
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
|
| |
|
|
| WojtekPL |
Dodano 11-05-2016 12:26
|
User
Posty: 138
Dołączył: 17/06/2014 08:39
|
@Khain ja właśnie tak robię że zainstalowałem aplikację i ustawiam konfigurację.
Załączam zrzuty ekranu może coś źle ustawiam...
WojtekPL załączono następujące plik:
Nie masz uprawnień, by zobaczyć załączniki w tym wątku.
|
| |
|
|
| khain |
Dodano 11-05-2016 13:26
|
Power User
Posty: 335
Dołączył: 25/07/2007 17:09
|
Odznacz "Weryfikuj nazwę domenową zawartą w certyfikacie" w zakładce "Uwierzytelnianie/Szyfrowanie" w konfigu klienta. PS. Przed chwilą testowałem u siebie i sekcję w konfigu klienta masz poprawną (nie musi być taka jak u mnie).
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
|
| |
|
|
| WojtekPL |
Dodano 11-05-2016 14:10
|
User
Posty: 138
Dołączył: 17/06/2014 08:39
|
Jak odznaczyłem tę opcję to coś się już klient nawet łączy ale po chwili się rozłącza.
Pojawiają się takie statusy:
Łączenie
Uwierzytelnianie
Połączono Success
łącze ponownie connection reset
Dodaję trasę
I tak cały czas w koło
Na serwerze VPN widzę że pojawia się ten klient- czyli połączenie się zestawia tylko nie wiadomo dlaczego rozłącza.
Połączony z 11 maj 2016 14:43:23:
Poradziłem sobie z tym że klient cały czas się łączył i rozłączał.
W ustawieniach serwera zakładka advanced
Zmieniłem ustawienia dla: Encryption cipher
z None na Use Default
Teraz klient łączy się i trzyma połączenie ale nie ma dostępu do internetu...
Logi w załączniku.
W czym może być problem ?
Połączony z 11 maj 2016 14:50:48:
Jeszcze zauważyłem że tabela routingu jest bardzo obszerna,
czy to tak powinno być?
nadal nie mogę znaleźć rozwiązania na brak dostępu do Internetu na kliencie.
Połączony z 12 maj 2016 09:19:05:
Pomoże ktoś ? 
WojtekPL załączono następujące plik:
Nie masz uprawnień, by zobaczyć załączniki w tym wątku.
Edytowany przez WojtekPL dnia 12-05-2016 09:19
|
| |
|
|
| khain |
Dodano 12-05-2016 09:27
|
Power User
Posty: 335
Dołączył: 25/07/2007 17:09
|
Chcesz przekierować ruchu internetowy klienta przez tunel VPN czy nie?
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
|
| |
|
|
| WojtekPL |
Dodano 12-05-2016 09:46
|
User
Posty: 138
Dołączył: 17/06/2014 08:39
|
Cytat khain napisał(a):
Chcesz przekierować ruchu internetowy klienta przez tunel VPN czy nie?
tak chcę. |
| |
|
|
| khain |
Dodano 12-05-2016 10:01
|
Power User
Posty: 335
Dołączył: 25/07/2007 17:09
|
To musisz zaznaczyć "Direct clients to redirect Internet traffic" w zakładce Advanced serwera.
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
|
| |
|
|
| WojtekPL |
Dodano 12-05-2016 10:06
|
User
Posty: 138
Dołączył: 17/06/2014 08:39
|
Niestety nawet jak zaznaczę opcję o której mówisz to na smartfonie nie mam dostępu do internetu.
Połączony z 12 maj 2016 10:20:16:
W logach klienta pojawiają się jakieś błędy, może ode odpowiadają za brak internetu na kliencie?
Załączam zrzut ekranu.
Połączony z 12 maj 2016 10:28:06:
Zauważyłem również że na kliencie oprócz tego że nie mam dostępu do sieci Internet to nie mogę także wejść na lokalne strony typu router: 192.168.1.1
WojtekPL załączono następujące plik:
Nie masz uprawnień, by zobaczyć załączniki w tym wątku.
Edytowany przez WojtekPL dnia 12-05-2016 10:28
|
| |
|
|
| khain |
Dodano 12-05-2016 11:17
|
Power User
Posty: 335
Dołączył: 25/07/2007 17:09
|
Na szybko zrobiłem konfig taki jak ty masz i u mnie działa, więc coś namieszałeś w konfigu.
Ruch internetowy na kliencie wychodzi przez tunel vpn.
W konfigu klienta w zakładce "Zaawansowane" mam wszystko odznaczone.
W zakładce "Advanced" w Custom Configuration mam wpisane ściężki do certów i kluczy po to, żeby zaoszczędzić miejsce w NVRAM (zakładka "Keys" na serwerze jest pusta). Reszta w załącznikach. Powodzenia!
Konfig na Asus RT-N16 z Tomato Firmware 1.28.0000 MIPSR2-132 K26 USB AIO
khain załączono następujące plik:
Nie masz uprawnień, by zobaczyć załączniki w tym wątku.
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
|
| |
|
' target='_blank'>Link
