Temat: OpenVPN

Mam zrobiony VPN wg opisu OpenWrt - konfiguracja OpenVPN w trybie TUN.
Jakie zmiany muszę wykonać, aby z sieci z serwerem OpenVPN widzieć sieć klienta.

2

Odp: OpenVPN

Ustawić odpowiednio  routing i adresację klienta. Bo teraz nie ma nic co być ten routing pokazywało. Czytaj np. to: https://community.openvpn.net/openvpn/wiki/RoutedLans, w konfigu openvpn w openwrt jest nawet zakomentowany przykład do tego.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

3

Odp: OpenVPN

Tylko nie wiem jak z twojej konfiguracji dopisać odpowiednio routing.
Jak wygląda ta konfiguracja z zakomentowananym przykładem.
Konf. trzeba zmienić na serwerze czy kliencie?

4

Odp: OpenVPN

Na serwerze zawsze. Obejrzyj sobie domyślny konfig i zobacz co tam masz napisane.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

5

Odp: OpenVPN

To jest mój konfig, tylko nie wiem co w nim brakuje, żeby działał ruting do sieci klienta

openvpn.home=openvpn
openvpn.home.enabled='1'
openvpn.home.dev='tun'
openvpn.home.port='1194'
openvpn.home.proto='udp'
openvpn.home.log='/tmp/openvpn.log'
openvpn.home.verb='3'
openvpn.home.ca='/etc/openvpn/ca.crt'
openvpn.home.cert='/etc/openvpn/serwer.crt'
openvpn.home.key='/etc/openvpn/serwer.key'
openvpn.home.dh='/etc/openvpn/dh2048.pem'
openvpn.home.server='10.8.0.0 255.255.255.0'
openvpn.home.client_to_client='1'
openvpn.home.comp_lzo='adaptive'
openvpn.home.keepalive='10 120'
openvpn.home.status='/tmp/openvpn-status.log'
openvpn.home.push='route 192.168.78.0 255.255.255.0'

6

Odp: OpenVPN

https://dev.openwrt.org/browser/branche … vpn.config od linii 130

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

7

Odp: OpenVPN

Obecna moja konfiguracja. Z sieci 192.168.78.0 nadal nie moge dostać się do 192.168.3.0. Niestyty nie wiem co robi nie tak.

openvpn.home=openvpn
openvpn.home.enabled='1'
openvpn.home.dev='tun'
openvpn.home.port='1194'
openvpn.home.proto='udp'
openvpn.home.log='/tmp/openvpn.log'
openvpn.home.verb='3'
openvpn.home.ca='/etc/openvpn/ca.crt'
openvpn.home.cert='/etc/openvpn/serwer.crt'
openvpn.home.key='/etc/openvpn/serwer.key'
openvpn.home.dh='/etc/openvpn/dh2048.pem'
openvpn.home.server='10.8.0.0 255.255.255.0'
openvpn.home.client_to_client='1'
openvpn.home.comp_lzo='adaptive'
openvpn.home.keepalive='10 120'
openvpn.home.status='/tmp/openvpn-status.log'
openvpn.home.push='route 192.168.78.0 255.255.255.0'
openvpn.home.client_config_dir='/etc/openvpn/ccd'
openvpn.home.list_route='192.168.3.0 255.255.255.0'

----/etc/openvpn/ccd/Client1
iroute 192.168.3.0 255.255.255.0
ifconfig-push "192.168.3.1"

8

Odp: OpenVPN

A common name w certyfikacie jest Client1? ifconfig-push ma dwa argumenty...

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

9 (edytowany przez advcron 2015-10-21 08:27:04)

Odp: OpenVPN

Jeśli dobrze rozumiem, openvpn działa w trybie client-server. Ty natomiast chcesz z sieci za serwerem dostać się do sieci za klientem?

10

Odp: OpenVPN

Tak, openvpn działa w trybie TUN. Sieć klienta widzi sieć z serwerem. Ja chcę z sieci z serwerem widzieć całą sieć klienta.

11 (edytowany przez advcron 2015-10-21 17:39:46)

Odp: OpenVPN

Serwer: ( 192.168.127.0/24 - siec za klientem, 192.168.100.0 - siec za serwerem, 172.16.0.3 - adres przydzielony klientowi)

Oprócz odpowiedniego routingu w konfigu openvpn.conf np:

route 192.168.127.0 255.255.255.0 172.16.0.3
# Jeśli topology net30 - tryb domyślny
#route 192.168.127.0 255.255.255.0

musisz w pliku ccd/client dodać:

iroute 192.168.127.0 255.255.255.0
push route 192.168.100.0 255.255.255.0

Natomiast jeśli chodzi o klienta to:
Jeśli jest to router to wystarczy odpowiedni forward interfejsu tun.
Jeśli zwykła stacja to oczywiście forward oraz zapewne maskarada na interfejsie ethernet.
Jeśli obie sieci tzn za klientem i za serwerem są takie same w sensie adresacji to najlepiej użyć opcji netmap w iptables.

Poczytaj dodatkowo o opcji:
topology subnet - klient zabiera jeden adres z puli a nie jak standardowo 4.
iroute - to jest potrzebne aby openvpn wiedział w którego klienta "pchnąć pakiety".

Ponadto zalecam w openwrt:
/etc/config/openvpn

config openvpn 'Serwer'
    option config '/etc/openvpn/openvpn.conf'
    option enabled '1'

i zrobić sobie standardowy konfig. Luci nie obsługuje wszystkich opcji używanych przez openvpn.

12

Odp: OpenVPN

Dzieki za pomoc. Będę musiał z tym powalczyc.

13

Odp: OpenVPN

Routing udało się wykonać. Natomiast nie wiem jaki wykonać forward interfejsu tun. Jest to instalacja z klientem na routerze.