Nie jesteś zalogowany. Proszę się zalogować lub zarejestrować.
eko.one.pl → Posty przez artur5236
Dziękuję za przeanalizowanie moich logów. Chciałem tylko poinformować, że konfig był pełny i nieokrojony. Po prostu trasę do 192.168.5.0 dodałem po napisaniu tego posta i już po nawiązaniu połączenia z serwerem tzw. dopiero wtedy zauważyłem, że nie mam potrzebnej dla mnie trasy i ją dodałem.
Dziękuje Wam za pomoc 
Czytam, czytam wiem, że używam certyfikatów. Ok, czyli mogę to olać.
Trzeba było więc zrobić też konfigurację serwera identycznie jak robi gargoyle.
No tak, myślenie z rana nie boli
Teraz wszystko pięknie działa tylko mam jedno ostrzeżenie:
WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent thisRozumiem, że mogę w konfiguracji klienta dopisać: auth-nocache option i będzie ok?
Nic się nie wzorowałeś. U mnie w poradniku w ogóle nawet słowa nie ma o tls-auth.
Przyznam się, że jeśli chodzi o config klienta wzorowałem się również na moim starym konfigu wygenerowanym kiedyś przez Gargoyle i tam było akurat tls-auth. Przepraszam za wprowadzenie zamieszania
Obecnie mam tak:
Client:
client
remote mojip 5236
dev tun0
proto udp
verb 3
ca ca.crt
cert client2.crt
key client2.key
remote-cert-tls serverA logi pokazują tak:
Wed Feb 14 06:50:01 2018 OpenVPN 2.4.4 mipsel-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD]
Wed Feb 14 06:50:01 2018 library versions: OpenSSL 1.0.2n 7 Dec 2017, LZO 2.10
Wed Feb 14 06:50:01 2018 WARNING: --keepalive option is missing from server config
Wed Feb 14 06:50:01 2018 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x. Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
Wed Feb 14 06:50:01 2018 Diffie-Hellman initialized with 2048 bit key
Wed Feb 14 06:50:01 2018 TUN/TAP device tun0 opened
Wed Feb 14 06:50:01 2018 TUN/TAP TX queue length set to 100
Wed Feb 14 06:50:01 2018 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Wed Feb 14 06:50:01 2018 /sbin/ifconfig tun0 10.8.0.1 pointopoint 10.8.0.2 mtu 1500
Wed Feb 14 06:50:01 2018 /sbin/route add -net 10.8.0.0 netmask 255.255.255.0 gw 10.8.0.2
Wed Feb 14 06:50:01 2018 Could not determine IPv4/IPv6 protocol. Using AF_INET
Wed Feb 14 06:50:01 2018 Socket Buffers: R=[163840->163840] S=[163840->163840]
Wed Feb 14 06:50:01 2018 UDPv4 link local (bound): [AF_INET][undef]:5236
Wed Feb 14 06:50:01 2018 UDPv4 link remote: [AF_UNSPEC]
Wed Feb 14 06:50:01 2018 MULTI: multi_init called, r=256 v=256
Wed Feb 14 06:50:01 2018 IFCONFIG POOL: base=10.8.0.4 size=62, ipv6=0
Wed Feb 14 06:50:01 2018 Initialization Sequence Completed
Wed Feb 14 06:50:13 2018 31.0.87.218:8038 TLS: Initial packet from [AF_INET]31.0.87.218:8038, sid=0061cfef f8c83be3
Wed Feb 14 06:50:14 2018 31.0.87.218:8038 VERIFY OK: depth=1, C=PL, ST=Masovian, L=Warsaw, O=Home, OU=Home, CN=Home CA, name=Serwer, emailAddress=artur.5236@gmail.com
Wed Feb 14 06:50:14 2018 31.0.87.218:8038 VERIFY OK: depth=0, C=PL, ST=Masovian, L=Warsaw, O=Home, OU=Home, CN=client2, name=Serwer, emailAddress=artur.5236@gmail.com
Wed Feb 14 06:50:14 2018 31.0.87.218:8038 peer info: IV_VER=2.4.4
Wed Feb 14 06:50:14 2018 31.0.87.218:8038 peer info: IV_PLAT=win
Wed Feb 14 06:50:14 2018 31.0.87.218:8038 peer info: IV_PROTO=2
Wed Feb 14 06:50:14 2018 31.0.87.218:8038 peer info: IV_NCP=2
Wed Feb 14 06:50:14 2018 31.0.87.218:8038 peer info: IV_LZ4=1
Wed Feb 14 06:50:14 2018 31.0.87.218:8038 peer info: IV_LZ4v2=1
Wed Feb 14 06:50:14 2018 31.0.87.218:8038 peer info: IV_LZO=1
Wed Feb 14 06:50:14 2018 31.0.87.218:8038 peer info: IV_COMP_STUB=1
Wed Feb 14 06:50:14 2018 31.0.87.218:8038 peer info: IV_COMP_STUBv2=1
Wed Feb 14 06:50:14 2018 31.0.87.218:8038 peer info: IV_TCPNL=1
Wed Feb 14 06:50:14 2018 31.0.87.218:8038 peer info: IV_GUI_VER=OpenVPN_GUI_11
Wed Feb 14 06:50:14 2018 31.0.87.218:8038 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Wed Feb 14 06:50:14 2018 31.0.87.218:8038 [client2] Peer Connection Initiated with [AF_INET]31.0.87.218:8038
Wed Feb 14 06:50:14 2018 client2/31.0.87.218:8038 MULTI_sva: pool returned IPv4=10.8.0.6, IPv6=(Not enabled)
Wed Feb 14 06:50:14 2018 client2/31.0.87.218:8038 MULTI: Learn: 10.8.0.6 -> client2/31.0.87.218:8038
Wed Feb 14 06:50:14 2018 client2/31.0.87.218:8038 MULTI: primary virtual IP for client2/31.0.87.218:8038: 10.8.0.6
Wed Feb 14 06:50:15 2018 client2/31.0.87.218:8038 PUSH: Received control message: 'PUSH_REQUEST'
Wed Feb 14 06:50:15 2018 client2/31.0.87.218:8038 SENT CONTROL [client2]: 'PUSH_REPLY,route 192.168.5.0 255.255.255.0,route 10.8.0.1,topology net30,ifconfig 10.8.0.6 10.8.0.5,peer-id 0,cipher AES-256-GCM' (status=1)
Wed Feb 14 06:50:15 2018 client2/31.0.87.218:8038 Data Channel: using negotiated cipher 'AES-256-GCM'
Wed Feb 14 06:50:15 2018 client2/31.0.87.218:8038 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Wed Feb 14 06:50:15 2018 client2/31.0.87.218:8038 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit keyI połączenie jest nawiązane
Nie mam Wzorowałem się na tym: https://eko.one.pl/?p=openwrt-openvpntun
Wywaliłem więc z konfiguracji klienta wiersz: tls-auth ta.key i działa
Tylko zastanawiam się czy jest to bezpieczne?
W poradniku Cezarego jest info aby dodać coś takiego: remote-cert-tls server
Ostatecznie certyfikaty wygenerowałem na komputerze następnie przerzuciłem do odpowiednich miejsc na routerze.
Jednak nie udało się nawiązać połączenia między routerem(serwer) a moim Windows 10(klient).
Poniżej załączam konfigurację:
/etc/openvpn/
ca.crt dh2048.pem serwer.crt serwer.csr serwer.key
/etc/config/network
config interface 'vpn'
option ifname 'tun0'
option proto 'none'/etc/config/firewall
config zone
option name 'vpn'
option input 'ACCEPT'
option forward 'ACCEPT'
option output 'ACCEPT'
option network 'vpn'
config forwarding
option src 'vpn'
option dest 'wan'
config rule
option name 'OpenVPN'
option target 'ACCEPT'
option src 'wan'
option proto 'udp'
option dest_port '5236'/etc/config/openvpn
config openvpn 'home'
option enabled '1'
option dev 'tun0'
option port '5236'
option proto 'udp'
option log '/tmp/openvpn.log'
option verb '3'
option ca '/etc/openvpn/ca.crt'
option cert '/etc/openvpn/serwer.crt'
option key '/etc/openvpn/serwer.key'
option server '10.8.0.0 255.255.255.0'
option dh '/etc/openvpn/dh2048.pem'Klient (Windows 10)
client2.ovpn
client
remote mojip 5236
dev tun0
proto udp
verb 3
ca ca.crt
cert client2.crt
key client2.key
tls-auth ta.keyW tej samej lokalizacji mam pliki: ca.crt, client2.crt, client2.key, ta.key
Teraz co pokazują logi:
Serwer:
Wed Feb 14 06:22:55 2018 OpenVPN 2.4.4 mipsel-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD]
Wed Feb 14 06:22:55 2018 library versions: OpenSSL 1.0.2n 7 Dec 2017, LZO 2.10
Wed Feb 14 06:22:55 2018 WARNING: --keepalive option is missing from server config
Wed Feb 14 06:22:55 2018 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x. Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
Wed Feb 14 06:22:55 2018 Diffie-Hellman initialized with 2048 bit key
Wed Feb 14 06:22:55 2018 TUN/TAP device tun0 opened
Wed Feb 14 06:22:55 2018 TUN/TAP TX queue length set to 100
Wed Feb 14 06:22:55 2018 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Wed Feb 14 06:22:55 2018 /sbin/ifconfig tun0 10.8.0.1 pointopoint 10.8.0.2 mtu 1500
Wed Feb 14 06:22:55 2018 /sbin/route add -net 10.8.0.0 netmask 255.255.255.0 gw 10.8.0.2
Wed Feb 14 06:22:55 2018 Could not determine IPv4/IPv6 protocol. Using AF_INET
Wed Feb 14 06:22:55 2018 Socket Buffers: R=[163840->163840] S=[163840->163840]
Wed Feb 14 06:22:55 2018 UDPv4 link local (bound): [AF_INET][undef]:5236
Wed Feb 14 06:22:55 2018 UDPv4 link remote: [AF_UNSPEC]
Wed Feb 14 06:22:55 2018 MULTI: multi_init called, r=256 v=256
Wed Feb 14 06:22:55 2018 IFCONFIG POOL: base=10.8.0.4 size=62, ipv6=0
Wed Feb 14 06:22:55 2018 Initialization Sequence Completed
Wed Feb 14 06:26:26 2018 31.0.87.218:7994 TLS: Initial packet from [AF_INET]31.0.87.218:7994, sid=59bb6d80 af3ddc23
Wed Feb 14 06:26:26 2018 31.0.87.218:7994 TLS Error: reading acknowledgement record from packet
Wed Feb 14 06:26:27 2018 31.0.87.218:7994 TLS Error: reading acknowledgement record from packet
Wed Feb 14 06:26:31 2018 31.0.87.218:7994 TLS Error: reading acknowledgement record from packet
Wed Feb 14 06:26:40 2018 31.0.87.218:7994 TLS Error: reading acknowledgement record from packet
Wed Feb 14 06:26:56 2018 31.0.87.218:7994 TLS Error: reading acknowledgement record from packet
Wed Feb 14 06:27:26 2018 31.0.87.218:7994 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Feb 14 06:27:26 2018 31.0.87.218:7994 TLS Error: TLS handshake failed
Wed Feb 14 06:27:26 2018 31.0.87.218:7994 SIGUSR1[soft,tls-error] received, client-instance restarting
Wed Feb 14 06:27:31 2018 31.0.87.218:7994 TLS: Initial packet from [AF_INET]31.0.87.218:7994, sid=a6ab9768 2317ec50
Wed Feb 14 06:27:31 2018 31.0.87.218:7994 TLS Error: reading acknowledgement record from packet
Wed Feb 14 06:27:33 2018 31.0.87.218:7994 TLS Error: reading acknowledgement record from packet
Wed Feb 14 06:27:37 2018 31.0.87.218:7994 TLS Error: reading acknowledgement record from packet
Wed Feb 14 06:27:45 2018 31.0.87.218:7994 TLS Error: reading acknowledgement record from packet
Wed Feb 14 06:28:01 2018 31.0.87.218:7994 TLS Error: reading acknowledgement record from packet
Wed Feb 14 06:28:31 2018 31.0.87.218:7994 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Feb 14 06:28:31 2018 31.0.87.218:7994 TLS Error: TLS handshake failed
Wed Feb 14 06:28:31 2018 31.0.87.218:7994 SIGUSR1[soft,tls-error] received, client-instance restartingNa kliencie mam: TLS Error: cannot locate HMAC in incoming packet from mojip 5236
Będę wdzięczny za wszelkie podpowiedzi
Domyślam się, dzięki
Mam jeszcze pytanie, czy te certyfikaty muszę koniecznie wygenerować na routerze? Mogę zrobić to np. na maszynie z linuxem i później przesłać na router gotowe pliki? Obecnie wygląda na to, że Xiaomi Router 3G zawiesza się na generowaniu certów.
Dzięki już ruszyło, wystarczy przejść do katalogu /etc/easy-rsa i wtedy wklepać polecenie.
Niestety podczas wykonywania easyrsa gen-dh, router rozłączył sesje ssh.
Dzięki po raz kolejny.
Pewnie tak, bo chyba nie ma wersji stabilnej ?
Mam taką wersję: Powered by LuCI Master (git-18.039.58622-76f9f5e) / OpenWrt SNAPSHOT r6022-175538f
Cześć,
Dzisiaj z kolei zabrałem się za konfigurację serwera OpenVPN. Na początku próbowałem coś zdziałać na LUCI, jednak porzuciłem ten pomysł i postanowiłem rozpocząć standardowo konfigurację przez ssh.
Znalazłem ten poradnik - https://eko.one.pl/?p=openwrt-openvpntun
I mam dziwny problem ponieważ nie znajduje mi polecenia build-ca. Możecie polecić jakiś inny aktualny poradnik jak skonfigurować OpenVPN na LEDE?
Dodałem wpis do local.conf i działa
Wielkie dzięki
Na Windows (klient) mam błąd: A connection to the remote computer could not be established, so the port used for this connection was closed. Na synology niestety w logach nic nie widać.
Może powinien zmienić chmod pliku 99-pptp?
Obecnie mam 644.
EDIT: Zmieniłem na 777 ale nie pomogło.
Jest tylko przekierowanie ale nadal nie działa. A jaki powinien być chmod dla pliku 99-pptp? Może tu jest problem...
Ok więc tak:
paczka
opkg install kmod-nf-nathelper-extra
była już zainstalowana na routerze.
W katalogu /etc/sysctl.d/ miałem tylko plik local.conf więc stworzyłem 99-pptp i dodałem odpowiedni wpis czyli: net.netfilter.nf_conntrack_helper = 1
Niestety nadal nie działa, restart robiłem.
Czy w firewallu powinienem dodać również to? Czy wystarczy przekierowanie portu które wcześniej zrobiłem?
config rule
option src wan
option dest lan
option proto 'tcpudp'
option dest_port 1723
option target ACCEPTPrzepraszam, wydawało mi się to dziwne, że trzeba doinstalowywać paczki aby przekierować ruch
Ale masz jeszcze głupie pytanie, jak sprawdzić czy mam wydanie Barrier Breaker czy Chaos Calmer?
Dzięki Cezary, tylko w moim przypadku serwer pptp jest na synology nie na routerze. Wcześniej jak miałem Gargoyle wszystko działało.
Cześć,
Wczoraj dotarł do mnie nowy router Xiaomi Router 3G i od razu wziąłem się za wgrywanie LEDE+LUCI.
Wcześniej miałem WDR3600 z Gargoyle i na podstawie tego starego TP-LINKA przenoszę konfigurację do LEDE. Zatrzymałem się na przekierowaniu portów, ponieważ w mojej podsieci mam Synology, które wykorzystuje porty 5225,5226 i 1723(serwer PPTP). 5225 i 5226 działają bez problemu, mam dostęp z zewnątrz na tych portach (identycznie jak wcześniej na tp-linku) ale problem jest z 1723 (niestety VPN PPTP się nie zestawia), konfiguracji na Synology nie zmieniałem więc wszystko powinno działać. Wygląda jakbyłby problem właśnie z przekierowaniem.
Tak wygląda etc/config/firewall. Jak wspomniałem porty 5225 i 5226 faktycznie są przekierowane ale 1723 już nie.
config redirect
option target 'DNAT'
option src 'wan'
option dest 'lan'
option src_dport '1723'
option dest_ip '192.168.5.97'
option dest_port '1723'
option name 'pptp'
option proto 'tcp udp'
config redirect
option target 'DNAT'
option src 'wan'
option dest 'lan'
option proto 'tcp'
option src_dport '5225'
option dest_ip '192.168.5.97'
option dest_port '5225'
option name 'synology'
config redirect
option target 'DNAT'
option src 'wan'
option dest 'lan'
option proto 'tcp'
option src_dport '5226'
option dest_ip '192.168.5.97'
option dest_port '5226'
option name 'photostation'to dopisz na końcu
redirect-gateway def1restart klienta openvpn.
EDIT: bo jak robisz zgodnie z UCI to opcje są z "_" a jak przez zewnętrzny plik to "-"
zgodnie z UCI:# cat /etc/config/openvpn
config openvpn 'sample_client'
option enabled '1'
option client '1'
option pull '1'
option dev 'tun0'
option proto 'udp'
option port '1194'
option remote 'x.x.x.x'
option resolv_retry 'infinite'
option nobind '1'
option persist_key '1'
option persist_tun '1'
option ca '/etc/openvpn/ca.crt'
option cert '/etc/openvpn/client.crt'
option key '/etc/openvpn/client.key'
option remote_cert_tls 'server'
option auth_nocache '1'
option tls_auth '/etc/openvpn/ta.key 1'
option cipher 'AES-256-CBC'
option comp_lzo 'yes'
option verb '3'
option log '/tmp/openvpn.log'
option mute '20'
option redirect_gateway 'def1'EDIT: coś czuję że ten klient jest na laptopie z Windows tylko przerzuciłeś sobie konfig z Gargoyle i piszesz w temacie "LEDE OpenVPN"
artur5236 napisał/a:Plik konfiguracyjny klienta poniżej (jest to konfig wygenerowany przez gargoyle).
...
cert lapek.crt
key lapek.key
Super, działa tak jak chciałem. Wielkie dzięki
Dobrze zgadłeś Teraz jest jeszcze Gargoyle, jutro instaluje LEDE gdzie będzie serwer OpenVPN. 1 klient to LEDE a 2 to Windows (i własnie na Windows potrzebowałem wyjścia na świat przez tunel).
Plik konfiguracyjny klienta poniżej (jest to konfig wygenerowany przez gargoyle).
client
remote mojadresip 1194
dev tun
proto udp
status current_status
resolv-retry infinite
ns-cert-type server
topology subnet
verb 3
cipher BF-CBC
keysize 128
ca ca.crt
cert lapek.crt
key lapek.key
tls-auth ta.key 1
nobind
persist-key
persist-tun
comp-lzoNa kliencie nr 1 który ma wychodzić przez tunel na świat wpisałbym w konfigu option redirect_gateway def1 wtedy on sam ustawi sobie domyślną trasę przez tunel.
Dzięki za trafną poradę. Oczywiście chciałbym z niej skorzystać jednak jeśli na kliencie nr1 wpisuję w configu "option redirect_gateway def1" przy połączeniu dostaję komunikat: "Connecting to management interface failed".
Masz pomysł jak to rozwiązać?
Dzięki za informacje, zapoznam się z tym
Cześć,
Mam serwer OpenVPN i 2 klientów. Obecnie serwer ustawiony jest tak aby przekierowywał cały ruch klientów.
Chciałbym ustawić tak aby jeden klient wychodził na świat przez swoje łącze a drugi pozostał tak jak jest (czyli przekierowany cały ruch).
Jest taka możliwość?
Telefon też wyłączasz na noc?
eko.one.pl → Posty przez artur5236
Forum oparte o PunBB, wspierane przez Informer Technologies, Inc