openvpn TP-LINK Archer C1200

Hálózatok egyéb

Sziasztok!

Adott két hely. Mindkettő alhálózata 192.168.3.0
Egyik debian 11 (egy miniPC, itt kliens fut - MT router mögött), másik tp-link ac1200 (itt megy az openvpn szerver) MT és TP címe más (192.168.3.1 és 192.168.3.5)
Szeretném openvpn-nel összekötni, hogy mindkét oldal mindenkit lásson. Ja, és a címek "fixek", pl. MQTT brókeré a 192.168.3.x beépített Shelly 1-be (fizikailag bony. átírni)
Win 10 alól megy simán - ugyanabba a netbe; a win alól a tplinkes hálón pingelhetem -, de debian mintha a route-ot teljesen elvesztené?!)
Most nézem win alatt a logba, de mégis megy... Options error: option 'route' cannot be used in this context ([PUSH-OPTIONS]) - 5-6 sorba is.

Kliens konfig:
client
dev tun
proto udp
float
nobind
cipher AES-128-CBC
comp-lzo adaptive
resolv-retry infinite
persist-key
persist-tun
remote x.x.x.x 1194
route 192.168.3.0 255.255.255.0
route 192.168.4.1
route-nopull
<ca>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
...
-----END PRIVATE KEY-----
</key>
 

Mi lehet?

  • 500 megtekintés

( gabrielakos v | 2022. 09. 24., szo – 09:00 )

tehát hogy értsük:

- van két neted, 192.168.3.x mindkettőnek a subnetje.

- tudod garantálni hogy ne legyen ip cím ütközés a hálózatok között sem

Akkor össze kellene bridgelni a két hálózatot (dev tap kéne)

A route-okat el kéne hagyni.

Ha mindenképpen route-olni akarsz akkor azt tudhatod csinálni hogy elfelezed a networköt és /25-ös netmaszkot használsz.

Ehhez persze az egyik hálózaton az IP-ket el kell mozgatni a felső tartományba.

--

zászló, zászló, szív

( fsanyee | 2022. 09. 24., szo – 09:05 )

nem fog menni ha mindkét oldalon ugyanaz a subnet.

Attól, hogy ugyanaz a subnet, még nem kell kategórikusan kijelenteni, hogy nem fog menni. De, megoldható. Csak nem a klasszikus felállás - ergo bocsolultabb és a konfigurálásához esélyesen nincs grafikus felület. Lépések:
- az openvp nem tun, hanem tap interface-t használ,
- a tap interface nem önállő IP címmel rendelkező interface, hanem bridge member,
- cserébe a belső hálózati interface-t is bele kell barkácsolni a bridge-be,
- ennek megfelelően mindenképp kell egy if-up script, ami elvégzi a brctl addif nemes műveletét,
- kliens oldalon ezen felül illő levenni a tap interface-ről az openvpn által automatikusan felhúzott IP címet.

A megoldás ugyan működik, de ennek vannalk olyan jutalmai, amelyek megfotolandóak:
- mivel alsóbb rétegen csomóztuk össze a két hálózatot, nem az IPv4 lesz az egyetlen protokoll, ami átmegy rajta,hanem minden más is: IPX, NetBeu. AppleTalk, IPv6, ....
- ennek megfelelően egy ARP kérés is (jogosan) átmegy. Meg minden broadcast is (logikus).
Kérdés, hogy ez mennyire probléma?

Ha nincs tap driver, akkor valóban macera a bridge megvalósítása.

Amikor még behívós nettel játszottam a cégnél, a pppd tudott olyat, hogy a ppp0 interface IP ugyanaz volt, mint az eth0 Ip címe. A túloldalra is ugyanebből a subnetből osztott IP címet és a pppd megkapta a -proxy-arp kapcsolót. Innen kezdve a túloldali masina a helyi háló tagjává vált.
Kérdés, hogy ez nálad mennyire lehet játékos? De gyanús, hogy ez sem lenne annyira egyszerű, mert a pppd esetén egyetlen helyen egyetlen IP-ről kellett füllenteni - itt most két helyen és több IP-ről is tudni kéne azt mondani, hogy "itt vagyok, nekem küldd", majd a kapott csomagot átlőni a kapcsolaton a túloldalnak, ahol szintén tovább kell dobni a valós címzettnek.

( roleez | 2022. 09. 25., v – 11:47 )

Szerkesztve: 2022. 09. 25., v – 11:49

Azt látom, hogy így ezzel a felállással nem lesz bridge.
Pár dolgot elengedek, a nyomtató fix ip címét fizikailag DHCP-re kell írni.
Normál esetben, az egyik háló - amin van a tp-link openvpn szerver - más alhálós címben lesz, de a kliens is és a szerver elhálója egymást
látni fogja? (szerver a default tun)
egyik háló 192.168.3.xx (ovpn kliens), másik 192.168.4.yy (ovpn server), Openvpn tun: 192.168.10.zz
R.

Ha a két hely subnet-je eltérő, akkor természetesen TUN interfésszel, route-olt kapcsolattal simán látni fogják egymást a két oldal eszközei.

Zárójelben, mert ez nekem sem nem kell, sem nem fog menni a TP-Link-kel:
(Valójában azonos címtartománnyal is meg lehetne oldani, ha pl. MT vagy bármi más teljesebb képességű eszköz lenne mind a két oldalon, de az egy kényszermegoldás olyan esetre, amikor a VPN felállításával megbízott szakinak nincs lehetősége egyik oldal IP tartományát sem cserélni. Pl. két független céget muszáj összekötni, de azonos IP tartományt használnak. Olyankor a túloldali gépeket nem a valódi, hanem egy virtuális címen lehet elérni. )

Nekem azonos címtartománynál csakis a layer2 összekötés játszana TAP interfésszel, de ilyent szerintem a TP-Link nem tud egyáltalán.

Ha átállítottad az egyik oldalt másik címtartományra, akkor a kapcsolat felépítése után annyi a dolgod, hogy a route táblába mindkét oldalon felvedd a túloldali subnet-et a VPN-en élő címmel (mint gateway). Meg persze egyik oldalon sem dobja el a tűzfal a túloldal IP címeiről jövő csomagokat.

( muszi v | 2022. 09. 26., h – 09:20 )

Olyat is csinálhatsz, hogy az iptables/nftables NETMAP target-jével NAT-olod a cél routeren hálózati címeket. Nekem is van két ilyen hálózatom (site-to-site) VPN-nel összekötve, mindkettő 192.168.0.0/24, és a "másik" hálózatra 192.168.254.0/24-ként hivatkozok (pl. a 192.168.0.1-es gépet 192.168.254.1-ként írom).

A NETMAP target nagyon hasonlít a DNAT targethez, csak nem a teljes cél IP címet írja át, hanem csak a network részt (a host részt meghagyja). Így ha a VPN interfészen bejön egy csomag, aminek a cél IP-je 192.168.254.1, akkor a következő NETMAP szabály szépen átírja 192.168.0.1-re:

iptables-legacy -t nat -A PREROUTING -i "$VPN_IF" -d 192.168.254.0/24 -j NETMAP --to 192.168.0.0/24

( roleez | 2022. 10. 06., cs – 22:53 )

Szerkesztve: 2022. 10. 06., cs – 22:54

Nem merem távolról átírni a router IP-jét és a DHCP-t. Nyilván az openvpn megszakad, de nem kell új cert.eket generálni? (Új local IP tp-linken ahol az openvpn szerver) ezt fizikailag
a routernél per pillanat kivitelezhetetlen. Nem akarom kizárni magam...
192.168.3.0 --> 192.168.5.0-ra, ha már bridge (tap) nem lehet.