EdgeRouter neprochází pakety OpenVPN

[Milan S.]

Dobrý den,

mám ve své síti server s OpenVPN a snažím se připojit klienta v internetu, sice k navázání spojení dojde (vidím v logu, klient dostrane IP), ale neprochází pakety a ani žádná reakce na ping. EdgeRouter mám nastavený v úplném základu nastavuji jen portforwarding. Neporadí prosím někdo?

Předem děkuji Milan

[korbic]

Mám stejnou konfiguraci a jede to v pohodě. Pouze portforwarding, nic víc.

[Milan S.]

Mám stejnou konfiguraci a jede to v pohodě. Pouze portforwarding, nic víc.

a mohl bych poprosit o screen nastavení Firewall? předem díky

[korbic]

screen v příloze

[Daxxim]

screen v příloze

Another common mistake is to forget to open the 3 ports required for OpenVPN Access Server to be reachable properly. By default these are TCP 443, TCP 943, and UDP 1194.

Nebo to máš schválně na 1195?

[Milan S.]

screen v příloze

edgerouter.jpg (43.51 KiB) Zobrazeno 52324 x

rozdíl v mé konfiguraci (portforwardingu) je že WAN interface mám eth9 (reálný WAN) a nepoužívám to hairpin NAT, proč to máš tak?

[rsaf]

OpenVPN access server a klasická OpenVPN není úplně to samé... Klasickou OpenVPN lze provozovat na TCP nebo UDP, na libovolném portu. Stačí tomu průchozí ten jeden port a nikdy jsem se nesetkal s problémem, že by do toho kafral firewall (zvláště, pokud je vidět navázání spojení).
Hledej problém jinde - tipuju na chybu v konfiguraci openvpn, routingu nebo stejný subnet v cílové síti jako v síti, ze které se připojuješ...

[Milan S.]

OpenVPN access server a klasická OpenVPN není úplně to samé... Klasickou OpenVPN lze provozovat na TCP nebo UDP, na libovolném portu. Stačí tomu průchozí ten jeden port a nikdy jsem se nesetkal s problémem, že by do toho kafral firewall (zvláště, pokud je vidět navázání spojení).
Hledej problém jinde - tipuju na chybu v konfiguraci openvpn, routingu nebo stejný subnet v cílové síti jako v síti, ze které se připojuješ...

client LAN 192.168.4.xxx
LAN se serverem 192.168.1.xxx
VPN 10.11.12.xxx (a zkoušel jsem i 10.9.0.xxx)

konfiguraci jsem procházel a je totožná krom remote se sítí kterou jsem rozjížděl u jiného klienta s jiným routerem, crt, keys a všem jsem vygeneroval komplet projistotu znovu

[rsaf]

Nepingnes se ani na server?
Jinak prostě zapojit analytické myšlení. Zvýšit verbosity na serveru i na klientovi, tcpdump na serveru/klientovi/routeru, udělat si na ten provoz FW pravidla a sledovat countery...

[korbic]

Another common mistake is to forget to open the 3 ports required for OpenVPN Access Server to be reachable properly. By default these are TCP 443, TCP 943, and UDP 1194.

Nebo to máš schválně na 1195?

Jaký je to port je asi v celku jedno, důležité je mít na straně serveru a na straně klienta nastavený stejný port.

screen v příloze

edgerouter.jpg

rozdíl v mé konfiguraci (portforwardingu) je že WAN interface mám eth9 (reálný WAN) a nepoužívám to hairpin NAT, proč to máš tak?

Ten hairpin NAT je zapnutý kvůli jiným aplikacím, na OpenVPN to asi potřeba nebude.

[Milan S.]

Tady posílám obrázky nastavení FW, třeba by pomohlo

edgerouter_fw2.jpg (25.4 KiB) Zobrazeno 52217 x

[rsaf]

Je to marný, čteš to vůbec?
Openvpn je celkem protokol nad jediným tcp/upd portem (konfiguraci jsme neviděli). Pokud proleze navázání (tvrdíš, ale log jsme neviděli) tak do toho na 99% firewall po cestě nemá vliv a prostě hledáš chybu na špatném místě.