|
serwer na debianie klient na wrt54gl ztomato
|
| darecki_M |
Dodano 19-10-2010 22:09
|
User
Posty: 44
Dołączył: 19/10/2010 19:23
|
witam!
próbuje zestawić tunel między openvpn na debianie a klientem na wrt 54gl z tomato 1.27vpn. Moim zamiarem jest podłaćzenie 5 klientów każdy na wrt 54gl do serwera .
pytanie jest takie?
serwer openvpne jest podbięty do routera w którym otworzyłem port 1194,
serwer pracuje w sieci lokalnej za routerem na adresie 192.168.1.102 (brama 192.168.1.1)
posiadam stałe IP
klient pracuje w sieci za routerem 192.168.15.2 (brama 192.168.15.1)
moje pytanie jest takie .czy w configu na serwerze zapisując
server 192.168.10.0 255.255.255.0
push "dhcp-option DNS 192.168.1.1"
push "route 192.168.2.0 255.255.255.0"
czy taki zapis może być co jeszcze trzeba zrobić żeby zeby sieci na końcach tunelu sie widziały. |
| |
|
|
| shibby |
Dodano 20-10-2010 09:54
|
SysOp
Posty: 17165
Dołączył: 15/01/2009 20:30
|
czemu w dziale TUTORIALE zamieszczasz pytania?!?!
przenosze do dzialu z tomato.
Cytat push "route 192.168.2.0 255.255.255.0"
po co pushujesz taka podsiec? Jezeli klient na widziec siec w ktorej znajduje sie serwer ovpn to powinienes pushowac 192.168.1.0/24
nie rozumiem tez co czego zmierzasz. Chcesz by kazdy host za klient ovpn widzial siec 192.168.1.0/24 tak? No to potrzebujesz na wrt routing tak by polaczenia na 192,.168.1.0/24 nie probowaly wychodzic przez WAN a przez TUNa.
Ponadto co z druga stroną, tzn czy serwer ovpn i/lub hosty w sieci 192.168.1.0/24 maja widziec sieci za klientami ovpn?
troche malo szczegołów podales. Czy klienci ovpn (router z tomato) widza serwer ovpn? Widzą siec 1921.68.1.0/24? Z jakiej klasy klienci dostaja adresy ip?
Router: Unifi Cloud Gateway Fiber
Switch: Unifi USW-Lite-16-PoE
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 4x 2TB SSD
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| darecki_M |
Dodano 20-10-2010 18:42
|
User
Posty: 44
Dołączył: 19/10/2010 19:23
|
witam!
zrobiłem tę zmianę w pliku conf na
push 192.168.1.102
jest super
tunel się zestawił, lecz klient może pingować tylko moją sieć z routera z zakładki ping.
wiem ze muszę zrobić routing między vpn a adresem lan i lan z vpn u klienta.
Na serwerze zrobiłem coś takiego
iptables -A INPUT -p tcp --dport 1194 -j ACCEPT
iptables -A FORWARD -i tun0 -s 10.0.0.0/24 -d 192.168.1.102 -j ACCEPT
iptables -A FORWARD -o tun0 -s 192.168.1.102 -d 10.0.0.0/24 -j ACCEPT
nie wiem jak to zrobić na wrt54gl z tomato.
chciałbym żeby jeden adres u klienta 192.168.15.200 zestawiony był z vpn a pozostałe adresy przez wan na świat.
|
| |
|
|
| darecki_M |
Dodano 21-10-2010 22:41
|
User
Posty: 44
Dołączył: 19/10/2010 19:23
|
witam!
koledzy juz doszedłem jak wklepać do routera komendy iptables.(robie to przez putty.exe SSH).czy można to zrobić z przeglądarki.Dalej
-vpn1 to tunel na kliencie ?
-wanin ,wanout to wyjscie na swiat z routera ?
chciałbym żeby ip 192.168.1.102 nie miało wyjścia na świat tylko było zestawiane z vpn,
-pozostałe adresy ip nie mogły mieć dostępu do vpn1 tylko na świat.
Mogę liczyć na pomoc Mądrej głowy. |
| |
|
|
| darecki_M |
Dodano 23-10-2010 18:24
|
User
Posty: 44
Dołączył: 19/10/2010 19:23
|
witam!
koledzy czy na wrt 54gl z tomato można konfigurować firewall w tabeli iptables.
Jeśli tak to jak?
zrobię zmianę przez ssh i po paru minutach wpis znika . |
| |
|
|
| shibby |
Dodano 24-10-2010 12:23
|
SysOp
Posty: 17165
Dołączył: 15/01/2009 20:30
|
a od czego masz w gui tomato Administration -> scripts -> firewall?
Router: Unifi Cloud Gateway Fiber
Switch: Unifi USW-Lite-16-PoE
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 4x 2TB SSD
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| darecki_M |
Dodano 24-10-2010 16:18
|
User
Posty: 44
Dołączył: 19/10/2010 19:23
|
witam!
koledzy jestem początkujący.
ok doszedłem do tego .Zmuszacie do intensywnego myślenia.
shibby gdybym zamieścił plik z routera iptables. powiedział byś co jest powodem że po zestawieniu tunela komputery za routerem tracą dostęp do internetu.(podejrzewam że wszystkie pakiety są pchane w tunel) |
| |
|
|
| darecki_M |
Dodano 24-10-2010 20:35
|
User
Posty: 44
Dołączył: 19/10/2010 19:23
|
po zestawieniu tunalu mamcos takiego
TUN/TAP read bytes 99560
TUN/TAP write bytes 420
TCP/UDP read bytes 4324
TCP/UDP write bytes 168742
Auth read bytes 420
pre-compress bytes 5764
post-compress bytes 5940
pre-decompress bytes 0
post-decompress bytes 0
nie mogę pingować z komputera o takim adresie
a w administracion script
iptables -A FORWARD -i tun11 -s 10.0.0.0/24 -d 192.168.15.153 -j ACCEPT
iptables -A FORWARD -o tun11 -s 192.168.15.153 -d 10.0.0.0/24 -j ACCEPT
i dalej dupa.(co ciekawe tych wpisów nie ma w iptables) |
| |
|
|
| shibby |
Dodano 24-10-2010 21:05
|
SysOp
Posty: 17165
Dołączył: 15/01/2009 20:30
|
musza byc.
Nie masz czasem na serwerze ustawione by pushowal gateway? (nie pamietam jak to sie dokladnie w gui nazywa)
Pokaz predzej jak wygladaja configi openvpna z /etc od strony klienta i serwera oraz plik /etc/iptables
Router: Unifi Cloud Gateway Fiber
Switch: Unifi USW-Lite-16-PoE
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 4x 2TB SSD
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| darecki_M |
Dodano 25-10-2010 17:56
|
User
Posty: 44
Dołączył: 19/10/2010 19:23
|
witam!
x.x.x.x to mój adres ip zewnętrzny
config z serwera
dev tun
tun-mtu 1500
port 1194
server 10.0.0.0 255.255.255.0
user nobody
group nogroup
comp-lzo
proto tcp-server
persist-tun
persist-key
verb 4
max-clients 4
log-append /var/log/openvpn.log
ca /etc/openvpn/certyfikat_rootca.pem
cert /etc/openvpn/certyfikat_bramy.pem
key /etc/openvpn/klucz_bramy.pem
dh /etc/openvpn/dh1024.pem
mode server
ifconfig-pool-persist /etc/openvpn/ipp.txt
push "dhcp-option DNS 192.168.1.1"
push "route 192.168.1.102"
push "route 10.0.0.0 255.255.255.0"
config z klienta (router wrt54gl z tomato)
dev tun
proto tcp-client
comp-lzo
persist-tun
persist-key
verb 4
remote x.x.x.x 1194
pull
zawartość z iptables z routera klienta który jest podpiety do modemu z diolagu
Chain INPUT (policy DROP 1620 packets, 92869 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT 0 -- tun11 * 0.0.0.0/0 0.0.0.0/0
0 0 DROP 0 -- br0 * 0.0.0.0/0 x.x.x.x
1783 155K DROP 0 -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
699 86617 ACCEPT 0 -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
752 43311 ACCEPT 0 -- br0 * 0.0.0.0/0 0.0.0.0/0
2 134 ACCEPT 0 -- lo * 0.0.0.0/0 0.0.0.0/0
1 60 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
33 1584 ACCEPT tcp -- * * 0.0.0.0/0 192.168.15.180 tcp dpt:80
0 0 ACCEPT tcp -- * * x.x.x.x 0.0.0.0/0 tcp dpt:22
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT 0 -- tun11 * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT 0 -- br0 br0 0.0.0.0/0 0.0.0.0/0
0 0 DROP 0 -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
4034 194K TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 tcpmss match 1453:65535 TCPMSS set 1452
5263 384K ACCEPT 0 -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 wanin 0 -- ppp+ * 0.0.0.0/0 0.0.0.0/0
4129 190K wanout 0 -- * ppp+ 0.0.0.0/0 0.0.0.0/0
5437 255K ACCEPT 0 -- br0 * 0.0.0.0/0 0.0.0.0/0
0 0 upnp 0 -- ppp+ * 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT 5873 packets, 1542K bytes)
pkts bytes target prot opt in out source destination
Chain upnp (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.15.158 tcp dpt:10422
0 0 ACCEPT udp -- * * 0.0.0.0/0 192.168.15.158 udp dpt:10422
Chain wanin (1 references)
pkts bytes target prot opt in out source destination
Chain wanout (1 references)
pkts bytes target prot opt in out source destination
Chain PREROUTING (policy ACCEPT 3382 packets, 182K bytes)
pkts bytes target prot opt in out source destination
0 0 DROP 0 -- ppp+ * 0.0.0.0/0 192.168.15.0/24
1 60 DNAT icmp -- * * 0.0.0.0/0 x.x.x.x to:192.168.15.180
33 1584 DNAT tcp -- * * 0.0.0.0/0 x.x.x.x tcp dpt:8080 to:192.168.15.180:80
1940 111K upnp 0 -- * * 0.0.0.0/0 x.x.x.x
Chain POSTROUTING (policy ACCEPT 1049 packets, 132K bytes)
pkts bytes target prot opt in out source destination
0 0 MASQUERADE 0 -- * tun11 192.168.15.0/24 0.0.0.0/0
1594 83304 MASQUERADE 0 -- * ppp+ 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT 1249 packets, 147K bytes)
pkts bytes target prot opt in out source destination
Chain upnp (1 references)
pkts bytes target prot opt in out source destination
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:10422 to:192.168.15.158:10422
0 0 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:10422 to:192.168.15.158:10422
Chain PREROUTING (policy ACCEPT 15916 packets, 1037K bytes)
prosze zerknij gdzie jest zonk.dlaczego z serwera nie mogę pingować klienta ,a ten moze mnie tylko z routera a nie moze z kompa za routerem
Edytowany przez darecki_M dnia 27-10-2010 11:22
|
| |
|
|
| darecki_M |
Dodano 27-10-2010 11:28
|
User
Posty: 44
Dołączył: 19/10/2010 19:23
|
witam !
shibby miałeś zerknąć .
Prosze innych kolegów zerknijcie na to .
czy mógłby któryś z was podać przykadowy iptables który bym mógł wpisać w administracion/script/firewall w tomato.
Mam wrażenie że prowadzę monolog,wszyscy przeglądają .Przecież są mądre głowy na tym FORUM. |
| |
|
|
| shibby |
Dodano 27-10-2010 11:49
|
SysOp
Posty: 17165
Dołączył: 15/01/2009 20:30
|
ogolnie koncepcja jest zla.
Jezeli chcesz zrobic cos takiego
LAN1->ROUTER1<--internet-->ROUTER2->LAN2
by siec LAN1 widziala LAN2 to lepiej zestawic tuner w oparciu o klucz współdzielony na routerach i zrobic NAT miedzy sieciami LAN. Oczywiscie sieci LAN musza miec inna adresacje.
Router: Unifi Cloud Gateway Fiber
Switch: Unifi USW-Lite-16-PoE
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 4x 2TB SSD
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| darecki_M |
Dodano 27-10-2010 19:56
|
User
Posty: 44
Dołączył: 19/10/2010 19:23
|
witam!
taką mam koncepcję
-------------------------------------------|<>router|<>VPN1<>klient1
----Serwer VPN<>|-----------------------|---------|<>komp do netu
komp1do netu<>|router<--internet-->|
komp2do netu<>|----------------------|<>router|<>VPN2<>klient2
-------------------------------------------|-----------|<>komp do netu
-------------------------------------------|
-------------------------------------------|<>router|<>VPN3<>klient3
-------------------------------------------|----------|<>komp do netu
shibby czy takie rozwiązanie jest możliwe na openvpn.klienci 1,2,3 nie musza sie widzieć.komputery od strony serwera nie muszą widzieć VPN.
kompy od strony każdego klienta też nie muszą widzieć VPN.
wszystkie routery to wrt54gloczywiście za modemami adsl.
Edytowany przez darecki_M dnia 27-10-2010 20:06
|
| |
|
|
| shibby |
Dodano 28-10-2010 07:36
|
SysOp
Posty: 17165
Dołączył: 15/01/2009 20:30
|
moze wyjasnij do czego ty w ogole potrzebujesz tunel.
Router: Unifi Cloud Gateway Fiber
Switch: Unifi USW-Lite-16-PoE
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 4x 2TB SSD
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| darecki_M |
Dodano 29-10-2010 05:52
|
User
Posty: 44
Dołączył: 19/10/2010 19:23
|
witam !
na serwerze bedą dane w strukturze katalogowej które to będą posiadały nazwy,owe katalogi będą posiadały dane o których już nie będę pisał.
Shibby przecież to bez różnicy do czego to ma być .Czy taka sieć mogę stworzyć. Prosze o pomoc. |
| |
|
|
| shibby |
Dodano 29-10-2010 11:19
|
SysOp
Posty: 17165
Dołączył: 15/01/2009 20:30
|
probuje sobie to poukladac. Kto kogo ma widziec, Skad dokad maja latac pakiety. Twoja sytuacja jest dosc zawila a ja mam tyle na glowie ze wchodze nastepnego dnia w twoj temat i juz go niepamietam i musze czytac od poczatku 
osiagnac sie to napewno da ale moze to byc metoda prob i bledow. Ale powolutku...
Zestaw najpierw jeden tunel serwer-klient tak by klient i serwer pingowaly sie wzajemnie po adresach ovpn oraz by klient mogl pingowac serwer vpn po jego adresie lan.
Podaj namiary ip sieci klienta, ip podsieci openvpn oraz ip lan serwera vpn. Oraz napisz czy te dane do ktorych klient ma miec dostep beda na serwerze openvpn czy na innym serwerze w sieci lan (jak na innym to tez podaj ip). Pokaz tez screeny konfiguracji openvpn klienta z gui bo ja nie mam tomato vpn mod.
Poukladam sobie to wszystko i postaram sie przedstawic rozwiazanie. Jak to zadziala na jednym kliencie to bedziesz juz wiedzial jak podpiac pozostalych.
Router: Unifi Cloud Gateway Fiber
Switch: Unifi USW-Lite-16-PoE
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 4x 2TB SSD
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| darecki_M |
Dodano 29-10-2010 16:10
|
User
Posty: 44
Dołączył: 19/10/2010 19:23
|
witam!
shibby ok .postaram sie przedstawić wszystko.
pakiety będą latać miedzy serwerem i klientem i spowrotem
serwer vpn -10.0.0.0/24
komp z openvpn jest w sieci lan o adresie 192.168.1.102
końcówka tunelu jest na routerze z tomato
klient jest w sieci lan 172.168.1.15 brama u klienta to 172.168.1.1
dane sa na kompie tym co serwer.
klienci sie nie widzą.
gui z routera klienta zakładka BASIC
Start with WAN-------------------------v
Interface Type-------------------------tun
Protocol---------------------------------tcp
Server Address/Port--------------------mój ip 1194
Firewal-----------------------------------automatic
Authorization Mode---------------------TLS
Extra HMAC authorization (tls-auth)---disable
zakładka ADVANCED
dev tun
proto tcp-client
comp-lzo
persist-tun
persist-key
verb 4
remote x.x.x.x 1194
pull
spróbuje w zakładce BASIC firewall ustawić na custom.sprawdze czy po zestawieniu tunalu nie będzie blokowało internetu u klienta na kompie. |
| |
|
' target='_blank'>Link
