51 Odpowiedź przez khain

  • khain
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-09-15
  • Posty: 328

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

Openvpn jako klient na Windowsie ma wersję 2.4.4, a jaką wersję openvpn używasz na serwerze?

TP-Link TL-WDR3600 v1.5 -  OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163  +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7
  • Zarejestrowany: 2017-07-21
  • Posty: 81

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

Na serwerze jest wersja openvpn-openssl 2.4.4-2

53 Odpowiedź przez khain

  • khain
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-09-15
  • Posty: 328

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

Myślałem ,że jakaś starsza wersja. Może jest jakiś bug w wersji 2.4.4 na Windows. Spróbuj podłączyć się z Linuxa/Androida do serwer openvpn. Dla pewności - nadal masz tej opcje w konfigu serwera?:

ifconfig              10.8.0.1 255.255.255.0
mode                  server
topology              subnet
TP-Link TL-WDR3600 v1.5 -  OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163  +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7
  • Zarejestrowany: 2017-07-21
  • Posty: 81

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

Na tym samym kliencie łączy mi się z OpenVPN na Rpi.
Jak stawiałem na DGN350 serwer OpenVPN jak był bramą, a nie wpięty do sieci LAN, to również łączył się z tego klienta.

Wskazane przez Ciebie opcje nadal mam w konfigu serwera.

55 Odpowiedź przez khain

  • khain
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-09-15
  • Posty: 328

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

W tej chwili klient oczekuje połączenia w topologii net30, a serwer ma ustawione topology subnet. Spróbuj dodać do konfigu sewera:

push "topology subnet"
TP-Link TL-WDR3600 v1.5 -  OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163  +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7

56 Odpowiedź przez adalbert.dudziak (edytowany przez adalbert.dudziak 2018-01-01 02:45:17)

  • Zarejestrowany: 2017-07-21
  • Posty: 81

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

@Khain po dodaniu tego do serwera tunel się zestawia, jednak niestety nie mam dostępu do sieci lokalnej.
Dostęp mam tylko do serwera poprzez ip 192.168.1.2 oraz 10.8.0.1.
Po próbie wejścia na adres bramy (192.168.1.1) dostaję "403 Forbidden", może to jest istotne.

Może skoro udało się uruchomić serwer i zestawić tunel to dobra chwila aby podsumować całość poprzez pokazanie obecnej konfiguracji i innych informacji. Może też komuś z podobnym problemem pomoże to w dojściu do tego momentu.

Tabela routingu klienta:
Łączę się z Hotspot'a komórkowego.

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0     192.168.43.1   192.168.43.155     55
          0.0.0.0        128.0.0.0         10.8.0.1         10.8.0.2     35
         10.8.0.0    255.255.255.0         On-link          10.8.0.2    291
         10.8.0.2  255.255.255.255         On-link          10.8.0.2    291
       10.8.0.255  255.255.255.255         On-link          10.8.0.2    291
    31.178.14.202  255.255.255.255     192.168.43.1   192.168.43.155     55
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    331
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    331
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    331
        128.0.0.0        128.0.0.0         10.8.0.1         10.8.0.2     35
      192.168.1.0    255.255.255.0         10.8.0.1         10.8.0.2     35
     192.168.43.0    255.255.255.0         On-link    192.168.43.155    311
   192.168.43.155  255.255.255.255         On-link    192.168.43.155    311
   192.168.43.255  255.255.255.255         On-link    192.168.43.155    311
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    331
        224.0.0.0        240.0.0.0         On-link          10.8.0.2    291
        224.0.0.0        240.0.0.0         On-link    192.168.43.155    311
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    331
  255.255.255.255  255.255.255.255         On-link          10.8.0.2    291
  255.255.255.255  255.255.255.255         On-link    192.168.43.155    311
===========================================================================

Routing ustawiony na W9980
(192.168.1.1, do jego LAN'u podpięty jest serwer OpenVPN)

====================================================================
| Destination IP Address | Subnet Mask   | Gateway     | Interface |
| 10.8.0.0               | 255.255.255.0 | 192.168.1.2 | LAN       |
====================================================================

*Dodadkowo ustawione jest przekierowanie z portu 2123 na 192.168.1.2:1194

Konfiguracja Serwera OpenVPN

port                  1194
proto                 udp
tls-server
ifconfig              10.8.0.1 255.255.255.0
mode                  server
topology              subnet
client-config-dir     /etc/openvpn/ccd

cipher                AES-256-CBC

dev                   tun0
keepalive             25 180
status                /tmp/openvpn.status
log                   /tmp/openvpn.log
verb                  3

dh                    /etc/openvpn/dh2048.pem
ca                    /etc/openvpn/ca.crt
cert                  /etc/openvpn/serwer.crt
key                   /etc/openvpn/serwer.key
tls-auth              /etc/openvpn/ta.key 0

persist-key
persist-tun

push "topology subnet"
push "route-gateway 10.8.0.1"
push "redirect-gateway def1"

route 172.16.1.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0 10.8.0.1"

Konfiguracja klienta:

client
dev tun0
proto udp
remote ddns 2123
remote-cert-tls server
verb 3
pkcs12 dudi.p12
auth-nocache
tls-auth ta.key 1

etc/config/firewall:
Nie cały, fragment dotyczący VPN

config zone
    option name 'lan'
    list network 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'

config zone
    option name 'wan'
    list network 'wan'
    list network 'wan6'
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option masq '1'
    option mtu_fix '1'

config rule
    option name 'Allow-IPSec-ESP'
    option src 'wan'
    option dest 'lan'
    option proto 'esp'
    option target 'ACCEPT'

config zone
    option name 'vpn'
    option input 'ACCEPT'
    option forward 'ACCEPT'
    option output 'ACCEPT'
    option network 'vpn'
    option masq '1'

config forwarding
    option src 'vpn'
    option dest 'wan'

config rule
    option name 'OpenVPN'
    option target 'ACCEPT'
    option src 'wan'
    option proto 'udp'
    option dest_port '1194'

config forwarding
    option src 'lan'
    option dest 'vpn'

config rule
    option enabled '1'
    option target 'ACCEPT'
    option name 'VPN<>LAN'
    option src 'vpn'
    option dest 'lan'

config rule
    option enabled '1'
    option target 'ACCEPT'
    option name 'LAN<>VPN'
    option src 'lan'
    option dest 'vpn'

etc/openvpn/ccd/dudi

ifconfig-push 10.8.0.2 255.255.255.0
iroute 172.16.1.0 255.255.255.0

57 Odpowiedź przez mar_w

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

To ja Ci przedstawię sprawdzoną konfigurację, która na razie spełnia jeden warunek z posta #1

adalbert.dudziak napisał/a:

...jednak mam problem z dostępem do sieci lokalnej za serwerem...

Aby była jasność - schemat sieci:

                          +-------------------------+
  {INTERNET}=============={     Router Tplink W9980 |
                    (ddns)|     fabryczny soft      |
                          +------------+------------+
                        (192.168.1.1)  |              +-----------------------+
                                       |              |    OpenVPN server     |  eth0: 192.168.1.2/24
                                       +--------------{                       |  tun0: 10.8.0.1/24
                                       |              |       DGN3500 Lede    |
                                       |              +-----------------------+
                                       |
                              +--------+-----------+
                              |  Other LAN clients |
                              +--------------------+

różnica: U mnie wszystkie urządzenia na LEDE, które mam nadzieję zachowują zgodność funkcji za to lepiej z nich pokazać konfigurację i logi smile
Firewall robiony na szybko, żeby tylko poszło. Można lepiej popracować nad nim.

1. na routerze brzegowym u Ciebie W9980 u mnie LEDE:
    https://pastebin.com/NVVj6RCe

2. SERWER OpenVPN na LEDE bez WAN-u schowany w sieci LAN 192.168.1.0/24
    https://pastebin.com/JSqy2NPr

3. KLIENT Openvpn na LEDE.
    https://pastebin.com/wkzGiQCL

I jak widzisz nie dodałem push-a z topologią i nawet o tym nie ma w opisie: https://community.openvpn.net/openvpn/wiki/Topology w odróżnieniu od przykładu z p2p

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

58 Odpowiedź przez khain

  • khain
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-09-15
  • Posty: 328

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

@mar_w Przy stosowaniu ccd należy dodać push "topology subnet". Jest o tym mowa tutaj https://community.openvpn.net/openvpn/w … hstaticccd Kiedyś zastanawiałem się po co skoro bez tego też działa - teraz już wiem, że niektóre sterowniki (w tym jak widać TAP dla Windows) potrzebuje tej opcji, bo pozostaje w domyślnej topologii net30. Według mnie problem jest z routingiem/firewallem na W9980, bo cały konfig wygląda poprawnie.
@adalbert.dudziak
Czy w /etc/config/network masz ten wpis:

config interface 'vpn'
        option ifname 'tun0'
        option proto 'none'
TP-Link TL-WDR3600 v1.5 -  OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163  +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7
  • Zarejestrowany: 2017-07-21
  • Posty: 81

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

Tak khain, mam ten wpis.
Na W9980 dodałem tylko trasę statyczną i przekierowanie portu, nic z firewall'em nie ruszałem.

Sprawdzę konfigurację od mar_w i dam znać.

60 Odpowiedź przez adalbert.dudziak (edytowany przez adalbert.dudziak 2018-01-01 13:59:14)

  • Zarejestrowany: 2017-07-21
  • Posty: 81

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

Na tej konfiguracji jest tak samo jak na poprzedniej, tunel się zestawia, mam dostęp do serwera OpenVPN, a nie mam do sieci za tym serwerem.

Musiałem lekko zmienić konfigurację klienta, jak opcje za znakiem "#" były aktywne tunel się nie zestawiał.
Zmieniłem też ścieżki do certyfikatów na plik *.p12.

client
dev tun0
proto udp
remote ddns 2123
nobind

cipher AES-256-CBC
pkcs12 dudi.p12
tls-auth ta.key 1

compress lz4
verb 3
log /tmp/openvpn.log

#remote_cert_tls server
#auth_nocache
#persist_key 1
#persist_tun 1

61 Odpowiedź przez khain

  • khain
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-09-15
  • Posty: 328

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

Czyli masz problem z routingem na W9980. Zrób sobie traceroute z klienta do hosta w podsieci za serwerem i zobaczysz gdzie pakiet DROP/REJECT.

TP-Link TL-WDR3600 v1.5 -  OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163  +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7
  • Zarejestrowany: 2017-07-21
  • Posty: 81

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

Poniżej wynik, łączę się z klienta Windows'owego, a to narzędzie chyba nie jest tak rozbudowane jak traceroute:

Usage: tracert [-d] [-h maximum_hops] [-j host-list] [-w timeout]
               [-R] [-S srcaddr] [-4] [-6] target_name

Options:
    -d                 Do not resolve addresses to hostnames.
    -h maximum_hops    Maximum number of hops to search for target.
    -j host-list       Loose source route along host-list (IPv4-only).
    -w timeout         Wait timeout milliseconds for each reply.
    -R                 Trace round-trip path (IPv6-only).
    -S srcaddr         Source address to use (IPv6-only).
    -4                 Force using IPv4.
    -6                 Force using IPv6.

C:\>tracert 192.168.1.1

Tracing route to 192.168.1.1 over a maximum of 30 hops

  1    60 ms    46 ms    54 ms  10.8.0.1
  2  10.8.0.1  reports: Destination protocol unreachable.

Trace complete.

Dla innych hostów w sieci taki sam rezultat.

  • Zarejestrowany: 2017-07-21
  • Posty: 81

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

Zastanawiał mnie komunikat 403 Forbidden, podczas próby połączenia z W9980.
Ustawiłem na nim możliwość zdalnego dostępu na porcie (testowo/chwilowym:) ) 1111, i wtedy podczas podłączonego tunelu mogę się do niego dostać poprzez 192.168.1.1:1111.
Piszę, może to coś wniesie do sprawy że komunikacja jest, jednak po VPN chyba nie powinien "mnie traktować, jako próba zdalnego podłączenia". Jak używam Rpi to wpuszcza mnie bez problemu.

64 Odpowiedź przez khain

  • khain
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-09-15
  • Posty: 328

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

A spróbuj zrobić tracecrt dla 192.168.1.2 i pokaż wynik

TP-Link TL-WDR3600 v1.5 -  OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163  +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7

65 Odpowiedź przez adalbert.dudziak (edytowany przez adalbert.dudziak 2018-01-01 15:42:07)

  • Zarejestrowany: 2017-07-21
  • Posty: 81

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

Przepraszam, miałem go od razu dodać ale jakoś mi to umknęło.
Wynik poniżej:

C:\>tracert 192.168.1.2
Tracing route to 192.168.1.2 over a maximum of 30 hops
  1    61 ms    37 ms    38 ms  192.168.1.2
Trace complete.

66 Odpowiedź przez khain (edytowany przez khain 2018-01-01 15:45:56)

  • khain
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-09-15
  • Posty: 328

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

Czyli routing na kliencie oraz firewall na DGN3500 jest prawidłowy. Problem jest w W9980 albo host, który pingujesz nie odpowiada na ICMP lub firewall na tym hoście nie akceptuje pakietów spoza swojej sieci LAN.

TP-Link TL-WDR3600 v1.5 -  OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163  +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7

67 Odpowiedź przez mar_w (edytowany przez mar_w 2018-01-02 15:33:26)

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

@khain
moim zdaniem to nie jest wina ani W9980 ani hosta ponieważ:

adalbert.dudziak napisał/a:

...Jak używam Rpi to wpuszcza mnie bez problemu.

myślę, że tego nie rozwiążemy od tak - zdalnie, pisząc sobie na forum skoro autor tematu zrobił już wszystko jak należy.
Nie podejrzewam że wersja Openvpn pod arm_arm1176jzf-s_vfp czy arm_cortex-a7_neon-vfpv4 robi co innego, niż ta sama wersja pod mipsel_24kc czy x86_64 jeżeli w/w pakiety pochodzą z repo LEDE-project.

OT żeby wiedzieć i nie było różnicy zdań:
sprawdziłem też opcję z push "topology ..." w konfigu serwera i ta opcja jest automatycznie dodawana jeżeli konfig serwera zawiera tak jak podaje poradnik Cezarego:

uci set openvpn.home.server='10.8.0.0 255.255.255.0'
uci set openvpn.home.topology='subnet'

bez push "topology subnet":

clientvpn/x.x.x.x:48663 SENT CONTROL [clientvpn]: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,route-gateway 10.8.0.1,topology subnet,ping 25,ping-restart 180,ifconfig 10.8.0.2 255.255.255.0,peer-id 0,cipher AES-256-GCM' (status=1)

z push "topology subnet":

clientvpn/x.x.x.x:45160 SENT CONTROL [clientvpn]: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,topology subnet,route-gateway 10.8.0.1,topology subnet,ping 25,ping-restart 180,ifconfig 10.8.0.2 255.255.255.0,peer-id 0,cipher AES-256-GCM' (status=1)

tu jest 2 razy to samo co w tym przypadku jest zbędną opcją

Miałeś rację z dodaniem tego push "...." bo Twoja konfiguracja jest inna i zawiera:

...
ifconfig              10.8.0.1 255.255.255.0
mode                  server
topology              subnet

u Ciebie trzeba, a wg poradnika Cezarego nie trzeba bo robi się samo smile

@adalbert.dudziak
A możesz jakimś urządzeniem np telefonem zalogować się do Wifi routera W9980 żeby dostać tylko adres z sieci 192.168.1.0/24 i otworzyć stronę routera DGN3500 wpisując:
192.168.1.2
potem
10.8.0.1
pod warunkiem że serwer uhttp na DGN3500 słucha na każdym adresie czyli :

# netstat -alpntu
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      1168/uhttpd

to wykluczymy (lub potwierdzimy niepoprawnie) działający routing na W9980 jeżeli otworzy się strona w obu przypadkach.
I zajmiemy się tylko DGN3500 i jego konfiguracją sieci itd...

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *
  • Zarejestrowany: 2017-07-21
  • Posty: 81

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

@mar_w,
podłączyłem się telefonem do sieci wifi dystrybuowanej przez W9980 i został mi nadany IP z puli adresów sieci 192.168.1.0/24.
Strona routera DGN3500 otwiera się zarówno pod adresem 192.168.1.2, jak i 10.8.0.1.

69 Odpowiedź przez mar_w

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

To może być prawdą co pisze @khain w #66 ze oryginalny soft W9980 odrzuca pakiety które przychodzą z innego adresu niż jego własna sieć LAN. Pomimo że wie o tej sieci VPN z tablicy routingu, ale robi tam tylko forward z innych hostów.
W takim razie jeżeli na DGN3500 masz tylko LAN i VPN w /etc/config/network to musisz maskować adresy VPN na LAN więc spróbuj to co pisałem w poście #35 jako ciekawostkę - masq w lan w firewall
Reboot routera 3500 i klienta vpn i ... chwila prawdy smile

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

70 Odpowiedź przez adalbert.dudziak (edytowany przez adalbert.dudziak 2018-01-04 23:18:04)

  • Zarejestrowany: 2017-07-21
  • Posty: 81

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

Wgrałem czysty obraz, na spokojnie przeczytałem cały temat jeszcze raz... I działa:)
@mar_w, miałeś rację, brakowało właśnie tej maskarady.
Serdeczne dzięki Panowie za poświęcony czas i cierpliwość, ponieważ największą przeszkodą prawdopodobnie było moje "odnajdywanie się" w temacie.

Poniżej przedstawiam gotową konfigurację, może komuś się przyda (po zweryfikowaniu podepnę do pierwszego posta jako rozwiązanie problemu). Starałem się zostawić tylko to co niezbędne, router ma być "Switch'em z serwerem OpenVPN.".

Konfiguracja serwera (/etc/config/openvpn):

config openvpn 'sample_server'
    option enabled '1'
    option topology 'subnet'
    option local '192.168.1.2'
    option port '1194'
    option proto 'udp'
    option dev 'tun0'
    option tun_mtu '1500'
    option tls_server '1'
    option ca '/etc/openvpn/ca.crt'
    option cert '/etc/openvpn/serwer.crt'
    option key '/etc/openvpn/serwer.key'
    option dh '/etc/openvpn/dh2048.pem'
    option tls_auth '/etc/openvpn/ta.key 0'
    option server '10.8.0.0 255.255.255.0'
    list push 'route 192.168.1.0 255.255.255.0'
    list push 'redirect-gateway def1' #Ad.1)
    option client_config_dir '/etc/openvpn/ccd'
    option client_to_client '1'
    option keepalive '25 180'
    option cipher 'AES-256-CBC'
    option compress 'lz4'
    option persist_key '1'
    option persist_tun '1'
    option log '/tmp/openvpn.log'
    option verb '3'

Ad.1 Wiersz odpowiadający za przekierowanie całego ruchu klientów przez tunel vpn, zgodnie z >>Tym<< akapitem poradnika Cezarego.


Plik ccd (/etc/config/openvpn/commonname):

ifconfig-push 10.8.0.2 255.255.255.0

Common Name certyfikatu użytkownika, musi być taki sam jak nazwa pliku


Konfiguracja klienta (wersja na Windows 10):

client
dev tun0
proto udp
remote XXX.XXX.XXX.XXX 1194 #Ad.2)
nobind

cipher AES-256-CBC
pkcs12 commonname.p12
tls-auth ta.key 1

compress lz4
verb 3
log /tmp/openvpn.log

Ad.2) IP lub DDNS dostępowy do głównego routera (bramy) sieci, w której jest serwer OpenVPN. W tym przypadku na routerze należy zrobić przekierowanie z portu 1194 na 192.168.1.2:1194.


Konfiguracja firewall (/etc/config/firewall):

config defaults
    option syn_flood '1'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'REJECT'

config zone
    option name 'lan'
    list network 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'
    option masq '1'

config zone
    option name 'vpn'
    option input 'ACCEPT'
    option forward 'ACCEPT'
    option output 'ACCEPT'
    option network 'vpn'
    option masq '1'

config forwarding
    option src 'vpn'
    option dest 'lan'


W tym przypadku wszystko co nie używane/potrzebne, starałem się usunąć. Także wszystkie wpisy dotyczace WAN, zostały skasowane.


Konfiguracja DHCP (/etc/config/dhcp):

config dnsmasq
    option domainneeded '1'
    option boguspriv '1'
    option filterwin2k '0'
    option localise_queries '1'
    option rebind_protection '1'
    option rebind_localhost '1'
    option local '/lan/'
    option domain 'lan'
    option expandhosts '1'
    option nonegcache '0'
    option authoritative '1'
    option readethers '1'
    option leasefile '/tmp/dhcp.leases'
    option resolvfile '/tmp/resolv.conf.auto'
    option localservice '1'

config odhcpd 'odhcpd'
    option maindhcp '0'
    option leasefile '/tmp/hosts/odhcpd'
    option leasetrigger '/usr/sbin/odhcpd-update'

config dhcp 'vpn'
    option interface 'vpn'
    option ignore '1'

config dhcp 'lan'
    option interface 'lan'
    option ignore '1'

Jeszcze raz wszystkim dziękuję, mam wrażenie i nadzieję, że udało się to "w miarę elegancko" skonfigurować i poukładać.
Taka specyficzna sytuacja wynikła, że SerwerVPN jest w sieci LAN na osobnym routerze, a nie jest "na bramie"(choć na bramie skonfigurowałem wszystko szybko z poradnikiem Cezarego i działało) ponieważ router będący bramą nie był w stanie obsłużyć prędkości mojego łącza. Rpi3 dawało radę jednak nie chciałem aby tylko "tym się zajmowało", szczególnie że tę funkcję mógł przejąć router w sieci. Teraz Rpi3 z RetroPi i Kodi zadomowiło się pod telewizorem:)


Mam jeszcze kilka pytań, na które nie znalazłem odpowiedzi:
1) Czy brak definiowania haseł dla certyfikatów, nie jest jakiegoś rodzaju luką w zabezpieczeniach?
Czy nie stosuje się ich celowo aby ułatwić konfigurację, a same certyfikaty są zabezpieczeniem na tyle mocnym, że hasło "mało zmienia".

2) Czy informacje podawane podczas generowania certyfikatów, poza Common Name (dla celów ccd) służą czemuś konkretnemu? Czy służą "komplikowaniu algorytmu klucza", coś na zasadzie ruchów myszki aby uzyskać losowe dane. Męczy mnie to ponieważ czasami piszą żeby w ogóle zostawiać te pola puste. Chyba, że te wartości pomagają w administracji większa ilością sieci i tuneli.

3) Czy można tę konfigurację zmienić tak aby trasa normalnie wysyłana w pliku ccd do danego klienta z tożsamym "Common name" była zawarta w pliku konfiguracji serwera i wysyłana do wszystkich klientów?

4) Za pomocą konfiguracji LED, ustawiłem tak aby się świeciły gdy tun0 przyjmuje i wysyła pakiety, zastanawiam się jak ugryźć temat tak aby dioda była zapalona w chwili gdy jakiś klient się podłączy.

@khain, @cezary, @mar_w jeszcze raz Wam dziękuję za pomoc.

71 Odpowiedź przez mar_w (edytowany przez mar_w 2018-01-05 02:44:41)

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

Ad1) Ja ustawiam hasła dla certów dla urządzeń w których mogę wpisać hasło z palca podczas próby połączenia np. klient na Androidzie.
Jak mi zginie tablet to ktoś będzie miał dodatkową robotę w odszyfrowaniu, jakby chciał się połączyć, zanim wygaszę ważność certów na serwerze.

Ad3) ja wysyłam trasy do różnych podsieci, które są za klientami - do wszystkich klientów właśnie wpisem w głównym konfigu serwera np

# sieć za klientem nr1
route 192.168.2.0 255.255.255.0
list push 'route 192.168.2.0 255.255.255.0'

# sieć za klientem nr2
route 192.168.3.0 255.255.255.0
list push 'route 192.168.3.0 255.255.255.0'

# sieć za klientem nr3
route 192.168.4.0 255.255.255.0
list push 'route 192.168.4.0 255.255.255.0'

z tym, że skoro dla klienta nr. 1 w pliku ccd istnieje wpis

iroute 192.168.2.0 255.255.255.0

to serwer nie nadpisze mu tej trasy do jego własnej podsieci LAN przez tunel, bo OpenVPN aż tak głupi to nie jest smile
to samo tyczy się innych klientów czyli klient nr 2 nie nadpisze sobie trasy do własnej podsieci 192.168.3.0/24 itd itd
Sieć za serwerem wysyłam tylko przez 

list push 'route 192.168.1.0 255.255.255.0'

i tyle (bez wpisu route 192.168.1.0....) bo tą podsieć serwer już ma pod sobą i wie którym interfejsem wychodzić.

Brawo @khain za zwrócenie uwagi, że router W9980 może odrzucać połączenia nie ze swojej sieci LAN pomimo tego że ma wpisany routing i pakiety przychodzą z "wewnątrz" a nie z "zewnątrz".
Brawo Cezary - to wiadomo: dobre rady, poradniki, całokształt

A ja ze swojej strony mogę Ci współczuć, że słaby procesor musi męczyć się z szyfrowaniem i ... dodatkowo z NAT-em w strefie LAN.

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

72 Odpowiedź przez adalbert.dudziak (edytowany przez adalbert.dudziak 2018-01-05 03:04:59)

  • Zarejestrowany: 2017-07-21
  • Posty: 81

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

Dzięki za odpowiedź,
odnośnie "współczucia" to czy cały ruch między (przykładowo) dwoma laptopami podpiętymi do portów LAN routera DGN3500, jest w tym momencie "spowolniony" przez maskowanie, czy tyczy się to tylko ruchy przechodzącego przez tun0?

73 Odpowiedź przez mar_w (edytowany przez mar_w 2018-01-05 04:50:57)

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

laptopy podpięte do portów LAN są w "głupim" switchu więc nie powinieneś mieć spowolnienia.
Sprawdź iperf3 w standardowej komendzie na jednym i drugim laptopie:
# serwer - laptop nr 1 w LANie np 192.168.1.100
iperf3 -s

# klient - laptop nr 2 o dowolnym adresie z puli LANowej
iperf3 -c 192.168.1.100

powinieneś mieć w granicach 940-960 Mbps lub ok. 119-120 MB/s (przy iperf -c 192.168.1.100 -f M)

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

74 Odpowiedź przez gorus1

  • gorus1
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2020-07-23
  • Posty: 7

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

Dzień Dobry,
Specjalnie się zarejestrowałem żeby odświeżyć temat gdyż mam bardzo podobny problem.
Otóż przez wiele lat na routerze tplink z gargoyle działał serwer openvpn, a do niego było połączonych kilka routerów z tomato i wszystko działało (routing poprawny, a wszystkie sieci się komunikowały) aż do teraz kiedy tplink przestał domagać.
Config openvpn serwer wygląda następująco:

mode                  server
port                  1194
proto                 udp
tls-server
ifconfig              10.8.0.1 255.255.255.0
topology              subnet
client-config-dir     /etc/openvpn/ccd
client-to-client




cipher                AES-128-CBC


dev                   tun
keepalive             25 180
status                /var/run/openvpn_status
verb                  3


dh                    /etc/openvpn/dh1024.pem
ca                    /etc/openvpn/ca.crt
cert                  /etc/openvpn/server.crt
key                   /etc/openvpn/server.key
tls-auth              /etc/openvpn/ta.key 0

persist-key
persist-tun
comp-lzo

push "topology subnet"
push "route-gateway 10.8.0.1"


route 192.168.106.0 255.255.255.0 10.8.0.6
route 192.168.118.0 255.255.255.0 10.8.0.18

Z przymusu wybór padł na mikrotika jako zastępca tplinka z gargoyle, ale on ma ograniczenia odnośnie openvpn i w związku z tym całą konfigurację 1:1 przeniosłem na ubuntu serwer na maszynę wirtualną w tej samej podsieci.
Po dokonfigurowaniu routingu na mikrotiku dla podsieci 192.168.106.0/24 oraz 192.168.118.0/0 komunikacja zaczęła przebiegać w obydwie strony z jednym ale...
Wygląda na to, że strasznie dużo pakietów się gubi i czasami komunikacja w ogóle zanika po czym bez powodu się wznawia, ale tylko
w komunikacji pomiędzy hostami innych podsieci z tymi z podsieci serwera openvpn (ale nie z samym serwerem openvpn oraz routerem mikrotik - tu pakiety dochodzą bez problemu). Bez problemu przebiega też komunikacja pomiędzy hostami z każdej z pozostałych podsieci.
Tracert w przypadku problematyczniej komunikacji zatrzymuje się na adresie 10.8.0.1, a więc na adresie serwera openvpn w ubuntu.
Mogę liczyć na jakąś podpowiedź?

75 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,993

Odp: OpenVpn - Dostęp do sieci lokalnej za serwerem

To forum o openwrt. Skoro masz to na innym systemie to oczekuj odpowiedzi na openrouter.info a nie tutaj.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona