• Zarejestrowany: 2014-04-03
  • Posty: 129

Temat: OpenVPN w trybie TUN - konfiguracja klienta Win7

W nowym poradniku opisałeś konfigurację w trybie TUN. Mam pytanie odnośnie konfiguracji klienta - to na klienta nie trzeba kopiować wygenerowanego certyfikatu użytkownika? Rozumiem tworzę sobie plik np. vpn.conf i w nim wrzucam takie linijki (odpowiednio konfigurując oczywiście) i to wszystko?

    client
    ca /etc/openvpn/ca.crt
    cert /etc/openvpn/malgosia.crt
    dev tun
    key /etc/openvpn/malgosia.key
    log /tmp/openvpn.log
    proto tcp
    remote SERWER_IP 1194
    remote-cert-tls server
    verb 3

2 Odpowiedź przez build000 (edytowany przez build000 2015-06-11 11:56:17)

  • Zarejestrowany: 2013-06-25
  • Posty: 2,058

Odp: OpenVPN w trybie TUN - konfiguracja klienta Win7

No a skąd weźmiesz te certyfikaty ?...myśl trochę... wink
Za to sam plik konfiguracyjny klienta, to tak jak w poradniku i to co powyżej sam pokazałeś...oczywiście miejsce położenia stosownych plików w tej przykładowej konfiguracji to:

ca <tam gdzie to skopiowałeś do windy>\ca.crt
cert <tam gdzie to skopiowałeś do windy>\malgosia.crt
key <tam gdzie to skopiowałeś do windy>\malgosia.key

Oraz sam plik logowania zdarzeń:

log <tam gdzie ustawisz ścieżkę (tyczy się zresztą i tego co powyżej) >\ openvpn.log

3 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 106,354

Odp: OpenVPN w trybie TUN - konfiguracja klienta Win7

Trzeba, trzeba. Po to były generowane przecież.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

4 Odpowiedź przez _michal

  • Zarejestrowany: 2014-04-03
  • Posty: 129

Odp: OpenVPN w trybie TUN - konfiguracja klienta Win7

Myślę i wiem, że one były wygenerowane w tym celu. W tekście nie było o tym wspomniane dlatego miałem wątpliwość.
Skopiowałem i ustawiłem (zanim napisałem pierwszego posta) ścieżki dostępu ale nie mogę się połączyć. Podejrzewam, że z tego powodu iż wykonanie polecenia build-dh trwało ~2min a jak pamiętam w przeszłości zostawiłem generowanie tego certyfikatu na noc ponieważ w istocie jest to czasochłonne. Usunę wszystkie certyfikaty i wygeneruję raz jeszcze od początku.

5 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 106,354

Odp: OpenVPN w trybie TUN - konfiguracja klienta Win7

Potrzebujemy także wygenerowanych wcześniej certyfikatów; należy je skopiować do routera klienckiego przez scp, przenieść na pendrive, ściągnąć z www/ftp itp. Muszą znaleźć się na kliencie np. w katalogu /etc/openvpn. W tym przykładzie wykorzystujemy pliki: ca.crt, malgosia.key i malgosia.crt.

Było...

U mnie generowanie na routerze 400MHz trwało z godzinę.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

6 Odpowiedź przez _michal

  • Zarejestrowany: 2014-04-03
  • Posty: 129

Odp: OpenVPN w trybie TUN - konfiguracja klienta Win7

Tydzień temu byłem u okulisty i wzrok mam w porządku wink Najwyraźniej przeoczyłem tą informację.

Wygenerowałem nowe certyfikaty, restart serwera openvpn i działa jak należy. Cezary - dziękuję za poradnik.
Znalazłem błąd w poradniku do poprawki. W sekcji "Konfiguracja klienta\Inni klienci" jest napisane: proto tcp, być powinno: proto udp.

7 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 106,354

Odp: OpenVPN w trybie TUN - konfiguracja klienta Win7

Powinno. Poprawię wieczorem.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

8 Odpowiedź przez build000

  • Zarejestrowany: 2013-06-25
  • Posty: 2,058

Odp: OpenVPN w trybie TUN - konfiguracja klienta Win7

_michal napisał/a:

Tydzień temu byłem u okulisty i wzrok mam w porządku wink Najwyraźniej przeoczyłem tą informację.
(...)

Czyli czas zmienić łapiducha lub czytać uważniej. wink

9 Odpowiedź przez _michal

  • Zarejestrowany: 2014-04-03
  • Posty: 129

Odp: OpenVPN w trybie TUN - konfiguracja klienta Win7

Powyższa konfiguracja OpenVpn śmiga jak należy od dłuższego czasu. Wczoraj chciałem się podłączyć poprzez internet udostępniony w telefonie z LTE i połączenie się zestawiło ale już nie mogę się podłączyć do bazy danych ani na panel routera. Kiedy w telefonie wyłączyłem LTE to wszystko działa poprawnie.

Czy jeśli klient OpenVPN łączy się z serwerem poprzez LTE to wymagana jest jakaś specjalna konfiguracja?

10 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 106,354

Odp: OpenVPN w trybie TUN - konfiguracja klienta Win7

Nie, medium po którym się łączysz nie ma znaczenia.

Inna sprawa że np. operator może coś blokować i wtedy kombinujesz  z tcp/udp i innymi portami.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

11 Odpowiedź przez _michal

  • Zarejestrowany: 2014-04-03
  • Posty: 129

Odp: OpenVPN w trybie TUN - konfiguracja klienta Win7

Też tak uważam, że LTE to szybsze medium transmisji danych i nie powinno to mieć wpływu na to. Zastanowię się jak do tego podejść. Może w pierwszej kolejności napiszę maila do operatora w tej sprawie. Jeśli będą łaskaw odpisać mi rzeczowo to będę wiedział na czym stoję.

12 Odpowiedź przez _michal (edytowany przez _michal 2015-10-17 21:51:29)

  • Zarejestrowany: 2014-04-03
  • Posty: 129

Odp: OpenVPN w trybie TUN - konfiguracja klienta Win7

Do działającego serwera OpenVPN (na TL-WDR4300, Barrier Breaker (r44952), publiczny IP, 192.168.1.x) podłączyłem się dziś innym routerem (TL-MR3420 v2, Gargoyle PL 1.6.2.2 (b70bfc1), OpenWrt Attitude Adjustment 12.09.1 (r42647), połączenie komórkowe, 192.168.2.x). I to działa.
Będąc zalogowany poprzez terminal do routera-klienta (w putty), kiedy wydam polecenie ssh root@10.8.0.1 czy też ssh root@192.168.1.132 to mogę się połączyć do odpowiednich urządzeń. Natomiast kiedy to samo chcę zrobić w putty komputera, który jest podłączony do routera-klienta to już nie działa w ten sposób. Moim zdaniem na routerze-kliencie adresy te należy jakoś przekierować. Myślałem, próbowałem i nic nie stworzyłem. Może mała podpowiedź?

Dodać należy, że wg poradnika Cezarego router-serwer jest tak skonfigurowany że łącząc się do niego za pomocą komputera i wpisując adres www routera 192.168.1.1 otrzymuję stronę routera-serwera. Chciałbym osiągnąć tak sam efekt poprzez dodatkowy router-serwer.

13 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 106,354

Odp: OpenVPN w trybie TUN - konfiguracja klienta Win7

A ten router dodatkowy ma ustawioną bramę domyślną? Tą sprawę załatwia routing, skoro wykonanie 10.8.0.1 nie kieruje go na router itd, to możliwe że coś z routingiem masz skopane. I nie po stronie routera-klienta tylko tego dodatkowego.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

14 Odpowiedź przez _michal

  • Zarejestrowany: 2014-04-03
  • Posty: 129

Odp: OpenVPN w trybie TUN - konfiguracja klienta Win7

Tablice routingów obydwu routerów. Jak widać ten 3g posiada ustawioną bramę. Z internetu na routerze kliencie nadal chciałbym korzystać z 3g natomiast po wpisaniu adresu LAN z puli serwera (czy to putty, czy przeglądarka) chciałbym żeby ruch poszedł przez VPN.

Czy czasami nie trzeba zmienić wpisu tego na routerze klienice? 192.168.1.0     10.8.0.5        255.255.255.0   UG    0      0        0 tun0

root@OpenWrt:~# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         36.6.226.91.jim 0.0.0.0         UG    0      0        0 pppoe-wan
10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun0
10.8.0.2        *               255.255.255.255 UH    0      0        0 tun0
91.226.6.36     *               255.255.255.255 UH    0      0        0 pppoe-wan
192.168.1.0     *               255.255.255.0   U     0      0        0 br-lan
root@OpenWrt:~# exit
root@Gargoyle:~# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         10.64.64.64     0.0.0.0         UG    0      0        0 3g-wan
10.8.0.1        10.8.0.5        255.255.255.255 UGH   0      0        0 tun0
10.8.0.5        *               255.255.255.255 UH    0      0        0 tun0
10.64.64.64     *               255.255.255.255 UH    0      0        0 3g-wan
192.168.1.0     10.8.0.5        255.255.255.0   UG    0      0        0 tun0
192.168.2.0     *               255.255.255.0   U     0      0        0 br-lan

15 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 106,354

Odp: OpenVPN w trybie TUN - konfiguracja klienta Win7

Czyli musisz tak skonfigurować serwer żeby nie wysyłał bramy domyślnej która wskazuje tunel.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

16 Odpowiedź przez _michal

  • Zarejestrowany: 2014-04-03
  • Posty: 129

Odp: OpenVPN w trybie TUN - konfiguracja klienta Win7

Cezary napisał/a:

Czyli musisz tak skonfigurować serwer żeby nie wysyłał bramy domyślnej która wskazuje tunel.

Która linia tablicy routingu na serwerze na to wskazuje? Byłem pewny że zmiany trzeba wprowadzić na routerze-kliencie. W jaki sposób to mogę zmienić?

17 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 106,354

Odp: OpenVPN w trybie TUN - konfiguracja klienta Win7

redirect-gateway def1 w konfiguracji serwera. A linia z UGH. masz gatewaya na tunel.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

18 Odpowiedź przez _michal

  • Zarejestrowany: 2014-04-03
  • Posty: 129

Odp: OpenVPN w trybie TUN - konfiguracja klienta Win7

Po wykonaniu poleceń jak poniżej na serwerze (oraz dodatkowo restart klienta) teoretycznie cały ruch powinien pójść przez tunel i serwer. Jednak tak się nie dzieje - nie wczytuje się www oraz adres lokalny serwera. Co może być przyczyną?

uci set openvpn.home.push='redirect-gateway def1'
uci commit openvpn
/etc/init.d/openvpn restart

19 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 106,354

Odp: OpenVPN w trybie TUN - konfiguracja klienta Win7

iptables/tcpdump w dłoń i zobaczysz co się dzieje w sieci.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

20 Odpowiedź przez _michal

  • Zarejestrowany: 2014-04-03
  • Posty: 129

Odp: OpenVPN w trybie TUN - konfiguracja klienta Win7

Wykonałem polecenie na serwerze i wynik jak poniżej. Szukałem w iptables -h czegoś podobnego jak poniżej i nic. Przyznam że wymiękam z tym.

root@OpenWrt:~# iptables/tcpdump
-ash: iptables/tcpdump: not found

21 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 106,354

Odp: OpenVPN w trybie TUN - konfiguracja klienta Win7

iptables to jedno polecenie, tcpdump to drugie. I przeczytaj manual do nich zanim je uruchomisz.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

22 Odpowiedź przez _michal

  • Zarejestrowany: 2014-04-03
  • Posty: 129

Odp: OpenVPN w trybie TUN - konfiguracja klienta Win7

Rozumiem. Nie wiem jednak czego mam tam szukać. Rozumiem że iptables to zbiór regułek.

root@OpenWrt:~# iptables --list
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
delegate_input  all  --  anywhere             anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
delegate_forward  all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
delegate_output  all  --  anywhere             anywhere

Chain MINIUPNPD (1 references)
target     prot opt source               destination

Chain delegate_forward (1 references)
target     prot opt source               destination
forwarding_rule  all  --  anywhere             anywhere             /* user chain for forwarding */
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
zone_lan_forward  all  --  anywhere             anywhere
zone_wan_forward  all  --  anywhere             anywhere

Chain delegate_input (1 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
input_rule  all  --  anywhere             anywhere             /* user chain for input */
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
syn_flood  tcp  --  anywhere             anywhere             tcp flags:FIN,SYN,RST,ACK/SYN
zone_lan_input  all  --  anywhere             anywhere
zone_wan_input  all  --  anywhere             anywhere

Chain delegate_output (1 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
output_rule  all  --  anywhere             anywhere             /* user chain for output */
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
zone_lan_output  all  --  anywhere             anywhere
zone_wan_output  all  --  anywhere             anywhere

Chain forwarding_lan_rule (1 references)
target     prot opt source               destination

Chain forwarding_rule (1 references)
target     prot opt source               destination

Chain forwarding_vpn_rule (1 references)
target     prot opt source               destination

Chain forwarding_wan_rule (1 references)
target     prot opt source               destination

Chain input_lan_rule (1 references)
target     prot opt source               destination

Chain input_rule (1 references)
target     prot opt source               destination

Chain input_vpn_rule (1 references)
target     prot opt source               destination

Chain input_wan_rule (1 references)
target     prot opt source               destination

Chain output_lan_rule (1 references)
target     prot opt source               destination

Chain output_rule (1 references)
target     prot opt source               destination

Chain output_vpn_rule (1 references)
target     prot opt source               destination

Chain output_wan_rule (1 references)
target     prot opt source               destination

Chain reject (2 references)
target     prot opt source               destination
REJECT     tcp  --  anywhere             anywhere             reject-with tcp-reset
REJECT     all  --  anywhere             anywhere             reject-with icmp-port-unreachable

Chain syn_flood (1 references)
target     prot opt source               destination
RETURN     tcp  --  anywhere             anywhere             tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 25/sec burst 50
DROP       all  --  anywhere             anywhere

Chain zone_lan_dest_ACCEPT (4 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere

Chain zone_lan_forward (1 references)
target     prot opt source               destination
forwarding_lan_rule  all  --  anywhere             anywhere             /* user chain for forwarding */
zone_wan_dest_ACCEPT  all  --  anywhere             anywhere             /* forwarding lan -> wan */
ACCEPT     all  --  anywhere             anywhere             ctstate DNAT /* Accept port forwards */
zone_lan_dest_ACCEPT  all  --  anywhere             anywhere

Chain zone_lan_input (1 references)
target     prot opt source               destination
input_lan_rule  all  --  anywhere             anywhere             /* user chain for input */
ACCEPT     all  --  anywhere             anywhere             ctstate DNAT /* Accept port redirections */
zone_lan_src_ACCEPT  all  --  anywhere             anywhere

Chain zone_lan_output (1 references)
target     prot opt source               destination
output_lan_rule  all  --  anywhere             anywhere             /* user chain for output */
zone_lan_dest_ACCEPT  all  --  anywhere             anywhere

Chain zone_lan_src_ACCEPT (1 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere

Chain zone_vpn_dest_ACCEPT (2 references)
target     prot opt source               destination

Chain zone_vpn_forward (0 references)
target     prot opt source               destination
forwarding_vpn_rule  all  --  anywhere             anywhere             /* user chain for forwarding */
zone_lan_dest_ACCEPT  all  --  anywhere             anywhere             /* forwarding vpn -> lan */
zone_wan_dest_ACCEPT  all  --  anywhere             anywhere             /* forwarding vpn -> wan */
zone_lan_dest_ACCEPT  all  --  anywhere             anywhere             /* forwarding vpn -> lan */
ACCEPT     all  --  anywhere             anywhere             ctstate DNAT /* Accept port forwards */
zone_vpn_dest_ACCEPT  all  --  anywhere             anywhere

Chain zone_vpn_input (0 references)
target     prot opt source               destination
input_vpn_rule  all  --  anywhere             anywhere             /* user chain for input */
ACCEPT     all  --  anywhere             anywhere             ctstate DNAT /* Accept port redirections */
zone_vpn_src_ACCEPT  all  --  anywhere             anywhere

Chain zone_vpn_output (0 references)
target     prot opt source               destination
output_vpn_rule  all  --  anywhere             anywhere             /* user chain for output */
zone_vpn_dest_ACCEPT  all  --  anywhere             anywhere

Chain zone_vpn_src_ACCEPT (1 references)
target     prot opt source               destination

Chain zone_wan_dest_ACCEPT (3 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere

Chain zone_wan_dest_REJECT (1 references)
target     prot opt source               destination
reject     all  --  anywhere             anywhere

Chain zone_wan_forward (1 references)
target     prot opt source               destination
MINIUPNPD  all  --  anywhere             anywhere
forwarding_wan_rule  all  --  anywhere             anywhere             /* user chain for forwarding */
ACCEPT     all  --  anywhere             anywhere             ctstate DNAT /* Accept port forwards */
zone_wan_dest_REJECT  all  --  anywhere             anywhere

Chain zone_wan_input (1 references)
target     prot opt source               destination
input_wan_rule  all  --  anywhere             anywhere             /* user chain for input */
ACCEPT     udp  --  anywhere             anywhere             udp dpt:bootpc /* Allow-DHCP-Renew */
ACCEPT     icmp --  anywhere             anywhere             icmp echo-request /* Allow-Ping */
ACCEPT     udp  --  anywhere             anywhere             udp dpt:openvpn /* OpenVPN */
ACCEPT     all  --  anywhere             anywhere             ctstate DNAT /* Accept port redirections */
zone_wan_src_REJECT  all  --  anywhere             anywhere

Chain zone_wan_output (1 references)
target     prot opt source               destination
output_wan_rule  all  --  anywhere             anywhere             /* user chain for output */
zone_wan_dest_ACCEPT  all  --  anywhere             anywhere

Chain zone_wan_src_REJECT (1 references)
target     prot opt source               destination
reject     all  --  anywhere             anywhere

23 Odpowiedź przez _michal

  • Zarejestrowany: 2014-04-03
  • Posty: 129

Odp: OpenVPN w trybie TUN - konfiguracja klienta Win7

Czegoś tu nie rozumiem. Logując się z komputera będącego podłączonego do routera-klienta, w konsoli wpisuję:

root@OpenWrt:~# traceroute 192.168.1.132
traceroute to 192.168.1.132 (192.168.1.132), 30 hops max, 38 byte packets
 1  10.8.0.1 (10.8.0.1)  86.766 ms  84.696 ms  88.574 ms
 2  192.168.1.132 (192.168.1.132)  87.955 ms  86.967 ms  88.607 ms

Więc router klient "widzi" to urządzenie - może się z nim porozumieć. Natomiast jak na tym samym komputerze (podłączony do routera-klienta) wpiszę w putty ten sam adres (tj. 192.168.1.132) to już nie mogę nawiązać połączenia. Moim zdaniem należy utworzyć regułę na routerze-kliencie żeby odpowiednio przekierowywał adresy 192.168.1.x na 10.8.0.1. Cezary - proszę wyprowadź mnie z błędu jeśli się mylę.

24 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 106,354

Odp: OpenVPN w trybie TUN - konfiguracja klienta Win7

Czekaj, ty tak naprawdę łączysz dwie sieci lokalne? To jest większa konfiguracja, bo na routerze kliencie musisz firewalla zrobić, strefę vpn z maskaradą, wysłać odpowiednie trasy routingu do klienta z serwera. Zobacz np. http://rpc.one.pl/index.php/lista-artyk … -w-openwrt

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

25 Odpowiedź przez _michal

  • Zarejestrowany: 2014-04-03
  • Posty: 129

Odp: OpenVPN w trybie TUN - konfiguracja klienta Win7

Coś w tym stylu, tyle że moja konfiguracja jest prostsza (dostęp sieci LAN2 po stronie routera-klienta do sieci LAN1 po stronie routera-serwera). Przyszłościowo jeden telefon na androidzie i jeden laptop, podłączony do routera-serwera przez vpn. Ruch www od routera-klienta bez zmian tj. przez sieć komórkową.
To co wysłałeś LINK jest bardzo pomocne, jednak muszę to przetrawić jak będę wypoczętym. Nie wszystkie wiersze jeszcze rozumiem. Myślałem że ta moja wymyślona konfiguracja jest zdecydowanie prostsza.
Jeśli miałbyś się podjąć takiej konfiguracji to jakiego rzędu byłby to wydatek? (odp. wyślij na prv jeśli możesz).