Forum Turris
Fórum Turris Nápověda

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.


Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Nahoru Téma Majitelé routerů / Technická podpora / Zprovoznění OpenVPN
- - Od DracoAn Dne 2014-04-23 19:32
Dobrý den,

mám menší problém rozchodit OpenVPN. Netuším co dělám špatně. Vygeneroval jsem klíče nahrál na router nastavil podle návodu, forwardoval port 1194 na router a z venku se nemohu připojit.

Na lokální síti mě to připojí, ale s touto chybou:
Wed Apr 23 20:10:53 2014 Initialization Sequence Completed With Errors ( see http://openvpn.net/faq.html#dhcpclientserv )
Wed Apr 23 20:10:53 2014 MANAGEMENT: >STATE:1398276653,CONNECTED,ERROR,10.8.0.6,moje přidělená IP


Když dám připojit z venku. Nepřipojí se a vyhodí tento log:
Wed Apr 23 19:40:23 2014 OpenVPN 2.3.2 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [eurephia] [IPv6] built on Aug 22 2013
Enter Management Password:
Wed Apr 23 19:40:23 2014 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Wed Apr 23 19:40:23 2014 Need hold release from management interface, waiting...
Wed Apr 23 19:40:23 2014 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Wed Apr 23 19:40:23 2014 MANAGEMENT: CMD 'state on'
Wed Apr 23 19:40:23 2014 MANAGEMENT: CMD 'log all on'
Wed Apr 23 19:40:23 2014 MANAGEMENT: CMD 'hold off'
Wed Apr 23 19:40:23 2014 MANAGEMENT: CMD 'hold release'
Wed Apr 23 19:40:23 2014 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Wed Apr 23 19:40:23 2014 Socket Buffers: R=[65536->65536] S=[65536->65536]
Wed Apr 23 19:40:23 2014 MANAGEMENT: >STATE:1398274823,RESOLVE,,,
Wed Apr 23 19:40:24 2014 UDPv4 link local: [undef]
Wed Apr 23 19:40:24 2014 UDPv4 link remote: [AF_INET]moje statická ip:1194
Wed Apr 23 19:40:24 2014 MANAGEMENT: >STATE:1398274824,WAIT,,,
Wed Apr 23 19:41:24 2014 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Apr 23 19:41:24 2014 TLS Error: TLS handshake failed
Wed Apr 23 19:41:24 2014 SIGUSR1[soft,tls-error] received, process restarting
Wed Apr 23 19:41:24 2014 MANAGEMENT: >STATE:1398274884,RECONNECTING,tls-error,,
Wed Apr 23 19:41:24 2014 Restart pause, 2 second(s)
Wed Apr 23 19:41:26 2014 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Wed Apr 23 19:41:26 2014 Socket Buffers: R=[65536->65536] S=[65536->65536]
Wed Apr 23 19:41:26 2014 MANAGEMENT: >STATE:1398274886,RESOLVE,,,
Wed Apr 23 19:41:26 2014 UDPv4 link local: [undef]
Wed Apr 23 19:41:26 2014 UDPv4 link remote: [AF_INET]moje staticka ip:1194
Wed Apr 23 19:41:26 2014 MANAGEMENT: >STATE:1398274886,WAIT,,,
Wed Apr 23 19:42:01 2014 SIGTERM[hard,] received, process exiting
Wed Apr 23 19:42:01 2014 MANAGEMENT: >STATE:1398274921,EXITING,SIGTERM,,


Nastavení je takovéto:
/etc/config/openvpn

config openvpn custom_config
  option enabled 1
  option config /etc/openvpn/vpn.conf
  option port 1194
  option proto udp
  option dev tun
  option ca /etc/openvpn/ca.crt
  option cert /etc/openvpn/server.crt
  option key /etc/openvpn/server.key
  option dh /etc/openvpn/dh1024.pem
  option server "10.8.0.0 255.255.255.0"
  option keepalive "10 1200"
  option comp_lzo yes
  option verb 3


/etc/openvpn/vpn.conf

dev tun
proto udp
remote moje.doména 1194
keepalive 10 1200
nobind
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
ns-cert-type server
comp-lzo yes
verb 3


/etc/config/network
    config interface 'vpn'
            option proto none
            option ifname 'tun0'
            option auto 1


/etc/config/firewall

    config zone
            option name             lan
            list   network          'lan'
      list   network          'vpn'
            option input            ACCEPT
            option output           ACCEPT
            option forward          ACCEPT


Poradí někdo co s tím?
Nadřazený - - Od Filip Vyskočil Dne 2014-04-23 21:50
Ahoj,
chtělo by to znát konfiguraci serveru a klienta. A logy z obou.
Každý by měl mít jiný certifikát.
Pokud používáš na klientu ns-cert-type server, měl by certifikát serveru toto rozšíření obsahovat.
Jak máš konkrétně přesměrovaný port? Neměl bys ho spíš povolit na vstupu z wan?
Nadřazený - - Od DracoAn Dne 2014-04-24 09:06
konfigurace serveru:
/etc/config/openvpn

config openvpn custom_config
  option enabled 1
  option config /etc/openvpn/vpn.conf
  option port 1194
  option proto udp
  option dev tun
  option ca /etc/openvpn/ca.crt
  option cert /etc/openvpn/server.crt
  option key /etc/openvpn/server.key
  option dh /etc/openvpn/dh1024.pem
  option server "10.8.0.0 255.255.255.0"
  option keepalive "10 1200"
  option comp_lzo yes
  option verb 3

/etc/openvpn/vpn.conf

dev tun
proto udp
remote moje.doména 1194
keepalive 10 1200
nobind
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
ns-cert-type server
comp-lzo yes
verb 3

/etc/config/network
    config interface 'vpn'
            option proto none
            option ifname 'tun0'
            option auto 1

/etc/config/firewall

    config zone
            option name             lan
            list   network          'lan'
      list   network          'vpn'
            option input            ACCEPT
            option output           ACCEPT
            option forward          ACCEPT


Nastavení klienta:

client
dev tun
proto udp
remote moje.domena 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
comp-lzo
verb 3


ns-cert-type server nepoužívám
Port mám přesměrovaný z veřejné ip adresy na router. Špatně jsem to definoval, mou statickou IP jsem myslel veřejnou IP, neboli na adresu na wanu.

Log z clientu je uvedený na vrchu. Z turrisu momentálně log nemám u sebe.
Nadřazený - Od Ondřej Caletka (>>>) Dne 2014-04-24 09:33
Stále není vidět, jestli máte ve firewallu povolený přístup na port udp/1194 z WAN strany.
Nadřazený - Od Filip Vyskočil Dne 2014-04-24 10:30
Já bych do konfigurace serveru ns-cert-type server nepsal.
Nadřazený - - Od Michal Vaner (>>) Dne 2014-04-24 09:58
Napadá mě jedna věc. Jestli to náhodou neblokuje firewall a není potřeba pustit port dovnitř. Říkám si, že jsem asi ten návod na OpenVPN psal s testováním po lokální síti.

http://wiki.openwrt.org/doc/uci/firewall#opening.ports

Pokud to pomůže, tak dejte vědět, ať to opravím v návodu.

Díky
Nadřazený - - Od DracoAn Dne 2014-04-24 10:58 Upraveno 2014-04-24 11:39
Tyto řádky jsem přidal do firewallu:

config redirect
  option target 'DNAT'
  option src 'wan'
  option dest 'lan'
  option proto 'tcp udp'
  option src_dport '1194'
  option dest_ip '192.168.1.1'
  option dest_port '1194'
  option name 'OpenVPN'

config rule
        option src 'wan'
        option dest_port '1194'
        option target 'ACCEPT'
        option proto 'tcp udp'


Stejně to nepomohlo, ale asi to firewallem bude. Zkusil jsem stejnou konfiguraci jinde a úspěšně připojeno. Jiná lokalita, jiný router.
Nadřazený - Od DracoAn Dne 2014-04-24 11:41
FAQ Community Software

TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)


One of the most common problems in setting up OpenVPN is that the two OpenVPN daemons on either side of the connection are unable to establish a TCP or UDP connection with each other.

This is almost a result of:

    A perimeter firewall on the server's network is filtering out incoming OpenVPN packets (by default OpenVPN uses UDP or TCP port number 1194).
    A software firewall running on the OpenVPN server machine itself is filtering incoming connections on port 1194. Be aware that many OSes will block incoming connections by default, unless configured otherwise.
    A NAT gateway on the server's network does not have a port forward rule for TCP/UDP 1194 to the internal address of the OpenVPN server machine.
    The OpenVPN client config does not have the correct server address in its config file. The remote directive in the client config file must point to either the server itself or the public IP address of the server network's gateway.
    Another possible cause is that the windows firewall is blocking access for the openvpn.exe binary. You may need to whitelist (add it to the "Exceptions" list) it for OpenVPN to work.

Nadřazený - - Od Filip Vyskočil Dne 2014-04-25 08:24
A proč to nekonfiguješ přes web rozhraní? Mně Luci vytvořilo toto:
config rule
        option target 'ACCEPT'
        option src 'wan'
        option proto 'udp'
        option name 'OpenVPN'
        option family 'ipv4'
        option dest_port '1194'

To přesměrování bych nepoužíval, jestli je openvpn server na turrisu...
Nadřazený - - Od DracoAn Dne 2014-04-25 12:35
tak jsem jásal předčasně. Upravil jsem nastavení v /etc/config/firewall na:

config rule
        option target 'ACCEPT'
        option src 'wan'
        option proto 'udp'
        option name 'OpenVPN'
        option family 'ipv4'
        option dest_port '1194'

config zone
        option name             lan
        list   network          'lan'
  list   network          'vpn'
        option input            ACCEPT
        option output           ACCEPT
        option forward          ACCEPT



původní přesměrování jsem smazal.

Konfiguraci v /etc/config/network jsem ponechal.

config interface 'vpn'
        option proto none
        option ifname 'tun0'
        option auto 1


A vzdáleně se připojím, ale kompletně se mi rozpadne připojení na internet a zablokuje se mi přistup na lokální ip adresy a to i v umístění routeru.

Když odmažu toto s firewallu:
config zone
        option name             lan
        list   network          'lan'
  list   network          'vpn'
        option input            ACCEPT
        option output           ACCEPT
        option forward          ACCEPT


Tak se vše rozběhne, ale odmítá se mi opět připojit OpenVPN.
Nadřazený - Od DracoAn Dne 2014-04-25 14:29
Problém je :

config zone
        option name             lan
        list   network          'lan'
  list   network          'vpn'
        option input            ACCEPT
        option output           ACCEPT
        option forward          ACCEPT
Nadřazený - - Od Filip Vyskočil Dne 2014-04-25 15:55
Já mám ve firewall toto, ale nevím, jestli je to správné:

config zone
        option input 'ACCEPT'
        option output 'ACCEPT'
        option name 'VPN'
        option forward 'ACCEPT'
        option network 'VPN'

config forwarding
        option dest 'lan'
        option src 'VPN'

config forwarding
        option dest 'VPN'
        option src 'lan'

config forwarding
        option dest 'wan'
        option src 'VPN'

config forwarding
        option dest 'wan'
        option src 'lan'

Routování si musíte vyřešit sám.
Nadřazený - Od DracoAn Dne 2014-04-25 21:45
Bohužel, i když to vypada logicky, tak to přes ten firewal i přes tuto konfiguraci neprojde. Tak ja už nevím. Pomalu to začínám vzdávat.
- - Od Kamenitxan Dne 2014-06-02 12:25
Povedlo se to někomu zprovoznit? Nepodařilo se mi nastavit firewall tak, aby to fungovalo.
Nadřazený - Od David K. Dne 2014-06-02 23:31 Upraveno 2014-06-02 23:33
muj cfg vpn ale jen to "jen" point-to-point:

FW:

config zone
  option name 'vpn'
  option input 'ACCEPT'
  option forward 'REJECT'
  option output 'ACCEPT'
  option network 'vpn'

config forwarding
  option src 'vpn'
  option dest 'lan'

config forwarding
  option src 'vpn'
  option dest 'wan'

config rule
  option name 'povoleni vpn'
  option target 'ACCEPT'
  option src 'wan'
  option family 'ipv4'
  option proto 'udp'
  option dest_port '5000' //port mam schvalne jinej nez standart
  option enabled '1'

VPN turris:

local moje ip
daemon
port 5000
dev tun
secret test.key
proto udp
ifconfig 10.1.0.1 10.1.0.2
verb 3
comp-lzo yes
keepalive 10 120

Client cfg ted u sebe bohuzel nemam, ale tak tam je vlastne jen prohozeny poradi ip, misto local je remote a je tam redirect-gateway nebo jak je ten prikaz. V pripade potreby vam sem este dam i client cfg
- - Od rh Dne 2014-06-05 17:02 Upraveno 2014-06-05 22:03 Hlasů 1
Na svém starém routeru s DD-WRT mi trvalo nastavení VPN asi hodinu, s Turrisem jsem dneska ztratil celý den

Tento návod je výsměch https://www.turris.cz/doc/navody/openvpn , kde autor ani neodliší server a klient, resp. je to asi návod pro klient, celkově marnost ...

Podařilo se mi nejdříve rozchodit OpenVPN podle tohoto návodu http://wiki.openwrt.org/inbox/vpn.howto, ale  tam jsem nezvladl routovani

Takze podle tohoto navodu jsem to rozjel bridgovane http://wiki.openwrt.org/doc/howto/vpn.server.openvpn.tap a vsechno svisti OK
je jen strucnejsi, chybi tam nastaveni FW takze doporucuju recist si i ten predchozi

Jeste bych rad posadil OpenVPN na port 443, ale tam uz turrisu bezi web, netusim jak ho posunout na jiny port

Myslím, že by nicu nic neudělalo napsat jeden FUNKĆNÍ tutoriál, nebo lépe GUI rozhraní pro VPN...
Nemyslím si že jsem úplný BFU, ale byl jsem fakt v koncích a ztratil celý den, přemýšlím co si asi počne p. Novák  který potřebuje VPN použít
Nadřazený - - Od jirig Dne 2014-06-06 09:20 Hlasů 5
Dobrý den,

omlouvám se za nekonstruktivní odpověď, ale tento příspěvek je skutečně nefér.

Projekt Turris má určitý jasně definovaný cíl a jeho dosažení je založeno na dobrovolné spolupráci. Uživatelé i cz.nic tak získávají některé výhody i nesou některé nevýhody oproti tomu, jak věci běžně fungují. Chápu, že si myslíte, že mezi základní funkce by mělo patřit více, než v tuto chvíli patří, chápu, že takovou změnu navrhujete, ale nerozumím, z jakého titulu je ji možné nárokovat. Zkuste takový návod napsat a vzít na sebe morální odpovědnost radit a pomáhat lidem, kteří se podle něj budou řídit. Možná zjistíte, že to není tak jednodiché a nezatěžující, jak se na první pohled zdá. Je pravda, že při registraci do projektu nebyly jasné všechny detaily, nedostali jsme žádný leták, kde by byl seznam podporovaných funkcí, ale myslím, že je to bohatě vynahrazenou možností vyzkoušet, zda Turris vyhovuje našim potřebám; a když ne, je možné ho bez velkých formalit nebo nějakých sankcí vrátit.

Podobně s návodem na turris.cz. Hned na začátku je jasně uvedeno, co je jeho záměrem a co naopak cílem není. Z vlastní zkušenosti soudím, že specifika konfigurace openvpn vysvětluje docela srozumitelně. Otázka, zda jde o konfiguraci klienta nebo serveru, v tomto kontextu nedává smysl: Turris může fungovat jak jako klient tak jako server (jakkoliv ho nejspíš většina lidí použije jako server).
Nadřazený - - Od rh Dne 2014-06-06 09:47
Chápu Vaše rozhořčení. Ale zskuste pochopit mne, který ztratil je tím VPN asi dva dny času a myslel včera že už mi opravdu hrábne. Nejsem asi sám.

Berte to tak, že kdyby někdo, pro koho je to hodina až dvě času - předpokládám, že někdo tomu v NICu rozumí, napsal tutoriál jak zprovoznit VPN client a VPN server(které považuji za jednu ze základních funkcní routeru), ušetří ostatním desítky člověkohodin. Stačí návod pro stadartní UDP1194,  stím, že - pokud chcete přesunout na tcp port XXX udělějte toto. I na Mikrotiku je to trivka

Návod psát nebudu, protože jednoduše nerozumím IPtables a routování.
Takže jsem dopadl tak,. že večer mi OpenVPN jelo, když jsem dnes změnil paramtery ve 3 kofiguracích aby mi jelo na tcp 443, tak mi přesalo bridgovat do vnitřní sítě a ani po vrácení stejne kofnigurace jako byla v jednu ráno už mi prostě nejede.

Takže do možná  dopadne tak, že vezmu starý router, odjedu na dovolenou a až přijedu zpět tak prostě Turris vrátím. Předpokládám, že ho budete chtít ro nedodržení podmínek.

Už mi není 17, abych se v domácím zařízení vrtal dva týdny. Očekávám, že pojedou základní funkce, to je vše.
Nadřazený - - Od Bedřich Košata Dne 2014-06-06 18:32 Hlasů 2
Funkce VPN je jedna z několika funkcí, které bychom rádi v budoucnu rozhodně vylepšili a přidali jim lepší podporu v základním nastavení systému. Je to ale zároveň funkce, kterou používá celkem malé procento lidí, a tak se na ní při prioritizaci požadavků zatím prostě nedostalo.

Jak již psal kolega, budeme rádi, pokud přispějete ke zlepšení naší současné dokumentace "low-level" nastavení. Není třeba psát rovnou vlastní návod, stačí popsat v pár bodech, co Vám nefungovalo v našem návodu nebo co jste měnil pro specifické použití. Určitě by to uvítali i další uživatelé.

Pokud se týče případného vracení routeru, je to samozřejmě na Vás - určitě je to legitimní řešení situace, která Vám nevyhovuje. Pokud byste se pro tuto možnost rozhodl, považoval bych ale osobně za férovější poslat zařízení rovnou zpátky s tím, že Vám nevyhovuje, než ho vypnout a čekat, jestli se někdo ozve a bude ho chtít zpátky. Když nic jiného, tak tím ušetříte práci těm, kteří by mohli místo hlídání nedodržování podmínek pracovat na vylepšení funkcí routeru - třeba zrovna VPN.
Nadřazený - Od rh Dne 2014-06-07 07:55 Upraveno 2014-06-07 07:57 Hlasů 1
Dobrý den,

byl jsem v situaci cliveka odjizdejiciho na dovolenou, ktery potrebuje VPN, proto jsem psal o spusteni stareho routeru s tim ze bych nemel cas vratit pred odjzdem puvodni.
Nicmene situace se vyresila a nakonec jsem to rozjel, chybelo mi cekou dobu zarizeni tap0 v bridge pro lan.

Udelal jsem rychlotutorial, jak zprovoznit OpenVPN pres tcp a port 443 v bridge (tap) modu: https://www.turris.cz/forum/topic_show.pl?tid=339
Nadřazený - - Od Jan Čermák (>>) Dne 2014-06-06 09:40 Hlasů 1
Pokud jste v návodu narazil na nějaké chyby nebo nejasnosti, budeme rádi, pokud nám pomůžete je opravit. Není v našich silách, abychom kromě vývoje a údržby softwaru psali návody, podle kterých zvládne pokročilou konfiguraci i pan Novák, obzvlášť u složitějších a okrajových témat, jakým je například nastavení VPN (jinými slovy - nejedná se o službu, která je nezbytná pro funkci routeru).

Konkrétně v případě OpenVPN je navíc mnoho situací, které zkrátka není možné do jednoho návodu zahrnout, to je vidět i v oficiální dokumentaci OpenWrt. Navíc se předpokládá, že budete aspoň trochu vědět, co chcete nastavit. Máte pravdu, že je z našeho návodu nejasné, zda se jedná o konfiguraci klienta nebo serveru, jedná se o konfiguraci klienta, ale rozdíl je prakticky jen v pár řádcích.
Nadřazený - Od ZdVtt Dne 2014-10-05 15:18
Pro klienta pokládám návod za dostatečný. V OpenVPN se musí člověk trochu vyznat. Horší už to může být, pokud s OpenWRT nemáte žádné zkušenosti. Pak výstižnější návod přijde vhod.
Přesto se mi podle typů podařilo OpenVPN rozchodit rychle. Zásadní ovšem bylo upravit zónu ve firewall, protože jinak se zastavil překlad adres. Pomohlo přidat volbu option masq '1' a klient fičí spolehlivě.
Nadřazený - - Od Radomír Polách Dne 2014-06-11 13:32
Já tedy nevím, ale já jsem podle toho návodu zprovoznil openvpn asi za 30 minut a to i se statickým přidělením ip klientům. V tuhle chvíli bych dodal, že je asi problém mezi židlí a klávesnicí než v návodu.
Nadřazený - - Od DracoAn Dne 2014-06-17 13:28 Upraveno 2014-06-17 13:31 Hlasů 2
To jste šikovný. Mě se to nepodařilo doteď. Je pravda, že jsem to ale nechal na pár dnů vyšumět. Jenže mám stejnej problém jako pán nade mnou, že když odjedu na dovolenou co v případě poruchy dělat? Sice jsem to krátkodobě řešil přes terminál, jenže to není dlouhodobé řešení. Zkusím se podívat na návod co dodal kolega na port 443.
Nadřazený - - Od ondrejv Dne 2014-06-29 08:51 Upraveno 2014-07-24 19:48
Pokusil jsem se rozjet OpenVPN a nakonec se podařilo, níže tedy konfigurace. Použil jsem tun device, protože Android neumí pracovat s tap. Navíc mám na Androidu ještě jeden problém s DNS - nefunguje mi resolution při připojení přes VPN; zajímavé je, že na standardním PC to funguje.
Vytváření certifikátů je dostatečně popsáno jinde, takže pouze výpisy z konfiguračních souborů (Edit 24.7. - doplnění konfiguráků, jsou to jen výcucy, týkající se OpenVPN, nikoli celé konfiguráky):

/etc/config/openvpn
config 'openvpn' 'lan'
        option 'enable' '1'
        option 'tls_server' '1'
        option 'port' '1194'
        option 'proto' 'udp'
        option 'dev' 'tun'
        option 'ca' '/etc/easy-rsa/keys/ca.crt'
        option 'cert' '/etc/easy-rsa/keys/server.crt'
        option 'key' '/etc/easy-rsa/keys/server.key'
        option 'dh' '/etc/easy-rsa/keys/dh2048.pem'
        list 'push' 'dhcp-option DNS 192.168.66.1'
        option 'client_to_client' '1'
        option 'server' '192.168.166.0 255.255.255.0'   #segment pro VPN klienty
        list 'push' 'redirect-gateway def1'
        option 'comp_lzo' 'yes'
        option 'keepalive' '10 120'
        option 'status' '/tmp/openvpn_tun0.status'
#      option 'log_append' '/var/log/openvpn.log'   #povolit pouze pro debug
        option 'persist_key' '1'
        option 'persist_tun' '1'
        option 'verb' '3'
        option 'mute' '20'

Konfigurace klienta
client
tls-client
dev tun
proto udp
remote TURRIS.EXTERNAL.IP 1194
resolv-retry infinite
nobind
ca ca.crt
cert client.crt
key client.key
mute-replay-warnings
comp-lzo
verb 3
keepalive 10 120
persist-key
persist-tun

/etc/config/firewall
config zone
  option name 'vpn'
  option input 'ACCEPT'
  option output 'ACCEPT'
  option forward 'ACCEPT'
  option network 'vpn'

config rule
  option enabled '1'
  option target 'ACCEPT'
  option src 'wan'
  option name 'Allow-OpenVPN'
  option proto 'udp'
  option dest_port '1194'

config forwarding
        option dest 'lan'
        option src 'vpn'

config forwarding
        option dest 'wan'
        option src 'vpn'

config forwarding
        option dest 'vpn'
        option src 'lan'

/etc/config/network
config interface 'vpn'
  option proto none
  option ifname 'tun0'
  option auto 1
Nadřazený - - Od araman Dne 2014-07-23 21:42 Upraveno 2014-07-24 08:38
zdravim komunitu.. 

pokouším se zprovoznit openvpn server . ale nedaří se. po zapnutí služby mi router přestane jakkoliv odpovidat. komunikace do internetu z routeru jde, ale z routeru do vnitřní sítě ne. stačí vypnout službu a komunikace opět fugnuje.. a nevim kde dělám chybu..    konfiguráky jsou použity zde z vlakna.

prosím o nakopnutí správným směrem

edit:  při změně na TAP  rozhraní to funguje ..  TUN rozhrani mi nejde nastavit
Nadřazený - - Od Ondřej Caletka (>>>) Dne 2014-07-24 09:33
Tipuji na konflikt IP adres. Ale jestli chcete poradit, postněnte needitované konfiguráky jak openvpn, tak i /etc/config/network. Jinak to je věštění z křišťálové koule.
Nadřazený - - Od uzivatel1 (>>) Dne 2014-11-30 17:36
Dobrý den, chtěl bych požádat o radu se zprovozněním VPN. Nedaří se mi jej nastavit.

Přikládám konfigurační soubory:

#OpenVPN

config 'openvpn' 'lan'
        option 'enable' '1'
        option 'tls_server' '1'
        option 'port' '1194'
        option 'proto' 'udp'
        option 'dev' 'tun'
        option 'ca' '/etc/easy-rsa/keys/ca.crt'
        option 'cert' '/etc/easy-rsa/keys/server.crt'
        option 'key' '/etc/easy-rsa/keys/server.key'
        option 'dh' '/etc/easy-rsa/keys/dh2048.pem'
        list 'push' 'dhcp-option DNS 10.0.10.1'
        option 'client_to_client' '1'
        option 'server' '10.0.10.1 255.255.255.0'
        option 'comp_lzo' 'yes'
        option 'keepalive' '10 120'
        option 'status' '/tmp/openvpn_tun0.status'
      # option 'log_append' '/var/log/openvpn.log'
        option 'persist_key' '1'
        option 'persist_tun' '1'
        option 'verb' '3'
        option 'mute' '20'


#Network

config interface 'loopback'
  option ifname 'lo'
  option proto 'static'
  option ipaddr '127.0.0.1'
  option netmask '255.0.0.0'

config globals 'globals'

config interface 'lan'
  option ifname 'eth0 eth1 tun0'
  option type 'bridge'
  option proto 'static'
  option netmask '255.255.255.0'
  option ip6assign '60'
  option ipaddr '10.0.10.1'

config interface 'wan'
  option ifname 'eth2'
  option proto 'dhcp'

config interface 'wan6'
  option ifname '@wan'
  option proto 'dhcpv6'

config switch
  option name 'switch0'
  option reset '1'
  option enable_vlan '1'

config switch_vlan
  option device 'switch0'
  option vlan '1'
  option ports '0 1 2 3 4 '

config switch_vlan
  option device 'switch0'
  option vlan '2'
  option ports '5 6'


#Firewall


config defaults
  option syn_flood '1'
  option input 'ACCEPT'
  option output 'ACCEPT'
  option forward 'REJECT'

config zone
  option name 'lan'
  option input 'ACCEPT'
  option output 'ACCEPT'
  option forward 'ACCEPT'
  option network 'lan'

config zone
  option name 'wan'
  option input 'REJECT'
  option output 'ACCEPT'
  option forward 'REJECT'
  option masq '1'
  option mtu_fix '1'
  option log 'true'
  option log_prefix 'turris-000000: '
  option log_limit '60/minute'
  option log_level 'debug'
  option network 'wan wan6'

config forwarding
  option src 'lan'
  option dest 'wan'

config rule
  option name 'Allow-DHCP-Renew'
  option src 'wan'
  option proto 'udp'
  option dest_port '68'
  option target 'ACCEPT'
  option family 'ipv4'

config rule
  option name 'Allow-Ping'
  option src 'wan'
  option proto 'icmp'
  option icmp_type 'echo-request'
  option family 'ipv4'
  option target 'ACCEPT'

config rule
  option name 'Allow-DHCPv6'
  option src 'wan'
  option proto 'udp'
  option src_ip 'fe80::/10'
  option src_port '547'
  option dest_ip 'fe80::/10'
  option dest_port '546'
  option family 'ipv6'
  option target 'ACCEPT'

config rule
  option name 'Allow-ICMPv6-Input'
  option src 'wan'
  option proto 'icmp'
  list icmp_type 'echo-request'
  list icmp_type 'echo-reply'
  list icmp_type 'destination-unreachable'
  list icmp_type 'packet-too-big'
  list icmp_type 'time-exceeded'
  list icmp_type 'bad-header'
  list icmp_type 'unknown-header-type'
  list icmp_type 'router-solicitation'
  list icmp_type 'neighbour-solicitation'
  list icmp_type 'router-advertisement'
  list icmp_type 'neighbour-advertisement'
  option limit '1000/sec'
  option family 'ipv6'
  option target 'ACCEPT'

config rule
  option name 'Allow-ICMPv6-Forward'
  option src 'wan'
  option dest '*'
  option proto 'icmp'
  list icmp_type 'echo-request'
  list icmp_type 'echo-reply'
  list icmp_type 'destination-unreachable'
  list icmp_type 'packet-too-big'
  list icmp_type 'time-exceeded'
  list icmp_type 'bad-header'
  list icmp_type 'unknown-header-type'
  option limit '1000/sec'
  option family 'ipv6'
  option target 'ACCEPT'

config include
  option path '/etc/firewall.user'

config include
  option path '/usr/share/firewall/turris'
  option reload '1'

config include
  option path '/etc/firewall.d/with_reload/firewall.include.sh'
  option reload '1'

config include
  option path '/etc/firewall.d/without_reload/firewall.include.sh'
  option reload '0'

config zone
  option name 'vpn'
  option input 'ACCEPT'
  option output 'ACCEPT'
  option forward 'ACCEPT'
  option network 'vpn'

config rule
  option enabled '1'
  option target 'ACCEPT'
  option src 'wan'
  option name 'Allow-OpenVPN'
  option proto 'udp'
  option dest_port '1194'
 
config forwarding
        option dest 'lan'
        option src 'vpn'
       
config forwarding
        option dest 'wan'
        option src 'vpn'
       
config forwarding
        option dest 'vpn'
        option src 'lan'                 



Děkuji za pomoc.
Nadřazený - Od Ondřej Caletka (>>>) Dne 2014-12-01 12:39
Rozhraní typu tun není možné dát do bridge. Buďto překonfigurujte VPN do režimu tap, nebo pro VPN vytvořte samostatnou lokální podsíť. Druhé jmenované řešení bude vypadat tak, že v konfiguraci OpenVPN v položce server zvolíte nekonfliktní IP rozsah a v souboru /etc/config/network zavedete další sekci, např. takto:

config interface 'vpn'
        option ifname 'tun0'
        option proto 'static'
        option ipaddr '192.168.179.1'
        option netmask '255.255.255.0'
        option ip6assign '64'

V konfiguraci firewallu pak přidáte síť vpn do zóny LAN:
option network 'lan vpn'
Nadřazený - Od Poci Dne 2015-09-11 18:35
Použil jsem stejnou konfiguraci jako ondrejv se stejným výsledkem. Na PC vše funkční, ale na androidu problém s DNS. Chyba v konfiguraci je zde : list 'push' 'dhcp-option DNS 192.168.66.1'. Stačí změnit na : list 'push' 'dhcp-option DNS 192.168.166.1'
Nahoru Téma Majitelé routerů / Technická podpora / Zprovoznění OpenVPN

Powered by mwForum 2.29.3 © 1999-2013 Markus Wichitill