Elektroda.pl
Elektroda.pl
X
Elektroda.pl
Switche POE
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

OpenVPN + dostęp do lokalnej sieci LAN

02 Lis 2013 16:49 4839 18
  • Poziom 9  
    Witam,

    mam pewien problem. Mam sieć w pracy, wygląda ona następująco:
    Router Linksys - 192.168.99.100 (internet DSL)
    kilka komputerów
    drukarka sieciowa - 192.168.99.103
    komputer z Windows 7 prof jako serwer m.in. dla Subiekta - 192.168.99.200

    Na tym komputerze zainstalowałem OpenVPN - adres VPN 10.8.0.1

    Sieć w domu wygląda następująco:
    Router Netgear z wgranym tomato i włączonym OpenVPN jako client. Adres lokalny routera 192.168.1.1, adres VPN routera - 10.8.0.6.
    Laptop podłączony prez Wi-Fi - 192.168.1.6.

    Połączenie VPN zestawia się prawidłowo - mam dostęp do serwera. Niestety w żaden sposób nie mogę się podłączyć do drukarki w pracy. Próbowałem kombinować z routingiem, niestety nie jestem w tym zakresie specem i nic z tego nie wychodzi. W żaden sposób nie mogę pingować drukarki od siebie z domu.

    Tak wygląda routing serwera w pracy:
    Code:

    ===========================================================================
    Lista interfejs˘w
     17...00 ff 46 9b ee ae ......TAP-Windows Adapter V9
     11...50 e5 49 e7 15 56 ......Realtek PCIe GBE Family Controller
      1...........................Software Loopback Interface 1
     12...00 00 00 00 00 00 00 e0 Karta Microsoft ISATAP
     13...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
     15...00 00 00 00 00 00 00 e0 Karta Microsoft ISATAP #3
    ===========================================================================

    Tabela tras IPv4
    ===========================================================================
    Aktywne trasy:
    Miejsce docelowe w sieci   Maska sieci      Brama          Interfejs Metryka
              0.0.0.0          0.0.0.0   192.168.99.100   192.168.99.200    276
             10.8.0.0    255.255.255.0         10.8.0.2         10.8.0.1     30
             10.8.0.0  255.255.255.252         On-link          10.8.0.1    286
             10.8.0.1  255.255.255.255         On-link          10.8.0.1    286
             10.8.0.3  255.255.255.255         On-link          10.8.0.1    286
            127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
            127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
      127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
         192.168.99.0    255.255.255.0         On-link    192.168.99.200    276
       192.168.99.200  255.255.255.255         On-link    192.168.99.200    276
       192.168.99.255  255.255.255.255         On-link    192.168.99.200    276
            224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
            224.0.0.0        240.0.0.0         On-link    192.168.99.200    276
            224.0.0.0        240.0.0.0         On-link          10.8.0.1    286
      255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      255.255.255.255  255.255.255.255         On-link    192.168.99.200    276
      255.255.255.255  255.255.255.255         On-link          10.8.0.1    286
    ===========================================================================
    Trasy trwae:
      Adres sieciowy   Maska sieci           Adres bramy                  Metryka
              0.0.0.0          0.0.0.0   192.168.99.100  Domylne
    ===========================================================================

    Tabela tras IPv6
    ===========================================================================
    Aktywne trasy:
     Jeli Metryka Miejsce docelowe w sieci      Brama
      1    306 ::1/128                  On-link
      1    306 ff00::/8                 On-link
    ===========================================================================
    Trasy trwae:
     Jeli Metryka Miejsce docelowe w sieci      Brama
      0 4294967295 2620:9b::/96             On-link
      0   9000 ::/0                     2620:9b::1900:1
    ===========================================================================


    a tak routing routera w domu:
    Code:

    Kernel IP routing table
    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
    10.8.0.5        *               255.255.255.255 UH    0      0        0 tun11
    10.8.0.1        10.8.0.5        255.255.255.255 UGH   0      0        0 tun11
    195.114.190.57  *               255.255.255.255 UH    0      0        0 ppp0
    192.168.1.0     *               255.255.255.0   U     0      0        0 br0
    127.0.0.0       *               255.0.0.0       U     0      0        0 lo
    default         Lodz-bras1.inet 0.0.0.0         UG    0      0        0 ppp0


    tak wygląda konfiguracja OpenVPN w pracy:
    Code:

    dev tun                         # rodzaj interfejsu – dla routera zawsze TUN
    local 192.168.99.200            # adres IP serwera (przeczytaj dodatkowe uwagi na dole strony)
                                    # "local" określa tryb pracy tego końca tunelu jako serwer
    proto udp                       # rodzaj wykorzystywanego protokołu
    port 1194                       # używany port
    server 10.8.0.0 255.255.255.0   # klasa adresowa z której będą przydzielane adresy IP
    ca ca.crt                       # nazwa pliku z certyfikatem CA         
    cert server.crt                 # nazwa pliku z certyfikatem serwera
    key server.key                  # nazwa pliku z kluczem prywatnym serwera
    dh dh2048.pem                   # nazwa pliku z parametrami algorytmu Diffiego-Hellmana
    tls-auth ta.key 0
                                    # wszystkie ścieżki do plików mogą być podane jako bezwzględne, np.:
                                    # ca "c:\\Program Files\\OpenVPN\\config\\ca.crt"
    max-clients 10                  # maksymalna ilość jednocześnie podłączonych klientów
    persist-tun                     # podczas restartu utrzymuje podniesiony wirtualny interfejs
    persist-key                     # podczas restartu nie bedzie ponownie wczytany klucz
    keepalive 10 120                # restart w przypadku braku połączenia
                                    # wysyła ping co 10 sekund z timeout=120s.
    cipher AES-256-CBC              # ustawienie zalecanego algorytmu szyfrowania
                                    # ustawienie musi być identyczne na kliencie i serwerze
    comp-lzo                        # algorytm kompresji, zmniejsza zużycie transferu
    verb 1     


    Bardzo proszę o wskazówki co mam zrobić aby podłączyć się do drukarki w pracy. Przeczytałem kilkadziesiąt różnych artykułów i próbowałem różnych konfiguracji - niestety nic tego. Walczy z tym już ponad tydzień.

    Z góry dzięki wielkie za porady.
  • Switche POE
  • Poziom 27  
    Tunel zestawiłeś w trybie "peer2peer" i trasy dodane przez tunel prowadzą do pojedynczych hostów. Powinieneś zmodyfikować konfiguracje tak by dodatkowo dodane zostały trasy do poszczególnych sieci - Link
  • Poziom 9  
    Zgodnie ze stroną z linka dodałem do ustawień serwera:
    Code:

    push "route 192.168.99.0 255.255.255.0"
    route 192.168.1.0 255.255.255.0


    oraz dodałem do ustawień klienta (ccd):
    Code:

    iroute 192.168.1.0 255.255.255.0


    Niestety nie jestem w stanie wykonać poleceń ze strony o dodaniu tras:
    Code:
    ip route add 10.8.0.0/24 via 192.168.99.200 dev tun
    
    11


    ponieważ dostaję odpowiedź:
    Code:
    RTNETLINK answers: No such process
    


    Nie wiem jak mam to ugryźć żeby to zadziałało. Czy ktoś jest w stanie mi to łapatologicznie wytłumaczyć?
  • Poziom 27  
    Komenda podana w tym przykładzie jest zgodna z systemem Linux, dla Windows Link
  • Poziom 9  
    No właśnie w przykładzie jest komenda podana na Windowsa a to co ja podałem jest już przetworzone na Linuxa - niestety nie działa.
  • Switche POE
  • Moderator - Sieci, Internet
    Odpowiednie trasy powinny dodać się same po uruchomieniu (na serwerze) i zestawieniu połączenia (na kliencie) OpenVPN-a. Co do połączenia z drukarką, musisz dodać trasę statyczną na routerze w pracy, "zawracającą" ruch do Twojej podsieci domowej (192.168.1.0/24) na adres IP serwera (192.168.99.200). Na pewno trzeba włączyć routing pakietów IP na Windows odpowiednim wpisem w rejestrze lub usługą "routing i dostęp zdalny" - w wyniku "ipconfig /all" jest informacja o stanie routingu IP.
  • Poziom 9  
    Niestety tak ja pisałem, nie jestem w tym temacie zbytnio zaawansowany i nie wiem co mam dokładnie zrobić. Trzeba pamiętać, że na "serwerze" nie jest zainstalowany system serwerowy tylko Windows 7.
  • Moderator - Sieci, Internet
    leyek napisał:
    Niestety tak ja pisałem, nie jestem w tym temacie zbytnio zaawansowany i nie wiem co mam dokładnie zrobić

    Zalogować się na router firmowy, poszukać "static routes" lub czegoś podobnie brzmiącego, dodać trasę.

    leyek napisał:
    Trzeba pamiętać, że na "serwerze" nie jest zainstalowany system serwerowy tylko Windows 7.

    W wypadku tego problemu nie robi to większego znaczenia. Z kilka lat temu coś podobnego uruchamiałem na XP i też działało.
    W usługach komputera-serwera odszukaj usługę "Routing i dostęp zdalny" i ją uruchom albo dodaj taki wpis do rejestru.
  • Poziom 27  
    leyek napisał:
    No właśnie w przykładzie jest komenda podana na Windowsa a to co ja podałem jest już przetworzone na Linuxa - niestety nie działa.


    Faktycznie, zapomniałem że OpenVPN pod Windows może utworzyć interfejs o krótkiej nazwie. Uruchamiasz polecenie na prawach administratora systemu?

    Generalnie brakuje dwóch tras statycznych do sieci Dom -> Firma i Firma -> Dom jak pisze salmon.
  • Poziom 9  
    Niestety na routerze w pracy nie jestem w stanie dodać trasy "zawracającej ruch" ponieważ dostaję komunikat, że taki wpis już istnieje a dokładniej w tablicy routingu jest coś takiego:
    Code:
    192.168.99.0   255.255.255.0   192.168.99.100


    Kostek7 o jakim poleceniu mówisz żeby uruchamiać w trybie administratora? W domu trasy dodaję na routerze z wgranym tomato łącząc się przez ssh a nie na kompie z windowsem.

    salmon dodałem wpis w rejestrze zgodnie z podanym linkiem. Obecnie na serwerze tak wygląda tablica routingu:
    Code:
    ===========================================================================
    
    Lista interfejs˘w
     17...00 ff 46 9b ee ae ......TAP-Windows Adapter V9
     11...50 e5 49 e7 15 56 ......Realtek PCIe GBE Family Controller
      1...........................Software Loopback Interface 1
     12...00 00 00 00 00 00 00 e0 Karta Microsoft ISATAP
     13...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
     15...00 00 00 00 00 00 00 e0 Karta Microsoft ISATAP #3
    ===========================================================================

    Tabela tras IPv4
    ===========================================================================
    Aktywne trasy:
    Miejsce docelowe w sieci   Maska sieci      Brama          Interfejs Metryka
              0.0.0.0          0.0.0.0   192.168.99.100   192.168.99.200    276
             10.8.0.0    255.255.255.0         10.8.0.2         10.8.0.1     30
             10.8.0.0  255.255.255.252         On-link          10.8.0.1    286
             10.8.0.1  255.255.255.255         On-link          10.8.0.1    286
             10.8.0.3  255.255.255.255         On-link          10.8.0.1    286
            127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
            127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
      127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
          192.168.1.0    255.255.255.0         10.8.0.2         10.8.0.1     30
         192.168.99.0    255.255.255.0         On-link    192.168.99.200    276
       192.168.99.200  255.255.255.255         On-link    192.168.99.200    276
       192.168.99.255  255.255.255.255         On-link    192.168.99.200    276
            224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
            224.0.0.0        240.0.0.0         On-link    192.168.99.200    276
            224.0.0.0        240.0.0.0         On-link          10.8.0.1    286
      255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      255.255.255.255  255.255.255.255         On-link    192.168.99.200    276
      255.255.255.255  255.255.255.255         On-link          10.8.0.1    286
    ===========================================================================
    Trasy trwae:
      Adres sieciowy   Maska sieci           Adres bramy                  Metryka
              0.0.0.0          0.0.0.0   192.168.99.100  Domylne
    ===========================================================================

    Tabela tras IPv6
    ===========================================================================
    Aktywne trasy:
     Jeli Metryka Miejsce docelowe w sieci      Brama
      1    306 ::1/128                  On-link
      1    306 ff00::/8                 On-link
    ===========================================================================
    Trasy trwae:
     Jeli Metryka Miejsce docelowe w sieci      Brama
      0 4294967295 2620:9b::/96             On-link
      0   9000 ::/0                     2620:9b::1900:1
    ===========================================================================


    a tak na routerze w domu:
    Code:
    Kernel IP routing table
    
    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
    10.8.0.5        *               255.255.255.255 UH    0      0        0 tun11
    10.8.0.1        10.8.0.5        255.255.255.255 UGH   0      0        0 tun11
    195.114.190.57  *               255.255.255.255 UH    0      0        0 ppp0
    192.168.1.0     *               255.255.255.0   U     0      0        0 br0
    192.168.99.0    10.8.0.5        255.255.255.0   UG    0      0        0 tun11
    127.0.0.0       *               255.0.0.0       U     0      0        0 lo
    default         Lodz-bras1.inet 0.0.0.0         UG    0      0        0 ppp0


    Nie wiem co mam jeszcze zrobić, żeby mieć dostęp z domu do drukarki w pracy.
  • Moderator - Sieci, Internet
    leyek napisał:
    Niestety na routerze w pracy nie jestem w stanie dodać trasy "zawracającej ruch" ponieważ dostaję komunikat, że taki wpis już istnieje a dokładniej w tablicy routingu jest coś takiego:

    Kod:
    192.168.99.0 255.255.255.0 192.168.99.100


    OK, ale musisz dodać trasę do sieci 192.168.1.0/24 (a nie 192.168.99.0/24) kierującą na router 192.168.99.200.
  • Poziom 9  
    Dodałem do routera w pracy wpis:
    Code:
    192.168.1.0   255.255.255.0   192.168.99.200


    Jest lepiej, bo mogę pingować od siebie z domu serwer w pracy po jego lokalnym ip:
    Code:
    Śledzenie trasy do SERWER-KOMPUTER [192.168.99.200]
    
    z maksymalną liczbą 30 przeskoków:

      1     1 ms     1 ms     1 ms  Netgear [192.168.1.1]
      2     *        *        *     Upłynął limit czasu żądania.
      3    63 ms    64 ms    50 ms  SERWER-KOMPUTER [192.168.99.200]

    Śledzenie zakończone.


    ale niestety z drukarką w dalszym ciągu jest lipa.
  • Moderator - Sieci, Internet
    A drukarka ma bramę domyślną ustawioną ?
  • Poziom 9  
    Tak, ma ustawioną 192.168.99.100 - czyli router w pracy.
  • Moderator - Sieci, Internet
    w wyniku "ipconfig /all" na serwerze widać, że routing IP jest włączony ?
  • Poziom 9  
    Niby tak:
    Code:
    Konfiguracja IP systemu Windows
    

       Nazwa hosta . . . . . . . . . . . : Serwer-Komputer
       Sufiks podstawowej domeny DNS . . :
       Typ wŠza . . . . . . . . . . . . : Hybrydowy
       Routing IP wĽczony . . . . . . . : Tak
       Serwer WINS Proxy wĽczony. . . . : Nie

    Karta Ethernet PoĽczenie lokalne 2:

       Sufiks DNS konkretnego poĽczenia :
       Opis. . . . . . . . . . . . . . . : TAP-Windows Adapter V9
       Adres fizyczny. . . . . . . . . . : 00-FF-46-9B-EE-AE
       DHCP wĽczone . . . . . . . . . . : Tak
       Autokonfiguracja wĽczona . . . . : Tak
       Adres IPv4. . . . . . . . . . . . . : 10.8.0.1(Preferowane)
       Maska podsieci. . . . . . . . . . : 255.255.255.252
       Dzieržawa uzyskana. . . . . . . . : 3 listopada 2013 12:22:37
       Dzieržawa wygasa. . . . . . . . . : 3 listopada 2014 12:22:52
       Brama domylna. . . . . . . . . . :
       Serwer DHCP . . . . . . . . . . . : 10.8.0.2
       NetBIOS przez Tcpip . . . . . . . : WĽczony

    Karta Ethernet PoĽczenie lokalne:

       Sufiks DNS konkretnego poĽczenia :
       Opis. . . . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
       Adres fizyczny. . . . . . . . . . : 50-E5-49-E7-15-56
       DHCP wĽczone . . . . . . . . . . : Nie
       Autokonfiguracja wĽczona . . . . : Tak
       Adres IPv4. . . . . . . . . . . . . : 192.168.99.200(Preferowane)
       Maska podsieci. . . . . . . . . . : 255.255.255.0
       Brama domylna. . . . . . . . . . : 192.168.99.100
       Serwery DNS . . . . . . . . . . . : 194.204.159.1
                                           194.204.152.34
       NetBIOS przez Tcpip . . . . . . . : WĽczony

    Karta tunelowa isatap.{469BEEAE-74D8-4CFA-A303-B99E968F9B7F}:

       Stan nonika . . . .  . . . . . . .: Nonik odĽczony
       Sufiks DNS konkretnego poĽczenia :
       Opis. . . . . . . . . . . . . . . : Karta Microsoft ISATAP
       Adres fizyczny. . . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP wĽczone . . . . . . . . . . : Nie
       Autokonfiguracja wĽczona . . . . : Tak

    Karta tunelowa Teredo Tunneling Pseudo-Interface:

       Stan nonika . . . .  . . . . . . .: Nonik odĽczony
       Sufiks DNS konkretnego poĽczenia :
       Opis. . . . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
       Adres fizyczny. . . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP wĽczone . . . . . . . . . . : Nie
       Autokonfiguracja wĽczona . . . . : Tak

    Karta tunelowa isatap.{3B887083-499A-4319-AC44-4F152E431E1A}:

       Stan nonika . . . .  . . . . . . .: Nonik odĽczony
       Sufiks DNS konkretnego poĽczenia :
       Opis. . . . . . . . . . . . . . . : Karta Microsoft ISATAP #3
       Adres fizyczny. . . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP wĽczone . . . . . . . . . . : Nie
       Autokonfiguracja wĽczona . . . . : Tak
  • Moderator - Sieci, Internet
    Masz włączony jeszcze jakiś host w sieci w pracy, żeby potwierdzić, czy problem leży w konfiguracji drukarki czy serwera ?
  • Poziom 9  
    Zdalnie się nie dostanę - laptopy są wyłączone. Jak loguje się na serwerze przy pomocy zdalnego pulpitu to z poziomu serwera mogę pingować drukarkę czyli drukarka działa.
  • Poziom 9  
    Postanowiłem obejść nieco ten problem. Mianowicie drukarka została udostępniona na serwerze i podłączam się do tego udostępnienia a nie bezpośrednio po ip.

    Niestety teraz pojawił się inny problem. Gdy jestem podłączony do tej udostępnionej drukarki i próbuję podłączyć się do serwera przez zdalny pulpit widzę tylko czarny ekran i po paru sekundach zdalny pulpit zostaje zamknięty z informacją iż połączenie zostało przerwane. Pomaga dopiero restart usługi VPN na serwerze.

    Muszę dodać, że w tym samym czasie mogę wejść na serwer przez zdalny pulpit z pominięciem VPN i wszystko działa ok (ip zewnętrzny + przekierowany port na routerze).

    Nie wiem czym to może być spowodowane, kombinowałem z MTU ale to nic nie dało.