Nie jesteś zalogowany. Proszę się zalogować lub zarejestrować.
eko.one.pl → Oprogramowanie / Software → Serwer VPN na OpenWRT?
Zaloguj się lub zarejestruj by napisać odpowiedź
Dobry wieczór!
Pytanie czy coś takiego jest możliwe? Chodzi o to, bym mógł z innego miejsca korzystać z internetu tak, jakbym to robił z miejsca gdzie jest router ( z poziomu tej sieci, w tego IP itd ).
Pozdrawiam!
Oczwiście. Na eko.one.pl znajdziesz opis pptp, openvpn, wireguard, ipsec. Niektóre stare, niektóre aktualne, poczytaj.
Spróbowałem OpenVPN, jednak coś nie bardzo chce działać..
Thu Dec 12 21:38:00 2019 disabling NCP mode (--ncp-disable) because not in P2MP client or server mode
Thu Dec 12 21:38:00 2019 OpenVPN 2.4.8 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Oct 31 2019
Thu Dec 12 21:38:00 2019 Windows version 6.2 (Windows 8 or greater) 64bit
Thu Dec 12 21:38:00 2019 library versions: OpenSSL 1.1.0l 10 Sep 2019, LZO 2.10
Thu Dec 12 21:38:00 2019 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Thu Dec 12 21:38:00 2019 Need hold release from management interface, waiting...
Thu Dec 12 21:38:01 2019 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Thu Dec 12 21:38:01 2019 MANAGEMENT: CMD 'state on'
Thu Dec 12 21:38:01 2019 MANAGEMENT: CMD 'log all on'
Thu Dec 12 21:38:01 2019 MANAGEMENT: CMD 'echo all on'
Thu Dec 12 21:38:01 2019 MANAGEMENT: CMD 'bytecount 5'
Thu Dec 12 21:38:01 2019 MANAGEMENT: CMD 'hold off'
Thu Dec 12 21:38:01 2019 MANAGEMENT: CMD 'hold release'
Thu Dec 12 21:38:01 2019 Outgoing Static Key Encryption: Cipher 'BF-CBC' initialized with 128 bit key
Thu Dec 12 21:38:01 2019 WARNING: INSECURE cipher with block size less than 128 bit (64 bit). This allows attacks like SWEET32. Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Thu Dec 12 21:38:01 2019 Outgoing Static Key Encryption: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Dec 12 21:38:01 2019 Incoming Static Key Encryption: Cipher 'BF-CBC' initialized with 128 bit key
Thu Dec 12 21:38:01 2019 WARNING: INSECURE cipher with block size less than 128 bit (64 bit). This allows attacks like SWEET32. Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Thu Dec 12 21:38:01 2019 Incoming Static Key Encryption: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Dec 12 21:38:01 2019 interactive service msg_channel=696
Thu Dec 12 21:38:01 2019 open_tun
Thu Dec 12 21:38:01 2019 TAP-WIN32 device [Połączenie lokalne] opened: \\.\Global\{37E584A9-D518-4A31-BCB6-C373E4E7CE29}.tap
Thu Dec 12 21:38:01 2019 TAP-Windows Driver Version 9.24
Thu Dec 12 21:38:01 2019 Successful ARP Flush on interface [7] {37E584A9-D518-4A31-BCB6-C373E4E7CE29}
Thu Dec 12 21:38:01 2019 TCP/UDP: Preserving recently used remote address: [AF_INET]xxx.xxx.xxx.xxx:1194
Thu Dec 12 21:38:01 2019 Socket Buffers: R=[65536->65536] S=[65536->65536]
Thu Dec 12 21:38:01 2019 UDP link local: (not bound)
Thu Dec 12 21:38:01 2019 UDP link remote: [AF_INET]xxx.xxx.xxx.xxx:1194
Thu Dec 12 21:39:49 2019 Peer Connection Initiated with [AF_INET]xxx.xxx.xxx.xxx:1194
Thu Dec 12 21:39:55 2019 TEST ROUTES: 0/0 succeeded len=0 ret=1 a=0 u/d=up
Thu Dec 12 21:39:55 2019 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Thu Dec 12 21:39:55 2019 Initialization Sequence Completed
Thu Dec 12 21:39:55 2019 MANAGEMENT: >STATE:1576183195,CONNECTED,SUCCESS,,xxx.xxx.xxx.xxx,1194,,
To pokazuje się w OpenVPN GUI, jest napisane, że połączono, jednak w polu 'przyznane ip' nie ma nic. Internet działa, jednak dostępu do 192.168.1.1 brak..
Edit, internetu też już zabrakło..
I jakiej odpowiedzi oczekujesz? Nie pokazałeś co i jak skonfigurowałeś, pokazałeś tylko log klienta zakończony sukcesem.
Robiłem wszystko według http://eko.one.pl/?p=openwrt-openvpn
Pliki potworzyłem, ip wpisałem gdzie trzeba, klucz stworzyłem, reguła w firewall została dodana.. Chętnie bym pokazał jakiś log, ale nie wiem.. który.
Jedynie nie jestem pewny czy ten plik dobrze stworzyłem: https://i.imgur.com/R4aOv6a.png
Nie, nie robiłeś wszystkiego tak jak jest w linku, chociaż by dlatego że obecnie nie istnieje pakiet o nazwie "openvpn" tylko są inne.
Na początek - czy na pewno chcesz używać trybu TAP a nie TUN? Co takiego masz szczególnego że musi być TAP?
Następnie - pokaż wszystkie pliki które zmodyfikowałeś w routerze oraz logi routera - logread
To strzelam, że zainstalował się któryś z tych: https://i.imgur.com/X4d4FOx.png
Szczerze nie wiem. Może faktycznie lepiej by było użyć TUN, tak jak piszesz.
Może problem tkwi w tym, że 'Jeżeli używamy standardowej klasy adresowej (192.168.1.0/24) a klient jest podłączony do sieci w takiej samej klasie to połączenie nie zadziała (będzie problem z rutowaniem pakietów).' Poczytam jeszcze o tym TUN, ewentualnie porzucę OpenVPN, wolałbym, żeby Windows potrafił natywnie obsłużyć tunel, bez dodatkowej aplikacji.
To masz tylko pptp (mało bezpieczne) lub ipsec do wyboru.
Rozumiem, że mówisz o tym: http://eko.one.pl/?p=openwrt-ipsec
Też niestety nie wiem jak się połączyć w Windows 10. Takie mam opcje: https://i.imgur.com/TNQW1QL.png
To właśnie ike2/l2tp/ipsec, w zależności jak zrobisz konfigurację. Mój ten konkretny poradnik jest dość stary, powinieneś poszukać nowego jeżeli chcesz postawić ipseca na openwrt.
@Cezary
Nie zanalazłęm innego tematu w którym wypadało by zadać to pytanie
w Poradniku
https://eko.one.pl/?p=openwrt-wireguard
generowanie kluczy jest wykonywane bez umask i samo polecenie się nawet tego czepia. Czy umask w tym wypadku jest bez znaczenia?
wszystkie inne poradniki jakie znalazłem w sieci sugerują użycie:
umask 077 && wg genkey > privkeyPrzecież to zwykły plik jest, możesz sobie ustawić uprawnienia jakie chcesz. U mnie nic się darło i działało tak jak napisałem.
działać działa bez umask tylko sie zastanawiałęm czy same uprawnienienia nie mają jakiegoś wiekszego wpływu na bezpieczeńśtwo
W tym przypadku (openwrt) raczej nie ma.
Podepne się do tematu:
Skorzystalem z poragnika dotyczącego openvpn:
https://openwrt.org/docs/guide-user/ser … nvpn/basic
i wszytko super dziala, ale nie widze tego w ogole w Luci? Jak mam to dodać, aby to bylo widoczne. Po kliknieciu w openVPN w luci nie widze zadnej instanacji.
I nie będziesz widział właśnie dlatego że zrobiłeś generyczny konfig openvpn a nie skonfigurowałeś tego na sposób używany w openwrt.
spróbuj nazwać plik konfiguracyjny my-vpn.conf
Wtedy powinieneś widzieć jako 'custom config'
Pod warunkiem że go doda do /etc/config/openvpn. Bez tego conf jest tylko konfigiem dla openvpn (openvpn właśnie tak czyta pliki) ale uci/luci tego nie zobaczy.
Podpinam się.
Uruchomiłem OpenVPN, działa "z zewnątrz", konfiguracja tun z poradnika Cezarego
https://eko.one.pl/?p=openwrt-openvpntun ze zmienionym portem z domyślnego na inny. Telefon podłączony do lokalnego wifi oraz komputer w lokalnej sieci nie uzyskują połączenia z serwerem openVPN i nie otrzymują tym samym adresu klasy 10.8.0.0 255.255.255.0
Co chcę osiągnąć:
- połączyć się z serwerem openVPN "od wewnątrz" - do multiplayera w obrębie LAN jest mi to potrzebne ;-)
Pytanie:
Którą cześć konfiguracji muszę uzupełnić - Dostęp do sieci lokalnej za serwerem czy bardziej Przekierowanie całego ruchu klientów przez tunel vpn ?
Żadne z powyższych. Dlaczego się nie łączy? (klient wypisuje powód).
Wed Mar 25 22:15:52 2020 OpenVPN 2.4.8 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Oct 31 2019
Wed Mar 25 22:15:52 2020 Windows version 6.2 (Windows 8 or greater) 64bit
Wed Mar 25 22:15:52 2020 library versions: OpenSSL 1.1.0l 10 Sep 2019, LZO 2.10
Enter Management Password:
Wed Mar 25 22:15:52 2020 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Wed Mar 25 22:15:52 2020 Need hold release from management interface, waiting...
Wed Mar 25 22:15:53 2020 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Wed Mar 25 22:15:53 2020 MANAGEMENT: CMD 'state on'
Wed Mar 25 22:15:53 2020 MANAGEMENT: CMD 'log all on'
Wed Mar 25 22:15:53 2020 MANAGEMENT: CMD 'echo all on'
Wed Mar 25 22:15:53 2020 MANAGEMENT: CMD 'bytecount 5'
Wed Mar 25 22:15:53 2020 MANAGEMENT: CMD 'hold off'
Wed Mar 25 22:15:53 2020 MANAGEMENT: CMD 'hold release'
Wed Mar 25 22:15:53 2020 TCP/UDP: Preserving recently used remote address: [AF_INET]PUBLICZNE_IP:1718
Wed Mar 25 22:15:53 2020 Socket Buffers: R=[65536->65536] S=[65536->65536]
Wed Mar 25 22:15:53 2020 UDP link local (bound): [AF_INET][undef]:1194 #skąd się tutaj wziął ten port? Nie ma go w konfiguracji
Wed Mar 25 22:15:53 2020 UDP link remote: [AF_INET]PUBLICZNE_IP:1718
Wed Mar 25 22:15:53 2020 MANAGEMENT: >STATE:1585170953,WAIT,,,,,,
Wed Mar 25 22:15:53 2020 TCP/UDP: Incoming packet rejected from [AF_INET]192.168.5.1:1718[2], expected peer address: [AF_INET]PUBLICZNE_IP:1718 (allow this incoming source address/port by removing --remote or adding --float)
Wed Mar 25 22:15:55 2020 TCP/UDP: Incoming packet rejected from [AF_INET]192.168.5.1:1718[2], expected peer address: [AF_INET]PUBLICZNE_IP:1718 (allow this incoming source address/port by removing --remote or adding --float)
Wed Mar 25 22:15:58 2020 TCP/UDP: Incoming packet rejected from [AF_INET]192.168.5.1:1718[2], expected peer address: [AF_INET]PUBLICZNE_IP:1718 (allow this incoming source address/port by removing --remote or adding --float)
Wed Mar 25 22:15:59 2020 TCP/UDP: Incoming packet rejected from [AF_INET]192.168.5.1:1718[2], expected peer address: [AF_INET]PUBLICZNE_IP:1718 (allow this incoming source address/port by removing --remote or adding --float)
Wed Mar 25 22:16:06 2020 TCP/UDP: Incoming packet rejected from [AF_INET]192.168.5.1:1718[2], expected peer address: [AF_INET]PUBLICZNE_IP:1718 (allow this incoming source address/port by removing --remote or adding --float)
Wed Mar 25 22:16:08 2020 TCP/UDP: Incoming packet rejected from [AF_INET]192.168.5.1:1718[2], expected peer address: [AF_INET]PUBLICZNE_IP:1718 (allow this incoming source address/port by removing --remote or adding --float)Plik konfiguracyjny - klient:
client
dev tun0
proto udp
remote PUBLICZNE_IP 1718
remote-cert-tls server
verb 3
ca ca.crt
cert 14z.crt
key 14z.key
log openvpn.logIncoming packet rejected from [AF_INET]192.168.5.1:1718[2], expected peer address: [AF_INET]PUBLICZNE_IP:1718 (allow this incoming source address/port by removing --remote or adding --float)
Literalne tłumaczenie rozumiem, nie jestem zorientowany jak to zmienić..
Jeśli jeszcze jakieś logi będą potrzebne/pomocne w rozwiązaniu problemu, to pisz śmiało.
remote PUBLICZNE_IP 1718 zmień na remote 192.168.5.1 1718
Dziękuję, połączył się. Czyli "od wewnątrz" trzeba podawać "wewnętrzny" adres serwera openVPN, a od "zewnątrz" zewnętrzny=publiczny adres. Przecież to banał jest.. najciemniej pod latarnią..
Czyli teraz ja łącząc się vpn'em uzyskałem na komputerze adres z podsieci 10.8.0.x, kolega łącząc się od siebie z domu teoretycznie też otrzyma adres z tej samej sieci i teoretycznie będziemy mogli pograć (=nacieszyć się najlepszym okresem ojcostwa, czyli czasem od narodzin niziołka do wyjścia żony ze szpitala...) będąc w tej samej "sieci lokalnej". Jeśli się mylę to mnie popraw.
Czy jeszcze muszę jakiś port przekierowywać, żeby móc hostować gierkę na swoim wirtualnym adresie np. 10.8.0.2?
Jeżeli zrobiłeś odpowiednio całość to będzie działać tak jak opisałeś. Jeżeli gierka słucha na wszystkich interfejsach to najprawdopodobniej słucha jest na 10.8.0.2.
Trochę czasu minęło, nie mogę sobie poradzić z tym połączeniem by dwa urządzenia w jednym VPN "widziały" się nawzajem (w grze).
Co mam, co działa:
- bez włączonego VPN kompy w LAN się widzą, samba działa, ftp działa, gierka działa (firewall'e w windowsach wyłączone na czas testów) - jeden hostuje, drugi się podłącza - w drugą stronę tak samo.
- z włączonym VPN w otoczeniu sieciowym kompy się widzą (można przejść do IP danego kompa z puli 10.8.0.x i jeśli coś ma udostępnione to jest to widoczne, gierka niestety nie działa. Nadałem nawet statyczne IP każdemu klientowi w sieci 10.8.0.x (zgodnie z poradnikiem o OpenVPN) i to też działa, bo dostają ustalone adresy, niestety użytkownik np 10.8.0.2 hostujący gierkę nie jest widoczny dla chcącego się podłączyć, np. 10.8.0.3
Tak jakby jakiegoś przekierowania brakowało albo rutingu, choć z drugiej strony... w otoczeniu sieciowym się widzą.
Jak jeszcze mogę sprawdzić? Jakie przekierowania dodać? Czy to tędy droga?
Za rozwiązanie problemu płacę w papierze toaletowym, 3-warstwowym, najmiękciejszym z lidla! ;-)
Zaloguj się lub zarejestruj by napisać odpowiedź
eko.one.pl → Oprogramowanie / Software → Serwer VPN na OpenWRT?
Forum oparte o PunBB, wspierane przez Informer Technologies, Inc