1 Temat przez tomes

  • tomes
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-07-29
  • Posty: 19

Temat: OpenVPN - problem z przekierowaniem portów

Witajcie,
Mam problem z wpuszczeniem portów z publicznego adresu uzyskiwanego przez OpenVPN do lokalnych hostów w LAN.
Mam Gargoyle 1.6.0 na TL 1043ND. OpenVPN Klient zestawia połączenia prawidłowo. Mam włączone kierowanie całego ruchu na VPN/tun0 - wymuszam z serwera. Wszystko skonfigurowane poprzez interface WWW. Dodałem też forwardowanie portów przez WWW. Oczywiście wiem, że inteface WWW nie ma możliwości ustawienia źródła przekierowania (sieci), dlatego ręcznie wyedytowałem plik /etc/config/firewall korygując:
option src 'wan' na option src 'vpn'. I teoretycznie wszystko działa. Robię /etc/init.d/firewall restart i pięknie kieruje.
Jednak po reboocie modemu nie chce to już prawidłowo pracować. Niby porty są przekierowane, ale lokalni klienci nie dostają wywołań z sieci. Pomaga dopiero ręczne wywołanie /etc/init.d/firewall restart. Wtedy wszystko wraca do normy.
Podejrzewam, że problemem może być dodawanie reguł /etc/config/firewall jeszcze przed podniesieniem tunelu. Dodałem więc do /etc/openvpn.up polecenie /etc/init.d/firewall restart. Bez skutku.
Czy macie jakoś to sprawdzone, bo nie wierzę, że tylko ja mam z tym problem.

Pozdrowienia,
Tomek

2 Odpowiedź przez Gr4nd0

  • Gr4nd0
  • Użytkownik
  • Nieaktywny
  • Skąd: Swarzędz
  • Zarejestrowany: 2016-10-06
  • Posty: 276

Odp: OpenVPN - problem z przekierowaniem portów

Oczywiście masz w configu

script_security 2
up /etc/init.d/firewall restart

Bez tego to raczej skryptu nie uruchomi smile

GUI jest przereklamowane

ASUS WL-500gP v2, TP-Link TL-MR3420 v2, TP-Link TL-WR1043ND v3, TP-Link TL-WDR4300 v1, D-Link DWR-921 C3,
Netgear R6220

3 Odpowiedź przez tomes (edytowany przez tomes 2016-11-14 12:01:11)

  • tomes
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-07-29
  • Posty: 19

Odp: OpenVPN - problem z przekierowaniem portów

Gr4nd0 napisał/a:

Oczywiście masz w configu

script_security 2
up /etc/init.d/firewall restart

Bez tego to raczej skryptu nie uruchomi smile

Mój plik /etc/openvpn.up wygląda teraz następująco:

#!/bin/sh

logger "openvpn up script called"

/etc/openvpn.firewall start
script_security 2
up /etc/init.d/firewall restart

exit 0

Niestety - nadal nie działa... Ale coś czuję, że mówimy o różnych plikach. Ja dodałem do openvpn.up, a Twoja sugestia dotyczyła pliku .conf openvpn.

Tomek

4 Odpowiedź przez Cezary (edytowany przez Cezary 2016-11-14 12:02:54)

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,872

Odp: OpenVPN - problem z przekierowaniem portów

/etc/openvpn.up to zwykły skrypt. Nie w nim czegoś takiego jak script_security 2, up /etc/init.d/firewall restart. W konfigu ope vpn to zrób lub, jeżeli w konfigu masz już zdefiniowany /etc/openvpn.up na up to po prostu w /etc/openvpn.up zrób:

#!/bin/sh
logger "openvpn up script called"
/etc/init.d/firewall restart
exit 0

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez tomes

  • tomes
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-07-29
  • Posty: 19

Odp: OpenVPN - problem z przekierowaniem portów

Cezary napisał/a:

/etc/openvpn.up to zwykły skrypt. Nie w nim czegoś takiego jak script_security 2, up /etc/init.d/firewall restart. W konfigu ope vpn to zrób lub, jeżeli w konfigu masz już zdefiniowany /etc/openvpn.up na up to po prostu w /etc/openvpn.up zrób:

#!/bin/sh
logger "openvpn up script called"
/etc/init.d/firewall restart
exit 0

Dzięki. Dopisywałem tak, ale to nie działało. Zakładałem, że przy domyślnej konfiguracji Gargoyla uruchamiany jest ten skrypt, ale w rzeczywistości w /etc/openvpn/grouter_client_jfwawkmyggwf.conf nie ma o tym wzmianki:

remote moj.host.com 1194
cipher AES-256-CBC
comp-lzo
persist-key
persist-tun
dev tun
client
ca    /etc/openvpn/grouter_client_jfwawkmyggwf_ca.crt
cert  /etc/openvpn/grouter_client_jfwawkmyggwf.crt
key   /etc/openvpn/grouter_client_jfwawkmyggwf.key

Możecie podpowiedzieć, co tu dopisać, żeby po podniesieniu tunelu zrestartował firewalla?

Tomek

6 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,872

Odp: OpenVPN - problem z przekierowaniem portów

Dostałeś wcześniej - dopisz po prostu

script_security 2
up /etc/init.d/firewall restart
Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

7 Odpowiedź przez tomes

  • tomes
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-07-29
  • Posty: 19

Odp: OpenVPN - problem z przekierowaniem portów

Cezary napisał/a:

Dostałeś wcześniej - dopisz po prostu

script_security 2
up /etc/init.d/firewall restart

Ok, dodałem to na koniec pliku /etc/openvpn/gargo......cfg i OpenVPN nie wstał.

8 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,872

Odp: OpenVPN - problem z przekierowaniem portów

Nie wstał bo? W logach patrz

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

9 Odpowiedź przez tomes

  • tomes
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-07-29
  • Posty: 19

Odp: OpenVPN - problem z przekierowaniem portów

Cezary napisał/a:

Nie wstał bo? W logach patrz

krzyczy

Options error: Unrecognized Option or missing parameter(s) in /etc/openvpn/grouter......conf:12: script_security (2.2.2)

10 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,872

Odp: OpenVPN - problem z przekierowaniem portów

script-security 2

daj

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

11 Odpowiedź przez tomes (edytowany przez tomes 2016-11-14 12:37:53)

  • tomes
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-07-29
  • Posty: 19

Odp: OpenVPN - problem z przekierowaniem portów

Cezary napisał/a:

script-security 2

daj

Dałem, ale nadal nie chce:

Options error: the --up directive should have at most 1 parameter. To pass a list of arguments as one of the parameters, try enclosing them in double quotes ("").

Dodałem więc cudzysłów i chyba wstało.

12 Odpowiedź przez Gr4nd0

  • Gr4nd0
  • Użytkownik
  • Nieaktywny
  • Skąd: Swarzędz
  • Zarejestrowany: 2016-10-06
  • Posty: 276

Odp: OpenVPN - problem z przekierowaniem portów

Cezary napisał/a:

script-security 2

Przepraszam to była wersja dla uci.
uci nie akceptuje "-" w nazwach opcji.

GUI jest przereklamowane

ASUS WL-500gP v2, TP-Link TL-MR3420 v2, TP-Link TL-WR1043ND v3, TP-Link TL-WDR4300 v1, D-Link DWR-921 C3,
Netgear R6220

13 Odpowiedź przez tomes

  • tomes
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-07-29
  • Posty: 19

Odp: OpenVPN - problem z przekierowaniem portów

Dobra, w logach nie ma błędów, czyli niby skrypt wstaje.

script-security 2
up "/etc/init.d/firewall restart"

Niemniej nie działa to właściwie. Po podniesieniu VPN`a porty nie są właściwie przekierowane. Trzeba po chwili ponownie wykonać /etc/init.d/firewall restart.

Możecie coś podpowiedzieć, co w takiej sytuacji?
Dodam, że tunelowanie wymuszone jest korzystaniem z łącza LTE, które przydziela adresy w puli prywatnej. Zatem zestawiam sobie VPN do własnego serwerka i przez ten zewnętrzny adres wpuszczam porty do urządzeń w LAN. No i za bardzo to działać nie chce...

Tomek

14 Odpowiedź przez tomes

  • tomes
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-07-29
  • Posty: 19

Odp: OpenVPN - problem z przekierowaniem portów

Ok, problem rozwiązałem korygując config:

script-security 2
route-up "/etc/init.d/firewall restart"

Teraz wszystko wstaje jak trzeba. Może komuś przyda się w przyszłości...
Dzięki za podpowiedzi.
Tomek

15 Odpowiedź przez mar_w

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: OpenVPN - problem z przekierowaniem portów

W kwestii sprostowania.
@tomes polecenie up w pliku *.conf klienta openvpn działa, jeżeli podasz ścieżkę do skryptu. a nie komendę.
A dopiero w skrypcie podajesz polecenie (/etc/init.d...) lub wiele poleceń.
Cezary to pisał w poście #4 ale jakoś robiłeś to inaczej i dlatego był taki problem.

Twój sposób to tego celu też jest dobry, ale skrypt jest bardziej uniwersalnym "narzędziem", w którym można lepiej zaszaleć smile

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *