❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz

EdgeRouter neprochází pakety OpenVPN

Návody a problémy s konfigurací.
Milan S.
Příspěvky: 10
Registrován: 12 years ago

EdgeRouter neprochází pakety OpenVPN

Příspěvekod Milan S. » 4 years ago

Dobrý den,

mám ve své síti server s OpenVPN a snažím se připojit klienta v internetu, sice k navázání spojení dojde (vidím v logu, klient dostrane IP), ale neprochází pakety a ani žádná reakce na ping. EdgeRouter mám nastavený v úplném základu nastavuji jen portforwarding. Neporadí prosím někdo?

Předem děkuji Milan
0 x

korbic
Příspěvky: 59
Registrován: 6 years ago

Příspěvekod korbic » 4 years ago

Mám stejnou konfiguraci a jede to v pohodě. Pouze portforwarding, nic víc.
0 x

Milan S.
Příspěvky: 10
Registrován: 12 years ago

Příspěvekod Milan S. » 4 years ago

korbic píše:Mám stejnou konfiguraci a jede to v pohodě. Pouze portforwarding, nic víc.


a mohl bych poprosit o screen nastavení Firewall? předem díky
0 x

korbic
Příspěvky: 59
Registrován: 6 years ago

Příspěvekod korbic » 4 years ago

screen v příloze
Přílohy
openvpn.jpg
openvpn.jpg (105.17 KiB) Zobrazeno 6992 x
0 x

Daxxim
Příspěvky: 416
Registrován: 12 years ago
Kontaktovat uživatele:

Příspěvekod Daxxim » 4 years ago

korbic píše:screen v příloze


Another common mistake is to forget to open the 3 ports required for OpenVPN Access Server to be reachable properly. By default these are TCP 443, TCP 943, and UDP 1194.

Nebo to máš schválně na 1195?
0 x
Citace: Ubiquiti jsou produkty pro lidi, kteří neumí a nerozumí sítím a chtějí aby “vše na jeden klik fungovalo”. Pokud po Ubiquiti produktech chceme obecně něco více, je to opravdu ZLO. Navíc tupé zlo, jen je designově hezké.

Milan S.
Příspěvky: 10
Registrován: 12 years ago

Příspěvekod Milan S. » 4 years ago

korbic píše:screen v příloze


edgerouter.jpg
edgerouter.jpg (43.51 KiB) Zobrazeno 6945 x


rozdíl v mé konfiguraci (portforwardingu) je že WAN interface mám eth9 (reálný WAN) a nepoužívám to hairpin NAT, proč to máš tak?
Naposledy upravil(a) Milan S. dne 14 Feb 2020 12:46, celkem upraveno 1 x.
0 x

rsaf
Příspěvky: 1669
Registrován: 17 years ago

Příspěvekod rsaf » 4 years ago

OpenVPN access server a klasická OpenVPN není úplně to samé... Klasickou OpenVPN lze provozovat na TCP nebo UDP, na libovolném portu. Stačí tomu průchozí ten jeden port a nikdy jsem se nesetkal s problémem, že by do toho kafral firewall (zvláště, pokud je vidět navázání spojení).
Hledej problém jinde - tipuju na chybu v konfiguraci openvpn, routingu nebo stejný subnet v cílové síti jako v síti, ze které se připojuješ...
0 x

Milan S.
Příspěvky: 10
Registrován: 12 years ago

Příspěvekod Milan S. » 4 years ago

rsaf píše:OpenVPN access server a klasická OpenVPN není úplně to samé... Klasickou OpenVPN lze provozovat na TCP nebo UDP, na libovolném portu. Stačí tomu průchozí ten jeden port a nikdy jsem se nesetkal s problémem, že by do toho kafral firewall (zvláště, pokud je vidět navázání spojení).
Hledej problém jinde - tipuju na chybu v konfiguraci openvpn, routingu nebo stejný subnet v cílové síti jako v síti, ze které se připojuješ...


client LAN 192.168.4.xxx
LAN se serverem 192.168.1.xxx
VPN 10.11.12.xxx (a zkoušel jsem i 10.9.0.xxx)

konfiguraci jsem procházel a je totožná krom remote se sítí kterou jsem rozjížděl u jiného klienta s jiným routerem, crt, keys a všem jsem vygeneroval komplet projistotu znovu
0 x

rsaf
Příspěvky: 1669
Registrován: 17 years ago

Příspěvekod rsaf » 4 years ago

Nepingnes se ani na server?
Jinak prostě zapojit analytické myšlení. Zvýšit verbosity na serveru i na klientovi, tcpdump na serveru/klientovi/routeru, udělat si na ten provoz FW pravidla a sledovat countery...
1 x

korbic
Příspěvky: 59
Registrován: 6 years ago

Příspěvekod korbic » 4 years ago

Daxxim píše:Another common mistake is to forget to open the 3 ports required for OpenVPN Access Server to be reachable properly. By default these are TCP 443, TCP 943, and UDP 1194.

Nebo to máš schválně na 1195?


Jaký je to port je asi v celku jedno, důležité je mít na straně serveru a na straně klienta nastavený stejný port.


Milan S. píše:
korbic píše:screen v příloze


edgerouter.jpg

rozdíl v mé konfiguraci (portforwardingu) je že WAN interface mám eth9 (reálný WAN) a nepoužívám to hairpin NAT, proč to máš tak?


Ten hairpin NAT je zapnutý kvůli jiným aplikacím, na OpenVPN to asi potřeba nebude.
0 x

Milan S.
Příspěvky: 10
Registrován: 12 years ago

Příspěvekod Milan S. » 4 years ago

Tady posílám obrázky nastavení FW, třeba by pomohlo

edgerouter_fw2.jpg
edgerouter_fw2.jpg (25.4 KiB) Zobrazeno 6838 x
Přílohy
edgerouter_fw1.jpg
edgerouter_fw1.jpg (21.43 KiB) Zobrazeno 6838 x
0 x

rsaf
Příspěvky: 1669
Registrován: 17 years ago

Příspěvekod rsaf » 4 years ago

Je to marný, čteš to vůbec?
Openvpn je celkem protokol nad jediným tcp/upd portem (konfiguraci jsme neviděli). Pokud proleze navázání (tvrdíš, ale log jsme neviděli) tak do toho na 99% firewall po cestě nemá vliv a prostě hledáš chybu na špatném místě.
0 x