OpenVPN TUN + dostęp do zasobów LAN SMB SAMBA
|
marianpro |
Dodano 16-04-2020 19:09
|
User
Posty: 47
Dołączył: 01/09/2018 12:50
|
Cześć Wszystkim. :)
Potrzebuję mieć bezpieczny dostęp z PC'tów na Windows'ie do RDP komputerów w sieci LAN i do udostępnionych folderów na serwerze.
Ruchu Internetowego nie chcę pchać przez VPN, tylko LAN.
Skonfigurowałem serwer OpenVPN na Merlinie (Asus RT-AC66U_B1).
Wybrałem konfigurację TUN/TCP, ponieważ mam konflikt adresacji IP między siecią, z której się łączę a tę do której się łączę, a na ten moment nie mogę tego zmienić.
O ile RDP mi działa o tyle zasobów SMB nie widzę nawet po \\IP. Oczywiście w sieci LAN wszystko działa jak należy.
Jak zmienię na TAP/TCP i połączę się np. przez router ze smarfona, to też wszystko działa. Czasem NetBIOS szwankuje bo nie ma dedykowanego winsn'a i trzeba po IP, ale ogólnie jest ok.
Znalazłem takie poradniki:
https://openvpn.net/community-resourc...r-openvpn/
https://oldwiki.archive.openwrt.org/o...penvpn.tun
https://www.howtogeek.com/64433/how-t...rt-router/
https://forums.openvpn.net/viewtopic....hp?t=17706
Próbowałem coś powklejać do okienka "Custom Configuration" w GUI routera, ale brakuje mi wiedzy.
Nawet nie wiem, czy nie robię jakiejś poważnej luki na firewallu przez te wstawki.
Sieć po obu stronach mam na 10.0.0.0/24.
Adresację klientów OpenVPN po TUN przyjąłem domyślnie proponowaną 10.8.0.0/24, czyli włączyłem VPN Subnet / Netmask 10.8.0.0 / 255.255.255.0 w GUI. Domyślam się, że to odpowiada regułce: server 10.8.0.0 255.255.255.0.
Próbowałem m.in takie coś:
push "route 10.0.0.0 255.255.255.0"
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A OUTPUT -o tun+ -j ACCEPT
iptables -A FORWARD -o tun+ -j ACCEPT
Po dodaniu powyższego nawet mi nie łączy z serwerem OpenVPN.
Po stronie pliku ovpn klienta nic nie zmieniałem, choć widziałem też poradniki, gdzie i tam ktoś robił jakieś zmiany.
Próbowałem też inne opcje z linków wyżej ale też bez rezultatu.
Pomoże ktoś? :) |
|
|
|
hermes-80 |
Dodano 16-04-2020 21:48
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
Nie możesz mieć po obu stronach takiej samej podsieci - na tym polega tryb TUN by był routing między rożnymi sieciami, którym zarządza router - jeżeli masz taką sama adresacje sieci łączonych tunelem - router głupieje (po prostu nie wpuszcza pakietu w tunel), dlatego TAP działa bo on łączy segmenty tej samej podsieci.
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
|
|
|
marianpro |
Dodano 17-04-2020 13:18
|
User
Posty: 47
Dołączył: 01/09/2018 12:50
|
Cytat hermes-80 napisał(a):
Nie możesz mieć po obu stronach takiej samej podsieci - na tym polega tryb TUN by był routing między rożnymi sieciami, którym zarządza router - jeżeli masz taką sama adresacje sieci łączonych tunelem - router głupieje (po prostu nie wpuszcza pakietu w tunel), dlatego TAP działa bo on łączy segmenty tej samej podsieci.
Z tego co ja zrozumiałem, tryb TUN tworzy wirtualną podsieć (tutaj domyślną zaakceptowałem jaką proponuje OpenVPN, tj. 10.8.0.0/24) i to ta nie może się pokrywać z siecią do jakiej przynależymy, by nie było konfliktów. Po o też ona jest tworzona - by stanowiła "pomost", a nie "most" jak w TAP. Jest wręcz to rozwiązanie polecane z tego powodu: https://osworld.pl/konfiguracja-openvpn/
Tryb bridge zaś, czyli TAP, zestawia nam dwie sieci, przydzielając adresację sieci do jakiej się łączymy i to tutaj może nastąpić konflikt, bo mamy zestawiony most.
Poza tym, testy wykonuję, łącząc się z routerem OpenVPN z klienta OpenVPN na PC połączonym przez net udostępniony ze smarfona. Zatem argument konfliktu adresacji sieci tym bardziej odpada.
***
Zauważyłem też, że jakiekolwiek wpisy w okienku Custom configuration dotyczące iptables, powodują, że serwer OpenVPN nie wstaje. Inne wpisy, np. push nie powodują tego.
Być może więc wpisy są ok, tylko nie startuje usługa.
Czy ktoś wie dlaczego? |
|
|
|
pedro |
Dodano 17-04-2020 15:30
|
Moderator
Posty: 1006
Dołączył: 21/09/2015 15:03
|
Czy normalnie w konfigu OpenVPN, wpisujesz jakieś reguły iptables??
No właśnie...
Netowski 1Gb/1Gb
Huawei E3372s-153 non-hilink + 2x15dBi MIMO
FreshTomato: Asus RT-AC3200 + RT-N18U + RT-N66U + RT-N12
|
|
|
|
marianpro |
Dodano 17-04-2020 16:28
|
User
Posty: 47
Dołączył: 01/09/2018 12:50
|
Cytat pedro napisał(a):
Czy normalnie w konfigu OpenVPN, wpisujesz jakieś reguły iptables??
No właśnie...
Po stronie klienta - nie, po stronie serwera - na routerze próbowałem wklejać tak jak pisałem w okienko "Custom Configuration", które zrozumiałem, że po to jest.
Tu jest przykład Shibby'iego dla wykorzystania tego okienka, ale w innym temacie: https://gnsltd.freshdesk.com/support/...pn-routers
Gdzie się zatem wpisuje dodatkowe komendy? Z Linii komend jakoś po Telenecie czy SSH? |
|
|
|
pedro |
Dodano 17-04-2020 16:33
|
Moderator
Posty: 1006
Dołączył: 21/09/2015 15:03
|
Jak sama nazwa wskazuje, w skryptach
Tamto, to jest tylko i wyłącznie konfiguracja klienta/serwera OpenVPN, więc ciężko żeby taki ovpn zrozumiał, co to "iptables"
Administration -> Scripts -> WAN Up/Firewall w zależności co chcesz osiągnąć.
Netowski 1Gb/1Gb
Huawei E3372s-153 non-hilink + 2x15dBi MIMO
FreshTomato: Asus RT-AC3200 + RT-N18U + RT-N66U + RT-N12
|
|
|
|
marianpro |
Dodano 17-04-2020 18:41
|
User
Posty: 47
Dołączył: 01/09/2018 12:50
|
Cytat pedro napisał(a):
Jak sama nazwa wskazuje, w skryptach
Tamto, to jest tylko i wyłącznie konfiguracja klienta/serwera OpenVPN, więc ciężko żeby taki ovpn zrozumiał, co to "iptables"
Administration -> Scripts -> WAN Up/Firewall w zależności co chcesz osiągnąć.
Dzięki za wskazówkę. Wiesz, nie dla każdego to oczywiste, tym bardziej, że w Merlinie tych okienek na skrypty nie ma. Tomato na moim routerze nie pójdzie.
Z tego co poszperałem, to trzeba włączyć obsługę JFFS: https://github.com/RMerl/asuswrt-merl...er-scripts
No to teraz pytanie, czy wystarczy taki plik z tym zestawem regułek jak wyżej podałem dla przykłądu, czy też muszę go "oskryptować" jakimiś komendami sterującymi / pomocniczymi czy coś?
Nigdy nie wrzucałem takich skryptów, nawet gotowych, więc nie mam pojęcia jak się to robi. |
|
|
|
jurekk |
Dodano 17-04-2020 20:33
|
OL Maniac
Posty: 1414
Dołączył: 28/11/2012 18:19
|
W sumie pedro ;-) buduje to tomato glownie teraz on
Mowisz o Asus RT-AC66U_B1 ? Owszem pójdzie tomato z folderu ng do Ac68u_c1 podejdzie kojarzę. tylko przez Asus restoration tools wgrywaj i czysc potem nvram przyciskiem wps
AX3000 v2 Tomato
ea6500v2 @Ac66u_B1 @1000 Aimesh
ea6700v cfe (custom) @AC66u_B1 node
node Aimesh,
|
|
|
|
marianpro |
Dodano 17-04-2020 21:37
|
User
Posty: 47
Dołączył: 01/09/2018 12:50
|
Cytat jurekk napisał(a):
W sumie pedro ;-) buduje to tomato glownie teraz on
Mowisz o Asus RT-AC66U_B1 ? Owszem pójdzie tomato z folderu ng do Ac68u_c1 podejdzie kojarzę. tylko przez Asus restoration tools wgrywaj i czysc potem nvram przyciskiem wps
Z tych linków:
https://www.snbforums.com/threads/rt...ato.39765/
https://www.linksysinfo.org/index.php...ity.74567/
https://openlinksys.info/forum/viewth...d_id=21658
wynika, że mogę sobie uceglić router. Może zostawię sobie to na koniec taką desperację.
Patrzyłem też na DD-WRT, ale też świetlanej przyszłości nie wróżą: https://wiki.dd-wrt.com/wiki/index.ph...T-AC66U_B1
Nie znalazłem ostatecznie żadnego postu potwierdzającego, że komuś zadziałało cokolwiek innego od oryginału fw i Merlina na Asus RT-AC66U_B1.
Jakoś z tego JFFS chyba da się skorzystać?
Poza tym nie wiem nawet czy te regułki od iptables by zadziałały i czy są bezpieczne. Nie chcę z tego zrobić sztuki dla sztuki a przy okazji uwalić router. |
|
|
|
jurekk |
Dodano 18-04-2020 10:27
|
OL Maniac
Posty: 1414
Dołączył: 28/11/2012 18:19
|
Te linki dotyczą rożnych sprzętów. Dwa w większości sa juz nieaktualne.
tu masz tabele oficjalna poszukaj sobie twoj router i jakie tomato pasuje do niego
https://wiki.freshtomato.org/doku.php?id=hardware_compatibility
Zresztą pedro jest teraz głównym deweloperem tomato wiec moze ci wytłumaczy.
Generalnei na Merlinie mozesz zorobić mniej wiecej to samo co na Tomato ale wymaga to duzo wiecej zachodu.
Z JFFS to prost osie korzysta. Włączasz w gui ta partycje i jest. Natomiast by robic to co ty chcesz potrzebujesz instalacji repozytorium ( ng entware polecam) na partycji opt byc moze na pendrive lub dysku podpiętym i zamontowanym do routera
https://github.com/Entware/Entware-ng/wiki/Install-on-asuswrt-merlin-firmware
Połączony z 18 kwietnia 2020 10:51:34:
tu szukaj odpowiedzi odnosnie swych pytan o rmerlina
https://github.com/RMerl/asuswrt-merlin.ng/wiki
https://github.com/RMerl/asuswrt-merlin.ng/wiki/JFFS
https://github.com/RMerl/asuswrt-merlin.ng/wiki/Iptables-tips
Połączony z 18 kwietnia 2020 20:32:25:
o nawet jest przez pedro zrobiony soft dal twojego routera
https://freshtomato.org/downloads/freshtomato-arm/2020/2020.2/K26ARM-NG/freshtomato-RT-AC66U_B1-ARM_NG-2020.2-AIO-64K.zip
Edytowany przez jurekk dnia 18-04-2020 20:32
AX3000 v2 Tomato
ea6500v2 @Ac66u_B1 @1000 Aimesh
ea6700v cfe (custom) @AC66u_B1 node
node Aimesh,
|
|
|
|
marianpro |
Dodano 21-04-2020 22:36
|
User
Posty: 47
Dołączył: 01/09/2018 12:50
|
Cytat jurekk napisał(a):
o nawet jest przez pedro zrobiony soft dal twojego routera
https://freshtomato.org/downloads/freshtomato-arm/2020/2020.2/K26ARM-NG/freshtomato-RT-AC66U_B1-ARM_NG-2020.2-AIO-64K.zip
Trafiłem wcześniej na stronę główną https://freshtomato.org/ ale chyba była późna pora, bo zarejestrowałem tylko "Under Construction" i zamknąłem przeglądarkę. ;P
Tym bardziej dziękuję za podanie linków "na talerzu".
Chętnie przejdę na Tomato z obecnego Merlina, nie tylko z powodów łatwiejszej konfiguracji iptables, ale dlatego, że ma lżejsze GUI.
Zaryzykowałem i... Po pierwszej próbie załadowania Freshtomato K26ARM-NG AIO 2020.02 router niby się zrestartował ale nie było dojścia LANem, karta w PC wykrywała obecność kabla tylko.
Wgrywałem przez Asus CFE miniWeb server a także przez Asus Firmware Restoration.
Częściowo pomogła połączona procedura 30/30/30 z dodatkowym czyszczeniem NVRAM z poziomu Asus CFE miniWeb server.
Częściowo, bo o ile pojawiła się prośba o login i hasło o tyle nie dało się zalogować, próbowałem nawet admin / @newdig.
Przez telneta też nie puszczał, w tym procedura backdoora też nie szła - o ile coś takiego tutaj działa z WPS trzymanym przez 30s i logowaniem bez hasła (?).
Próbowałem też wersję K26ARM-NG VPN 2020.02 i to samo.
Ostatecznie poszła 2020.01 AIO, ale późniejszy update na 2020.02 z GUI powoduje efekt jak poprzednio - nie da się zalogować.
Ktoś coś wie o tym problemie?
No to teraz wracam do punktu wyjścia z tematu postu, tj. jak dostać się do zasobów sieciowych MS Windows po TUN/TCP?
Wpisałem jak zalecał @pedro w Administration / Scripts / Firewall to co rekomenduje strona: https://oldwiki.archive.openwrt.org/o...penvpn.tun
push "route 10.0.0.0 255.255.255.0"
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A OUTPUT -o tun+ -j ACCEPT
iptables -A FORWARD -o tun+ -j ACCEPT
Choć nadal nie wiem co dokładnie robią te komendy z iptables. Brak mi tutaj podstaw z Linuxa.
Tak czy inaczej nie działa, tj. \\IP-kompa nie wyświetla monitu o hasło, by dostać się do zasobów sieciowych SMB. |
|
|
|
jurekk |
Dodano 21-04-2020 23:35
|
OL Maniac
Posty: 1414
Dołączył: 28/11/2012 18:19
|
@pedro cwiczył nasza czujnosc i zminił zasady logowania
root/root w 2020.1 jescze było root/admin
pass/admin
w toamto masz zakladke odpowiednai smb musisz ja wypelnic
nie mam obecnie toamto zaladownego wiec nie pamietam
to cos w necie znalazlem
Połączony z 22 kwietnia 2020 10:13:41:
Nie jestem w tym biegły bo mi to od dawna nie potrzebne aleby cos było widac to musisz podmontowac zasoby
albo w zakladce usb ( dyski , foldery podpiete do routera ) albo w zakładce bodjaze administration cifs jezeli to maja byc udziały sieciowe ( podmontowne np do innych urzadzen dyski) lub nas
Połączony z 22 kwietnia 2020 10:20:47:
no i dobrze wlczyc obsługę samba 2 w windows 10,7 itd bo kojarzę ,ze chyba jest domyślnie wyłączona.
Połączony z 22 kwietnia 2020 10:20:53:
no i dobrze wlczyc obsługę samba 2 w windows 10,7 itd bo kojarzę ,ze chyba jest domyślnie wyłączona.
Edytowany przez jurekk dnia 22-04-2020 10:20
AX3000 v2 Tomato
ea6500v2 @Ac66u_B1 @1000 Aimesh
ea6700v cfe (custom) @AC66u_B1 node
node Aimesh,
|
|
|
|
marianpro |
Dodano 22-04-2020 10:48
|
User
Posty: 47
Dołączył: 01/09/2018 12:50
|
@jurekk ale ja nie mówię o udostępnianiu zasobu podłączonego do USB w routerze.
Ja mówię o zasobach SMB w sieci LAN poza routerem (serwerem OpenVPN), ogólnie, np. na serwerze plików na MS Windows, innych PC z MS Windows itd.
Co do uwagi o wersji SMB, to chyba nie ma nic do rzeczy, skoro na TAP działa.
Co do logowania, to pospiesznie przejrzałem Changelog pod kątem słowa pass lub password. Nie przyszło mi do głowy, że deweloper zmienia login domyślny od lat... Przez telenet próbowałem też root i nie poszło. A że aktualizacja zmienia login, to już też zaskoczenie niemałe! |
|
|
|
jurekk |
Dodano 22-04-2020 11:25
|
OL Maniac
Posty: 1414
Dołączył: 28/11/2012 18:19
|
no 90% ludzi mysle miala problem taki jak ty czy ja z tym root niby wystarczy pocztyac ale ....
to i sie moze na cos przyda
https://openlinksys.info/forum/viewthread.php?thread_id=21023
Połączony z 22 kwietnia 2020 11:50:17:
ps. telnet jest domyslnie wylaczony ( w gui zakladka Adminstration trzeba go wlaczyc) ssh jes totwarte domyslnie i po ssh przez puty sie logujesz root/admin
Edytowany przez jurekk dnia 22-04-2020 11:50
AX3000 v2 Tomato
ea6500v2 @Ac66u_B1 @1000 Aimesh
ea6700v cfe (custom) @AC66u_B1 node
node Aimesh,
|
|
|
|
marianpro |
Dodano 22-04-2020 11:58
|
User
Posty: 47
Dołączył: 01/09/2018 12:50
|
Cytat jurekk napisał(a):
no 90% ludzi mysle miala problem taki jak ty czy ja z tym root niby wystarczy pocztyac ale ....
to i sie moze na cos przyda
https://openlinksys.info/forum/viewthread.php?thread_id=21023
Połączony z 22 kwietnia 2020 11:50:17:
ps. telnet jest domyslnie wylaczony ( w gui zakladka Adminstration trzeba go wlaczyc) ssh jes totwarte domyslnie i po ssh przez puty sie logujesz root/admin
@jurekk a jak włączyć telnet miałem gdy nie było możliwości zalogowania? Stąd coś bełkotałem o backdoorze przez WPS przytrzymanym, bo tak znalazłem gdzieś w necie.
Co do Twojego linka, to jest temat trochę inny, bliżej mu chyba tego podłączania USB. Tam kolega @sasiadka podłączał dysk do tunera, ale miał byś widoczny przez router jako zasób, tak zrozumiałem.
Ja chce mieć dostęp do całego otoczenia sieciowego, wszystkich komputerów i serwerów, czy to po \\Netbios czy to po \\IP |
|
|
|
jurekk |
Dodano 22-04-2020 12:13
|
OL Maniac
Posty: 1414
Dołączył: 28/11/2012 18:19
|
najlepszy sposob montowania dyskow do routera to ten:
https://openlinksys.info/forum/viewthread.php?thread_id=20829&rowstart=180#post_161101
ntfs tak nie zamontujesz
dyski najlepiej jak sa ext4 dyski twrde
ext2 flash
tak czy siak zakladke smb w zakladce usb w tomato musisz wypelnić chyba, kodowanie np ustawic itd
Połączony z 22 kwietnia 2020 12:24:55:
ssh istnieje
Edytowany przez jurekk dnia 22-04-2020 12:24
AX3000 v2 Tomato
ea6500v2 @Ac66u_B1 @1000 Aimesh
ea6700v cfe (custom) @AC66u_B1 node
node Aimesh,
|
|
|
|
hermes-80 |
Dodano 22-04-2020 13:30
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
Ustalmy dokładnie jakie podsieci spinasz bo chyba się nie zrozumieliśmy.
Z twojego opisu wywnioskowałem że:
(10.0.0.0/24 LAN)(ServVPN - 10.8.0.0/24 TUN)-----(TUN 10.8.0.0/24 Klient-OVPN)(LAN 10.0.0.0/24)
Spinasz dwa segmenty sieci LAN ze sobą tunelem czy chcesz spiąć jeden moduł sieci LAN z pojedynczym klientem (za pomocą aplikacji np OpenVPN Client) bez drugiego segmentu sieci.
Edytowany przez hermes-80 dnia 22-04-2020 13:37
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
|
|
|
marianpro |
Dodano 22-04-2020 17:28
|
User
Posty: 47
Dołączył: 01/09/2018 12:50
|
Cytat hermes-80 napisał(a):
Ustalmy dokładnie jakie podsieci spinasz bo chyba się nie zrozumieliśmy.
Z twojego opisu wywnioskowałem że:
(10.0.0.0/24 LAN)(ServVPN - 10.8.0.0/24 TUN)-----(TUN 10.8.0.0/24 Klient-OVPN)(LAN 10.0.0.0/24)
Spinasz dwa segmenty sieci LAN ze sobą tunelem czy chcesz spiąć jeden moduł sieci LAN z pojedynczym klientem (za pomocą aplikacji np OpenVPN Client) bez drugiego segmentu sieci.
Nie spinam segmentów sieci, chcę podpinać się pojedynczymi klientami z PC'ta z aplikacji OpenVPN do sieci LAN 10.0.0.0/24.
Jako, że robię to po TUN, to dostaję dla klienta adresację 10.8.0.0/24, bo tak zaznaczyłem - domyślnie, by nie było konfliktu z LAN.
Problemem jest, że klient nie widzi zasobów sieci SMB do jakiej się podłączył, czyli tej LAN 10.0.0.0/24. |
|
|
|
hermes-80 |
Dodano 22-04-2020 21:06
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
A z jakiej adresacji sieci łączysz się klientami?
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
|
|
|
marianpro |
Dodano 22-04-2020 21:15
|
User
Posty: 47
Dołączył: 01/09/2018 12:50
|
Skonfiguruję taką adresację jaką chcesz. |
|
|