praegune kellaaeg 20.06.2025 00:34:33 |
|
Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
| autor |
|
warwas
HV Guru
liitunud: 06.07.2003
|
16.02.2016 16:05:33
Ei pääse OpenVPN tunnelist LAN'i edasi |
|
|
Lihtsustatud skeem võiks olla midagi sellist:
* Esmaseks eesmärgiks on kahe saidi vahele saada nö. püsitunnel. Kõik, mis on 192.168.100.0/24 võrgus oleks kättesaadav 192.168.200.0/24 poolelt ja vastupidi.
* OpenVPN'i gateway rolli etendavad 2 OpenWRT põhist põhist seadet.
* Serveriks on 192.168.100.100 ja kliendiks 192.168.200.100
* Mõlema poole ruuterites on tehtud staatilised ruutingud, et vastaspoole liiklus suunataks ilusti kohaliku WRT karbi sisse
Hetkel olen jõudnud nii kaugele, et toru tuleb püsti ja mõlemad WRT karbid näevad üksteise LAN'i interfeisse. Sealt edasi on aga vaikus.
VPN sai oma interface'i
config interface 'VPN'
option proto 'none'
option ifname 'tun0'
option delegate '0' |
Serveri tulemüüri tegin uue tsooni ja forward sai ka lubatud:
config defaults
option syn_flood '1'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'ACCEPT'
config include
option path '/etc/firewall.user'
config zone
option input 'ACCEPT'
option forward 'ACCEPT'
option output 'ACCEPT'
option name 'LAN'
option network 'lan'
config zone
option input 'ACCEPT'
option forward 'ACCEPT'
option output 'ACCEPT'
option network 'VPN'
option masq '1'
option name 'vpn'
config forwarding
option dest 'LAN'
option src 'vpn'
config rule
option target 'ACCEPT'
option name 'Everything goes'
option src '*'
option dest '*'
config forwarding
option dest 'vpn'
option src 'LAN' |
OpenVPN teeb ka vajalikud ruutingud ära.
root@Server:~# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default 192.168.100.1 0.0.0.0 UG 0 0 0 eth0
10.0.100.0 10.0.100.2 255.255.255.0 UG 0 0 0 tun0
10.0.100.2 * 255.255.255.255 UH 0 0 0 tun0
192.168.100.0 * 255.255.255.0 U 0 0 0 eth0
192.168.100.1 * 255.255.255.255 UH 0 0 0 eth0
192.168.200.0 10.0.100.2 255.255.255.0 UG 0 0 0 tun0 |
root@Client:~# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default 192.168.200.1 0.0.0.0 UG 0 0 0 eth0
10.0.100.0 10.0.100.5 255.255.255.0 UG 0 0 0 tun0
10.0.100.5 * 255.255.255.255 UH 0 0 0 tun0
192.168.100.0 10.0.100.5 255.255.255.0 UG 0 0 0 tun0
192.168.200.0 * 255.255.255.0 U 0 0 0 eth0
192.168.200.1 * 255.255.255.255 UH 0 0 0 eth0 |
Väljapoolt WRT'd aga liiklust nichts. Milles konks?
Tean seda, et ma päris võimatut ei taha - tavaliste linuxi põhiste kastidega sain ma põhimõttelist sama asja tööle. Hetkel ei suuda ma aga läbi hammustada, mida ma OpenWRT puhul teisiti tegema pean
|
|
| Kommentaarid: 247 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
3 :: |
224 |
|
| tagasi üles |
|
 |
kusjev
HV vaatleja
liitunud: 22.10.2014
|
|
16.02.2016 17:00:02
|
|
|
| Teise vorgu ruuting peaks olema ju vpn gw peale..
|
|
| tagasi üles |
|
|
warwas
HV Guru
liitunud: 06.07.2003
|
|
21.02.2016 19:48:36
|
|
|
| kusjev kirjutas: |
| Teise vorgu ruuting peaks olema ju vpn gw peale.. |
Need viimased kaks tabelit on WRT karpide omad. Teise võrgu aadressid ruuditakse tunnelisse
Ruuterites on tehtud vastavalt:
* 192.168.200.0/24 -> 192.168.100.100
* 192.168.100.0/24 -> 192.168.200.100
Pean vist teises otsas korra tcpdump'i kurjaks ajama ja vaatama, et mis sealt torust siis lõpuks välja tuleb.
EDIT #1:
Nüüd on nii palju progressi olnud, et sain 192.168.200.0 masinad nägema 192.168.100.0 omi. Konks oli väheses maskeraadis (või ruuterist puuduvatest ruutingutest) - torust väljusid paketid 'vale' subnetiga (10.0.100.0/24).. ja kuna ruutingut polnud, siis ei osanud enam kuhugi tagasi minna.
Miskipärast aga ei hakka suhtlus vastupidisel suunal (192.168.100.0 -> 192.168.200.0) tööle.
Mitte ükski 192.168.100.0 võrgust 192.168.200.0 poole teele pandud pakett 100-võrgu WRT karbist edasi ei jõua (st. 200-poolses toru otsas on täielik vaikus). Mis sellest, et WRT karbis on vajalik ruuting olemas. 
10.100.0.1 ja 10.0.100.2 (mõlema poole 'tun0') pingivad igast asendist
EDIT #2:
Käima sain! Konks oli sellest, et kui on vaja liikuda suunal server -> klient, siis tuleb serveri konfi lisaks tekitada CCD (Client Config Directory).
Ja juhuks kui keegi peaks üritama seda tööle ajada OpenWRT peal, siis /etc/config/openvpn faili tuleb see ära kirjeldada nii - client_config_dir. Just alakriipsudega, mitte sidekriipsudega (client-config-dir), nagu OpenVPN'i oma manual käsib.
Lihtsalt infoks - miskipärast on OpenVPN@OpenWRT umbes 10Mbit/s aeglasem, kui Raspbian'i peal. Täpselt sama krüpto ja sama raud (RPi 2 B).
|
|
| Kommentaarid: 247 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
3 :: |
224 |
|
| tagasi üles |
|
|
|
| lisa lemmikuks |
|
 |
sa ei või postitada uusi teemasid siia foorumisse
sa ei või vastata selle foorumi teemadele
sa ei või muuta oma postitusi selles foorumis
sa ei või kustutada oma postitusi selles foorumis
sa ei või vastata küsitlustele selles foorumis
sa ei saa lisada manuseid selles foorumis
sa võid manuseid alla laadida selles foorumis
|
|
Hinnavaatlus ei vastuta foorumis tehtud postituste eest.
|
:: KKK
:: otsing 
:: statistika
:: kasutajate nimekiri
:: kasutajate grupid
:: registreeri
teata moderaatorile
