|
OpenVPN site-to-site 2x Asus
|
| Jaropol |
Dodano 01-09-2020 22:25
|
User
Posty: 13
Dołączył: 17/12/2017 17:22
|
Zależy mi na ustanowieniu połączenia typu site-to-site w oparciu o OpenVPN, ale jak do tej pory za mało wiem, żeby sobie poradzić. Czytałem sporo, ale nie mogę się w tym odnaleźć, czasem nawet jeśli chodzi o GUI, nie wspominając o wykonywaniu operacji przez SSH/Telnet (owszem, połączyć się z routerem przez SSH daję radę, ale dalej to już dla mnie przepaść, a musiałbym operować na żywym organizmie i w razie czego stracić dostęp do sieci, jeśli nie router).
W Domu mam Asus RT-AC68U na aktualnym producenckim firmware, z uruchomionym serwerem OpenVPN:
- adres/maska podsieci 192.168.2.1 255.255.255.0
- tryb routera
- adres IP WAN stały publiczny
Na Działce Asus RT-N10u z firmware freshtomato 2020.3 MIPSR2 K26USB VPN, z ustawionym klientem OpenVPN:
- adres/maska podsieci 192.168.3.1 255.255.255.0
- tryb AP
- adres IP Wan niepubliczny (połączenie modemem LTE, NAT Operatora komórkowego)
Połączenie OpenVPN działa, cała sieć Dom jest osiągalna na komputerze korzystającym z sieci Działka bez problemu pod swoimi adresami podsieci (192.168.2.X).
Potrzebuję takiego samego efektu w drugą stronę, to znaczy z sieci routera Dom chcę sterować urządzeniami w sieci Działka, najlepiej gdyby były osiągalne pod swoimi adresami z działkowej sieci (adresy mam już w pamięci :-)). Są to kamery IP, niektóre "zabawki" jedyną rozsądną możliwość sterowania ustawieniami mają przez przeglądarkę uruchomioną na maszynie w sieci wewnętrznej.
Na razie mam tam uruchomiony notebook i jestem w stanie w ten sposób działać, ale to nie jest rozwiązanie na dłużej (możliwość kradzieży, prąd - nie tylko koszty, ale i awarie itp.)
Porobiłem zrzuty ekranu
- routera w domu RT-AC68U https://www.flickr.com/gp/143048953@N05/4bir90
- routera na działce https://www.flickr.com/gp/143048953@N05/u394m9
Czy znalazłby się ktoś, kto mógłby się przyjrzeć konfiguracji (w razie braków dołożę niezbędne screeny czy informacje) i podpowiedzieć mi co i gdzie powinienem uzupełnić czy poprawić - najlepiej w oparciu o GUI - żeby osiągnąć pełen efekt site-to-site? |
| |
|
|
| hermes-80 |
Dodano 01-09-2020 23:25
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
Odznacz na kliencie Creat NAT on Tunel. Portów dla klienta na tomato nie przekierowuje się jeśli masz je wpisane w port forwarding.
Na serwerze nie musisz przekierowywać ruchu internetowego przez tunel chyba, że jest takie założenie.
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| Jaropol |
Dodano 02-09-2020 17:05
|
User
Posty: 13
Dołączył: 17/12/2017 17:22
|
Cytat hermes-80 napisał(a):
Odznacz na kliencie Creat NAT on Tunel. Portów dla klienta na tomato nie przekierowuje się jeśli masz je wpisane w port forwarding.
Na serwerze nie musisz przekierowywać ruchu internetowego przez tunel chyba, że jest takie założenie.
Na serwerze to był błąd, nie ma założenia, odznaczyłem :-)
Tej uwagi o przekierowywaniu portów nie łapię. Mógłbyś jedno zdanie rozszerzenia?
A co do NATa na kliencie - z NATem działa mi tak, jak opisałem poprzednio. Bez NATa - dzisiaj jeszcze raz odznaczyłem, bo już kiedyś próbowałem - pakiety ping z routera Działka (klient) do dowolnej dostępnej maszyny w sieci Dom (serwer) powoli (rzędu 3000-5000 ms, ale to może być wina "lejka" u dostawcy internetu), ale przechodzą tam i z powrotem, natomiast z routera Dom do Działka nadal giną. Za to nie jest już możliwe połączenie się przeglądarką z systemem routera czy NAS-a w sieci Dom (192.168.2.X).
Razem z NATem wyłączyłem Inbound Firewall.
Edit: Z zaznaczonym Inbound Firewall bez zmian.
Edytowany przez Jaropol dnia 02-09-2020 17:13
|
| |
|
|
| hermes-80 |
Dodano 02-09-2020 23:27
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
4 screen na serwerze OVPN - dodaj trase do sieci klienta: 192.168.3.0 255.255.255.0
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| Jaropol |
Dodano 03-09-2020 09:55
|
User
Posty: 13
Dołączył: 17/12/2017 17:22
|
Cytat hermes-80 napisał(a):
4 screen na serwerze OVPN - dodaj trase do sieci klienta: 192.168.3.0 255.255.255.0
Nie mogę się dopasować. Na screenie "04 Serwer OpenVPN Ogólne" nie ma miejsca na wpisanie trasy statycznej. Na "03 LAN Route" jest miejsce na routing, wprowadziłem tam dane jak na foto (192.168.3.1 255.255.255.0 brama 10.1.0.0, metryka pusta, interfejs LAN), ale - po kilku minutach od restartu obu routerów - nic to nie zmieniło.
https://www.flickr.com/gp/143048953@N05/39080f |
| |
|
|
| hermes-80 |
Dodano 03-09-2020 12:00
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
Jak już to podsieć wyrażamy adresem sieci czyli nie 192.168.3.1 tylko 192.168.3.0, a adres bramy to nie adres sieci tylko ma być adres interfejsu do którego kierujemy pakiety.
Edytowany przez hermes-80 dnia 03-09-2020 12:07
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| Jaropol |
Dodano 03-09-2020 12:42
|
User
Posty: 13
Dołączył: 17/12/2017 17:22
|
Czyli bez doszkalania mi nie odpuścisz? :-)
192.168.3.0 255.255.255.0 192.168.3.1 [ ] LAN nie działa :-(
https://www.flickr.com/gp/143048953@N05/0RE0o3
https://www.flickr.com/gp/143048953@N05/t41EFV
Piękne dzięki za pomoc, dziękuję, że się pochyliłeś nad laikiem. |
| |
|
|
| hermes-80 |
Dodano 03-09-2020 14:11
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
sprawdź narzędziem tracert z cmd kompa z podsieci serwera gdzie kieruje pakiety do sieci klienta np:
tracert 192.168.3.1
tracert 192.168.3.x x- jakis komp w sieci klienta
ta sama procedura przy sieci klienta tylko tracert do IP jakegoś kompa w sieci serwera
Poza tym ten interfejs nie powinien byc lan tylko tunx/tapx i metryka 1
Połączony z 03 września 2020 14:59:52:
Znowu błąd w okreslieniu trasy brama ma być IP na interfejsie tun (tworzonym przez ovpn), a nie 192.168.3.1 (to jest IP klienta ovpn sieci dołączanej)
Edytowany przez hermes-80 dnia 03-09-2020 14:59
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| Jaropol |
Dodano 03-09-2020 16:32
|
User
Posty: 13
Dołączył: 17/12/2017 17:22
|
Cytat hermes-80 napisał(a):
sprawdź narzędziem tracert z cmd kompa z podsieci serwera gdzie kieruje pakiety do sieci klienta np:
tracert 192.168.3.1
tracert 192.168.3.x x- jakis komp w sieci klienta
tracert z serwera (192.168.2.1) do sieci klienta 192.168.3.1 (router) są same gwiazdki - czyli Berdyczów? https://www.flickr.com/gp/143048953@N05/jA690G
tracert jw do działającej kamery w sieci klienta (192.168.3.21) - efekt jak wyżej https://www.flickr.com/gp/143048953@N05/oV763V
tracert jw do czuwającego notebooka (192.168.3.10 - jednoczesne połączenie TeamViewerem) - efekt jak wyżej https://www.flickr.com/gp/143048953@N05/hR1xvn
Cytat ta sama procedura przy sieci klienta tylko tracert do IP jakegoś kompa w sieci serwera
tracert z GUI routera klienckiego do NAS-a w sieci serwera widać tu: https://www.flickr.com/gp/143048953@N05/9A13s9
a to samo do komputera, z którego piszę tu: https://www.flickr.com/gp/143048953@N05/2g8353
Cytat Poza tym ten interfejs nie powinien byc lan tylko tunx/tapx i metryka 1
Nie mam na to wpływu, mam tylko listę z wyborem LAN/WAN/MAN
Cytat Znowu błąd w okreslieniu trasy brama ma być IP na interfejsie tun (tworzonym przez ovpn), a nie 192.168.3.1 (to jest IP klienta ovpn sieci dołączanej)
No i znowu zagadka :-) Mam go znaleźć w tabeli routingu routera z serwerem OVPN? https://www.flickr.com/gp/143048953@N05/061052
Wstawiłem 10.1.0.2, poprawiłem metrykę https://www.flickr.com/gp/143048953@N05/bEQ6N3 A ten IP nie zmienia się np. wraz z restartem routera?
Zupełnie bez zmian :-( |
| |
|
|
| hermes-80 |
Dodano 03-09-2020 16:49
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
Nie możesz zmienić mu FW na tomato RT-AC68U?
https://wiki.freshtomato.org/doku.php...patibility
Czemu nie możesz wpisać trasy do klienta w ustawieniach serwera OVPN w sekcji Allowed Clients
Albo wpisz w custom config
route 192.168.3.0 255.255.255.0
Edytowany przez hermes-80 dnia 03-09-2020 17:03
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| Jaropol |
Dodano 03-09-2020 17:01
|
User
Posty: 13
Dołączył: 17/12/2017 17:22
|
Nie bardzo uśmiechało mi się ustawianie wszystkiego od nowa. Mam dużo ustawień. Wszystek sprzęt (również ten, którego obecnie nie ma w domu, ale bywa) ma przypisane stałe IP, poza tym sam DHCP ma blokadę na konkretne adresy MAC sprzętu. Nie wiem, czy są duże różnice w porównaniu z tomato z RT-N10U, czy się w nim odnajdę, zwłaszcza przy niespolszczonym GUI.
Czy konfigurację zapisaną na firmware producenta można zaimportować wprost po zmianie na Tomato?
Czy jest duża szansa, że to zadziała tylko dzięki takiej zmianie i ustawieniach nie bardziej skomplikowanych, niż do tej pory sam lub z Twoją pomocą wprowadziłem? |
| |
|
|
| hermes-80 |
Dodano 03-09-2020 17:04
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
Nie masz trasy do sieci klienta na serwerze
wpisz w custom config serwera OVPN Albo wpisz w custom config
route 192.168.3.0 255.255.255.0
I sprawdź trasy w tabeli routingu
Cytat Czy konfigurację zapisaną na firmware producenta można zaimportować wprost po zmianie na Tomato?
Nie - trzeba ustawiać wszystko od nowa po wcześniejszym wyczyszczeniu NVRAMU
Ja ma zestawiony Tomato SeOVPN (tun) EDGEEX ClOVPN i wszystko działa. Wydajność nie będzie powalająca. Może kilka Mb/s
Łatwiej zawsze ustawia się usługę na identycznym FW np Tomato - Tomato niż Tomato do innego producenta.
Połączony z 03 września 2020 18:20:18:
Pamiętaj, że jakbyś się zdecydował na zmiane FW to wersja sprzętowa RT musi się zgadzać z wersją wspieraną przez Tomato.
Edytowany przez hermes-80 dnia 03-09-2020 18:20
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| Jaropol |
Dodano 03-09-2020 21:32
|
User
Posty: 13
Dołączył: 17/12/2017 17:22
|
Cytat hermes-80 napisał(a):
Nie masz trasy do sieci klienta na serwerze
wpisz w custom config serwera OVPN Albo wpisz w custom config
route 192.168.3.0 255.255.255.0
I sprawdź trasy w tabeli routingu
Wstawiłem, nie bangla :-( Wstawiałem też bez specjalnego rozeznania inne polecenia z poradnika HOWTO OpenVPN - nie bangla :-(
Cytat Ja ma zestawiony Tomato SeOVPN (tun) EDGEEX ClOVPN i wszystko działa. Wydajność nie będzie powalająca. Może kilka Mb/s
Łatwiej zawsze ustawia się usługę na identycznym FW np Tomato - Tomato niż Tomato do innego producenta.
Znowu rzucasz skrótami, których nie znam, a nie dość tego nie umiem wygooglować :-/ :-) Wydajnosć nie musi byc powalająca, jeśli cały pozostały ruch będzie szedł normalnie, bezpośrednio. Na sterowanie kamerami mała wydajność mi wystarczy.
Cytat Pamiętaj, że jakbyś się zdecydował na zmiane FW to wersja sprzętowa RT musi się zgadzać z wersją wspieraną przez Tomato.
Tak, wiem. Dojrzewam do tej zmian. Muszę się jeszcze rozeznać, czy obowiązkowo korzystać z Asusowego programu narzędziowego, czy wystarczy zaktualizować firmware z poziomu GUI routera wskazując ściągnięty firmware freshtomato. Ale to już w przyszłym tygodniu.
Na dzisiaj piękne dzięki, stawiam (wirtualnie :-( ) butleleczkę Hortycy Ice https://alkoholezagrosze.pl/oferta-weselna/245-khortytsa-ice-500ml.html a jeśli na freshtomato będę miał problemy z VPN site-to-site, to zgłoszę się w tym wątku :-) |
| |
|
|
| hermes-80 |
Dodano 03-09-2020 21:56
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
A po dodaniu polecenia route wskoczyła w tabeli routingu trasa dodana?
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| Jaropol |
Dodano 03-09-2020 22:07
|
User
Posty: 13
Dołączył: 17/12/2017 17:22
|
Mnie wygląda, że tak - to ta trzecia pozycja: https://www.flickr.com/gp/143048953@N05/59cMN5
I tu jeszcze moje wpisy aktualne: https://www.flickr.com/gp/143048953@N05/J68137 |
| |
|
|
| hermes-80 |
Dodano 03-09-2020 22:37
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
Pusz akurat jest dla klienta i nie trzeba tego wpisywać skoro klient ma już tą trase to serwer już ja ustawił.
Wyłączyłeś NAT na kliencie - to musi być.
Testowałeś opcje dla klienta czyli wyłączenie zarządzania opcjami dla klienta, a jak już masz to właczone to zaznaczasz zezwalaj tylko na określinych klientów i wpisujesz tam podsieć, maskę, wypychanie na yes 192.168.0.2
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| Jaropol |
Dodano 03-09-2020 23:54
|
User
Posty: 13
Dołączył: 17/12/2017 17:22
|
Jest. I wyłączony Inbound Firewall. A Firewall automatycznie.
Na karcie Advanced miałem Redirect Internet traffic ustawione na No i Accept DNS configuration na Relaxed. To na routerze z klientem OVPN.
Cytat Testowałeś opcje dla klienta czyli wyłączenie zarządzania opcjami dla klienta, a jak już masz to właczone to zaznaczasz zezwalaj tylko na określinych klientów i wpisujesz tam podsieć, maskę, wypychanie na yes 192.168.0.2
Na pewno 192.168.0.2 albo (jeśłi literówka) 192.168.2.0? a nie ~3.0 (ten drugi router, Działka, czyli klient OVPN)?
To - domyślam się - już na routerze z serwerem OVPN? Zarządzaj opcjami właściwymi dla klientów miałem włączone. Wyłączam i testuję, jak tylko klient się połączy. Niestety ping 192.168.3.1 100% packet loss.
Zmieniam Zarządzaj opcjami właściwymi dla klientów na włączone, tak samo Zezwalaj tylko na określonych klientów dodaję, no właśnie, o co znowu chodzi z tym CN certyfikatu klienta, bo muszę to pole wypełnić? Spróbuję Username z karty OpenVPN Client - Basic klienta OVPN (Działka).
Zresztą wstawiłem 3 wersje klientów, każdy z inną podsiecią (~3.0, ~2.0 i ~0.2) i... już myślałem, że załatwiłem router, bo na kilka minut zamilkł, a po restarcie sprzętowym też kilka minut trwało, zanim wstał. Ale chyba tylko na chwilę, znowu leży. Nie ma sieci, nie mam routera. To na dzisiaj (co najmniej) byłoby tyle :-(
Wrócę, jak pokonam router, ja jego, nie on mnie 🤔 |
| |
|
|
| hermes-80 |
Dodano 04-09-2020 00:13
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
CN to Common Name z certyfikatu (ty nie masz na certyfikatach). Tak tam była literówka.
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| Jaropol |
Dodano 11-09-2020 13:14
|
User
Posty: 13
Dołączył: 17/12/2017 17:22
|
Walki z routerami ciąg dalszy.
Zmieniłem na domowym Routerze Asusa RT-AC68U FW na FreshTomato, wprowadziłem, czy raczej odtworzyłem wszystkie ustawienia, więc adresy/maski sieci, adresy IP urządzeń w sieci wewnętrznej itp. pozostają bez zmian.
Walczę sam, ale nie daję rady. Na początek serwer FTP. Z podłączeniem dysku zewnętrznego nie ma problemu (USB3.0, dysk z serii WD MyPassport, 2 GB, na który przez FTP zrzucam bezpośrednio nagrania z kamer z działki) z jednym zastrzeżeniem: nie wiem, czy zaznaczenie "Automatically mount all partitions to sub-directories in /mnt." jest potrzebne https://www.flickr.com/gp/143048953@N...N05/8qq936
Ale już z ustawieniami serwera FTP nie mogę dojść do sytuacji sprzed zmiany FW. Obecnie mam to ustawione tak jak tutaj https://www.flickr.com/gp/143048953@N...N05/1ff2z3 ale nie chce mi zrzucać plików na dysk MyPassport. Kiedy w "Public Root Directory*" i "Private Root Directory**" miałem (taki sam w obydwu polach) wpis "/mnt/My_Passport/Kamery", nagrania lądowały w pamięci routera. Po zmianie ścieżek na obecne nie lądują nigdzie. W ustawieniach FTP kamer test ustawień jest OK, czy z "/mnt" czy bez.
Gdzie szukać błędu? W Windows przy mapowaniu dysku podpiętego do routera wygląda to tak: https://www.flickr.com/gp/143048953@N...N05/0j4ZS3
Zależy mi na czasie, bo ta sytuacja trwa już kilka dni, więc na kartach pamięci zapisy, których jeszcze nie mam, niedługo będą nadpisywane, a z dwiema kamerami jest trochę gimnastyki, żeby się do nich dostać i wyjąć kartę pamięci. . |
| |
|
' target='_blank'>Link
