Вход | Регистрация


Информационные технологии ::

Метки: 

Кто нито настраивал OpenVPN Site-toSite ?

Я
   Trotter
 
11.04.14 - 13:43
Собственно сабж.
Что вы при этом использовали.
Кто не в курсе, Site-toSite для объединения сетей, что бы из сети 192.168.0.0/24 можно было пинговать любую машину из 192.168.1.0/24
 
  Рекламное место пустует
   НаборДанных
 
1 - 11.04.14 - 13:45
   Trotter
 
2 - 11.04.14 - 13:46
(1) Это точно неподходит
   Trotter
 
3 - 11.04.14 - 13:47
Хотелось бы это сделать на DD-WRT (или подобным ему) и центральном серваке Linux или BSD
   Jump
 
4 - 11.04.14 - 13:51
Хм, а при чем тут VPN?
Какая разница тоннель это или просто две сети?

Если нужно достучатся до компьютера в другой сети, нужен маршрут.
Все делается исключительно маршрутизацией.
   Trotter
 
5 - 11.04.14 - 13:53
(4) Вот с маршрутизацией и нужна помощ, может быть кто то настраивал начём нито ? желательно на DD-WRT
   Мутабор
 
6 - 11.04.14 - 13:54
Поднимаешь OpenVPN хоть на чем, если не роутер, то правим маршруты, разрешаем весь трафик на tun и все.
   Мутабор
 
7 - 11.04.14 - 13:54
при поднятии маршруты прописывай, есть параметр конфига
   Trotter
 
8 - 11.04.14 - 13:55
(6) Можно Ваш конфиг посмотреть ?
   Мутабор
 
9 - 11.04.14 - 13:56
(8) клиент сервер или равноправные клиенты?
   Trotter
 
10 - 11.04.14 - 13:56
#!/bin/sh

#USERNAME="MyUsername"
#PASSWORD="MyPassword" # Your HMA_USER_PASSWORD not PPTP password
PROTOCOL="udp" # udp / tcp MUST BE lower case

# Add - delete - edit servers between ##BB## and ##EE##
REMOTE_SERVERS="
##BB##
# Atlanta - UDP
remote Мой IP порт
##EE##
"

#### DO NOT CHANGE below this line ####

CA_CRT='-----BEGIN CERTIFICATE-----
ключик
-----END CERTIFICATE-----
'

CLIENT_CRT='Ключик
'

CLIENT_KEY='Ключик'                                  

OPVPNENABLE=`nvram get openvpncl_enable | awk '$1 == "0" {print $1}'`

if [ "$OPVPNENABLE" != 0 ]
then
   nvram set openvpncl_enable=0
   nvram commit
fi

sleep 30
mkdir /tmp/hmavpncl; cd /tmp/hmavpncl
#echo -e "$USERNAME\n$PASSWORD" > userpass.conf
echo "$CA_CRT" > ca.crt; echo "$CLIENT_CRT" > client.crt; echo "$CLIENT_KEY" > client.key
echo "#!/bin/sh" > route-up.sh; echo -e "#!/bin/sh\nsleep 2" > route-down.sh
echo "#!/bin/sh
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
iptables -I INPUT -i tun0 -j REJECT
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE" > /tmp/.rc_firewall
chmod 644 ca.crt client.crt; chmod 600 client.key userpass.conf; chmod 700 route-up.sh route-down.sh
chmod 700 /tmp/.rc_firewall
sleep 30
echo "client
proto $PROTOCOL
tls-client
client
dev tun
#proto udp
tun-mtu 1400
remote-random
cipher BF-CBC
comp-lzo
verb 3
ns-cert-type server
ca ca.crt
cert client.crt
key client.key
daemon
#auth-user-pass userpass.conf
#remote-random
$REMOTE_SERVERS" > openvpn.conf
ln -s /tmp/hmavpncl/hmavpn.log /tmp/hmavpn.log
(killall openvpn; openvpn --config /tmp/hmavpncl/openvpn.conf --route-up /tmp/hmavpncl/route-up.sh --down-pre /tmp/hmavpncl/route-down.sh) &
exit 0

Стоит ли добавлять вот это ?
iptables -I INPUT 3 -i tun0 -p icmp -j ACCEPT
iptables -I INPUT 1 -i tun0 -p tcp --dport 80 -j ACCEPT

Вот не подключается он с этим конфигом, хоть тресни (((
Добавил в Sava Start Up
 
  Рекламное место пустует
   Trotter
 
11 - 11.04.14 - 13:56
(10) для DD-WRT
   Мутабор
 
12 - 11.04.14 - 13:58
(11) в ddwrt есть через вебморду настройка, без этой фигни
   Trotter
 
13 - 11.04.14 - 13:58
(12) Через вэб морду невзлетело
   Trotter
 
14 - 11.04.14 - 13:59
(12) На TamatoUSB получилось, подключатся, пингутеся виртуальный канал, а сети не видны... (
   Мутабор
 
15 - 11.04.14 - 13:59
разбирайся почему, все взлетает. параметр есть
route 192.168.0.0 255.255.255.0
   Мутабор
 
16 - 11.04.14 - 13:59
и с другой стороны обратную сеть
   Trotter
 
17 - 11.04.14 - 14:00
(16) У вас это всё дело на чём крутится ?
   Trotter
 
18 - 11.04.14 - 14:00
У меня сервак на pfsense(центральный)
   Кейси райбек
 
19 - 11.04.14 - 14:01
(18) + 1
   Мутабор
 
20 - 11.04.14 - 14:03
FreeBSD, Linux (пофиг какой), ddwrt и так далее, пофиг на чем
   Мутабор
 
21 - 11.04.14 - 14:03
только не все параметры везде поддерживаются
   Jump
 
22 - 11.04.14 - 14:08
(18)И этот сервак наверное и значится шлюзом по умолчанию так?
Поэтому и не взлетает.
   Trotter
 
23 - 11.04.14 - 14:10
(22) Да ) А почему ?
   Trotter
 
24 - 11.04.14 - 14:10
на ipcop человек делал всё работало
   Мутабор
 
25 - 11.04.14 - 14:10
(23) Шутит он так, у меня и шлюзами и не шлюзами работает :)
   Мутабор
 
26 - 11.04.14 - 14:11
Начни с простого, статические ключ
http://spvd.ru/page/ddwrt-openvpn-static
   Trotter
 
27 - 11.04.14 - 14:11
(25) Помочь сможете ?
У меня маршруты вроде все прописаны
   Trotter
 
28 - 11.04.14 - 14:12
(26) Если не затруднит гляньте 11тую страничку https://forum.pfsense.org/index.php?topic=59081.msg409726#msg409726
   Jump
 
29 - 11.04.14 - 14:12
Смотри два варианта возможны.

1) VPN поднимается на той железке, что указана как шлюз по умолчанию.
Тогда достаточно на этой железке прописать маршрут в нужную сеть.
Т.е пакет не принадлежит этой сети, его кидает на шлюз по умолчанию, и у шлюза есть маршрут куда его отправить.

2)VPN поднят на другой железке.
Пакет не принадлежаший этой сети кидает на шлюз по умолчанию.
А шлюз у тебя совсем другая железка, Он нифига про VPN не знает.
Тут два варианта - прописать на шлюзе маршрут до железки которая кинет пакет на роутер, где понднят VPN, и на роутере прописать маршрут в сеть.
Либо на каждом компьютере писать маршрут
   Trotter
 
30 - 11.04.14 - 14:13
(26) У меня сейчас вместо статического ключа, сертификат сервака, сертификат клиента и ключик клиента
   Мутабор
 
31 - 11.04.14 - 14:14
username/password никогда не использовал
   Jump
 
32 - 11.04.14 - 14:14
(25)Такого не может быть.
Пакет всегда идет на шлюз по умолчанию.
А у него VPN не на шлюзе.
Поэтому на железке с VPN хоть что прописывай, пакет туда просто не попадет.
   Мутабор
 
33 - 11.04.14 - 14:16
(32) Открою секрет, route можно хоть на клиенте хоть на сервере прописывать.
 
 
   Мутабор
 
34 - 11.04.14 - 14:18
Короче хватит фигней страдать, ты должен сначала поднять туннель, что бы оба конца с концов пинговались, как сделаешь - пиши, дальше маршруты прописать, файрвол настроить и все.
   Trotter
 
35 - 11.04.14 - 14:18
(32) Что значит VPN не нашлюзе ? Физически он на одной машине или вы про канал виртуальный ? ну можно другой придумать не 10.200.0.0/16 что нито другое  )
   Trotter
 
36 - 11.04.14 - 14:19
(34) Виртуальный канал поднимается и пингуется, а сети нет
   Jump
 
37 - 11.04.14 - 14:20
(33)Открою секрет - прописывать можно и нужно там где есть пакет.
Сервер в данном случае железка с pfsense она значится шлюзом по умолчанию, и туда идут все пакеты которые адресованы не в текущую сеть.
И эта железка нифига не знает про VPN, и на ней никаких маршрутов до VPN нет.
   Jump
 
38 - 11.04.14 - 14:21
(35)Ну шлюз по умолчанию в твоей сети кто?
Роутер который VPN поднимает или нет?
   Trotter
 
39 - 11.04.14 - 14:23
(37) http://s019.radikal.ru/i643/1404/f8/fa34343f99a1.png вот тута я разве не говорю ему заворачивать весь трафик ?
шлюз pfsense на нём же всё и поднято
   Trotter
 
40 - 11.04.14 - 14:25
   Мутабор
 
41 - 11.04.14 - 14:25
(39) Ему пофиг что ты ему говоришь, он все равно шутить любит и спорить :)
   Jump
 
42 - 11.04.14 - 14:26
Ну вроде изначально шла речь что VPN на DD_WRT поднят, а шлюз на Pfsense
   Мутабор
 
43 - 11.04.14 - 14:28
(42) даже я понял что это два конца тунеля :)
Еще раз повторяю, создать соединение, настроить маршруты и файрвол вот и все, а не все и сразу.
   Trotter
 
44 - 11.04.14 - 14:28
(42) DD-WRT - клиент, да давай поднимем на нём VPN )Только он стоит в удалённом офисе а pfsense в центральном, достучатся удалось, а маршруты сеть в сеть не работают
   Trotter
 
45 - 11.04.14 - 14:29
(43) Ды всё вроде настроено, посмотрите ссылку в (28)
   Trotter
 
46 - 11.04.14 - 14:29
последние 3-4 стр
   Мутабор
 
47 - 11.04.14 - 14:31
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.0.1.2
на ddwrt вручную попробуй
на втрой хрени какой файрвол, ipwf или pf? Я со втророй хренью не работал
   Trotter
 
48 - 11.04.14 - 14:32
(47) pfsense основан на FreeBSD 8.3 какой фв тама я хз
   Jump
 
49 - 11.04.14 - 14:34
pf там.
 
  Рекламное место пустует
   Мутабор
 
50 - 11.04.14 - 14:35
   Jump
 
51 - 11.04.14 - 14:36
В общем берешь в руки traccert смотришь трассу до другой сети и смотришь где именно затык, на какой именно железке, вот там и копаешь.
   Мутабор
 
52 - 11.04.14 - 14:36
там смотрю есть параметр удаленная сеть, вот в нем сеть и пропиши, на настройки файрвола в вебморде есть
   Trotter
 
53 - 11.04.14 - 14:38
(52) у меня немного не так сделано и по этому у меня нету такой штукенции (
   Trotter
 
54 - 11.04.14 - 14:40
Обычно делается peer to peer и настраивается маршрутизация, но, что то пошло не так судя по всему
   Мутабор
 
55 - 11.04.14 - 14:46
Да хоть нат включи на tun, сразу заработает, только не видно будет кто коннектится
   Chai Nic
 
56 - 11.04.14 - 14:47
OpenVPN в режиме точка-точка настраивается элементарно. Читай faq https://openvpn.net/index.php/open-source/documentation/miscellaneous/78-static-key-mini-howto.html
   Trotter
 
57 - 11.04.14 - 14:53
(56) проблема в pfsense, что то с маршрутами...
   Мутабор
 
58 - 11.04.14 - 14:55
Мне блин проще сделать чем объяснить, все элементарно Ватсон.
   Trotter
 
59 - 11.04.14 - 15:09
(58) Сделать на чём ? на pfsense ?
   Chai Nic
 
60 - 11.04.14 - 18:52
(57) Между концами внутри туннеля пинги идут? Ну а дальше собственно дело к vpn никакого отношения не имеет.. дальше обычная настройка маршрутизации.



Список тем форума
Рекламное место пустует   Рекламное место пустует
ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку "Обновить" в браузере.
Тема не обновлялась длительное время, и была помечена как архивная. Добавление сообщений невозможно.
Но вы можете создать новую ветку и вам обязательно ответят!
Каждый час на Волшебном форуме бывает более 2000 человек.
Рекламное место пустует