27 Listopada 2024 03:01:11
Nawigacja
· Strona Główna
· Forum

· Tomato by Shibby
· FreshTomato


Wątki na forum
Najnowsze dyskusje
· Nowe routery: UX, UC...
· DIR868l OFW asus vs ...
· [S] Asus RT-AC56U
· Szukam zaproszenia n...
· [MOD] FreshTomato-AR...
· Asus RT-AC5300 ,prob...
· archer c6 v3.20
· [S] Nighthawk R7000P...
· [S]Asus RT-AC5300 - ...
· Tanie N100 na promce...
· net z telefonu wifi+...
· Tomato - bugi/proble...
· HUAWEI z światłowodem
· Asus TUF-AX3000_V2 p...
· rt-ax88upro częste ...
· [Howto] Xpenology na...
· Jaki router pod Open...
· Ruter z tomato
· Czy to jeszcze NAS?
· RT AC66U B1
Najpopularniejsze obecnie wątki
· DIR868l OFW asus ... [11]
· Nowe routery: UX,... [1]
· [S] Asus RT-AC56U [0]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
36% [151 głosów]

Broadcom ARM
Broadcom ARM
52% [219 głosów]

Atheros
Atheros
5% [22 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
1% [3 głosów]

Intel/AMD/VIA
Intel/AMD/VIA
1% [5 głosów]

Żaden z powyższych
Żaden z powyższych
4% [15 głosów]

Ogółem głosów: 419
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38
Twoje IP
3.149.24.143
Zobacz wątek
OpenLinksys » :: OPROGRAMOWANIE :: » Tomato - firmware
 Drukuj wątek
Dostęp z zewnątrz przez OpenVPN
djecstasy
Witam,
Mam problem z dostaniem się z zewnątrz na router po OpenVPN.
Opiszę najpierw całą sieć:

Lokalizacja A
Orange
Funbox + Asus z serwerem OpenVPN (192.168.0.3)
Ustawiony DDNS

Lokalizacja B
Play
Asus z klientem OpenVPN (192.168.0.101)

Dla testów ustawiłem na Funoxie DMZ na ip Asusa z serwerem OpenVPN (192.168.0.3)
mogę teraz zalogować się po adresie ddns na Funbox oraz Asusa z serwerem, a więc działa.
Następnie Ustawiłem kolejny DMZ (w asusie z serwerem) na Asusa z klientem (192.168.0.101)
Teoretycznie powinienem móc zalogować się na drugiego Asusa jednak to nie działa.

Dlaczego używam DMZ? żeby wykluczyć błąd w przekierowaniu portów.
Ktoś ma jakiś pomysł jak to ogarnąć?
 
khain
Sprawdź logi serwera i klienta - tam znajdziesz odpowiedź dlaczego nie działa.
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
 
djecstasy
Na serwerze w logach nie ma kompletnie nic a na kliencie coś takiego:

Jan  5 17:44:15 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.184 DST=172.217.16.14 LEN=83 TOS=0x00 PREC=0x00 TTL=63 ID=22201 DF PROTO=TCP SPT=51327 DPT=443 SEQ=3199237842 ACK=3696098223 WINDOW=1486 RES=0x00 ACK PSH URGP=0 OPT (0101080A00420580A2E389FB) 
Jan  5 17:44:22 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.129 DST=168.63.16.185 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=7420 DF PROTO=TCP SPT=59679 DPT=443 SEQ=2025326873 ACK=0 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405B40103030201010402)
 
khain
To nie jest log openvpn. Przede wszystkim włącz logowanie poprzez dodanie do konfigu Log powinien trafiać do sysloga chyba, że masz opcję

log /sciezka/do/pliku
w konfigu, wtedy log trafia do tego pliku.
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
 
djecstasy
na serwerze:

Jan  5 21:43:19 Leka daemon.notice openvpn[20654]: 94.254.241.164:62068 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Jan  5 21:43:19 Leka daemon.notice openvpn[20654]: 94.254.241.164:62068 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Jan  5 21:43:19 Leka daemon.notice openvpn[20654]: 94.254.241.164:62068 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Jan  5 21:43:19 Leka daemon.notice openvpn[20654]: 94.254.241.164:62068 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Jan  5 21:43:19 Leka daemon.notice openvpn[20654]: 94.254.241.164:62068 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-GCM-SHA384, 1024 bit RSA
Jan  5 21:43:19 Leka daemon.notice openvpn[20654]: 94.254.241.164:62068 [mulicka] Peer Connection Initiated with [AF_INET]94.254.241.164:62068
Jan  5 21:43:19 Leka daemon.notice openvpn[20654]: mulicka/94.254.241.164:62068 OPTIONS IMPORT: reading client specific options from: ccd/mulicka
Jan  5 21:43:19 Leka daemon.err openvpn[20654]: mulicka/94.254.241.164:62068 Options error: in --iroute 192.168.0.101 255.255.255.0 : Bad network/subnet specification
Jan  5 21:43:19 Leka daemon.notice openvpn[20654]: mulicka/94.254.241.164:62068 MULTI_sva: pool returned IPv4=192.168.0.102, IPv6=(Not enabled)
Jan  5 21:43:21 Leka daemon.notice openvpn[20654]: mulicka/94.254.241.164:62068 MULTI: Learn: e0:3f:49:8b:12:84 -> mulicka/94.254.241.164:62068
Jan  5 21:43:21 Leka daemon.notice openvpn[20654]: mulicka/94.254.241.164:62068 PUSH: Received control message: 'PUSH_REQUEST'
Jan  5 21:43:21 Leka daemon.notice openvpn[20654]: mulicka/94.254.241.164:62068 send_push_reply(): safe_cap=940
Jan  5 21:43:21 Leka daemon.notice openvpn[20654]: mulicka/94.254.241.164:62068 SENT CONTROL [mulicka]: 'PUSH_REPLY,route 192.168.0.101 255.255.255.0,route 192.168.0.135 255.255.255.0,route 192.168.0.0 255.255.255.255,route-gateway 192.168.0.3,ping 15,ping-restart 60,ifconfig 192.168.0.102 255.255.255.0' (status=1)
Jan  5 21:43:21 Leka daemon.notice openvpn[20654]: mulicka/94.254.241.164:62068 MULTI: Learn: e0:b9:a5:45:7b:2c -> mulicka/94.254.241.164:62068
Jan  5 21:43:35 Leka daemon.notice openvpn[20654]: mulicka/94.254.241.164:62068 MULTI: Learn: d0:ae:ec:3b:9d:15 -> mulicka/94.254.241.164:62068
Jan  5 21:43:36 Leka daemon.notice openvpn[20654]: mulicka/94.254.241.164:62068 MULTI: Learn: 00:24:b2:45:53:2e -> mulicka/94.254.241.164:62068
Jan  5 21:44:10 Leka daemon.notice openvpn[20654]: mulicka/94.254.241.164:62068 MULTI: Learn: 18:1e:78:54:d9:03 -> mulicka/94.254.241.164:62068
 
khain

Options error: in --iroute 192.168.0.101 255.255.255.0 : Bad network/subnet specification
Opcja iroute powinna zawierać adres podsieci za klientem a nie hosta. Wrzuć jeszcze logi klienta.
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
 
djecstasy
Ale to jest adres podsieci klienta...
Na kliencie tylko to:

Jan  5 22:08:50 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.184 DST=31.13.81.9 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=41355 DF PROTO=TCP SPT=41726 DPT=443 SEQ=2300921817 ACK=0 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405500402080A004BE6520000000001030306) 
Jan  5 22:09:04 Wroclaw daemon.err openvpn[2286]: event_wait : Interrupted system call (code=4)
Jan  5 22:09:04 Wroclaw daemon.notice openvpn[2286]: OpenVPN STATISTICS
Jan  5 22:09:04 Wroclaw daemon.notice openvpn[2286]: Updated,Fri Jan  5 22:09:04 2018
Jan  5 22:09:04 Wroclaw daemon.notice openvpn[2286]: TUN/TAP read bytes,967192
Jan  5 22:09:04 Wroclaw daemon.notice openvpn[2286]: TUN/TAP write bytes,558751
Jan  5 22:09:04 Wroclaw daemon.notice openvpn[2286]: TCP/UDP read bytes,758698
Jan  5 22:09:04 Wroclaw daemon.notice openvpn[2286]: TCP/UDP write bytes,1091435
Jan  5 22:09:04 Wroclaw daemon.notice openvpn[2286]: Auth read bytes,558751
Jan  5 22:09:04 Wroclaw daemon.notice openvpn[2286]: pre-compress bytes,197472
Jan  5 22:09:04 Wroclaw daemon.notice openvpn[2286]: post-compress bytes,182608
Jan  5 22:09:36 Wroclaw daemon.info dnsmasq-dhcp[2366]: DHCPREQUEST(br0) 192.168.0.180 d0:ae:ec:3b:9d:15
Jan  5 22:09:36 Wroclaw daemon.info dnsmasq-dhcp[2366]: DHCPACK(br0) 192.168.0.180 d0:ae:ec:3b:9d:15
Jan  5 22:09:43 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.184 DST=172.217.16.35 LEN=1378 TOS=0x00 PREC=0x00 TTL=63 ID=64223 DF PROTO=UDP SPT=57312 DPT=443 LEN=1358
Jan  5 22:09:43 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.184 DST=172.217.16.35 LEN=817 TOS=0x00 PREC=0x00 TTL=63 ID=64224 DF PROTO=UDP SPT=57312 DPT=443 LEN=797
Jan  5 22:09:43 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.184 DST=172.217.16.36 LEN=1378 TOS=0x00 PREC=0x00 TTL=63 ID=64227 DF PROTO=UDP SPT=60066 DPT=443 LEN=1358
Jan  5 22:09:43 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.184 DST=172.217.16.46 LEN=1378 TOS=0x00 PREC=0x00 TTL=63 ID=64219 DF PROTO=UDP SPT=42784 DPT=443 LEN=1358
Jan  5 22:09:43 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.184 DST=172.217.16.36 LEN=480 TOS=0x00 PREC=0x00 TTL=63 ID=64228 DF PROTO=UDP SPT=60066 DPT=443 LEN=460
Jan  5 22:10:01 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.184 DST=79.191.198.25 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=54142 DF PROTO=TCP SPT=58180 DPT=81 SEQ=1070059867 ACK=0 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405500402080A004C02250000000001030306)
Jan  5 22:10:01 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.184 DST=79.191.198.25 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=5832 DF PROTO=TCP SPT=58181 DPT=81 SEQ=2164462829 ACK=0 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405500402080A004C02250000000001030306)
Jan  5 22:10:01 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.184 DST=79.191.198.25 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=13521 DF PROTO=TCP SPT=58182 DPT=81 SEQ=1236612860 ACK=0 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405500402080A004C022D0000000001030306)
Jan  5 22:10:01 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.184 DST=172.217.16.42 LEN=1378 TOS=0x00 PREC=0x00 TTL=63 ID=571 DF PROTO=UDP SPT=33983 DPT=443 LEN=1358
Jan  5 22:10:02 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.184 DST=79.191.198.25 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=54389 DF PROTO=TCP SPT=58183 DPT=81 SEQ=3014776331 ACK=0 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405500402080A004C027E0000000001030306)
 
khain
No właśnie ma być adres podsieci klienta, a nie adres hosta w tej podsieci.
Dostajesz

event_wait : Interrupted system call (code=4)
Powodów może być kilka. Brak otwartego portu, różne porty ustawione w konfigu serwera i klienta, różne protokoły na serwerze i kliencie, różne ustawienia kompresji (comp-lzo). Sprawdź to wszystko.
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
 
djecstasy
Wydaje się być ok
Klient:
imgie.pl/images/2018/01/06/klient123ae0.md.png
imgie.pl/images/2018/01/06/klient283f55.md.png

Serwer:
imgie.pl/images/2018/01/06/server18e600.md.png
imgie.pl/images/2018/01/06/server2a15c6.md.png
imgie.pl/images/2018/01/06/server3984ee.md.png
 
khain
Nie stosuj TAPa do łączenia dwóch podsieci. Podsieć za serwerem i klientem musi mieć inną adresację.
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
 
djecstasy
Tylko jest jedno ale. OpenVPN postawiony na potrzeby multiroom nc+ wg:
https://openlinksys.info/forum/viewthread.php?thread_id=16352
Obawiam się że z dwoma podsieciami to nie zadziała...
poza tym:

Cytat

OpenVPN może działać w jednym z dwóch trybów - routowania (tun) oraz w trybie mostkowania, czyli bridge (tap):

Tryb routowania - używany w przypadku konfiguracji typu brama + wielu klientów lub brama-brama. Przykładem wykorzystania tego trybu jest łączenie się z firmą pracowników zdalnych.
Tryb bridge - używany w przypadku łączenia kilku sieci. W tym przypadku między sieciami przekazywany jest cały ruch, łącznie z broadcastem (pakietami rozgłoszeniowymi), co może prowadzić do nadmiernego obciążenia tunelu VPN niepotrzebnym ruchem. Przykładem wykorzystania tego trybu jest połączenie pomiędzy oddziałem firmy a centralą.

a więc dzięki temu wszystkie urządzenia widzą się wzajemnie.
 
khain
Tak, jeśli chcesz, żeby NC+ działał to musisz zastosować TAP, ale ja bym wydzielił osobny VLAN na NC+ i zastosował drugi serwer vpn dla pzostałych urządzeń w LAN. Tak czy inaczej podawanie

push "route...
route
przy TAPie nie ma sensu tak samo jak stosowanie "Manage client Specific Options" (na dodatek nadal błędnie podajesz tam adresy hostów zamiast podsieci).
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
 
djecstasy
Czyli mam rozumieć że na TAPie i na na jednej adresacji nie ma możliwości aby działało przekierowanie portów?
 
khain
Bedzie działac, tylko, ze nie ustawiasz tego w openvpn a w firewallu. Najpierw trzeba zestawić poprawnie tunel openvpn i zablokować przepływ pakietów DHCP pomiędzy klientem a serwerem (jeśli używa się TAPa).
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
 
Przejdź do forum
Zaloguj
Wprowadź adres e-mail lub nazwę użytkownika

Hasło



Nie masz jeszcze konta? Zarejestruj się.

Zapomniałeś/aś hasła?
Aktualnie online
· Gości online: 74

· Użytkowników online: 0

· Łącznie użytkowników: 24,115
· Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.

Maniek91PL
06-11-2024 22:37
dzięki !Grin

maxikaaz
29-10-2024 14:27
@Maniek91PL - Administration=> Admin Access, i tam masz "Allow Wireless Access" do zaznaczenia

Maniek91PL
26-10-2024 22:07
siemka! ktoś przypomni co się ustawiało jeśli nie mogę wejść od strony wifi do tomato? od lan działa

overflow2
04-10-2024 17:34
Kupowałem Asusy n10u albo n12d1 ale nie widzę ich, chyba już nie produkują, Chodzi o coś nowego i taniego. Transfery niewielkie.

maxikaaz
04-10-2024 09:38
@overflow2 patrząc po dostępności funkcji w nowych kompilacjach, to chyba nawet WRT54G/GL jeszcze ma OpenVPN, albo jakiś odpowiednik... zależy, na jakie transfery liczysz.

overflow2
30-09-2024 20:53
Jaki aktualnie najtańszy router do tomato do openvpn?

maxikaaz
27-07-2024 15:07
@servee - na początek router do rozebrania i obejrzenia, ciężko wróżyć tak tylko po objawach

maxikaaz
27-07-2024 14:55
@servee - cały kontroler nie pada tak sobie z powodu "zbiegu okoliczności",
więc prawdopodobnie gdzieś przepięcie.

servee
25-07-2024 13:33
@maxikaaz: działało, aż pewnego pięknego dnia przestało działać. W tym dniu była też burza, ale to raczej zbieg okoliczności.

maxikaaz
25-07-2024 11:38
@servee - o ile problem jest w obrębie samych wyjść (dławiki, warystory), to naprawialne, ale jeśli w samym SoC - to nienaprawialne ze względu na koszta. A co było przyczyną?

95,923,561 unikalnych wizyt