abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 12:44 | IT novinky

Apple představil nové MacBooky Pro s novými vlastními čipy M1 Pro a M1 Max. Nejvýkonnější M1 Max má na sobě 10 CPU jader a 32 GPU jader. Vývojáři Asahi Linuxu si díky podpoře na Patreonu nové MacBooky Pro již objednali.

Ladislav Hagara | Komentářů: 2
dnes 11:44 | IT novinky

Rodina produktů Raspberry Pi se rozrostla o rozšiřující desku Raspberry Pi Build HAT umožňující propojit Raspberry Pi s motory a senzory LEGO Technic z portfolia LEGO Education SPIKE. Současně byl představen 48W napájecí zdroj pro Raspberry Pi Build HAT a knihovna pro Python Build HAT.

Ladislav Hagara | Komentářů: 0
včera 18:33 | Nová verze

VKD3D-Proton byl vydán ve verzi 2.5. Jedná se fork knihovny vkd3d z projektu Wine pro Proton. Knihovna slouží pro překlad volání Direct3D 12 na Vulkan.

Ladislav Hagara | Komentářů: 1
včera 17:11 | Nová verze

Rozšíření GNOME Shellu Dash to Dock bylo po roce vydáno v nové verzi 70. Přidána byla podpora GNOME Shellu 40.

Ladislav Hagara | Komentářů: 0
včera 07:00 | Zajímavý software

L0phtCrack (Wikipedie), nástroj pro auditování a obnovu hesel v Microsoft Windows, je nově open source. Zdrojové kódy nejnovější verze 7.2.0 byly zveřejněny na GitLabu.

Ladislav Hagara | Komentářů: 4
15.10. 21:44 | IT novinky

V dubnu letošního roku byla hodnota Bitcoinu, decentralizované kryptoměny téměř 65 000 dolarů. V červnu hodnota klesla pod 30 000 dolarů. Aktuálně opět překonala 60 000 dolarů.

Ladislav Hagara | Komentářů: 43
15.10. 16:00 | Nová verze

Společnost PINE64 stojící za telefonem PinePhone, notebooky Pinebook a Pinebook Pro, IP kamerou PineCube, hodinkami PineTime, páječkou (pájecím perem) Pinecil, zdroji PinePower nebo RISC-V vývojovou deskou PineCone publikovala na svém blogu říjnový souhrn novinek (YouTube) a představila nový vylepšený PinePhone Pro.

Ladislav Hagara | Komentářů: 26
15.10. 15:44 | Komunita

Ubuntu 22.04 bude Jammy Jellyfish.

Ladislav Hagara | Komentářů: 4
15.10. 14:55 | Zajímavý software

Projekt Sysinternals, tj. technické informace, nástroje pro diagnostiku, monitorování a hledání chyb v Microsoft Windows, včera slavil 25 let. Při této příležitosti byl představen Sysinternals Sysmon pro Linux. Zdrojové kódy jsou k dispozici na GitHubu. Další informace v příspěvku na blogu Microsoft Tech Community.

Ladislav Hagara | Komentářů: 0
15.10. 08:00 | Nová verze

Správce sbírky a přehrávač hudby Strawberry, fork Clementine, duchovního nástupce původního Amaroku z KDE 3.x, dospěl k vydání 1.0.0. Používá Qt 6, doplňuje několik funkcí včetně podpory ALSA PCM zařízení a unikátní identifikace souborů ve sbírce.

Fluttershy, yay! | Komentářů: 0
Kolik monitorů (obrazovek) používáte současně?
 (49%)
 (36%)
 (14%)
 (1%)
Celkem 372 hlasů
 Komentářů: 29, poslední dnes 07:04
Rozcestník



Dotaz: OpenVPN tun jako bridge

20.7. 17:10 Cormega
OpenVPN tun jako bridge
Přečteno: 675×
Zdravím,

Mám OpenVPN server na routeru s alternativním firmwarem "fresh tomato". Připojení funguje. Problém nastane, když se chci připojit do vnitřní sítě LAN, kde jsou připojené kamery (přes wifi síť).

Když jsem připojen přes vpn (client ip 10.0.8.20) a zadám do prohlížeče LAN adresu kamery 192.168.5.10, tak se načte gui nastavení kamery. Bohužel, když se snažím použít aplikaci pro danou kameru, tak se nechce připojit, není dostupná. V lokální síti to funguje, ale přes vpn ne.
OpenVPN server rozhraní: TUN
VPN IP rozsah: 10.0.8.0/24
LAN IP rozsah: 192.168.5.0/24
Router GUI (gateway): 192.168.5.1
Použil bych TAP rozhraní, které vytvoří bridge a nic bych řešit nemusel. Bohužel OpenVPN již toto rozhraní nepodporuje.

Potřebuji tedy nastavit TUN rozhraní (ip 10.0.8.0/24), aby se tvářilo, že je v lokální síti (lan rozsah 192.168.5.0/24) a já se mohl připojit přes aplikaci na kameru.

KONFIGURACE SERVERU:
daemon
port 8765
dev tun21
txqueuelen 1000
keepalive 15 60
verb 3
server 10.0.8.0 255.255.255.0
proto tcp-server
data-ciphers CHACHA20-POLY1305:AES-128-GCM:AES-256-GCM:AES-128-CBC:AES-256-CBC
cipher AES-128-CBC
push "route 192.168.5.0 255.255.255.0"
duplicate-cn
ca ca.crt
dh dh.pem
cert server.crt
key server.key
status-version 2
status status 10
KONFIGURACE KLIENTA:
client
remote-cert-tls server
remote "veřejná ip" 8765
dev tun
proto tcp
tun-mtu 1500
push "dhcp-option DNS 1.1.1.1"
push "route 192.168.5.0 255.255.255.0"
auth-nocache
keepalive 10 120
user nobody
group nobody
resolv-retry infinite
nobind
persist-key
persist-tun
float
verb 3

Řešení dotazu:


Odpovědi

20.7. 18:38 Cormega
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge
Vím, že TUN nelze použít jako bridge. Jde mi jen o to, abych měl přístup do LAN a mohl ovládat kameru přes openvpn...
20.7. 18:56 Cormega
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge
Ještě pro upřesnění, aby vpn client byl pod stejným subnet jako LAN síť vzdáleného routeru.
Indiánský lotr avatar 20.7. 19:15 Indiánský lotr | skóre: 24 | blog: ucim_sa
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge

O jakou kamerovou aplikaci se jedná? Znamená to že v aplikaci kamery nejdou vidět? Nebo se na ně jen nedá připojit?

Stejný problém jsem řešil s kamerami GeoVision kdy jsem chtěl upgradovat firmware, pokud je program nenašel přes multicast vysílání, tak se s nimi nebavil ani když jsem IP adresu přidal manuálně. Takže jsem to musel stejně řešit na LANce.

Předpokládám že routování funguje v pořádku z obou směrů a ve firewallu nemáš nastaveny žádné omezující pravidla. Teď se dívám že používáš tcp spojení je pro to nějaký důvod? U OpenVPN se doporučuje jednoznačně udp.

20.7. 21:25 Cormega
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge
Jedná se o aplikaci "e-view7", když jsem v lokální síti, tak se připojím. V případě připojení přes openvpn (client) se kamerá snaží připojit "connecting", ale nepřipojí se. Přitom můžu zadat ip adresu lan kamery v prohlížeči pro její nastavení.

Zkoušel jsem také udp. Vím, že je to doporučeno, ale právě zkouším vše, abych to zprovoznil. Samozřejmě nastavím zpět udp...
20.7. 22:08 X
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge
Co je to presne za kameru?
20.7. 21:43 X
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge
Poznamky:
txqueuelen 1000
Nestandartni, bezne se nepouziva. Duvod?
keepalive 15 60
keepalive 10 120
Nesedi s klientem..
data-ciphers CHACHA20-POLY1305:AES-128-GCM:AES-256-GCM:AES-128-CBC:AES-256-CBC
CHACHA20-POLY1305 neni bezne, nepouziva se.
tun-mtu 1500
Hodnota 1500 je default.
push "route 192.168.5.0 255.255.255.0"
Na klientovi? Proc?
Bohužel OpenVPN již toto rozhraní nepodporuje.
Od kdy?

Mimmochodem, asi dalsi jedina alternativa je GRE pres IPSec, ktere umi zabalit Layer-2 a prenaset multicast, ale to uz neni vubec trivialni konfigurace. opravdu se ta kamera neda rozchodit jinak?
20.7. 22:06 Cormega
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge
Tak opravil jsem hodnoty na které jste upozornil. OpenVPN aplikace ať už se jedná o Android nebo Apple TAP nepodporuje, při pokusu o spojení to jasně a zřetelně zobrazí. Nepodporováno. Tohle neovlivním....

Přeci musí jít například přes route přesměrovat openvnp subnet na lan. Nebo nastavit jiný gateway přes iptables....
21.7. 07:03 bigBRAMBOR | skóre: 36
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge
je neco jineho napsat OpenVPN tap jiz nepodporu - coz teda neni pravda, nez ze neni podpora v klientovi pro mobily. Co se tyka aplikace pro Apple nevim, u Android tusim tap podporuje placena verze.
21.7. 11:21 Cormega
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge
Díky za "vsuvku". Proto jsem také výše napsal "OpenVPN aplikace ať už se jedná o Android nebo Apple TAP nepodporuje". Tohle však absolutně neřeší můj problém a jen zahlcuje diskusi. Každopádně podpora jen specifického systému je v dnešní době "nesmysl". Zvláště, když je Apple a Android tak rozšířen. Podpora jen na PC je nesmysl....
21.7. 14:58 PetebLazar | skóre: 28 | blog: l_eonardovo_odhodlani
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge
Podpora (TAP) jen na PC dává naopak velký smysl. Ukazuje jasně rozdíl mezi (relativně) otevřenými desktop OS a uzavřenými mobilními OS.
21.7. 15:55
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge
OpenVPN na Androidu nefunguje, protože to nepodporuje systém Android. Ne, že si to vymyslelo OpenVPN.

Můžete si stěžovat u Googlu, jak se doporučuje v helpu, který jsem vám okopíroval a o kterém jste následně tvrdil, že jste již četl.

Jak je to u Applu, nevím.
21.7. 15:57
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge
píšu samozřejmě o TAP rozhraní, které vás zajímá.
20.7. 23:18 Cormega
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge
Zkoušel jsem TAP na PC a vše krásně funguje, bohužel potřebuji to na smartphonu apple, android...tam je podporováno jen rozhraní TUN. Proč to dělat jednoduše, když to jde složitě. Opravdu nechápu, proč je to nepodporováno. Vyřešilo by to spoustu problémů....

Takže to mám chápat tak, že přes TUN rozhraní to prostě nebude fungovat. K čemu je potom OpenVPN, když se nedá použít na tak základní věc jako přístup do vzdálené lokální sítě....
20.7. 23:50 PetebLazar | skóre: 28 | blog: l_eonardovo_odhodlani
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge
Někteří placení mobilní VPN klienti deklarují i podporu pro TAP (emulací), nakolik jsou funkční jsem zatím nezkoušel. Asi by to šlo ve "zkušební periodě" (cancel subscription do 7 dní) ověřit. https://play.google.com/store/apps/details?id=it.colucciweb.vpnclientpro
21.7. 04:45
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge
Androidí aplikace OpenVPN Connect – Fast & Safe SSL VPN Client - help:

Q: Why does the app not support TAP-style tunnels?

A: The Android VPN API supports only TUN-style or routed tunnels on Layer 3 at the moment. TAP-style or bridged tunnels on Layer 2 are not possible on Android. This is a limitation of the Android platform. If you try to connect a profile that uses a TAP-based tunnel, you will get an error that says only Layer 3 tunnels are currently supported.

If you really want to see TAP-style tunnels supported in OpenVPN Connect, we would encourage you to contact the Google Android team[http://code.google.com/p/android/issues/list] and ask that the VpnService API be extended to allow this. Without such changes to the VpnService API, it is not possible for non-root apps such as OpenVPN Connect to support TAP-style tunnels. Currently we have very little demand for this feature because Layer 3 is for a number of reasons the better choice anyways.

Řešení 1× (Cormega (tazatel))
21.7. 11:15 Cormega
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge
To jsem také četl, ale zase tam není zmínka o podpoře Apple...Tak to vyřeším pomocí přesměrování portů.
21.7. 15:50
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge
O podpoře pro Apple se tam nepíše, jelikož se jaksi jedná o aplikaci pro systém Android.
23.7. 15:12 Cormega
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge
Vždyť jsem to napsal, že to neřeší problém s apple zařízením. Je tam jasně napsáno, že to lze zprovoznit na systému android. Vím o možnosti rootu atd...ale to nic nemění na faktu, že to na applu nerozjedu !!!

Čekal jsem odbornější diskusi. To vaše slovíčkaření je na dvě věci...

Každopádně problém jsem vyřešil.
23.7. 21:39 PetebLazar | skóre: 28 | blog: l_eonardovo_odhodlani
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge
Ještě, že to nepotřebujete oživit na MacOSu. Vypadá to, že budoucí verze MacOS o tuto možnost příjdou asi také. https://tunnelblick.net/cTunTapConnections.html#what-apple-announced
25.7. 12:24 Andrej | skóre: 49 | blog: Republic of Mordor
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge
Mám OpenVPN server na routeru…

A v tom je právě chyba. Protokol pro VPN se jmenuje IPSec. Software pro výměnu klíčů bývá na routerech k dispozici, Android umí IPSec (téměř) nativně a na klasickém linuxovém stroji to bude třeba StrongSwan.

OpenVPN je ubohá jednovláknová hračka, kterou si lidé omylem instalují jen proto, že má (nesprávně!) VPN v názvu. Zároveň je to vydatný zdroj dotazů typu „OpenVPN mi nefunguje“, „OpenVPN má naprosto mizerný výkon“, „skrz OpenVPN se neroutuje“ atd.; historie poradny na ABCLinuxu je toho plná.

Doporučuji tedy použít skutečnou VPN — IPSec.

"veřejná ip"

Máme rok 2021. Každá IP adresa je veřejná. Když se něco jmenuje adresa, má to být z principu veřejné. Jinými slovy, doporučuji vyhnout se tomu muzejnímu experimentu z roku 1975, který měl omylem 32-bitové „adresy“ a skončil špatně, a použít (přinejmenším uvnitř VPN a ideálně také jako vnější vrstvu) skutečný internet, tedy IPv6. Pravda, na webu se stále ještě povaluje spousta škodlivých a rozbitých howto s „adresami“ připomínajícími telefonní čísla, ale dnes už opravdu nemá smysl něčím takovým ztrácet čas.

25.7. 12:59
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge
https://www.google.com/search?q=OpenVPN+does+not+work

3 800 000 výsledků

https://www.google.com/search?q=ipsec+does+not+work

5 910 000 výsledků

:-D

Ale jinak máš pravdu.
23.8. 02:31 Andrej | skóre: 49 | blog: Republic of Mordor
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge

Jako že nějaký tupec-anonym dokázal přelouskat jakési číslo ve vyhledávači, jehož význam vůbec nechápe?

Jo, tomu bych nakonec možná i věřil.

No ovšemže mám pravdu: IPSec je VPN, zatímco Open„VPN“ je sračkoidní jednovláknová hračka pro děti. Nějaké další připomínky?

25.7. 13:37 ewew | skóre: 39 | blog: ewewov_blog
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge

IPv6 porušuje pravidlo absolutnej izolácie od pripojenia z vonku. Už len prístupnosť pre radvd umožňuje nasmerovanie cez systém útočníka.

Je jedno koľko je ip adries v danom prefixe. Ak bude sieť robiť problémy zablokuje sa celý prefix. Aj keď by bol /48. Takto nebude stačiť ani dlžka 1024 bitov.

Root v linuxe : "Root povedal, linux vykona."
23.8. 02:27 Andrej | skóre: 49 | blog: Republic of Mordor
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge
IPv6 porušuje pravidlo absolutnej izolácie od pripojenia z vonku.

Hovno, vole. Slyšel jsi už někdy slovo firewall? Nebo snad nemáš pod kontrolou svůj vlastní router a ten se pak neřídí tvými pravidly? Tím se raději nechlub. ;-)

Jaké pravidlo? Kde je napsané? Ve kterém RFC? Ve kterém zákoně? Kdo ho stanovil? Kdy? Proč? Z jakého mandátu?

Jinými slovy: Nevymýšlej si pičoviny, prosím. Implicitně má být každý stroj přístupný odkudkoliv. Jmenuje se to internet. Tak to bylo zamýšleno.

Už len prístupnosť pre radvd umožňuje nasmerovanie cez systém útočníka.

Kde máš exploit? Ukaž mi prosím draft tvého RFC, které ten údajný problém (doložený exploitem) řeší.

Sorry jako, ale tihle různí IPv4-dementi a IPv4-idioti typu „odmítám se naučit používat opravdový internet (== IPv6)“, mi už fakt lezou na nervy. Opravdu, ale opravdu. Nechť už jdou prosím do prdele. Nebo ať přijdou surfovat do mojí sítě bez IPv4; skvěle se pobavím.

26.7. 00:36 trekker.dk | skóre: 71
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge
Mezitím v naší realitě lidé stále používají IPv4 a ještě nějakou dobu budou, zatímco IPv6 je okrajová hračka pro nadšence a datacentra.
Quando omni flunkus moritati
23.8. 02:47 Andrej | skóre: 49 | blog: Republic of Mordor
Rozbalit Rozbalit vše Re: OpenVPN tun jako bridge

To musí být smutné, žít v Severní Koreji nebo v Afghánistánu nebo kde ta zmíněná „naše“ realita je. (A kdo přesně je „my“ — Kája IV. nebo tak?)

V realitě většiny světa (vyjádřeno v severokorejské rétorice: zbytku světa) je IPv6 internet, zatímco IPv4 je okrajová hračka v Národním technickém muzeu, která jen ukazuje, proč se nemají nedokončené experimenty pouštět předčasně do světa.

Jasně, hlavně Indie („ekonomika budoucnosti“ v mnoha směrech) a její 61,2% IPv6 je opravdu (ale opravdu) okrajová hračka, co? Ten pán s oslíkem, který právě teď surfuje na svém smartphonu za $99 přes IPv6, není až tak okrajová hračka, jak by si někteří „západní“ okrajoví oslíci mohli myslet.

Jasně, že ČR je v téhle oblasti na chvostu (jako ostatně ve všem digitálním) — to nikoho nepřekvapí. Přesto bych 15,7% označil spíš za ostudu než za něco okrajového. (Štěstí, že už v tom Kocourkově nežiju.) No a například taková Francie se svými 48,4% zas až tak okrajově nevypadá, když se člověk trochu rozhlédne po Evropě.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.