DD-WRT & OpenVPN :: Hinnavaatluse Foorumid

Space_m · HV vaatleja liitunud: 30.07.2004

Tervus,

Mul on probleem OpenVPN ühenduse püsti panekuga.
Üheks otsast on xp klient ja teises linksysi wrt54gl purk.
VPN-i confis ei tohiks midagi viga olla, sest linksysi purgiga ühes võrgus olles pole tunneli püsti tõmbamisega mingit probleemi, aga kusagile teisse võrku minnes tekivad probleemid:

OpenVPN kliendi poolne logi:
Tue Feb 26 09:33:00 2008 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Tue Feb 26 09:33:00 2008 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Tue Feb 26 09:33:00 2008 LZO compression initialized
Tue Feb 26 09:33:00 2008 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue Feb 26 09:33:00 2008 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Tue Feb 26 09:33:00 2008 Local Options hash (VER=V4): 'd79ca330'
Tue Feb 26 09:33:00 2008 Expected Remote Options hash (VER=V4): 'f7df56b8'
Tue Feb 26 09:33:00 2008 UDPv4 link local: [undef]
Tue Feb 26 09:33:00 2008 UDPv4 link remote: "väline IP":1194
Tue Feb 26 09:34:00 2008 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Tue Feb 26 09:34:00 2008 TLS Error: TLS handshake failed
Tue Feb 26 09:34:00 2008 TCP/UDP: Closing socket
Tue Feb 26 09:34:00 2008 SIGUSR1[soft,tls-error] received, process restarting
Tue Feb 26 09:34:00 2008 Restart pause, 2 second(s)

Kuna mul on starmani ühendus, siis sidusin välise otsa dyndns-iga.

Linksysi tulemüüri confis on iptables -A INPUT -i tun+ -j ACCEPT & iptables -A INPUT -i tap+ -j ACCEPT
Port Forwarding 1194 pordile on ka olemas.
googledades leidsin mingi lahenduse, et järsku on asi selles, et linksysi purgis ei ole NTP täpselt ära määratud, aga selle parandamine ei muutnud lõppkokkuvõtteks asja.

Kuna sisevõrgus võetakse VPN ühendus püsti, siis ilmselt on viga WAN-i otsas ja linksysi sisese tulemüüri confis ma eeldan.
Järsku saab keegi mind aidata.

airm · HV Guru liitunud: 26.02.2003

1. Kuhu sa portforwardi teed? wrt54gl on ju välise-IP otsas?
2. Sa peaksid lubama ainult 1194 udp pordi sissetulemise(input reegel)
3. -A INPUT -i tun+ -j ACCEPT see käsk hakkab mõjuma, kui tunnel püstu on.

Esmapilgul leitud vead...

Space_m · HV vaatleja liitunud: 30.07.2004

1. Praegu tegin portforwardi sisese aadressi peale 1194 pordist 1194 porti(kuna mul väline aadress muutub ja linksysi purgis saab aint ip-d portforwardingu alla sisestada...).
2. iptables -A input_rule -i $WAN -p udp --dport 1194 -j ACCEPT <-- midagi sellist ?
3. Siis loogiliselt see firewalli käsk tunneli püsti tulekut ei tohiks ikkagi segada.

petskets · HV kasutaja liitunud: 08.01.2003

Proovi sinna dd-wrt firewall startup scripti parem midagi sellist panna:

/usr/sbin/iptables -I INPUT -p udp --dport 1194 -j ACCEPT

Eeldusel, et sul see openvpn server on selles dd-wrt purgis ja kasutad udp-d openvpni puhul.

Endal on põhimõtteliselt selline, küll teisel pordil ja mingit port forwardi pole vaja.

Space_m · HV vaatleja liitunud: 30.07.2004

/usr/sbin/iptables -I INPUT -p udp --dport 1194 -j ACCEPT on seal juba olemas.

hetkel on seal sellised read:

/usr/sbin/iptables -I INPUT -p udp --dport 1194 -j ACCEPT
iptables -A INPUT -i tun+ -j ACCEPT

# Allow TUN interface connections to be forwarded through other interfaces
iptables -A FORWARD -i tun+ -j ACCEPT

iptables -t nat -A prerouting_rule -i $WAN -p udp --dport 1194 -j ACCEPT
iptables -A input_rule -i $WAN -p udp -j ACCEPT
iptables -A INPUT -i tap+ -j ACCEPT
iptables -A INPUT -i br0 -j ACCEPT
iptables -A FORWARD -i br0 -j ACCEPT

petskets · HV kasutaja liitunud: 08.01.2003

Kumb sul siis kasutusel on tap või tun?
Ühenduse enda loomiseks peaks piisama küll vaid sellest, mis ma panin,
ülejäänud koristaks üldse ära.

Ruuditud (tun) vpni puhul tuleb jah lisaks pärast mõningaid reegleid juurde lisada.

Ja kas teenusepakkuja poolt on ikka pordid lahti?

Space_m · HV vaatleja liitunud: 30.07.2004

Nu starmani poolt öeldi, et nende poolt ei ole mingeid piiranguid ja pordid on lahti.

petskets · HV kasutaja liitunud: 08.01.2003

Soovitan sul ikka ise järgi proovida, kas pordid on lahti või mitte.

Edasi proovi näiteks siit seda staatilise võtmega konfiguratsiooni.
Kui sellega ka ei toimi, siis on midagi ikka väga valesti.

Space_m · HV vaatleja liitunud: 30.07.2004

Starmanist saadud kirja järgi on neil pordid ikkagi lahti:
"VPN serveri poolsel internetil peab olema avatud port 1723, nii nagu see Starmanil on."

airm · HV Guru liitunud: 26.02.2003

Sul on ikka arusaadav, mille port on 1723 ja mille port on 1194?

Space_m · HV vaatleja liitunud: 30.07.2004