OpenWRT OpenVPN kerdes

Hálózatok egyéb

hali,

adott az alabbi openvpn config (bridge mode):

root@OpenWrt:~# cat /etc/config/openvpn

config openvpn 'myvpn'
option enabled '1'
option verb '3'
option port '1194'
option proto 'udp'
option dev 'tap_mypvn'
option mode 'server'
option keepalive '10 120'
option comp_lzo yes
option tls_server '1'
option persist_tun '1'
option ifconfig-pool '192.168.X.50 192.168.X.54 255.255.255.0'
option push 'route-gateway 192.168.X.1'
option push 'dhcp-option DNS 192.168.X.7'
option ca '/etc/openvpn/ca.crt'
option cert '/etc/openvpn/my-server.crt'
option key '/etc/openvpn/my-server.key'
option dh '/etc/openvpn/dh2048.pem'
option status '/var/log/openvpn-status.log'
root@OpenWrt:~#

A kerdesem az, hogy hogyan tudnam ravenni a wrt -t, hogy a csatlakozo kliensneknek ne a halozaton levo DHCP szerver osszon IP cimet, hanem pl. megadok egy pool -t es abbol kapjanak IP -t?

koszi
FBK

  • 4372 megtekintés

( tovis v | 2016. 01. 20., sze – 17:38 )

subscribe

* Én egy indián vagyok. Minden indián hazudik.

( xclusiv v | 2016. 01. 21., cs – 19:09 )

Szerintem server-bridge paramétert nézd meg a man-ban. (Wrt-s konfig-ban minden kötőjelet aláhúzásra kell cserélni!)
Illetve ha fix IP-t akarsz tolni akkor azt CCD-vel tudod megcsinálni.

Amúgy elég satnya és kusza ez a konfig szerintem.

+1 valszeg így menne: option ifconfig_pool '192.168.X.50 192.168.X.54 255.255.255.0'
De mivel ebbe a poolba csak egy kliens fér bele lásd: https://openvpn.net/index.php/open-source/faq/77-server/273-qifconfig-p… így jó eséllyel a CCD kell neked.
(rejtett sub)

--------------------
http://grant-it.com/

nem csak /30-at lehet használni, topology=subnet esetén lehet szép nagy tartományt választani.

Nálam úgy néz ki az openvpn konfig, hogy egy /24 tartományból vagy egy 100 IP-s pool a road warrior-oknak, a maradék részből pedig osztok fix IP-t annak akinek kell. CCD van, a fix IP-s klienseknek egyedi konfiggal, a többieknek pedig egy általános konfigra csinálom egy symlinket egyenként.
A releváns részek:

/etc/config/openvpn:
option topology 'subnet'
option ifconfig 'a.b.c.1 255.255.255.0'
option ifconfig_pool 'a.b.c.101 a.b.c.199'
option ccd_exclusive
option client_config_dir '/etc/openvpn/ccd'
option ifconfig_pool_persist '/etc/openvpn/ccd/ipp.txt'
list push 'route d.e.f.0 255.255.255.0'
list push 'route-gateway a.b.c.1'
list push 'topology subnet'

/etc/openvpn/ccd/roadwarrior (erre mutat a sok symlink):
push "dhcp-option DNS d.e.f.1"
push "dhcp-option DOMAIN example.com"
push "redirect-gateway"

/etc/openvpn/ccd/fixip1:
ifconfig-push a.b.c.2 255.255.255.0

Csak ugye nekem sima route-olt tun van, nem bridge és tap, ez utóbbi esetben megfelelően paraméterezett server-bride kell a konfigba szerintem. (Bár talán a fentiekből is lehet puskázni, azért is tettem be.)

( FBK | 2016. 01. 23., szo – 12:49 )

igy sikerult mukodesre birni a cuccost:

port 443
proto tcp
dev tap
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
tls-auth /etc/openvpn/keys/ta.key 0
dh /etc/openvpn/keys/dh1024.pem
comp-lzo
server-bridge 192.168.X.X 255.255.255.0 192.168.X.Y 192.168.X.Z
push 'redirect-gateway'
push 'dhcp-option DNS 192.168.X.X'
keepalive 10 120
persist-key
persist-tun
mute 20
verb 3
client-to-client

ha valakinek van esetleg otlete, hogy meg mit erdemes a server conf -ba beledobni, ne tartsa magaba, thx!

--
FBK

( xc0m v | 2016. 12. 11., v – 13:53 )

Sziasztok!

Valaki össze tudná foglalni egy pár mondatban, hogy miért jó OpenVPN-t telepíteni a routerre? MIért jobb, mint portokat nyitni? Mik a hátrányai? Tudtok jó tutorial-t, arra hogy hogyan kell jól bekonfigurálni?

Köszi!

Szia!

Mindkét mód működik Android-on is, csak a TAP (vagyis bridge-elt) módhoz root-olt android szükséges (lehet, hogy ezen felül még külön kernel modul is kell).

A TUN (vagyis route-olt) mód minden probléma nélkül működik (UDP és TCP porton keresztül is), még root-olás sem kell hozzá.

Általában járható út az, hogy az OpenVPN szerverben külön konfiguráció (TUN és UDP) van az android-os klienseknek és külön egy a desktop gépeknek (TAP és UDP), valamint külön egy a Mikrotik eszközöknek (TUN/TAP mindegy, de csak TCP lehet és nincs LZO-tömörítés)...
(Természetesen ilyenkor konfigurációnként külön port szükséges!)