Rychlé HowTo - jak nastavit OpenVPN /bridge, tcp, port 443/

Od rh

Dne 2014-06-06 11:29 Upraveno 2014-07-11 12:50 Hlasů 6

Dobrý den,

já jsem si vytrhal u nastavení zbylé vlasy, tak snad se bude někomu hodit. Případně rozšířím, chtěl jsem hodit do kupy než to zapomenu
Vycházím z článků http://wiki.openwrt.org/inbox/vpn.howto , http://wiki.openwrt.org/doc/howto/vpn.server.openvpn.tap
Pokud si chcete ulejčit práci a nezvládáte třeba bez Midnioght Commanderu, jak instalovat hovadinky navíc se dozvíte tady http://linux.xvx.cz/2014/04/turris-openwrt-configuration.html

Nastavení je pro OpenVPN v bridged módu, tcp na portu 443, pokud chcete jiný port nahraďte jednoiduše od bodu 2. všechen výskyt čísla 443 .o)

1. Není třeba pokud chcete provozovat na standartním portu 1194
editujte /etc/lighttpd/conf.d/ssl-enable.conf

nahradit $SERVER["socket"] == ":443" za $SERVER["socket"] == ":8080" , https web pak pobezi na portu 8080

2. Generování klíčů - jděte do shellu Turrisu

opkg update
opkg install openvpn-easy-rsa

cd /etc/easy-rsa

editujte vars
Volitelně, předzměnte si parametry, ať je pak nemusíte stále vyplňovat

export KEY_COUNTRY="US"
export KEY_PROVINCE="CA"
export KEY_CITY="SanFrancisco"
export KEY_ORG="Fort-Funston"
export KEY_EMAIL="me@myhost.mydomain"

Generování certifikátu

2.1
Volitelně - vyčistí všechny stávající klíče
clean-all

2.2 Vytvořte certifikáty

build-ca
build-dh

2.3 Vytvořte server key
build-key-server server

2.4 Vyutvořte klientský klíč
build-key client

2.5 Zkopírujte důležité soubory do /etc/openvpn /Turris vám vytvoří spíš soubor dh2048.pem, tak s tím počítejete po zbytek howto .) /

cd /etc/easy-rsa/keys
cp ca.crt ca.key dh1024.pem server.crt server.key /etc/openvpn/

3. Editovat /etc/config/firewall a vložit

  config rule
        option target 'ACCEPT'
        option name 'VPN'
        option src 'wan'
        option dest_port '443'
        option proto 'tcp

'

4. Editovat /etc/config/network a vložit zařízení "tap0" do sekce lan

config interface 'lan'
        option ifname 'eth0 eth1 tap0'
        option type 'bridge'
        option proto 'static'
        option netmask '255.255.255.0'
        option ip6assign '60'
        option ipaddr '192.168.55.1'

5. Editovat /etc/config/openvpn

config 'openvpn' 'lan'
        option 'enable' '1'
        option 'tls_server' '1'
        option 'port' '443'
        option 'proto' 'tcp'
        option 'dev' 'tap0'
        option 'ca' '/etc/easy-rsa/keys/ca.crt'
        option 'cert' '/etc/easy-rsa/keys/server.crt'
        option 'key' '/etc/easy-rsa/keys/server.key'
        option 'dh' '/etc/easy-rsa/keys/dh1024.pem'
        option 'server_bridge' '192.168.55.1 255.255.255.0 192.168.55.221 192.168.55.240' # IP adresy: IP adresa Turrisu | Prvni pridelena adresa pro OpenVPN | Posledni pridelena adresa pro OpenVPN
        list 'push' 'dhcp-option DNS 192.168.55.1' # OpenVPN klient bude pouzivat DNS Turrisu
        list 'push' 'redirect-gateway def1' # Tohle nejspis chcete vynechat, jinak vsechen vas traffic potece pres Turris gateway
        option 'client_to_client' '1'
        option 'comp_lzo' 'yes'
        option 'keepalive' '10 120'
        option 'status' '/tmp/openvpn_tap0.status'
        option 'persist_key' '1'
        option 'persist_tun' '1'
        option 'verb' '3'
        option 'mute' '20'

6. Start OpenVPN
/etc/init.d/openvpn start nebo /etc/init.d/openvpn restart

Zajištení spouštení po startu
/etc/init.d/openvpn enable

Restart firewallu
/etc/init.d/firewall restart

7. Konfigurace klienta
Řešil jsem jen pod Windows. Nainstalujte si OpenVPN for Windows
http://openvpn.net/index.php/download/community-downloads.html

Vytvořte konfigurační soubor client.ovpn obsahující

client
tls-client
dev tap
proto tcp
remote IP-SER-VER-U 443 # zde vlozte jmeno nebo IP adresu Vašeho serveru
resolv-retry infinite
nobind
ca ca.crt
cert client.crt
key client.key
mute-replay-warnings
comp-lzo
verb 3
keepalive 10 120
persist-key
persist-tun

Vložte jej Do Program Files\OpenVPN\config #nebo do Program Files(x86)\OpenVPN\config pro 32 bit
spolu se soubory ca.crt, client.crt, client.key, dh1024.pem
které stáhnete z turrisu /etc/easy-rsa/keys/ například pomocí Winscp http://winscp.net/eng/download.php

Od lzita

Dne 2014-07-11 10:14

Výborný návod...pouze ve vars jsem ještě nastavil export KEY_SIZE=1024 ...jinak build-dh nemělo konce :) No a ještě je potřeba dát pozor na to, že příklady jsou pro turris na síti 192.168.55.1.

Od rh

Dne 2014-07-11 13:18

Jeste bych doplnil, jak mi poradil nekdo zde https://www.turris.cz/forum/topic_show.pl?pid=2060;hl=openvpn

Cistejsi reseni je ponechat lighttpd na portu 443, aby nedoslo k znefunkcneni, kdyby NIC poslal nejaky novy konfigurak pro lighttpd
nastavit OpenVPN s defaultnim portem 1194 a definovat firewallové pravidlo, které bude port 443 z WAN přesměrovávat na lokální port 1194

Od mk

Dne 2014-07-14 22:54 Hlasů 1

Skvělý návod, díky. Nevím jak u ostatních, ale já jsem musel po provedení všech kroků restartovat celý router. Nestačilo jen spustit OpenVPN službu a restartovat firewall, jak je v návodu popsáno.

Od michal-kozak

Dne 2014-07-15 06:09

Diky moc za navod.
Krome restartu (nejspise kvuli provedeni zmeny bridgovani v sitovych interface), jak uz MK napsal, tak mam jeste jednu drobnost.

Na klienta neni nutne kopirovat dh1024.pem (resp. dh2048.pem).

Od valherru

Dne 2014-12-14 13:38

Super návod...jen mi to podle něj zaboha nechce jet :/ Není potřeba na firewallu ještě někde něco nastavit? Routování portu nebo tak něco? Z vnitřní sítě se na tu VPN připojím, ale zvenku vůbec :/ Jedinou změnu co jsem udělal, tak že jsem to nechal na standardním portu 1194.

Od mimi.vx

Dne 2015-02-22 08:34

otevrit mna firewallu port 1194 a nebo presmerovat z venku 443 na 1194. A pripojovat se na 443

Od Ondřej Caletka (>>>)

Dne 2015-02-26 16:03 Hlasů 1

> Nemá někdo příklad s TUN rozhraním ?

Takhle mám nastavenu TUN VPN pro androidího klienta já:


/etc/config/openvpn:

config openvpn 'turris_server'
        option enabled '1'
        option port '1194'
        option proto 'udp6'
        option dev 'tunvpn'
        option ca '/etc/easy-rsa/keys/ca.crt'
        option cert '/etc/easy-rsa/keys/turris.crt'
        option key '/etc/easy-rsa/keys/turris.key'
        option dh '/etc/openvpn/dh2048.pem'
        option topology 'subnet'
        option server '192.168.179.0 255.255.255.0'
        option server_ipv6 '2001:db8:dead:beef::1/64'
        option ifconfig_pool_persist '/tmp/ipp.txt'
        list push 'redirect-gateway def1'
        list push 'route-ipv6 2000::/3'
        option keepalive '10 120'
        option persist_key '1'
        option persist_tun '1'
        option status '/tmp/openvpn-status.log'
        option verb '3'

/etc/config/network:

config interface 'turrisvpn'
        option ifname 'tunvpn'
        option proto 'static'
        option ipaddr '192.168.179.1'
        option netmask '255.255.255.0'
        option ip6assign '64'
        option ip6hint 'beef'

A nakonec v /etc/config/firewall přidat VPN rozhraní do zóny LAN a povolit příchozí provoz:


config zone
        option name 'lan'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'
        option network 'lan turrisvpn'

config rule
        option name 'OpenVPN'
        option src 'wan'
        option proto 'udp'
        option dest_port '1194'
        option target 'ACCEPT'

Od lcerny

Dne 2015-02-26 21:38

Děkuji za pomoc.
VPN se naváže, klient dostane IP ze subnetu pro VPN, ale nejde ani ping na IP vpn serveru.

Je nutno ještě pořešit routování z VPN <-> LAN nebo stačí zahrnutí vpn rozhraní do zóny lan ?

Od Ondřej Caletka (>>>)

Dne 2015-02-26 22:34

> Je nutno ještě pořešit routování z VPN <-> LAN nebo stačí zahrnutí vpn rozhraní do zóny lan ?
>

Když jej zahrnete do LAN zóny a v LAN zóně máte povolené forwardování, tak to stačí. Zkusil bych se podívat TCPdumpem na rozhraní VPN, jestli tam opravdu něco teče od klienta.

Od lcerny

Dne 2015-03-06 10:59

Tak TCPDump na vpn adapteru neukazuje žádný provoz od klienta :-(
Budu to muset projít ještě jednou a možná změnit adresaci lokální LAN. Mám sice veřejnou IP, ale SNAT od ISP přes privátní subnety 192.168.xx.xx ... navíc klient je připojen přes 3G modem od TMobile a tam je také privátní IP 10.xx.xx.xx

MOC díky za pomoc a přeji hezký den.

Od Ondřej Caletka (>>>)

Dne 2015-03-06 15:57

Jenom pro jistotu: Je vám jasné, že pro routed VPNku je nutné použít jiný rozsah IP adres, než ten, který používáte na LAN síti? A samozřejmě i jiný od všech ostatních privátních adres, které v routeru máte.

Od lcerny

Dne 2015-03-09 11:11

Ano, pro lokální LAN mám 192.168.2.x, pro VPN subnet jsem použil 192.168.254.x ...

Od Elty

Dne 2015-11-14 15:29

Pokouším se to marně rozchodit (jsem ale naprostý začátečník a vzhledem k potřebě iOS zařízení potřebuji tedy rozchodit tuto variantu). Jakmile přidám "option network 'lan turrisvpn'", tak mi po restartu firewallu začne psát chybovou hlášku:

Warning: Section @zone[2] (lan) cannot resolve device of network 'lan turrisvpn'

a úplně přestane fungovat internet. Také netuším, proč je jednou v návodu 192.168.179.0 a jinde 192.168.179.1. Šlo by to nějak okomentovat?

Od Elty

Dne 2015-11-15 19:55

Už se konečně částečně podařilo, on tam v návodu chybí jeden příkaz, který je potřeba také dát:

/etc/init.d/network reload

VPN jako taková je funkční, dojde k připojení z mobilu, ale bohužel není vidět na cokoliv uvnitř (zřejmě díky jiné síti) a také provoz z telefonu jako takový nejde přes VPN (pokud se dá třeba www.mojeip.cz, tak to vypíše IP mobilního připojení a nikoliv veřejnou IP Turrisu).

Jde to nějak pořešit?

Klient je nastaven takto:

dev tun
proto udp
verb 3
ca ca.crt
cert client.crt
key client.key
client
remote IP-TURRISU 1194
nobind
auth-nocache
script-security 2
persist-key
persist-tun
user nobody
group nogroup

Od Elty

Dne 2015-11-17 16:13 Upraveno 2015-11-17 16:26

Další posun je takový, že VPN se připojí.

Z klienta (připojen mobilním připojením přes OpenVPN na Turris):
- jde PING na seznam.cz
- jde PING na IP adresu VPN rozhraní brány (Turris)
- jde PING na IP adresu LAN rozhraní brány (Turris)
- jde PING na IP PC na LAN Turrise
- jde PING na IP kameru na LAN Turrise
- NSLOOKUP s příznakem d (bez DNS) na 8.8.8.8 jde přes VPN a Turrisem ven
- NSLOOKUP bez příznaku na seznam.cz jde přes VPN a Turrisem ven
- NEJDE web (internet) a ani web rozhraní IP kamery

Z Turrise:
- jde PING na IP adresu klienta
- je plně funkční z hlediska přístupu na internet

Z PC na LAN síti Turrise:
- jde PING na IP klienta na VPN
- jsou přístupné sdílené složky na klientovi VPN
- je plně funkční z hlediska přístupu na web rozhraní IP kamery
- je plně funkční z hlediska přístupu na internet

Podařilo by se tuto záhadu někomu rozlousknout? Už netuším, na co by se dalo zaměřit.

Od m-dv.mojeid.cz/

Dne 2015-09-18 09:31

Zdravím,
mám nový Turris a chtěl bych na něm rozjet VPN, abych se mohl připojit k NAS a pustit si TV, kterou mohu sledovat od poskytovatele.
Konfiguraci jsem provedl podle návodu, ukážu proto pouze změny.
Na Turrisu:
NETWORK
config interface 'lan'
option ifname 'eth0 eth1 tap0'
option force_link '1'
option type 'bridge'
option proto 'static'
option ipaddr '192.168.1.1'
option netmask '255.255.255.0'
option ip6assign '60'

FIREWALL beze změny oproti návodu

OPENVPN
list 'push' 'dhcp-option DNS 192.168.1.1'
option 'server_bridge' '192.168.1.1 255.255.255.0 192.168.1.25 192.168.1.30'
option 'dh' '/etc/easy-rsa/keys/dh2048.pem'

Na klientském PC:
stejná konfigurace jako v návodu
IP jsem změnil na svoji veřejnoou xx.xxx.x.xxx 443

Při pokusu o připojení mi program vypíše:
Fri Sep 18 10:16:55 2015 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Fri Sep 18 10:16:55 2015 Socket Buffers: R=[65536->65536] S=[65536->65536]
Fri Sep 18 10:16:55 2015 Attempting to establish TCP connection with [AF_INET]moje_verejna_ip:443 [nonblock]
Fri Sep 18 10:16:55 2015 MANAGEMENT: >STATE:1442564215,TCP_CONNECT,,,
Fri Sep 18 10:16:56 2015 TCP connection established with [AF_INET]moje_verejna_ip:443
Fri Sep 18 10:16:56 2015 TCPv4_CLIENT link local: [undef]
Fri Sep 18 10:16:56 2015 TCPv4_CLIENT link remote: [AF_INET]moje_verejna_ip:443
Fri Sep 18 10:16:56 2015 MANAGEMENT: >STATE:1442564216,WAIT,,,
Fri Sep 18 10:16:56 2015 Connection reset, restarting [0]
Fri Sep 18 10:16:56 2015 SIGUSR1[soft,connection-reset] received, process restarting
Fri Sep 18 10:16:56 2015 MANAGEMENT: >STATE:1442564216,RECONNECTING,connection-reset,,
Fri Sep 18 10:16:56 2015 Restart pause, 5 second(s)

Mohl by mi někdo pomoci? Linuxu nerozumím, ale VPN by byla velmi příjemná. Díky předem

Od m-dv.mojeid.cz/

Dne 2015-09-18 22:15

Odpovím si sám. Stačilo změnit port z 443 na jiný.

Od Hrujda

Dne 2015-09-23 14:50

Nastavil jsem vše podle tohoto návodu, připojím se, internet jde, ale do vnitřní sítě (192.168.1.1 - turris + ve Windows síť - nezobrazí mi zařízení v LAN) to nefunguje... Co s tém? :/

Od kosi123

Dne 2016-01-22 19:05

Problém je nejspíše v tom, že při připojení přes openvpn nevyužívám DNS turrisu, ale jakmile do konfigurace openvpn přidám řádek: list push 'dhcp-option DNS 192.168.55.1' - kde 192.168.55.1 je IP turrisu, tak mi ihned přestane fungovat internet přes openvpn (klient se k openvpn připojí, ale nefunguje internet). Měl by někdo nějaký nápad? Děkuji

Od Ondřej Caletka (>>>)

Dne 2016-01-22 21:43

A máte nastavený firewall na Turrisu tak, aby pouštěl DNS dotazy z VPN k DNS serveru?

Od kosi123

Dne 2016-01-22 21:48

Dobrý večer, nic takového jsem nenastavoval, myslel jsem, že stačí, že mám vpn zahrnuto do zóny lan. Byl bych moc vděčný za pomoc s nastavení firewallu. Děkuji

Od Ondřej Caletka (>>>)

Dne 2016-01-23 11:40

Ano, to by stačit mělo. Pak nezbývá než zjistit na VPN klientovi, proč nedostává DNS odpovědi.

Od kosi123

Dne 2016-01-23 11:56

Vůbec nevím v čem by mohl být problém a jak jej nalézt, z VPN klientů se dostanu na služby v lan, to samé z lan se dostanu na VPN klienty. Toto je konfigurace mého serveru:

config openvpn 'turris_server'
option enabled '1'
option dev 'tun'
option tun-ipv6 '1'
option proto 'udp6'
option port '1194'
option keepalive '10 1200'
option ca '/etc/openvpn/ca.crt'
option cert '/etc/openvpn/server.crt'
option key '/etc/openvpn/server.key'
option dh '/etc/openvpn/dh1024.pem'
option server '192.168.100.0 255.255.255.0'
option remote-cert-tls 'server'
option comp-lzo
option verb '3'
option topology 'subnet'
option ifconfig_pool_persist '/etc/openvpn/ipp.txt'
option persist_key '1'
option persist_tun '1'
option status '/tmp/openvpn-status.log'
option server_ipv6 '2001:xx:5xx2:beef::1/64'
list push 'route-ipv6 2000::/3'
list push 'redirect-gateway def1'
list push 'route 192.168.55.0 255.255.255.0'
#list push 'dhcp-option DNS 192.168.55.1'

Jakmile odkomentuji poslední řádek, tak přestane fungovat internet, služby v lan normálně fungují.

Toto je nastavení klientů:

client
dev tun
proto udp
remote 178.255.xx.xx 1194
remote 192.168.55.1 1194
nobind
ns-cert-type server
verb 3
redirect-gateway def1
auth-nocache
script-security 2
persist-key
persist-tun

<ca>
-----BEGIN CERTIFICATE-----
MxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxD
VQQGEwJDWjELMAkGA1UECBMCQ0IxEDAOBgNVBAcTB0J1ZHdlaXMxFTATBgNVBAoT
DEZvcnQtRnVxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxGDAW
BgNVBAMTD0ZvcnQtRnVuc3RvbiBDQTEQMA4GA1UEKRMHRWFzeVJTQTEhMB8GCSqG
SIb3DxDTI1xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
MTxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxAwDgYD
VxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxdFYXN5
UlNBMSEwHwYJKoZIhvcNAQkBFhJtZUBteWhvc3QubXlkb21haW6CCQDyL4eCQCIc
mzAMBgNVHRMEBTADAQH/MA0GCSqGSIb3DQEBCwUAA4GBADWS1ZzYSHYfuWZGbcOh
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxoIt2
ahRxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxOfH
9kxjgieVRyvXRQokTNmANyrh
-----END CERTIFICATE-----
</ca>

<cert>
-----BEGIN CERTIFICATE-----
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxQ1ox
CzAJBgNVBAgTAkNCMRAwDgYDVQQHEwdCdWR3ZWlzMRUwEwYDVQQKEwxGb3J0LUZ1
bxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
R2VuZXJhdGVkIENlcnRpZmljYXRlMB0GA1UdDgQWBBR3p/lPNJExDwrCcMi6lVDv
Ks2LxTCxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxDCB
sTELMAkGA1UEBhMCQ1oxCzAJBgNVBAgTAkNCMRAwDgYDVQQHEwdCdWR3ZWlzMRUw
ExuYWxVxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
bmxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxhc3lSU0Ex
ITAfBxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxMG
A1xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxsFAAOB
gQDNABxMM8pzireqe7aHEPWSs/1+PNYrNDfJQFzymo055P8jfT0qwZI/gAKot5X3
KFlxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxuWJ2n
nxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxBeQ==
-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN ENCRYPTED PRIVATE KEY-----
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
kVAIzckl4rMexxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx/gJEFtjBfFX
k0xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxQMX0W/
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
ryzx0R4yC1TkRP3L4k+q+JCyORnSWmbS2/AULSAPeOMl7+kCO31e+kg/pFSG96/0
sXxTg5Gw4xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxCCgCWFl4
-----END ENCRYPTED PRIVATE KEY-----
</key>

key-direction 1

Samozřejmě jsem upravil klíče a veřejnou IP

Od Ondřej Caletka (>>>)

Dne 2016-01-23 13:10

Aha, možná už tuším. Zkuste přehodit dhcp-option DNS 192.168.55.1 za dhcp-option DNS 192.168.100.1.

Od kosi123

Dne 2016-01-23 15:06

Děkuji, problém vyřešen :-)

Od kosi123

Dne 2016-02-21 13:09

myslím si, že by to mělo stačit všude změnit + restart firewall, network a openvpn... nezapomněl jste provést změnu i na klientovi?

Od Ondřej Caletka (>>>)

Dne 2016-02-22 15:38

Zkuste nastavit na straně serveru explicitní IP adresu, na které má VPN koncentrátor poslouchat. Pokud tam necháte anonymní adresu 0.0.0.0, je možné, že router zvolí pro UDP odpověď jinou adresu, než na kterou se spojuje klient a ke spojení pak nedojde. Zvlášť pokud VPN testujete z vnitřní sítě.

Od m-dv.mojeid.cz/

Dne 2016-02-22 16:16

toto zajistím přidáním řádku
local mo.je.ip.adresa

do souboru openvpn na routeru? Díky

Od Ondřej Caletka (>>>)

Dne 2016-02-22 16:43

Ano. Teď koukám ještě do své konfigurace a volbu local tam nemám, ale mám tam volbu


        option multihome '1'

která by měla zajistit stejný efekt.

Od m-dv.mojeid.cz/

Dne 2016-02-23 11:16

Zdravím, přidal jsem multihome do konfigurace, provedl změnu na port 1194 a port na UDP, poté jsem restartoval router. Nyní se na VPN připojím, ale nejsem schopen se připojit na router (ping na 192.168.1.1 nefunguje a NAS také nevidím). Nevíte proč?

Od m-dv.mojeid.cz/

Dne 2016-02-26 08:36 Upraveno 2016-02-26 08:43

Ještě dodám, že se zkouším připojit jak z LAN, tak z internetu (město 200km daleko).

A přidám moji konfiguraci
openvpn:
config 'openvpn' 'lan'
option 'enable' '1'
option 'tls_server' '1'
option 'port' '1194'
option 'proto' 'udp'
option 'multihome' '1'
option 'dev' 'tap0'
option 'ca' '/etc/easy-rsa/keys/ca.crt'
option 'cert' '/etc/easy-rsa/keys/server.crt'
option 'key' '/etc/easy-rsa/keys/server.key'
option 'dh' '/etc/easy-rsa/keys/dh2048.pem'
option 'server_bridge' '192.168.1.1 255.255.255.0 192.168.1.25 192.168.1.30
list 'push' 'dhcp-option DNS 192.168.1.1'
option 'client_to_client' '1'
option 'comp_lzo' 'yes'
option 'keepalive' '10 120'
option 'status' '/tmp/openvpn_tap0.status'
option 'persist_key' '1'
option 'persist_tun' '1'
option 'verb' '3'
option 'mute' '20'

network
config interface 'lan'
option ifname 'eth0 eth1 tap0'
option force_link '1'
option type 'bridge'
option proto 'static'
option ipaddr '192.168.1.1'
option netmask '255.255.255.0'
option delegate '0'

firewall
config rule
option target 'ACCEPT'
option name 'VPN'
option src 'wan'
option dest_port '1194'
option proto 'udp'

Od Ondřej Caletka (>>>)

Dne 2016-02-26 10:30 Hlasů 1

Konfigurace vypadá v pořádku. Snad jen zkontrolujte, jestli se rozhraní tap0 skutečně přidalo do bridge br-lan: brctl show br-lan.

Od m-dv.mojeid.cz/

Dne 2016-02-26 12:49

Jo, to bylo ono, prostý restart network vyřešilo problém. Díky mockrát

Od m-dv.mojeid.cz/

Dne 2016-02-22 16:03 Upraveno 2016-02-22 16:15

Díky za reakce, bohužel, k routeru se nedostanu dřív než ve čtvrtek. Network jsem nerestartoval, v tom by mohl být zakopaný pes. Jak nastavím pevnou adresu na které poslouchá koncentrátor? Díky

Od DracoAn

Dne 2016-03-22 14:43

Dobrý den,

nastavil jsem vše podle návodu, ale pro port 1194. Když dám připojit na vzdáleném klientském PC, tak mě to vykopne s touto hláškou:

Thu Mar 10 10:48:15 2016 OpenVPN 2.3.10 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Feb  1 2016
Thu Mar 10 10:48:15 2016 Windows version 6.2 (Windows 8 or greater)
Thu Mar 10 10:48:15 2016 library versions: OpenSSL 1.0.1r  28 Jan 2016, LZO 2.09
Enter Management Password:
Thu Mar 10 10:48:15 2016 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Thu Mar 10 10:48:15 2016 Need hold release from management interface, waiting...
Thu Mar 10 10:48:15 2016 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Thu Mar 10 10:48:16 2016 MANAGEMENT: CMD 'state on'
Thu Mar 10 10:48:16 2016 MANAGEMENT: CMD 'log all on'
Thu Mar 10 10:48:16 2016 MANAGEMENT: CMD 'hold off'
Thu Mar 10 10:48:16 2016 MANAGEMENT: CMD 'hold release'
Thu Mar 10 10:48:16 2016 Socket Buffers: R=[65536->65536] S=[65536->65536]
Thu Mar 10 10:48:16 2016 Attempting to establish TCP connection with [AF_INET]MOJE IP:1194 [nonblock]
Thu Mar 10 10:48:16 2016 MANAGEMENT: >STATE:1457603296,TCP_CONNECT,,,
Thu Mar 10 10:48:26 2016 TCP: connect to [AF_INET]MOJE IP:1194 failed, will try again in 5 seconds: Systém se pokusil připojit jednotku k adresáři na připojené jednotce.

Neví někdo kde je problém?

Od kosi123

Dne 2016-03-30 21:40 Upraveno 2016-03-31 20:18

Dobrý den, máte prosím někdo funkční openvpn pro iOS. Na androidu i na windows vše funguje bez problémů. Ale od dnešního dne mám doma první ios zařízení. Iphone se bez problémů k turrisu připojí, při testu když zkusín napříkalad http://www.mojeip.cz/, tak mám IP od turrisu, když zkusím http://www.test-ipv6.cz/, tak mám bez problémů přidělenu IPV6 a vše funguje. Problém je, že když zadám do prohlížeče ip turrisu, tak se nedostanu do luci ani forise (dostanu pouze odpověď web 192.168.55.1 momentálně není dostupný, err_connection_failed) Přes aplikaci mi nefunguje ani ssh. Když se připojím na wifi, tak vše i bez VPN funguje. Nevíte, kde by mohl být problém.

Konfigurační soubor pro iphone je:
client
dev tun
proto udp
remote 178.xxx.xxx.xx3 1194
nobind
ns-cert-type server
verb 3
auth-nocache
script-security 2
persist-key
persist-tun

<ca>
-----BEGIN CERTIFICATE-----
MI.........................................................
-----END CERTIFICATE-----
</ca>

<cert>
-----BEGIN CERTIFICATE-----
MI.......................................
-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN ENCRYPTED PRIVATE KEY-----
Ypy................................xSYj0TceKUSDMrzX
-----END ENCRYPTED PRIVATE KEY-----
</key>

key-direction 1

konfugurace openvpn v turrisu:

config openvpn 'turris_server'
option enabled '1'
option dev 'tun'
option tun-ipv6 '1'
option proto 'udp6'
option port '1194'
option keepalive '10 1200'
option ca '/etc/openvpn/ca.crt'
option cert '/etc/openvpn/server.crt'
option key '/etc/openvpn/server.key'
option dh '/etc/openvpn/dh1024.pem'
option server '192.168.100.0 255.255.255.0'
option remote-cert-tls 'server'
option comp-lzo
option verb '3'
option topology 'subnet'
option ifconfig_pool_persist '/etc/openvpn/ipp.txt'
option persist_key '1'
option persist_tun '1'
option status '/tmp/openvpn-status.log'
option server_ipv6 '2001:470:....:beef::1/64'
list push 'route-ipv6 2000::/3'
list push 'redirect-gateway def1'
list push 'dhcp-option DNS 192.168.100.1'
list push 'route 192.168.55.0 255.255.255.0'
option multihome '1'

Mnohokrát děkuji za pomoc