Jump to content

SUBIECTE NOI
« 1 / 5 »
RSS
Numar circuite IPAT si prindere t...

Pareri brgimportchina.ro - teapa ...

Lucruri inaintea vremurilor lor

Discuții despre TVR Sport HD
 Cost abonament clinica privata

Tremura toata, dar nu de la ro...

Renault Android

Recomandare bicicleta e-bike 20&#...
 Bing-Content removal tool

Nu pot accesa monitorulsv.ro de l...

Cum sa elimini urmele de acnee?

Wc Geberit
 Routere detinute in trecut si in ...

Teii din fața casei

E-Mail in serie prin Excel si Out...

Modul alimentare rulou/jaluzea ex...
 

OpenVPN - accesarea LAN-ului clientului dinspre server

* - - - - 1 votes
  • Please log in to reply
33 replies to this topic

#19
adr_rfr

adr_rfr

    Member

  • Grup: Members
  • Posts: 433
  • Înscris: 29.11.2009

View Postlyanna, on 05 august 2022 - 15:54, said:

Cand statiile din B incearca sa acceseze o adresa din A 192.168.2.*, ele ii dau tot traficul catre gateway (adica N18).
N18 nu stie ce sa faca cu traficul.
Cred ca trb o regula pe N18, ca tot traficul catre 192.168.2.* sa fie trimis catre 192.168.1.100.

S-ar putea sa trb ceva reguli si pe serverul de VPN sa trimita spre 10.245.* tot ce vine pe 192.168.1.100
In acelasi timp trebuie declarata o ruta pe celalalt router ca traficul catre 192.168.1.* sa fie trimis spre 192.168.2.5 pentru ca internetul e asimetric.

O solutia completa ar fi asa:

Router A (192.168.2.1)
route add  192.168.1.0/24 gateway 192.168.2.5

Client OVPN (IP 192.168.2.5/24, 10.245.122.2/32)
  route add 192.168.1.0/24 gateway 10.245.122.1

Server OVPN (IP 192.168.1.100/24, 10.245.122.1/32)
  route add 192.168.2.0/24 gateway 10.245.122.2)

Router B (IP 192.168.1.1/24)
  route add 192.168.2.0/24 gateway 192.168.1.100  

ip forward pe ambele capete de vpn  

Edited by adr_rfr, 05 August 2022 - 17:35.


#20
Ursul_Polar

Ursul_Polar

    call boy - 9000 jpy\s

  • Grup: Senior Members
  • Posts: 9,208
  • Înscris: 31.07.2006
ip forward si wireguard pe ambele pi-uri si cam aia a fost
simplu de configurat si nu te mai doare mintea
iti face rute si tot ce trebuie

Edited by Ursul_Polar, 05 August 2022 - 17:28.


#21
Znevna

Znevna

    Senior Member

  • Grup: Senior Members
  • Posts: 2,436
  • Înscris: 23.08.2020
Poate folosi ce vrea pe RPi-uri, solutia completa prezentata mai sus de @adr_rfr tot trebuie aplicata.

#22
ogo

ogo

    Senior Member

  • Grup: Senior Members
  • Posts: 4,524
  • Înscris: 07.03.2006
well, folosind pivpn si wireguard nu mai trebuie nimic... installer-ul face totul...in 30 de sec e totul configurat.

#23
Znevna

Znevna

    Senior Member

  • Grup: Senior Members
  • Posts: 2,436
  • Înscris: 23.08.2020
Tot trebuie adaugate rutele mentionate pe routerele din ambele parti, la asta ma refeream, indiferent de ce solutie foloseste pe RPi-uri.

#24
florinelu

florinelu

    Member

  • Grup: Members
  • Posts: 627
  • Înscris: 05.03.2005

View Postadr_rfr, on 05 august 2022 - 17:26, said:

In acelasi timp trebuie declarata o ruta pe celalalt router ca traficul catre 192.168.1.* sa fie trimis spre 192.168.2.5 pentru ca internetul e asimetric.

O solutia completa ar fi asa:

Router A (192.168.2.1)
route add  192.168.1.0/24 gateway 192.168.2.5

Client OVPN (IP 192.168.2.5/24, 10.245.122.2/32)
  route add 192.168.1.0/24 gateway 10.245.122.1

Server OVPN (IP 192.168.1.100/24, 10.245.122.1/32)
  route add 192.168.2.0/24 gateway 10.245.122.2)

Router B (IP 192.168.1.1/24)
  route add 192.168.2.0/24 gateway 192.168.1.100  

ip forward pe ambele capete de vpn  

Foarte corect si logic  si este exact ce am avut in plan si am si facut. Doar ca nu a mers. Intentia mea initiala era sa fac un singur device (un latop) din LAN-ul serverului sa poata accesa clasa 192.168.2.0 dar am luat-o pe pasi marunti. Intai am vrut sa vad ca serverul  / concentratorul  (ii ziceti cum vreti) din B "vede" LAN-ul din A. Nimic! Nu vrea neam, m-am poticnit din prima si de asta am intrebat in postul original care ar fi buba. Am stat cu tcpdump pe server si nu pleaca efectiv pachete de icmp spre clasa 192.168.2.0 (ce sa mai ajunga in cealalta parte unde stateam tot cu un tcpdump pregatit), doar daca dau spre capatul tunelului (10.245.122.2)
Momentan am luat o pauza pentru ca simt ca ma invart in jurul cozii Posted Image

Edited by florinelu, 05 August 2022 - 22:00.


#25
Znevna

Znevna

    Senior Member

  • Grup: Senior Members
  • Posts: 2,436
  • Înscris: 23.08.2020
Eu cred ca n-am inteles de ce folosesti si LAN si WLAN pe RPi-uri.
La ce e conectat LAN-ul, ce IP ai pe LAN ? (pe fiecare RPi).
La ce e conectat WLAN-ul, ce IP ai pe WLAN ? (pe fiecare RPi).
In schita prezentata de tine nu se regasesc aceste informatii, dar le mentionezi in scris, sumar.

Edited by Znevna, 05 August 2022 - 22:02.


#26
florinelu

florinelu

    Member

  • Grup: Members
  • Posts: 627
  • Înscris: 05.03.2005
Scrie pe schema dar sigur nu am desenat-o "retelistic style".
Cele doua RPi-uri fac tunelul VPN si astfel ambele au cate doua adaptoare de retea, unul fizic, wlan0 (sunt legate prin wifi) si unul virtual, dat de tunelul VPN. Eu vreau sa fac ip forwarding in ambele sensuri ale tunelului astfel incat ele sa fie un fel de gateway pentru a trimite traficul initiat si dintr-un sens si din celalalt. Dinspre A spre B merge, conexiunea VPN face tot ce trebuie dar invers nu pot / nu merge si asta ma intereseaza cel mai mult. Sa nu ma intrebi de ce nu fac conexiunea invers ca nu o mai iau de la capat cu explicatia Posted Image. Cred ca am descris clar  speta in primul post, dovada este ca unii au inteles exact ce nu imi merge Posted Image
P.S. Eu cand zic LAN zic despre reteaua privata a fiecarui router, idiferent ca sunt dispozitive legate prin wi-fi sau prin cupru. Intamplator cele doua RPi sunt legate prin Wi-fi. Deci nu am un WLAN exclusiv, am si sarme prin retea dar important este ca eu ma refer doar la cele doua retele private: 192.168.2.0 din A si 192.168.1.0 din B

Edited by florinelu, 05 August 2022 - 22:19.


#27
Znevna

Znevna

    Senior Member

  • Grup: Senior Members
  • Posts: 2,436
  • Înscris: 23.08.2020
Am recitit prima postare, acolo am vazut ca mentionezi "au fiecare inca o interfata de retea" de asta te-am intrebat de ea, credeam ca ai conectat si Ethernet si Wireless RPi-urile la ceva (chit ca nu se regasea asa ceva pe schema).
O iei frumos cu traceroute si vezi unde se opresc pachetele, daca ajung unde ar trebui sa ajunga Posted Image
Verifica rutele de pe fiecare RPi, are fiecare RPi o ruta catre celalalt subnet prin VPN sau nu?

Edited by Znevna, 05 August 2022 - 22:20.


#28
Znevna

Znevna

    Senior Member

  • Grup: Senior Members
  • Posts: 2,436
  • Înscris: 23.08.2020
Oricum, pana testezi, banuiesc o configurare gresita/incompleta a OpenVPN-ului, ca inspiratie poti folosi:
https://openvpn.net/...-server-subnet/
https://community.op...wiki/RoutedLans
Mai exact, banuiesc ca-ti lipseste iroute.
Asa e?
Vezi aici ce face iroute, mai detaliat:
https://community.op...n24ManPage#lbAH
Spoiler

Edited by Znevna, 05 August 2022 - 22:45.


#29
florinelu

florinelu

    Member

  • Grup: Members
  • Posts: 627
  • Înscris: 05.03.2005
Am citit si eu aici dar nu am inteles tot. Si da, iroute nu am pus pe nicaieri pentru ca nu stiam ce face exact. Se pare ca instalarea de PiVPN cu next, next nu face chiar tot :)). Revin cu detalii dupa ce testez, momentan sunt fizic in site-ul A, scormonesc prin iOT-uri ca deh, nu am VPN functional extins cum vreau eu.... incaPosted Image

#30
Znevna

Znevna

    Senior Member

  • Grup: Senior Members
  • Posts: 2,436
  • Înscris: 23.08.2020
S-ar putea sa-ti placa WireGuard mai mult....

#31
florinelu

florinelu

    Member

  • Grup: Members
  • Posts: 627
  • Înscris: 05.03.2005
Dupa lupte seculare care au tinut o saptamana cred ca am reusit Posted Image. Cel putin simularea cu telefonul mobil merge.


Am mers mers pe aceeasi solutie, OpvenVPN (PiVPN) instalat pe un RPi in reteaua B (cea cu IP public). Rezumand pot spune ca treaba era din routele statice, asa cum s-a mai zis pe aici doar ca am abordat altfel:
- nu am mai incercat sa imping rute prin configurarile server VPN sau  de client (directorul ccd). Incercasem si cu route, iroute, push etc... sunt bune doar daca vreau sa vad niste clienti intre ei
- am pus rutele de mana si, cheia problemei, in reteaua locala B (a serverului) nu am mai pus ruta statica pe routerul de retea catre LAN-ul clientului(site A) ci doar pe laptopul (din site B) cu care voi interveni de la distanta pe iOT-uri. Adica pentru ruta catre subnetul 192.168.2.0/24 (reteaua A), folosim serverul de VPN (192.168.1.100) care datorita rutelor manuale puse pe el, stie cine este 192.168.2.0/24.
- eu greseam punand aceasta ruta direct pe routerul Asus, aceasta afecta toti clientii DHCP din LAN, inclusiv serverul de VPN 192.168.1.100 catre care ducea regula de fapt. Cred ca iesea un fel de bucla pentru ca nu mai ieseau pachete din gaura aia neagra.

Sa incerc sa rezum abordarea, poate ajuta pe cineva pe viitor:
- in site A clientul initiaza tunelul
- se pune pe routerul de aici o ruta statica catre LAN-ul B prin clientul VPN
- pe client se pune manual ruta spre LAN-ul serverului din B
- pe serverul din B se pune ruta dinspre LAN B spre LAN A (prin tunel)
- pe o statie din B se pune o ruta spre A prin serverul de VPN (nu se pune ruta statica pe routerul LAN-ului B)

In principiu este exact ce a spus adr_rfr doar ca ultima ruta nu am mai pus-o pe routerul din B ci doar pe o statie de lucru de pe care voi intra pe iOT-uri.

Unele rute pot fi puse permanent iar altele printr-un script, dupa ridicarea tunelului ( ca sa existe clasa 10.245.122.0 cand se dau comenzile). Mai pun o data schema sa fie totul la indemana.
1659695262320.jpg

Attached Files


Edited by florinelu, 11 August 2022 - 09:25.


#32
Znevna

Znevna

    Senior Member

  • Grup: Senior Members
  • Posts: 2,436
  • Înscris: 23.08.2020

View Postflorinelu, on 11 august 2022 - 09:24, said:

[...] pentru ruta catre subnetul 192.168.2.0/24 (reteaua A), folosim serverul de VPN (192.168.1.100) care datorita rutelor manuale puse pe el, stie cine este 192.168.2.0/24.
- eu greseam punand aceasta ruta direct pe routerul Asus, aceasta afecta toti clientii DHCP din LAN, inclusiv serverul de VPN 192.168.1.100 catre care ducea regula de fapt. Cred ca iesea un fel de bucla pentru ca nu mai ieseau pachete din gaura aia neagra. [...]

Daca pe Asus aveai ruta 192.168.2.0/24 gw 192.168.1.100, iar pe 192.168.1.100 aveai ruta 192.168.2.0/24 gw (vpn ip), acel 192.168.1.100 nu avea de ce sa caute ruta catre 192.168.2.0/24 pe Asus, pentru ca o avea local, deci fara gauri negre, nu exista gauri negre inexplicabile in retelistica, exista doar configurari gresite.
Vei avea in continuare probleme in accesarea acelor IoT-uri prin metoda folosita de tine, IoT-urile nu vor sti cum sa acceseze celalalt subnet, pentru ca nu exista ruta catre acel subnet pe router-ul stiut de ele, doar daca faci masquerade/srcnat pe acel RPi, o solutie nu prea ideala, cel putin eu nu apelez la asa ceva decat in situatii in care chiar nu mai exista alta posibilitate, evit sa fac NAT pe cat posibil.
Iar asta cu adaugare manuala de rute pe clienti/PC-uri, iar o evit pe cat posibil, mai ales cand folosesti OpenVPN care poate face asta pentru tine.

Edited by Znevna, 11 August 2022 - 09:55.


#33
florinelu

florinelu

    Member

  • Grup: Members
  • Posts: 627
  • Înscris: 05.03.2005

View PostZnevna, on 11 august 2022 - 09:51, said:

Daca pe Asus aveai ruta 192.168.2.0/24 gw 192.168.1.100, iar pe 192.168.1.100 aveai ruta 192.168.2.0/24 gw (vpn ip), acel 192.168.1.100 nu avea de ce sa caute ruta catre 192.168.2.0/24 pe Asus, pentru ca o avea local, deci fara gauri negre, nu exista gauri negre inexplicabile in retelistica, exista doar configurari gresite.
Asa am gandit si eu dar nu stiu din care motive, cand cineva din LAN B cerea un IP din A, pur si simplu nu a mers.

View PostZnevna, on 11 august 2022 - 09:51, said:

Vei avea in continuare probleme in accesarea acelor IoT-uri prin metoda folosita de tine, IoT-urile nu vor sti cum sa acceseze celalalt subnet, pentru ca nu exista ruta catre acel subnet pe router-ul stiut de ele
Am rezolvat si asta dar am precizat doar in rezumatul ala cu ceea ce am facut (am pus o ruta statica pe routerul retelei din A catre reteaua B via client).

Edited by florinelu, 11 August 2022 - 10:58.


#34
Mihai_3

Mihai_3

    我會回來的...

  • Grup: Senior Members
  • Posts: 10,039
  • Înscris: 26.04.2007
ai rezolvat foarte bine Posted Image Posted Image
eu public ghiduri simple pentru toata lumea.
sau ceea ce aveai tu aproape: Acces LAN din spatele serverului OpenVPN

in plus baietii aici - unii dintre ei - sunt foarte foarte pricepuți si ofera soluții valoroase uneori

Edited by Mihai_3, 15 August 2022 - 11:46.


Anunturi

Chirurgia spinală minim invazivă Chirurgia spinală minim invazivă

Chirurgia spinală minim invazivă oferă pacienților oportunitatea unui tratament eficient, permițându-le o recuperare ultra rapidă și nu în ultimul rând minimizând leziunile induse chirurgical.

Echipa noastră utilizează un spectru larg de tehnici minim invazive, din care enumerăm câteva: endoscopia cu variantele ei (transnazală, transtoracică, transmusculară, etc), microscopul operator, abordurile trans tubulare și nu în ultimul rând infiltrațiile la toate nivelurile coloanei vertebrale.

www.neurohope.ro

0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users

Forumul Softpedia foloseste "cookies" pentru a imbunatati experienta utilizatorilor Accept
Pentru detalii si optiuni legate de cookies si datele personale, consultati Politica de utilizare cookies si Politica de confidentialitate