126 Odpowiedź przez marczelo

  • Skąd: TL-WDR3600 - WNR3500
  • Zarejestrowany: 2012-05-14
  • Posty: 618

Odp: Gargoyle 1.5.5, nowy plugin OpenVPN

NO tak wiem już zrobiłem ok a Cezary powiedz mi co takiego wnosi wersja, z 09.07 teraz co dałeś ? no tamta miała problem z czasem po wyłączeniu routera dziś update zrobiłem i nie widzę na oko zmian miłego wieczoru

Podejmę się naprawy ruterów TP-Link od WR1043 -MR3420 i pozostałe modele kontakt na private! smile i smile

Obrazy do ruterów są mojej Kompilacji i z nich korzystam i mam własne pakiety na dzień obecny są to BB  i Gargulec big_smile i big_smile

marczelo's Strona

127 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,033

Odp: Gargoyle 1.5.5, nowy plugin OpenVPN

A przeczytaj w opisie co ta wersja wprowadziła. Trudno każdemu z osobna pisać to każdym razem  - wystarczy przeczytać na stronie.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

128 Odpowiedź przez badziewiak

  • Skąd: Chrząszczyżewoszyce Łękołody:)
  • Zarejestrowany: 2010-08-26
  • Posty: 1,808

Odp: Gargoyle 1.5.5, nowy plugin OpenVPN

Probuje skonfigurowac serwer OpenVPN. Na porcie domyslnym hula na wirtualnej maszynie, znaczy wiec ze powinno pojsc i na zewnatrz. Jesli jednak probuje przypisac port 443 do serwera, to plug-in wyswietla okienko o niemoznosci wprowadzenia tego portu. Proponuje zmienic plug-ina tak, aby tylko ostrzegal i pytal czy na pewno tak chce zrobic, po czym zrobil co uzytkownik chce. Teraz musze grzebac w plikach konfiguracyjnych.
Zapyta ktos po co chce tak zrobic... Chodzi o korporacyjny proxy. Po tym porcie powinno hulac, bo cala reszta (w tym UDP) jest powycinana.

MiniPC 6xRJ45 2Gb, N100, 16GB DDR5, 1TB NVMe (Gargoyle)
Linksys WRT3200ACM (Gargoyle)
Tp-link 1043NDv2 (Gargoyle)

129 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,033

Odp: Gargoyle 1.5.5, nowy plugin OpenVPN

Przecież Ci pisze że nie może bo https na tym działa. Wyłącz https w administracji gargoyle, bo tam serwer www nasłuchuje. Więc nie możesz go teraz do openvpn użyć.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

130 Odpowiedź przez badziewiak

  • Skąd: Chrząszczyżewoszyce Łękołody:)
  • Zarejestrowany: 2010-08-26
  • Posty: 1,808

Odp: Gargoyle 1.5.5, nowy plugin OpenVPN

Wyswietla:
Port serwera OpenVPN koliduje z wartością wpisaną w polu lokalny port HTTPS (jakie pole?!).
Zmiany nie mogą być wprowadzone.

W zakladce System->Dostep do routera->Dostep do panelu mam protokol dostepu tylko HTTP. Wprowadzilem zmiany w konfiguracji serwera przez plik konfiguracyjny, zrestartowalem vpn i dziala to (klient sie laczy, moge wejsc z wirtualnej maszyny do gargoyle przez 192.168.1.1). Nie moge jednak wprowadzic zmian przez GUI.

MiniPC 6xRJ45 2Gb, N100, 16GB DDR5, 1TB NVMe (Gargoyle)
Linksys WRT3200ACM (Gargoyle)
Tp-link 1043NDv2 (Gargoyle)

131 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,033

Odp: Gargoyle 1.5.5, nowy plugin OpenVPN

Masz tam w https wpisane 443? To go zmień na inny. Niezależnie od tego że masz tylko http wybrany.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

132 Odpowiedź przez badziewiak

  • Skąd: Chrząszczyżewoszyce Łękołody:)
  • Zarejestrowany: 2010-08-26
  • Posty: 1,808

Odp: Gargoyle 1.5.5, nowy plugin OpenVPN

O teraz poszlo. Czyli byloby wskazane testowanie widocznosci tego pola.

MiniPC 6xRJ45 2Gb, N100, 16GB DDR5, 1TB NVMe (Gargoyle)
Linksys WRT3200ACM (Gargoyle)
Tp-link 1043NDv2 (Gargoyle)

133 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,033

Odp: Gargoyle 1.5.5, nowy plugin OpenVPN

Akurat tylko plugin to sprawdza a system nie. Więc wpisane tego portu w openvpn a później w gui wybranie https skutkowało by problemem. Tu całą ideologię trzeba by było dopisać.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

134 Odpowiedź przez badziewiak

  • Skąd: Chrząszczyżewoszyce Łękołody:)
  • Zarejestrowany: 2010-08-26
  • Posty: 1,808

Odp: Gargoyle 1.5.5, nowy plugin OpenVPN

Ok, to moze wystarczy jakis label obok pola portu z informacja? Zeby nikt juz nie pytal o to.

MiniPC 6xRJ45 2Gb, N100, 16GB DDR5, 1TB NVMe (Gargoyle)
Linksys WRT3200ACM (Gargoyle)
Tp-link 1043NDv2 (Gargoyle)

135 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,033

Odp: Gargoyle 1.5.5, nowy plugin OpenVPN

"lokalny port HTTPS" nie wystarczy? Dokładnie tak się pole nazywa

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

136 Odpowiedź przez dorado

  • dorado
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2011-12-14
  • Posty: 375

Odp: Gargoyle 1.5.5, nowy plugin OpenVPN

Witam
Poszukuje info, odnośnie ustawienia adresów IP w OpenVPN w Gargoyle. Adres sieci wew mam 192.168.1.xxx maska 255.255.255.0
Serwer OpenVPN chodzi:
Uruchomiony, połączony, IP: 10.8.0.1

Client1 ustawiam tak:
http://images40.fotosik.pl/1714/39c68dcfa78f3ea2med.jpg

I nie wiem jak go ustawić. Czy ustawiać "Podsieć za klientem" i na jakim adresie?
dzieki

TL-WR1043ND Gargoyle:
1.6.2.2 (r42647),  by obsy oraz NAS z MiniDLNA i Transmission

wcześnej: HUB aktywny + drukarka + USB 2,5" + miniDLNA z napisami + torrent

137 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,033

Odp: Gargoyle 1.5.5, nowy plugin OpenVPN

Zostaw dokładnie tak jak jest.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

138 Odpowiedź przez dorado

  • dorado
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2011-12-14
  • Posty: 375

Odp: Gargoyle 1.5.5, nowy plugin OpenVPN

Ok, teraz konfiguruje klienta na komputerze z poza mojej sieci. Chodzi na nim Windows 7, więc używam OpenVPN GUI. Pobrany plik z certyfikatem, kopiuje do konfiga OpenVPN GUI. I powinno działać ? smile

TL-WR1043ND Gargoyle:
1.6.2.2 (r42647),  by obsy oraz NAS z MiniDLNA i Transmission

wcześnej: HUB aktywny + drukarka + USB 2,5" + miniDLNA z napisami + torrent

139 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,033

Odp: Gargoyle 1.5.5, nowy plugin OpenVPN

Pewnie nie. W zależności od której wersji masz ten konfig, w środku mogą być niepotrzebnie ustawione ścieżki do certyfikatów. Więc najpierw obejrzyj sobie plik po prostu.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

140 Odpowiedź przez dorado

  • dorado
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2011-12-14
  • Posty: 375

Odp: Gargoyle 1.5.5, nowy plugin OpenVPN

OK, pliki w/g strony głównej i tego co pobrałem są na pewno inne. Interesuje mnie same adresowanie klienta OpenVPN. Znalazłem na necie część informacji, gdzie ktoś napisał o konfigurowaniu połączenia. Ale nikt nie pisze o dostępie do danych np. serwera NAS z poza sieci LAN. Czy będzie on widoczny po przez adres wew 192.168.1.xxx dla kogoś z zew? Dopiero zaczynam kontakt z VPN, ale nie mogę znaleźć info, dla początkujących smile
dzieki i pozdrawiam

TL-WR1043ND Gargoyle:
1.6.2.2 (r42647),  by obsy oraz NAS z MiniDLNA i Transmission

wcześnej: HUB aktywny + drukarka + USB 2,5" + miniDLNA z napisami + torrent

141 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,033

Odp: Gargoyle 1.5.5, nowy plugin OpenVPN

Tak, przecież jak konfigurujesz to masz jedną z opcji czy dostęp jest tylko do serwera czy też do urządzeń w lan.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

142 Odpowiedź przez dorado

  • dorado
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2011-12-14
  • Posty: 375

Odp: Gargoyle 1.5.5, nowy plugin OpenVPN

Tak, ustawiłem dostęp do urządzeń w LAN. Teraz chcę sprawdzić z połączenia lokalnego, czy serwer działa. Robię tak: stworzyłem plik konfigu o nazwie: test.opvpn a w nim:

    dev tap
    proto udp
    remote XXX.XXX.XXX.XXX 1194
    resolv-retry infinite
    nobind
    mute-replay-warnings
    secret "c:\\Program Files\\OpenVPN\\config\\secret.key"
    verb 3
    float

Zamiast xxx.xxx.xxx.xxx wstawiłem oczywiście adres dyndns z którego korzystam na co dzień do transmission, ftp. Teraz tak, potrzebuje plik secret.key W archiwum, które pobieram z certyfikatami jest plik client1.key, ale gdy ustawiam do niego wpis, jest tak:

 Insufficient key material or header text not found in file 'c:\OpenVPN\data\config\secret.key' (0/128/256 bytes found/min/max)

Czy mam ten plik z kluczem pozyskać w inny sposób?
dzieki i pozdrawiam

TL-WR1043ND Gargoyle:
1.6.2.2 (r42647),  by obsy oraz NAS z MiniDLNA i Transmission

wcześnej: HUB aktywny + drukarka + USB 2,5" + miniDLNA z napisami + torrent

143 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,033

Odp: Gargoyle 1.5.5, nowy plugin OpenVPN

Źle - to nie jest konfiguracja wygenerowana przez serwer openvpn na gargoyle. To jest ta z mojego poradnika, a ona jest inna.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

144 Odpowiedź przez dorado (edytowany przez dorado 2012-07-24 19:18:12)

  • dorado
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2011-12-14
  • Posty: 375

Odp: Gargoyle 1.5.5, nowy plugin OpenVPN

Witam
Dzieki za naprowadzenie. Pobrałem paczkę, poustawiałem jak sugerowałeś i udało mi się połączyć z siecią z komputera. Tzn, status połączono, ikonki na zielono. Niestety na kliencie w tym momencie zaczyna brakowac neta. Oto log:

Tue Jul 24 16:05:08 2012 us=167000 VERIFY OK: depth=1, /C=__/ST=UnknownProvince/L=UnknownCity/O=UnknownOrg/OU=UnknownOrgUnit/CN=mfnlhglfmebsrho/name=mfnlhglfmebsrho/emailAddress=mfnlhglfmebsrho@atstgigbtdcmbkc.com
Tue Jul 24 16:05:08 2012 us=167000 VERIFY OK: nsCertType=SERVER
Tue Jul 24 16:05:08 2012 us=167000 VERIFY OK: depth=0, /C=__/ST=UnknownProvince/L=UnknownCity/O=UnknownOrg/OU=UnknownOrgUnit/CN=mfnlhglfmebsrho/name=mfnlhglfmebsrho/emailAddress=mfnlhglfmebsrho@atstgigbtdcmbkc.com
Tue Jul 24 16:05:08 2012 us=510000 NOTE: Options consistency check may be skewed by version differences
Tue Jul 24 16:05:08 2012 us=510000 WARNING: 'version' is used inconsistently, local='version V4', remote='version V0 UNDEF'
Tue Jul 24 16:05:08 2012 us=510000 WARNING: 'dev-type' is present in local config but missing in remote config, local='dev-type tun'
Tue Jul 24 16:05:08 2012 us=510000 WARNING: 'link-mtu' is present in local config but missing in remote config, local='link-mtu 1542'
Tue Jul 24 16:05:08 2012 us=510000 WARNING: 'tun-mtu' is present in local config but missing in remote config, local='tun-mtu 1500'
Tue Jul 24 16:05:08 2012 us=510000 WARNING: 'proto' is present in local config but missing in remote config, local='proto UDPv4'
Tue Jul 24 16:05:08 2012 us=510000 WARNING: 'comp-lzo' is present in local config but missing in remote config, local='comp-lzo'
Tue Jul 24 16:05:08 2012 us=510000 WARNING: 'cipher' is present in local config but missing in remote config, local='cipher BF-CBC'
Tue Jul 24 16:05:08 2012 us=510000 WARNING: 'auth' is present in local config but missing in remote config, local='auth SHA1'
Tue Jul 24 16:05:08 2012 us=510000 WARNING: 'keysize' is present in local config but missing in remote config, local='keysize 128'
Tue Jul 24 16:05:08 2012 us=510000 WARNING: 'key-method' is present in local config but missing in remote config, local='key-method 2'
Tue Jul 24 16:05:08 2012 us=510000 WARNING: 'tls-server' is present in local config but missing in remote config, local='tls-server'
Tue Jul 24 16:05:08 2012 us=510000 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Jul 24 16:05:08 2012 us=510000 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Jul 24 16:05:08 2012 us=510000 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Jul 24 16:05:08 2012 us=510000 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Jul 24 16:05:08 2012 us=525000 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Tue Jul 24 16:05:08 2012 us=525000 [mfnlhglfmebsrho] Peer Connection Initiated with adres.ip 8:1194
Tue Jul 24 16:05:10 2012 us=632000 SENT CONTROL [mfnlhglfmebsrho]: 'PUSH_REQUEST' (status=1)
Tue Jul 24 16:05:10 2012 us=632000 PUSH: Received control message: 'PUSH_REPLY,route-gateway 10.8.0.1,redirect-gateway def1,ping 25,ping-restart 180,route 192.168.0.0 255.255.0.0 10.8.0.1,route 192.168.1.0 255.255.255.0 10.8.0.1,ifconfig 10.8.0.2 255.255.255.0'
Tue Jul 24 16:05:10 2012 us=647000 OPTIONS IMPORT: timers and/or timeouts modified
Tue Jul 24 16:05:10 2012 us=647000 OPTIONS IMPORT: --ifconfig/up options modified
Tue Jul 24 16:05:10 2012 us=647000 OPTIONS IMPORT: route options modified
Tue Jul 24 16:05:10 2012 us=647000 OPTIONS IMPORT: route-related options modified
Tue Jul 24 16:05:10 2012 us=678000 ROUTE default_gateway=192.168.1.1
Tue Jul 24 16:05:10 2012 us=741000 TAP-WIN32 device [Połšczenie lokalne 2] opened: \\.\Global\{4D6A9F83-AE2E-45AB-B0A7-64B4D525884C}.tap
Tue Jul 24 16:05:10 2012 us=756000 TAP-Win32 Driver Version 9.9 
Tue Jul 24 16:05:10 2012 us=756000 TAP-Win32 MTU=1500
Tue Jul 24 16:05:10 2012 us=756000 Set TAP-Win32 TUN subnet mode network/local/netmask = 10.8.0.0/10.8.0.2/255.255.255.0 [SUCCEEDED]
Tue Jul 24 16:05:10 2012 us=756000 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.2/255.255.255.0 on interface {4D6A9F83-AE2E-45AB-B0A7-64B4D525884C} [DHCP-serv: 10.8.0.254, lease-time: 31536000]
Tue Jul 24 16:05:10 2012 us=756000 Successful ARP Flush on interface [19] {4D6A9F83-AE2E-45AB-B0A7-64B4D525884C}
Tue Jul 24 16:05:15 2012 us=202000 TEST ROUTES: 3/3 succeeded len=2 ret=1 a=0 u/d=up
Tue Jul 24 16:05:15 2012 us=202000 C:\WINDOWS\system32\route.exe ADD adres ip. MASK 255.255.255.255 192.168.1.1
Tue Jul 24 16:05:15 2012 us=218000 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=25 and dwForwardType=4
Tue Jul 24 16:05:15 2012 us=218000 Route addition via IPAPI succeeded [adaptive]
Tue Jul 24 16:05:15 2012 us=218000 C:\WINDOWS\system32\route.exe ADD 0.0.0.0 MASK 128.0.0.0 10.8.0.1
Tue Jul 24 16:05:15 2012 us=218000 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Tue Jul 24 16:05:15 2012 us=218000 Route addition via IPAPI succeeded [adaptive]
Tue Jul 24 16:05:15 2012 us=218000 C:\WINDOWS\system32\route.exe ADD 128.0.0.0 MASK 128.0.0.0 10.8.0.1
Tue Jul 24 16:05:15 2012 us=218000 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Tue Jul 24 16:05:15 2012 us=218000 Route addition via IPAPI succeeded [adaptive]
Tue Jul 24 16:05:15 2012 us=234000 WARNING: potential route subnet conflict between local LAN [192.168.1.0/255.255.255.0] and remote VPN [192.168.0.0/255.255.0.0]
Tue Jul 24 16:05:15 2012 us=234000 C:\WINDOWS\system32\route.exe ADD 192.168.0.0 MASK 255.255.0.0 10.8.0.1
Tue Jul 24 16:05:15 2012 us=234000 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Tue Jul 24 16:05:15 2012 us=234000 Route addition via IPAPI succeeded [adaptive]
Tue Jul 24 16:05:15 2012 us=234000 WARNING: potential route subnet conflict between local LAN [192.168.1.0/255.255.255.0] and remote VPN [192.168.1.0/255.255.255.0]
Tue Jul 24 16:05:15 2012 us=234000 C:\WINDOWS\system32\route.exe ADD 192.168.1.0 MASK 255.255.255.0 10.8.0.1
Tue Jul 24 16:05:15 2012 us=234000 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Tue Jul 24 16:05:15 2012 us=234000 Route addition via IPAPI succeeded [adaptive]
Tue Jul 24 16:05:15 2012 us=234000 Initialization Sequence Completed

Analizując, widzę wpis, że jest problem z adresowaniem podsieci serwer <> klient, tak?

Natomiast, gdy łączę się z sieci lokalnej, jest tak:

Tue Jul 24 20:14:31 2012 us=163000 TCP/UDP: Incoming packet rejected from 192.168.1.1:1194[2], expected peer address:adres ip:1194 (allow this incoming source address/port by removing --remote or adding --float)
Tue Jul 24 20:14:33 2012 us=269000 TCP/UDP: Incoming packet rejected from 192.168.1.1:1194[2], expected peer address: adres ip:1194 (allow this incoming source address/port by removing --remote or adding --float)
Tue Jul 24 20:14:37 2012 us=481000 TCP/UDP: Incoming packet rejected from 192.168.1.1:1194[2], expected peer address: adres ip:1194 (allow this incoming source address/port by removing --remote or adding --float)
Tue Jul 24 20:14:45 2012 us=78000 TCP/UDP: Incoming packet rejected from 192.168.1.1:1194[2], expected peer address: adres ip:1194 (allow this incoming source address/port by removing --remote or adding --float)
Tue Jul 24 20:14:45 2012 us=78000 TCP/UDP: Incoming packet rejected from 192.168.1.1:1194[2], expected peer address: adres ip:1194 (allow this incoming source address/port by removing --remote or adding --float)

Pod określeniem adres ip jest mój adres IP publiczny

TL-WR1043ND Gargoyle:
1.6.2.2 (r42647),  by obsy oraz NAS z MiniDLNA i Transmission

wcześnej: HUB aktywny + drukarka + USB 2,5" + miniDLNA z napisami + torrent

145 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,033

Odp: Gargoyle 1.5.5, nowy plugin OpenVPN

Zobacz sobie tablicę routingu na windows i się dowiesz co ustawiłeś na kliencie.

Masz taką samą adresację sieci lokalnej jak zdalnej?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

146 Odpowiedź przez bresio

  • bresio
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-07-25
  • Posty: 4

Odp: Gargoyle 1.5.5, nowy plugin OpenVPN

Problem do rozwiązania
VPN ma być używany do łączenia się z internetem przez łącze, które mam w domu np. z publicznych hotspotów.

OpenVPN zainstalowany z GUI Gargoyle 1.5.5 (32561)

uci show openvpn_gargoyle
openvpn_gargoyle.server=server
openvpn_gargoyle.server.internal_ip=10.8.0.1
openvpn_gargoyle.server.internal_mask=255.255.255.0
openvpn_gargoyle.server.port=1194
openvpn_gargoyle.server.proto=udp
openvpn_gargoyle.server.cipher=BF-CBC
openvpn_gargoyle.server.keysize=128
openvpn_gargoyle.server.duplicate_cn=false
openvpn_gargoyle.server.enabled=true
openvpn_gargoyle.server.client_to_client=true
openvpn_gargoyle.server.redirect_gateway=true
openvpn_gargoyle.server.subnet_access=true
openvpn_gargoyle.server.subnet_ip=192.168.0.0
openvpn_gargoyle.server.subnet_mask=255.255.255.0
openvpn_gargoyle.client=client
openvpn_gargoyle.client.enabled=false
openvpn_gargoyle.tomek=allowed_client
openvpn_gargoyle.tomek.id=tomek
openvpn_gargoyle.tomek.name=Tomek
openvpn_gargoyle.tomek.ip=10.8.0.2
openvpn_gargoyle.tomek.remote=moja_domena.pl
openvpn_gargoyle.tomek.enabled=true

Połączenie się nawiązuje bez problemu:

route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         10.8.0.1        0.0.0.0         UG    0      0        0 tun0
10.8.0.0        *               255.255.255.0   U     0      0        0 tun0
83.xxx.xxx.xxx. 192.168.10.1    255.255.255.255 UGH   0      0        0 p5p1
192.168.0.0     10.8.0.1        255.255.255.0   UG    0      0        0 tun0
192.168.10.0    *               255.255.255.0   U     1      0        0 p5p1

Teoretycznie cały ruch z klienta, poza siecią 192.168.10.0 i 83.xxx.xxx.xxx jest kierowany przez tun0 i tak ma być.

z klienta

ping 10.8.0.1
PING 10.8.0.1 (10.8.0.1) 56(84) bytes of data.
^C
--- 10.8.0.1 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 1999ms

z serwera w kierunku klienta sprawa ma się podobnie.

Podejrzewam, że trzeba zmodyfikować konfigurację firewalla, tylko nie bardzo wiem jak.

147 Odpowiedź przez dorado (edytowany przez dorado 2012-07-26 14:57:54)

  • dorado
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2011-12-14
  • Posty: 375

Odp: Gargoyle 1.5.5, nowy plugin OpenVPN

Witam
A więc tak. To jest tablica routingu przed połączeniem

===========================================================================
Lista interfejsów
 13...e8 11 32 e0 74 fd ......Atheros AR9485WB-EG Wireless Network Adapter
  1...........................Software Loopback Interface 1
 14...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

Tabela tras IPv4
===========================================================================
Aktywne trasy:
Miejsce docelowe w sieci   Maska sieci      Brama          Interfejs Metryka
          0.0.0.0          0.0.0.0      192.168.1.1    192.168.1.100     25
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.1.0    255.255.255.0         On-link     192.168.1.100    281
    192.168.1.100  255.255.255.255         On-link     192.168.1.100    281
    192.168.1.255  255.255.255.255         On-link     192.168.1.100    281
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link     192.168.1.100    281
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     192.168.1.100    281
===========================================================================
Trasy trwałe:
  Brak

Tabela tras IPv6
===========================================================================
Aktywne trasy:
 Jeśli Metryka Miejsce docelowe w sieci      Brama
  1    306 ::1/128                  On-link
 13    281 fe80::/64                On-link
 13    281 fe80::4d8e:91b4:d2a6:9c51/128
                                    On-link
  1    306 ff00::/8                 On-link
 13    281 ff00::/8                 On-link
===========================================================================
Trasy trwałe:
  Brak

A to po połączeniu:

===========================================================================
Lista interfejsów
 19...00 ff 4d 6a 9f 83 ......TAP-Win32 Adapter V9
 13...e8 11 32 e0 74 fd ......Atheros AR9485WB-EG Wireless Network Adapter
  1...........................Software Loopback Interface 1
 14...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

Tabela tras IPv4
===========================================================================
Aktywne trasy:
Miejsce docelowe w sieci   Maska sieci      Brama          Interfejs Metryka
          0.0.0.0          0.0.0.0      192.168.1.1    192.168.1.100     25
         10.8.0.0    255.255.255.0         On-link          10.8.0.2    286
         10.8.0.2  255.255.255.255         On-link          10.8.0.2    286
       10.8.0.255  255.255.255.255         On-link          10.8.0.2    286
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.0.0      255.255.0.0         10.8.0.1         10.8.0.2     30
      192.168.1.0    255.255.255.0         On-link     192.168.1.100    281
      192.168.1.0    255.255.255.0         10.8.0.1         10.8.0.2     30
    192.168.1.100  255.255.255.255         On-link     192.168.1.100    281
    192.168.1.255  255.255.255.255         On-link     192.168.1.100    281
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link     192.168.1.100    281
        224.0.0.0        240.0.0.0         On-link          10.8.0.2    286
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     192.168.1.100    281
  255.255.255.255  255.255.255.255         On-link          10.8.0.2    286
===========================================================================
Trasy trwałe:
  Brak

Tabela tras IPv6
===========================================================================
Aktywne trasy:
 Jeśli Metryka Miejsce docelowe w sieci      Brama
  1    306 ::1/128                  On-link
 13    281 fe80::/64                On-link
 19    286 fe80::/64                On-link
 13    281 fe80::4d8e:91b4:d2a6:9c51/128
                                    On-link
 19    286 fe80::dd49:d348:ae4c:15f6/128
                                    On-link
  1    306 ff00::/8                 On-link
 13    281 ff00::/8                 On-link
 19    286 ff00::/8                 On-link
===========================================================================
Trasy trwałe:
  Brak

Dodatkowo, wczoraj pojawił się problem. Gdy działa serwer OpenVPN, nie mam neta, gdy wyłączę usługę, to działa smile Poszukam na necie co może być, natomiast, zastanawia mnie ta tablica routingu, czy coś z tego wiadomo, dlaczego tak się dzieje.

Polecenie route -n

root@Gargoyle:~$ route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.8.0.0        0.0.0.0         255.255.255.0   U     0      0        0 tun0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 br-lan
93.175.80.0     0.0.0.0         255.255.248.0   U     0      0        0 eth0.2
192.168.0.0     10.8.0.3        255.255.0.0     UG    0      0        0 tun0
0.0.0.0         93.175.80.1     0.0.0.0         UG    0      0        0 eth0.2

I firewall

root@Gargoyle:~$ cat /etc/firewall.user
# This file is interpreted as shell script.
# Put your custom iptables rules here, they will
# be executed with each firewall (re-)start.

iptables -I OUTPUT -o tap+ -j ACCEPT
iptables -I INPUT -i tap+ -j ACCEPT
iptables -I FORWARD -o tap+ -j ACCEPT
iptables -I FORWARD -i tap+ -j ACCEPT
root@Gargoyle:~$ cat /etc/config/network

config 'interface' 'loopback'
        option 'ifname' 'lo'
        option 'proto' 'static'
        option 'ipaddr' '127.0.0.1'
        option 'netmask' '255.0.0.0'

config 'interface' 'lan'
        option 'ifname' 'eth0.1'
        option 'type' 'bridge'
        option 'proto' 'static'
        option 'ipaddr' '192.168.1.1'
        option 'netmask' '255.255.255.0'
        option 'dns' '192.168.1.1'

config 'interface' 'wan'
        option 'ifname' 'eth0.2'
        option 'proto' 'dhcp'

config 'switch'
        option 'name' 'rtl8366rb'
        option 'reset' '1'
        option 'enable_vlan' '1'

config 'switch_vlan'
        option 'device' 'rtl8366rb'
        option 'vlan' '1'
        option 'ports' '1 2 3 4 5t'

config 'switch_vlan'
        option 'device' 'rtl8366rb'
        option 'vlan' '2'
        option 'ports' '0 5t'

config 'interface' 'vpn'
        option 'ifname' 'tun0'
        option 'proto' 'none'
        option 'defaultroute' '0'
        option 'peerdns' '0'
TL-WR1043ND Gargoyle:
1.6.2.2 (r42647),  by obsy oraz NAS z MiniDLNA i Transmission

wcześnej: HUB aktywny + drukarka + USB 2,5" + miniDLNA z napisami + torrent

148 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,033

Odp: Gargoyle 1.5.5, nowy plugin OpenVPN

Masz taką samą adresację lokalnej sieci jak tej zdalnej...

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

149 Odpowiedź przez dorado (edytowany przez dorado 2012-07-26 18:40:21)

  • dorado
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2011-12-14
  • Posty: 375

Odp: Gargoyle 1.5.5, nowy plugin OpenVPN

Mówisz o tym co zamieściłem  route print? To wiem, gdyż taki błąd widzę w logu OpenVPN GUI. Ale gdzie szukać przyczyn braku neta w całej mojej sieci gdy jest włączona usługa OpenVPN?
Odinstalowałem i zainstalowałem ponownie OpenVPN, bo nie wiem co mu dolegało. Co do ustawień, to taki konfig firewalla wystarczy do działania OpenVPN?

config 'defaults'
    option 'syn_flood' '1'
    option 'input' 'ACCEPT'
    option 'output' 'ACCEPT'
    option 'forward' 'REJECT'

config 'zone'
    option 'name' 'lan'
    option 'network' 'lan'
    option 'input' 'ACCEPT'
    option 'output' 'ACCEPT'
    option 'forward' 'REJECT'

config 'zone'
    option 'name' 'wan'
    option 'network' 'wan'
    option 'input' 'REJECT'
    option 'output' 'ACCEPT'
    option 'forward' 'REJECT'
    option 'masq' '1'
    option 'mtu_fix' '1'

config 'forwarding'
    option 'src' 'lan'
    option 'dest' 'wan'

config 'rule'
    option 'name' 'Allow-DHCP-Renew'
    option 'src' 'wan'
    option 'proto' 'udp'
    option 'dest_port' '68'
    option 'target' 'ACCEPT'
    option 'family' 'ipv4'

config 'rule'
    option 'name' 'Allow-Ping'
    option 'src' 'wan'
    option 'proto' 'icmp'
    option 'icmp_type' 'echo-request'
    option 'family' 'ipv4'
    option 'target' 'ACCEPT'

config 'rule'
    option 'name' 'Allow-DHCPv6'
    option 'src' 'wan'
    option 'proto' 'udp'
    option 'src_ip' 'fe80::/10'
    option 'src_port' '547'
    option 'dest_ip' 'fe80::/10'
    option 'dest_port' '546'
    option 'family' 'ipv6'
    option 'target' 'ACCEPT'

config 'rule'
    option 'name' 'Allow-ICMPv6-Input'
    option 'src' 'wan'
    option 'proto' 'icmp'
    list 'icmp_type' 'echo-request'
    list 'icmp_type' 'destination-unreachable'
    list 'icmp_type' 'packet-too-big'
    list 'icmp_type' 'time-exceeded'
    list 'icmp_type' 'bad-header'
    list 'icmp_type' 'unknown-header-type'
    list 'icmp_type' 'router-solicitation'
    list 'icmp_type' 'neighbour-solicitation'
    list 'icmp_type' 'router-advertisement'
    list 'icmp_type' 'neighbour-advertisement'
    option 'limit' '1000/sec'
    option 'family' 'ipv6'
    option 'target' 'ACCEPT'

config 'rule'
    option 'name' 'Allow-ICMPv6-Forward'
    option 'src' 'wan'
    option 'dest' '*'
    option 'proto' 'icmp'
    list 'icmp_type' 'echo-request'
    list 'icmp_type' 'destination-unreachable'
    list 'icmp_type' 'packet-too-big'
    list 'icmp_type' 'time-exceeded'
    list 'icmp_type' 'bad-header'
    list 'icmp_type' 'unknown-header-type'
    option 'limit' '1000/sec'
    option 'family' 'ipv6'
    option 'target' 'ACCEPT'

config 'include'
    option 'path' '/etc/firewall.user'

config 'include'
    option 'path' '/usr/lib/gargoyle_firewall_util/gargoyle_additions.firewall'

config 'rule'
    option '_name' 'transmission'
    option 'src' 'wan'
    option 'target' 'ACCEPT'
    option 'proto' 'tcp'
    option 'dest_port' '51413'

config 'rule'
    option '_name' 'transmission_wan'
    option 'src' 'wan'
    option 'target' 'ACCEPT'
    option 'proto' 'tcp'
    option 'dest_port' '9091'

config 'rule'
    option 'target' 'ACCEPT'
    option '_name' 'transmissionsynology'
    option 'src' 'wan'
    option 'proto' 'tcp'
    option 'dest_port' '9091'

config 'redirect' 'redirect_enabled_number_0'
    option 'name' 'xbox'
    option 'src' 'wan'
    option 'dest' 'lan'
    option 'proto' 'tcp'
    option 'src_dport' '3074'
    option 'dest_ip' '192.168.1.102'
    option 'dest_port' '3074'

config 'redirect' 'redirect_enabled_number_1'
    option 'name' 'xbox'
    option 'src' 'wan'
    option 'dest' 'lan'
    option 'proto' 'udp'
    option 'src_dport' '3074'
    option 'dest_ip' '192.168.1.102'
    option 'dest_port' '3074'

config 'redirect' 'redirect_enabled_number_2'
    option 'name' 'laptop'
    option 'src' 'wan'
    option 'dest' 'lan'
    option 'proto' 'tcp'
    option 'src_dport' '14856'
    option 'dest_ip' '192.168.1.103'
    option 'dest_port' '14856'

config 'redirect' 'redirect_enabled_number_3'
    option 'name' 'laptop'
    option 'src' 'wan'
    option 'dest' 'lan'
    option 'proto' 'udp'
    option 'src_dport' '14856'
    option 'dest_ip' '192.168.1.103'
    option 'dest_port' '14856'

config 'redirect' 'redirect_enabled_number_4'
    option 'name' 'torrent'
    option 'src' 'wan'
    option 'dest' 'lan'
    option 'proto' 'tcp'
    option 'src_dport' '14857'
    option 'dest_ip' '192.168.1.101'
    option 'dest_port' '14857'

config 'redirect' 'redirect_enabled_number_5'
    option 'name' 'torrent'
    option 'src' 'wan'
    option 'dest' 'lan'
    option 'proto' 'udp'
    option 'src_dport' '14857'
    option 'dest_ip' '192.168.1.101'
    option 'dest_port' '14857'

config 'redirect' 'redirect_enabled_number_6'
    option 'name' 'utorrent_nas'
    option 'src' 'wan'
    option 'dest' 'lan'
    option 'proto' 'tcp'
    option 'src_dport' '51413'
    option 'dest_ip' '192.168.1.172'
    option 'dest_port' '51413'

config 'redirect' 'redirect_enabled_number_7'
    option 'name' 'utorrent_nas'
    option 'src' 'wan'
    option 'dest' 'lan'
    option 'proto' 'udp'
    option 'src_dport' '51413'
    option 'dest_ip' '192.168.1.172'
    option 'dest_port' '51413'

config 'redirect' 'redirect_enabled_number_8'
    option 'name' 'nsa310-cifs'
    option 'src' 'wan'
    option 'dest' 'lan'
    option 'proto' 'tcp'
    option 'src_dport' '445'
    option 'dest_ip' '192.168.1.172'
    option 'dest_port' '445'

config 'redirect' 'redirect_enabled_number_9'
    option 'name' 'nsa310-cifs'
    option 'src' 'wan'
    option 'dest' 'lan'
    option 'proto' 'udp'
    option 'src_dport' '445'
    option 'dest_ip' '192.168.1.172'
    option 'dest_port' '445'

config 'redirect' 'redirect_enabled_number_10'
    option 'name' 'nsa_hhtp'
    option 'src' 'wan'
    option 'dest' 'lan'
    option 'proto' 'tcp'
    option 'src_dport' '88'
    option 'dest_ip' '192.168.1.172'
    option 'dest_port' '88'

config 'redirect' 'redirect_enabled_number_11'
    option 'name' 'nsa_hhtp'
    option 'src' 'wan'
    option 'dest' 'lan'
    option 'proto' 'udp'
    option 'src_dport' '88'
    option 'dest_ip' '192.168.1.172'
    option 'dest_port' '88'

config 'redirect' 'redirect_enabled_number_12'
    option 'name' 'nsa_ftp'
    option 'src' 'wan'
    option 'dest' 'lan'
    option 'proto' 'tcp'
    option 'src_dport' '21'
    option 'dest_ip' '192.168.1.172'
    option 'dest_port' '21'

config 'redirect' 'redirect_enabled_number_13'
    option 'name' 'nsa_ftp'
    option 'src' 'wan'
    option 'dest' 'lan'
    option 'proto' 'udp'
    option 'src_dport' '21'
    option 'dest_ip' '192.168.1.172'
    option 'dest_port' '21'

config 'redirect' 'redirect_enabled_number_14'
    option 'name' 'torrentNSA'
    option 'src' 'wan'
    option 'dest' 'lan'
    option 'proto' 'tcp'
    option 'src_dport' '9091-9091'
    option 'dest_port' '9091-9091'
    option 'dest_ip' '192.168.1.172'

config 'redirect' 'redirect_enabled_number_15'
    option 'name' 'torrentNSA'
    option 'src' 'wan'
    option 'dest' 'lan'
    option 'proto' 'udp'
    option 'src_dport' '9091-9091'
    option 'dest_port' '9091-9091'
    option 'dest_ip' '192.168.1.172'

config 'remote_accept' 'ra_443_443'
    option 'local_port' '443'
    option 'remote_port' '443'
    option 'proto' 'tcp'
    option 'zone' 'wan'

config 'remote_accept' 'ra_80_80'
    option 'local_port' '80'
    option 'remote_port' '80'
    option 'proto' 'tcp'
    option 'zone' 'wan'

config 'remote_accept' 'ra_22_22'
    option 'local_port' '22'
    option 'remote_port' '22'
    option 'proto' 'tcp'
    option 'zone' 'wan'

config 'zone' 'vpn_zone'
    option 'name' 'vpn'
    option 'network' 'vpn'
    option 'input' 'ACCEPT'
    option 'output' 'ACCEPT'
    option 'forward' 'ACCEPT'
    option 'mtu_fix' '1'
    option 'masq' '1'

config 'forwarding' 'vpn_lan_forwarding'
    option 'src' 'lan'
    option 'dest' 'vpn'

config 'remote_accept' 'ra_openvpn'
    option 'zone' 'wan'
    option 'local_port' '1194'
    option 'remote_port' '1194'
    option 'proto' 'udp'

config 'forwarding' 'vpn_wan_forwarding'
    option 'src' 'vpn'
    option 'dest' 'wan'

config 'rule'
    option '_name' 'openvpn'
    option 'src' 'wan'
    option 'target' 'ACCEPT'
    option 'proto' 'udp'
    option 'dest_port' '1194'

Ja osobiście nic nie robiłem z nim, OpenVPN dodał wpisy. Prosiłbym o sprawdzenie i ew sugestie.
pozdraiwam

TL-WR1043ND Gargoyle:
1.6.2.2 (r42647),  by obsy oraz NAS z MiniDLNA i Transmission

wcześnej: HUB aktywny + drukarka + USB 2,5" + miniDLNA z napisami + torrent

150 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,033

Odp: Gargoyle 1.5.5, nowy plugin OpenVPN

W Gargoyle konfiguracja jest kompletna - nie musisz nic dodatkowo na firewallu odblokowywać czy coś takiego. Plugin robi to samodzielnie i robi wszystko co niezbędne jest to połączenie i routingu.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona