1 Temat przez xury

  • xury
  • xury
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2010-05-19
  • Posty: 391

Temat: Dostęp do sieci za klientem OpenVPN

Sorry być może, za to pewnie powtarzające się pytanie, ale się zakręciłem i już nie wiem nic.
Generalnie tunel mi działa. Mogę wchodzić na komputery za serwerem.
Nie mogę jednak dostać się do komputerów za klientem.
Czytałem, dużo ale nie wiem jak to ustawić.
konfiguracja klienta:

config openvpn 'provider'
        option enabled '1'
        option dev 'tun'
        option proto 'udp4'
        option log '/tmp/openvpn.log'
        option verb '3'
        option ca '/etc/openvpn/ca.crt'
        option cert '/etc/openvpn/kadlubska.crt'
        option key '/etc/openvpn/kadlubska.key'
        option client '1'
        option remote 'mojIP 1194'
        option remote_cert_tls 'server'

Czy mam ustawić push route na kliencie, czy możena serwerze?
Czy na firewallu?

config zone
        option name 'vpn'
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option masq '1'
        option mtu_fix '1'
        list network 'providervpn'

config forwarding
        option src 'lan'
        option dest 'vpn'

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 106,391

Odp: Dostęp do sieci za klientem OpenVPN

W konfiguracji serwera.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez xury

  • xury
  • xury
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2010-05-19
  • Posty: 391

Odp: Dostęp do sieci za klientem OpenVPN

W konfiguracji serwera dać po prostu push route "moja podsiec  za klientem"  255.255.255.0 ?

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 106,391

Odp: Dostęp do sieci za klientem OpenVPN

http://eko.one.pl/?p=openwrt-openvpntun … zaserwerem

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez xury

  • xury
  • xury
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2010-05-19
  • Posty: 391

Odp: Dostęp do sieci za klientem OpenVPN

Heh myślałem, że da się to prościej. Dałem push route i wywaliłem sobie internet pewnie z obu stron. Chyba zapętliłem się w lanie.
Czyli jeśli chcę mieć dostęp do urządzenia za klientem to tylko jest taka możliwość jak mi podałeś w linku?

Nie można jakoś całej podsieci spiąć? Nie chcę też by cały ruch klienta szedł przez VPN.
Niestety działałem po stronie klienta i nie poprawię już dzisiaj serwera, bo jest daleko.

6 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 106,391

Odp: Dostęp do sieci za klientem OpenVPN

No przecież to ty sterujesz czy ruch idzie przez vpn czy nie (trasa domyślna), prawda? A o spięciu sieci masz tutaj: http://rpc.one.pl/index.php/lista-artyk … -w-openwrt

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

7 Odpowiedź przez xury (edytowany przez xury 2017-09-11 21:23:39)

  • xury
  • xury
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2010-05-19
  • Posty: 391

Odp: Dostęp do sieci za klientem OpenVPN

Poszukałem poczytałem i już chyba wiem co potrzebuje. Muszę utworzyć ccd z iroute

Pomimo dodania iroute nadal po restarcie serwera klient traci internet. Wyczytałem, że to z powodu używania sieci 192.168.x.x
Nie rozumiem dlaczego. serwer i każdy klient ma osobną podsieć:
Serwer 192.168.3.0
klient1 192.168.4.0
klient2 192.168.22.0
A mimo tego po dodaniu push route i restarcie serwera zanika dostęp do sieci na całej podsieci sieci klienta. WTF.
Czy jedyny sposób to zmiana numeracji sieci na 10.x.x.x jak gdzieś wyczytałem ?

8 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 106,391

Odp: Dostęp do sieci za klientem OpenVPN

redirect-gateway mu wysyłasz?
Wysyłasz mu jego własną podsieć?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

9 Odpowiedź przez xury (edytowany przez xury 2017-09-11 22:39:11)

  • xury
  • xury
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2010-05-19
  • Posty: 391

Odp: Dostęp do sieci za klientem OpenVPN

Nie mam redirect-gateway na serwerze. Z opisu wynika, że wtedy cały ruch idzie przez tunel, a tego nie chcę.No chyba, że ja to żle rozumiem.

# If enabled, this directive will configure
        # all clients to redirect their default
        # network gateway through the VPN, causing
        # all IP traffic such as web browsing and
        # and DNS lookups to go through the VPN
        # (The OpenVPN server machine may need to NAT
        # the TUN/TAP interface to the internet in
        # order for this to work properly).
        # CAVEAT: May break client's network config if
        # client's local DHCP server packets get routed
        # through the tunnel.  Solution: make sure
        # client's local DHCP server is reachable via
        # a more specific route than the default route

A tak mam na serwerze:

config openvpn 'myvpn'
        option enabled '1'
        option dev 'tun'
        option port '1194'
        option proto 'udp4'
        option status '/var/log/openvpn_status.log'
        option log '/tmp/openvpn.log'
        option verb '3'
        option mute '5'
        option keepalive '10 120'
        option persist_key '1'
        option persist_tun '1'
        option user 'nobody'
        option group 'nogroup'
        option ca '/etc/openvpn/ca.crt'
        option cert '/etc/openvpn/strserwer.crt'
        option key '/etc/openvpn/strserwer.key'
        option dh '/etc/openvpn/dh.pem'
        option mode 'server'
#       option tls_server '1'
#       option tls_auth '/etc/easy-rsa/keys/ta.key 0'
        option server '10.8.0.0 255.255.255.0'
        option topology 'subnet'
        option route_gateway 'dhcp'
        option client_to_client '1'
        list push 'persist-key'
        list push 'persist-tun'
#       list push 'redirect-gateway def1'
        # allow your clients to access to your network
        list push 'route 192.168.3.0 255.255.255.0'
        list push 'route 192.168.4.0 255.255.255.0'
        list push 'route 192.168.22.0 255.255.255.0'
        option client_config_dir /etc/openvpn/ccd
        # push DNS to your clients
#       list push 'dhcp-option DNS 192.168.3.1'
#       option comp_lzo 'no'

        # of 0.0.0.0/0.0.0.0.
#       list push "redirect-gateway"

10 Odpowiedź przez xury (edytowany przez xury 2017-09-13 12:05:06)

  • xury
  • xury
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2010-05-19
  • Posty: 391

Odp: Dostęp do sieci za klientem OpenVPN

Ok doszedłem. Mam teraz sieć taką jaką chciałem:
Czyli dostęp do sieci lan za routerem, który jest serwerem VPN
Dostęp do sieci lan za routerem, który jest klientem1 VPN
Dostęp do sieci lan za routerem, który jest klientem2 VPN
Wszystkie klienci VPN i serwery VPN się nawzajem widzą.
Również dostęp z pojedynczego klienta (np z laptopa gdzieś wpiętego do jakiejkolwiek sieci z zainstalowanym oprogramowaniem OpenVPN)
Pozostały ruch, który nie dotyczy VPN jest kierowany przez WAN.

Rada dla wszystkich, którym udało się zestawić tunel, ale nie mają np. pingów do lanu, za klientem czy serwerem, a które nie jest opisane w większości poradników: trzeba ustawić odpowiednio firewalle na wszystkich klientach i serwerach
W większości toutoriali (nawet i tu) nie jest napisane, że by dostać się za router to trzeba dać frowarding z vpn na lan
np. tak:

config zone
        option name 'vpn'
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option masq '1'
        option mtu_fix '1'
        list network 'providervpn'

config forwarding
        option src 'lan'
        option dest 'vpn'

config forwarding
        option src 'vpn'
        option dest 'lan'
config rule
        option target 'ACCEPT'
        option src 'wan'
        option proto 'udp'
        option dest_port '1194'
        option name 'VPN'

Jeśli również chcemy pingować samego klienta po jego lokalnym IP to dajemy zamiast

option input 'REJECT'

zmieniamy na:

option input 'ACCEPT'

Acha ważne są też ustawienia samej konfiguracji openvpn na serwerze:
takie jak:

        option topology 'subnet'
        option client_to_client '1'
        list push 'persist-key'
        list push 'persist-tun'
        option client_config_dir /etc/openvpn/ccd
        # allow your clients to access to your network
        list push 'route 192.168.3.0 255.255.255.0'
        list push 'route 192.168.4.0 255.255.255.0'
        list push 'route 192.168.22.0 255.255.255.0'
        list route '192.168.22.0 255.255.255.0'
        list route '192.168.4.0 255.255.255.0'

Oraz prawidłowa zawartość pliku o nazwie klienta w katalogu /etc/openvpn/ccd, który ma być na serwrze
a zawiera np.:

iroute 192.168.22.0 255.255.255.0

Czyli ma to być sieć lan klient i maska
To na razie tyle.

11 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 106,391

Odp: Dostęp do sieci za klientem OpenVPN

Zobacz mój post 4, kliknij tam i zobacz że jest napisane o potrzebie dodania do firewallu " frowardingu z vpn na lan"

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

12 Odpowiedź przez xury

  • xury
  • xury
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2010-05-19
  • Posty: 391

Odp: Dostęp do sieci za klientem OpenVPN

Zgadza się Cezary tylko, że Ty opisałeś dostęp do pojedynczego urządzenia klienckiego. Na dodatek robionego regułami iptables.
A nie napisałeś, że jeśli chcemy mieć dostęp do całego LANu za klientem to również robimy forwarding podobnie jak na serwerze.
W każdym bądź razie największe zamieszanie robi opis konfiguracji klienta na stronie lede-project.org

13 Odpowiedź przez gutekhkey (edytowany przez gutekhkey 2018-11-25 12:55:12)

  • Zarejestrowany: 2017-06-28
  • Posty: 22

Odp: Dostęp do sieci za klientem OpenVPN

Witam.
Trochę stary ten temat, ale właśnie w tej dziedzinie potrzebuję pomocy.
Otóż chcę zrobić to samo, czyli podłączyć się jednym klientem (mój laptop, klient B) z sieci publicznej (telefon z androidem jako hotspot) do drugiego klienta A (router w moim mieszkaniu). A dokładniej chcę się dostać do sieci lokalnej za klientem OpenVPN.
Moja sieć wygląda następująco:
Serwerem OpenVPN jest TL-WR1043ND, który stoi za routerem głównym (TL-R480T+) a więc jest on w sieci LAN, nie jest WAN'em.
Klientem A jest TL-WR842N, który stoi za routerem TL-MR6400, także jest on w LAN, WAN'em jest MR.
WAŻNE (w/g mnie): DHCP jest z 842n, a nie z MR'a, lecz w ustawieniach gargoyle, bramą domyślną jest właśnie MR.
Po ustawieniu wszystkiego w gargoyle, mogę pingować: klient B -> klient A, oraz mam dostęp do całej sieci LAN za serwerem OpenVPN (ustawiłem sobie na TL-R480T+ static routing 10.8.0.0 255.255.255.0 10.10.10.3 <-adres mojego 1043nd).

Korzystałem z opisu http://eko.one.pl/?p=openwrt-openvpntun -> Dostęp do sieci LAN klienta.
Jednak nie ustawiałem konfiguracji OpenVPN ręcznie, tylko przez GUI Gargoyle, więc te wpisy w konfigach się trochę różnią.
Prosiłbym o pomoc, wskazanie, co muszę zrobić, aby dostać się do sieci LAN za klientem A.
Czytałem coś, że trzeba zrobić forwarding vpn -> lan na firewallu klienta, jednak jak porównuję konfigurację z wpisami na stronie, to analogicznie wydaje się być wszystko w porządku.

Jeśli potrzeba listing jakiegoś pliku z konfiguracji klienta/serwera OpenVPN, to proszę pisać, zamieszczę go tutaj.

P.S.
Jak dodałem trasę statyczną do MR6400: 10.8.0.0 255.255.255.0 10.10.9.2 <- adres mojego 842n,
to mogę dodatkowo pingować właśnie ten router, czyli 10.10.9.1. Jednak strony web'owej routera już nie otworzę.
Bez tego wpisu, mogę jedynie pingować 842n, poprzez ping 10.8.0.2 lub przez ping 10.10.9.2.
Czyli gdzieś dzwoni ale nie w tym kościele? Dobrze dedukuję?
Gdzie musiałbym wstawić static routing lub co innego zrobić, aby zrealizować moje założenie?