FAQ o OpenWrt | Sprzedam różne routery | Oddam

r43k3n · 2017-09-11 21:25:53

r43k3n
Użytkownik
Nieaktywny

Zarejestrowany: 2017-02-01
Posty: 284

Temat: OpenVPN - Brak dostępu do urządzeń za LAN-em.

Witam,

Posiadam poprawnie (tak mnie się wydaje) skonfigurowane OpenVPN do łączenia tunelowanego na LEDE. Z jakiegoś powodu nadal nie jestem w stanie ani pingować ani połączyć się z urządzeniami w LAN-ie.

Moje confingi:

config interface 'vpn'
    option ifname 'tun0'
    option proto 'none'

config openvpn 'home'
    option enabled '1'
    option dev 'tun'
    option proto 'udp'
    option port '1194'    
    option log '/mnt/sda3/log/openvpn.log'
    option verb '3'
    option ca '/etc/openvpn/ca.crt'
    option cert '/etc/openvpn/serwer.crt'
    option key '/etc/openvpn/serwer.key'
    option dh '/etc/openvpn/dh2048.pem'
    option max_clients '5'
    option client_to_client '1'
    option keepalive '10 120'
    option cipher 'AES-256-CBC'
    option persist_tun '1'
    option persist_key '1'
    option fast_io 'on'
    option comp_lzo 'adaptive'
    list push 'comp_lzo adaptive'
    option server '10.8.0.0 255.255.255.0'    
    list push 'route 192.168.2.0 255.255.255.0'
    list push 'redirect-gateway def1'
    list push 'dhcp-option WINS 192.168.2.1'

config zone
    option name 'vpn'
    option input 'ACCEPT'
    option forward 'ACCEPT'
    option output 'ACCEPT'
    option network 'vpn'
    option masq '1'

config forwarding
    option src 'vpn'
    option dest 'wan'

config rule
    option name 'LEDE'
    option target 'ACCEPT'
    option src 'wan'
    option proto 'udp'
    option dest_port '1194'

config forwarding
    option src 'vpn'
    option dest 'lan'

Log z OpenVPN:

root@C2600_LEDE:~# cat /mnt/sda3/log/openvpn.log
Sat Sep  9 22:02:51 2017 OpenVPN 2.4.3 arm-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD]
Sat Sep  9 22:02:51 2017 library versions: OpenSSL 1.0.2k  26 Jan 2017, LZO 2.09
Sat Sep  9 22:02:51 2017 Diffie-Hellman initialized with 2048 bit key
Sat Sep  9 22:02:51 2017 TUN/TAP device tun0 opened
Sat Sep  9 22:02:51 2017 TUN/TAP TX queue length set to 100
Sat Sep  9 22:02:51 2017 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Sat Sep  9 22:02:51 2017 /sbin/ifconfig tun0 10.8.0.1 pointopoint 10.8.0.2 mtu 1500
Sat Sep  9 22:02:51 2017 /sbin/route add -net 10.8.0.0 netmask 255.255.255.0 gw 10.8.0.2
Sat Sep  9 22:02:51 2017 Could not determine IPv4/IPv6 protocol. Using AF_INET
Sat Sep  9 22:02:51 2017 Socket Buffers: R=[163840->163840] S=[163840->163840]
Sat Sep  9 22:02:51 2017 UDPv4 link local (bound): [AF_INET][undef]:1194
Sat Sep  9 22:02:51 2017 UDPv4 link remote: [AF_UNSPEC]
Sat Sep  9 22:02:51 2017 MULTI: multi_init called, r=256 v=256
Sat Sep  9 22:02:51 2017 IFCONFIG POOL: base=10.8.0.4 size=62, ipv6=0
Sat Sep  9 22:02:51 2017 Initialization Sequence Completed
Mon Sep 11 22:07:29 2017 94.254.148.82:35208 TLS: Initial packet from [AF_INET]94.254.148.82:35208, sid=e3a27b9c bd3666e6
Mon Sep 11 22:07:30 2017 94.254.148.82:35208 VERIFY OK: depth=1, C=PL, ST=Subcarpathian, L=RzeszÃow, O=Home, OU=Home, CN=LEDE Server, name=Router, emailAddress=adrian@draus.pl
Mon Sep 11 22:07:30 2017 94.254.148.82:35208 VERIFY OK: depth=0, C=PL, ST=Subcarpathian, L=Rzeszow, O=Home, OU=Home, CN=Adrian-ASUS, name=Router, emailAddress=adrian@draus.pl
Mon Sep 11 22:07:30 2017 94.254.148.82:35208 peer info: IV_VER=2.4.3
Mon Sep 11 22:07:30 2017 94.254.148.82:35208 peer info: IV_PLAT=win
Mon Sep 11 22:07:30 2017 94.254.148.82:35208 peer info: IV_PROTO=2
Mon Sep 11 22:07:30 2017 94.254.148.82:35208 peer info: IV_NCP=2
Mon Sep 11 22:07:30 2017 94.254.148.82:35208 peer info: IV_LZ4=1
Mon Sep 11 22:07:30 2017 94.254.148.82:35208 peer info: IV_LZ4v2=1
Mon Sep 11 22:07:30 2017 94.254.148.82:35208 peer info: IV_LZO=1
Mon Sep 11 22:07:30 2017 94.254.148.82:35208 peer info: IV_COMP_STUB=1
Mon Sep 11 22:07:30 2017 94.254.148.82:35208 peer info: IV_COMP_STUBv2=1
Mon Sep 11 22:07:30 2017 94.254.148.82:35208 peer info: IV_TCPNL=1
Mon Sep 11 22:07:30 2017 94.254.148.82:35208 peer info: IV_GUI_VER=OpenVPN_GUI_11
Mon Sep 11 22:07:30 2017 94.254.148.82:35208 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Mon Sep 11 22:07:30 2017 94.254.148.82:35208 [Adrian-ASUS] Peer Connection Initiated with [AF_INET]94.254.148.82:35208
Mon Sep 11 22:07:30 2017 Adrian-ASUS/94.254.148.82:35208 MULTI_sva: pool returned IPv4=10.8.0.6, IPv6=(Not enabled)
Mon Sep 11 22:07:30 2017 Adrian-ASUS/94.254.148.82:35208 MULTI: Learn: 10.8.0.6 -> Adrian-ASUS/94.254.148.82:35208
Mon Sep 11 22:07:30 2017 Adrian-ASUS/94.254.148.82:35208 MULTI: primary virtual IP for Adrian-ASUS/94.254.148.82:35208: 10.8.0.6
Mon Sep 11 22:07:31 2017 Adrian-ASUS/94.254.148.82:35208 PUSH: Received control message: 'PUSH_REQUEST'
Mon Sep 11 22:07:31 2017 Adrian-ASUS/94.254.148.82:35208 SENT CONTROL [Adrian-ASUS]: 'PUSH_REPLY,comp_lzo adaptive,route 192.168.2.0 255.255.255.0,redirect-gateway def1,dhcp-option WINS 192.168.2.1,route 10.8.0.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5,peer-id 0,cipher AES-256-GCM' (status=1)
Mon Sep 11 22:07:31 2017 Adrian-ASUS/94.254.148.82:35208 Data Channel: using negotiated cipher 'AES-256-GCM'
Mon Sep 11 22:07:31 2017 Adrian-ASUS/94.254.148.82:35208 Data Channel Encrypt: Cipher 'AES-256-GCM' initialized with 256 bit key
Mon Sep 11 22:07:31 2017 Adrian-ASUS/94.254.148.82:35208 Data Channel Decrypt: Cipher 'AES-256-GCM' initialized with 256 bit key
Mon Sep 11 22:16:16 2017 Adrian-ASUS/94.254.148.82:35208 [Adrian-ASUS] Inactivity timeout (--ping-restart), restarting
Mon Sep 11 22:16:16 2017 Adrian-ASUS/94.254.148.82:35208 SIGUSR1[soft,ping-restart] received, client-instance restarting
Mon Sep 11 22:18:03 2017 94.254.148.82:35208 TLS: Initial packet from [AF_INET]94.254.148.82:35208, sid=8e9f6ba1 25c1b8eb
Mon Sep 11 22:18:03 2017 94.254.148.82:35208 VERIFY OK: depth=1, C=PL, ST=Subcarpathian, L=RzeszÃow, O=Home, OU=Home, CN=LEDE Server, name=Router, emailAddress=adrian@draus.pl
Mon Sep 11 22:18:03 2017 94.254.148.82:35208 VERIFY OK: depth=0, C=PL, ST=Subcarpathian, L=Rzeszow, O=Home, OU=Home, CN=Adrian-ASUS, name=Router, emailAddress=adrian@draus.pl
Mon Sep 11 22:18:04 2017 94.254.148.82:35208 peer info: IV_VER=2.4.3
Mon Sep 11 22:18:04 2017 94.254.148.82:35208 peer info: IV_PLAT=win
Mon Sep 11 22:18:04 2017 94.254.148.82:35208 peer info: IV_PROTO=2
Mon Sep 11 22:18:04 2017 94.254.148.82:35208 peer info: IV_NCP=2
Mon Sep 11 22:18:04 2017 94.254.148.82:35208 peer info: IV_LZ4=1
Mon Sep 11 22:18:04 2017 94.254.148.82:35208 peer info: IV_LZ4v2=1
Mon Sep 11 22:18:04 2017 94.254.148.82:35208 peer info: IV_LZO=1
Mon Sep 11 22:18:04 2017 94.254.148.82:35208 peer info: IV_COMP_STUB=1
Mon Sep 11 22:18:04 2017 94.254.148.82:35208 peer info: IV_COMP_STUBv2=1
Mon Sep 11 22:18:04 2017 94.254.148.82:35208 peer info: IV_TCPNL=1
Mon Sep 11 22:18:04 2017 94.254.148.82:35208 peer info: IV_GUI_VER=OpenVPN_GUI_11
Mon Sep 11 22:18:04 2017 94.254.148.82:35208 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Mon Sep 11 22:18:04 2017 94.254.148.82:35208 [Adrian-ASUS] Peer Connection Initiated with [AF_INET]94.254.148.82:35208
Mon Sep 11 22:18:04 2017 Adrian-ASUS/94.254.148.82:35208 MULTI_sva: pool returned IPv4=10.8.0.6, IPv6=(Not enabled)
Mon Sep 11 22:18:04 2017 Adrian-ASUS/94.254.148.82:35208 MULTI: Learn: 10.8.0.6 -> Adrian-ASUS/94.254.148.82:35208
Mon Sep 11 22:18:04 2017 Adrian-ASUS/94.254.148.82:35208 MULTI: primary virtual IP for Adrian-ASUS/94.254.148.82:35208: 10.8.0.6
Mon Sep 11 22:18:05 2017 Adrian-ASUS/94.254.148.82:35208 PUSH: Received control message: 'PUSH_REQUEST'
Mon Sep 11 22:18:05 2017 Adrian-ASUS/94.254.148.82:35208 SENT CONTROL [Adrian-ASUS]: 'PUSH_REPLY,comp_lzo adaptive,route 192.168.2.0 255.255.255.0,redirect-gateway def1,dhcp-option WINS 192.168.2.1,route 10.8.0.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5,peer-id 0,cipher AES-256-GCM' (status=1)
Mon Sep 11 22:18:05 2017 Adrian-ASUS/94.254.148.82:35208 Data Channel: using negotiated cipher 'AES-256-GCM'
Mon Sep 11 22:18:05 2017 Adrian-ASUS/94.254.148.82:35208 Data Channel Encrypt: Cipher 'AES-256-GCM' initialized with 256 bit key
Mon Sep 11 22:18:05 2017 Adrian-ASUS/94.254.148.82:35208 Data Channel Decrypt: Cipher 'AES-256-GCM' initialized with 256 bit key

Pomoże mi ktoś odnaleźć problem?
Konfigurowane według tego poradnika: http://eko.one.pl/?p=openwrt-openvpntun

Cezary · 2017-09-11 21:33:15

Cezary
...
Nieaktywny

Skąd: Warszawa
Zarejestrowany: 2006-02-25
Posty: 116,075

Odp: OpenVPN - Brak dostępu do urządzeń za LAN-em.

Klient ma poprawnie ustawioną adresację ( 192.168.2.x) i ma gatewaya ustawionego na 192.168.2.1?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

r43k3n · 2017-09-11 21:35:55

r43k3n
Użytkownik
Nieaktywny

Zarejestrowany: 2017-02-01
Posty: 284

Odp: OpenVPN - Brak dostępu do urządzeń za LAN-em.

Tu jest LOG z klienta

 Mon Sep 11 22:32:02 2017 OpenVPN 2.4.3 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Jun 20 2017
Mon Sep 11 22:32:02 2017 Windows version 6.1 (Windows 7) 64bit
Mon Sep 11 22:32:02 2017 library versions: OpenSSL 1.0.2l  25 May 2017, LZO 2.10
Enter Management Password:
Mon Sep 11 22:32:02 2017 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Mon Sep 11 22:32:02 2017 Need hold release from management interface, waiting...
Mon Sep 11 22:32:03 2017 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Mon Sep 11 22:32:03 2017 MANAGEMENT: CMD 'state on'
Mon Sep 11 22:32:03 2017 MANAGEMENT: CMD 'log all on'
Mon Sep 11 22:32:03 2017 MANAGEMENT: CMD 'echo all on'
Mon Sep 11 22:32:03 2017 MANAGEMENT: CMD 'hold off'
Mon Sep 11 22:32:03 2017 MANAGEMENT: CMD 'hold release'
Mon Sep 11 22:32:03 2017 MANAGEMENT: >STATE:1505161923,RESOLVE,,,,,,
Mon Sep 11 22:32:03 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]87.206.58.36:1194
Mon Sep 11 22:32:03 2017 Socket Buffers: R=[8192->8192] S=[8192->8192]
Mon Sep 11 22:32:03 2017 UDP link local (bound): [AF_INET][undef]:1194
Mon Sep 11 22:32:03 2017 UDP link remote: [AF_INET]87.206.58.36:1194
Mon Sep 11 22:32:03 2017 MANAGEMENT: >STATE:1505161923,WAIT,,,,,,
Mon Sep 11 22:32:03 2017 MANAGEMENT: >STATE:1505161923,AUTH,,,,,,
Mon Sep 11 22:32:03 2017 TLS: Initial packet from [AF_INET]87.206.58.36:1194, sid=0224194d 9821c5b0
Mon Sep 11 22:32:04 2017 VERIFY OK: depth=1, C=PL, ST=Subcarpathian, L=RzeszÃow, O=Home, OU=Home, CN=LEDE Server, name=Router, emailAddress=adrian@draus.pl
Mon Sep 11 22:32:04 2017 VERIFY KU OK
Mon Sep 11 22:32:04 2017 Validating certificate extended key usage
Mon Sep 11 22:32:04 2017 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Mon Sep 11 22:32:04 2017 VERIFY EKU OK
Mon Sep 11 22:32:04 2017 VERIFY OK: depth=0, C=PL, ST=Subcarpathian, L=Rzeszow, O=Home, OU=Home, CN=LEDE Server, name=Router, emailAddress=adrian@draus.pl
Mon Sep 11 22:32:04 2017 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Mon Sep 11 22:32:04 2017 [LEDE Server] Peer Connection Initiated with [AF_INET]87.206.58.36:1194
Mon Sep 11 22:32:05 2017 MANAGEMENT: >STATE:1505161925,GET_CONFIG,,,,,,
Mon Sep 11 22:32:05 2017 SENT CONTROL [LEDE Server]: 'PUSH_REQUEST' (status=1)
Mon Sep 11 22:32:05 2017 PUSH: Received control message: 'PUSH_REPLY,comp_lzo adaptive,route 192.168.2.0 255.255.255.0,redirect-gateway def1,dhcp-option WINS 192.168.2.1,route 10.8.0.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5,peer-id 0,cipher AES-256-GCM'
Mon Sep 11 22:32:05 2017 Options error: Unrecognized option or missing or extra parameter(s) in [PUSH-OPTIONS]:1: comp_lzo (2.4.3)
Mon Sep 11 22:32:05 2017 OPTIONS IMPORT: timers and/or timeouts modified
Mon Sep 11 22:32:05 2017 OPTIONS IMPORT: --ifconfig/up options modified
Mon Sep 11 22:32:05 2017 OPTIONS IMPORT: route options modified
Mon Sep 11 22:32:05 2017 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Mon Sep 11 22:32:05 2017 OPTIONS IMPORT: peer-id set
Mon Sep 11 22:32:05 2017 OPTIONS IMPORT: adjusting link_mtu to 1625
Mon Sep 11 22:32:05 2017 OPTIONS IMPORT: data channel crypto options modified
Mon Sep 11 22:32:05 2017 Data Channel: using negotiated cipher 'AES-256-GCM'
Mon Sep 11 22:32:05 2017 Data Channel Encrypt: Cipher 'AES-256-GCM' initialized with 256 bit key
Mon Sep 11 22:32:05 2017 Data Channel Decrypt: Cipher 'AES-256-GCM' initialized with 256 bit key
Mon Sep 11 22:32:05 2017 interactive service msg_channel=0
Mon Sep 11 22:32:05 2017 ROUTE_GATEWAY 192.168.43.1/255.255.255.0 I=12 HWADDR=b4:74:9f:73:59:3f
Mon Sep 11 22:32:05 2017 open_tun
Mon Sep 11 22:32:05 2017 TAP-WIN32 device [Połączenie lokalne 2] opened: \\.\Global\{B27F8D92-85C1-4CD6-A527-11DDE6343F90}.tap
Mon Sep 11 22:32:05 2017 TAP-Windows Driver Version 9.21 
Mon Sep 11 22:32:05 2017 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {B27F8D92-85C1-4CD6-A527-11DDE6343F90} [DHCP-serv: 10.8.0.5, lease-time: 31536000]
Mon Sep 11 22:32:05 2017 Successful ARP Flush on interface [16] {B27F8D92-85C1-4CD6-A527-11DDE6343F90}
Mon Sep 11 22:32:05 2017 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Mon Sep 11 22:32:05 2017 MANAGEMENT: >STATE:1505161925,ASSIGN_IP,,10.8.0.6,,,,
Mon Sep 11 22:32:10 2017 TEST ROUTES: 3/3 succeeded len=2 ret=1 a=0 u/d=up
Mon Sep 11 22:32:10 2017 C:\Windows\system32\route.exe ADD 87.206.58.36 MASK 255.255.255.255 192.168.43.1
Mon Sep 11 22:32:10 2017 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=25 and dwForwardType=4
Mon Sep 11 22:32:10 2017 Route addition via IPAPI succeeded [adaptive]
Mon Sep 11 22:32:10 2017 C:\Windows\system32\route.exe ADD 0.0.0.0 MASK 128.0.0.0 10.8.0.5
Mon Sep 11 22:32:10 2017 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=20 and dwForwardType=4
Mon Sep 11 22:32:10 2017 Route addition via IPAPI succeeded [adaptive]
Mon Sep 11 22:32:10 2017 C:\Windows\system32\route.exe ADD 128.0.0.0 MASK 128.0.0.0 10.8.0.5
Mon Sep 11 22:32:10 2017 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=20 and dwForwardType=4
Mon Sep 11 22:32:10 2017 Route addition via IPAPI succeeded [adaptive]
Mon Sep 11 22:32:10 2017 MANAGEMENT: >STATE:1505161930,ADD_ROUTES,,,,,,
Mon Sep 11 22:32:10 2017 C:\Windows\system32\route.exe ADD 192.168.2.0 MASK 255.255.255.0 10.8.0.5
Mon Sep 11 22:32:10 2017 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=20 and dwForwardType=4
Mon Sep 11 22:32:10 2017 Route addition via IPAPI succeeded [adaptive]
Mon Sep 11 22:32:10 2017 C:\Windows\system32\route.exe ADD 10.8.0.0 MASK 255.255.255.0 10.8.0.5
Mon Sep 11 22:32:10 2017 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=20 and dwForwardType=4
Mon Sep 11 22:32:10 2017 Route addition via IPAPI succeeded [adaptive]
Mon Sep 11 22:32:10 2017 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Mon Sep 11 22:32:10 2017 Initialization Sequence Completed
Mon Sep 11 22:32:10 2017 MANAGEMENT: >STATE:1505161930,CONNECTED,SUCCESS,10.8.0.6,87.206.58.36,1194,,

IP: 10.8.0.6
DHCP: 10.8.0.5
WINS: 192.168.2.1

Czy pakiet BCP38 może powodować konflikt?

r43k3n · 2017-09-11 21:49:01

r43k3n
Użytkownik
Nieaktywny

Zarejestrowany: 2017-02-01
Posty: 284

Odp: OpenVPN - Brak dostępu do urządzeń za LAN-em.

Jakieś pomysły?

xury · 2017-09-11 21:50:43

xury
Użytkownik
Nieaktywny

Zarejestrowany: 2010-05-18
Posty: 503

Odp: OpenVPN - Brak dostępu do urządzeń za LAN-em.

U mnie lan za serwerem jest dostępny. Tylko mam problem z lanem za klientem.
Dwa posty niżej masz konfigi

r43k3n · 2017-09-11 21:52:58

r43k3n
Użytkownik
Nieaktywny

Zarejestrowany: 2017-02-01
Posty: 284

Odp: OpenVPN - Brak dostępu do urządzeń za LAN-em.

Nie widzę co jest u mnie w konfiguracji nie tak.
Jakieś wskazówki?

mar_w · 2017-09-11 21:59:29

mar_w
Użytkownik
Nieaktywny

Zarejestrowany: 2014-08-16
Posty: 2,124

Odp: OpenVPN - Brak dostępu do urządzeń za LAN-em.

A może to:
serwer:
...
option cipher 'AES-256-CBC'
...
klient:
...
Mon Sep 11 22:32:05 2017 Data Channel: using negotiated cipher 'AES-256-GCM'
...
Czy napewno gadają ze sobą ???

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

r43k3n · 2017-09-11 22:04:28

r43k3n
Użytkownik
Nieaktywny

Zarejestrowany: 2017-02-01
Posty: 284

Odp: OpenVPN - Brak dostępu do urządzeń za LAN-em.

W konfiguracji klienta i serwera jest AES-256-CBC

r43k3n · 2017-09-11 22:27:53

r43k3n
Użytkownik
Nieaktywny

Zarejestrowany: 2017-02-01
Posty: 284

Odp: OpenVPN - Brak dostępu do urządzeń za LAN-em.

NAPRAWIŁEM!

Błąd był w konfiguracji SERWERA OpenVPN na LEDE. W tym miejscu:

option dev 'tun'

powinno być (zgonie z tym co w /etc/config/network):

option dev 'tun0'

Co ciekawe na OpenWRT nie robiło to żadnej różnicy. Konfiguracja z pierwszego postu tam działała prawidłowo. W kwestii wyjaśnienia, sam tunel działał prawidłowo, jedynie sieć lokalna za routerem nie była dostępna. Po wprowadzeniu tej poprawki nadal jednak nie mogę pingować urządzeń w LAN-ie z poziomu tunelu OpenVPN.

Jeszcze informacja na marginesie. W przypadku programu Norton Security (tak samo NAV, NIS, NSWB, N360) należy dodać odpowiednią regułę w Firewall pozwalającą na ruch w adresie 10.8.0.0 i masce 255.255.255.0 by można było uzyskać dostęp do sieci lokalnej za routerem. Odpowiednia poprawka jest również wymagana w przypadku Zapory Windows (jeżeli ktoś używa) na urządzeniu, do którego zasobów chcemy się dostać. Kiedyś tutaj na forum rozpisałem te wszystkie szczegóły.

@Cezary - Być może zechciałbyś wprowadzić poprawkę do twojego poradnika: http://eko.one.pl/?p=openwrt-openvpntun

Dziękuję wszystkim za pomoc.

xury · 2017-09-11 22:55:04

xury
Użytkownik
Nieaktywny

Zarejestrowany: 2010-05-18
Posty: 503

Odp: OpenVPN - Brak dostępu do urządzeń za LAN-em.

ja mam dev tun i działa.

r43k3n · 2017-09-12 00:02:24

r43k3n
Użytkownik
Nieaktywny

Zarejestrowany: 2017-02-01
Posty: 284

Odp: OpenVPN - Brak dostępu do urządzeń za LAN-em.

Wiem, widziałem twoje confingi.
Przypadkiem na to trafiłem na forum.lede-project.org.

U mnie akurat musi być tun0. Sprawdzałem to 3 razy dla pewności.
Może @Cezary rozjaśni trochę sytuację.

Cezary · 2017-09-12 05:28:00

Cezary
...
Nieaktywny

Skąd: Warszawa
Zarejestrowany: 2006-02-25
Posty: 116,075

Odp: OpenVPN - Brak dostępu do urządzeń za LAN-em.

Przy tun sam wybiera sobie interfejs (w sensie numeru kolejnego). Przy tun0 wskazałeś konkretny. Jeżeli na routerze jest tylko openvpn to można podać jawnie tun0, ale jeżeli masz coś innego (np. coova-chilli) to już nie wiesz który interfejs powstanie i musi być tun.

W sumie to trochę dziwne. Bo jak by to był problem z tym to raczej sam tunel by sprawiał problem lub by się nie uruchomił w ogóle. Nie ruszyłeś przy okazji czegoś innego? Wróć znów na tun i zobacz co z działaniem.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Wally · 2017-09-12 05:42:53

Wally
Użytkownik
Nieaktywny

Zarejestrowany: 2013-01-21
Posty: 202

Odp: OpenVPN - Brak dostępu do urządzeń za LAN-em.

A ja mam klienta i serwer i razem działały dopiero po jawnym podaniu tun0 i tun1 w konfigu. Jak było tylko tun, to działało losowo albo wcale.

Wally

r43k3n · 2017-09-12 15:33:03

r43k3n
Użytkownik
Nieaktywny

Zarejestrowany: 2017-02-01
Posty: 284

Odp: OpenVPN - Brak dostępu do urządzeń za LAN-em.

U mnie po podaniu samego tun, działał sam tunnel (IP publiczne takie jak na routerze) i internet również działał bardzo ładnie ale sieć lokalna leżała całkowicie. Natomiast po zmianie na tun0 wszystko działa jak należy, łącznie z siecią lokalną. Co prawda pingować urządzeń nadal się nie da ale nie pamiętam czy na OpenVPN było to możliwe.

Być może jest jakiś bug w najnowszym OpenVPN?

xury · 2017-09-13 11:52:57

xury
Użytkownik
Nieaktywny

Zarejestrowany: 2010-05-18
Posty: 503

Odp: OpenVPN - Brak dostępu do urządzeń za LAN-em.

Których urządzeń nie możesz pingować? Ja swoje problemy rozwiązałem.
Co prawda zrobiłem tak, że nie można pingować tunelowych IP klientów (10.8.0.x) jak i też ich lokalnych (np 192.168.4.1), ale to było zamierzone.
Można to zmienić poprzez konfigurację firewalla

Pingować za to można wszystkie lokalne z każdej podsieci, czyli każdy oprócz routerów-klientów jak napisałem wyżej.

r43k3n · 2017-09-13 17:05:04

r43k3n
Użytkownik
Nieaktywny

Zarejestrowany: 2017-02-01
Posty: 284

Odp: OpenVPN - Brak dostępu do urządzeń za LAN-em.

Z poziomu tunelu nie mogę pingować urządzeń po stronie routera w lanie.

xury · 2017-09-13 21:12:42

xury
Użytkownik
Nieaktywny

Zarejestrowany: 2010-05-18
Posty: 503

Odp: OpenVPN - Brak dostępu do urządzeń za LAN-em.

A możesz trochę dokładniej?
Z poziomu tunelu czyli ? Na kliencie (czyli np. laptop z OpenVPN), czy na kliencie (router jako klient}
Czy za klientem lub serwerem? I na jakie IP? Czy pingujesz IP końcówki tunelu (10.8.0.x) Czy IP maszyny za klientem lub serwerem? Czy też lokalne IP samego klienta lub serwera?

r43k3n · 2017-09-14 15:24:55

r43k3n
Użytkownik
Nieaktywny

Zarejestrowany: 2017-02-01
Posty: 284

Odp: OpenVPN - Brak dostępu do urządzeń za LAN-em.

No pewnie, że mogę.

Z poziomu tunelu, znaczy z laptopa podłączonego "z zewnątrz" (internet w telefonie) do serwera OpenVPN (Router LEDE) nie mogę pingować klientów w LAN-ie za routerem, np.: 192.168.2.102.

W drugą stronę nie pingowałem, nie miałem takiej możliwości fizycznej.

xury · 2017-09-14 16:19:23

xury
Użytkownik
Nieaktywny

Zarejestrowany: 2010-05-18
Posty: 503

Odp: OpenVPN - Brak dostępu do urządzeń za LAN-em.

Na serwerze ustaw forwarding z van na lan w /etc/config/firewall

r43k3n · 2017-09-14 16:48:56

r43k3n
Użytkownik
Nieaktywny

Zarejestrowany: 2017-02-01
Posty: 284

Odp: OpenVPN - Brak dostępu do urządzeń za LAN-em.

A to jak mam VPN na WAN i VPN na LAN to nie wystarczy?

xury · 2017-09-14 22:05:41

xury
Użytkownik
Nieaktywny

Zarejestrowany: 2010-05-18
Posty: 503

Odp: OpenVPN - Brak dostępu do urządzeń za LAN-em.

Sorry miałem napisać VPN a napisałem VAN.
Poniższa konfiguracja mi działa od wczoraj.
Ja mam tak na serwerze:

config rule
        option name 'Allow-OpenVPN-Inbound'
        option target 'ACCEPT'
        option src 'wan'
        option proto 'udp'
        option dest_port '1194'

config zone
        option name 'vpn'
        option input 'ACCEPT'
        option forward 'ACCEPT'
        option output 'ACCEPT'
        option masq '1'
        option network 'vpn0'

config forwarding
        option src 'vpn'
        option dest 'wan'

config forwarding
        option src 'vpn'
        option dest 'lan'

config forwarding
        option src 'lan'
        option dst 'vpn'

config forwarding
        option src 'vpn'
        option dest 'vpn'

config rule
        option target 'ACCEPT'
        option src 'wan'
        option proto 'tcp'
        option dest_port '22'
        option name 'SSH'

# Allow IPv4 ping
config rule
        option src              'vpn'
        option proto            icmp
        option icmp_type        echo-request
        option family           ipv4
        option target           ACCEPT

#Allow dns
config rule
       option src              'vpn'
       option proto            udp
       option dest_port        53
       option family       ipv4
      option target           ACCEPT

r43k3n · 2017-09-15 16:05:54

r43k3n
Użytkownik
Nieaktywny

Zarejestrowany: 2017-02-01
Posty: 284

Odp: OpenVPN - Brak dostępu do urządzeń za LAN-em.

OK, Dzięki.
Jak będę miał chwilę na weekendzie to popróbuję.

FAQ o OpenWrt | Sprzedam różne routery | Oddam

OpenVPN - Brak dostępu do urządzeń za LAN-em.

Posty: 22

1 Temat przez r43k3n 2017-09-11 21:25:53

Temat: OpenVPN - Brak dostępu do urządzeń za LAN-em.

2 Odpowiedź przez Cezary 2017-09-11 21:33:15

Odp: OpenVPN - Brak dostępu do urządzeń za LAN-em.

3 Odpowiedź przez r43k3n 2017-09-11 21:35:55

Odp: OpenVPN - Brak dostępu do urządzeń za LAN-em.

4 Odpowiedź przez r43k3n 2017-09-11 21:49:01

Odp: OpenVPN - Brak dostępu do urządzeń za LAN-em.

5 Odpowiedź przez xury 2017-09-11 21:50:43

Odp: OpenVPN - Brak dostępu do urządzeń za LAN-em.

6 Odpowiedź przez r43k3n 2017-09-11 21:52:58

Odp: OpenVPN - Brak dostępu do urządzeń za LAN-em.

7 Odpowiedź przez mar_w 2017-09-11 21:59:29

Odp: OpenVPN - Brak dostępu do urządzeń za LAN-em.

8 Odpowiedź przez r43k3n 2017-09-11 22:04:28

Odp: OpenVPN - Brak dostępu do urządzeń za LAN-em.

9 Odpowiedź przez r43k3n 2017-09-11 22:27:53 (edytowany przez r43k3n 2017-09-11 22:30:54)

Odp: OpenVPN - Brak dostępu do urządzeń za LAN-em.

10 Odpowiedź przez xury 2017-09-11 22:55:04

Odp: OpenVPN - Brak dostępu do urządzeń za LAN-em.

11 Odpowiedź przez r43k3n 2017-09-12 00:02:24 (edytowany przez r43k3n 2017-09-12 00:02:55)

Odp: OpenVPN - Brak dostępu do urządzeń za LAN-em.

12 Odpowiedź przez Cezary 2017-09-12 05:28:00

Odp: OpenVPN - Brak dostępu do urządzeń za LAN-em.

13 Odpowiedź przez Wally 2017-09-12 05:42:53

Odp: OpenVPN - Brak dostępu do urządzeń za LAN-em.

14 Odpowiedź przez r43k3n 2017-09-12 15:33:03

Odp: OpenVPN - Brak dostępu do urządzeń za LAN-em.

15 Odpowiedź przez xury 2017-09-13 11:52:57 (edytowany przez xury 2017-09-13 11:55:06)

Odp: OpenVPN - Brak dostępu do urządzeń za LAN-em.

16 Odpowiedź przez r43k3n 2017-09-13 17:05:04

Odp: OpenVPN - Brak dostępu do urządzeń za LAN-em.

17 Odpowiedź przez xury 2017-09-13 21:12:42

Odp: OpenVPN - Brak dostępu do urządzeń za LAN-em.

18 Odpowiedź przez r43k3n 2017-09-14 15:24:55

Odp: OpenVPN - Brak dostępu do urządzeń za LAN-em.

19 Odpowiedź przez xury 2017-09-14 16:19:23

Odp: OpenVPN - Brak dostępu do urządzeń za LAN-em.

20 Odpowiedź przez r43k3n 2017-09-14 16:48:56 (edytowany przez r43k3n 2017-09-14 16:49:07)

Odp: OpenVPN - Brak dostępu do urządzeń za LAN-em.

21 Odpowiedź przez xury 2017-09-14 22:05:41

Odp: OpenVPN - Brak dostępu do urządzeń za LAN-em.

22 Odpowiedź przez r43k3n 2017-09-15 16:05:54

Odp: OpenVPN - Brak dostępu do urządzeń za LAN-em.

Posty: 22