Skocz do zawartości
Grzegorz1

OpenVPN - brak dostępu do komputerów w sieci LAN.

Rekomendowane odpowiedzi

Witam

moja sieć wygląda następująco (screen w załączeniu):

 

post-8998-0-67920000-1455466342_thumb.jpg
 

Chcę utworzyć połączenie VPN wykorzystując program OpenVPN.

Zainstalowałem go na komputerach (serwer to Win7Pro x64),

połączenie dochodzi do skutku (zielone ikonki OpenVPN) ale nie widzę żadnego komputera w sieci lokalnej.

Po połączeniu serwer dostaje IP 10.3.0.1 a klient 10.3.0.2.

Z Klienta chodzą pingi do serwera ale do sieci 192.168.1.x już NIE.

 

Pewnie czegoś brakuje w konfiguracji, ale nie wiem czego.

 

Config serwera:

-------------

dev tun                         # rodzaj interfejsu – dla routera zawsze TUN

local 192.168.1.14              # adres IP serwera

                                # "local" określa tryb pracy tego końca tunelu jako serwer

proto udp                       # rodzaj wykorzystywanego protokołu

port 1194                       # używany port

ifconfig 10.3.0.1 10.3.0.2      # adres IP serwera, adres IP klienta (dla utworzonego połączenia)

secret secret.key               # nazwa pliku z kluczem           

                                # można podać pełną ścieżke, np.:

                                # secret "c:\\Program Files\\OpenVPN\\config\\secret.key"

persist-tun                     # podczas restartu utrzymuje podniesiony wirtualny interfejs

persist-key                     # podczas restartu nie będzie ponownie wczytany klucz

keepalive 10 120                # restart w przypadku braku połączenia

                                # wysyła ping co 10 sekund z timeout=120s.

cipher AES-256-CBC              # ustawienie zalecanego szyfrowania AES z kluczem długości 256 bitów

                                # i algorytmem CBC

                                # ustawienie musi być identyczne na kliencie i serwerze

comp-lzo                        # algorytm kompresji, zmniejsza zużycie transferu

verb 1                          # poziom szczegółowości logowania

------------

 

Config Klienta:

------------

dev tun                         # rodzaj interfejsu – dla routera zawsze TUN

remote IP.serwera               # adres IP serwera

                                # "remote" określa tryb pracy tego końca tunelu jako klient

proto udp                       # rodzaj wykorzystywanego protokołu

port 1194                       # używany port

ifconfig 10.3.0.2 10.3.0.1      # adres IP klienta, adres IP serwera (dla utworzonego połączenia)

secret secret.key               # nazwa pliku z kluczem           

                                # można podać pełną ścieżke, np.:

                                # secret "c:\\Program Files\\OpenVPN\\config\\secret.key"

persist-tun                     # podczas restartu utrzymuje podniesiony wirtualny interfejs

persist-key                     # podczas restartu nie będzie ponownie wczytany klucz

keepalive 10 120                # restart w przypadku braku połączenia

                                # wysyła ping co 10 sekund z timeout=120s.

cipher AES-256-CBC              # ustawienie zalecanego algorytmu szyfrowania

                                # ustawienie musi być identyczne na kliencie i serwerze

comp-lzo                        # algorytm kompresji, zmniejsza zużycie transferu

verb 1                          # poziom szczegółowości logowania

------------

 

Proszę o pomoc.

Grzegorz.

 

ps.

Na ruterze R1:

- port 1194 przekierowany na serwer.

- włączone opcje VPN Passthrough dla IPSec, PPTP i L2TP.

 

post-8998-0-67920000-1455466342_thumb.jpg

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Problemem nie jest vpn (który jak sam widzisz działa):

Z Klienta chodzą pingi do serwera ale do sieci 192.168.1.x już NIE.

ale routing. Klient jest w podsieci 10.3.0.0, a chcesz, żeby komunikował się z podsiecią 192.168.1.0. Trzeba na serwerze skonfigurować trasę pakietów z jednej sieci do drugiej.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Zrobiłem jak w linku, czyli aktywowałem routing na serwerze (192.168.1.14) oraz uruchomiłem usługę Zdalny Pulpit,

ale to nic nie zmieniło.

 

ps.

inni piszą, że w konfiguracji OpenVPN trzeba użyć 'dev tap' a nie 'dev tun'

 

Nie wiem jak to zrobic.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Huraaa!!!

Problem rozwiązany.

Dużo czytania w necie (przyznam, że czasami może cię to wyprowadzić na manowce),

wiele prób i testów

i rozwiązanie gotowe.

 

Generalnie:

1. Nieprawdą jest, że aby widzieć udostępnione zasoby to trzeba zrobić 'dev tap'.

2. Należy zwrócić uwagę na rodzaje/typy sieci (Domowa/Publiczna/nierozpoznana) - jeśli możliwe ustaw Domową (ale nie zawsze się to możliwe).

3. Na routerze R1 wprowadź routing statyczny (sieć 10.8.0.0 poprzez bramę 192.168.1.14).

4. Na serwerze nie musi być zezwolenie na 'Zdalny Pulpit' oraz Routing (poprzez modyfikację rejestru, sprawdzanie za pomocą ipconfig).

5. Podstawa, aby podczas testów wyłączyć oba firewale (na serwerze i kliencie) - bardzo dużo filtrują (po pozytywnych testach poustawiać wyjątki/ do rozpoznania przydatne wbudowane narzędzie Monitorowanie Firewala).

6. Działa nawet, gdy Client ma taką samą sieć Serwer, czyli 192.168.1.x (nie zdarzyły mi się konflikty).

 

poniżej zastosowana konfiguracja:

Serwer
----
dev tun                         # rodzaj interfejsu – dla routera zawsze TUN
local 192.168.1.14              # adres IP serwera (przeczytaj dodatkowe uwagi na dole strony)
                                # "local" określa tryb pracy tego końca tunelu jako serwer
proto udp                       # rodzaj wykorzystywanego protokołu
port 1194                       # używany port
server 10.8.0.0 255.255.255.0   # klasa adresowa z której będą przydzielane adresy IP

 

ca ca.crt                       # nazwa pliku z certyfikatem CA         
cert serwermp.crt               # nazwa pliku z certyfikatem serwera
key serwermp.key                # nazwa pliku z kluczem prywatnym serwera
dh dh2048.pem                   # nazwa pliku z parametrami algorytmu Diffiego-Hellmana 
                                # wszystkie ścieżki do plików mogą być podane jako bezwzględne, np.:
                                # ca "c:\\Program Files\\OpenVPN\\config\\ca.crt"
max-clients 10                  # maksymalna ilość jednocześnie podłączonych klientów
persist-tun                     # podczas restartu utrzymuje podniesiony wirtualny interfejs
persist-key                     # podczas restartu nie bedzie ponownie wczytany klucz
keepalive 10 120                # restart w przypadku braku połączenia
                                # wysyła ping co 10 sekund z timeout=120s.
cipher AES-256-CBC              # ustawienie zalecanego algorytmu szyfrowania
                                # ustawienie musi być identyczne na kliencie i serwerze
comp-lzo                        # algorytm kompresji, zmniejsza zużycie transferu
verb 1                          # poziom szczegółowości logowania

push "route 192.168.1.0 255.255.255.0"
------

 

Client
----
dev tun                         # rodzaj interfejsu – dla routera zawsze TUN
client                          # określa tryb pracy tego końca tunelu jako klient
remote IP.serwera               # adres IP serwera (przeczytaj dodatkowe uwagi na dole strony)
proto udp                       # rodzaj wykorzystywanego protokołu
port 1194                       # używany port
nobind                          # nie otwiera portu po stronie klienta

 

ca ca.crt                       # nazwa pliku z certyfikatem CA         
cert client1.crt                # nazwa pliku z certyfikatem klienta
key client1.key                 # nazwa pliku z kluczem prywatnym klienta
                                # wszystkie ścieżki do plików mogą być podane jako bezwzględne, np.:
                                # ca "c:\\Program Files\\OpenVPN\\config\\ca.crt"
persist-tun                     # podczas restartu utrzymuje podniesiony wirtualny interfejs
persist-key                     # podczas restartu nie bedzie ponownie wczytany klucz
keepalive 10 120                # restart w przypadku braku połączenia
                                # wysyła ping co 10 sekund z timeout=120s.
cipher AES-256-CBC              # ustawienie zalecanego algorytmu szyfrowania
                                # ustawienie musi być identyczne na kliencie i serwerze
comp-lzo                        # algorytm kompresji, zmniejsza zużycie transferu
verb 1       

-----

 

:) :) :)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Huraaa!!!

Problem rozwiązany.

Dużo czytania w necie (przyznam, że czasami może cię to wyprowadzić na manowce),

wiele prób i testów

i rozwiązanie gotowe.

 

Generalnie:

1. Nieprawdą jest, że aby widzieć udostępnione zasoby to trzeba zrobić 'dev tap'.

2. Należy zwrócić uwagę na rodzaje/typy sieci (Domowa/Publiczna/nierozpoznana) - jeśli możliwe ustaw Domową (ale nie zawsze się to możliwe).

3. Na routerze R1 wprowadź routing statyczny (sieć 10.8.0.0 poprzez bramę 192.168.1.14).

4. Na serwerze nie musi być zezwolenie na 'Zdalny Pulpit' oraz Routing (poprzez modyfikację rejestru, sprawdzanie za pomocą ipconfig).

5. Podstawa, aby podczas testów wyłączyć oba firewale (na serwerze i kliencie) - bardzo dużo filtrują (po pozytywnych testach poustawiać wyjątki/ do rozpoznania przydatne wbudowane narzędzie Monitorowanie Firewala).

6. Działa nawet, gdy Client ma taką samą sieć Serwer, czyli 192.168.1.x (nie zdarzyły mi się konflikty).

 

poniżej zastosowana konfiguracja:

Serwer

----

dev tun                         # rodzaj interfejsu – dla routera zawsze TUN

local 192.168.1.14              # adres IP serwera (przeczytaj dodatkowe uwagi na dole strony)

                                # "local" określa tryb pracy tego końca tunelu jako serwer

proto udp                       # rodzaj wykorzystywanego protokołu

port 1194                       # używany port

server 10.8.0.0 255.255.255.0   # klasa adresowa z której będą przydzielane adresy IP

 

ca ca.crt                       # nazwa pliku z certyfikatem CA         

cert serwermp.crt               # nazwa pliku z certyfikatem serwera

key serwermp.key                # nazwa pliku z kluczem prywatnym serwera

dh dh2048.pem                   # nazwa pliku z parametrami algorytmu Diffiego-Hellmana 

                                # wszystkie ścieżki do plików mogą być podane jako bezwzględne, np.:

                                # ca "c:\\Program Files\\OpenVPN\\config\\ca.crt"

max-clients 10                  # maksymalna ilość jednocześnie podłączonych klientów

persist-tun                     # podczas restartu utrzymuje podniesiony wirtualny interfejs

persist-key                     # podczas restartu nie bedzie ponownie wczytany klucz

keepalive 10 120                # restart w przypadku braku połączenia

                                # wysyła ping co 10 sekund z timeout=120s.

cipher AES-256-CBC              # ustawienie zalecanego algorytmu szyfrowania

                                # ustawienie musi być identyczne na kliencie i serwerze

comp-lzo                        # algorytm kompresji, zmniejsza zużycie transferu

verb 1                          # poziom szczegółowości logowania

push "route 192.168.1.0 255.255.255.0"

------

 

Client

----

dev tun                         # rodzaj interfejsu – dla routera zawsze TUN

client                          # określa tryb pracy tego końca tunelu jako klient

remote IP.serwera               # adres IP serwera (przeczytaj dodatkowe uwagi na dole strony)

proto udp                       # rodzaj wykorzystywanego protokołu

port 1194                       # używany port

nobind                          # nie otwiera portu po stronie klienta

 

ca ca.crt                       # nazwa pliku z certyfikatem CA         

cert client1.crt                # nazwa pliku z certyfikatem klienta

key client1.key                 # nazwa pliku z kluczem prywatnym klienta

                                # wszystkie ścieżki do plików mogą być podane jako bezwzględne, np.:

                                # ca "c:\\Program Files\\OpenVPN\\config\\ca.crt"

persist-tun                     # podczas restartu utrzymuje podniesiony wirtualny interfejs

persist-key                     # podczas restartu nie bedzie ponownie wczytany klucz

keepalive 10 120                # restart w przypadku braku połączenia

                                # wysyła ping co 10 sekund z timeout=120s.

cipher AES-256-CBC              # ustawienie zalecanego algorytmu szyfrowania

                                # ustawienie musi być identyczne na kliencie i serwerze

comp-lzo                        # algorytm kompresji, zmniejsza zużycie transferu

verb 1       

-----

 

:) :) :)

 

Hej. 

Wpisując komendę : server 10.8.0.0 255.255.255.0. 

Serwer przestaje się uruchamiać.... 

Miałeś taki problem ?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

nie wiem,

nie sprawdzałem tego.

 

Aktualnie nie korzystam już z tego rozwiązania,

było/minęło

:(

 

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...