Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: beer 18. 01. 2016, 04:38:30
-
ahoj, nejde mi vytvořit openvpn server na turrisu.
Oficiální návod je pro klienta https://www.turris.cz/doc/navody/openvpn
já jsem postupoval podle http://www.s474n.com/project-turris-zprovozneni-openvpn-serveru/, nefungovalo, a pak jsem se v kombinaci s jinými návody do toho zamotal a nevím přesně, jestli je chyba v tom, že po zadání ifconfig nevidím tun rozhraní, nebo jestli je problém ve firewallu, nebo v konfiguračním rozhraní.
/etc/config/openvpn
package openvpn
config openvpn custom_config
option enabled 1
option config /etc/openvpn/vpn.conf
/etc/openvpn/vpn.conf
[size=78%]
config openvpn 'turris_server'
option enabled '1'
option dev 'tun'
option proto 'udp'
option port '1194'
option keepalive '10 1200'
option ca '/etc/openvpn/ca.crt'
option cert '/etc/openvpn/turris.crt'
option key '/etc/openvpn/turris.key'
option dh '/etc/dh2048.pem'
option server '192.168.100.0 255.255.255.0'
option remote-cert-tls 'server'
list push 'redirect-gateway def1'
option comp-lzo 'yes'
option verb '3'
option topology 'subnet'
option ifconfig_pool_persist '/tmp/ipp.txt'
option persist_key '1'
option persist_tun '1'
option status '/tmp/openvpn-status.log'
/etc/config/network
config interface 'loopback'
option ifname 'lo'
option proto 'static'
option ipaddr '127.0.0.1'
option netmask '255.0.0.0'
config globals 'globals'
option ula_prefix 'fd04:1778:866e::/48'
config interface 'lan'
option force_link '1'
option type 'bridge'
option proto 'static'
option ipaddr '192.168.1.1'
option netmask '255.255.255.0'
option ip6assign '60'
option ifname 'eth0 eth1 vpn'
config interface 'wan'
option ifname 'eth2'
option proto 'dhcp'
config interface 'wan6'
option ifname '@wan'
option proto 'dhcpv6'
config interface 'vpn'
option ifname 'tun0'
option proto 'static'
option ipaddr '192.168.100.1'
option netmask '255.255.255.0'
config switch
option name 'switch0'
option reset '1'
option enable_vlan '1'
config switch_vlan
option device 'switch0'
option vlan '1'
option ports '0 1 2 3 4 '
config switch_vlan
option device 'switch0'
option vlan '2'
option ports '5 6'
/etc/config/firewall
config defaults
option syn_flood '1'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'
config zone
option name 'lan'
list network 'lan'
list network 'vpn'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'ACCEPT'
config zone
option name 'wan'
list network 'wan'
list network 'wan6'
option input 'REJECT'
option output 'ACCEPT'
option forward 'REJECT'
option masq '1'
option mtu_fix '1'
config forwarding
option src 'lan'
option dest 'wan'
config rule
option name 'Allow-DHCP-Renew'
option src 'wan'
option proto 'udp'
option dest_port '68'
option target 'ACCEPT'
option family 'ipv4'
config rule
option name 'OpenVPN'
option family 'ipv4'
option src 'wan'
option proto 'udp'
option dest_port '1194'
option target 'ACCEPT'
config rule
option name 'Allow-Ping'
option src 'wan'
option proto 'icmp'
option icmp_type 'echo-request'
option family 'ipv4'
option target 'ACCEPT'
config rule
option name 'Allow-DHCPv6'
option src 'wan'
option proto 'udp'
option src_ip 'fe80::/10'
option src_port '547'
option dest_ip 'fe80::/10'
option dest_port '546'
option family 'ipv6'
option target 'ACCEPT'
config rule
option name 'Allow-ICMPv6-Input'
option src 'wan'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
list icmp_type 'router-solicitation'
list icmp_type 'neighbour-solicitation'
list icmp_type 'router-advertisement'
list icmp_type 'neighbour-advertisement'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'
config rule
option name 'Allow-ICMPv6-Forward'
option src 'wan'
option dest '*'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'
config include
option path '/etc/firewall.user'
config include
option path '/usr/share/firewall/turris'
option reload '1'
config include
option path '/etc/firewall.d/with_reload/firewall.include.sh'
option reload '1'
config include
option path '/etc/firewall.d/without_reload/firewall.include.sh'
option reload '0'
config include 'miniupnpd'
option type 'script'
option path '/usr/share/miniupnpd/firewall.include'
option family 'IPv4'
option reload '1'
config redirect
option target 'DNAT'
option src 'wan'
option dest 'lan'
option proto 'tcp'
option src_dport '22'
option dest_port '58732'
option name 'SSH honeypot'
config redirect
option target 'DNAT'
option src 'wan'
option dest 'lan'
option proto 'tcp'
option src_dport '5555'
option dest_port '22'
option name 'SSH redirect'
config rule
option name 'Allow-OpenVPN-Inbound'
option target 'ACCEPT'
option src '*'
option proto 'udp'
option dest_port '1194'
config zone
option name 'vpn'
option input 'ACCEPT'
option forward 'ACCEPT'
option output 'ACCEPT'
option network 'vpn0'
config forwarding
option src 'vpn'
option dest 'wan'
/etc/firewall.user
# This file is interpreted as shell script.
# Put your custom iptables rules here, they will
# be executed with each firewall (re-)start.
# Internal uci firewall chains are flushed and recreated on reload, so
# put custom rules into the root chains e.g. INPUT or FORWARD or into the
# special user chains, e.g. input_wan_rule or postrouting_lan_rule.
iptables -t nat -A prerouting_wan -p udp --dport 1194 -j ACCEPT
iptables -A input_wan -p udp --dport 1194 -j ACCEPT
iptables -I INPUT -i tun+ -j ACCEPT
iptables -I FORWARD -i tun+ -j ACCEPT
iptables -I OUTPUT -o tun+ -j ACCEPT
iptables -I FORWARD -o tun+ -j ACCEPT
Openvpn server mi nejede, nejde pingnout na server ip z klienta, ani obráceně. Démon běží.
root@turris:~# ps | grep "openvpn"
6344 root 1528 S grep openvpn
Chybí rozhraní tun, ale i když jsem ho před rebootem ručně prostřednictvím openvnp vytvářel, tak sice automaticky získalo správnou adresu 192.168.100.1m, ale stejně nešlo pingnout.
root@turris:~# ifconfig | grep "tun"
root@turris:~#
root@turris:~# cat /tmp/openvpn.log
cat: can't open '/tmp/openvpn.log': No such file or directory
Pozná někdo, co mám špatně?
-
edit poslední věty, myslel jsem v konfiguračním souboru.
Chyba bude asi tam, protože když zkusím spustit openvpn ručně, tak hlásí chybu, ale nepoznám z toho, jakou.
root@turris:~# openvpn --config /etc/openvpn/vpn.conf
Options error: In /etc/openvpn/vpn.conf:1: Error opening configuration file: openvpn
Use --help for more information.
-
Rika ti, ze nerozumí /etc/openvpn/vpn.conf
A moc se mu nedivim, prvni radek tam nema byt a na ostatních nema byt option. Asi si vzal jinej soubor, treba /etc/config/openvpn ?
-
Tazatele omlouvá snad jen noční hodina jeho postu.
Oba odkazy, co uvádí jasně popisují, co se má kde nastavit.
Ofiko návod od Turrisu je velmi pěkně a přehledně zpracován (platí obecně pro OpenWrt).
Ten druhý (s474n.com) je zas step-by-step a z něj je převzat konfigurák OpenVPN, který má být umístěn v /etc/config/openvpn nikoliv v /etc/openvpn/vpn.conf. To už tazateli ostatně psal trubicoid.
Sebelépe udělaná dokumentace je, jak vidno, občas k ničemu.
-
Omlouvám se, funguje, opraveno, z klienta pingnu na server a na serveru spustím, ale nějak nemohu na klientovi dohledat, jakou má ip adresu (ifconfig mi jí neukáže).
-
adresu rekne openvpn klient, kdyz se pripojis, ne?
a ifconfig taky, ale na klientovi
-
adresu rekne openvpn klient, kdyz se pripojis, ne?
a ifconfig taky, ale na klientovi
Neřekne
tohle mám aktuálně na serveru (turris)
mode server
tls-server
### network options
port 1194
proto udp
dev tun
### Certificate and key files
ca /etc/openvpn/ca.crt
cert /etc/openvpn/turris.crt
key /etc/openvpn/turris.key
dh /etc/openvpn/dh2048.pem
client-to-client
server 192.16.100.0 255.255.255.0
push "redirect-gateway def1"
push "dhcp-option DNS 192.168.1.1" # Change this to your router's LAN IP Address
push "route 192.168.100.0 255.255.255.0" # Change this to your network
### (optional) compression (Can be slow). If not used specifically set to no and do not comme
nt out.
### with no comp-lzo can result in write to TUN/TAP : Invalid argument (code=22) error
#comp-lzo no
comp-lzo yes
ifconfig-pool-persist /etc/openvpn/ipp.txt
persist-key
persist-tun
verb 3
keepalive 10 120
log-append /var/log/openvpn/openvpn.log
Měla by být v ipp.txt, ten to sice vytvořilo, ale je prázdný.
Když dám na klientovi ifconfig, tak mám
wlp5s4 Link encap:Ethernet HWadr 00:23:f8:28:84:9c
AKTIVOVÁNO VŠESMĚROVÉ_VYSÍLÁNÍ MULTICAST MTU:1500 Metrika:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
kolizí:0 délka odchozí fronty:1000
Přijato bajtů: 0 (0.0 B) Odesláno bajtů: 0 (0.0 B)
ping na 192.168.100.1 má odpověď z turrisu, ale ani nmap na turrisu na 192.168.100.- nepoví ip adresu klienta.
-
To je ňáký divný. Co je klient? A má jen wifi a ta nemá ani ip?
A z klienta se připojuješ přesně jak? sudo openvpn tvujconfig.opvn ? Tam to ip určitě najdeš, pár řádků od konce
-
To je ňáký divný. Co je klient? A má jen wifi a ta nemá ani ip?
A z klienta se připojuješ přesně jak? sudo openvpn tvujconfig.opvn ? Tam to ip určitě najdeš, pár řádků od konce
Klient je ubuntu, bez network manageru, připojený přes lan kabel, ten samozřejmě svojí ip adresu na svém rozhraní má. Možná je problém v tom, že tam mám na serveru dle návodu pro openwrt client-to-client. /etc/openvpn/vpn.conf jsem nyní smazal a spustil openvpn přes /etc/config/openvpn, kam jsem dal dle http://www.s474n.com/project-turris-zprovozneni-openvpn-serveru/ níže uvedený obsah a restartoval turris, nejsem ale u klienta, není aktuálně online, tak nevím, jestli se teď chytne. V tomhle konfiguráku je topology subnet, což by mohlo fungovat lépe.
config openvpn 'turris_server'
option enabled '1'
option dev 'tun'
option proto 'udp'
option port '1194'
option keepalive '10 1200'
option ca '/etc/easy-rsa/keys/ca.crt'
option cert '/etc/easy-rsa/keys/turris.crt'
option key '/etc/easy-rsa/keys/turris.key'
option dh '/etc/openvpn/dh2048.pem'
option server '192.168.100.0 255.255.255.0'
option remote-cert-tls 'server'
list push 'redirect-gateway def1'
option comp-lzo 'yes'
option verb '3'
option topology 'subnet'
option ifconfig_pool_persist '/tmp/ipp.txt'
option persist_key '1'
option persist_tun '1'
option status '/tmp/openvpn-status.log'
-
normalne tam bude radek neco jako
Mon Jan 18 14:56:05 2016 /sbin/ip addr add dev tun0 local 10.8.0.6 peer 10.8.0.5a 10.8.0.6 je klient
ty to budes mit v rozsahu 192.168.100.x
topology subnet nevim co dela, ja to tam nemam
mam tam client-to-client
-
Když openvpn spustím ručně na klientovi, píše mi to:
Mon Jan 18 15:38:54 2016 TCP/UDP: Incoming packet rejected from [AF_INET]192.168.1.1:1194[2],
expected peer address: [AF_INET]89.177.109.252:1194 (allow this incoming source address/port b
y removing --remote or adding --float)
Mám aktivní ufw a v něm povoleno openvpn na portu 1194
-
jestli mas verb 3, tak pise mnohem vic, jak vypada ta konfigurace na klientovi?
jinak si u tebe stezuje, ze prave paket na portu 1194 byl zamitnut
-
jestli mas verb 3, tak pise mnohem vic, jak vypada ta konfigurace na klientovi?
jinak si u tebe stezuje, ze prave paket na portu 1194 byl zamitnut
openvpn --config /etc/openvpn/vpn.conf
Mon Jan 18 16:03:25 2016 OpenVPN 2.3.7 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS
11] [MH] [IPv6] built on Jul 8 2015
Mon Jan 18 16:03:25 2016 library versions: OpenSSL 1.0.2d 9 Jul 2015, LZO 2.08
Mon Jan 18 16:03:25 2016 Socket Buffers: R=[212992->131072] S=[212992->131072]
Mon Jan 18 16:03:25 2016 NOTE: UID/GID downgrade will be delayed because of --client, --pull,
or --up-delay
Mon Jan 18 16:03:25 2016 UDPv4 link local: [undef]
Mon Jan 18 16:03:25 2016 UDPv4 link remote: [AF_INET]89.177.109.252:1194
Mon Jan 18 16:03:25 2016 TCP/UDP: Incoming packet rejected from [AF_INET]192.168.1.1:1194[2],
expected peer address: [AF_INET]89.177.109.252:1194 (allow this incoming source address/port b
y removing --remote or adding --float)
Mon Jan 18 16:03:27 2016 TCP/UDP: Incoming packet rejected from [AF_INET]192.168.1.1:1194[2],
expected peer address: [AF_INET]89.177.109.252:1194 (allow this incoming source address/port b
y removing --remote or adding --float)
Mon Jan 18 16:03:31 2016 TCP/UDP: Incoming packet rejected from [AF_INET]192.168.1.1:1194[2],
expected peer address: [AF_INET]89.177.109.252:1194 (allow this incoming source address/port b
y removing --remote or adding --float)...
ufw allow openvpn
Přeskakuje se přidání již existujícího pravidla
Přeskakuje se přidání již existujícího pravidla (v6)
v
/etc/sysctl.conf mám odkomentované
net.ipv4.ip_forward = 1
v /etc/openvpn/vpn.conf na klientovi
client
dev tun
proto udp
remote mojedomena.cz
port 1194
keepalive 10 1200
nobind
user nobody
group nogroup
persist-tun
persist-key
auth-nocache
script-security 2
<ca>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
...
-----END PRIVATE KEY-----
key-direction 1
ns-cert-type server
comp-lzo yes
verb 3
mute 20
-
to vypada, ze se ti nespoji, zkus to bez ufw
-
to vypada, ze se ti nespoji, zkus to bez ufw
I s deaktivovaným ufw to nejde, hlášky stejné
-
:-D to jsou rady... :D
když pustíš openvpn clienta tak ti automaticky má vytvořit clienta v ifconfigu... případné problémy se dají zkontrolovat v syslogu...
povolil jsi maškarádu na serveru? iptables -t nat -A POSTROUTING -s (přidělované adresa tunelem)/24 -o (adaptér) -j MASQUERADE klasicky u linuxu..
-
:-D to jsou rady... :D
když pustíš openvpn clienta tak ti automaticky má vytvořit clienta v ifconfigu... případné problémy se dají zkontrolovat v syslogu...
povolil jsi maškarádu na serveru? iptables -t nat -A POSTROUTING -s (přidělované adresa tunelem)/24 -o (adaptér) -j MASQUERADE klasicky u linuxu..
Veškeré konfigurační soubory jsem sem dal, většina návodů o iptables nemluvila, ale v některém jsem viděl přidání do
/etc/firewall.user, jeho obsah jsem dal v prvním příspěvku, je tam prerouting. Je to špatně?
# This file is interpreted as shell script.
# Put your custom iptables rules here, they will
# be executed with each firewall (re-)start.
# Internal uci firewall chains are flushed and recreated on reload, so
# put custom rules into the root chains e.g. INPUT or FORWARD or into the
# special user chains, e.g. input_wan_rule or postrouting_lan_rule.
iptables -t nat -A prerouting_wan -p udp --dport 1194 -j ACCEPT
iptables -A input_wan -p udp --dport 1194 -j ACCEPT
iptables -I INPUT -i tun+ -j ACCEPT
iptables -I FORWARD -i tun+ -j ACCEPT
iptables -I OUTPUT -o tun+ -j ACCEPT
iptables -I FORWARD -o tun+ -j ACCEPT
Na serveru v turrisu (openvrt) a v tom ubuntu mám udělat ještě co přesně?
-
Ten ubuntu je k turrisu ale připojený skrze lan a nikoliv van, možná by se mělo nějak upravit ještě takto
# This file is interpreted as shell script.
# Put your custom iptables rules here, they will
# be executed with each firewall (re-)start.
# Internal uci firewall chains are flushed and recreated on reload, so
# put custom rules into the root chains e.g. INPUT or FORWARD or into the
# special user chains, e.g. input_wan_rule or postrouting_lan_rule.
iptables -t nat -A prerouting_wan -p udp --dport 1194 -j ACCEPT
iptables -A input_wan -p udp --dport 1194 -j ACCEPT
iptables -t nat -A prerouting_lan -p udp --dport 1194 -j ACCEPT
iptables -A input_lan -p udp --dport 1194 -j ACCEPT
iptables -I INPUT -i tun+ -j ACCEPT
iptables -I FORWARD -i tun+ -j ACCEPT
iptables -I OUTPUT -o tun+ -j ACCEPT
iptables -I FORWARD -o tun+ -j ACCEPT?
-
ano, ale je potřeba nastavit na serveru (routeru) přeroutování ethernetu do té VPN sítě, kterou přiděluje
-
ano, ale je potřeba nastavit na serveru (routeru) přeroutování ethernetu do té VPN sítě, kterou přiděluje
A jak přesně? Řekněme, že fyzicky nemám k webovému rozhraní většinou přístup a že se toho webového rozhraní firewallu bojím, ale mám přístup přes ssh... Co mám tedy kde přesně nastavit? Můžete tedy mrknout ještě na mé konfigurační soubory, jestli je tam něco špatně?
-
já bych zkusil ten příkaz co jsem poslal s tím, že adapter bude váš "lan"
-
já bych zkusil ten příkaz co jsem poslal s tím, že adapter bude váš "lan"
Můžeš to prosím rozvést podrobně? Co přesně kam zadat?
-
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o lan -j MASQUERADE klasicky přes SSH... pokud ten turis umí iptables
10.8.0.0/24 jsou adresy VPNky a ty si musíte upravit podle sebe, co jste nastavil... = jakou bude mít klient VPN adresu a server atd.. nevím jak to máte
-
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o lan -j MASQUERADE klasicky přes SSH... pokud ten turis umí iptables
10.8.0.0/24 jsou adresy VPNky a ty si musíte upravit podle sebe, co jste nastavil... = jakou bude mít klient VPN adresu a server atd.. nevím jak to máte
Tak v konfiguráku mám, aby měla vpn adresy z rozsahu 192.168.100.0./24
Když zadám na turrisu ifconfig, vypíše mi to následující:
br-lan Link encap:EthernetHWaddr D8:58:D7:00:17:EB
inet addr:192.168.1.1Bcast:192.168.1.255Mask:255.255.255.0
inet6 addr: fd04:1778:866e::1/60 Scope:Global
inet6 addr: fe80::da58:d7ff:fe00:17eb/64 Scope:Link
UP BROADCAST RUNNING MULTICASTMTU:1500Metric:1
RX packets:13007 errors:0 dropped:0 overruns:0 frame:0
TX packets:22788 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1087272 (1.0 MiB)TX bytes:27682961 (26.4 MiB)
eth0 Link encap:EthernetHWaddr D8:58:D7:00:17:EB
UP BROADCAST RUNNING MULTICASTMTU:1500Metric:1
RX packets:12760 errors:0 dropped:0 overruns:0 frame:0
TX packets:22225 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1454319 (1.3 MiB)TX bytes:27437641 (26.1 MiB)
Base address:0x8000
eth1 Link encap:EthernetHWaddr D8:58:D7:00:17:EC
UP BROADCAST RUNNING MULTICASTMTU:1500Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:626 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B)TX bytes:90014 (87.9 KiB)
Base address:0xa000
eth2 Link encap:EthernetHWaddr D8:58:D7:00:17:ED
inet addr:89.177.109.252Bcast:89.177.109.255Mask:255.255.255.0
inet6 addr: fe80::da58:d7ff:fe00:17ed/64 Scope:Link
UP BROADCAST RUNNING MULTICASTMTU:1500Metric:1
RX packets:56395 errors:0 dropped:0 overruns:0 frame:0
TX packets:26298 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:33599502 (32.0 MiB)TX bytes:3132262 (2.9 MiB)
Base address:0xc000
lo Link encap:Local Loopback
inet addr:127.0.0.1Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNINGMTU:65536Metric:1
RX packets:3612 errors:0 dropped:0 overruns:0 frame:0
TX packets:3612 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:549972 (537.0 KiB)TX bytes:549972 (537.0 KiB)
tun0 Link encap:UNSPECHWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:192.168.100.1P-t-P:192.168.100.2Mask:255.255.255.0
UP POINTOPOINT RUNNING NOARP MULTICASTMTU:1500Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B)TX bytes:0 (0.0 B)
wlan0 Link encap:EthernetHWaddr BC:30:7D:92:8B:A1
inet6 addr: fe80::be30:7dff:fe92:8ba1/64 Scope:Link
UP BROADCAST RUNNING MULTICASTMTU:1500Metric:1
RX packets:272 errors:0 dropped:0 overruns:0 frame:0
TX packets:887 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
Mám tedy zadat přes ssh
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o lan -j MASQUERADE
nebo například takto, jestli to bude brát ze všech rozhraní vše, co půjde na port 1194??
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 --dport 1194 -j MASQUERADE, žádné rozhraní lan ifconfig jako takový nevypíše, ale zóna firewallu ho má... V návodech na turris tohle zmiňované není... Abych si ten turris nějak neodrovnal. Předpokládám pro trvalou změnu to dát do toho /etc/firewall.user?
-
proč takovej rozsah? normálně bych tam dal klasickej a to je 10.8.0.0 případně 10.x.x.0...
-
proč takovej rozsah? normálně bych tam dal klasickej a to je 10.8.0.0 případně 10.x.x.0...
Rozsah je přece stejný (maska 255.255.255.0 či /24), oboje (192.168.100.0./24
i 10.8.0.0/24) je maximálně 254 ip adres...
-
myslel jsem tí adresu... pardon... proč používáte 192.... a ne klasickou VPNkovou 10...? potom může dojít k záměně
-
myslel jsem tí adresu... pardon... proč používáte 192.... a ne klasickou VPNkovou 10...? potom může dojít k záměně
Jsou to všechno adresy privátního rozsahu, takže je to jedno. Navíc tu klasickou VPNkovou 10... používám jinde v místních sítích, rozsah 192.168.100.0/24 mi s ničím nekoliduje a je i v návodu http://www.s474n.com/project-turris-zprovozneni-openvpn-serveru/
Jinak na tom návodu není nic o iptables, je opravdu nutné do nich zasahovat?
-
nic se tím nepokazí... já třeba toto na serverech skoro vždy musel zadávat ;-) pouze zadáš, aby se adaptér ethernet přeroutovával na tuto adresu...
-
a to musím zadávat zvlášť pro eth0-eth2 a pro br-lan, nebo se to dá nastavit čistě na port 1194?
Jak by soubor firewall.user, který má obsahovat ručně přidaná iptables pravidla měl vypadat tedy kompletně, s ohledem na má nastavení a sítě?
-
Zde (http://www.netfilter.org/documentation/HOWTO/cz/NAT-HOWTO-6.html) se píše
Pro masquerading nemusíš explicitně určovat zdrojovou adresu: použije se zdrojová adresa rozhraní, ze kterého odchází paket.
Byl by tedy takovíto soubor OK?:
# This file is interpreted as shell script.
# Put your custom iptables rules here, they will
# be executed with each firewall (re-)start.
# Internal uci firewall chains are flushed and recreated on reload, so
# put custom rules into the root chains e.g. INPUT or FORWARD or into the
# special user chains, e.g. input_wan_rule or postrouting_lan_rule.
iptables -t nat -A prerouting_wan -p udp --dport 1194 -j ACCEPT
iptables -A input_wan -p udp --dport 1194 -j ACCEPT
iptables -t nat -A prerouting_lan -p udp --dport 1194 -j ACCEPT
iptables -A input_lan -p udp --dport 1194 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 --dport 1194 -j MASQUERADE
iptables -I INPUT -i tun+ -j ACCEPT
iptables -I FORWARD -i tun+ -j ACCEPT
iptables -I OUTPUT -o tun+ -j ACCEPT
iptables -I FORWARD -o tun+ -j ACCEPT
-
root@turris:~# iptables -t nat -A POSTROUTING -s 192.168.100.0/24 --dport 1194 -j MASQUERADE
iptables v1.4.21: unknown option "--dport"
Try `iptables -h' or 'iptables --help' for more information
-
Tak jsem ručně zkusil přes ssh přidat pravidlo
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o lan -j MASQUERADE
a klient stejně vypisuje chyby
Tue Jan 19 12:11:29 2016 OpenVPN 2.3.7 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS
11] [MH] [IPv6] built on Jul 8 2015
Tue Jan 19 12:11:29 2016 library versions: OpenSSL 1.0.2d 9 Jul 2015, LZO 2.08
Tue Jan 19 12:11:29 2016 Socket Buffers: R=[212992->131072] S=[212992->131072]
Tue Jan 19 12:11:30 2016 NOTE: UID/GID downgrade will be delayed because of --client, --pull,
or --up-delay
Tue Jan 19 12:11:30 2016 UDPv4 link local: [undef]
Tue Jan 19 12:11:30 2016 UDPv4 link remote: [AF_INET]89.177.109.252:1194
Tue Jan 19 12:11:30 2016 TCP/UDP: Incoming packet rejected from [AF_INET]192.168.1.1:1194[2],
expected peer address: [AF_INET]89.177.109.252:1194 (allow this incoming source address/port b
y removing --remote or adding --float)
Tue Jan 19 12:11:32 2016 TCP/UDP: Incoming packet rejected from [AF_INET]192.168.1.1:1194[2],
expected peer address: [AF_INET]89.177.109.252:1194 (allow this incoming source address/port b
y removing --remote or adding --float)
Tue Jan 19 12:11:32 2016 TCP/UDP: Incoming packet rejected from [AF_INET]192.168.1.1:1194[2],
expected peer address: [AF_INET]89.177.109.252:1194 (allow this incoming source address/port b
y removing --remote or adding --float)
Tue Jan 19 12:11:36 2016 event_wait : Interrupted system call (code=4)
Tue Jan 19 12:11:36 2016 SIGINT[hard,] received, process exiting
-
na serveru
cat /tmp/openvpn-status.log
OpenVPN CLIENT LIST
Updated,Tue Jan 19 12:29:57 2016
Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since
ROUTING TABLE
Virtual Address,Common Name,Real Address,Last Ref
GLOBAL STATS
Max bcast/mcast queue length,0
END
/etc/openvpn/ipp.txt je pořád prázdný.
-
Za litr ti to nastavim.
-
Za litr ti to nastavim.
Tvou nabídku považuji za reklamu. Až si nebudeš s něčím vědět rady, tak ti odpovím zřejmě v podobném duchu.
-
Tak za dva.
-
ja myslim, ze ten klient se na server vubec nedostane
to routovani prijde na radu az potom, az se spojis
neco proste vadi v ceste, mas povoleny ve fw port 1194 udp? taky muzes zkusit openvpn na tcp, ma to trochu nevyhody, ale nektery site udp vic blokuji
navic se zda, ze klient vola 89.177.109.252:1194 udp, ale odpoved mu leze z 192.168.1.1:1194, coz je zablokovany
ty to delas ve vnitrni siti? proc teda v klientovi nevolas to 192.168.1.1:1194?
jeste jsem nasel navod na ufw s openvpn tu: https://www.gaggl.com/2013/04/openvpn-forward-all-client-traffic-through-tunnel-using-ufw/
ale prvne to rozjed bez firewallu
-
ja myslim, ze ten klient se na server vubec nedostane
to routovani prijde na radu az potom, az se spojis
neco proste vadi v ceste, mas povoleny ve fw port 1194 udp? taky muzes zkusit openvpn na tcp, ma to trochu nevyhody, ale nektery site udp vic blokuji
navic se zda, ze klient vola 89.177.109.252:1194 udp, ale odpoved mu leze z 192.168.1.1:1194, coz je zablokovany
ty to delas ve vnitrni siti? proc teda v klientovi nevolas to 192.168.1.1:1194?
jeste jsem nasel navod na ufw s openvpn tu: https://www.gaggl.com/2013/04/openvpn-forward-all-client-traffic-through-tunnel-using-ufw/
ale prvne to rozjed bez firewallu
Ve FW kde, na turrisu, nebo v Ubuntu? V ubuntu je povolené přes ufw, turris a ubuntu jsou propojeni lan kabelem, v konfiguračním souboru je moje doména, která má nastavenou veřejnou ip adresu od poskytovatele - to je i veřejná ip adresa turrisu. Odpověď je z lokální ip adresy turrisu 192.168.1.1, kterou má nastavenou pro lan. To myslím, že je normální. Další klienti by měli mít stejný konfigurační soubor + jiné certifikáty a pokud budou mimo domácí wifi, tak budou dostávat odpověď z veřejné ip adresy.
Přece nebudu na klientech měnit konfigurační soubory dle toho, jestli jsem ve vnitřní síti, nebo jestli jsem venku...
-
Tak pokud v configu na klientovi nastavím lokální ip adresu turrise místo domény, tak to asi funguje, ale píše to chyby. To je opravdu nutné při změně sítě upravovat vždycky konfigurák?
Tue Jan 19 14:55:40 2016 OPTIONS IMPORT: route options modified
Tue Jan 19 14:55:40 2016 ROUTE_GATEWAY 192.168.1.1/255.255.255.0 IFACE=enp4s0 HWADDR=00:1a:a0:
36:50:9b
Tue Jan 19 14:55:40 2016 TUN/TAP device tun0 opened
Tue Jan 19 14:55:40 2016 TUN/TAP TX queue length set to 100
Tue Jan 19 14:55:40 2016 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Tue Jan 19 14:55:40 2016 /sbin/ip link set dev tun0 up mtu 1500
Tue Jan 19 14:55:40 2016 /sbin/ip addr add dev tun0 local 192.168.100.6 peer 192.168.100.5
Tue Jan 19 14:55:40 2016 /sbin/ip route add 192.168.1.1/32 dev enp4s0
Tue Jan 19 14:55:40 2016 /sbin/ip route add 0.0.0.0/1 via 192.168.100.5
Tue Jan 19 14:55:40 2016 /sbin/ip route add 128.0.0.0/1 via 192.168.100.5
Tue Jan 19 14:55:40 2016 /sbin/ip route add 192.168.100.1/32 via 192.168.100.5
Tue Jan 19 14:55:40 2016 GID set to nogroup
Tue Jan 19 14:55:40 2016 UID set to nobody
Tue Jan 19 14:55:40 2016 Initialization Sequence Completed
Tue Jan 19 14:55:50 2016 Bad LZO decompression header byte: 42
Tue Jan 19 14:56:00 2016 Bad LZO decompression header byte: 42
Tue Jan 19 14:56:10 2016 Bad LZO decompression header byte: 42
Tue Jan 19 14:56:20 2016 Bad LZO decompression header byte: 42
Tue Jan 19 14:56:30 2016 Bad LZO decompression header byte: 42
Tue Jan 19 14:56:40 2016 Bad LZO decompression header byte: 42
Jakmile nastavím lokální adresu, přestane fungovat na PC internet - nejde pingnout ani na 8.8.8.8
-
Jakmile nastavím lokální adresu, přestane fungovat na PC internet - nejde pingnout ani na 8.8.8.8
Přitom nastavuji vzdáleně - přes ssh spojení na turris a z turrise do pc, a spojení mi nespadne, jako by se provoz (třeba ten ping na 8.8.8.8) přesměroval přes vpn a tam skončil - z turrise se nedostal ven.
-
no tak hura, uz jsi spojeny a mas ip 192.168.100.6
vono jako vzdycky budes pouzivat tu verejnou ip adresu, asi tezko budes krome ted pokusu se doma pripojovat do domaci vpn, ne?
takze bys mel spravne zkouset z nejake vzdalene masiny se pripojovat do turise no
presne nevim, proc te to vykopne, kdyz pouzijes verejnou ip a odpoved je lokalni ip, ja to doma nezkousel :)
tak ted teda spojeni je, IP je, jen jeste v turrisu asi neni udelany to routovani
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o eth0 -j SNAT --to-source 192.168.1.1nebo tak nejak
-
No, má představa je taková, že klient bude mít vždy stejnou konfiguraci, třeba notebook, chytrý telefon, atd a provoz ať už bude z domova nebo z venku půjde přes vpn, aby se zvýšilo bezpečí - takže například z hospody na veřejné wifi budu moci využívat skutečně bezpečného internetu, protože provoz by byl protunelovaný přes vpn zabezpečeně. V zahraničí bych si mohl pustit třeba online tv přes http://horizon.tv, kde je omezení na české ip adresy a pod. Takže bych rád vychytal univerzální řešení.
Těm iptables bych se raději vyhnul, turris by to měl mít možnost konfigurovat v /etc/config/firewall a v /etc/config/network, což jsou standardní konfigurační soubory, které to používá, tak jen vědět, jak přesně, aby to fungovalo, a ten tunelovaný provoz je popsaný zde: https://wiki.openwrt.org/doc/howto/vpn.openvpn#route_all_client_traffic_through_the_tunnel, akorát tam to nastavují přes uci, čemu já nerozumím a možná díky kombinaci různých návodů mám v těch konfiguračních souborech bordel, asi by bylo nejlepší, kdyby se někdo podíval na ty soubory a řekl mi, co tam mám kde nastavit. Vědět, jak to udělat přes iptables je fajn, ale rád bych to měl v těch konfigurácíh správně a nehackoval své předchozí chyby v konfiguraci přes iptables....
-
Akurat z domova, kde sedi turris, ti VPN nic nepomuze a zadne bezpečí ti nezvysi. Venku, v hospode, na free Wi-Fi jo, pustis openvpn a je to. Doma ne, tam ho mas vypnuty, protože je to na prd.
V navodech je zmatek, vono totiž to VPN muze fungovat jako bridge, tedy ve stejné podsíti. To nechceš. Chceš nat a forward. Iptables potřebuješ. Ten můj příkaz to asi řeší. Konfiguraci openwrt nevím :(
-
tak už se mi klient spustí i s doménou, musel jsem přidat do konfiguráku
float
Pořád zůstává ale ta chyba
Bad LZO decompression header byte: 42, tun0 získá adresu 192.168.100.4, ale neukazuje adresu vzdáleného konce, měla by být vidět v ifconfig? Jak vyřešit tu chybu? Zkusil jsem vypnout kompresy jak na serveru tak na klientovi a chyba nezmyzela. Nemůže být problém třeba v MTU?
-
Jo, a ukazuje mi to, že to používá SHA1, to asi není příliš bezpečné, ne?
-
Jo, a ukazuje mi to, že to používá SHA1, to asi není příliš bezpečné, ne?
Furt nic ?
-
Jo, a ukazuje mi to, že to používá SHA1, to asi není příliš bezpečné, ne?
Furt nic ?
Osobně se rád něco naučím, takže ti na tvou nabídku kašlu. Co se týká bezpečnosti - to vyřeším, až bude openvpn chodit (je spousta srozumitelných návodů, například https://blog.g3rt.nl/openvpn-security-tips.html). Navíc stejně plánuji využívat openvpn jen ve spojením s ssh a sftp či sshfs, žádná samba a pod.