• Zarejestrowany: 2017-09-14
  • Posty: 65

Temat: VPN przy użyciu OpenWRT na drugim routerze

Mam problem związany z projektem sieci VPN, który chcę wykonać.

W tej chwili posiadam już skonfigurowany serwer OpenVPN na Tp-link 841N, który działa, łącze się z nim bez problemu i mam dostęp do komputerów nawzajem.
Chciałbym jednak dołączyć do mojego VPN całą sieć LAN, którą mam w domu rodzinnym.

Sieć do dołączenia składa się z Routera Huawei EchoLife HG8245H/HG8247H, który jest urządzeniem od dostawcy i nie mogę zmodyfikować tam oprogramowania (posiadam normalny dostęp do menu konfiguracyjnego).
Do tego mam router TP-LINK MR3420.

Routery są połączone ze sobą kablem, Tp-link gra rolę switcha (są one na 2 różnych piętrach, a zależy mi na tym, by urządzenia z dwóch pięter widziały się nawzajem).

Teraz pojawia się problem - jeżeli na MR3420 zainstaluje OpenWRT i Tp-link będzie tylko switchem (swoją drogą znów będę powtarzał zabawę z instalacją w RAM), to czy jestem w stanie osiągnąć efekt aby cała sieć była dołączona do VPN?

Na jednym z forów zaproponowano mi konfigurację odwrotną tj. Huawei jako switch, a DHCP na tp-linku. Czy jest to w ogóle możliwe? W tym wypadku rozumiem, że konfiguracja spełnia moje założenia, tj. cała sieć zostanie dołączona do VPN.

I czy do drugiej konfiguracji jestem w stanie dołożyć pomiędzy ruterami kolejnego switcha (typowego, gigabitowego switcha), bez utraty założonego efektu?

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,172

Odp: VPN przy użyciu OpenWRT na drugim routerze

Czy Huawei robi za bridge czy robi nata? Pewnie nata. Generalnie mr3420 ma za mało flash żebyś tam openvpn stawiał, bez extroota niewiele zrobisz. Możesz postawić to wewnątrz sieci, ale czeka cie trochę konfiguracji.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez Krukosz

  • Zarejestrowany: 2017-09-14
  • Posty: 65

Odp: VPN przy użyciu OpenWRT na drugim routerze

Huawei robi normalnie NATa.

Czyli co, da się tak zrobić, aby DHCP postawić na tp-linku a Huawei ustawić tylko jako switch?

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,172

Odp: VPN przy użyciu OpenWRT na drugim routerze

dhcp nie musi być na gateway, ważne tylko żeby odpowiednie dane dawał.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez Krukosz

  • Zarejestrowany: 2017-09-14
  • Posty: 65

Odp: VPN przy użyciu OpenWRT na drugim routerze

Czyli aby taka konfiguracja działała to należy skonfigurować rutery odwrotnie jak w konfiguracji router DHCP -> switch?
Tj.
Huawei: adres IP 192.168.1.2 (DHCP przykładowo leci od 100), wyłaczam DHCP
Tp-link adres IP 192.168.1.1, wlaczam DHCP

I to wszystko powinno wystarczyć? Adresy IP mam z podsieci 10.0.0.0/8, tutaj tylko podaje 192.168, bo łatwiej mi to zobrazować.

6 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,172

Odp: VPN przy użyciu OpenWRT na drugim routerze

Nie, to nie wystarczy. Jeszcze musisz skonfigurować dhcp żeby dawał 192.168.1.2 jako gatewaya (bo on jest bramą do internetu).

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

7 Odpowiedź przez c#Hunter

  • Zarejestrowany: 2017-10-16
  • Posty: 59

Odp: VPN przy użyciu OpenWRT na drugim routerze

Po pierwsze DHCP zostaw na Huawei, po drugie da rade zmieścić OpenVPN w obrazach Cezarego w 4MB. Aby to osiągnąć sciągasz .config od Cezarego do swojego routera (a w zasadzie przerabiasz go wywalając wszystkie inne niż twój z configu non usb). Potem kompilujesz samodzielnie dodając Network - VPN - openvpn-mbedtls (nie instalujesz openssl!) z konfigu Cezarego wywal obsługę paczek opkg bo i tak nic tam się po tym nie zmieści więcej wink No i będzie śmigać jak złoto na 4MB. Ostatnio kompilowałem tak dla WR743ND najnowsz snapshot LEDE. Jak coś moge Ci podesłać gotowy .config tylko napisz jaką wersje masz routerka.

8 Odpowiedź przez Krukosz

  • Zarejestrowany: 2017-09-14
  • Posty: 65

Odp: VPN przy użyciu OpenWRT na drugim routerze

A to da się zrobić, że openvpn działajacy na tylko drugim ruterze (który wg Twojej propozycji będzie tylko switchem) sprawi, że będę miał dostęp do całej sieci z zewnatrz?

9 Odpowiedź przez c#Hunter (edytowany przez c#Hunter 2017-11-10 22:48:38)

  • Zarejestrowany: 2017-10-16
  • Posty: 59

Odp: VPN przy użyciu OpenWRT na drugim routerze

Krukosz napisał/a:

A to da się zrobić, że openvpn działajacy na tylko drugim ruterze (który wg Twojej propozycji będzie tylko switchem) sprawi, że będę miał dostęp do całej sieci z zewnatrz?

Tak, jak chcesz mieć też broadcasty to musisz postawić interface TAP. Potem w konfiguracji servera dodajesz

push "route 192.169.0.0 255.255.255.0" - jeśli oczywiście twoja podsieć to 192.168.0.0 a maska /24, można dodać więcej niż jedną.

Edit i wymuś kodowanie AES128 wpisując w configu servera i klienta:
cipher AES-128-CBC -domyślnie jest bluefish który okazuje się wolniejszy na AR71xx.

BTW: Cezary jak to czytasz to czy w OpenVPN dla OpenWRT działa polecenie:

push "redirect-gateway def1 bypass-dhcp"??? Bo za cholerę nie mogę tego uruchomić hmm

10 Odpowiedź przez Krukosz (edytowany przez Krukosz 2017-11-12 23:10:07)

  • Zarejestrowany: 2017-09-14
  • Posty: 65

Odp: VPN przy użyciu OpenWRT na drugim routerze

OpenVPN postawiłem w RAMie - już mam opracowane pliki do instalacji i odpalania OVPN, wiec nie bawiłem się w modyfikacje obrazów.
I teraz tak:
1. Router-klient laczy sie z serwerem
2. Mogę pingować ten router z ovpn z innej lokalizacji, ale w obrębie VPN, mogę również się do niego zalogować
3. Router huawei już nie jest widoczny z VPN

VPN postawiony na tun (nie rozumiem "jeżeli chcesz mieć broadcasty")

Moja konfiguracja sieci klienckiej (10.20.92.0/24):
Sieć lan przy routerze-serwerze to 10.21.92.0/24
A podsieć dla VPN to 10.19.92.0/24

Internet -> Huawei (DHCP) 10.20.92.2 -> Gigabitowy switch ->TP-Link (klient, DHCP wylaczony), 10.20.92.1

Będac na miejscu wszystkie urzadzenia nawzajem miały łaczność.

Na forum znalazłem temat https://eko.one.pl/forum/viewtopic.php?id=13698

I teraz tak, konfiguracja serwera wyglada tak:

port 11194
proto udp
dev tun
mssfix 1000
fragment 1000
keepalive 10 120
status /tmp/openvpn-status.log
client-config-dir /etc/openvpn/ccd

mode server
tls-auth /etc/openvpn/server/ta.key 0
cipher AES-256-CBC
ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/server.crt
key /etc/openvpn/server/server.key
dh /etc/openvpn/server/dh2048.pem

server 10.19.92.0 255.255.255.0
ifconfig 10.19.92.1 255.255.255.0

route 10.20.92.0 255.255.255.0

push "route 10.19.92.0 255.255.255.0"
push "route 10.20.92.0 255.255.255.0"
push "route 10.21.92.0 255.255.255.0"
client-to-client

Plik ccd dla klienta wyglada tak:

ifconfig-push 10.19.92.9 10.19.92.10
iroute 10.20.92.0 255.255.255.0

firewall na kliencie wyglada tak (ogolnie konfig klienta jest linijka w linijke tożsamy z tutorialem:
https://wiki.openwrt.org/doc/howto/vpn. … tun_client

root@OpenWrt:~# cat /etc/config/firewall

config defaults
        option syn_flood '1'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'REJECT'

config zone
        option name 'lan'
        list network 'lan'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'

config zone
        option name 'wan'
        list network 'wan'
        list network 'wan6'
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option masq '1'
        option mtu_fix '1'

config forwarding
        option src 'lan'
        option dest 'wan'

config rule
        option name 'Allow-DHCP-Renew'
        option src 'wan'
        option proto 'udp'
        option dest_port '68'
        option target 'ACCEPT'
        option family 'ipv4'

config rule
        option name 'Allow-Ping'
        option src 'wan'
        option proto 'icmp'
        option icmp_type 'echo-request'
        option family 'ipv4'
        option target 'ACCEPT'

config rule
        option name 'Allow-IGMP'
        option src 'wan'
        option proto 'igmp'
        option family 'ipv4'
        option target 'ACCEPT'

config rule
        option name 'Allow-DHCPv6'
        option src 'wan'
        option proto 'udp'
        option src_ip 'fe80::/10'
        option src_port '547'
        option dest_ip 'fe80::/10'
        option dest_port '546'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-MLD'
        option src 'wan'
        option proto 'icmp'
        option src_ip 'fe80::/10'
        list icmp_type '130/0'
        list icmp_type '131/0'
        list icmp_type '132/0'
        list icmp_type '143/0'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Input'
        option src 'wan'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        list icmp_type 'router-solicitation'
        list icmp_type 'neighbour-solicitation'
        list icmp_type 'router-advertisement'
        list icmp_type 'neighbour-advertisement'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Forward'
        option src 'wan'
        option dest '*'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config include
        option path '/etc/firewall.user'

config rule
        option src 'wan'
        option dest 'lan'
        option proto 'esp'
        option target 'ACCEPT'

config rule
        option src 'wan'
        option dest 'lan'
        option dest_port '500'
        option proto 'udp'
        option target 'ACCEPT'

config zone 'vpn'
        option name 'vpn'
        option network 'vpn0'
        option input 'ACCEPT'
        option forward 'REJECT'
        option output 'ACCEPT'
        option masq '1'

config forwarding 'vpn_forwarding_lan_in'
        option src 'vpn'
        option dest 'lan'

config forwarding 'vpn_forwarding_lan_out'
        option src 'lan'
        option dest 'vpn'

11 Odpowiedź przez khain

  • khain
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-09-15
  • Posty: 328

Odp: VPN przy użyciu OpenWRT na drugim routerze

Masz źle routing zrobiony. Klient ma podsieć 10.20.92.0/24 za sobą, a serwer wysyła info, że ta podsieć jest za serwerem (push route). Nie wysyłaj również routingu do podsieci tunelu - ta jest "directly connected" dla serwera i klienta.

TP-Link TL-WDR3600 v1.5 -  OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163  +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7

12 Odpowiedź przez Krukosz

  • Zarejestrowany: 2017-09-14
  • Posty: 65

Odp: VPN przy użyciu OpenWRT na drugim routerze

Czyli z konfiguracji serwera usunąć linijki

push "route 10.19.92.0 255.255.255.0"
push "route 10.20.92.0 255.255.255.0"

Czy również też

route 10.20.92.0 255.255.255.0

?

13 Odpowiedź przez khain

  • khain
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-09-15
  • Posty: 328

Odp: VPN przy użyciu OpenWRT na drugim routerze

route 10.20.92.0 255.255.255.0

To musi zostać, żeby serwer wiedział, że ta podsieć jest za klientem. Kolejni klienci powinni też mieć ten wpis, jeśli chcą się dostać do tej podsieci.

TP-Link TL-WDR3600 v1.5 -  OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163  +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7

14 Odpowiedź przez Krukosz (edytowany przez Krukosz 2017-11-13 20:20:12)

  • Zarejestrowany: 2017-09-14
  • Posty: 65

Odp: VPN przy użyciu OpenWRT na drugim routerze

A czy push route na serwerze nie jest odpowiednikiem route w kliencie?

Wolałbym uniknac dokładania linijek w konfigu klientów, bo przy jakiejkolwiek zmianie czy powiększeniu sieci trzeba będzie to modyfikować.

Jak wykomentowałem 

push "route 10.19.92.0 255.255.255.0"
push "route 10.20.92.0 255.255.255.0"

to w ogóle nie mogę nawet pingować routera klienckiego.

Po pingowaniu adresów IP z podsieci klienta w statusie openvpn widzę wpisy dla klienta:


10.20.92.1C
10.20.92.0/24
10.19.92.10

Co oznacza to C?

EDIT:

Nawet jak przywróciłem konfiguracje serwera z mojego postu powyżej to i tak nie mogę pingować klienta.
Nie działa ani ping 10.19.92.10 (czyli adres tunelowy) ani ping 10.20.92.1 (czyli router-klient)

Z vpn jest połaczony, bo pokazuje się w statusie openvpn.

15 Odpowiedź przez khain (edytowany przez khain 2017-11-14 08:30:57)

  • khain
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-09-15
  • Posty: 328

Odp: VPN przy użyciu OpenWRT na drugim routerze

Sprawdź tablice routingu na serwerze i kliencie. Z ustawieniami, z twojego posta nie będzie działać, bo klient ma dwie trasy do tej samej podsieci w tym jedna nieprawidłowa. Nie używaj twóch opcji razem w konfigu serwera

server 10.19.92.0 255.255.255.0
ifconfig 10.19.92.1 255.255.255.0

Opcja --server ustawi adres IP serwera w tunelu na .1 - powielasz to samo za pomocą ifconfig. Dodatkowo jeśli chcesz zrobić cały konfig na serwerze za pomocą push i potem dodawać tylko klientów to aktualny klient-serwer musi mieć route-nopull (żeby odrzucić trasę do podsieci 10.20.92.0 narzuconą przez serwer),a niezbędny routing dopisać z ręki do konfigu tego klienta - ale to zostaw na koniec.

TP-Link TL-WDR3600 v1.5 -  OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163  +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7

16 Odpowiedź przez Krukosz

  • Zarejestrowany: 2017-09-14
  • Posty: 65

Odp: VPN przy użyciu OpenWRT na drugim routerze

Czyli jak to ma wygladac aby to dzialalo? Nie do końca rozumiem Twojego posta.

1. Wykomentowalem linijke server, zostało ifconfig
2. Plik ccd zrobiłem analogicznie do Twojego posta z innego tematu tj:

ifconfig-push 10.19.92.10 255.255.255.0
iroute 10.20.92.0 255.255.255.0

3. Jak ma wygladac sekcja push route na serwerze abym mial dostep do podsieci 10.20.92.0/24?

Konfig klienta wyglada tak:

dev tun
proto udp

log openvpn.log
verb 3
fragment 1000
resolv-retry infinite
keepalive 60 600
nobind
persist-key
persist-tun
ns-cert-type server # Upewniamy sie ze laczymy sie z serwerem

# Certifikaty

ca /etc/openvpn/ca.crt
cert /etc/openvpn/rzgrou1.crt
key /etc/openvpn/rzgrou1.key
tls-auth /etc/openvpn/ta.key 1
cipher AES-256-CBC

client
remote adres.ddns.net 11194

17 Odpowiedź przez khain

  • khain
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-09-15
  • Posty: 328

Odp: VPN przy użyciu OpenWRT na drugim routerze

1. Przy topology net30 chyba trzeba było zrobić na odwrót.
2. Czy plik w katalogu ccd ma taką samą nazwę jak Common Name klienta?
3. Nie sprawdzasz tablicy routingu na serwerze i kliencie, więc nie wiadomo czy routing jest poprawny czy nie.
4. Tu masz konfig serwera w topology subnet (ty używasz topology net30, która jest przestarzała i trudniejsza do zrozumienia).

mode                  server
port                  1194
proto                 udp
tls-server
ifconfig              10.8.0.1 255.255.255.0
topology              subnet
client-config-dir     /etc/openvpn/ccd

cipher                AES-256-CBC

dev                   tun0
keepalive              25 180
status                /tmp/openvpn.status
verb                  3

dh                    /etc/openvpn/dh2048.pem
ca                    /etc/openvpn/ca.crt
cert                  /etc/openvpn/server.crt
key                   /etc/openvpn/server.key
tls-auth              /etc/openvpn/ta.key 0

persist-key
persist-tun
comp-lzo

push "topology subnet"
push "route-gateway 10.8.0.1" //potrzebne jeśli klienci mają mieć puliczny adres IP serwer openvpn
push "redirect-gateway def1"  //potrzebne jeśli klienci mają mieć puliczny adres IP serwer openvpn

route 172.16.1.0 255.255.255.0 10.8.0.2
push "route 192.168.1.0 255.255.255.0 10.8.0.1"

5. Plik ccd dla klienta, który posiada podsieć 172.16.1.0:

ifconfig-push 10.8.0.2 255.255.255.0
iroute 172.16.1.0 255.255.255.0

6.Opcje, które muszą być w konfigu klienta, który posiada podsieć 172.16.1.0:

route-nopull
route 192.168.1.0 255.255.255.0 10.8.0.1

7. 172.16.1.0/24 - podsieć za klientem
192.168.1.0/24 - podsieć za serwerem
10.8.0.0/24 - podsieć tunelu openvpn

TP-Link TL-WDR3600 v1.5 -  OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163  +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7

18 Odpowiedź przez Krukosz (edytowany przez Krukosz 2017-11-14 20:55:11)

  • Zarejestrowany: 2017-09-14
  • Posty: 65

Odp: VPN przy użyciu OpenWRT na drugim routerze

Stosujac Twoj config przestały działać inne klienty, które nie sa routerami(i które nie maja swoich plikow ccd - nie sa one mi potrzebne wiec tego nie stosuje) - wrocilem do konfiguracji wyjsciowej.
Oprocz tego, że inne klienty nie działały to nie miałem nawet dostępu przynajmniej do routera-klienta po vpn.

Dodaje tabele route klienta

root@OpenWrt:~# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         10.20.92.2      0.0.0.0         UG    0      0        0 br-lan
10.20.92.0      *               255.255.255.0   U     0      0        0 br-lan

oraz route serwera

root@cebrouter:~# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         cmts1-elsat-bu1 0.0.0.0         UG    0      0        0 eth1
10.19.92.0      10.19.92.2      255.255.255.0   UG    0      0        0 tun0
10.19.92.2      *               255.255.255.255 UH    0      0        0 tun0
10.20.92.0      10.19.92.2      255.255.255.0   UG    0      0        0 tun0
10.21.92.0      *               255.255.255.0   U     0      0        0 br-lan
72.21.32.0      *               255.255.252.0   U     0      0        0 eth1
72.21.32.1      *               255.255.255.255 UH    0      0        0 eth1

Do tego podaje spis interfejsow klienta:

root@OpenWrt:~# cat /etc/config/network

config interface 'loopback'
        option ifname 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config globals 'globals'
        option ula_prefix 'fd73:9167:9e61::/48'

config interface 'lan'
        option ifname 'eth1'
        option force_link '1'
        option type 'bridge'
        option proto 'static'
        option netmask '255.255.255.0'
        option ip6assign '60'
        option ipaddr '10.20.92.1'
        option gateway '10.20.92.2'
        option dns '8.8.8.8 8.8.4.4'

config interface 'wan'
        option ifname 'eth0'
        option proto 'dhcp'

config interface 'wan6'
        option ifname 'eth0'
        option proto 'dhcpv6'

config switch
        option name 'switch0'
        option reset '1'
        option enable_vlan '1'

config switch_vlan
        option device 'switch0'
        option vlan '1'
        option ports '0 1 2 3 4'

config interface 'vpn0'
        option ifname 'tun0'
        option proto 'none'
        option auto '1'

19 Odpowiedź przez khain

  • khain
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-09-15
  • Posty: 328

Odp: VPN przy użyciu OpenWRT na drugim routerze

To trzeba było założyć pliki ccd. Skoro ci nie dzialalo to widocznie źle coś skonfigurowałeś.  Ja net30 nie używam, więc nie pomogę.

TP-Link TL-WDR3600 v1.5 -  OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163  +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7

20 Odpowiedź przez Krukosz (edytowany przez Krukosz 2017-11-15 19:08:15)

  • Zarejestrowany: 2017-09-14
  • Posty: 65

Odp: VPN przy użyciu OpenWRT na drugim routerze

A jeszcze jedno.
Pogrzebałem w tym topology subnet - klient androidowy łaczy sie z siecia.
Serwer ustawilem wg Twojej konfiguracji, dodalem tylko opcje "client-to-client", bo zależy mi na połaczeniach pomiedzy klientami.

1. Czy w tym typie sieci dla kazdego klienta trzeba tworzyc plik ccd?
2. Czy do kazdego z klientow trzeba cos dopisywać, abym był w stanie pingować sieci za serwerem/klientem?
3. Połaczylem klienta androidowego- nie mogę pingować z serwera tego klienta ani nie moge dostac sie z niego do sieci za serwerem.

Tabela route serwera

root@cebrouter:~# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         72.21.0.1       0.0.0.0         UG    0      0        0 eth1
10.19.92.0      0.0.0.0         255.255.255.0   U     0      0        0 tun0
10.20.92.0      10.19.92.2      255.255.255.0   UG    0      0        0 tun0
10.21.92.0      0.0.0.0         255.255.255.0   U     0      0        0 br-lan
72.21.0.0       0.0.0.0         255.255.252.0   U     0      0        0 eth1
72.21.0.1       0.0.0.0         255.255.255.255 UH    0      0        0 eth1

Z tego co dobrze rozumiem to tabela route na serwerze wyglada ok. Ruch do podsieci 10.20.92.0 jest kierowany przez adres tunelowy klienta, czyli w tym przypadku 10.19.92.2

21 Odpowiedź przez khain

  • khain
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-09-15
  • Posty: 328

Odp: VPN przy użyciu OpenWRT na drugim routerze

1. Tak
2. Jeśli serwer wysyła trasy routingu do wszystkich podsieci (za serwerem i za innymi klientami) to nie.
3. Patrz w logi tego klienta. Dostał on adres IP wewnątrz tunelu oraz trasy routing? Nie rozłącza go cyklicznie (ping-restart)? W logach na pewno znajdziesz odpowiedź.
4. Tak routing masz poprawny.
5. Pamietaj, że gdy usuniesz opcję client-to-client przy topology subnet toklienci i tak będą się widzieć.

TP-Link TL-WDR3600 v1.5 -  OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163  +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7

22 Odpowiedź przez Krukosz

  • Zarejestrowany: 2017-09-14
  • Posty: 65

Odp: VPN przy użyciu OpenWRT na drugim routerze

Po przejrzeniu logów zauważyłem, że miałem niezgdności w dwóch opcjach - fragment oraz comp-lzo.
Uzgodniłem to na linii klient-serwer i jestem w stanie pingować klient-serwer i podsieć za serwerem.

Z podsiecia za klientem muszę na ten moment poczekać, bo od kilku dni robię to zdalnie i nie mogę tam w tej chwili zresetować rutera aby to poprawić.

W każdym razie to działa. Już za pierwszym razem miałem te problemy, tylko że nie byłem w stanie odczytać logów.
Dziękuję!

23 Odpowiedź przez Krukosz

  • Zarejestrowany: 2017-09-14
  • Posty: 65

Odp: VPN przy użyciu OpenWRT na drugim routerze

Kolejny dzień zmagań.
Po uzgodnieniu wpisów mój klient-router się łaczy z siecia.
W logach nie ma nic dziwnego poza ostrzezeniem dla route-nopull

Mam dostep jedynie do klienta, po adresie zarowno tunelowym jak i adresie jego podsieci (10.19.92.2 oraz 10.20.92.1)
Z routera-klienta nie moge pingować klientów za routerem-serwerem.

Moge pingowac klienty za serwerem z klienta androidowego albo jakiekokolwiek wpiętego z zewnatrz bezposrednio do VPN.

Tablica route klienta:

root@OpenWrt:~# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.20.92.2      0.0.0.0         UG    0      0        0 br-lan
10.19.92.0      0.0.0.0         255.255.255.0   U     0      0        0 tun0
10.20.92.0      0.0.0.0         255.255.255.0   U     0      0        0 br-lan
10.21.92.0      10.19.92.1      255.255.255.0   UG    0      0        0 tun0

Wydaje mi sie, ze tablica route jest ok.
To raczej nie firewall, bo po wylaczeniu go na kliencie problem nadal wystepuje.

24 Odpowiedź przez khain

  • khain
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-09-15
  • Posty: 328

Odp: VPN przy użyciu OpenWRT na drugim routerze

Routing jest ok, więc nie ma forwardingu vpn->lan. Jak wyłączysz firewall to reguły ACCEPT nie będą działać - iptables nie działa tak jak Windows Firewall. Testuj tylko na włączonym firewallu.

TP-Link TL-WDR3600 v1.5 -  OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163  +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7

25 Odpowiedź przez Krukosz

  • Zarejestrowany: 2017-09-14
  • Posty: 65

Odp: VPN przy użyciu OpenWRT na drugim routerze

Firewall posiada reguły forwardujace vpn<>lan.

Zastanowiła mnie jedna rzecz:
W mojej, dość niestandardowej konfiguracji sieci, bramą oraz DHCP jest Huawei, a nie ruter-klient z openwrt.
Czy to możliwe, że np. firewall na Huawei sprawia, że nie mogę dostać się do sieci?