OpenVPN server na Turrisu

[beather]

:-D to jsou rady...

když pustíš openvpn clienta tak ti automaticky má vytvořit clienta v ifconfigu... případné problémy se dají zkontrolovat v syslogu...

povolil jsi maškarádu na serveru? iptables -t nat -A POSTROUTING -s (přidělované adresa tunelem)/24 -o (adaptér) -j MASQUERADE klasicky u linuxu..

[Reklama]

[beer]

:-D to jsou rady...

když pustíš openvpn clienta tak ti automaticky má vytvořit clienta v ifconfigu... případné problémy se dají zkontrolovat v syslogu...

povolil jsi maškarádu na serveru? iptables -t nat -A POSTROUTING -s (přidělované adresa tunelem)/24 -o (adaptér) -j MASQUERADE klasicky u linuxu..

Veškeré konfigurační soubory jsem sem dal, většina návodů o iptables nemluvila, ale v některém jsem viděl přidání do


/etc/firewall.user, jeho obsah jsem dal v prvním příspěvku, je tam prerouting. Je to špatně?

Kód: [Vybrat]

# This file is interpreted as shell script.
# Put your custom iptables rules here, they will
# be executed with each firewall (re-)start.


# Internal uci firewall chains are flushed and recreated on reload, so
# put custom rules into the root chains e.g. INPUT or FORWARD or into the
# special user chains, e.g. input_wan_rule or postrouting_lan_rule.
iptables -t nat -A prerouting_wan -p udp --dport 1194 -j ACCEPT
iptables -A input_wan -p udp --dport 1194 -j ACCEPT


iptables -I INPUT -i tun+ -j ACCEPT
iptables -I FORWARD -i tun+ -j ACCEPT
iptables -I OUTPUT -o tun+ -j ACCEPT
iptables -I FORWARD -o tun+ -j ACCEPT
Na serveru v turrisu (openvrt) a v tom ubuntu mám udělat ještě co přesně?

[beer]

Ten ubuntu je k turrisu ale připojený skrze lan a nikoliv van, možná by se mělo nějak upravit ještě takto

Kód: [Vybrat]

# This file is interpreted as shell script.
# Put your custom iptables rules here, they will
# be executed with each firewall (re-)start.


# Internal uci firewall chains are flushed and recreated on reload, so
# put custom rules into the root chains e.g. INPUT or FORWARD or into the
# special user chains, e.g. input_wan_rule or postrouting_lan_rule.
iptables -t nat -A prerouting_wan -p udp --dport 1194 -j ACCEPT
iptables -A input_wan -p udp --dport 1194 -j ACCEPT
iptables -t nat -A prerouting_lan -p udp --dport 1194 -j ACCEPT
iptables -A input_lan -p udp --dport 1194 -j ACCEPT

iptables -I INPUT -i tun+ -j ACCEPT
iptables -I FORWARD -i tun+ -j ACCEPT
iptables -I OUTPUT -o tun+ -j ACCEPT
iptables -I FORWARD -o tun+ -j ACCEPT?

[beather]

ano, ale je potřeba nastavit na serveru (routeru) přeroutování ethernetu do té VPN sítě, kterou přiděluje

[beer]

ano, ale je potřeba nastavit na serveru (routeru) přeroutování ethernetu do té VPN sítě, kterou přiděluje

A jak přesně? Řekněme, že fyzicky nemám k webovému rozhraní většinou přístup a že se toho webového rozhraní firewallu bojím, ale mám přístup přes ssh... Co mám tedy kde přesně nastavit? Můžete tedy mrknout ještě na mé konfigurační soubory, jestli je tam něco špatně?

[Reklama]

[beather]

já bych zkusil ten příkaz co jsem poslal s tím, že adapter bude váš "lan"

[beer]

já bych zkusil ten příkaz co jsem poslal s tím, že adapter bude váš "lan"

Můžeš to prosím rozvést podrobně? Co přesně kam zadat?

[beather]

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o lan -j MASQUERADE klasicky přes SSH... pokud ten turis umí iptables

10.8.0.0/24 jsou adresy VPNky a ty si musíte upravit podle sebe, co jste nastavil... = jakou bude mít klient VPN adresu a server atd.. nevím jak to máte

[beer]

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o lan -j MASQUERADE klasicky přes SSH... pokud ten turis umí iptables

10.8.0.0/24 jsou adresy VPNky a ty si musíte upravit podle sebe, co jste nastavil... = jakou bude mít klient VPN adresu a server atd.. nevím jak to máte

Tak v konfiguráku mám, aby měla vpn adresy z rozsahu 192.168.100.0./24

Když zadám na turrisu ifconfig, vypíše mi to následující:

Kód: [Vybrat]

br-lan Link encap:EthernetHWaddr D8:58:D7:00:17:EB
inet addr:192.168.1.1Bcast:192.168.1.255Mask:255.255.255.0
inet6 addr: fd04:1778:866e::1/60 Scope:Global
inet6 addr: fe80::da58:d7ff:fe00:17eb/64 Scope:Link
UP BROADCAST RUNNING MULTICASTMTU:1500Metric:1
RX packets:13007 errors:0 dropped:0 overruns:0 frame:0
TX packets:22788 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1087272 (1.0 MiB)TX bytes:27682961 (26.4 MiB)



eth0 Link encap:EthernetHWaddr D8:58:D7:00:17:EB
UP BROADCAST RUNNING MULTICASTMTU:1500Metric:1
RX packets:12760 errors:0 dropped:0 overruns:0 frame:0
TX packets:22225 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1454319 (1.3 MiB)TX bytes:27437641 (26.1 MiB)
Base address:0x8000



eth1 Link encap:EthernetHWaddr D8:58:D7:00:17:EC
UP BROADCAST RUNNING MULTICASTMTU:1500Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:626 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
 RX bytes:0 (0.0 B)TX bytes:90014 (87.9 KiB)
Base address:0xa000



eth2 Link encap:EthernetHWaddr D8:58:D7:00:17:ED
inet addr:89.177.109.252Bcast:89.177.109.255Mask:255.255.255.0
inet6 addr: fe80::da58:d7ff:fe00:17ed/64 Scope:Link
UP BROADCAST RUNNING MULTICASTMTU:1500Metric:1
RX packets:56395 errors:0 dropped:0 overruns:0 frame:0
TX packets:26298 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:33599502 (32.0 MiB)TX bytes:3132262 (2.9 MiB)
Base address:0xc000



lo Link encap:Local Loopback
inet addr:127.0.0.1Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNINGMTU:65536Metric:1
RX packets:3612 errors:0 dropped:0 overruns:0 frame:0
TX packets:3612 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:549972 (537.0 KiB)TX bytes:549972 (537.0 KiB)



tun0 Link encap:UNSPECHWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:192.168.100.1P-t-P:192.168.100.2Mask:255.255.255.0
UP POINTOPOINT RUNNING NOARP MULTICASTMTU:1500Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B)TX bytes:0 (0.0 B)



wlan0 Link encap:EthernetHWaddr BC:30:7D:92:8B:A1
inet6 addr: fe80::be30:7dff:fe92:8ba1/64 Scope:Link
UP BROADCAST RUNNING MULTICASTMTU:1500Metric:1
RX packets:272 errors:0 dropped:0 overruns:0 frame:0
TX packets:887 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000

Mám tedy zadat přes ssh

Kód: [Vybrat]

iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o lan -j MASQUERADE
nebo například takto, jestli to bude brát ze všech rozhraní vše, co půjde na port 1194??

Kód: [Vybrat]

iptables -t nat -A POSTROUTING -s 192.168.100.0/24 --dport 1194 -j MASQUERADE, žádné rozhraní lan ifconfig jako takový nevypíše, ale zóna firewallu ho má... V návodech na turris tohle zmiňované není... Abych si ten turris nějak neodrovnal. Předpokládám pro trvalou změnu to dát do toho /etc/firewall.user?

[beather]

proč takovej rozsah? normálně bych tam dal klasickej a to je 10.8.0.0 případně 10.x.x.0...

[beer]

proč takovej rozsah? normálně bych tam dal klasickej a to je 10.8.0.0 případně 10.x.x.0...

Rozsah je přece stejný (maska 255.255.255.0 či /24), oboje (192.168.100.0./24
i 10.8.0.0/24) je maximálně 254 ip adres...

[beather]

myslel jsem tí adresu... pardon... proč používáte 192.... a ne klasickou VPNkovou 10...? potom může dojít k záměně

[beer]

myslel jsem tí adresu... pardon... proč používáte 192.... a ne klasickou VPNkovou 10...? potom může dojít k záměně

Jsou to všechno adresy privátního rozsahu, takže je to jedno. Navíc tu klasickou VPNkovou 10... používám jinde v místních sítích, rozsah 192.168.100.0/24 mi s ničím nekoliduje a je i v návodu http://www.s474n.com/project-turris-zprovozneni-openvpn-serveru/

Jinak na tom návodu není nic o iptables, je opravdu nutné do nich zasahovat?

[beather]

nic se tím nepokazí... já třeba toto na serverech skoro vždy musel zadávat ;-) pouze zadáš, aby se adaptér ethernet přeroutovával na tuto adresu...

[beer]

a to musím zadávat zvlášť pro eth0-eth2 a pro br-lan, nebo se to dá nastavit čistě na port 1194?

Jak by soubor firewall.user, který má obsahovat ručně přidaná iptables pravidla měl vypadat tedy kompletně, s ohledem na má nastavení a sítě?