OVPN - jenom jednosměrný provoz?

Vytvořil jsem si (O)VPN se serverem na Turrisu a klientem na jakémsi Asusu. Ze sítě za Asusem se dostanu bez problémů kamkoliv do sítě za Turrisem, ale obráceně nikoliv. V čem je problém a jak se to dá změnit?

Směrování do sítě za Asusem na Turrisu chybí, ale přidat ho ničemu nepomůže. iptables ukazují, že se tam dělají nějaké NAT “maškarády”, ale přiznám se, že v tom už se ztrácím. Nejsem si tudíž ani jist, jestli to je nějaký bug nebo prostě “fíčura” VPN. Kažopádně bych potřeboval obousměrný tunel mezi oběma sítěmi.

OK. How To Guide: Set Up & Configure OpenVPN Client/server VPN | OpenVPN

Ja som tuto poziadavku vyriesil Wireguardom podla tohto videa pre amaterov ako som aj ja: :slight_smile:

A ak mas doveru v automatiku, nech sa paci a malo by to byt na par tuknuti:

https://openwrt.org/docs/guide-user/services/vpn/wireguard/site-to-site

Taky už jsem zvažoval WireGuard, ale s pomocí výše uvedených instrukcí se mi to podařilo rozjet i s tím OpenVPN. Většina z těch věcí se dá snadno naklikat v LuCI, jen ten soubor s klientskou konfigurací (ccd) jsem si vyrobil ručně, protože tam jsem nepřišel na to, jak by se to dalo naklikat (nicméně se dá naklikat aspoň to nastavení toho adresáře s ccd konfiguracemi).

Napínavější to bylo ovšem na straně Asusu, který jsem mezitím naflashoval z firemního firmwaru na DD-WRT. Konfigurace načtená z turrisovského .ovpn exportu nechtěla naskočit. Ukázalo se, že se zjevně nevejde do NVRAM a tak je oříznutý private key. Smazal jsem ze sekce s certifikátem vše kromě certifikátu (nevím, proč se tam exportuje i jeho textový popis) a znovu ručně dokopíroval ten soukromý klíč, aby byl celý, a už to naskakuje. Jen teda bylo třeba ještě povolit průchod firewallem, ale naštěstí i na to má DD-WRT možnost doplnění vlastních příkazů.

Ideální by samozřejmě bylo mít OMNIE na obou stranách, ale zas tak levný nejsou a nechce se mi vyhazovat dobře fungující Asus - i když mě trochu straší, že u toho DD-WRT vůbec netuším, jak to funguje s bezpečnostními aktualizacemi, když zveřejňujou už několik let jen nekonečnou řadu jakýchsi beta snapshotů a člověk moc netuší, co mu taková “aktualizace” přinese a co rozbije.

Co sa tyka Asusu, ak je nan OpenWRT, mozes skusit, ale ked je malo NVRAM, nie je to bohvieco. Co si pamatam, tak DD-WRT mavali aktualizacie ale nie tak caste ako Omnia.

OpenWRT jedině bez podpory WiFi (RT-AC68U). To je mi nanic. Takže jedině DD-WRT nebo původní firmware. Ten s tím původním nastavením OpenVPN neměl problém a možná by tedy neměl problém ani s tím novým. Zatím už zůstanu u DD-WRT a uvidíme jak to bude s těmi aktualizacemi - i když asi stejně nepoznám, kdyby se do toho někdo naboural.

To potom ani inu moznost nemas asi :slight_smile: