Nie jesteś zalogowany. Proszę się zalogować lub zarejestrować.
eko.one.pl → Oprogramowanie / Software → Kilka różnych klientów openvpn na jednym routerze
Strony 1
Zaloguj się lub zarejestruj by napisać odpowiedź
Witam,
Mam obecnie skonfigurowanego klienta OpenVpn w trybie tun, dział bardzo dobrze.
Chciałbym zapytać czy jest możliwość aby na tym samym routerze dodać kolejnego klienta openvpn który będzie się łączył do innego serwera openvpn z inną podsiecią również w trybie tun. Jest to możliwe? Jeśli tak to czy muszę na coś szczególnie zwrócić uwagę?
Tak. Po prostu robisz w konfigu następnego. Nie możesz tylko w konfigach podać tych samych interfejsów, albo podajesz po prostu tun albo jawnie tun0, tun1 itd.
I oczywiście pamiętaj że oba tunele mogą przestawiać routing po swojemu, więc żeby konfliktów nie było.
OK, dziękuje. Jeszcze mały problem, bo ten kolejny klient ma zaszfrowany hasłem klucz prywatny. Jak to najlepiej rozwiązać?
Wiesz że nigdy tak nie robiłem? Wg googla utwórz plik np /root/private_key.txt z hasłem i przy wołaniu openvpn podaj --askpass /root/private_key.txt. Jeżeli to zadziała to w konfigu możesz dać opcję askpass (to nie jest to samo co auth_user_pass)
Poszło VPN się spiął ale chyba z interfejsem tun jest jakiś problem.Przy pierwszym kliencie dałem option dev tun0, przy drugim option dev tun1. Muszę jeszcze coś na firewall ustawić?
Pierwszy klient zwraca error:
Thu Mar 2 11:33:06 2023 Closing TUN/TAP interface
Thu Mar 2 11:33:06 2023 /sbin/ifconfig tun0 0.0.0.0
Thu Mar 2 11:33:06 2023 SIGTERM[hard,] received, process exiting
Na razie nie ma błędu po prostu zamknął połączenie. Jak już to przyczynę powinieneś mieć kilka linii wyżej.
A właściwa odpowiedź - to zależy co chcesz tym tunelem zrobić. Jeżeli to tylko dostęp do routera to nie musisz nic robić, jeżeli zaś hosty w lanie mają do niego mieć dostęp do tak - firewall, zezwolenie na routing, zabawa pewnie w iproute i pbr itd. Zależy co to ma być.
Ma być tak, że hosty z mojej podsieci mają mieć dostęp do podsieci VPNowej, w drugą stroną ma nie być dostępu.
Więc robisz całą konfigurację. Ale najpierw zestaw połączenie.
A coś takiego muszę dodać?
uci set network.vpn=interface
uci set network.vpn.device=tun1
uci set network.vpn.proto=none
To jest część konfiguracji sieciowej, bez tego nie zrobisz forwardingu pomiędzy strefami firewalla do których należą określone sekcje sieci. Więc tak, musisz.
No to coś jest nie tak bo jak dodaje konfiguracje drugiego klienta nawet z opcją enabled na 0, to pierwszy przestaje działać:
Thu Mar 2 11:57:46 2023 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Thu Mar 2 11:57:46 2023 OPTIONS IMPORT: peer-id set
Thu Mar 2 11:57:46 2023 OPTIONS IMPORT: adjusting link_mtu to 1624
Thu Mar 2 11:57:46 2023 OPTIONS IMPORT: data channel crypto options modified
Thu Mar 2 11:57:46 2023 Data Channel: using negotiated cipher 'AES-256-GCM'
Thu Mar 2 11:57:46 2023 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Thu Mar 2 11:57:46 2023 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Thu Mar 2 11:57:46 2023 TUN/TAP device tun0 opened
Thu Mar 2 11:57:46 2023 TUN/TAP TX queue length set to 100
Thu Mar 2 11:57:46 2023 /sbin/ifconfig tun0 10.8.0.10 netmask 255.255.255.0 mtu 1500 broadcast 10.8.0.255
Thu Mar 2 11:57:46 2023 /sbin/route add -net 10.8.0.0 netmask 255.255.255.0 gw 10.8.0.1
Thu Mar 2 11:57:46 2023 /sbin/route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.8.0.1
Thu Mar 2 11:57:46 2023 /sbin/route add -net 192.168.10.0 netmask 255.255.255.0 gw 10.8.0.1
Thu Mar 2 11:57:46 2023 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Thu Mar 2 11:57:46 2023 Initialization Sequence Completed
Thu Mar 2 12:02:46 2023 event_wait : Interrupted system call (code=4)
Thu Mar 2 12:02:46 2023 /sbin/route del -net 10.8.0.0 netmask 255.255.255.0
Thu Mar 2 12:02:46 2023 /sbin/route del -net 192.168.1.0 netmask 255.255.255.0
Thu Mar 2 12:02:46 2023 /sbin/route del -net 192.168.10.0 netmask 255.255.255.0
Thu Mar 2 12:02:46 2023 Closing TUN/TAP interface
Thu Mar 2 12:02:46 2023 /sbin/ifconfig tun0 0.0.0.0
Thu Mar 2 12:02:46 2023 SIGTERM[hard,] received, process exiting
"This is not an error, it happens when you press control C .."
Przerwałeś po pięciu minutach tunel po prostu?
Robiłem po prostu restart usługi.
Pytanie, pierwszy klient ma interfejs tun0, drugi tun1.
Pierwszy ma coś takiego:
uci set network.vpn=interface
uci set network.vpn.device=tun0
uci set network.vpn.proto=none
Drugi powinien mieć tak?
uci set network.vpn=interface
uci set network.vpn.device=tun1
uci set network.vpn.proto=none
Czy tak:
uci set network.vpn2=interface
uci set network.vpn2.device=tun1
uci set network.vpn2.proto=none
To ostatnie. Tym drugim nadpisał byś pierwszą konfigurację. Nie spojrzałeś do /etc/config/network jak to wygląda po włożeniu danych.
Jak zrobiłes restart usługi to przerwało i tunel. Więc tu błędu jeszcze żadnego nie ma.
Naprawiłem, w nazwie klienta miałem "-" myślnik i w ogóle service nie startował. Teraz już mam tak, że spinają się oba klienci. Tylko nie mam dostępu do podsieci z tego drugiego serwera openvpn.
Routing, firewall, klasy adresowe. Sprawdź po kolei co masz i czego nie masz.
Właśnie się zastanawiam czy ten nowy interfejs vpn2 dodać do już wykorzystywanej wcześniej zony 'vpn'
To od ciebie zależy jak to chcesz skonfigurować.
Dobra, już mi działają dostępu ale z poziomu routera. Z klienta wifi tego samego routera już dostępu nie mam, czego może brakować?
Dobra, już mi działają dostępu ale z poziomu routera. Z klienta wifi tego samego routera już dostępu nie mam, czego może brakować?
Routing, firewall, klasy adresowe. Sprawdź po kolei co masz i czego nie masz.
Dobra, już mi działają dostępu ale z poziomu routera. Z klienta wifi tego samego routera już dostępu nie mam, czego może brakować?
uściślając to masz jeszcze np. takie opcje:
1. powiadomić drugie końcówki tunelu, że sieć wifi z tego routera jest za adresem tej bramki VPN i niech sobie dopiszą do tablicy routingu. Serwer VPN musi wysyłać do klientów te trasy routingu i wtedy odpowiedzi będą szły przez tunel.
czyli:
klientowi A trzeba wysłać trasy do sieci za klientem B oraz do sieci za serwerem VPN
klientowi B trzeba wysłać trasy do sieci za klientem A oraz do sieci za serwerem VPN
Serwer VPN musi wiedzieć, że sieć A jest za klientem A oraz sieć B jest za klientem B
lub
2. zrobić maskaradę w firewallu w strefach vpn(1,2) żeby sieć lokalna Wifi wychodziła na końcówkach tunelu z adresem tunelu.
bo skoro Ci działa dostęp z routera to on wychodzi właśnie adresem tunelu.
Niby szybciej niż pkt. 1 ale... obciążysz router dodatkowym NAT-owaniem pakietów.
3. sprawdzić czy jest forward w obie strony lan-vpn vpn-lan
Zrobiłem maskaradę ale nadal nie działa:
config zone
option name 'vpn2'
list network 'vpn2'
option forward 'ACCEPT'
option masq '1'
option output 'ACCEPT'
option input 'ACCEPT'
EDIT: Restart routera rozwiązał problem.
a nie działał ?
# /etc/init.d/firewall restartpytam z ciekawości
PS. maskarada to najprostsze i najszybsze rozwiązanie jeśli chodzi o konfigurację, ale zawsze jest coś za coś...
Strony 1
Zaloguj się lub zarejestruj by napisać odpowiedź
eko.one.pl → Oprogramowanie / Software → Kilka różnych klientów openvpn na jednym routerze
Forum oparte o PunBB, wspierane przez Informer Technologies, Inc