Dzisiaj jest 17 kwie 2021, 09:44

Strefa czasowa UTC+1godz. [letni]




Nowy temat Odpowiedz w temacie  [ Posty: 6 ] 
Autor Wiadomość
 Tytuł: OpenVPN problem z komunikacją
Post: 6 lut 2021, 21:11 
Offline
Użytkownik

Rejestracja: 10 wrz 2010, 21:30
Posty: 6
Cześć wszystkim

Cały dzień już walczę i już nie mam pomysłów.
Chciałbym mieć pełną komunikacje pomiędzy lokalizacją 1 i 2.
Największy problem jest taki że client VPN jest na TP-linku Wr802n który jest wpięty w router.
Gdy ten tp-link robi za ruter i wszystko jest w niego wpięte to jest ok. , ale tak z różnych względów nie może zostać, nie mam też możliwości odpalenia open-vpn na ruterze nr 3 .
Nie wiem czy to problem leży z trasami, firewallem czy jeszcze gdzie indziej .
Z samego tp-linka pingi do sieci z lokalizacji 1 lecą bez problemów.
PLan Sieci :
Obrazek
konfiguracja openvpn na asus (router 1):
Obrazek
konfiguracja sieci na gargoyle (router 2)
Obrazek


Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
 Tytuł: Re: OpenVPN problem z komunikacją
Post: 6 lut 2021, 21:44 
Offline
Administrator
Awatar użytkownika

Rejestracja: 9 kwie 2010, 23:28
Posty: 13872
Lokalizacja: Warszawa
Ogólnie mówiąc masz openvpn nie na gatewayu tylko wewnątrz sieci i chcesz mieć dostęp do tego lanu. Temat wałkowny tu: https://eko.one.pl/forum/viewtopic.php?id=16630&p=3

_________________
http://eko.one.pl - prawie wszystko o OpenWrt


Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
 Tytuł: Re: OpenVPN problem z komunikacją
Post: 6 lut 2021, 23:11 
Offline
Użytkownik

Rejestracja: 10 wrz 2010, 21:30
Posty: 6
dzięki, jutro na spokojnie to poczytam , i pokombinuje , bo już dziś brak sił ;)


Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
 Tytuł: Re: OpenVPN problem z komunikacją
Post: 7 lut 2021, 00:44 
Offline
Użytkownik

Rejestracja: 10 wrz 2010, 21:30
Posty: 6
jednak nie wytrzymałem ;)

udało mi się uzyskać ping z sieci za client-vpn czyli z sieci 192.168.11.0 .
Dodałem na Router3 trase statyczną :
"ip route add 192.168.8.0/24 via 192.168.11.5"

Ale nie jestem w stanie uzyskać połączenia z sieci za server VPN czyli nie przechodzi mi ruch z "192.168.8.0" > "192.168.11.0"

W wątku ,który podałeś jest informacja o maskaradzie, ale nie umiem tego prawidłowo odpalić na sofcie Asus WRT Merlin.
Nie umiem też sprawdzić gdzie te pakiety giną.
Wykonanie na router 1 (serwer vpn) komendy "traceroute 192.168.11.5" w zasadzie nic nie daje.


Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
 Tytuł: Re: OpenVPN problem z komunikacją
Post: 7 lut 2021, 07:44 
Offline
Administrator
Awatar użytkownika

Rejestracja: 9 kwie 2010, 23:28
Posty: 13872
Lokalizacja: Warszawa
Nie na merlinie to robisz tylko na router2, ten który jest w lane. Merlin jest zwykłym gatewayem, tak normalnie

_________________
http://eko.one.pl - prawie wszystko o OpenWrt


Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
 Tytuł: Re: OpenVPN problem z komunikacją
Post: 7 lut 2021, 13:46 
Offline
Użytkownik

Rejestracja: 10 wrz 2010, 21:30
Posty: 6
chyba jednak nie pójdzie łatwo.
Dorzuciłem parametr masq w zone lan na router 2, zrestartowałęm service firewall i dalej nic. Ruch mam tylko w jedną stronę.

Dorzucam configi , może coś nakreślą .

Router 1 (VPN Server) :
Tablica rutingu :
80.238.x.x dev eth0  proto kernel  scope link
10.16.0.0/24 dev tun22  proto kernel  scope link  src 10.16.0.1
80.238.x.0/24 dev eth0  proto kernel  scope link  src 80.238.x.x
192.168.11.0/24 via 10.16.0.2 dev tun22
192.168.8.0/24 dev br0  proto kernel  scope link  src 192.168.8.1
127.0.0.0/8 dev lo  scope link
default via 80.238.x.x dev eth0

VPN server config :
daemon ovpn-server2
topology subnet
server 10.16.0.0 255.255.255.0
proto udp
port 1195
dev tun22
txqueuelen 1000
ncp-disable
cipher AES-128-CBC
auth none
keepalive 15 60
verb 3
push "route 192.168.8.0 255.255.255.0 vpn_gateway 500"
client-config-dir ccd
client-to-client
route 192.168.11.0 255.255.255.0
push "dhcp-option DNS 192.168.8.1"
ca ca.crt
dh dh.pem
cert server.crt
key server.key
script-security 2
up 'ovpn-up 2 server'
down 'ovpn-down 2 server'
status-version 2
status status 5

ccd:
iroute 192.168.11.0 255.255.255.0

####
Router 2 (client vpn)
Tablica routingu :
ip route show
default via 192.168.11.1 dev br-lan proto static
10.16.0.0/24 dev tun0 proto kernel scope link src 10.16.0.2
192.168.8.0/24 via 10.16.0.1 dev tun0 metric 500
192.168.11.0/24 dev br-lan proto kernel scope link src 192.168.11.5

VPN Client config :
client
dev tun
proto udp
remote AFD6225DDA56B1B07AA992380B2F1DFDB.asuscomm.com 1195
resolv-retry infinite
nobind
float
cipher AES-128-CBC
auth none
keepalive 15 60
remote-cert-tls server

Firewall (/etc/config/firewall)
config defaults
   option syn_flood '1'
   option input 'ACCEPT'
   option output 'ACCEPT'
   option forward 'REJECT'

config zone
   option name 'lan'
   list network 'lan'
   option input 'ACCEPT'
   option output 'ACCEPT'
   option forward 'ACCEPT'
   option   masq   1
config zone
   option name 'wan'
   list network 'wan'
   list network 'wan6'
   option input 'REJECT'
   option output 'ACCEPT'
   option forward 'REJECT'
   option masq '1'
   option mtu_fix '1'

config forwarding
   option src 'lan'
   option dest 'wan'

config rule
   option name 'Allow-DHCP-Renew'
   option src 'wan'
   option proto 'udp'
   option dest_port '68'
   option target 'ACCEPT'
   option family 'ipv4'

config rule
   option name 'Allow-Ping'
   option src 'wan'
   option proto 'icmp'
   option icmp_type 'echo-request'
   option family 'ipv4'
   option target 'ACCEPT'

config rule
   option name 'Allow-IGMP'
   option src 'wan'
   option proto 'igmp'
   option family 'ipv4'
   option target 'ACCEPT'

config rule
   option name 'Allow-DHCPv6'
   option src 'wan'
   option proto 'udp'
   option src_ip 'fc00::/6'
   option dest_ip 'fc00::/6'
   option dest_port '546'
   option family 'ipv6'
   option target 'ACCEPT'

config rule
   option name 'Allow-MLD'
   option src 'wan'
   option proto 'icmp'
   option src_ip 'fe80::/10'
   list icmp_type '130/0'
   list icmp_type '131/0'
   list icmp_type '132/0'
   list icmp_type '143/0'
   option family 'ipv6'
   option target 'ACCEPT'

config rule
   option name 'Allow-ICMPv6-Input'
   option src 'wan'
   option proto 'icmp'
   list icmp_type 'echo-request'
   list icmp_type 'echo-reply'
   list icmp_type 'destination-unreachable'
   list icmp_type 'packet-too-big'
   list icmp_type 'time-exceeded'
   list icmp_type 'bad-header'
   list icmp_type 'unknown-header-type'
   list icmp_type 'router-solicitation'
   list icmp_type 'neighbour-solicitation'
   list icmp_type 'router-advertisement'
   list icmp_type 'neighbour-advertisement'
   option limit '1000/sec'
   option family 'ipv6'
   option target 'ACCEPT'

config rule
   option name 'Allow-ICMPv6-Forward'
   option src 'wan'
   option dest '*'
   option proto 'icmp'
   list icmp_type 'echo-request'
   list icmp_type 'echo-reply'
   list icmp_type 'destination-unreachable'
   list icmp_type 'packet-too-big'
   list icmp_type 'time-exceeded'
   list icmp_type 'bad-header'
   list icmp_type 'unknown-header-type'
   option limit '1000/sec'
   option family 'ipv6'
   option target 'ACCEPT'

config rule
   option name 'Allow-IPSec-ESP'
   option src 'wan'
   option dest 'lan'
   option proto 'esp'
   option target 'ACCEPT'

config rule
   option name 'Allow-ISAKMP'
   option src 'wan'
   option dest 'lan'
   option dest_port '500'
   option proto 'udp'
   option target 'ACCEPT'

config include
   option path '/etc/firewall.user'
   option reload '1'

config include
   option type 'script'
   option path '/usr/lib/gargoyle_firewall_util/gargoyle_additions.firewall'
   option family 'any'
   option reload '1'

config include 'openvpn_include_file'
   option path '/etc/openvpn.firewall'
   option reload '1'


config zone 'vpn_zone'
   option name 'vpn'
   option device 'tun0'
   option input 'ACCEPT'
   option output 'ACCEPT'
   option forward 'ACCEPT'
   option mtu_fix '1'
   option masq '1'

config forwarding 'vpn_lan_forwarding'
   option src 'lan'
   option dest 'vpn'

config forwarding 'lan_vpn_forwarding'
   option src 'vpn'
   option dest 'lan'

#########
router 3
tablica rutingu :
Cytuj:
ip route show
default via 10.64.64.64 dev 3g-wan
10.16.0.0/24 via 192.168.11.5 dev br-lan
10.64.64.64 dev 3g-wan src 10.250.231.109
192.168.8.0/24 via 192.168.11.5 dev br-lan
192.168.11.0/24 dev br-lan src 192.168.11.1

firewall:
Cytuj:
config defaults
option syn_flood 1
option input ACCEPT
option output ACCEPT
option forward REJECT

config zone
option name lan
list network 'lan'
option input ACCEPT
option output ACCEPT
option forward ACCEPT

config zone
option name wan
list network 'wan'
list network 'wan6'
option input REJECT
option output ACCEPT
option forward REJECT
option masq 1
option mtu_fix 1

config forwarding
option src lan
option dest wan

config rule
option name Allow-DHCP-Renew
option src wan
option proto udp
option dest_port 68
option target ACCEPT
option family ipv4

config rule
option name Allow-Ping
option src wan
option proto icmp
option icmp_type echo-request
option family ipv4
option target ACCEPT

config rule
option name Allow-IGMP
option src wan
option proto igmp
option family ipv4
option target ACCEPT

config rule
option name Allow-DHCPv6
option src wan
option proto udp
option src_ip fc00::/6
option dest_ip fc00::/6
option dest_port 546
option family ipv6
option target ACCEPT

config rule
option name Allow-MLD
option src wan
option proto icmp
option src_ip fe80::/10
list icmp_type '130/0'
list icmp_type '131/0'
list icmp_type '132/0'
list icmp_type '143/0'
option family ipv6
option target ACCEPT

config rule
option name Allow-ICMPv6-Input
option src wan
option proto icmp
list icmp_type echo-request
list icmp_type echo-reply
list icmp_type destination-unreachable
list icmp_type packet-too-big
list icmp_type time-exceeded
list icmp_type bad-header
list icmp_type unknown-header-type
list icmp_type router-solicitation
list icmp_type neighbour-solicitation
list icmp_type router-advertisement
list icmp_type neighbour-advertisement
option limit 1000/sec
option family ipv6
option target ACCEPT

config rule
option name Allow-ICMPv6-Forward
option src wan
option dest *
option proto icmp
list icmp_type echo-request
list icmp_type echo-reply
list icmp_type destination-unreachable
list icmp_type packet-too-big
list icmp_type time-exceeded
list icmp_type bad-header
list icmp_type unknown-header-type
option limit 1000/sec
option family ipv6
option target ACCEPT

config rule
option name Allow-IPSec-ESP
option src wan
option dest lan
option proto esp
option target ACCEPT

config rule
option name Allow-ISAKMP
option src wan
option dest lan
option dest_port 500
option proto udp
option target ACCEPT



Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat Odpowiedz w temacie  [ Posty: 6 ] 

Strefa czasowa UTC+1godz. [letni]


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 10 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów

Szukaj:
Przejdź do:  
designed by digi-led.pl
...Copyright © 2010-2013, Ekipa openrouter.info