Jak nastavit routovaní z lan ovpn serveru na lan ovpn klienta?

ladmanj · January 25, 2021, 3:05pm

Ahoj

Mám Turris Omnia kde bězí openvpn server.
Verze Turris OS 5.1.7 HBS

Dále Turris MOX kde běží openvpn klient.
Verzi teď nezjistím přesně ale pravděpodobně stejná jako na Omnii výše.

Spojení mezi routery je bez problémů.

Problém mám s routováním - z PC v LAN na klientské straně se na PC v LAN na serverové straně propingám a připojím na ssh, ale opačně, z LAN na serverové straně se nepřipojím ani na MOX samotný ani na stroje na jeho LAN.

Našel jsem informace jak by se to mělo dát nastavit na (obecné) server konfiguraci openvpn, ale když jsem se to pokusil přidat do /etc/config/openvpn, tak se nastavení do /var/etc/openvpn… nepropsalo a web rozhraní mělo problém s parsováním konfigu. Tak jsem to opět zrušil.

Rád bych tedy našel zůsob jak routy nastavit přes openwrt/luci, ale nevím jak na to, udělal jsem pár naivních pokusů, ale neuspěl jsem.

Problém je že dokud toto spojení nerozchodím, mám tam přístup jen když o víkendu zajedu 40km daleko. Není tam veřejná adresa a nebude

LAN na serverové straně je 192.168.1.0/24 a na klientské straně 192.168.2.0/24, tedy v konfliktu by být neměly.

Díky za pomoc

ladmanj · January 28, 2021, 3:05pm

Tak tedy, sice bez jakékoliv odpovědi na český i anglický dotaz zde ve fóru, ale podařilo se mi nastavit openvpn server podle návodu, musel jsem se vzdát představy že zůstane ostatní nastavení dostupné přes reforis.
Nezůstane.

Zkopíroval jsem reforisem vygenerované nastavení z /var/etc/openvpn_server.conf (nepřesný název z pamětí) do vlastního konfiguráku v /etc/openvpn/my-vpn.conf a v /etc/config/openvpn povolil user konfiguraci a zakázal tu naklikanou.

Kopii konfigurace jsem obohatil o řádky z návodu obsahující client-config-dir ccd a route, založil soubor pro klienta v /etc/openvpn/ccd.

Nyní mám na první pohled smysluplný záznam v routovací tabulce:
Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface ... 192.168.2.0 10.111.111.2 255.255.255.0 UG 0 0 0 tun_turris

Ovšem stále mi to “neseje” (bodejť by ne, mám to zalepený barvou)

root@turris:~# ping 192.168.2.1 PING 192.168.2.1 (192.168.2.1) 56(84) bytes of data. From 192.168.2.1 icmp_seq=1 Destination Port Unreachable From 192.168.2.1 icmp_seq=2 Destination Port Unreachable

root@turris:~# ping 192.168.2.155 PING 192.168.2.155 (192.168.2.155) 56(84) bytes of data. From 10.111.111.10 icmp_seq=1 Destination Port Unreachable From 10.111.111.10 icmp_seq=2 Destination Port Unreachable

Ještě tomu nějaké nastavení chybí, asi firewall, nebo já nevim.

Bohužel jsem zase v koncích.

Pokud by někdo měl tip, tak budu rád, o víkendu se zase možná dostanu na výlet na stranu klienta, teď tam nic nenastavím, protože se tam nepřipojím. Je to hrozně zdlouhavé, když mám ten router daleko a když nemám žádnou pomoc. Už to bude měsíc, co se to snažím rozchodit.

Díky

Maxmilian_Picmaus · January 29, 2021, 9:16am

ja pouzivam tyhle direktivy … topology = subnet a client-to-client a pak samozrejme push pro routy a tak nejak to funguje (uz jsem to dlouho nezkousel , vetsinu tu nemam zas tolik vpn uzivatelu naraz

ladmanj · January 29, 2021, 10:13am

Díky za odpověď

topology = subnet
jsem neznal, podívám se co to dělá

Já taky nemám mnoho vpn klientů, jen dva.
Jeden jsem já když jsem mimo domov, tam s žádným routováním není problém, protože sedím u počítače kde běří přímo openvpn klient a vše funguje. Nebo se připojím z androida a to taky funguje.

Problém je s tím druhým klientem, což je druhý turris a za ním je na LAN PLC kontrolér který řídí elektroinstalaci bratrova domu.
No a k tomu PLC se potřebuju dostat z domova. Oba domy dělí 40 km a veřejnou ip adresu mám jen já.

Propojení počítačů ze dvou vzdálených LAN navzájem mi přijde že je druhé nejstandardnější použití vpn.

Maxmilian_Picmaus · January 29, 2021, 3:39pm

nekdy dela problem spatne vybrany subnet. 192.168.1.x nebo 192.168.0.x muze zpusobovat problemy pri smerovani provozu na konkretni branu. (zalezi mas-li vpn traffic smerovan zkrz TO1 a nebo ne).

poznamky

Jestli to chapu dobre, vsichni vpn klienti (tedy i TO2) se pripojuji na TO1 a ty se pak odkudkoliv pripojis na TO1 a chces se dostat az za TO2 …na ten PLC bazmek (na nejakou spravcovskou konzoli).
V tomto pripade client-to-client funguje pouze v ramci te vpn site/zony (tedy pristup na sluzby co bezi na TO2), ale uz by ses nemel dobouchat na sluzby v remote lan siti. K tomu bude potreba asi sahnout do routovani/firewallu/zon. Ale kam a jak to uz je pro me vyssi divci. Netusim jestli staci portforwarding a nebo bude treba neco vic (nejakej NAT naprimo a nebo pres DMZ).
Kdyby to PLC byl zaroven openvpn klient, tak by to melo jit i bez routovani “client-to-client” by to mel poresit (ovsem pak zas budes asi resit omezeni, aby na to PLC nemohl kazdej vpnkar).
Osobne bych udelal jen ten portforwarding mezi TO2 a PLC (konkretni host:ip:port)

ladmanj · January 29, 2021, 4:42pm

IMG_20210129_1738141

ladmanj · February 3, 2021, 9:18pm

Ve firewallu v zóně vpn byla prázdná položka
Povolit přesměrování do zdrojových oblastí

Když jsem nastavil LAN, tak už vše funguje.

Díky za pomoc, přesto že nakonec jsem to musel najít sám.

system · February 6, 2021, 9:18pm

This topic was automatically closed 3 days after the last reply. New replies are no longer allowed.