• Zarejestrowany: 2016-03-12
  • Posty: 87

Temat: OpenWrt 18.06.1 i OpenVPN

Witam.

Mam OpenWrt 18.06.1 r7258-5eb055306f / LuCI openwrt-18.06 branch (git-18.228.31946-f64b152)


Mam zainstalowane od zera openwrt  i chce skonfigurować openvpn na podstawie opisu https://eko.one.pl/?p=openwrt-openvpntun

Robię zgodnie z opisem.

Jedyna różnica jest taka, że według instrukcji powinien wygenerować się plik dh2048.pem, a mi wygenerował się dh.pem

Mój problem jest taki, że pięknie się łączę z laptopa poprzez VPN, pinguje internet, ale nie widzę maszyn w LAN.

Nie wiem jak to teraz zweryfikować.

Mógłby ktoś pomóc ?


Network:


config interface 'loopback'
    option ifname 'lo'
    option proto 'static'
    option ipaddr '127.0.0.1'
    option netmask '255.0.0.0'

config globals 'globals'
    option ula_prefix 'fd64:e64a:9933::/48'

config interface 'lan'
    option type 'bridge'
    option ifname 'eth0.1'
    option proto 'static'
    option ipaddr '192.168.1.1'
    option netmask '255.255.255.0'

config interface 'wan'
    option ifname 'eth1.2'
    option proto 'static'
    option ipaddr 'x.x.x.x'
    option netmask 'x.x.x.x'
    option gateway 'x.x.x.x.'
    option dns 'x.x.x.x x.x.x.x x.x.x.x'

config interface 'wan6'
    option ifname 'eth1.2'
    option proto 'dhcpv6'
    option auto '0'

config switch
    option name 'switch0'
    option reset '1'
    option enable_vlan '1'

config switch_vlan
    option device 'switch0'
    option vlan '1'
    option ports '0 1 2 3 5t'

config switch_vlan
    option device 'switch0'
    option vlan '2'
    option ports '4 6t'

config interface 'vpn'
    option ifname 'tun0'
    option proto 'none'

   
   
openvpn:
   
   
    

    
config openvpn 'custom_config'
    option enabled '0'
    option config '/etc/openvpn/my-vpn.conf'

config openvpn 'sample_server'
    option enabled '0'
    option port '1194'
    option proto 'udp'
    option dev 'tun'
    option ca '/etc/openvpn/ca.crt'
    option cert '/etc/openvpn/server.crt'
    option key '/etc/openvpn/server.key'
    option dh '/etc/openvpn/dh1024.pem'
    option server '10.8.0.0 255.255.255.0'
    option ifconfig_pool_persist '/tmp/ipp.txt'
    option keepalive '10 120'
    option compress 'lzo'
    option persist_key '1'
    option persist_tun '1'
    option user 'nobody'
    option status '/tmp/openvpn-status.log'
    option verb '3'

config openvpn 'sample_client'
    option enabled '0'
    option client '1'
    option dev 'tun'
    option proto 'udp'
    list remote 'my_server_1 1194'
    option resolv_retry 'infinite'
    option nobind '1'
    option persist_key '1'
    option persist_tun '1'
    option user 'nobody'
    option ca '/etc/openvpn/ca.crt'
    option cert '/etc/openvpn/client.crt'
    option key '/etc/openvpn/client.key'
    option compress 'lzo'
    option verb '3'

config openvpn 'home'
    option enabled '1'
    option dev 'tun0'
    option port '1194'
    option proto 'udp'
    option log '/tmp/openvpn.log'
    option verb '3'
    option ca '/etc/openvpn/ca.crt'
    option cert '/etc/openvpn/serwer.crt'
    option key '/etc/openvpn/serwer.key'
    option server '10.8.0.0 255.255.255.0'
    option dh '/etc/openvpn/dh.pem'

   

Firewall:
    

config defaults
    option syn_flood '1'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'REJECT'

config zone
    option name 'lan'
    list network 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'

config zone
    option name 'wan'
    list network 'wan'
    list network 'wan6'
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option masq '1'
    option mtu_fix '1'

config forwarding
    option src 'lan'
    option dest 'wan'

config rule
    option name 'Allow-DHCP-Renew'
    option src 'wan'
    option proto 'udp'
    option dest_port '68'
    option target 'ACCEPT'
    option family 'ipv4'

config rule
    option name 'Allow-Ping'
    option src 'wan'
    option proto 'icmp'
    option icmp_type 'echo-request'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-IGMP'
    option src 'wan'
    option proto 'igmp'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-DHCPv6'
    option src 'wan'
    option proto 'udp'
    option src_ip 'fc00::/6'
    option dest_ip 'fc00::/6'
    option dest_port '546'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-MLD'
    option src 'wan'
    option proto 'icmp'
    option src_ip 'fe80::/10'
    list icmp_type '130/0'
    list icmp_type '131/0'
    list icmp_type '132/0'
    list icmp_type '143/0'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Input'
    option src 'wan'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    list icmp_type 'router-solicitation'
    list icmp_type 'neighbour-solicitation'
    list icmp_type 'router-advertisement'
    list icmp_type 'neighbour-advertisement'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Forward'
    option src 'wan'
    option dest '*'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-IPSec-ESP'
    option src 'wan'
    option dest 'lan'
    option proto 'esp'
    option target 'ACCEPT'

config rule
    option name 'Allow-ISAKMP'
    option src 'wan'
    option dest 'lan'
    option dest_port '500'
    option proto 'udp'
    option target 'ACCEPT'

config include
    option path '/etc/firewall.user'

config zone
    option name 'vpn'
    option input 'ACCEPT'
    option forward 'ACCEPT'
    option output 'ACCEPT'
    option network 'vpn'

config forwarding
    option src 'vpn'
    option dest 'wan'

config rule
    option name 'OpenVPN'
    option target 'ACCEPT'
    option src 'wan'
    option proto 'udp'
    option dest_port '1194'

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,241

Odp: OpenWrt 18.06.1 i OpenVPN

Jest to opisane w poradniku: https://eko.one.pl/?p=openwrt-openvpntu … zaserwerem a ty tego nie zrobiłeś.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

  • Zarejestrowany: 2016-03-12
  • Posty: 87

Odp: OpenWrt 18.06.1 i OpenVPN

Cezary napisał/a:

Jest to opisane w poradniku: https://eko.one.pl/?p=openwrt-openvpntu … zaserwerem a ty tego nie zrobiłeś.


Wielkie dzięki.

Uznajmy, że jestem lama... smile

4 Odpowiedź przez kamilian

  • Skąd: Siedlce
  • Zarejestrowany: 2013-11-03
  • Posty: 445

Odp: OpenWrt 18.06.1 i OpenVPN

witam, a ja robię wszystko zgodnie z poradnikiem
https://eko.one.pl/?p=openwrt-openvpntun
zaczynam od "OpenWrt 18.06" dla tego własnie systemu
problem pojawia się przy uruchomieniu serwera openvpn
w zakładce OpenVPN w Luci pojawia się oczywiscie nowa instancja "home" jednak nie jest uruchomiona

5 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,241

Odp: OpenWrt 18.06.1 i OpenVPN

Patrz w logi co się dzieje a nie w zakładkę luci.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

6 Odpowiedź przez kamilian

  • Skąd: Siedlce
  • Zarejestrowany: 2013-11-03
  • Posty: 445

Odp: OpenWrt 18.06.1 i OpenVPN

Tue Sep 25 20:39:05 2018 OpenVPN 2.4.5 mips-openwrt-linux-gnu [SSL (OpenSSL)] [L                                      ZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD]
Tue Sep 25 20:39:05 2018 library versions: OpenSSL 1.0.2p  14 Aug 2018, LZO 2.10
Tue Sep 25 20:39:05 2018 WARNING: --keepalive option is missing from server conf                                      ig
Tue Sep 25 20:39:05 2018 OpenSSL: error:02001002:lib(2):func(1):reason(2)
Tue Sep 25 20:39:05 2018 OpenSSL: error:2006D080:lib(32):func(109):reason(128)
Tue Sep 25 20:39:05 2018 Cannot open /etc/openvpn/dh.pem for DH parameters
Tue Sep 25 20:39:05 2018 Exiting due to fatal error

nie wiem czy to o to chodzi ale jakis błąd openssl

7 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,241

Odp: OpenWrt 18.06.1 i OpenVPN

Napisał ci co jest błędem - nie ma /etc/openvpn/dh.pem. Albo go skopiowałeś pod inną nazwą albo go nie zrobiłeś w ogóle.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

8 Odpowiedź przez kamilian

  • Skąd: Siedlce
  • Zarejestrowany: 2013-11-03
  • Posty: 445

Odp: OpenWrt 18.06.1 i OpenVPN

dzięki poszło, jeszcze tylko proszę o pomoc w konfiguracji klienta pod android/windows - w Gargolye pliki tworzyły się same tutaj trzeba podać odpowiednie ścieżki.

Klient skonfigurowany zgodnie z

client
    ca /etc/openvpn/ca.crt
    cert /etc/openvpn/ka.crt
    dev tun0
    key /etc/openvpn/ka.key
    log /tmp/openvpn.log
    proto udp
    remote SERWER_IP 1194
    remote-cert-tls server
    verb 3


taki log wypluwa OpenVPN pod windows.

Options error: --ca fails with '/etc/openvpn/ca.crt': No such process (errno=3)
Options error: --cert fails with '/etc/openvpn/ka.crt': No such process (errno=3)
Tue Sep 25 21:27:56 2018 WARNING: cannot stat file '/etc/openvpn/ka.key': No such process (errno=3)
Options error: --key fails with '/etc/openvpn/ka.key'
Options error: Please correct these errors.
Use --help for more information.

9 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,241

Odp: OpenWrt 18.06.1 i OpenVPN

I znów - nie masz /etc/openvpn/ka.key, bo pewnie go nie używasz.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

10 Odpowiedź przez mar_w

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: OpenWrt 18.06.1 i OpenVPN

kamilian napisał/a:

dzięki poszło, jeszcze tylko proszę o pomoc w konfiguracji klienta pod android/windows...
...
taki log wypluwa OpenVPN pod windows.

Options error: --ca fails with '/etc/openvpn/ca.crt': No such process (errno=3)
Options error: --cert fails with '/etc/openvpn/ka.crt': No such process (errno=3)
Tue Sep 25 21:27:56 2018 WARNING: cannot stat file '/etc/openvpn/ka.key': No such process (errno=3)
Options error: --key fails with '/etc/openvpn/ka.key'
Options error: Please correct these errors.
Use --help for more information.

Czy w Windows tak definiujemy ścieżki do plików ? "/etc/openvpn/ca.crt"
Podaj to w stylu "Windowsowym"
Czy masz w ogóle w Windows-ie katalog /etc ?

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

11 Odpowiedź przez kamilian (edytowany przez kamilian 2018-09-25 20:56:43)

  • Skąd: Siedlce
  • Zarejestrowany: 2013-11-03
  • Posty: 445

Odp: OpenWrt 18.06.1 i OpenVPN

no własnie wszystkie pliki są. Zmieniałem na ścieżkę do plików w katalogu Windows - to samo

12 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,241

Odp: OpenWrt 18.06.1 i OpenVPN

Pokaż ten konfig klienta i logi z jego uruchomienia.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

13 Odpowiedź przez kamilian

  • Skąd: Siedlce
  • Zarejestrowany: 2013-11-03
  • Posty: 445

Odp: OpenWrt 18.06.1 i OpenVPN

logi

Options error: --ca fails with '/etc/openvpn/ca.crt': No such process (errno=3)
Options error: --cert fails with '/etc/openvpn/ka.crt': No such process (errno=3)
Wed Sep 26 06:52:18 2018 WARNING: cannot stat file '/etc/openvpn/ka.key': No such process (errno=3)
Options error: --key fails with '/etc/openvpn/ka.key'
Options error: Please correct these errors.
Use --help for more information.

konfig

client
    ca /etc/openvpn/ca.crt
    cert /etc/openvpn/ka.crt
    dev tun0
    key /etc/openvpn/ka.key
    log /tmp/openvpn.log
    proto udp
    remote WAN IP 1194
    remote-cert-tls server
    verb 3

14 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,241

Odp: OpenWrt 18.06.1 i OpenVPN

Pisałeś że zmieniłeś, a przecież nie zrobiłeś nic. Nie masz w windowsie katalogów /etc/openvpn/ itd. Więc co i gdzie pozmieniałeś?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

15 Odpowiedź przez openera

  • Zarejestrowany: 2018-04-09
  • Posty: 9

Odp: OpenWrt 18.06.1 i OpenVPN

Witam,

Proszę o podpowiedz co robię źle.
Połączenie zrobione, działa jak należny. Na Linuxie (Mint, też wtyczka openvpn) po podłączeniu do VPN dostaję adres z puli adresów LAN i wszystko widzę w sieci. Niestety po skonfigurowaniu klienta na windows (OpenVPN GUI) dostaję adres podsieci VPN 10.8.0.6.

cześć informacji z połączenia z windowsa:

C:\Windows\system32\route.exe ADD 192.168.1.1 MASK 255.255.255.0 10.8.0.5
ROUTE: route addition failed using service: Parametr jest niepoprawny.   [status=87 if_index=23]

zrobione zgodnie z:
https://eko.one.pl/?p=openwrt-openvpntun
https://eko.one.pl/?p=openwrt-openvpntu … zaserwerem

konfiguracja pliku .ovpn :

dev tun                         # dla trybu routowania podajemy "tun"
client                          # określa tryb pracy tego końca tunelu jako klient
remote xxxxxxxx           # adres IP serwera (przeczytaj dodatkowe uwagi na dole strony)
proto udp4                      # rodzaj wykorzystywanego protokołu (w tym przypadku UDP IPv4)
port xxxx                       # używany port
nobind                          # nie otwiera portu po stronie klienta
ca ca.crt                       # nazwa pliku z certyfikatem CA         
cert xxxx.crt                 # nazwa pliku z certyfikatem klienta
key xxxx.key                  # nazwa pliku z kluczem prywatnym klienta
                                # wszystkie ścieżki do plików mogą być podane jako bezwzględne, np.:
                                # "c:\\Program Files\\OpenVPN\\config\\ca.crt"
persist-tun                     # podczas restartu utrzymuje podniesiony wirtualny interfejs
persist-key                     # podczas restartu nie bedzie ponownie wczytany klucz
keepalive 10 120                # wysyła ping co 10 sekund z timeout=120s.
remote-cert-tls server          # dodatkowa weryfikacja certyfikatu
auth-nocache                    # usunięcie danych uwierzytelniających z pamięci RAM
comp-lzo                        # algorytm kompresji, zmniejsza zużycie transferu
verb 3                          # poziom szczegółowości logowania

16 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,241

Odp: OpenWrt 18.06.1 i OpenVPN

Pokaż konfig serwera openvpn który zrobiłeś.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

17 Odpowiedź przez openera

  • Zarejestrowany: 2018-04-09
  • Posty: 9

Odp: OpenWrt 18.06.1 i OpenVPN

config openvpn 'custom_config'
    option config '/etc/openvpn/my-vpn.conf'

config openvpn 'sample_server'
    option proto 'udp'
    option dev 'tun'
    option ca '/etc/openvpn/ca.crt'
    option cert '/etc/openvpn/server.crt'
    option key '/etc/openvpn/server.key'
    option dh '/etc/openvpn/dh1024.pem'
    option server '10.8.0.0 255.255.255.0'
    option ifconfig_pool_persist '/tmp/ipp.txt'
    option keepalive '10 120'
    option compress 'lzo'
    option persist_key '1'
    option persist_tun '1'
    option user 'nobody'
    option status '/tmp/openvpn-status.log'
    option verb '3'
    option port '6116'

config openvpn 'sample_client'
    option client '1'
    option dev 'tun'
    option proto 'udp'
    list remote 'my_server_1 1194'
    option resolv_retry 'infinite'
    option nobind '1'
    option persist_key '1'
    option persist_tun '1'
    option user 'nobody'
    option ca '/etc/openvpn/ca.crt'
    option cert '/etc/openvpn/client.crt'
    option key '/etc/openvpn/client.key'
    option compress 'lzo'
    option verb '3'

config openvpn 'home'
    option enabled '1'
    option dev 'tun0'
    option port '6116'
    option proto 'udp'
    option log '/tmp/openvpn.log'
    option verb '3'
    option ca '/etc/openvpn/ca.crt'
    option cert '/etc/openvpn/serwer.crt'
    option key '/etc/openvpn/serwer.key'
    option server '10.8.0.0 255.255.255.0'
    option dh '/etc/openvpn/dh.pem'
    list push 'route 192.168.1.1 255.255.255.0'

18 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,241

Odp: OpenWrt 18.06.1 i OpenVPN

Więc nie, nie zrobiłeś zgodnie z poradnikiem

list push 'route 192.168.1.1 255.255.255.0'

tu ma być sieć nie host, czyli

list push 'route 192.168.1.0 255.255.255.0'

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

19 Odpowiedź przez openera

  • Zarejestrowany: 2018-04-09
  • Posty: 9

Odp: OpenWrt 18.06.1 i OpenVPN

poprawilem, ale niestety nadal problem występuje

20 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,241

Odp: OpenWrt 18.06.1 i OpenVPN

Pokaż co teraz klient wyświetla.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

21 Odpowiedź przez openera (edytowany przez openera 2019-06-13 16:22:04)

  • Zarejestrowany: 2018-04-09
  • Posty: 9

Odp: OpenWrt 18.06.1 i OpenVPN

Thu Jun 13 15:51:40 2019 OpenVPN 2.4.7 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Feb
Thu Jun 13 15:51:47 2019 MANAGEMENT: >STATE:1560433907,CONNECTED,SUCCESS,10.8.0.6,

22 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,241

Odp: OpenWrt 18.06.1 i OpenVPN

Więc jaki problem występuje? Router przeszło przecież. Połączenie masz.

PS comp-lzo wyłącz w konfigu klienta bo go nie używasz w serwerze.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

23 Odpowiedź przez openera

  • Zarejestrowany: 2018-04-09
  • Posty: 9

Odp: OpenWrt 18.06.1 i OpenVPN

dokładnie ale adres mam nadal 10.8.0.6 i nie widze urzadzen po LAN

24 Odpowiedź przez Cezary (edytowany przez Cezary 2019-06-13 15:00:44)

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,241

Odp: OpenWrt 18.06.1 i OpenVPN

openera napisał/a:

dokładnie ale adres mam nadal 10.8.0.6 i nie widze urzadzen po LAN

W jakim sensie "widzieć"? Jeżeli w otoczeniu sieciowym to możesz nie widzieć, jawnie wpisuj \\ip-hosta  jak chcesz się do niego dostać.

Innego adresu IP nie dostaniesz a w szczególności nie adresu z lanu serwera, zrobiłeś TUNa nie TAPa po stronie openvpn.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

25 Odpowiedź przez openera

  • Zarejestrowany: 2018-04-09
  • Posty: 9

Odp: OpenWrt 18.06.1 i OpenVPN

ok, rozumiem. niestety nadal nie mogę się dostać bezpośrednio do hosta. szukam przyczyny w windows, na linuxie chodzi i pinguje wszystkie komp. w LAN. Dziękuje