26

Odp: OpenVPN między ruterami - widoczność klientów.

Pokaż konfig openvpn serwera i klienta. Brak trasy domyślnej przez vpn jednoznacznie mówi że masz źle konfig zrobiony bo ta trasa się nie dodaje.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

27

Odp: OpenVPN między ruterami - widoczność klientów.

express napisał/a:

Acha, i jeszcze poprawki do artykułu: certfikaty są tworzone w innych miejscach, niż openvpn ich potem szuka.
W konfiguracji OpenVPN na serwerze zamiast

    # uci set openvpn.home.ca=/etc/openvpn/ca.crt
    # uci set openvpn.home.cert=/etc/openvpn/serwer.crt
    # uci set openvpn.home.key=/etc/openvpn/serwer.key
(...)
    # uci set openvpn.home.dh=/etc/openvpn/dh.pem

Powinno być

    # uci set openvpn.home.ca=/etc/easy-rsa/pki/ca.crt
    # uci set openvpn.home.cert=/etc/easy-rsa/pki/issued/serwer.crt
    # uci set openvpn.home.key=/etc/easy-rsa/pki/private/serwer.key
(...)
    # uci set openvpn.home.dh=/etc/easy-rsa/pki/dh.pem

Nieprawda. Nie przeczytałeś dokładnie poradnika. Jest tam jak byk (że zacytuję siebie):

Certyfikaty (ca.crt, serwer.crt, serwer.key oraz dh.pem) należy przekopiować do katalogu /etc/openvpn.
Certyfikaty klientów (np. malgosia.crt/malgosia.key oraz ca.crt) będą potrzebne do konfiguracji klienta i należy je skopiować do klienta.

Nie czytasz uważnie i stąd te problemy.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

28 (edytowany przez smereka 2024-02-24 08:58:32)

Odp: OpenVPN między ruterami - widoczność klientów.

Openvpn to ciekawa rzecz ale opanowanie tego nie jest latwe a przynajmniej mi nie bylo.Duzo czytania i zrozumienia logiki.Ja z 3 tygodnie testowalem az doszedlem do ladu. Ale jak pojmiesz to dziala miod malina.A potem chce sie wiecej czyli statyczne ip dla klientow.Reguly ktory klient do ktorego ma dostep.Sprawdzenie czy dany klient nie korzyta z cudzego certyfikatu itp itd smile

29 (edytowany przez express 2024-02-24 15:02:12)

Odp: OpenVPN między ruterami - widoczność klientów.

Faktycznie, nie zwróciłem uwagi na to zdanie o kopiowaniu kluczy. Ale pomyłka jest, w innym miejscu:

Certyfikaty będą w podkatalogach katalogu /etc/easyrsa/pki/. Dane w certyfikatach typu county/city można ustawić w pliku /etc/easyrsa/vars.

Tu powinno być /etc/easy-rsa/

Oto moje configi - zakładam, że openvpn.custom_config, openvpn.sample_server i openvpn.sample_client nie są istotne, jeśli mają (...).enabled=0

Serwer:

openvpn.home=openvpn
openvpn.home.enabled='1'
openvpn.home.dev='tun0'
openvpn.home.port='1194'
openvpn.home.proto='udp'
openvpn.home.log='/tmp/openvpn.log'
openvpn.home.verb='3'
openvpn.home.ca='/etc/easy-rsa/pki/ca.crt'
openvpn.home.cert='/etc/easy-rsa/pki/issued/server.crt'
openvpn.home.key='/etc/easy-rsa/pki/private/server.key'
openvpn.home.server='192.168.9.0 255.255.255.0'
openvpn.home.topology='subnet'
openvpn.home.dh='/etc/easy-rsa/pki/dh.pem'
openvpn.home.push='route 192.168.1.0 255.255.255.0' 'redirect-gateway def1'

Klient:

openvpn.client=openvpn
openvpn.client.enabled='1'
openvpn.client.dev='tun0'
openvpn.client.proto='udp'
openvpn.client.log='/tmp/openvpn.log'
openvpn.client.verb='3'
openvpn.client.ca='/etc/openvpn/ca.crt'
openvpn.client.cert='/etc/openvpn/client.crt'
openvpn.client.key='/etc/openvpn/client.key'
openvpn.client.client='1'
openvpn.client.remote_cert_tls='server'
openvpn.client.remote='MOJA.DOMENA 1194'

30

Odp: OpenVPN między ruterami - widoczność klientów.

express napisał/a:

Faktycznie, nie zwróciłem uwagi na to zdanie o kopiowaniu kluczy. Ale pomyłka jest, w innym miejscu:

Certyfikaty będą w podkatalogach katalogu /etc/easyrsa/pki/. Dane w certyfikatach typu county/city można ustawić w pliku /etc/easyrsa/vars.

Tu powinno być /etc/easy-rsa/

Poprawiłem, dzięki.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

31

Odp: OpenVPN między ruterami - widoczność klientów.

Kilka miesięcy temu porzuciłem temat z powodów życiowych, teraz próbuję od początku - i utknąłem w tym samym miejscu.
Sprzętowo jest identycznie:
Konfiguracja jest taka:
Domowy LAN {A} <-> główny router (OpenWRT), serwer OpenVPN {A}<-> ISP1        <kabel-INTERNET-gsm>      ISP2 <-> Drugi router OpenWRT {B} <-> Drugi LAN{B}

Wszystko w domowym LANie działa, router robi co trzeba itd.
Adresy IP: 192.168.1.0 {A}

Drugi router rozdaje adresy po DHCP do drugiego LAN - 192.168.2.0 {B}
I to też działa.

Adresy VPN: 192.168.9.0, router A ma 192.168.9.1, router B dostaje od niego 192.168.9.2

Router {B} podłącza się po VPN do routera {A}, i nawet widzi urządzenia w sieci A. ale żaden klient z B nie widzi nawet routera A, nie mówiąc o sieci A.
Jest to o tyle oczywiste, że klienci w B po prostu nie dostają adresów VPNowych (192.168.9.1). I tu kwestia - może tak ma być? Nie wiem tego po prostu - czy w teorii po podłączeniu rutera do VPN klienci tego rutera też zostaną podłączeni - czy też muszą mieć własne certyfikaty i podłączać się samemu do VPN?

(klienci z A mogą nie widzieć B, bo jeszcze do tego punktu poradnika nie doszedłem)

32

Odp: OpenVPN między ruterami - widoczność klientów.

Jak łączysz router z routerem to oczywiście klienci w sieci routeraA czy B nie mają adresów VPN bo i po co. To router ma mieć ustawiony odpowiedni routing i widzieć gdzie wysłać określone pakiety.
Łączysz sieć z siecią po prostu a nie hosta do sieci.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.