Nie jesteś zalogowany. Proszę się zalogować lub zarejestrować.
eko.one.pl → Oprogramowanie / Software → Prawidłowa konfiguracja OpenVPN
Strony Poprzednia 1 … 8 9 10 11 12 … 15 Następna
Zaloguj się lub zarejestruj by napisać odpowiedź
list dhcp_option '121,10.8.1.0/24,192.168.1.251' = przekierowanie dla routera 192.168.1.240 do routera 192.168.1.251??
list dhcp_option '121,10.8.2.0/24,192.168.1.240' = przekierowanie dla routera 192.168.1.251 do routera 192.168.1.240??
Czy tak mam to rozumieć?
Mam jeszcze jeden problem którego wcześniej nie zauważyłem. Mam też w sieci routery tp-link w których niema opcji wpisania bramki. Jedyne co mają to ip i maska. Rozumiem że z nimi przez VPN mogę się pożegnać?
Czy ewentualnie można je dodać w taki sposób jak te gargoyle? W sensie do dhcp je dodać?
Mam jeszcze jeden problem którego wcześniej nie zauważyłem. Mam też w sieci routery tp-link w których niema opcji wpisania bramki. Jedyne co mają to ip i maska. Rozumiem że z nimi przez VPN mogę się pożegnać?
Jakie to routery?
Proste TP-Linki. Jeden jest bardziej zaawansowany i to jest 1043ND. Niestety ale od środka nie da się im wstawić bramki. PS oczywiście jest w nich oryginalny firmware tp-linka.
Network - wan jest. Chyba że nie połączyłeś ich przez wan.
One są po lan żeby urządzenia które są za nimi były widoczne w sieci.
list dhcp_option '121,10.8.1.0/24,192.168.1.251' = przekierowanie dla routera 192.168.1.240 do routera 192.168.1.251??
list dhcp_option '121,10.8.2.0/24,192.168.1.240' = przekierowanie dla routera 192.168.1.251 do routera 192.168.1.240??Czy tak mam to rozumieć?
To może ja ci wytłumaczę jak działa routing.
Jeśli jakiś komputer wysyła pakiet do innego komputera to musi ustalić czy ma z nim połączenie bezpośrednie, czy musi skorzystać z pośrednictwa routera. W tablicy routingu masz zapisane routery dla poszczególnych adresów docelowych. Wylicza się to na podstawie adresu sieci i maski. Połączenia bezpośrednie mają w tablicy routingu adres gatewaya 0.0.0.0. Adresy, które nie pasują do niczego są kierowane do routera domyślnego (default). Zwykle nie potrzebujemy więcej wpisów bo mamy tylko jedną sieć lokalną z jednym routerem. Twój przypadek jest trudniejszy. Masz dwa routery. Każdy z nich obsługuje sieć VPN. Dlatego musisz ustawić odpowiednie trasy routingu. Routery między sobą nie będą przekazywać ruchu po sieci LAN. Dlatego komputer (stacja robocza) musi wiedzieć, że komputer o IP 10.8.1.1 jest dostępny za pośrednictwem routera 192.168.1.251 i sama wyśle prośbę o routing do właściwego routera. Ta sama stacja musi wiedzieć, że komputer IP=10.8.2.1 jest dostępny via router 192.168.1.240. Podane wyżej opcje konfiguracyjne dla dnsmasq spowodują, że informacje o routerach i obsługiwanych przez nie sieciach zostaną wysłane do stacji roboczych podczas negocjowania z serwerem DHCP adresu IP stacji.
Mam jeszcze jeden problem którego wcześniej nie zauważyłem. Mam też w sieci routery tp-link w których niema opcji wpisania bramki. Jedyne co mają to ip i maska. Rozumiem że z nimi przez VPN mogę się pożegnać?
Czy ewentualnie można je dodać w taki sposób jak te gargoyle? W sensie do dhcp je dodać?
Ja też mam w swojej sieci takiego tp-linka. U mnie jest to TL-WDR4300. Robi on tylko za wifi AP i switch ethernetowy. Oryginalny firmware tp-linka nie umożliwia manipulowania siecią LAN, ale jest na to sposób. Wystarczy ustawić DNAT na routerach. W mojej sieci załatwia to poniższa linijka z konfiguracji firewalla:
# iptables -t nat -A POSTROUTING -o $LAN -d 192.168.1.254 -j MASQUERADEgdzie 192.168.1.254 to statycznie przypisany adres IP mojego tp-linka. Niestety nie wiem jak to zapisać w stylu /etc/config/firewall bo moim głównodowodzącym jest debian.
Rozumiem to tak. Pakiet leci w ten sposób.
Router 1
Komputer client "10.8.1.2" -> Server OpenVPN "10.8.1.1" -> Router "192.168.1.251" -> DHCP routing do 192.168.1.240
I to wprowadzam w routerze 1 (192.168.1.251)?????????
Router 2
Komputer client "10.8.2.2" -> Server OpenVPN "10.8.2.1" -> Router "192.168.1.240" -> ??????????
I to wprowadzam na routerze 2 (192.168.1.240)????????
Teraz na mój chłopski rozum napisał bym w powyższej linijce:
DHCP routing do 192.168.1.251
Ale widzę pewien problem. Ja mam w routerze 192.168.1.240 wyłączone DHCP bo nie może być 2 serwerów DHCP w jednej sieci. Więc jak to będzie działać?
Przepraszam że tak męczę ale chciał bym zrozumieć zasadę działania 
I właśnie tego się obawiałem przy proponowaniu routingu: wytłumaczenia jak to działa i dlaczego w Twoim przypadku nie działa:D Dlatego zaproponowałem jako jedyne rozwiązanie mutliwan.
Niestety nie wiem jak to zapisać w stylu
Nie musisz wiedzieć, wystarczy dodać ten wpis do /etc/firewall.user albo dodać taki wpis do /etc/config/firewall w sekcji LAN:
option masq '1'
@kowalmisiek Daemon dnsmaq (czyli usługa DHCP) jest włączona, a Ty pewnie masz tylko wyłączoną opcję przydzielania adresów w sieci LAN, więc opcje, które napisał Gr4nd0 będą działać. Możesz to sprawdzić wpisując w konsoli uci show dhcp.lan.ignore
Powinieneś dostać taki output
dhcp.lan.ignore=1Czyli się nie da tego routingu zrobić? Kombinowałem właśnie teraz. Zrobiłem tak.
Wprowadziłem przez putty na routerze 192.168.1.251
# uci add_list dhcp.lan.dhcp_option='121,10.8.2.0/24,192.168.1.240'
# /etc/init.d/dnsmasq restart
# logread
Nie widziałem żadnych błędów w logach.
Co do stacji roboczej masz na myśli komputer lub telefon to niema na nim linuxa tylko android i windows więc jedyne co mogłem zrobić to sprawdzić jaki dostał adres ip i zgadza się dostaje taki jak powinien czyli 10.8.1.2 albo 10.8.2.2.
Dokładnie to samo zrobiłem na routerze 192.168.1.240
# uci add_list dhcp.lan.dhcp_option='121,10.8.1.0/24,192.168.1.251'
# /etc/init.d/dnsmasq restart
# logread
Chyba że źle to rozumiem i ma być na odwrót bo nie działa dalej pingowanie.
Da się zrobić. Pokaż route -n z obydwu routerów.
Da się zrobić. Pokaż route -n z obydwu routerów.
router 192.168.1.240
root@Gargoyle:~# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 83.1.4.239 0.0.0.0 UG 0 0 0 pppoe-wan
10.8.2.0 0.0.0.0 255.255.255.0 U 0 0 0 tun0
83.1.4.239 0.0.0.0 255.255.255.255 UH 0 0 0 pppoe-wan
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0.2
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br-lan
root@Gargoyle:~#
router 192.168.1.251
root@Gargoyle:~# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 195.114.190.154 0.0.0.0 UG 0 0 0 pppoe-wan
10.8.1.0 0.0.0.0 255.255.255.0 U 0 0 0 tun0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br-lan
195.114.190.154 0.0.0.0 255.255.255.255 UH 0 0 0 pppoe-wan
root@Gargoyle:~#
Sam widzisz, że routingu do tych sieci nie ma.
EDIT: zrób w konsoli
na routerze 1
route add -net adres_IP_podsieci_openvpn_routera2 netmask gw adres_IP_interfejsu_LAN_routera2na routerze 2
route add -net adres_IP_podsieci_openvpn_routera1 netmask gw adres_IP_interfejsu_LAN_routera1To co źle zrobiłem?
Czyli te komendy nie działają????
# uci add_list dhcp.lan.dhcp_option='121,10.8.1.0/24,192.168.1.251'
# uci add_list dhcp.lan.dhcp_option='121,10.8.2.0/24,192.168.1.240'
Ewentualnie co wpisać?
W etc/config/dhcp zauważyłem że jest wpis
192.168.1.251
config dhcp 'lan'
option interface 'lan'
option leasetime '12h'
option start '2'
option limit '198'
option ignore '0'
list dhcp_option '121,10.8.2.0/24,192.168.1.240'
192.168.1.240
config dhcp 'lan'
option interface 'lan'
option leasetime '12h'
option limit '198'
option start '2'
option ignore '1'
list dhcp_option '121,10.8.1.0/24,192.168.1.251'
Sam widzisz, że routingu do tych sieci nie ma.
EDIT: zrób w konsoli
na routerze 1route add -net adres_IP_podsieci_openvpn_routera2 netmask gw adres_IP_interfejsu_LAN_routera2na routerze 2
route add -net adres_IP_podsieci_openvpn_routera1 netmask gw adres_IP_interfejsu_LAN_routera1
Niby tak zrobiłem
router 1
route add -net 10.8.2.0 netmask gw 192.168.1.240router 2
route add -net 10.8.1.0 netmask gw 192.168.1.251
Ale po wpisaniu komendy którą wcześniej pisałeś
route -n
Nie widzę zmian
router 1
root@Gargoyle:~# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 195.114.190.154 0.0.0.0 UG 0 0 0 pppoe-wan
10.8.1.0 0.0.0.0 255.255.255.0 U 0 0 0 tun0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br-lan
195.114.190.154 0.0.0.0 255.255.255.255 UH 0 0 0 pppoe-wan
root@Gargoyle:~#
router 2
root@Gargoyle:~# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 83.1.4.239 0.0.0.0 UG 0 0 0 pppoe-wa n
10.8.2.0 0.0.0.0 255.255.255.0 U 0 0 0 tun0
83.1.4.239 0.0.0.0 255.255.255.255 UH 0 0 0 pppoe-wa n
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0.2
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br-lan
root@Gargoyle:~#
Nie musisz wiedzieć, wystarczy dodać ten wpis do /etc/firewall.user albo dodać taki wpis do /etc/config/firewall w sekcji LAN:
option masq '1'
Hmm, aż taki ciemny to ja nie jestem
Oczywiście, że masq 1, ale tylko dla
option dest_ip '192.168.24.254'Panowie działa mi już wszystko włącznie z tymi tp-linkami co ich pingować nie mogłem. Po zresetowaniu routerów ruszyło wszystko. Teraz się zastanawiam jak to w sumie zrobiłem z waszą pomocą żeby na przyszłość jakąś instrukcje zrobić i nie męczyć o pomoc. Jak już ją zrobię to tu umieszczę dla potomności jak by się ktoś tak ciemny jak ja znalazł i był w podobnej sytuacji jak ja
Uff, a już pisałem kolejnego manuala
Brawo TY
Brawo ja
Mój manual będzie dość obszerny dla takich ciemniaków jak ja w sam raz. Może chociaż za waszą pomoc się tak odwdzięczę
Panowie mam jeszcze jeden problem. Po tych wszystkich zabiegach jakie zrobiłem mam mały problem z moim DDNS. Przed tą całą zabawą wszystko działało dość szybko.
Po zresetowaniu routera może minuta mijała i router aktualizował adres ip na serwerze DDNS.
Teraz wygląda na to że też aktualizuje od razu ale zanim zacznie odpowiadać mija dużo czasu (z 5 min albo dłużej).
Co się mogło stać? Jest tak na obu routerach. Może coś firewall blokować?
Jeśli ktoś ma tak jak ja w jednej sieci 2 dostawców internetu i nie interesuje go multiwan, a potrzebuję zrobić sobie server openvpn to poradnik dla Ciebie.
Założenie moje było takie żebym w razie awarii dostępu do internetu od jednego dostawcy mógł dostać do swojej sieci przez drugiego dostawcę.
1. Potrzebujemy 2 routery z wgranym na pokładzie Gargoyle.
2. Program Putty i WinSCP
3. Jeśli macie tak jak ja zmienne IP (łącze na lini telefonicznej) do jeszcze musicie zrobić sobie Dynamiczny DNS
4. Trochę cierpliwości
Router 1 = Netia
Router 2 = Neostrada
Zacznamy od stworzenia serwera OpenVPN
Wchodzimy do Routera 1 przez przeglądarkę w zakładkę: Konfiguracja -> OpenVPN
Konfiguracja OpenVPN: serwer
Serwer OpenVPN: konfiguracja
1. Wewnętrzny adres ip routera: 10.8.1.1
2. Wewnętrzna maska podsieci: 255.255.255.0
3. Port serwera: 1194
4. Protokół UDP
5. Algorytm szyfrujący: AES-CBC 256bit
6. Komunikacja pomiędzyklientami VPN: Dozwolona
7. Dostęp do urządzeń w sieci LAN: Dopuszczony
8. Poświadczenia: Niezależne dla każdego klienta
9. Klienty używają VPN do: Dostęp tylko do zasobów lokalnych
Serwer OpenVPN: Klienty
Konfiguracja nowego klienta / ustawienia poświadczeń:
1. Nazwa klienta: router1
2. Wewnętrzny adres IP klienta: 10.8.1.2
3. Klient łączy się do: W moim przypadku Dynamiczny DNS ale jak ktoś ma stały adres ip to "WAN IP"
4. Podsieć za klientem: Niezdefiniowana
Klikamy dodaj i następnie zapisz zmiany.
Za pierwszym razem może to zapisywanie zmian trwać do 10 min więc niema się czym przejmować
Analogicznie robimy w przypadku Routera 2 z kilkoma wyjątkami
Wchodzimy do Routera 2 przez przeglądarkę w zakładkę: Konfiguracja -> OpenVPN
Konfiguracja OpenVPN: serwer
Serwer OpenVPN: konfiguracja
1. Wewnętrzny adres ip routera: 10.8.2.1
2. Wewnętrzna maska podsieci: 255.255.255.0
3. Port serwera: 1194
4. Protokół UDP
5. Algorytm szyfrujący: AES-CBC 256bit
6. Komunikacja pomiędzyklientami VPN: Dozwolona
7. Dostęp do urządzeń w sieci LAN: Dopuszczony
8. Poświadczenia: Niezależne dla każdego klienta
9. Klienty używają VPN do: Dostęp tylko do zasobów lokalnych
Serwer OpenVPN: Klienty
Konfiguracja nowego klienta / ustawienia poświadczeń:
1. Nazwa klienta: router2
2. Wewnętrzny adres IP klienta: 10.8.2.2
3. Klient łączy się do: W moim przypadku Dynamiczny DNS ale jak ktoś ma stały adres ip to "WAN IP"
4. Podsieć za klientem: Niezdefiniowana
Klikamy dodaj i następnie zapisz zmiany.
Za pierwszym razem może to zapisywanie zmian trwać do 10 min więc niema się czym przejmować
Oczywiście nic nie stoi na przeszkodzie żeby troszkę w opcjach pomanipulować.
Kiedy już nam się zapisze i uruchomi serwer OpenVPN Podświetli nam się opcja "Pobierz" przy utworzonym przez nas kliencie (router1, router2).
Pobieramy plik na dysk z obu serwerów.
Następnie jeśli mamy komputer z Windows który będzie klientem OpenVPN to wchodzimy na strone:
Szukamy odpowiedniego klienta, ściągamy go i instalujemy.
Po instalacji w Windows 10 wchodzimy do C:\Program Files\OpenVPN\config tworzymy foldery: router1 i router2 i do odpowiednich wrzucamy wypakowane configi które wcześniej pobraliśmy.
Po włączeniu klienta powinniśmy mieć na pasku start przy zegarku w zasobniku ikonkę programu OpenVPN i możliwość wyboru miedzy profilami router1 i router2
Po tych zabiegach w interfejsie Gargoyle mamy już działający serwer OpenVPN na obu routerach. W moim przypadku pojawił się jednak problem.
Gdy logowałem się przez OpenVPN do router1 widziałem tylko urządzenia którym on dostarczał internet. Czyli Bramami Domyślnymi w urządzeniach był adres ip naszego router1.
Przykładowo urządzenie które ma internet z router1
Router1 IP: 192.168.1.1
Urządzenie1:
Adres IP: 192.168.1.2
Maska: 255.255.255.0
Brama Domyślna: 192.168.1.1
Preferowany DNS: 192.168.1.1
To urządzenie dostaje internet z Router1 (Brama i DNS to ip routera1)
Router2 IP: 192.168.1.254
Urządzenie2:
Adres IP: 192.168.1.11
Maska: 255.255.255.0
Brama Domyślna: 192.168.1.254
Preferowany DNS: 192.168.1.254
To urządzenie dostaje internet z Router2 (Brama i DNS to ip routera2)
Logując się do serwera VPN na router1 nie było widać urządzenia2 ponieważ ma inną Bramę Domyślną i pakiety się gubią.
Analogiczna sytuacja była w przypadku router2. Po zalogowaniu do OpenVPN nie widać urządzenie1 ponieważ ma Bramę inną i również pakiety się gubią.
Musimy zrobić routing który nas przepuści do innych urządzeń.
1. Odpalamy PUTTY i łączymy się z:
router1
route add -net adres_IP_podsieci_openvpn_routera2 netmask gw adres_IP_interfejsu_LAN_routera2
Powyższa komenda w przypadku routera 1 wygląda następująco.
route add -net 10.8.2.0 netmask gw 192.168.1.254
Po wykonaniu powyższej komendy możemy sprawdzić czy pojawiła się w tablicy routingu sieć 10.8.2.0 dzieki poniższej komendzie:
route -n
2. Odpalamy PUTTY i łączymy się z:
router2
route add -net adres_IP_podsieci_openvpn_routera1 netmask gw adres_IP_interfejsu_LAN_routera1
Powyższa komenda w przypadku routera 2 wygląda następująco.
route add -net 10.8.1.0 netmask gw 192.168.1.1
Po wykonaniu powyższej komendy możemy sprawdzić czy pojawiła się w tablicy routingu sieć 10.8.1.0 dzieki poniższej komendzie:
route -n
Na koniec jeszcze dodajemy jeden wpis:
Odpalamy WINSCP i logujemy się do router1
Przechodzimy do /etc/config/ i edytujemy plik firewall
I tam w sekcji LAN dopisujemy taki wpis:
option masq '1'
Teraz zresetuj oba routery i powinno wszystko działać.
Pozdrawiam
Podziękowania dla Cezary, Gr4nd0 i khain
OK, jak tylko znajdę trochę wolnego czasu to napiszę Ci co masz zrobić.
Tak krok po kroku.
Bo to powyżej to straszna prowizorka.
Gr4nd0 to jak byś już pisał swój poradnik to dopisz też jak zrobić z innego routera z gargoyle na pokładzie klienta VPN.
Gr4nd0 to jak byś już pisał swój poradnik to dopisz też jak zrobić z innego routera z gargoyle na pokładzie klienta VPN.
Ale ja nie mam bladego pojęcia o gargoyle. I nie lubię pisać poradników w stylu "kliknij myszką ...".
Tak możesz skonfigurować klienta pod serwer, który opisałem w innym wątku.
Wystarczy zaznaczyć, skopiować i wkleić do putty (czy co tam używasz).
rm -f /etc/openvpn/*.conf
uci -q delete openvpn.client
uci set openvpn.client=openvpn
uci set openvpn.client.enabled='1'
uci set openvpn.client.client='1'
uci set openvpn.client.dev='tun0'
uci set openvpn.client.proto='udp'
uci set openvpn.client.nobind='1'
uci set openvpn.client.ca='/etc/openvpn/ca.crt'
uci set openvpn.client.cert='/etc/openvpn/domek.crt'
uci set openvpn.client.key='/etc/openvpn/domek.key'
uci set openvpn.client.dh='/etc/openvpn/dh.pem'
uci set openvpn.client.tls_auth='/etc/openvpn/ta.key 1'
uci set openvpn.client.cipher='AES-256-CBC'
uci set openvpn.client.verb='1'
uci set openvpn.client.persist_key='1'
uci set openvpn.client.persist_tun='1'
uci set openvpn.client.comp_lzo='yes'
uci set openvpn.client.remote='<twoj.serwer.vpn>''
uci set openvpn.client.remote_cert_tls='server'
uci set openvpn.client.ping='15'
uci set openvpn.client.ping_restart='60'
uci commit openvpn
/etc/init.d/openvpn restartCzas poniżej 1 min. 
Tylko nie zapomnij zamiast <twoj.serwer.vpn> podać adresu twojego serwera
EDIT: GUI Gargoyle można konfigurować klienta.
Strony Poprzednia 1 … 8 9 10 11 12 … 15 Następna
Zaloguj się lub zarejestruj by napisać odpowiedź
eko.one.pl → Oprogramowanie / Software → Prawidłowa konfiguracja OpenVPN
Forum oparte o PunBB, wspierane przez Informer Technologies, Inc