1 Temat przez Vodnik

  • Vodnik
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2010-10-12
  • Posty: 150

Temat: Gargoyle 1.9.1.1 na Nexx 3020 jako OpenVPN Client

Witam,

Czy znajdę gdzieś poradnik (najlepiej łopatologiczny krok po kroku) jak zestawić na Gargoyle klienta OpenVPN  ?

Obecna konfiguracja:
na TL-WDR4300 z Gargoyle 1.6.1.4 mam działający serwer OpenVPN (konfigurowany z GUI) - działa, bo z niego korzystam


mam router Nexx3020 z G1.9.1.1, który z założenia ma działać z modemem Huawei e3372 Hilink.

Chciałbym, aby ten Nexx3020 sam nawiązując połączenie robił to jako klient VPN do serwera, bay wszystkie urządzenia po stronie LAN Nexx'a korzystały już z otwartego tunelu.

Za wskazanie takiego poradnika będę wdzięczny.

Pozdrawiam
Marcin

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,909

Odp: Gargoyle 1.9.1.1 na Nexx 3020 jako OpenVPN Client

Nie ma. Na 4300 wygeneruj konfig klienta, na nexx wybierz klienta openvpn, konfigurację z pliku, wczytaj to co wygenerowałeś na 4300. Zapisz i to wszystko.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez Vodnik

  • Vodnik
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2010-10-12
  • Posty: 150

Odp: Gargoyle 1.9.1.1 na Nexx 3020 jako OpenVPN Client

Właśnie sprawdziłem i działa - Dzięki.

ale mam jedną niejasność. Moja obecna konfiguracja:

Nexx jest skonfigurowany jako klient VPN do serwera i po adresach IP  mam dostęp do zasobów sieci, ale po nazwach już niestety nie.

Nexx jest wpięty w internet poprzez modem LTE i karte AERO,  i ma skonfigurowany DNS na ten od dostawcy, czyli od modemu czyli domyślnie 192.168.8.1 (tak przynajmniej wskazuje zakładka status).

Stąd moje pytanie, czy da sie coś z tym zrobić, aby zasoby za serwerem VPN były dostępne po nazwach, aby pytał najpierw DNS'a na serwerze OpenVPN ?

ewentualnie jako obejscie jak dodać do DNS'a NEXXa (kleinta) stałe adresy hostów ?

Ewentualnie

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,909

Odp: Gargoyle 1.9.1.1 na Nexx 3020 jako OpenVPN Client

Więc po zestawieniu tunelu przestawiaj sobie dns żeby wskazywał ten po drugiej stronie tunelu.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez Vodnik

  • Vodnik
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2010-10-12
  • Posty: 150

Odp: Gargoyle 1.9.1.1 na Nexx 3020 jako OpenVPN Client

trzeba to zrobić ręcznie, czy moze automat ?

Jeżeli ręcznie to wprowadzić jak rozumiem pierwszy na liście adres IP serwera VPN (adres wewnętrzny sieci serwera VPN) ?

6 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,909

Odp: Gargoyle 1.9.1.1 na Nexx 3020 jako OpenVPN Client

Nie wiem gdzie masz dns - ustaw taki żeby i rozwiązywał nazwy. Może być i automat na hotplugu.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

7 Odpowiedź przez Vodnik

  • Vodnik
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2010-10-12
  • Posty: 150

Odp: Gargoyle 1.9.1.1 na Nexx 3020 jako OpenVPN Client

Ok, jak nie ma tego w GUI to jestem noga.
Jak wbijam się kompem (windows) przez VPN i daję nslookup, to mam zwracany adres IP routera w domu, który jest serwerem DNS i jest to adres z podsieci wewnętrznej domowej, więc już wiem jaki adres wprowadzić.

Nie wiem niestety jak to zautomatyzować, przez tego hotpluga.

czy jesteś w stanie mnie pokierować - jak dziecko na przejściu dla pieszych ?

Będę zobowiązany...

8 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,909

Odp: Gargoyle 1.9.1.1 na Nexx 3020 jako OpenVPN Client

W /etc/hotplug.d/iface jest skrypt od restartu openvpn, Więc po tym poleceniu dodaj sobie np.

sleep 10
echo "nameserver 192.168.x.x" > /tmp/resolv.conf.auto

Zakładając ze w 10s zdąży się zestawić vpn.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

9 Odpowiedź przez Vodnik

  • Vodnik
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2010-10-12
  • Posty: 150

Odp: Gargoyle 1.9.1.1 na Nexx 3020 jako OpenVPN Client

Czy po rozłączeniu tunelu wróci do normalnej konfiguracji czy trzeba to odwrócić jakoś ?

10 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,909

Odp: Gargoyle 1.9.1.1 na Nexx 3020 jako OpenVPN Client

Po rozłączeniu przydało by się znów przestawić dnsy np. na 8.8.8.8

Możesz też spróbować na stałe ustawić dnsy i łączyć się z tunelem przez ip a nie adres. Ale wtedy "nie będziesz miał internetu" jak nie będzie zestawionego tunelu.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

11 Odpowiedź przez Vodnik

  • Vodnik
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2010-10-12
  • Posty: 150

Odp: Gargoyle 1.9.1.1 na Nexx 3020 jako OpenVPN Client

Ok, byłbym za tym, aby z powrotem ustawiać na 8.8.8.8. czy to też zrobię to w tym skrypcie 27-openvpn ?

Oryginalnie zawartość jego była:

#!/bin/sh

config_load "network"
config_get wan_proto "wan" "proto"

if [ "$INTERFACE" = "wan" ] && [ "$ACTION" = "ifup" ]
then
    sleep 15
    /etc/init.d/openvpn restart
fi



jak rozumiem, po zmianie pierwszej będzie to:

#!/bin/sh

config_load "network"
config_get wan_proto "wan" "proto"

if [ "$INTERFACE" = "wan" ] && [ "$ACTION" = "ifup" ]
then
    sleep 15
    /etc/init.d/openvpn restart

         sleep 10
         echo "nameserver 192.168.x.x" > /tmp/resolv.conf.auto       

fi


A jak powrócić ?

12 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,909

Odp: Gargoyle 1.9.1.1 na Nexx 3020 jako OpenVPN Client

Lepsze rozwiązanie - dodaj sobie po prostu do konfiga openvpn opcję

up /usr/bin/skrypt1.sh
down /usr/bin/skrypt2.sh

I sobie w skrypt1.sh i skrypt2.sh umieść odpowiednio zmianę dnsów. Samo się będzie wołało jak zestawi się i wyłączony tunel.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

13 Odpowiedź przez Vodnik

  • Vodnik
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2010-10-12
  • Posty: 150

Odp: Gargoyle 1.9.1.1 na Nexx 3020 jako OpenVPN Client

Podsumowując:

w folderze /usr/bin/ tworzę 2 pliki skrypt1.sh i skrypt2.sh

z poleceniami:

nameserver 8.8.8.8 a w drugim nameserver 192.168.x.x

następnie w plikach openvpn.up i openvpn.down w folderze /etc zgadza się przed exit dodaję
/usr/bin/skrypt1.sh i odpowiednio skrypt2.sh

zgadza się ??

14 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,909

Odp: Gargoyle 1.9.1.1 na Nexx 3020 jako OpenVPN Client

W /etc/openvpn/*.conf. w pliku konfiguracyjnym openvpn, nie openvpn.up

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

15 Odpowiedź przez Vodnik

  • Vodnik
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2010-10-12
  • Posty: 150

Odp: Gargoyle 1.9.1.1 na Nexx 3020 jako OpenVPN Client

Dobra, nie mówiłem, że będzie łatwo smile

plik *.conf we wskazanym folderze dokładam na końcu:

up /usr/bin/skrypt1.sh
down /usr/bin/skrypt2.sh


a w w/w plikach po jednej linii:

nameserver 192.168.x.x  oraz w drugim nameserver 8.8.8.8

tak ?

16 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,909

Odp: Gargoyle 1.9.1.1 na Nexx 3020 jako OpenVPN Client

A w pliku skrypt1.sh:

#!/usr/bin
echo "nameserver 192.168.x.x" > /tmp/resolv.conf.auto   
exit 0

i masz go uczynić wykonywalnym (chmod 755 /usr/bin/skrypt1.sh). No zwykły skrypt, nie kombinuj. Identycznie dla skrypt2.sh

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

17 Odpowiedź przez Vodnik

  • Vodnik
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2010-10-12
  • Posty: 150

Odp: Gargoyle 1.9.1.1 na Nexx 3020 jako OpenVPN Client

Chyba już ostatnie pytanie w tym temacie,

czy wracając z konfiguracji statycznie wskazanego serwera DNS przy połączeniu to tunelu w momencie gdy wo wyłączam czy DNS nie powinien być pobrany z DHCP modemu LTE ??

jeżeli tak, to czy wtedy wpisywac nameserver dhcp ?

czy to co piszę to jakieś banialuki ?

18 Odpowiedź przez Vodnik (edytowany przez Vodnik 2016-09-30 00:03:01)

  • Vodnik
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2010-10-12
  • Posty: 150

Odp: Gargoyle 1.9.1.1 na Nexx 3020 jako OpenVPN Client

Cezary, Po dorobieniu tych skryptów nie chodzi.

w logread dostaję informacje że nie może uruchomić skryptów:

Fri Sep 30 00:51:52 2016 daemon.notice openvpn(custom_config)[25464]: Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Sep 30 00:51:52 2016 daemon.notice openvpn(custom_config)[25464]: Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Sep 30 00:51:52 2016 daemon.notice openvpn(custom_config)[25464]: Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Sep 30 00:51:52 2016 daemon.notice openvpn(custom_config)[25464]: Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Sep 30 00:51:52 2016 daemon.notice openvpn(custom_config)[25464]: Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Fri Sep 30 00:51:52 2016 daemon.notice openvpn(custom_config)[25464]: [roayttxtiiuclvu] Peer Connection Initiated with [AF_INET]XXXXXXXXXXXXXXXX
Fri Sep 30 00:51:54 2016 daemon.notice openvpn(custom_config)[25464]: SENT CONTROL [roayttxtiiuclvu]: 'PUSH_REQUEST' (status=1)
Fri Sep 30 00:51:54 2016 daemon.notice openvpn(custom_config)[25464]: PUSH: Received control message: 'PUSH_REPLY,topology subnet,route-gateway 10.8.0.1,redirect-gateway def1,ping 25,ping-restart 180,route 192.168.55.0 255.255.255.0 10.8.0.1,ifconfig 10.8.0.7 255.255.255.0'
Fri Sep 30 00:51:54 2016 daemon.notice openvpn(custom_config)[25464]: OPTIONS IMPORT: timers and/or timeouts modified
Fri Sep 30 00:51:54 2016 daemon.notice openvpn(custom_config)[25464]: OPTIONS IMPORT: --ifconfig/up options modified
Fri Sep 30 00:51:54 2016 daemon.notice openvpn(custom_config)[25464]: OPTIONS IMPORT: route options modified
Fri Sep 30 00:51:54 2016 daemon.notice openvpn(custom_config)[25464]: OPTIONS IMPORT: route-related options modified
Fri Sep 30 00:51:54 2016 daemon.notice netifd: Interface 'vpn' is enabled
Fri Sep 30 00:51:54 2016 daemon.notice netifd: Network device 'tun0' link is up
Fri Sep 30 00:51:54 2016 daemon.notice netifd: Interface 'vpn' has link connectivity
Fri Sep 30 00:51:54 2016 daemon.notice netifd: Interface 'vpn' is setting up now
Fri Sep 30 00:51:54 2016 daemon.notice openvpn(custom_config)[25464]: TUN/TAP device tun0 opened
Fri Sep 30 00:51:54 2016 daemon.notice openvpn(custom_config)[25464]: TUN/TAP TX queue length set to 100
Fri Sep 30 00:51:54 2016 daemon.notice openvpn(custom_config)[25464]: do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Fri Sep 30 00:51:54 2016 daemon.notice openvpn(custom_config)[25464]: /sbin/ifconfig tun0 10.8.0.7 netmask 255.255.255.0 mtu 1500 broadcast 10.8.0.255
Fri Sep 30 00:51:54 2016 daemon.notice openvpn(custom_config)[25464]: /etc/openvpn/skryptup.sh tun0 1500 1542 10.8.0.7 255.255.255.0 init
Fri Sep 30 00:51:54 2016 daemon.notice netifd: Interface 'vpn' is now up
Fri Sep 30 00:51:54 2016 daemon.err openvpn(custom_config)[25464]: WARNING: Failed running command (--up/--down): could not execute external program
Fri Sep 30 00:51:54 2016 daemon.notice openvpn(custom_config)[25464]: Exiting due to fatal error
Fri Sep 30 00:51:54 2016 daemon.notice netifd: Network device 'tun0' link is down
Fri Sep 30 00:51:54 2016 daemon.notice netifd: Interface 'vpn' has link connectivity loss
Fri Sep 30 00:51:54 2016 daemon.notice netifd: Interface 'vpn' is now down
Fri Sep 30 00:51:54 2016 daemon.notice netifd: Interface 'vpn' is disabled
Fri Sep 30 00:51:59 2016 daemon.info hostapd: wlan0: STA 24:77:03:fd:61:54 IEEE 802.11: authenticated
Fri Sep 30 00:52:00 2016 daemon.info hostapd: wlan0: STA 24:77:03:fd:61:54 IEEE 802.11: associated (aid 2)
Fri Sep 30 00:52:00 2016 daemon.info hostapd: wlan0: STA 24:77:03:fd:61:54 WPA: pairwise key handshake completed (RSN)
Fri Sep 30 00:52:00 2016 daemon.info dnsmasq-dhcp[25483]: DHCPREQUEST(br-lan) 192.168.66.190 24:77:03:fd:61:54
Fri Sep 30 00:52:00 2016 daemon.warn dnsmasq-dhcp[25483]: Ignoring domain astor.com.pl for DHCP host name marcinwo2
Fri Sep 30 00:52:00 2016 daemon.info dnsmasq-dhcp[25483]: DHCPACK(br-lan) 192.168.66.190 24:77:03:fd:61:54 marcinwo2
Fri Sep 30 00:52:00 2016 user.notice root: openvpn stopped, restarting

Nie działa nawet jak dopiszę przed ich wywołaniem :

script-security 2 system

19 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,909

Odp: Gargoyle 1.9.1.1 na Nexx 3020 jako OpenVPN Client

Pokaż konfig openvpn, pokaż

ls -al /usr/bin/skrypt1.sh
cat /usr/bin/skrypt1.sh

Skrypt zrobiłeś pod linuksem czy pod windowsem?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

20 Odpowiedź przez Vodnik

  • Vodnik
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2010-10-12
  • Posty: 150

Odp: Gargoyle 1.9.1.1 na Nexx 3020 jako OpenVPN Client

konfig:

client
remote          adres port
dev             tun
proto           udp
status  /var/openvpn/current_status
resolv-retry    infinite
ns-cert-type    server
topology        subnet
verb            3

cipher          BF-CBC
keysize               128

ca    /etc/openvpn/grouter_client_jbariwwyqsee_ca.crt
cert  /etc/openvpn/grouter_client_jbariwwyqsee.crt
key   /etc/openvpn/grouter_client_jbariwwyqsee.key
tls-auth    /etc/openvpn/grouter_client_jbariwwyqsee_ta.key 1

nobind
persist-key
persist-tun
comp-lzo

up /usr/bin/skryptup.sh
down /usr/bin/skryptdown.sh

ls -al

root@router:~# ls -al /usr/bin/skryptup.sh
-rwxr-xr-x    1 root     root            76 Sep 30 09:41 /usr/bin/skryptup.sh

cat

#!/usr/bin
echo "nameserver 192.168.x.x" > /tmp/resolv.conf.auto
exit 0

Edytuję pliki w windowsie za pomocą WINSCP i jego wewnętrznego edytora.

21 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,909

Odp: Gargoyle 1.9.1.1 na Nexx 3020 jako OpenVPN Client

taa, ja piszę głupoty a ty przepisujesz bezmyślnie

#!/bin/sh

W pierwszej linii zamiast #!/usr/bin. I nie 192.168.x.x tylko konkretny adres.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

22 Odpowiedź przez Vodnik

  • Vodnik
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2010-10-12
  • Posty: 150

Odp: Gargoyle 1.9.1.1 na Nexx 3020 jako OpenVPN Client

Cezary, poprawki pomogły w 50%.

Skrypt się wykonuje odpowiednio po postawieniu i zamknięciu tunelu, co widę w logread:

Fri Sep 30 23:54:22 2016 daemon.info dnsmasq[2040]: reading /tmp/resolv.conf.auto
Fri Sep 30 23:54:22 2016 daemon.info dnsmasq[2040]: using local addresses only for domain lan
Fri Sep 30 23:54:22 2016 daemon.info dnsmasq[2040]: using nameserver 10.8.0.1#53

ale nadal nie jestem w stanie pingować urządzeń po nazwie. próbowałem  zmieniać skrypt UP wpisując tam adres IP serwera OpenVPN jakbym był w sieci lokalnej 192.168.x.x oraz adresu iP który się prezentuje w VPNie 10.8.x.x. nic nie pomaga. siec internet po nazwach pinguje, oba wprowadzone adresy w DNS pingują po IP.

Czy nie łatwiej byłoby na stałe dodać stałe wpisy w lokalnym DNSie router'a - czyli mapa adres IP urządzenia w sieci lokalnej i jego nazwa ?

Jak dodać takie statyczne wpisy ?

23 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,909

Odp: Gargoyle 1.9.1.1 na Nexx 3020 jako OpenVPN Client

W /etc/hosts.

Podmieniłeś dns. Jesteś na 100% pewien że on zna te hosty? Skoro tego nie robi to chyba raczej nie.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona