Broadcast ve VPN

[Mic-net]

Moc děkuji za radu, já kdysi na Windows 7 a byla to katastrofa (myslím klient), nefungovalo to jinak, než přes administrátorská oprávnění (spuštění klienta), ale každopádně už jsou to min. 2 roky, tak když doba pokročila, tak snad VPN klient OpenVPN taky. Než se do toho pustím, vážně tím pak projde Broadcast?

[Mic-net]

Tak dle letmých testů to přes OpenVPN funguje. Tzn. pokud někdo řešíte něco podobného, doporučuji jít cestou OpenVPN...

[telleke]

A mně nechce OpenVPN fungovat Teda spíš tak napůl... Spojení se naváže, dostanu se na IP "serveru" který běží na mikrotiku, ale ani za boha nemůžu donutit klienta, aby se dostal i do vnitřní sítě a viděl ostatní počítače v mé síti. Mohl by mi někdo poradit jak to rozchodit? Certifikáty mám s největší pravděpodobností vygenerované správně...
Nastaveno mám podle tohoto návodu http://ity.sdeluje.cz/5519-openvpn-serv ... v-450.html

Konfigrace klienta

Kód: Vybrat vše

dev tap
proto tcp-client
remote xx.xx.xx.xxx 443 #veřejná IP adresa
ca ca.crt
cert client1.crt
key client1.key
tls-client
port 443
script-security 2 system
ping 15
ping-restart 45
ping-timer-rem
persist-tun
persist-key
mute-replay-warnings
verb 6
cipher AES-256-CBC
auth SHA1
pull
auth-user-pass
route-up "route add 192.168.0.0 mask 255.255.255.0 172.25.25.1" # doplni routu do vnitni sit

Co mě mate.... když použiji toto nastavení, tak dokážu pingnout na 192.168.0.1 (adresa mikrotiku), 192.168.0.202 (adresa VoIP brány), ale například 192.168.0.200-201 (2x AP TP-link) už nepingnu a ani na žádný jiný připojený počítač...

Nastavení mikrotiku

vpnka.JPG (128.09 KiB) Zobrazeno 2443 x

[ok2slc]

A to je OpenVPN klient pod Windows ? Pokud ano mám za to, že klient/server musí být v masce /30. Ten TAP je záměrně ?

[telleke]

Ano je to OpenVPN klient pro windows. TAP je tam kvůli tomu, aby se to chovalo jako klasická LAN/ethernet. Masku jsem nikde nenastavoval, teda krom routy do vnitřní sítě, kde mám použitnou klasicky /24

Komunikace jede přes TCP, protože mám na veřejné povolený jenom určitý rozsah portů a jenom TCP.

[Majklik]

A to je OpenVPN klient pod Windows ? Pokud ano mám za to, že klient/server musí být v masce /30. Ten TAP je záměrně ?

To /30 plaitlo pro starší verze openvpn a navíc v režimu tun. U OpenVPN 2.1 je to už konfoigurovatelné (topology net30/p2p/subnet), pro tap navíc je to automaticky subnet režim.
Také bych v tomto případě, že nedělám brige s LAN to nechal jako tun.

[telleke]

Jaký je můj záměr:
Potřebuji přes VPN přistupovat do mé domácí sítě tak, abych se mohl připojit ke kterémukoliv klientovi na síti, jako kdybych seděl na LANce (server, osobní PC atd...). Podle různých návodů jsem se dobral k tomu, že se pomocí VPNky dokážu připojit pouze na router, který má na LAN adresu 192.168.0.1 a na VoIP bránu, která má adresu 192.168.0.202. Na PC, server, APčka po domě se ale nepřipojím ani je nepingnu. Firewall na těchto zařízení ve chvíli zkoušení není žádný. Zároveň bych "potřeboval" aby na sebe viděli připojení klienti přes VPNku (například aby se dala zahrát nějaká hra v multiplayeru).

RB750 ROS 5.18, Bios 2.36
eth1 - připojení do netu, veřejná IP s povoleným TCP portem.
eth2 - Domácí síť - 192.168.0.0/24
OVPN - LOCAL adress nastaveno na 172.25.25.1, přiřazování adres v rozsahu 172.25.25.10-20

VPN v konfiguraci viz předchozí příspěvek. Komunikace po TCP, dev TAP, jelikož by se to mělo podle mých informací chovat jako switch. Na 77 48 70 158 : 4048 demo/demo je přístupné demíčko. Kdyby jste se potřebovali kouknout do konfigurace.

Absolutně netuším, kde dělám chybu... POMOOOOOOOC

[ok2slc]

To /30 plaitlo pro starší verze openvpn a navíc v režimu tun. U OpenVPN 2.1 je to už konfoigurovatelné (topology net30/p2p/subnet), pro tap navíc je to automaticky subnet režim.

Tato informace mě docela zaujala a proto jsem ji ihned vyzkoušel. Když jsem nechal aby si adresy pro tunel přiřadilo DHCP libovolně z poolu /24, tak pokud si zcela náhodou nevybral pár ip v masce /30, tak to pokaždé skončilo s hláškou:

There is a problem in your selection of --ifconfig endpoints [local=172.17.0.251, remote=172.17.0.252]. The local and remote VPN endpoints must exist within the same 255.255.255.252 subnet. This is a limitation of --dev tun when used with the TAP-WIN32 driver. Try 'openvpn --show-valid-subnets' option for more info.
Exiting

A to používám poslední release verzi 2.2.2. Takže u TUN to rozhodně nefunguje a pokud chcete přiřazovat ip z DHCP, tak to s největší pravděpodobností bude muset být tak jak to mám vyřešené já a to řazením pools s maskou /30 za sebe s využitím next pool. Pokud máte lepší způsob rád jej uvítám.

Jinak zpět k problému. Začal bych určitě s TUN (IP). TAP jsem zkoušel pouze mezi 2xMK, ale problém je v tom, že server na MK může být buď v Ethernet (TAP) nebo v IP (TUN). Mohu poslat základní konfiguraci jak win klienta tak i MK serveru. Pokud by byla chyba v certifikátech což v případě, že se to spojilo určitě nebude, dá se vyzkoušet pomocí testovacích certifikátů které jsem kdyzi vytvořil pro všeobecné použití. Takže mohu pomoci pouze tak, že nabídnu to co mi funguje a nebudu zkoumat proč jiné řešení nefunguje.

[telleke]

Pokud by tě to moc neobtěžovalo, tak bych byl rád za ukázku funkční konfigurace. Certifikáty budou v pohodě, zkoušel jsem je generovat několikrát a myslím, že úspěšně...

[ok2slc]

Takže Win klient pro TUN:

Kód: Vybrat vše

dev tun
proto tcp-client
remote xxx.xxx.xxx.xxx 1194
ca ca.crt
cert client.crt
key client.key
tls-client
port 1194
ping 15
ping-restart 45
ping-timer-rem
persist-tun
persist-key
mute-replay-warnings
verb 3
cipher AES-256-CBC
auth SHA1
pull
auth-user-pass
;route xxx.xxx.xxx.xxx 255.255.255.0


Routa lze přidávat i bez určení konkrétní brány která bude dynamicky přidělena na základě přidělených ip.
A pro server se mi nechtělo exportovat konfig a proto jen printscreen z winboxu:

[Mic-net]

Hlásím se mezi uživatele DHCP sítě /24 a zatím jsem nezaznamenal problém. (Na druhou stranu VPN spojení jsem využil za ten den co mi funguje jen cca 30 krát.) Jinak osobně verzi OS 5.18 považuji za nestabilní, možná to byla jen náhoda, ale RouterBoard se mi s verzí 5.18 rozsypal a byla nutná úplná pře-instalace na verzi 5.17.

Má funkční konfigurace klienta:

Kód: Vybrat vše

dev tap
proto tcp-client
remote "Má veřejná IP adresa" 1194
ca "C:/Program Files (x86)/OpenVPN/config/ca.crt"
cert "C:/Program Files (x86)/OpenVPN/config/client.crt"
key "C:/Program Files (x86)/OpenVPN/config/client.key"
tls-client
port 1194
ping 15
ping-restart 45
ping-timer-rem
persist-tun
persist-key
mute-replay-warnings
verb 6
auth SHA1
pull
auth-user-pass

PS: DEV TAP z toho důvodu že používám mód ethernet…
PPS: Klient OpenVPN v2.2.2 na MS Windows Vista x64 a MS Windows 7 x64.

[ok2slc]

On ten problém s nutností klient/server v /30 je s největší pravděpodobností opravdu pouze u TUN. TAPu je to asi jedno.