Nie jesteś zalogowany. Proszę się zalogować lub zarejestrować.
eko.one.pl → Oprogramowanie / Software → Problem z konfiguracją OpenVPN
Strony Poprzednia 1 2 3 Następna
Zaloguj się lub zarejestruj by napisać odpowiedź
Analizując ten poradnik http://eko.one.pl/?p=openwrt-openvpntun … ertyfikatw rozumiem, że trzeba na Lede utworzyć serwer i klienta. Czy w /etc/config/openvpn podajemy ip zew czy wew ? (nie chodzi mi o klienta windowsa czy linux tylko Lede)?
ta linijka: uci set openvpn.malgosia.remote="SERWER_IP 1194"
Czy jeżeli nie będę łączył się z jakiego innego router z openwrt to nie tworzymy klienta ?
Ta linijka jest wtedy gdy router jest klientem vpn i łączy sie z jakimś serwerem openvpn.
A serwer może być na czymkolwiek np ubuntu. SERWER_IP to adres tego serwera gdzieś w sieci do którego połączy się ten router-klient vpn.
Przeważnie router jest albo klientem albo serwerem openvpn, choć w szczególnych przypadkach może być uruchomiony w 2 instancjach klient i serwer. Ale to naprawde szczególne przypadki.
Analizując ten poradnik http://eko.one.pl/?p=openwrt-openvpntun … ertyfikatw rozumiem, że trzeba na Lede utworzyć serwer i klienta. Czy w /etc/config/openvpn podajemy ip zew czy wew ? (nie chodzi mi o klienta windowsa czy linux tylko Lede)?
ta linijka: uci set openvpn.malgosia.remote="SERWER_IP 1194"Czy jeżeli nie będę łączył się z jakiego innego router z openwrt to nie tworzymy klienta ?
Źle to analizujesz. Serwer to serwer, klient to inna maszyna. Na serwerze generujesz certyfikaty serwera i klienta, i później wymagane certyfikaty klienta przenosisz na inną maszynę. W całym poradniku nie ma ani grama że na routerze trzeba zrobić i serwer i klient. Po co to niby by miało być?
Wiem, że to głupie ale sugerowałem się plikiem konfiguracyjnym z gargulca i myślałem, że ten klient jakoś informacyjnie porównuje klucze certyfikaty z klientem z windowsa czy androida:
config openvpn 'custom_config'
option script_security '3'
option up '/etc/openvpn.up'
option down '/etc/openvpn.down'
option config '/etc/openvpn/server.conf'
option enabled '0'
config openvpn 'sample_server'
option enabled '0'
option port '1194'
option proto 'udp'
option dev 'tun'
option ca '/etc/openvpn/ca.crt'
option cert '/etc/openvpn/server.crt'
option key '/etc/openvpn/server.key'
option dh '/etc/openvpn/dh1024.pem'
option server '10.8.0.0 255.255.255.0'
option ifconfig_pool_persist '/tmp/ipp.txt'
option keepalive '10 120'
option comp_lzo 'yes'
option persist_key '1'
option persist_tun '1'
option status '/tmp/openvpn-status.log'
option verb '3'
config openvpn 'sample_client'
option enabled '0'
option client '1'
option dev 'tun'
option proto 'udp'
list remote 'my_server_1 1194'
option resolv_retry 'infinite'
option nobind '1'
option persist_key '1'
option persist_tun '1'
option ca '/etc/openvpn/ca.crt'
option cert '/etc/openvpn/client.crt'
option key '/etc/openvpn/client.key'
option comp_lzo 'yes'
option verb '3'P.s to już wiem dlaczego mi to nie działało.
To że openvpn potrafi wystartować jednocześnie serwer/klient i masz kilka sekcji w jednym konfigu to całkiem inna sprawa.
Chyba ostatnie pytanie 
Łączę się z serwerem ale nie mam dostępu do sieci lan ( nie mogę wejść do routera 192.168.0.1).
config klienta
client
remote 46.151.137.134 1194
dev tun
proto udp
status current_status
resolv-retry infinite
ns-cert-type server
topology subnet
verb 3
cipher BF-CBC
keysize 128
ca ca.crt
cert przemek.crt
key przemek.key
remote-cert-tls server
nobind
persist-key
persist-tun
comp-lzonetwork
network.loopback=interface
network.loopback.ifname='lo'
network.loopback.proto='static'
network.loopback.ipaddr='127.0.0.1'
network.loopback.netmask='255.0.0.0'
network.globals=globals
network.globals.ula_prefix='fdd4:03b2:795a::/48'
network.lan=interface
network.lan.type='bridge'
network.lan.ifname='eth0.1'
network.lan.proto='static'
network.lan.netmask='255.255.255.0'
network.lan.ip6assign='60'
network.lan.ipaddr='192.168.0.1'
network.wan=interface
network.wan.ifname='eth0.2'
network.wan.proto='dhcp'
network.wan.macaddr='20:18:0E:03:7D:BE'
network.wan_dev=device
network.wan_dev.name='eth0.2'
network.wan_dev.macaddr='20:18:0E:03:7D:BE'
network.wan6=interface
network.wan6.ifname='eth0.2'
network.wan6.proto='dhcpv6'
network.@switch[0]=switch
network.@switch[0].name='switch0'
network.@switch[0].reset='1'
network.@switch[0].enable_vlan='1'
network.@switch_vlan[0]=switch_vlan
network.@switch_vlan[0].device='switch0'
network.@switch_vlan[0].vlan='1'
network.@switch_vlan[0].ports='1 2 3 4 0t'
network.@switch_vlan[1]=switch_vlan
network.@switch_vlan[1].device='switch0'
network.@switch_vlan[1].vlan='2'
network.@switch_vlan[1].ports='5 0t'
network.vpn=interface
network.vpn.ifname='tun0'
network.vpn.proto='none' firewall
firewall.@defaults[0]=defaults
firewall.@defaults[0].syn_flood='1'
firewall.@defaults[0].input='ACCEPT'
firewall.@defaults[0].output='ACCEPT'
firewall.@defaults[0].forward='REJECT'
firewall.@zone[0]=zone
firewall.@zone[0].name='lan'
firewall.@zone[0].network='lan'
firewall.@zone[0].input='ACCEPT'
firewall.@zone[0].output='ACCEPT'
firewall.@zone[0].forward='ACCEPT'
firewall.@zone[1]=zone
firewall.@zone[1].name='wan'
firewall.@zone[1].network='wan' 'wan6'
firewall.@zone[1].input='REJECT'
firewall.@zone[1].output='ACCEPT'
firewall.@zone[1].forward='REJECT'
firewall.@zone[1].masq='1'
firewall.@zone[1].mtu_fix='1'
firewall.@forwarding[0]=forwarding
firewall.@forwarding[0].src='lan'
firewall.@forwarding[0].dest='wan'
firewall.@rule[0]=rule
firewall.@rule[0].name='Allow-DHCP-Renew'
firewall.@rule[0].src='wan'
firewall.@rule[0].proto='udp'
firewall.@rule[0].dest_port='68'
firewall.@rule[0].target='ACCEPT'
firewall.@rule[0].family='ipv4'
firewall.@rule[1]=rule
firewall.@rule[1].name='Allow-Ping'
firewall.@rule[1].src='wan'
firewall.@rule[1].proto='icmp'
firewall.@rule[1].icmp_type='echo-request'
firewall.@rule[1].family='ipv4'
firewall.@rule[1].target='ACCEPT'
firewall.@rule[2]=rule
firewall.@rule[2].name='Allow-IGMP'
firewall.@rule[2].src='wan'
firewall.@rule[2].proto='igmp'
firewall.@rule[2].family='ipv4'
firewall.@rule[2].target='ACCEPT'
firewall.@rule[3]=rule
firewall.@rule[3].name='Allow-DHCPv6'
firewall.@rule[3].src='wan'
firewall.@rule[3].proto='udp'
firewall.@rule[3].src_ip='fc00::/6'
firewall.@rule[3].dest_ip='fc00::/6'
firewall.@rule[3].dest_port='546'
firewall.@rule[3].family='ipv6'
firewall.@rule[3].target='ACCEPT'
firewall.@rule[4]=rule
firewall.@rule[4].name='Allow-MLD'
firewall.@rule[4].src='wan'
firewall.@rule[4].proto='icmp'
firewall.@rule[4].src_ip='fe80::/10'
firewall.@rule[4].icmp_type='130/0' '131/0' '132/0' '143/0'
firewall.@rule[4].family='ipv6'
firewall.@rule[4].target='ACCEPT'
firewall.@rule[5]=rule
firewall.@rule[5].name='Allow-ICMPv6-Input'
firewall.@rule[5].src='wan'
firewall.@rule[5].proto='icmp'
firewall.@rule[5].icmp_type='echo-request' 'echo-reply' 'destination-unreachable' 'packet-too-big' 'time-exceeded' 'bad-header' 'unknown-header-type' 'router-solicitation' 'neighbour-solicitation' 'router-advertisement' 'neighbour-advertisement'
firewall.@rule[5].limit='1000/sec'
firewall.@rule[5].family='ipv6'
firewall.@rule[5].target='ACCEPT'
firewall.@rule[6]=rule
firewall.@rule[6].name='Allow-ICMPv6-Forward'
firewall.@rule[6].src='wan'
firewall.@rule[6].dest='*'
firewall.@rule[6].proto='icmp'
firewall.@rule[6].icmp_type='echo-request' 'echo-reply' 'destination-unreachable' 'packet-too-big' 'time-exceeded' 'bad-header' 'unknown-header-type'
firewall.@rule[6].limit='1000/sec'
firewall.@rule[6].family='ipv6'
firewall.@rule[6].target='ACCEPT'
firewall.@include[0]=include
firewall.@include[0].path='/etc/firewall.user'
firewall.@rule[7]=rule
firewall.@rule[7].src='wan'
firewall.@rule[7].dest='lan'
firewall.@rule[7].proto='esp'
firewall.@rule[7].target='ACCEPT'
firewall.@rule[8]=rule
firewall.@rule[8].src='wan'
firewall.@rule[8].dest='lan'
firewall.@rule[8].dest_port='500'
firewall.@rule[8].proto='udp'
firewall.@rule[8].target='ACCEPT'
firewall.@zone[2]=zone
firewall.@zone[2].name='vpn'
firewall.@zone[2].input='ACCEPT'
firewall.@zone[2].forward='ACCEPT'
firewall.@zone[2].output='ACCEPT'
firewall.@zone[2].network='vpn'
firewall.@zone[2].masq='1'
firewall.@forwarding[1]=forwarding
firewall.@forwarding[1].src='vpn'
firewall.@forwarding[1].dest='wan'
firewall.@rule[9]=rule
firewall.@rule[9].name='OpenVPN'
firewall.@rule[9].target='ACCEPT'
firewall.@rule[9].src='wan'
firewall.@rule[9].proto='udp'
firewall.@rule[9].dest_port='1194'
firewall.@forwarding[2]=forwarding
firewall.@forwarding[2].src='vpn'
firewall.@forwarding[2].dest='lan'Jeżeli http słucha na każdym adresie to wpisz 10.8.0.1 (pod warunkiem że to adres serwera sieci vpn) i powinna pojawić się strona routera-serwera openvpn, jeżeli rzeczywiście masz połączenie i zrobiłeś konfiguracje zgodnie z poradnikiem.
A jak chcesz mieć dostęp do całej sieci za serwerem vpn, to serwer musi wysłać trasę klientowi openvpn.
Sieć za serwerem vpn np.192.168.0.0/24 nie może mieć tej samej adresacji co sieć lan za klientem vpn, czyli sieć lan za klientem może być taka np. 192.168.1.0/24
I jeszcze na serwerze vpn włącz forward między vpn a lan.
Jeżeli mówisz o swojej sieci Lan tzn. że serwer ma taką samą podsieć i pewnie nadpisał ci trasę na routerze-kliencie vpn
Klient openvpn z windows połączył się:
Sun Mar 05 20:33:30 2017 OpenVPN 2.1.4 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Nov 8 2010
Sun Mar 05 20:33:30 2017 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sun Mar 05 20:33:31 2017 LZO compression initialized
Sun Mar 05 20:33:31 2017 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sun Mar 05 20:33:31 2017 Socket Buffers: R=[65536->65536] S=[65536->65536]
Sun Mar 05 20:33:31 2017 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Mar 05 20:33:31 2017 Local Options hash (VER=V4): '41690919'
Sun Mar 05 20:33:31 2017 Expected Remote Options hash (VER=V4): '530fdded'
Sun Mar 05 20:33:31 2017 UDPv4 link local: [undef]
Sun Mar 05 20:33:31 2017 UDPv4 link remote: 46.151.137.134:1194
Sun Mar 05 20:33:31 2017 TLS: Initial packet from 46.151.137.134:1194, sid=87582514 a9d94cc5
Sun Mar 05 20:33:31 2017 VERIFY OK: depth=1, /C=__/ST=UnknownProvince/L=UnknownCity/O=UnknownOrg/OU=UnknownOrgUnit/CN=rzyecchficlldul/name=rzyecchficlldul/emailAddress=rzyecchficlldul@vyfxbqrtkyxcgvv.com
Sun Mar 05 20:33:31 2017 VERIFY OK: nsCertType=SERVER
Sun Mar 05 20:33:31 2017 Validating certificate key usage
Sun Mar 05 20:33:31 2017 ++ Certificate has key usage 00a0, expects 00a0
Sun Mar 05 20:33:31 2017 VERIFY KU OK
Sun Mar 05 20:33:31 2017 Validating certificate extended key usage
Sun Mar 05 20:33:31 2017 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Sun Mar 05 20:33:31 2017 VERIFY EKU OK
Sun Mar 05 20:33:31 2017 VERIFY OK: depth=0, /C=__/ST=UnknownProvince/L=UnknownCity/O=UnknownOrg/OU=UnknownOrgUnit/CN=rzyecchficlldul/name=rzyecchficlldul/emailAddress=rzyecchficlldul@vyfxbqrtkyxcgvv.com
Sun Mar 05 20:33:31 2017 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1542', remote='link-mtu 1541'
Sun Mar 05 20:33:31 2017 WARNING: 'comp-lzo' is present in local config but missing in remote config, local='comp-lzo'
Sun Mar 05 20:33:31 2017 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Mar 05 20:33:31 2017 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Mar 05 20:33:31 2017 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Mar 05 20:33:31 2017 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Mar 05 20:33:31 2017 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Sun Mar 05 20:33:31 2017 [rzyecchficlldul] Peer Connection Initiated with 46.151.137.134:1194
Sun Mar 05 20:33:34 2017 SENT CONTROL [rzyecchficlldul]: 'PUSH_REQUEST' (status=1)
Sun Mar 05 20:33:34 2017 PUSH: Received control message: 'PUSH_REPLY,route 192.168.0.0 255.255.255.0,route 10.8.0.1,topology net30,ifconfig 10.8.0.6 10.8.0.5'
Sun Mar 05 20:33:34 2017 OPTIONS IMPORT: --ifconfig/up options modified
Sun Mar 05 20:33:34 2017 OPTIONS IMPORT: route options modified
Sun Mar 05 20:33:34 2017 ROUTE default_gateway=192.168.43.1
Sun Mar 05 20:33:34 2017 TAP-WIN32 device [Ethernet 4] opened: \\.\Global\{F47D7814-9B62-4A2D-9142-5DFB8454D97D}.tap
Sun Mar 05 20:33:34 2017 TAP-Win32 Driver Version 9.7
Sun Mar 05 20:33:34 2017 TAP-Win32 MTU=1500
Sun Mar 05 20:33:34 2017 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {F47D7814-9B62-4A2D-9142-5DFB8454D97D} [DHCP-serv: 10.8.0.5, lease-time: 31536000]
Sun Mar 05 20:33:34 2017 Successful ARP Flush on interface [24] {F47D7814-9B62-4A2D-9142-5DFB8454D97D}
Sun Mar 05 20:33:39 2017 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Sun Mar 05 20:33:39 2017 C:\WINDOWS\system32\route.exe ADD 192.168.0.0 MASK 255.255.255.0 10.8.0.5
Sun Mar 05 20:33:39 2017 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=55 and dwForwardType=4
Sun Mar 05 20:33:39 2017 Route addition via IPAPI succeeded [adaptive]
Sun Mar 05 20:33:39 2017 C:\WINDOWS\system32\route.exe ADD 10.8.0.1 MASK 255.255.255.255 10.8.0.5
Sun Mar 05 20:33:39 2017 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=55 and dwForwardType=4
Sun Mar 05 20:33:39 2017 Route addition via IPAPI succeeded [adaptive]
Sun Mar 05 20:33:39 2017 Initialization Sequence Completed
Sun Mar 05 20:35:34 2017 [rzyecchficlldul] Inactivity timeout (--ping-restart), restarting
Sun Mar 05 20:35:34 2017 TCP/UDP: Closing socket
Sun Mar 05 20:35:34 2017 SIGUSR1[soft,ping-restart] received, process restarting
Sun Mar 05 20:35:34 2017 Restart pause, 2 second(s)
Sun Mar 05 20:35:36 2017 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sun Mar 05 20:35:36 2017 Re-using SSL/TLS context
Sun Mar 05 20:35:36 2017 LZO compression initialized
Sun Mar 05 20:35:36 2017 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sun Mar 05 20:35:36 2017 Socket Buffers: R=[65536->65536] S=[65536->65536]
Sun Mar 05 20:35:36 2017 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Mar 05 20:35:36 2017 Local Options hash (VER=V4): '41690919'
Sun Mar 05 20:35:36 2017 Expected Remote Options hash (VER=V4): '530fdded'
Sun Mar 05 20:35:36 2017 UDPv4 link local: [undef]
Sun Mar 05 20:35:36 2017 UDPv4 link remote: 46.151.137.134:1194
Sun Mar 05 20:35:36 2017 TLS: Initial packet from 46.151.137.134:1194, sid=ca10193f 0e27ee50
Sun Mar 05 20:35:36 2017 VERIFY OK: depth=1, /C=__/ST=UnknownProvince/L=UnknownCity/O=UnknownOrg/OU=UnknownOrgUnit/CN=rzyecchficlldul/name=rzyecchficlldul/emailAddress=rzyecchficlldul@vyfxbqrtkyxcgvv.com
Sun Mar 05 20:35:36 2017 VERIFY OK: nsCertType=SERVER
Sun Mar 05 20:35:36 2017 Validating certificate key usage
Sun Mar 05 20:35:36 2017 ++ Certificate has key usage 00a0, expects 00a0
Sun Mar 05 20:35:36 2017 VERIFY KU OK
Sun Mar 05 20:35:36 2017 Validating certificate extended key usage
Sun Mar 05 20:35:36 2017 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Sun Mar 05 20:35:36 2017 VERIFY EKU OK
Sun Mar 05 20:35:36 2017 VERIFY OK: depth=0, /C=__/ST=UnknownProvince/L=UnknownCity/O=UnknownOrg/OU=UnknownOrgUnit/CN=rzyecchficlldul/name=rzyecchficlldul/emailAddress=rzyecchficlldul@vyfxbqrtkyxcgvv.com
Sun Mar 05 20:35:37 2017 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1542', remote='link-mtu 1541'
Sun Mar 05 20:35:37 2017 WARNING: 'comp-lzo' is present in local config but missing in remote config, local='comp-lzo'
Sun Mar 05 20:35:37 2017 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Mar 05 20:35:37 2017 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Mar 05 20:35:37 2017 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Mar 05 20:35:37 2017 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Mar 05 20:35:37 2017 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Sun Mar 05 20:35:37 2017 [rzyecchficlldul] Peer Connection Initiated with 46.151.137.134:1194
Sun Mar 05 20:35:39 2017 SENT CONTROL [rzyecchficlldul]: 'PUSH_REQUEST' (status=1)
Sun Mar 05 20:35:40 2017 PUSH: Received control message: 'PUSH_REPLY,route 192.168.0.0 255.255.255.0,route 10.8.0.1,topology net30,ifconfig 10.8.0.6 10.8.0.5'
Sun Mar 05 20:35:40 2017 OPTIONS IMPORT: --ifconfig/up options modified
Sun Mar 05 20:35:40 2017 OPTIONS IMPORT: route options modified
Sun Mar 05 20:35:40 2017 Preserving previous TUN/TAP instance: Ethernet 4
Sun Mar 05 20:35:40 2017 Initialization Sequence Completedale pingować do 10.8.0.1 nie mogę.
mam sieć 192.168.0.0
to zrobiłem
uci add_list openvpn.home.push='route 192.168.1.0 255.255.255.0'
uci commit openvpn
i to też
# uci add firewall forwarding
# uci set firewall.@forwarding[-1].src='vpn'
# uci set firewall.@forwarding[-1].dest='lan'
# uci commit firewall
oraz dopisałem option masq '1'
Co jak co, ale adres serwera vpn to powinien dobrze pingować.
EDIT: ponieważ wyszło zamieszanie co ma być na routerze, klient czy serwer czy oba na raz, bo takie pokazywałeś konfigi i m.in. ja też w Luci próbowałem to sprawdzić, to może teraz czas usystematyzować pewne rzeczy.
Maszyna nr 1 (adresy wybrane przypadkowo)
1. Masz router o publ. ip a na nim serwer vpn którego sieć vpn to 10.8.0.0/24
2. Za Serwerem vpn jest podsieć Lan o adresie np. 192.168.1.0/24.
Maszyna nr 2 (adresy wybrane przypadkowo)
3. Masz router a na nim klienta vpn.
4. Za klientem vpn jest podsieć lan o adresie np. 192.168.0.0/24
Co chcesz mieć:
1. Z klienta vpn mieć dostęp do sieci 192.168.1.0/24 ?
2. Wychodzić na świat przez serwer vpn ?
3. Z sieci 129.168.1.0/24 chcesz mieć dostęp do sieci 192.168.0.0/24 ?
Co mam:
1. Router tp-link (Lede) podłączonego do Wana, publiczne ip, sieć 192.168.0.1
2. Do tp-link mam podłączonego Nexxa (dlna ftp kamera itd) 192.168.0.2 oraz podłączone laptopy itp 192.168.0.101 i 102 itp
Co chcę osiągnąć:
Na tp-linku postawić vpn np. 10.8.0.0/24, żeby po połączeniu mieć dostęp do sieci i urządzeń (czyli routera ftp DLNA itd) oraz jak się da: aby klient ( windows, android) zachowywał się jakby był podłączony fizycznie do sieci, ponieważ mam telewizję JAMBOX i mogę oglądać Online ale tylko w zasięgu swojej siec a często wyjeżdżam.
Jak można to prosto zrobić ?
1. Źle wpisałeś na serwerze w poście #33 chociaż logi wskazują dobrą sieć 192.168.0.0. Czyli jak masz ?
uci add_list openvpn.home.push='route 192.168.1.0 255.255.255.0'
A Ty masz sieć x.x.0.0 więc powinno być:
uci add_list openvpn.home.push='route 192.168.0.0 255.255.255.0'
2. Ostrzeżenia w logu:
...Sun Mar 05 20:35:37 2017 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1542', remote='link-mtu 1541'
Sun Mar 05 20:35:37 2017 WARNING: 'comp-lzo' is present in local config but missing in remote config, local='comp-lzo'To jest spowodowane tym, że włączyłeś sobie na serwerze kompresję (comp-lzo) a na kliencie już NIE i teraz mu się nic nie zgadza.
--comp-lzo [mode] -> ( https://openvpn.net/index.php/open-sour … pn-21.html )
3. Mniejszym kamyczkiem, który jeszcze można wrzucić do Twojego "ogródka" jest:
un Mar 05 20:35:36 2017 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executablesOdpalasz sobie jakiś skrypt a nie dodałeś opcji polityki dla niego. ( https://openvpn.net/index.php/open-sour … pn-21.html ) patrz --script-security level [method]
4. Nie jestem pewny, więc napisałem PW
Suma sumarum: pierwsze co, to klient openvpn musi widzieć serwer openvpn. Testy najlepiej przeprowadzić gdy np komputer-klient vpn ma swój niezależny Internet, i nie jest spięty po Wifi/Lan z serwerem vpn.
Bo takie konfiguracje też widziało to forum.
PS. Szkoda że Twój post #35 nie był na miejscu #15.
--topology dotyczy tylko serwera No właśnie, robienie wykładu na temat ustawiania routingu za pomocą openvpn jest przedwczesne, gdy nie działa ruch w samym tunelu vpn. Przyczyną jest błędny konfig na serwerze i kliencie. Na serwerze stosujesz topology net30 (opcja --server, brak opcji topology czyli domyślnie jest to właśnie net30) a na kliencie dodajesz opcję topology subnet, więc nie będzie to działać. Musisz zdecydować się jaką topologię chcesz stosować (polecam subnet, bo będzie łatwiejsza do zrozumienia).
No właśnie, robienie wykładu na temat ustawiania routingu za pomocą openvpn jest przedwczesne, gdy nie działa ruch w samym tunelu vpn. Przyczyną jest błędny konfig na serwerze i kliencie. Na serwerze stosujesz topology net30 (opcja --server, brak opcji topology czyli domyślnie jest to właśnie net30) a na kliencie dodajesz opcję topology subnet, więc nie będzie to działać. Musisz zdecydować się jaką topologię chcesz stosować (poleca subnet, bo będzie łatwiejsza do zrozumienia).
To czy napisałem o routingu w pkt 1. czy bym napisał w pkt 4 to nie ma znaczenia. Większa część mojego posta to wskazanie błędów w logach. Tunel nie może prawidłowo funkcjonować bo nie zgadza się mtu.
Jeżeli twierdzisz, że opcja topology subnet w cliencie rozwala tunel, to czemu tej informacji nie ma w manualu ?
Powinni napisać że trzeba zmienić oba pliki konfiguracyjne na serwerze i kliencie. Są przykłady wycinków confa TYLKO z servera (exist for servers configured)
Podobny config co ma @djmysia sprawdziłem u siebie: server-net30 client-subnet i tunel się zestawił i były pingi.
Racja, opcja --topology dotyczy tylko serwera, w konfigu klienta jest pomijana.
Jeszcze raz wgrałem Lede i skonfigurowałem serwer jeszcze raz, poprawiłem plik konfiguracyjny i sieć na 192.168.0.0 i wszystko ładnie działa. Dziękuję bardzo mar_w za pomoc.
client
remote 46.151.137.134 1194
dev tun
proto udp
status current_status
resolv-retry infinite
ns-cert-type server
verb 3
ca ca.crt
cert przemek.crt
key przemek.key
remote-cert-tls server
nobind
persist-key
persist-tunA jeszcze taki mały szczegół. Na gargulcu 192.168.0.2:8200 mam serwer MiniDLNA. Jak jestem podłączony do sieci to VLC czy jakiś inny program DLNA wykrywa mi automatycznie serwer a przez VPN nie. Dlaczego ? Pozostałe funkcjonalności działają ftp, tv itp.
Automatycznie wykrywa Ci go gdy jesteś w tym samym LAN. Przy zestawieniu VPN przez tun łączysz się w trybie routowanym, a nie LAN-LAN. Musiałbyś zmienić konfig na tap. Pytanie, czy tego potrzebujesz, bo każda z tych opcji służy do innych celów.
Na tp-link z Lede mam openvpn tun na porcie 1194 udp, ip tego router 192.168.0.1 podłączony WAN, dhcp 0.100 do 0.110 do niego mam podłączonego nexx z gargulcem 192.168.0.2 + dhcp 0.120 do 0.130. Próbuję na gargulcu postawić serwer openvpn tap 1195 ( w tplinku porty przekierowane tcp/udp 1195 z wan i vpn do lan na nexxa 192.168.0.2. Mogę nawiązać połączenie ale nie dostaję ip i nie mogę dostać się do urządzeń lan. Czy takie połączenie jest możliwe ?
P.s wszystko według poradnika Cezarego http://eko.one.pl/?p=openwrt-openvpn.
log klient
Tue Mar 07 22:35:00 2017 OpenVPN 2.1.4 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Nov 8 2010
Tue Mar 07 22:35:00 2017 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue Mar 07 22:35:00 2017 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Mar 07 22:35:00 2017 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Mar 07 22:35:00 2017 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Mar 07 22:35:00 2017 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Mar 07 22:35:00 2017 Socket Buffers: R=[65536->65536] S=[65536->65536]
Tue Mar 07 22:35:00 2017 TAP-WIN32 device [Ethernet 4] opened: \\.\Global\{F47D7814-9B62-4A2D-9142-5DFB8454D97D}.tap
Tue Mar 07 22:35:00 2017 TAP-Win32 Driver Version 9.7
Tue Mar 07 22:35:00 2017 TAP-Win32 MTU=1500
Tue Mar 07 22:35:00 2017 Successful ARP Flush on interface [22] {F47D7814-9B62-4A2D-9142-5DFB8454D97D}
Tue Mar 07 22:35:00 2017 Data Channel MTU parms [ L:1578 D:1450 EF:46 EB:4 ET:32 EL:0 ]
Tue Mar 07 22:35:00 2017 Local Options hash (VER=V4): '61c9bd37'
Tue Mar 07 22:35:00 2017 Expected Remote Options hash (VER=V4): 'af1333e5'
Tue Mar 07 22:35:00 2017 Attempting to establish TCP connection with 46.151.137.134:1195
Tue Mar 07 22:35:01 2017 TCP connection established with 46.151.137.134:1195
Tue Mar 07 22:35:01 2017 TCPv4_CLIENT link local: [undef]
Tue Mar 07 22:35:01 2017 TCPv4_CLIENT link remote: 46.151.137.134:1195
Tue Mar 07 22:35:01 2017 Peer Connection Initiated with 46.151.137.134:1195
Tue Mar 07 22:35:07 2017 TEST ROUTES: 0/0 succeeded len=-1 ret=1 a=0 u/d=up
Tue Mar 07 22:35:07 2017 Initialization Sequence Completedlog serwer
Tue Mar 7 22:34:25 2017 OpenVPN 2.3.6 mipsel-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Feb 16 2017
Tue Mar 7 22:34:25 2017 library versions: OpenSSL 1.0.2f 28 Jan 2016, LZO 2.08
Tue Mar 7 22:34:25 2017 WARNING: file '/etc/openvpn/secret.key' is group or others accessible
Tue Mar 7 22:34:25 2017 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Mar 7 22:34:25 2017 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Mar 7 22:34:25 2017 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Mar 7 22:34:25 2017 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Mar 7 22:34:25 2017 Socket Buffers: R=[87380->131072] S=[16384->131072]
Tue Mar 7 22:34:25 2017 TUN/TAP device tap0 opened
Tue Mar 7 22:34:25 2017 TUN/TAP TX queue length set to 100
Tue Mar 7 22:34:25 2017 Listening for incoming TCP connection on [undef]
Tue Mar 7 22:34:26 2017 TCP connection established with [AF_INET]37.47.244.155:16671
Tue Mar 7 22:34:26 2017 TCPv4_SERVER link local (bound): [undef]
Tue Mar 7 22:34:26 2017 TCPv4_SERVER link remote: [AF_INET]37.47.244.155:16671
Tue Mar 7 22:34:27 2017 Peer Connection Initiated with [AF_INET]37.47.244.155:16671
Tue Mar 7 22:34:27 2017 Initialization Sequence Completed
Tue Mar 7 22:34:44 2017 Connection reset, restarting [-1]
Tue Mar 7 22:34:44 2017 Closing TUN/TAP interface
Tue Mar 7 22:34:44 2017 SIGUSR1[soft,connection-reset] received, process restarting
Tue Mar 7 22:34:44 2017 Restart pause, 1 second(s)
Tue Mar 7 22:34:45 2017 WARNING: file '/etc/openvpn/secret.key' is group or others accessible
Tue Mar 7 22:34:45 2017 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Mar 7 22:34:45 2017 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Mar 7 22:34:45 2017 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Mar 7 22:34:45 2017 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Mar 7 22:34:45 2017 Socket Buffers: R=[87380->131072] S=[16384->131072]
Tue Mar 7 22:34:45 2017 TUN/TAP device tap0 opened
Tue Mar 7 22:34:45 2017 TUN/TAP TX queue length set to 100
Tue Mar 7 22:34:45 2017 Listening for incoming TCP connection on [undef]Zrobiłeś prawidłowo skrypt, który orbi brigde? Masz dodany interfejs tap0 do /etc/config/network? Przez jaki interfejs masz podpiętego tego nexxa do tp-linka? Wrzuć config serwera.
Nexxa to tplink mam przez lan. Próbowałem też z udp ale to samo klient się łączy a ip nie dostaje.
openvpn-startup
root@Gargoyle:~# cat /etc/init.d/openvpn-startup
#!/bin/sh /etc/rc.common
START=94
start() {
openvpn --mktun --dev tap0
brctl addif br-lan tap0
ifconfig tap0 0.0.0.0 promisc up
}
stop() {
ifconfig tap0 0.0.0.0 down
brctl delif br-lan tap0
openvpn --rmtun --dev tap0
}network
root@Gargoyle:~# uci show network
network.loopback=interface
network.loopback.ifname='lo'
network.loopback.proto='static'
network.loopback.ipaddr='127.0.0.1'
network.loopback.netmask='255.0.0.0'
network.globals=globals
network.globals.ula_prefix='fd12:88aa:c6fe::/48'
network.lan=interface
network.lan.force_link='1'
network.lan.macaddr='20:28:18:a1:c9:2e'
network.lan.type='bridge'
network.lan.proto='static'
network.lan.netmask='255.255.255.0'
network.lan.ip6assign='60'
network.lan.dns='192.168.0.1'
network.lan.ipaddr='192.168.0.2'
network.lan.ifname='eth0.1 eth0.2'
network.lan.gateway='192.168.0.1'
network.wan6=interface
network.wan6.ifname='eth0.2'
network.wan6.proto='dhcpv6'
network.@switch[0]=switch
network.@switch[0].name='switch0'
network.@switch[0].reset='1'
network.@switch[0].enable_vlan='1'
network.@switch_vlan[0]=switch_vlan
network.@switch_vlan[0].device='switch0'
network.@switch_vlan[0].vlan='1'
network.@switch_vlan[0].ports='1 2 3 4 6t'
network.@switch_vlan[1]=switch_vlan
network.@switch_vlan[1].device='switch0'
network.@switch_vlan[1].vlan='2'
network.@switch_vlan[1].ports='0 6t'
network.vpn=interface
network.vpn.ifname='tun0'
network.vpn.proto='none'
network.vpn.defaultroute='0'
network.vpn.peerdns='0'firewall
uci show firewall
firewall.@defaults[0]=defaults
firewall.@defaults[0].syn_flood='1'
firewall.@defaults[0].input='ACCEPT'
firewall.@defaults[0].output='ACCEPT'
firewall.@defaults[0].forward='REJECT'
firewall.@zone[0]=zone
firewall.@zone[0].name='lan'
firewall.@zone[0].network='lan'
firewall.@zone[0].input='ACCEPT'
firewall.@zone[0].output='ACCEPT'
firewall.@zone[0].forward='ACCEPT'
firewall.@zone[1]=zone
firewall.@zone[1].name='wan'
firewall.@zone[1].network='wan' 'wan6'
firewall.@zone[1].input='REJECT'
firewall.@zone[1].output='ACCEPT'
firewall.@zone[1].forward='REJECT'
firewall.@zone[1].masq='1'
firewall.@zone[1].mtu_fix='1'
firewall.@forwarding[0]=forwarding
firewall.@forwarding[0].src='lan'
firewall.@forwarding[0].dest='wan'
firewall.@rule[0]=rule
firewall.@rule[0].name='Allow-DHCP-Renew'
firewall.@rule[0].src='wan'
firewall.@rule[0].proto='udp'
firewall.@rule[0].dest_port='68'
firewall.@rule[0].target='ACCEPT'
firewall.@rule[0].family='ipv4'
firewall.@rule[1]=rule
firewall.@rule[1].name='Allow-Ping'
firewall.@rule[1].src='wan'
firewall.@rule[1].proto='icmp'
firewall.@rule[1].icmp_type='echo-request'
firewall.@rule[1].family='ipv4'
firewall.@rule[1].target='ACCEPT'
firewall.@rule[2]=rule
firewall.@rule[2].name='Allow-IGMP'
firewall.@rule[2].src='wan'
firewall.@rule[2].proto='igmp'
firewall.@rule[2].family='ipv4'
firewall.@rule[2].target='ACCEPT'
firewall.@rule[3]=rule
firewall.@rule[3].name='Allow-DHCPv6'
firewall.@rule[3].src='wan'
firewall.@rule[3].proto='udp'
firewall.@rule[3].src_ip='fe80::/10'
firewall.@rule[3].src_port='547'
firewall.@rule[3].dest_ip='fe80::/10'
firewall.@rule[3].dest_port='546'
firewall.@rule[3].family='ipv6'
firewall.@rule[3].target='ACCEPT'
firewall.@rule[4]=rule
firewall.@rule[4].name='Allow-MLD'
firewall.@rule[4].src='wan'
firewall.@rule[4].proto='icmp'
firewall.@rule[4].src_ip='fe80::/10'
firewall.@rule[4].icmp_type='130/0' '131/0' '132/0' '143/0'
firewall.@rule[4].family='ipv6'
firewall.@rule[4].target='ACCEPT'
firewall.@rule[5]=rule
firewall.@rule[5].name='Allow-ICMPv6-Input'
firewall.@rule[5].src='wan'
firewall.@rule[5].proto='icmp'
firewall.@rule[5].icmp_type='echo-request' 'echo-reply' 'destination-unreachable' 'packet-too-big' 'time-exceeded' 'bad-header' 'unknown-header-type' 'router-solicitation' 'neighbour-solicitation' 'router-advertisement' 'neighbour-advertisement'
firewall.@rule[5].limit='1000/sec'
firewall.@rule[5].family='ipv6'
firewall.@rule[5].target='ACCEPT'
firewall.@rule[6]=rule
firewall.@rule[6].name='Allow-ICMPv6-Forward'
firewall.@rule[6].src='wan'
firewall.@rule[6].dest='*'
firewall.@rule[6].proto='icmp'
firewall.@rule[6].icmp_type='echo-request' 'echo-reply' 'destination-unreachable' 'packet-too-big' 'time-exceeded' 'bad-header' 'unknown-header-type'
firewall.@rule[6].limit='1000/sec'
firewall.@rule[6].family='ipv6'
firewall.@rule[6].target='ACCEPT'
firewall.@include[0]=include
firewall.@include[0].path='/etc/firewall.user'
firewall.@include[0].reload='1'
firewall.@rule[7]=rule
firewall.@rule[7].src='wan'
firewall.@rule[7].dest='lan'
firewall.@rule[7].proto='esp'
firewall.@rule[7].target='ACCEPT'
firewall.@rule[8]=rule
firewall.@rule[8].src='wan'
firewall.@rule[8].dest='lan'
firewall.@rule[8].dest_port='500'
firewall.@rule[8].proto='udp'
firewall.@rule[8].target='ACCEPT'
firewall.@include[1]=include
firewall.@include[1].type='script'
firewall.@include[1].path='/usr/lib/gargoyle_firewall_util/gargoyle_additions.firewall'
firewall.@include[1].family='IPv4'
firewall.@include[1].reload='1'
firewall.openvpn_include_file=include
firewall.openvpn_include_file.path='/etc/openvpn.firewall'
firewall.openvpn_include_file.reload='1'
firewall.wan_ftp_server_command=remote_accept
firewall.wan_ftp_server_command.proto='tcp'
firewall.wan_ftp_server_command.zone='wan'
firewall.wan_ftp_server_command.local_port='21'
firewall.wan_ftp_server_command.remote_port='21'
firewall.wan_ftp_server_pasv=remote_accept
firewall.wan_ftp_server_pasv.proto='tcp'
firewall.wan_ftp_server_pasv.zone='wan'
firewall.wan_ftp_server_pasv.start_port='50990'
firewall.wan_ftp_server_pasv.end_port='50999'
firewall.ra_443_443=remote_accept
firewall.ra_443_443.local_port='443'
firewall.ra_443_443.remote_port='443'
firewall.ra_443_443.proto='tcp'
firewall.ra_443_443.zone='wan'
firewall.ra_82_82=remote_accept
firewall.ra_82_82.local_port='82'
firewall.ra_82_82.remote_port='82'
firewall.ra_82_82.proto='tcp'
firewall.ra_82_82.zone='wan'
firewall.ra_2222_2222=remote_accept
firewall.ra_2222_2222.local_port='2222'
firewall.ra_2222_2222.remote_port='2222'
firewall.ra_2222_2222.proto='tcp'
firewall.ra_2222_2222.zone='wan'
firewall.webcam_wan_access=remote_accept
firewall.webcam_wan_access.proto='tcp'
firewall.webcam_wan_access.zone='wan'
firewall.webcam_wan_access.local_port='8080'
firewall.webcam_wan_access.remote_port='8080'
firewall.@rule[9]=rule
firewall.@rule[9]._name='openvpn'
firewall.@rule[9].src='wan'
firewall.@rule[9].target='ACCEPT'
firewall.@rule[9].proto='udp'
firewall.@rule[9].dest_port='1195'my-vpn.conf
root@Gargoyle:~# cat /etc/openvpn/my-vpn.conf
port 1195
proto tcp-server
dev tap0
keepalive 10 120
status /tmp/openvpn-status.log
log /tmp/openvpn.log
verb 3
secret /etc/openvpn/secret.keyopenvpn
uci show openvpn
openvpn.custom_config=openvpn
openvpn.custom_config.script_security='3'
openvpn.custom_config.up='/etc/openvpn.up'
openvpn.custom_config.down='/etc/openvpn.down'
openvpn.custom_config.config='/etc/openvpn/server.conf'
openvpn.custom_config.enabled='0'
openvpn.sample_server=openvpn
openvpn.sample_server.enabled='0'
openvpn.sample_server.port='1194'
openvpn.sample_server.proto='udp'
openvpn.sample_server.dev='tun'
openvpn.sample_server.ca='/etc/openvpn/ca.crt'
openvpn.sample_server.cert='/etc/openvpn/server.crt'
openvpn.sample_server.key='/etc/openvpn/server.key'
openvpn.sample_server.dh='/etc/openvpn/dh1024.pem'
openvpn.sample_server.server='10.8.0.0 255.255.255.0'
openvpn.sample_server.ifconfig_pool_persist='/tmp/ipp.txt'
openvpn.sample_server.keepalive='10 120'
openvpn.sample_server.comp_lzo='yes'
openvpn.sample_server.persist_key='1'
openvpn.sample_server.persist_tun='1'
openvpn.sample_server.status='/tmp/openvpn-status.log'
openvpn.sample_server.verb='3'
openvpn.sample_client=openvpn
openvpn.sample_client.enabled='0'
openvpn.sample_client.client='1'
openvpn.sample_client.dev='tun'
openvpn.sample_client.proto='udp'
openvpn.sample_client.remote='my_server_1 1194'
openvpn.sample_client.resolv_retry='infinite'
openvpn.sample_client.nobind='1'
openvpn.sample_client.persist_key='1'
openvpn.sample_client.persist_tun='1'
openvpn.sample_client.ca='/etc/openvpn/ca.crt'
openvpn.sample_client.cert='/etc/openvpn/client.crt'
openvpn.sample_client.key='/etc/openvpn/client.key'
openvpn.sample_client.comp_lzo='yes'
openvpn.sample_client.verb='3'
openvpn.myvpn=openvpn
openvpn.myvpn.config='/etc/openvpn/my-vpn.conf'
openvpn.myvpn.enable='1'klient
dev tap
proto tcp-client
remote 46.151.137.134 1195
resolv-retry infinite
nobind
mute-replay-warnings
secret secret.key
verb 3
floatNexxa to tplink mam przez lan.
To masz teraz dwa serwery DHCP w jednej podsieci. Wyłącz serwer dhcp w nexxie albo przepnij kabel w nexxie do WAN. Nie masz zdefiniowanego tap0 w /etc/config/network.
djmysia napisał/a:Nexxa to tplink mam przez lan.
To masz teraz dwa serwery DHCP w jednej podsieci. Wyłącz serwer dhcp w nexxie albo przepnij kabel w nexxie do WAN. Nie masz zdefiniowanego tap0 w /etc/config/network.
Możesz podać co mam wpisać w network ?
Tutaj to masz https://wiki.openwrt.org/doc/howto/vpn. … tap_server
Dziękuję za pomoc. Wszystko działa.
Dzień dobry,
Czy żeby korzystać z openVPN tylko jako client, muszę instalować wszystko wg tego poradnika ? czyli serwera również ?
https://eko.one.pl/?p=openwrt-openvpn
(chodzi o router gargoyle)
To czy to jest serwer czy klient to zależy od konfiguracji, realizuje to jeden i ten sam pakiet, więc tak, musisz zainstalować ten openvpn.
Strony Poprzednia 1 2 3 Następna
Zaloguj się lub zarejestruj by napisać odpowiedź
eko.one.pl → Oprogramowanie / Software → Problem z konfiguracją OpenVPN
Forum oparte o PunBB, wspierane przez Informer Technologies, Inc