• Zarejestrowany: 2015-07-05
  • Posty: 64

Temat: Gargoyle + OpenVPN

Witam
Walczę kilka dni z różnymi opisami ale bez skutku (jedynym skutkiem jest nie działający internet lub wyłączenie się serwera czy klienta openVPN)
Mam serwer OpenVPN z zewnętrznym IP, openVPN 10.8.0.1 (LAN 192.168.1.0) Gargoyle
Klient za NAT bez zewnętrznego IP openVPN 10.8.0.2 (LAN 192.168.2.0) Gargoyle
Kolejny klient za nat bez zewnętrznego IP openVPN 10.8.0.3 (LAN 192.168.3.0) Gargoyle
Po 10.8.0.* dostaję się wszędzie (w zasadzie na routery z Gargoyle)
Co mam i gdzie wpisać aby wszystkie sieci 192.168.*.* się widziały (nie mam routigu)
jak uzyskać dostęp z internetudo jakiegoś urządzenia klienckiego sieci 192.168 "wykorzystując" tunel serwera z zewnętrznym IP ?

2 Odpowiedź przez jarek7714

  • Zarejestrowany: 2012-01-13
  • Posty: 1,526

Odp: Gargoyle + OpenVPN

d3f3nd3r napisał/a:

Co mam i gdzie wpisać aby wszystkie sieci 192.168.*.* się widziały (nie mam routigu)
jak uzyskać dostęp z internetudo jakiegoś urządzenia klienckiego sieci 192.168 "wykorzystując" tunel serwera z zewnętrznym IP ?

Wystarczy odpowiednio ustawić konfigurację serwera OpenVPN: 

 
Komunikacja pomiędzy klientami VPN: Dozwolona 
Dostęp do urządzeń w sieci LAN:Dopuszczony 
Poświadczenia:Niezależnie dla każdego klienta
Klienty używają VPN do:Dostępu tylko do zasobów lokalnych

-osobiście tak mam skonfigurowany serwer OpenVPN i mam dostęp do każdego klienta serwera po adresie 192.168..., jak otworze port na routerze klienta na konkretne urządzenie to mam dostęp również do niego. Tak skonfigurowany serwer działa mi od 

 
Nazwa urządzenia:Gargoyle
Wersja Gargoyle:1.9.0.3 (r49208), by obsy
Model:WD My Net N600
Konfiguracja urządzenia:Brama sieciowa
Zajętość pamięci RAM:39.1MB / 123MB (31.7%)
Połączenia:15/4096
Średnie obciążenie CPU:0.03 / 0.04 / 0.05  (1/5/15 min.)
Czas pracy:201 dni, 7 godz., 45 min.
Bieżąca data i czas:2017-01-30 23:27 CET

smile .

3 Odpowiedź przez d3f3nd3r

  • Zarejestrowany: 2015-07-05
  • Posty: 64

Odp: Gargoyle + OpenVPN

Dokładnie tak mam zrobione spod GUI i nie mam routingu do urządzeń sieci LAN innego routera 192.168.*.*,
https://zapodaj.net/b0706e3df015e.jpg.html

4 Odpowiedź przez khain

  • khain
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-09-15
  • Posty: 328

Odp: Gargoyle + OpenVPN

W GUI Gargoyle w ustawieniach openvpn danego klienta musisz dopisać podsieć za klientem oraz zaznaczyć opcję, aby klienci widzieli się między sobą. Później zostanie tylko konfig firewalla na klientach.

TP-Link TL-WDR3600 v1.5 -  OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163  +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7

5 Odpowiedź przez d3f3nd3r

  • Zarejestrowany: 2015-07-05
  • Posty: 64

Odp: Gargoyle + OpenVPN

khain napisał/a:

W GUI Gargoyle w ustawieniach openvpn danego klienta musisz dopisać podsieć za klientem oraz zaznaczyć opcję, aby klienci widzieli się między sobą. Później zostanie tylko konfig firewalla na klientach.

Tak też mam od początku i nie działa dodane do odpowiednich klientów 192.168.1.0, 192.168.2.0
Dlatego chciałbym to wepchać z palca a nie spod GUI
BTW. spod GUI już drugi raz mi się ruter serwerowy wysypał że w żaden sposób się na niego nie szło wbić tylko od nowa firmware dzięki u-boot owi od pepe2k

6 Odpowiedź przez khain

  • khain
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-09-15
  • Posty: 328

Odp: Gargoyle + OpenVPN

Możesz sprawdzić na jednym i drugim kliencie czy dostają wpis do tablicy routingu o trasie do podsieci 192.168.1.0/24 i 192.168.2.0/24 przez tun0, jeśli tak to został do skonfigurowania firewall na klientach.

TP-Link TL-WDR3600 v1.5 -  OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163  +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7

7 Odpowiedź przez d3f3nd3r

  • Zarejestrowany: 2015-07-05
  • Posty: 64

Odp: Gargoyle + OpenVPN

Zrobiłem i działa wystawiam sobie zza LTE na zewnątrz to co mi potrzeba.
Jak? otóż zauważyłem że przy pierwszym ustawianiu serwera openVPN nie zapisuje on tego co wybieramy z listy.
To jest chyba jakiś bug bo teraz testowałem to 3 razy i za każdym razem było tak samo.
Zmieniłem z listy w GUI na "inną opcję" zapisałem po czym zamieniłem na dokładnie tak jak było.
I teraz faktycznie dodało routing a właściwie wszystko to co w GUI wpisywałem. Gargoyle tworzy sobie reguły routingu openVPN w etc/config/openvpn_gargoyle.
Szukałem tego po forach ale niestety nie trafiłem ... być może to tylko na kompilacji do mojego routera (flash 16M) 3220 v2 (choć faktycznie router to 740N v4). Może komuś się przyda.
Acha i nie musiałem na klientach w firewallu ustawiać.

8 Odpowiedź przez khain

  • khain
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-09-15
  • Posty: 328

Odp: Gargoyle + OpenVPN

Jeśli chcesz mieć dostęp do podsieci za klientami to musisz forwarding na nich ustawić, a błąd z GUI zgłoś do twórców Gargoyle.

TP-Link TL-WDR3600 v1.5 -  OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163  +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7

9 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,172

Odp: Gargoyle + OpenVPN

@d3f3nd3r: dokładnie co robisz i jakiej kolejności?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

10 Odpowiedź przez d3f3nd3r

  • Zarejestrowany: 2015-07-05
  • Posty: 64

Odp: Gargoyle + OpenVPN

@khain ale ja nic w forwardingu nie ustawiałem i teraz wszyscy się widzą tzn. na podsieci kliencta1 192.168.2.0 widzę pinguję  dostaję się na urządzenia na kliencie2 192.168.3.0 (klienci są na LTE a serwer na gargulcu za funboxem od orange neostrada)
Oczywiście to co potrzebowałem wystawić do "internetu" to ustawiałem w firewallu pierw serwera gargoyle a następnie funboxie.

@Cezary chodzi Ci o moment kiedy zaczyna działać?
Jeśli o to chodzi to przy pierwszym uruchamianiu serwera openVPN ustawiałem to co mi potrzebne:
Komunikacja pomiędzy klientami VPN : Dozwolona
Dostęp do urządzeń w sieci LAN : Dopuszczony
Poświadczenia: Niezależnie dla każdego klienta
Klienty używają VPN do: Dostępu tylko do zasobów lokalnych
oraz dodałem 2 klientów ustawiając
Klient łączy się do: Inny adres lub domena (u mnie no-ip)
Podsieć za klientem: Trasa zdefiniowana poniżej (u mnie klienci 192.168.x.0 255.255.255.0)
Gdy dałem zapisz zmiany wykonało się poprawnie tzn. pobrałem poświadczenia i konfiguracje dla klientów to "widziałem" tylko gargulce 10.8.0.x (u mnie 3420 v2, 740Nv4(flash 16M 3220v2) i chyba 740Nv? (z oprogramowaniem 3420 v1 modem usb i extrootem) ale żaden z tych 3 routerów nie widział nie podsieci 192.168.x.x  innego routera.
Pozmieniałem wszystko na:
Komunikacja pomiędzy klientami VPN : Zabroniona
Dostęp do urządzeń w sieci LAN : Zabroniony, dostęp tylko do rutera
Poświadczenia: ? tu nie pamiętam czy zmieniałem
Klienty używają VPN do: Całego ruchu internetowego
Zapisałem zmiany po czym pozamieniałem tak jak przy pierwszym uruchomieniu serwera i ruszyło.
Ruszyło bo w etc/config/openvpn_gargoyle "pojawiły" się nowe wpisy np " push 'route 192.168.4.0 255.255.255.0'"

11 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,172

Odp: Gargoyle + OpenVPN

Nie, piszesz o jakimś problemie że czegoś nie może zapisać. Napisz po kolei co robisz że nie chce czegoś zapamiętać.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

12 Odpowiedź przez khain

  • khain
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-09-15
  • Posty: 328

Odp: Gargoyle + OpenVPN

@d3f3nd3r: Musiałeś ustawić albo ręcznie albo zrobiło się to automatycznie.

TP-Link TL-WDR3600 v1.5 -  OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163  +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7

13 Odpowiedź przez jezy

  • jezy
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-05-26
  • Posty: 54

Odp: Gargoyle + OpenVPN

@d3f3nd3r: A możesz się dostać do webui modemu na kliencie VPN będąc w sieci LAN serwera VPN.?

Ja posiadam konfigurację :
1.) WDR3600 ( Gargoyle 1.9.1.2 ) jako serwer VPN 10.8.0.1, IP LAN 192.168.1.1, lokalny dostawca internetu
2.) WR1043ND ( Gargoyle 1.9.1.2 ) klient VPN 10.8.0.2, IP LAN 192.168.7.1( router 192.168.7.1:81) , LTE PLAY na modemie E3372 hilink z modowanym softem webui ( 192.168.8.1)

Da radę to jakoś skonfigurować ??

14 Odpowiedź przez khain

  • khain
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-09-15
  • Posty: 328

Odp: Gargoyle + OpenVPN

Na serwerze openvpn musisz dodać routing do sieci 192.168.8.0/24.

TP-Link TL-WDR3600 v1.5 -  OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163  +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7

15 Odpowiedź przez jezy (edytowany przez jezy 2017-02-03 11:15:23)

  • jezy
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-05-26
  • Posty: 54

Odp: Gargoyle + OpenVPN

hym , czy mogę to zrobić w webui gargoyle ??

- > konfiguracja -> trasy ->Statyczne trasy

dodałem : 192.168.8.0/255.255.255.0    lan    10.8.0.2

ale nic to nie daje.

https://images84.fotosik.pl/335/647d334b8a105519med.jpg

16 Odpowiedź przez khain

  • khain
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-09-15
  • Posty: 328

Odp: Gargoyle + OpenVPN

Na serwerze openvpn pakiet musi wyjść przez interfejs tun a nie przez lan, aby dostać się do 192.168.8.0/24

TP-Link TL-WDR3600 v1.5 -  OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163  +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7

17 Odpowiedź przez d3f3nd3r

  • Zarejestrowany: 2015-07-05
  • Posty: 64

Odp: Gargoyle + OpenVPN

Mi to w zasadzie nie potrzebne ale bawię się i nie działa sad Ja mam LTE podłączone do WANa skrętką (klient1).
Serwer ani klient2 nie widzą sieci WAN klienta1
PunBB bbcode test
W GUI widać wpis natomiast spod konsoli route nie ma.
Zastanawiam się czy to coś po stronie serwera czy klienta. Routing ustawialem na serwerze.

18 Odpowiedź przez jezy (edytowany przez jezy 2017-02-03 16:57:17)

  • jezy
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-05-26
  • Posty: 54

Odp: Gargoyle + OpenVPN

ja zrobiłem jak sugerował khain , dodałem na serwerze  routing do sieci 192.168.8.0

route add -net 192.168.8.0 netmask 255.255.255.0 dev tun0 gateway 10.8.0.2

ale pomimo że widnieje w trasach nie da rady wbić na  webui modemu 192.168.8.1

192.168.8.0/255.255.255.0    tun0    10.8.0.2    0

19 Odpowiedź przez khain (edytowany przez khain 2017-02-03 20:37:48)

  • khain
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-09-15
  • Posty: 328

Odp: Gargoyle + OpenVPN

Gdy routing jest ustawiony poprawnie, należy jeszcze zrobić forwarding w firewallu vpn->wan na kliencie, który ma modem za WANem.

TP-Link TL-WDR3600 v1.5 -  OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163  +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7

20 Odpowiedź przez d3f3nd3r

  • Zarejestrowany: 2015-07-05
  • Posty: 64

Odp: Gargoyle + OpenVPN

@khain forwarding zrobiłem już wcześniej i to nic nie dało.

21 Odpowiedź przez misp

  • misp
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-11-11
  • Posty: 16

Odp: Gargoyle + OpenVPN

Probuje zrobic to samo - tez mi nie dziala. Czy mozecie dokladniej powiedziec jak ustawic forwarding na kliencie VPN ? Zakladam ze po stronie VPN servera potrzeba jedynie dodatkowa trase routingu.

R7800 gargoyle 1.15

22 Odpowiedź przez piratee

  • Zarejestrowany: 2016-12-08
  • Posty: 628

Odp: Gargoyle + OpenVPN

Witam
Posiadam 2 routery TP-Link 1043ND spięte OpenVPN( systemy Gargoyle server - klient)
Adresy IP WLAN - od dostawców zewnętrznych
Serwer 1 IP klasy wewnętrznej 172.20.1.x (IP OpenVPN 10.8.0.1)
Serwer 2 IP klasy wewnętrznej 192.168.1.x (IP OpenVPN 10.8.0.2)
Klasa adresowa OpenVPN 10.8.0.x

W czym problem:
Z Serwera 2 mogę pingowac klasę adresową 172.20.1.x oraz 10.8.0.1
zaś z Serwera 1 mogę pingowac klasę adresową 10.8.0.3 ale nie mogę pingowac klasy adresowej 192.168.1.x

W czym może byc problem, poniżej routing obu serwerów.
Z góry dziękuję za pomoc.


definicja firewall - serwer 1 (tutaj uruchomiony serwer OpenVPN)

config zone 'vpn_zone'
        option name 'vpn'
        option network 'vpn'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'
        option mtu_fix '1'
        option masq '1'

config forwarding 'vpn_lan_forwarding'
        option src 'lan'
        option dest 'vpn'

config remote_accept 'ra_openvpn'
        option zone 'wan'
        option local_port '1194'
        option remote_port '1194'
        option proto 'udp'


definicja firewall - serwer 2 (klient OpenVpn)

config include 'openvpn_include_file'
        option path '/etc/openvpn.firewall'
        option reload '1'

config zone 'vpn_zone'
        option name 'vpn'
        option network 'vpn'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'
        option mtu_fix '1'
        option masq '1'

config forwarding 'vpn_lan_forwarding'
        option src 'lan'
        option dest 'vpn'


Serwer 1
route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         46.186.0.1      0.0.0.0         UG    0      0        0 eth0.2
10.8.0.0        0.0.0.0         255.255.255.0   U     0      0        0 tun0
46.186.0.0      0.0.0.0         255.255.248.0   U     0      0        0 eth0.2
46.186.0.1      0.0.0.0         255.255.255.255 UH    0      0        0 eth0.2
172.20.1.0      0.0.0.0         255.255.255.0   U     0      0        0 br-lan

Serwer 2
route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.8.0.1        128.0.0.0       UG    0      0        0 tun0
0.0.0.0         10.64.64.64     0.0.0.0         UG    0      0        0 3g-wan
10.8.0.0        0.0.0.0         255.255.255.0   U     0      0        0 tun0
10.64.164.164   0.0.0.0         255.255.255.255 UH    0      0        0 3g-wan
46.186.0.235    10.64.64.64     255.255.255.255 UGH   0      0        0 3g-wan
128.0.0.0       10.8.0.1        128.0.0.0       UG    0      0        0 tun0
172.20.1.0      10.8.0.1        255.255.255.0   UG    0      0        0 tun0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 br-lan

ZTE MF 286D OpenWrt 23.05-SNAPSHOT r23484-b742216dc8
Zyxel EX5601-T0 ubootmod OpenWrt 24.10-SNAPSHOT, r28432-7609571dcd
TP-LINK Archer C7 v5 - 1.14.0.2 (Built 20231226-1035 git@8e210b77)

23 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,172

Odp: Gargoyle + OpenVPN

Wyraźnie widzisz że na serwer 1 nie zdefiniowałeś sieci za klientem, czyli serwerze2. Brakuje ci trasy 192.168.1.0 via tun0 w serwerze 1.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

24 Odpowiedź przez piratee

  • Zarejestrowany: 2016-12-08
  • Posty: 628

Odp: Gargoyle + OpenVPN

dziękuję za szybką odpowiedź ale dla upewnienia się musze zrobić tak

route add -net 192.168.1.0 netmask 255.255.255.0 dev tun0

ZTE MF 286D OpenWrt 23.05-SNAPSHOT r23484-b742216dc8
Zyxel EX5601-T0 ubootmod OpenWrt 24.10-SNAPSHOT, r28432-7609571dcd
TP-LINK Archer C7 v5 - 1.14.0.2 (Built 20231226-1035 git@8e210b77)

25 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,172

Odp: Gargoyle + OpenVPN

Tak, choć dla ideologicznej poprawności powinieneś to zrobić w konfiguracji openvpn opcją route.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona