1

Temat: OpenVPN dwie sieci

Dzień Dobry.

Na OpenWRT mam dwie sieci:

LAN 192.168.10.0/24
MT 192.168.9.0/30

w sieci MT mam urządzenie, które umożliwia logowanie się tylko z adresu z sieci LAN.

I pojawił się problem, bo potrzebuje dostać się do urządzenia z MT będąc poza siecią.  Innym kanałem udało mi się skonfigurować OpenVPN zgodnie z poradnikiem:

https://eko.one.pl/?p=openwrt-openvpntun

Problem jest taki, że otrzymuję domyślny adres 10.8.0.2 bo jest ostrzeżenie

- klienci otrzymają dynamicznie adresy z zakresu 10.8.0.0/24 - ponieważ serwer działa w trybie tun nie należy tego adresu zmieniać np. na adres sieci lan (192.168.1.0/24)!

Ogólnie mam dostęp do urządzeń w sieci LAN 192.168.10.0/24, ale nie mam do urządzenia w sieci MT. Jak połączyć się przez OpenVPN, aby otrzymać adres z sieci LAN, a nie sieci TUN0?


Rozumiem też, że muszę też dodać routing, aby trasować ruch do sieci MT 192.168.9.0/30, czyli w moim przypadku na kliencie (MS WIndows), tak?  Jeśli tak, chciałbym wysłać to "pushem" ale tylko jedna opcja jest dostęp w /etc/config/openvpn

Nie mogę dodać dwóch sieci, tylko jedną.  Próbowałem z list, ale nie udawało się

        option push 'route 192.168.10.0 255.255.255.0'
#        option  push 'route 192.168.9.0 255.255.255.0' 

2

Odp: OpenVPN dwie sieci

Tap'a sobie zrób jak chcesz taką samą adresację, nie tuna.

list  push "xxxx"
list push "xxxx"

Robisz żeby dodać kilka tras.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

3

Odp: OpenVPN dwie sieci

Dzięki Cezary, ale po uruchomieniu TAP0 w kliencie mam :

"TAP does not supported"

Okazuje się, że OpenVPN3 nie obsługuje TAP i nie będzie, natomiast starsza wersja OpenVPN2 tak.  Rozumiem też, że TAP obsługuje poziom 2 modelu OSI, a TUN warstwę trzecią (IP) modelu OSI.

Ściągnę OpenVPN2 i będę walczył natomiast mam dwa pytania:
1. Czy zamiast TAP osiągnę cel za pomocą TUN?
2. Jeśli trzeba TAP to co muszę przezbroić w konfigu serwera poza podmianą w /etc/confing/network z tun0 na tap0 i podobnie z konfigu klienta?

4

Odp: OpenVPN dwie sieci

Musisz konfigurację przerobić, dla tap robi się inaczej. To nie jest tylko kwestia zmiany interfejsu. Czytaj https://eko.one.pl/?p=openwrt-openvpn

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

5

Odp: OpenVPN dwie sieci

Sypie mi błędami i okoazało się, że nie mam interfacu tap0

Dla tun wykonałem

modproble tun

natomiast dla tap mam

root@LEDE:~# modprobe tap
failed to find a module named tap

Jak poradzić sobie z brakiem interface tap?

6

Odp: OpenVPN dwie sieci

I po co? OpenWrt samo domyślnie ładuje moduły, a ten tun odpowiada i za to i za to. Dostałeś poradnik, czemu kombinujesz po swojemu?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

7 (edytowany przez oneiro 2024-12-29 23:24:01)

Odp: OpenVPN dwie sieci

Znalazłem błąd w poradniku w sekcji OpenWRT, jest:

    # uci set openvpn.myvpn.enable=1

powinno być z "D" na końcu enabled smile

Oraz literówkę po mojej stronie, teraz poszło, połączyło się, ale nie otrzymałem adresu ponieważ:

ip a
...
6: eth0.1@eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 54:e6:fc:fb:9a:0c brd ff:ff:ff:ff:ff:ff
    inet 192.168.10.1/24 brd 192.168.10.255 scope global eth0.1
       valid_lft forever preferred_lft forever
    inet6 fe80::56e6:fcff:fefb:9a0c/64 scope link
       valid_lft forever preferred_lft forever

...

18: tap0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 100
    link/ether e6:21:3b:1a:26:8c brd ff:ff:ff:ff:ff:ff

root@LEDE:~# brctl show
bridge name     bridge id               STP enabled     interfaces
br-lan_ha               7fff.54e6fcfb9a0c       no              eth0.5
                                                        wlan0

Chciałbym uzyskać adres z eth0.1 czyli lan 192.168.10.0/24, ale to nie jest mostkowana sieć.

8

Odp: OpenVPN dwie sieci

oneiro napisał/a:

Znalazłem błąd w poradniku w sekcji OpenWRT, jest:

    # uci set openvpn.myvpn.enable=1

powinno być z "D" na końcu enabled smile

Nie, nie znalazłeś błędu. Obie formy są poprawne: https://github.com/openwrt/packages/blo … n.init#L69

Oraz literówkę po mojej stronie, teraz poszło, połączyło się, ale nie otrzymałem adresu ponieważ:

ip a
...
6: eth0.1@eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 54:e6:fc:fb:9a:0c brd ff:ff:ff:ff:ff:ff
    inet 192.168.10.1/24 brd 192.168.10.255 scope global eth0.1
       valid_lft forever preferred_lft forever
    inet6 fe80::56e6:fcff:fefb:9a0c/64 scope link
       valid_lft forever preferred_lft forever

...

18: tap0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 100
    link/ether e6:21:3b:1a:26:8c brd ff:ff:ff:ff:ff:ff

root@LEDE:~# brctl show
bridge name     bridge id               STP enabled     interfaces
br-lan_ha               7fff.54e6fcfb9a0c       no              eth0.5
                                                        wlan0

Chciałbym uzyskać adres z eth0.1 czyli lan 192.168.10.0/24, ale to nie jest mostkowana sieć.

Więc zrób tak żeby tap0 był w jednym bridgu lub na nim nasłuchiwał serwer dhcp.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

9 (edytowany przez oneiro 2024-12-30 09:22:49)

Odp: OpenVPN dwie sieci

Więc zrób tak żeby tap0 był w jednym bridgu lub na nim nasłuchiwał serwer dhcp.

I tu jest pies pogrzebany, bo TAP0 pojawia się po zestawieniu połączeniu, wcześniej tego interface nie ma, więc czy skrypt brctl zadziała na starcie? A nawet później mając zestawione połączenie VPN , po którym pojawia się interface z TAP0 jak zrobić bridge pomiędzy nim,a lan/eth0.1? Tu nie mam pomysłu.

10

Odp: OpenVPN dwie sieci

Nie musisz robić skryptu, możesz w bridgu podać tap0 i sam się doda jak się pojawi. A jeżeli zauważyłeś co robi skrypt - on tworzy tap0.

eth0.1 masz w bridgu, jak nie to zrób. I tap0 dodaj do tego bridga, tak po prostu.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

11

Odp: OpenVPN dwie sieci

Mam dwa problemy.

1. Połączenie OopenWRT się zestawia, ale klient nie otrzymuje adresu z OpenWRT.
2. Skrypt w /etc/init.d/ nie uruchamia się nawet z opcją start, ale ręcznie wywoływany kod działa.


Co zrobiłem?

Jako, że modyfikuję zdalnie przez tunal SSH, a usługi SSH działa miw LAN/eth0.1 to do urządzenia, z którym chcę połączyć ma też dostęp oprócz eth0.1/LAN 192.168.10.0/24 także z eth0.2/LAN_AP 192.168.11.0/24 więc w /etc/config/network dodałem do:

config interface 'lan_ap'
        option ifname 'eth0.2'
        option proto 'static'
        option netmask '255.255.255.0'
        option ipaddr '192.168.11.1'

linię

        option type 'bridge'

oraz zmieniłem z configu dhcp z lan_ap -> br-lan_ap oraz odpowiednio zone w firewall. Po restarcie routera próba połączenia i

root@LEDE:~# logread |grep tap0
Mon Dec 30 19:19:26 2024 daemon.notice openvpn(myvpn)[1468]: TUN/TAP device tap0 opened
Mon Dec 30 19:34:38 2024 daemon.notice openvpn(myvpn)[1468]: TUN/TAP device tap0 opened
root@LEDE:~# brctl show
bridge name     bridge id               STP enabled     interfaces
br-lan_ap               7fff.54e6fcfb9a0c       no              eth0.2
br-lan_ha               7fff.54e6fcfb9a0c       no              eth0.5
                                                        wlan0
root@LEDE:~#ip a
....
....
18: tap0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 100
    link/ether ee:0d:7c:b4:1d:af brd ff:ff:ff:ff:ff:ff

Wychodzi na to, że skrypt nie uruchamia się, bo

root@LEDE:~# /etc/init.d/openvpn-startup start

nic nie zmienia

Ręcznie jak wywołam komendy to dodaje urządzenie tap0 do mostu

        openvpn --mktun --dev tap0
        brctl addif br-lan_ap tap0
        ifconfig tap0 0.0.0.0 promisc up


root@LEDE:~# brctl show
bridge name     bridge id               STP enabled     interfaces
br-lan_ap               7fff.54e6fcfb9a0c       no              eth0.2
                                                        tap0
br-lan_ha               7fff.54e6fcfb9a0c       no              eth0.5
                                                        wlan0

Niemniej po połączeniu  się OpenVPN urządzanie TAP w Windows nie otrzymuje adresu, ma 169.254.48.218 czyli jakiś losowy. W logu OpenWRT też nie widzę przypisania adresu z DHCP.

Log po zestawieniu połączenia OpenWRT:

Mon Dec 30 19:51:23 2024 daemon.notice openvpn(myvpn)[1468]: Outgoing Static Key Encryption: Cipher 'BF-CBC' initialized with 128 bit key
Mon Dec 30 19:51:23 2024 daemon.warn openvpn(myvpn)[1468]: WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Mon Dec 30 19:51:23 2024 daemon.notice openvpn(myvpn)[1468]: Outgoing Static Key Encryption: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Dec 30 19:51:23 2024 daemon.notice openvpn(myvpn)[1468]: Incoming Static Key Encryption: Cipher 'BF-CBC' initialized with 128 bit key
Mon Dec 30 19:51:23 2024 daemon.warn openvpn(myvpn)[1468]: WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Mon Dec 30 19:51:23 2024 daemon.notice openvpn(myvpn)[1468]: Incoming Static Key Encryption: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Dec 30 19:51:23 2024 kern.info kernel: [ 1078.286135] IPv6: ADDRCONF(NETDEV_CHANGE): tap0: link becomes ready
Mon Dec 30 19:51:23 2024 kern.info kernel: [ 1078.292764] br-lan_ap: port 2(tap0) entered forwarding state
Mon Dec 30 19:51:23 2024 kern.info kernel: [ 1078.298502] br-lan_ap: port 2(tap0) entered forwarding state
Mon Dec 30 19:51:23 2024 daemon.notice openvpn(myvpn)[1468]: TUN/TAP device tap0 opened
Mon Dec 30 19:51:23 2024 daemon.notice openvpn(myvpn)[1468]: TUN/TAP TX queue length set to 100
Mon Dec 30 19:51:23 2024 daemon.warn openvpn(myvpn)[1468]: Could not determine IPv4/IPv6 protocol. Using AF_INET
Mon Dec 30 19:51:23 2024 daemon.notice openvpn(myvpn)[1468]: Socket Buffers: R=[163840->163840] S=[163840->163840]
Mon Dec 30 19:51:23 2024 daemon.notice openvpn(myvpn)[1468]: UDPv4 link local (bound): [AF_INET][undef]:1195
Mon Dec 30 19:51:23 2024 daemon.notice openvpn(myvpn)[1468]: UDPv4 link remote: [AF_UNSPEC]
Mon Dec 30 19:51:25 2024 kern.info kernel: [ 1080.290311] br-lan_ap: port 2(tap0) entered forwarding state
Mon Dec 30 19:52:53 2024 daemon.notice openvpn(myvpn)[1468]: Peer Connection Initiated with [AF_INET]37.30.40.50:13362
Mon Dec 30 19:52:53 2024 daemon.warn openvpn(myvpn)[1468]: WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Mon Dec 30 19:52:53 2024 daemon.notice openvpn(myvpn)[1468]: Initialization Sequence Completed
Mon Dec 30 19:52:53 2024 daemon.err openvpn(myvpn)[1468]: Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #10 / time = (1735584774) Mon Dec 30 19:52:54 2024 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Mon Dec 30 19:52:53 2024 daemon.warn openvpn(myvpn)[1468]: WARNING: 'tun-mtu' is used inconsistently, local='tun-mtu 1532', remote='tun-mtu 1500'

A przed uruchomieniem połączeniu, zaraz po restarcie routera w logach mam cały czas takie coś, ja na pewno nie próbuję się łączyć, nie wiem jak to intepretować??


Mon Dec 30 19:38:48 2024 daemon.notice openvpn(myvpn)[1468]: Incoming Static Key Encryption: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Dec 30 19:38:48 2024 daemon.notice openvpn(myvpn)[1468]: TUN/TAP device tap0 opened
Mon Dec 30 19:38:48 2024 daemon.notice openvpn(myvpn)[1468]: TUN/TAP TX queue length set to 100
Mon Dec 30 19:38:48 2024 daemon.warn openvpn(myvpn)[1468]: Could not determine IPv4/IPv6 protocol. Using AF_INET
Mon Dec 30 19:38:48 2024 daemon.notice openvpn(myvpn)[1468]: Socket Buffers: R=[163840->163840] S=[163840->163840]
Mon Dec 30 19:38:48 2024 daemon.notice openvpn(myvpn)[1468]: UDPv4 link local (bound): [AF_INET][undef]:1195
Mon Dec 30 19:38:48 2024 daemon.notice openvpn(myvpn)[1468]: UDPv4 link remote: [AF_UNSPEC]
Mon Dec 30 19:40:48 2024 daemon.notice openvpn(myvpn)[1468]: Inactivity timeout (--ping-restart), restarting
Mon Dec 30 19:40:48 2024 daemon.notice openvpn(myvpn)[1468]: Closing TUN/TAP interface
Mon Dec 30 19:40:48 2024 daemon.notice openvpn(myvpn)[1468]: SIGUSR1[soft,ping-restart] received, process restarting
Mon Dec 30 19:40:48 2024 daemon.notice openvpn(myvpn)[1468]: Restart pause, 5 second(s)
Mon Dec 30 19:40:53 2024 daemon.notice openvpn(myvpn)[1468]: Outgoing Static Key Encryption: Cipher 'BF-CBC' initialized with 128 bit key
Mon Dec 30 19:40:53 2024 daemon.warn openvpn(myvpn)[1468]: WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Mon Dec 30 19:40:53 2024 daemon.notice openvpn(myvpn)[1468]: Outgoing Static Key Encryption: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Dec 30 19:40:53 2024 daemon.notice openvpn(myvpn)[1468]: Incoming Static Key Encryption: Cipher 'BF-CBC' initialized with 128 bit key
Mon Dec 30 19:40:53 2024 daemon.warn openvpn(myvpn)[1468]: WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Mon Dec 30 19:40:53 2024 daemon.notice openvpn(myvpn)[1468]: Incoming Static Key Encryption: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Dec 30 19:40:53 2024 daemon.notice openvpn(myvpn)[1468]: TUN/TAP device tap0 opened
Mon Dec 30 19:40:53 2024 daemon.notice openvpn(myvpn)[1468]: TUN/TAP TX queue length set to 100
Mon Dec 30 19:40:53 2024 daemon.warn openvpn(myvpn)[1468]: Could not determine IPv4/IPv6 protocol. Using AF_INET
Mon Dec 30 19:40:53 2024 daemon.notice openvpn(myvpn)[1468]: Socket Buffers: R=[163840->163840] S=[163840->163840]
Mon Dec 30 19:40:53 2024 daemon.notice openvpn(myvpn)[1468]: UDPv4 link local (bound): [AF_INET][undef]:1195
Mon Dec 30 19:40:53 2024 daemon.notice openvpn(myvpn)[1468]: UDPv4 link remote: [AF_UNSPEC]
Mon Dec 30 19:42:53 2024 daemon.notice openvpn(myvpn)[1468]: Inactivity timeout (--ping-restart), restarting
Mon Dec 30 19:42:53 2024 daemon.notice openvpn(myvpn)[1468]: Closing TUN/TAP interface
Mon Dec 30 19:42:53 2024 daemon.notice openvpn(myvpn)[1468]: SIGUSR1[soft,ping-restart] received, process restarting
Mon Dec 30 19:42:53 2024 daemon.notice openvpn(myvpn)[1468]: Restart pause, 10 second(s)
Mon Dec 30 19:43:03 2024 daemon.notice openvpn(myvpn)[1468]: Outgoing Static Key Encryption: Cipher 'BF-CBC' initialized with 128 bit key
Mon Dec 30 19:43:03 2024 daemon.warn openvpn(myvpn)[1468]: WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Mon Dec 30 19:43:03 2024 daemon.notice openvpn(myvpn)[1468]: Outgoing Static Key Encryption: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Dec 30 19:43:03 2024 daemon.notice openvpn(myvpn)[1468]: Incoming Static Key Encryption: Cipher 'BF-CBC' initialized with 128 bit key
Mon Dec 30 19:43:03 2024 daemon.warn openvpn(myvpn)[1468]: WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Mon Dec 30 19:43:03 2024 daemon.notice openvpn(myvpn)[1468]: Incoming Static Key Encryption: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Dec 30 19:43:03 2024 daemon.notice openvpn(myvpn)[1468]: TUN/TAP device tap0 opened
Mon Dec 30 19:43:03 2024 daemon.notice openvpn(myvpn)[1468]: TUN/TAP TX queue length set to 100
Mon Dec 30 19:43:03 2024 daemon.warn openvpn(myvpn)[1468]: Could not determine IPv4/IPv6 protocol. Using AF_INET
Mon Dec 30 19:43:03 2024 daemon.notice openvpn(myvpn)[1468]: Socket Buffers: R=[163840->163840] S=[163840->163840]
Mon Dec 30 19:43:03 2024 daemon.notice openvpn(myvpn)[1468]: UDPv4 link local (bound): [AF_INET][undef]:1195
Mon Dec 30 19:43:03 2024 daemon.notice openvpn(myvpn)[1468]: UDPv4 link remote: [AF_UNSPEC]
Mon Dec 30 19:45:03 2024 daemon.notice openvpn(myvpn)[1468]: Inactivity timeout (--ping-restart), restarting
Mon Dec 30 19:45:03 2024 daemon.notice openvpn(myvpn)[1468]: Closing TUN/TAP interface
Mon Dec 30 19:45:03 2024 daemon.notice openvpn(myvpn)[1468]: SIGUSR1[soft,ping-restart] received, process restarting
Mon Dec 30 19:45:03 2024 daemon.notice openvpn(myvpn)[1468]: Restart pause, 20 second(s)
Mon Dec 30 19:45:23 2024 daemon.notice openvpn(myvpn)[1468]: Outgoing Static Key Encryption: Cipher 'BF-CBC' initialized with 128 bit key
Mon Dec 30 19:45:23 2024 daemon.warn openvpn(myvpn)[1468]: WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Mon Dec 30 19:45:23 2024 daemon.notice openvpn(myvpn)[1468]: Outgoing Static Key Encryption: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Dec 30 19:45:23 2024 daemon.notice openvpn(myvpn)[1468]: Incoming Static Key Encryption: Cipher 'BF-CBC' initialized with 128 bit key
Mon Dec 30 19:45:23 2024 daemon.warn openvpn(myvpn)[1468]: WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Mon Dec 30 19:45:23 2024 daemon.notice openvpn(myvpn)[1468]: Incoming Static Key Encryption: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Dec 30 19:45:23 2024 daemon.notice openvpn(myvpn)[1468]: TUN/TAP device tap0 opened
Mon Dec 30 19:45:23 2024 daemon.notice openvpn(myvpn)[1468]: TUN/TAP TX queue length set to 100
Mon Dec 30 19:45:23 2024 daemon.warn openvpn(myvpn)[1468]: Could not determine IPv4/IPv6 protocol. Using AF_INET
Mon Dec 30 19:45:23 2024 daemon.notice openvpn(myvpn)[1468]: Socket Buffers: R=[163840->163840] S=[163840->163840]
Mon Dec 30 19:45:23 2024 daemon.notice openvpn(myvpn)[1468]: UDPv4 link local (bound): [AF_INET][undef]:1195
Mon Dec 30 19:45:23 2024 daemon.notice openvpn(myvpn)[1468]: UDPv4 link remote: [AF_UNSPEC]
Mon Dec 30 19:47:23 2024 daemon.notice openvpn(myvpn)[1468]: Inactivity timeout (--ping-restart), restarting
Mon Dec 30 19:47:23 2024 daemon.notice openvpn(myvpn)[1468]: Closing TUN/TAP interface
Mon Dec 30 19:47:23 2024 daemon.notice openvpn(myvpn)[1468]: SIGUSR1[soft,ping-restart] received, process restarting
Mon Dec 30 19:47:23 2024 daemon.notice openvpn(myvpn)[1468]: Restart pause, 40 second(s)

nie zmiania nić

12

Odp: OpenVPN dwie sieci

Mon Dec 30 19:52:53 2024 daemon.err openvpn(myvpn)[1468]: Authenticate/Decrypt packet error: bad packet ID (may be a replay):


Mon Dec 30 19:45:03 2024 daemon.notice openvpn(myvpn)[1468]: Inactivity timeout (--ping-restart), restarting
Mon Dec 30 19:45:03 2024 daemon.notice openvpn(myvpn)[1468]: Closing TUN/TAP interface

Nie połączył się z drugą stroną.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

13 (edytowany przez oneiro 2024-12-30 20:56:44)

Odp: OpenVPN dwie sieci

Czułem, że nadmiar informacji to zły pomysł....Patrzysz na coś, czego nie mogę zrozumieć, ktoś/coś chyba próbuje uderzać i się łączyć, ale nie udaje się.  Zobacz logi wcześniejsze, te są zaraz po połączeniu się:

Mon Dec 30 19:51:23 2024 daemon.notice openvpn(myvpn)[1468]: Outgoing Static Key Encryption: Cipher 'BF-CBC' initialized with 128 bit key
Mon Dec 30 19:51:23 2024 daemon.warn openvpn(myvpn)[1468]: WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Mon Dec 30 19:51:23 2024 daemon.notice openvpn(myvpn)[1468]: Outgoing Static Key Encryption: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Dec 30 19:51:23 2024 daemon.notice openvpn(myvpn)[1468]: Incoming Static Key Encryption: Cipher 'BF-CBC' initialized with 128 bit key
Mon Dec 30 19:51:23 2024 daemon.warn openvpn(myvpn)[1468]: WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Mon Dec 30 19:51:23 2024 daemon.notice openvpn(myvpn)[1468]: Incoming Static Key Encryption: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Dec 30 19:51:23 2024 kern.info kernel: [ 1078.286135] IPv6: ADDRCONF(NETDEV_CHANGE): tap0: link becomes ready
Mon Dec 30 19:51:23 2024 kern.info kernel: [ 1078.292764] br-lan_ap: port 2(tap0) entered forwarding state
Mon Dec 30 19:51:23 2024 kern.info kernel: [ 1078.298502] br-lan_ap: port 2(tap0) entered forwarding state
Mon Dec 30 19:51:23 2024 daemon.notice openvpn(myvpn)[1468]: TUN/TAP device tap0 opened
Mon Dec 30 19:51:23 2024 daemon.notice openvpn(myvpn)[1468]: TUN/TAP TX queue length set to 100
Mon Dec 30 19:51:23 2024 daemon.warn openvpn(myvpn)[1468]: Could not determine IPv4/IPv6 protocol. Using AF_INET
Mon Dec 30 19:51:23 2024 daemon.notice openvpn(myvpn)[1468]: Socket Buffers: R=[163840->163840] S=[163840->163840]
Mon Dec 30 19:51:23 2024 daemon.notice openvpn(myvpn)[1468]: UDPv4 link local (bound): [AF_INET][undef]:1195
Mon Dec 30 19:51:23 2024 daemon.notice openvpn(myvpn)[1468]: UDPv4 link remote: [AF_UNSPEC]
Mon Dec 30 19:51:25 2024 kern.info kernel: [ 1080.290311] br-lan_ap: port 2(tap0) entered forwarding state
Mon Dec 30 19:52:53 2024 daemon.notice openvpn(myvpn)[1468]: Peer Connection Initiated with [AF_INET]37.30.40.50:13362
Mon Dec 30 19:52:53 2024 daemon.warn openvpn(myvpn)[1468]: WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Mon Dec 30 19:52:53 2024 daemon.notice openvpn(myvpn)[1468]: Initialization Sequence Completed
Mon Dec 30 19:52:53 2024 daemon.err openvpn(myvpn)[1468]: Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #10 / time = (1735584774) Mon Dec 30 19:52:54 2024 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
Mon Dec 30 19:52:53 2024 daemon.warn openvpn(myvpn)[1468]: WARNING: 'tun-mtu' is used inconsistently, local='tun-mtu 1532', remote='tun-mtu 1500'

Dodam jeszcze logi od strony klienta:

Mon Dec 30 19:52:43 2024 DEPRECATED OPTION: The option --secret is deprecated.
Mon Dec 30 19:52:43 2024 No tls-client or tls-server option in configuration detected. Disabling data channel offload.
Mon Dec 30 19:52:43 2024 DEPRECATION: No tls-client or tls-server option in configuration detected. OpenVPN 2.7 will remove the functionality to run a VPN without TLS. See the examples section in the manual page for examples of a similar quick setup with peer-fingerprint.
Mon Dec 30 19:52:43 2024 OpenVPN 2.6.12 [git:v2.6.12/038a94bae57a446c] Windows [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] [DCO] built on Jul 18 2024
Mon Dec 30 19:52:43 2024 Windows version 10.0 (Windows 10 or greater), amd64 executable
Mon Dec 30 19:52:43 2024 library versions: OpenSSL 3.3.1 4 Jun 2024, LZO 2.10
Mon Dec 30 19:52:43 2024 DCO version: 1.2.1
Mon Dec 30 19:52:43 2024 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25341
Mon Dec 30 19:52:43 2024 Need hold release from management interface, waiting...
Mon Dec 30 19:52:44 2024 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:46020
Mon Dec 30 19:52:44 2024 MANAGEMENT: CMD 'state on'
Mon Dec 30 19:52:44 2024 MANAGEMENT: CMD 'log on all'
Mon Dec 30 19:52:44 2024 MANAGEMENT: CMD 'echo on all'
Mon Dec 30 19:52:44 2024 MANAGEMENT: CMD 'bytecount 5'
Mon Dec 30 19:52:44 2024 MANAGEMENT: CMD 'state'
Mon Dec 30 19:52:44 2024 MANAGEMENT: CMD 'hold off'
Mon Dec 30 19:52:44 2024 MANAGEMENT: CMD 'hold release'
Mon Dec 30 19:52:44 2024 WARNING: INSECURE cipher (BF-CBC) with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC). Support for these insecure ciphers will be removed in OpenVPN 2.7.
Mon Dec 30 19:52:44 2024 WARNING: INSECURE cipher (BF-CBC) with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC). Support for these insecure ciphers will be removed in OpenVPN 2.7.
Mon Dec 30 19:52:44 2024 WARNING: INSECURE cipher (BF-CBC) with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC). Support for these insecure ciphers will be removed in OpenVPN 2.7.
Mon Dec 30 19:52:44 2024 MANAGEMENT: >STATE:1735584764,RESOLVE,,,,,,
Mon Dec 30 19:52:44 2024 interactive service msg_channel=616
Mon Dec 30 19:52:44 2024 open_tun
Mon Dec 30 19:52:44 2024 tap-windows6 device [OpenVPN TAP-Windows6] opened
Mon Dec 30 19:52:44 2024 TAP-Windows Driver Version 9.27 
Mon Dec 30 19:52:44 2024 Successful ARP Flush on interface [64] {E32E727B-5518-4EB9-A4A3-6390A65DCDF7}
Mon Dec 30 19:52:44 2024 MANAGEMENT: >STATE:1735584764,ASSIGN_IP,,,,,,
Mon Dec 30 19:52:44 2024 TCP/UDP: Preserving recently used remote address: [AF_INET]IP_MOJ:1195
Mon Dec 30 19:52:44 2024 Socket Buffers: R=[65536->65536] S=[64512->64512]
Mon Dec 30 19:52:44 2024 UDPv4 link local: (not bound)
Mon Dec 30 19:52:44 2024 UDPv4 link remote: [AF_INET]IP_MOJ:1195
Mon Dec 30 19:52:54 2024 Peer Connection Initiated with [AF_INET]IP_MOJ:1195
Mon Dec 30 19:52:55 2024 Data Channel: cipher 'BF-CBC', auth 'SHA1'
Mon Dec 30 19:53:00 2024 TEST ROUTES: 0/0 succeeded len=-1 ret=1 a=0 u/d=up
Mon Dec 30 19:53:00 2024 Initialization Sequence Completed
Mon Dec 30 19:53:00 2024 MANAGEMENT: >STATE:1735584780,CONNECTED,SUCCESS,,IP_MOJ,1195,,

14

Odp: OpenVPN dwie sieci

Tu wygląda normalnie.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

15

Odp: OpenVPN dwie sieci

Tak, tutaj mam błąd, za dużo przekonfigurowywania sad

Mon Dec 30 21:11:41 2024 daemon.notice openvpn(myvpn)[1501]: Initialization Sequence Completed
Mon Dec 30 21:11:41 2024 daemon.warn dnsmasq-dhcp[2107]: no address range available for DHCP request via br-lan_ap
Mon Dec 30 21:11:41 2024 daemon.warn dnsmasq-dhcp[2107]: no address range available for DHCP request via br-lan_ap

Ale już nie widzę, gdzie mam bład??


config dnsmasq 'dns_bez_crypto'
        option resolvfile '/var/resolve_file_bez_crypto'
        list interface 'lan_tv'
        list notinterface 'lan'
        list notinterface 'wan'
        list notinterface 'wan_opt'
        list notinterface 'lan_ap'
        list notinterface 'br-lan_ap'
        list notinterface 'lo'
        list notinterface 'lan_mt'
        option domainneeded '1'
        option boguspriv '1'
        option filterwin2k '0'
        option localise_queries '1'
        option rebind_protection '1'
        option rebind_localhost '1'
        option local '/lan2/'
        option domain 'lan2'
        option expandhosts '1'
        option nonegcache '0'
        option authoritative '1'
        option readethers '1'
        option leasefile '/tmp/dhcp.leases_bez_crypto'
        option localservice '1'
        list server '94.140.14.14'
        list server '94.140.15.15'
        option nonwildcard '1'
        option serversfile '/tmp/adb_list.overall'

config dhcp 'lan_tv'
        option instance 'dns_bez_crypto'
        option interface 'lan_tv'
        option start '100'
        option limit '150'
        option leasetime '12h'
        option dhcpv6 'disabled'
        option ra 'disabled'

config dnsmasq 'dns_crypto'
        list interface 'lan'
        #list interface 'lan_ap'
        list interface 'br-lan_ap'
        list interface 'br-lan_ha'
        list interface 'lan_ha'
        list notinterface 'lan_tv'
        list notinterface 'wan'
        list notinterface 'wan_opt'
        option domainneeded '1'
        option boguspriv '1'
        option localise_queries '1'
        option rebind_protection '1'
        option rebind_localhost '1'
        option local '/lan/'
        option domain 'lan'
        option expandhosts '1'
        option authoritative '1'
        option readethers '1'
        option leasefile '/tmp/dhcp.leases_crypto'
        option resolvfile '/var/resolve_file_crypto'
        option localservice '1'
        list server '127.0.0.1#5353'
        option nonwildcard '1'

config dhcp 'lan'
        option instance 'dns_crypto'
        option interface 'lan'
        option start '100'
        option limit '150'
        option leasetime '12h'
        option dhcpv6 'disabled'
        option ra 'disabled'

config dhcp 'br-lan_ap'
        option instance 'dns_crypto'
#       option interface 'lan_ap'
        option interface 'br-lan_ap'
        option start '100'
        option limit '150'
        option leasetime '12h'
        option dhcpv6 'disabled'
        option ra 'disabled'

config dhcp 'lan_ha'
        option instance 'dns_crypto'
        option interface 'lan_ha'
        option start '100'
        option limit '150'
        option leasetime '12h'
        option dhcpv6 'disabled'
        option ra 'disabled'

16

Odp: OpenVPN dwie sieci

option interface 'br-lan_ap'

to jest źle. Ma być nazwa sekcji, czyli lan_ap, nie nazwa interfejsu.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

17

Odp: OpenVPN dwie sieci

Dzięki za odpowiedź, ale nie wiem w o którym miejscu mówisz, pozmieniałem w kilku liniach, ale bez efektu, nie widzę zakresu 192.168.11.100 -- 192.168.11.180, a po zostawaniu połączniu ciągle bład o braku DHCP na tym interface.

Mon Dec 30 21:45:03 2024 daemon.info dnsmasq[5005]: compile time options: IPv6 GNU-getopt no-DBus no-i18n no-IDN DHCP no-DHCPv6 no-Lua TFTP no-conntrack no-ipset no-auth no-DNSSEC no-ID loop-detect inotify
Mon Dec 30 21:45:03 2024 daemon.info dnsmasq-dhcp[5005]: DHCP, IP range 192.168.13.100 -- 192.168.13.249, lease time 12h
Mon Dec 30 21:45:03 2024 daemon.info dnsmasq-dhcp[5005]: DHCP, IP range 192.168.10.100 -- 192.168.10.249, lease time 12h
Mon Dec 30 21:45:03 2024 daemon.info dnsmasq-tftp[5005]: TFTP root is /overlay/work/OLD_ROOT/pxe2
Mon Dec 30 21:45:03 2024 daemon.info dnsmasq[5005]: using nameserver 127.0.0.1#5353
Mon Dec 30 21:45:03 2024 daemon.info dnsmasq[5005]: using local addresses only for domain lan
Mon Dec 30 21:45:03 2024 daemon.warn dnsmasq[5005]: no servers found in /var/resolve_file_crypto, will retry
Mon Dec 30 21:45:03 2024 daemon.info dnsmasq[5005]: read /etc/hosts - 5 addresses
Mon Dec 30 21:45:03 2024 daemon.info dnsmasq[5005]: read /tmp/hosts/dhcp.dns_bez_crypto - 12 addresses
Mon Dec 30 21:45:03 2024 daemon.info dnsmasq[5005]: read /tmp/hosts/dhcp.dns_crypto - 12 addresses
Mon Dec 30 21:45:03 2024 daemon.info dnsmasq-dhcp[5005]: read /etc/ethers - 0 addresses
Mon Dec 30 21:45:03 2024 daemon.info dnsmasq[5004]: started, version 2.78 cachesize 150
Mon Dec 30 21:45:03 2024 daemon.info dnsmasq[5004]: compile time options: IPv6 GNU-getopt no-DBus no-i18n no-IDN DHCP no-DHCPv6 no-Lua TFTP no-conntrack no-ipset no-auth no-DNSSEC no-ID loop-detect inotify
Mon Dec 30 21:45:03 2024 daemon.info dnsmasq-dhcp[5004]: DHCP, IP range 192.168.12.100 -- 192.168.12.249, lease time 12h
Mon Dec 30 21:45:03 2024 daemon.info dnsmasq-dhcp[5004]: DHCP, sockets bound exclusively to interface eth0.3
Mon Dec 30 21:45:03 2024 daemon.info dnsmasq-tftp[5004]: TFTP root is /overlay/work/OLD_ROOT/pxe2
Mon Dec 30 21:45:03 2024 daemon.info dnsmasq[5004]: using nameserver 94.140.15.15#53
Mon Dec 30 21:45:03 2024 daemon.info dnsmasq[5004]: using nameserver 94.140.14.14#53
Mon Dec 30 21:45:03 2024 daemon.info dnsmasq[5004]: using local addresses only for domain lan2
Mon Dec 30 21:45:03 2024 daemon.warn dnsmasq[5004]: no servers found in /var/resolve_file_bez_crypto, will retry
Mon Dec 30 21:45:03 2024 daemon.info dnsmasq[5004]: read /etc/hosts - 5 addresses
Mon Dec 30 21:45:03 2024 daemon.info dnsmasq[5004]: read /tmp/hosts/dhcp.dns_bez_crypto - 12 addresses
Mon Dec 30 21:45:03 2024 daemon.info dnsmasq[5004]: read /tmp/hosts/dhcp.dns_crypto - 12 addresses
Mon Dec 30 21:45:03 2024 daemon.info dnsmasq-dhcp[5004]: read /etc/ethers - 0 addresses
Mon Dec 30 21:45:03 2024 daemon.err dnsmasq[5004]: cannot read /tmp/adb_list.overall: No such file or directory
Mon Dec 30 21:45:03 2024 daemon.info dnsmasq[5004]: using nameserver 94.140.15.15#53
Mon Dec 30 21:45:03 2024 daemon.info dnsmasq[5004]: using nameserver 94.140.14.14#53
Mon Dec 30 21:45:03 2024 daemon.info dnsmasq[5004]: using local addresses only for domain lan2
Mon Dec 30 21:46:07 2024 daemon.warn dnsmasq-dhcp[5005]: no address range available for DHCP request via br-lan_ap
Mon Dec 30 21:46:07 2024 daemon.warn dnsmasq-dhcp[5005]: no address range available for DHCP request via br-lan_ap
Mon Dec 30 21:46:07 2024 daemon.warn dnsmasq-dhcp[5005]: no address range available for DHCP request via br-lan_ap
Mon Dec 30 21:46:14 2024 daemon.warn dnsmasq-dhcp[5005]: no address range available for DHCP request via br-lan_ap
Mon Dec 30 21:46:30 2024 daemon.warn dnsmasq-dhcp[5005]: no address range available for DHCP request via br-lan_ap
Mon Dec 30 21:47:03 2024 daemon.warn dnsmasq-dhcp[5005]: no address range available for DHCP request via br-lan_ap
Mon Dec 30 21:47:08 2024 daemon.warn dnsmasq-dhcp[5005]: no address range available for DHCP request via br-lan_ap
Mon Dec 30 21:47:17 2024 daemon.warn dnsmasq-dhcp[5005]: no address range available for DHCP request via br-lan_ap
Mon Dec 30 21:47:34 2024 daemon.warn dnsmasq-dhcp[5005]: no address range available for DHCP request via br-lan_ap
config dnsmasq 'dns_bez_crypto'
        option resolvfile '/var/resolve_file_bez_crypto'
        list interface 'lan_tv'
        list notinterface 'lan'
        list notinterface 'wan'
        list notinterface 'wan_opt'
        list notinterface 'lan_ap'
        list notinterface 'br-lan_ap'
        list notinterface 'br-lan_ap'
        list notinterface 'lo'
        list notinterface 'lan_mt'
        option domainneeded '1'
        option boguspriv '1'
        option filterwin2k '0'
        option localise_queries '1'
        option rebind_protection '1'
        option rebind_localhost '1'
        option local '/lan2/'
        option domain 'lan2'
        option expandhosts '1'
        option nonegcache '0'
        option authoritative '1'
        option readethers '1'
        option leasefile '/tmp/dhcp.leases_bez_crypto'
        option localservice '1'
        list server '94.140.14.14'
        list server '94.140.15.15'
        option nonwildcard '1'
        option serversfile '/tmp/adb_list.overall'

config dhcp 'lan_tv'
        option instance 'dns_bez_crypto'
        option interface 'lan_tv'
        option start '100'
        option limit '150'
        option leasetime '12h'
        option dhcpv6 'disabled'
        option ra 'disabled'

config dnsmasq 'dns_crypto'
        list interface 'lan'
        list interface 'lan_ap'
        list interface 'br-lan_ap'
        list interface 'br-lan_ha'
        list interface 'lan_ha'
        list notinterface 'lan_tv'
        list notinterface 'wan'
        list notinterface 'wan_opt'
        option domainneeded '1'
        option boguspriv '1'
        option localise_queries '1'
        option rebind_protection '1'
        option rebind_localhost '1'
        option local '/lan/'
        option domain 'lan'
        option expandhosts '1'
        option authoritative '1'
        option readethers '1'
        option leasefile '/tmp/dhcp.leases_crypto'
        option resolvfile '/var/resolve_file_crypto'
        option localservice '1'
        list server '127.0.0.1#5353'
        option nonwildcard '1'

config dhcp 'lan'
        option instance 'dns_crypto'
        option interface 'lan'
        option start '100'
        option limit '150'
        option leasetime '12h'
        option dhcpv6 'disabled'
        option ra 'disabled'

config dhcp 'lan_ap'
        option instance 'dns_crypto'
        list interface 'lan_ap'
        list interface 'br-lan_ap'
        option start '100'
        option limit '180'
        option leasetime '12h'
        option dhcpv6 'disabled'
        option ra 'disabled'

config dhcp 'lan_ha'
        option instance 'dns_crypto'
        option interface 'lan_ha'
        option start '100'
        option limit '150'
        option leasetime '12h'
        option dhcpv6 'disabled'
        option ra 'disabled'

18

Odp: OpenVPN dwie sieci

W sekcji łan_ap. Wywal linie z  list interface br-lan_ap i tylko tam miałeś to wywalić, nie z innych miejsc.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

19 (edytowany przez oneiro 2024-12-30 22:26:15)

Odp: OpenVPN dwie sieci

Nie wiem jak to znajdujesz, ale działa, dzięki smile

Dodałem jeszcze w Windows

route add 192.168.9.0 MASK 255.255.255.252 192.168.11.1

bo moje urządzenie jest w tej sieci (w sumie są tylko dwa urządzenia ze względu na maskę) i jedno odpowiada (os strony OpenWRT), natomoast te pod 192.168.9.2 które jest moim celem nie sad   co muszę jeszcze zrobić:

C:\Windows\system32>ping 192.168.9.1

Pinging 192.168.9.1 with 32 bytes of data:
Reply from 192.168.9.1: bytes=32 time=60ms TTL=64

Ping statistics for 192.168.9.1:
    Packets: Sent = 1, Received = 1, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 60ms, Maximum = 60ms, Average = 60ms
Control-C
^C
C:\Windows\system32>ping 192.168.9.2

Pinging 192.168.9.2 with 32 bytes of data:
Reply from 192.168.11.1: Destination port unreachable.
Reply from 192.168.11.1: Destination port unreachable.
Reply from 192.168.11.1: Destination port unreachable.
Reply from 192.168.11.1: Destination port unreachable.

Ping statistics for 192.168.9.2:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

C:\Windows\system32>

C:\Windows\system32>tracert 192.168.9.2

Tracing route to mikrotik.lan2 [192.168.9.2]
over a maximum of 30 hops:

  1    44 ms    33 ms    40 ms  192.168.11.1
  2  192.168.11.1  reports: Destination protocol unreachable.

Trace complete.

ip a

11: eth0.4@eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 54:e6:fc:fb:9a:0c brd ff:ff:ff:ff:ff:ff
    inet 192.168.9.1/30 brd 192.168.9.3 scope global eth0.4
       valid_lft forever preferred_lft forever
    inet6 fe80::56e6:fcff:fefb:9a0c/64 scope link
       valid_lft forever preferred_lft forever

root@LEDE:~# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.9.2     0.0.0.0         UG    0      0        0 eth0.4
10.8.0.0        0.0.0.0         255.255.255.0   U     0      0        0 tun0
192.168.9.0     0.0.0.0         255.255.255.252 U     0      0        0 eth0.4
192.168.10.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0.1
192.168.11.0    0.0.0.0         255.255.255.0   U     0      0        0 br-lan_ap
192.168.12.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0.3
192.168.13.0    0.0.0.0         255.255.255.0   U     0      0        0 br-lan_ha
192.168.15.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0.30

root@LEDE:~# ping 192.168.9.2
PING 192.168.9.2 (192.168.9.2): 56 data bytes
64 bytes from 192.168.9.2: seq=0 ttl=64 time=0.550 ms
64 bytes from 192.168.9.2: seq=1 ttl=64 time=0.513 ms
64 bytes from 192.168.9.2: seq=2 ttl=64 time=0.502 ms

20

Odp: OpenVPN dwie sieci

Ogarnąłem temat, niepotrzebniue ustawiałem tak:

config zone
        option name 'lan_ap'
#        list network 'lan_ap'
       list network 'br-lan_ap'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'

powinno być tak jak było wcześniej, nic nie ruszać czyli:

config zone
        option name 'lan_ap'
  #      list network 'lan_ap'
       list network 'br-lan_ap'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'

Co prawdad nie rozumiem dlaczego, bo zmianięłm z LAN_AP and BR-LAN_AP, ale działa.