26 (edytowany przez adalbert.dudziak 2017-12-30 22:36:32)

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

@khain,
wkradło się nieporozumienie, Rpi w sieci lokalnej mi działa(odpowiadając na pytanie mam na nim rasbiana), podałem jego konfigurację w nadziei, że pomoże to na uzyskanie takiego samego efektu (czyli dostępu do sieci lokalnej) na DGN3500, na którym jest Lede.

Wykorzystam i lekko przerobię "grafikę" z linku jaki podesłałeś aby dokładnie przedstawić jak wygląda u mnie sytuacja:

                          +-------------------------+
                          |                         |
  {INTERNET}=============={     Router Tplink W9980 |
                    (ddns)|     fabryczny soft      |
                          +------------+------------+
                        (192.168.1.1)  |              +-----------------------+
                                       |              |    OpenVPN server     |  eth0: 192.168.1.2/24
                                       +--------------{                       |  tun0: 10.8.0.1/24
                                       |              |       DGN3500 Lede    |
                                       |              +-----------------------+
                                       |
                              +--------+-----------+
                              |  Other LAN clients |
                              +--------------------+

Mam wątpliwość odnośnie pliku ccd oraz podsieci za klientem, to chyba rozwiązanie dedykowane stałemu tunelowi między routerami. Co jeśli klient będzie łączył się na przykład z hotspota lub po prostu z innej sieci? Tu klientem będzie laptop z zainstalowanym klientem OpenVPN pod Windows'em.


Dodatkowo, gwoli jasności:

khain napisał/a:

a) Tak chodzi o dodanie statycznej trasy routingu na routerze

Taką jak teraz dodałem na DGN3500 pokazaną w poprzednim moim poście, czy trzeba ją dodać na W9980?

27 (edytowany przez khain 2017-12-30 22:48:54)

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

Przy pliku ccd nie ma znaczenia skąd klient będzie się łączył, jaki ma system operacyjny i jak często będzie się łączył.
Trasa statyczna musi być dodana na Tplink W9980.

TP-Link TL-WDR3600 v1.5 -  OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163  +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7

28 (edytowany przez adalbert.dudziak 2017-12-30 22:56:52)

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

192.168.1.0/24 - podsieć za serwerem #sieć w której jest DGN3500, to jest jasne
10.8.0.0/24 - podsieć tunelu openvpn #sieć "w której operuje" serwer OpenVPN postawiony na DGN3500

172.16.1.0/24 - podsieć za klientem # tego nie rozumiem, skąd ta sieć?
edit: Ok zauważyłem dopiero, że w pliku konfiguracyjnym serwera zostało dodane "route 172.16.1.0 255.255.255.0 10.8.0.2"

29 (edytowany przez adalbert.dudziak 2017-12-30 23:37:31)

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

Serwer OpenVPN z konfiguracją z pliku nie chcę się uruchomić.
Restartowałem router, OpenVPN, jest opcja enable na 1.

Nic to, stawiam wszystko "na świeżo". Jeśli gdzieś po drodze zmieniając i testując opcję coś namieszałem, to szybciej będzie mi to zrobić krok po kroku od nowa.

30

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

Jeśli serwer openvpn nie startuje to powód będzie w logach.

TP-Link TL-WDR3600 v1.5 -  OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163  +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

Przeczytałem, że logi powinny być w /var/log/openvpnas.log, jednak pliku tam nie ma.
Czy trzeba włączyć logowanie czy tryb debugowania aby się pojawił?

32

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

W moim konfigu logi są w /tmp/openvpn.log, lecz jeśli nie zastosowałeś opcji log w konfigu to będą w syslogu:

logread |grep openvpn
TP-Link TL-WDR3600 v1.5 -  OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163  +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7

33 (edytowany przez mar_w 2017-12-31 04:26:51)

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

odnośnie konfiguracji @khain-a może warto dopisać (co by @adalbert. nie musiał szukać) że plik ta.key otrzymujemy wydając polecenie:

openvpn --genkey --secret ta.key 

plik umieszczamy na serwerze VPN w /etc/openvpn oraz na kliencie w tym samym katalogu.
Dla konfigu klienta należy dopisać:

tls-auth              /etc/openvpn/ta.key 1

Aby jeszcze inni klienci VPN mogli dostać się do podsieci za tym "trudnym" klientem OpenVPN to należy dopisać w konf serwera żeby wysyłał wszystkim klientom trasę:

push "route 172.16.1.0 255.255.255.0"
* WR1043v1 16MB@64MB * || * WT3020-16MB * || * Xiaomi Miwifi Mini *
* E3276 HiLink + RTL2832 + IT9135 + Siano + EC103 *

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

Dzięki @mar_w, właśnie tego szukałem;)

35 (edytowany przez mar_w 2017-12-31 04:21:50)

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

Trzeba dodać trasę routingu tak jak pisał @khain do sieci 10.8.0.0 przez bramę 192.168.1.2 na W9980
lub...
bez dodawania tej trasy na W9980
możesz zastosować maskaradę w firewallu w strefie LAN na serwerze OpenVPN, czyli wszystko co wyjdzie z tunelu 10.8.0.0 np. ping będzie miał maskowany adres na 192.168.1.2 i wtedy router 192.168.1.1 lub inne urządzenie w sieci z ramki Other LAN np 192.168.1.131 będzie mogło bez problemu odpowiedzieć nadawcy czyli 192.168.1.2 a ten odwróci maskowanie i przekaże dalej do klienta VPN  np 10.8.0.3

config zone
    option name        lan
    list   network        'lan'
    option input        ACCEPT
    option output        ACCEPT
    option forward        ACCEPT
    option masq        1

W sumie to wyjdzie taki WAN, obciąży procesor, ale tylko przy przepływie pakietów z/do tunelu, bo w sieci 192.168.1.0 nie będzie musiał nic robić bo nie ma za sobą podsieci z armią hostów żeby maskować cokolwiek.
Ale to taki wybryk jakbyś nie mógł w OFW na W9980 dopisać trasy smile

* WR1043v1 16MB@64MB * || * WT3020-16MB * || * Xiaomi Miwifi Mini *
* E3276 HiLink + RTL2832 + IT9135 + Siano + EC103 *

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

Dzięki @mar_w, właśnie tego szukałem;)

A tak na poważnie to mam problem z uruchomieniem serwera z konfiguracja z pliku.
Pliku z logiem nie znalazłem, jednak z pomocą komendy podesłanej przez khain wyciągnąłem poniższe:

Sun Dec 31 03:09:46 2017 daemon.err openvpn(custom_config)[9327]: Options error: In [CMD-LINE]:1:                                                                                                    Error opening configuration file: openvpn-custom_config.conf

Cóż chyba najlepiej będzie jak się wyśpię, bo zaczynam robić głupie błędy w kwestiach, które już (z nie małym trudem) udało mi się w jakimś stopniu zrozumieć.
Zaczyna mi też brakować argumentów aby uzasadnić to, że jeszcze nie śpię, żona nie rozumie "kochanie konfiguruję router" i mówi, że jestem dziwny... jak tak się nad tym zastanowię to niestety ale ma rację;)

Tak czy inaczej najlepszego w nowym roku Panowie.

37 (edytowany przez mar_w 2017-12-31 04:31:44)

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

w konfigu podałeś że plik od @khaina nazywa się:

openvpn-custom_config.conf

a tymczasem ten plik nazywa się:

server.conf

dopisz sobie  w tym pliku:

...
log         /tmp/openvpn.log
verb 3
...
* WR1043v1 16MB@64MB * || * WT3020-16MB * || * Xiaomi Miwifi Mini *
* E3276 HiLink + RTL2832 + IT9135 + Siano + EC103 *

38 (edytowany przez adalbert.dudziak 2017-12-31 04:36:43)

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

Poprawiłem.
Teraz mam log:

Sun Dec 31 03:27:22 2017 daemon.warn openvpn(custom_config)[10092]: disabling NCP mode (--ncp-disable) because not in P2MP client or server mode
Sun Dec 31 03:27:22 2017 daemon.err openvpn(custom_config)[10092]: Options error: --client-config-dir/--ccd-exclusive requires --mode server
Sun Dec 31 03:27:22 2017 daemon.warn openvpn(custom_config)[10092]: Use --help for more information.

Trasę na w9980 udało się dodać bez problemu.

39 (edytowany przez mar_w 2017-12-31 04:57:06)

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

bo masz 2 możliwości:
1. w pliku /etc/config/openvpn stosujesz odwołanie do innego pliku tak jak pokazał @khain w poście #25:

config openvpn 'tun_lan'
        option enabled '1'
        option config '/etc/openvpn/server.conf'

i ten plik ma wyglądać jak przykład od @khaina
2. w pliku /etc/config/openvpn wyłączasz ten dodatkowy plik (enabled 0) i piszesz w tym pliku poniżej np tak:

config openvpn custom_config

    # Set to 1 to enable this instance:
    option enabled 0

    # Include OpenVPN configuration
    option config /etc/openvpn/my-vpn.conf

config openvpn sample_server

    option enabled 1
    option topology subnet
    option local 192.168.1.2
    option port 1194
    option proto udp
    option dev tun0
    option tls_server 1
    option ca /etc/openvpn/ca.crt
    option cert /etc/openvpn/serwer.crt
    option key /etc/openvpn/serwer.key
    option dh /etc/openvpn/dh2048.pem
    option tls_auth "/etc/openvpn/ta.key 0"

    option server "10.8.0.1 255.255.255.0"
    list push "route 192.168.1.0 255.255.255.0"

    option client_config_dir /etc/openvpn/ccd
    option client_to_client 1
    option keepalive "25 180"

    option cipher AES-256-CBC
    option compress lz4

    option persist_key 1
    option persist_tun 1
   
    option log         /tmp/openvpn.log
    option verb 3

* WR1043v1 16MB@64MB * || * WT3020-16MB * || * Xiaomi Miwifi Mini *
* E3276 HiLink + RTL2832 + IT9135 + Siano + EC103 *

40 (edytowany przez mar_w 2017-12-31 04:59:20)

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

adalbert.dudziak napisał/a:

...
Sun Dec 31 03:27:22 2017 daemon.err openvpn(custom_config)[10092]: Options error: --client-config-dir/--ccd-exclusive requires --mode server

bo albo stosujesz:
1.

ifconfig              10.8.0.1 255.255.255.0
mode             server

lub

server "10.8.0.1 255.255.255.0"

i on już sobie zrobi sam ten ifconfig

2.
zbędna jest opcja wysyłania do klientów topologii komendą (po prostu w logu będą zdublowane wpisy)

push "topology subnet"

ponieważ serwer ustala i wysyła do klientów tą opcję tym wpisem:

topology              subnet

3.
W LEDE jest nowszy OpenVPN i warto zapamiętać na przyszłość, że doszła zmiana w nazewnictwie opcji kompresji z

comp-lzo

na

compress lz4
# lub
#compress lzo
* WR1043v1 16MB@64MB * || * WT3020-16MB * || * Xiaomi Miwifi Mini *
* E3276 HiLink + RTL2832 + IT9135 + Siano + EC103 *

41 (edytowany przez adalbert.dudziak 2017-12-31 05:07:03)

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

@msr_w, wydaje mi się, że rozumiem ideę konfiguracji z osobnego pliku, jak i z samego pliku z konfiguracją OpenVPN.
Przy czym konfiguracja z osobnego pliku ma inną składnię niż ta dostosowane do UCI w samym pliku konfiguracyjnym.
Na przykład w osobnym pliku konfiguracji wystarczy client-to-client, a w pliku konfiguracji openvpn to już option client-to-client '1'.

Teraz próbowałem skorzystać z propozycji konfiguracji w osobnym pliku podesłanej przez @khain'a aby nie "przepisywać" składni opcji z jednej wersji konfiguracji na drugą.

42 (edytowany przez mar_w 2017-12-31 05:11:02)

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

ale ja nie twierdzę że nie umiesz korzystać z obu opcji. Odniosłem się do błędu:

Error opening configuration file: openvpn-custom_config.conf

że być może ścieżka do pliku jest zła itd itd smile
@khain podał przykład w którym było:

option config '/etc/openvpn/server.conf' 

a u Ciebie błąd jak wyżej, czyli nie zmieniłeś nazwy lub coś w tym pliku było nie tak.

* WR1043v1 16MB@64MB * || * WT3020-16MB * || * Xiaomi Miwifi Mini *
* E3276 HiLink + RTL2832 + IT9135 + Siano + EC103 *

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

Sam nie wiem czy umiem korzystać z obu opcji, z osobnego pliku jeszcze nie udało mi się uruchomić serwera.
Ale ideę rozumiem;)

Co do złej nazwy pliku to prawdopodobnie brak restartu usługi był przyczyną, inną miałem nazwę pliku, a inna pojawiała się w logu.

44 (edytowany przez adalbert.dudziak 2017-12-31 06:11:41)

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

Ciągle nie mogę uruchomić serwera z konfiguracją w osobnym pliku:
/etc/config/openvpn

config openvpn 'tun_lan'
    option config '/etc/openvpn/server.conf'
    option enabled '1'

/etc/openvpn/server.conf'

port                  1194
proto                 udp
tls-server
ifconfig              10.8.0.1 255.255.255.0
mode                  server
topology              subnet
client-config-dir     /etc/openvpn/ccd

cipher                AES-256-CBC

dev                   tun0
keepalive              25 180
status                /tmp/openvpn.status
log             /tmp/openvpn.log
verb                  3

dh                    /etc/openvpn/dh2048.pem
ca                    /etc/openvpn/ca.crt
cert                  /etc/openvpn/server.crt
key                   /etc/openvpn/server.key
tls-auth              /etc/openvpn/ta.key 1

persist-key
persist-tun
compress lzo


push "route-gateway 10.8.0.1"
push "redirect-gateway def1"

route 172.16.1.0 255.255.255.0 10.8.0.2
push "route 192.168.1.0 255.255.255.0 10.8.0.1"

/etc/config/openvpn/ccd/dudi

ifconfig-push 10.8.0.2 255.255.255.0
iroute 172.16.1.0 255.255.255.0

log po komendzie "logread |grep openvpn":

Sun Dec 31 04:24:05 2017 daemon.err openvpn(tun_lan)[3456]: Options error: --client-config-dir/--ccd-exclusive requires --mode server
Sun Dec 31 04:24:05 2017 daemon.warn openvpn(tun_lan)[3456]: Use --help for more information.

/tmp/openvpn.log

Sun Dec 31 04:55:17 2017 OpenVPN 2.4.4 mips-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD]
Sun Dec 31 04:55:17 2017 library versions: OpenSSL 1.0.2n  7 Dec 2017, LZO 2.10
Sun Dec 31 04:55:17 2017 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x.  Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
Sun Dec 31 04:55:17 2017 Diffie-Hellman initialized with 2048 bit key
Sun Dec 31 04:55:17 2017 Cannot open key file '/etc/openvpn/ta.key': No such file or directory (errno=2)
Sun Dec 31 04:55:17 2017 Exiting due to fatal error

Coś z certyfikatem, wygeneruję wszystkie na nowo i zobaczę. (miałem literówkę server != serwer)
Teraz szukam gdzie wygenerował się ta.key

Update:
uruchomiłem serwer z osobnego pliku konfiguracyjnego. Brakowało jeszcze "tk.key", którego nie mogłem znaleźć po wpisaniu komendy, wygenerowałem go z poziomu klienta OpenVPN na windows.
Logi to bardzo przydatna sprawa;)

Jednak w logu jeszcze "siedzi" jakiś błąd opcji:

Options error: --server directive network/netmask combination is invalid
Use --help for more information.

45 (edytowany przez adalbert.dudziak 2017-12-31 06:27:48)

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

Dodam jeszcze konfigurację klienta, po uruchomieniu serwera nie mogę zestawić tunelu, może to w konfiguracji tkwi problem:

client
dev tun0
proto udp
remote ddns 2123
remote-cert-tls server
verb 3
pkcs12 dudi.p12
auth-nocache

46

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

Wrzuć logi openvpn klienta.

TP-Link TL-WDR3600 v1.5 -  OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163  +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7

47 (edytowany przez mar_w 2017-12-31 17:54:28)

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

@adalbert
1. zobacz mój post #33 i datę edycji/napisania przeczytaj go uważnie i powiedz w którym miejscu kazałem Ci w konfigu serwera wpisać:

tls-auth              /etc/openvpn/ta.key 1

to miałeś zrobić na KLIENCIE smile

na SERWERZE było dobrze to co podał @khain czyli:

tls-auth              /etc/openvpn/ta.key 0

2. mam nadzieję że Common Name certyfikatu to dudi oraz plik też ma taką samą nazwę (/etc/openvpn/ccd/dudi)

I jeżeli w pliku /etc/openvpn/ccd/dudi masz wpis:
iroute 172.16.1.0 255.255.255.0

to nie musisz podawać w konfigu serwera, bramy 10.8.0.2 przy trasie do 172.16... bo serwer o tym wie za którym klientem leży ta sieć 172.16..
wie to właśnie z tego pliku ccd
czyli zamiast:
route 172.16.1.0 255.255.255.0 10.8.0.2
możesz zostawić
route 172.16.1.0 255.255.255.0
bo to jest tylko routing do wiadomości serwera, bo widzę że żadnemu innemu klientowi nie wysyłasz tej trasy za tym klientem.

3. I jeżeli ustawiłeś kompresję na serwerze to musisz ustawić kompresję na kliencie lub wysłać do klienta tą opcję, żeby sobie sam ustawił czyli:

push "comp-lzo" #gdy klient jest na starym openvpn mniej niż  v.2.4
#lub
# push "compress lz4" # gdy masz nowego klienta Openvpn co do wersji np 2.4.x i serwer w v2.4
#lub
# push "compress lzo" # sprawdź co masz dokładnie (podobno lz4 jest lepsze)

4. W konfigu serwera masz wpis:

port 1194

a w konfigu klienta:

remote ddns 2123

Chyba że na W9980 masz przekierowanie z portu 2123 na 192.168.1.2:1194 to nie było tematu smile

* WR1043v1 16MB@64MB * || * WT3020-16MB * || * Xiaomi Miwifi Mini *
* E3276 HiLink + RTL2832 + IT9135 + Siano + EC103 *

48 (edytowany przez adalbert.dudziak 2017-12-31 20:27:19)

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

Mar_w, Khain,
część problemów wynikała z tego, że dodałem do konfiga linijki "na później", które wydawało mi się, że "zakomentowałem" znakiem "#", jednak klient je interpretował...

ad.1)
mar_w nigdzie mi nie kazałeś, to była moja "inwencja":) Poprawiłem w kliencie i wpisałem aby wskazywało plik na dysku klienta.

tls-auth ta.key 1

ad.2)
Comon name to dudi, nazwa pliku dudi.

ad.3)
usunąłem chwilowo tę opcję z konfiga na serwerze i kliencie.

ad.4)
Tak, jest zrobione przekierowanie:)

Log z klienta po poprawkach, łączę się z innej sieci niż docelowa:

Sun Dec 31 19:11:30 2017 OpenVPN 2.4.4 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Sep 26 2017
Sun Dec 31 19:11:30 2017 Windows version 6.2 (Windows 8 or greater) 64bit
Sun Dec 31 19:11:30 2017 library versions: OpenSSL 1.0.2l  25 May 2017, LZO 2.10
Enter Management Password:
Sun Dec 31 19:11:30 2017 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25341
Sun Dec 31 19:11:30 2017 Need hold release from management interface, waiting...
Sun Dec 31 19:11:30 2017 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25341
Sun Dec 31 19:11:31 2017 MANAGEMENT: CMD 'state on'
Sun Dec 31 19:11:31 2017 MANAGEMENT: CMD 'log all on'
Sun Dec 31 19:11:31 2017 MANAGEMENT: CMD 'echo all on'
Sun Dec 31 19:11:31 2017 MANAGEMENT: CMD 'hold off'
Sun Dec 31 19:11:31 2017 MANAGEMENT: CMD 'hold release'
Sun Dec 31 19:11:31 2017 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Dec 31 19:11:31 2017 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Dec 31 19:11:31 2017 MANAGEMENT: >STATE:1514743891,RESOLVE,,,,,,
Sun Dec 31 19:11:31 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]ddns:2123
Sun Dec 31 19:11:31 2017 Socket Buffers: R=[65536->65536] S=[65536->65536]
Sun Dec 31 19:11:31 2017 UDP link local (bound): [AF_INET][undef]:1194
Sun Dec 31 19:11:31 2017 UDP link remote: [AF_INET]ddns:2123
Sun Dec 31 19:11:31 2017 MANAGEMENT: >STATE:1514743891,WAIT,,,,,,
Sun Dec 31 19:11:31 2017 MANAGEMENT: >STATE:1514743891,AUTH,,,,,,
Sun Dec 31 19:11:31 2017 TLS: Initial packet from [AF_INET]ddns:2123, sid=0322b01e acc30312
Sun Dec 31 19:11:32 2017 VERIFY OK: depth=1, C=PL, ST=MA, L=Warsaw, O=FAM, OU=Home, CN=LEDE Server, name=Router, emailAddress=dudinr1@wp.pl
Sun Dec 31 19:11:32 2017 VERIFY KU OK
Sun Dec 31 19:11:32 2017 Validating certificate extended key usage
Sun Dec 31 19:11:32 2017 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Sun Dec 31 19:11:32 2017 VERIFY EKU OK
Sun Dec 31 19:11:32 2017 VERIFY OK: depth=0, C=PL, ST=MA, L=Warsaw, O=FAM, OU=Home, CN=LEDE Server, name=Router, emailAddress=dudinr1@wp.pl
Sun Dec 31 19:11:32 2017 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1541', remote='link-mtu 1557'
Sun Dec 31 19:11:32 2017 WARNING: 'cipher' is used inconsistently, local='cipher BF-CBC', remote='cipher AES-256-CBC'
Sun Dec 31 19:11:32 2017 WARNING: 'keysize' is used inconsistently, local='keysize 128', remote='keysize 256'
Sun Dec 31 19:11:32 2017 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Sun Dec 31 19:11:32 2017 [LEDE Server] Peer Connection Initiated with [AF_INET]ddns:2123
Sun Dec 31 19:11:34 2017 MANAGEMENT: >STATE:1514743894,GET_CONFIG,,,,,,
Sun Dec 31 19:11:34 2017 SENT CONTROL [LEDE Server]: 'PUSH_REQUEST' (status=1)
Sun Dec 31 19:11:34 2017 PUSH: Received control message: 'PUSH_REPLY,route-gateway 10.8.0.1,redirect-gateway def1,route 192.168.1.0 255.255.255.0 10.8.0.1,ping 25,ping-restart 180,ifconfig 10.8.0.2 255.255.255.0,peer-id 0,cipher AES-256-GCM'
Sun Dec 31 19:11:34 2017 OPTIONS IMPORT: timers and/or timeouts modified
Sun Dec 31 19:11:34 2017 OPTIONS IMPORT: --ifconfig/up options modified
Sun Dec 31 19:11:34 2017 OPTIONS IMPORT: route options modified
Sun Dec 31 19:11:34 2017 OPTIONS IMPORT: route-related options modified
Sun Dec 31 19:11:34 2017 OPTIONS IMPORT: peer-id set
Sun Dec 31 19:11:34 2017 OPTIONS IMPORT: adjusting link_mtu to 1624
Sun Dec 31 19:11:34 2017 OPTIONS IMPORT: data channel crypto options modified
Sun Dec 31 19:11:34 2017 Data Channel: using negotiated cipher 'AES-256-GCM'
Sun Dec 31 19:11:34 2017 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Sun Dec 31 19:11:34 2017 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Sun Dec 31 19:11:34 2017 WARNING: Since you are using --dev tun with a point-to-point topology, the second argument to --ifconfig must be an IP address.  You are using something (255.255.255.0) that looks more like a netmask. (silence this warning with --ifconfig-nowarn)
Sun Dec 31 19:11:34 2017 MANAGEMENT: Client disconnected
Sun Dec 31 19:11:34 2017 There is a problem in your selection of --ifconfig endpoints [local=10.8.0.2, remote=255.255.255.0].  The local and remote VPN endpoints must exist within the same 255.255.255.252 subnet.  This is a limitation of --dev tun when used with the TAP-WIN32 driver.  Try 'openvpn --show-valid-subnets' option for more info.
Sun Dec 31 19:11:34 2017 Exiting due to fatal error

*"You are using something (255.255.255.0) that looks more like a netmask."
*"There is a problem in your selection of --ifconfig endpoints [local=10.8.0.2, remote=255.255.255.0].  The local and remote VPN endpoints must exist within the same 255.255.255.252 subnet."

W pliku /etc/openvpn/ccd/dudi, mam:

ifconfig-push 10.8.0.2 255.255.255.0
iroute 172.16.1.0 255.255.255.0

49 (edytowany przez khain 2017-12-31 20:50:12)

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

Uruchom openvpn na Windowsie poprzez "Uruchom jako administrator".

TP-Link TL-WDR3600 v1.5 -  OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163  +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

Tak był uruchomiony.