Forum » Omrežja in internet » OpenWRT in OpenVPN
OpenWRT in OpenVPN
BlaY0 ::
server '10.8.0.0 255.255.255.0' pomeni da boš imel znotraj VPN-ja IPje od 10.8.0.1 (to bo verjetno server) do 10.8.0.254. Topologijo imaš pa subnet, ker je po mojem mnenju v tvojem primeru najbolj optimalno.
To je bilo že omenjeno ;)
Tale "option server" pomeni v katerem omrežju se bosta nahajala VPN interfejsa. Zdaj odvisno zakaj postavljaš ta VPN, samo zato da prideš do mašin na intranetu ali zato da boš ven hodil z AT IP-jem?
To rešiš z routo - če je default routa v VPN, potem boš hodil ven z njegovim IPjem (moraš pa še nastaviti IP forwarding!), samo za dostop do intraneta ne rabiš pushnit default route.
To je že vse nastavljeno... vprašanje je samo izbira med "server" oz. "server-bridge". Tale "server-bridge" ti pač omogoča da ne delaš še enega routinga, če hočeš priti z VPN klienta do neke mašine v intranetu. Meni je to bolj eleganto in se tega poslužujem. Če pa uporabljaš VPN samo zato, da hodiš v internet z drugega IP-ja potem je pa dosti opcija "server", ker itak ne nucaš dodatnega routinga v intranet..
Ne, nisem nic fiksiral. wan dobi vedno drugacen IP. Je bolj pravilno 'wan' na ruterju nastaviti na static, pred tem pa seveda fiksno dolociti na modemu IP za wan? Na lan sem izklopil gateway.
Ja rabiš fiksirat, če ne ti port forwarding z modema na koristi kaj dosti. Če si naredil port forwarding na .20 potem se mora wan interface routerja vedno nahajati na .20.
A ni ze 'lan' interface bridge?
option type 'bridge'
option _orig_ifname 'eth1 radio0.network1 wlan1'
oziroma preko LuCI-ja:
Ma naj bi bil samo me malo moti tale _orig_ifname
Zgodovina sprememb…
- spremenilo: BlaY0 ()
harmony ::
Zanima me kaj tocno bi pomenila tale nastavitev na modemu. To je IP wan porta.
Ce pravilno razumem, bi s taksno nastavitvijo firewall bil na modem u ugasnjen in bi se uporabljal firewall na routerju. Ali je sploh taksna zadeva smiselna? Firewall na OpenWRT nisem nic dotikal, razen to kar sem delal z OpenVPN nastavitvami.
Ne razumem tocno kaj mislis s tem, da te moti _orig_ifname?
Ce pravilno razumem, bi s taksno nastavitvijo firewall bil na modem u ugasnjen in bi se uporabljal firewall na routerju. Ali je sploh taksna zadeva smiselna? Firewall na OpenWRT nisem nic dotikal, razen to kar sem delal z OpenVPN nastavitvami.
Ne razumem tocno kaj mislis s tem, da te moti _orig_ifname?
BlaY0 ::
Jah, tako nekako. Pomeni da ti sforwardira ves promet na nek interni IP. Jaz sem mnenja da je v tvojem primeru dosti, če forwardiraš en port in je to to. Lahko pa seveda uporabiš to opcijo.
_orig_ifname je pri meni recimo interface, ki je bil v uporabi pred zdajšnjim, se pravi ena konfiguracijska inkarnacija nazaj.
_orig_ifname je pri meni recimo interface, ki je bil v uporabi pred zdajšnjim, se pravi ena konfiguracijska inkarnacija nazaj.
Zgodovina sprememb…
- spremenilo: BlaY0 ()
harmony ::
Ne me popljuvat, ampak nekaj sem naredil in ocitno deluje vse skupaj na pol.
Izbrisal sem interface in naredil na novo z 10.8.0.0. subnetom. S clientom (Android) sem se lahko tudi uspesno povezal) na server. Poskusil tudi dostopati do ruterja 192.168.2.1 ter dobil LuCI.
Glede na tvoj post: Tale "server-bridge" ti pač omogoča da ne delaš še enega routinga, če hočeš priti z VPN klienta do neke mašine v intranetu. Meni je to bolj eleganto in se tega poslužujem. lahko sklepam, da je pri meni ze na server-bridge, saj kot sem napisal lahko sem dostopal do ruterja in tudi to npr. raspberrija preko ssh-ja.
Glede na tole:
Try to browse a public site (e.g., www.google.com), then try to browse to your router's IP (e.g., 10.10.1.1). If everything is setup correctly, both should load. You can also check your IP with an external tool, such as WhatIsMyIP, and you should see your OpenWrt router's public IP. I'd also advise to check for DNS leaks (your DNS should be set to the DNS servers we pushed to the clients).
VPN Client na Androidu bi moral pokazati tudi "Connection Info" kot je na tej sliki:
ampak pri meni tega ni...
Dejansko mi tole ustreza - torej da se iz xyz omrezja preko svojega klienta povezem na VPN server ter tako dostopam secure ter obenem imam dostop do domacega omrezja.
Izbrisal sem interface in naredil na novo z 10.8.0.0. subnetom. S clientom (Android) sem se lahko tudi uspesno povezal) na server. Poskusil tudi dostopati do ruterja 192.168.2.1 ter dobil LuCI.
Glede na tvoj post: Tale "server-bridge" ti pač omogoča da ne delaš še enega routinga, če hočeš priti z VPN klienta do neke mašine v intranetu. Meni je to bolj eleganto in se tega poslužujem. lahko sklepam, da je pri meni ze na server-bridge, saj kot sem napisal lahko sem dostopal do ruterja in tudi to npr. raspberrija preko ssh-ja.
Glede na tole:
Try to browse a public site (e.g., www.google.com), then try to browse to your router's IP (e.g., 10.10.1.1). If everything is setup correctly, both should load. You can also check your IP with an external tool, such as WhatIsMyIP, and you should see your OpenWrt router's public IP. I'd also advise to check for DNS leaks (your DNS should be set to the DNS servers we pushed to the clients).
VPN Client na Androidu bi moral pokazati tudi "Connection Info" kot je na tej sliki:
ampak pri meni tega ni...
Dejansko mi tole ustreza - torej da se iz xyz omrezja preko svojega klienta povezem na VPN server ter tako dostopam secure ter obenem imam dostop do domacega omrezja.
harmony ::
Edit:
Sem bil ponovno prehiter. Nisem videl v klientu, da je potrebno na details klikniti, da se pokaze vec informacij. Skratka na Androidu sem dobil 10.8.0.2 IP ter public naslov ruterja oz. modema.
Vendar, ko grem na https://www.whatismyip.com/ dobim public IP od provajderja.
Sem bil ponovno prehiter. Nisem videl v klientu, da je potrebno na details klikniti, da se pokaze vec informacij. Skratka na Androidu sem dobil 10.8.0.2 IP ter public naslov ruterja oz. modema.
Vendar, ko grem na https://www.whatismyip.com/ dobim public IP od provajderja.
BlaY0 ::
Ne, ti imaš server in subnet 10.8.0.0/24 + dodatno ruto na obeh straneh ki ti omogoča prehajanje na 192.168.2.0/24 ter od tam nazaj na 10.8.0.0/24.
Public IP od katerega providerja? Povej od kod delaš VPN in kam. Recimo jaz delam VPN iz Nemčije V Slovenijo in v tem primeru dobim slovenski public IP.
Public IP od katerega providerja? Povej od kod delaš VPN in kam. Recimo jaz delam VPN iz Nemčije V Slovenijo in v tem primeru dobim slovenski public IP.
Zgodovina sprememb…
- spremenilo: BlaY0 ()
harmony ::
Public IP od mobilnega providerja, v mojem primeru A1.
VPN torej delam na mobilni napravi, povezana v mobilno omrezjo do domacega omrezja (UPC Austria provider).
VPN torej delam na mobilni napravi, povezana v mobilno omrezjo do domacega omrezja (UPC Austria provider).
BlaY0 ::
Aha. Očitno se ti na telefonu ne naredid default ruta na VPN. Daj še enkrat server.config postaj.
harmony ::
Konfiguracija (openvpn):
config openvpn 'myvpn'
option enabled '1'
option dev 'tun'
option port '443'
option proto 'tcp'
option comp_lzo 'yes'
option status '/var/log/openvpn_status.log'
option log '/tmp/openvpn.log'
option verb '3'
option mute '5'
option keepalive '10 120'
option persist_key '1'
option persist_tun '1'
option user 'nobody'
option group 'nogroup'
option ca '/etc/easy-rsa/keys/ca.crt'
option dh '/etc/easy-rsa/keys/dh2048.pem'
option cert '/etc/easy-rsa/keys/vpn_home.crt'
option key '/etc/easy-rsa/keys/vpn_home.key'
option mode 'server'
option tls_server '1'
option topology 'subnet'
option route_gateway 'dhcp'
option client_to_client '1'
list push 'comp-lzo yes'
list push 'persist-key'
list push 'persist-tun'
list push 'user nobody'
list push 'user nogroup'
list push 'topology subnet'
list push 'route-gateway dhcp'
list push 'route 192.168.2.0 255.255.255.0'
option server '10.8.0.0 255.255.255.0' BlaY0 ::
Pri route_gateway ti manjka def1 ampak nisem prepričan, ker ne vem kako se translirajo te uci atributi v dejanske opcije. Daj prosim poišči fajl server.config ali openvpn.config. Lahko da se nahaja v /etc/openvpn ali pa /tmp/openvpn, nekje mora biti, namreč ob štartu samega servise se le ta generira iz atributov ki jih najdeš v /etc/config/openvpn. Na sploh imaš čisto preveč stvari v uci konfigu.
Zgodovina sprememb…
- spremenilo: BlaY0 ()
BlaY0 ::
Po moje bo tole zadosti:
Poskusi in poročaj.
config openvpn 'myvpn'
option enabled '1'
option dev 'tun'
option port '443'
option proto 'tcp'
option comp_lzo 'yes'
option status '/var/log/openvpn_status.log'
option log '/tmp/openvpn.log'
option verb '3'
option mute '5'
option keepalive '10 120'
option persist_key '1'
option persist_tun '1'
option user 'nobody'
option group 'nogroup'
option ca '/etc/easy-rsa/keys/ca.crt'
option dh '/etc/easy-rsa/keys/dh2048.pem'
option cert '/etc/easy-rsa/keys/vpn_home.crt'
option key '/etc/easy-rsa/keys/vpn_home.key'
option server '10.8.0.0 255.255.255.0'
option client_to_client '1'
option tls_server '1'
option topology 'subnet'
list push 'redirect-gateway def1'
list push 'route 192.168.2.0 255.255.255.0'
Poskusi in poročaj.
harmony ::
Poksusil sem. Povezem se, ampak nimam dostopa do interneta na mobilnem aparatu niti lahko dostopam do interne mreze.
Jaz resnicno ne najdem zeljenih fajlov.
Ce ti kaj pomaga prilagam izpis loga, ki je nastal, ko sem se povezal.
Jaz resnicno ne najdem zeljenih fajlov.
Ce ti kaj pomaga prilagam izpis loga, ki je nastal, ko sem se povezal.
root@OpenWrt:/etc/config# tail -f /tmp/openvpn.log Mon Apr 4 18:02:11 2016 /sbin/ifconfig tun0 10.8.0.1 netmask 255.255.255.0 mtu 1500 broadcast 10.8.0.255 Mon Apr 4 18:02:11 2016 GID set to nogroup Mon Apr 4 18:02:11 2016 UID set to nobody Mon Apr 4 18:02:11 2016 Listening for incoming TCP connection on [undef] Mon Apr 4 18:02:11 2016 TCPv4_SERVER link local (bound): [undef] Mon Apr 4 18:02:11 2016 TCPv4_SERVER link remote: [undef] Mon Apr 4 18:02:11 2016 MULTI: multi_init called, r=256 v=256 Mon Apr 4 18:02:11 2016 IFCONFIG POOL: base=10.8.0.2 size=252, ipv6=0 Mon Apr 4 18:02:11 2016 MULTI: TCP INIT maxclients=1024 maxevents=1028 Mon Apr 4 18:02:11 2016 Initialization Sequence Completed Mon Apr 4 18:02:44 2016 TCP connection established with [AF_INET]89.144.201.76:8242 Mon Apr 4 18:02:44 2016 89.144.201.76:8242 TLS: Initial packet from [AF_INET]89.144.201.76:8242, sid=b503595a d92f9276 Mon Apr 4 18:02:47 2016 89.144.201.76:8242 VERIFY OK: depth=1, C=AT, ST=AT, L=AT, O=Home, OU=Home, CN=OpenVPN-CA, name=EasyRSA, emailAddress=enaslov@gmail.com Mon Apr 4 18:02:47 2016 89.144.201.76:8242 VERIFY OK: depth=0, C=AT, ST=AT, L=AT, O=Home, OU=Home, CN=androiduser, name=EasyRSA, emailAddress=enaslov@gmail.com Mon Apr 4 18:02:48 2016 89.144.201.76:8242 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key Mon Apr 4 18:02:48 2016 89.144.201.76:8242 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Mon Apr 4 18:02:48 2016 89.144.201.76:8242 NOTE: --mute triggered... Mon Apr 4 18:02:48 2016 89.144.201.76:8242 3 variation(s) on previous 5 message(s) suppressed by --mute Mon Apr 4 18:02:48 2016 89.144.201.76:8242 [androiduser] Peer Connection Initiated with [AF_INET]89.144.201.76:8242 Mon Apr 4 18:02:48 2016 androiduser/89.144.201.76:8242 MULTI_sva: pool returned IPv4=10.8.0.2, IPv6=(Not enabled) Mon Apr 4 18:02:48 2016 androiduser/89.144.201.76:8242 MULTI: Learn: 10.8.0.2 -> androiduser/89.144.201.76:8242 Mon Apr 4 18:02:48 2016 androiduser/89.144.201.76:8242 MULTI: primary virtual IP for androiduser/89.144.201.76:8242: 10.8.0.2 Mon Apr 4 18:02:48 2016 androiduser/89.144.201.76:8242 PUSH: Received control message: 'PUSH_REQUEST' Mon Apr 4 18:02:48 2016 androiduser/89.144.201.76:8242 send_push_reply(): safe_cap=940 Mon Apr 4 18:02:48 2016 androiduser/89.144.201.76:8242 SENT CONTROL [androiduser]: 'PUSH_REPLY,redirect-gateway def1,route 192.168.2.0 255.255.255.0,route-gateway 10.8.0.1,topology subnet,ping 10,ping-restart 120,ifconfig 10.8.0.2 255.255.255.0' (status=1) Mon Apr 4 18:05:40 2016 androiduser/89.144.201.76:8242 Connection reset, restarting [0] Mon Apr 4 18:05:40 2016 androiduser/89.144.201.76:8242 SIGUSR1[soft,connection-reset] received, client-instance restarting
BlaY0 ::
Ne, iz tega se nič ne vidi. V gajdu po katerem si delal imaš pod OpenVPN server config še tole (malo sem priredil vse skupaj):
...torej:
Zadnji dve vrstici sta pomembni zato, ker ko enkrat narediš default ruto skozi VPN, DNS serverji tvojega mobile providerja niso več dostopni in ti zgleda na prvi moment kot da nič ne dela. Prav tako je malo verjetno, da je po defaultu z 10.8.0.0/24 dostopen DNS server na samem routerju (192.168.2.1). To moraš preveriti v nastavitvah za DNS servis na routerju (ponavadi je dostopen samo v intranet networku, torej pri tebi v 192.168.2.0/24).
To bi moglo zdaj delat.
uci add_list openvpn.myvpn.push="redirect-gateway def1" uci add_list openvpn.myvpn.push="route 192.168.2.0 255.255.255.0" uci add_list openvpn.myvpn.push="dhcp-option DNS 8.8.8.8" uci add_list openvpn.myvpn.push="dhcp-option DNS 8.8.4.4"
...torej:
* prva vrstica ti na klientu redirekta ves promet čez VPN (hodiš ven z IP-jem od modema - to želiš)
*druga vrstica ti na klientu naredi ruto, da lahko dostopaš do mašin v intranetu (predvidevam da je tvoj intranet še vedno 192.168.2.0/24)
* tretja in četrta vrstica pa ti na klientu nastavita DNS serverje (v tem primeru googlove ker so dosegljivi od povsod, lahko jih nadomestiš z dvema, ki ju uporabljaš na routerju - od tvojega AT inet providerja)
Zadnji dve vrstici sta pomembni zato, ker ko enkrat narediš default ruto skozi VPN, DNS serverji tvojega mobile providerja niso več dostopni in ti zgleda na prvi moment kot da nič ne dela. Prav tako je malo verjetno, da je po defaultu z 10.8.0.0/24 dostopen DNS server na samem routerju (192.168.2.1). To moraš preveriti v nastavitvah za DNS servis na routerju (ponavadi je dostopen samo v intranet networku, torej pri tebi v 192.168.2.0/24).
To bi moglo zdaj delat.
Zgodovina sprememb…
- spremenilo: BlaY0 ()
BlaY0 ::
Aja, sem šel pogledat v initskripto od openvpn servisa... konfig imaš v /var/etc/openvpn-$s.conf
harmony ::
Sedaj deluje ocitno kot treba, vendar ne s tvojo konfiguracijo, ampak s tisto, katero sem prvotno postal plus to kar si nazadnje postal
Bom se enkrat primerjal tvoj konfig z mojim prvotnim, za katerega si rekel, da je malo prevec stvari notri, pa probal videti kaj tocno manjka se v tvojem konfigu, da deluje.
Skratka prvi test zakljucen. Bom sedaj malo se stvari potestiral na razlicnih klientih in prebral se par stvari, katere so mi se nejasne ostale.
uci add_list openvpn.myvpn.push="redirect-gateway def1" uci add_list openvpn.myvpn.push="route 192.168.2.0 255.255.255.0" uci add_list openvpn.myvpn.push="dhcp-option DNS 8.8.8.8" uci add_list openvpn.myvpn.push="dhcp-option DNS 8.8.4.4"
Bom se enkrat primerjal tvoj konfig z mojim prvotnim, za katerega si rekel, da je malo prevec stvari notri, pa probal videti kaj tocno manjka se v tvojem konfigu, da deluje.
Skratka prvi test zakljucen. Bom sedaj malo se stvari potestiral na razlicnih klientih in prebral se par stvari, katere so mi se nejasne ostale.
BlaY0 ::
Vem, saj to sem mislil. Pri meni očitno manjka tisti "option mode 'server'", za katerega pa ne vem kaj točno naredi pa tudi "option route_gateway 'dhcp'" mi ni jasen. Bistven je /var/etc/openvpn-*.conf ki ga zgenerira init skripta, iz njega se dejansko _fila_ openvpn daemon. Definitivno pa ne nucaš vseh tistih push statementov amapk samo te 3 oziroma 4, ki sem ti jih nazadnje postal. Daj za štos postaj tale tvoj /var/etc/openvpn-*.conf.
harmony ::
Evoga:
client-to-client persist-key persist-tun tls-server ca /etc/easy-rsa/keys/ca.crt cert /etc/easy-rsa/keys/vpn_home.crt comp-lzo yes dev tun dh /etc/easy-rsa/keys/dh2048.pem group nogroup keepalive 10 120 key /etc/easy-rsa/keys/vpn_home.key log /tmp/openvpn.log mode server mute 5 port 443 proto tcp route-gateway dhcp server 10.8.0.0 255.255.255.0 status /var/log/openvpn_status.log topology subnet user nobody verb 3 push comp-lzo yes push persist-key push persist-tun push user nobody push user nogroup push topology subnet push route-gateway dhcp push route 192.168.2.0 255.255.255.0 push redirect-gateway def1 push dhcp-option DNS 8.8.8.8 push dhcp-option DNS 8.8.4.4
harmony ::
Rad bi vprasal ali ima smisel na klientu nastaviti profil tako, da moram se dodatno vtipkati geslo, ko bi se poskusal povezati preko VPN?
Sedaj je avtomatsko narejeno, da ob kliku connect se avtomatsko povezem.
Sedaj je avtomatsko narejeno, da ob kliku connect se avtomatsko povezem.
harmony ::
Kako se obraniti proti taksnim "napadom"? Blokirati IP-je ne bo slo, ker jih bo najbrz vedno vec in vec. Cele subnete mogoce?
Za kaksno vrsto "napada" je slo v spodnjem primeru?
Za kaksno vrsto "napada" je slo v spodnjem primeru?
Mon Apr 11 14:43:02 2016 54.146.88.250:48411 Connection reset, restarting [0] Mon Apr 11 14:43:02 2016 54.146.88.250:48411 SIGUSR1[soft,connection-reset] received, client-instance restarting Mon Apr 11 14:43:03 2016 TCP connection established with [AF_INET]54.146.88.250:48690 Mon Apr 11 14:43:03 2016 54.146.88.250:48690 WARNING: Bad encapsulated packet length from peer (5635), which must be > 0 and <= 1544 -- please ensure that --tun-mtu or --link-mtu is equal on both peers -- this condition could also indicate a possible active attack on the TCP link -- [Attempting restart...] Mon Apr 11 14:43:03 2016 54.146.88.250:48690 Connection reset, restarting [0] Mon Apr 11 14:43:03 2016 54.146.88.250:48690 SIGUSR1[soft,connection-reset] received, client-instance restarting Mon Apr 11 14:43:03 2016 TCP connection established with [AF_INET]54.146.88.250:49131 Mon Apr 11 14:43:04 2016 54.146.88.250:49131 WARNING: Bad encapsulated packet length from peer (32811), which must be > 0 and <= 1544 -- please ensure that --tun-mtu or --link-mtu is equal on both peers -- this condition could also indicate a possible active attack on the TCP link -- [Attempting restart...] Mon Apr 11 14:43:04 2016 54.146.88.250:49131 Connection reset, restarting [0] Mon Apr 11 14:43:04 2016 54.146.88.250:49131 SIGUSR1[soft,connection-reset] received, client-instance restarting
harmony ::
Napad?
https://forums.openvpn.net/topic10815.h...
To zgoraj niso moje prijave na VPN server.
Daniel ::
Preprečiš tole bolj težko. Se pa ne more ravno kdorkoli prijavit na tvoj server, če imaš zadevo zaščiteno s svojim certifikatom. Lahko pa seveda poskušajo. Tudi meni kaj naprej poskušajo po Telnetu vdreti v router in to od prvega dne ko sem na statičnem IPju pri drugem operaterju. Onemogočil sem Telnet prijavo in to je to, kaj druga ne moreš.
poweroff ::
Zato pa uporabiš HMAC digitalni podpis. Z njim preprečuješ oz. otežiš DoS napade ali poplavljanje OpenVPN UDP vrat.
sudo poweroff
BivšiUser2 ::
Vzpostavljam zadevo na novo, pa se ne morem nikakor povezat domov.
ovpn fajl
Do router dostopam sicer lahko prek gui-a (preko https) (putty mi zavrme povezavo), javi pa mi error _p7300.
-vsebina je namesto dejanskih hieroglifov
ovpn fajl
client nobind proto udp dev tun <ca> -vsebina </ca> <cert> -vsebina </cert> <key> -vsebina </key> <dh> -vsebina </dh> verb 3 resolv-retry infinite remote-cert-tls-server persist-key persist-tun remote https://domena.ddns.net 443
Do router dostopam sicer lahko prek gui-a (preko https) (putty mi zavrme povezavo), javi pa mi error _p7300.
-vsebina je namesto dejanskih hieroglifov
SloTech - če nisi z nami, si persona non grata.
Zgodovina sprememb…
- spremenil: BivšiUser2 ()
čuhalev ::
Manjka ti key-direction pa remote še nisem videl z https! Nadalje preveri kako je z auth in chiper poljem.
BivšiUser2 ::
Vsebina p12 datoteke? Https sem omogočil na začetku ( delal vse po vodičih). Auth in cipher?
SloTech - če nisi z nami, si persona non grata.
Zgodovina sprememb…
- spremenil: BivšiUser2 ()
čuhalev ::
Obe konfiguraciji (ovpn in conf) morata uporabljati enak auth in cipher.
Jaz še nisem videl ovpn datoteke, ki bi imela https v vrstici! Tipično je tam IP ali domena ter številka porta.
Jaz še nisem videl ovpn datoteke, ki bi imela https v vrstici! Tipično je tam IP ali domena ter številka porta.
BivšiUser2 ::
config openvpn 'myvpn'
option enabled '1'
option dev 'tun'
option proto 'udp'
option verb '3'
option ca '/etc/openvpn/ca.crt'
option port '1194'
option cert '/etc/openvpn/centrala.crt'
option key '/etc/openvpn/centrala.key'
option server '192.168.1.1 255.255.255.0'
option push 'redirect-gateway def1'
option keepalive '10 60'
option ifconfig '10.200.200.3 10.200.200.1'
option dh '/lib/uci/upload/cbid.openvpn.myvpn.dh'
Evo to je še conf. file (sory ker s takim zamikom, vendar mi iz čudnega razloga dropbear refusa povezavo, ko se preko cli povetzujem iz študenta, čeprav lahko do guia dostopam preko domene.)
v ovpn fajlu sem pobrisal "https" in namesto 443 dodal 1194, se mi je pokazala ena taka mala zelen ključavni v profile managerju, samo še vedno ne morem dostopat do diska na routerju, čeprav sem za celotno /home particijo postavil na 777.
Predvsem me zanima od kod ip-ji v ifconfig sekciji. Delal sem po https://wiki.openwrt.org/doc/howto/vpn....
Še fw
config defaults
option syn_flood '1'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'ACCEPT'
config include
option path '/etc/firewall.user'
config zone
option 'vpn'
option masq '1'
option input 'ACCEPT'
option forward 'ACCEPT'
option output 'ACCEPT'
option network 'vpn'
config forwarding
option src 'vpn'
option dest 'lan'
config include 'miniupnpd'
option type 'script'
option path '/usr/share/miniupnpd/firewall.include'
option family 'any'
option reload '1'
config rule
option target 'ACCEPT'
config rule
option target 'ACCEPT'
config rule
option target 'ACCEPT'
config zone
option input 'ACCEPT'
option forward 'ACCEPT'
option output 'ACCEPT'
option network 'lan'
option name 'lan'
option masq '1'
option mtu_fix '1'
config zone
option name 'wan'
option input 'ACCEPT'
option forward 'ACCEPT'
option output 'ACCEPT'
option network 'wan'
option masq '1'
option mtu_fix '1'
config forwarding
option dest 'lan'
option src 'wan'
config forwarding
option dest 'wan'
option src 'lan'
config rule
option name 'Dovoli-openvpn-inbound'
option target 'ACCEPT'
option src '*'
option proto 'udp'
option dest_port '1194'
config zone
option name 'vpn'
option input 'ACCEPT'
option masq '1'
option forward 'ACCEPT'
option output 'ACCEPT'
option network 'vpn0'
config forwarding
option src 'vpn'
option dest 'wan'
config forwarding
option src 'vpn'
option dest 'lan'
SloTech - če nisi z nami, si persona non grata.
čuhalev ::
V /etc/config/network moraš povedati, da fizični vmesnik tun0 pripada logičnem vmesniku vpn.
BivšiUser2 ::
To mam v network
Še enkrat conf file
config interface 'vpn0'
option ifname 'tun0'
option proto 'none'
option auto '1'
Še enkrat conf file
config openvpn 'myvpn'
option enabled '1'
option dev 'tun0'
option proto 'udp'
option verb '3'
option ca '/etc/openvpn/ca.crt'
option port '1194'
option cert '/etc/openvpn/centrala.crt'
option key '/etc/openvpn/centrala.key'
option server '192.168.1.1 255.255.255.0'
option push 'redirect-gateway def1'
option keepalive '10 60'
option ifconfig '10.200.200.3 10.200.200.1'
option dh '/lib/uci/upload/cbid.openvpn.myvpn.dh'
SloTech - če nisi z nami, si persona non grata.
Zgodovina sprememb…
- spremenil: BivšiUser2 ()
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | OpenVPN na DD-WRTOddelek: Omrežja in internet | 962 (759) | ExSpirit |
| » | Mikrotik - OpenVPNOddelek: Omrežja in internet | 1739 (1387) | mrsmoke |
| » | Težave z OpenVPN povezavo (strani: 1 2 )Oddelek: Omrežja in internet | 9972 (6868) | čuhalev |
| » | Openvpn (strani: 1 2 )Oddelek: Programska oprema | 14805 (6372) | Blisk |
| » | OpenVPN - samo dostop do notranjega omrežjaOddelek: Omrežja in internet | 1246 (1158) | poweroff |