Freesco, NND, CDN, EOS

http://www.freesco.pl
Dzisiaj jest piątek, 29 marca 2024, 00:15

Strefa czasowa UTC+2godz.




Nowy temat Odpowiedz w temacie  [ Posty: 7 ] 
Autor Wiadomość
Post: czwartek, 17 marca 2011, 10:10 
Offline

Rejestracja: czwartek, 17 marca 2011, 09:00
Posty: 4
Lokalizacja: Biała Podlaska
Witam Szanownych!
Próbuję odpalić połączenie tunelowe do sieci firmowej, wykorzystując zapewne wszystkie podane rozwiązania na tym forum.
Ogólny schemat sieci wygląda tak:

Moj_PC<->ROUTER(EDIMAX)<->ISP(NEOSTRADA)<->ROUTER(EDIMAX 192.168.2/24, 192.168.2.1)<->NND (ETH0 IP 92.168.2.53/24 i ETH1 192.168.6.0/24)<->SWITCH 12P.

Tak wygląda konfiguracja interfejsów:

[root@iNetRouter ~]# ifconfig
eth0 Link encap:Ethernet HWaddr 74:EA:3A:83:26:20
inet addr:192.168.2.53 Bcast:192.168.2.255 Mask:255.255.255.0
UP BROADCAST NOTRAILERS RUNNING MULTICAST MTU:1500 Metric:1
RX packets:19644 errors:0 dropped:0 overruns:0 frame:0
TX packets:15102 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:15462240 (14.7 Mb) TX bytes:4838858 (4.6 Mb)
Interrupt:3 Base address:0x9f00

eth1 Link encap:Ethernet HWaddr 00:0B:6A:58:90:B4
inet addr:192.168.6.1 Bcast:192.168.6.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:26750 errors:0 dropped:0 overruns:0 frame:0
TX packets:27363 errors:0 dropped:0 overruns:0 carrier:0
collisions:95 txqueuelen:1000
RX bytes:5923930 (5.6 Mb) TX bytes:18298297 (17.4 Mb)
Interrupt:10 Base address:0xbe00

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:6796 errors:0 dropped:0 overruns:0 frame:0
TX packets:6796 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:285448 (278.7 Kb) TX bytes:285448 (278.7 Kb)

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.3.0.1 P-t-P:10.3.0.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)

Ustawienia VPN-a wykonałem zgodnie z opisem: http://www.nnd-linux.pl/modules.php?nam ... cle&sid=46.
Na NND interfejs tun jest otwarty. Port 1194 też jest otwarty, dodany wpis do firewall-a:
$i -A INPUT -p tcp -i $EXTIF --dport 1194 -j ACCEPT 2>$LOGFILE

Routing wyglada tak:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.3.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.6.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
10.3.0.0 10.3.0.2 255.255.255.0 UG 0 0 0 tun0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 192.168.2.1 0.0.0.0 UG 0 0 0 eth0

Mam nadzieję że to wszystko co dotyczy NND? Użytkownicy posiadają dostęp do I-netu, także co dotyczy stron www, poczty i innych usług sieciowych to jest OK. Moje pytanie, a nawet i prośba dotyczy pomocy w rozwiązaniu tego problemu. Wydawało mi się to prozaicznie proste a tu masz...null. Router sprzętowy EDIMAX (wiem, że to niska półka, ale nie narzekam), przekierowanie portów ustawione tak jak trzeba.

_________________
Pozdrawiam
robbys
----------------------------------------------------------
Co ma być, to będzie...


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 17 marca 2011, 11:24 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Jak na mój gust to nie jest problem NND tylko tego edimaxa. Edimax zapewne ma kilka portów, więc podłącz się jakimś laptopem. Wtedy dla NND będziesz "na zewnątrz" i możesz wypróbować działanie VPN.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 17 marca 2011, 15:49 
Offline

Rejestracja: czwartek, 17 marca 2011, 09:00
Posty: 4
Lokalizacja: Biała Podlaska
Zrobiłem tak jak zaleciłeś. Przy różnych konfiguracjach pliku klienta pojawiają się różne informacje. Początek taki sam dla wszystkich konfiguracji (w tasku monitorki emitują kolor żółty) ale po uruchomieniu innej to co wkleiłem poniżej "cd.." daje jakąś nadzieje (też żółte monitorki ;-) )

Thu Mar 17 13:08:51 2011 Current Parameter Settings:
Thu Mar 17 13:08:51 2011 config = 'vpnClient.ovpn'
Thu Mar 17 13:08:51 2011 mode = 0
Thu Mar 17 13:08:51 2011 show_ciphers = DISABLED
Thu Mar 17 13:08:51 2011 show_digests = DISABLED
Thu Mar 17 13:08:51 2011 show_engines = DISABLED
Thu Mar 17 13:08:51 2011 genkey = DISABLED
Thu Mar 17 13:08:51 2011 key_pass_file = '[UNDEF]'
Thu Mar 17 13:08:51 2011 show_tls_ciphers = DISABLED
Thu Mar 17 13:08:51 2011 Connection profiles [default]:
Thu Mar 17 13:08:51 2011 proto = udp
Thu Mar 17 13:08:51 2011 local = '[UNDEF]'
Thu Mar 17 13:08:51 2011 local_port = 1194
Thu Mar 17 13:08:51 2011 remote = '79.xxx.xx.x'
cd...

Thu Mar 17 13:14:51 2011 us=859000 OpenVPN 2.1.4 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Nov 8 2010
Thu Mar 17 13:14:51 2011 us=859000 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Thu Mar 17 13:14:51 2011 us=859000 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Thu Mar 17 13:14:52 2011 us=78000 LZO compression initialized
Thu Mar 17 13:14:52 2011 us=78000 Control Channel MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ]
Thu Mar 17 13:14:52 2011 us=78000 Socket Buffers: R=[8192->8192] S=[8192->8192]
Thu Mar 17 13:14:52 2011 us=171000 ROUTE default_gateway=192.168.2.1
Thu Mar 17 13:14:52 2011 us=171000 TAP-WIN32 device [Połączenie lokalne 7] opened: \\.\Global\{83B80FA1-8DC6-48ED-BA7D-00006C112A5F}.tap
Thu Mar 17 13:14:52 2011 us=171000 NOTE: could not get adapter index for {83B80FA1-8DC6-48ED-BA7D-00006C112A5F}
Thu Mar 17 13:14:52 2011 us=171000 TAP-Win32 Driver Version 9.7
Thu Mar 17 13:14:52 2011 us=171000 TAP-Win32 MTU=1500
Thu Mar 17 13:14:52 2011 us=171000 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.3.0.2/255.255.255.252 on interface {83B80FA1-8DC6-48ED-BA7D-00006C112A5F} [DHCP-serv: 10.3.0.1, lease-time: 31536000]
Thu Mar 17 13:14:52 2011 us=187000 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Thu Mar 17 13:14:52 2011 us=187000 Local Options String: 'V4,dev-type tun,link-mtu 1544,tun-mtu 1500,proto TCPv4_CLIENT,ifconfig 10.3.0.1 10.3.0.2,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Thu Mar 17 13:14:52 2011 us=187000 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1544,tun-mtu 1500,proto TCPv4_SERVER,ifconfig 10.3.0.2 10.3.0.1,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Thu Mar 17 13:14:52 2011 us=187000 Local Options hash (VER=V4): '1e8f0330'
Thu Mar 17 13:14:52 2011 us=187000 Expected Remote Options hash (VER=V4): '06b75c73'
Thu Mar 17 13:14:52 2011 us=187000 Attempting to establish TCP connection with 79.xxx.xx.x:1194
Thu Mar 17 13:15:13 2011 us=140000 TCP: connect to 79.xxx.xx.x:1194 failed, will try again in 10 seconds: Connection timed out (WSAETIMEDOUT)

Tak jak poprzednio wspomniałem porty na routerze (sprzętowym) odpowiednio przekierowane. Próbowałem nawet z PPTP port 1723 i jest podobnie. Czy mogę śmiało postawić wniosek, że to winna routera ?

_________________
Pozdrawiam
robbys
----------------------------------------------------------
Co ma być, to będzie...


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 17 marca 2011, 17:23 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Cytuj:
Zrobiłem tak jak zaleciłeś. Przy różnych konfiguracjach pliku klienta pojawiają się różne informacje.

W połączeniu NND - klient VPN z pominięciem edimaxa powinieneś bezwarunkowo mieć połączenie. Ale wtedy łączyłbyś się z adresem: 192.168.2.53, a ja widzę, ze używasz zewnętrznego IP.
Cytuj:
Thu Mar 17 13:08:51 2011 remote = '79.xxx.xx.x'

Cytuj:
Thu Mar 17 13:15:13 2011 us=140000 TCP: connect to 79.xxx.xx.x:1194 failed, will try again in 10 seconds: Connection timed out (WSAETIMEDOUT)

Zatem powtórzę.
Jeśli podłączysz sie do gniazda LAN w edimaksie i dostaniesz od niego IP z puli 192.168.2.0.24 i uda ci się połączyć z 192.168.2.53 i wpuści cię do sieci o numeracji LANu, to znaczy, ze po stronie NND wszystko jest ok.
I teraz, jeśli pójdziesz z firmy do domu, a z domu już się nie połączysz, to znaczy, ze wina jest po stronie edimaksa.
Comprende?

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: piątek, 18 marca 2011, 13:38 
Offline

Rejestracja: czwartek, 17 marca 2011, 09:00
Posty: 4
Lokalizacja: Biała Podlaska
Comprende!
Cytuj:
Jeśli podłączysz sie do gniazda LAN w edimaksie i dostaniesz od niego IP z puli 192.168.2.0.24 i uda ci się połączyć z 192.168.2.53 i wpuści cię do sieci o numeracji LANu...

Dostałem pierwszy wolny IP 192.168.2.52. Uruchomiłem programik do tunelu z konfiguracją klienta jak poniżej. Wynik taki sam jak poprzednio Brak połączenia. :-(

tls-client
dev tun
proto tcp-client
comp-lzo
persist-tun
persist-key
verb 4
ca D:/OpenVPN/config/certy/certyfikat_rootca.pem
cert D:/OpenVPN/config/certy/certyfikat_robbys.pem
key D:/OpenVPN/config/certy/klucz_robbys.pem
remote 192.168.6.1
pull
#
port 1194
ping 15

konfiguracja na NND:

dev tun
tun-mtu 1500

port 1194
user nobody
group nobody
comp-lzo
ping 20
ping-restart 120
ping-timer-rem
persist-tun
persist-key
daemon
verb 4
log-append /var/log/openvpn.log
# certyfiakt wystawcy (CA)
ca /etc/openvpn/certs/certyfikat_rootca.pem
# certyfiakt bramy
cert /etc/openvpn/certs/certyfikat_bramy.pem
# klucz prywatny bramy
key /etc/openvpn/certs/klucz_bramy.pem
tls-server
dh /etc/openvpn/certs/dh1024.pem
mode server
server 10.3.0.0 255.255.255.0
ifconfig-pool-persist /etc/openvpn/ipp.txt
push "dhcp-option MSHOME workgroup"
#push "dhcp-option DNS 192.168.6.1"
push "dhcp-option DNS 194.204.159.1"
push "route 192.168.6.0 255.255.255.0"
push "ping 20"
push "ping restart 120"
;eof

Jest jeszcze jedna sprawa. Mogę się połączyć za pomocą putty z IP 192.168.2.53:22 (eth0) a z 192.168.2.1 (eth1) nie. Wszystko pozostałe tj. odblokowanie portu na fw - zrobione, tun0 - podniesione. Na chwilę obecną i przy tych wynikach nie wiem czego mam się trzymać. Czy niepoprawnej konfiguracji NND czy złego routera(edimaxa) ?

_________________
Pozdrawiam
robbys
----------------------------------------------------------
Co ma być, to będzie...


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: piątek, 18 marca 2011, 14:41 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Według tego, co sam podałeś to masz następująca konfigurację:

79.x.x.x (neostrada)
|
edimax - dodatkowy komp (192.168.2.52)
|
router NND (192.168.2.53)
|
sieć LAN z adresem 192.168.6.1

A ty w swoim konfigu klienta masz:
: [/] [] ()
remote 192.168.6.1

To działać nie będzie.
Jeśli jesteś w sieci 192.168.2.0/24, to łączysz się z remote 192.168.2.53.
Poprawna konfiguracja serwera powinna być taka:
: [/] [] ()
dev tun
tun-mtu 1500 #to na pewno nie zadziała na neostradzie
port 1194
user nobody
group nobody
comp-lzo
proto tcp-server
ping 20
ping-restart 120
ping-timer-rem
persist-tun
persist-key
daemon
verb 4
log-append /var/log/openvpn.log
ca /etc/openvpn/certyfikat_rootca.pem
cert /etc/openvpn/certyfikat_bramy.pem
key /etc/openvpn/klucz_bramy.pem
crl-verify /etc/openvpn/crl.pem
tls-server
dh /etc/openvpn/dh1024.pem
mode server
server 10.3.0.0 255.255.255.0
ifconfig-pool-persist /etc/openvpn/ipp.txt
push "dhcp-option DOMAIN COTAMMASZ"
push "dhcp-option DNS 8.8.8.8" # jakiś dobry serwer dns
push "route 192.168.6.0 255.255.255.0"
push "ping 20"
push "ping restart 120"
status /var/log/openvpn.status

COTAMMASZ oznacza nazwę grupy roboczej lub domeny, czyli piszesz tam mshome albo workgroup - słowo DOMAIN pozostaje.

Sprawdziłem przy okazji twoją neostradę.
: [/] [] ()
Starting Nmap 4.76 ( http://nmap.org ) at 2011-03-18 13:26 CET
Interesting ports on costam.neoplus.adsl.tpnet.pl (79.x.x.x):
PORT     STATE    SERVICE
1194/tcp filtered unknown

Nmap done: 1 IP address (1 host up) scanned in 2.07 seconds

Z tego wnioski są następujące:
1. Dopiero, gdy uzyskasz prawidłowe połączenie z 192.168.2.53, zacznij próbować faktycznie z zewnątrz.
2. Edimax nie ma otwartego portu 1194, więc z zewnątrz się nie połączysz.
3. Lepiej byłoby ustawić NND jako "neorj" przy przełączeniu edimaxa w tryb "bridge"
4. Na noestradzie mogą być problemy z VPN, gdzieś o tym czytałem, ale nie mogę sprawdzić, bo nie mam neo.
5. Powiedz szefowi, ze jak chce mieć prace zdalną, to niech kupi DSL, bo firma na neo to esencja dziadostwa.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: piątek, 2 grudnia 2011, 13:59 
Offline

Rejestracja: czwartek, 17 marca 2011, 09:00
Posty: 4
Lokalizacja: Biała Podlaska
Witam, po długiej nieobecności...
Chciałbym się podzielić tą informacją, że jednak udało mi się zestawić tunel do sieci firmowej. Zgodnie z tym co podał Maciek.
: [/] [] ()
dev tun
#tun-mtu 1500
port 1194
user nobody
group nobody
comp-lzo
proto tcp-server
ping 20
ping-restart 120
ping-timer-rem
persist-tun
persist-key
daemon
verb 4
log-append /var/log/openvpn.log
ca /etc/openvpn/certyfikat_rootca.pem
cert /etc/openvpn/certyfikat_bramy.pem
key /etc/openvpn/klucz_bramy.pem
crl-verify /etc/openvpn/crl.pem
tls-server
dh /etc/openvpn/dh1024.pem
mode server
server 10.3.0.0 255.255.255.0
ifconfig-pool-persist /etc/openvpn/ipp.txt
push "dhcp-option DOMAIN MSHOME"
push "dhcp-option DNS 79.98.145.34" # jakiś dobry serwer dns
push "route 192.168.6.0 255.255.255.0"
push "ping 20"
push "ping restart 120"
status /var/log/openvpn.status

Przed wykonaniem połączenia z domu, połączyłem się z laptopa przez router (Vigor 2600) i nawiązałem połączenie z NND. W iptables zrobione przekierowanie na port jak w pliku konfiguracyjnym vpn (na kliencie także), a w rc.local dodałem taki wpis:
: [/] [] ()
iptables -I INPUT -i tun0 - j ACCEPT
iptables -I FORWARD -o tun0 - j ACCEPT


Na marginesie dodam, że szefuncio wszystkiego nie musi wiedzieć. Jak zakupi DSL-a to się dowie ;-)

To tyle.

_________________
Pozdrawiam
robbys
----------------------------------------------------------
Co ma być, to będzie...


Na górę
 Wyświetl profil  
 
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat Odpowiedz w temacie  [ Posty: 7 ] 

Strefa czasowa UTC+2godz.


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 16 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
Technologię dostarcza phpBB® Forum Software © phpBB Group
Hosting: Compus-Net
RobertKonik.pl