Вопросы Теги

Сервер OpenVPN и клиентская конфигурация для openwrt

У меня есть маршрутизатор OpenWRT с WAN (eth1) и LAN (eth0) интерфейс.

Я хотел установить openVPN сервер на этом маршрутизаторе, таким образом, я мог получить доступ от стороны WAN в сторону локальной сети.

Моей LAN (eth0) настроили сервер DHCP и имеет статический IP 172.20.51.61/24. Когда я подключаю любой ПК к LAN (eth0), это получает некоторый IP в этом диапазоне 172.20.51.100/24 к 172.20.51.150/24.

Я установил openvpn легкий rsa и другие необходимые утилиты и также генерировал ключи для клиента и сервера. Я скопировал те ключи к клиенту также.

То, что я хотел бы, является очень простыми шагами и конфигурацией, чтобы завоевать некоторое доверие, установить соединение от клиента к серверу.

Основанные на сети блоги упоминают такую дополнительную информацию.. для сетевых новичков становится трудным следовать.

Править:/etc/easy-rsa/vars файл имеет следующее содержание.

export EASY_RSA="/etc/easy-rsa"
export OPENSSL="openssl"          
export PKCS11TOOL="pkcs11-tool"
export GREP="grep"

export KEY_CONFIG=`/usr/sbin/whichopensslcnf $EASY_RSA`
export KEY_DIR="$EASY_RSA/keys"
et PKCS11_MODULE_PATH="dummy"                                          
export PKCS11_PIN="dummy"
export KEY_SIZE=2048
export CA_EXPIRE=3650
export KEY_EXPIRE=3650
export KEY_COUNTRY="IN"                                                
export KEY_PROVINCE="MH"                                               
export KEY_CITY="Pune"                                                 
export KEY_ORG="My Org"                                                              
export KEY_EMAIL="me@myhost.mydomain"                                                       
export KEY_OU="MyOrganizationalUnit"
export KEY_NAME="EasyRSA"
# PKCS11 Smart Card                                                    
# export PKCS11_MODULE_PATH="/usr/lib/changeme.so"                     
# export PKCS11_PIN=1234                                               

# If you'd like to sign all keys with the same Common Name, 
# uncomment the KEY_CN export below
# You will also need to make sure your OpenVPN server config 
# has the duplicate-cn option set 
# export KEY_CN="CommonName"

Редактирование 2: Я дал WAN статический IP 192.168.18.100/24 который клиент VPN с IP 192.168.18.101/24 попытается получить доступ.

Конфигурация сервера:

package openvpn
config 'openvpn' 'samplevpnconfig'
        option 'enable' '1'
        option 'port' '1194'
        option 'proto' 'udp'
        option 'dev' 'tun0'

        option 'client_to_client' '1'
        option 'keepalive' '10 120'
        option 'comp_lzo' '1'
        option 'persist_key' '1'
        option 'persist_tun' '1'
        option 'verb' '3'
        option 'mute' '20'
        option 'ifconfig_pool_persist' '/tmp/ipp.txt'
        option 'status' '/tmp/openvpn-status.log'
        option 'ca' '/etc/openvpn/ca.crt'
        option 'cert' '/etc/openvpn/server.crt'
        option 'key' '/etc/openvpn/server.key'
        option 'dh' '/etc/openvpn/dh1024.pem'

        #this should be on a completely different subnet than your LAN
        option 'server' '192.168.18.100 255.255.255.0'
        list 'push' 'route 172.20.51.61 255.255.255.0' #this should MATCH your current LAN info
        list 'push' 'dhcp-option DNS 172.20.51.1' #this should MATCH your current LAN info
        list 'push' 'dhcp-option DOMAIN 172.20.51.1' #this should MATCH your current LAN info

Где 172.20.51.61 LAN (eth0) статический IP-адрес. Честно я понятия не имею, что они не означают очевидные параметры.

Клиентская конфигурация в Клиентской машине/etc/openvpn/client.conf

client
proto udp
dev tun0

remote 192.168.18.100 1194
resolv-retry infinite
nobind
persist-key
persist-tun
verb 3
comp-lzo
ca /etc/openvpn/ca.crt
cert /etc/openvpn/myclient.crt
key /etc/openvpn/myclient.key

Когда я пробую следующую команду: #openvpn client.conf

Я получаю ошибку TLS: (проверьте свое сетевое соединение),

и tcpdump на сервере дает:

13:57:19.026056 IP 192.168.18.101.34212 > 192.168.18.100.openvpn: UDP, length 14
13:57:19.026147 IP 192.168.18.100 > 192.168.18.101: ICMP 192.168.18.100 udp port openvpn unreachable, len0

Но возможность соединения кажется надлежащей (ping, tcpdump выставочное пакетное прибытие)

1
задан 24 July 2015 в 11:39
1 ответ

Tuatahi, kaore au e tūtohu kia waiho te taviri ake o te taviri SSL CA ki runga i te taputapu hono ki a WAN. Kaore tenei i te haumaru.

I te OpenWRT he whirihoranga mo OpenVPN kei ​​roto i te / etc / config / openvpn - he rite tonu nga ingoa o nga whiringa penei i te OpenVPN whirihoranga taketake, engari mo nga tohu tohuwhera OpenWRT (-) me huri to underscores (_).

Whaia te tenei pehea . Tangohia te ifconfig_pool_persist ki te kore koe e hiahia ki nga wahitau taatai, whakamahia ranei ccd whiringa mo tenei (he pono ake) me te / etc / openvpn / ccd . Whakakapihia te subnet IP me nga ara ki a koe ake. Taapirihia he mati i te mutunga o te ingoa atanga ki te karo i nga raru whirihora pātūahi. Ka tūtohu ano ahau ki te whakamahi i te paatotanga atanga (ngawari ake), kaua tun , engari kei a koe anake. Taapirihia tls_auth kia pai ake ai te tiaki i nga whakaeke a DoS, i roto i te pukapuka OpenVPN he tauira me pehea te whakaputa i te ki (rapu mo - genkey ).

Hei whakahohe i te ratonga ratonga, whakamahia te /etc/init.d/openvpn whakahohea .

Ka whakatuwhera ana koeVPN, whirihorahia te pātūahi.

0
ответ дан 4 December 2019 в 07:23

Теги

Похожие вопросы