AbcLinuxu:/ Poradna / Linuxová poradna / OpenVPN tun jako bridge

Štítky: bridge, crt, čert, daemon, DNS, GUI, Internet, konfigurace, LAN, nastavení, OpenVPN, port, problém, prohlížeče, router, server, sítě, status, TCP, VPN

Dotaz: OpenVPN tun jako bridge

20.7.2021 17:10 Cormega
OpenVPN tun jako bridge

Přečteno: 912×

Odpovědět | Admin

Zdravím,

Mám OpenVPN server na routeru s alternativním firmwarem "fresh tomato". Připojení funguje. Problém nastane, když se chci připojit do vnitřní sítě LAN, kde jsou připojené kamery (přes wifi síť).

Když jsem připojen přes vpn (client ip 10.0.8.20) a zadám do prohlížeče LAN adresu kamery 192.168.5.10, tak se načte gui nastavení kamery. Bohužel, když se snažím použít aplikaci pro danou kameru, tak se nechce připojit, není dostupná. V lokální síti to funguje, ale přes vpn ne.

OpenVPN server rozhraní: TUN
VPN IP rozsah: 10.0.8.0/24
LAN IP rozsah: 192.168.5.0/24
Router GUI (gateway): 192.168.5.1

Použil bych TAP rozhraní, které vytvoří bridge a nic bych řešit nemusel. Bohužel OpenVPN již toto rozhraní nepodporuje.

Potřebuji tedy nastavit TUN rozhraní (ip 10.0.8.0/24), aby se tvářilo, že je v lokální síti (lan rozsah 192.168.5.0/24) a já se mohl připojit přes aplikaci na kameru.

KONFIGURACE SERVERU:

daemon
port 8765
dev tun21
txqueuelen 1000
keepalive 15 60
verb 3
server 10.0.8.0 255.255.255.0
proto tcp-server
data-ciphers CHACHA20-POLY1305:AES-128-GCM:AES-256-GCM:AES-128-CBC:AES-256-CBC
cipher AES-128-CBC
push "route 192.168.5.0 255.255.255.0"
duplicate-cn
ca ca.crt
dh dh.pem
cert server.crt
key server.key
status-version 2
status status 10

KONFIGURACE KLIENTA:

client
remote-cert-tls server
remote "veřejná ip" 8765
dev tun
proto tcp
tun-mtu 1500
push "dhcp-option DNS 1.1.1.1"
push "route 192.168.5.0 255.255.255.0"
auth-nocache
keepalive 10 120
user nobody
group nobody
resolv-retry infinite
nobind
persist-key
persist-tun
float
verb 3

Řešení dotazu:

Komentář #12 (Cormega, 1 hlasů)

Nástroje: Začni sledovat (0) ?

Odpovědi

20.7.2021 18:38 Cormega
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge

Vím, že TUN nelze použít jako bridge. Jde mi jen o to, abych měl přístup do LAN a mohl ovládat kameru přes openvpn...

20.7.2021 18:56 Cormega
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge

Ještě pro upřesnění, aby vpn client byl pod stejným subnet jako LAN síť vzdáleného routeru.

20.7.2021 19:15 Indiánský lotr | skóre: 25 | blog: ucim_sa
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge

O jakou kamerovou aplikaci se jedná? Znamená to že v aplikaci kamery nejdou vidět? Nebo se na ně jen nedá připojit?

Stejný problém jsem řešil s kamerami GeoVision kdy jsem chtěl upgradovat firmware, pokud je program nenašel přes multicast vysílání, tak se s nimi nebavil ani když jsem IP adresu přidal manuálně. Takže jsem to musel stejně řešit na LANce.

Předpokládám že routování funguje v pořádku z obou směrů a ve firewallu nemáš nastaveny žádné omezující pravidla. Teď se dívám že používáš tcp spojení je pro to nějaký důvod? U OpenVPN se doporučuje jednoznačně udp.

20.7.2021 21:25 Cormega
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge

Jedná se o aplikaci "e-view7", když jsem v lokální síti, tak se připojím. V případě připojení přes openvpn (client) se kamerá snaží připojit "connecting", ale nepřipojí se. Přitom můžu zadat ip adresu lan kamery v prohlížeči pro její nastavení.

Zkoušel jsem také udp. Vím, že je to doporučeno, ale právě zkouším vše, abych to zprovoznil. Samozřejmě nastavím zpět udp...

20.7.2021 22:08 X
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge

Co je to presne za kameru?

20.7.2021 21:43 X
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge

Poznamky:

txqueuelen 1000

Nestandartni, bezne se nepouziva. Duvod?

keepalive 15 60
keepalive 10 120

Nesedi s klientem..

data-ciphers CHACHA20-POLY1305:AES-128-GCM:AES-256-GCM:AES-128-CBC:AES-256-CBC

CHACHA20-POLY1305 neni bezne, nepouziva se.

tun-mtu 1500

Hodnota 1500 je default.

push "route 192.168.5.0 255.255.255.0"

Na klientovi? Proc?

Bohužel OpenVPN již toto rozhraní nepodporuje.

Od kdy?

Mimmochodem, asi dalsi jedina alternativa je GRE pres IPSec, ktere umi zabalit Layer-2 a prenaset multicast, ale to uz neni vubec trivialni konfigurace. opravdu se ta kamera neda rozchodit jinak?

20.7.2021 22:06 Cormega
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge

Tak opravil jsem hodnoty na které jste upozornil. OpenVPN aplikace ať už se jedná o Android nebo Apple TAP nepodporuje, při pokusu o spojení to jasně a zřetelně zobrazí. Nepodporováno. Tohle neovlivním....

Přeci musí jít například přes route přesměrovat openvnp subnet na lan. Nebo nastavit jiný gateway přes iptables....

21.7.2021 07:03 bigBRAMBOR | skóre: 36
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge

je neco jineho napsat OpenVPN tap jiz nepodporu - coz teda neni pravda, nez ze neni podpora v klientovi pro mobily. Co se tyka aplikace pro Apple nevim, u Android tusim tap podporuje placena verze.

21.7.2021 11:21 Cormega
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge

Díky za "vsuvku". Proto jsem také výše napsal "OpenVPN aplikace ať už se jedná o Android nebo Apple TAP nepodporuje". Tohle však absolutně neřeší můj problém a jen zahlcuje diskusi. Každopádně podpora jen specifického systému je v dnešní době "nesmysl". Zvláště, když je Apple a Android tak rozšířen. Podpora jen na PC je nesmysl....

21.7.2021 14:58 PetebLazar | skóre: 35 | blog: l_eonardovo_odhodlani
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge

Podpora (TAP) jen na PC dává naopak velký smysl. Ukazuje jasně rozdíl mezi (relativně) otevřenými desktop OS a uzavřenými mobilními OS.

21.7.2021 15:55
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge

OpenVPN na Androidu nefunguje, protože to nepodporuje systém Android. Ne, že si to vymyslelo OpenVPN.

Můžete si stěžovat u Googlu, jak se doporučuje v helpu, který jsem vám okopíroval a o kterém jste následně tvrdil, že jste již četl.

Jak je to u Applu, nevím.

21.7.2021 15:57
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge

píšu samozřejmě o TAP rozhraní, které vás zajímá.

20.7.2021 23:18 Cormega
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge

Zkoušel jsem TAP na PC a vše krásně funguje, bohužel potřebuji to na smartphonu apple, android...tam je podporováno jen rozhraní TUN. Proč to dělat jednoduše, když to jde složitě. Opravdu nechápu, proč je to nepodporováno. Vyřešilo by to spoustu problémů....

Takže to mám chápat tak, že přes TUN rozhraní to prostě nebude fungovat. K čemu je potom OpenVPN, když se nedá použít na tak základní věc jako přístup do vzdálené lokální sítě....

20.7.2021 23:50 PetebLazar | skóre: 35 | blog: l_eonardovo_odhodlani
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge

Někteří placení mobilní VPN klienti deklarují i podporu pro TAP (emulací), nakolik jsou funkční jsem zatím nezkoušel. Asi by to šlo ve "zkušební periodě" (cancel subscription do 7 dní) ověřit. https://play.google.com/store/apps/details?id=it.colucciweb.vpnclientpro

21.7.2021 04:45
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge

Androidí aplikace OpenVPN Connect – Fast & Safe SSL VPN Client - help:

Q: Why does the app not support TAP-style tunnels?

A: The Android VPN API supports only TUN-style or routed tunnels on Layer 3 at the moment. TAP-style or bridged tunnels on Layer 2 are not possible on Android. This is a limitation of the Android platform. If you try to connect a profile that uses a TAP-based tunnel, you will get an error that says only Layer 3 tunnels are currently supported.

If you really want to see TAP-style tunnels supported in OpenVPN Connect, we would encourage you to contact the Google Android team[http://code.google.com/p/android/issues/list] and ask that the VpnService API be extended to allow this. Without such changes to the VpnService API, it is not possible for non-root apps such as OpenVPN Connect to support TAP-style tunnels. Currently we have very little demand for this feature because Layer 3 is for a number of reasons the better choice anyways.

Řešení 1× (Cormega (tazatel))

21.7.2021 11:15 Cormega
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge

To jsem také četl, ale zase tam není zmínka o podpoře Apple...Tak to vyřeším pomocí přesměrování portů.

21.7.2021 15:50
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge

O podpoře pro Apple se tam nepíše, jelikož se jaksi jedná o aplikaci pro systém Android.

23.7.2021 15:12 Cormega
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge

Vždyť jsem to napsal, že to neřeší problém s apple zařízením. Je tam jasně napsáno, že to lze zprovoznit na systému android. Vím o možnosti rootu atd...ale to nic nemění na faktu, že to na applu nerozjedu !!!

Čekal jsem odbornější diskusi. To vaše slovíčkaření je na dvě věci...

Každopádně problém jsem vyřešil.

23.7.2021 21:39 PetebLazar | skóre: 35 | blog: l_eonardovo_odhodlani
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge

Ještě, že to nepotřebujete oživit na MacOSu. Vypadá to, že budoucí verze MacOS o tuto možnost příjdou asi také. https://tunnelblick.net/cTunTapConnections.html#what-apple-announced

25.7.2021 12:24 Andrej | skóre: 51 | blog: Republic of Mordor
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge

Mám OpenVPN server na routeru…

A v tom je právě chyba. Protokol pro VPN se jmenuje IPSec. Software pro výměnu klíčů bývá na routerech k dispozici, Android umí IPSec (téměř) nativně a na klasickém linuxovém stroji to bude třeba StrongSwan.

OpenVPN je ubohá jednovláknová hračka, kterou si lidé omylem instalují jen proto, že má (nesprávně!) VPN v názvu. Zároveň je to vydatný zdroj dotazů typu „OpenVPN mi nefunguje“, „OpenVPN má naprosto mizerný výkon“, „skrz OpenVPN se neroutuje“ atd.; historie poradny na ABCLinuxu je toho plná.

Doporučuji tedy použít skutečnou VPN — IPSec.

"veřejná ip"

Máme rok 2021. Každá IP adresa je veřejná. Když se něco jmenuje adresa, má to být z principu veřejné. Jinými slovy, doporučuji vyhnout se tomu muzejnímu experimentu z roku 1975, který měl omylem 32-bitové „adresy“ a skončil špatně, a použít (přinejmenším uvnitř VPN a ideálně také jako vnější vrstvu) skutečný internet, tedy IPv6. Pravda, na webu se stále ještě povaluje spousta škodlivých a rozbitých howto s „adresami“ připomínajícími telefonní čísla, ale dnes už opravdu nemá smysl něčím takovým ztrácet čas.

25.7.2021 12:59
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge

https://www.google.com/search?q=OpenVPN+does+not+work

3 800 000 výsledků

https://www.google.com/search?q=ipsec+does+not+work

5 910 000 výsledků

Ale jinak máš pravdu.

23.8.2021 02:31 Andrej | skóre: 51 | blog: Republic of Mordor
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge

Jako že nějaký tupec-anonym dokázal přelouskat jakési číslo ve vyhledávači, jehož význam vůbec nechápe?

Jo, tomu bych nakonec možná i věřil.

No ovšemže mám pravdu: IPSec je VPN, zatímco Open„VPN“ je sračkoidní jednovláknová hračka pro děti. Nějaké další připomínky?

25.7.2021 13:37 ewew | skóre: 40 | blog: ewewov_blog
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge

IPv6 porušuje pravidlo absolutnej izolácie od pripojenia z vonku. Už len prístupnosť pre radvd umožňuje nasmerovanie cez systém útočníka.

Je jedno koľko je ip adries v danom prefixe. Ak bude sieť robiť problémy zablokuje sa celý prefix. Aj keď by bol /48. Takto nebude stačiť ani dlžka 1024 bitov.

Root v linuxe : "Root povedal, linux vykona."

23.8.2021 02:27 Andrej | skóre: 51 | blog: Republic of Mordor
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge

IPv6 porušuje pravidlo absolutnej izolácie od pripojenia z vonku.

Hovno, vole. Slyšel jsi už někdy slovo firewall? Nebo snad nemáš pod kontrolou svůj vlastní router a ten se pak neřídí tvými pravidly? Tím se raději nechlub. ;-)

Jaké pravidlo? Kde je napsané? Ve kterém RFC? Ve kterém zákoně? Kdo ho stanovil? Kdy? Proč? Z jakého mandátu?

Jinými slovy: Nevymýšlej si pičoviny, prosím. Implicitně má být každý stroj přístupný odkudkoliv. Jmenuje se to internet. Tak to bylo zamýšleno.

Už len prístupnosť pre radvd umožňuje nasmerovanie cez systém útočníka.

Kde máš exploit? Ukaž mi prosím draft tvého RFC, které ten údajný problém (doložený exploitem) řeší.

Sorry jako, ale tihle různí IPv4-dementi a IPv4-idioti typu „odmítám se naučit používat opravdový internet (== IPv6)“, mi už fakt lezou na nervy. Opravdu, ale opravdu. Nechť už jdou prosím do prdele. Nebo ať přijdou surfovat do mojí sítě bez IPv4; skvěle se pobavím.

26.7.2021 00:36 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge

Mezitím v naší realitě lidé stále používají IPv4 a ještě nějakou dobu budou, zatímco IPv6 je okrajová hračka pro nadšence a datacentra.

Quando omni flunkus moritati

23.8.2021 02:47 Andrej | skóre: 51 | blog: Republic of Mordor
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge

To musí být smutné, žít v Severní Koreji nebo v Afghánistánu nebo kde ta zmíněná „naše“ realita je. (A kdo přesně je „my“ — Kája IV. nebo tak?)

V realitě většiny světa (vyjádřeno v severokorejské rétorice: zbytku světa) je IPv6 internet, zatímco IPv4 je okrajová hračka v Národním technickém muzeu, která jen ukazuje, proč se nemají nedokončené experimenty pouštět předčasně do světa.

Jasně, hlavně Indie („ekonomika budoucnosti“ v mnoha směrech) a její 61,2% IPv6 je opravdu (ale opravdu) okrajová hračka, co? Ten pán s oslíkem, který právě teď surfuje na svém smartphonu za $99 přes IPv6, není až tak okrajová hračka, jak by si někteří „západní“ okrajoví oslíci mohli myslet.

Jasně, že ČR je v téhle oblasti na chvostu (jako ostatně ve všem digitálním) — to nikoho nepřekvapí. Přesto bych 15,7% označil spíš za ostudu než za něco okrajového. (Štěstí, že už v tom Kocourkově nežiju.) No a například taková Francie se svými 48,4% zas až tak okrajově nevypadá, když se člověk trochu rozhlédne po Evropě.

Založit nové vlákno • Nahoru

Tiskni Sdílej: