Nie jesteś zalogowany. Proszę się zalogować lub zarejestrować.
eko.one.pl → Oprogramowanie / Software → LEDE OpenVPN Konfiguracja klientów
Strony 1
Zaloguj się lub zarejestruj by napisać odpowiedź
Cześć,
Mam serwer OpenVPN i 2 klientów. Obecnie serwer ustawiony jest tak aby przekierowywał cały ruch klientów.
Chciałbym ustawić tak aby jeden klient wychodził na świat przez swoje łącze a drugi pozostał tak jak jest (czyli przekierowany cały ruch).
Jest taka możliwość?
Do tego jest specjalny projekt: https://forum.lede-project.org/t/vpn-by … ci-ui/1106
Dzięki za informacje, zapoznam się z tym 
Dla 2 klientów to ja bym wyłączył na serwerze w konfigu wysyłanie domyślnej trasy przez tunel do wszystkich. Czyli usunął push redirect...
Na kliencie nr 1 który ma wychodzić przez tunel na świat wpisałbym w konfigu option redirect_gateway def1 wtedy on sam ustawi sobie domyślną trasę przez tunel.
Drugi klient dostanie tylko trasę do tunelu i do google będzie nadal wychodził bramą od ISP.
Na kliencie nr 1 który ma wychodzić przez tunel na świat wpisałbym w konfigu option redirect_gateway def1 wtedy on sam ustawi sobie domyślną trasę przez tunel.
Dzięki za trafną poradę. Oczywiście chciałbym z niej skorzystać jednak jeśli na kliencie nr1 wpisuję w configu "option redirect_gateway def1" przy połączeniu dostaję komunikat: "Connecting to management interface failed".
Masz pomysł jak to rozwiązać?
Zależy jak masz ustawiony plik konfiguracyjny. Ja mam wszystko zgodne z uci. Dla Openvpn można wczytać konfig przez zewnętrzny plik i wtedy nie wpisujesz "option"
Ja mam na Serwerze Openvpn usuniętą opcję push "redirect-gateway def1" bo nie potrzebuję wszystkimi klientami wychodzić na świat przez tunel, ale gdy potrzebuję z jakiegoś powodu wyjść na świat tylko jednym klientem przez tunel to wpisuję to co poniżej (w drugiej części zrzutu konfigu):
wtedy nie muszę restartować serwer Openvpn.
Oczywiście na serwerze Openvpn trzeba ustawić firewall, żeby był przygotowany na forward pakietów z tego jednego adresu ip tunelu oraz ustawić maskaradę w tablicy nat w łańcuchu POSTROUTING dla pakietów wychodzących z tego konkretnego ip z tunelu.
Plik konfiguracyjny klienta poniżej (jest to konfig wygenerowany przez gargoyle).
client
remote mojadresip 1194
dev tun
proto udp
status current_status
resolv-retry infinite
ns-cert-type server
topology subnet
verb 3
cipher BF-CBC
keysize 128
ca ca.crt
cert lapek.crt
key lapek.key
tls-auth ta.key 1
nobind
persist-key
persist-tun
comp-lzoto dopisz na końcu
redirect-gateway def1
restart klienta openvpn.
EDIT: bo jak robisz zgodnie z UCI to opcje są z "_" a jak przez zewnętrzny plik to "-"
zgodnie z UCI:
# cat /etc/config/openvpn
config openvpn 'sample_client'
option enabled '1'
option client '1'
option pull '1'
option dev 'tun0'
option proto 'udp'
option port '1194'
option remote 'x.x.x.x'
option resolv_retry 'infinite'
option nobind '1'
option persist_key '1'
option persist_tun '1'
option ca '/etc/openvpn/ca.crt'
option cert '/etc/openvpn/client.crt'
option key '/etc/openvpn/client.key'
option remote_cert_tls 'server'
option auth_nocache '1'
option tls_auth '/etc/openvpn/ta.key 1'
option cipher 'AES-256-CBC'
option comp_lzo 'yes'
option verb '3'
option log '/tmp/openvpn.log'
option mute '20'
option redirect_gateway 'def1'
EDIT: coś czuję że ten klient jest na laptopie z Windows tylko przerzuciłeś sobie konfig z Gargoyle i piszesz w temacie "LEDE OpenVPN"
Plik konfiguracyjny klienta poniżej (jest to konfig wygenerowany przez gargoyle).
...
cert lapek.crt
key lapek.key
to dopisz na końcu
redirect-gateway def1restart klienta openvpn.
EDIT: bo jak robisz zgodnie z UCI to opcje są z "_" a jak przez zewnętrzny plik to "-"
zgodnie z UCI:# cat /etc/config/openvpn
config openvpn 'sample_client'
option enabled '1'
option client '1'
option pull '1'
option dev 'tun0'
option proto 'udp'
option port '1194'
option remote 'x.x.x.x'
option resolv_retry 'infinite'
option nobind '1'
option persist_key '1'
option persist_tun '1'
option ca '/etc/openvpn/ca.crt'
option cert '/etc/openvpn/client.crt'
option key '/etc/openvpn/client.key'
option remote_cert_tls 'server'
option auth_nocache '1'
option tls_auth '/etc/openvpn/ta.key 1'
option cipher 'AES-256-CBC'
option comp_lzo 'yes'
option verb '3'
option log '/tmp/openvpn.log'
option mute '20'
option redirect_gateway 'def1'EDIT: coś czuję że ten klient jest na laptopie z Windows tylko przerzuciłeś sobie konfig z Gargoyle i piszesz w temacie "LEDE OpenVPN"
artur5236 napisał/a:Plik konfiguracyjny klienta poniżej (jest to konfig wygenerowany przez gargoyle).
...
cert lapek.crt
key lapek.key
Super, działa tak jak chciałem. Wielkie dzięki
Dobrze zgadłeś Teraz jest jeszcze Gargoyle, jutro instaluje LEDE gdzie będzie serwer OpenVPN. 1 klient to LEDE a 2 to Windows (i własnie na Windows potrzebowałem wyjścia na świat przez tunel).
nic nie zgadłem. Zdradziła Cię nazwa klucza: lapek 
oraz brak próby skorzystania z propozycji Cezarego, bo nawet nie drążyłeś tematu w tym kierunku i chyba głupio Ci było napisać: "Cezary, ale ja potrzebuję projekt na Windowsa"
Fajnie, że masz co chcesz
Potrzebuję przekierować tylko jednego klienta(podłączony kablem), reszta bez tunelu.
Czy wymagana do tego jest pakiet vpnbypass lub inny czy można to zrobić w konfiguracji openvpn?
vpnbypass, oczywiście pod stronie konfiguracji openvpn nie robisz trasy domyślnej.
Usunąłem z config "redirect-gateway local def1"
W vpnbypass w Local IP Addresses to Bypass" wpisałem "192.168.5.128/25"
klient 1: 192.168.5.85
klient 2: 192.168.5.227
oba mają dostęp do servera openvpn, ale oba nie są routowane.
logi:
Tue Apr 23 15:56:32 2019 user.notice vpnbypass [9334]: : iptables -t mangle -A VPNBYPASS -m set --match-set vpnbypass dst -j MARK --set-mark 0x010000/0xff0000
Tue Apr 23 15:56:32 2019 daemon.err modprobe: xt_set is already loaded
Tue Apr 23 15:56:32 2019 daemon.err modprobe: ip_set is already loaded
Tue Apr 23 15:56:32 2019 daemon.err modprobe: ip_set_hash_ip is already loaded
Tue Apr 23 15:56:32 2019 user.notice vpnbypass [9334]: service started with TID: 200; FW_MARK: 0x010000
Tue Apr 23 15:56:32 2019 user.notice vpnbypass [9334]: service monitoring interfaces: vpn ✓
Mógłbym prosić o podpowiedź?
Wpisałeś 192.168.1.128/25 a chcesz przepuścić 192.168.5.85 i 192.168.5.227. To nie te adresy ip przecież.
Wpisałeś 192.168.1.128/25 a chcesz przepuścić 192.168.5.85 i 192.168.5.227. To nie te adresy ip przecież.
Kazałeś nie robić trasy domyślnej, więc usunąłem z config "redirect-gateway local def1" na routerze z lede.
Ustawiłem adresy klientów na .85 i .227, żeby móc zrobić test. 192.168.5.128/25 nie oznacza zakresu .129-.254?
Aktualnie ruch nie jest wcale routowany przez vpn, a chcę żeby był routowany tylko od jednego klienta, którego adres mogę ustawić na dowolny.
/25 wpisałem na podstawie https://kthx.at/subnetmask/
Ale ty całkiem różne rzeczy pomyliłeś.
192.168.5.128/25 oznacza że masz podsieć 192.168.5.x z nie 192.168.1.x jak wpisałeś w vpnbypass. Widzisz różnicę?
Ponad to - skąd masz klientów 192.168.5.x skoro jak myślę masz sieć lan 192.168.1.x?
Ale ty całkiem różne rzeczy pomyliłeś.
192.168.5.128/25 oznacza że masz podsieć 192.168.5.x z nie 192.168.1.x jak wpisałeś w vpnbypass. Widzisz różnicę?
Ponad to - skąd masz klientów 192.168.5.x skoro jak myślę masz sieć lan 192.168.1.x?
w drugim poście napisałem "5" boldem żeby pokazać, że widzę błąd z poprzedniego postu, to tylko literówka.
Sieć jest na bramie 192.168.5.1(bo -1.1 mam główną w domu, a wan musi być różny od lan) a klienci dostali takie ip przypisane statycznie z routera.
Czy mógłbym Cię prosić o pomoc w skonfigurowaniu vpnbypass lub czegokolwiek by routować tylko jedenego klienta?
Wpisz 192.168.5.85/32 jeżeli faktycznie masz takiego klienta.
Strony 1
Zaloguj się lub zarejestruj by napisać odpowiedź
eko.one.pl → Oprogramowanie / Software → LEDE OpenVPN Konfiguracja klientów
Forum oparte o PunBB, wspierane przez Informer Technologies, Inc