Dzisiaj jest 16 sie 2017, 16:59

Strefa czasowa UTC+1godz. [letni]




Nowy temat Odpowiedz w temacie  [ Posty: 8 ] 
Autor Wiadomość
 Tytuł: konfiguracja OpenVPN na Ubiquiti ERL
Post: 17 maja 2017, 23:37 
Offline
Użytkownik

Rejestracja: 27 paź 2016, 15:00
Posty: 15
Hej,
idąc krok po kroku przez konfigurację mojego routerka (Ubiquiti EdgeRouterLite z LEDE) natrafiłem na kolejny problem.
Chciałem ustawić sobie OpenVPN w trybie tun (niestety tylko taki jest obsługiwany przez iphony itd), wszystko pięknie, tylko nie mam dostępu do urządzeń w lan'ie.
Przegrzebałem już sporo poradników i stron jednak nie mogę znaleźć błędu (nie jestem też super biegły), więc może będziecie w stanie mi pomóc.

wysyłam konfiguracje odnośnie VPN

firewall:
config zone
        option name             lan
        list   network          'lan'
        option input            ACCEPT
        option output           ACCEPT
        option forward          ACCEPT


config rule
        option src              'wan'
        option target           'ACCEPT'
        option proto            'udp'
        option dest_port        '1195'

config zone
        option name             'vpn_tun'
        option network          'vpn2'
        option input            'ACCEPT'
        option forward          'REJECT'
        option output           'ACCEPT'
        option masq             '1'

config forwarding
        option src              'vpn2'
        option dest             'lan'

config forwarding
        option src              'lan'
        option dest             'vpn2'

config forwarding
        option src              'vpn2'
        option dest             'wan'


openvpn:
config openvpn 'my-vpn'
        option enabled '1'
        option dev 'tun0'
        option port '1195'
        option proto 'udp'
        option log '/tmp/openvpn2.log'
        option verb '3'
        option dh '/etc/openvpn/dh2048.pem'
        option ca '/etc/openvpn/ca.crt'
        option cert '/etc/openvpn/server.crt'
        option key '/etc/openvpn/server.key'
        option server '10.8.0.0 255.255.255.0'
        option keepalive '10 120'
        option mode server
        option tls_server 1
        option comp_lzo 'yes'
        list    push 'route 192.168.100.0 255.255.255.0'
        list    push 'dhcp-option DNS 192.168.100.1'
        list    push 'redirect-gateway def1'


network:
config interface 'lan'
        option ifname 'eth0'
        option type 'bridge'
        option proto 'static'
        option netmask '255.255.255.0'
        option ipaddr '192.168.100.3'
        option gateway '192.168.100.1'
        option force_link '1'

config interface 'wan'
        option ifname 'eth1'
        option proto 'dhcp'

config interface 'vpn2'
        option ifname 'tun0'
        option proto 'none'



Konfiguracja klienta:
    client
    dev tun
    pkcs12 myname.p12
    proto udp
    remote mydomain.ddns.pl1195
    ns-cert-type server
    comp-lzo
    persist-key
    persist-tun
    nobind
    resolv-retry inifinite
    verb 3


Jeśli coś jeszcze potrzeba dajcie znać. Zależy mi na tej konfiguracji. Mam podobną na Tp-Link Archer C7 i działa bez zarzutów, nie wiem czemu tu jest coś nie tak.




EDIT:

samo połączenie działa, po usunięciu części firewalla możemy pingować router z klienta i klienta z routera (10.8.0.0). po włączeniu tej części ping przestaje działać.
config forwarding
        option src              'vpn2'
        option dest             'lan'

config forwarding
        option src              'lan'
        option dest             'vpn2'

config forwarding
        option src              'vpn2'
        option dest             'wan'


Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
 Tytuł: Re: konfiguracja OpenVPN na Ubiquiti ERL
Post: 19 maja 2017, 06:09 
Offline
Przyjaciel openrouter.info
Awatar użytkownika

Rejestracja: 10 kwie 2010, 13:03
Posty: 648
Lokalizacja: Wrocław
Jesli chcesz miec dostep z 1 urzadzenia podpietego po VPNie do 2 ktore rowniez jest przez VPNa podlaczone to w konfiguacji serwera VPN brakuje Ci:

client-to-client
topology subnet



Natomiast aby miec dostep do LANu, sprobowalbym na poczatek w konfiguraji firewalla, w strefie vpn_tun:

option forward          'REJECT'


ustawic na ACCEPT.

_________________
Obrazek

Asus RT-N16: TomatoUSB 1.28 RT-N MIPSR2-109 K26 AIO
Linksys WRT1900AC: OpenWrt 15.05.1
TpLink TL-WDR4300: OpenWrt 15.05
Ubiquiti RouterStation Pro: Kagera 2015.0


Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
 Tytuł: Re: konfiguracja OpenVPN na Ubiquiti ERL
Post: 19 maja 2017, 08:48 
Offline
Użytkownik

Rejestracja: 12 kwie 2010, 21:03
Posty: 69
Opcja client-to-client wymagana jest tylko przy topology net30 (domyślna, taką właśnie stosuje 7fishers). Jeśli zdecyduje się na topology subnet to client-to-client nie jest potrzebne - klienci widzą się automatycznie, bo są w tej samej podsieci. Problemem jest zapewne REJECT przy forwardingu przy ustawieniach firewalla dla interfejsu tun.

_________________
TP-Link TL-WDR3600 v1.5 - Gargoyle 1.6.2.2 by obsy +CREATIVE SB Play +Logitech Z506 +Medion OR24V +DVB-T MT4171 +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A


Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
 Tytuł: Re: konfiguracja OpenVPN na Ubiquiti ERL
Post: 19 maja 2017, 16:22 
Offline
Użytkownik

Rejestracja: 27 paź 2016, 15:00
Posty: 15
@belliash dzięki za podpowiedź, ale mimo wszystko nie działa.

@khain pewnie masz rację, bo sam znalazłem jeden błąd.

Zmieniłem zmieniłem w konfiguracji firewall "vpn" forward -> ACCEPT, i znalazłem błąd przy forwardzie lan<->vpn. (odwoływałem się do nazwy interface zamiast do nazwy zone z firewalla)

Wrzucam też aktualne ustawienia odnośnie vpn, będąc klientem vpn (tun) nadal nie widzę urządzeń w lanie.

firewall.users:
iptables -I OUTPUT -o tun+ -j ACCEPT
iptables -I INPUT -i tun+ -j ACCEPT
iptables -I FORWARD -o tun+  -j ACCEPT
iptables -I FORWARD -i tun+  -j ACCEPT


firewall:
config zone
   option name      lan
   list   network      'lan'
   option input         ACCEPT
   option output      ACCEPT
   option forward      ACCEPT   

config zone
   option name      wan
   list   network      'wan'
   list   network      'wan6'
   option input         REJECT
   option output      ACCEPT
   option forward      REJECT
   option masq      1
   option mtu_fix      1

config forwarding
   option src         lan
   option dest         wan

config rule
   option name       'vpntun'
   option src          'wan'
   option target       'ACCEPT'
   option proto       'udp'
   option dest_port      '1195'

config zone
   option name      'vpn_tun'
   option network       'vpn2'
   option input       'ACCEPT'
   option forward       'ACCEPT'
   option output       'ACCEPT'
   option masq       '1'

config forwarding
   option src          'vpn_tun'
   option dest       'lan'

config forwarding
   option src          'lan'
   option dest       'vpn_tun'

config forwarding
   option src          'vpn_tun'
   option dest       'wan'


network:
config interface 'vpn2'
   option ifname 'tun0'
   option proto 'none'

config interface 'lan'
   option ifname 'eth0'
   option type 'bridge'
   option proto 'static'
   option netmask '255.255.255.0'
   option ipaddr '192.168.100.3'
   option gateway '192.168.100.1'
   option force_link '1'

config interface 'wan'
   option ifname 'eth1'
   option proto 'dhcp'


openvpn:
package openvpn

config openvpn 'vpn_koper'
   option enabled '1'
   option dev 'tun0'
   option port '1195'
   option proto 'udp'
   option log '/tmp/openvpn2.log'
   option verb '3'
   option dh '/etc/openvpn/dh2048.pem'
   option ca '/etc/openvpn/ca.crt'
   option cert '/etc/openvpn/server.crt'
   option key '/etc/openvpn/server.key'
   option server '10.8.0.0 255.255.255.0'
   option keepalive '10 120'
   option mode server
   option tls_server 1
   option comp_lzo 'yes'
   list   push 'route 192.168.100.0 255.255.255.0'
   list   push 'dhcp-option DNS 192.168.100.3'
   list   push 'redirect-gateway def1'


ifconfig na routerze:

br-lan    Link encap:Ethernet  HWaddr F0:9F:C2:10:24:85
          inet addr:192.168.100.3  Bcast:192.168.100.255  Mask:255.255.255.0
          inet6 addr: fe80::f29f:c2ff:fe10:2485/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:89763 errors:0 dropped:1130 overruns:0 frame:0
          TX packets:139755 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:10378449 (9.8 MiB)  TX bytes:180972144 (172.5 MiB)

eth0      Link encap:Ethernet  HWaddr F0:9F:C2:10:24:85
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:89788 errors:0 dropped:1 overruns:0 frame:0
          TX packets:140048 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:11996273 (11.4 MiB)  TX bytes:180987182 (172.6 MiB)

eth1      Link encap:Ethernet  HWaddr F0:9F:C2:10:24:86
          inet addr:*******  Bcast:*******  Mask:*******
          inet6 addr: ************************* Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:140129 errors:0 dropped:0 overruns:0 frame:0
          TX packets:55720 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:181663738 (173.2 MiB)  TX bytes:6538896 (6.2 MiB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:473 errors:0 dropped:0 overruns:0 frame:0
          TX packets:473 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1
          RX bytes:65047 (63.5 KiB)  TX bytes:65047 (63.5 KiB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:348 errors:0 dropped:0 overruns:0 frame:0
          TX packets:319 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:36033 (35.1 KiB)  TX bytes:43956 (42.9 KiB)


route na routerze:
default         **-**-**-**.dyn 0.0.0.0         UG    0      0        0 eth1
10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun0
10.8.0.2        *               255.255.255.255 UH    0      0        0 tun0
***wanip***     *               255.255.252.0   U     0      0        0 eth1
***wanip***     *               255.255.255.255 UH    0      0        0 eth1
192.168.1.0     *               255.255.255.0   U     0      0        0 eth2
192.168.100.0   *               255.255.255.0   U     0      0        0 br-lan



klient traceroute:
$ traceroute -I 192.168.100.40
traceroute to 192.168.100.40 (192.168.100.40), 64 hops max
  1   10.8.0.1  99,777ms  92,039ms  95,994ms
  2   *  *  *


klient route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         10.8.0.5        0.0.0.0         UG    50     0        0 tun0
default         172.20.10.1     0.0.0.0         UG    100    0        0 enp0s9
10.8.0.1        10.8.0.5        255.255.255.255 UGH   50     0        0 tun0
10.8.0.5        *               255.255.255.255 UH    50     0        0 tun0
**-**-**-**.d 172.20.10.1     255.255.255.255 UGH   100    0        0 enp0s9   <-(***** - wan ip na routerze)
link-local      *               255.255.0.0     U     1000   0        0 enp0s9
172.20.10.0     *               255.255.255.240 U     100    0        0 enp0s9
192.168.100.0   10.8.0.5        255.255.255.0   UG    50     0        0 tun0


Ostatnio zmieniony 20 maja 2017, 16:35 przez 7fishers, łącznie zmieniany 1 raz

Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
 Tytuł: Re: konfiguracja OpenVPN na Ubiquiti ERL
Post: 20 maja 2017, 11:41 
Offline
Użytkownik

Rejestracja: 12 kwie 2010, 21:03
Posty: 69
1) tunel się zestawia? leci ping pomiędzy klientem a serwerem?
2) klient może pingować interfejs LAN serwera?

_________________
TP-Link TL-WDR3600 v1.5 - Gargoyle 1.6.2.2 by obsy +CREATIVE SB Play +Logitech Z506 +Medion OR24V +DVB-T MT4171 +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A


Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
 Tytuł: Re: konfiguracja OpenVPN na Ubiquiti ERL
Post: 20 maja 2017, 16:34 
Offline
Użytkownik

Rejestracja: 27 paź 2016, 15:00
Posty: 15
Po połączeniu się OpenVPN mogę pingować serwer z klienta:
ping 10.8.0.1
PING 10.8.0.1 (10.8.0.1) 56(84) bytes of data.
64 bytes from 10.8.0.1: icmp_seq=1 ttl=64 time=72.9 ms
64 bytes from 10.8.0.1: icmp_seq=2 ttl=64 time=19.3 ms
64 bytes from 10.8.0.1: icmp_seq=3 ttl=64 time=42.7 ms
64 bytes from 10.8.0.1: icmp_seq=4 ttl=64 time=22.7 ms
64 bytes from 10.8.0.1: icmp_seq=5 ttl=64 time=18.3 ms


mogę też pingować interface lan routera:
ping 192.168.100.3
PING 192.168.100.3 (192.168.100.3) 56(84) bytes of data.
64 bytes from 192.168.100.3: icmp_seq=1 ttl=64 time=22.0 ms
64 bytes from 192.168.100.3: icmp_seq=2 ttl=64 time=29.5 ms
64 bytes from 192.168.100.3: icmp_seq=3 ttl=64 time=27.8 ms
64 bytes from 192.168.100.3: icmp_seq=4 ttl=64 time=24.5 ms
64 bytes from 192.168.100.3: icmp_seq=5 ttl=64 time=19.5 ms
64 bytes from 192.168.100.3: icmp_seq=6 ttl=64 time=22.2 ms
64 bytes from 192.168.100.3: icmp_seq=7 ttl=64 time=22.7 ms
64 bytes from 192.168.100.3: icmp_seq=8 ttl=64 time=21.2 ms


Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
 Tytuł: Re: konfiguracja OpenVPN na Ubiquiti ERL
Post: 20 maja 2017, 22:28 
Offline
Użytkownik

Rejestracja: 12 kwie 2010, 21:03
Posty: 69
Czyli tunel openvpn działa prawidłowo,a przyczyny powinieneś szukać w firewallu na końcówce o adresie IP 192.168.100.40

_________________
TP-Link TL-WDR3600 v1.5 - Gargoyle 1.6.2.2 by obsy +CREATIVE SB Play +Logitech Z506 +Medion OR24V +DVB-T MT4171 +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A


Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
 Tytuł: Re: konfiguracja OpenVPN na Ubiquiti ERL
Post: 21 maja 2017, 07:40 
Offline
Przyjaciel openrouter.info
Awatar użytkownika

Rejestracja: 10 kwie 2010, 13:03
Posty: 648
Lokalizacja: Wrocław
config interface 'vpn2'
        option ifname 'tun0'
        option proto 'none'



Ustaw mu statycznie IP i zrestartuje router.

_________________
Obrazek

Asus RT-N16: TomatoUSB 1.28 RT-N MIPSR2-109 K26 AIO
Linksys WRT1900AC: OpenWrt 15.05.1
TpLink TL-WDR4300: OpenWrt 15.05
Ubiquiti RouterStation Pro: Kagera 2015.0


Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat Odpowiedz w temacie  [ Posty: 8 ] 

Strefa czasowa UTC+1godz. [letni]


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 8 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów

Szukaj:
Przejdź do:  
designed by digi-led.pl
...Copyright © 2010-2013, Ekipa openrouter.info