Temat: OPENVPN z sieci firmowej do domowej

Witam !
Postanowiłem uzyskać dostęp do zasobów mojego nas-a będąc w firmie.
Jest w niej sieć o adresach 10.20.xxx.xxx - nie wiem czy to ważne ).
W/g poradnika skonfigurowałęm openvpn na moim netgearze ( gargoyle pl 1.6.0.3 ), wygenerowany plik z certyfikati wypakowałem w katalogu config zainstalowanego openvpn na komputrze firmowym.
Adres mam publiczmy, net po światłowodzie trafia do routera zte660 w nim nic nie mogę grzebać ( konfiguracja zdalna sad), ma on adres 192.168.1.1, WAN w routerze to 192.168.1.2.
Sieć domowa to 192.168.0.xxx, brama 192.168.0.2 ( ip routera ).
No i kiedy się łączę z pracy to mam takie coś:
Wed Apr 02 13:42:51 2014 OpenVPN 2.3.2 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [eurephia] [IPv6] built on Aug 22 2013
Wed Apr 02 13:42:51 2014 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Wed Apr 02 13:42:51 2014 Need hold release from management interface, waiting...
Wed Apr 02 13:42:51 2014 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Wed Apr 02 13:42:51 2014 MANAGEMENT: CMD 'state on'
Wed Apr 02 13:42:51 2014 MANAGEMENT: CMD 'log all on'
Wed Apr 02 13:42:51 2014 MANAGEMENT: CMD 'hold off'
Wed Apr 02 13:42:51 2014 MANAGEMENT: CMD 'hold release'
Wed Apr 02 13:42:51 2014 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Wed Apr 02 13:42:51 2014 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Apr 02 13:42:51 2014 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Apr 02 13:42:51 2014 Socket Buffers: R=[8192->8192] S=[8192->8192]
Wed Apr 02 13:42:51 2014 UDPv4 link local: [undef]
Wed Apr 02 13:42:51 2014 UDPv4 link remote: [AF_INET]192.168.1.2:1194
Wed Apr 02 13:42:51 2014 MANAGEMENT: >STATE:1396438971,WAIT,,,

i po minucie to samo -  coś nie działa

odblokowałem port 1194 na komputerze firmowym, nawet wyłączyłem firewall-a nic to nie dało.

Czy przypadkiem nie muszę mieć wpisanego ip publicznego w configu openvpn a nie tego ip które mam port WAN na routerze ?

Jeszcze jedno: podczas konfigurowania openvpn na routerze są tam domyślne adresy z puli 10.xxx.xxx.xxx czy w moim przypadku nie będzie konfliktu z siecią firmową ?

Może dlatego nie działa mi ten tunel ?

Pingi na mój publiczny ip przychodzą więc tu jest dobrze, nie wiem co dalej robić.

I tak zaraz wychodzę więc w domu już nic nie podziałam sad.

Xiaomi 3G Cezarego (!), Xiaomi 4 i 4A z Openwrt by Obsy i Pandorabox 19.2, modem fiber ZTE 660, NAS Qnap 453mini, net 250/25Mb/s, hackintosh

2

Odp: OPENVPN z sieci firmowej do domowej

Oczywiście musisz się łączyć na adres publiczny, nie 192.168.1.2, na dodatek na tym pierwszym routerze musisz mieć odblokowane/przekierowane porty odpowiednie, 1194/udp lub tcp, zależy co wybrałeś.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

3

Odp: OPENVPN z sieci firmowej do domowej

Czyli tak jak myślałem, skoro nic nie mogę zmienić w tym routerze od dostawcy netu to nici z vpn sad

Xiaomi 3G Cezarego (!), Xiaomi 4 i 4A z Openwrt by Obsy i Pandorabox 19.2, modem fiber ZTE 660, NAS Qnap 453mini, net 250/25Mb/s, hackintosh

4

Odp: OPENVPN z sieci firmowej do domowej

Możesz w firmie postawić serwer lub w innej lokalizacji i łączyć sie z domu i firmy do niego.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

5

Odp: OPENVPN z sieci firmowej do domowej

W firmie musiałbym mieć cały czas włączony komp, to nie przejdzie smile
Trochę szkoda, to po co mi publiczne ip ??
Jeszcze spróbuje się połączyć z zewnątrz  przez przekierowanie portów, miże tak się uda ale to nie to samo.

Xiaomi 3G Cezarego (!), Xiaomi 4 i 4A z Openwrt by Obsy i Pandorabox 19.2, modem fiber ZTE 660, NAS Qnap 453mini, net 250/25Mb/s, hackintosh

6

Odp: OPENVPN z sieci firmowej do domowej

Serwer w firmie w sensie, że może to być też router z uruchomionym na nim serwerem OpenVPN tak mi się wydaje.

7

Odp: OPENVPN z sieci firmowej do domowej

OK, jeszcze jedno pytanie: czy trudności w połączeniu moga wynikać z obecności NAT na routerze dostarczonym od ISP ?
Publiczne ip jakie mam to 46.xxx.xxx.xxx a na porcie wan w moim routerze z gargoyle mam ip 192.168.1.2 czyli jest tam NAT.
Z drugiej strony działają mi przecież porty np torrenta ?

Xiaomi 3G Cezarego (!), Xiaomi 4 i 4A z Openwrt by Obsy i Pandorabox 19.2, modem fiber ZTE 660, NAS Qnap 453mini, net 250/25Mb/s, hackintosh

8

Odp: OPENVPN z sieci firmowej do domowej

192.168.1.2 jest adresem prywatnym, na niego się nie łączysz. Masz się łączyć na adres swojego routera (46.xxx.xxx.xxx) a tam musisz mieć przekierowanie portów na 192.168.1.2 jeżeli tam stoi serwer openvpn.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

9

Odp: OPENVPN z sieci firmowej do domowej

Szczerze to się w tym gubię, normalnie mogę np otwierać strony www czyli np port 80 jest otwarty jednak jak robię test portów to pisze mi że jest zamknięty ( tak samo jak przy teście portu vpn 1194 ) Czyli co test jest niemiarodajny czy coś jeszcze ?

Kiedyś miałem net z netii, modem podpięty po pppoe do gargoyle, dynamiczny dns i mogłem dostać się do niego z zewnątrz teraz mam światłowód stały ip  router/modem w którym nic nie można ustawić podłączony po wanie i kicha.....

Xiaomi 3G Cezarego (!), Xiaomi 4 i 4A z Openwrt by Obsy i Pandorabox 19.2, modem fiber ZTE 660, NAS Qnap 453mini, net 250/25Mb/s, hackintosh

10

Odp: OPENVPN z sieci firmowej do domowej

Jedno nie ma nic wspólnego z drugim. To że możesz się wydostać oznacza tylko tyle że masz firewalla otwartego na ruch wychodziący. Natomiast na przychodzący, inicjowany z zewnątrz już nie.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

11

Odp: OPENVPN z sieci firmowej do domowej

Ale przecież to działa w dwie strony jak jestem na jakieś stronie www i np klikam na przycisk to to idzie po porcie 80 tak ? Czy się mylę ? Porty muszą być dwukierunkowe bo mógłbym tylko oglądać treści bez ich wybierania.

Xiaomi 3G Cezarego (!), Xiaomi 4 i 4A z Openwrt by Obsy i Pandorabox 19.2, modem fiber ZTE 660, NAS Qnap 453mini, net 250/25Mb/s, hackintosh

12

Odp: OPENVPN z sieci firmowej do domowej

Ruch w tym przypadku nie jest inicjowany tylko stanowi kontynuację połączenia które ty nawiązałeś. Podstawy sieci się kłaniają.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

13

Odp: OPENVPN z sieci firmowej do domowej

Nigdy tego nie rozumiałem do końca smile
Nie będę już lamował

Xiaomi 3G Cezarego (!), Xiaomi 4 i 4A z Openwrt by Obsy i Pandorabox 19.2, modem fiber ZTE 660, NAS Qnap 453mini, net 250/25Mb/s, hackintosh

14 (edytowany przez badziewiak 2014-04-04 10:05:20)

Odp: OPENVPN z sieci firmowej do domowej

Ja mam ustawiony w openvpn port 443 po TCP (trzeba zmienic port https do web-gui w gargoyle na inny). Akurat u mnie jest to przepuszczane. Sprobuj u siebie, bo moze firmowy proxy potraktuje to jako normalny szyfrowany ruch po ssl i nie bedzie blokowal. W kazdym badz razie u mnie to dziala.

MiniPC 6xRJ45 2Gb, N100, 16GB DDR5, 1TB NVMe (Gargoyle)
Linksys WRT3200ACM (Gargoyle)
Tp-link 1043NDv2 (Gargoyle)

15

Odp: OPENVPN z sieci firmowej do domowej

Cezary napisał/a:

192.168.1.2 jest adresem prywatnym, na niego się nie łączysz. Masz się łączyć na adres swojego routera (46.xxx.xxx.xxx) a tam musisz mieć przekierowanie portów na 192.168.1.2 jeżeli tam stoi serwer openvpn.

Publiczny adres nie jest na routerze który ma skonfigurowany openvpn-przecież skoro masz pełny publiczny adres to masz do dyspozycji 65535 portów (1-65535), możesz z nimi robić co ci się podoba-przekierowywać na urządzenia, usługi. Osobiście mam z zewnątrz na 2 sposoby dostęp do wszystkich urządzeń sieci lokalnej 1-poprzez przekierowanie portu zewnętrznego xx na port wewnętrzny 80, 2)poprzez openvpn-mając jeden publiczny statyczny adres, mam na nim ustawiony serwer openvpn i konfigurację pozwalającą na łączenie się do zasobów lokalnych klientów-będąc podłączony jako klient openvpn mogę się łączyć po adresie urządzeń, adresie serwera openvpn i żadne firewall iPlus, Aero2 nie zakłócają mi tego. Bardzo przydatny i fajny ten plugin Cezarego do Gargoyle. smile

16 (edytowany przez badziewiak 2014-04-04 20:01:54)

Odp: OPENVPN z sieci firmowej do domowej

jarek7714 napisał/a:
Cezary napisał/a:

192.168.1.2 jest adresem prywatnym, na niego się nie łączysz. Masz się łączyć na adres swojego routera (46.xxx.xxx.xxx) a tam musisz mieć przekierowanie portów na 192.168.1.2 jeżeli tam stoi serwer openvpn.

Publiczny adres nie jest na routerze który ma skonfigurowany openvpn-przecież skoro masz pełny publiczny adres to masz do dyspozycji 65535 portów (1-65535), możesz z nimi robić co ci się podoba-przekierowywać na urządzenia, usługi. Osobiście mam z zewnątrz na 2 sposoby dostęp do wszystkich urządzeń sieci lokalnej 1-poprzez przekierowanie portu zewnętrznego xx na port wewnętrzny 80, 2)poprzez openvpn-mając jeden publiczny statyczny adres, mam na nim ustawiony serwer openvpn i konfigurację pozwalającą na łączenie się do zasobów lokalnych klientów-będąc podłączony jako klient openvpn mogę się łączyć po adresie urządzeń, adresie serwera openvpn i żadne firewall iPlus, Aero2 nie zakłócają mi tego. Bardzo przydatny i fajny ten plugin Cezarego do Gargoyle. smile

Tylko w sieciach korporacyjnych moze byc z tym bardzo roznie. Jesli w jakiejs firmie zostaly powycinane praktycznie wszystkie porty wychodzace poza 80 i 443 i wszystkie przychodzace, to chocbys stawal na uszach, nie polaczysz sie. Jedyne wyjscie (jak w miejscu mojej pracy) to oszukac zabezpieczenia w sposob opisany wyzej. Wystarczy zeby serwer openvpn udawal jakas stronke z ssl, czyli port 443 i protokol tcp i wszystko powinno dzialac. No chyba ze dodatkowo ma powycinane porty przez lokalny firewall na stacji roboczej i jeszcze brak praw admina, to juz jest totalna klapa.

MiniPC 6xRJ45 2Gb, N100, 16GB DDR5, 1TB NVMe (Gargoyle)
Linksys WRT3200ACM (Gargoyle)
Tp-link 1043NDv2 (Gargoyle)