1 Temat przez geciu

  • geciu
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2020-05-12
  • Posty: 4

Temat: OpenVPN w trybie TUN. Problem z routingiem z PC-ta (z routera dziala).

Witam wszystkich. Jest to mój debiut na tym forum,
choć treści na nim czytam od kilku lat.

Ze smutkiem stwierdzam, że pomimo siedzenia
nad pewnym problemem od początku maja - nie poradziłem sobie.

Sprawa dotyczy OpenVPN-a.

Mam 4 routery z:
OpenWrt 19.07-SNAPSHOT, r11014-c2efc973d5                                 |

Jeden ma dostęp do sieci internet ze stałym adresem IP.
Trzy mają dostęp za pomocą modemu GSM.

Stworzyłem według instrukcji p. Cezarego serwer OpenVPN w trybie TUN.

VPN pozwala mi na łączenie się z dowolnego z routerów w sieci z pozostałymi.

Adresy routerów:        adres tunelu:
serwer1 LAN 192.168.81.1/24    10.8.0.1
klient2 LAN 192.168.82.1/24    10.8.0.2
klient3 LAN 192.168.83.1/24    10.8.0.3
klient4 LAN 192.168.84.1/24    10.8.0.4

Tunel działa. Z dowolnego routera mogę pingowac dowolny router i maszyny
podłączone do niego (routery po adresach LANu i tunelu, maszyny po adresie LANu).

A chciałbym aby pingowanie działało też z PC-ta podłączonego do dowolnego routera.

Mój problem:
Z dowolnej maszyny podłączonej do dowolnego routera nie mogę pingowac
(wiec i podłączać np. zdalnego pulpitu) adresu tunelu i adresu LAN
innego niż na "moim" (czyli tym, do którego jestem aktualnie podłączony).

Co i jak zrobić aby działał routing pomiędzy sieciami również dla zwykłych PC-tów?


tablica routingu na serwerze:
route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         xxx.xxx.xxx.1   0.0.0.0         UG    0      0        0 eth0.2
10.8.0.0        0.0.0.0         255.255.255.0   U     0      0        0 tun0
192.168.81.0    0.0.0.0         255.255.255.0   U     0      0        0 br-lan
192.168.82.0    10.8.0.2        255.255.255.0   UG    0      0        0 tun0
192.168.83.0    10.8.0.2        255.255.255.0   UG    0      0        0 tun0
192.168.84.0    10.8.0.2        255.255.255.0   UG    0      0        0 tun0
xxx.xxx.xxx.0   0.0.0.0         255.255.248.0   U     0      0        0 eth0.2

tablica routingu na kliencie:
route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.64.64.64     0.0.0.0         UG    0      0        0 3g-wan
10.8.0.0        0.0.0.0         255.255.255.0   U     0      0        0 tun0
10.64.64.64     0.0.0.0         255.255.255.255 UH    0      0        0 3g-wan
192.168.81.0    10.8.0.1        255.255.255.0   UG    0      0        0 tun0
192.168.82.0    10.8.0.1        255.255.255.0   UG    0      0        0 tun0
192.168.83.0    10.8.0.1        255.255.255.0   UG    0      0        0 tun0
192.168.84.0    0.0.0.0         255.255.255.0   U     0      0        0 br-lan

zawartość mojego pliku openvpn na serwerze:

config openvpn 'home'
    option enabled '1'
    option dev 'tun0'
    option port '1194'
    option proto 'udp'
    option log '/tmp/openvpn.log'
    option verb '3'
    option ca '/etc/openvpn/ca.crt'
    option cert '/etc/openvpn/serwer.crt'
    option key '/etc/openvpn/serwer.key'
    option server '10.8.0.0 255.255.255.0'
    option topology 'subnet'
    option dh '/etc/openvpn/dh.pem'
    option client_config_dir '/etc/openvpn/ccd'
    list push 'route 192.168.81.0 255.255.255.0'
    list push 'route 192.168.82.0 255.255.255.0'
    list push 'route 192.168.84.0 255.255.255.0'
    list push 'route 192.168.83.0 255.255.255.0'
    list route '192.168.82.0 255.255.255.0'
    list route '192.168.84.0 255.255.255.0'
    list route '192.168.83.0 255.255.255.0'
    option client_to_client '1'

i na kliencie:

config openvpn 'klient4'
    option enabled '1'
    option dev 'tun0'
    option proto 'udp'
    option log '/tmp/openvpn.log'
    option verb '3'
    option ca '/etc/openvpn/ca.crt'
    option cert '/etc/openvpn/klient4.crt'
    option key '/etc/openvpn/klient4.key'
    option client '1'
    option remote_cert_tls 'server'
    option remote 'moj_IP 1194'

2 Odpowiedź przez khain

  • khain
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-09-15
  • Posty: 328

Odp: OpenVPN w trybie TUN. Problem z routingiem z PC-ta (z routera dziala).

Routing wygląda prawidłowo, więc pewnie nie masz forwardu pakietów z openvpn do lan (i w drugą stronę) na serwerze i klientach.

TP-Link TL-WDR3600 v1.5 -  OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163  +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7

3 Odpowiedź przez mar_w

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: OpenVPN w trybie TUN. Problem z routingiem z PC-ta (z routera dziala).

geciu napisał/a:

...Z dowolnego routera mogę pingowac dowolny router i maszyny
podłączone do niego (routery po adresach LANu i tunelu, maszyny po adresie LANu).

Wydaje się że w jedną stronę forward działa dobrze (z vpn do lan) gorzej  w drugą stronę tak jak pisze @khain

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

4 Odpowiedź przez geciu

  • geciu
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2020-05-12
  • Posty: 4

Odp: OpenVPN w trybie TUN. Problem z routingiem z PC-ta (z routera dziala).

Rzeczywiście brakowało mi po prostu forwarding-u pakietów z lan do vpn.

Dodałem do pliku firewall (na serwerze VPN i klientach) następujące linie:

config forwarding
    option src 'lan'
    option dest 'vpn'

bo w drugą stronę (z vpn do lan) już miałem.

Dziękuję użytkownikom mar_w oraz khain za pomoc i cenne porady.

Pozdrawiam

Temat do zamknięcia.