χαίρεται. μια μικρή βοήθεια στην υλοποίηση παρακαλώ.
θέλω να συνδέσω 3 σημεία Α,Β,Γ με openvpn μεταξύ τους και το ένα δίκτυο να μπορεί να δει τα πάντα. Σε κάθε σημείο υπάρχει ένα raspberry όπου θα παίζει το ρόλο του openvpn client/server. Τα routers σε κάθε σημείο είναι του ΟΤΕ (speedport). η τοπολογία είναι ως εξής:
-Α έχει dsl με public ip και δίκτυο 192.168.1.0/24. εδώ είναι ο server και παίζει με dyndns
-Β έχει dsl με public ip και δίκτυο 192.168.2.0/24
-Γ έχει 3g και παίρνει ΙΡ 10.23.34.0/24 ΝΑΤ. Το LAN εδώ είναι 192.168.3.0/24
αυτή την στιγμή χρησιμοποιώ στο σημείο Α openvpn όπου μου δημιουργεί κλειδιά και έτσι συνδέω όλες τις android συσκευές μου στο δίκτυο μου.
έχω δοκιμάσει να φτιάξω ένα κλειδί για το σημείο Β ώστε ο Β να συνδεθεί ως client. Το έχω βάλει στο raspberry B και το έχω τρέξει. Βλέπω να γίνεται connect αλλά δεν μπορώ να δω κανέναν PC από το ένα δίκτυο στο άλλο. Το raspberry στο σημείο Β βγαίνει με την ΙΡ του σημείου Α. Άρα έχω συνδεθεί σωστά.
Το ίδιο συμβαίνει και στο σημείο Γ.
Το θέμα είναι γιατί τα pcs του Α δεν βλέπουν τα pcs του Β,Γ και το αντίθετο?
Εμφάνιση 1-15 από 18
Θέμα: OpenVPN 3 σημείων
-
19-09-17, 12:20 OpenVPN 3 σημείων #1
-
19-09-17, 13:46 Απάντηση: OpenVPN 3 σημείων #2
Θα πρέπει να ορισθούν κανόνες static routes, από 2 σε κάθε router προς την ΙΡ που έχει ο VPN (server ή client) που συνδέεται πάνω του, προς τα άλλα 2 LANs.
Π.χ. στον Router-A ορίζεις 2 κανόνες, έναν κανόνα προς το δίκτυο Β και τον άλλον προς το Γ, με αποδέκτη την ΙΡ του VPN server.
Στον Router-Β ορίζεις 2 κανόνες, έναν κανόνα προς το δίκτυο Α και τον άλλον προς το Γ, με αποδέκτη την ΙΡ του VPN client. Αντίστοιχα κάνεις και στον Router-Γ.
Επίσης πρέπει να ορισθούν αντίστοιχοι κανόνες στον VPN server.
Δες σχετικές πληροφορίες εδώ, εδώ κι ένα παράδειγμα εδώ.
-
19-09-17, 15:30 Απάντηση: OpenVPN 3 σημείων #3
Static routes στα router του οτε δεν έχει νόημα καθώς όλα τα πακέτα που φεύγουν από το openvpn είναι κρυπτογραφημένα και δεν έχουν στο πεδίο τους ip εσωτερικού δικτύου, το θέμα είναι ο client να έχει λάβει σωστό routing για το απομακρυσμένο υποδίκτυο και ο server να επιτρέπει την κίνηση . Περισσότερο για πρόβλημα firewall/ routing του openvpn μου φαίνεται .
Θα χρειαστείς κάτι παρόμοιο με αυτό
Κώδικας:/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE /sbin/iptables -A FORWARD -i eth0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT /sbin/iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
Καθώς να σιγουρευτείς ότι στα conf υπάρχουν τα σωστά push για τα υποδίκτυα .The 3 most dangerous things in the world are a computer technician with a software patch, a programmer with a screwdriver and a customer with an idea....
Εγκατάσταση Ubuntu και Joomla
-
19-09-17, 15:44 Απάντηση: OpenVPN 3 σημείων #4
Είναι 3 δίκτυα, σε διαφορετικό υποδίκτυο το καθένα. Πως γνωρίζει π.χ. ο router-Α ότι πρέπει να προωθήσει τα πακέτα προς το VPN, που προορίζονται σε ένα από τα άλλα δίκτυα;
Χωρίς static routes (που αυτή ακριβώς είναι η δουλειά τους) η μόνη επικοινωνία είναι μεταξύ των 2 VPN συσκευών.
Η οδηγίες του OpenVPN, είναι ξεκάθαρες, "If you are not running openvpn on the router for each lan, you have some more routes to add. This diagram explains it pretty well".
Και είναι ακριβώς η περίπτωση του φίλου, αφού to VPN (server ή client) τρέχει σε άλλη συσκευή και όχι στον κύριο router του κάθε δικτύου.
Spoiler:Τελευταία επεξεργασία από το μέλος jkoukos : 19-09-17 στις 15:49.
-
19-09-17, 15:54 Απάντηση: OpenVPN 3 σημείων #5
Κανονικά αυτή είναι δουλειά του routing του VPN server . Ο vpn server θα πρέπει σαν κεφαλίδα του πακέτου να έχει την τελική ip address του προορισμού και κανέναν ενδιάμεσο (γι αυτό και το masquerade) . Αν κάνεις ένα απλό tracert από έναν client σε έναν vpn server όλα τα ενδιάμεσα πακέτα θα "σκάσουν" και θα σου απαντήσει μόνο ο τελευταίος , για τον απλό λόγο ότι και το πακέτο ping είναι πάλι ενθυκακωμένο μέσα σε ένα άλλο που έχει σαν διεύθυνση προορισμού τη διεύθυνση του τελικού αποδέκτη ( public ip κανονικά ή τουλάχιστον ip που μπορούν να ρυθμιστεί για route ) . Αν έχεις βάλει εσύ στο config εσωτερική ip σαν τελικό αποδέκτη είναι άλλο θέμα , αλλά δεν πρόκειται να δουλέψει σε dynamic ips γιατί στα περισσότερα routers δεν μπορείς να ορίσεις static routes σε fqdn .
Μιλάω πάντα για dynamic ips , γιατί πάνω γράφει ότι χρησιμοποιεί dyndns.Τελευταία επεξεργασία από το μέλος akis1009 : 19-09-17 στις 15:59.
The 3 most dangerous things in the world are a computer technician with a software patch, a programmer with a screwdriver and a customer with an idea....
Εγκατάσταση Ubuntu και Joomla
-
19-09-17, 15:58 Απάντηση: OpenVPN 3 σημείων #6
-
19-09-17, 16:03 Απάντηση: OpenVPN 3 σημείων #7
Για να φθάσουν τα πακέτα στο VPN (server/client) πρέπει απαραίτητα ο router να γνωρίζει ότι θα πρέπει να τα προωθήσει σε αυτόν. Με ποιον μαγικό τρόπο μπορεί να το ξέρει αν δεν το δηλώσουμε;
Ταυτόχρονα και το ίδιο το VPN πρέπει να έχει τα αντίστοιχα δικά του routing. Το wiki του OpenVPN είναι ξεκάθαρο και αναφέρει ρητώς τι πρέπει να γίνει και με ποιον τρόπο.
Σε είχα προλάβει κι έκανα edit ένα spoiler στο προηγούμενο μήνυμα.
-
19-09-17, 16:05 Απάντηση: OpenVPN 3 σημείων #8
-
19-09-17, 16:09 Απάντηση: OpenVPN 3 σημείων #9
τα υποδίκτυα δεν βλέπω.
από τον Α μπορώ να δω τον Β, αλλά όχι το LAN του Β.
από τον Α μπορώ να δω τον Γ, αλλά όχι το LAN του Γ.
από τον Β μπορώ να δω τον Α, αλλά όχι το LAN του Α.
από τον Γ μπορώ να δω τον Α, αλλά όχι το LAN του Α.
-
19-09-17, 16:16 Απάντηση: OpenVPN 3 σημείων #10
Είμαι 99% βέβαιος ότι είναι αυτό που αναφέρω. Το είχα βρει μπροστά μου παλαιότερα όταν πρωτοέβαλα το OpenVPN.
Ενώ υπάρχει επικοινωνία μεταξύ των 3 VPN κι έξοδος στο διαδίκτυο, δεν υπάρχει επικοινωνία μεταξύ των 3 LAN (πίσω από κάθε VPN). Οι 3 router, δεν γνωρίζουν τα απέναντι υποδίκτυα και δεν ξέρουν που να προωθήσουν τα πακέτα.
Αν από οποιαδήποτε συσκευή κάποιου δικτύου, κάνει ping προς άλλη (σε οποιαδήποτε από τα άλλα 2), δεν θα πάρει ποτέ απάντηση. Μόνα αν το ping γίνει προς το αντίστοιχο VPN (server/client) υπάρχει απάντηση.
Κι επιβεβαιώθηκα.
-
19-09-17, 16:18 Απάντηση: OpenVPN 3 σημείων #11
Καλησπέρα. Σας ευχαριστώ για τις απαντήσεις σας. Το δοκιμάζω το ΣΚ και σας ενημερώνω.
-
19-09-17, 16:47 Απάντηση: OpenVPN 3 σημείων #12
Αυτό γίνεται γιατί ο server δεν κάνει push route για όλο το υποδίκτυο και μόνο για το δικό του ή δεν έχει οριστεί masquerade. Η έννοια του vpn είναι η κρυπτογράφηση πακέτων . Τα router δεν πρέπει να ξέρουν τα απέναντι υποδίκτυα γιατι πχ σε έναν roadwarrior αυτό είναι δυναμικό και δεν μπορεί να έχει ρυθμιστεί στο route του router από πριν αυτό πρέπει να δημιουργείται δυναμικά και να στέλνεται στον client (και τα 2 πίσω από nat) .
Σου επαναλαμβάνω το ping serverA δεν κάνει ping στην εσωτερική ip του serverA αλλά στη δημόσια ip , προωθείται το πακέτο σύμφωνα με τον κανόνα και ο server ΠΡΕΠΕΙ να απαντάει στην public ip (ή πες την wan) του client .
Αυτό που λες εσύ είναι παράκαμψη του VPN . Κάνεις ένα ping στο πχ 192.168.1.23 , μέσω του vpn tunnel ενθυλακώνεται το ping σε ένα πακέτο που έχει τελική διεύθυνση IP την PUBLIC IP του vpn server . O vpn server το ανοίγει το πακέτο και το στέλνει στον client που θες τον 1.23 . Σαν source address αυτό έχει την εσωτερική 2.χ δλδ από εκεί που το έστειλες εσύ . Τώρα ο 1.23 θα στείλει στο router το reply και αυτό θα το στείλει στην static route που έχεις ορίσει . Δηλαδή η απάντηση δεν είναι μέσω του vpn tunnel . Κανονικά ο vpn server θα πρέπει να αλλάζει την source ip (masquerade) να στέλνει το αίτημα στον 1.23 , αυτός να απαντάει στον vpn server και αυτός να σου στέλνει την απάντηση στην public ip σου μέσω του tunnel .
Τώρα είδα το σχεδιαγραμμα που έβαλες , βασικά ορίζει για το υποδίκτυο τάδε τον ίδιο τον vpn server σαν gateway (στο κινητό που το είδα γρήγορα νόμιζα ότι σαν gw είχει το ίδιο το router ) . Tο γλιτώνεις όλο αυτό με το masquerade . Οπότε το προηγούμενο που έγραψα για παράκαμψη του vpn άκυροΤελευταία επεξεργασία από το μέλος akis1009 : 19-09-17 στις 17:02.
The 3 most dangerous things in the world are a computer technician with a software patch, a programmer with a screwdriver and a customer with an idea....
Εγκατάσταση Ubuntu και Joomla
-
19-09-17, 16:59 Απάντηση: OpenVPN 3 σημείων #13
Συνοπτικά έχουμε:
-Σε κάθε rpi θα κάνω IP route των άλλων 2 δικτύων.
-Σε κάθε router θα κάνω IP route των άλλων 2 δικτύων να τα στέλνει στο τοπικό rpi.
-
19-09-17, 17:01 Απάντηση: OpenVPN 3 σημείων #14The 3 most dangerous things in the world are a computer technician with a software patch, a programmer with a screwdriver and a customer with an idea....
Εγκατάσταση Ubuntu και Joomla
-
19-09-17, 17:15 Απάντηση: OpenVPN 3 σημείων #15
Σου έχει ξεφύγει το βασικό. Ο κύριος router κάθε ξεχωριστού LAN, ΔΕΝ είναι VPN Gateway, ώστε να γνωρίζει εξαρχής ποια είναι τα άλλα υποδίκτυα και που θα στείλει τα πακέτα.
Δεν γίνεται ping σε καμιά δημόσια ΙΡ, αλλά σε ιδιωτική. Το PC 192.168.2.10 κάνει ping σε PC του άλλου δικτύου που έχει ΙΡ 192.168.1.23.
Ο router 192.168.2.1 που θα πάρει πρώτος το πακέτο, με ποιον μαγικό τρόπο γνωρίζει ότι πρέπει να τα στείλει στη συσκευή με ΙΡ 192.168.2.5, που είναι ο VPN gateway του LAN ώστε να τα ενθυλακώσει με τη σειρά του στο VPN tunnel;
Αν το ping το κάνει το ίδιο το VPN Gateway, τότε αυτό μια χαρά πάει μέσω του VPN tunnel, αφού γνωρίζει που πρέπει να τα προωθήσει (φυσικά εφόσον έχουν κάνει την δήλωση στο config). Αλλά και πάλι θα φθάσει μόνο μέχρι το αντίστοιχο VPN Gateway του άλλου LAN.
- - - Updated - - -
ΟΚ, είδα ότι έκανες edit και το τελειώσαμε.
Παρόμοια Θέματα
-
Mikrotik OpenVPN Server με Android Client
Από deniSun στο φόρουμ MikroTik ADSL modems, routers & routerBOARDsΜηνύματα: 386Τελευταίο Μήνυμα: 15-11-23, 11:30 -
Grandstream GXP2130 και openvpn
Από seatakias στο φόρουμ Voice over IP (VoIP) Sip/Iax HardwareΜηνύματα: 24Τελευταίο Μήνυμα: 09-12-17, 11:43 -
[Other] Αγορα VPN router με OpenVPN
Από tdk στο φόρουμ ADSL & Broadband Hardware, routers και modems...Μηνύματα: 18Τελευταίο Μήνυμα: 26-09-17, 01:58 -
OpenVPN συνδέεται αλλά έχει πρόσβαση στο ιντερνετ
Από hammered στο φόρουμ NetworkingΜηνύματα: 1Τελευταίο Μήνυμα: 10-05-17, 14:44 -
openvpn server & client on same machine
Από atux_null στο φόρουμ Unix - LinuxΜηνύματα: 0Τελευταίο Μήνυμα: 03-04-17, 09:10
Bookmarks