1 Temat przez rufik

  • rufik
  • Użytkownik
  • Nieaktywny
  • Skąd: Łódź
  • Zarejestrowany: 2011-12-20
  • Posty: 260

Temat: OpenVPN - połączenie dwóch podsieci (tun)

Mam dwa routery: MR3420 z netem po 3G (dacza) oraz WDR3600 z stałym łączem i publicznym IP (dom). No i chciałem te dwa LANy połączyć ze sobą, aby sie widziały za pomocą OpenVPN. Ponieważ MR3420 jest po 3G (które czasem zawodzi), więc postanowiłem, że będzie on tutaj stroną kliencką nawiązującą połączenie.
Na obydwu mam GargoylePL 1.5.9.11 i skorzystałem z dodatku "OpenVPN Support for Gargoyle", wyklikując sobie konfigurację w GUI (swoją drogą - rewelacja). No i ładnie się łączy. Jest dostęp dacza->dom do wszystkiego w LANie.

A teraz chciałbym mieć dostęp dom->dacza (czyli server lan->klient lan), czyli w drugą stronę. Zapewne muszę dodać odpowiedni routing, ale nie chce tego robic z palca czy dodawać statycznie. Chcę, aby sam to robił server VPN. Powiedzcie mi, jakiej opcji należy użyć w tym celu w pliku server.conf?
I pewnie FW na routerze klienckim (dacza) też jakoś pootwierać?

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,065

Odp: OpenVPN - połączenie dwóch podsieci (tun)

rufik napisał/a:

Ponieważ MR3420 jest po 3G (które czasem zawodzi), więc postanowiłem, że będzie on tutaj stroną kliencką nawiązującą połączenie.

Akurat innego wyjścia nie miałeś smile

A nie masz już dostępu czasami? Zrób ping na adres który podałeś przy konfiguracji klienta.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez zdzichu6969

  • Skąd: Gniezno/Poznań
  • Zarejestrowany: 2012-07-30
  • Posty: 1,335

Odp: OpenVPN - połączenie dwóch podsieci (tun)

Urządzenia podłączone do klienta vpn jeszcze wrzuc w inna podsiec to bedzie dzialac

RB760iGS + RB260GS / Ryzen 5 2660 / 16G DDR4 / MiniITX - Inea 1G (https://i.imgur.com/TLbJVDw.png)
RB951-2HnD / Celeron J1900 / 4G DDR3 / MiniITX - Satpol 100M

zdzichu6969's Strona

4 Odpowiedź przez rufik (edytowany przez rufik 2013-05-15 11:04:17)

  • rufik
  • Użytkownik
  • Nieaktywny
  • Skąd: Łódź
  • Zarejestrowany: 2011-12-20
  • Posty: 260

Odp: OpenVPN - połączenie dwóch podsieci (tun)

To jest tak:
192.168.10.0(LAN dacza) -> 192.168.6.2 --->net---> 192.168.6.1 -> 192.168.5.0 (LAN dom, server)
Gdzie adresy 192.168.6.1 i .2 są adresami vpn.

Tutaj jest ładny obrazek do tego:
model sieci

Mam dostęp z dowolnej maszyny LAN dacza do dowolnej maszyny w LAN dom. Mam dostęp z LAN dom tylko do 192.168.6.2, ale kompletnie brak mi dostępu do dowolnej maszyny w LAN dacza. Taki "odwrotny dostęp".

Taki ping działa:

ping src=192.168.10.2 -> dst=192.168.5.3

Zaś w drugą stronę już nie działa:

ping src=192.168.5.3 -> dst=192.168.10.2

Do tego może dorzucę moje ustawienia routingu na obydwu routerach:

root@RouterDom:~# route -n
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         195.13.39.161   0.0.0.0         UG    0      0        0 eth0.2
192.168.5.0     0.0.0.0         255.255.255.0   U     0      0        0 br-lan
192.168.6.0     0.0.0.0         255.255.255.0   U     0      0        0 tun0
195.13.39.160   0.0.0.0         255.255.255.224 U     0      0        0 eth0.2

root@RouterDacza:~# route -n
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.64.64.64     0.0.0.0         UG    0      0        0 3g-wan
10.64.64.64     0.0.0.0         255.255.255.255 UH    0      0        0 3g-wan
192.168.5.0     192.168.6.1     255.255.255.0   UG    0      0        0 tun0
192.168.6.0     0.0.0.0         255.255.255.0   U     0      0        0 tun0
192.168.10.0    0.0.0.0         255.255.255.0   U     0      0        0 br-lan

Wydaje mi się, że na "RouterDom" brakuje routingu do sieci 192.168.10.0, więc dodałem sobie z palca coś takiego:

192.168.10.0    0.0.0.0         255.255.255.0   U     0      0        0 tun0

ale nadal brak odpowiedzi choćby na ping. Czy jeszcze coś na FW na RouterDacza muszę otworzyć?

5 Odpowiedź przez muzyk10 (edytowany przez muzyk10 2013-05-15 18:57:18)

  • Zarejestrowany: 2013-05-15
  • Posty: 6

Odp: OpenVPN - połączenie dwóch podsieci (tun)

a forward pakietów masz włączony tu i tu ?

zerknij może tutaj:
https://forums.openvpn.net/topic11877.html

http://www.speedtest.net/result/2735628297.png

6 Odpowiedź przez rufik

  • rufik
  • Użytkownik
  • Nieaktywny
  • Skąd: Łódź
  • Zarejestrowany: 2011-12-20
  • Posty: 260

Odp: OpenVPN - połączenie dwóch podsieci (tun)

Obydwa routery mają to domyślnie włączone:

# cat /proc/sys/net/ipv4/ip_forward
1

Po dodaniu routingu i wyłączeniu firewalla na klienckim routerze też nici z pinga sad
Nie bardzo sie orientuje, do czego służą opcje "route" i "iroute"?

7 Odpowiedź przez rufik

  • rufik
  • Użytkownik
  • Nieaktywny
  • Skąd: Łódź
  • Zarejestrowany: 2011-12-20
  • Posty: 260

Odp: OpenVPN - połączenie dwóch podsieci (tun)

No właśnie, już wiem do czego jest opcja "iroute" - wewnętrzny routing na serwerze.
Dodanie jej do konfiguracji klienta (w katalogu "ccd") załatwiło sprawę. Temat można zamknąć

8 Odpowiedź przez pepe_lodz

  • Zarejestrowany: 2010-06-18
  • Posty: 974

Odp: OpenVPN - połączenie dwóch podsieci (tun)

A możesz dokładniej opisać jak ja dodać krok po kroku... Bo chyba mam podobny problem.

9 Odpowiedź przez rufik (edytowany przez rufik 2013-05-16 12:34:28)

  • rufik
  • Użytkownik
  • Nieaktywny
  • Skąd: Łódź
  • Zarejestrowany: 2011-12-20
  • Posty: 260

Odp: OpenVPN - połączenie dwóch podsieci (tun)

W konfiguracji klienta (plik /etc/openvpn/ccd/<nazwaklienta>) dodałem opcję:

iroute 192.168.10.0 255.255.255.0

Do tego po stonie routera serwerowego (u mnie router Dom) dodałem z palca routing:

route add -net 192.168.10.0 netmask 255.255.255.0 gw 192.168.6.2 dev tun0

Restart openvpn i tyle, bangla jak ta lala smile Moim zdaniem tylko tyle jest potrzebne względem defaultowej autogenerowanej konfiguracji.
Z tego co gdzieś wyczytałem to opcja "iroute" potrzebna jest do jakiegoś routing wewnętrznego openvpn (internal route). Zapewne to było problemem, bo traceroute z router Dom do sieci LAN Dacza nie pokazywał zupełnie żadnych hostów po drodze, a powinien pokazać przeskok przez zdalny iface tun0. To podstawa, zacznij od traceroute.