| Autore |
Messaggio
|
| sempiternum |
 Inviato: Ven Ago 14, 2009 11:23 am Oggetto: openvpn wrt54gl e dd-wrt |
 |
|
Registrato: 05/05/08 13:26
Messaggi: 465
Residenza: Codognè (TV)
|
Ciao,
come da oggetto sto cercando di mettere in piedi una vpn tra due wrt54gl.
Ho seguito questa guida: http://www.dd-wrt.com/wiki/index.php/OpenVPN_-_Site-to-Site_routed_VPN_between_two_routers
direi pedissequamente  , riesco a pingare il router (indirizzo LAN) che fa da server per la vpn, ma i client remoti che stanno dietro nada, non ne risulta raggiungibile neanche uno  Da quello che vedo in questa guida il routing dovrebbe essere a posto e le regole iptables anche. Qualche idea su dove sbaglio. Ormai credo di aver provato di tutto 
p.s.: Dal server vpn riesco naturalmente a pingare la lan interna
_________________
Linea 6144 Kbps / 6144 Kbps MCR 512 Kbps |
|
| Top |
|
 |
Sponsor
|
|
 |
| r3lative |
| Inviato: Ven Ago 14, 2009 12:20 pm Oggetto: Re: openvpn wrt54gl e dd-wrt |
|
|
BANNATO
Registrato: 03/05/07 00:27
Messaggi: 7340
Residenza: Saccolongo - PD - ITALY - terzo pianeta a sinistra
|
lan1---router1--------------router2---lan2
prove di ping:
router1-router2
lan1-router1
lan1-router2
lan2-router2
lan2-router1
lan1-lan2
stampa un netstat -r di lan1/router1/router2/lan2
ciao
PS che vpn ?? openvpn ???
io mi trovo MOLTO meglio con openwrt per fare queste cose ... se la shell unix non ti spaventa, te lo consiglio.
ciao
_________________
“Mai argomentare con un idiota;
ti fa scendere al suo livello e ti batte per esperienza ”
r3lative blog |
|
| Top |
|
|
| sempiternum |
| Inviato: Ven Ago 14, 2009 1:07 pm Oggetto: |
|
|
Registrato: 05/05/08 13:26
Messaggi: 465
Residenza: Codognè (TV)
|
schema corretto.
Allora:
ping router1-router2 OK
ping lan1-router1 OK
ping lan1-router2 FAILED
ping lan2-router2 OK
ping lan2-router1 FAILED
ping lan1-lan2 FAILED
| Citazione: | | stampa un netstat -r di lan1/router1/router2/lan2 |
stasera quando sono a casa provvedo
Sto usando openvpn in modalità routed. Non ho valutato openwrt per pigrizia  e adesso mi sto interstardendo perchè non riesco a capire perchè non va Ieri sera era l'una e avevo cominciato ad incrociare gli occhi e le subnets
lato server openvpn nell'rc_startup ho questo:
Codice: # Move to writable directory and create scripts
cd /tmp
ln -s /usr/sbin/openvpn /tmp/myvpn
# Config for Site-to-Site Server-Client1
echo "
proto udp
port 2000
dev tun0
secret /tmp/static.key
verb 3
comp-lzo
keepalive 15 60
daemon
" > Server-Client1.conf
# Config for Static Key
echo "
-----BEGIN OpenVPN Static key V1-----
MIA CHIAVE
-----END OpenVPN Static key V1-----
" > static.key
# Create interfaces
/tmp/myvpn --mktun --dev tun0
ifconfig tun0 10.0.1.1 netmask 255.255.255.0 promisc up
# Create routes
route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.0.1.2
# Initiate the tunnel
sleep 5
/tmp/myvpn --config Server-Client1.conf
sezione firewall rc_firewall del server openvpn
Codice:
# Open firewall holes for Client1
iptables -I INPUT 2 -p udp --dport 2000 -j ACCEPT
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
lato client openvpn rc_startup:
Codice: # Move to writable directory and create scripts
cd /tmp
ln -s /usr/sbin/openvpn /tmp/myvpn
# Config for Site-to-Site Client1-Server
echo "
remote xxx.xxx.xxx.xxx
proto udp
port 2000
dev tun0
secret /tmp/static.key
verb 3
comp-lzo
keepalive 15 60
daemon
" > Client1-Server.conf
# Config for Static Key
echo "
-----BEGIN OpenVPN Static key V1-----
MIA CHIAVE
-----END OpenVPN Static key V1-----
" > static.key
# Create interfaces
/tmp/myvpn --mktun --dev tun0
ifconfig tun0 10.0.1.2 netmask 255.255.255.0 promisc up
# Create routes
route add -net 192.168.0.0 netmask 255.255.255.0 gw 10.0.1.1
# Initiate the tunnel
sleep 5
/tmp/myvpn --config Client1-Server.conf
lato client firewall rc_firewall ho:
Codice: # Open firewall holes
iptables -I INPUT 2 -p udp --dport 2000 -j ACCEPT
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
iptables -I INPUT 3 -i tun0 -p icmp -j ACCEPT
i clients della lan hanno come gw i rispettivi router
_________________
Linea 6144 Kbps / 6144 Kbps MCR 512 Kbps |
|
| Top |
|
|
| r3lative |
| Inviato: Ven Ago 14, 2009 2:10 pm Oggetto: |
|
|
BANNATO
Registrato: 03/05/07 00:27
Messaggi: 7340
Residenza: Saccolongo - PD - ITALY - terzo pianeta a sinistra
|
consiglio spassionato, dd-wrt per fare certe cose, non è molto adatto, le puoi fare, per carità, ma non è progettato per farle.
imho openwrt se non hai paura della shell, di da ottime soddisfazioni 
un memo che avevo fatto, non l0ho riguardata, ma penso che ci sia tutto, spero non troppo
-------------------
Installazione openvpn
Impostare 192.168.1.x sul pc
Connettersi a 192.168.1.1 per visualizzare il browser di configurazione originale
Utente = ‘’ Password = admin
Administrator > firmware upgrade
Sfoglia “openwrt.7.09.wrt54g-2.4-squashfs.bin”
Lancia l’upgrade
Impiega qualche minuto, alla fine fa il reboot, attendere fino a quando il led DMZ non si riaccende, a questo punto fare il reset hw
Spegnere il wrt54gl
Con una penna premere il tasto reset, tenendolo premuto, accendere e tenerlo premuto per almeno 10sec.
Primo boot del WRT54GL con openvpn
Da dos
C:> telnet 192.168.1.1
Configurare la password e fare il reboot, a questo punto il WRT54GL riparte e in circa un paio di minuti crea le chiavi per connettersi in ssh
Da questo momento il telnet è disabilitato, e ci si puo collegare solo via ssh
Quindi si usa un programma tipo “putty” per collegarsi al 192.168.1.1 (non è ancora stato cambiato l’indirizzo ip)
Upgrade del sistema
# ipkg update
# ipkg upgrade
Installazione di openssl e openvpn
# ipkg install libopenssl openssl-util
# ipkg install openvpn
# ipkg install openssh-sftp-server
# ipkg install ntpclient
Verifica della data, importante per I certificate delle vpn
# date 101912302007 (MMDDhhmmYYYY)
Configurazione della rete LAN
Edit di /etc/config/network
#### LAN configuration
config interface lan
option type bridge
option ifname "eth0.0"
option proto static
option ipaddr 192.168.1.3 <<<<<<<<<< Indirizzo IP del router
option netmask 255.255.255.0
configuarzione della rete wireless
edit del file /etc/config/wireless
config wifi-device wl0
option type broadcom
option channel 5
config wifi-iface
option device wl0
option network lan
option mode ap
option ssid AAAAAAAAAAA <<<<<<<<<<<<<<<< SID
option encryption psk <<<<<<<<<<<<<<<< WPA PSK
option key pippo <<<<<<<<<<<<<<<<WPA passphrase
root@OpenWrt:~# cat /etc/config/dhcp
config dhcp
option interface lan
option start 100
option limit 150
option leasetime 12h
config dhcp
option interface wan
option ignore 1
config dhcp
option interface dmz
option start 100
option limit 150
option leasetime 12h
root@OpenWrt:/etc# cat firewall.user
#!/bin/sh
# Copyright (C) 2006 OpenWrt.org
iptables -F input_rule
iptables -F output_rule
iptables -F forwarding_rule
iptables -t nat -F prerouting_rule
iptables -t nat -F postrouting_rule
# The following chains are for traffic directed at the IP of the
# WAN interface
iptables -F input_wan
iptables -F forwarding_wan
iptables -t nat -F prerouting_wan
### Open port to WAN
## -- This allows port 22 to be answered by (dropbear on) the router
# iptables -t nat -A prerouting_wan -p tcp --dport 22 -j ACCEPT
# iptables -A input_wan -p tcp --dport 22 -j ACCEPT
### Port forwarding
## -- This forwards port 8080 on the WAN to port 80 on 192.168.1.2
# iptables -t nat -A prerouting_wan -p tcp --dport 8080 -j DNAT --to 192.168.1.2:80
# iptables -A forwarding_wan -p tcp --dport 80 -d 192.168.1.2 -j ACCEPT
### DMZ
## -- Connections to ports not handled above will be forwarded to 192.168.1.2
# iptables -t nat -A prerouting_wan -j DNAT --to 192.168.1.2
# iptables -A forwarding_wan -d 192.168.1.2 -j ACCEPT
### OpenVPN
## - allow connection from outside
iptables -t nat -A prerouting_wan -p udp --dport 10030 -j ACCEPT
iptables -A input_wan -p udp --dport 10030 -j ACCEPT
iptables -t nat -A prerouting_wan -p udp --dport 1194 -j ACCEPT
iptables -A input_wan -p udp --dport 1194 -j ACCEPT
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A OUTPUT -o tun+ -j ACCEPT
iptables -A FORWARD -o tun+ -j ACCEPT
root@OpenWrt:/etc#
io creo i certificati su un'altra macchina, e poi li copio, per problemi di comodità, ovvero può impiegare anche 15 minuti per generare le key.
root@OpenWrt:/etc# ll /etc/ovpn/
drwxr-xr-x 1 root root 0 Oct 19 10:52 .
drwxr-xr-x 1 root root 0 Oct 19 2007 ..
-rw-r--r-- 1 root root 1196 Oct 19 10:18 ca.crt
-rw-r--r-- 1 root root 887 Oct 19 10:18 ca.key
-rw-r--r-- 1 root root 289 Oct 19 11:49 caterina.ovpn
-rw-r--r-- 1 root root 3456 Oct 19 10:22 client.crt
-rw-r--r-- 1 root root 672 Oct 19 10:19 client.csr
-rw-r--r-- 1 root root 887 Oct 19 10:19 client.key
drwxr-xr-x 1 root root 0 Jan 1 2000 demoCA
-rw-r--r-- 1 root root 245 Oct 19 10:21 dh.pem
drwxr-xr-x 1 root root 0 Jan 1 2000 p
-rw-r--r-- 1 root root 3456 Oct 19 10:18 server.crt
-rw-r--r-- 1 root root 672 Oct 19 10:18 server.csr
-rw-r--r-- 1 root root 891 Oct 19 10:18 server.key
-rw------- 1 root root 636 Oct 19 10:21 shared.key
-rw-r--r-- 1 root root 293 Oct 19 11:50 mainserver.ovpn
-rw-r--r-- 1 root root 281 Oct 19 12:04 test.conf
root@OpenWrt:/etc#
root@OpenWrt:/etc# ll /etc/ovpn/p
drwxr-xr-x 1 root root 0 Jan 1 2000 .
drwxr-xr-x 1 root root 0 Oct 19 10:52 ..
-rw-r--r-- 1 root root 40960 Oct 19 09:23 2.tar
drwxr-xr-x 1 root root 0 Jan 1 2000 certs
-rwxr-xr-x 1 root root 549 Oct 18 23:36 mkcert
-rw-r--r-- 1 root root 2490 Oct 19 10:17 ovpn.cnf
root@OpenWrt:/etc#
NB bisogna editare il file ovpn.cnf per modificare I parametri,
dopo bisogna lanciare il batch ./mkcert (sul server dei certificati, non su openwrt)
e a questo punto si copiano i certificati.
root@OpenWrt:/etc/ovpn# cat caterina.ovpn
port 1194
proto udp
dev tun
ca /etc/ovpn/ca.crt
cert /etc/ovpn/server.crt
key /etc/ovpn/server.key
dh /etc/ovpn/dh.pem
tls-auth /etc/ovpn/shared.key
server 10.253.11.0 255.255.255.0
push "route 192.168.253.0 255.255.255.0"
comp-lzo
keepalive 10 120
status /tmp/openvpn.caterina.status
root@OpenWrt:/etc/ovpn#
_________________
“Mai argomentare con un idiota;
ti fa scendere al suo livello e ti batte per esperienza ”
r3lative blog |
|
| Top |
|
|
| sempiternum |
| Inviato: Ven Ago 14, 2009 2:26 pm Oggetto: |
|
|
Registrato: 05/05/08 13:26
Messaggi: 465
Residenza: Codognè (TV)
|
 Beh dai, almeno mi hai dato qualcosa da leggere per ferragosto!!!!
Mi ero informato anch'io e avevo letto che openwrt è moolto più adatto per la gestione delle vpn... la shell non è un problema. Ma dato che il mio è un esperimento e squadra che vince non si cambia, per pigrizia non mi sono messo a flashare i router e riconfigurarmi tutto da capo.... vediamo un po' cosa ne esce 
Intanto grazie mille!!!
_________________
Linea 6144 Kbps / 6144 Kbps MCR 512 Kbps |
|
| Top |
|
|
| r3lative |
| Inviato: Ven Ago 14, 2009 6:52 pm Oggetto: |
|
|
BANNATO
Registrato: 03/05/07 00:27
Messaggi: 7340
Residenza: Saccolongo - PD - ITALY - terzo pianeta a sinistra
|
aggiungo ...
lan1---router1--vpn1----------------vpn2--router2---lan2
devi vedere se due gruppo (*1 e *2) si pingano, poi a crescere
da router1 router2 (connessione)
router1-vpn2 (vpn) e viceversa
verifica le routing table (netstat -r)
poi test dalla lan ....
attenzione che openvpn ha diversi modi di funzionamento, e devi considerare che stai facendo una lan2lan.
ricordo che su openwrt ho trovato molta documentazione, ddwrt quando l'avevo visto io, era molto rognoso, dopo un paio di gg, che lo provavo l'ho lasciato, ma stiamo parlando di un paio d'anni fa ...
ciao
_________________
“Mai argomentare con un idiota;
ti fa scendere al suo livello e ti batte per esperienza ”
r3lative blog |
|
| Top |
|
|
| sempiternum |
| Inviato: Ven Ago 14, 2009 7:16 pm Oggetto: |
|
|
Registrato: 05/05/08 13:26
Messaggi: 465
Residenza: Codognè (TV)
|
| r3lative ha scritto: | aggiungo ...
lan1---router1--vpn1----------------vpn2--router2---lan2
devi vedere se due gruppo (*1 e *2) si pingano, poi a crescere
da router1 router2 (connessione)
router1-vpn2 (vpn) e viceversa
verifica le routing table (netstat -r)
poi test dalla lan ....
|
Avevo fatto anche questo.
| r3lative ha scritto: | attenzione che openvpn ha diversi modi di funzionamento, e devi considerare che stai facendo una lan2lan.
ricordo che su openwrt ho trovato molta documentazione, ddwrt quando l'avevo visto io, era molto rognoso, dopo un paio di gg, che lo provavo l'ho lasciato, ma stiamo parlando di un paio d'anni fa ...
ciao |
confermo che la situazione non è molto migliorata
_________________
Linea 6144 Kbps / 6144 Kbps MCR 512 Kbps |
|
| Top |
|
|
| marte_57 |
| Inviato: Sab Ago 15, 2009 9:25 am Oggetto: |
|
|
BANNATO
Registrato: 21/01/07 11:12
Età: 54
Messaggi: 3968
|
|
| Top |
|
|
| sempiternum |
| Inviato: Sab Ago 15, 2009 5:21 pm Oggetto: |
|
|
Registrato: 05/05/08 13:26
Messaggi: 465
Residenza: Codognè (TV)
|
Diciamo che è un ottimo passatempo. Tiene impegnata la testa, ci si rinfresca qualche nozione che si era tralasciata, non nuoce alla salute, insomma direi un buon modo di passare il ferragosto
_________________
Linea 6144 Kbps / 6144 Kbps MCR 512 Kbps |
|
| Top |
|
|
| Head Not Found |
| Inviato: Sab Ago 15, 2009 9:40 pm Oggetto: |
|
|
Registrato: 15/01/07 00:22
Età: 32
Messaggi: 595
Residenza: Altopiano dei Sette Comuni/versante sud-est
|
ma cos'è 'sta roba  per me è arabo  |
|
| Top |
|
|
| sempiternum |
| Inviato: Mer Ago 19, 2009 12:04 am Oggetto: |
|
|
Registrato: 05/05/08 13:26
Messaggi: 465
Residenza: Codognè (TV)
|
Funsia. Tornato oggi dal mare, riavviato il router e funziona strano. Stessa configurazione. Cmq confermo che anche dd-wrt funziona bene con openvpn. Ho provato ad attaccarci un windows xp, una distro ubuntu e un altro wrt54gl. Tutti e tre lavorano egregiamente.
Mi hai fatto voglia di provare openwrt, con calma dopo le ferie.
_________________
Linea 6144 Kbps / 6144 Kbps MCR 512 Kbps |
|
| Top |
|
|
| r3lative |
| Inviato: Mer Ago 19, 2009 12:18 am Oggetto: |
|
|
BANNATO
Registrato: 03/05/07 00:27
Messaggi: 7340
Residenza: Saccolongo - PD - ITALY - terzo pianeta a sinistra
|
| sempiternum ha scritto: | Funsia. Tornato oggi dal mare, riavviato il router e funziona strano. Stessa configurazione. Cmq confermo che anche dd-wrt funziona bene con openvpn. Ho provato ad attaccarci un windows xp, una distro ubuntu e un altro wrt54gl. Tutti e tre lavorano egregiamente.
Mi hai fatto voglia di provare openwrt, con calma dopo le ferie.
|
le cose strane dell'informatica moderna
_________________
“Mai argomentare con un idiota;
ti fa scendere al suo livello e ti batte per esperienza ”
r3lative blog |
|
| Top |
|
|
| sempiternum |
| Inviato: Mer Ago 19, 2009 11:14 am Oggetto: |
|
|
Registrato: 05/05/08 13:26
Messaggi: 465
Residenza: Codognè (TV)
|
beh, anche con quella "antica" non andava meglio... non so quanti anni abbia tu, io troppo pochi per aver vissuto quei tempi, ma ho avuto la fortuna di incontrare parecchi tecnici (ibm o ex ibm) che raccontano di come nei primi anni 80 per le riparazioni dei sistemi 36 e 38 ci davano di stagnature o spazzola per pulire i contatti sporchi. SE penso che adesso su un p550 un tecnico lo apra e si metta a darci di saldatore mi vengono i brividi I tempi in cui nelle grandi aziende gli informatici giravano con il camice bianco... lo so, sono un nostalgico
_________________
Linea 6144 Kbps / 6144 Kbps MCR 512 Kbps |
|
| Top |
|
|
|
|
REGOLAMENTO
