Csak átfutottam és lehet nem vettem észre de otthon fix IP-t használsz vagy honnan tudod távolról az IP-d ?

Stay up Stay humble Ride hard Get stoked

Mindhárom leírást végigpróbáltam, és a végeredmény az lesz, hogy csatlakozik, de nincs net. Messenger megy, mert valószínűleg p2p, az általános dolgok viszont nem. Mit ronthatok el?
Linuxos gépen és rpi3-on is gond nélkül futtatok openvpnt, de a routeren kényelmesebb lenne.

Bocsi, nem válasz akart lenni.

[ Szerkesztve ]

Eladó Thrustmaster TCA Sidestick Airbus Edition - hardverapro.hu/tag/chipman

Üdv!
Dyndns szolgáltatás fut a fő routeren (azaz a szolgáltatói HGW eszközön).

ⓑⓣⓩ

Openwrt-s routert használsz?
Hanigen rakd ki képernyő mentésben, hogy mik a konfigok. Ha Luci is van, akkor arról is rakd be a képernyő mentéseket. Interfészekről, tűzfal szabályokról, zónákról.

ⓑⓣⓩ

Ha valakit érdekel, hogy mi az a VPN (Virtuális magánhálózat), mire használható, mire nem, akkor [itt] egy kicsit régi, de mindenféleképpen hasznos leírás.

ⓑⓣⓩ

Azoknak akik nem szeretnek terminálon mókolni, de a konfig fájl szerkesztéses módszereket jobban szeretik, azoknak letöltöttem a konfig fájlokat a routerről. (/etc/config könyvtárban találhatók ezek)

Firewall fájl

config defaults
option syn_flood '1'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'

config zone
option name 'lan'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'ACCEPT'
option network 'lan WLAN'
option masq '1'
option mtu_fix '1'

config include
option path '/etc/firewall.user'

config rule 'Allow_OpenVPN_Inbound'
option target 'ACCEPT'
option src '*'
option proto 'udp'
option dest_port '50015'

config zone
option input 'ACCEPT'
option forward 'REJECT'
option output 'ACCEPT'
option name 'vpn'
option network 'vpn0'

config forwarding
option dest 'lan'
option src 'vpn'

config forwarding
option dest 'vpn'
option src 'lan'

Openvpn fájl. (Szerver konfigurációs fájl)

config openvpn 'myvpn'
option enabled '1'
option verb '3'
option port '50015'
option proto 'udp'
option dev 'tun'
option server '192.168.2.0 255.255.255.0'
option keepalive '10 120'
option ca '/etc/openvpn/ca.crt'
option cert '/etc/openvpn/my-server.crt'
option key '/etc/openvpn/my-server.key'
option dh '/etc/openvpn/dh2048.pem'
list push 'route 192.168.1.0 255.255.255.0'
list push 'redirect-gateway def1'

Network fájl

config interface 'loopback'
option ifname 'lo'
option proto 'static'
option ipaddr '127.0.0.1'
option netmask '255.0.0.0'

config globals 'globals'
option ula_prefix 'fd9c:7178:739e::/48'

config interface 'lan'
option force_link '1'
option type 'bridge'
option proto 'static'
option netmask '255.255.255.0'
option ip6assign '60'
option ipaddr '192.168.1.250'
option gateway '192.168.1.4'
option dns '8.8.8.8 192.168.1.4'
option _orig_ifname 'eth1 tap0 radio0.network1'
option _orig_bridge 'true'
option ifname 'eth1'
option delegate '0'

config switch
option name 'switch0'
option reset '1'
option enable_vlan '1'

config switch_vlan
option device 'switch0'
option vlan '1'
option ports '0 1 2 3 4'

config switch_vlan
option device 'switch0'
option vlan '2'
option ports '5 6'

config interface 'vpn0'
option ifname 'tun0'
option proto 'none'
option auto '1'

Ezek az én konfigjaim, természetesen mindenki a sajátjához igazítsa hozzá, ne egy az egyben írassa fellül a sajátját, mert abból gond lehet.

[ Szerkesztve ]

ⓑⓣⓩ

a dyndns már fizetős lett ugye?

nekem synology van az openwrt után. VPN-t nem használok mert synologynál nem kell. Bár VPN van benne és egyszer kipróbáltam.

DNS-re nekem freedns van amit be tudtam állitani openwrt-ben

[ Szerkesztve ]

Stay up Stay humble Ride hard Get stoked

Az is megfelelő, ha a wrt támogatja

ⓑⓣⓩ

Tovább fogom olvasni, csak könyörgöm írjuk már helyesen azt, hogy egyelőre, mert az egyenlőre baromira mást jelent!

Egy helyesírásellenőrzőt azért az egészen futtatni kéne, nagyon sok hiba van!

[ Szerkesztve ]

Nálunk nem csak így írják, hanem így is mondják, szóval jó lesz az.

ⓑⓣⓩ

IPv6-hoz

/etc/config/openvpn fájlba!

option server_ipv6 '2001:XXXXXXXXX::/64'
list push 'route-ipv6 2001:XXXXXXXXX::/64'
list push 'route-ipv6 2000::/3'

ⓑⓣⓩ

Nagyon jól össze szedett írás. Hétvégén lehet kipróbálom. Viszont ez mennyire biztonságos?

Biztonságisabb mint egy idegen VPN szolgáltatót használni.

ⓑⓣⓩ

Nem tudok csatlakozni. Windows kliens van, és kihozza, hogy connecting to ovpn 2 has failed.

Log file mit mutat?
Konkrét beállítások hogy néznek ki nálad? Luci felületről esetleg egy képet?

ⓑⓣⓩ

Szia! A megoldás már megvan. Windowshoz a konfigfájlhoz két \ jel kell mindig és az elérési utat idézőjelbe kell tenni. A csatlakozás megvan, de semmit nem érek el. Mi a gond?

A network fájl:
config interface 'loopback'
option ifname 'lo'
option proto 'static'
option ipaddr '127.0.0.1'
option netmask '255.0.0.0'

config globals 'globals'
option ula_prefix 'fd8a:954f:7437::/48'

config interface 'lan'
option type 'bridge'
option proto 'static'
option ipaddr '192.168.1.1'
option netmask '255.255.255.0'
option ip6assign '60'
option ifname 'eth1'

config interface 'wan'
option ifname 'eth0'
option proto 'dhcp'

config interface 'wan6'
option ifname 'eth0'
option proto 'dhcpv6'

config switch
option name 'switch0'
option reset '1'
option enable_vlan '1'

config switch_vlan
option device 'switch0'
option vlan '1'
option vid '1'
option ports '0 1 2 3 4'

config switch_vlan
option device 'switch0'
option vlan '2'
option ports '5 6'
option vid '2'

config interface 'vpn0'
option ifname 'tun0'
option proto 'none'
option auto '1'

A firewall fájl

config defaults
option syn_flood '1'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'

config zone
option name 'lan'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'ACCEPT'
option masq '1'
option mtu_fix '1'
option network 'lan'

config zone
option name 'wan'
option input 'REJECT'
option output 'ACCEPT'
option forward 'REJECT'
option masq '1'
option mtu_fix '1'
option network 'wan wan6'

config forwarding
option src 'lan'
option dest 'wan'

config rule
option name 'Allow-DHCP-Renew'
option src 'wan'
option proto 'udp'
option dest_port '68'
option target 'ACCEPT'
option family 'ipv4'

config rule
option name 'Allow-Ping'
option src 'wan'
option proto 'icmp'
option icmp_type 'echo-request'
option family 'ipv4'
option target 'ACCEPT'

config rule
option name 'Allow-IGMP'
option src 'wan'
option proto 'igmp'
option family 'ipv4'
option target 'ACCEPT'

config rule
option name 'Allow-DHCPv6'
option src 'wan'
option proto 'udp'
option src_ip 'fc00::/6'
option dest_ip 'fc00::/6'
option dest_port '546'
option family 'ipv6'
option target 'ACCEPT'

config rule
option name 'Allow-MLD'
option src 'wan'
option proto 'icmp'
option src_ip 'fe80::/10'
list icmp_type '130/0'
list icmp_type '131/0'
list icmp_type '132/0'
list icmp_type '143/0'
option family 'ipv6'
option target 'ACCEPT'

config rule
option name 'Allow-ICMPv6-Input'
option src 'wan'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
list icmp_type 'router-solicitation'
list icmp_type 'neighbour-solicitation'
list icmp_type 'router-advertisement'
list icmp_type 'neighbour-advertisement'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'

config rule
option name 'Allow-ICMPv6-Forward'
option src 'wan'
option dest '*'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'

config include
option path '/etc/firewall.user'

config rule
option src 'wan'
option dest 'lan'
option proto 'esp'
option target 'ACCEPT'

config rule
option src 'wan'
option dest 'lan'
option dest_port '500'
option proto 'udp'
option target 'ACCEPT'

config redirect
option target 'DNAT'
option src 'wan'
option dest 'lan'
option proto 'tcp udp'
option src_dport '8080'
option dest_ip '192.168.1.100'
option dest_port '8080'
option name 'qbittorrent'

config redirect
option target 'DNAT'
option src 'wan'
option dest 'lan'
option proto 'tcp udp'
option src_dport '81'
option dest_ip '192.168.1.2'
option dest_port '81'
option name 'router2'

config redirect
option target 'DNAT'
option src 'wan'
option dest 'lan'
option proto 'tcp udp'
option src_dport '8964'
option dest_ip '192.168.1.2'
option dest_port '8964'
option name 'router2ssh'

config redirect
option target 'DNAT'
option src 'wan'
option dest 'lan'
option proto 'tcp'
option src_dport '80'
option dest_ip '192.168.1.1'
option dest_port '80'
option name 'router1'

config rule 'Allow_OpenVPN_Inbound'
option target 'ACCEPT'
option src '*'
option proto 'udp'
option dest_port '50015'

config zone 'vpn'
option name 'vpn'
option network 'vpn0'
option input 'ACCEPT'
option forward 'REJECT'
option output 'ACCEPT'


config forwarding 'vpn_forwarding_lan_in'
option src 'vpn'
option dest 'lan'

config forwarding 'vpn_forwarding_lan_out'
option src 'lan'
option dest 'vpn'

config forwarding 'vpn_forwarding_wan'
option src 'vpn'
option dest 'wan'

config redirect
option target 'DNAT'
option src 'wan'
option dest 'lan'
option proto 'udp'
option src_dport '50015'
option dest_ip '192.168.1.1'
option dest_port '50015'
option name '50015'

És az openvpn

config openvpn 'myvpn'
option enabled '1'
option verb '3'
option port '50015'
option proto 'udp'
option dev 'tun'
option server '192.168.2.0 255.255.255.0'
option keepalive '10 120'
option ca '/etc/openvpn/ca.crt'
option cert '/etc/openvpn/my-server.crt'
option key '/etc/openvpn/my-server.key'
option dh '/etc/openvpn/dh2048.pem'
list push 'route 192.168.1.0 255.255.255.0'
list push 'redirect-gateway def1'

Köszi a segítséget előre is.

Végig néztem a configod. Nagyjából minden a tutorial szerint van benne.
Mivel te a WAN interfészt használod internet elérésre, ezért én a tűzfal fájlnál a
config zone
option name 'lan'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'ACCEPT'
option masq '1'
option mtu_fix '1'
option network 'lan'
résznél kivenném a
option masq '1'
option mtu_fix '1
részt. Bár nem vagyok biztos benne, hogy ez kavar be.

Ha nem siklottam el valami felett, akkor így mennie kéne.

ⓑⓣⓩ

Itt a konfigom képe. Még mindig nem működik. Az nem lehet, hogy az a gond, hogy belső hálózatból próbálok csatlakozni?

[ Szerkesztve ]

Nálam nem jelent problémát. A tűzfal zónák nalam is ugyan ezek, csak nálam a wan (piros) zóna nincs és a net miatt a LAN zóna (zöld) van maszkolva.

ⓑⓣⓩ

Most próbálom ki távolról, és nem tud csatlakozni a következő miatt: Tue Jun 27 14:30:30 2017 Warning: cannot open --log file: openvpn.log: A hozzáférés megtagadva. (errno=5)
Tue Jun 27 14:30:30 2017 Warning: cannot open --log file: C:\Program Files\OpenVPN\log\remote.log: A hozzáférés megtagadva. (errno=5)
Tue Jun 27 14:30:30 2017 OpenVPN 2.3.9 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Dec 16 2015
Tue Jun 27 14:30:30 2017 library versions: OpenSSL 1.0.1q 3 Dec 2015, LZO 2.09
Tue Jun 27 14:30:30 2017 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25341
Tue Jun 27 14:30:30 2017 Need hold release from management interface, waiting...
Tue Jun 27 14:30:31 2017 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25341
Tue Jun 27 14:30:31 2017 MANAGEMENT: CMD 'state on'
Tue Jun 27 14:30:31 2017 MANAGEMENT: CMD 'log all on'
Tue Jun 27 14:30:31 2017 MANAGEMENT: CMD 'hold off'
Tue Jun 27 14:30:31 2017 MANAGEMENT: CMD 'hold release'
Tue Jun 27 14:30:31 2017 Socket Buffers: R=[65536->65536] S=[65536->65536]
Tue Jun 27 14:30:31 2017 MANAGEMENT: >STATE:1498566631,RESOLVE,,,
Tue Jun 27 14:30:31 2017 UDPv4 link local (bound): [undef]
Tue Jun 27 14:30:31 2017 UDPv4 link remote: [AF_INET]95.168.63.254:50015
Tue Jun 27 14:30:31 2017 MANAGEMENT: >STATE:1498566631,WAIT,,,
Tue Jun 27 14:31:31 2017 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Tue Jun 27 14:31:31 2017 TLS Error: TLS handshake failed
Tue Jun 27 14:31:31 2017 SIGUSR1[soft,tls-error] received, process restarting
Tue Jun 27 14:31:31 2017 MANAGEMENT: >STATE:1498566691,RECONNECTING,tls-error,,
Tue Jun 27 14:31:31 2017 Restart pause, 2 second(s)
Tue Jun 27 14:31:33 2017 Socket Buffers: R=[65536->65536] S=[65536->65536]
Tue Jun 27 14:31:33 2017 MANAGEMENT: >STATE:1498566693,RESOLVE,,,
Tue Jun 27 14:31:33 2017 UDPv4 link local (bound): [undef]
Tue Jun 27 14:31:33 2017 UDPv4 link remote: [AF_INET]95.168.63.254:50015
Tue Jun 27 14:31:33 2017 MANAGEMENT: >STATE:1498566693,WAIT,,,
Tue Jun 27 14:32:33 2017 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Tue Jun 27 14:32:33 2017 TLS Error: TLS handshake failed
Tue Jun 27 14:32:33 2017 SIGUSR1[soft,tls-error] received, process restarting
Tue Jun 27 14:32:33 2017 MANAGEMENT: >STATE:1498566753,RECONNECTING,tls-error,,
Tue Jun 27 14:32:33 2017 Restart pause, 2 second(s)
Tue Jun 27 14:32:35 2017 Socket Buffers: R=[65536->65536] S=[65536->65536]
Tue Jun 27 14:32:35 2017 MANAGEMENT: >STATE:1498566755,RESOLVE,,,
Tue Jun 27 14:32:35 2017 UDPv4 link local (bound): [undef]
Tue Jun 27 14:32:35 2017 UDPv4 link remote: [AF_INET]95.168.63.254:50015
Tue Jun 27 14:32:35 2017 MANAGEMENT: >STATE:1498566755,WAIT,,,

Mit kéne csináljak?

Milyen Winows kluens programot használsz? Felrakom én is és megnézem, hogy hogyan is működik pontosan.

ⓑⓣⓩ

OpenVPN GUI

Ok. Felteszem valamikor, ha időm engedi. Most generáltam egy új user certificate-ot, mobilról kipróbáltam és megy, ezt fogom alkalmazni a PC-n. Lehet valami a certekkel nem stimmel nálad.

[ Szerkesztve ]

ⓑⓣⓩ

Sikerült is megcsinálnom. A telefonom rákötöttem a PC-re és így osztottam meg a mobilnetem, mintegy külső elérést szimulálva (vagyis nem csak szimulálva, mert ez tényleg az, még a hálókártyából is kihúztam a kábelt, így biztos a mobilneten megy a kapcsolat)
Az IPV6 átvitelen kívül minden működik (majd erre is keresek megoldást). A konfiguráción nem változtattam csak annyit, hogy UDP-ről TCP-re álltam, de ez már lassan egy hónapja (ennyi az eltérésem a blogban leírt konfigurációról). Letöltöttem a certeket, amit már írtam, hogy elkészítettem. Megírtam az új ovpn fájlt, betöltöttem és kapcsolódtam. Igaz kissé hosszadalmasabb mint Androidon.

Tudom pingelni a helyi eszközeimet. A fenti képen épp a fő ruterem (192.168.1.250) és a másodlagos routerem (192.168.1.251) látható, amint megpingeltem őket és válaszolnak, akárcsak úgy mintha a helyi hálón lennék.
Ezt a hszt is most a felépített VPN hálózatról írom, azaz a netelérés is működik.

ⓑⓣⓩ

A certekkel lesz nálad valami gond én úgy látom.

ⓑⓣⓩ

Jah, meg még az IPV6 van bevezetve, erről is írtam már blogbejegyzést
Ez még egy kis változtatás az eredetihez képest.

ⓑⓣⓩ

Az IPV6 is megoldódott. Repülő üzembe raktam a telefonomat, majd az USB kábel ki/be, USB net megosztás ismét be, VPN connect és már van is IPV6-om amit a VPN tunnelen kapok:

ⓑⓣⓩ

A bejelentkezési logom kliens oldalon:
(A nem publikus adatok kikommentelve)

Tue Jun 27 21:49:49 2017 OpenVPN 2.4.3 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Jun 20 2017
Tue Jun 27 21:49:49 2017 Windows version 6.1 (Windows 7) 32bit
Tue Jun 27 21:49:49 2017 library versions: OpenSSL 1.0.2l 25 May 2017, LZO 2.10
Enter Management Password:
Tue Jun 27 21:49:49 2017 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Tue Jun 27 21:49:49 2017 Need hold release from management interface, waiting...
Tue Jun 27 21:49:49 2017 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Tue Jun 27 21:49:49 2017 MANAGEMENT: CMD 'state on'
Tue Jun 27 21:49:49 2017 MANAGEMENT: CMD 'log all on'
Tue Jun 27 21:49:49 2017 MANAGEMENT: CMD 'echo all on'
Tue Jun 27 21:49:49 2017 MANAGEMENT: CMD 'hold off'
Tue Jun 27 21:49:49 2017 MANAGEMENT: CMD 'hold release'
Tue Jun 27 21:49:50 2017 MANAGEMENT: >STATE:1498592990,RESOLVE,,,,,,
Tue Jun 27 21:49:50 2017 TCP/UDP: Preserving recently used remote address: [AF_INET][A PUBLIKUS IPV4 CÍMEM]:50015
Tue Jun 27 21:49:50 2017 Socket Buffers: R=[8192->8192] S=[8192->8192]
Tue Jun 27 21:49:50 2017 Attempting to establish TCP connection with [AF_INET][A PUBLIKUS IPV4 CÍMEM]:50015 [nonblock]
Tue Jun 27 21:49:50 2017 MANAGEMENT: >STATE:1498592990,TCP_CONNECT,,,,,,
Tue Jun 27 21:49:51 2017 TCP connection established with [AF_INET][A PUBLIKUS IPV4 CÍMEM]:50015
Tue Jun 27 21:49:51 2017 TCP_CLIENT link local: (not bound)
Tue Jun 27 21:49:51 2017 TCP_CLIENT link remote: [AF_INET][A PUBLIKUS IPV4 CÍMEM]:50015
Tue Jun 27 21:49:51 2017 MANAGEMENT: >STATE:1498592991,WAIT,,,,,,
Tue Jun 27 21:49:51 2017 MANAGEMENT: >STATE:1498592991,AUTH,,,,,,
Tue Jun 27 21:49:51 2017 TLS: Initial packet from [AF_INET][A PUBLIKUS IPV4 CÍMEM]:50015, sid=ebb59f85 530e5bd1
Tue Jun 27 21:49:53 2017 VERIFY OK: depth=1, C=HU, ST=Pest, L=Budapest, O=Nincs, OU=MyOrganizationalUnit, CN=Nincs CA, name=EasyRSA, emailAddress=[A PUBLIKUS EMAIL CÍMEM]
Tue Jun 27 21:49:53 2017 VERIFY KU OK
Tue Jun 27 21:49:53 2017 Validating certificate extended key usage
Tue Jun 27 21:49:53 2017 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Tue Jun 27 21:49:53 2017 VERIFY EKU OK
Tue Jun 27 21:49:53 2017 VERIFY OK: depth=0, C=HU, ST=Pest, L=Budapest, O=Nincs, OU=MyOrganizationalUnit, CN=my-server, name=BTZ, emailAddress=[A PUBLIKUS EMAIL CÍMEM]
Tue Jun 27 21:49:54 2017 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Tue Jun 27 21:49:54 2017 [my-server] Peer Connection Initiated with [AF_INET][A PUBLIKUS IPV4 CÍMEM]:50015
Tue Jun 27 21:49:55 2017 MANAGEMENT: >STATE:1498592995,GET_CONFIG,,,,,,
Tue Jun 27 21:49:55 2017 SENT CONTROL [my-server]: 'PUSH_REQUEST' (status=1)
Tue Jun 27 21:49:55 2017 PUSH: Received control message: 'PUSH_REPLY,ifconfig-ipv6 2001:[A PUBLIKUS IPV6 PREFIX CÍMEM]:20::1001/64 2001:[A PUBLIKUS IPV6 PREFIX CÍMEM]:20::1,route 192.168.1.0 255.255.255.0,redirect-gateway def1,route-ipv6 2001:[A PUBLIKUS IPV6 PREFIX CÍMEM]:20::/64,route-ipv6 2000::/3,tun-ipv6,route 192.168.2.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 192.168.2.10 192.168.2.9'
Tue Jun 27 21:49:55 2017 Note: option tun-ipv6 is ignored because modern operating systems do not need special IPv6 tun handling anymore.
Tue Jun 27 21:49:55 2017 OPTIONS IMPORT: timers and/or timeouts modified
Tue Jun 27 21:49:55 2017 OPTIONS IMPORT: --ifconfig/up options modified
Tue Jun 27 21:49:55 2017 OPTIONS IMPORT: route options modified
Tue Jun 27 21:49:55 2017 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Jun 27 21:49:55 2017 WARNING: INSECURE cipher with block size less than 128 bit (64 bit). This allows attacks like SWEET32. Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Tue Jun 27 21:49:55 2017 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Jun 27 21:49:55 2017 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Jun 27 21:49:55 2017 WARNING: INSECURE cipher with block size less than 128 bit (64 bit). This allows attacks like SWEET32. Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Tue Jun 27 21:49:55 2017 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Jun 27 21:49:55 2017 WARNING: cipher with small block size in use, reducing reneg-bytes to 64MB to mitigate SWEET32 attacks.
Tue Jun 27 21:49:55 2017 interactive service msg_channel=0
Tue Jun 27 21:49:56 2017 ROUTE_GATEWAY 192.168.42.129/255.255.255.0 I=31 HWADDR=[NEM PUBLIKUS]
Tue Jun 27 21:49:56 2017 GDG6: remote_host_ipv6=n/a
Tue Jun 27 21:49:56 2017 GetBestInterfaceEx() returned if=31
Tue Jun 27 21:49:56 2017 GDG6: II=31 DP=::/0 NH=fe80::[Nem publikus]
Tue Jun 27 21:49:56 2017 GDG6: Metric=256, Loopback=0, AA=1, I=0
Tue Jun 27 21:49:56 2017 ROUTE6_GATEWAY fe80::[Nem publikus] I=31
Tue Jun 27 21:49:56 2017 open_tun
Tue Jun 27 21:49:56 2017 TAP-WIN32 device [Helyi kapcsolat 2] opened: \\.\Global\{57ABE2D8-138B-4447-A451-D9AE8C83E556}.tap
Tue Jun 27 21:49:56 2017 TAP-Windows Driver Version 9.21
Tue Jun 27 21:49:56 2017 Notified TAP-Windows driver to set a DHCP IP/netmask of 192.168.2.10/255.255.255.252 on interface {57ABE2D8-138B-4447-A451-D9AE8C83E556} [DHCP-serv: 192.168.2.9, lease-time: 31536000]
Tue Jun 27 21:49:56 2017 Successful ARP Flush on interface [28] {57ABE2D8-138B-4447-A451-D9AE8C83E556}
Tue Jun 27 21:49:56 2017 do_ifconfig, tt->did_ifconfig_ipv6_setup=1
Tue Jun 27 21:49:56 2017 MANAGEMENT: >STATE:1498592996,ASSIGN_IP,,192.168.2.10,,,,,2001:[A PUBLIKUS IPV6 PREFIX CÍMEM]:20::1001
Tue Jun 27 21:49:57 2017 NETSH: C:\Windows\system32\netsh.exe interface ipv6 set address interface=28 2001:[A PUBLIKUS IPV6 PREFIX CÍMEM]:20::1001 store=active
Tue Jun 27 21:50:01 2017 add_route_ipv6(2001:[A PUBLIKUS IPV6 PREFIX CÍMEM]:20::/64 -> 2001:[A PUBLIKUS IPV6 PREFIX CÍMEM]:20::1001 metric 0) dev Helyi kapcsolat 2
Tue Jun 27 21:50:01 2017 C:\Windows\system32\netsh.exe interface ipv6 add route 2001:[A PUBLIKUS IPV6 PREFIX CÍMEM]:20::/64 interface=28 fe80::8 store=active
Tue Jun 27 21:50:01 2017 env_block: add PATH=C:\Windows\System32;C:\Windows;C:\Windows\System32\Wbem
Tue Jun 27 21:50:08 2017 TEST ROUTES: 3/3 succeeded len=2 ret=1 a=0 u/d=up
Tue Jun 27 21:50:08 2017 C:\Windows\system32\route.exe ADD [A PUBLIKUS IPV4 CÍMEM] MASK 255.255.255.255 192.168.42.129
Tue Jun 27 21:50:08 2017 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=10 and dwForwardType=4
Tue Jun 27 21:50:08 2017 Route addition via IPAPI succeeded [adaptive]
Tue Jun 27 21:50:08 2017 C:\Windows\system32\route.exe ADD 0.0.0.0 MASK 128.0.0.0 192.168.2.9
Tue Jun 27 21:50:08 2017 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=20 and dwForwardType=4
Tue Jun 27 21:50:08 2017 Route addition via IPAPI succeeded [adaptive]
Tue Jun 27 21:50:08 2017 C:\Windows\system32\route.exe ADD 128.0.0.0 MASK 128.0.0.0 192.168.2.9
Tue Jun 27 21:50:08 2017 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=20 and dwForwardType=4
Tue Jun 27 21:50:08 2017 Route addition via IPAPI succeeded [adaptive]
Tue Jun 27 21:50:08 2017 MANAGEMENT: >STATE:1498593008,ADD_ROUTES,,,,,,
Tue Jun 27 21:50:08 2017 C:\Windows\system32\route.exe ADD 192.168.1.0 MASK 255.255.255.0 192.168.2.9
Tue Jun 27 21:50:08 2017 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=20 and dwForwardType=4
Tue Jun 27 21:50:08 2017 Route addition via IPAPI succeeded [adaptive]
Tue Jun 27 21:50:08 2017 C:\Windows\system32\route.exe ADD 192.168.2.0 MASK 255.255.255.0 192.168.2.9
Tue Jun 27 21:50:08 2017 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=20 and dwForwardType=4
Tue Jun 27 21:50:08 2017 Route addition via IPAPI succeeded [adaptive]
Tue Jun 27 21:50:08 2017 add_route_ipv6(2001:[A PUBLIKUS IPV6 PREFIX CÍMEM]:20::/64 -> 2001:[A PUBLIKUS IPV6 PREFIX CÍMEM]:20::1 metric -1) dev Helyi kapcsolat 2
Tue Jun 27 21:50:08 2017 C:\Windows\system32\netsh.exe interface ipv6 add route 2001:[A PUBLIKUS IPV6 PREFIX CÍMEM]:20::/64 interface=28 fe80::8 store=active
Tue Jun 27 21:50:08 2017 env_block: add PATH=C:\Windows\System32;C:\Windows;C:\Windows\System32\Wbem
Tue Jun 27 21:50:09 2017 ERROR: Windows route add ipv6 command failed: returned error code 1
Tue Jun 27 21:50:09 2017 add_route_ipv6(2000::/3 -> 2001:[A PUBLIKUS IPV6 PREFIX CÍMEM]:20::1 metric -1) dev Helyi kapcsolat 2
Tue Jun 27 21:50:09 2017 C:\Windows\system32\netsh.exe interface ipv6 add route 2000::/3 interface=28 fe80::8 store=active
Tue Jun 27 21:50:09 2017 env_block: add PATH=C:\Windows\System32;C:\Windows;C:\Windows\System32\Wbem
Tue Jun 27 21:50:10 2017 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Tue Jun 27 21:50:10 2017 Initialization Sequence Completed
Tue Jun 27 21:50:10 2017 MANAGEMENT: >STATE:1498593010,CONNECTED,SUCCESS,192.168.2.10,[A PUBLIKUS IPV4 CÍMEM],50015,192.168.42.204,58333,2001:[A PUBLIKUS IPV6 PREFIX CÍMEM]:20::1001

Szerver oldalon:
(Csak a szokásos)

Tue Jun 27 21:46:55 2017 daemon.notice openvpn(myvpn)[1013]: my-pcconn/37.76.80.228:57837 SIGUSR1[soft,connection-reset] received, client-instance restarting
Tue Jun 27 21:49:48 2017 daemon.notice openvpn(myvpn)[1013]: TCP connection established with [AF_INET][A TELEFONOS MOBILNETEM IPJE]:58333
Tue Jun 27 21:49:50 2017 daemon.notice openvpn(myvpn)[1013]: [A TELEFONOS MOBILNETEM IPJE]:58333 TLS: Initial packet from [AF_INET][A TELEFONOS MOBILNETEM IPJE]:58333, sid=4d81a3bd a5ad3cd7
Tue Jun 27 21:49:52 2017 daemon.notice openvpn(myvpn)[1013]: [A TELEFONOS MOBILNETEM IPJE]:58333 VERIFY OK: depth=1, C=HU, ST=Pest, L=Budapest, O=Nincs, OU=MyOrganizationalUnit, CN=Nincs CA, name=EasyRSA, emailAddress=
Tue Jun 27 21:49:52 2017 daemon.notice openvpn(myvpn)[1013]: [A TELEFONOS MOBILNETEM IPJE]:58333 VERIFY OK: depth=0, C=HU, ST=Pest, L=Budapest, O=Gyarba, OU=Product, CN=my-pcconn, name=EasyRSA, emailAddress=
Tue Jun 27 21:49:52 2017 daemon.notice openvpn(myvpn)[1013]: [A TELEFONOS MOBILNETEM IPJE]:58333 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Jun 27 21:49:52 2017 daemon.notice openvpn(myvpn)[1013]: [A TELEFONOS MOBILNETEM IPJE]:58333 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Jun 27 21:49:52 2017 daemon.notice openvpn(myvpn)[1013]: [A TELEFONOS MOBILNETEM IPJE]:58333 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Jun 27 21:49:52 2017 daemon.notice openvpn(myvpn)[1013]: [A TELEFONOS MOBILNETEM IPJE]:58333 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Jun 27 21:49:52 2017 daemon.notice openvpn(myvpn)[1013]: [A TELEFONOS MOBILNETEM IPJE]:58333 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Tue Jun 27 21:49:52 2017 daemon.notice openvpn(myvpn)[1013]: [A TELEFONOS MOBILNETEM IPJE]:58333 [my-pcconn] Peer Connection Initiated with [AF_INET][A TELEFONOS MOBILNETEM IPJE]:58333
Tue Jun 27 21:49:52 2017 daemon.notice openvpn(myvpn)[1013]: my-pcconn/[A TELEFONOS MOBILNETEM IPJE]:58333 MULTI_sva: pool returned IPv4=192.168.2.10, IPv6=2001:[AZ IPV6 PREFIXEM]:20::1001
Tue Jun 27 21:49:52 2017 daemon.notice openvpn(myvpn)[1013]: my-pcconn/[A TELEFONOS MOBILNETEM IPJE]:58333 MULTI: Learn: 192.168.2.10 -> my-pcconn/[A TELEFONOS MOBILNETEM IPJE]:58333
Tue Jun 27 21:49:52 2017 daemon.notice openvpn(myvpn)[1013]: my-pcconn/[A TELEFONOS MOBILNETEM IPJE]:58333 MULTI: primary virtual IP for my-pcconn/[A TELEFONOS MOBILNETEM IPJE]:58333: 192.168.2.10
Tue Jun 27 21:49:52 2017 daemon.notice openvpn(myvpn)[1013]: my-pcconn/[A TELEFONOS MOBILNETEM IPJE]:58333 MULTI: Learn: 2001:[AZ IPV6 PREFIXEM]:20::1001 -> my-pcconn/[A TELEFONOS MOBILNETEM IPJE]:58333
Tue Jun 27 21:49:52 2017 daemon.notice openvpn(myvpn)[1013]: my-pcconn/[A TELEFONOS MOBILNETEM IPJE]:58333 MULTI: primary virtual IPv6 for my-pcconn/[A TELEFONOS MOBILNETEM IPJE]:58333: 2001:[AZ IPV6 PREFIXEM]:20::1001
Tue Jun 27 21:49:53 2017 daemon.notice openvpn(myvpn)[1013]: my-pcconn/[A TELEFONOS MOBILNETEM IPJE]:58333 PUSH: Received control message: 'PUSH_REQUEST'
Tue Jun 27 21:49:53 2017 daemon.notice openvpn(myvpn)[1013]: my-pcconn/[A TELEFONOS MOBILNETEM IPJE]:58333 send_push_reply(): safe_cap=940
Tue Jun 27 21:49:53 2017 daemon.notice openvpn(myvpn)[1013]: my-pcconn/[A TELEFONOS MOBILNETEM IPJE]:58333 SENT CONTROL [my-pcconn]: 'PUSH_REPLY,ifconfig-ipv6 2001:[AZ IPV6 PREFIXEM]:20::1001/64 2001:[AZ IPV6 PREFIXEM]:20::1,route 192.168.1.0 255.255.255.0,redirect-gateway def1,route-ipv6 2001:[AZ IPV6 PREFIXEM]:20::/64,route-ipv6 2000::/3,tun-ipv6,route 192.168.2.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 192.168.2.10 192.168.2.9' (status=1)

[ Szerkesztve ]

ⓑⓣⓩ

Átálítottam én is TCP-re és most ezt a hibát hozza: A rendszer egy csatolt meghajtón lévo könyvtárhoz próbált meg meghajtót csatolni.

A tanúsítványokkal nem hiszem, hogy hiba van, hisz otthonról működik. De azért megnézem

Meghajtót csatolni??? Ezt a logban írja vagy hol?
Én amondó vagyok, hogy törölj ki mindent és próbáld elölről. Sajnos nem tudom megállapítani, hogy nálad minn akad el a dolog.

ⓑⓣⓩ

Sziasztok! Jó a téma és az írás is, de azt hogy tudom megtenni, hogy a routerről lementsem a gépemre a .crt és a.pem fájlokat? Köszi!

SFTP vagy FTP-vel

ⓑⓣⓩ

Köszi sikerült! Az a baj egy tp-link 1043nd routerem van és nagyon kicsi a tárhelye. Most azzal próbálok alkotni vmit.

Egy pendrive megoldás lehet rá. Egyébkét nekem is 1034ND -n megy. V2.1-es fekete.

[ Szerkesztve ]

ⓑⓣⓩ

Sikerült csatlakozzak, de a net nem megy gondolom a forwarding lesz a gond, holnap meglesem. Tudsz egy leírást pendriva-ra hogy tudom helyezni a programokat, te hogy használod?

Rakd fel a konfigfájljaid tartalmát és a napló bejegyzéseket. Abból kiderülhet, mi mért nem megy.

Ezt találtam USB extroot témában ,de lehet majd írok róla egyszer én is egy HowTo-t, több képpel.

ⓑⓣⓩ

Az szuper lenne és meg is köszönném, ha írnál róla.
A problémán a következő és nem is értem, ha lan ip-t írok be megy a vpn mutat mindent a routeren viszont ha global ip-t írok be nem is csatlakozik fel, lehet amiatt hogy egy t-home router mögött van a tp-linkem?

Csinálni kell egy port forwardingot a szolgáltatói routeren. Nálam is így működik. Erről is szól a blogbejegyzés, hogy nálam is a szolgáltatói eszköz mögött van a VPN-es router, a LAN az ipv4 WAN-ja tulajonképpen.

ⓑⓣⓩ

nekem ügye a wan-ba csatlakozik a router nem switchnek használom, próbáltam a szolgáltató routeren dmz-t állítani plusz port forwarding de semmi.

Akkor gondolom a WAN szerint csináltad meg a beállításokat(?) Nem pont úgy ahogy ebben a leírásban szerepel.

ⓑⓣⓩ

A WAN szerint csináltam mindent udp és tun-al megy.
Én voltam a hibás, a vpn tűzfal beállításnál rossz volt a port szám, átírtam, most már tökéletesen megy. Köszi szépen!
Megpróbálom ezt a pendrive telepítést is, hátha sikerül.

[ Szerkesztve ]

Örülök, hogy sikerült.
Pendrive mountoládhoz, mounzpoint beállításhoz van luci felület is, azzal talán könnyebb.

ⓑⓣⓩ

Új VPN platformot próbáltam ki, szintén Openwrt alatt. Ez pedig nem más, mint az IPsec IKEv2 StrongSwannal.
Itt olvashatjátok a leírást a VPN szerver konfigurációjáról!

ⓑⓣⓩ

Sziasztok,

Tudok kapcsolódni a szerverhez, de a LAN eszközöket nem látom, és a net sem a tunelen keresztül megy. Mi lehet a gond?

Konfig képek:

[kép] [kép] [kép] [kép]

Egy alhálóban kéne hogy legyen az egész, az sem lenne roszsz, ha a lan DHCP szerver tartományból kapnának IP-t a kapcsolódó VPN kliensek.
A képen sok beállítás nem látszik, jobb lenne ha a maga a szöveges konfig file-t osztanád meg.
Ha minden forgalmat routolni akarunk (internet, WAN, stb), tehát effektíve egy VPN proxyt, akkor ezt:
uci add_list openvpn.myvpn.push='redirect-gateway def1'

[ Szerkesztve ]

ⓑⓣⓩ

Ha a DHCP tartományra állítom a VPN poolt, akkor el sem indul a szerver.
A netet egy USB stickbe tett LTE kártya adja, nem vezetékes.

config settings 'settings'
option country 'CA'
option city 'Abbotsford'
option organ 'ROOter'
option days '3650'
option vpns2lan '1'
option nclient '1'
option vpn2wan '1'

config openvpn 'netgvpn'
option port '1194'
option verb '3'
option server '10.0.100.0 255.255.255.0'
option dev 'tun-server'
option proto 'udp'
option mssfix '1420'
option topology 'subnet'
option keepalive '10 120'
option ca '/etc/luci-uploads/cbid.openvpn.netgvpn.ca'
option dh '/etc/luci-uploads/cbid.openvpn.netgvpn.dh'
option cert '/etc/luci-uploads/cbid.openvpn.netgvpn.cert'
option key '/etc/luci-uploads/cbid.openvpn.netgvpn.key'
option enabled '1'
option bootstart '1'
list push 'route 192.168.143.0 255.255.255.0'
option laststart '1562931449'

config interface 'loopback'
option ifname 'lo'
option proto 'static'
option ipaddr '127.0.0.1'
option netmask '255.0.0.0'

config globals 'globals'
option ula_prefix 'fd50:f927:c9ba::/48'

config interface 'lan'
option type 'bridge'
option proto 'static'
option netmask '255.255.255.0'
option ip6assign '60'
option ipaddr '192.168.143.1'
option dns '8.8.8.8 8.8.4.4'
option ifname 'eth0.1 tap-server tap0'

config device 'lan_dev'
option name 'eth0.1'
option macaddr '28:c6:8e:b3:d3:b8'

config interface 'wan'
option ifname 'eth0.2'
option proto 'dhcp'
option metric '1'
option peerdns '1'

config device 'wan_dev'
option name 'eth0.2'
option macaddr '28:c6:8e:b3:d3:b9'

config interface 'wan6'
option ifname 'eth0.2'
option proto 'dhcpv6'

config switch
option name 'switch0'
option reset '1'
option enable_vlan '1'

config switch_vlan
option device 'switch0'
option vlan '1'
option ports '1 2 3 4 0t'

config switch_vlan
option device 'switch0'
option vlan '2'
option ports '5 0t'

config interface 'VPN'
option proto 'none'
option ifname 'tun0'

config interface 'VPNS'
option proto 'none'
option ifname 'tun-server'

config interface 'TAP'
option proto 'none'
option ifname 'tap0'
option auto '1'

config interface 'TAPS'
option proto 'none'
option ifname 'tap-server'
option auto '1'

config interface 'wwan'
option proto 'dhcp'
option metric '2'

config interface 'wan2'
option proto 'dhcp'
option metric '20'

config interface 'wan1'
option proto 'dhcp'
option ifname 'wwan0'
option _orig_bridge 'false'
option metric '10'

config defaults
option syn_flood '1'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'

config zone
option name 'lan'
list network 'lan'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'ACCEPT'

config zone
option name 'wan'
option input 'REJECT'
option output 'ACCEPT'
option forward 'REJECT'
option masq '1'
option mtu_fix '1'
option network 'wan wan6 wwan wan1 wan2'

config forwarding
option src 'lan'
option dest 'wan'

config rule
option name 'Allow-DHCP-Renew'
option src 'wan'
option proto 'udp'
option dest_port '68'
option target 'ACCEPT'
option family 'ipv4'

config rule
option name 'Allow-Ping'
option src 'wan'
option proto 'icmp'
option icmp_type 'echo-request'
option family 'ipv4'
option target 'ACCEPT'

config rule
option name 'Allow-IGMP'
option src 'wan'
option proto 'igmp'
option family 'ipv4'
option target 'ACCEPT'

config rule
option name 'Allow-DHCPv6'
option src 'wan'
option proto 'udp'
option src_ip 'fc00::/6'
option dest_ip 'fc00::/6'
option dest_port '546'
option family 'ipv6'
option target 'ACCEPT'

config rule
option name 'Allow-MLD'
option src 'wan'
option proto 'icmp'
option src_ip 'fe80::/10'
list icmp_type '130/0'
list icmp_type '131/0'
list icmp_type '132/0'
list icmp_type '143/0'
option family 'ipv6'
option target 'ACCEPT'

config rule
option name 'Allow-ICMPv6-Input'
option src 'wan'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
list icmp_type 'router-solicitation'
list icmp_type 'neighbour-solicitation'
list icmp_type 'router-advertisement'
list icmp_type 'neighbour-advertisement'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'

config rule
option name 'Allow-ICMPv6-Forward'
option src 'wan'
option dest '*'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'

config rule
option name 'Allow-IPSec-ESP'
option src 'wan'
option dest 'lan'
option proto 'esp'
option target 'ACCEPT'

config rule
option name 'Allow-ISAKMP'
option src 'wan'
option dest 'lan'
option dest_port '500'
option proto 'udp'
option target 'ACCEPT'

config include
option path '/etc/firewall.user'

config zone 'vpnzone'
option name 'VPN'
option forward 'REJECT'
option output 'ACCEPT'
option network 'VPN'
option input 'REJECT'
option masq '1'
option mtu_fix '1'

config forwarding 'vpnforward'
option dest 'VPN'
option src 'lan'

config zone 'vpnzones'
option name 'VPNS'
option forward 'REJECT'
option output 'ACCEPT'
option network 'VPNS'
option input 'ACCEPT'
option masq '1'
option mtu_fix '1'

config rule 'inbound1194'
option target 'ACCEPT'
option src '*'
option proto 'udp'
option dest_port '1194'

config forwarding
option dest 'lan'
option src 'VPNS'

config forwarding
option dest 'wan'
option src 'VPNS'

config forwarding
option dest 'VPNS'
option src 'lan'

config forwarding 'vpnforwards1'
option dest 'lan'
option src 'VPNS'

config forwarding 'vpnforward2'
option dest 'wan'
option src 'VPNS'

Naplófájlt is ellenőrizni kéne, mit ír.

ⓑⓣⓩ