Nie jesteś zalogowany. Proszę się zalogować lub zarejestrować.
eko.one.pl → Oprogramowanie / Software → Gargoyle 1.5.5, nowy plugin OpenVPN
Strony Poprzednia 1 … 9 10 11 12 13 Następna
Zaloguj się lub zarejestruj by napisać odpowiedź
Miedzy klientami śmiga, do serwera też się łączą klienci, tylko nie mogę się dostać po IP z serwera do żadnego klienta pingi też nie chodza z serwera.
Podejrzewam, że działa tylko próbujesz pingować zły adres IP serwera. Sprawdź jaki adres IP ma serwer na interfejsie tun.
Druga sprawa to ustaw forwarding na kliencie openvpn dodając do /etc/config/firewall
config forwarding
option dest 'vpn'
option src 'lan'
config forwarding
option dest 'lan'
option src 'vpn'oraz do /etc/config/network
config interface 'vpn'
option ifname 'tun0'
option proto 'none'Na końcu zrestartuj network i firewall na kliencie
/etc/init.d/firewall restart
/etc/init.d/network restartPodpowiedzi kolegi @khain nie pomogły, szkoda. Wiem że mam trochę nietypową konfigurację jak dla serwera openvpn, nie używam wan-a, wan jest połączony razem z lan. Dlatego pewnie tutaj jest problem. Ma zrobione bez wan dlatego że potrzebuję mieć większą ilość gniazd lan i mieć wszystko w jednej podsieci, którą przydziela router który jest przed 1043nd. Dlatego taka konfiguracja na standardowych ustawieniach openvpn nie ruszy. Pewnie trzeba mu wskazać odpowiedni routing, na którym się nie znam.
W takim razie mamy za mało danych. Wrzuć schemat połączeń, configi openvpn, network i firewall (serwera i klienta) oraz logi serwera i klienta.
firewall server
config defaults
option syn_flood '1'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'
config zone
option name 'lan'
list network 'lan'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'
config zone
option name 'wan'
list network 'wan'
list network 'wan6'
option input 'REJECT'
option output 'ACCEPT'
option forward 'REJECT'
option masq '1'
option mtu_fix '1'
config forwarding
option src 'lan'
option dest 'wan'
config rule
option name 'Allow-DHCP-Renew'
option src 'wan'
option proto 'udp'
option dest_port '68'
option target 'ACCEPT'
option family 'ipv4'
config rule
option name 'Allow-Ping'
option src 'wan'
option proto 'icmp'
option icmp_type 'echo-request'
option family 'ipv4'
option target 'ACCEPT'
config rule
option name 'Allow-DHCPv6'
option src 'wan'
option proto 'udp'
option src_ip 'fe80::/10'
option src_port '547'
option dest_ip 'fe80::/10'
option dest_port '546'
option family 'ipv6'
option target 'ACCEPT'
config rule
option name 'Allow-ICMPv6-Input'
option src 'wan'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
list icmp_type 'router-solicitation'
list icmp_type 'neighbour-solicitation'
list icmp_type 'router-advertisement'
list icmp_type 'neighbour-advertisement'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'
config rule
option name 'Allow-ICMPv6-Forward'
option src 'wan'
option dest '*'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'
config include
option path '/etc/firewall.user'
option reload '1'
config include
option type 'script'
option path '/usr/lib/gargoyle_firewall_util/gargoyle_additions.firewall'
option family 'IPv4'
option reload '1'
config include 'miniupnpd'
option type 'script'
option path '/usr/share/miniupnpd/firewall.include'
option family 'IPv4'
option reload '1'
config include 'openvpn_include_file'
option path '/etc/openvpn.firewall'
option reload '1'
config remote_accept 'ra_80_9998'
option local_port '80'
option remote_port '9998'
option proto 'tcp'
option zone 'lan'
config remote_accept 'ra_22_9997'
option local_port '22'
option remote_port '9997'
option proto 'tcp'
option zone 'lan'
config zone 'vpn_zone'
option name 'vpn'
option network 'vpn'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'ACCEPT'
option mtu_fix '1'
option masq '1'
config forwarding 'vpn_lan_forwarding'
option src 'lan'
option dest 'vpn'
config remote_accept 'ra_openvpn'
option zone 'wan'
option local_port '10000'
option remote_port '10000'
option proto 'udp'
config forwarding 'vpn_wan_forwarding'
option src 'vpn'
option dest 'wan'
network serwer
config interface 'loopback'
option ifname 'lo'
option proto 'static'
option ipaddr '127.0.0.1'
option netmask '255.0.0.0'
config interface 'lan'
option type 'bridge'
option proto 'static'
option netmask '255.255.255.0'
option ipaddr '192.168.88.113'
option gateway '192.168.88.1'
option dns '8.8.8.8 8.8.4.4'
option ifname 'eth1 eth0'
config switch
option name 'switch0'
option reset '1'
option enable_vlan '1'
config switch_vlan
option device 'switch0'
option vlan '1'
option ports '0 1 2 3 4'
config switch_vlan
option device 'switch0'
option vlan '2'
option ports '5 6'
config interface 'vpn'
option ifname 'tun0'
option proto 'none'
option defaultroute '0'
option peerdns '0'firewall client
config defaults
option syn_flood '1'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'
config zone
option name 'lan'
list network 'lan'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'
config zone
option name 'wan'
list network 'wan'
list network 'wan6'
option input 'REJECT'
option output 'ACCEPT'
option forward 'REJECT'
option masq '1'
option mtu_fix '1'
config forwarding
option src 'lan'
option dest 'wan'
config rule
option name 'Allow-DHCP-Renew'
option src 'wan'
option proto 'udp'
option dest_port '68'
option target 'ACCEPT'
option family 'ipv4'
config rule
option name 'Allow-Ping'
option src 'wan'
option proto 'icmp'
option icmp_type 'echo-request'
option family 'ipv4'
option target 'ACCEPT'
config rule
option name 'Allow-DHCPv6'
option src 'wan'
option proto 'udp'
option src_ip 'fe80::/10'
option src_port '547'
option dest_ip 'fe80::/10'
option dest_port '546'
option family 'ipv6'
option target 'ACCEPT'
config rule
option name 'Allow-ICMPv6-Input'
option src 'wan'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
list icmp_type 'router-solicitation'
list icmp_type 'neighbour-solicitation'
list icmp_type 'router-advertisement'
list icmp_type 'neighbour-advertisement'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'
config rule
option name 'Allow-ICMPv6-Forward'
option src 'wan'
option dest '*'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'
config include
option path '/etc/firewall.user'
option reload '1'
config include
option type 'script'
option path '/usr/lib/gargoyle_firewall_util/gargoyle_additions.firewall'
option family 'IPv4'
option reload '1'
config include 'miniupnpd'
option type 'script'
option path '/usr/share/miniupnpd/firewall.include'
option family 'IPv4'
option reload '1'
config include 'openvpn_include_file'
option path '/etc/openvpn.firewall'
option reload '1'
config zone 'vpn_zone'
option name 'vpn'
option network 'vpn'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'ACCEPT'
option mtu_fix '1'
option masq '1'
config forwarding 'vpn_lan_forwarding'
option src 'lan'
option dest 'vpn'
network client
config interface 'loopback'
option ifname 'lo'
option proto 'static'
option ipaddr '127.0.0.1'
option netmask '255.0.0.0'
config interface 'lan'
option ifname 'eth0.1'
option type 'bridge'
option proto 'static'
option netmask '255.255.255.0'
option dns '8.8.4.4 8.8.8.8'
option ipaddr '192.168.2.1'
config switch
option name 'rtl8366rb'
option reset '1'
option enable_vlan '1'
config switch_vlan
option device 'rtl8366rb'
option vlan '1'
option ports '1 2 3 4 5t'
config switch_vlan
option device 'rtl8366rb'
option vlan '2'
option ports '0 5t'
config interface 'wan'
option proto 'dhcp'
option ifname 'eth0.2'
option dns '8.8.4.4 8.8.8.8'
option peerdns '0'
config interface 'vpn'
option ifname 'tun0'
option proto 'none'
option defaultroute '0'
option peerdns '0' https://zapodaj.net/b42675b6e8c88.jpg.html
https://zapodaj.net/c4cfd0e5ca4e4.jpg.html
https://zapodaj.net/55a6c3658cceb.jpg.html
https://zapodaj.net/4193b452bc279.jpg.html
Podał bym jeszcze logi tylko nie wiem z czego i jak to zrobić.
Czyli mam rozumieć, żeby dopisać tą formułe i ma ruszyć. Zrobie to wieczorkiem teraz nie mam możliwości sprawdzić tego.
iptables -t nat -A POSTROUTING -o br-lan -j MASQUERADEnie ma być tak:
config zone
option name 'lan'
list network 'lan'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'
option masq '1'Dodałem do sekcji "lan"
option masq '1'potem restart routera, ale zamierzonego skutku nie ma. Nie mam już pomysłu.
Moim zdaniem dodawanie
option masq '1'do sekcji lan i do sekcji vpn w /etc/config/firewall po stronie klienta jest bez sensu. Usuń to, sprawdź czy działa. Podaj również wynik
route -ndla klienta i serwera.
to ma być tylko na serwerze kiedy serwer nie ma wan
serwer
root@Gargoyle:~# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.88.1 0.0.0.0 UG 0 0 0 br-lan
10.8.0.0 0.0.0.0 255.255.255.0 U 0 0 0 tun0
192.168.2.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0
192.168.3.0 10.8.0.3 255.255.255.0 UG 0 0 0 tun0
192.168.88.0 0.0.0.0 255.255.255.0 U 0 0 0 br-lan
root@Gargoyle:~#klient 1
root@Gargoyle:~# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 eth0.2
10.8.0.0 0.0.0.0 255.255.255.0 U 0 0 0 tun0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0.2
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 br-lan
192.168.3.0 10.8.0.1 255.255.255.0 UG 0 0 0 tun0
192.168.88.0 10.8.0.1 255.255.255.0 UG 0 0 0 tun0
root@Gargoyle:~#klient 2
root@Gargoyle:~# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 10.64.64.64 0.0.0.0 UG 0 0 0 3g-wan
10.8.0.0 0.0.0.0 255.255.255.0 U 0 0 0 tun0
10.64.64.64 0.0.0.0 255.255.255.255 UH 0 0 0 3g-wan
192.168.2.0 10.8.0.1 255.255.255.0 UG 0 0 0 tun0
192.168.3.0 0.0.0.0 255.255.255.0 U 0 0 0 br-lan
192.168.88.0 10.8.0.1 255.255.255.0 UG 0 0 0 tun0
root@Gargoyle:~#Z routingiem jest wszystko ok. Usunąłeś option masq '1' tak ja pisałem powyżej, dodałeś do sekcji lan serwera option masq '1' jak pisał bhb i zrobiłeś restart firewalla?
Wszystkie kombinacje wypróbowane które podawaliście powyżej, nie ruszyło. Z klientów chodzi ok.
pokarz konfig klienta z katalogu ccd
klient
ifconfig-push 10.8.0.3 255.255.255.0
iroute 192.168.3.0 255.255.255.0
push "route 192.168.2.0 255.255.255.0 10.8.0.1"
push "route 192.168.88.0 255.255.255.0 10.8.0.1"Wybacz @foniu2, ale nie bardzo rozumiem co chcesz uzyskać. Przeglądam ten wątek, ale chyba umknęło mi co chcesz osiągnąć. Jeśli możesz to napisz dokładnie jaki jest twój cel. Patrząc na schemat sieci, zastanawiam się czy VPN jest w tym miejscu konieczny. Może jest inne rozwiązanie?
W swojej sieci mam dwa routery dasan (dhcp) jak pierwszy i 1043nd jako (switch, serwer), który wan ma połączony razem z lan, czyli ma 5 gniazd lan. I teraz chcę aby 1043nd mógł się dostać po openvpn, np do panelu gui klientów. Klienci są połączeni po 10.xxx.xxx.xxx i chodzi to ładnie tylko nie mogę dostać się do urządzeń które są wpięte do klientów. Klienci mogą się połączyć do serwera i dostać się do wpiętych lan urządzeń.
A czy możesz na chwilę zapomnieć o VPN?
Opieram się na tym schemacie: https://zapodaj.net/4193b452bc279.jpg.html
Przecież PC z sieci 192.168.2.0/24 nie musi korzystać z VPN, żeby połączyć się z urządzeniami w sieci 192.168.88.0/24. Może wystarczy odpowiednio skonfigurować routing i ew. firewalla?
Nie wiem czy się tak da. Może nie przedstawiłem do końca dokładnie jak to wygląda. Na schemacie jest jeden z klientów, który ma zrobioną podsieć 192.168.2.1 i jeszcze jest jeden klient taki sam tylko 192.168.3.1. Obaj klienci są w innej sieci, czyli mogę się z nimi połączyć za pomocą internetu, tak łopatologicznie przedstawiając.
OK, to trochę wyjaśnia.
1. Każdy klient OpenVPN musi mieć własny klucz i musi być jednoznacznie rozpoznawany po nazwie Common Name lub Name. Kiedy klient połączy się z serwerem w logu serwera powinien pojawić się wpis w rodzaju
10.0.0.57:7837 [klient1] Peer Connection Initiated with Common Name masz w nawiasach klamrowych.
2. Konfiguracja klienta OpenVPN w zasadzie nie wymaga żadnych sztuczek. Czyli robisz to standardowo.
3. Konfiguracja serwera nie jest już taka standardowa.
Zakładam, że masz już w konfigu taki wpis:
option server "10.8.0.0 255.255.255.0"Musimy poinformować klienta, że przez tunel kierujemy ruch do sieci 192.168.88.0/24 i w configu serwera dodajemy
option push "route 192.168.88.0 255.255.255.0"no i oczywiście serwer musi wiedzieć, że przez tunel łączymy się z siecią 192.168.2.0/24
option route "192.168.2.0 255.255.255.0"Niestety serwer nie wie do którego klienta ma kierować ten ruch i tu musimy skorzystać ze specjalnej opcji
option client_config_dir ccdgdzie ccd jest nazwą katalogu, w którym będziemy przechowywać pliki z konfiguracją dla poszczególnych klientów.
Teraz tak na wszelki wypadek wpisz w konsoli
# mkdir -p /etc/openvpn/ccdJeżeli twój klient ma zapisaną w kluczu CN "klient1" to tworzysz plik /etc/openvpn/ccd/klient1 i do niego wpisujesz poniższą zawartość:
ifconfig 10.8.1.1 10.8.1.2
iroute 192.168.2.0 255.255.255.0Teraz możesz połączyć klienta1 z serwerem i sprawdzić:
1. Interface tun0 klienta1 powinien mieć adres 10.8.1.1
2. w tabeli routingu klienta1 powinien pojawić się wpis
# route
...
192.168.88.0 10.8.1.2 255.255.255.0 UG 0 0 0 tun0
...A w tablicy routingu serwera
192.168.2.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0Ponieważ twój serwer VPN nie jest domyślnym routerem w sieci 192.168.88.0/24 to musisz skonfigurować statyczny routing w dasanie. Coś w stylu
# route add -net 192.168.2.0/24 gw 192.168.88.113Taką samą trasę musisz dodać w konfiguracji serwera DHCP na dasanie. Dzięki temu pozostałe komputery w sieci 192.168.88.0/24 będą mogły połączyć się z siecią 192.168.2.0/24. Gdyby 192.168.2.1 nie był domyślnym routerem dla sieci 192.168.2.0/24 to i tutaj musisz zrobić podobnie.
Pozostaje jeszcze ustawić firewall na tp-linku 192.168.88.113
Daj znać czy zadziałało
Dziękuje za poświęcony czas i przejrzysty opis. Wszystko się zgadza i działa do momentu ostatnich zdań, gdzie mam dodać routing do dasana. Nie mam tam takiej opcji, aby cokolwiek wpisać, mam tylko reguły systemowe, albo jak kto woli ustawienia reguł dostępu, ale one pewnie nie mają z tym nic wspólnego.
Zapytam jeszcze ? Czy jak idą pingi idą bezpośrednio z konsoli serwera openvpn 192.168.88.113 (10.8.0.1) do klienta 192.168.2.1 (10.8.0.2), to zrobienie odpowiedniego routingu na serwerze mogło by rozwiązać mój problem. Ping z PC podłączonego do serwera do klienta openvpn nie idzie.
Jeśli tablice routingu klienta i serwera mają prawidłowe wpisy to w takim przypadku pozostało tylko ustawienie forwardu w iptables.
klient1
Destination Gateway Genmask Flags Metric Ref Use Iface
default 10.64.64.64 0.0.0.0 UG 0 0 0 3g-wan
10.8.0.0 * 255.255.255.0 U 0 0 0 tun0
10.64.64.64 * 255.255.255.255 UH 0 0 0 3g-wan
192.168.2.0 10.8.0.1 255.255.255.0 UG 0 0 0 tun0
192.168.3.0 * 255.255.255.0 U 0 0 0 br-lan
192.168.88.0 10.8.0.1 255.255.255.0 UG 0 0 0 tun0klient2
Destination Gateway Genmask Flags Metric Ref Use Iface
default 192.168.1.1 0.0.0.0 UG 0 0 0 eth0.2
10.8.0.0 * 255.255.255.0 U 0 0 0 tun0
192.168.1.0 * 255.255.255.0 U 0 0 0 eth0.2
192.168.2.0 * 255.255.255.0 U 0 0 0 br-lan
192.168.3.0 10.8.0.1 255.255.255.0 UG 0 0 0 tun0
192.168.88.0 10.8.0.1 255.255.255.0 UG 0 0 0 tun0serwer
Destination Gateway Genmask Flags Metric Ref Use Iface
default 192.168.88.1 0.0.0.0 UG 0 0 0 br-lan
10.8.0.0 * 255.255.255.0 U 0 0 0 tun0
192.168.2.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0
192.168.3.0 10.8.0.3 255.255.255.0 UG 0 0 0 tun0
192.168.88.0 * 255.255.255.0 U 0 0 0 br-lanmogę prosić o jąkać podpowiedz.
próbowałem na serwerze;
route add -net 10.8.0.0/24 gw 192.168.88.113
ale nic z tego.
Strony Poprzednia 1 … 9 10 11 12 13 Następna
Zaloguj się lub zarejestruj by napisać odpowiedź
eko.one.pl → Oprogramowanie / Software → Gargoyle 1.5.5, nowy plugin OpenVPN
Forum oparte o PunBB, wspierane przez Informer Technologies, Inc