1 Temat przez nesus

  • nesus
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2018-11-29
  • Posty: 156

Temat: Serwer OpenVPN na kliencie

Witam
Zgodnie z opisami:
https://eko.one.pl/forum/viewtopic.php?id=19627
https://eko.one.pl/?p=openwrt-openvpntun

Na terminalu HP jako klient zainstalowałem OpenWRT x86 i Server OpenVPN.
HP'eka ustawiłem jako klient sieci i próbuję  skonfigurować go tak abym mógł dostać się do całej sieci za NAT’em. Przekierowałem port na routerze tak aby VPN łączył się z serwerem OpenVPN i z tym problemu nie ma. Ale po podłączeniu się z internetu przez VPN nie mam kontaktu z pozostałymi klientami.

Nie wiem czego jeszcze brakuje w konfiguracji aby móc połączyć się przez RDP z pozostałymi klientami.
Docelowo chciałbym to postawić za Neostradą i nie wiem czy takie rozwiązanie w ogóle ma sens.

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,068

Odp: Serwer OpenVPN na kliencie

My też nie wiemy. Pokaż całą konfigurację i cały routing to się coś wyjaśni. To że robiłeś zgodnie z opisami w niczym nie pomaga. Tym bardziej że jak rozumiem ten hp nie jest routerem głównym.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez nesus

  • nesus
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2018-11-29
  • Posty: 156

Odp: Serwer OpenVPN na kliencie

Właściwie nie ma się czym chwalić:
config network:

config interface 'loopback'
        option ifname 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config globals 'globals'
        option ula_prefix 'fd7c:8413:6e98::/48'

config interface 'lan'
        option type 'bridge'
        option ifname 'eth0'
        option proto 'dhcp'

openvpn:

config openvpn 'home'
        option enabled '1'
        option dev 'tun0'
        option port '1194'
        option proto 'udp'
        option log '/tmp/openvpn.log'
        option verb '3'
        option ca '/etc/openvpn/ca.crt'
        option cert '/etc/openvpn/serwer.crt'
        option key '/etc/openvpn/serwer.key'
        option server '10.8.0.0 255.255.255.0'
        option topology 'subnet'
        option dh '/etc/openvpn/dh.pem'
        list push 'route 192.168.2.0 255.255.255.0'

Firewall tymczasowo wyłączony. Obecnie główny router, brama i ServerDHCP to Tomato. Port 1194 jest przekierowany na klienta OpenWRT (HPek), który dostaje stałe IP (192.168.2.25). I właściwie chyba tyle. Czy coś jeszcze pokazać?

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,068

Odp: Serwer OpenVPN na kliencie

Co jeszcze zrobiłeś? Firewall?

Nie jest to gateway sieci. Jeżeli będziesz chciał mieć dostęp do lanu to klienci nie będą wiedzieli gdzie odesłać pakietów bo ten sprzęt nie jest bramą domyślą. Zrób serwer na tomato, albo dobrze przeszukaj internet jak zrobić serwer openvpn nie na gatewayu tylko na hoście w sieci.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez nesus

  • nesus
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2018-11-29
  • Posty: 156

Odp: Serwer OpenVPN na kliencie

Firewalla nie ruszałem, tylko go wyłączyłem, bo myślałem, że to on blokuje.
Właśnie docelowo chciałem to zrobić w sieci za Funboxem z Orange, a na nim serwera OpenVPN nie postawię wink Dlatego testuję to w sieci domowej. Tym samym stawianie tego na Tomato nie jest docelowym rozwiązaniem.

Czułem właśnie, że to rozwiązanie jest za proste i gdzieś jest błąd logiczny.
@Cezary podpowiesz, gdzie szukać rozwiązania?

6 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,068

Odp: Serwer OpenVPN na kliencie

Internety. Ja nie mam takiego scenariusza rozpisanego na eko.one.pl.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

7 Odpowiedź przez nesus

  • nesus
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2018-11-29
  • Posty: 156

Odp: Serwer OpenVPN na kliencie

Dzięki, może ktoś jeszcze przerabiał takie rozwiązanie?

8 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,068

Odp: Serwer OpenVPN na kliencie

internety.... jako przykład: https://forums.openvpn.net/viewtopic.php?t=9465

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

9 Odpowiedź przez nesus

  • nesus
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2018-11-29
  • Posty: 156

Odp: Serwer OpenVPN na kliencie

Trochę dłubania na końcówkach, a na gateway nie będę mógł nic zmienić poza przekierowaniem portu. Myślałem, że będzie to prostsze.
Popróbuję, thx.

10 Odpowiedź przez mar_w

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: Serwer OpenVPN na kliencie

nesus napisał/a:

...Obecnie główny router, brama i ServerDHCP to Tomato. Port 1194 jest przekierowany na klienta OpenWRT (HPek), który dostaje stałe IP (192.168.2.25). I właściwie chyba tyle. Czy coś jeszcze pokazać?

nesus napisał/a:

Dzięki, może ktoś jeszcze przerabiał takie rozwiązanie?

Pewnie, że przerabiał smile
@adalbert.dudziak  miał podobny problem i opisał gotowe rozwiązanie w poście #70
Początek i opis problemu masz tu:     https://eko.one.pl/forum/viewtopic.php?id=16630

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

11 Odpowiedź przez nesus

  • nesus
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2018-11-29
  • Posty: 156

Odp: Serwer OpenVPN na kliencie

Dzięki, gdzieś umknął mi ten wątek, bo nawet go wcześniej znalazłem. wink

12 Odpowiedź przez nesus

  • nesus
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2018-11-29
  • Posty: 156

Odp: Serwer OpenVPN na kliencie

mar_w napisał/a:

Pewnie, że przerabiał...
@adalbert.dudziak  miał podobny problem i opisał gotowe rozwiązanie w poście #70...

Przejrzałem ten wątek ale mam wrażenie, że albo tam jest inna konfiguracja albo jest to za bardzo zagmatwane.
1. po co konfiguracja DHCP skoro główny router przydzieli IP z własnej puli? a serwer OpenVPN we własnej sieci pracuje jako klient LAN (chyba, że jest to konfiguracja głównego routera)
2. jaki cel ma plik ccd? nie można tej sekcji dopisać do głównego pliku konfiguracyjnego openvpn?

Czy Ty masz jeszcze taką działającą konfigurację? Podpowiesz jak to skonfigurować mniej biegłemu koledze?

13 Odpowiedź przez mar_w

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: Serwer OpenVPN na kliencie

Ad 1. Ano po to, żeby nie było 2 serwerów DHCP w jednej sieci LAN. Jest to konfiguracja serwera OpenVPN, który jest klientem w sieci LAN.
Ad 2. nie, nie można ponieważ w tym pliku wysyłany jest adres IP który powinien sobie przypisać klient serwera OpenVPN o nazwie "commonname"
Tak się robi dla innych klientów serwera OpenVPN żeby np. wiedzieć pod jakim adresem szukać to, co się chce.

A co Ci przeszkadza ten plik ccd, nawet jakby można było dopisać to do sekcji głównego pliku konfiguracyjnego?

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

14 Odpowiedź przez nesus

  • nesus
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2018-11-29
  • Posty: 156

Odp: Serwer OpenVPN na kliencie

Ad. 1 Myślałem, że wystarczy LAN przełączyć w tryb klienta dhcp i cała usługa będzie ignorowana.
Ad. 2 dodałem ten plik ale nadal urządzenia w sieci nie odpowiadają.

Czy mógłbyś rzucić okiem na moją konfigurację? Nie wiem co oznacza 80% opcji... wink

openvpn:

config openvpn 'home'
        option enabled '1'
        option local '192.168.2.25'
        option topology 'subnet'
        option dev 'tun0'
        option port '1194'
        option proto 'udp'
        option log '/tmp/openvpn.log'
        option verb '3'
        option ca '/etc/openvpn/ca.crt'
        option cert '/etc/openvpn/serwer.crt'
        option key '/etc/openvpn/serwer.key'
        option server '10.8.0.0 255.255.255.0'
        option topology 'subnet'
        option dh '/etc/openvpn/dh.pem'
        list push 'route 192.168.2.0 255.255.255.0'
        list push 'redirect-gateway def1'
        option client_to_client '1'
        option client_config_dir '/etc/openvpn/ccd'

Plik ccd (/etc/openvpn/ccd/klient1):

fconfig-push 10.8.0.2 255.255.255.0

czy tu na pewno powinien być "fconfig..." a nie sam "config..."?

Firewall tymczasowo wyłączyłem.
Czy na stacji, z którą chcę się połączyć muszę ustawiać jeszcze jakiś ROUTE?

15 Odpowiedź przez mar_w (edytowany przez mar_w 2020-05-12 17:51:06)

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: Serwer OpenVPN na kliencie

Ad.1 A czy zamiast przestawiać LAN w tryb klienta DHCP nie jest prościej dodać opcję w sekcji lan w pliku /etc/config/dhcp  

option ignore '1'

i dzięki temu jednoznacznie określić, że on nie może rozdawać adresów?
A w pliku /etc/config/network w sekcji "lan" na sztywno określić adres tak jak jest to standardowo w Openwrt.

Ad.2 a czy uważnie czytałeś post do którego Cię skierowałem, a właściwie dalej czyli #70 ?
Naprawdę tam widzisz

fconfig-push 10.8.0.2 255.255.255.0

?

Jeżeli wyłączyłeś firewall to ciekawe kto będzie robił np. maskaradę?
I po co 2x topology 'subnet' w konfigu.

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

16 Odpowiedź przez nesus

  • nesus
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2018-11-29
  • Posty: 156

Odp: Serwer OpenVPN na kliencie

Ad. 1 kwestia gustu, wynik ten sam - wyłączyć zbędny DHCP
Ad. 2 zmniejszenie okna przeglądarki faktycznie ucięło literkę "i", aż się sam z tego śmieje smile
Ad. 3 niestety firewall nie jest zbędny, tak jak myślałem.

i ostatecznie zadziałało. Wielkie dzięki.
Przydałoby się zrobić z tego dobry tutek, szczególnie przydatny w dzisiejszych czasach do pracy zdalnej.
Może @Cezary miałby chwilę pochylić się nad tym tematem?