1 Temat przez alossek (edytowany przez alossek 2012-10-01 21:35:58)

  • Zarejestrowany: 2011-02-02
  • Posty: 433

Temat: Łączenie dwóch podsieci (jedna za http-proxy), według schematu rpc

Witam!

Chcę połączyć dwie podsieci A i B
1. podsieć A (192.168.10.1)
- router z openwrt
- router dostaje publiczny adres ip (212.x.x.x)

2. podsieć B (192.168.1.1)
- router z openwrt
- router jest za NAT i dostaje zmienny adres ip z DHCP (z puli 172.x.x.x - podsieć C)
- cały ruch na zewnątrz (w podsieci C) jest wycięty - można używać
TYLKO http i https przez serwer proxy (x.x.x.x:8080 http-proxy)

Nie wiem jak to ugryźć, zdaje się że potrzebuję chyba wykorzystać
1. "SSH Reverse tunnel" (http://eko.one.pl/?p=openwrt-sshtunnel)
ale nie wiem jak klient ma przejść http proxy ?
2. OpenVpn (http://rpc.one.pl/index.php/lista-artyk … -w-openwrt)
ale nie wiem co z dyndns skoro jest tam NAT i http proxy.

Da się to w ogóle zrobić ?
Może chociaż "SSH Reverse tunnel" poprzez http proxy ?

Pozdrawiam i proszę o pomoc !

TP-Link TL-WDR4300 v1, Reboot (17.01-SNAPSHOT, r3876-efb6ca1)

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,927

Odp: Łączenie dwóch podsieci (jedna za http-proxy), według schematu rpc

To co pytasz to standardowa konfiguracja OpenVPN o nazwie "road warrior". Serwer stawiasz w A, klient łączy się z B do A, robisz trasy domyślne żeby wskazywały odpowiedni interfejs i tyle. W ogóle nie łam sobie głowy natami z B. W konfiguracji klienta możesz podać ip serwera lub jego nazwę domenową, może być i dyndns. Zwykły tunel zestawiasz po prostu.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez alossek

  • Zarejestrowany: 2011-02-02
  • Posty: 433

Odp: Łączenie dwóch podsieci (jedna za http-proxy), według schematu rpc

Cezary napisał/a:

To co pytasz to standardowa konfiguracja OpenVPN o nazwie "road warrior". Serwer stawiasz w A, klient łączy się z B do A, robisz trasy domyślne żeby wskazywały odpowiedni interfejs i tyle. W ogóle nie łam sobie głowy natami z B. W konfiguracji klienta możesz podać ip serwera lub jego nazwę domenową, może być i dyndns. Zwykły tunel zestawiasz po prostu.

Dzięki,
jeszcze nie doczytałem tej konfiguracji "Road Warrior"
(mam nadzieję że polecany tu (http://eko.one.pl/?p=openwrt-openvpn) rozwiąże mój problem)
rozumiem też że nie będzie problemu z tym http proxy w tej konfiguracji,
czyli da się tak zestawić tunel aby przechodził przez proxy ?

TP-Link TL-WDR4300 v1, Reboot (17.01-SNAPSHOT, r3876-efb6ca1)

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,927

Odp: Łączenie dwóch podsieci (jedna za http-proxy), według schematu rpc

To czy tunel przejdzie przez proxy to już musisz sobie zobaczyć. Są proxy i proxy, jak zrobisz na https teoretycznie nie powinno być problemu.

Mój poradnik się nie nadaje do tego celu - on miał za zadanie podłączyć się tylko do serwera żeby móc korzystać z jego zasobów. A ty chcesz tunelować całą sieć - opis rpc będzie bardziej na miejscu w tym przypadku.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez alossek

  • Zarejestrowany: 2011-02-02
  • Posty: 433

Odp: Łączenie dwóch podsieci (jedna za http-proxy), według schematu rpc

Witam!

Przywracam na chwilę temat, bo próbuję zrealizować
http://rpc.one.pl/index.php/lista-artyk … -w-openwrt

Chodzi mi o konkretnie o fragment
5) Konfiguracja Klienta OpenVPN (vpn_client_lan2.dyndns.biz - LAN2) pod OpenWrt:

 list remote vpn_server_lan1.dyndns.biz
 option tls_remote vpn_server_lan1.dyndns.biz
 option ca /etc/openvpn/ca.crt
 option cert /etc/openvpn/vpn_server_lan1.dyndns.biz.crt
 option key /etc/openvpn/vpn_server_lan1.dyndns.biz.key
 option dh /etc/openvpn/dh1024.pem

czy w konfiguracji dla klienta nie powinno być czasem

 #ZAMIAST: option cert /etc/openvpn/vpn_server_lan1.dyndns.biz.crt
 option cert /etc/openvpn/vpn_client_lan2.dyndns.biz.crt
 #ZAMIAST: option key /etc/openvpn/vpn_server_lan1.dyndns.biz.key
 option key /etc/openvpn/vpn_client_lan2.dyndns.biz.key

Rozumiem że poniższe linie tyczą się już serwera (i to jest poprawne w poradniku rpc)

 list remote vpn_server_lan1.dyndns.biz
 option tls_remote vpn_server_lan1.dyndns.biz

I z tego co widzę rpc zapomniał że tu:
"Na kliencie VPN (LAN2 - vpn_client_lan2.dyndns.biz) kopiujemy np. za pomocą scp:" brakuje 

scp -P 22 /etc/easy-rsa/keys/dh1024.pem root@vpn_server_lan1.dyndns.biz:/etc/openvpn

Czy ktoś przerabiał ten scenariusz i może potwierdzić moje przypuszczenia ?

TP-Link TL-WDR4300 v1, Reboot (17.01-SNAPSHOT, r3876-efb6ca1)

6 Odpowiedź przez badziewiak

  • Skąd: Chrząszczyżewoszyce Łękołody:)
  • Zarejestrowany: 2010-08-26
  • Posty: 1,808

Odp: Łączenie dwóch podsieci (jedna za http-proxy), według schematu rpc

Ja uzywam z powodzeniem OpenVPN na 1043ND przez proxy (klient za proxy to OpenVPN windowsowy). Musialem jednak ustawic tcp i port 443 (przeciez musza laczyc sie z bankiem), bo pozostale mam powycinane.

MiniPC 6xRJ45 2Gb, N100, 16GB DDR5, 1TB NVMe (Gargoyle)
Linksys WRT3200ACM (Gargoyle)
Tp-link 1043NDv2 (Gargoyle)

7 Odpowiedź przez alossek

  • Zarejestrowany: 2011-02-02
  • Posty: 433

Odp: Łączenie dwóch podsieci (jedna za http-proxy), według schematu rpc

badziewiak napisał/a:

Ja uzywam z powodzeniem OpenVPN na 1043ND przez proxy (klient za proxy to OpenVPN windowsowy). Musialem jednak ustawic tcp i port 443 (przeciez musza laczyc sie z bankiem), bo pozostale mam powycinane.

Dzięki za info,
jednak w tej chwili najbardziej interesuje mnie poprawność przedstawionej wyżej konfiguracji.

Pozdrawiam!

TP-Link TL-WDR4300 v1, Reboot (17.01-SNAPSHOT, r3876-efb6ca1)

8 Odpowiedź przez alossek

  • Zarejestrowany: 2011-02-02
  • Posty: 433

Odp: Łączenie dwóch podsieci (jedna za http-proxy), według schematu rpc

badziewiak napisał/a:

Ja uzywam z powodzeniem OpenVPN na 1043ND przez proxy (klient za proxy to OpenVPN windowsowy). Musialem jednak ustawic tcp i port 443 (przeciez musza laczyc sie z bankiem), bo pozostale mam powycinane.

Dzięki, u mnie tak damo było port 443, mnie uratował, no tcp musi być jak jest http_proxy.

Co do moich wcześniejszych uwag, to dla potomnych jednak napiszę,
że potwierdzam w artykule rpc (póki co) jest błąd.
http://rpc.one.pl/index.php/lista-artyk … -w-openwrt

5) Konfiguracja Klienta OpenVPN (vpn_client_lan2.dyndns.biz - LAN2) pod OpenWrt:
jest:

 option cert /etc/openvpn/vpn_server_lan1.dyndns.biz.crt
 option key /etc/openvpn/vpn_server_lan1.dyndns.biz.key

powinno być

 option cert /etc/openvpn/vpn_client_lan2.dyndns.biz.crt
 option key /etc/openvpn/vpn_client_lan2.dyndns.biz.key

a także w
"Na kliencie VPN (LAN2 - vpn_client_lan2.dyndns.biz) kopiujemy np. za pomocą scp:" brakuje pliku
dh1024.pem, wiec należy go tam także skopiować.

scp -P 22 /etc/easy-rsa/keys/dh1024.pem root@vpn_server_lan1.dyndns.biz:/etc/openvpn

--
Pozdrawiam!

TP-Link TL-WDR4300 v1, Reboot (17.01-SNAPSHOT, r3876-efb6ca1)