1 Temat przez Jaack

  • Jaack
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-11-08
  • Posty: 65

Temat: OpenWrt - konfiguracja serwera OpenVPN w trybie TUN

Witajcie,

skonfigurowałem OpenVPN na Edimax'ie 3g-6200n (najnowszy CC z eko.one.pl) wg tego poradnika: http://eko.one.pl/?p=openwrt-openvpntun.

Urządzenie to docelowo ma działać w sieci, nie jako router (niestety jest jakiś wynalazek TP'sowy na wejściu), a jako "przystawka" z OpenVPN.
Już kiedyś udało mi się to osiągnąć i działało to tak, że:
- główny router TP port 1194 z WAN przekierowywał na IP 192.168.252.250
- edimax był podpięty do routera TP jednym z swoich bezmyślnych switchowych portów (nie WAN, bo to byłoby bez sensu)
- znajomy łącząc się przez VPN widział całą sieć wewnętrzną - wklepując 192.168.1.1 wbijał na router, .250 na edimaxa itd.

Kilka dni temu uśmiercił się pendrive z extrootem (po roku) i teraz próbuję to zestawić od nowa.

Na chwilę obecną zrobiłem wszystko dokładnie tak jak w poradniku (włącznie z przekierowaniem całego ruchu przez edimaxa).
Mogę się połączyć z zewnątrz poprzez VPN, ale nie widzę wnętrza sieci, ba nawet nie mogę po SSH wbić na Edimax (czy to 10.8.0.1 czy 192.168 itd.), nie wspominając o dostępie do internetu.

Czy mógłby ktoś pomóc w ustaleniu przyczyny i wyeliminowaniu jej?
Dodam, że jak wewnątrz mojej domowej sieci podepnę Edimax'a portem WAN do switcha, to nie daje on znaku życia, teoretycznie gargulec wykrywa go i przydziela IP z dhcp (które jest też widoczne od strony edimaxa), ale port 1194 jest zamknięty (pomimo dodanych reguł wg poradnika).

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,993

Odp: OpenWrt - konfiguracja serwera OpenVPN w trybie TUN

Pokaż więc konfigi z niego:

uci show openvpn
uci show network
uci show firewall

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez Jaack

  • Jaack
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-11-08
  • Posty: 65

Odp: OpenWrt - konfiguracja serwera OpenVPN w trybie TUN

openvpn.custom_config=openvpn
openvpn.custom_config.enabled='0'
openvpn.custom_config.config='/etc/openvpn/my-vpn.conf'
openvpn.sample_server=openvpn
openvpn.sample_server.enabled='0'
openvpn.sample_server.port='1194'
openvpn.sample_server.proto='udp'
openvpn.sample_server.dev='tun'
openvpn.sample_server.ca='/etc/openvpn/ca.crt'
openvpn.sample_server.cert='/etc/openvpn/server.crt'
openvpn.sample_server.key='/etc/openvpn/server.key'
openvpn.sample_server.dh='/etc/openvpn/dh1024.pem'
openvpn.sample_server.server='10.8.0.0 255.255.255.0'
openvpn.sample_server.ifconfig_pool_persist='/tmp/ipp.txt'
openvpn.sample_server.keepalive='10 120'
openvpn.sample_server.comp_lzo='yes'
openvpn.sample_server.persist_key='1'
openvpn.sample_server.persist_tun='1'
openvpn.sample_server.user='nobody'
openvpn.sample_server.status='/tmp/openvpn-status.log'
openvpn.sample_server.verb='3'
openvpn.sample_client=openvpn
openvpn.sample_client.enabled='0'
openvpn.sample_client.client='1'
openvpn.sample_client.dev='tun'
openvpn.sample_client.proto='udp'
openvpn.sample_client.remote='my_server_1 1194'
openvpn.sample_client.resolv_retry='infinite'
openvpn.sample_client.nobind='1'
openvpn.sample_client.persist_key='1'
openvpn.sample_client.persist_tun='1'
openvpn.sample_client.user='nobody'
openvpn.sample_client.ca='/etc/openvpn/ca.crt'
openvpn.sample_client.cert='/etc/openvpn/client.crt'
openvpn.sample_client.key='/etc/openvpn/client.key'
openvpn.sample_client.comp_lzo='yes'
openvpn.sample_client.verb='3'
openvpn.home=openvpn
openvpn.home.enabled='1'
openvpn.home.dev='tun'
openvpn.home.port='1194'
openvpn.home.proto='udp'
openvpn.home.log='/tmp/openvpn.log'
openvpn.home.verb='3'
openvpn.home.ca='/etc/openvpn/ca.crt'
openvpn.home.cert='/etc/openvpn/ZakladObrobkiServer.crt'
openvpn.home.key='/etc/openvpn/ZakladObrobkiServer.key'
openvpn.home.server='10.8.0.0 255.255.255.0'
openvpn.home.dh='/etc/openvpn/dh2048.pem'
openvpn.home.push='redirect-gateway def1'
root@OpenWrt:~# uci show network
network.loopback=interface
network.loopback.ifname='lo'
network.loopback.proto='static'
network.loopback.ipaddr='127.0.0.1'
network.loopback.netmask='255.0.0.0'
network.globals=globals
network.globals.ula_prefix='fd7a:1eb3:2ec5::/48'
network.lan=interface
network.lan.ifname='eth0.1'
network.lan.force_link='1'
network.lan.macaddr='00:1f:1f:b4:f1:e0'
network.lan.type='bridge'
network.lan.proto='static'
network.lan.netmask='255.255.255.0'
network.lan.ip6assign='60'
network.lan.ipaddr='192.168.1.3'
network.lan.gateway='192.168.1.1'
network.lan.dns='192.168.1.1'
network.wan=interface
network.wan.ifname='eth0.2'
network.wan.force_link='1'
network.wan.macaddr='00:1f:1f:b4:f1:e1'
network.wan.proto='dhcp'
network.wan6=interface
network.wan6.ifname='eth0.2'
network.wan6.proto='dhcpv6'
network.@switch[0]=switch
network.@switch[0].name='switch0'
network.@switch[0].reset='1'
network.@switch[0].enable_vlan='1'
network.@switch_vlan[0]=switch_vlan
network.@switch_vlan[0].device='switch0'
network.@switch_vlan[0].vlan='1'
network.@switch_vlan[0].ports='0 1 2 3 6t'
network.@switch_vlan[1]=switch_vlan
network.@switch_vlan[1].device='switch0'
network.@switch_vlan[1].vlan='2'
network.@switch_vlan[1].ports='4 6t'
network.vpn=interface
network.vpn.ifname='tun0'
network.vpn.proto='none'
root@OpenWrt:~# uci show firewall
firewall.@defaults[0]=defaults
firewall.@defaults[0].syn_flood='1'
firewall.@defaults[0].input='ACCEPT'
firewall.@defaults[0].output='ACCEPT'
firewall.@defaults[0].forward='REJECT'
firewall.@zone[0]=zone
firewall.@zone[0].name='lan'
firewall.@zone[0].network='lan'
firewall.@zone[0].input='ACCEPT'
firewall.@zone[0].output='ACCEPT'
firewall.@zone[0].forward='ACCEPT'
firewall.@zone[1]=zone
firewall.@zone[1].name='wan'
firewall.@zone[1].network='wan' 'wan6'
firewall.@zone[1].input='REJECT'
firewall.@zone[1].output='ACCEPT'
firewall.@zone[1].forward='REJECT'
firewall.@zone[1].masq='1'
firewall.@zone[1].mtu_fix='1'
firewall.@forwarding[0]=forwarding
firewall.@forwarding[0].src='lan'
firewall.@forwarding[0].dest='wan'
firewall.@rule[0]=rule
firewall.@rule[0].name='Allow-DHCP-Renew'
firewall.@rule[0].src='wan'
firewall.@rule[0].proto='udp'
firewall.@rule[0].dest_port='68'
firewall.@rule[0].target='ACCEPT'
firewall.@rule[0].family='ipv4'
firewall.@rule[1]=rule
firewall.@rule[1].name='Allow-Ping'
firewall.@rule[1].src='wan'
firewall.@rule[1].proto='icmp'
firewall.@rule[1].icmp_type='echo-request'
firewall.@rule[1].family='ipv4'
firewall.@rule[1].target='ACCEPT'
firewall.@rule[2]=rule
firewall.@rule[2].name='Allow-IGMP'
firewall.@rule[2].src='wan'
firewall.@rule[2].proto='igmp'
firewall.@rule[2].family='ipv4'
firewall.@rule[2].target='ACCEPT'
firewall.@rule[3]=rule
firewall.@rule[3].name='Allow-DHCPv6'
firewall.@rule[3].src='wan'
firewall.@rule[3].proto='udp'
firewall.@rule[3].src_ip='fe80::/10'
firewall.@rule[3].src_port='547'
firewall.@rule[3].dest_ip='fe80::/10'
firewall.@rule[3].dest_port='546'
firewall.@rule[3].family='ipv6'
firewall.@rule[3].target='ACCEPT'
firewall.@rule[4]=rule
firewall.@rule[4].name='Allow-MLD'
firewall.@rule[4].src='wan'
firewall.@rule[4].proto='icmp'
firewall.@rule[4].src_ip='fe80::/10'
firewall.@rule[4].icmp_type='130/0' '131/0' '132/0' '143/0'
firewall.@rule[4].family='ipv6'
firewall.@rule[4].target='ACCEPT'
firewall.@rule[5]=rule
firewall.@rule[5].name='Allow-ICMPv6-Input'
firewall.@rule[5].src='wan'
firewall.@rule[5].proto='icmp'
firewall.@rule[5].icmp_type='echo-request' 'echo-reply' 'destination-unreachable' 'packet-too-big' 'time-exceeded' 'bad-header' 'unknown-header-type' 'router-solicitation' 'neighbour-solicitation' 'router-advertisement' 'neighbour-advertisement'
firewall.@rule[5].limit='1000/sec'
firewall.@rule[5].family='ipv6'
firewall.@rule[5].target='ACCEPT'
firewall.@rule[6]=rule
firewall.@rule[6].name='Allow-ICMPv6-Forward'
firewall.@rule[6].src='wan'
firewall.@rule[6].dest='*'
firewall.@rule[6].proto='icmp'
firewall.@rule[6].icmp_type='echo-request' 'echo-reply' 'destination-unreachable' 'packet-too-big' 'time-exceeded' 'bad-header' 'unknown-header-type'
firewall.@rule[6].limit='1000/sec'
firewall.@rule[6].family='ipv6'
firewall.@rule[6].target='ACCEPT'
firewall.@include[0]=include
firewall.@include[0].path='/etc/firewall.user'
firewall.@rule[7]=rule
firewall.@rule[7].src='wan'
firewall.@rule[7].dest='lan'
firewall.@rule[7].proto='esp'
firewall.@rule[7].target='ACCEPT'
firewall.@rule[8]=rule
firewall.@rule[8].src='wan'
firewall.@rule[8].dest='lan'
firewall.@rule[8].dest_port='500'
firewall.@rule[8].proto='udp'
firewall.@rule[8].target='ACCEPT'
firewall.@zone[2]=zone
firewall.@zone[2].name='vpn'
firewall.@zone[2].input='ACCEPT'
firewall.@zone[2].forward='ACCEPT'
firewall.@zone[2].output='ACCEPT'
firewall.@zone[2].network='vpn'
firewall.@zone[2].masq='1'
firewall.@forwarding[1]=forwarding
firewall.@forwarding[1].src='vpn'
firewall.@forwarding[1].dest='wan'
firewall.@rule[9]=rule
firewall.@rule[9].name='OpenVPN'
firewall.@rule[9].target='ACCEPT'
firewall.@rule[9].src='wan'
firewall.@rule[9].proto='udp'
firewall.@rule[9].dest_proto='1194'
firewall.@forwarding[2]=forwarding
firewall.@forwarding[2].src='vpn'
firewall.@forwarding[2].dest='lan'

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,993

Odp: OpenWrt - konfiguracja serwera OpenVPN w trybie TUN

Brakuje ci http://eko.one.pl/?p=openwrt-openvpntun … zaserwerem

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez Jaack

  • Jaack
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-11-08
  • Posty: 65

Odp: OpenWrt - konfiguracja serwera OpenVPN w trybie TUN

Jest lepiej, ale to dalej nie to.
(Mogę się dać pociąć za to, że wczoraj też ustawiałem push route, ale może commit zabrakło.)

Teraz mogę już pingować edimaxa czy to po 10.8.0.1 czy 192.168.1.3,
ale w dalszym ciągu nie widzę reszty sieci wewnątrz, czyli .1 (router) czy .2 (raspberry).
A przecież: openvpn.home.push='redirect-gateway def1' jest...

6 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,993

Odp: OpenWrt - konfiguracja serwera OpenVPN w trybie TUN

To akurat jest trasa domyslna przez vpn. Zobacz na kliencie czy otrzymał tą trasę i czy wie co to 192.168.1.x

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

7 Odpowiedź przez Jaack

  • Jaack
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-11-08
  • Posty: 65

Odp: OpenWrt - konfiguracja serwera OpenVPN w trybie TUN

Tue Dec 22 10:52:10 2015 PUSH: Received control message: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,route 10.8.0.1,topology net30,ifconfig 10.8.0.6 10.8.0.5'
Tue Dec 22 10:52:10 2015 OPTIONS IMPORT: --ifconfig/up options modified
Tue Dec 22 10:52:10 2015 OPTIONS IMPORT: route options modified
Tue Dec 22 10:52:10 2015 ROUTE default_gateway=192.168.43.1
Tue Dec 22 10:52:10 2015 TAP-WIN32 device [Ethernet 4] opened: \\.\Global\{C9BA39C8-5E91-4CA7-9A87-53EAF9D3DB37}.tap
Tue Dec 22 10:52:10 2015 TAP-Win32 Driver Version 9.7 
Tue Dec 22 10:52:10 2015 TAP-Win32 MTU=1500
Tue Dec 22 10:52:10 2015 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {C9BA39C8-5E91-4CA7-9A87-53EAF9D3DB37} [DHCP-serv: 10.8.0.5, lease-time: 31536000]
Tue Dec 22 10:52:10 2015 Successful ARP Flush on interface [23] {C9BA39C8-5E91-4CA7-9A87-53EAF9D3DB37}
Tue Dec 22 10:52:15 2015 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Tue Dec 22 10:52:15 2015 C:\WINDOWS\system32\route.exe ADD 192.168.1.0 MASK 255.255.255.0 10.8.0.5
Tue Dec 22 10:52:15 2015 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Tue Dec 22 10:52:15 2015 Route addition via IPAPI succeeded [adaptive]
Tue Dec 22 10:52:15 2015 C:\WINDOWS\system32\route.exe ADD 10.8.0.1 MASK 255.255.255.255 10.8.0.5
Tue Dec 22 10:52:15 2015 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Tue Dec 22 10:52:15 2015 Route addition via IPAPI succeeded [adaptive]
Tue Dec 22 10:52:15 2015 Initialization Sequence Completed

To jest klient na windows, przy czym równolegle mam na głównym routerze VPN generowany przez gargoyle i śmiga (czyli raczej wykluczam ułomność klienta)

8 Odpowiedź przez Jaack (edytowany przez Jaack 2015-12-22 18:20:35)

  • Jaack
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-11-08
  • Posty: 65

Odp: OpenWrt - konfiguracja serwera OpenVPN w trybie TUN

Tue Dec 22 10:52:10 2015 ROUTE default_gateway=192.168.43.1
a skąd to i dlaczego takie dziwne IP? (u mnie jest klasyczne .1.1)

Może problemem być fakt, że mam podłączonego Edimax'a przez port LAN(switch), a nie WAN?
Taki jest zamysł, bo on już jest wewnątrz sieci. (192.168.1.0 255.255.255.0)

9 Odpowiedź przez Jaack

  • Jaack
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-11-08
  • Posty: 65

Odp: OpenWrt - konfiguracja serwera OpenVPN w trybie TUN

UPDATE:
Przetestowane na innym komputerze, nowy klient openvpn, ten sam konfig i ten sam efekt.
Dobić się do 10.8.0.1 mogę, do 192.168.252.2 (nowy lokalny adres) tak samo.
Ale do 192.168.252.1 i niczego innego oprócz .2 nie idzie się połączyć.

Proszę o pomoc, dość rozpaczliwie :-)

10 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,993

Odp: OpenWrt - konfiguracja serwera OpenVPN w trybie TUN

A czym ma być ten 252.x? Gateway na lanie masz ustawiony na 1.1, nie na żadne 252.x, więc skąd router ma wiedzieć co to jest?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

11 Odpowiedź przez Jaack

  • Jaack
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-11-08
  • Posty: 65

Odp: OpenWrt - konfiguracja serwera OpenVPN w trybie TUN

Pozmieniało się:
sieć zdalna w której jest Edimax ma adresację 192.168.252.x, router jest 192.168.252.1, a Edimax .252.2.
Poprawiłem IP w:
openvpn.home.push='route 192.168.1.0 255.255.255.0'
na 192.168.252.0 więc myślę, że to powinno wystarczyć.

12 Odpowiedź przez Jaack

  • Jaack
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-11-08
  • Posty: 65

Odp: OpenWrt - konfiguracja serwera OpenVPN w trybie TUN

Serio nikt nie ma pomysłu na to, co mogłoby być nie tak..?

13 Odpowiedź przez Jaack

  • Jaack
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-11-08
  • Posty: 65

Odp: OpenWrt - konfiguracja serwera OpenVPN w trybie TUN

Poddałem się, przeorałem kilogramy zagranicznych for, gdzie np. wskazywali, że w tym konfigu jest błąd -> tun zamiast tun0:

    # uci set openvpn.home=openvpn
    # uci set openvpn.home.enabled=1
    # uci set openvpn.home.dev=tun
    # uci set openvpn.home.port=1194
    # uci set openvpn.home.proto=udp
    # uci set openvpn.home.log=/tmp/openvpn.log
    # uci set openvpn.home.verb=3
    # uci set openvpn.home.ca=/etc/openvpn/ca.crt
    # uci set openvpn.home.cert=/etc/openvpn/serwer.crt
    # uci set openvpn.home.key=/etc/openvpn/serwer.key
    # uci set openvpn.home.server='10.8.0.0 255.255.255.0'
    # uci set openvpn.home.dh=/etc/openvpn/dh2048.pem
    # uci commit openvpn

Ostatecznie zrobiłem to po staremu przejściowo, póki nie wymienię głównego routera na coś z prawdziwego zdarzenia:
http://eko.one.pl/?p=openwrt-openvpn

14 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,993

Odp: OpenWrt - konfiguracja serwera OpenVPN w trybie TUN

--dev tunX | tapX | null
TUN/TAP virtual network device ( X can be omitted for a dynamic device.)
See examples section below for an example on setting up a TUN device.

You must use either tun devices on both ends of the connection or tap devices on both ends. You cannot mix them, as they represent different underlying protocols.

tun devices encapsulate IPv4 while tap devices encapsulate ethernet 802.3.

Może być i tun0 - wtedy jest konkretnie ten, może być i tun - wtedy numer jest dynamicznie nadawany w zależności od tego co masz w systemie.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

15 Odpowiedź przez Jaack

  • Jaack
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-11-08
  • Posty: 65

Odp: OpenWrt - konfiguracja serwera OpenVPN w trybie TUN

OK, dzięki za wyjaśnienie.
Teraz z instrukcji dla TUN dołożyłem sobie TLS i już jestem zadowolony ;-)

Pozdrawiam i wesołych Świąt! :-)

16 Odpowiedź przez Bieniu

  • Bieniu
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-10-28
  • Posty: 69

Odp: OpenWrt - konfiguracja serwera OpenVPN w trybie TUN

Podepnę się pod temat. Problem oczywiście z dostępem do sieci lan za serwerem OpenVpn, którego rolę pełni WDR4300 z OpenWrt od Cezarego (najnowszy build).

Konfiguracja wygląda tak:
/etc/config/network

config interface 'loopback'
        option ifname 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config globals 'globals'
        option ula_prefix 'fda3:a9e0:3082::/48'

config interface 'lan'
        option ifname 'eth0.1'
        option force_link '1'
        option type 'bridge'
        option proto 'static'
        option ipaddr '192.168.1.1'
        option netmask '255.255.255.0'
        option ip6assign '60'

config interface 'wan'
        option ifname 'eth0.2'
        option proto 'dhcp'

config switch
        option name 'switch0'
        option reset '1'
        option enable_vlan '1'

config switch_vlan
        option device 'switch0'
        option vlan '1'
        option ports '0t 2 3 4 5'

config switch_vlan
        option device 'switch0'
        option vlan '2'
        option ports '0t 1'

config interface 'guest'
        option proto 'static'
        option ipaddr '172.16.1.1'
        option netmask '255.255.255.0'
        option type 'bridge'

config interface 'vpn'
        option proto 'none'
        option auto '1'
        option ifname 'tun0'

/etc/config/openvpn

config openvpn 'home'
        option enabled '1'
        option dev 'tun'
        option port '1294'
        option proto 'udp'
        option log '/tmp/openvpn.log'
        option verb '3'
        option ca '/etc/openvpn/ca.crt'
        option cert '/etc/openvpn/serwer.crt'
        option key '/etc/openvpn/serwer.key'
        option server '10.8.0.0 255.255.255.0'
        option dh '/etc/openvpn/dh2048.pem'
        option comp_lzo 'yes'
        list push 'route 192.168.1.0 255.255.255.0'
        list push 'redirect-gateway def1'

/etc/config/firewall

config defaults
        option syn_flood '1'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option drop_invalid '1'

config zone
        option name 'lan'
        list network 'lan'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'

config zone
        option name 'wan'
        list network 'wan'
        list network 'wan6'
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option masq '1'
        option mtu_fix '1'

config forwarding
        option src 'lan'
        option dest 'wan'

config rule
        option name 'Allow-DHCP-Renew'
        option src 'wan'
        option proto 'udp'
        option dest_port '68'
        option target 'ACCEPT'
        option family 'ipv4'

config rule
        option name 'Allow-Ping'
        option src 'wan'
        option proto 'icmp'
        option icmp_type 'echo-request'
        option family 'ipv4'
        option target 'ACCEPT'

config rule
        option name 'Allow-IGMP'
        option src 'wan'
        option proto 'igmp'
        option family 'ipv4'
        option target 'ACCEPT'

config rule
        option name 'Allow-DHCPv6'
        option src 'wan'
        option proto 'udp'
        option src_ip 'fe80::/10'
        option src_port '547'
        option dest_ip 'fe80::/10'
        option dest_port '546'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-MLD'
        option src 'wan'
        option proto 'icmp'
        option src_ip 'fe80::/10'
        list icmp_type '130/0'
        list icmp_type '131/0'
        list icmp_type '132/0'
        list icmp_type '143/0'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Input'
        option src 'wan'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        list icmp_type 'router-solicitation'
        list icmp_type 'neighbour-solicitation'
        list icmp_type 'router-advertisement'
        list icmp_type 'neighbour-advertisement'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Forward'
        option src 'wan'
        option dest '*'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config include
        option path '/etc/firewall.user'

config zone
        option name 'guest'
        option network 'guest'
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'

config forwarding
        option src 'guest'
        option dest 'wan'

config rule
        option src 'guest'
        option proto 'udp'
        option src_port '67-68'
        option dest_port '67-68'
        option target 'ACCEPT'
        option family 'ipv4'

config rule
        option src 'guest'
        option dest_port '53'
        option target 'ACCEPT'
        option family 'ipv4'
        option proto 'tcpudp'

config include 'miniupnpd'
        option type 'script'
        option path '/usr/share/miniupnpd/firewall.include'
        option family 'any'
        option reload '1'

config zone
        option name 'vpn'
        option input 'ACCEPT'
        option forward 'ACCEPT'
        option output 'ACCEPT'
        option network 'vpn'
        option masq '1'

config rule
        option name 'OpenVPN'
        option target 'ACCEPT'
        option src 'wan'
        option proto 'udp'
        option dest_port '1294'

config forwarding
        option dest 'lan'
        option src 'vpn'

config forwarding
        option dest 'wan'
        option src 'vpn'

Plik konfiguracyjny dla klienta

client
ca ca.crt
cert telefon.crt
dev tun
key telefon.key
proto udp
remote NAZWA_DOMENY 1294
remote-cert-tls server
verb 3
comp-lzo

17 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,993

Odp: OpenWrt - konfiguracja serwera OpenVPN w trybie TUN

Nie napisałeś jaki jest problem. Nie pinguje się, nie ma dostępu, routing się nie ustawił? Klient czym jest, smartfonem androidowym? Bo niektóre wersje androida/lub klienta/lub nie wiadomo czego mają problem z ustawieniem openvpn.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

18 Odpowiedź przez Bieniu

  • Bieniu
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-10-28
  • Posty: 69

Odp: OpenWrt - konfiguracja serwera OpenVPN w trybie TUN

Klientem jest OpenVPN for Android. Klient się łączy, trasy ustawione ma prawidłowo bo cały ruch idzie przez serwer OpenVPN ale lanu kompletnie nie widzi (nawet pingi nie działają).
Log z klienta:

2015-12-26 11:57:32 Oficjalna kompilacja 0.6.46 na oneplus A0001 (MSM8974), Android 5.1.1 (LMY48Y) API 22, ABI armeabi-v7a, (oneplus/bacon/A0001:5.1.1/LMY48B/YOG4PAS1N0:user/release-keys)
2015-12-26 11:57:32 Tworzenie konfiguracji…
2015-12-26 11:57:34 started Socket Thread
2015-12-26 11:57:34 Stan sieci: CONNECTED LTE to MOBILE Internet
2015-12-26 11:57:34 P:Initializing Google Breakpad!
2015-12-26 11:57:34 Current Parameter Settings:
2015-12-26 11:57:34   config = '/data/data/de.blinkt.openvpn/cache/android.conf'
2015-12-26 11:57:34   mode = 0
2015-12-26 11:57:34   show_ciphers = DISABLED
2015-12-26 11:57:34   show_digests = DISABLED
2015-12-26 11:57:34   show_engines = DISABLED
2015-12-26 11:57:34   genkey = DISABLED
2015-12-26 11:57:34   key_pass_file = '[UNDEF]'
2015-12-26 11:57:34   show_tls_ciphers = DISABLED
2015-12-26 11:57:34   connect_retry_max = 5
2015-12-26 11:57:34 Connection profiles [0]:
2015-12-26 11:57:34   proto = udp
2015-12-26 11:57:34   local = '[UNDEF]'
2015-12-26 11:57:34   local_port = '1194'
2015-12-26 11:57:34   remote = 'NAZWA_DOMENY'
2015-12-26 11:57:34   remote_port = '1294'
2015-12-26 11:57:34   remote_float = DISABLED
2015-12-26 11:57:34   bind_defined = DISABLED
2015-12-26 11:57:34   bind_local = ENABLED
2015-12-26 11:57:34   bind_ipv6_only = DISABLED
2015-12-26 11:57:34   connect_retry_seconds = 5
2015-12-26 11:57:34   connect_timeout = 120
2015-12-26 11:57:34   socks_proxy_server = '[UNDEF]'
2015-12-26 11:57:34   socks_proxy_port = '[UNDEF]'
2015-12-26 11:57:34   socks_proxy_retry = DISABLED
2015-12-26 11:57:34   tun_mtu = 1500
2015-12-26 11:57:34   tun_mtu_defined = ENABLED
2015-12-26 11:57:34   link_mtu = 1500
2015-12-26 11:57:34   link_mtu_defined = DISABLED
2015-12-26 11:57:34   tun_mtu_extra = 0
2015-12-26 11:57:34   tun_mtu_extra_defined = DISABLED
2015-12-26 11:57:34   mtu_discover_type = -1
2015-12-26 11:57:34   fragment = 0
2015-12-26 11:57:34   mssfix = 1450
2015-12-26 11:57:34   explicit_exit_notification = 0
2015-12-26 11:57:34 Connection profiles END
2015-12-26 11:57:34   remote_random = DISABLED
2015-12-26 11:57:34   ipchange = '[UNDEF]'
2015-12-26 11:57:34   dev = 'tun'
2015-12-26 11:57:34   dev_type = '[UNDEF]'
2015-12-26 11:57:34   dev_node = '[UNDEF]'
2015-12-26 11:57:34   lladdr = '[UNDEF]'
2015-12-26 11:57:34   topology = 1
2015-12-26 11:57:34   tun_ipv6 = DISABLED
2015-12-26 11:57:34   ifconfig_local = '[UNDEF]'
2015-12-26 11:57:34   ifconfig_remote_netmask = '[UNDEF]'
2015-12-26 11:57:34   ifconfig_noexec = DISABLED
2015-12-26 11:57:34   ifconfig_nowarn = ENABLED
2015-12-26 11:57:34   ifconfig_ipv6_local = '[UNDEF]'
2015-12-26 11:57:34   ifconfig_ipv6_netbits = 0
2015-12-26 11:57:34   ifconfig_ipv6_remote = '[UNDEF]'
2015-12-26 11:57:34   shaper = 0
2015-12-26 11:57:34   mtu_test = 0
2015-12-26 11:57:34   mlock = DISABLED
2015-12-26 11:57:34   keepalive_ping = 0
2015-12-26 11:57:34   keepalive_timeout = 0
2015-12-26 11:57:34   inactivity_timeout = 0
2015-12-26 11:57:34   ping_send_timeout = 0
2015-12-26 11:57:34   ping_rec_timeout = 0
2015-12-26 11:57:34   ping_rec_timeout_action = 0
2015-12-26 11:57:34   ping_timer_remote = DISABLED
2015-12-26 11:57:34   remap_sigusr1 = 0
2015-12-26 11:57:34   persist_tun = DISABLED
2015-12-26 11:57:34   persist_local_ip = DISABLED
2015-12-26 11:57:34   persist_remote_ip = DISABLED
2015-12-26 11:57:34   persist_key = DISABLED
2015-12-26 11:57:34   passtos = DISABLED
2015-12-26 11:57:34   resolve_retry_seconds = 60
2015-12-26 11:57:34   resolve_in_advance = DISABLED
2015-12-26 11:57:34   username = '[UNDEF]'
2015-12-26 11:57:34   groupname = '[UNDEF]'
2015-12-26 11:57:34   chroot_dir = '[UNDEF]'
2015-12-26 11:57:34   cd_dir = '[UNDEF]'
2015-12-26 11:57:34   writepid = '[UNDEF]'
2015-12-26 11:57:34   up_script = '[UNDEF]'
2015-12-26 11:57:34   down_script = '[UNDEF]'
2015-12-26 11:57:34   down_pre = DISABLED
2015-12-26 11:57:34   up_restart = DISABLED
2015-12-26 11:57:34   up_delay = DISABLED
2015-12-26 11:57:34   daemon = DISABLED
2015-12-26 11:57:34   inetd = 0
2015-12-26 11:57:34   log = DISABLED
2015-12-26 11:57:34   suppress_timestamps = DISABLED
2015-12-26 11:57:34   machine_readable_output = ENABLED
2015-12-26 11:57:34   nice = 0
2015-12-26 11:57:34   verbosity = 4
2015-12-26 11:57:34   mute = 0
2015-12-26 11:57:34   gremlin = 0
2015-12-26 11:57:34   status_file = '[UNDEF]'
2015-12-26 11:57:34   status_file_version = 1
2015-12-26 11:57:34   status_file_update_freq = 60
2015-12-26 11:57:34   occ = ENABLED
2015-12-26 11:57:34   rcvbuf = 0
2015-12-26 11:57:34   sndbuf = 0
2015-12-26 11:57:34   sockflags = 0
2015-12-26 11:57:34   fast_io = DISABLED
2015-12-26 11:57:34   comp.alg = 2
2015-12-26 11:57:34   comp.flags = 1
2015-12-26 11:57:34   route_script = '[UNDEF]'
2015-12-26 11:57:34   route_default_gateway = '[UNDEF]'
2015-12-26 11:57:34   route_default_metric = 0
2015-12-26 11:57:34   route_noexec = DISABLED
2015-12-26 11:57:34   route_delay = 0
2015-12-26 11:57:34   route_delay_window = 30
2015-12-26 11:57:34   route_delay_defined = DISABLED
2015-12-26 11:57:34   route_nopull = DISABLED
2015-12-26 11:57:34   route_gateway_via_dhcp = DISABLED
2015-12-26 11:57:34   allow_pull_fqdn = DISABLED
2015-12-26 11:57:34   management_addr = '/data/data/de.blinkt.openvpn/cache/mgmtsocket'
2015-12-26 11:57:34   management_port = 'unix'
2015-12-26 11:57:34   management_user_pass = '[UNDEF]'
2015-12-26 11:57:34   management_log_history_cache = 250
2015-12-26 11:57:34   management_echo_buffer_size = 100
2015-12-26 11:57:34   management_write_peer_info_file = '[UNDEF]'
2015-12-26 11:57:34   management_client_user = '[UNDEF]'
2015-12-26 11:57:34   management_client_group = '[UNDEF]'
2015-12-26 11:57:34   management_flags = 4390
2015-12-26 11:57:34   shared_secret_file = '[UNDEF]'
2015-12-26 11:57:34   key_direction = 0
2015-12-26 11:57:34   ciphername_defined = ENABLED
2015-12-26 11:57:34   ciphername = 'BF-CBC'
2015-12-26 11:57:34   authname_defined = ENABLED
2015-12-26 11:57:34   authname = 'SHA1'
2015-12-26 11:57:34   prng_hash = 'SHA1'
2015-12-26 11:57:34   prng_nonce_secret_len = 16
2015-12-26 11:57:34   keysize = 0
2015-12-26 11:57:34   engine = DISABLED
2015-12-26 11:57:34   replay = ENABLED
2015-12-26 11:57:34   mute_replay_warnings = DISABLED
2015-12-26 11:57:34   replay_window = 64
2015-12-26 11:57:34   replay_time = 15
2015-12-26 11:57:34   packet_id_file = '[UNDEF]'
2015-12-26 11:57:34   use_iv = ENABLED
2015-12-26 11:57:34   test_crypto = DISABLED
2015-12-26 11:57:34   tls_server = DISABLED
2015-12-26 11:57:34   tls_client = ENABLED
2015-12-26 11:57:34   key_method = 2
2015-12-26 11:57:34   ca_file = '[[INLINE]]'
2015-12-26 11:57:34   ca_path = '[UNDEF]'
2015-12-26 11:57:34   dh_file = '[UNDEF]'
2015-12-26 11:57:34   cert_file = '[[INLINE]]'
2015-12-26 11:57:34   extra_certs_file = '[UNDEF]'
2015-12-26 11:57:34   priv_key_file = '[[INLINE]]'
2015-12-26 11:57:34   pkcs12_file = '[UNDEF]'
2015-12-26 11:57:34   cipher_list = '[UNDEF]'
2015-12-26 11:57:34   tls_verify = '[UNDEF]'
2015-12-26 11:57:34   tls_export_cert = '[UNDEF]'
2015-12-26 11:57:34   verify_x509_type = 0
2015-12-26 11:57:34   verify_x509_name = '[UNDEF]'
2015-12-26 11:57:34   crl_file = '[UNDEF]'
2015-12-26 11:57:34   ns_cert_type = 0
2015-12-26 11:57:34   remote_cert_ku[i] = 160
2015-12-26 11:57:34   remote_cert_ku[i] = 136
2015-12-26 11:57:34   remote_cert_ku[i] = 0
2015-12-26 11:57:34   remote_cert_ku[i] = 0
2015-12-26 11:57:34   remote_cert_ku[i] = 0
2015-12-26 11:57:34   remote_cert_ku[i] = 0
2015-12-26 11:57:34   remote_cert_ku[i] = 0
2015-12-26 11:57:34   remote_cert_ku[i] = 0
2015-12-26 11:57:34   remote_cert_ku[i] = 0
2015-12-26 11:57:34   remote_cert_ku[i] = 0
2015-12-26 11:57:34   remote_cert_ku[i] = 0
2015-12-26 11:57:34   remote_cert_ku[i] = 0
2015-12-26 11:57:34   remote_cert_ku[i] = 0
2015-12-26 11:57:34   remote_cert_ku[i] = 0
2015-12-26 11:57:34   remote_cert_ku[i] = 0
2015-12-26 11:57:34   remote_cert_ku[i] = 0
2015-12-26 11:57:34   remote_cert_eku = 'TLS Web Server Authentication'
2015-12-26 11:57:34   ssl_flags = 0
2015-12-26 11:57:34   tls_timeout = 2
2015-12-26 11:57:34   renegotiate_bytes = 0
2015-12-26 11:57:34   renegotiate_packets = 0
2015-12-26 11:57:34   renegotiate_seconds = 3600
2015-12-26 11:57:34   handshake_window = 60
2015-12-26 11:57:34   transition_window = 3600
2015-12-26 11:57:34   single_session = DISABLED
2015-12-26 11:57:34   push_peer_info = DISABLED
2015-12-26 11:57:34   tls_exit = DISABLED
2015-12-26 11:57:34   tls_auth_file = '[UNDEF]'
2015-12-26 11:57:34   client = ENABLED
2015-12-26 11:57:34   pull = ENABLED
2015-12-26 11:57:34   auth_user_pass_file = '[UNDEF]'
2015-12-26 11:57:34 OpenVPN 2.4-icsopenvpn [git:icsopenvpn_645-e6b5e62e37c02d5b] android-14-armeabi-v7a [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH] [IPv6] built on Dec  8 2015
2015-12-26 11:57:34 library versions: OpenSSL 1.0.2e 3 Dec 2015, LZO 2.09
2015-12-26 11:57:34 MANAGEMENT: Connected to management server at /data/data/de.blinkt.openvpn/cache/mgmtsocket
2015-12-26 11:57:34 MANAGEMENT: CMD 'hold release'
2015-12-26 11:57:34 MANAGEMENT: CMD 'bytecount 2'
2015-12-26 11:57:34 MANAGEMENT: CMD 'state on'
2015-12-26 11:57:34 MANAGEMENT: CMD 'proxy NONE'
2015-12-26 11:57:35 LZO compression initializing
2015-12-26 11:57:35 Control Channel MTU parms [ L:1542 D:1212 EF:38 EB:0 ET:0 EL:3 ]
2015-12-26 11:57:35 MANAGEMENT: >STATE:1451127455,RESOLVE,,,,,,
2015-12-26 11:57:35 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:393 ET:0 EL:3 ]
2015-12-26 11:57:35 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
2015-12-26 11:57:35 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
2015-12-26 11:57:35 TCP/UDP: Preserving recently used remote address: [AF_INET]89.231.169.212:1294
2015-12-26 11:57:35 Socket Buffers: R=[163840->163840] S=[163840->163840]
2015-12-26 11:57:35 MANAGEMENT: CMD 'needok 'PROTECTFD' ok'
2015-12-26 11:57:35 UDP link local (bound): [AF_INET][undef]:1194
2015-12-26 11:57:35 UDP link remote: [AF_INET]89.231.169.212:1294
2015-12-26 11:57:35 MANAGEMENT: >STATE:1451127455,WAIT,,,,,,
2015-12-26 11:57:35 MANAGEMENT: >STATE:1451127455,AUTH,,,,,,
2015-12-26 11:57:35 TLS: Initial packet from [AF_INET]89.231.169.212:1294, sid=47b11c70 c5c88ebe
2015-12-26 11:57:36 VERIFY OK: depth=1, C=PL, ST=Lodzkie, L=Lowicz, O=Home, OU=Home, CN=OpenWrt Server, name=Router, emailAddress=maciej.bieniek@gmail.com
2015-12-26 11:57:36 Validating certificate key usage
2015-12-26 11:57:36 ++ Certificate has key usage  00a0, expects 00a0
2015-12-26 11:57:36 VERIFY KU OK
2015-12-26 11:57:36 Validating certificate extended key usage
2015-12-26 11:57:36 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
2015-12-26 11:57:36 VERIFY EKU OK
2015-12-26 11:57:36 VERIFY OK: depth=0, C=PL, ST=Lodzkie, L=Lowicz, O=Home, OU=Home, CN=OpenWrt Server, name=Router, emailAddress=maciej.bieniek@gmail.com
2015-12-26 11:57:37 NOTE: Options consistency check may be skewed by version differences
2015-12-26 11:57:37 WARNING: 'version' is used inconsistently, local='version V4', remote='version V0 UNDEF'
2015-12-26 11:57:37 WARNING: 'dev-type' is present in local config but missing in remote config, local='dev-type tun'
2015-12-26 11:57:37 WARNING: 'link-mtu' is present in local config but missing in remote config, local='link-mtu 1542'
2015-12-26 11:57:37 WARNING: 'tun-mtu' is present in local config but missing in remote config, local='tun-mtu 1500'
2015-12-26 11:57:37 WARNING: 'comp-lzo' is present in local config but missing in remote config, local='comp-lzo'
2015-12-26 11:57:37 WARNING: 'cipher' is present in local config but missing in remote config, local='cipher BF-CBC'
2015-12-26 11:57:37 WARNING: 'auth' is present in local config but missing in remote config, local='auth SHA1'
2015-12-26 11:57:37 WARNING: 'keysize' is present in local config but missing in remote config, local='keysize 128'
2015-12-26 11:57:37 WARNING: 'key-method' is present in local config but missing in remote config, local='key-method 2'
2015-12-26 11:57:37 WARNING: 'tls-server' is present in local config but missing in remote config, local='tls-server'
2015-12-26 11:57:37 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
2015-12-26 11:57:37 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
2015-12-26 11:57:37 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
2015-12-26 11:57:37 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
2015-12-26 11:57:37 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
2015-12-26 11:57:37 [OpenWrt Server] Peer Connection Initiated with [AF_INET]89.231.169.212:1294
2015-12-26 11:57:38 MANAGEMENT: >STATE:1451127458,GET_CONFIG,,,,,,
2015-12-26 11:57:38 SENT CONTROL [OpenWrt Server]: 'PUSH_REQUEST' (status=1)
2015-12-26 11:57:38 PUSH: Received control message: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,redirect-gateway def1,route 10.8.0.1,topology net30,ifconfig 10.8.0.6 10.8.0.5'
2015-12-26 11:57:38 OPTIONS IMPORT: --ifconfig/up options modified
2015-12-26 11:57:38 OPTIONS IMPORT: route options modified
2015-12-26 11:57:38 ROUTE_GATEWAY 127.100.103.119/255.0.0.0 IFACE=lo HWADDR=00:00:00:00:00:00
2015-12-26 11:57:38 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
2015-12-26 11:57:38 MANAGEMENT: >STATE:1451127458,ASSIGN_IP,,10.8.0.6,,,,
2015-12-26 11:57:38 MANAGEMENT: CMD 'needok 'IFCONFIG' ok'
2015-12-26 11:57:38 MANAGEMENT: CMD 'needok 'ROUTE' ok'
2015-12-26 11:57:38 MANAGEMENT: >STATE:1451127458,ADD_ROUTES,,,,,,
2015-12-26 11:57:38 MANAGEMENT: CMD 'needok 'ROUTE' ok'
2015-12-26 11:57:38 MANAGEMENT: CMD 'needok 'ROUTE' ok'
2015-12-26 11:57:38 MANAGEMENT: CMD 'needok 'PERSIST_TUN_ACTION' OPEN_BEFORE_CLOSE'
2015-12-26 11:57:38 Otwieram interfejs tun:
2015-12-26 11:57:38 Lokalne IPv4: 10.8.0.6/30 IPv6: null MTU: 1500
2015-12-26 11:57:38 Serwer DNS: , Domena: null
2015-12-26 11:57:38 Trasy: 0.0.0.0/0, 10.8.0.1/32, 10.8.0.4/30, 192.168.1.0/24
2015-12-26 11:57:38 Wykluczone trasy: 
2015-12-26 11:57:38 VpnService dodano trasy: 0.0.0.0/0
2015-12-26 11:57:38 Niedozwolone aplikacje VPN:
2015-12-26 11:57:38 Nie są używane żadne serwery DNS. Rozpoznawanie nazw może nie działać. Rozważ ustawienie własnych serwerów DNS. Miej również na uwadze, że Android nadal będzie korzystać z ustawień proxy Twojego połączenia mobilnego/Wi-Fi, nawet gdy opcje DNS nie są ustawione.
2015-12-26 11:57:38 MANAGEMENT: CMD 'needok 'OPENTUN' ok'
2015-12-26 11:57:38 Initialization Sequence Completed
2015-12-26 11:57:38 MANAGEMENT: >STATE:1451127458,CONNECTED,SUCCESS,10.8.0.6,89.231.169.212,1294,,

Ten sam klient działa elegancko jak używam serwera OpenVPN na NASie Synology. Dostęp do LANu wtedy jest.

19 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,993

Odp: OpenWrt - konfiguracja serwera OpenVPN w trybie TUN

Trasę dostał, więc całkowicie problem masz po stronie tego klienta. Co zresztą potwierdziłeś.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

20 Odpowiedź przez Bieniu

  • Bieniu
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-10-28
  • Posty: 69

Odp: OpenWrt - konfiguracja serwera OpenVPN w trybie TUN

Mnie się właśnie wydaje, że problem jest po stronie serwera. Ten sam klient na serwerze Synology i prawie identycznej konfiguracji (trasy są identyczne) widzi lan. A na serwerze OpenWrt traceroute do adresu lanowego wyświetla kilkanaście skoków opisanych jako *.

21 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,993

Odp: OpenWrt - konfiguracja serwera OpenVPN w trybie TUN

Pytanie: czy host w lanie którego pingujesz ma poprawnie ustawiony gateway?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

22 Odpowiedź przez Jaack

  • Jaack
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-11-08
  • Posty: 65

Odp: OpenWrt - konfiguracja serwera OpenVPN w trybie TUN

Po restarcie się posypało, po logach wykryłem, że skrypt openvpn-startup startuje zanim bridge br-lan zostanie utworzony.
Wykopałem skrypt openvpn-startup i zmieniłem przy pomocy UCI:
uci set network.lan.ifname='eth0.1 tap0'

Teraz działa.
Cezary, mogę zakładać, że teraz będzie już dobrze? :-)

23 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,993

Odp: OpenWrt - konfiguracja serwera OpenVPN w trybie TUN

Jaki skrypt i jaki tap0 jak ty masz tun? Coś chyba namieszałeś.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

24 Odpowiedź przez Jaack (edytowany przez Jaack 2015-12-29 16:17:43)

  • Jaack
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-11-08
  • Posty: 65

Odp: OpenWrt - konfiguracja serwera OpenVPN w trybie TUN

Nie, bo nie mogłem dojść do ładu z tun.
Przeszedłem na TAP, ale dołożyłem sobie certyfikaty (taka hybryda z jednej i drugiej Twojej instrukcji).

Teraz komputer którym łączę się z siecią poprzez VPN dostaje z DHCP pełną adresację i widzi wszystko po "tamtej" stronie.

Czy mogę jakoś zablokować wysyłanie części ustawień DHCP? Nie chciałbym żeby pobierał bramę domyślną czy DNS'y z urządzenia za tunelem, tylko adres IP i maskę.

25 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,993

Odp: OpenWrt - konfiguracja serwera OpenVPN w trybie TUN

To już zależy jak serwer dhcp ustawisz

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona