Portál AbcLinuxu, 10. května 2025 11:22
Zdravím,
na routeru asus wl500gP jsem zprovoznil openvpn. Na notebooku se připojím přes terminál příkazem openvpn client.conf na vpn, vytvoří mi to tap0, ale neprobíhá přes to zařízení, žádná komunikace, všechno jde přes eth0. Kde dělám chybu?
Dík za rady.
Chyba je pravděpodobně v routování.
Na straně serveru nebo klienta?
Pro jistotu přikládám nastavení:
Nastavení klienta
remote 192.168.1.1
tls-client
port 1194
proto tcp-client
dev tap
pull
mute 10
ca ca.crt
cert klient.crt
key klient.key
comp-lzo
verb 3
Nastaveni serveru
mode server
tls-server
dev tap
port 1194
proto tcp-server
ifconfig 10.1.1.1 255.255.255.0
ifconfig-pool 10.1.1.100 10.1.1.200 255.255.255.0
duplicate-cn
keepalive 10 120
ca keys/ca.crt
cert keys/server.crt
key keys/server.key
dh keys/dh1024.pem
comp-lzo
log /var/log/vpn.log
Potřebuji, aby když se někdo na router připojil, abych ho viděl, že je připojený na stejné síti jako jsem já doma, aby viděl externí disk na routeru, tiskárnu, atd.
Dík za rady.
Mel by ste mit routu na tu 10.1.1.0 sit pres tap0. Co ping na branu?
NN
To udělám jak? Co jsem používal vpn na školu, taxem jenom zadal příkaz a byl jsem napojený, nemusel jsem nic dalšího dělat, ale oni používají cisco. S openvpn, nevím jak to udělat.
Jescli je to cisco tak se pouziva
vpnc
, nicmene pokud poustis openvpn s konzole tak se ti vypise na cem to zahori, pripadne to najdes v logu openvpn.
ping 10.1.1.1
? A routovaci tabulku vypises
ip r
, nebo
route -n
NN
Spouštím to přes openvpn.
ping z klienta na 10.1.1.1 nejede
u klienta to píše
Mon Aug 17 10:23:17 2009 PUSH: Received control message: 'PUSH_REPLY,ping 10,ping-restart 120,ifconfig 10.1.1.100 255.255.255.0'
Mon Aug 17 10:23:17 2009 OPTIONS IMPORT: timers and/or timeouts modified
Mon Aug 17 10:23:17 2009 OPTIONS IMPORT: --ifconfig/up options modified
Mon Aug 17 10:23:17 2009 TUN/TAP device tap0 opened
Mon Aug 17 10:23:17 2009 TUN/TAP TX queue length set to 100
Mon Aug 17 10:23:17 2009 /sbin/ifconfig tap0 10.1.1.100 netmask 255.255.255.0 mtu 1500 broadcast 10.1.1.255
Mon Aug 17 10:23:17 2009 Initialization Sequence Completed
v logu openvpn od serveru je:
Mon Aug 17 10:22:19 2009 Re-using SSL/TLS context
Mon Aug 17 10:22:19 2009 LZO compression initialized
Mon Aug 17 10:22:19 2009 TCP connection established with 192.168.1.158:49333
Mon Aug 17 10:22:19 2009 TCPv4_SERVER link local: [undef]
Mon Aug 17 10:22:19 2009 TCPv4_SERVER link remote: 192.168.1.158:49333
Mon Aug 17 10:22:21 2009 192.168.1.158:49333 [klient] Peer Connection Initiated with 192.168.1.158:49333
Mon Aug 17 10:22:22 2009 Kotyz/192.168.1.158:49333 Connection reset, restarting [0]
Mon Aug 17 10:22:39 2009 Re-using SSL/TLS context
Mon Aug 17 10:22:39 2009 LZO compression initialized
Mon Aug 17 10:22:39 2009 TCP connection established with 192.168.1.158:49335
Mon Aug 17 10:22:39 2009 TCPv4_SERVER link local: [undef]
Mon Aug 17 10:22:39 2009 TCPv4_SERVER link remote: 192.168.1.158:49335
Mon Aug 17 10:22:41 2009 192.168.1.158:49335 [klient] Peer Connection Initiated with 192.168.1.158:49335
ip r vypíše u klienta:
192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.158 metric 1
10.1.1.0/24 dev tap0 proto kernel scope link src 10.1.1.100
default via 192.168.1.1 dev eth0 proto static
u serveru:
XX.XX.XX.XX dev vlan1 scope link
XX.XX.XX.XX/30 dev vlan1 proto kernel scope link src XX.XX.XX.XX
192.168.1.0/24 dev br0 proto kernel scope link src 192.168.1.1
10.1.1.0/24 dev tap0 proto kernel scope link src 10.1.1.1
127.0.0.0/8 dev lo scope link
default via XX.XX.XX.XX dev vlan1
kde je XX .XX.XX.XX tam je napsaná moje veřejná ip adresa, kterou mám od poskytovatele
Na serveru je
[admin@WL-500GP root]$ iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
logdrop tcp -- anywhere anywhere state NEW tcp dpt:ssh recent: UPDATE seconds: 60 hit_count: 3 name: SSH_ATTACKER side: source
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:1194
ACCEPT tcp -- anywhere anywhere tcp dpt:1194
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere state NEW
ACCEPT all -- anywhere anywhere state NEW
SECURITY all -- anywhere anywhere state NEW
DROP all -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
DROP all -- anywhere anywhere
SECURITY all -- anywhere anywhere state NEW
ACCEPT all -- anywhere anywhere ctstate DNAT
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
Chain MACS (0 references)
target prot opt source destination
Chain SECURITY (2 references)
target prot opt source destination
RETURN tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN limit: avg 1/sec burst 5
RETURN tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5
RETURN udp -- anywhere anywhere limit: avg 5/sec burst 5
RETURN icmp -- anywhere anywhere limit: avg 5/sec burst 5
DROP all -- anywhere anywhere
Chain logaccept (0 references)
target prot opt source destination
LOG all -- anywhere anywhere state NEW LOG level warning tcp-sequence tcp-options ip-options prefix `ACCEPT '
ACCEPT all -- anywhere anywhere
Chain logdrop (1 references)
target prot opt source destination
LOG all -- anywhere anywhere state NEW LOG level warning tcp-sequence tcp-options ip-options prefix `DROP '
DROP all -- anywhere anywhere
na klientovi:
[root@notebook karel]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
iptables -L -t nat. Jinak uz me zadny jiny mozny problem nenapada.
Mozna jeste prozkouset tcpdumpem/wiresharkem jestli vubec dorazi ping pakety na tap rozhrani serveru.
Server:
Kde jsou XX.XX.XX.XX je veřejná ip adresa
[admin@WL-500GP root]$ iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
tcp -- anywhere anywhere state NEW tcp dpt:ssh recent: SET name: SSH_ATTACKER side: source
VSERVER all -- anywhere ip-XX.XX.XX.XX.customer.poda.cz
NETMAP udp -- anywhere ip-XX-XX-X-XX.customer.poda.czudp spt:6112 192.168.1.0/24
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
NETMAP udp -- 192.168.1.0/24 anywhere udp dpt:6112 82.209.7.62/32
MASQUERADE all -- !ip-XX-XX-XX-XX.customer.poda.cz anywhere
MASQUERADE all -- 192.168.1.0/24 192.168.1.0/24
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain VSERVER (1 references)
target prot opt source destination
DNAT udp -- anywhere anywhere udp dpt:45196 to:192.168.1.203:45196
DNAT tcp -- anywhere anywhere tcp dpt:6881 to:192.168.1.203:6881
DNAT udp -- anywhere anywhere udp dpt:54189 to:192.168.1.203:54189
DNAT udp -- anywhere anywhere udp dpt:47947 to:192.168.1.203:47947
DNAT udp -- anywhere anywhere udp dpt:45515 to:192.168.1.203:45515
DNAT udp -- anywhere anywhere udp dpt:53460 to:192.168.1.203:53460
DNAT udp -- anywhere anywhere udp dpt:48600 to:192.168.1.203:48600
DNAT udp -- anywhere anywhere udp dpt:52465 to:192.168.1.203:52465
DNAT udp -- anywhere anywhere udp dpt:53125 to:192.168.1.203:53125
DNAT udp -- anywhere anywhere udp dpt:46846 to:192.168.1.203:46846
DNAT udp -- anywhere anywhere udp dpt:46541 to:192.168.1.203:46541
DNAT udp -- anywhere anywhere udp dpt:50122 to:192.168.1.203:50122
DNAT udp -- anywhere anywhere udp dpt:45102 to:192.168.1.203:45102
DNAT udp -- anywhere anywhere udp dpt:45851 to:192.168.1.203:45851
DNAT udp -- anywhere anywhere udp dpt:51123 to:192.168.1.203:51123
DNAT tcp -- anywhere anywhere tcp dpt:12000 to:192.168.1.158:12000
DNAT udp -- anywhere anywhere udp dpt:13000 to:192.168.1.158:13000
DNAT udp -- anywhere anywhere udp dpt:5060 to:192.168.1.158:5060
DNAT udp -- anywhere anywhere udp dpt:5061 to:192.168.1.158:5061
DNAT udp -- anywhere anywhere udp dpt:16000 to:192.168.1.158:16000
DNAT tcp -- anywhere anywhere tcp dpt:5060 to:192.168.1.151:5060
DNAT tcp -- anywhere anywhere tcp dpt:16000 to:192.168.1.151:16000
Klient:
[root@notebook karel]# iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Dal jsem ping na 10.1.1.1 a zapnul jsem tcpdump. co napsalo je v příloze.
Ahoj,
mám pocit že musíš použít TUN misto TAP. Přes TAP myslím nejde routovat. Já mám použito TUN a nemám problém s routingem. Samozřejmě pozor na firewall.
Petr
Ahoj, změnil jsem to, ale ten nejede openvpn server, v logu je:
Tue Aug 18 21:11:11 2009 OpenVPN 2.1_rc15 mipsel-linux [SSL] [LZO1] [EPOLL] built on Feb 23 2009
Tue Aug 18 21:11:11 2009 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue Aug 18 21:11:12 2009 WARNING: Since you are using --dev tun with a point-to-point topology, the second argument to --ifconfig must be an IP address. Yo$
Tue Aug 18 21:11:12 2009 TUN/TAP device tun0 opened
Tue Aug 18 21:11:12 2009 /sbin/ifconfig tun0 10.1.1.1 pointopoint 255.255.255.0 mtu 1500
SIOCSIFDSTADDR: Invalid argument
Tue Aug 18 21:11:12 2009 Linux ifconfig failed: external program exited with error status: 1
Tue Aug 18 21:11:12 2009 Exiting
server.conf:
mode server
tls-server
dev tun
port 1194
proto tcp-server
ifconfig 10.1.1.1 255.255.255.0
duplicate-cn
keepalive 10 120
ca keys/ca.crt
cert keys/server.crt
key keys/server.key
dh keys/dh1024.pem
comp-lzo
log /var/log/vpn.log
Tiskni
Sdílej:
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.