Težave z OpenVPN povezavo

Mislim, da imaš postavljeno konfiguracijo za 'Split VPN'.
Pri tej varianti gre preko tunel izključno promet, ki je namenjen v tvoje omrežje. Ves ostali promet pa gre vem kot vedno, preko prijateljevega ISP-ja.

Preveri routing tabelo, če je default gateway isti, kot takrat, ko nisi povezan preko OpenVPN.

Naprej pa malo googlaj 'OpenVPN disable split tunnel'

Tomato router (OpenVPN server) ima LAN naslov 10.0.0.1.
Router oddaljenega PC-ja ima LAN naslov 192.168.1.1.

IP config in routing tabela z izklopljenim OpenVPN:



IP config in routing tabela z vklopljenim OpenVPN:



Še en (meni) nenavaden detajl - OpenVPN pravi, da je povezan s Client-om (ne bi moral biti s serverjem?). Mogoče se motim:


Hvala za pomoč!

Če hočeš, da gre ruta čez VPN, moraš OpenVPN client-a štartat kot administrator. Vsaj za Win 7 in naprej je bilo pri meni tako.

Probaj in poročaj.

Poizkusil s TAP in dal kljukico pri Direct Clients to redirect Internet traffic: DELA! :)

IP in ISP kaže od mojega Routerja namesto originalnega (od oddaljenega PC-ja).

Hvala za vse napotke, še posebej tega glede kljukice! :)

Je to torej to, client PC pripravljen za varno povezavo iz nevarnega WiFija domov preko routerja v internet? Ali moram še kaj narediti?

Android ne podpira TAP protokola. Sicer obstaja aplikacija, ki trdi, da zmore tudi to, vendar v praksi še nisem preveril ali dela ali ne:

https://play.google.com/store/apps/deta...

Naredil sem screenshote, takole imam jaz nastavljeno ampak včasih dela včasih pa ne - in ne vem točnega razloga zakaj tako. OpenVPN se sicer vedno poveže in javi, da je "Connected" (zelena ikona z zakljenjeno ključavnico) a včasih klient nima dostopa do interneta. Mogoče veste kaj bi moral spremeniti v nastavitvah routerja, da bi bila zadeva stabilnejša?





Zanima me tudi kaj točno poemnijo tele DNS nastavitve v Tomato in ali bi bilo potrebno kaj premakniti?



OpenVPN povezava se vzpostavi le če nastavim na UDP, TCP ne gre - je to običajno? TUN ali TAP, kaj je boljše (boljše glede varnosti in performansa)?

Enkripcija je TLS, to ja najboljše, ne? Firewall je nastavljen na automatic, je to v redu? Encryptio cipher - je v redu ali bi lahko izboljšal?

WebRTC lahko izklopim v Firefoxu, da ne bo puščal pravih IP-jev ven? Ali s tem izgubim kakšno funkcionalnost brskalnika ali česa drugega?

Opazil sem, da če sta router LAN IP-ja enaka na serverju in klientu OpenVPN ne deluje prav. Ne smeta torej oba biti 192.168.1.1 pač pa se mora network del razlikovati in potem dela v redu.

Hvala za pomoč že v naprej!

Jaz imam OpenVPN 'kompatibilen' strežnik, zato ti ne morem kaj dosti konkretnega reči za strežniško stran na 'originalnem' OpenVPN.

Lahko pa si pogledaš, kako pri meni izgleda konfiguracija na strani klienta:
(ves promet se preusmerja skozi tunel)

dev tun
client
proto tcp
remote-cert-eku "TLS Web Server Authentication"
remote xxx.xxx.xxx.xxx 443
redirect-gateway def1
persist-key
persist-tun
verb 3
mute 20
keepalive 10 60
cipher AES-256-CBC
auth SHA1
float
reneg-sec 3660
nobind
mute-replay-warnings
auth-user-pass
;remember_connection 1
;auto_reconnect 1
<ca>
-----BEGIN CERTIFICATE-----
(brisano)
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
(brisano)
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN RSA PRIVATE KEY-----
(brisano)
-----END RSA PRIVATE KEY-----
</key>

Huh, si me pa res zasul z vprašanji....

Pri meni se ta konfiguracijska datoteka samodejno ustvari glede na nastavitve na strežniški strani. Sama nastavitev na strani strežnika je sila preprosta in v bistvu sploh ne ponuja, da bi kaj dosti štrikal okoli teh parametrov ampak so nekje 'zapečeni'.

Jaz si to konfiguracijo preprosto prenesem s strežnika, tako da se z brskalnikom prijavim in kliknem na 'prenos konfiguracije'. Zato je seveda nadvse praktično, da je vse v eni datoteki - bolj 'trotlziher'.

Po defaultu mi sicer certifikate uvrsti bolj na začetek konfiguracije, kar pa se je izkazalo, da mi na Androidu povzroča težave (se ni povezal in metal ven neke errorje). Ko sem jih ročno postavil na dno, se je stvar tudi na Androidu pričela normalno obnašati. Predvidevam, da je to prej posledica kakšnega buga v Android klientu, kot pa da bi to bilo pogoj, saj mi pod Windows-i dela tudi brez popravkov.

Port 443/tcp? Tega imam nastavljenega, ker je praktično v vseh omrežjih odprt. Zatakne se lahko edino v kakšnih omrežjih, kjer imajo preveč pameten firewall, ki preko porta 443 spušča izključno https compliant promet - teh pa ni veliko.
Kakršenkoli drug port ponavadi povzroča veliko več težav. Prvenstveno drugače uporabljam IPSec za povezovanje, vendar mi marsikje ne preostane drugega, kot preklopiti na SSL VPN varianto, ker standardni IPSec porti in protokoli niso odprti.

Port 443 ti lahko povzroča težavo na strežniški strani, če imaš na istem IP naslovu še kakšen web server s podporo https. Takrat moraš zadevo prestaviti na drugo IP adreso ali na drug port.

Ker pri meni dela enkripcijo poseben kripto čip, mi po default ponuja 256bit, lahko pa bi nastavil tudi kakšno drugo varianto, vendar mora biti zadeva usklajena tako na serverju, kot v klientovi konfiguraciji. Če bi kaj pridobil z nižjo enkripcijo nisem nikoli preizkušal. Predvidevam pa, da bi se to pri tebi znalo kar poznati. Vsekakor se mi zdi, da je AES-128-CBC čisto dovolj.

Za kompresijo, boš moral preveriti, če jo Tomato sploh podpira, kot tudi druge opcije. Ni nujno, da so na vseh strežnikih podprte iste opcije, čeprav v osnovi vse skupaj temelji na OpenVPN. Razlike so lahko že med verzijami OpenVPN, ki se prenesejo na drug sistem, potem pa se lahko še dela določene prilagoditve, da se zadeva bolje prilagodi sistemu, na katerega se je vse skupaj preneslo.

Kot rečeno, se pri meni konfiguracijska datoteka samodejno kreira, tako da se v bistvu nikoli nisem ubadal s tem, za kaj je katera opcija dobra, kaj bi se zgodilo, če jo pobrišem ali spremenim. Karkoli bi ti še nakladal o opcijah, bi bilo špekuliranje in ugibanje. Lahko ti samo svetujem, da pogledaš, če ima Tomato kakšne linke z razlago konfiguracijskih parametrov v njihovi implementacijo OpenVPN.

Hvala za izčrpno razlago!

Jaz sem za "OpenVPN client / Tomato server" šel po nekem online tutorialu (http://www.howtogeek.com/60774/connect-... ampak sedaj vidim da je v bistvu zelo pomanjkljiv. Saj povezava se ustvari, ni pa to to. Najprej mi sploh ni pokazalo IP-ja s serverja ampak kar lokalnega (na klientu). Ogromno stvari je v ozadju, ki jih moram še zgruntat, da bom imel res varno in popolno povezavo (s tem mislim na to, da gre ves pretok podatkov skozi VPN tunel, ne nekaj na pol).

Tole mislim, da je ključno:
redirect-gateway def1

Za port imam jaz kar gnenričen VPN port (1194), to je pomoje čisto OK za domače okolje. Mislim, da to router sam odpira + Windows firewall (sicer sploh ne bi mogel povezati).

Grem testirat najrej, je pa toliko vseh parametrov, da se težko znajdem...

Še 1x hvala!

Na Tomato routerju imaš nastavitve tako kot jaz nekaj sporočil višje (screenshot)? Firewall na auto itd.?

Jaz imam conf datoteko takole:
client
dev tun
proto udp
remote x.x.x.x 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
ns-cert-type server
cipher AES-128-CBC
comp-lzo
verb 4

Vidim, da imaš ti še dh, nimaš pa cipher. Uh, nič mi ni jasno.

Vsi, ki uporabljate OpenVPN, tule lahko testirate, če vam brskalnik spušča skozi "pravi" IP: https://www.cactusvpn.com/webrtc-test.h...

Če ja, lahko (v Firefoxu, to pač sam uporabljam) naredite tole in problem bo rešen:
V naslovno vrstico vpišete "about:config", potrdite da razumete opozorilo, vpišete "media.peerconnection.enabled" in nastavite iz "true" na "false". Vse brez navednic. Potem pa še 1x testirajte.

Slika je od včeraj, danes sem nastavil na TUN in bo tako tudi ostalo verjetno. Sedaj imam TUN v routerji in config datoteki.

Tomato (Shibby) verzijo imam sledečo: 1.28.0000 MIPSR2-130 K26 Max.

Compression imam na Adaptive, čeprav se nisem še poglabljal v to. Cipher imaš na default - potem verjetno uporabljal Blowfish cipher, kar je v redu.

DiffieHellman ključ imam tudi jaz v routerju a nič v config datoteki na klientu. Verjetno bi moral vpisati v config datoteko. To si ti sam ročno vpisal?

Če ti test pri VPN povezavi izpiše tvoj poravi oz. originalni IP ti ga web browser spušča skozi. Firefox in Chrome naj bi imela vgrajen nek dodatek ki ima to slabost, da spušča pravi IP skzi pri uporabi OpenVPNja. IE pa baje da ne.

Zanimivo, če vzpostavim PPTP povezavo na isti strežnik mi spodaj izpiše samo oddaljeni zunanji IP. Brskalnik Chrome.

Tale mi še IPv6 naslov vrže ven: https://diafygi.github.io/webrtc-ips/

Koliko pa na speedtestu uspete iztisniti iz te vpn povezave na dd-wrt (itak variira v odvisnosti od routerja, a vendarle...)?

PS: Še nekaj me zanima - se da VPN povezavo s čim testirati proti napadom, puščanju itd.? Rad bi se prepričal, da je pravilno nastavljena in popolnoma enkriptirana.

Saj nisem mislil, da bi sam tunel puščal pač pa zaradi morebitnih narobe nastavljenih zadev z moje strani. Prvotna nastavitev je bila kar nekaj (tista iz tutoriala), vse je šlo mimo tunela - ravno obratno kot sem želel. S čim bi lahko to stestiral? Rad bi bil prepričan, da gre res vse skozi tunel in to enkriptirano.

Z Wiresharkom se sicer poznava, nisva pa še takšna prijatelja da bi on to naredil zame. :P

Če se da na hitro opredeliti mogoče - kaj bi moral iskati (filtrirati) ko bi snifal povezavo med klient PC-jem in routerjem? Neke paketke v katerih bi lahko bil razviden tekst verjetno (to bi potem pomenilo da nekaj ni v redu)?

Roko na srce, ne vem kaj in kako bi moral iskati, da bi videl razliko med pravilnim delovanjem in "uhajanjem" podatkov zaradi napačne nastavitve VPN-ja. Kaj bi moral vpisati v filter za iskanje morebitnih DNS, HTTP in HTTPS requestov? Če gre res vse skozi tunel se torej ne sme videti čisto nič nam čitljivega?

Verjetno ja, ampak tak sem. Mislil sem, da je preprosteje in potem ko sem videl, da mi OpenVPN spušča ven (oz. bolje rečeno: mimo) "pravi" IP namesto tistega pri strežniku sem se poglobil in videl da ni kar na 1, 2, 3. Pač rad bi da res dela kot mora.

Da, točno tako. In ker OpenVPN ni ravno navaden consumer program sem zmotno mislil da zelena ikona s ključavnico avtomatsko pomeni da gre vse skozi tunel - moja napaka.

a) Ne. :)

b) Ne, ampak ko bi končal z delom za podjetje bi izklopil VPN in brskal preko svoje povezave (svojega ISP-ja). :P

Razumem kaj mi skušaš razložiti. Ali lahko trdimo, da če na klientu pri speedtestu vidim IP od VPN serverja, da gre potem vse enkriptirano skozi tunel? Jaz mislim da ne, torej se bom moral še poglobiti. Prečesal sem OpenVPN forume a ne najdem enega enostavnega 100% navodila kako preprosto vzpostaviti povezavo med Windows klientom in router serverjem tako, da bo vse šlo skozi tunel in to enkriptirano, torej varno. Ko bom končal, kako naj torej filtriram v Wiresharku da lahko pogledam za morebitne razkrite HTTP, HTTPS in DNS requeste?

Ni konca težav z OpenVPN-jem. Danes sem še malo testiral, povezava je bila sklenjena a s klient PC-jem nisem imel dostopa na internet.

Preizkusil sem vse mogoče in na koncu ugotovil tole (neverjetno): če hočem dostop na internet moram v Tomato routerju izklopit možnost "Direct clients to redirect Internet traffic".

Po tem je imel klient PC dostop do interneta a What's My IP je pokazal IP lokalnega routerja. Tracert pravtako seveda.

Po tem sem v client config datoteko dodal "redirect-gateway def1" in potem se je lahko povezal, imel povezavo na internat ter kazal IP oddaljenega (Tomato OpenVPN) routerja. Upam, da je to sedaj to.

Nenavadno, ravno obratno kot je bilo rečeno tukaj, a "Direct clients to redirect Internet traffic" moram očitno imeti izklopljen da dobi klient dostop na internet, z "redirect-gateway def1" v config datoteki pa pošlje ves promet (upam) skozi enkriptiran (upam) tunel. Uh...

Še ena zanimivost, če dodam "dh dh1024.pem" v config datoteko se OpenVPN noče povezat. Bom še raziskoval...

Ponavadi, ko že prevečkrat premakneš kje kljukice in popraviš konfiguracijo je najbolje vse skupaj ponastaviti in začeti znova. Tudi sam sem se kar nekaj časa ukvarjal s postavljanjem vsega tega, da je delovalo tako kot mi ustreza. Nimam težav s tem, da ne bi bilo dostopa do interneta.

dh1024.pem mora biti vpisan tudi na strani strežnika, če želiš, da deluje. Sicer nisem vedel, da dela tudi brez tega.

Ni kaj omogočati. Če je vpisana mora delati.

Ne morem ti reči konkretno za Cyberoam ampak pri WatchGuardu je konfiguracijska datoteka, ki jo zgenerira požarna pregrada kompatibilna s standardnim OpenVPN klientom (tega uporabljam na Androidu).

Nič te ne bo stalo, če poskusiš namestiti standardni OpenVPN odjemalec in uvoziti to konfiguracijo.

Še prej pa jo preglej, če je sploh podobna OpenVPN konfiguraciji.

EdoK je 20. avg 2015 ob 09:27 izjavil:

Hvala za odgovor. Gre za ssl povezavo (to je open VPN, ne?), Tunnelblick sem vzel ker to zahteva proizvajalec. Za druge kompatibilne odjemalce nisem našel podatka. Bom pa preiskusil tvoj predlog.
Frustrirajoče zame je to, da vpn povezave z mac-a nisem uspel vzpostaviti tudi na starem firewallu na cisco standardu. Na pc-ju pa ta vedno dela. Rešitve na webu ali pri sistemcu nisem dobil.

Si šel po postopku, ki je tukaj opisan?