Win11 és Openvpn használata

Hálózatok egyéb

Sziasztok,

szeretném a Win11-es gépen is használni az Openvpn-t. A win10-es gépemen hibanélkül lefut, de a Win11-esen lefutás után nem működik a route-olás. Nem látom az alhálózatokat, illetve a MikroTik router setup részét.

Ebből feltételezem, hogy a config és beállítások jók, csak a Win11-nek van valami csodája, ami miatt nem megy.

A Win11-es gépen a "futás", amit látok jóval lassabb sokáig tart, de elméletileg hibát nem dob fel, illetve számomra értelmezhetetlen hibát kapok:

2022-07-13 18:36:53 us=703000 TCP: connect to [AF_INET6]2a01:36c:2800:9159::14:1199 failed: Unknown error

Mellékelem a működő .conf-ot és a win11 logot is.

https://justpaste.it/1ypxm

https://justpaste.it/86iao

#Mikrotik #Win10 #Win11 #OpenVpn

  • 833 megtekintés

( agostonl | 2022. 07. 17., v – 06:29 )

IPV4-en próbáltad? Hátha az IPV6 szól bele...

( •̀ᴗ•́)╭∩╮

"speciel a blockchain igenis hogy jó megoldás, ezért nagy erőkkel keressük hozzá a problémát"
"A picsat, az internet a porno es a macskas kepek tarolorandszere! : HJ"

Az élet ott kezdődik, amikor rájössz, hogy szart sem kell bizonyítanod senkinek

Ha meg akarod nevettetni Istent, készíts tervet!

Igen, kezdek rájönni, hogy az IPV6 nem biztos, hogy jó ötlet, vagy legalább is nem biztos, hogy értek hozzá. Érdekes, hogy Win10-esen még működik az openvpn. Amúgy létezik valami jó leírás arról, hogy az IPV6-ot és az Openvpn-t Mikrotik routeren, hogyan lehet beállítani. Attól tartok, hogy ezt még nem teljesen értem. Pl: NAS-al is szívok, mert azt sem tudom elérni. Ami eddig, mert lehet IPV6 után nem megy....

IPv6-nál pl: TILOS megölni az ICMPv6-ot. De a MikroTik IPv6-os tűzfal log-ja (amennyiben van IPv6-os tűzfal beállítva) megmondja, hogy hol akad el.

https://help.mikrotik.com/docs/display/ROS/OpenVPN

De az OpenVPN helyett inkább már WireGuard-ot kellene használni: https://help.mikrotik.com/docs/display/ROS/WireGuard

IPv6 MikroTik-en: https://help.mikrotik.com/docs/display/ROS/IPv4+and+IPv6+Fundamentals

IPv6 könyv: https://ipv6ready.hu/konyv/IPv6-konyv.pdf

Köszönöm, nagyon sok általam még nem ismert információt küldtél. Megmondom őszintén, eddig csak az OpenVpn-t használtam a WireGuard-ról nem is hallottam. Lehet ez lesz az én kedvencem. Először is egy nagyon kezdő kérdésem lenne. Minden videót megnéztem és láttam, hogy úgy kezdődik, hogy a WireGuard a bal oldali menü sorban van a Wireless és Bridge között, de nekem nincs ilyen menü pontom, ezt hogy lehet ide varázsolni? Hogyan lehet felrakni a WireGuard app-ot a Mikrotik routerre?

( theadam | 2022. 07. 17., v – 19:34 )

Én is használom a Wireguard-ot, és ha a képességei kielégítik az igényeket, csak ajánlani tudom! Egy fontos dologra viszont mindenképp felhívnám a figyelmet. A WG csak L3 módban tud működni, ezáltal az L2 szolgáltatások (RA-val történő IPv6 cím osztása, DLNA és hasonlók) kiesnek. Ezt csak azért írom, mert OpenVPN-t sokak ilyesfajta célra használják, WireGuard esetében ez a rész problémásabb, és anno zöldfülűként én is beleestem ebbe, nem értettem, miért nem kapok IPv6 címet. A klienseket ugyan lehet kézzel címezgetni, de értelme nincsen sok, a fenntebbi log alapján DIGI-s hálózatról van szó, ahol változik a prefix. Így tehát a WG csak IPv4 NAT-olással használható, a v6-hoz újra kéne mindig generálni a szerver- és kliensoldali konfigokat.

TheAdam

Amennyit most én értek belőle :). Feltételezem, ez a belső hálózatoknál lehet IP4-et hagyni, azaz ez nem fogja érinteni, de DLNA nem tudom mikor érintene engem. Filmeket nézek a hálózaton, de gondolom, hogy ezt nem fogja érinteni (KODI és társai), fontos, hogy a saját belső hálózatom ez és nem, ahova felcsatlakozok. Köszi az infót!

Azt mondod openvpn tunnelen átmegy a dlna forgalom? Hogy a lótúróba? Én meg 2 éve baszakodok ezzel a kibaszott ipsec-el, és persze h. nem tudtam megoldani. Haggyam a faszba az ipsec-et, és húzzak ki helyette openvpn tunneleket a site-ok között?

HA TAP módban megy a szerver, és támogatják a kliensek, akkor be lehet rakni egy bridge-be a klienseket, így pl. simán lehet DLNA-zni is. Debian-on rendszeresen húztam fel ilyet, viszont routeren még nem próbáltam az alacsony sebessége miatt. De a RouterOS pl. tudja a TAP-et.

TheAdam

azt hogy oldod meg h. a dhcp ne menjen át a 2 site között / mindenki a saját site-ja szerinti def gw-t / dns-t stb. hasznalja? Ez az 1 layer2 hálóban 2v. több egymástól távoli site nekem nagyon meredek, csak azért h. azt a nyűves dlna-t átverje az ember és átmenjen a rútereken.

ez van a openvpn/server.tempate-ben:

 

# "dev tap" will create an ethernet tunnel.
# Use "dev tap" if you are ethernet bridging.
# If you want to control access policies
# over the VPN, you must create firewall
# rules for the the TUN/TAP interface.
# On non-Windows systems, you can give
# an explicit unit number, such as tun0.
# On Windows, use "dev-node" for this.
# On most systems, the VPN will not function
# unless you partially or fully disable
# the firewall for the TUN/TAP interface.

es ez:

# If enabled, this directive will configure
# all clients to redirect their default
# network gateway through the VPN, causing
# all IP traffic such as web browsing and
# and DNS lookups to go through the VPN
# (The OpenVPN server machine may need to NAT
# the TUN/TAP interface to the internet in
# order for this to work properly).
# CAVEAT: May break client's network config if
# client's local DHCP server packets get routed
# through the tunnel.  Solution: make sure
# client's local DHCP server is reachable via
# a more specific route than the default route
# of 0.0.0.0/0.0.0.0.
;push "redirect-gateway"

 

szerintem ha a redirect-gateway-t nem kapcsolod be, akkor a vpn szerver halozatabol kapsz egy ip cimet, amivel az ottani halozattal tudsz kommunikalni, de a dhcp-t nem onnan kapod, es a kliens dhcp-je sem megy at a tunnelen.

ahol tap-ot csinaltam, ott ugy van, hogy a vpn szerveren a br0-ban benne van az eth0 es a tap0 is, es olyat nem tapasztaltam, hogy a dhcp atment volna.

neked aztan fura humorod van...

a site to site az mukodhet routinggal (tun) es bridge-el (tap) is.

https://openvpn.net/vpn-server-resources/site-to-site-routing-explained…

https://openvpn.net/vpn-server-resources/site-to-site-layer-2-bridging-…

gondolom neked a masodik kell, a broadcast miatt?

mivel az ethernet tunelt maga az openvpn program csinalja, akar bele is szolhatna a forgalomba, hogy a dhcp-t ne engedje at, de ilyennel nincs tapasztalatom, site to site-ra routingot hasznalok a kulonbozo subnetek miatt, viszont road warrior klienseknel van bridge is.

neked aztan fura humorod van...

Én csak úgy oldottam meg, hogy az itthoni hálózatra léptek be a kliensek egyesével, másik routert vagy hálózatot nem kötöttem rá. Illetve én DLNA-t sem használok konkrétan, csak az L2 miatt írtam, mert L2-t igénylő dolog pl. az IPv6 RA ami viszont ment rendben.

TheAdam

Van 2, 3, 4, vagy akár tetszőlegesen sok X subnet. Mindegyik használja a saját rúterjét, rajta a DHCP-vel és DNS szerverrel, saját ISP-jét a WAN access-ra. Van 1 azaz egy darab szerver, az egyik subnet-ben, amit minden site-ról el akarnak érni. Ez a szerver a DLNA szerver. Fogd fel úgy, mint egy nagycsaládos-rokonos közös médiaszerver.

( Raynes v | 2022. 07. 18., h – 20:40 )

Nem jól használod a gépet. A MS ezt úgy várja, hogy közvetlenül minden adatod és netes forgalmad feléjük megy, itt te ne titkolózzál mindenféle VPN-nel, meg tűzfallal. Nem azért van a gép, hogy használd, hanem hogy a MS adatigényét ki tudjad elégíteni, és kötelező frissítések keretében tudjad nekik tesztelni a rendszert. De csak akkor, ha jó fiú vagy, és úgy csinálsz mindent a gépen, ahogy Redmondban megálmodták.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

Plusz..., okosan megtekintesz minden MS reklámot és hírösszeállítást, a tálcáról, a desktop-on, a start-menűben és az Edge böngészőben. (Amely persze meghatározott számú indítás után gondosan figyelmeztet, hogy akarod-e a saját beállításaidat megtartani. - Logikusan, miért is "kásztomizálnád" el az általa gondosan elképzelt, csodálatos, minden igényt kiszolgáló beállításait.)

Ha az Edge-ben a kérdésre válaszul véletlenül rossz helyre kattintanál, - a szövegértelmezési zavarok okán, - akkor visszarak minden, neki jó alap-reklámszórási beállítást. Ez egy "pfujj-rendszer"! - A "gazdáinknak" csak a globális irányításhoz szolgáltat bőséges információt, miközben a nap minden percében monitorozza a végponti hálózatodban történteket. (Igen, a VPN-es eléréseidet is.)

Azt, hogy az általa megállapított veszélyhelyzet fennálltával kiküldik a drónt is a fejed főlé, ez még kiegészítő projekt, valószínűleg tesztelés alatt.., - de egyelőre még "non official" protokoll.