51

Odp: OpenVPN w trybie TUN - konfiguracja klienta Win7

1) Czemu klient ma dwa razy iroute? Ma te dwie podsieci za sobą?
2) Wysyłani routingu do podsieci dla klienta, który ma tą podsieć za sobą spowoduje "błądzenie pakietów".

TP-Link TL-WDR3600 v1.5 -  OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163  +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7

52

Odp: OpenVPN w trybie TUN - konfiguracja klienta Win7

khain napisał/a:

1) Czemu klient ma dwa razy iroute? Ma te dwie podsieci za sobą?
2) Wysyłani routingu do podsieci dla klienta, który ma tą podsieć za sobą spowoduje "błądzenie pakietów".

1. Ten drugi to adres strony konfiguracyjnej modemu hilinka
2. rozumiem ale do czego się odnosisz?

53 (edytowany przez mar_w 2017-11-24 06:09:16)

Odp: OpenVPN w trybie TUN - konfiguracja klienta Win7

A ja to zrozumiałem tak:
@michal_ ma za klientem VPN sieć LAN 192.168.3.0/24 oraz jego adres WAN pochodzi z modemu Hilink z sieci 192.168.8.0/24
wpis w ccd dla klienta VPN:

iroute 192.168.3.0 255.255.255.0

jest poprawny ponieważ sieć x.x.3.0 jest na LANie tego klienta, a ten wpis informuje serwer VPN do którego klienta VPN ma przekierować ruch do sieci x.x.3.0

Jeśli chodzi o odpytanie przez tunel modemu Hilink, który jest na WAN-ie, to jeżeli zostawisz wpis:

iroute 192.168.8.0 255.255.255.0

to powinieneś na kliencie VPN zrobić forward między vpn => wan bo będziesz wychodził z tunelu do modemu, który jest na WANie.

lub
skasuj ten iroute 192.168.8.0..... z pliku ccd oraz route ......8.0 z konfigu serwera i odwołuj się przez przekierowanie adresu klienta tunelu np 10.0.1.20:65080 => 192.168.8.1:80
czyli każdy klient VPN wpisując adres 10.0.1.20:65080 powinien dostać się na Hilinka na WAN-ie. przekierowanie robisz tylko na tym jednym kliencie VPN.

ogólnie konfiguracja serwera VPN wygląda wg mnie przyzwoicie jeśli chodzi o trasy, ponieważ serwer VPN wie, że sieci x.x.2.0 x.x.3.0 oraz x.x.8.0 są za klientami VPN i sobie dopisuje do swojej tablicy routingu odpowiednie trasy przez tunel (route ....) oraz wysyła wszystkim klientom trasy przez tunel, do wszystkich podsieci (push route...)

* WR1043v1 16MB@64MB * || * WT3020-16MB * || * Xiaomi Miwifi Mini *
* E3276 HiLink + RTL2832 + IT9135 + Siano + EC103 *

54

Odp: OpenVPN w trybie TUN - konfiguracja klienta Win7

W tej chwili mam tylko zagwozdkę z klientem numer dwa [C2] tj będącym w sieci LAN 192.168.3.0/24. Z niego nie mogę dostać się do innych urządzeń w sieci klienta pierwszego [C1] (192.168.2.0/24) lub też serwera [S] (192.168.1.0/24). Co istotne logując się do klienta drugiego via SSH i wpisując ping adresu z sieci C1 lub S otrzymuję odpowiedź. Dlatego jestem przekonany że to efekt moich wcześniejszych działań, próbując zestawić skutecznie połączenie.
Przeglądałem ustawienia firewalla na tym problematycznym kliencie i nie znalazłem niczego co by mnie zaniepokoiło. Czy jest jeszcze jakieś miejsce do którego powinienem zajrzeć?

Sposób na przekierowanie ruchu z VPNa na adres Hilinka znam, i po zastosowaniu wynik jest negatywny. Oczywiście usunąłem wpisy iroute ..8.0 z ccd oraz route ..8.0 z configa.

55 (edytowany przez khain 2017-11-26 17:47:20)

Odp: OpenVPN w trybie TUN - konfiguracja klienta Win7

2. Odnoszę się do wpisów route i push "route..." dla tych samych sieci

route 192.168.2.0 255.255.255.0
route 192.168.3.0 255.255.255.0
route 192.168.8.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.2.0 255.255.255.0"
push "route 192.168.3.0 255.255.255.0"
push "route 192.168.8.0 255.255.255.0"

Czy klient [C2] nie ma dwóch tras do podsieci 192.168.3.0/24?

TP-Link TL-WDR3600 v1.5 -  OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163  +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7

56

Odp: OpenVPN w trybie TUN - konfiguracja klienta Win7

Hej,

Czy mogę liczyć na pomoc? Poprzez VPNa, który działa, muszę dostać się do panelu www Hilinka żeby odczytać smsy potrzebne do zalogowania się na stronę operatora. Na kliencie C2 mam ustawione przekierowanie ruchu, mimo to nie działa taka konfiguracja. Co jeszcze powinienem sprawdzić?

config zone
        option name 'VPN'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option network 'VPN'
        option masq '1'
        option forward 'ACCEPT'

config forwarding
        option dest 'VPN'
        option src 'lan'

config forwarding
        option dest 'lan'
        option src 'VPN'

config rule
        option target 'ACCEPT'
        option src_port '8080'
        option dest_port '80'
        option name 'hilink'
        option src 'VPN'
        option dest 'lan'
        option dest_ip '192.168.8.100'

57 (edytowany przez mar_w 2017-11-29 01:07:34)

Odp: OpenVPN w trybie TUN - konfiguracja klienta Win7

Dobra, zapomnij na razie o tym przekierowaniu. Zrób tak jak napisałem w pierwszej swojej wersji czyli:
1. serwer - wysyła klientom VPN trasę do hilinka i dopisuje sobie trasę do hilinka (plik z główną konfiguracją serwera VPN)

    route "192.168.8.0 255.255.0.0"
    push "route 192.168.8.0 255.255.0.0"

ccd-client2 (plik ccd dla klienta C2 na serwerze VPN)

    iroute 192.168.8.0 255.255.255.0
    iroute jego własnej sieci LAN 

2. na kliencie C2 w /etc/config/firewall

...
    config forwarding
        option src              'openvpn'
        option dest             'wan'
        option family       'ipv4'

sprawdziłem jeden klient VPN na Orange a drugi klient VPN przez PLAY i ten z Orange może np. wyłączyć internet temu z PLAY przez WebUI
W przeglądarce wpisałem adres hilinka z PLAY. Oba Hilinki muszą mieć adresy z innych sieci np. 192.168.5.1 i 192.168.8.1 ale to chyba oczywiste oraz ich adresy nie mogą się pokryć z żadnym adresem sieci LAN za klientami VPN.

EDIT: moim zdaniem trochę źle robiłeś przekierowanie. Zamiast src_dport wpisałeś src_port. Przecież to Ty chciałeś dostać się na port 8080 a nie, że Twoje zapytanie zostało wysłane z portu 8080.
Nie spodziewałem się że Hilinka masz na LAN-ie. Większość ma na WAN-ie bo z niego ciągnie Internet.
Mogłeś uprzedzić że jest myk tego typu.

EDIT2: nie wiem po co w firewallu w strefie VPN masz ustawione "masq". Chyba że chodzi o to, że nie masz WAN-a

EDIT3: pamiętaj że wysyłając SMS-y modem przełączy się z LTE na 3G i straci na chwilę łączność i być może zerwie tunel. Chyba że ustawisz go na sztywno w technologii 3G lub UMTS (zależy jak masz opisane)

* WR1043v1 16MB@64MB * || * WT3020-16MB * || * Xiaomi Miwifi Mini *
* E3276 HiLink + RTL2832 + IT9135 + Siano + EC103 *

58

Odp: OpenVPN w trybie TUN - konfiguracja klienta Win7

Zrobiłem tak jak poradziłeś i nic. Powoli odchodzę od zmysłów ponieważ rozumiem to w takim stopniu, żeby to skonfigurować mimo tego to nie działa.

Czy istnieje jakiś sposób żeby na kliencie sprawdzać na bieżąco jakie pakiety przychodzą i dlaczego nie są przekierowywane?

Jeśli miałbyś chęć przyjrzeć się temu z bliska to proponuję połączenie teamviewer /tighvnc do mojego komputera + audio i na bieżąco będzie można przeglądać i zmieniać konfigurację. Napisz wcześniej ile PLN będzie się należeć za tą usługę.

59 (edytowany przez mar_w 2017-11-29 10:15:39)

Odp: OpenVPN w trybie TUN - konfiguracja klienta Win7

Jeszcze zapomniałem sie spytać. W jakim poradniku przeczytałeś że przekierowanie robi się:

michal_ napisał/a:

config rule
        option target 'ACCEPT'
        option src_port '8080'
        option dest_port '80'
        option name 'hilink'
        option src 'VPN'
        option dest 'lan'
        option dest_ip '192.168.8.100'

A jeżeli masz Hilinka na LAN-ie to nie robisz przekierowania, tylko bezpośrednio uderzasz tam gdzie chcesz i na jaki port chcesz.
EDIT: przez to wszystko to ja się zakręciłem. Przekierowanie z VPN na LAN ewentualnie mogłoby być bo to inne strefy. Zasugerowałem się że wszystko jest w LAN...

Ja już napisałem co zrobiłem u Siebie. Moje ustawienia to Hilink na WAN-ie, brak opcji "masq" dla strefy VPN w firewallu.

I nie odchodź od zmysłów tylko ... dobrze się wyśpij, żebyś nie miał "ciężkiej" głowy i wtedy zrobisz to sam.
A jak nie, to to musisz pytać kogoś innego, kto robił tunel nie mając WAN-u.

* WR1043v1 16MB@64MB * || * WT3020-16MB * || * Xiaomi Miwifi Mini *
* E3276 HiLink + RTL2832 + IT9135 + Siano + EC103 *

60 (edytowany przez _michal 2017-11-30 21:52:48)

Odp: OpenVPN w trybie TUN - konfiguracja klienta Win7

Napisałem tak jak zrobiłem i nadal nie mogę połączyć się z tym urządzeniem, choć zdaję sobie sprawę że powinno to działać. Naprawdę nie wiem co jest przyczyną. Nie wykluczone że w którymś miejscu namieszałem ale nie potrafię tego dostrzec. Najchętniej zrobiłbym 'firstboot' i skonfigurował wszystko od nowa, z tym że urządzenie jest daleko ode mnie i po wykonaniu tego polecenia straciłbym połączenie.
Hilink jest w WANie.

61

Odp: OpenVPN w trybie TUN - konfiguracja klienta Win7

ktoś, kto tam siedzi, musiałby po firstboocie najpierw skonfigurować dostęp do internetu przez Hilinka, a potem np to: https://eko.one.pl/?p=openwrt-sshtunnel
Jeżeli są to starsi ludzie/rodzice to raczej można zapomnieć.

W każdym bądź razie ja zastosowałem poradnik Rafała (rpc.one) dostosowując adresację swoich sieci co do klientów i serwera oraz na kliencie forward VPN=>WAN

* WR1043v1 16MB@64MB * || * WT3020-16MB * || * Xiaomi Miwifi Mini *
* E3276 HiLink + RTL2832 + IT9135 + Siano + EC103 *

62

Odp: OpenVPN w trybie TUN - konfiguracja klienta Win7

mar_w napisał/a:

W każdym bądź razie ja zastosowałem poradnik Rafała (rpc.one) dostosowując adresację swoich sieci co do klientów i serwera oraz na kliencie forward VPN=>WAN

Jaką odmianę OpenWrt masz zainstalowaną?

Byłem osobiście w miejscu instalacji tego routera i zrobiłem firstboota, zainstalowałem wszystko od początku. Ustawienia firewalla takie jak na działającym kliencie pierwszym (C2). I co? I nadal tak samo.

Zauważyłem dziwną rzecz na tym problemowym kliencie C2 - otóż po wpisaniu w przeglądarkę adresów 192.168.1.1 czy też 192.168.2.1 (strony konfiguracyjne routerów odpowiednio serwera i klienta pierwszego C1) nie wyświetla się nic. Kiedy zaloguję się na tym problemowym kliencie poprzez putty i wpiszę "ssh 192.168.1.1" to mogę się zalogować do poszczególnych routerów.

Z serwera czy klienta C1 bez problemu wpisując w przeglądarkę 192.168.1. czy 192.168.2.1 lub też 192.168.3.1 bez problemu ładują się strony konfiguracyjne tych routerów. Na problematycznym C2 jest LEDE, na C1 CC natomiast serwer działa jeszcze na BB.

63 (edytowany przez mar_w 2017-12-04 00:11:17)

Odp: OpenVPN w trybie TUN - konfiguracja klienta Win7

na tym moim kliencie akurat jest CC.

Twój serwer pomimo, że na BB to chyba nie robi problemu, bo jednak możesz z klienta C1 wbić się na stronę innego routera, więc dobrze robi trasowanie w sieci -net30 VPN (bo chyba taką masz). Narazie ja bym go nie ruszał.

czyli podejrzewasz LEDE...? hmmm

EDIT: Sprawdziłem na kliencie z LEDE Reboot (17.01-SNAPSHOT, r3566-98c003e) oraz openvpn-openssl - 2.4.3-2 i normalnie działa.

Z tym, że niektórzy mieli problemy z tunelem (niby łączył ale nie było komunikacji) z powodu niekompatybilności comp-lzo, ponieważ stara wersja openvpn np 2.3.x (z BB) obsługuje wpis comp-lzo natomiast klient LEDE na nowej wersji openvpn 2.4.x powinien mieć wpis
compress lzo - jeżeli używasz tego parametru.
Bo nie wiem co Ci napisać skoro masz tak jak poradnik Rafała z rpc.one.pl +

#dostęp do stony www Hilinka przez tunel po wpisaniu na innym kliencie jego prawdziwego adresu.
config forwarding
        option src              'openvpn_tun0'
        option dest             'wan'
        option family           'ipv4'

# dostęp do LUCI przez tunel po wpisaniu adresu br-lan lub tun0
config rule
        option src              'openvpn_tun0'
        option proto            tcp
        option dest_port        80:443
        option family           ipv4
        option target           ACCEPT
* WR1043v1 16MB@64MB * || * WT3020-16MB * || * Xiaomi Miwifi Mini *
* E3276 HiLink + RTL2832 + IT9135 + Siano + EC103 *

64

Odp: OpenVPN w trybie TUN - konfiguracja klienta Win7

1. W chwili obecnej nie mam włączonej opcji kompresji.

2. Już jutro raz jeszcze dokładnie przejrzę opis Rafała i porównam z moją konfiguracją. Nie ma innej opcji.
Na tym kliencie jest Reboot (17.01-SNAPSHOT, r3566-98c003e), TL-MR3420 V3, E3372s-153 Hilink.

3. Skonfigurowałem dla próby klienta C1 na CC i z serwera wpisując 192.168.8.1 ładuje się na jego WebUI. Klient ma Chaos Calmer 15.05 (r47390), TL-MR3420 V3, E3372s-153 Hilink.

serwer

cd /etc/openvpn
port 1194
proto udp
dev tun0
ca ca.crt
cert serwer.crt
key serwer.key
dh dh2048.pem
server 10.0.1.0 255.255.255.0
ifconfig 10.0.1.1 255.255.255.0
route 192.168.2.0 255.255.255.0
route 192.168.3.0 255.255.255.0
route 192.168.8.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.2.0 255.255.255.0"
push "route 192.168.3.0 255.255.255.0"
push "route 192.168.8.0 255.255.255.0"
#push "dhcp-option DNS 192.168.1.1"
#push "dhcp-option WINS 192.168.1.1"
#push "dhcp-option DOMAIN lan1.lan"
client-to-client
client-config-dir /etc/openvpn/ccd
ccd-exclusive
persist-key
persist-tun
#comp_lzo
log /tmp/openvpn.log
verb 3
tls-server
keepalive 10 20
tun-mtu 1500
ifconfig-pool-persist /tmp/ipp.txt
#inactive 3600

ccd:

ifconfig-push 10.0.1.10 10.0.1.11
iroute 192.168.2.0 255.255.255.0
iroute 192.168.8.0 255.255.255.0

65 (edytowany przez mar_w 2017-12-04 18:08:54)

Odp: OpenVPN w trybie TUN - konfiguracja klienta Win7

Dokładnie mam podobnie tyle, że inna adresacja Lan-ów + te niestandardowe wpisy o których pisałem w #63 ponieważ mam w strefie VPN input i forward na REJECT.

Popraw koniecznie w pliku ccd dla klienta wpis ifconfig-push 10.0.1.10 10.0.1.11 na

ifconfig-push 10.0.1.9 10.0.1.10

ponieważ w sieci net30 masz podsieci:
0, 1-2, 3
4, 5-6, 7
8, 9-10, 11
12, 13-14, 15
... itd ...

gdzie pierwsza cyfra to adres sieci net30, druga to tunel klient-serwer,  trzecia to broadcast sieci.
Do pliku ccd liczą sie TYLKO numerki ze środkowej kolumny.

* WR1043v1 16MB@64MB * || * WT3020-16MB * || * Xiaomi Miwifi Mini *
* E3276 HiLink + RTL2832 + IT9135 + Siano + EC103 *

66

Odp: OpenVPN w trybie TUN - konfiguracja klienta Win7

Pozmieniałem w plikach ccd adresy dla wszystkich klientów, na kliencie C2 sprawdziłem konfigurację firewalla. Wyeliminowałem błędy które popełniłem (literówki ale jakże istotne). Ogólnie dużo się nauczyłem smile Dziękuję w szczególności "mar_w" za naprowadzanie mnie na trop i cierpliwość. Przy okazji na kliencie C1 zainstalowałem LEDE, skonfigurowałem tunel i niezbędne mi pakiety.

W chwili obecnej dwaj klienci mają modemy w wersji Hilink i mam potrzebę dostawania się na ich WebUI w celu odczytu smsów (jeden z nich robi jako router od monitoringu w domku letniskowym i żeby zalogować się do konta abonenckiego należy podać kod z smsa). Jak robię wpisy "iroute 192.168.8.0 255.255.255.0" dla klienta w ccd, robię restart vpna na serwerze to takie rozwiązanie działa. Ale oba modemy mają ten sam IP.

Interesuje mnie dostęp na ich panel WebUI poprzez wpisanie dla C1 192.168.2.1:82, który powinien przenieść mnie na wewnętrzny 192.168.8.1:80. Należy ustawić firewall na każdym kliencie osobno - wiem to. Próbuję poniższej metody i nic z tego. Co robię źle?

Po wpisaniu w przeglądarce komputera będącego po serwerowej stronie, 192.168.2.1:82 w dolnej części strony pojawia się napis: "Łączenie z 192.168.8.1..." i po chwili zmienia się na "Przekroczono limit czasu", natomiast w pasku adresu przeglądarki pojawia się "http://192.168.8.1/html/index.html?url=192.168.2.1:82".

config rule
        option enabled '1'
        option target 'ACCEPT'
        option src 'openvpn_tun0'
        option dest 'wan'
        option name 'Hilink_WebUI'
        option src_port '82'
        option dest_ip '192.168.8.1'
        option dest_port '80'

67 (edytowany przez mar_w 2017-12-05 07:46:28)

Odp: OpenVPN w trybie TUN - konfiguracja klienta Win7

_michal napisał/a:

...config rule
        option enabled '1'
        option target 'ACCEPT'
        option src 'openvpn_tun0'
        option dest 'wan'
        option name 'Hilink_WebUI'
        option src_port '82'
        option dest_ip '192.168.8.1'
        option dest_port '80'

pisałem Ci w swoim poście #57 w pierwszym EDIT: że źle robisz przekierowanie co do składni. Przecież TY nie wychodzisz z tym pytaniem ze swojego portu 82 (src_port) tylko TY pytasz o stronę która ma być na wirtualnym porcie 82 czyli src_dport który potem będzie przekierowany.
Poza tym Twoja reguła jakby zezwala na pewien ruch, ale czy aby na pewno robi przekierowanie?
słowo rule =//= redirect
W ogóle nie czytasz poradników:
https://eko.one.pl/?p=openwrt-konfigura … nykomputer

A tak w ogóle to zmień sobie w tym Hilinku adres na 192.168.80.1 i dopisz na serwerze w odpowiednim pliku ccd

iroute 192.168.80.0 255.255.255.0

oraz w głównym konfigu serwera:

route 192.168.80.0 255.255.255.0
push "route 192.168.80.0 255.255.255.0"

będzie szybciej smile  (bo znów wkradną się jakieś głupie błędy, literówki i będzie kolejne kilka stron o niczym)
EDIT: tylko nie mów że Twój Hilink nie obsługuje zmiany adresu...

* WR1043v1 16MB@64MB * || * WT3020-16MB * || * Xiaomi Miwifi Mini *
* E3276 HiLink + RTL2832 + IT9135 + Siano + EC103 *

68

Odp: OpenVPN w trybie TUN - konfiguracja klienta Win7

Obecnie Hilink nie umożliwia zmiany adresów, to kwestia zmiany WebUI fw.

Obecnie wpis w firewallu klienta wygląda tak. Jeśli Tobie takie przekierowanie działało to czy możesz przedstawić jak masz /miałeś skonfigurowany firewall na kliencie na którego się dostawałeś?

config redirect
        option target 'DNAT'
        option src 'openvpn_tun0'
        option dest 'wan'
        option proto 'tcp udp'
        option src_dport '82'
        option dest_ip '192.168.8.1'
        option dest_port '80'
        option name 'Hilink WebUI'

69

Odp: OpenVPN w trybie TUN - konfiguracja klienta Win7

Zrobiłem teraz rano konfigurację (dodanie routingu, nie przekierowanie) w podobny sposób jak @mar_w przedstawiał - dobrze jest, działa: http://eko.one.pl/?p=openwrt-openvpntun … inkklienta

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

70

Odp: OpenVPN w trybie TUN - konfiguracja klienta Win7

Ponieważ ten sposób u mnie działa obecnie. Nie działa sposób z przekierowaniem ruchu na kliencie, ponieważ klientów mam dwóch z Hilinkami. Alternatywą oczywiście jest zmiana WebUI FW i zmiana adresów tych Hilinków.

71

Odp: OpenVPN w trybie TUN - konfiguracja klienta Win7

Lub zastosowanie reverse proxy. Tak też można.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

72

Odp: OpenVPN w trybie TUN - konfiguracja klienta Win7

Cezary napisał/a:

Lub zastosowanie reverse proxy. Tak też można.

Można ustawić tylko dla wybranego klienta? Konfiguruje się to na kliencie czy serwerze?

73

Odp: OpenVPN w trybie TUN - konfiguracja klienta Win7

Na kliencie konkretnym. Tyle że np. taki tinyproxy domyślnie nie jest kompilowany z reverse proxy, więc trzeba go sobie najpierw skompilować.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.