Nie jesteś zalogowany. Proszę się zalogować lub zarejestrować.
eko.one.pl → Posty przez toyman19
Strony 1
Tak po prostu nie masz połączenia jednego z drugim skoro nie mogą się dogadać... Sprawdź ten firewall jeszcze raz.
Ok, miałem jeszcze jakieś openvpnowe forwardy i inne cuda na dole firewall configu na serwerze. Wszystko działa. Jeszcze raz serdecznie dziękuję!
Jak by był dodany to byś nie miał oddzielnego interfejsu z taką samą klasą adresową
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br-lan
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 tap0
Głupia sprawa, restart routera załatwiłby sprawę, ale nie chciałem go już tak 'inwazyjnie' ruszać. Restartnąłem network i
64 bytes from 192.168.1.48: seq=4 ttl=64 time=2090.017 ms
64 bytes from 192.168.1.48: seq=5 ttl=64 time=1090.679 ms
64 bytes from 192.168.1.48: seq=6 ttl=64 time=91.429 ms
64 bytes from 192.168.1.48: seq=7 ttl=64 time=63.402 ms
działa :-)
Dzięki Cezary! Zostawić to promiscous czy wywalić?
Bardzo prosiłbym o pomoc z jeszcze jednym problemem z którym się borykam:
Thu Jun 4 22:52:10 2020 daemon.err openvpn(myvpn)[4110]: 185.234.242.19:47727 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Thu Jun 4 22:52:10 2020 daemon.err openvpn(myvpn)[4110]: 185.234.242.19:47727 TLS Error: TLS handshake failed
To logi ze strony serwera.
Żeby połączenie się spieło muszę na chwile sciągnąć FW i dopiero wtedy przechodzi, stawiam potem znowu firewalla i jest ok, jako że TLS był juz zestawiony to sobie rozmawiają (testowałem ok 24h i wszystko stabilnie). Po stronie klienta error wyglądał podobnie. Zrobiłem verb 7 na serwerze, 9 na kliencie i dalej nic sie nie dowiedziałem konstruktywnego, w sumie oba urzadzenia u siebie wypisywaly jakie sa ich ustawienia i jakich ustawien oczekuja po drugiej stronie (mtu, cipher etc, jedyna roznica była w cert-type server vs client). Ustawienia te się pokrywają, ale coś im ciężko się negocjuje. Potem troche UDP read i to na tyle.
Skoro się spina to niby ustawienia TLS są ok, ale trochę głupieje bo 1194 niby otwarty... tcpdump?
Czemu po prostu nie dodałeś tap0 do bridge br-lan?
jest dodany :-)
config interface 'lan'
option type 'bridge'
option ifname 'eth1.1 tap0'
option proto 'static'
option ipaddr '192.168.1.1'
option netmask '255.255.255.0'
option ip6assign '60'config interface 'lan'
option type 'bridge'
option proto 'static'
option netmask '255.255.255.0'
option ip6assign '60'
option ifname 'eth0.1 tap0'
option macaddr 'e8:94:f6:c6:97:48'
option gateway '192.168.100.1'
list dns '192.168.100.1'
option ipaddr '192.168.1.100'Witam,
odkopuje ponieważ mam pytanie odnośnie bardzo podobnej konfiguracji.
CEL:
Ethernet bridge pomiedzy dwoma routerami openwrt w dwoch roznych lokalizacjach.
DHCP jest rozdawane lokalnie, w różnych zakresach sieci 192.168.1.0/24 . Wycinam DHCP przez firewall.user
OpenVPN ma ustawione bridge na jeszcze inną pulę IP też w 192.168.1.0/24
Lokalizacja z serwerem ma publiczny IP.
Ostatnia zmiana jaką zrobiłem to przestawienie lokalnych eth1.1 (na serwerze) i eth 0.1 (na kliencie) oraz tap0 na promiscious, nie pomogło. Teraz jak myślę, mógłbym jeszcze wlany ustawic na promisc bo w sumie urządzenia z których chcę się dostać i urządzenia na które chce się dostać sa połączone przez wifi.
STATUS:
OpenVPN się spina, i mogę pingować i dostawać się bezpośrednio z PC podłączonego do serwera na router klienta, natomiast nie mogę się dostać z tego samego PC do urządzeń za klientem (podobnie w drugą stronę).
KONFIGURACJA SERWERA:
ifconfig
br-lan Link encap:Ethernet HWaddr 08:02:8E:A6:94:9F
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fdfe:23e0:4bb1::1/60 Scope:Global
inet6 addr: fe80::a02:8eff:fea6:949f/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:5226996 errors:0 dropped:116 overruns:0 frame:0
TX packets:3972214 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:489813500 (467.1 MiB) TX bytes:14612758958 (13.6 GiB)
eth1.1 Link encap:Ethernet HWaddr 08:02:8E:A6:94:9F
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:4350744 errors:0 dropped:0 overruns:0 frame:0
TX packets:9507458 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:317044516 (302.3 MiB) TX bytes:13720649867 (12.7 GiB)
tap0 Link encap:Ethernet HWaddr 4A:F9:4A:57:60:1F
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:55854 errors:0 dropped:0 overruns:0 frame:0
TX packets:399763 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:21484349 (20.4 MiB) TX bytes:129772779 (123.7 MiB)OpenVPN na serwerze:
option enabled '1'
# option tls_server '1'
option cipher 'AES-256-CBC'
option auth 'SHA256'
option tls-auth '/etc/config/ta.key 0'
option port '1194'
option proto 'udp'
option dev_type 'tap'
option dev 'tap0'
option tun_mtu '1500'
option comp_lzo 'yes'
option server_bridge '192.168.1.1 255.255.255.0 192.168.1.220 192.168.1.229'
option client_to_client '1'
option keepalive '10 120'
option persist_key '1'
option persist_tun '1'
option verb '3'
option mute '20'
option enabled '1'
option ca '/etc/easy-rsa/pki/ca.crt'
option dh '/etc/easy-rsa/pki/dh.pem'
option cert '/etc/easy-rsa/pki/issued/serwer.crt'
option key '/etc/easy-rsa/pki/private/serwer.key'
option status '/tmp/openvpn-status.log'
option remote-cert-tls 'client'Firewall na serwerze:
config rule
option name 'openvpn-udp'
option src 'wan'
option proto 'udp'
option dest_port '1194'
option family 'ipv4'
option target 'ACCEPT'Firewall.user na serwerze:
iptables -I OUTPUT -o tap+ -j ACCEPT
iptables -I INPUT -i tap+ -j ACCEPT
iptables -I FORWARD -o tap+ -j ACCEPT
iptables -I FORWARD -i tap+ -j ACCEPT
ebtables -F
ebtables -I FORWARD -i tap0 -p IPv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -I FORWARD -o tap0 -p IPv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -I INPUT -i tap0 -p IPv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -I OUTPUT -o tap0 -p IPv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
iptables -A INPUT -i tap0 -j ACCEPT
iptables -A INPUT -i br-lan -j ACCEPT
iptables -A FORWARD -i br-lan -j ACCEPTRoute -n na serwerze:
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 130.255.158.1 0.0.0.0 UG 0 0 0 eth0.2
130.255.158.0 0.0.0.0 255.255.255.192 U 0 0 0 eth0.2
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br-lanIfconfig na kliencie:
tap0 Link encap:Ethernet HWaddr 7E:2C:55:8D:F1:AD
inet addr:192.168.1.220 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:399122 errors:0 dropped:0 overruns:0 frame:0
TX packets:56387 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:129612903 (123.6 MiB) TX bytes:21817194 (20.8 MiB)
eth0.1 Link encap:Ethernet HWaddr E8:94:F6:C6:97:48
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:402547 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:130150757 (124.1 MiB)
br-lan Link encap:Ethernet HWaddr E8:94:F6:C6:97:48
inet addr:192.168.1.100 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fd20:be60:59a9::1/60 Scope:Global
inet6 addr: fe80::ea94:f6ff:fec6:9748/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:545338 errors:0 dropped:0 overruns:0 frame:0
TX packets:210313 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:150504979 (143.5 MiB) TX bytes:197282481 (188.1 MiB)OpenVPN na kliencie:
config openvpn 'sample_client'
option remote '130.255.158.15 1194'
option client '1'
option proto 'udp'
option resolv_retry 'infinite'
option nobind '1'
option comp_lzo 'yes'
option tun_mtu '1500'
option persist_key '1'
option persist_tun '1'
option user 'nobody'
option ca '/etc/openvpn/ca.crt'
option verb '3'
option enabled '1'
option dev 'tap0'
option dev_type 'tap'
option cert '/etc/openvpn/wier.crt'
option key '/etc/openvpn/wier.key'
option keepalive '10 120'
option tls-auth '/etc/openvpn/ta.key 1'
option remote-cert-tls 'server'
option cipher 'AES-256-CBC'
option auth 'SHA256'Firewall na kliencie jest czysty jeśli chodzi o openvpn
Firewall.user na kliencie:
iptables -A INPUT -i tap0 -j ACCEPT
iptables -A INPUT -i br-lan -j ACCEPT
iptables -A FORWARD -i br-lan -j ACCEPT
ebtables -F
ebtables -I FORWARD -i tap0 -p IPv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -I FORWARD -o tap0 -p IPv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -I INPUT -i tap0 -p IPv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -I OUTPUT -o tap0 -p IPv4 --ip-protocol udp --ip-destination-port 67:68 -j DROPRoute -n na kliencie:
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.100.1 0.0.0.0 UG 0 0 0 eth0.2
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br-lan
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 tap0
192.168.100.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0.2Czego tu może brakować? I czy konfig wygląda schludnie, czy może coś do wywalenia?
Strony 1
eko.one.pl → Posty przez toyman19
Forum oparte o PunBB, wspierane przez Informer Technologies, Inc