1 Temat przez tmsx (edytowany przez tmsx 2017-10-30 22:01:08)

  • tmsx
  • tmsx
  • Użytkownik
  • Nieaktywny
  • Skąd: Nord
  • Zarejestrowany: 2008-12-10
  • Posty: 88

Temat: OpenVPN - dostęp do LAN

Witajcie,

mam problem z konfiguracją OpenVPN pod LEDE 17...
A dokładniej, jestem w stanie podłączyć się do VPNa ale mam dostęp tylko do routera (czyli 10.8.0.1) ale bez dostępu do sieci LAN (czyli podsieć 192.168.x.x).
Posiłkowałem się m.in kursem Cezarego https://eko.one.pl/?p=openwrt-openvpntun ale niestety bez sukcesu.

Sprawę komplikuje (?) fakt, że ten router pracuje w trybie relay (=access point bez routingu - brak sekcji WAN) więc usługi firewall i dnsmasq są na nim wyłączone.

Oto moja konfiguracja:

/etc/config/network

...
config interface 'vpn0'
        option ifname 'tun0'
        option proto 'none'
        option auto '1'
...

/etc/config/openvpn

...
config openvpn sample_server
        option enabled 1
        option port 1194
        option proto udp
        option dev tun0
        option ca /etc/openvpn/ca.crt
        option cert /etc/openvpn/server.crt
        option key /etc/openvpn/server.key
        option dh /etc/openvpn/dh2048.pem
        option server "10.8.0.0 255.255.255.0"
        option ifconfig_pool_persist /tmp/ipp.txt
        list push "redirect-gateway def1"
        option keepalive "10 120"
        option compress lzo
        option persist_key 1
        option persist_tun 1
        option user nobody
        option status /tmp/openvpn-status.log
        option verb 3
...


Próbowałem też włączyć firewalla z taką konfiguracją:

/etc/config/firewall

...
config rule 'Allow_OpenVPN_Inbound'
        option target 'ACCEPT'
        option src '*'
        option proto 'udp'
        option dest_port '1194'

config zone 'vpn'
        option name 'vpn'
        option network 'vpn0'
        option input 'ACCEPT'
        option forward 'ACCEPT'
        option output 'ACCEPT'
        option masq '1'

config forwarding 'vpn_forwarding_lan_in'
        option src 'vpn'
        option dest 'lan'

config forwarding 'vpn_forwarding_lan_out'
        option src 'lan'
        option dest 'vpn'
...

Niestety to też nie pomogło sad

Co ciekawe na malinie OpenVPN z tą samą konfiguracją śmiga aż miło ale z 2 dodatkowymi ustawieniami:
- echo 1 > /proc/sys/net/ipv4/ip_forward
- iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Wydaje mi się, że na LEDE jest problem z maskaradą właśnie i nie jestem pewien czy muszę dlatego włączyć firewalla? Tylko jak go skonfigurować wtedy dla trybu 'relay/access point bez routingu' gdzie nie ma sekcji wan? A może źle mi sie wydaje i chodzi o coś w konfiguracji openvpn?

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,928

Odp: OpenVPN - dostęp do LAN

Router nie ma nata, ale tu robiąc drugą sieć z vpn musisz takiego nata/maskaradę/routing zrobić pomiędzy vpn a reszta sieci (lan) jeżeli chcesz mieć dostęp.

Zastanawia mnie dlaczego zrobiłem openvpn właśnie na ten maszynce. Ona nie jest gatewayem, więc następny post jaki napiszesz będzie zaraz "ojej, zrobiłem openvpn ale urządzenia z lanu nie chcą rozmawiać mi z openvpn?". A przyczyną będzie własnie brak trasy do vpn i ustawienie na urządzeniach innego gatewaya. Czemu sobie tak utrudniasz sprawę stawiają oopenvpn tutaj a nie na gatewayu?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez tmsx

  • tmsx
  • tmsx
  • Użytkownik
  • Nieaktywny
  • Skąd: Nord
  • Zarejestrowany: 2008-12-10
  • Posty: 88

Odp: OpenVPN - dostęp do LAN

Cześć Cezary,
dzięki za odpowiedź.

NAT odpada bo to jest ciągle ta sama podsieć, czyli rozumiem ze maskarada?

Tylko ja w ustawieniach firewalla mam takie coś

config zone 'vpn'
        option name 'vpn'
        option network 'vpn0'
        option input 'ACCEPT'
        option forward 'ACCEPT'
        option output 'ACCEPT'
        option masq '1'

masq 1 - myślałem, że robi robotę?

Czy powinienem dodać jeszcze do bridga lan ten interfejs vpn0?

Czyli:
/etc/config/network

config interface 'lan'
...
        option type 'bridge'
        option ifname 'eth0.1 vpn0'
...

Cezary napisał/a:

Czemu sobie tak utrudniasz sprawę stawiają openvpn tutaj a nie na gatewayu?

Brama to rzecz święta, musi działać. A na tym, jak widzisz, eksperymentuje, jego uptime to max 1h smile
Poza tym za bramę robi stockowy tp-link z hardware'owym NATem więc nawet nie ma jak tam się dostać.
Kolejnego posta nie będzie bo klienci VPN nie muszą być osiągalni z LAN.

4 Odpowiedź przez tmsx (edytowany przez tmsx 2017-11-01 22:32:53)

  • tmsx
  • tmsx
  • Użytkownik
  • Nieaktywny
  • Skąd: Nord
  • Zarejestrowany: 2008-12-10
  • Posty: 88

Odp: OpenVPN - dostęp do LAN

tmsx napisał/a:

Czy powinienem dodać jeszcze do bridga lan ten interfejs vpn0?

Próbowałem dodać i vpn i tun0 i niestety nadal klient VPN nie ma dostępu do LAN.
Próbowałem też ręcznie dodać regułę maskarady przez iptables i też lipa.

moje iptables:

[root@r3p:/root]#iptables -L -v
Chain INPUT (policy ACCEPT 185 packets, 22455 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  tun+   any     anywhere             anywhere

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
  173  168K ACCEPT     all  --  any    tun+    anywhere             anywhere
  116 12188 ACCEPT     all  --  tun+   any     anywhere             anywhere

Chain OUTPUT (policy ACCEPT 300 packets, 201K bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  any    tun+    anywhere             anywhere

[root@r3p:/root]#iptables -t nat -L -v
Chain PREROUTING (policy ACCEPT 71 packets, 11159 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain INPUT (policy ACCEPT 2 packets, 1601 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 14 packets, 840 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 14 packets, 840 bytes)
 pkts bytes target     prot opt in     out     source               destination
   29  3163 MASQUERADE  all  --  any    br-lan  10.8.0.0/24          anywhere

routing:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         192.168.11.1    0.0.0.0         UG    0      0        0 br-lan
10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun0
10.8.0.2        *               255.255.255.255 UH    0      0        0 tun0
192.168.11.0    *               255.255.255.0   U     0      0        0 br-lan

ifconfig:

br-lan    Link encap:Ethernet  HWaddr xxxxxxxxxxxxxx
          inet addr:192.168.11.2  Bcast:192.168.11.255  Mask:255.255.255.0
           ...

eth0      Link encap:Ethernet  HWaddr xxxxxxxxxxxxxxx
          inet6 addr: fe80::7a11:dcff:fe00:860/64 Scope:Link
          ...

eth0.1    Link encap:Ethernet  HWaddr xxxxxxxxxxxxxxxxxx
          ...

lo        ...

ra0      ...

rai0     ...

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:1332 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1477 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:135129 (131.9 KiB)  TX bytes:1375301 (1.3 MiB)

Pomocy...

5 Odpowiedź przez tmsx

  • tmsx
  • tmsx
  • Użytkownik
  • Nieaktywny
  • Skąd: Nord
  • Zarejestrowany: 2008-12-10
  • Posty: 88

Odp: OpenVPN - dostęp do LAN

Udało mi się skonfigurować prawidłowo firewalla do puszczenia tego ruchu (można to wyklikać z LUCI).

zostawiam dla potomnych mój konfig:

config defaults
        option input 'ACCEPT'
        option output 'ACCEPT'
        option syn_flood '1'
        option forward 'ACCEPT'

config zone
        option name 'lan'
        list network 'lan'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'
        list masq_src '10.8.0.0/24'
        option masq '1'