1

Temat: TP-Link LEDE/LuCI OpenVPN - pytanie

Cześć, mam sobie TL-WDR3600 na oryginalnym firmware. Podłączony jest do niego NAS Synology z serwerem VPN. Na TP-Link chcę wrzucić LEDE/LuCI, ale pojawia się problem. Problem dotyczy poprawnego ustawienia przekierowania portów pod OpenVPN i ustawienia DDNS z No-IP. Mógłby ktoś mi napisać step-by-step jak to ustawić? Nie ukrywam, że skille linuxowe mam bardzo słabe.

2

Odp: TP-Link LEDE/LuCI OpenVPN - pytanie

https://eko.one.pl/?p=openwrt-konfigura … nykomputer

Jako IP podajesz adres IP NASu, jak port - port na którym on nasłuchuje (1194 pewnie)

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

3

Odp: TP-Link LEDE/LuCI OpenVPN - pytanie

A co z DDNS? Na firmware TP-Linka podaję sobie login, hasło, domenę, wybieram providera i z głowy.
https://i.imgur.com/5tvtRWE.png

4

Odp: TP-Link LEDE/LuCI OpenVPN - pytanie

Też opisany: http://eko.one.pl/?p=openwrt-ddns

Jak weźmiesz obraz z luci to odpowiednie rzeczy sobie możesz też wyklikać w luci.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

5

Odp: TP-Link LEDE/LuCI OpenVPN - pytanie

A co mam zrobić, jeśli na liście providerów nie ma no-ip.com?

https://i.imgur.com/8STUksB.png

6

Odp: TP-Link LEDE/LuCI OpenVPN - pytanie

Dobra, znalazłem taki pakiet:

ddns-scripts_no-ip_com

Sprawdzam czy zadziała.

7

Odp: TP-Link LEDE/LuCI OpenVPN - pytanie

OK, wyklikane, i działa. Można zamykać.

8

Odp: TP-Link LEDE/LuCI OpenVPN - pytanie

Fajnie jak ktoś samodzielnie rozwiązuje problemy smile

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

9

Odp: TP-Link LEDE/LuCI OpenVPN - pytanie

Cześć, po aktualizacji do 19.07 mam problem z połączeniem się do VPN.

https://i.imgur.com/fZlkkq4.png


Wyczyściłem traffic rules i forwarded ports z routera i zrobiłem na nowo tak:

root@TL-WDR3600:~# uci add firewall rule
cfg1192bd
root@TL-WDR3600:~# uci set firewall.@rule[-1].name=VPN
root@TL-WDR3600:~# uci set firewall.@rule[-1].src=wan
root@TL-WDR3600:~# uci set firewall.@rule[-1].target=ACCEPT
root@TL-WDR3600:~# uci set firewall.@rule[-1].proto=tcpudp
root@TL-WDR3600:~# uci set firewall.@rule[-1].dest_port=1194
root@TL-WDR3600:~# uci commit firewall
root@TL-WDR3600:~# uci add firewall redirect
cfg123837
root@TL-WDR3600:~# uci set firewall.@redirect[-1].name=OpenVPN
root@TL-WDR3600:~# uci set firewall.@redirect[-1].name=OpenVPN
root@TL-WDR3600:~# uci set firewall.@redirect[-1].src=wan
root@TL-WDR3600:~# uci set firewall.@redirect[-1].proto=tcpudp
root@TL-WDR3600:~# uci set firewall.@redirect[-1].src_dport=1194
root@TL-WDR3600:~# uci set firewall.@redirect[-1].dest_dport=1194
root@TL-WDR3600:~# uci set firewall.@redirect[-1].dest_ip=192.168.0.100
root@TL-WDR3600:~# uci commit firewall

Jak widać porty są otwarte:

https://i.imgur.com/KzNxgex.png


Na 192.168.0.100 jest NAS Synology z aktywną usługą VPN Server skonfigurowaną pod OpenVPN.

https://i.imgur.com/BcC9Rwg.png
https://i.imgur.com/TG6nrcg.png

Macie jakieś pomysły jak temu zaradzić?

10

Odp: TP-Link LEDE/LuCI OpenVPN - pytanie

Zrób tylko przekierowanie, nie otwieraj portu jak nie ma usługi na routerze.

Patrz w iptables czy liczniki się w ogóle zwiększaja.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

11

Odp: TP-Link LEDE/LuCI OpenVPN - pytanie

OK, zostawiłem tylko przekierowanie. W iptabels nic się nie zwiększa.

https://i.imgur.com/fcs3nhn.png
https://i.imgur.com/nMJCs26.png

12

Odp: TP-Link LEDE/LuCI OpenVPN - pytanie

W udp trafił tylko jeden pakiet. Czy na pewno strzelasz klientem w dobry adres wanu? I czy robisz to będąc wewnątrz sieci czy całkowicie innej?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

13

Odp: TP-Link LEDE/LuCI OpenVPN - pytanie

Tak, strzelam w dobry adres, bo mam ustawiony odpowiedni DDNS. Robę to z innej sieci.
https://i.imgur.com/EA71hxV.png

14

Odp: TP-Link LEDE/LuCI OpenVPN - pytanie

Nadal - ten ddns wskazuje ip routera? Bo masz za mało pakietów na liczniku jak na klienta który próbuje się dostać do serwera.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

15

Odp: TP-Link LEDE/LuCI OpenVPN - pytanie

No właśnie też mnie to dziwi, bo gdy pingam ddns, to odpowiada adres routera. Nawet teraz specjalnie zrestartowałem router, żeby sprawdzić czy przypadkiem coś się nie przywiesiło. Niestety nie przyniosło to innych efektów.

16

Odp: TP-Link LEDE/LuCI OpenVPN - pytanie

Klient potrafi pingować ten adres?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

17

Odp: TP-Link LEDE/LuCI OpenVPN - pytanie

Tak, mogę pingać ten adres z klienta bez żadnego problemu.

Zrestartowałem jeszcze firewall via SSH i wypluł mi 2 warningi. Sprawdziłem co jest w pliku firewall, ale mam tam podany dest_dport.

root@TL-WDR3600:/etc/config# /etc/init.d/firewall restart
Warning: Option @redirect[0].dest_dport is unknown
Warning: Section @redirect[0] (OpenVPN) has no target specified, defaulting to DNAT
 * Flushing IPv4 filter table
 * Flushing IPv4 nat table
 * Flushing IPv4 mangle table
 * Flushing IPv4 raw table
 * Flushing IPv6 filter table
 * Flushing IPv6 mangle table
 * Flushing conntrack table ...
 * Populating IPv4 filter table
   * Rule 'Allow-DHCP-Renew'
   * Rule 'Allow-Ping'
   * Rule 'Allow-IGMP'
   * Rule 'Allow-IPSec-ESP'
   * Rule 'Allow-ISAKMP'
   * Redirect 'OpenVPN'
   * Forward 'lan' -> 'wan'
   * Zone 'lan'
   * Zone 'wan'
 * Populating IPv4 nat table
   * Redirect 'OpenVPN'
   * Zone 'lan'
   * Zone 'wan'
 * Populating IPv4 mangle table
   * Zone 'lan'
   * Zone 'wan'
 * Populating IPv4 raw table
   * Zone 'lan'
     - Using automatic conntrack helper attachment
   * Zone 'wan'
 * Populating IPv6 filter table
   * Rule 'Allow-DHCPv6'
   * Rule 'Allow-MLD'
   * Rule 'Allow-ICMPv6-Input'
   * Rule 'Allow-ICMPv6-Forward'
   * Rule 'Allow-IPSec-ESP'
   * Rule 'Allow-ISAKMP'
   * Forward 'lan' -> 'wan'
   * Zone 'lan'
   * Zone 'wan'
 * Populating IPv6 mangle table
   * Zone 'lan'
   * Zone 'wan'
 * Set tcp_ecn to off
 * Set tcp_syncookies to on
 * Set tcp_window_scaling to on
 * Running script '/etc/firewall.user'
root@TL-WDR3600:/etc/config# cat firewall

config defaults
        option syn_flood '1'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'REJECT'

config zone
        option name 'lan'
        list network 'lan'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'

config zone
        option name 'wan'
        list network 'wan'
        list network 'wan6'
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option masq '1'
        option mtu_fix '1'

config forwarding
        option src 'lan'
        option dest 'wan'

config rule
        option name 'Allow-DHCP-Renew'
        option src 'wan'
        option proto 'udp'
        option dest_port '68'
        option target 'ACCEPT'
        option family 'ipv4'

config rule
        option name 'Allow-Ping'
        option src 'wan'
        option proto 'icmp'
        option icmp_type 'echo-request'
        option family 'ipv4'
        option target 'ACCEPT'

config rule
        option name 'Allow-IGMP'
        option src 'wan'
        option proto 'igmp'
        option family 'ipv4'
        option target 'ACCEPT'

config rule
        option name 'Allow-DHCPv6'
        option src 'wan'
        option proto 'udp'
        option src_ip 'fc00::/6'
        option dest_ip 'fc00::/6'
        option dest_port '546'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-MLD'
        option src 'wan'
        option proto 'icmp'
        option src_ip 'fe80::/10'
        list icmp_type '130/0'
        list icmp_type '131/0'
        list icmp_type '132/0'
        list icmp_type '143/0'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Input'
        option src 'wan'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        list icmp_type 'router-solicitation'
        list icmp_type 'neighbour-solicitation'
        list icmp_type 'router-advertisement'
        list icmp_type 'neighbour-advertisement'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Forward'
        option src 'wan'
        option dest '*'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-IPSec-ESP'
        option src 'wan'
        option dest 'lan'
        option proto 'esp'
        option target 'ACCEPT'

config rule
        option name 'Allow-ISAKMP'
        option src 'wan'
        option dest 'lan'
        option dest_port '500'
        option proto 'udp'
        option target 'ACCEPT'

config include
        option path '/etc/firewall.user'

config redirect
        option name 'OpenVPN'
        option src 'wan'
        option src_dport '1194'
        option dest_dport '1194'
        option dest_ip '192.168.0.100'
        option dest 'lan'
        list proto 'tcp'
        list proto 'udp'
        option dest_port '1194'

root@TL-WDR3600:/etc/config#

18

Odp: TP-Link LEDE/LuCI OpenVPN - pytanie

src_dport i dest_port jest. Nie dest_dport

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

19

Odp: TP-Link LEDE/LuCI OpenVPN - pytanie

Nie, dobrze. Jest src_dport i dest_dport

config redirect
        option name 'OpenVPN'
        option src 'wan'
        option src_dport '1194'
        option dest_dport '1194'
        option dest_ip '192.168.0.100'
        option dest 'lan'
        list proto 'tcp'
        list proto 'udp'
        option dest_port '1194'

20

Odp: TP-Link LEDE/LuCI OpenVPN - pytanie

Nie, nie zna tego, jak ci wypisał. Zrób samo

config redirect
        option name 'OpenVPN'
        option src 'wan'
        option src_dport '1194'
        option dest_ip '192.168.0.100'
        option proto 'tcpudp'
        option dest_port '1194'

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

21

Odp: TP-Link LEDE/LuCI OpenVPN - pytanie

Zrobiłem tak, ale po restarcie firewall pluło warningami:

Warning: Section @redirect[0] (OpenVPN) has no target specified, defaulting to DNAT
Warning: Section @redirect[0] (OpenVPN) does not specify a destination, assuming 'lan'

Dodałem na końcu:

option target 'DNAT'
option dest 'lan'

Po restarcie firewall nie ma ostrzeżeń, ale wciąż nie mogę połączyć się z VPN.

22

Odp: TP-Link LEDE/LuCI OpenVPN - pytanie

Jeżeli to ten adres z którego piszesz posty to na porcie 1194 coś słucha i normalnie się zgłasza. Więc problemów szukaj po stronie klienta.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

23 (edytowany przez testy 2020-02-19 20:09:58)

Odp: TP-Link LEDE/LuCI OpenVPN - pytanie

Tak to ten sam adres. Jak patrzę na config file OpenVPN, to tam nie ma co popsuć.

dev tun
tls-client

remote XXX.ddns.net 1194

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp

script-security 2


comp-lzo

reneg-sec 0

cipher AES-256-CBC

auth SHA512

auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----
XXX
-----END CERTIFICATE-----

</ca>

@EDIT

Hmmm... musi być coś skopane gdzieś indziej, bo spod linuxa też pluje tymi błędami.

24

Odp: TP-Link LEDE/LuCI OpenVPN - pytanie

Ok wyczyściłem tamto i zrobiłem zgodnie z tym:

https://eko.one.pl/?p=openwrt-openvpn

Nie pomogło. Zatrzymuje się na tym i nic się nie zmienia:

Sun Mar 01 11:06:30 2020 disabling NCP mode (--ncp-disable) because not in P2MP client or server mode
Sun Mar 01 11:06:30 2020 OpenVPN 2.4.8 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Oct 31 2019
Sun Mar 01 11:06:30 2020 Windows version 6.2 (Windows 8 or greater) 64bit
Sun Mar 01 11:06:30 2020 library versions: OpenSSL 1.1.0l  10 Sep 2019, LZO 2.10
Enter Management Password:
Sun Mar 01 11:06:30 2020 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Sun Mar 01 11:06:30 2020 Need hold release from management interface, waiting...
Sun Mar 01 11:06:30 2020 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Sun Mar 01 11:06:30 2020 MANAGEMENT: CMD 'state on'
Sun Mar 01 11:06:30 2020 MANAGEMENT: CMD 'log all on'
Sun Mar 01 11:06:30 2020 MANAGEMENT: CMD 'echo all on'
Sun Mar 01 11:06:30 2020 MANAGEMENT: CMD 'bytecount 5'
Sun Mar 01 11:06:30 2020 MANAGEMENT: CMD 'hold off'
Sun Mar 01 11:06:30 2020 MANAGEMENT: CMD 'hold release'
Sun Mar 01 11:06:30 2020 Outgoing Static Key Encryption: Cipher 'BF-CBC' initialized with 128 bit key
Sun Mar 01 11:06:30 2020 WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Sun Mar 01 11:06:30 2020 Outgoing Static Key Encryption: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Mar 01 11:06:30 2020 Incoming Static Key Encryption: Cipher 'BF-CBC' initialized with 128 bit key
Sun Mar 01 11:06:30 2020 WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Sun Mar 01 11:06:30 2020 Incoming Static Key Encryption: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Mar 01 11:06:30 2020 MANAGEMENT: >STATE:1583057190,RESOLVE,,,,,,
Sun Mar 01 11:06:31 2020 interactive service msg_channel=0
Sun Mar 01 11:06:31 2020 open_tun
Sun Mar 01 11:06:31 2020 TAP-WIN32 device [Local Area Connection] opened: \\.\Global\{133F9F97-1FAA-4ABC-A2C8-3C1C7B9F8DA4}.tap
Sun Mar 01 11:06:31 2020 TAP-Windows Driver Version 9.24 
Sun Mar 01 11:06:31 2020 Successful ARP Flush on interface [4] {133F9F97-1FAA-4ABC-A2C8-3C1C7B9F8DA4}
Sun Mar 01 11:06:31 2020 TCP/UDP: Preserving recently used remote address: [AF_INET]XXX.XXX.XXX.XXX:1194
Sun Mar 01 11:06:31 2020 Socket Buffers: R=[65536->65536] S=[65536->65536]
Sun Mar 01 11:06:31 2020 UDP link local: (not bound)
Sun Mar 01 11:06:31 2020 UDP link remote: [AF_INET]XXX.XXX.XXX.XXX:1194

Macie jakieś pomysły?

25

Odp: TP-Link LEDE/LuCI OpenVPN - pytanie

Teraz to się połączył przecież.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.