1 Temat przez eerozeteen (edytowany przez eerozeteen 2019-01-12 23:08:55)

  • Zarejestrowany: 2013-06-24
  • Posty: 100

Temat: openvpn - serwer na win7 za routerem

Hej,

Walcze z tematem aby ustawić VPN do sieci firmowej. Serwer stoi na windows 7 pro, jest za routerem ktory tez pelni role gateway'a. Klient laczy sie z zewnatrz z sieca VPN bez problemu. Zalezy mi na tym, ale klient z zewnatrz mial dostep do zasobow lan sieci firmowej, po adresacji lan sieci firmowej. To co udalo mi sie osiagnac, na chwile obecna, to zestawienie polaczenia VPN i mozliwosc przegladania zasobow serwera vpn po adresacji VPN. Walcze juz troche, aby przerzucic routing na siec LAN, ale ciagle bez efektow. Na serwerze win7 wlaczylem przekazywanie pakietow w rejestrze forwardipv4=1, wylaczylem zapore na adapterze TAP openvpn. Wszelkie tutki jakie sa na necie dotycza serwerow linuxowych. Co do windowsow trudno jest znalesc jakies tutki.

Obecny stan rzeczy:
VPN jako TUN
Siec LAN - 192.168.1.0/24
Adres routera/gw - 192.168.1.254
Adres serwera VPN - 192.168.1.1
Adresacja sieci VPN - 10.8.0.0/24

Konfig serwera:

port 11194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
route 192.168.1.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
push "redirect-gateway def1"
push "dhcp-option DNS 192.168.1.254"
client-to-client
keepalive 10 120
tls-auth ta.key 0
key-direction 0
cipher AES-256-CBC
auth SHA256
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status status.log
verb 3

trasy na serwerze:

Tabela tras IPv4
===========================================================================
Aktywne trasy:
Miejsce docelowe w sieci   Maska sieci      Brama          Interfejs Metryka
          0.0.0.0          0.0.0.0    192.168.1.254      192.168.1.1     20
         10.8.0.0    255.255.255.0         10.8.0.2         10.8.0.1     20
         10.8.0.0  255.255.255.252         On-link          10.8.0.1    276
         10.8.0.1  255.255.255.255         On-link          10.8.0.1    276
         10.8.0.3  255.255.255.255         On-link          10.8.0.1    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.1.0    255.255.255.0         On-link       192.168.1.1    276
      192.168.1.0    255.255.255.0         10.8.0.2         10.8.0.1     20
      192.168.1.1  255.255.255.255         On-link       192.168.1.1    276
    192.168.1.255  255.255.255.255         On-link       192.168.1.1    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link       192.168.1.1    276
        224.0.0.0        240.0.0.0         On-link          10.8.0.1    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link       192.168.1.1    276
  255.255.255.255  255.255.255.255         On-link          10.8.0.1    276
===========================================================================

config klienta

client
dev tun
proto udp
remote xxx 11194
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
auth SHA256
comp-lzo
verb 3
script-security 2
key-direction 1
<ca>
...
</ca>
<cert>
...
</cert>
<key>
...
</key>
<tls-auth>
...
</tls-auth>

trasy klienta:

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0     192.168.10.1   192.168.10.216     50
          0.0.0.0        128.0.0.0         10.8.0.5         10.8.0.6    291
         10.8.0.0    255.255.255.0         10.8.0.5         10.8.0.6    291
         10.8.0.4  255.255.255.252         On-link          10.8.0.6    291
         10.8.0.6  255.255.255.255         On-link          10.8.0.6    291
         10.8.0.7  255.255.255.255         On-link          10.8.0.6    291
   xxx.xxx.xxx.xxx  255.255.255.255     192.168.10.1   192.168.10.216    306
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    331
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    331
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    331
        128.0.0.0        128.0.0.0         10.8.0.5         10.8.0.6    291
      192.168.1.0    255.255.255.0         10.8.0.5         10.8.0.6    291
     192.168.10.0    255.255.255.0         On-link    192.168.10.216    306
   192.168.10.216  255.255.255.255         On-link    192.168.10.216    306
   192.168.10.255  255.255.255.255         On-link    192.168.10.216    306
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    331
        224.0.0.0        240.0.0.0         On-link    192.168.10.216    306
        224.0.0.0        240.0.0.0         On-link          10.8.0.6    291
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    331
  255.255.255.255  255.255.255.255         On-link    192.168.10.216    306
  255.255.255.255  255.255.255.255         On-link          10.8.0.6    291
===========================================================================

Zalezy mi najbardziej na tym, aby po użyciu sciezki \\SERWER\udzial  byla mozliwosc przegladania zasobow (nazwa SERWER jest przydzielona przez DNSa dla 192.168.1.1). docelowo chcialbym jednak aby cala siec 192.168.1.0/24 byla widoczna z poziomu klienta i klient mial dostep do internetu przez VPN.

Wszystko mowi mi ze mam cos niepoprawnie skonfigurowane w windzie 7, ale niestety nie umiem znaleźć rozwiazania.
Jak ewentualnie można ustawić hosta 10.8.0.1 jako SERWER czasowo tylko podczas polaczenia VPN? (podmapowane dyski są własnie jako \\SERWER\udzial)

Pozdrawiam

2 Odpowiedź przez khain (edytowany przez khain 2019-01-13 09:48:59)

  • khain
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-09-15
  • Posty: 328

Odp: openvpn - serwer na win7 za routerem

Sieć 192.168.1.0 jest bezpośrednio podpięta pod serwer VPN, więc wpis jest zbędny: 

route 192.168.1.0 255.255.255.0

Poza tym konfig serwera wygląda ok.
1. W zwiazku z tym, że to TUN to zapewne nie masz trasy do 10.8.0.0 wpisanej w routingu na routerze(ten, który jest bramą domyślną dla serwer vpn). Pakiety z klienta VPN docierają do końcówek w LAN serwera, ale odpowiedź idzie przez bramę domyślną (router), zamiast przez serwer, bo nie ma routingu do 10.8.0.0 przez serwer VPN.
2. Pytanie co z firewall na Win7 na interfejsie LAN, czy tam nie są blokowane pakiety z sieci prywatnych spoza 192.168.1.0
Rozwiąż te dwa problemy, a powinno działać prawidłowo.

TP-Link TL-WDR3600 v1.5 -  OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163  +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7

3 Odpowiedź przez eerozeteen

  • Zarejestrowany: 2013-06-24
  • Posty: 100

Odp: openvpn - serwer na win7 za routerem

Dzięki khain za pomoc.

Usunąłem wskazana linijkę z configa. Dodałem do netii spota (taki jest router "z przodu") trasę do 10.8.0.0/24 z gatewayem na 192.168.1.1, nawet nic w zaporze nie zmieniałem, i w jakiś magiczny sposób zaczęło działać. W sumie po wprowadzeniu zmień od razu nie zaskoczyło, ale dziś sprawdziłem i działa. Może IP dhcp odnowił i podaj nowe instrukcje, nie wiem naprawdę.

Zauważyłem inny problem, jak sie łączę po rdp do serwera na ip LAN )192.168.1.1 to po chwili rdp wyrzuca błąd wewnętrzny (moje podejrzenie ze wpada w jakiegoś loopa), za to na 10.8.0.1, nie ma problemu. Można to jakoś naprawić, czy zostać ze sposobem łączenia się po adresie VPN?