OpenVPN 3 σημείων

[atux_null]

χαίρεται. μια μικρή βοήθεια στην υλοποίηση παρακαλώ.
θέλω να συνδέσω 3 σημεία Α,Β,Γ με openvpn μεταξύ τους και το ένα δίκτυο να μπορεί να δει τα πάντα. Σε κάθε σημείο υπάρχει ένα raspberry όπου θα παίζει το ρόλο του openvpn client/server. Τα routers σε κάθε σημείο είναι του ΟΤΕ (speedport). η τοπολογία είναι ως εξής:
-Α έχει dsl με public ip και δίκτυο 192.168.1.0/24. εδώ είναι ο server και παίζει με dyndns
-Β έχει dsl με public ip και δίκτυο 192.168.2.0/24
-Γ έχει 3g και παίρνει ΙΡ 10.23.34.0/24 ΝΑΤ. Το LAN εδώ είναι 192.168.3.0/24

αυτή την στιγμή χρησιμοποιώ στο σημείο Α openvpn όπου μου δημιουργεί κλειδιά και έτσι συνδέω όλες τις android συσκευές μου στο δίκτυο μου.
έχω δοκιμάσει να φτιάξω ένα κλειδί για το σημείο Β ώστε ο Β να συνδεθεί ως client. Το έχω βάλει στο raspberry B και το έχω τρέξει. Βλέπω να γίνεται connect αλλά δεν μπορώ να δω κανέναν PC από το ένα δίκτυο στο άλλο. Το raspberry στο σημείο Β βγαίνει με την ΙΡ του σημείου Α. Άρα έχω συνδεθεί σωστά.
Το ίδιο συμβαίνει και στο σημείο Γ.
Το θέμα είναι γιατί τα pcs του Α δεν βλέπουν τα pcs του Β,Γ και το αντίθετο?

[jkoukos]

Θα πρέπει να ορισθούν κανόνες static routes, από 2 σε κάθε router προς την ΙΡ που έχει ο VPN (server ή client) που συνδέεται πάνω του, προς τα άλλα 2 LANs.
Π.χ. στον Router-A ορίζεις 2 κανόνες, έναν κανόνα προς το δίκτυο Β και τον άλλον προς το Γ, με αποδέκτη την ΙΡ του VPN server.
Στον Router-Β ορίζεις 2 κανόνες, έναν κανόνα προς το δίκτυο Α και τον άλλον προς το Γ, με αποδέκτη την ΙΡ του VPN client. Αντίστοιχα κάνεις και στον Router-Γ.

Επίσης πρέπει να ορισθούν αντίστοιχοι κανόνες στον VPN server.

Δες σχετικές πληροφορίες εδώ, εδώ κι ένα παράδειγμα εδώ.

[akis1009]

Θα πρέπει να ορισθούν κανόνες static routes, από 2 σε κάθε router προς την ΙΡ που έχει ο VPN (server ή client) που συνδέεται πάνω του, προς τα άλλα 2 LANs.
Π.χ. στον Router-A ορίζεις 2 κανόνες, έναν κανόνα προς το δίκτυο Β και τον άλλον προς το Γ, με αποδέκτη την ΙΡ του VPN server.
Στον Router-Β ορίζεις 2 κανόνες, έναν κανόνα προς το δίκτυο Α και τον άλλον προς το Γ, με αποδέκτη την ΙΡ του VPN client. Αντίστοιχα κάνεις και στον Router-Γ.

Επίσης πρέπει να ορισθούν αντίστοιχοι κανόνες στον VPN server.

Δες σχετικές πληροφορίες εδώ, εδώ κι ένα παράδειγμα εδώ.

Static routes στα router του οτε δεν έχει νόημα καθώς όλα τα πακέτα που φεύγουν από το openvpn είναι κρυπτογραφημένα και δεν έχουν στο πεδίο τους ip εσωτερικού δικτύου, το θέμα είναι ο client να έχει λάβει σωστό routing για το απομακρυσμένο υποδίκτυο και ο server να επιτρέπει την κίνηση . Περισσότερο για πρόβλημα firewall/ routing του openvpn μου φαίνεται .
Θα χρειαστείς κάτι παρόμοιο με αυτό

Κώδικας:

/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
/sbin/iptables -A FORWARD -i eth0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT

Και να σιγουρέψεις ότι το ip forwarding είναι ενεργοποιημένο .
Καθώς να σιγουρευτείς ότι στα conf υπάρχουν τα σωστά push για τα υποδίκτυα .

[jkoukos]

Είναι 3 δίκτυα, σε διαφορετικό υποδίκτυο το καθένα. Πως γνωρίζει π.χ. ο router-Α ότι πρέπει να προωθήσει τα πακέτα προς το VPN, που προορίζονται σε ένα από τα άλλα δίκτυα;
Χωρίς static routes (που αυτή ακριβώς είναι η δουλειά τους) η μόνη επικοινωνία είναι μεταξύ των 2 VPN συσκευών.

Η οδηγίες του OpenVPN, είναι ξεκάθαρες, "If you are not running openvpn on the router for each lan, you have some more routes to add. This ​diagram explains it pretty well".
Και είναι ακριβώς η περίπτωση του φίλου, αφού to VPN (server ή client) τρέχει σε άλλη συσκευή και όχι στον κύριο router του κάθε δικτύου.

Spoiler:

The last step, and one that is often forgotten, is to add a route to the server's LAN gateway which directs 192.168.4.0/24 to the OpenVPN server box (you won't need this if the OpenVPN server box is the gateway for the server LAN). Suppose you were missing this step and you tried to ping a machine (not the OpenVPN server itself) on the server LAN from 192.168.4.8? The outgoing ping would probably reach the machine, but then it wouldn't know how to route the ping reply, because it would have no idea how to reach 192.168.4.0/24. The rule of thumb to use is that when routing entire LANs through the VPN (when the VPN server is not the same machine as the LAN gateway), make sure that the gateway for the LAN routes all VPN subnets to the VPN server machine.

Similarly, if the client machine running OpenVPN is not also the gateway for the client LAN, then the gateway for the client LAN must have a route which directs all subnets which should be reachable through the VPN to the OpenVPN client machine.

[akis1009]

Είναι 3 δίκτυα, σε διαφορετικό υποδίκτυο το καθένα. Πως γνωρίζει π.χ. ο router-Α ότι πρέπει να προωθήσει τα πακέτα προς το VPN, που προορίζονται σε ένα από τα άλλα δίκτυα;
Χωρίς static routes (που αυτή ακριβώς είναι η δουλειά τους) η μόνη επικοινωνία είναι μεταξύ των 2 VPN συσκευών.

Η οδηγίες του OpenVPN, είναι ξεκάθαρες, "If you are not running openvpn on the router for each lan, you have some more routes to add. This ​diagram explains it pretty well".
Και είναι ακριβώς η περίπτωση του φίλου, αφού to VPN (server ή client) τρέχει σε άλλη συσκευή και όχι στον κύριο router του κάθε δικτύου.

Κανονικά αυτή είναι δουλειά του routing του VPN server . Ο vpn server θα πρέπει σαν κεφαλίδα του πακέτου να έχει την τελική ip address του προορισμού και κανέναν ενδιάμεσο (γι αυτό και το masquerade) . Αν κάνεις ένα απλό tracert από έναν client σε έναν vpn server όλα τα ενδιάμεσα πακέτα θα "σκάσουν" και θα σου απαντήσει μόνο ο τελευταίος , για τον απλό λόγο ότι και το πακέτο ping είναι πάλι ενθυκακωμένο μέσα σε ένα άλλο που έχει σαν διεύθυνση προορισμού τη διεύθυνση του τελικού αποδέκτη ( public ip κανονικά ή τουλάχιστον ip που μπορούν να ρυθμιστεί για route ) . Αν έχεις βάλει εσύ στο config εσωτερική ip σαν τελικό αποδέκτη είναι άλλο θέμα , αλλά δεν πρόκειται να δουλέψει σε dynamic ips γιατί στα περισσότερα routers δεν μπορείς να ορίσεις static routes σε fqdn .
Μιλάω πάντα για dynamic ips , γιατί πάνω γράφει ότι χρησιμοποιεί dyndns.

[sdikr]

χαίρεται. μια μικρή βοήθεια στην υλοποίηση παρακαλώ.
θέλω να συνδέσω 3 σημεία Α,Β,Γ με openvpn μεταξύ τους και το ένα δίκτυο να μπορεί να δει τα πάντα. Σε κάθε σημείο υπάρχει ένα raspberry όπου θα παίζει το ρόλο του openvpn client/server. Τα routers σε κάθε σημείο είναι του ΟΤΕ (speedport). η τοπολογία είναι ως εξής:
-Α έχει dsl με public ip και δίκτυο 192.168.1.0/24. εδώ είναι ο server και παίζει με dyndns
-Β έχει dsl με public ip και δίκτυο 192.168.2.0/24
-Γ έχει 3g και παίρνει ΙΡ 10.23.34.0/24 ΝΑΤ. Το LAN εδώ είναι 192.168.3.0/24

αυτή την στιγμή χρησιμοποιώ στο σημείο Α openvpn όπου μου δημιουργεί κλειδιά και έτσι συνδέω όλες τις android συσκευές μου στο δίκτυο μου.
έχω δοκιμάσει να φτιάξω ένα κλειδί για το σημείο Β ώστε ο Β να συνδεθεί ως client. Το έχω βάλει στο raspberry B και το έχω τρέξει. Βλέπω να γίνεται connect αλλά δεν μπορώ να δω κανέναν PC από το ένα δίκτυο στο άλλο. Το raspberry στο σημείο Β βγαίνει με την ΙΡ του σημείου Α. Άρα έχω συνδεθεί σωστά.
Το ίδιο συμβαίνει και στο σημείο Γ.
Το θέμα είναι γιατί τα pcs του Α δεν βλέπουν τα pcs του Β,Γ και το αντίθετο?

ο server είπες είναι Α έτσι;
Και δεν μπορείς να δεις απο τον Α, ούτε τον β, ούτε τον Γ;
Στο ίδιο δίκτυο τα βλέπεις; πχ στο σημείο που είναι ο Α;

[jkoukos]

Κανονικά αυτή είναι δουλειά του routing του VPN server . Ο vpn server θα πρέπει σαν κεφαλίδα του πακέτου να έχει την τελική ip address του προορισμού και κανέναν ενδιάμεσο (γι αυτό και το masquerade) . Αν κάνεις ένα απλό tracert από έναν client σε έναν vpn server όλα τα ενδιάμεσα πακέτα θα "σκάσουν" και θα σου απαντήσει μόνο ο τελευταίος , για τον απλό λόγο ότι και το πακέτο ping είναι πάλι ενθυκακωμένο μέσα σε ένα άλλο που έχει σαν διεύθυνση προορισμού τη διεύθυνση του τελικού αποδέκτη ( public ip κανονικά ή τουλάχιστον ip που μπορούν να ρυθμιστεί για route ) . Αν έχεις βάλει εσύ στο config εσωτερική ip σαν τελικό αποδέκτη είναι άλλο θέμα , αλλά δεν πρόκειται να δουλέψει σε dynamic ips γιατί στα περισσότερα routers δεν μπορείς να ορίσεις static routes σε fqdn .
Μιλάω πάντα για dynamic ips , γιατί πάνω γράφει ότι χρησιμοποιεί dyndns.

Για να φθάσουν τα πακέτα στο VPN (server/client) πρέπει απαραίτητα ο router να γνωρίζει ότι θα πρέπει να τα προωθήσει σε αυτόν. Με ποιον μαγικό τρόπο μπορεί να το ξέρει αν δεν το δηλώσουμε;
Ταυτόχρονα και το ίδιο το VPN πρέπει να έχει τα αντίστοιχα δικά του routing. Το wiki του OpenVPN είναι ξεκάθαρο και αναφέρει ρητώς τι πρέπει να γίνει και με ποιον τρόπο.

Σε είχα προλάβει κι έκανα edit ένα spoiler στο προηγούμενο μήνυμα.

[sdikr]

Για να φθάσουν τα πακέτα στο VPN (server/client) πρέπει απαραίτητα ο router να γνωρίζει ότι θα πρέπει να τα προωθήσει σε αυτόν. Με ποιον μαγικό τρόπο μπορεί να το ξέρει αν δεν το δηλώσουμε;

Ταυτόχρονα και το ίδιο το VPN πρέπει να έχει τα αντίστοιχα δικά του routing. Το wiki του OpenVPN είναι ξεκάθαρο και αναφέρει ρητώς τι πρέπει να γίνει και με ποιον τρόπο.

Νομίζω πως το πρόβλημα του είναι διαφορετικό, δεν βλέπει ούτε απο τον β στον Α (server) και όχι να δεί απο τον Β τον Γ μέσω Α (serverr).

[atux_null]

τα υποδίκτυα δεν βλέπω.
από τον Α μπορώ να δω τον Β, αλλά όχι το LAN του Β.
από τον Α μπορώ να δω τον Γ, αλλά όχι το LAN του Γ.
από τον Β μπορώ να δω τον Α, αλλά όχι το LAN του Α.
από τον Γ μπορώ να δω τον Α, αλλά όχι το LAN του Α.

[jkoukos]

Νομίζω πως το πρόβλημα του είναι διαφορετικό, δεν βλέπει ούτε απο τον β στον Α (server) και όχι να δεί απο τον Β τον Γ μέσω Α (serverr).

Είμαι 99% βέβαιος ότι είναι αυτό που αναφέρω. Το είχα βρει μπροστά μου παλαιότερα όταν πρωτοέβαλα το OpenVPN.
Ενώ υπάρχει επικοινωνία μεταξύ των 3 VPN κι έξοδος στο διαδίκτυο, δεν υπάρχει επικοινωνία μεταξύ των 3 LAN (πίσω από κάθε VPN). Οι 3 router, δεν γνωρίζουν τα απέναντι υποδίκτυα και δεν ξέρουν που να προωθήσουν τα πακέτα.
Αν από οποιαδήποτε συσκευή κάποιου δικτύου, κάνει ping προς άλλη (σε οποιαδήποτε από τα άλλα 2), δεν θα πάρει ποτέ απάντηση. Μόνα αν το ping γίνει προς το αντίστοιχο VPN (server/client) υπάρχει απάντηση.

Κι επιβεβαιώθηκα.

[atux_null]

Καλησπέρα. Σας ευχαριστώ για τις απαντήσεις σας. Το δοκιμάζω το ΣΚ και σας ενημερώνω.

[akis1009]

Είμαι 99% βέβαιος ότι είναι αυτό που αναφέρω. Το είχα βρει μπροστά μου παλαιότερα όταν πρωτοέβαλα το OpenVPN.
Ενώ υπάρχει επικοινωνία μεταξύ των 3 VPN κι έξοδος στο διαδίκτυο, δεν υπάρχει επικοινωνία μεταξύ των 3 LAN (πίσω από κάθε VPN). Οι 3 router, δεν γνωρίζουν τα απέναντι υποδίκτυα και δεν ξέρουν που να προωθήσουν τα πακέτα.
Αν από οποιαδήποτε συσκευή κάποιου δικτύου, κάνει ping προς άλλη (σε οποιαδήποτε από τα άλλα 2), δεν θα πάρει ποτέ απάντηση. Μόνα αν το ping γίνει προς το αντίστοιχο VPN (server/client) υπάρχει απάντηση.

Κι επιβεβαιώθηκα.

Αυτό γίνεται γιατί ο server δεν κάνει push route για όλο το υποδίκτυο και μόνο για το δικό του ή δεν έχει οριστεί masquerade. Η έννοια του vpn είναι η κρυπτογράφηση πακέτων . Τα router δεν πρέπει να ξέρουν τα απέναντι υποδίκτυα γιατι πχ σε έναν roadwarrior αυτό είναι δυναμικό και δεν μπορεί να έχει ρυθμιστεί στο route του router από πριν αυτό πρέπει να δημιουργείται δυναμικά και να στέλνεται στον client (και τα 2 πίσω από nat) .
Σου επαναλαμβάνω το ping serverA δεν κάνει ping στην εσωτερική ip του serverA αλλά στη δημόσια ip , προωθείται το πακέτο σύμφωνα με τον κανόνα και ο server ΠΡΕΠΕΙ να απαντάει στην public ip (ή πες την wan) του client .
Αυτό που λες εσύ είναι παράκαμψη του VPN . Κάνεις ένα ping στο πχ 192.168.1.23 , μέσω του vpn tunnel ενθυλακώνεται το ping σε ένα πακέτο που έχει τελική διεύθυνση IP την PUBLIC IP του vpn server . O vpn server το ανοίγει το πακέτο και το στέλνει στον client που θες τον 1.23 . Σαν source address αυτό έχει την εσωτερική 2.χ δλδ από εκεί που το έστειλες εσύ . Τώρα ο 1.23 θα στείλει στο router το reply και αυτό θα το στείλει στην static route που έχεις ορίσει . Δηλαδή η απάντηση δεν είναι μέσω του vpn tunnel . Κανονικά ο vpn server θα πρέπει να αλλάζει την source ip (masquerade) να στέλνει το αίτημα στον 1.23 , αυτός να απαντάει στον vpn server και αυτός να σου στέλνει την απάντηση στην public ip σου μέσω του tunnel .

Τώρα είδα το σχεδιαγραμμα που έβαλες , βασικά ορίζει για το υποδίκτυο τάδε τον ίδιο τον vpn server σαν gateway (στο κινητό που το είδα γρήγορα νόμιζα ότι σαν gw είχει το ίδιο το router ) . Tο γλιτώνεις όλο αυτό με το masquerade . Οπότε το προηγούμενο που έγραψα για παράκαμψη του vpn άκυρο

[atux_null]

Συνοπτικά έχουμε:
-Σε κάθε rpi θα κάνω IP route των άλλων 2 δικτύων.
-Σε κάθε router θα κάνω IP route των άλλων 2 δικτύων να τα στέλνει στο τοπικό rpi.

[akis1009]

Συνοπτικά έχουμε:
-Σε κάθε rpi θα κάνω IP route των άλλων 2 δικτύων.
-Σε κάθε router θα κάνω IP route των άλλων 2 δικτύων να τα στέλνει στο τοπικό rpi.

Και να σιγουρευτείς ότι είναι ενεργοποιημένο το ip forwarding

[jkoukos]

Αυτό γίνεται γιατί ο server δεν κάνει push route για όλο το υποδίκτυο και μόνο για το δικό του ή δεν έχει οριστεί masquerade. Η έννοια του vpn είναι η κρυπτογράφηση πακέτων . Τα router δεν πρέπει να ξέρουν τα απέναντι υποδίκτυα γιατι πχ σε έναν roadwarrior αυτό είναι δυναμικό και δεν μπορεί να έχει ρυθμιστεί στο route του router από πριν αυτό πρέπει να δημιουργείται δυναμικά και να στέλνεται στον client (και τα 2 πίσω από nat) .
Σου επαναλαμβάνω το ping serverA δεν κάνει ping στην εσωτερική ip του serverA αλλά στη δημόσια ip , προωθείται το πακέτο σύμφωνα με τον κανόνα και ο server ΠΡΕΠΕΙ να απαντάει στην public ip (ή πες την wan) του client .
Αυτό που λες εσύ είναι παράκαμψη του VPN . Κάνεις ένα ping στο πχ 192.168.1.23 , μέσω του vpn tunnel ενθυλακώνεται το ping σε ένα πακέτο που έχει τελική διεύθυνση IP την PUBLIC IP του vpn server . O vpn server το ανοίγει το πακέτο και το στέλνει στον client που θες τον 1.23 . Σαν source address αυτό έχει την εσωτερική 2.χ δλδ από εκεί που το έστειλες εσύ . Τώρα ο 1.23 θα στείλει στο router το reply και αυτό θα το στείλει στην static route που έχεις ορίσει . Δηλαδή η απάντηση δεν είναι μέσω του vpn tunnel . Κανονικά ο vpn server θα πρέπει να αλλάζει την source ip (masquerade) να στέλνει το αίτημα στον 1.23 , αυτός να απαντάει στον vpn server και αυτός να σου στέλνει την απάντηση στην public ip σου μέσω του tunnel .

Σου έχει ξεφύγει το βασικό. Ο κύριος router κάθε ξεχωριστού LAN, ΔΕΝ είναι VPN Gateway, ώστε να γνωρίζει εξαρχής ποια είναι τα άλλα υποδίκτυα και που θα στείλει τα πακέτα.

Δεν γίνεται ping σε καμιά δημόσια ΙΡ, αλλά σε ιδιωτική. Το PC 192.168.2.10 κάνει ping σε PC του άλλου δικτύου που έχει ΙΡ 192.168.1.23.
Ο router 192.168.2.1 που θα πάρει πρώτος το πακέτο, με ποιον μαγικό τρόπο γνωρίζει ότι πρέπει να τα στείλει στη συσκευή με ΙΡ 192.168.2.5, που είναι ο VPN gateway του LAN ώστε να τα ενθυλακώσει με τη σειρά του στο VPN tunnel;

Αν το ping το κάνει το ίδιο το VPN Gateway, τότε αυτό μια χαρά πάει μέσω του VPN tunnel, αφού γνωρίζει που πρέπει να τα προωθήσει (φυσικά εφόσον έχουν κάνει την δήλωση στο config). Αλλά και πάλι θα φθάσει μόνο μέχρι το αντίστοιχο VPN Gateway του άλλου LAN.

- - - Updated - - -

ΟΚ, είδα ότι έκανες edit και το τελειώσαμε.