Forum Turris
Fórum Turris Nápověda

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.

Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Nahoru Téma Majitelé routerů / Technická podpora / Openvpn / firewall
- - Od crown Dne 2015-10-22 13:47
Nastavil jsem si na Turrisu OpenVPN server podle instrukci zde https://www.turris.cz/forum/topic_show.pl?tid=339
Kdyz se snazim pripojit z venku, pise mi to:

Thu Oct 22 14:40:18 2015 TCP: connect to [AF_INET]serveripadresa:443 failed, will try again in 5 seconds: Connection refused

pritom ve firewallu je pravidlo:
/etc/config/firewall

  config rule
        option target 'ACCEPT'
        option name 'VPN'
        option src 'wan'
        option dest_port '443'
        option proto 'tcp'

Poradili byste mi, jak zjistit, proc je odmitnuto?

Diky
Nadřazený - - Od fojtp Dne 2015-10-22 14:20
a sluzba bezi a posloucha na portu 443?
Nadřazený - - Od crown Dne 2015-10-22 16:13
To me taky mohlo napadnout - zrejme nebezi.
ps | grep vpn nic nenajde

/etc/init.d/openvpn start

Loguje nekam openvpn? Potreboval bych videt, co se mu nelibi.

Config obsahuje toto, zmenil jsem jen cesty k certifikatum a IP rozsah.

/etc/config/openvpn

config 'openvpn' 'lan'
        option 'enable' '1'
        option 'tls_server' '1'
        option 'port' '443'
        option 'proto' 'tcp'
        option 'dev' 'tap0'
        option 'ca' '/etc/easy-rsa/keys/ca.crt'
        option 'cert' '/etc/easy-rsa/keys/server.crt'
        option 'key' '/etc/easy-rsa/keys/server.key'
        option 'dh' '/etc/easy-rsa/keys/dh1024.pem'
        option 'server_bridge' '192.168.55.1 255.255.255.0 192.168.55.221 192.168.55.240' # IP adresy: IP adresa Turrisu | Prvni pridelena adresa pro OpenVPN | Posledni pridelena adresa pro OpenVPN
        list 'push' 'dhcp-option DNS 192.168.55.1' # OpenVPN klient bude pouzivat DNS Turrisu
        list 'push' 'redirect-gateway def1' # Tohle nejspis chcete vynechat, jinak vsechen vas traffic potece pres Turris gateway
        option 'client_to_client' '1'
        option 'comp_lzo' 'yes'
        option 'keepalive' '10 120'
        option 'status' '/tmp/openvpn_tap0.status'
        option 'persist_key' '1'
        option 'persist_tun' '1'
        option 'verb' '3'
        option 'mute' '20'


ted zkousim najit priklad fungujiciho configu, abych mohl porovnat.
Nadřazený - - Od fojtp Dne 2015-10-23 08:33
na portu 443/TCP bezi defaultne lighttpd, coz by mohl byt ten problem proc openvpn nenabehne

- bud poresit lighttpd
- nebo presunout openvpn na jiny port nebo protokol (udp)
Nadřazený - - Od crown Dne 2015-10-23 09:05
Zkusil jsem prenastavit na 1194. Zatim nic. Zkousim tedy pustit rucne.

Kdyz /etc/config/openvpn obsahuje config openvpn lan

root@turris:~# openvpn /etc/config/openvpn
Options error: In /etc/config/openvpn:21: Error opening configuration file: openvpn
Use --help for more information.


Kdyz to zakomentuju a dalsi radka je option enable 1
tak nahlasi

root@turris:~# openvpn /etc/config/openvpn
Options error: Unrecognized option or missing parameter(s) in /etc/config/openvpn:24: option (2.3.6)


V logu nic neni, to je prazdny soubor
Nadřazený - - Od Ondřej Caletka (>>>) Dne 2015-10-23 09:39

> root@turris:~# openvpn /etc/config/openvpn
> Options error: In /etc/config/openvpn:21: Error opening configuration file: openvpn
> Use --help for more information.


Takhle to nefunguje. Konfigurační soubor /etc/config/openvpn je ve formátu UCI, ze kterého se spouštěcím skriptem vygeneruje konfigurační soubor v nativním formátu OpenVPN na cestě /var/etc/openvpn-*.conf.

Jinak rozhodně doporučuji provozovat OpenVPN na UDP, vyhnete se tím problémům s nefunkčním řízením toku kvůli problému zvanému TCP-in-TCP.
Nadřazený - - Od crown Dne 2015-10-23 15:55
Je nejaky zpusob, jak zjistit, proc to nefunguje? Po restartu se proste nic nestane a log v /tmp/openvpn* je prazdny. Potrebuju nejak nakopnout.

Ohledne portu, chci to pak nastavit na 1194 UDP a zaroven 443 tcp (na mnoha wifi sitich jsou porty omezeny na 80 a 443 + 80 jede pres proxy)
Nadřazený - - Od Ondřej Caletka (>>>) Dne 2015-10-26 12:57
A když službu OpenVPN nastartujete ručně příkazem /etc/init.d/openvpn start tak se stane co? To už by mělo přinejmenším vygenerovat konfigurační soubor a zapsat něco do logu.
Nadřazený - - Od crown Dne 2015-10-30 17:30
Kyz to udelam, tak vidim, ze se zmenilo modification date souboru /tmp/openvpn-status.log ale delka souboru je nula. Taky tam vidim soubor /tmp/openvpn_tap0.status (delka taktez nula, modifikace ted)

V adresari /etc/openvpn vygenerovany soubor nevidim


root@turris:/etc/config# cat openvpn
config 'openvpn' 'lan'
option 'enable' '1'
option 'tls_server' '1'
option 'port' '1194'
option 'proto' 'tcp'
option 'dev' 'tap0'
option 'ca' '/etc/openvpn/ca.crt'
option 'cert' '/etc/openvpn/server.crt'
option 'key' '/etc/openvpn/server.key'
option 'dh' '/etc/openvpn/dh1024.pem'
option 'server_bridge' '10.0.0.138 255.255.255.0 10.0.0.10 10.0.0.50' # IP adresy: IP adresa Turrisu | Prvni pridelena adresa pro OpenVPN | Posledni pridelena adresa pro OpenVPN
list 'push' 'dhcp-option DNS 10.0.0.138' # OpenVPN klient bude pouzivat DNS Turrisu
list 'push' 'redirect-gateway def1' # Tohle nejspis chcete vynechat, jinak vsechen vas traffic potece pres Turris gateway
option 'client_to_client' '1'
option 'comp_lzo' 'yes'
option 'keepalive' '10 120'
option 'status' '/tmp/openvpn_tap0.status'
option 'persist_key' '1'
option 'persist_tun' '1'
option 'verb' '3'
Nadřazený - - Od Ondřej Caletka (>>>) Dne 2015-10-31 18:06

> V adresari /etc/openvpn vygenerovany soubor nevidim


Ten soubor se vygeneruje do /var/etc/. V logu /var/log/messages bude určitě napsáno, proč se služba OpenVPN ukončila.
Nadřazený - Od crown Dne 2015-11-05 19:05
Super dekuju moc za pomoc :-) Ted uz vim, kde priste hledat logy.

Soubor se vygeneroval

root@turris:/tmp/etc# cat openvpn-lan.conf
client-to-client
persist-key
persist-tun
tls-server
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
comp-lzo yes
dev tap0
dh /etc/openvpn/dh1024.pem
keepalive 10 120
key /etc/openvpn/server.key
mute 20
port 1194
proto tcp
server-bridge 10.0.0.138 255.255.255.0 10.0.0.10 10.0.0.50
status /tmp/openvpn_tap0.status
verb 3
push dhcp-option DNS 10.0.0.138
push redirect-gateway def1


V logu jsem nasel chybu (2006D080 znamena neexistujici soubor). Opravil jsem si nazev souboru v configu

2015-10-30T17:27:08+01:00 notice openvpn(lan)[27140]: OpenVPN 2.3.6 powerpc-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Sep 14 2015
2015-10-30T17:27:08+01:00 notice openvpn(lan)[27140]: library versions: OpenSSL 1.0.2d 9 Jul 2015, LZO 2.08
2015-10-30T17:27:08+01:00 warning openvpn(lan)[27140]: NOTE: when bridging your LAN adapter with the TAP adapter, note that the new bridge adapter will often take on its own IP address that is different from what the LAN adapter was previously set to
2015-10-30T17:27:08+01:00 err openvpn(lan)[27140]: Cannot open /etc/openvpn/dh1024.pem for DH parameters: error:02001002:lib(2):func(1):reason(2): error:2006D080:lib(32):func(109):reason(128)
2015-10-30T17:27:08+01:00 notice openvpn(lan)[27140]: Exiting due to fatal error


a ted uz to vypada ok

2015-11-05T19:02:49+01:00 notice openvpn(lan)[24618]: OpenVPN 2.3.6 powerpc-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Sep 14 2015
2015-11-05T19:02:49+01:00 notice openvpn(lan)[24618]: library versions: OpenSSL 1.0.2d 9 Jul 2015, LZO 2.08
2015-11-05T19:02:49+01:00 warning openvpn(lan)[24618]: NOTE: when bridging your LAN adapter with the TAP adapter, note that the new bridge adapter will often take on its own IP address that is different from what the LAN adapter was previously set to
2015-11-05T19:02:49+01:00 notice openvpn(lan)[24618]: Diffie-Hellman initialized with 2048 bit key
2015-11-05T19:02:49+01:00 notice openvpn(lan)[24618]: Socket Buffers: R=[87380->131072] S=[16384->131072]
2015-11-05T19:02:49+01:00 notice openvpn(lan)[24618]: TUN/TAP device tap0 opened
2015-11-05T19:02:49+01:00 notice openvpn(lan)[24618]: TUN/TAP TX queue length set to 100
2015-11-05T19:02:49+01:00 notice openvpn(lan)[24618]: Listening for incoming TCP connection on [undef]
2015-11-05T19:02:49+01:00 notice openvpn(lan)[24618]: TCPv4_SERVER link local (bound): [undef]
2015-11-05T19:02:49+01:00 notice openvpn(lan)[24618]: TCPv4_SERVER link remote: [undef]
2015-11-05T19:02:49+01:00 notice openvpn(lan)[24618]: MULTI: multi_init called, r=256 v=256
2015-11-05T19:02:49+01:00 notice openvpn(lan)[24618]: IFCONFIG POOL: base=10.0.0.10 size=41, ipv6=0
2015-11-05T19:02:49+01:00 notice openvpn(lan)[24618]: MULTI: TCP INIT maxclients=1024 maxevents=1028
2015-11-05T19:02:49+01:00 notice openvpn(lan)[24618]: Initialization Sequence Completed
Nadřazený - Od crown Dne 2015-11-05 21:34
A uz to krasne funguje. Ted si jeste budu hrat s porty.
Nahoru Téma Majitelé routerů / Technická podpora / Openvpn / firewall

Powered by mwForum 2.29.3 © 1999-2013 Markus Wichitill