• Skąd: Wwa
  • Zarejestrowany: 2019-12-22
  • Posty: 614

Temat: openvpn problem

Witam

Poddaję się. Nie potrafię tego zrobić. Opiszę dokładnie o co mi chodzi.

Główny router - mir3g, adresacja 192.168.0.1, system padavan (jeszcze), openvpn zrobiony jak na screenie https://drive.google.com/file/d/1PsWrZ9 … sp=sharing
Klienci z vpn dostają adresy 10.10.10.x
Laptopy i telefon łączy się bez problemu i jest dostęp do wszystkiego z adresacji 192.168.0.1

R6220 ustawiony jako klient openvpn, adresacja 22.22.22.1. Dostaje adres 10.10.10.2, dostęp do wszystkiego z adresacji 192.168.0.1. Laptop podłączony do R6220 może otworzyć luci z adresu 22.22.22.1 i 10.10.10.2.

Chciałbym mieć dostęp do luci z laptopa podłączonego do mir3g.
W R6220 jest też domoticz na ip:8080 i do niego przez chwilę miałem dostęp, teraz już nie ma.

Podejrzewam, że coś w zaporze trzeba zmienić w R6220.

Ping z 192.168.0.203 do urządzenia 10.10.10.3 jest normalnie.

Proszę o pomoc.

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,909

Odp: openvpn problem

Do 10.10.10.2 powinieneś się dostać. Żeby dostać się 22.22.22.1 czy 192.xx musisz dodać forwarding vpn lan/wan zależy który interfejs tam masz.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez palibrzuch

  • Skąd: Wwa
  • Zarejestrowany: 2019-12-22
  • Posty: 614

Odp: openvpn problem

No właśnie do 10.10.10.3 nie było dostępu. Obecnie już jest dostęp tak jak chciałem. Niestety nie mam dostępu do konsoli przez putty. Jutro się tym zajmę.

Dzięki za podpowiedź choć "Żeby dostać się 22.22.22.1 czy 192.xx musisz dodać forwarding vpn lan/wan zależy który interfejs tam masz." tego nie robiłem.

4 Odpowiedź przez palibrzuch

  • Skąd: Wwa
  • Zarejestrowany: 2019-12-22
  • Posty: 614

Odp: openvpn problem

Dopytam jeszcze jedną rzecz.

Czy client openvpn (w tym przypadku R6220)  po rozłączeniu sieci połączy się ponownie? W luci nie widzę konfiguracji do tego. Da się ustalić ile razy ma próbować ponownie? Czy jest to jakoś z automatu?

5 Odpowiedź przez Cezary (edytowany przez Cezary 2020-01-29 09:33:44)

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,909

Odp: openvpn problem

Generalnie openvpn sam ponawia połączenie jak zostanie zerwane albo jak nie może nawiązać połączenia. Cały czas aż do skutku.

PS. Nigdy nie sugeruj się tym że czegoś w luci nie ma.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

6 Odpowiedź przez palibrzuch

  • Skąd: Wwa
  • Zarejestrowany: 2019-12-22
  • Posty: 614

Odp: openvpn problem

Tak tak smile z tym luci to wiem. Konsoli też używam smile

Zastanawia mnie tylko jeszcze jedna rzecz. Laptop mam w firmie podłączony do firmowej sieci lan. Aplikacja na nim zainstalowana openvpn gui łączy mnie bez problemu. R6220 podłączony do tej samej sieci przez wan już się nie łączy. Co może być przyczyną?

7 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,909

Odp: openvpn problem

To już  w logi patrz. openvpn jest dość gadatliwy.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

8 Odpowiedź przez palibrzuch

  • Skąd: Wwa
  • Zarejestrowany: 2019-12-22
  • Posty: 614

Odp: openvpn problem

Docelowo i tak nie będzie podłączony do firmowej sieci. Spojrzę później i dam znać smile

9 Odpowiedź przez palibrzuch

  • Skąd: Wwa
  • Zarejestrowany: 2019-12-22
  • Posty: 614

Odp: openvpn problem

Taki log wypluwa, cały czas się zapętla

Wed Jan 29 14:02:10 2020 daemon.notice openvpn(openwrt)[2623]: SIGUSR1[soft,tls-error] received, process restarting
Wed Jan 29 14:02:10 2020 daemon.notice openvpn(openwrt)[2623]: Restart pause, 10 second(s)
Wed Jan 29 14:02:20 2020 daemon.warn openvpn(openwrt)[2623]: WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Wed Jan 29 14:02:20 2020 daemon.notice openvpn(openwrt)[2623]: TCP/UDP: Preserving recently used remote address: [AF_INET]xxxxxx:1194
Wed Jan 29 14:02:20 2020 daemon.notice openvpn(openwrt)[2623]: Socket Buffers: R=[163840->163840] S=[163840->163840]
Wed Jan 29 14:02:20 2020 daemon.notice openvpn(openwrt)[2623]: UDP link local: (not bound)
Wed Jan 29 14:02:20 2020 daemon.notice openvpn(openwrt)[2623]: UDP link remote: [AF_INET]xxxxxxxx:1194
Wed Jan 29 14:02:22 2020 daemon.err openvpn(openwrt)[2623]: TLS Error: Unroutable control packet received from [AF_INET]xxxxxx:1194 (si=3 op=P_ACK_V1)
Wed Jan 29 14:02:26 2020 daemon.err openvpn(openwrt)[2623]: TLS Error: Unroutable control packet received from [AF_INET]xxxxxx:1194 (si=3 op=P_ACK_V1)
Wed Jan 29 14:02:34 2020 daemon.err openvpn(openwrt)[2623]: TLS Error: Unroutable control packet received from [AF_INET]xxxxxx:1194 (si=3 op=P_ACK_V1)
Wed Jan 29 14:03:21 2020 daemon.err openvpn(openwrt)[2623]: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Jan 29 14:03:21 2020 daemon.err openvpn(openwrt)[2623]: TLS Error: TLS handshake failed
Wed Jan 29 14:03:21 2020 daemon.notice openvpn(openwrt)[2623]: SIGUSR1[soft,tls-error] received, process restarting
Wed Jan 29 14:03:21 2020 daemon.notice openvpn(openwrt)[2623]: Restart pause, 20 second(s)

10 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,909

Odp: openvpn problem

WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.

Masz podane certyfikaty wszystkie w konfigu i masz te certyfikaty w tym katalogu? Czy masz treść certyfikatów w konfigu podane?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

11 Odpowiedź przez palibrzuch

  • Skąd: Wwa
  • Zarejestrowany: 2019-12-22
  • Posty: 614

Odp: openvpn problem

R6220 działa jako klient. Certyfikat zaciągałem przez luci z rozszerzeniem .ovpn

Bez zmiany czegokolwiek podaję mu internet z czystego UPC robiąc klienta po 2.4GHz i wszystko się łączy.

Ten sam certyfikat podaję w openvpn gui i wszystko jest ok.

Pliki .ovpn generuję z mir3g (padavan)

12 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,909

Odp: openvpn problem

Adres serwera masz podany jaki? Publiczny? I wewnątrz sieci nie może się przez ten adres dobić do serwera openvpn?
Jeżeli co taka konfiguracja działa to jednym problem to dobicie się do serwera.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

13 Odpowiedź przez palibrzuch

  • Skąd: Wwa
  • Zarejestrowany: 2019-12-22
  • Posty: 614

Odp: openvpn problem

Adres serwera mam po ddns i jest publiczny.

Wydaje mi się, że fotrinet który mamy w pracy blokuje wszystko bo czasami nawet jak wchodzę przez ddns na swój router to albo puści albo nie, loteria. Zauważyłem, że z laptopa firmowego też czasami mam problem. Ogólnie temat do odpuszczenia bo docelowo tu nie będzie działać.

Aby nie zakładać nowego tematu. Wireguard dużo potrzebuje miejsca w zasobach? Na routerze z flash 4MB ruszy?

14 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,909

Odp: openvpn problem

Chyba że sobie sam skompilujesz bez gui, bez ipv6 i wszystkiego innego co da się wyrzucić.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

15 Odpowiedź przez palibrzuch

  • Skąd: Wwa
  • Zarejestrowany: 2019-12-22
  • Posty: 614

Odp: openvpn problem

Witam

Odkopię trochę temat bo nie chcę nowego zakładać a sprawa w sumie dotyczy openvpn.

Co do blokad fortinetu to mój adres ddns został dodany w konsoli już na stałe i łączę się bez problemu.


Czy w openwrt da się ustawić tak klienta aby łączył się stałym IP?
Mam wiele rzeczy przekierowanych z serwera openvpn na właśnie IP klienta i jeśli laptop czy tel połączy się pierwszy to później 10.10.10.2 jest zajęte i R6220 jako klient dostaje inny adres. Ostatnio dawca internetu z którego korzysta R6620 jako client openvpn musiał gdzieś przestawić router bo sygnał mam gorszy i czasami potrafi rozłączyć codziennie. Ustawiłem sobie reboot co 6h aby w razie rozłączenia router zrobił reboot i połączył się ponownie bo niestety sam z siebie nie chce się połączyć. Dlatego potrzebowałbym aby łączył się na sztywnym IP. Jako serwer mam mir3g ale z padavanem i mimo, że mam ustawione tam stałe IP dla danego clienta to i tak nie działa to.

Może jest gdzieś jakiś prostu skrypt który w razie rozłączenia połączenia z vpn połączy ponownie?

16 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,909

Odp: openvpn problem

1. Tak, da się ustawić.
2. Sprawdź czy ustawiłeś to dobrze, bo do klienta w sumie wysyłasz jeden adres ip, nie może mieć więc innego, a tym bardziej inny klient nie może mieć czyjegoś adresu. Chyba że zrobiłeś certy z takim samym CN...
3. Tak, openvpn łączy się sam cyklicznie. Jest bardzie upierdliwy i jak nie ma połączenia to co chwilę sam próbuje.

Więc szczerze mówiąc nie wiem kompletnie o jakich ty problemach piszesz, bo mam wrażenie że nie są on związane ściśle z openvpn tylko z tym jak to zrobiłeś.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

17 Odpowiedź przez palibrzuch

  • Skąd: Wwa
  • Zarejestrowany: 2019-12-22
  • Posty: 614

Odp: openvpn problem

Niestety po wielu próbach na tym padavanie to chyba nie działa.

Przypisuję 10.10.10.8 i łączy się jako 10.10.10.2

https://drive.google.com/drive/folders/ … sp=sharing

Tu są ustawienia z padavana, więcej nie ma.


ad1 - rozumiem, że mogę to ustawić w R6220 który jest clientem? Jeśli tak to jest gdzieś ściągawka?
ad3 - Niestety u mnie jak się rozłączy to już sam nie potrafi się ponownie połączyć. Będę musiał zgrać logi jak po kilku godzinach się nie połączy.

Co do tego jak to zrobiłem. Na cliencie po prostu zaciągnąłem plik .ovpn, dodałem reguły do firewalla 

config defaults
    option syn_flood '1'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'REJECT'

config zone 'lan'
    option name 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'
    option network 'lan'

config zone 'wan'
    option name 'wan'
    option output 'ACCEPT'
    option masq '1'
    option mtu_fix '1'
    option network 'wan wan6 wwan'
    list device 'tun0'
    option input 'ACCEPT'
    option forward 'ACCEPT'

config forwarding 'lan_wan'
    option src 'lan'
    option dest 'wan'

config rule
    option name 'Allow-DHCP-Renew'
    option src 'wan'
    option proto 'udp'
    option dest_port '68'
    option target 'ACCEPT'
    option family 'ipv4'

config rule
    option name 'Allow-Ping'
    option src 'wan'
    option proto 'icmp'
    option icmp_type 'echo-request'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-IGMP'
    option src 'wan'
    option proto 'igmp'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-DHCPv6'
    option src 'wan'
    option proto 'udp'
    option src_ip 'fc00::/6'
    option dest_ip 'fc00::/6'
    option dest_port '546'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-MLD'
    option src 'wan'
    option proto 'icmp'
    option src_ip 'fe80::/10'
    list icmp_type '130/0'
    list icmp_type '131/0'
    list icmp_type '132/0'
    list icmp_type '143/0'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Input'
    option src 'wan'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    list icmp_type 'router-solicitation'
    list icmp_type 'neighbour-solicitation'
    list icmp_type 'router-advertisement'
    list icmp_type 'neighbour-advertisement'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Forward'
    option src 'wan'
    option dest '*'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-IPSec-ESP'
    option src 'wan'
    option dest 'lan'
    option proto 'esp'
    option target 'ACCEPT'

config rule
    option name 'Allow-ISAKMP'
    option src 'wan'
    option dest 'lan'
    option dest_port '500'
    option proto 'udp'
    option target 'ACCEPT'

config include
    option path '/etc/firewall.user'

config redirect
    option dest_port '22'
    option src 'wan'
    option name 'ssh'
    option src_dport '22'
    option target 'DNAT'
    option dest_ip '22.22.22.1'
    option dest 'lan'

config redirect
    option dest_port '22'
    option src 'wan'
    option name 'ssh fuji'
    option src_dport '33'
    option target 'DNAT'
    option dest 'lan'
    option dest_ip '22.22.22.180'

Nic poza tym nie zmieniałem.

Chciałbym tylko aby za każdym razem client łapał ten sam IP.

18 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,909

Odp: openvpn problem

Robisz ccd w konfigu serwera openvpn i tam podajesz odpowiedni ip dla klienta w poleceniu ifconfig-push, nie na kliencie. Jeżeli padavan tego nie umożliwia to sorry, wywal padavana.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

19 Odpowiedź przez palibrzuch

  • Skąd: Wwa
  • Zarejestrowany: 2019-12-22
  • Posty: 614

Odp: openvpn problem

Czyli wszystkie ustawienia niestety robię na serwerze.

Przez przeglądarkę nie zapisywało konfigu w ccd. Po zrobieniu plików ręcznie wszystko działa smile

Dziękuję za naprowadzenie.

Co do padavana to jego dni są policzone smile
Gdyby wgranie openwrt było mniej skomplikowane to już bym miał tam openwrt ale boję się, że coś nie pyknie a wtedy trzeba będzie poświęcić więcej czasu na naprawę...

Planuję jednak x86 zamiast mir3g i wtedy będę mógł się zająć zmianą softu.