• Zarejestrowany: 2021-08-15
  • Posty: 66

Temat: Konfiguracja Access Point dla tunelu VPN

Czy jest mi ktoś w stanie powiedzieć jak skonfigurować tunel, który byłby dostepny tylko z jednego AP i wszytskiego co tam podłączę?

Próbowałem wykonać konfigurację wg. poniższych instrukcji ale wyjściowe IP klienta się nie zmienia.

Poniższe instrukcje zakładają, że konfiguracja wykonywana jest na głównym routerze a ja potrzebuje to tylko na dodatkowym:

https://hide.me/pl/vpnsetup/openwrt/openvpn/
https://openwrt.org/docs/guide-user/ser … lient-luci
https://protonvpn.com/support/how-to-se … t-routers/

Router główny (brama) 192.168.0.1
Router dodatkowy na który ma działać VPN 192.168.0.4

Próbowałem też konfigurować klienta manualnie jako bramę wprowadzając 192.168.0.4 - wtedy nie mam w ogóle połączenia.

Jeśli na kliencie dodatkowo skonfiguruję DNS jako: 8.8.8.8 internet działa, ale IP mam providera.

W utworzonym interfejsie tun0 widnieje także błąd "Unkown error"

PunBB bbcode test

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,033

Odp: Konfiguracja Access Point dla tunelu VPN

0. Czemu to robisz na ap a nie na głównym routerze? Będziesz klientom wskazywał AP jako gatewaya zamiast routera?
1. AP musi mieć internet. ping google działa?
2. Najpierw musi być uruchomiony openvpn żeby tunX był dostępny - działa openvpn czy nie?
3. Nie pokazuj screenshotów tylko zawartość konfigów.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez client22

  • Zarejestrowany: 2021-08-15
  • Posty: 66

Odp: Konfiguracja Access Point dla tunelu VPN

0. Na głównym nawet nie mam takiej możliwości bo jest fabryczny soft TP-Linka i nawet nie bardzo mogę zmienić bo to sprzęt operatora wink Poza tym nie potrzebuję przepuszczć całego ruchu przez VPN a jedynie wybranych klientów, wiec nie problem aby skonfigurować manulanie jedno, dwa urządzenia podłączone po LAN-ie.
1. W interfejsie LAN mam wprowadzony adres bramy 192.168.0.1 wiec internet działa.
2. Openvpn też wydaje sie działać. Wprowadziłem config Protonvpn i w tej chwili wygląda to tak:
PunBB bbcode test

Generalnie próbując to skonfigurować w pewnym monencie utraciłem połączenie z routerem włącznie z ssh i musiałem przywrócić do fabrycznych więc jeśli istnieje gotowy config pod takie rozwiazanie to mógłbym wrzucić.

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,033

Odp: Konfiguracja Access Point dla tunelu VPN

Czytaj: https://eko.one.pl/forum/viewtopic.php? … 01#p210001

Więc jeżeli to nie jest główny router to albo musisz go podłączyć normalnie wanem i będziesz miał rouetr za routerem albo przestawić wszystkich klientów żeby korzystali z niego jako gatewaya i dać masq 1 w strefie lan w firewallu.

Bo sam fakt że uruchomiłeś openvpn gdzieś tam na dowolnym hoście w sieci nie będzie jeszcze oznaczało że wszyscy będą z niego korzystali jako bramy wyjściowej.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez mar_w

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: Konfiguracja Access Point dla tunelu VPN

client22 napisał/a:

0. Na głównym nawet nie mam takiej możliwości bo jest fabryczny soft TP-Linka i nawet nie bardzo mogę zmienić bo to sprzęt operatora wink ...

Ogólnie podałeś zbyt mało informacji. "nie bardzo" oznacza że:
1. nie możesz odłączyć sprzętu operatora i podłączyć swojego wpisując odpowiednie dane autoryzacyjne na porcie WAN?
2. czy może nie masz tych danych i nie wiesz jak jest skonfigurowany port WAN żeby móc przypisać wszystkie potrzebne informacje na swój router?
3. czy może wiesz wszystko ale nie masz hasła do routera operatora, żeby chociaż dopisać mu statyczne trasy do tunelu przez klienta?
4. Rozumiem że ten AP (x.y.0.4) jest klientem OpenVPN a nie serwerem OpenVPN?
5. Czy z klientów sieci LAN x.y.0.0/24 chcesz się komunikować tylko z klientami tunelu czy może z klientami innych sieci ukrytymi za innymi klientami openvpn?

Twój problem można by rozwiązać na rożne sposoby nawet jeśli Gateway jest na OFW i masz dostęp do jego Menu lub indywidualnie na konkretnych klientach sieci LAN.

Podobny problem rozwiązał @adalbert.dudziak ale on miał serwer na kliencie i trochę inny układ: https://eko.one.pl/forum/viewtopic.php?id=16630

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

6 Odpowiedź przez client22 (edytowany przez client22 2022-06-23 07:00:00)

  • Zarejestrowany: 2021-08-15
  • Posty: 66

Odp: Konfiguracja Access Point dla tunelu VPN

Dziękuję. Rzeczywiście, wegług Twojej instrukcji + manulanej konfiguracji DNS w kliencie wszytsko działa, ale musiałem wcześniej przywrócić do ustawień fabrycznych.

Jeszcze jedna sprawa: jak teraz skonfigurować dodatkową regułę firewall-a aby odcinało połączenie na świat w przypadku gdy nie ma połączenia z VPN?

Czy moge zrobić tak samo jak w pkt. 6 tutaj?

https://openwrt.org/docs/guide-user/ser … lient-luci

Pytam bo nie chce znowu namieszać konfigurując metodą prób i błędów i przyznaje, że nie do końca rozumiem te reguły.. Zakładając, że nie korzystam z Wan-a i klient jest wpięty w port LAN to ta reguła od Wan-a jest tam w ogóle wykorzystywana i potrzebna?

7 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,033

Odp: Konfiguracja Access Point dla tunelu VPN

Nie. Jak nie korzystasz z wanu to żadna reguła nie jest potrzebna, ale za to korzystasz z lanu i masz zrobić wszystko analogicznie jak było dla wanu tylko zmieniając wan na lan.

Co i tak będzie jak by postawić bramę na środku pola, bo wystarczy że ktoś/coś zmieni gatewaya na tego tplinka i obchodzi całego vpna.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

8 Odpowiedź przez client22

  • Zarejestrowany: 2021-08-15
  • Posty: 66

Odp: Konfiguracja Access Point dla tunelu VPN

Próbowałem ale jakoś nie jestem w stanie jak należy skonfigurować tego killswitch-a.

Za każdym razem jeśli rozłącze VPN, połączenie na świat wychodzi przez główną bramę 192.168.0.1

Wyjściowa konfiguracja przed wprowadzeniem zmian wygląda jak poniżej (kod+screen).

Teraz podążając za instrukcją:
https://openwrt.org/docs/guide-user/ser … lient-luci

1. "Najpierw usuń interfejs tun ze strefy WAN"

- tutaj usuwam vpn ze strefy lan

2. "Następnie kliknij przycisk Dodaj pod listą Strefy , aby dodać nową strefę.
Wybierz Maskarada , MSS Clamping i wybierz interfejs LAN w menu Zezwalaj na przekazywanie ze stref źródłowych"

- w tym kroku dodaje nową strefę o nazwie "VPN" i w "Allow forward to destination zones" wybieram "LAN"

Będąc fizycznie podłączonym klientem do 192.168.0.4 z manualnie ustawioną bramą na 192.168.0.4 (czyli tam gdzie mam VPN), po rozłączeniu VPN, mam wyjściowe IP swojego providera, czyli nie odcina.

config defaults
    option syn_flood '1'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'REJECT'

config zone
    option name 'lan'
    list network 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'

config zone
    option name 'wan'
    list network 'wan'
    list network 'wan6'
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option masq '1'
    option mtu_fix '1'

config forwarding
    option src 'lan'
    option dest 'wan'

config rule
    option name 'Allow-DHCP-Renew'
    option src 'wan'
    option proto 'udp'
    option dest_port '68'
    option target 'ACCEPT'
    option family 'ipv4'

config rule
    option name 'Allow-Ping'
    option src 'wan'
    option proto 'icmp'
    option icmp_type 'echo-request'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-IGMP'
    option src 'wan'
    option proto 'igmp'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-DHCPv6'
    option src 'wan'
    option proto 'udp'
    option src_ip 'fc00::/6'
    option dest_ip 'fc00::/6'
    option dest_port '546'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-MLD'
    option src 'wan'
    option proto 'icmp'
    option src_ip 'fe80::/10'
    list icmp_type '130/0'
    list icmp_type '131/0'
    list icmp_type '132/0'
    list icmp_type '143/0'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Input'
    option src 'wan'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    list icmp_type 'router-solicitation'
    list icmp_type 'neighbour-solicitation'
    list icmp_type 'router-advertisement'
    list icmp_type 'neighbour-advertisement'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Forward'
    option src 'wan'
    option dest '*'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-IPSec-ESP'
    option src 'wan'
    option dest 'lan'
    option proto 'esp'
    option target 'ACCEPT'

config rule
    option name 'Allow-ISAKMP'
    option src 'wan'
    option dest 'lan'
    option dest_port '500'
    option proto 'udp'
    option target 'ACCEPT'

config rule
    option name 'Support-UDP-Traceroute'
    option src 'wan'
    option dest_port '33434:33689'
    option proto 'udp'
    option family 'ipv4'
    option target 'REJECT'
    option enabled 'false'

config include
    option path '/etc/firewall.user'

config zone
    option name 'vpn'
    option input 'ACCEPT'
    option forward 'ACCEPT'
    option output 'ACCEPT'
    option network 'vpn'
    option masq '1'

config forwarding
    option src 'lan'
    option dest 'vpn'

PunBB bbcode test

9 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,033

Odp: Konfiguracja Access Point dla tunelu VPN

To masz usunąć: 

config forwarding
    option src 'lan'
    option dest 'wan'

z pliku /etc/config/firewall

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

10 Odpowiedź przez client22 (edytowany przez client22 2022-06-24 21:52:09)

  • Zarejestrowany: 2021-08-15
  • Posty: 66

Odp: Konfiguracja Access Point dla tunelu VPN

Nie zmieniajac nic z domyślnej konfiguracji usunąłem tylko te dwie linie z pliku firewall, zrestartowałem i to działa na odwrót czyli:

Będąc połączonym z dostawcą VPN, internet nie działa.

Jeśli natomiast rozłącze VPN, działa z domyślnym IP.

A nie jest przypadkiem problemem to, że w interfejsie LAN jako gateway mam wprowadzony adres głównego rutera 192.168.0.1 ?

PunBB bbcode test

11 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,033

Odp: Konfiguracja Access Point dla tunelu VPN

Trzy linie. I nie, sorry, zapomniałem. Jak nie nie korzystasz w wanu to nici z tego, bo to sieć lokalna. Używaj sprzętu jako router a nie jako AP.

I jeszcze raz - nie pokazuj screenshotów z luci. To naprawdę jest niepotrzebne, pokazuj konifigi tekstowe.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

12 Odpowiedź przez client22

  • Zarejestrowany: 2021-08-15
  • Posty: 66

Odp: Konfiguracja Access Point dla tunelu VPN

W zasadzie to ten router nie musi koniecznie działać jako AP ale zaznaczam, że nie chcę go wykorzystywać w roli głównego routera.

1. A gdybym podpiął go do portu WAN a z drugiej strony do LAN głównego routera to coś zmieni?
2. Czy gdybym zbudował jakąś podsieć to dałoby się to ustawić?

Potrzebuje po prostu jeden router/punkt dostępu gdzie klienci będą wychodzić w świat z IP VPN-a. Jeśli VPN nie jest połączony klienci nie mają wyjścia na świat.

13 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,033

Odp: Konfiguracja Access Point dla tunelu VPN

1. Wtedy miałbyś zwykły router, więc tak
2. Ten główny tplink pewnie tego nie obsługuje i nic z tym nie zrobisz tak jak napisałeś. Miałeś tylko odrębną siec w swojej sieci.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

14 Odpowiedź przez client22

  • Zarejestrowany: 2021-08-15
  • Posty: 66

Odp: Konfiguracja Access Point dla tunelu VPN

Zrobiłem update do 22.03.2 i ten sposób instalacji OpenVPN tam już nie działa.

Chyba po "uci commit network" i odświeżeniu interfejsów, luci mówi, że musi coś poprawić. Oczywiście po tym nie udaje się już poprawnie wystartować VPN-a.

Cezary napisał/a:

Czytaj: https://eko.one.pl/forum/viewtopic.php? … 01#p210001

15 Odpowiedź przez Cezary (edytowany przez Cezary 2023-01-06 09:13:15)

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,033

Odp: Konfiguracja Access Point dla tunelu VPN

W 22.03 nie ma opcji ifname dla interfejsu jest zaś device. Powinieneś to wiedzieć jak używasz nowego openwrt.
Uzupełniłem poradnik.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

16 Odpowiedź przez client22 (edytowany przez client22 2023-01-06 23:45:18)

  • Zarejestrowany: 2021-08-15
  • Posty: 66

Odp: Konfiguracja Access Point dla tunelu VPN

Po prostu wychodziłem z założenia, że aktualizacja dodaje nowe funkcje i poprawki ale jednocześnie jest kompatybilna wcześniejszymi wydaniami tak jak ma to miejsce w normalnych systemach.

A w konfiguracji firewall-a przypadkiem też czegoś nie pozmieniali? Bo po Twojej poprawce niby Luci nie wyrzuca już błędu ale VPN jakoś nie chce się połączyć mimio, że wrzucam do etc/openvpn pliki z konfiguracją z których korzystałem wcześniej na 21.03 


config defaults
    option syn_flood '1'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'REJECT'

config zone
    option name 'lan'
    list network 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'

config zone
    option name 'wan'
    list network 'wan'
    list network 'wan6'
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option masq '1'
    option mtu_fix '1'

config forwarding
    option src 'lan'
    option dest 'wan'

config rule
    option name 'Allow-DHCP-Renew'
    option src 'wan'
    option proto 'udp'
    option dest_port '68'
    option target 'ACCEPT'
    option family 'ipv4'

config rule
    option name 'Allow-Ping'
    option src 'wan'
    option proto 'icmp'
    option icmp_type 'echo-request'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-IGMP'
    option src 'wan'
    option proto 'igmp'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-DHCPv6'
    option src 'wan'
    option proto 'udp'
    option dest_port '546'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-MLD'
    option src 'wan'
    option proto 'icmp'
    option src_ip 'fe80::/10'
    list icmp_type '130/0'
    list icmp_type '131/0'
    list icmp_type '132/0'
    list icmp_type '143/0'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Input'
    option src 'wan'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    list icmp_type 'router-solicitation'
    list icmp_type 'neighbour-solicitation'
    list icmp_type 'router-advertisement'
    list icmp_type 'neighbour-advertisement'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Forward'
    option src 'wan'
    option dest '*'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-IPSec-ESP'
    option src 'wan'
    option dest 'lan'
    option proto 'esp'
    option target 'ACCEPT'

config rule
    option name 'Allow-ISAKMP'
    option src 'wan'
    option dest 'lan'
    option dest_port '500'
    option proto 'udp'
    option target 'ACCEPT'

config zone
    option name 'vpn'
    option input 'ACCEPT'
    option forward 'ACCEPT'
    option output 'ACCEPT'
    option network 'vpn'
    option masq '1'

config forwarding
    option src 'vpn'
    option dest 'lan'

17 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,033

Odp: Konfiguracja Access Point dla tunelu VPN

Firewall też się zmienił, ale nie składniowo przez uci - to jest prawie po staremu. W tym przypadku fiirewall nie ma nic wspólnego z połączeniem z vpn. Jeżeli ci się nie łączy to patrz w logi a nie firewalla.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

18 Odpowiedź przez client22 (edytowany przez client22 2023-01-07 09:01:18)

  • Zarejestrowany: 2021-08-15
  • Posty: 66

Odp: Konfiguracja Access Point dla tunelu VPN

Już łączy ale musiałem w Luci dodatkowo poprawić Firewall. Być może dlatego, że instaluje to na routerze który pracuje w trybie AP. O ile się nie mylę to gdy konfigurowałem to ostatnio na 21.03 to po wklpepaniu wszytskich komend w konsoli działało od razu.

Zastanawiam się czy nie podpiąc tego routera od strony WANu bo faktycznie na AP trochę bez sensu ten VPN i pomimo, że ustawiam w kliencie na sztywno adres tego AP i niby mam na kliencie wyjściowe ip VPN-a to zapytania i tak lecą przez DNS-y mojego ISP (tak pokazuje dnsleaktest.com) a przy prawidłowej konfiguracji całośc powinna byc szyfrowana zapytania powinny iść przez DNSy dostawcy VPN.

Pytanie: czy gdybym podpiął ten router pod WAN to jest szansa uzyskania takiej konfiguracji aby jednocześnie robił on za AP? Bo na pewno potrzebowałbym w tym miejscu coś co rozsiewałoby po radiu ten sam SSID, który mam na głównym routerze.

Czy gdybym podpiął się pod WAN tworząc osobną sieć ale jednocześnie, dodał dodatkowy interfejs i ustawił pod niego radio z tym sasmym SSID, szyfrowaniem, hasłem co główna sieć + wyłączył DHCP to ma szanse to zadziałać?

19 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,033

Odp: Konfiguracja Access Point dla tunelu VPN

Nie, wcześniej też nie działało, też musiałeś zmieniać ręcznie.

Tak, może rozsyłać ten sam ssid, tyle że miałbyś inną adresację, bo musiał by robić nat'a. Zresztą - możesz zrobić jak chcesz, wszak to tylko kwestia konfiguracji i pogodzenia się z tym jak to działa.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona