ASUS RT-AC85P OpenVpn beállítás

Hálózati eszközök

Adva van két router, egy a pesti lakásomban (192.168.1.x) egy a nógrádi telkemen (192.168.2.x).
Beizzítottam az OpenVpn -t - a telken a kliens látja a szerver hálózatot, viszont a szerver hálózat nem látja a kliens hálózatot.
Látom vidékről a pesti szerveremet (vagy bármi mást a szerver oldali hálózaton) viszont a pesti oldalon nem látok semmit a kliens oldali hálózatból azon túl, hogy kapcsolódik, nem érek el ott semmit :(
Valami hiányzik, feltételezem egy route, ami megmondja hova is küldje a 192.168.2.x címeknek szóló csomagokat.

Nem tudja valaki mit is kellene beállítanom (gondolom a szerver oldalon)?
Gondolom valamelyik TUN interfészbe kellene küldeni a 192.168.2.x irányt, de melyikbe?

OFF: locsemege javaslatára vettem 2db ASUS RT-AC85P routert. Nagyon jó! Nagyon köszönöm a tippet!
A régi routernek mint kiderült kutya baj sem volt, viszont az UPS -nek amin lógott elromlott az akkumulátora (YUASA 2 éve vettem). Viszont ilyen átviteli sebességet a régi routerrel nem láttam >900 Mbit - nem bántam meg a cserét.
Aztán volt még egy meglepi, miután (többször) kikapcsoltam a szolgáltató modemét az átváltott routerbe. Persze nem vettem észre, csak hogy nem férek hozzá a szerveremhez pl. mobil hálózatról. Mindent szerte-széjjel szedtem, újrahúztam a routereket amikor végül megláttam a WAN címemet vlmi 192.168.200.x Szerencsémre, mivel céges az előfizetésem, vasárnap(!) este a szerviz távolról visszaállította a modemet (már a frász kerülgetett, épp akkor tájt hosszabbítottam meg a szerződést, attól féltem valami NAT mögé dugtak). Szóval már csak ez a beállítás hiányzik és teljes a boldogság.

  • 384 megtekintés

( tovis v | 2022. 09. 21., sze – 21:15 )

Semmi? Kénytelen leszek megint elolvasni az OpenVPN dokumentációt?
Az OpenWRT -t annó megfejtettem, akkor triviálisnak tűnt, nem jegyeztem le/meg.

* Én egy indián vagyok. Minden indián hazudik.

( locsemege v | 2022. 09. 21., sze – 21:45 )

Nekem meg van csinálva ezen a típusú router-en OpenWrt/LEDE alatt az OpenVPN a céges szerver felé, de elég bajos lesz elmagyarázni. Értelemszerűen config file-t nem tennék közzé. Van egy ilyen benne:

remote aaa.bbb.ccc.ddd pppp

Ez külső IP-cím, port a távoli szervernek.

Illetve

route 192.168.nnn.0 255.255.255.0 192.168.eee.fff

Itt nnn a távoli helyi hálózat címe, utána van egy /24-es maszk, végül fogalmam sincs, az ott milyen cím, szóval az eee.fff passz. Talán a TUN interface-é? Meg ugye van ca, cert, key az auth-hoz.

Félő, ezzel nem sokat segítettem, de számítógépes hálózatokból nem vagyok jó, sohasem tanultam.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Nem igazán értem. Elvileg a TUN interfész a tunnel, alapból titkosított és a kliensnek (aki látja a szerver hálózatot) ki exportáltam egy auth valamit. Miután az auth valamit odaadtam a kliensnek simán felcsatlakozott, most is működik. Vagyis a kliens tudja hogy a 192.168.1.x címes csomagokat oda kell küldenie, titkosítva. A tunnel meg van csak valamiért egy irányú.

* Én egy indián vagyok. Minden indián hazudik.

( meridian v | 2022. 09. 22., cs – 08:36 )

Az hogy a kliens oldalról becsatlakozol a szerverre az egy dolog, de ettől még a kapcsolat egyirányú. Fordítva is meg kell csinálnod, azaz mind a két routernek futtatnia kell openvpn szervert is és openvpn kliensként a másik oldalra be kell csatlakoznia.

Nagyon úgy néz ki. Átnéztem a felületet (eredeti ASUS nem OpenWRT) és nem találtam olyan lehetőséget ami egy ilyen route beállítását lehetővé tenné (vlmi. 192.168.2.0/24 -forward -ie tun vagy efféle) sem a route beállításoknál.
Lehet parancssorból beállítható, de szerintem lehet így van "kitalálva" - fura.

* Én egy indián vagyok. Minden indián hazudik.

Sajnos ez a kézenfekvő megoldás nem működik :(

Lehet még nem mondtam, de  a telken lévő kapcsolat NAT -olt, vagyis nincs publikus IP címe (ezért kellene ez az egész kerítés).
Mikor bekapcsoltam a NAT mögött lévő, a OpenVPN szervert a következő üzenetet  kaptam:

The wireless router currently uses a private WAN IP address (192.168.x.x, 10.x.x.x or 172.16.x.x). Please refer to the FAQ and set up the port forwarding.

https://www.asus.com/support/FAQ/1033906

Ebből az jön le, hogy nem lehet ezzel a routerrel ezt megoldani - lehet muszáj lesz OpenWrt -t használni?

* Én egy indián vagyok. Minden indián hazudik.

a kliens oldalról becsatlakozol a szerverre az egy dolog, de ettől még a kapcsolat egyirányú. Fordítva is meg kell csinálnod

Arra próbáltam finoman utalni a "Biztos?" kérdéssel, hogy ez így hülyeség :-)

Site-to-site VPN-hez kell egy szerver, egy (vagy több) kliens, és mindegyikre kell egy route az összes többi router mögötti hálózat(ok) felé, hogy minden csomag oda- és visszataláljon mindenhova/mindenhonnan.

Ha a VPN szerver mögötti hálózat az 192.168.1.0/24, a kliens mögötti 192.168.2.0/24, a VPN tunnel IP címei mondjuk 10.0.0.1 (szerver) és 10.0.0.2 (kliens), akkor a kliens routing táblájaba kell egy route a szerver mögötti hálózat felé:

192.168.1.0/24 via 10.0.0.1

a szerver routing táblájaba pedig:

192.168.2.0/24 via 10.0.0.2

Publikus IP címe csak a VPN szervernek kell legyen, hogy a kliensek tudjanak kapcsolódni hozzá.

( Zs | 2022. 09. 23., p – 15:12 )

Az openvpn tud olyat, hogy valamelyik kliense mögött önállóan elérhető subnet van - de nyilván ez több szempontból is konfigurációt igényel:
- melyik kliense mögött van a subnet,
- mi a subnet.
Kulcsszavak: route, iroute, client-config-dir.
Ami a probléma: nem tudom, hogy van ez Asus-ul.

Biztos hogy tud ilyet, a régi OpenWRT + OpenVpn kombó tudta - lehet át kell nézni az akkor használt leírást (már ha megtalálom) és "összenézni az ASUS beállítási lehetőségeivel. Elvileg parancssorom is van a routereken, viszont nem tudom hol tárolja a beállításokat és azok mennyire térnek el mondjuk az OpenVpn leírásaitól.
Biztos vagyok benne, hogy nem szükséges szervert és kliens futtatni mindkét oldalon, de ez megvalósíthatónak tűnik.

* Én egy indián vagyok. Minden indián hazudik.

Nem gondolnám, hogy Asusék kiherélték volna azOpenVPN-t, tehát jó eséllyel tudja - de a felületre nem feltétlenül kivezetett ez az opció.
Ha kézzel madarazol, akkor mindenképp kell majd up-script, ami az interface-t beteszi a bridge-be, emellett a kliensen nem haszontalan lerugdosni a kapott IP címet is.