Jump to content

SUBIECTE NOI
« 1 / 5 »
RSS
Intrerupator cu N - doza doar cu ...

Incalzire casa fara gaz/lemne

Incalzire in pardoseala etapizata

Suprataxa card energie?!
 Cum era nivelul de trai cam din a...

probleme cu ochelarii

Impozite pe proprietati de anul v...

teava rezistenta panou apa calda
 Acces in Curte din Drum National

Sub mobila de bucatarie si sub fr...

Rezultat RMN

Numar circuite IPAT si prindere t...
 Pareri brgimportchina.ro - teapa ...

Lucruri inaintea vremurilor lor

Discuții despre TVR Sport HD.

Cost abonament clinica privata
 

OpenVPN - accesarea LAN-ului clientului dinspre server

* - - - - 1 votes
  • Please log in to reply
33 replies to this topic

#1
florinelu

florinelu

    Member

  • Grup: Members
  • Posts: 627
  • Înscris: 05.03.2005
Salut!
Incerc sa gasesc o solutie de a accesa din LAN-ul de acasa (DDNS go.ro), printr-un PC (browser), anumite dispozitive iOT aflate intr-o locatie remote spatele unui router 4G (CGNAT). Nu am ajuns la locatie dar incerc sa simulez o posibila solutie care totusi nu merge (simulez site-ul remote  printr-un router Asus N18 care primeste internet de la un telefon cu USB tethering).
1659695262320.jpg

O sa folosesc termenii din schita atasata ca sa fie vorbarie minima (nu sunt retelist, ma scuzati daca mai bat campii):

- in site-ul B (acasa) am pus un Raspberry Pi cu PiVPN
- in site-ul A am pus inca un Rpi drept client OpenVPN.
- am ridicat tunelul, pot accesa orice device din LAN-ul B de pe client. Capetele de tunel, cele doua RPi-uri au IP-uri din clasa 10.245.122.0 dar totodata au fiecare inca o interfata de retea, (wlan0) rpin care sunt conectate fiecare in LAN-ul propriu.
- toate bune pana aici ... urmeaza ce nu pot sa fac Posted Image

- daca vreau sa accesez invers, adica sunt in LAN-ul B, logat cu SSH pe concentratorul de VPN (10.245.122.1 / 192.168.1.100) si vreau sa dau ping inspre site-ul B - in clientul VPN (192.168.2.5) nu merge. Daca folosesc IP-ul de tunel (10.245.122.2) merge.
- Bun, zic, trebuie ruta statica ca serverul VPN din B nu stie de clasa locala din site-ul A
- am activat bitul de forwarding pe clientul din captul remote al tunelului (Client VPN)
- am pus ruta statica pe server de genul pentru reteaua 192.168.2.0/24 foloseste gw 10.245.122.2 ca asta stie sa te serveasca
- am testat cu ping in 192.168.2.5... nu merge deloc.
- am pus tcpdump icmp pe concentratorul VPN sa vad daca pleaca cererile de ping spre  clientul VPN... stupoare, nu pleaca nimic. Pur si simplu serverul VPN refuza sa trimita ping spre clasa locala din remote site A

Un coleg mai priceput ca mine a refacut experimentul pe acleasi echipamente de la mine si desi a luat-o de la 0 a ajuns la acelasi impas, nu poate ajunge cu ping clasa LAN-ului din site-ul A.

Am verificat mai multe chestii, sa nu fie ping blocat, sa nu fie ceva reguli de iptables...

Poate mai are careva o idee cum pot rezolva sau altceva de a putea ajunge sa adminstrez niste chestii prin interfata web acolo in site-ul A neavand IP accesibil public.

Multumesc pentru rabdarea de a citi postarea.

Attached Files


Edited by florinelu, 05 August 2022 - 13:04.


#2
Ninja

Ninja

    Senior Member

  • Grup: Senior Members
  • Posts: 2,354
  • Înscris: 07.12.2002

View Postflorinelu, on 05 august 2022 - 12:53, said:

site-ul A neavand IP accesibil public.
De aici si problema?

Incearca https://www.softether.org/

#3
florinelu

florinelu

    Member

  • Grup: Members
  • Posts: 627
  • Înscris: 05.03.2005
Daca aveam IP public in site-ul A nu mai faceam postarea asta Posted Image, faceam serverul VPN direct acolo si gata, aveam acces la iOT-urile de acolo printr-un laptop client din reteaua de acasa.

#4
Ciubex

Ciubex

    Senior Member

  • Grup: Moderators
  • Posts: 9,870
  • Înscris: 03.02.2005
Sincer nu am avut rabdare sa inteleg arhitectura retelelor tale, ii prea mult scris :)
Ceea ce ai tu e nevoie de:
- 1 retea care sa aiba IP public, acolo pui serverul de VPN
- odata obtinut punctul 1, poti avea oricate alte locatii care sa se conecteze la VPN si se vor "vedea" intre ei toti cei conectati (aici depinde cum iti setezi server-ul VPN).

#5
florinelu

florinelu

    Member

  • Grup: Members
  • Posts: 627
  • Înscris: 05.03.2005
Sa incerc sa scriu foarte pe scurt datele problemei:
Am doua doua locatii, A fara IP public, B cu IP public. Pot face un VPN initiat din A (un Raspberry Pi) inspre B. Cum ajung cu o statie de lucru (ceva cu browser) aflata in B, in LAN-ul A, la oricare chestie de acolo?
Nu pot sa conectez orice device din A sa fie client VPN din pacate, sunt iOT-uri cele mai multe.

Edited by florinelu, 05 August 2022 - 14:01.


#6
Adm

Adm

    Property Caretaker

  • Grup: Administrators
  • Posts: 24,041
  • Înscris: 22.05.2003
Cineva mi-a recomandat Tailscale

Aparent e foarte usor de setat, dar nu am folosit.

#7
marchand

marchand

    Member

  • Grup: Members
  • Posts: 711
  • Înscris: 26.06.2008
O varianta ar fi sa configurezi un vpn site-site intre cele 2 locatii , in felul asta nu ai nevoie de client vpn pe dispozitivele iOT

#8
Pafarist

Pafarist

    Junior Member

  • Grup: Members
  • Posts: 185
  • Înscris: 01.06.2009
Salut!

Cred că ai două soluții pentru configurația din site A:
1. fie un router care să știe client OVPN
2. fie să pui încă o interfață de rețea în RPI-ul din site A și să-l transformi într-un gateway (router, eventual DHCP, DNS) pentru restul LAN-ului de acolo (IoT1, IoT2 etc).

#9
fspider

fspider

    Junior Member

  • Grup: Members
  • Posts: 126
  • Înscris: 01.03.2014
Ai IP forward pe rpi in site-ul A?
Citește ce scrie aici
https://openvpn.net/...-ip-forwarding/

#10
florinelu

florinelu

    Member

  • Grup: Members
  • Posts: 627
  • Înscris: 05.03.2005
Am, comanda cat /proc/sys/net/ipv4/ip_forward intoarce 1.

#11
SethNY

SethNY

    Senior Member

  • Grup: Senior Members
  • Posts: 5,888
  • Înscris: 31.01.2006
1. Poți pune IP public pe site ul A . Sunt provideri de vpn care oferă asta.  Vezi privatevpn sau ovpn... ofera ip publi si chiar static
2. Dacă totuși vrei sa folosești soluția ta, iei un router care știe openvpn si in spatele lui pui toate IOT urile. Folosești port forwarding dupa aia.

#12
florinelu

florinelu

    Member

  • Grup: Members
  • Posts: 627
  • Înscris: 05.03.2005

View PostPafarist, on 05 august 2022 - 14:20, said:

Salut!

Cred că ai două soluții pentru configurația din site A:
1. fie un router care să știe client OVPN
2. fie să pui încă o interfață de rețea în RPI-ul din site A și să-l transformi într-un gateway (router, eventual DHCP, DNS) pentru restul LAN-ului de acolo (IoT1, IoT2 etc).
Am cateva N18 pe acasa, am incercat si asa, routerul sa fie client, nu pot sa accesez invers, adica din LAN-ul serverului VPN inspre LAN-ul clientului. Oricum, ca sa fie lucrurile mai complicate vreau sa aceast tunel VPN sa fie facut la comanda mea, adica in LAN-ul remote, pe clientul VPN, este instalat si un client MQTT care tine legatura cu un server din site-ul B (fara sa existe VPN ca nu este nevoie) care ii spune pe un topic cand sa initieze conexiunea VPN. Deci nu vreau sa implic niciun router pe partea de client si oricum am incercat si asta si tot nu vad clasa de IP-uri din LAN-ul remote.

#13
fspider

fspider

    Junior Member

  • Grup: Members
  • Posts: 126
  • Înscris: 01.03.2014

View Postflorinelu, on 05 august 2022 - 14:45, said:

Am, comanda cat /proc/sys/net/ipv4/ip_forward intoarce 1.
Ai și pe site B IP forward?

#14
mishu77

mishu77

    Member

  • Grup: Members
  • Posts: 608
  • Înscris: 07.03.2007
Device-urile alea IoT nu stiu mqtt? Ca asa, ai putea scapa de VPN. Sau ai putea sa faci ssh tunneling din site A la ceva porturi catre un IP public cum ar fi site B (nu stiu daca merge un range de porturi nu am incercat).

#15
florinelu

florinelu

    Member

  • Grup: Members
  • Posts: 627
  • Înscris: 05.03.2005
Da, am. Am frecat rutele alea de m-am saturat de ele, teoretic ar fi trebuit sa mearga dar in practica nu Posted Image

View Postmishu77, on 05 august 2022 - 14:53, said:

Device-urile alea IoT nu stiu mqtt? Ca asa, ai putea scapa de VPN. Sau ai putea sa faci ssh tunneling din site A la ceva porturi catre un IP public cum ar fi site B (nu stiu daca merge un range de porturi nu am incercat).
Unele da, altele nu, unul este NVR si am nevoie sa intru cu un browser sa fac setari...  stiu ce zici, exista optiunea de reverse SSH. Din pacate am nevoie de mai mult decat SSH, web browser.
Oricum, problema mea se rezuma la faptul daca a mai incercat cine va sa faca acest soi de "reverse VPN" desi termenul asta inseamna altceva... dar ii zic asa pe scurt. Treaba asta pe care o vreau eu se cheama "expanding VPN scope"... am mai citit dar nu am gasit o solutie clara sau aia aveau echipamente complexe acolo.

#16
Pafarist

Pafarist

    Junior Member

  • Grup: Members
  • Posts: 185
  • Înscris: 01.06.2009

View Postflorinelu, on 05 august 2022 - 14:50, said:

Am cateva N18 pe acasa, am incercat si asa, routerul sa fie client, nu pot sa accesez invers, adica din LAN-ul serverului VPN inspre LAN-ul clientului. Oricum, ca sa fie lucrurile mai complicate vreau sa aceast tunel VPN sa fie facut la comanda mea, adica in LAN-ul remote, pe clientul VPN, este instalat si un client MQTT care tine legatura cu un server din site-ul B (fara sa existe VPN ca nu este nevoie) care ii spune pe un topic cand sa initieze conexiunea VPN. Deci nu vreau sa implic niciun router pe partea de client si oricum am incercat si asta si tot nu vad clasa de IP-uri din LAN-ul remote.

Trebuie ca in router-ul N18 din LanB sa adaugi o ruta către clasa 192.168.2.x prin RPI-ul din B (192.168.1.100)

Sau, dacă ai nevoie ca doar de pe statiile Windows din B să accesezi dispozitivele A, atunci pe statiile Windows din B poti sa dai, ca administrator in commmand prompt, comanda:

route -p add 192.168.2.0 mask 255.255.255.0 192.168.1.100

... adică pentru accesarea rețelei A, gateway-ul trebuie să fie capătul din B al tunelului VPN...

#17
fspider

fspider

    Junior Member

  • Grup: Members
  • Posts: 126
  • Înscris: 01.03.2014
Am vazut ca rpi sunt pe wireless.
Vezi ca unele routere wireless au optiunea ca dispozitivele wireless conectate sa nu poata comunica intre ele. Adica 192.168.1.2 nu il vede pe 192.168.1.3 dar ambele pot comunica cu router-ul. Un fel de Vlan pt dispozitivele wifi.

#18
lyanna

lyanna

    Active Member

  • Grup: Members
  • Posts: 1,304
  • Înscris: 02.09.2007
Cand statiile din B incearca sa acceseze o adresa din A 192.168.2.*, ele ii dau tot traficul catre gateway (adica N18).
N18 nu stie ce sa faca cu traficul.
Cred ca trb o regula pe N18, ca tot traficul catre 192.168.2.* sa fie trimis catre 192.168.1.100.

S-ar putea sa trb ceva reguli si pe serverul de VPN sa trimita spre 10.245.* tot ce vine pe 192.168.1.100

Anunturi

Bun venit pe Forumul Softpedia!

0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users

Forumul Softpedia foloseste "cookies" pentru a imbunatati experienta utilizatorilor Accept
Pentru detalii si optiuni legate de cookies si datele personale, consultati Politica de utilizare cookies si Politica de confidentialitate