Nie jesteś zalogowany. Proszę się zalogować lub zarejestrować.
eko.one.pl → Oprogramowanie / Software → VPN bridge (stałe IP - WAN - neostrada)
Strony Poprzednia 1 2 3 4 5 6 Następna
Zaloguj się lub zarejestruj by napisać odpowiedź
83.10.239.xxx to adres w internecie który zawsze będzie się pingował jak jak internet. Nie na nic wspólnego z samym tunelem, poza faktem że do niego się łączysz. Tak czy siak - nie wydaje mi się że ci ten tunel w ogóle działał.
no to jak to sprawdzic ?
Czy jak skonfiguruje jak na pierwszej stronie tego tematu ? Bede widzial u siebie w routerze urzadzenia podlaczone do routera za tunelem ? Czy wyswietla sie jako dhcp clienci ?
pomoze Pan ?
Sun Mar 22 13:16:16 2020 daemon.notice openvpn(multiroom)[1302]: TCP connection established with [AF_INET]192.168.1.2:37992
Sun Mar 22 13:16:18 2020 daemon.err openvpn(multiroom)[1302]: 192.168.1.2:37992 VERIFY ERROR: depth=0, error=unsupported certificate purpose: CN=klient
Sun Mar 22 13:16:18 2020 daemon.err openvpn(multiroom)[1302]: 192.168.1.2:37992 OpenSSL: error:1417C086:SSL routines:tls_process_client_certificate:certificate verify failed
Sun Mar 22 13:16:18 2020 daemon.err openvpn(multiroom)[1302]: 192.168.1.2:37992 TLS_ERROR: BIO read tls_read_plaintext error
Sun Mar 22 13:16:18 2020 daemon.err openvpn(multiroom)[1302]: 192.168.1.2:37992 TLS Error: TLS object -> incoming plaintext read error
Sun Mar 22 13:16:18 2020 daemon.err openvpn(multiroom)[1302]: 192.168.1.2:37992 TLS Error: TLS handshake failed
Sun Mar 22 13:16:18 2020 daemon.err openvpn(multiroom)[1302]: 192.168.1.2:37992 Fatal TLS error (check_tls_errors_co), restarting
Czy jak skonfiguruje jak na pierwszej stronie tego tematu ? Bede widzial u siebie w routerze urzadzenia podlaczone do routera za tunelem ? Czy wyswietla sie jako dhcp clienci ?
https://eko.one.pl/forum/viewtopic.php?id=19506&p=1 poczytaj sobie o zerotier. Do multiroom na odległość w zupełności wystarczy albo kolejna opcja to zakup routera z wbudowanym serwerem VPN TAP (np. netgear r6220) i konfiguracja klienta na openwrt.
ze strony klienta...
Sun Mar 22 13:15:45 2020 daemon.notice openvpn(multiroom)[1067]: SIGUSR1[soft,connection-reset] received, process restarting
Sun Mar 22 13:15:55 2020 daemon.warn openvpn(multiroom)[1067]: WARNING: --ns-cert-type is DEPRECATED. Use --remote-cert-tls instead.
Sun Mar 22 13:15:55 2020 daemon.notice openvpn(multiroom)[1067]: TCP/UDP: Preserving recently used remote address: [AF_INET]83.10.225.xxx:1194
Sun Mar 22 13:15:55 2020 daemon.notice openvpn(multiroom)[1067]: Attempting to establish TCP connection with [AF_INET]83.10.225.xxx:1194 [nonblock]
Sun Mar 22 13:15:56 2020 daemon.notice openvpn(multiroom)[1067]: TCP connection established with [AF_INET]83.10.225.xxx:1194
Sun Mar 22 13:15:56 2020 daemon.notice openvpn(multiroom)[1067]: TCP_CLIENT link local: (not bound)
Sun Mar 22 13:15:56 2020 daemon.notice openvpn(multiroom)[1067]: TCP_CLIENT link remote: [AF_INET]83.10.225.xxx:1194
Sun Mar 22 13:15:56 2020 daemon.err openvpn(multiroom)[1067]: Connection reset, restarting [-1]
Złe certyfikaty w poście 104. A klient się nie połączył skoro nie działa serwer.
nieobslugiwany cel certyfikatu, czyli co zjebalem ?
Tego już nie wiem. Na eko.one.pl są gotowce, jest tam informacja o generowaniu certyfikatów i on działa (tak, testowane było, sprawdzane i działa to nawet teraz).
Uporalem sie wreszcie, dziala. Dzieki za pomoc i porady. Panie Cezary, mam archera c50, ale praedopodobnie uszkodzony bootloader, chce Pan ?
Witam,
odkopuje ponieważ mam pytanie odnośnie bardzo podobnej konfiguracji.
CEL:
Ethernet bridge pomiedzy dwoma routerami openwrt w dwoch roznych lokalizacjach.
DHCP jest rozdawane lokalnie, w różnych zakresach sieci 192.168.1.0/24 . Wycinam DHCP przez firewall.user
OpenVPN ma ustawione bridge na jeszcze inną pulę IP też w 192.168.1.0/24
Lokalizacja z serwerem ma publiczny IP.
Ostatnia zmiana jaką zrobiłem to przestawienie lokalnych eth1.1 (na serwerze) i eth 0.1 (na kliencie) oraz tap0 na promiscious, nie pomogło. Teraz jak myślę, mógłbym jeszcze wlany ustawic na promisc bo w sumie urządzenia z których chcę się dostać i urządzenia na które chce się dostać sa połączone przez wifi.
STATUS:
OpenVPN się spina, i mogę pingować i dostawać się bezpośrednio z PC podłączonego do serwera na router klienta, natomiast nie mogę się dostać z tego samego PC do urządzeń za klientem (podobnie w drugą stronę).
KONFIGURACJA SERWERA:
ifconfig
br-lan Link encap:Ethernet HWaddr 08:02:8E:A6:94:9F
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fdfe:23e0:4bb1::1/60 Scope:Global
inet6 addr: fe80::a02:8eff:fea6:949f/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:5226996 errors:0 dropped:116 overruns:0 frame:0
TX packets:3972214 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:489813500 (467.1 MiB) TX bytes:14612758958 (13.6 GiB)
eth1.1 Link encap:Ethernet HWaddr 08:02:8E:A6:94:9F
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:4350744 errors:0 dropped:0 overruns:0 frame:0
TX packets:9507458 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:317044516 (302.3 MiB) TX bytes:13720649867 (12.7 GiB)
tap0 Link encap:Ethernet HWaddr 4A:F9:4A:57:60:1F
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:55854 errors:0 dropped:0 overruns:0 frame:0
TX packets:399763 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:21484349 (20.4 MiB) TX bytes:129772779 (123.7 MiB)OpenVPN na serwerze:
option enabled '1'
# option tls_server '1'
option cipher 'AES-256-CBC'
option auth 'SHA256'
option tls-auth '/etc/config/ta.key 0'
option port '1194'
option proto 'udp'
option dev_type 'tap'
option dev 'tap0'
option tun_mtu '1500'
option comp_lzo 'yes'
option server_bridge '192.168.1.1 255.255.255.0 192.168.1.220 192.168.1.229'
option client_to_client '1'
option keepalive '10 120'
option persist_key '1'
option persist_tun '1'
option verb '3'
option mute '20'
option enabled '1'
option ca '/etc/easy-rsa/pki/ca.crt'
option dh '/etc/easy-rsa/pki/dh.pem'
option cert '/etc/easy-rsa/pki/issued/serwer.crt'
option key '/etc/easy-rsa/pki/private/serwer.key'
option status '/tmp/openvpn-status.log'
option remote-cert-tls 'client'Firewall na serwerze:
config rule
option name 'openvpn-udp'
option src 'wan'
option proto 'udp'
option dest_port '1194'
option family 'ipv4'
option target 'ACCEPT'Firewall.user na serwerze:
iptables -I OUTPUT -o tap+ -j ACCEPT
iptables -I INPUT -i tap+ -j ACCEPT
iptables -I FORWARD -o tap+ -j ACCEPT
iptables -I FORWARD -i tap+ -j ACCEPT
ebtables -F
ebtables -I FORWARD -i tap0 -p IPv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -I FORWARD -o tap0 -p IPv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -I INPUT -i tap0 -p IPv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -I OUTPUT -o tap0 -p IPv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
iptables -A INPUT -i tap0 -j ACCEPT
iptables -A INPUT -i br-lan -j ACCEPT
iptables -A FORWARD -i br-lan -j ACCEPTRoute -n na serwerze:
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 130.255.158.1 0.0.0.0 UG 0 0 0 eth0.2
130.255.158.0 0.0.0.0 255.255.255.192 U 0 0 0 eth0.2
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br-lanIfconfig na kliencie:
tap0 Link encap:Ethernet HWaddr 7E:2C:55:8D:F1:AD
inet addr:192.168.1.220 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:399122 errors:0 dropped:0 overruns:0 frame:0
TX packets:56387 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:129612903 (123.6 MiB) TX bytes:21817194 (20.8 MiB)
eth0.1 Link encap:Ethernet HWaddr E8:94:F6:C6:97:48
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:402547 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:130150757 (124.1 MiB)
br-lan Link encap:Ethernet HWaddr E8:94:F6:C6:97:48
inet addr:192.168.1.100 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fd20:be60:59a9::1/60 Scope:Global
inet6 addr: fe80::ea94:f6ff:fec6:9748/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:545338 errors:0 dropped:0 overruns:0 frame:0
TX packets:210313 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:150504979 (143.5 MiB) TX bytes:197282481 (188.1 MiB)OpenVPN na kliencie:
config openvpn 'sample_client'
option remote '130.255.158.15 1194'
option client '1'
option proto 'udp'
option resolv_retry 'infinite'
option nobind '1'
option comp_lzo 'yes'
option tun_mtu '1500'
option persist_key '1'
option persist_tun '1'
option user 'nobody'
option ca '/etc/openvpn/ca.crt'
option verb '3'
option enabled '1'
option dev 'tap0'
option dev_type 'tap'
option cert '/etc/openvpn/wier.crt'
option key '/etc/openvpn/wier.key'
option keepalive '10 120'
option tls-auth '/etc/openvpn/ta.key 1'
option remote-cert-tls 'server'
option cipher 'AES-256-CBC'
option auth 'SHA256'Firewall na kliencie jest czysty jeśli chodzi o openvpn
Firewall.user na kliencie:
iptables -A INPUT -i tap0 -j ACCEPT
iptables -A INPUT -i br-lan -j ACCEPT
iptables -A FORWARD -i br-lan -j ACCEPT
ebtables -F
ebtables -I FORWARD -i tap0 -p IPv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -I FORWARD -o tap0 -p IPv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -I INPUT -i tap0 -p IPv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -I OUTPUT -o tap0 -p IPv4 --ip-protocol udp --ip-destination-port 67:68 -j DROPRoute -n na kliencie:
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.100.1 0.0.0.0 UG 0 0 0 eth0.2
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br-lan
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 tap0
192.168.100.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0.2Czego tu może brakować? I czy konfig wygląda schludnie, czy może coś do wywalenia?
Czemu po prostu nie dodałeś tap0 do bridge br-lan?
Czemu po prostu nie dodałeś tap0 do bridge br-lan?
jest dodany :-)
config interface 'lan'
option type 'bridge'
option ifname 'eth1.1 tap0'
option proto 'static'
option ipaddr '192.168.1.1'
option netmask '255.255.255.0'
option ip6assign '60'config interface 'lan'
option type 'bridge'
option proto 'static'
option netmask '255.255.255.0'
option ip6assign '60'
option ifname 'eth0.1 tap0'
option macaddr 'e8:94:f6:c6:97:48'
option gateway '192.168.100.1'
list dns '192.168.100.1'
option ipaddr '192.168.1.100'Jak by był dodany to byś nie miał oddzielnego interfejsu z taką samą klasą adresową
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br-lan
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 tap0
Jak by był dodany to byś nie miał oddzielnego interfejsu z taką samą klasą adresową
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br-lan
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 tap0
Głupia sprawa, restart routera załatwiłby sprawę, ale nie chciałem go już tak 'inwazyjnie' ruszać. Restartnąłem network i
64 bytes from 192.168.1.48: seq=4 ttl=64 time=2090.017 ms
64 bytes from 192.168.1.48: seq=5 ttl=64 time=1090.679 ms
64 bytes from 192.168.1.48: seq=6 ttl=64 time=91.429 ms
64 bytes from 192.168.1.48: seq=7 ttl=64 time=63.402 ms
działa :-)
Dzięki Cezary! Zostawić to promiscous czy wywalić?
Bardzo prosiłbym o pomoc z jeszcze jednym problemem z którym się borykam:
Thu Jun 4 22:52:10 2020 daemon.err openvpn(myvpn)[4110]: 185.234.242.19:47727 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Thu Jun 4 22:52:10 2020 daemon.err openvpn(myvpn)[4110]: 185.234.242.19:47727 TLS Error: TLS handshake failed
To logi ze strony serwera.
Żeby połączenie się spieło muszę na chwile sciągnąć FW i dopiero wtedy przechodzi, stawiam potem znowu firewalla i jest ok, jako że TLS był juz zestawiony to sobie rozmawiają (testowałem ok 24h i wszystko stabilnie). Po stronie klienta error wyglądał podobnie. Zrobiłem verb 7 na serwerze, 9 na kliencie i dalej nic sie nie dowiedziałem konstruktywnego, w sumie oba urzadzenia u siebie wypisywaly jakie sa ich ustawienia i jakich ustawien oczekuja po drugiej stronie (mtu, cipher etc, jedyna roznica była w cert-type server vs client). Ustawienia te się pokrywają, ale coś im ciężko się negocjuje. Potem troche UDP read i to na tyle.
Skoro się spina to niby ustawienia TLS są ok, ale trochę głupieje bo 1194 niby otwarty... tcpdump?
Tak po prostu nie masz połączenia jednego z drugim skoro nie mogą się dogadać... Sprawdź ten firewall jeszcze raz.
Tak po prostu nie masz połączenia jednego z drugim skoro nie mogą się dogadać... Sprawdź ten firewall jeszcze raz.
Ok, miałem jeszcze jakieś openvpnowe forwardy i inne cuda na dole firewall configu na serwerze. Wszystko działa. Jeszcze raz serdecznie dziękuję!
Dzień dobry.
Jestem zarejestrowany na forum dopiero dzisiaj ale śledzę je od wielu lat. Korzystam również z oprogramowania OpenWRT z powodzeniem i bardzo dziękuję za jego rozwijanie.
Mam temat o który chciałbym spytać.
Od paru lat mam spięte dwie sieci VPN-em w celu poprawnego działania multiroom'u.
Odbywa się to przy pomocy dwóch routerów z Tomato według opisu.:
https://openlinksys.info/forum/viewthre … d_id=16352
Teraz staję przed problemem dołączenia do tego samego serwera z Tomato kolejnego klienta (osobny, tak samo skonfigurowany tunel OpenVPN), niestety po stronie klienta jest już istniejący router R6220 z firmware luci-19.07-snapshot-r11430-ecbbb373ed-ramips-mt7621-r6220-squashfs.
Moje pytanie brzmi.:
Czy jest możliwość stworzenia takiej samej sytuacji po stronie klienta na OpenWRT jak w kliencie Tomato ?.
W szczególności rozchodzi się o .:
- wydzielony port lan z siecią serwera, adres IP przydzielany przez i z puli serwera
- bridge LAN klienta prezentujący się stałym adresem z klasy adresowej LAN serwera (z poza DHCP)
- Interfejs TAP, static KEY, protokół TCP
- internet z podpiętego modemu HUAWEI E173
Może komuś udało się już coś takiego uczynić ?.
Będę wdzięczny za za ewentualne wskazówki, lub podgląd na gotowy config.
Serdecznie pozdrawiam. tomik67
- tak
- tak
- tak
- tak
Opis OpenVPN na tap masz na https://eko.one.pl/?p=openwrt-openvpn, sposób wydzielania portu z bridge przy pomocy vlanów masz na https://eko.one.pl/?p=openwrt-vlan, dostęp przez modem masz tutaj: https://eko.one.pl/?p=openwrt-3g więc po prosty zrób to sobie. Robisz dodatkowy bridge, na nim robisz tap0 oraz jeden z wydzielonych lanów i chyba masz to co chciałeś.
PS. Zdajesz sobie sprawę że 19.07 jest już stare, nie rozwijane i nie wspierane w żaden sposób? Warto by było go zaktualizować.
Dziękuję za odpowiedź.
Spróbuję w takim razie "poboksować" się z tym tematem, w razie gdybym stanął w miejscu liczę na pomocne wskazówki.
Tak, zdaję sobie sprawę że 19.07 kończy powoli żywot, ale korzystam jeszcze z niego z dwóch powodów.:
1. Jeśli się nie mylę nie jest jeszcze rozwiązany problem stabilności sprzętowego flow offloading w nowszych wersjach, co przy połączeniach PPPoE i coraz szybszych łączach (np.ORANGE fiber) jest istotne. Chociaż nawet 19.07 potrafi zawiesić router, tak mam u znajomego ale dzięki temu że za nim jest automatyka FIBARO mogłem odpalić tam kontrolę łącza i restartuje automatycznie router w razie zwiechy poprzez Wall Plug.
2. Nie "zaprzyjaźniłem" się jeszcze z nowym sposobem obsługi przełącznika (VLAN), jakoś poprzednia wersja tak mi spasowała że mam kłopot z opanowaniem nowego. Może jeszcze za mało z nim obcowałem i idę na przysłowiową łatwiznę.
1. Ludzie twierdzą tu na forum że działa. Ja nie sprawdzałem bo nie mam takiego łącza
W pierwszym linku jest instrukcja konfiguracji serwera OpenVPN, czy popełniono gdzieś podobny tutorial dla klienta TAP na OpenWRT ?.
W tym linku jest konfiguracja klienta linuksowego. Możesz skopiować także plik z tomato, będziesz go miał pewnie w /tmp i coś dostosować jak będzie potrzeba.
Genialny pomysł !!!. Dlaczego sam na niego nie wpadłem ?. Zapewne "Pomroczność jasna". :-)
Takie cosik wyssałem z działającego klienta Tomato - Tomato, czy nada się bez większych zmian (Oczywiście IP, secret własne) ?.
daemon
dev tap0
proto tcp-client
remote x.x.x.x 2018
ifconfig 192.168.0.254 255.255.255.0
resolv-retry infinite
nobind
persist-key
persist-tun
comp-lzo adaptive
verb 3
secret static.key
status-version 2
status status
status i secret tylko podaj pełne ścieżki do tych plików, status w /tmp, a secret tam gdzie do masz. No i ew. adresy. Reszta powinna przejść.
Strony Poprzednia 1 2 3 4 5 6 Następna
Zaloguj się lub zarejestruj by napisać odpowiedź
eko.one.pl → Oprogramowanie / Software → VPN bridge (stałe IP - WAN - neostrada)
Forum oparte o PunBB, wspierane przez Informer Technologies, Inc