OpenWRT OpenVPN kerdes

 ( FBK | 2016. január 20., szerda - 16:03 )

hali,

adott az alabbi openvpn config (bridge mode):

root@OpenWrt:~# cat /etc/config/openvpn

config openvpn 'myvpn'
option enabled '1'
option verb '3'
option port '1194'
option proto 'udp'
option dev 'tap_mypvn'
option mode 'server'
option keepalive '10 120'
option comp_lzo yes
option tls_server '1'
option persist_tun '1'
option ifconfig-pool '192.168.X.50 192.168.X.54 255.255.255.0'
option push 'route-gateway 192.168.X.1'
option push 'dhcp-option DNS 192.168.X.7'
option ca '/etc/openvpn/ca.crt'
option cert '/etc/openvpn/my-server.crt'
option key '/etc/openvpn/my-server.key'
option dh '/etc/openvpn/dh2048.pem'
option status '/var/log/openvpn-status.log'
root@OpenWrt:~#

A kerdesem az, hogy hogyan tudnam ravenni a wrt -t, hogy a csatlakozo kliensneknek ne a halozaton levo DHCP szerver osszon IP cimet, hanem pl. megadok egy pool -t es abbol kapjanak IP -t?

koszi
FBK

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

subscribe

* Én egy indián vagyok. Minden indián hazudik.

szintén sub ? :)

Szerintem server-bridge paramétert nézd meg a man-ban. (Wrt-s konfig-ban minden kötőjelet aláhúzásra kell cserélni!)
Illetve ha fix IP-t akarsz tolni akkor azt CCD-vel tudod megcsinálni.

Amúgy elég satnya és kusza ez a konfig szerintem.

+1 valszeg így menne: option ifconfig_pool '192.168.X.50 192.168.X.54 255.255.255.0'
De mivel ebbe a poolba csak egy kliens fér bele lásd: https://openvpn.net/index.php/open-source/faq/77-server/273-qifconfig-poolq-option-use-a-30-subnet-4-private-ip-addresses-per-client-when-used-in-tun-mode.html így jó eséllyel a CCD kell neked.
(rejtett sub)

--------------------
http://grant-it.com/

nem csak /30-at lehet használni, topology=subnet esetén lehet szép nagy tartományt választani.

Nálam úgy néz ki az openvpn konfig, hogy egy /24 tartományból vagy egy 100 IP-s pool a road warrior-oknak, a maradék részből pedig osztok fix IP-t annak akinek kell. CCD van, a fix IP-s klienseknek egyedi konfiggal, a többieknek pedig egy általános konfigra csinálom egy symlinket egyenként.
A releváns részek:

/etc/config/openvpn:
option topology 'subnet'
option ifconfig 'a.b.c.1 255.255.255.0'
option ifconfig_pool 'a.b.c.101 a.b.c.199'
option ccd_exclusive
option client_config_dir '/etc/openvpn/ccd'
option ifconfig_pool_persist '/etc/openvpn/ccd/ipp.txt'
list push 'route d.e.f.0 255.255.255.0'
list push 'route-gateway a.b.c.1'
list push 'topology subnet'

/etc/openvpn/ccd/roadwarrior (erre mutat a sok symlink):
push "dhcp-option DNS d.e.f.1"
push "dhcp-option DOMAIN example.com"
push "redirect-gateway"

/etc/openvpn/ccd/fixip1:
ifconfig-push a.b.c.2 255.255.255.0

Csak ugye nekem sima route-olt tun van, nem bridge és tap, ez utóbbi esetben megfelelően paraméterezett server-bride kell a konfigba szerintem. (Bár talán a fentiekből is lehet puskázni, azért is tettem be.)

sub

igy sikerult mukodesre birni a cuccost:

port 443
proto tcp
dev tap
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
tls-auth /etc/openvpn/keys/ta.key 0
dh /etc/openvpn/keys/dh1024.pem
comp-lzo
server-bridge 192.168.X.X 255.255.255.0 192.168.X.Y 192.168.X.Z
push 'redirect-gateway'
push 'dhcp-option DNS 192.168.X.X'
keepalive 10 120
persist-key
persist-tun
mute 20
verb 3
client-to-client

ha valakinek van esetleg otlete, hogy meg mit erdemes a server conf -ba beledobni, ne tartsa magaba, thx!

--
FBK

Sziasztok!

Valaki össze tudná foglalni egy pár mondatban, hogy miért jó OpenVPN-t telepíteni a routerre? MIért jobb, mint portokat nyitni? Mik a hátrányai? Tudtok jó tutorial-t, arra hogy hogyan kell jól bekonfigurálni?

Köszi!

Nézd meg pl. a wikipedian, hogy mit jelent az, hogy VPN, és abból rájössz.

Használtam már céges környezetben VPN-t(Juniper), de azt nem értem, hogy ez otthoni környezetben nekem miért jobb, mintha forward-olnék 1-2 portot? Van egyszerű módja az openVPN beállításának openwrt router-en?

mert van amikor a szolgaltato ugy keslelteti a kapcsolodas, hogy eldobalja az elso par sync csomagot. vpnt viszont beengedi

illetve igy nem titkositott protokollt is hasznalhatsz.

Teljesen más a kettő. Ha szeretnél portfwd-okkal / portnyilvántartást magadnál tartani akkor hajrá, nekem ez így sokkal kényelmesebb.

Egyszerű mód van, de én egy bonyolultabbat javaslok inkább (streamlined howto az openwrt wiki-ben), az kicsit rugalmasabb.

Szia!

Cert-et muszáj létrehozni az openVPN-hez? Nem lehet csak simán User/pass-szal belépni?
Próbáltál már valaha Androidos telóról belépni az OpenVPN-be? Ez szokott így működni?

Nem tudom lehet-e _csak_ user-pass lehet, de ha lehet akkor ott a mitm veszélye. Nem javaslom.
Androidról megy szépen nekem, az Arne Schwabe féle OpenPN for Android appot használom.

Androidon csak a TUN mód működik, igaz?

Nem tudom, én csak azzal próbáltam

Szia!

Mindkét mód működik Android-on is, csak a TAP (vagyis bridge-elt) módhoz root-olt android szükséges (lehet, hogy ezen felül még külön kernel modul is kell).

A TUN (vagyis route-olt) mód minden probléma nélkül működik (UDP és TCP porton keresztül is), még root-olás sem kell hozzá.

Általában járható út az, hogy az OpenVPN szerverben külön konfiguráció (TUN és UDP) van az android-os klienseknek és külön egy a desktop gépeknek (TAP és UDP), valamint külön egy a Mikrotik eszközöknek (TUN/TAP mindegy, de csak TCP lehet és nincs LZO-tömörítés)...
(Természetesen ilyenkor konfigurációnként külön port szükséges!)

Android alatt az alábbi klienst használom:
https://play.google.com/store/apps/details?id=it.colucciweb.openvpn

Nem kell root és a TAP mód is működik.

Megnézem majd. Köszönöm!

Például hogy ne legyél botnet része, ha kínai IOT eszközeidet vannak.

Jelenleg van egy forward-olt portom az SSH-nak és egy a Plex-nek. SSH csak certivel érhető el kintről. Ez biztonsági kockázat? Nincsenek IoT eszközeim. Az VPN-nek is kell egy nyitott port, nem?
Próbáltam már többször beizzítani az OpenVPN-t ,de nem tudom rendesen beállítani.