Na serwerze używasz tls-auth, a w konfigu klienta nie masz tej opcji
https://community.openvpn.net/openvpn/wiki/Hardening#Useof--tls-authNie jesteś zalogowany. Proszę się zalogować lub zarejestrować.
eko.one.pl → Posty przez khain
Na serwerze używasz tls-auth, a w konfigu klienta nie masz tej opcji
https://community.openvpn.net/openvpn/wiki/Hardening#Useof--tls-authSprawdź czy wszystkie wpisy są prawidłowe, nie ma jakiejś literówki w plikach /etc/config (wielkośc liter ma znaczenie) czy zrestartowałeś wszystkie usługi po wprowadzeniu zmian (network, firewall, openvpn).
Routing jest ok, więc nie ma forwardingu vpn->lan. Jak wyłączysz firewall to reguły ACCEPT nie będą działać - iptables nie działa tak jak Windows Firewall. Testuj tylko na włączonym firewallu.
Wydajność zależy od tego na czym stoi openvpn serwer i jaki algorytm szyfrowania używasz. Download klienta jest ograniczony uploadem serwera. U mnie download na LTE spadł z 14,5Mbps na 4Mbps po połączeniu przez openvpn (serwer openvpn na WDR3600, AES-256-CBC, upload na łączu serwera 10Mbps).
@Bartekk W twoim konfigu serwera masz przekierowanie bramy domyślniej
push "redirect-gateway def1 bypass-dhcp"i nic więcej, serwer nie wysyła tras do podsieci (za klientem czy też serwerem vpn), więc ustawiasz route-nopull na tym kliencie, który nie ma mieć Internetu przez vpsa i koniec.
1. Tak
2. Jeśli serwer wysyła trasy routingu do wszystkich podsieci (za serwerem i za innymi klientami) to nie.
3. Patrz w logi tego klienta. Dostał on adres IP wewnątrz tunelu oraz trasy routing? Nie rozłącza go cyklicznie (ping-restart)? W logach na pewno znajdziesz odpowiedź.
4. Tak routing masz poprawny.
5. Pamietaj, że gdy usuniesz opcję client-to-client przy topology subnet toklienci i tak będą się widzieć.
Sprawdź tablicę routingu, czy klient nie distaje ping-restart, ustawienia comp-lzo na serwerze i kliencie
To trzeba było założyć pliki ccd. Skoro ci nie dzialalo to widocznie źle coś skonfigurowałeś. Ja net30 nie używam, więc nie pomogę.
Brak forwardingu vpn<->lan oraz vpn->wan. Dla pewności sprawdź czy tablica routingu jest wypełniona prawidłowo.
To wystarczy użyć opcji route w konfigu klienta, który ma się dostać do rejestratora oraz zrobić forwarding na vpn->lan na kliencie-routerze.
Jeśli chcecie odrzucić przekierowanie bramy domyślej przez tunel vpn to należy dodać
route-nopulldo konfigu tego klienta oraz wszystkie trasy, które narzuca serwer vpn (czyli do konfigu klienta dodać route z opcjami takimi jakie ma konfig serwera przy push route).
1. Przy topology net30 chyba trzeba było zrobić na odwrót.
2. Czy plik w katalogu ccd ma taką samą nazwę jak Common Name klienta?
3. Nie sprawdzasz tablicy routingu na serwerze i kliencie, więc nie wiadomo czy routing jest poprawny czy nie.
4. Tu masz konfig serwera w topology subnet (ty używasz topology net30, która jest przestarzała i trudniejsza do zrozumienia).
mode server
port 1194
proto udp
tls-server
ifconfig 10.8.0.1 255.255.255.0
topology subnet
client-config-dir /etc/openvpn/ccd
cipher AES-256-CBC
dev tun0
keepalive 25 180
status /tmp/openvpn.status
verb 3
dh /etc/openvpn/dh2048.pem
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
tls-auth /etc/openvpn/ta.key 0
persist-key
persist-tun
comp-lzo
push "topology subnet"
push "route-gateway 10.8.0.1" //potrzebne jeśli klienci mają mieć puliczny adres IP serwer openvpn
push "redirect-gateway def1" //potrzebne jeśli klienci mają mieć puliczny adres IP serwer openvpn
route 172.16.1.0 255.255.255.0 10.8.0.2
push "route 192.168.1.0 255.255.255.0 10.8.0.1"5. Plik ccd dla klienta, który posiada podsieć 172.16.1.0:
ifconfig-push 10.8.0.2 255.255.255.0
iroute 172.16.1.0 255.255.255.06.Opcje, które muszą być w konfigu klienta, który posiada podsieć 172.16.1.0:
route-nopull
route 192.168.1.0 255.255.255.0 10.8.0.17. 172.16.1.0/24 - podsieć za klientem
192.168.1.0/24 - podsieć za serwerem
10.8.0.0/24 - podsieć tunelu openvpn
Sprawdź tablice routingu na serwerze i kliencie. Z ustawieniami, z twojego posta nie będzie działać, bo klient ma dwie trasy do tej samej podsieci w tym jedna nieprawidłowa. Nie używaj twóch opcji razem w konfigu serwera
server 10.19.92.0 255.255.255.0
ifconfig 10.19.92.1 255.255.255.0Opcja --server ustawi adres IP serwera w tunelu na .1 - powielasz to samo za pomocą ifconfig. Dodatkowo jeśli chcesz zrobić cały konfig na serwerze za pomocą push i potem dodawać tylko klientów to aktualny klient-serwer musi mieć route-nopull (żeby odrzucić trasę do podsieci 10.20.92.0 narzuconą przez serwer),a niezbędny routing dopisać z ręki do konfigu tego klienta - ale to zostaw na koniec.
route 10.20.92.0 255.255.255.0To musi zostać, żeby serwer wiedział, że ta podsieć jest za klientem. Kolejni klienci powinni też mieć ten wpis, jeśli chcą się dostać do tej podsieci.
Masz źle routing zrobiony. Klient ma podsieć 10.20.92.0/24 za sobą, a serwer wysyła info, że ta podsieć jest za serwerem (push route). Nie wysyłaj również routingu do podsieci tunelu - ta jest "directly connected" dla serwera i klienta.
Na końcówce czyli na urządzeniu końcowym - w tym przypadku na laptopie/komputerze/tablecie, który łączy się po wifi do Access Pointa komórki.
Serwer nie ma routingu do podsieci za komórką + nie ma forwardingu pomiędzy WWANem a LANem komórki. To pierwsze łatwo rozwiązać - drugiego problemu nie rozwiązywałem na Androidzie. Odpal klienta openvpn bezpośrednio na końcówce a nie na telefonie to nie będziesz miał tego problemu.
Jakiegokolwiek pakietu czy kmod-ebtables?
Bug w kmod-ebtables został naprawiony w trunku. https://bugs.lede-project.org/index.php … ask_id=433
Zainstaluj najnowszą wersję Lede, jeśli chcesz używać ebtables.
Musisz mieć ustawione keepalive na serwerze i zwiększaj wartość, aż w logu przestanie pojawiać się
Inactivity timeout (--ping-restart)Musisz mieć zablokowany ruch DHCP pomiędzy podsieciami - inaczej będzie adres IP będzie przydzielony losowo w zaleźności, który serwer DHCP odpowie szybciej.
1. Dostajesz ping-restart, dodaj opcję
keepalive 25 180Jeśli już taką masz to zwiększ te wartości.
2. Na drugim routerze masz wyłączony serwer DHCP? Jeśli nie potrzebujesz broadcasta pomiędzy sieciami to zastosuj tun zamiast tap.
Czy sieć zabezpieczona freeradiusem + klient też są podatni na ten atak? W artykule jest mowa o WPA2...
Odinstalowałem nano i mc, potem zainstalowałem mc i pliki edytują się w vi. Dzięki za porady.
Niestety nadal jest nano, a po wywaleniu nano w mc nie można edytować plików.
root@router:~# echo $VISUAL
root@router:~# export VISUAL=vi
root@router:~# echo $VISUAL
viW /root/.mc jest pusto, konfig mc siedzi w /root/.config/mc/ini ale tam nie widzę nic co powiązane jest z edytorem (oprócz use_internal_editor, ale mcedit nie jest wkompilowane)
root@router:~# echo $EDITOR
root@router:~# export EDITOR=vi
root@router:~# echo $EDITOR
viNiestety nadal odpala się nano w mc.
eko.one.pl → Posty przez khain
Forum oparte o PunBB, wspierane przez Informer Technologies, Inc