Stránka 1 z 1

EdgeRouter neprochází pakety OpenVPN

Napsal: 14 Feb 2020 11:25
od Milan S.
Dobrý den,

mám ve své síti server s OpenVPN a snažím se připojit klienta v internetu, sice k navázání spojení dojde (vidím v logu, klient dostrane IP), ale neprochází pakety a ani žádná reakce na ping. EdgeRouter mám nastavený v úplném základu nastavuji jen portforwarding. Neporadí prosím někdo?

Předem děkuji Milan

Re: EdgeRouter neprochází pakety OpenVPN

Napsal: 14 Feb 2020 11:46
od korbic
Mám stejnou konfiguraci a jede to v pohodě. Pouze portforwarding, nic víc.

Re: EdgeRouter neprochází pakety OpenVPN

Napsal: 14 Feb 2020 11:53
od Milan S.
korbic píše:Mám stejnou konfiguraci a jede to v pohodě. Pouze portforwarding, nic víc.


a mohl bych poprosit o screen nastavení Firewall? předem díky

Re: EdgeRouter neprochází pakety OpenVPN

Napsal: 14 Feb 2020 11:58
od korbic
screen v příloze

Re: EdgeRouter neprochází pakety OpenVPN

Napsal: 14 Feb 2020 12:04
od Daxxim
korbic píše:screen v příloze


Another common mistake is to forget to open the 3 ports required for OpenVPN Access Server to be reachable properly. By default these are TCP 443, TCP 943, and UDP 1194.

Nebo to máš schválně na 1195?

Re: EdgeRouter neprochází pakety OpenVPN

Napsal: 14 Feb 2020 12:10
od Milan S.
korbic píše:screen v příloze


edgerouter.jpg
edgerouter.jpg (43.51 KiB) Zobrazeno 4771 x


rozdíl v mé konfiguraci (portforwardingu) je že WAN interface mám eth9 (reálný WAN) a nepoužívám to hairpin NAT, proč to máš tak?

Re: EdgeRouter neprochází pakety OpenVPN

Napsal: 14 Feb 2020 12:12
od rsaf
OpenVPN access server a klasická OpenVPN není úplně to samé... Klasickou OpenVPN lze provozovat na TCP nebo UDP, na libovolném portu. Stačí tomu průchozí ten jeden port a nikdy jsem se nesetkal s problémem, že by do toho kafral firewall (zvláště, pokud je vidět navázání spojení).
Hledej problém jinde - tipuju na chybu v konfiguraci openvpn, routingu nebo stejný subnet v cílové síti jako v síti, ze které se připojuješ...

Re: EdgeRouter neprochází pakety OpenVPN

Napsal: 14 Feb 2020 12:25
od Milan S.
rsaf píše:OpenVPN access server a klasická OpenVPN není úplně to samé... Klasickou OpenVPN lze provozovat na TCP nebo UDP, na libovolném portu. Stačí tomu průchozí ten jeden port a nikdy jsem se nesetkal s problémem, že by do toho kafral firewall (zvláště, pokud je vidět navázání spojení).
Hledej problém jinde - tipuju na chybu v konfiguraci openvpn, routingu nebo stejný subnet v cílové síti jako v síti, ze které se připojuješ...


client LAN 192.168.4.xxx
LAN se serverem 192.168.1.xxx
VPN 10.11.12.xxx (a zkoušel jsem i 10.9.0.xxx)

konfiguraci jsem procházel a je totožná krom remote se sítí kterou jsem rozjížděl u jiného klienta s jiným routerem, crt, keys a všem jsem vygeneroval komplet projistotu znovu

Re: EdgeRouter neprochází pakety OpenVPN

Napsal: 14 Feb 2020 14:27
od rsaf
Nepingnes se ani na server?
Jinak prostě zapojit analytické myšlení. Zvýšit verbosity na serveru i na klientovi, tcpdump na serveru/klientovi/routeru, udělat si na ten provoz FW pravidla a sledovat countery...

Re: EdgeRouter neprochází pakety OpenVPN

Napsal: 14 Feb 2020 14:32
od korbic
Daxxim píše:Another common mistake is to forget to open the 3 ports required for OpenVPN Access Server to be reachable properly. By default these are TCP 443, TCP 943, and UDP 1194.

Nebo to máš schválně na 1195?


Jaký je to port je asi v celku jedno, důležité je mít na straně serveru a na straně klienta nastavený stejný port.


Milan S. píše:
korbic píše:screen v příloze


edgerouter.jpg

rozdíl v mé konfiguraci (portforwardingu) je že WAN interface mám eth9 (reálný WAN) a nepoužívám to hairpin NAT, proč to máš tak?


Ten hairpin NAT je zapnutý kvůli jiným aplikacím, na OpenVPN to asi potřeba nebude.

Re: EdgeRouter neprochází pakety OpenVPN

Napsal: 14 Feb 2020 15:37
od Milan S.
Tady posílám obrázky nastavení FW, třeba by pomohlo

edgerouter_fw2.jpg
edgerouter_fw2.jpg (25.4 KiB) Zobrazeno 4664 x

Re: EdgeRouter neprochází pakety OpenVPN

Napsal: 15 Feb 2020 09:59
od rsaf
Je to marný, čteš to vůbec?
Openvpn je celkem protokol nad jediným tcp/upd portem (konfiguraci jsme neviděli). Pokud proleze navázání (tvrdíš, ale log jsme neviděli) tak do toho na 99% firewall po cestě nemá vliv a prostě hledáš chybu na špatném místě.