Win11 és Openvpn használata

Hálózatok egyéb

Sziasztok,

szeretném a Win11-es gépen is használni az Openvpn-t. A win10-es gépemen hibanélkül lefut, de a Win11-esen lefutás után nem működik a route-olás. Nem látom az alhálózatokat, illetve a MikroTik router setup részét.

Ebből feltételezem, hogy a config és beállítások jók, csak a Win11-nek van valami csodája, ami miatt nem megy.

A Win11-es gépen a "futás", amit látok jóval lassabb sokáig tart, de elméletileg hibát nem dob fel, illetve számomra értelmezhetetlen hibát kapok:

2022-07-13 18:36:53 us=703000 TCP: connect to [AF_INET6]2a01:36c:2800:9159::14:1199 failed: Unknown error

Mellékelem a működő .conf-ot és a win11 logot is.

https://justpaste.it/1ypxm

https://justpaste.it/86iao

#Mikrotik #Win10 #Win11 #OpenVpn

  • 839 megtekintés

( agostonl | 2022. 07. 17., v – 06:29 )

IPV4-en próbáltad? Hátha az IPV6 szól bele...

( •̀ᴗ•́)╭∩╮

A VMware egy Ferrari, amit a maffiától bérelsz és mindig a hó elején derül ki éppen mennyi lesz a beszedett díj. 
A Proxmox megy egy Porsche, ami az F1 motorját kapta meg. 
by: jevgenyij

Igen, kezdek rájönni, hogy az IPV6 nem biztos, hogy jó ötlet, vagy legalább is nem biztos, hogy értek hozzá. Érdekes, hogy Win10-esen még működik az openvpn. Amúgy létezik valami jó leírás arról, hogy az IPV6-ot és az Openvpn-t Mikrotik routeren, hogyan lehet beállítani. Attól tartok, hogy ezt még nem teljesen értem. Pl: NAS-al is szívok, mert azt sem tudom elérni. Ami eddig, mert lehet IPV6 után nem megy....

IPv6-nál pl: TILOS megölni az ICMPv6-ot. De a MikroTik IPv6-os tűzfal log-ja (amennyiben van IPv6-os tűzfal beállítva) megmondja, hogy hol akad el.

https://help.mikrotik.com/docs/display/ROS/OpenVPN

De az OpenVPN helyett inkább már WireGuard-ot kellene használni: https://help.mikrotik.com/docs/display/ROS/WireGuard

IPv6 MikroTik-en: https://help.mikrotik.com/docs/display/ROS/IPv4+and+IPv6+Fundamentals

IPv6 könyv: https://ipv6ready.hu/konyv/IPv6-konyv.pdf

Köszönöm, nagyon sok általam még nem ismert információt küldtél. Megmondom őszintén, eddig csak az OpenVpn-t használtam a WireGuard-ról nem is hallottam. Lehet ez lesz az én kedvencem. Először is egy nagyon kezdő kérdésem lenne. Minden videót megnéztem és láttam, hogy úgy kezdődik, hogy a WireGuard a bal oldali menü sorban van a Wireless és Bridge között, de nekem nincs ilyen menü pontom, ezt hogy lehet ide varázsolni? Hogyan lehet felrakni a WireGuard app-ot a Mikrotik routerre?

( theadam | 2022. 07. 17., v – 19:34 )

Én is használom a Wireguard-ot, és ha a képességei kielégítik az igényeket, csak ajánlani tudom! Egy fontos dologra viszont mindenképp felhívnám a figyelmet. A WG csak L3 módban tud működni, ezáltal az L2 szolgáltatások (RA-val történő IPv6 cím osztása, DLNA és hasonlók) kiesnek. Ezt csak azért írom, mert OpenVPN-t sokak ilyesfajta célra használják, WireGuard esetében ez a rész problémásabb, és anno zöldfülűként én is beleestem ebbe, nem értettem, miért nem kapok IPv6 címet. A klienseket ugyan lehet kézzel címezgetni, de értelme nincsen sok, a fenntebbi log alapján DIGI-s hálózatról van szó, ahol változik a prefix. Így tehát a WG csak IPv4 NAT-olással használható, a v6-hoz újra kéne mindig generálni a szerver- és kliensoldali konfigokat.

TheAdam

Amennyit most én értek belőle :). Feltételezem, ez a belső hálózatoknál lehet IP4-et hagyni, azaz ez nem fogja érinteni, de DLNA nem tudom mikor érintene engem. Filmeket nézek a hálózaton, de gondolom, hogy ezt nem fogja érinteni (KODI és társai), fontos, hogy a saját belső hálózatom ez és nem, ahova felcsatlakozok. Köszi az infót!

HA TAP módban megy a szerver, és támogatják a kliensek, akkor be lehet rakni egy bridge-be a klienseket, így pl. simán lehet DLNA-zni is. Debian-on rendszeresen húztam fel ilyet, viszont routeren még nem próbáltam az alacsony sebessége miatt. De a RouterOS pl. tudja a TAP-et.

TheAdam

azt hogy oldod meg h. a dhcp ne menjen át a 2 site között / mindenki a saját site-ja szerinti def gw-t / dns-t stb. hasznalja? Ez az 1 layer2 hálóban 2v. több egymástól távoli site nekem nagyon meredek, csak azért h. azt a nyűves dlna-t átverje az ember és átmenjen a rútereken.

ez van a openvpn/server.tempate-ben:

 

# "dev tap" will create an ethernet tunnel.
# Use "dev tap" if you are ethernet bridging.
# If you want to control access policies
# over the VPN, you must create firewall
# rules for the the TUN/TAP interface.
# On non-Windows systems, you can give
# an explicit unit number, such as tun0.
# On Windows, use "dev-node" for this.
# On most systems, the VPN will not function
# unless you partially or fully disable
# the firewall for the TUN/TAP interface.

es ez:


# If enabled, this directive will configure
# all clients to redirect their default
# network gateway through the VPN, causing
# all IP traffic such as web browsing and
# and DNS lookups to go through the VPN
# (The OpenVPN server machine may need to NAT
# the TUN/TAP interface to the internet in
# order for this to work properly).
# CAVEAT: May break client's network config if
# client's local DHCP server packets get routed
# through the tunnel.  Solution: make sure
# client's local DHCP server is reachable via
# a more specific route than the default route
# of 0.0.0.0/0.0.0.0.
;push "redirect-gateway"

 

szerintem ha a redirect-gateway-t nem kapcsolod be, akkor a vpn szerver halozatabol kapsz egy ip cimet, amivel az ottani halozattal tudsz kommunikalni, de a dhcp-t nem onnan kapod, es a kliens dhcp-je sem megy at a tunnelen.

ahol tap-ot csinaltam, ott ugy van, hogy a vpn szerveren a br0-ban benne van az eth0 es a tap0 is, es olyat nem tapasztaltam, hogy a dhcp atment volna.

neked aztan fura humorod van...

a site to site az mukodhet routinggal (tun) es bridge-el (tap) is.

https://openvpn.net/vpn-server-resources/site-to-site-routing-explained…

https://openvpn.net/vpn-server-resources/site-to-site-layer-2-bridging-…

gondolom neked a masodik kell, a broadcast miatt?

mivel az ethernet tunelt maga az openvpn program csinalja, akar bele is szolhatna a forgalomba, hogy a dhcp-t ne engedje at, de ilyennel nincs tapasztalatom, site to site-ra routingot hasznalok a kulonbozo subnetek miatt, viszont road warrior klienseknel van bridge is.

neked aztan fura humorod van...

Én csak úgy oldottam meg, hogy az itthoni hálózatra léptek be a kliensek egyesével, másik routert vagy hálózatot nem kötöttem rá. Illetve én DLNA-t sem használok konkrétan, csak az L2 miatt írtam, mert L2-t igénylő dolog pl. az IPv6 RA ami viszont ment rendben.

TheAdam

Van 2, 3, 4, vagy akár tetszőlegesen sok X subnet. Mindegyik használja a saját rúterjét, rajta a DHCP-vel és DNS szerverrel, saját ISP-jét a WAN access-ra. Van 1 azaz egy darab szerver, az egyik subnet-ben, amit minden site-ról el akarnak érni. Ez a szerver a DLNA szerver. Fogd fel úgy, mint egy nagycsaládos-rokonos közös médiaszerver.

( Raynes v | 2022. 07. 18., h – 20:40 )

Nem jól használod a gépet. A MS ezt úgy várja, hogy közvetlenül minden adatod és netes forgalmad feléjük megy, itt te ne titkolózzál mindenféle VPN-nel, meg tűzfallal. Nem azért van a gép, hogy használd, hanem hogy a MS adatigényét ki tudjad elégíteni, és kötelező frissítések keretében tudjad nekik tesztelni a rendszert. De csak akkor, ha jó fiú vagy, és úgy csinálsz mindent a gépen, ahogy Redmondban megálmodták.

“Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

Plusz..., okosan megtekintesz minden MS reklámot és hírösszeállítást, a tálcáról, a desktop-on, a start-menűben és az Edge böngészőben. (Amely persze meghatározott számú indítás után gondosan figyelmeztet, hogy akarod-e a saját beállításaidat megtartani. - Logikusan, miért is "kásztomizálnád" el az általa gondosan elképzelt, csodálatos, minden igényt kiszolgáló beállításait.)

Ha az Edge-ben a kérdésre válaszul véletlenül rossz helyre kattintanál, - a szövegértelmezési zavarok okán, - akkor visszarak minden, neki jó alap-reklámszórási beállítást. Ez egy "pfujj-rendszer"! - A "gazdáinknak" csak a globális irányításhoz szolgáltat bőséges információt, miközben a nap minden percében monitorozza a végponti hálózatodban történteket. (Igen, a VPN-es eléréseidet is.)

Azt, hogy az általa megállapított veszélyhelyzet fennálltával kiküldik a drónt is a fejed főlé, ez még kiegészítő projekt, valószínűleg tesztelés alatt.., - de egyelőre még "non official" protokoll.