У меня есть маршрутизатор OpenWRT с WAN (eth1) и LAN (eth0) интерфейс.
Я хотел установить openVPN сервер на этом маршрутизаторе, таким образом, я мог получить доступ от стороны WAN в сторону локальной сети.
Моей LAN (eth0) настроили сервер DHCP и имеет статический IP 172.20.51.61/24. Когда я подключаю любой ПК к LAN (eth0), это получает некоторый IP в этом диапазоне 172.20.51.100/24 к 172.20.51.150/24.
Я установил openvpn легкий rsa и другие необходимые утилиты и также генерировал ключи для клиента и сервера. Я скопировал те ключи к клиенту также.
То, что я хотел бы, является очень простыми шагами и конфигурацией, чтобы завоевать некоторое доверие, установить соединение от клиента к серверу.
Основанные на сети блоги упоминают такую дополнительную информацию.. для сетевых новичков становится трудным следовать.
Править:/etc/easy-rsa/vars файл имеет следующее содержание.
export EASY_RSA="/etc/easy-rsa"
export OPENSSL="openssl"
export PKCS11TOOL="pkcs11-tool"
export GREP="grep"
export KEY_CONFIG=`/usr/sbin/whichopensslcnf $EASY_RSA`
export KEY_DIR="$EASY_RSA/keys"
et PKCS11_MODULE_PATH="dummy"
export PKCS11_PIN="dummy"
export KEY_SIZE=2048
export CA_EXPIRE=3650
export KEY_EXPIRE=3650
export KEY_COUNTRY="IN"
export KEY_PROVINCE="MH"
export KEY_CITY="Pune"
export KEY_ORG="My Org"
export KEY_EMAIL="me@myhost.mydomain"
export KEY_OU="MyOrganizationalUnit"
export KEY_NAME="EasyRSA"
# PKCS11 Smart Card
# export PKCS11_MODULE_PATH="/usr/lib/changeme.so"
# export PKCS11_PIN=1234
# If you'd like to sign all keys with the same Common Name,
# uncomment the KEY_CN export below
# You will also need to make sure your OpenVPN server config
# has the duplicate-cn option set
# export KEY_CN="CommonName"
Редактирование 2: Я дал WAN статический IP 192.168.18.100/24
который клиент VPN с IP 192.168.18.101/24
попытается получить доступ.
Конфигурация сервера:
package openvpn
config 'openvpn' 'samplevpnconfig'
option 'enable' '1'
option 'port' '1194'
option 'proto' 'udp'
option 'dev' 'tun0'
option 'client_to_client' '1'
option 'keepalive' '10 120'
option 'comp_lzo' '1'
option 'persist_key' '1'
option 'persist_tun' '1'
option 'verb' '3'
option 'mute' '20'
option 'ifconfig_pool_persist' '/tmp/ipp.txt'
option 'status' '/tmp/openvpn-status.log'
option 'ca' '/etc/openvpn/ca.crt'
option 'cert' '/etc/openvpn/server.crt'
option 'key' '/etc/openvpn/server.key'
option 'dh' '/etc/openvpn/dh1024.pem'
#this should be on a completely different subnet than your LAN
option 'server' '192.168.18.100 255.255.255.0'
list 'push' 'route 172.20.51.61 255.255.255.0' #this should MATCH your current LAN info
list 'push' 'dhcp-option DNS 172.20.51.1' #this should MATCH your current LAN info
list 'push' 'dhcp-option DOMAIN 172.20.51.1' #this should MATCH your current LAN info
Где 172.20.51.61 LAN (eth0) статический IP-адрес. Честно я понятия не имею, что они не означают очевидные параметры.
Клиентская конфигурация в Клиентской машине/etc/openvpn/client.conf
client
proto udp
dev tun0
remote 192.168.18.100 1194
resolv-retry infinite
nobind
persist-key
persist-tun
verb 3
comp-lzo
ca /etc/openvpn/ca.crt
cert /etc/openvpn/myclient.crt
key /etc/openvpn/myclient.key
Когда я пробую следующую команду: #openvpn client.conf
Я получаю ошибку TLS: (проверьте свое сетевое соединение),
и tcpdump на сервере дает:
13:57:19.026056 IP 192.168.18.101.34212 > 192.168.18.100.openvpn: UDP, length 14
13:57:19.026147 IP 192.168.18.100 > 192.168.18.101: ICMP 192.168.18.100 udp port openvpn unreachable, len0
Но возможность соединения кажется надлежащей (ping, tcpdump выставочное пакетное прибытие)
Tuatahi, kaore au e tūtohu kia waiho te taviri ake o te taviri SSL CA ki runga i te taputapu hono ki a WAN. Kaore tenei i te haumaru.
I te OpenWRT he whirihoranga mo OpenVPN kei roto i te / etc / config / openvpn - he rite tonu nga ingoa o nga whiringa penei i te OpenVPN whirihoranga taketake, engari mo nga tohu tohuwhera OpenWRT (-) me huri to underscores (_).
Whaia te tenei pehea . Tangohia te ifconfig_pool_persist ki te kore koe e hiahia ki nga wahitau taatai, whakamahia ranei ccd whiringa mo tenei (he pono ake) me te / etc / openvpn / ccd . Whakakapihia te subnet IP me nga ara ki a koe ake. Taapirihia he mati i te mutunga o te ingoa atanga ki te karo i nga raru whirihora pātūahi. Ka tūtohu ano ahau ki te whakamahi i te paatotanga atanga (ngawari ake), kaua tun , engari kei a koe anake. Taapirihia tls_auth kia pai ake ai te tiaki i nga whakaeke a DoS, i roto i te pukapuka OpenVPN he tauira me pehea te whakaputa i te ki (rapu mo - genkey ).
Hei whakahohe i te ratonga ratonga, whakamahia te /etc/init.d/openvpn whakahohea
.
Ka whakatuwhera ana koeVPN, whirihorahia te pātūahi.