1 (edytowany przez artur5236 2018-02-13 11:19:10)

Temat: LEDE OpenVPN Konfiguracja klientów

Cześć,

Mam serwer OpenVPN i 2 klientów. Obecnie serwer ustawiony jest tak aby przekierowywał cały ruch klientów.
Chciałbym ustawić tak aby jeden klient wychodził na świat przez swoje łącze a drugi pozostał tak jak jest (czyli przekierowany cały ruch).

Jest taka możliwość?

2

Odp: LEDE OpenVPN Konfiguracja klientów

Do tego jest specjalny projekt: https://forum.lede-project.org/t/vpn-by … ci-ui/1106

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

3

Odp: LEDE OpenVPN Konfiguracja klientów

Dzięki za informacje, zapoznam się z tym smile

4

Odp: LEDE OpenVPN Konfiguracja klientów

Dla 2 klientów to ja bym wyłączył na serwerze w konfigu wysyłanie domyślnej trasy przez tunel do wszystkich. Czyli usunął push redirect...

Na kliencie nr 1 który ma wychodzić przez tunel na świat wpisałbym w konfigu option redirect_gateway def1  wtedy on sam ustawi sobie domyślną trasę przez tunel.

Drugi klient dostanie tylko trasę do tunelu i do google będzie nadal wychodził bramą od ISP.

* WR1043v1 16MB@64MB * || * WT3020-16MB * || * Xiaomi Miwifi Mini *
* E3276 HiLink + RTL2832 + IT9135 + Siano + EC103 *

5

Odp: LEDE OpenVPN Konfiguracja klientów

mar_w napisał/a:

Na kliencie nr 1 który ma wychodzić przez tunel na świat wpisałbym w konfigu option redirect_gateway def1  wtedy on sam ustawi sobie domyślną trasę przez tunel.

Dzięki za trafną poradę. Oczywiście chciałbym z niej skorzystać jednak jeśli na kliencie nr1 wpisuję w configu "option redirect_gateway def1" przy połączeniu dostaję komunikat: "Connecting to management interface failed".

Masz pomysł jak to rozwiązać?

6

Odp: LEDE OpenVPN Konfiguracja klientów

Zależy jak masz ustawiony plik konfiguracyjny. Ja mam wszystko zgodne z uci. Dla Openvpn można wczytać konfig przez zewnętrzny plik i wtedy nie wpisujesz "option"

Ja mam na Serwerze Openvpn usuniętą opcję push "redirect-gateway def1" bo nie potrzebuję wszystkimi klientami wychodzić na świat przez tunel, ale gdy potrzebuję z jakiegoś powodu wyjść na świat tylko jednym klientem przez tunel to wpisuję to co poniżej (w drugiej części zrzutu konfigu):

https://pastebin.com/5BpwtB9U

wtedy nie muszę restartować serwer Openvpn.
Oczywiście na serwerze Openvpn trzeba ustawić firewall, żeby był przygotowany na forward pakietów z tego jednego adresu ip tunelu oraz ustawić maskaradę w tablicy nat w łańcuchu POSTROUTING dla pakietów wychodzących z tego konkretnego ip z tunelu.

* WR1043v1 16MB@64MB * || * WT3020-16MB * || * Xiaomi Miwifi Mini *
* E3276 HiLink + RTL2832 + IT9135 + Siano + EC103 *

7

Odp: LEDE OpenVPN Konfiguracja klientów

Plik konfiguracyjny klienta poniżej (jest to konfig wygenerowany przez gargoyle).

client
remote          mojadresip 1194
dev             tun
proto           udp
status          current_status
resolv-retry    infinite
ns-cert-type    server
topology        subnet
verb            3
cipher          BF-CBC
keysize               128
ca              ca.crt
cert            lapek.crt
key             lapek.key
tls-auth        ta.key 1
nobind
persist-key
persist-tun
comp-lzo

8 (edytowany przez mar_w 2018-02-10 16:37:38)

Odp: LEDE OpenVPN Konfiguracja klientów

to dopisz na końcu
redirect-gateway def1

restart klienta openvpn.

EDIT: bo jak robisz zgodnie z UCI to opcje są z "_" a jak przez zewnętrzny plik to "-"
zgodnie z UCI:

# cat /etc/config/openvpn

config openvpn 'sample_client'
    option enabled '1'
    option client '1'
    option pull '1'
    option dev 'tun0'
    option proto 'udp'
    option port '1194'
    option remote 'x.x.x.x'
    option resolv_retry 'infinite'
    option nobind '1'
    option persist_key '1'
    option persist_tun '1'
    option ca '/etc/openvpn/ca.crt'
    option cert '/etc/openvpn/client.crt'
    option key '/etc/openvpn/client.key'
    option remote_cert_tls 'server'
    option auth_nocache '1'
    option tls_auth '/etc/openvpn/ta.key 1'
    option cipher 'AES-256-CBC'
    option comp_lzo 'yes'
    option verb '3'
    option log '/tmp/openvpn.log'
    option mute '20'
    option redirect_gateway 'def1'

EDIT: coś czuję że ten klient jest na laptopie z Windows tylko przerzuciłeś sobie konfig z Gargoyle i piszesz w temacie "LEDE OpenVPN" smile

artur5236 napisał/a:

Plik konfiguracyjny klienta poniżej (jest to konfig wygenerowany przez gargoyle).
...
cert            lapek.crt
key             lapek.key

* WR1043v1 16MB@64MB * || * WT3020-16MB * || * Xiaomi Miwifi Mini *
* E3276 HiLink + RTL2832 + IT9135 + Siano + EC103 *

9

Odp: LEDE OpenVPN Konfiguracja klientów

mar_w napisał/a:

to dopisz na końcu
redirect-gateway def1

restart klienta openvpn.

EDIT: bo jak robisz zgodnie z UCI to opcje są z "_" a jak przez zewnętrzny plik to "-"
zgodnie z UCI:

# cat /etc/config/openvpn

config openvpn 'sample_client'
    option enabled '1'
    option client '1'
    option pull '1'
    option dev 'tun0'
    option proto 'udp'
    option port '1194'
    option remote 'x.x.x.x'
    option resolv_retry 'infinite'
    option nobind '1'
    option persist_key '1'
    option persist_tun '1'
    option ca '/etc/openvpn/ca.crt'
    option cert '/etc/openvpn/client.crt'
    option key '/etc/openvpn/client.key'
    option remote_cert_tls 'server'
    option auth_nocache '1'
    option tls_auth '/etc/openvpn/ta.key 1'
    option cipher 'AES-256-CBC'
    option comp_lzo 'yes'
    option verb '3'
    option log '/tmp/openvpn.log'
    option mute '20'
    option redirect_gateway 'def1'

EDIT: coś czuję że ten klient jest na laptopie z Windows tylko przerzuciłeś sobie konfig z Gargoyle i piszesz w temacie "LEDE OpenVPN" smile

artur5236 napisał/a:

Plik konfiguracyjny klienta poniżej (jest to konfig wygenerowany przez gargoyle).
...
cert            lapek.crt
key             lapek.key


Super, działa tak jak chciałem. Wielkie dzięki
Dobrze zgadłeś smile Teraz jest jeszcze Gargoyle, jutro instaluje LEDE gdzie będzie serwer OpenVPN. 1 klient to LEDE a 2 to Windows (i własnie na Windows potrzebowałem wyjścia na świat przez tunel).

10

Odp: LEDE OpenVPN Konfiguracja klientów

nic nie zgadłem. Zdradziła Cię nazwa klucza: lapek big_smile oraz brak próby skorzystania z propozycji Cezarego, bo nawet nie drążyłeś tematu w tym kierunku i chyba głupio Ci było napisać: "Cezary, ale ja potrzebuję projekt na Windowsa" smile

Fajnie, że masz co chcesz smile

* WR1043v1 16MB@64MB * || * WT3020-16MB * || * Xiaomi Miwifi Mini *
* E3276 HiLink + RTL2832 + IT9135 + Siano + EC103 *