1 Temat przez avathar (edytowany przez avathar 2017-10-03 10:51:25)

  • Zarejestrowany: 2013-06-13
  • Posty: 44

Temat: OpenVPn - widoczny tylko serwer. (Lede)

Witam,

Po zestawieniu połączenia openvpn mogę pingować jedynie serwer i nie widzę nic w sieci za serwerem.

Obecnie vpn działa na ip 10.8.0.0 255.255.255.0, a sieć lokalna na ip 10.0.0.0 255.255.0.0
Czyli te sieci nie zachodzą na siebie? I teoretycznie powinienem wszystko widzieć? Ale nie widzę. A jednak wystarczy, że zmienię 

option server '10.8.0.0 255.255.0.0'

10 na cokolwiek innego i wtedy już widzę wszystko w sieci lokalnej.

obecny conf vpn:

config openvpn 'myvpn'

    option enabled '1'
    option dev 'tun'
    option port '1194'
    option proto 'udp'
#specify to use compression
    option comp_lzo 'yes'
#logging
    option status '/var/log/openvpn_status.log'
    option log '/tmp/openvpn.log'
    option verb '3'
    option mute '5'
#ping every 10 seconds, assume not responding after 120 seconds
    option keepalive '10 120'
#keep key and tunnel persistent across restarts
    option persist_key '1'
    option persist_tun '1'
#set user and group to less-privileged account (UNIX/Linux only)
    option user 'nobody'
    option group 'nogroup'
#certificate information
    option ca '/etc/easy-rsa/keys/ca.crt'
    option cert '/etc/easy-rsa/keys/c7.crt'
    option key '/etc/easy-rsa/keys/c7.key'
    option dh '/etc/easy-rsa/keys/dh2048.pem'
#server settings
    option mode 'server'
    option tls_server '1'
    option server '10.8.0.0 255.255.0.0'
#specify topology to use
    option topology 'subnet'
#specify gateway to use
    option route_gateway 'dhcp'
#allow clients to "see" one another
    option client_to_client '1'
#options to push to clients
    list push 'comp-lzo yes'
#keep key and tunnel persistent across restarts
    list push 'persist-key'
    list push 'persist-tun'
#set user and group to less-privileged account (UNIX/Linux only)
    list push 'user nobody'
    list push 'user nogroup'
#specify topology to use
    list push 'topology subnet'
#specify gateway to use
    list push 'route-gateway dhcp'
#redirect ALL traffic through the VPN server (this is IMPORTANT if you don't trust your local network)
#    list push 'redirect-gateway def1'
#  push a local route to your clients (allow your clients to access the server's network)
    list push 'route 10.0.0.0 255.255.0.0'
    
#push DNS to your clients (this is IMPORTANT if you don't trust your local network)
#  list push 'dhcp-option DNS 208.67.222.222'
#  list push 'dhcp-option DNS 208.67.220.220'

firewall

config rule
    option name 'Allow-OpenVPN-Inbound'
    option target 'ACCEPT'
    option src 'wan'
    option proto 'udp'
    option dest_port '1194'

config zone
    option name 'vpn'
    option input 'ACCEPT'
    option forward 'ACCEPT'
    option output 'ACCEPT'
    option masq '1'
    option network 'vpn0'

config forwarding
    option src 'vpn'
    option dest 'wan'

config forwarding
    option src 'vpn'
    option dest 'lan'

oraz
/proc/sys/net/ipv4/ip_forward 1

2 Odpowiedź przez mar_w

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: OpenVPn - widoczny tylko serwer. (Lede)

Takie małe uwagi:
1. Ogólnie to nie napisałeś na czym jest ten tunel (Gargoyle, Openwrt, LEDE), być może pomogłoby to w diagnostyce lub do zgłoszenia błędu jeżeli to w LEDE.
2. Dobrze jest pokazać logi z etapu łączenia serwera oraz klienta.
3. Wpisałeś trochę nadmiarowych (niepotrzebnych) opcji, które normalnie robią się same z automatu, co pokazuje że nie spojrzałeś do manuala smile i pokazuje jeszcze jedną rzecz a więc, takie coś:

avathar napisał/a:

...
server '10.8.0.0 255.255.0.0'
...
topology 'subnet'
...

oznacza, że już z automatu wykona się:

push "topology subnet"
push "route-gateway 10.8.0.1"

a Ty sobie dalej piszesz:

avathar napisał/a:

...
push 'route-gateway dhcp'
...

Czy to ze sobą nie koliduje ?

A wiesz co oznacza: route-gateway dhcp ?
odpowiedź:  "...If dhcp is specified as the parameter, the gateway address will be extracted from a DHCP negotiation with the OpenVPN server-side LAN...."

Ja bym wolał wysyłać klientom trasę do sieci LAN za serwerem VPN w ten sposób:

push "route 10.0.0.0 255.255.0.0"

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

3 Odpowiedź przez avathar (edytowany przez avathar 2017-10-03 14:30:24)

  • Zarejestrowany: 2013-06-13
  • Posty: 44

Odp: OpenVPn - widoczny tylko serwer. (Lede)

Konfiguracja dotyczy LEDE i była wykonana zgodnie z tą instrukacją. Przekopiowałem obecną konfigurację do innego routera 1043nd. I w tym przypadku nie mam problemu z dostępem do sieci lokalnej za routerem.
Zatem wygląda na to, że na moim głównym serwerze archer c7 coś się zbugowało. (to nie wina archera c7, bo jestem teraz pewien, że te ustawienia działały na nim wcześniej).

Jak w takiej sytuacji najlepiej postąpić ?
Backup ustawień - reset i odtworzenie ustawień ?

Próbowałem usunąć całą konfigurację vpn (z interfejsem i wpisami w firewallu) i od nowa ją zrobiłem z konsoli co nie pomogło.
Miałem wcześniej też problem z dhcp. Mianowicie po edycji z przeglądarki listy hostów, dhcp przestał działać, ale w tym przypadku wystarczyło wyedytować dhcp z konsoli i problem zniknął.

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,230

Odp: OpenVPn - widoczny tylko serwer. (Lede)

Przeglądarka zapamiętuje ci dane wpisane w polach, a później uzupełnia sama pola które są podobnego typu/nazwy/coś podobnego. Zapisujesz i masz problem bo bzdury w konfigu się zapisały. Tak się dzieje np. dla hasła logowania do routera i haseł dla wifi.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez mar_w

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: OpenVPn - widoczny tylko serwer. (Lede)

@avathar
1. Czy ten inny router (1043nd.) jest w tej samej lokalizacji z tym samym adresem WAN itd czy może jest na innym łączu i dlatego Ci działa.
Bo sprawdziłem tych kilka wpisów (m.in. takich jak route-gateway  dhcp) i nic nie dodaje spektakularnego do tablicy routingu i normalnie tunel zestawia się między dwoma maszynami z LEDE-17.01.3 i openvpn-openssl - 2.4.3-2
Tablica routingu na kliencie też jest dobra do sieci LAN za serwerem:
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
...
10.0.0.0        10.8.0.1        255.255.0.0     UG    0      0        0 tun0
10.8.0.0        0.0.0.0         255.255.0.0     U     0      0        0 tun0

Pokazałbyś logi z połączenia, to może ktoś/coś by dojrzał.

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *