Dzięki za odpowiedź,
odnośnie "współczucia" to czy cały ruch między (przykładowo) dwoma laptopami podpiętymi do portów LAN routera DGN3500, jest w tym momencie "spowolniony" przez maskowanie, czy tyczy się to tylko ruchy przechodzącego przez tun0?
Nie jesteś zalogowany. Proszę się zalogować lub zarejestrować.
eko.one.pl → Posty przez adalbert.dudziak
Dzięki za odpowiedź,
odnośnie "współczucia" to czy cały ruch między (przykładowo) dwoma laptopami podpiętymi do portów LAN routera DGN3500, jest w tym momencie "spowolniony" przez maskowanie, czy tyczy się to tylko ruchy przechodzącego przez tun0?
Wgrałem czysty obraz, na spokojnie przeczytałem cały temat jeszcze raz... I działa:)
@mar_w, miałeś rację, brakowało właśnie tej maskarady.
Serdeczne dzięki Panowie za poświęcony czas i cierpliwość, ponieważ największą przeszkodą prawdopodobnie było moje "odnajdywanie się" w temacie.
Poniżej przedstawiam gotową konfigurację, może komuś się przyda (po zweryfikowaniu podepnę do pierwszego posta jako rozwiązanie problemu). Starałem się zostawić tylko to co niezbędne, router ma być "Switch'em z serwerem OpenVPN.".
Konfiguracja serwera (/etc/config/openvpn):
config openvpn 'sample_server'
option enabled '1'
option topology 'subnet'
option local '192.168.1.2'
option port '1194'
option proto 'udp'
option dev 'tun0'
option tun_mtu '1500'
option tls_server '1'
option ca '/etc/openvpn/ca.crt'
option cert '/etc/openvpn/serwer.crt'
option key '/etc/openvpn/serwer.key'
option dh '/etc/openvpn/dh2048.pem'
option tls_auth '/etc/openvpn/ta.key 0'
option server '10.8.0.0 255.255.255.0'
list push 'route 192.168.1.0 255.255.255.0'
list push 'redirect-gateway def1' #Ad.1)
option client_config_dir '/etc/openvpn/ccd'
option client_to_client '1'
option keepalive '25 180'
option cipher 'AES-256-CBC'
option compress 'lz4'
option persist_key '1'
option persist_tun '1'
option log '/tmp/openvpn.log'
option verb '3'Ad.1 Wiersz odpowiadający za przekierowanie całego ruchu klientów przez tunel vpn, zgodnie z >>Tym<< akapitem poradnika Cezarego.
Plik ccd (/etc/config/openvpn/commonname):
ifconfig-push 10.8.0.2 255.255.255.0Common Name certyfikatu użytkownika, musi być taki sam jak nazwa pliku
Konfiguracja klienta (wersja na Windows 10):
client
dev tun0
proto udp
remote XXX.XXX.XXX.XXX 1194 #Ad.2)
nobind
cipher AES-256-CBC
pkcs12 commonname.p12
tls-auth ta.key 1
compress lz4
verb 3
log /tmp/openvpn.logAd.2) IP lub DDNS dostępowy do głównego routera (bramy) sieci, w której jest serwer OpenVPN. W tym przypadku na routerze należy zrobić przekierowanie z portu 1194 na 192.168.1.2:1194.
Konfiguracja firewall (/etc/config/firewall):
config defaults
option syn_flood '1'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'
config zone
option name 'lan'
list network 'lan'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'ACCEPT'
option masq '1'
config zone
option name 'vpn'
option input 'ACCEPT'
option forward 'ACCEPT'
option output 'ACCEPT'
option network 'vpn'
option masq '1'
config forwarding
option src 'vpn'
option dest 'lan'
W tym przypadku wszystko co nie używane/potrzebne, starałem się usunąć. Także wszystkie wpisy dotyczace WAN, zostały skasowane.
Konfiguracja DHCP (/etc/config/dhcp):
config dnsmasq
option domainneeded '1'
option boguspriv '1'
option filterwin2k '0'
option localise_queries '1'
option rebind_protection '1'
option rebind_localhost '1'
option local '/lan/'
option domain 'lan'
option expandhosts '1'
option nonegcache '0'
option authoritative '1'
option readethers '1'
option leasefile '/tmp/dhcp.leases'
option resolvfile '/tmp/resolv.conf.auto'
option localservice '1'
config odhcpd 'odhcpd'
option maindhcp '0'
option leasefile '/tmp/hosts/odhcpd'
option leasetrigger '/usr/sbin/odhcpd-update'
config dhcp 'vpn'
option interface 'vpn'
option ignore '1'
config dhcp 'lan'
option interface 'lan'
option ignore '1'Jeszcze raz wszystkim dziękuję, mam wrażenie i nadzieję, że udało się to "w miarę elegancko" skonfigurować i poukładać.
Taka specyficzna sytuacja wynikła, że SerwerVPN jest w sieci LAN na osobnym routerze, a nie jest "na bramie"(choć na bramie skonfigurowałem wszystko szybko z poradnikiem Cezarego i działało) ponieważ router będący bramą nie był w stanie obsłużyć prędkości mojego łącza. Rpi3 dawało radę jednak nie chciałem aby tylko "tym się zajmowało", szczególnie że tę funkcję mógł przejąć router w sieci. Teraz Rpi3 z RetroPi i Kodi zadomowiło się pod telewizorem:)
Mam jeszcze kilka pytań, na które nie znalazłem odpowiedzi:
1) Czy brak definiowania haseł dla certyfikatów, nie jest jakiegoś rodzaju luką w zabezpieczeniach?
Czy nie stosuje się ich celowo aby ułatwić konfigurację, a same certyfikaty są zabezpieczeniem na tyle mocnym, że hasło "mało zmienia".
2) Czy informacje podawane podczas generowania certyfikatów, poza Common Name (dla celów ccd) służą czemuś konkretnemu? Czy służą "komplikowaniu algorytmu klucza", coś na zasadzie ruchów myszki aby uzyskać losowe dane. Męczy mnie to ponieważ czasami piszą żeby w ogóle zostawiać te pola puste. Chyba, że te wartości pomagają w administracji większa ilością sieci i tuneli.
3) Czy można tę konfigurację zmienić tak aby trasa normalnie wysyłana w pliku ccd do danego klienta z tożsamym "Common name" była zawarta w pliku konfiguracji serwera i wysyłana do wszystkich klientów?
4) Za pomocą konfiguracji LED, ustawiłem tak aby się świeciły gdy tun0 przyjmuje i wysyła pakiety, zastanawiam się jak ugryźć temat tak aby dioda była zapalona w chwili gdy jakiś klient się podłączy.
@khain, @cezary, @mar_w jeszcze raz Wam dziękuję za pomoc.
@mar_w,
podłączyłem się telefonem do sieci wifi dystrybuowanej przez W9980 i został mi nadany IP z puli adresów sieci 192.168.1.0/24.
Strona routera DGN3500 otwiera się zarówno pod adresem 192.168.1.2, jak i 10.8.0.1.
Przepraszam, miałem go od razu dodać ale jakoś mi to umknęło.
Wynik poniżej:
C:\>tracert 192.168.1.2
Tracing route to 192.168.1.2 over a maximum of 30 hops
1 61 ms 37 ms 38 ms 192.168.1.2
Trace complete.Zastanawiał mnie komunikat 403 Forbidden, podczas próby połączenia z W9980.
Ustawiłem na nim możliwość zdalnego dostępu na porcie (testowo/chwilowym:) ) 1111, i wtedy podczas podłączonego tunelu mogę się do niego dostać poprzez 192.168.1.1:1111.
Piszę, może to coś wniesie do sprawy że komunikacja jest, jednak po VPN chyba nie powinien "mnie traktować, jako próba zdalnego podłączenia". Jak używam Rpi to wpuszcza mnie bez problemu.
Poniżej wynik, łączę się z klienta Windows'owego, a to narzędzie chyba nie jest tak rozbudowane jak traceroute:
Usage: tracert [-d] [-h maximum_hops] [-j host-list] [-w timeout]
[-R] [-S srcaddr] [-4] [-6] target_name
Options:
-d Do not resolve addresses to hostnames.
-h maximum_hops Maximum number of hops to search for target.
-j host-list Loose source route along host-list (IPv4-only).
-w timeout Wait timeout milliseconds for each reply.
-R Trace round-trip path (IPv6-only).
-S srcaddr Source address to use (IPv6-only).
-4 Force using IPv4.
-6 Force using IPv6.
C:\>tracert 192.168.1.1
Tracing route to 192.168.1.1 over a maximum of 30 hops
1 60 ms 46 ms 54 ms 10.8.0.1
2 10.8.0.1 reports: Destination protocol unreachable.
Trace complete.Dla innych hostów w sieci taki sam rezultat.
Na tej konfiguracji jest tak samo jak na poprzedniej, tunel się zestawia, mam dostęp do serwera OpenVPN, a nie mam do sieci za tym serwerem.
Musiałem lekko zmienić konfigurację klienta, jak opcje za znakiem "#" były aktywne tunel się nie zestawiał.
Zmieniłem też ścieżki do certyfikatów na plik *.p12.
client
dev tun0
proto udp
remote ddns 2123
nobind
cipher AES-256-CBC
pkcs12 dudi.p12
tls-auth ta.key 1
compress lz4
verb 3
log /tmp/openvpn.log
#remote_cert_tls server
#auth_nocache
#persist_key 1
#persist_tun 1Tak khain, mam ten wpis.
Na W9980 dodałem tylko trasę statyczną i przekierowanie portu, nic z firewall'em nie ruszałem.
Sprawdzę konfigurację od mar_w i dam znać.
@Khain po dodaniu tego do serwera tunel się zestawia, jednak niestety nie mam dostępu do sieci lokalnej.
Dostęp mam tylko do serwera poprzez ip 192.168.1.2 oraz 10.8.0.1.
Po próbie wejścia na adres bramy (192.168.1.1) dostaję "403 Forbidden", może to jest istotne.
Może skoro udało się uruchomić serwer i zestawić tunel to dobra chwila aby podsumować całość poprzez pokazanie obecnej konfiguracji i innych informacji. Może też komuś z podobnym problemem pomoże to w dojściu do tego momentu.
Tabela routingu klienta:
Łączę się z Hotspot'a komórkowego.
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.43.1 192.168.43.155 55
0.0.0.0 128.0.0.0 10.8.0.1 10.8.0.2 35
10.8.0.0 255.255.255.0 On-link 10.8.0.2 291
10.8.0.2 255.255.255.255 On-link 10.8.0.2 291
10.8.0.255 255.255.255.255 On-link 10.8.0.2 291
31.178.14.202 255.255.255.255 192.168.43.1 192.168.43.155 55
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
128.0.0.0 128.0.0.0 10.8.0.1 10.8.0.2 35
192.168.1.0 255.255.255.0 10.8.0.1 10.8.0.2 35
192.168.43.0 255.255.255.0 On-link 192.168.43.155 311
192.168.43.155 255.255.255.255 On-link 192.168.43.155 311
192.168.43.255 255.255.255.255 On-link 192.168.43.155 311
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 10.8.0.2 291
224.0.0.0 240.0.0.0 On-link 192.168.43.155 311
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 10.8.0.2 291
255.255.255.255 255.255.255.255 On-link 192.168.43.155 311
===========================================================================Routing ustawiony na W9980
(192.168.1.1, do jego LAN'u podpięty jest serwer OpenVPN)
====================================================================
| Destination IP Address | Subnet Mask | Gateway | Interface |
| 10.8.0.0 | 255.255.255.0 | 192.168.1.2 | LAN |
====================================================================*Dodadkowo ustawione jest przekierowanie z portu 2123 na 192.168.1.2:1194
Konfiguracja Serwera OpenVPN
port 1194
proto udp
tls-server
ifconfig 10.8.0.1 255.255.255.0
mode server
topology subnet
client-config-dir /etc/openvpn/ccd
cipher AES-256-CBC
dev tun0
keepalive 25 180
status /tmp/openvpn.status
log /tmp/openvpn.log
verb 3
dh /etc/openvpn/dh2048.pem
ca /etc/openvpn/ca.crt
cert /etc/openvpn/serwer.crt
key /etc/openvpn/serwer.key
tls-auth /etc/openvpn/ta.key 0
persist-key
persist-tun
push "topology subnet"
push "route-gateway 10.8.0.1"
push "redirect-gateway def1"
route 172.16.1.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0 10.8.0.1"Konfiguracja klienta:
client
dev tun0
proto udp
remote ddns 2123
remote-cert-tls server
verb 3
pkcs12 dudi.p12
auth-nocache
tls-auth ta.key 1etc/config/firewall:
Nie cały, fragment dotyczący VPN
config zone
option name 'lan'
list network 'lan'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'ACCEPT'
config zone
option name 'wan'
list network 'wan'
list network 'wan6'
option input 'REJECT'
option output 'ACCEPT'
option forward 'REJECT'
option masq '1'
option mtu_fix '1'
config rule
option name 'Allow-IPSec-ESP'
option src 'wan'
option dest 'lan'
option proto 'esp'
option target 'ACCEPT'
config zone
option name 'vpn'
option input 'ACCEPT'
option forward 'ACCEPT'
option output 'ACCEPT'
option network 'vpn'
option masq '1'
config forwarding
option src 'vpn'
option dest 'wan'
config rule
option name 'OpenVPN'
option target 'ACCEPT'
option src 'wan'
option proto 'udp'
option dest_port '1194'
config forwarding
option src 'lan'
option dest 'vpn'
config rule
option enabled '1'
option target 'ACCEPT'
option name 'VPN<>LAN'
option src 'vpn'
option dest 'lan'
config rule
option enabled '1'
option target 'ACCEPT'
option name 'LAN<>VPN'
option src 'lan'
option dest 'vpn'etc/openvpn/ccd/dudi
ifconfig-push 10.8.0.2 255.255.255.0
iroute 172.16.1.0 255.255.255.0Na tym samym kliencie łączy mi się z OpenVPN na Rpi.
Jak stawiałem na DGN350 serwer OpenVPN jak był bramą, a nie wpięty do sieci LAN, to również łączył się z tego klienta.
Wskazane przez Ciebie opcje nadal mam w konfigu serwera.
Na serwerze jest wersja openvpn-openssl 2.4.4-2
Tak był uruchomiony.
Mar_w, Khain,
część problemów wynikała z tego, że dodałem do konfiga linijki "na później", które wydawało mi się, że "zakomentowałem" znakiem "#", jednak klient je interpretował...
ad.1)
mar_w nigdzie mi nie kazałeś, to była moja "inwencja":) Poprawiłem w kliencie i wpisałem aby wskazywało plik na dysku klienta.
tls-auth ta.key 1ad.2)
Comon name to dudi, nazwa pliku dudi.
ad.3)
usunąłem chwilowo tę opcję z konfiga na serwerze i kliencie.
ad.4)
Tak, jest zrobione przekierowanie:)
Log z klienta po poprawkach, łączę się z innej sieci niż docelowa:
Sun Dec 31 19:11:30 2017 OpenVPN 2.4.4 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Sep 26 2017
Sun Dec 31 19:11:30 2017 Windows version 6.2 (Windows 8 or greater) 64bit
Sun Dec 31 19:11:30 2017 library versions: OpenSSL 1.0.2l 25 May 2017, LZO 2.10
Enter Management Password:
Sun Dec 31 19:11:30 2017 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25341
Sun Dec 31 19:11:30 2017 Need hold release from management interface, waiting...
Sun Dec 31 19:11:30 2017 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25341
Sun Dec 31 19:11:31 2017 MANAGEMENT: CMD 'state on'
Sun Dec 31 19:11:31 2017 MANAGEMENT: CMD 'log all on'
Sun Dec 31 19:11:31 2017 MANAGEMENT: CMD 'echo all on'
Sun Dec 31 19:11:31 2017 MANAGEMENT: CMD 'hold off'
Sun Dec 31 19:11:31 2017 MANAGEMENT: CMD 'hold release'
Sun Dec 31 19:11:31 2017 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Dec 31 19:11:31 2017 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Dec 31 19:11:31 2017 MANAGEMENT: >STATE:1514743891,RESOLVE,,,,,,
Sun Dec 31 19:11:31 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]ddns:2123
Sun Dec 31 19:11:31 2017 Socket Buffers: R=[65536->65536] S=[65536->65536]
Sun Dec 31 19:11:31 2017 UDP link local (bound): [AF_INET][undef]:1194
Sun Dec 31 19:11:31 2017 UDP link remote: [AF_INET]ddns:2123
Sun Dec 31 19:11:31 2017 MANAGEMENT: >STATE:1514743891,WAIT,,,,,,
Sun Dec 31 19:11:31 2017 MANAGEMENT: >STATE:1514743891,AUTH,,,,,,
Sun Dec 31 19:11:31 2017 TLS: Initial packet from [AF_INET]ddns:2123, sid=0322b01e acc30312
Sun Dec 31 19:11:32 2017 VERIFY OK: depth=1, C=PL, ST=MA, L=Warsaw, O=FAM, OU=Home, CN=LEDE Server, name=Router, emailAddress=dudinr1@wp.pl
Sun Dec 31 19:11:32 2017 VERIFY KU OK
Sun Dec 31 19:11:32 2017 Validating certificate extended key usage
Sun Dec 31 19:11:32 2017 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Sun Dec 31 19:11:32 2017 VERIFY EKU OK
Sun Dec 31 19:11:32 2017 VERIFY OK: depth=0, C=PL, ST=MA, L=Warsaw, O=FAM, OU=Home, CN=LEDE Server, name=Router, emailAddress=dudinr1@wp.pl
Sun Dec 31 19:11:32 2017 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1541', remote='link-mtu 1557'
Sun Dec 31 19:11:32 2017 WARNING: 'cipher' is used inconsistently, local='cipher BF-CBC', remote='cipher AES-256-CBC'
Sun Dec 31 19:11:32 2017 WARNING: 'keysize' is used inconsistently, local='keysize 128', remote='keysize 256'
Sun Dec 31 19:11:32 2017 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Sun Dec 31 19:11:32 2017 [LEDE Server] Peer Connection Initiated with [AF_INET]ddns:2123
Sun Dec 31 19:11:34 2017 MANAGEMENT: >STATE:1514743894,GET_CONFIG,,,,,,
Sun Dec 31 19:11:34 2017 SENT CONTROL [LEDE Server]: 'PUSH_REQUEST' (status=1)
Sun Dec 31 19:11:34 2017 PUSH: Received control message: 'PUSH_REPLY,route-gateway 10.8.0.1,redirect-gateway def1,route 192.168.1.0 255.255.255.0 10.8.0.1,ping 25,ping-restart 180,ifconfig 10.8.0.2 255.255.255.0,peer-id 0,cipher AES-256-GCM'
Sun Dec 31 19:11:34 2017 OPTIONS IMPORT: timers and/or timeouts modified
Sun Dec 31 19:11:34 2017 OPTIONS IMPORT: --ifconfig/up options modified
Sun Dec 31 19:11:34 2017 OPTIONS IMPORT: route options modified
Sun Dec 31 19:11:34 2017 OPTIONS IMPORT: route-related options modified
Sun Dec 31 19:11:34 2017 OPTIONS IMPORT: peer-id set
Sun Dec 31 19:11:34 2017 OPTIONS IMPORT: adjusting link_mtu to 1624
Sun Dec 31 19:11:34 2017 OPTIONS IMPORT: data channel crypto options modified
Sun Dec 31 19:11:34 2017 Data Channel: using negotiated cipher 'AES-256-GCM'
Sun Dec 31 19:11:34 2017 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Sun Dec 31 19:11:34 2017 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Sun Dec 31 19:11:34 2017 WARNING: Since you are using --dev tun with a point-to-point topology, the second argument to --ifconfig must be an IP address. You are using something (255.255.255.0) that looks more like a netmask. (silence this warning with --ifconfig-nowarn)
Sun Dec 31 19:11:34 2017 MANAGEMENT: Client disconnected
Sun Dec 31 19:11:34 2017 There is a problem in your selection of --ifconfig endpoints [local=10.8.0.2, remote=255.255.255.0]. The local and remote VPN endpoints must exist within the same 255.255.255.252 subnet. This is a limitation of --dev tun when used with the TAP-WIN32 driver. Try 'openvpn --show-valid-subnets' option for more info.
Sun Dec 31 19:11:34 2017 Exiting due to fatal error*"You are using something (255.255.255.0) that looks more like a netmask."
*"There is a problem in your selection of --ifconfig endpoints [local=10.8.0.2, remote=255.255.255.0]. The local and remote VPN endpoints must exist within the same 255.255.255.252 subnet."
W pliku /etc/openvpn/ccd/dudi, mam:
ifconfig-push 10.8.0.2 255.255.255.0
iroute 172.16.1.0 255.255.255.0Dodam jeszcze konfigurację klienta, po uruchomieniu serwera nie mogę zestawić tunelu, może to w konfiguracji tkwi problem:
client
dev tun0
proto udp
remote ddns 2123
remote-cert-tls server
verb 3
pkcs12 dudi.p12
auth-nocacheCiągle nie mogę uruchomić serwera z konfiguracją w osobnym pliku:
/etc/config/openvpn
config openvpn 'tun_lan'
option config '/etc/openvpn/server.conf'
option enabled '1'/etc/openvpn/server.conf'
port 1194
proto udp
tls-server
ifconfig 10.8.0.1 255.255.255.0
mode server
topology subnet
client-config-dir /etc/openvpn/ccd
cipher AES-256-CBC
dev tun0
keepalive 25 180
status /tmp/openvpn.status
log /tmp/openvpn.log
verb 3
dh /etc/openvpn/dh2048.pem
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
tls-auth /etc/openvpn/ta.key 1
persist-key
persist-tun
compress lzo
push "route-gateway 10.8.0.1"
push "redirect-gateway def1"
route 172.16.1.0 255.255.255.0 10.8.0.2
push "route 192.168.1.0 255.255.255.0 10.8.0.1"/etc/config/openvpn/ccd/dudi
ifconfig-push 10.8.0.2 255.255.255.0
iroute 172.16.1.0 255.255.255.0log po komendzie "logread |grep openvpn":
Sun Dec 31 04:24:05 2017 daemon.err openvpn(tun_lan)[3456]: Options error: --client-config-dir/--ccd-exclusive requires --mode server
Sun Dec 31 04:24:05 2017 daemon.warn openvpn(tun_lan)[3456]: Use --help for more information./tmp/openvpn.log
Sun Dec 31 04:55:17 2017 OpenVPN 2.4.4 mips-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD]
Sun Dec 31 04:55:17 2017 library versions: OpenSSL 1.0.2n 7 Dec 2017, LZO 2.10
Sun Dec 31 04:55:17 2017 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x. Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
Sun Dec 31 04:55:17 2017 Diffie-Hellman initialized with 2048 bit key
Sun Dec 31 04:55:17 2017 Cannot open key file '/etc/openvpn/ta.key': No such file or directory (errno=2)
Sun Dec 31 04:55:17 2017 Exiting due to fatal errorCoś z certyfikatem, wygeneruję wszystkie na nowo i zobaczę. (miałem literówkę server != serwer)
Teraz szukam gdzie wygenerował się ta.key
Update:
uruchomiłem serwer z osobnego pliku konfiguracyjnego. Brakowało jeszcze "tk.key", którego nie mogłem znaleźć po wpisaniu komendy, wygenerowałem go z poziomu klienta OpenVPN na windows.
Logi to bardzo przydatna sprawa;)
Jednak w logu jeszcze "siedzi" jakiś błąd opcji:
Options error: --server directive network/netmask combination is invalid
Use --help for more information.Sam nie wiem czy umiem korzystać z obu opcji, z osobnego pliku jeszcze nie udało mi się uruchomić serwera.
Ale ideę rozumiem;)
Co do złej nazwy pliku to prawdopodobnie brak restartu usługi był przyczyną, inną miałem nazwę pliku, a inna pojawiała się w logu.
@msr_w, wydaje mi się, że rozumiem ideę konfiguracji z osobnego pliku, jak i z samego pliku z konfiguracją OpenVPN.
Przy czym konfiguracja z osobnego pliku ma inną składnię niż ta dostosowane do UCI w samym pliku konfiguracyjnym.
Na przykład w osobnym pliku konfiguracji wystarczy client-to-client, a w pliku konfiguracji openvpn to już option client-to-client '1'.
Teraz próbowałem skorzystać z propozycji konfiguracji w osobnym pliku podesłanej przez @khain'a aby nie "przepisywać" składni opcji z jednej wersji konfiguracji na drugą.
Poprawiłem.
Teraz mam log:
Sun Dec 31 03:27:22 2017 daemon.warn openvpn(custom_config)[10092]: disabling NCP mode (--ncp-disable) because not in P2MP client or server mode
Sun Dec 31 03:27:22 2017 daemon.err openvpn(custom_config)[10092]: Options error: --client-config-dir/--ccd-exclusive requires --mode server
Sun Dec 31 03:27:22 2017 daemon.warn openvpn(custom_config)[10092]: Use --help for more information.Trasę na w9980 udało się dodać bez problemu.
Dzięki @mar_w, właśnie tego szukałem;)
A tak na poważnie to mam problem z uruchomieniem serwera z konfiguracja z pliku.
Pliku z logiem nie znalazłem, jednak z pomocą komendy podesłanej przez khain wyciągnąłem poniższe:
Sun Dec 31 03:09:46 2017 daemon.err openvpn(custom_config)[9327]: Options error: In [CMD-LINE]:1: Error opening configuration file: openvpn-custom_config.confCóż chyba najlepiej będzie jak się wyśpię, bo zaczynam robić głupie błędy w kwestiach, które już (z nie małym trudem) udało mi się w jakimś stopniu zrozumieć.
Zaczyna mi też brakować argumentów aby uzasadnić to, że jeszcze nie śpię, żona nie rozumie "kochanie konfiguruję router" i mówi, że jestem dziwny... jak tak się nad tym zastanowię to niestety ale ma rację;)
Tak czy inaczej najlepszego w nowym roku Panowie.
Dzięki @mar_w, właśnie tego szukałem;)
Przeczytałem, że logi powinny być w /var/log/openvpnas.log, jednak pliku tam nie ma.
Czy trzeba włączyć logowanie czy tryb debugowania aby się pojawił?
Serwer OpenVPN z konfiguracją z pliku nie chcę się uruchomić.
Restartowałem router, OpenVPN, jest opcja enable na 1.
Nic to, stawiam wszystko "na świeżo". Jeśli gdzieś po drodze zmieniając i testując opcję coś namieszałem, to szybciej będzie mi to zrobić krok po kroku od nowa.
192.168.1.0/24 - podsieć za serwerem #sieć w której jest DGN3500, to jest jasne
10.8.0.0/24 - podsieć tunelu openvpn #sieć "w której operuje" serwer OpenVPN postawiony na DGN3500
172.16.1.0/24 - podsieć za klientem # tego nie rozumiem, skąd ta sieć?
edit: Ok zauważyłem dopiero, że w pliku konfiguracyjnym serwera zostało dodane "route 172.16.1.0 255.255.255.0 10.8.0.2"
@khain,
wkradło się nieporozumienie, Rpi w sieci lokalnej mi działa(odpowiadając na pytanie mam na nim rasbiana), podałem jego konfigurację w nadziei, że pomoże to na uzyskanie takiego samego efektu (czyli dostępu do sieci lokalnej) na DGN3500, na którym jest Lede.
Wykorzystam i lekko przerobię "grafikę" z linku jaki podesłałeś aby dokładnie przedstawić jak wygląda u mnie sytuacja:
+-------------------------+
| |
{INTERNET}=============={ Router Tplink W9980 |
(ddns)| fabryczny soft |
+------------+------------+
(192.168.1.1) | +-----------------------+
| | OpenVPN server | eth0: 192.168.1.2/24
+--------------{ | tun0: 10.8.0.1/24
| | DGN3500 Lede |
| +-----------------------+
|
+--------+-----------+
| Other LAN clients |
+--------------------+Mam wątpliwość odnośnie pliku ccd oraz podsieci za klientem, to chyba rozwiązanie dedykowane stałemu tunelowi między routerami. Co jeśli klient będzie łączył się na przykład z hotspota lub po prostu z innej sieci? Tu klientem będzie laptop z zainstalowanym klientem OpenVPN pod Windows'em.
Dodatkowo, gwoli jasności:
a) Tak chodzi o dodanie statycznej trasy routingu na routerze
Taką jak teraz dodałem na DGN3500 pokazaną w poprzednim moim poście, czy trzeba ją dodać na W9980?
@khain,
24.a)
Musisz dodać trasę do tablicy routingu routera do podsieci 10.8.0.0/24 przez 192.168.1.2
Czy tu chodzi o przekierowanie portu, czy dodanie do routingu statycznego poniższego wpisu?
| Interface | Target | IPv4-Netmask | IPv4-Gateway | Metric | MTU | Route type |
| vpn | 10.8.0.0 | 255.255.255.0 | 192.168.1.2 | 10 | 1500 | unicast |Póki co dodałem wpis do tablicy routingu statycznego, jednak chcę się upewnić czy o to chodziło.
24.b)
oraz zrobić forward pakietów w firewallu na routerze https://community.openvpn.net/openvpn/w … ultgateway
Już to dodałem do konfiguracji firewall, pytanie czy dobrze.
config rule
option target 'ACCEPT'
option name 'VPN<>LAN'
option src 'vpn'
option dest 'lan'
config rule
option enabled '1'
option target 'ACCEPT'
option name 'LAN<>VPN'
option src 'lan'
option dest 'vpn'Podpowiedzcie mi proszę, czy te wpisy przekierowują ruch, czy jedynie pozwalają na jego przepływ?
24.c)
w konfiguracji serwera, zgodnie z sugestiami z linku. zmieniłem poniższe:
list push 'route 192.168.1.0 255.255.255.0' #usunąłem "next hop"w postaci 10.8.0.1
list push 'redirect-gateway def1' # dodałem tę linijkę, nie wiem czy nie powinno być "option redirect-gateway 'def1'"Dopytuję bo sam autor wpisu wspomniał, że nie testował i mogą być jakieś błędy składniowe. Na przykład topologię sieci zostawił "subnet", a nie dodał "next hop". Nie wiem czy zawsze musi być, zauważyłem to jednak nie jestem w stanie zweryfikować poprawności.
Po zmianach nadal nie mam dostępu do sieci LAN, jak potwierdzę poprawność zmian z tego postu postawię całość od nowa na spokojnie z uwzględnieniem nowych wskazówek.
eko.one.pl → Posty przez adalbert.dudziak
Forum oparte o PunBB, wspierane przez Informer Technologies, Inc