Forum Turris
Fórum Turris Nápověda

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.

Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Nahoru Téma Majitelé routerů / Technická podpora / Turris jako openvpn klient - propojení sítí
- - Od martv Dne 2016-05-12 15:47 Upraveno 2016-05-12 18:07
Zdravím,

nakonfiguroval jsem si do Turrisu openvpn klienta podle návodu https://www.turris.cz/doc/navody/openvpn. Funguje to super, na turrisu se korektně vytvoří tap0, dostanu přidělenou IP z vpnky (10.1.0.0/16) a "dopingám" se všude, kam bych měl (bavím se samozřejmě o SSH konzoli turrisu).

Řeším ale to, jak se z vnitřní sítě LAN za Turrisem (192.168.0.0/24) dostat ke zdrojům v té VPNce, kde je jiný adresní rozsah. Potřeboval bych asi udělat NAT na turrisu? Mohl by někdo prosím nakopnout, jak na to?

Díky,
V.
Nadřazený - - Od sin Dne 2016-05-12 16:12
Asi v konfigu v routeru (serveru) chybí push:
push "route 192.168.0.0 255.255.255.0"
Nadřazený - - Od martv Dne 2016-05-12 16:16 Upraveno 2016-05-12 18:07
Možná jsem to napsal blbě, ale z SSH konzole Turrisu (kde jsem si nastavil openvpn klienta) se dostanu všude tam, kam bych díky VPNce měl (rozsah 10.0.0.0/16).

Problém mám z počítačů připojených do LAN turrisu (mají rozsah 192.168.0.0/24 a Turris samotný má taká IP z tohoto rozsahu - výchozí nastavení), ze kterých bych chtěl taky přistupovat na zdroje z VPNky (přecijen VPN mi teď "končí" na Turrisu, kde je dost k ničemu). Proto jsem zmiňoval ten NAT...

Tedy prakticky potřebuji, aby turris všechny pakety z LAN sítě (192.168.0.0/24), které míří na 10.1.0.0/16 naroutoval přes openvpn spojení (a zpět).
Nadřazený - - Od sin Dne 2016-05-12 16:24
Jo v turrisu je klient. Neumím číst. :-)
V podstatě chybí pouze route záznam v turrisu. Buď ho vynutí příkaz puch v konfiguraci serveru:
push "route 10.0.0.0 255.255.0.0"
Nebo se musí route přidat ručně. Nevím, jak je to v openwrt. Tam jsem openvpn nezkoušel, ale na linuxu to tak je.
Každopádně není potřeba žádný NAT, pouze routing.
Nadřazený - - Od martv Dne 2016-05-12 17:02
V route tabulce Turrisu to samozřejmě je:

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.1.0.0        *               255.255.0.0     U     0      0        0 tap0
Nadřazený - - Od sin Dne 2016-05-12 18:06
No moment, ale to je jiný rozsah. V prvním příspěvku je 10.0.0.0/16, tady je 10.1.0.0/16. Mám to chápat tak, že 10.0.0.0/16 je pro přidělování IP pro VPN a jinak cílová síť má 10.1.0.0/16?
Možná by pomohl výpis z route na obou stranách.
Nadřazený - - Od martv Dne 2016-05-12 18:07
V prvním příspěvku je překlep, rozsah je vždy 10.1.0.0/16 (už jsem to editnul). Díky za snahu pomoci :)
Nadřazený - - Od sin Dne 2016-05-12 19:49
Hm.. celé jsem si to prošel ještě jednou. Pokud si pingneš na z turrisu na libovolný cíl v cílové síti a vrátí se ti odpověď, tak problém bude na pomezí turris a lokální síť. První bych asi zkontroloval firewall. V návodu úplně dole je část Tipy. V ní je, jak zařadit VPN síť do LAN. To jsi taky nastavil?

Dále bych zkusit traceroute (linux)/tracetr na vybrané cílové zařízení z turrisu a z lokální stanice. Třeba napoví.
Nadřazený - - Od martv Dne 2016-05-12 20:18
Ano, ten firewall dle návodu mám. Traceroute z počítače za turrisem končí na IP turrisu (nepřekvapivě :)). Už moc nevím, jak dál.
Nadřazený - Od sin Dne 2016-05-13 07:22
Tak jsem si to zkusil na své existující VPN. U sebe sice nepotřebuji routovat kompletní sítě, ale zkusil jsem. :-)
Po kopii své konfigurace z NTB do Turrisu jsem dosáhl stejného stavu asi jako ty. VPN jela, z turrisu se dostanu všude, ale ze sítě za turrisem nikoliv.
Do konfigurace na serveru jsem doplnil řádky:

client-config-dir ccd
route 192.168.9.0 255.255.255.0 # u tebe bude 192.168.0.0

Dále v konfiguraci jsem vytvořil adresář /etc/openvpn/ccd/, v něm vytvořil soubor stejného jména, jak je pojmenovaný key soubor a do souboru zapsal řádek:
iroute 192.168.9.0 255.255.255.0 # u tebe bude 192.168.0.0

Pozn: Duplicita je nutná. První říká, že po vytvoření tunelu se má přidat záznam do routovací tabulky, aby se směřovalo do OpenVPN, a druhý zase říká, že naroutovaný provoz v OpenVPN má posílat právě tomuto klientovi.

A u mě jelo :-)

Já ale používám dev tun. Ty máš dev tap, alias bridging. Tam je dle dokumentace potřeba nahodit bridge. S tím jsem si ale nehrál, neb jsem nepotřeboval.
Nadřazený - Od miska Dne 2016-05-13 06:02
Zalezi jak chces tu VPN pouzivat. Ve skutecnosti nepotrebujes NAT, staci Turrisu pridelit v ramci VPN pevnou IP a pak strojum ve VPN rict, ze maj jako router pro 192.168.0.0/24 pouzivat Turris. Plus se podivat jak je nastavenej firewall a udelat tam diru pro traffic pres VPN. Pokud stroje ve VPN nemaji videt a vedet o tom ze existuje domaci sit, tak potom dojde na ten NAT.
Nadřazený - - Od hybner Dne 2016-05-13 07:37
Zdravim,

je treba si uvedomit ze VPN server a site za nim nic nevi o LAN siti turrisu (tj 192.168.0.0/24). Tzn. ty sice pingnes z LAN site a paket doputuje na cilovy host, ale kdyz jde odpoved zpet, tak ta uz nedorazi, protoze VPN server ji posle na default gateway a ne na clienta VPN turrise. Takze reseni jsou dve:
1) udelat masqueradu tj SNAT:
iptables -t nat -A POSTROUTING -o tap0 -j MASQUERADE
nebo
2) na VPN serveru dat static route na LAN sit na turrisu:
ip route add 192.168.0.0/24 via <vpn ip turrise>
Nadřazený - Od martv Dne 2016-05-14 17:30
Tohle jsem si uvědomoval, ale nebyl jsem si jistý, jak udělat ten NAT.

Příkaz "iptables -t nat -A POSTROUTING -o tap0 -j MASQUERADE" na turrisu zabral, jede to krásně. Děkuji moc!

Umístil jsem ho do /etc/firewall.user, takže by se měl načítat po každém startu.
Nahoru Téma Majitelé routerů / Technická podpora / Turris jako openvpn klient - propojení sítí

Powered by mwForum 2.29.3 © 1999-2013 Markus Wichitill