Přístup do místní sítě přes OpenVPN

Přístup do místní sítě přes OpenVPN
« kdy: 25. 06. 2022, 16:06:06 »
Mám router ASUS (model RT-AC68U), který má možnost Server VPN - OpenVPN.
 
Aktivoval jsem jej, vytvořil přihlašovací jméno a heslo, do vzdáleného PC jsem naimportoval vygenerovaný soubor .ovpn. K tomuto serveru (routeru) se připojím, ale teď bych potřeboval, abych se vzdáleným PC byl jako v lokální síti.

Tedy, vzdálené PC se připojí na server OpenVPN, který tvoří router a má adresu 10.8.0.6 a já se potřebuji dostat na sdílené složky jiného PC s lokální (pevnou) adresou 192.168.1.183 (nejlépe všemi čtyřmi PC, každý samozřejmě s jinou lokální adresou).

V routeru jsem našel předávání portů, ale nevím co správně zadat (resp. něco jsem zkoušel, ale nefungovalo to).

A za poslední, po zadání profilu v předávání portů, je potřeba provést nějaký zápis v počítači 192.168.1.183?

Děkuji všem ochotným za radu a trpělivost.
Přikládám dva obrázky z routeru
« Poslední změna: 25. 06. 2022, 16:56:25 od Petr Krčmář »


_Jenda

  • *****
  • 1 609
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:OpenVPN
« Odpověď #1 kdy: 25. 06. 2022, 16:30:07 »
Potřebuješ na openvpn klientovi přidat routu do té sítě -- to se dělá buď pomocí "route 192.168.1.0 255.255.255.0" v tom ovpn souboru, nebo po připojení pomocí standardních nástrojů operačního systému (např. ip r a 192.168.1.0/24 via 10.8.0.1). Dále musíš na routeru povolit forward mezi openvpn rozhraním a LAN, pokud je zakázaný. Předávání portů s tím nesouvisí.

Pro ladění si pusť ping 192.168.1.183 a následně pouštěj "tcpdump -ni rozhraní icmp" všude po cestě a koukej jak paket putuje.

Re:Přístup do místní sítě přes OpenVPN
« Odpověď #2 kdy: 25. 06. 2022, 22:45:58 »
Souhlas s Jednou, je potřeba na OpenVPN klientovi přidat routu do tunelu, aby věděl, kudy z dálky do té kýžené LANky.

Věcná poznámka na okraj: vedle "device tun" (IPv4) umí OpenVPN taky "device tap" (emuluje/enkapsuluje L2 Ethernet). Takže se teoreticky nabízí možnost, rozjet "device tap" a soft-bridgem přišít tunel do interní LANky. Toto řešení ale nedoporučuji. V LANce může běhat dost všelijakého broadcastového/multicastového smetí, a všechen ten bordel byste si posílal skrz relativně "tenkou" linku (VPN tunýlek) někam na dálku domů... Forwarding na 3.vrstvě Vás efektivně zbaví všelijaké neplechy, která se odehrává v rámci L2 sítě.

Re:Přístup do místní sítě přes OpenVPN
« Odpověď #3 kdy: 26. 06. 2022, 15:44:23 »
do souboru *.ovpn jsem zadal před "begin certificate":

remote 94.112.xxxxxx 1194
route 192.168.1.0 255.255.255.0
float
nobind
proto tcp-client
dev tun
sndbuf 0
rcvbuf 0
keepalive 10 30
comp-lzo adaptive
auth-user-pass
client
auth SHA1
cipher AES-256-CBC
remote-cert-tls server
<ca>
-----BEGIN CERTIFICATE-----

- a do směrování jsem zadal podle Jendy (192.168.1.0/24), viz obrázek, ale nepodařilo se mi připojit k lokálnímu PC.
zkoušel jsem dokonce směrování na konkrétní adresu, 192.168.1.183 a také nic...
Když nepomohlo ani to, zkusil jsem navíc směrování portů, ale také nic...
S jednoduššími konfiguracemi si poradím, ale OVPN je pro mě nové. Bohužel, neznám ve svém okolí nikoho, kdo by mě správně nasměroval.

_Jenda

  • *****
  • 1 609
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Přístup do místní sítě přes OpenVPN
« Odpověď #4 kdy: 26. 06. 2022, 16:53:09 »
- a do směrování jsem zadal podle Jendy (192.168.1.0/24), viz obrázek
Tím nevím jestli jsi nevytvořil nějakou smyčku, tímhle jako říkáš že router má něco routovat sám přes sebe.

ale nepodařilo se mi připojit k lokálnímu PC.
Ano, to se bohužel stává (i mně, běžně), proto měl můj příspěvek i druhý odstavec.


Re:Přístup do místní sítě přes OpenVPN
« Odpověď #5 kdy: 26. 06. 2022, 21:17:59 »
Route v .OVPN souboru pro klienta mi připadá správně.

Ručně přidaný statický route v routeru je blbě, bude duplicitní a mohl by dělat neplechu - správně Jenda říká, že znamená de facto smyčku. Těžko říct, jak si firmware routeru přebere, že má cosi routovat na své vlastní lokální rozhraní - mně to smysl nedává :-) Cílem routu má být vždycky nějaká sousední mašina (IP adresa), na kterou "tento router" přímo vidí přes L2 médium. Počítám, že na routeru nemáte přístup do shellu - ale zkuste pohledat, jestli by někde ve webovém rozhraní nešla vypsat aktuální routovací tabulka z kernelu. Měly by tam být od přírody/automaticky subnety, kterými máte očíslovaná rozhraní. Tzn. ten 192.168.1.0/24 by tam už měl být, netřeba ho přidávat, router o něm ví. Ten subnet je totiž tzv. "directly connected", tzn odpovídající route není třeba předávat další gatewayi, provoz jemu určený se prostě odešle příslušným rozhraním (jenom se ARPem překládají IP adresy na MAC adresy přímo viditelné na L2).

Ping je jedna věc.
Na routeru si bohužel tcpdump zřejmě nepustíte.
Ale mohl byste z klienta zkusit poslat traceroute - pod Windows tracert.
Mimochodem, co máte na klientu za operační systém? Většina OS má v příkazovém řádku příkaz "route", kterým lze přinejmenším ověřit, jestli se po připojení tunelu objeví route specifikovaný v .OVPN souboru.

Pokud se provoz nerozjede ani po odstranění toho chybně přidaného routovacího záznamu na routeru, stálo by za prověření, jestli do toho nekecá firewall na "počítači v LAN", ke kterému se snažíte vzdáleně dobouchat. Tady by pomohl wireshark na dotyčném počítači v LAN, protože ten má odposlechovou sondu před firewallem (co nejblíž fyzickému rozhraní).

A pak je ještě možné, že forwarding z toho tunelu není automaticky povolen ve firewallových pravidlech na routeru... (jak psal Jenda. Že by na routeru byl paušálně vypnutý /proc/sys/net/ipv4/ip_forward, tomu z principu nevěřím.) Mít přístup do shellu, navrhl bych tcpdump, iptables -L apod. Leč, firmware je zapečený proprietární... Zlaté OpenWRT.

_Jenda

  • *****
  • 1 609
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Přístup do místní sítě přes OpenVPN
« Odpověď #6 kdy: 26. 06. 2022, 21:42:14 »
Na routeru si bohužel tcpdump zřejmě nepustíte.
Ale může si ho pustit na klientovi a podívat se, že pakety odcházejí se správnou adresou ze správného rozhraní. Dále si to může pustit v cíli a podívat se, jestli pakety přicházejí, generují se na ně odpovědi (tj. nejsou třeba blokovány firewallem) a tyto odpovědi odcházejí opět správným rozhraním (a není tedy problém v cestě zpět vs. v cestě tam).

A pokud by to ani pak nešlo odladit, tak to je důvod pro to, nainstalovat na router nějaký normální OS (OpenWRT), kde tohle odladit jde.

Traceroute je taky dobrý nápad.

Re:Přístup do místní sítě přes OpenVPN
« Odpověď #7 kdy: 05. 07. 2022, 19:59:18 »
No, jelikož jsem s tím dále nepohnul, a to jsem zkoušel experimentovat jak to šlo, tak jsem, alespoň prozatím problém vyřešil aplikací Radmin VPN. Díky všem, kteří měli snahu, sám jsem udělal co šlo alespoň tím, že jsem si alespoň něco nastudoval, ale ty znalosti zatím nestačí. Přiznám se, jsem strojař, ne síťař a měl jsem za to, že to nebude zase tak velký problém. Kromě nastavení na routeru jsem zkusil povolit port 1194 na klientském PC, ale i to nepomohlo. Fakt nevím jakým jednodušším způsobem na to jít, nebo ta omezení jsou taková, že mé znalosti jsou na to velmi malé...

_Jenda

  • *****
  • 1 609
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Přístup do místní sítě přes OpenVPN
« Odpověď #8 kdy: 05. 07. 2022, 23:53:26 »
Zajímalo by mě, jestli spustit Wireshark bylo tak komplikované, že jsi to nedal, nebo jsi nevěděl, na které rozhraní kliknout a na co tam koukat, nebo jak. Protože pak bychom tu v nejhorším případě viděli "pakety odcházejí správným rozhraním, na druhou stranu nechodí, takže je zahazuje router s uzavřeným FW".

Re:Přístup do místní sítě přes OpenVPN
« Odpověď #9 kdy: 06. 07. 2022, 11:54:01 »
Wireshark jsem nezkoušel vůbec. Udělám to, ale nejdříve o víkendu, dnes už něco mám a čt a pá jdu do práce...