Odp: Serwer VPN dla 2ch użytkowników
Z tego co zdołałem zweryfikować na wiki openwrt znalazłem jeszcze Asus RT-N14U, ktoś ma jakieś doświadczenia z tym urządzeniem?
Strony Poprzednia 1 2 3 Następna
Zaloguj się lub zarejestruj by napisać odpowiedź
Nie jesteś zalogowany. Proszę się zalogować lub zarejestrować.
Serwer VPN dla 2ch użytkowników (Strona 2 z 3)
eko.one.pl → Oprogramowanie / Software → Serwer VPN dla 2ch użytkowników
Posty: 26 do 50 z 51
26 2016-04-22 18:59:14 (edytowany przez inubero 2016-04-22 19:03:51)
27 2016-04-24 00:48:51 (edytowany przez inubero 2016-04-24 00:52:10)
Odp: Serwer VPN dla 2ch użytkowników
Udało mi się zestawić połączenie, z poziomu routera klienta moge połączyć się z routerem serwera.
Niestety na kliencie nie działa internet, oraz nie są widoczne urządzenia z sieci serwera
/tmp/openvpn.log - server
Sun Apr 24 01:13:42 2016 OpenVPN 2.3.6 mips-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Jan 31 2016
Sun Apr 24 01:13:42 2016 library versions: OpenSSL 1.0.2g 1 Mar 2016, LZO 2.08
Sun Apr 24 01:13:42 2016 WARNING: --keepalive option is missing from server config
Sun Apr 24 01:13:42 2016 Diffie-Hellman initialized with 2048 bit key
Sun Apr 24 01:13:42 2016 Socket Buffers: R=[163840->131072] S=[163840->131072]
Sun Apr 24 01:13:42 2016 TUN/TAP device tun0 opened
Sun Apr 24 01:13:42 2016 TUN/TAP TX queue length set to 100
Sun Apr 24 01:13:42 2016 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Sun Apr 24 01:13:42 2016 /sbin/ifconfig tun0 10.8.0.1 pointopoint 10.8.0.2 mtu 1500
Sun Apr 24 01:13:42 2016 /sbin/route add -net 10.8.0.0 netmask 255.255.255.0 gw 10.8.0.2
Sun Apr 24 01:13:42 2016 UDPv4 link local (bound): [undef]
Sun Apr 24 01:13:42 2016 UDPv4 link remote: [undef]
Sun Apr 24 01:13:42 2016 MULTI: multi_init called, r=256 v=256
Sun Apr 24 01:13:42 2016 IFCONFIG POOL: base=10.8.0.4 size=62, ipv6=0
Sun Apr 24 01:13:42 2016 Initialization Sequence Completed
Sun Apr 24 01:16:46 2016 IP_CLIENT:30580 TLS: Initial packet from [AF_INET]IP_CLIENT:30580, sid=d2e9305d 7be6fab8
Sun Apr 24 01:16:50 2016 IP_CLIENT:30580 TLS: new session incoming connection from [AF_INET]IP_CLIENT:30580
Sun Apr 24 01:16:53 2016 IP_CLIENT:30580 VERIFY OK: depth=1, C=PL, ST=MAZ, L=WARSZAWA, O=SERVER, CN=SERVER CA, name=EasyRSA, emailAddress=xyz@xyz.com
Sun Apr 24 01:16:53 2016 IP_CLIENT:30580 VERIFY OK: depth=0, C=PL, ST=MAZ, L=WARSZAWA, O=SERVER, CN=CLIENT_A, name=EasyRSA, emailAddress=xyz@xyz.com
Sun Apr 24 01:16:54 2016 IP_CLIENT:30580 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Apr 24 01:16:54 2016 IP_CLIENT:30580 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Apr 24 01:16:54 2016 IP_CLIENT:30580 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Apr 24 01:16:54 2016 IP_CLIENT:30580 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Apr 24 01:16:54 2016 IP_CLIENT:30580 TLS: move_session: dest=TM_ACTIVE src=TM_UNTRUSTED reinit_src=1
Sun Apr 24 01:16:54 2016 IP_CLIENT:30580 TLS: tls_multi_process: untrusted session promoted to semi-trusted
Sun Apr 24 01:16:54 2016 IP_CLIENT:30580 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Sun Apr 24 01:16:54 2016 IP_CLIENT:30580 [CLIENT_A] Peer Connection Initiated with [AF_INET]IP_CLIENT:30580
Sun Apr 24 01:16:54 2016 CLIENT_A/IP_CLIENT:30580 MULTI_sva: pool returned IPv4=10.8.0.6, IPv6=(Not enabled)
Sun Apr 24 01:16:54 2016 CLIENT_A/IP_CLIENT:30580 MULTI: Learn: 10.8.0.6 -> CLIENT_A/IP_CLIENT:30580
Sun Apr 24 01:16:54 2016 CLIENT_A/IP_CLIENT:30580 MULTI: primary virtual IP for CLIENT_A/IP_CLIENT:30580: 10.8.0.6
Sun Apr 24 01:16:56 2016 CLIENT_A/IP_CLIENT:30580 PUSH: Received control message: 'PUSH_REQUEST'
Sun Apr 24 01:16:56 2016 CLIENT_A/IP_CLIENT:30580 send_push_reply(): safe_cap=940
Sun Apr 24 01:16:56 2016 CLIENT_A/IP_CLIENT:30580 SENT CONTROL [CLIENT_A]: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,redirect-gateway def1,route 10.8.0.1,topology net30,ifconfig 10
Sun Apr 24 01:26:02 2016 IP_CLIENT:30577 TLS: Initial packet from [AF_INET]IP_CLIENT:30577, sid=ba46e9b3 81799216
Sun Apr 24 01:26:05 2016 IP_CLIENT:30577 VERIFY OK: depth=1, C=PL, ST=MAZ, L=WARSZAWA, O=SERVER, CN=SERVER CA, name=EasyRSA, emailAddress=xyz@xyz.com
Sun Apr 24 01:26:05 2016 IP_CLIENT:30577 VERIFY OK: depth=0, C=PL, ST=MAZ, L=WARSZAWA, O=SERVER, CN=CLIENT_B, name=EasyRSA, emailAddress=xyz@xyz.com
Sun Apr 24 01:26:05 2016 IP_CLIENT:30577 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Apr 24 01:26:05 2016 IP_CLIENT:30577 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Apr 24 01:26:05 2016 IP_CLIENT:30577 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Apr 24 01:26:05 2016 IP_CLIENT:30577 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Apr 24 01:26:06 2016 IP_CLIENT:30577 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Sun Apr 24 01:26:06 2016 IP_CLIENT:30577 [CLIENT_B] Peer Connection Initiated with [AF_INET]IP_CLIENT:30577
Sun Apr 24 01:26:06 2016 CLIENT_B/IP_CLIENT:30577 MULTI_sva: pool returned IPv4=10.8.0.10, IPv6=(Not enabled)
Sun Apr 24 01:26:06 2016 CLIENT_B/IP_CLIENT:30577 MULTI: Learn: 10.8.0.10 -> CLIENT_B/IP_CLIENT:30577
Sun Apr 24 01:26:06 2016 CLIENT_B/IP_CLIENT:30577 MULTI: primary virtual IP for CLIENT_B/IP_CLIENT:30577: 10.8.0.10
Sun Apr 24 01:26:08 2016 CLIENT_B/IP_CLIENT:30577 PUSH: Received control message: 'PUSH_REQUEST'
Sun Apr 24 01:26:08 2016 CLIENT_B/IP_CLIENT:30577 send_push_reply(): safe_cap=940
Sun Apr 24 01:26:08 2016 CLIENT_B/IP_CLIENT:30577 SENT CONTROL [CLIENT_B]: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,redirect-gateway def1,route 10.8.0.1,topology net30,ifconfig 10
Sun Apr 24 01:31:01 2016 CLIENT_B/IP_CLIENT:30577 TLS: new session incoming connection from [AF_INET]IP_CLIENT:30577
Sun Apr 24 01:31:06 2016 CLIENT_B/IP_CLIENT:30577 VERIFY OK: depth=1, C=PL, ST=MAZ, L=WARSZAWA, O=SERVER, CN=SERVER CA, name=EasyRSA, emailAddress=xyz@xyz.com
Sun Apr 24 01:31:06 2016 CLIENT_B/IP_CLIENT:30577 VERIFY OK: depth=0, C=PL, ST=MAZ, L=WARSZAWA, O=SERVER, CN=CLIENT_B, name=EasyRSA, emailAddress=xyz@xyz.com
Sun Apr 24 01:31:07 2016 CLIENT_B/IP_CLIENT:30577 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Apr 24 01:31:07 2016 CLIENT_B/IP_CLIENT:30577 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Apr 24 01:31:07 2016 CLIENT_B/IP_CLIENT:30577 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Apr 24 01:31:07 2016 CLIENT_B/IP_CLIENT:30577 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Apr 24 01:31:07 2016 CLIENT_B/IP_CLIENT:30577 TLS: move_session: dest=TM_ACTIVE src=TM_UNTRUSTED reinit_src=1
Sun Apr 24 01:31:07 2016 CLIENT_B/IP_CLIENT:30577 TLS: tls_multi_process: untrusted session promoted to trusted
/tmp/openvpn.log - client_b
Sun Apr 24 01:37:48 2016 WARNING: file '/etc/openvpn/CLIENT_B.key' is group or others accessible
Sun Apr 24 01:37:48 2016 Socket Buffers: R=[163840->131072] S=[163840->131072]
Sun Apr 24 01:37:48 2016 UDPv4 link local (bound): [undef]
Sun Apr 24 01:37:48 2016 UDPv4 link remote: [AF_INET]SERVER_IP:1194
Sun Apr 24 01:37:49 2016 TLS: Initial packet from [AF_INET]SERVER_IP:1194, sid=99784ce0 5ff9d348
Sun Apr 24 01:37:53 2016 VERIFY OK: depth=1, C=PL, ST=MAZ, L=WARSZAWA, O=SERVER, CN=SERVER CA, name=EasyRSA, emailAddress=xyz@xyz.com
Sun Apr 24 01:37:53 2016 Validating certificate key usage
Sun Apr 24 01:37:53 2016 ++ Certificate has key usage 00a0, expects 00a0
Sun Apr 24 01:37:53 2016 VERIFY KU OK
Sun Apr 24 01:37:53 2016 Validating certificate extended key usage
Sun Apr 24 01:37:53 2016 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Sun Apr 24 01:37:53 2016 VERIFY EKU OK
Sun Apr 24 01:37:53 2016 VERIFY OK: depth=0, C=PL, ST=MAZ, L=WARSZAWA, O=SERVER, CN=SERVER-WAW, name=EasyRSA, emailAddress=xyz@xyz.com
Sun Apr 24 01:38:03 2016 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Apr 24 01:38:03 2016 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Apr 24 01:38:03 2016 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Apr 24 01:38:03 2016 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Apr 24 01:38:03 2016 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Sun Apr 24 01:38:03 2016 [SERVER-WAW] Peer Connection Initiated with [AF_INET]SERVER_IP:1194
Sun Apr 24 01:38:05 2016 SENT CONTROL [SERVER-WAW]: 'PUSH_REQUEST' (status=1)
Sun Apr 24 01:38:05 2016 PUSH: Received control message: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,redirect-gateway def1,route 10.8.0.1,topology net30,ifconfig 10.8.0
Sun Apr 24 01:38:05 2016 OPTIONS IMPORT: --ifconfig/up options modified
Sun Apr 24 01:38:05 2016 OPTIONS IMPORT: route options modified
Sun Apr 24 01:38:05 2016 TUN/TAP device tun0 opened
Sun Apr 24 01:38:05 2016 TUN/TAP TX queue length set to 100
Sun Apr 24 01:38:05 2016 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Sun Apr 24 01:38:05 2016 /sbin/ifconfig tun0 10.8.0.10 pointopoint 10.8.0.9 mtu 1500
Sun Apr 24 01:38:05 2016 /sbin/route add -net SERVER_IP netmask 255.255.255.255 gw 192.168.43.1
Sun Apr 24 01:38:05 2016 /sbin/route add -net 0.0.0.0 netmask 128.0.0.0 gw 10.8.0.9
Sun Apr 24 01:38:05 2016 /sbin/route add -net 128.0.0.0 netmask 128.0.0.0 gw 10.8.0.9
Sun Apr 24 01:38:05 2016 /sbin/route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.8.0.9
Sun Apr 24 01:38:05 2016 /sbin/route add -net 10.8.0.1 netmask 255.255.255.255 gw 10.8.0.9
Sun Apr 24 01:38:05 2016 Initialization Sequence Completed
/etc/config/firewall - server
config defaults
option syn_flood '1'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'config zone
option name 'lan'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'ACCEPT'
option network 'lan'config zone
option name 'wan'
option output 'ACCEPT'
option forward 'REJECT'
option masq '1'
option mtu_fix '1'
option input 'ACCEPT'
option network 'wan wan6'config forwarding
option src 'lan'
option dest 'wan'config rule
option name 'Allow-DHCP-Renew'
option src 'wan'
option proto 'udp'
option dest_port '68'
option target 'ACCEPT'
option family 'ipv4'config rule
option name 'Allow-Ping'
option src 'wan'
option proto 'icmp'
option icmp_type 'echo-request'
option family 'ipv4'
option target 'ACCEPT'config rule
option name 'Allow-IGMP'
option src 'wan'
option proto 'igmp'
option family 'ipv4'
option target 'ACCEPT'config rule
option name 'Allow-DHCPv6'
option src 'wan'
option proto 'udp'
option src_ip 'fe80::/10'
option src_port '547'
option dest_ip 'fe80::/10'
option dest_port '546'
option family 'ipv6'
option target 'ACCEPT'config rule
option name 'Allow-MLD'
option src 'wan'
option proto 'icmp'
option src_ip 'fe80::/10'
list icmp_type '130/0'
list icmp_type '131/0'
list icmp_type '132/0'
list icmp_type '143/0'
option family 'ipv6'
option target 'ACCEPT'config rule
option name 'Allow-ICMPv6-Input'
option src 'wan'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
list icmp_type 'router-solicitation'
list icmp_type 'neighbour-solicitation'
list icmp_type 'router-advertisement'
list icmp_type 'neighbour-advertisement'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'config rule
option name 'Allow-ICMPv6-Forward'
option src 'wan'
option dest '*'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'config include
option path '/etc/firewall.user'config rule
option src 'wan'
option dest 'lan'
option proto 'esp'
option target 'ACCEPT'config rule
option src 'wan'
option dest 'lan'
option dest_port '500'
option proto 'udp'
option target 'ACCEPT'config rule
option target 'ACCEPT'
option dest_port '3690'
option name 'svn'
option dest_ip '192.168.1.1'
option proto 'all'
option src '*'config redirect
option target 'DNAT'
option src 'wan'
option dest 'lan'
option proto 'tcp udp'
option src_dport '3690'
option dest_ip '192.168.1.1'
option dest_port '3690'
option name 'svn'config zone
option name 'vpn'
option input 'ACCEPT'
option forward 'ACCEPT'
option output 'ACCEPT'
option network 'vpn'
option masq '1'config rule
option name 'OpenVPN'
option target 'ACCEPT'
option src 'wan'
option proto 'udp'
option dest_port '1194'config forwarding
option dest 'lan'
option src 'vpn'config forwarding
option dest 'wan'
option src 'vpn'
/etc/config/firewall - client_b
config defaults
option syn_flood '1'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'config zone
option name 'lan'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'ACCEPT'
option network 'lan'config zone
option name 'wan'
option input 'REJECT'
option output 'ACCEPT'
option forward 'REJECT'
option masq '1'
option mtu_fix '1'
option network 'wan wan6 wwan'config forwarding
option src 'lan'
option dest 'wan'config rule
option name 'Allow-DHCP-Renew'
option src 'wan'
option proto 'udp'
option dest_port '68'
option target 'ACCEPT'
option family 'ipv4'config rule
option name 'Allow-Ping'
option src 'wan'
option proto 'icmp'
option icmp_type 'echo-request'
option family 'ipv4'
option target 'ACCEPT'config rule
option name 'Allow-IGMP'
option src 'wan'
option proto 'igmp'
option family 'ipv4'
option target 'ACCEPT'config rule
option name 'Allow-DHCPv6'
option src 'wan'
option proto 'udp'
option src_ip 'fe80::/10'
option src_port '547'
option dest_ip 'fe80::/10'
option dest_port '546'
option family 'ipv6'
option target 'ACCEPT'config rule
option name 'Allow-MLD'
option src 'wan'
option proto 'icmp'
option src_ip 'fe80::/10'
list icmp_type '130/0'
list icmp_type '131/0'
list icmp_type '132/0'
list icmp_type '143/0'
option family 'ipv6'
option target 'ACCEPT'config rule
option name 'Allow-ICMPv6-Input'
option src 'wan'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
list icmp_type 'router-solicitation'
list icmp_type 'neighbour-solicitation'
list icmp_type 'router-advertisement'
list icmp_type 'neighbour-advertisement'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'config rule
option name 'Allow-ICMPv6-Forward'
option src 'wan'
option dest '*'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'config include
option path '/etc/firewall.user'config rule
option src 'wan'
option dest 'lan'
option proto 'esp'
option target 'ACCEPT'config rule
option src 'wan'
option dest 'lan'
option dest_port '500'
option proto 'udp'
option target 'ACCEPT'
Plik /etc/firewall.user pusty na wszystkich urządzeniach
Adresacja:
Serwer: 192.168.1.1/24
Client_A: 192.168.2.1/24
Client_B: 192.168.3.1/24
Odp: Serwer VPN dla 2ch użytkowników
Konfig openvpn serwera pokaż dla pełni obrazu.
Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.
Odp: Serwer VPN dla 2ch użytkowników
Aby mieć dostęp do hostów w podsieci serwera do /etc/config/firewall dodaj:
config forwarding
option dest 'vpn'
option src 'lan'Co do przekierowania ruchu internetowego przez tunel openvpn to podejrzewam, że w configu serwera w /etc/openvpn/server.conf nie ma tego wpisu:
push "route-gateway 10.8.0.1"TP-Link TL-WDR3600 v1.5 - OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163 +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163 +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7
30 2016-04-24 10:44:55 (edytowany przez inubero 2016-04-24 13:38:28)
Odp: Serwer VPN dla 2ch użytkowników
@khain,
Twoje rozwiązanie nie pomogło
/etc/config/openvpn - server
config openvpn 'home'
option enabled '1'
option dev 'tun'
option port '1194'
option proto 'udp'
option log '/tmp/openvpn.log'
option verb '3'
option ca '/etc/openvpn/ca.crt'
option cert '/etc/openvpn/SERVER.crt'
option key '/etc/openvpn/SERVER.key'
option server '10.8.0.0 255.255.255.0'
option dh '/etc/openvpn/dh2048.pem'
list push 'route 192.168.1.0 255.255.255.0'
list push 'redirect-gateway def1'
Na routerach klienckich, ping, traceroute, nslookup działa.
W traceroute na pierwszej pozycji mam 10.8.0.1, z czego wnioskuje że ruch wychodzi przez router serwerowy
Na komputerze podpiętym do klienta LANem, powyższe nie działa.
Dodatkowo:
1. zawsze po restarcie routera serwerowego, nie wstaje uhttpd, po ręcznym starcie uhttpd jest ok.
2. Z LAN routera serwerowego chciałbym mieć dostęp do LAN routerów klienckich.
Odp: Serwer VPN dla 2ch użytkowników
Dodałeś wpis do firewalla, o którym pisałem i zrestartowałeś firewall?
1. Sprawdź w logach co jest powodem.
2. Musisz podać trasę do tych podsieci klientów, a tego nie zrobiłeś. Najłatwiej jest to zrobić za pomocą client-config-dir. Więcej tutaj https://openvpn.net/index.php/open-sour … howto.html w "Including multiple machines on the client side when using a routed VPN (dev tun)"
I pytanie czy ty na pewno chcesz przekierować cały ruch z podsieci klientów przez tunel openvpn? Bo o tym świadczy ten wpis:
list push 'redirect-gateway def1'ale mojego wpisu z poprzedniego postu już nie dodałeś.
TP-Link TL-WDR3600 v1.5 - OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163 +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163 +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7
32 2016-04-24 14:56:36 (edytowany przez inubero 2016-04-24 15:49:42)
Odp: Serwer VPN dla 2ch użytkowników
Wpis w /etc/config/firewall dodany, oraz w /etc/config/openvpn, wszystko zrestartowane. Zależy mi na przekierowaniu całego ruchu z podsieci klienta przez tunel. Klient powinien mieć dostęp do całej podsieci lan po stronie serwera.
serwer log:
Sun Apr 24 15:51:31 2016 CLIENT/CLIENT_IP:21352 PUSH: Received control message: 'PUSH_REQUEST'
Sun Apr 24 15:51:31 2016 CLIENT/CLIENT_IP:21352 send_push_reply(): safe_cap=940
Sun Apr 24 15:51:31 2016 CLIENT/CLIENT_IP:21352 SENT CONTROL [CLIENT]: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,redirect-gateway def1,route-gateway 10.8.0.1,route 10.8.0.1,topology net30,ifconfig 10.8.0.6 10.8.0.5' (status=1)
Po wprowadzeniu powyższego w logach po stronie klienta mam:
Sun Apr 24 15:47:15 2016 PUSH: Received control message: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,redirect-gateway def1,route-gateway 10.8.0.1,route 10.8.0.1,topology net30,ifconfig 10.8.0.6 10.8.0.5'
Sun Apr 24 15:47:15 2016 OPTIONS IMPORT: --ifconfig/up options modified
Sun Apr 24 15:47:15 2016 OPTIONS IMPORT: route options modified
Sun Apr 24 15:47:15 2016 OPTIONS IMPORT: route-related options modified
Sun Apr 24 15:47:15 2016 TUN/TAP device tun0 opened
Sun Apr 24 15:47:15 2016 TUN/TAP TX queue length set to 100
Sun Apr 24 15:47:15 2016 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Sun Apr 24 15:47:15 2016 /sbin/ifconfig tun0 10.8.0.6 pointopoint 10.8.0.5 mtu 1500
Sun Apr 24 15:47:15 2016 /sbin/route add -net SERVER_IP netmask 255.255.255.255 gw 192.168.43.1
Sun Apr 24 15:47:16 2016 /sbin/route add -net 0.0.0.0 netmask 128.0.0.0 gw 10.8.0.1
route: SIOCADDRT: Network is unreachable
Sun Apr 24 15:47:16 2016 ERROR: Linux route add command failed: external program exited with error status: 1
Sun Apr 24 15:47:16 2016 /sbin/route add -net 128.0.0.0 netmask 128.0.0.0 gw 10.8.0.1
route: SIOCADDRT: Network is unreachable
Sun Apr 24 15:47:16 2016 ERROR: Linux route add command failed: external program exited with error status: 1
Sun Apr 24 15:47:16 2016 /sbin/route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.8.0.1
route: SIOCADDRT: Network is unreachable
Sun Apr 24 15:47:16 2016 ERROR: Linux route add command failed: external program exited with error status: 1
Sun Apr 24 15:47:16 2016 /sbin/route add -net 10.8.0.1 netmask 255.255.255.255 gw 10.8.0.1
route: SIOCADDRT: Network is unreachable
Sun Apr 24 15:47:16 2016 ERROR: Linux route add command failed: external program exited with error status: 1
Sun Apr 24 15:47:16 2016 Initialization Sequence Completed
Po usunięciu route-gateway 10.8.0.1, nie ma powyższych błędów.
Odp: Serwer VPN dla 2ch użytkowników
Sun Apr 24 15:47:15 2016 /sbin/ifconfig tun0 10.8.0.6 pointopoint 10.8.0.5 mtu 1500z tego wynika, że adres IP serwera wewnątrz tunelu to 10.8.0.5, więc zmień na:
list push 'route-gateway 10.8.0.5'TP-Link TL-WDR3600 v1.5 - OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163 +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163 +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7
34 2016-04-24 17:26:36 (edytowany przez inubero 2016-04-24 17:27:17)
Odp: Serwer VPN dla 2ch użytkowników
Zrobione, błąd nie wystąpił, jednak nic się nie zmieniło. Dalej to samo.
Bezpośrednio na routerze klienckim ruch jest.
Na urządzeniu wpiętym do routera klienckiego przy próbie pingu routera serwerowego mam Reply: Destination port Unreachable
Odp: Serwer VPN dla 2ch użytkowników
Zrób traceroute/tracert na hoście w podsieci klienta i zobacz gdzie ginie pakiet. Podejrzewam, że nie jest włączony forward pakietów.
TP-Link TL-WDR3600 v1.5 - OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163 +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163 +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7
Odp: Serwer VPN dla 2ch użytkowników
tracert zatrzymuje mi sie na nr ip routera klienta z komunikatem Destination protocol Unreachable
Odp: Serwer VPN dla 2ch użytkowników
W konsoli routera-klienta, wpisz:
iptables -I FORWARD -j ACCEPTUstawi to tymczasowy forwarding na wszystkich interfejsach, dzięki temu będziemy wiedzieć czy problem leży właśnie w braku forwardingu na kliencie. Nie jest to bezpieczne rozwiązanie, więc należy je usunąć za pomocą
/etc/init.d/firewall restartJeśli nie pomoże zrób to samo na serwerze (może tam też nie masz forwardingu ustawionego).
TP-Link TL-WDR3600 v1.5 - OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163 +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163 +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7
Odp: Serwer VPN dla 2ch użytkowników
Niestety nie pomogło.
Komputer podpięty do klienta po wprowadzeniu zmiany dostaje timeout przy pingu, tracert itp
Dodanie tego samego po stronie klienta i serwera również nie pomogło.
Odp: Serwer VPN dla 2ch użytkowników
W takim razie nie wiem co masz nie tak. Mój konfig wygląda tak:
192.168.12.0 podsieć serwera
192.168.8.0 podsieć klienta
10.10.0.0 podsieć w tunelu openvpn
I Po stronie serwera:
1) /etc/config/network:
config interface 'vpn'
option ifname 'tun0'
option proto 'none'2) /etc/config/firewall:
config zone
option name 'vpn'
option input 'ACCEPT'
option forward 'ACCEPT'
option output 'ACCEPT'
option network 'vpn'
option masq '1'
config forwarding
option dest 'vpn'
option src 'lan'
config forwarding
option dest 'lan'
option src 'vpn'
config forwarding
option dest 'wan'
option src 'vpn'3)/etc/config/openvpn:
config openvpn 'server1'
option script_security '3'
option config '/etc/openvpn/server.conf'
option nobind '1'
option enabled '1'4) /etc/openvpn/server.conf:
mode server
port 1194
proto tcp-server
tls-server
ifconfig 10.10.0.1 255.255.255.0
topology subnet
client-config-dir /etc/openvpn/ccd
cipher BF-CBC
keysize 128
dev tun0
keepalive 25 180
status /var/openvpn/current_status
verb 3
dh /etc/openvpn/dh1024.pem
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
tls-auth /etc/openvpn/ta.key 0
persist-key
persist-tun
comp-lzo
push "topology subnet"
push "route-gateway 10.10.0.1"
push "redirect-gateway def1"
route 192.168.8.0 255.255.255.0 10.10.0.25) /etc/openvpn/ccd/klient1:
ifconfig-push 10.10.0.2 255.255.255.0
iroute 192.168.8.0 255.255.255.0
push "route 192.168.12.0 255.255.255.0 10.10.0.1"II Klientem jest router z tomato:
1) /etc/openvpn/client1/config.ovpn:
daemon
client
dev tun11
proto tcp-client
remote mydomain.name.com 1194
resolv-retry 30
nobind
persist-key
persist-tun
comp-lzo adaptive
verb 3
status-version 2
status status
# Custom Configuration
ca /opt/etc/openvpn/client1/ca.crt
cert /opt/etc/openvpn/client1/opportunity.crt
key /opt/etc/openvpn/client1/opportunity.key
tls-auth /opt/etc/openvpn/client1/ta.key 1Przy takim konfigu, podsieci klienta i serwera widzą się wzajemnie. Ruch internetowy z podsieci klienta leci przez tunel vpn.
TP-Link TL-WDR3600 v1.5 - OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163 +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163 +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7
- Gruberek
- Użytkownik
- Nieaktywny
Odp: Serwer VPN dla 2ch użytkowników
Ostatnio robiłem VPN i postępowałem zgodnie z poradnikiem na stronie. Dodatkowo dopisałem coś od siebie do konfiguracji klienta, bo też nie miałem dostępu do internetu.
Klient /etc/config/firewall
config zone
option name 'vpn'
list network 'vpn'
option input 'REJECT'
option output 'ACCEPT'
option forward 'REJECT'
option masq '1'
option mtu_fix '1'
config forwarding
option src 'lan'
option dest 'vpn'/etc/config/network
config interface 'vpn'
option ifname 'tun0'
option proto 'none'Teraz dostęp do internetu działa i cały ruch idzie przez VPN.
Home: ZyXEL NBG6817 (OpenWrt)
NAS: HP ProLiant MicroServer Gen8 E3-1265L V2, 16 GB (PVE)
NAS: HP ProLiant MicroServer Gen8 E3-1265L V2, 16 GB (PVE)
41 2016-04-25 23:21:53 (edytowany przez inubero 2016-04-26 00:28:21)
Odp: Serwer VPN dla 2ch użytkowników
Gruberek, bingo!
Działa 
Pozostało mi jeszcze zrobić ruch z serwera do klienta
192.168.2.0 Klient 1
192.168.3.0 Klient 2
/etc/config/openvpn - dodane:
option client_config_dir '/etc/openvpn/ccd'
list route "192.168.2.0 255.255.255.0"
list route "192.168.3.0 255.255.255.0"
/etc/openvpn/ccd/klient1
iroute 192.168.2.0 255.255.255.0
/etc/openvpn/ccd/klient2
iroute 192.168.3.0 255.255.255.0
klient1 i klient2
/etc/config/firewall
config zone
option name 'vpn'
list network 'vpn'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'
option masq '1'
option mtu_fix '1'
Działa
Jedyne co mi pozostało to problem z uhttpd, nie wstaje sam po restarcie routera, problem ejst tylko na routerze serwerowym.
W logread znalazłem tylko:
Tue Apr 26 01:14:17 2016 daemon.err uhttpd[1721]: bind(): Cannot assign requested address
Tue Apr 26 01:14:17 2016 daemon.err uhttpd[1721]: bind(): Cannot assign requested address
Po ręcznym restarcie uhttpd, działa.
Jakieś pomysły?!
Odp: Serwer VPN dla 2ch użytkowników
Nagrzebałeś coś w /etc/config/uhttpd albo masz na tym porcie już jakąś usługę uruchomioną.
TP-Link TL-WDR3600 v1.5 - OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163 +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163 +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7
Odp: Serwer VPN dla 2ch użytkowników
z ciekawości zapytam po co robisz vpn w trybie tun dla multiroom:) ?
nie zadziała to nigdy, ponieważ aby multiroom działał połączenie musi być typu tap.
połączenie typu tun można z tego co pamiętam zrobić bezpośrednio z interfejsu w gargoyle 1.6.x gdzie wszystko działa poprawnie i nie trzeba nic za bardzo kombinować i ustawiać
44 2016-04-26 10:43:19 (edytowany przez inubero 2016-04-26 10:52:54)
Odp: Serwer VPN dla 2ch użytkowników
Faktycznie mój błąd...
Khain pisał o tap'ie...
Jesteście pewni że na tun'ie nie będzie działał?!
45 2016-04-26 11:11:02 (edytowany przez khain 2016-04-26 11:14:46)
Odp: Serwer VPN dla 2ch użytkowników
Tak jak pisałem wcześniej. Multiroom będzie działał tylko na TAP, bo przez tunel muszą przechodzić pakiety broadcasta (na TUNie nie da rady). Najlepiej i najłatwiej jest też wydzielić osobny VLAN dla tych dekoderów.
TP-Link TL-WDR3600 v1.5 - OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163 +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163 +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7
46 2016-04-26 11:14:43 (edytowany przez inubero 2016-04-26 11:15:30)
Odp: Serwer VPN dla 2ch użytkowników
Ok, dziś walczę dalej. Myślałem że już mam problem z głowy a tu jednak psikus
Myślę że teraz z zestawieniem połączenia typu tap nie będę miał problemu, skoro tun'a przerobiłem i działa
Przy TAPie, wszystkie urządzenia podłączone do klienta powinny otrzymać numer IP z podsieci serwera?!
47 2016-04-26 11:18:31 (edytowany przez khain 2016-04-26 11:20:30)
Odp: Serwer VPN dla 2ch użytkowników
inubero napisał/a:
Przy TAPie, wszystkie urządzenia podłączone do klienta powinny otrzymać numer IP z podsieci serwera?!
Tak, tylko po co ruch internetowy wszystkich hostów klienta kierować przez tunel openvpn? Prędkość połączenia im spadnie, jeśli serwer ma łącze z niskim uploadem. Lepiej zrobić bridge'a vpn z vlanem, w którym są dekodery.
TP-Link TL-WDR3600 v1.5 - OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163 +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163 +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7
48 2016-04-26 11:25:40 (edytowany przez inubero 2016-04-26 11:26:14)
Odp: Serwer VPN dla 2ch użytkowników
Klient wykorzystywany będzie tylko do multiroom'u. Aczkolwiek na jednym kliencie skorzystał bym może z modemu LTE pod USB, ale nie mam zbytnio czasu na to by to tak testować. Ważne by byto zestawione połączenie
Upload po stronie serwera dość dobry, net 150/10 jak dobrze pamiętam.
49 2016-04-26 23:31:39 (edytowany przez inubero 2016-04-26 23:45:05)
Odp: Serwer VPN dla 2ch użytkowników
Zestawiłem połączenie w trybie TAP.
Router klient otrzymuje IP podsieci serwera, jednak urządzenia podpięte do routera klienta maja nadal podsieć klienta.
Z podsieci serwera mam dostęp do routera klienta po https, ale przez ssh już nie mogę się dostać.
Jakieś pomysły?!
Serwer:
cat /etc/config/network
config interface 'lan'
option force_link '1'
option type 'bridge'
option proto 'static'
option ipaddr '192.168.1.1'
option netmask '255.255.255.0'
option ip6assign '60'
option _orig_ifname 'eth1 wlan0'
option _orig_bridge 'true'
option ifname 'eth1 tap0'
cat /etc/config/openvpn
config openvpn 'Server'
option enable '1'
option tls_server '1'
option port '1194'
option proto 'udp'
option dev 'tap0'
option ca '/etc/openvpn/ca.crt'
option cert '/etc/openvpn/Server.crt'
option key '/etc/openvpn/Server.key'
option dh '/etc/openvpn/dh2048.pem'
option server_bridge '192.168.1.1 255.255.255.0 192.168.1.200 192.168.1.229'
list push 'dhcp-option DNS 192.168.1.1'
list push 'redirect-gateway def1'
list push 'route-gateway 192.168.1.1'
option client_to_client '1'
option comp_lzo 'yes'
option keepalive '10 120'
option log_append '/tmp/openvpn.log'
option persist_key '1'
option persist_tun '1'
option verb '3'
option mute '20'
Klient:
cat /etc/config/network
config interface 'lan'
option force_link '1'
option type 'bridge'
option proto 'static'
option netmask '255.255.255.0'
option ip6assign '60'
option ipaddr '192.168.2.1'
option _orig_ifname 'eth0.1 tap0'
option _orig_bridge 'true'
option ifname 'eth0.1'
cat /etc/openvpn/rdm.conf
remote XYZ 1194
client
ns-cert-type server
dev tap0
proto udp
resolv-retry infinite
nobind
persist-key
persist-tun
float
ca /etc/openvpn/ca.crt
cert /etc/openvpn/rdm.crt
key /etc/openvpn/rdm.key
comp-lzo
verb 3
log-append /tmp/openvpn.log
dhcp/firewall brak zmian w podstawowej konfiguracji
Odp: Serwer VPN dla 2ch użytkowników
Te opcje są potrzebne tylko przy TUNie:
list push 'dhcp-option DNS 192.168.1.1'
list push 'redirect-gateway def1'
list push 'route-gateway 192.168.1.1'Popatrz na przykładowy konfig TAPa i zobacz które, opcje powinieneś zastosować.
TP-Link TL-WDR3600 v1.5 - OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163 +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163 +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7
Posty: 26 do 50 z 51
Strony Poprzednia 1 2 3 Następna
Zaloguj się lub zarejestruj by napisać odpowiedź
eko.one.pl → Oprogramowanie / Software → Serwer VPN dla 2ch użytkowników
Forum oparte o PunBB, wspierane przez Informer Technologies, Inc