Ух ты! Как же я раньше не додумался! Как все просто! Спасибо за совет! Чтобы данный форум без таких советчиков делал бы!
Перед тем как на меня обидеться, попробуйте реализовать содержательную часть вашего совета, а именно opkg install samba )
Итак, инструкция. Имеем две сети:
Между ними поднят VPN тоннель 192.168.15.0 255.255.255.0 (сервер - rt-n16)Code:RT-N16 192.168.1.0 255.255.255.0 WL500GPv2 192.168.2.0 255.255.255.0
Что мы хотим сделать: доступ к сетевому окружению из одной сети в другую и назад,
причем компы обеих сетей должны отображаться в сетевом окружении.
1. Дополнительно настраиваем VPN:
1.1. В конфиге сервера:2. Настраиваем SAMBA:
1.2. в файле /ccd/имя_клиента_из_сертификата:Code:push "route 192.168.1.0 255.255.255.0" route 192.168.2.0 255.255.255.0
RT-N16 и WL500 должны пинговаться из ОБЕИХ сетей. Если этого не происходит, то перед тем,Code:iroute 192.168.2.0 255.255.255.0
как идти дальше разбирайтесь с правилами фаервола и добивайтесь прохождения пингов.
2.1. rt-n16 у нас будет WINS сервером. В конфиг самбы на RT-N16 вносим строчки3. Настраиваем wl500 и rt-n16:
(или правим значения, если строчки есть):
2.2. В конфиг самбы на wl500 вносим:Code:bind interfaces only = no wins support = yes domain master = yes os level = 255 local master = yes preferred master = yes
Code:bind interfaces only = no wins support = no wins server = 192.168.1.1 domain master = no os level = 255 local master = yes preferred master = yes remote announce = 192.168.1.1
На ОБОИХ устройствах в IP Config>DHCP Server в строке WINS Server вносим IP RT-N16: 192.168.1.1Гуру, поправьте меня, где неправильные\лишние\недостаточные телодвижения.
Клиентские компьютеры должны поддерживать службу WINS.
Сохраняемся, перезагружаемся, ждем минут 15 и обновляем сетевое окружение.
Должно быть видно подключенные к сети устройства обеих сетей.
UPD: Возникла любопытная проблема: при попытке подключиться по SSH к WL500gpv2 (см. конфигурацию выше), подключение проходит нормально,
но стоит попытаться запустить MC или PS, как все повисает. По телнету проблема появляется, но редко (т.е. работать можно). Где копать?
Отвечаю на поставленный вопрос: необходимо сменить протокол тоннеля с UDP на TCP и все будет ОК.
Last edited by Omega; 03-05-2012 at 08:18. Reason: fixed
1. Подумалось мне тут, а можно ли обойтись без разделения на подсети в моем случае?
Соединить надо дачу и дом, на даче 4 устройства, дома 6. Т.е. меньше 255. Сейчас на даче подсеть 192.168.2.0, дома 192.168.1.0.
Можно ли соединить посредством OpenVPN все это не разделяя на подсети, т.к. чтобы все устройства были в сети 192.16.1.0 255.255.255.0?
Прямого ответа на этот вопрос не нашел. Если это можно реализовать, то какой тогда интерфейс использовать - TUN или TAP?
Какие дополнительные настройки (отличные от организации "обычного" тоннеля) требуются?
2. Сейчас все настроено четерз TUN и поднят WINS сервер (см. выше). Клиенты обеих сетей видят друг-друга в сетевом окружении и пингуются. Но если
подключиться с ноубука под виндой (с натройками аналогичными настройкам клиентского WL500), то в сетевом окружении других устройств не видно, хотя
они пингуются, к ним есть доступ по IP и адаптер получает и прописывает от сервера адрес WINS сервера. Где копать для решения данной проблемы?
UPD по п.2: Вопрос даже шире: каким маршрутом дать доступ из сети к клиенту под виндой?
Только что прверил, доступа нет ни по IP тоннеля, ни по локальному Ip клиента...
Искал, но не нашел ответа. Что есть:
сеть 1: 192.168.1.0/24, где на 192.168.1.1 поднят OpenVPN сервер (tun0, RT-N16)
сеть 2: 192.168.2.0/24, где на 192.168.2.1 поднят OpenVPN клиент (WL500)
Вопрос: как ВЕСЬ трафик только с IP 192.168.2.8 завернуть в тоннель?
Т.е. чтобы в интернет он выходил через RT-N16 и имел его IP? Всем спасибо!
Last edited by Omega; 27-05-2012 at 21:58. Reason: fixed
Собственно, никак, бывает тупо глюк винды, когда не видно в сетевом окружении и через некоторое время появляется (именно так и было).
Если используете Windows XP - обозреватель компьютеров надо отключать при включенном WINS-сервере.
Если все пингуется из разных сетей и заходит по IP/имени, значит ВСЕ настроено верно.
Я делал туннель с удаленным серваком по OpenVPN, при этом сервак был в качестве клиента, а роутер - сервер.
Ставил на сервак самбу во внутреннюю сеть, а также во внутренней сети за серваком на одной из машин ставил еще одну самбу. Клиенты за роутером видели также те машины и могли соединиться, но они появлялись не сразу в сетевом окружении. Иногда вообще приходилось ребутить комп. Проще было по имени зайти.
Samba на роутере установлена из Entware samba36-server, НЕ из прошивки.
Конфигурация вот такая:
OpenVPN сеть
10.100.0.0/24
Роутер:
OpenVPN - 10.100.0.1, интерфейс OpenVPN tun5
Внутренняя сеть OpenVPN роутера - 192.168.1.0/24
Правила iptables на роутере:
OpenVPN server.confCode:iptables -I FORWARD -i tun5 -o br0 -j ACCEPT iptables -I FORWARD -i br0 -o tun5 -j ACCEPT iptables -I INPUT -i tun5 -j ACCEPT iptables -t nat -I POSTROUTING -s 10.100.0.0/24 -d 192.168.1.0/24 -o br0 -j MASQUERADE iptables -t nat -I POSTROUTING -s 192.168.1.0/24 -d 192.168.100.0/24 -o tun5 -j MASQUERADE
/opt/etc/openvpn/ccd/client1Code:dev tun5 local 192.168.1.1 server 10.100.0.0 255.255.255.0 key keys/server.key ca keys/ca.crt cert keys/server.crt dh keys/dh1024.pem ifconfig-pool-persist ipp.txt proto udp port 28800 comp-lzo mssfix 1430 keepalive 10 60 ping-timer-rem persist-tun persist-key push "route 192.168.100.0 255.255.255.0" push "route 192.168.1.0 255.255.255.0" route 192.168.100.0 255.255.255.0 ;to make routes from clients work client-to-client daemon verb 3 log server.log ;for static ip addresses client-config-dir /opt/etc/openvpn/ccd
Samba server smb.conf:Code:ifconfig-push 10.100.0.2 10.100.0.1 iroute 192.168.100.0/24 255.255.255.0
Клиент:Code:[global] workgroup = WORKGROUP netbios name = router comment = router server string = router's lair load printers = no show add printer wizard = no printing = no printcap name = /dev/null disable spoolss = yes log file = /opt/var/log/samba/log.%m max log size = 50 hosts allow = 127.0.0.1, 192.168.1.0/24 192.168.100.0/24 10.100.0.0/24 map to guest = bad user guest account = nobody security = user oplocks = no level 2 oplocks = no encrypt passwords = true username map = /opt/etc/samba/smbusers obey pam restrictions = yes socket options = TCP_NODELAY IPTOS_LOWDELAY aio read size = 16384 interfaces = 192.168.1.0/24 127. tun5 10.100.0.0/24 192.168.100.0/24 bind interfaces only = no remote browse sync = 192.168.1.255 127. 10.100.0.255 192.168.100.1 192.168.100.255 remote announce = 192.168.1.255 127. 10.100.0.255 192.168.100.1 192.168.100.255 local master = yes os level = 99 domain master = yes preferred master = yes null passwords = yes passdb backend = smbpasswd name resolve order = wins lmhosts hosts bcast wins support = yes dns proxy = no case sensitive = no dos charset = 866 unix charset = UTF8 restrict anonymous = no acl compatibility = winnt [testshare] comment = tmp path = /opt/tmp guest ok = yes browseable = yes
OpenVPN - 10.100.0.2, интерфейс OpenVPN tun2
Внутренняя сеть OpenVPN клиента - 192.168.100.0/24
Правила iptables на клиенте:
OpenVPN client.conf:Code:iptables -I FORWARD -i tun2 -o br0 -j ACCEPT iptables -I FORWARD -i br0 -o tun2 -j ACCEPT iptables -I INPUT -i tun2 -j ACCEPT iptables -t nat -I POSTROUTING -s 10.100.0.0/24 -d 192.168.100.0/24 -o br0 -j MASQUERADE iptables -t nat -I POSTROUTING -s 192.168.100.0/24 -d 192.168.1.0/24 -o tun2 -j MASQUERADE
Samba client smb.conf:Code:dev tun2 client remote x.y.z.c proto udp port 28800 daemon key keys/client1.key cert keys/client1.crt ca keys/ca.crt ns-cert-type server comp-lzo keepalive 10 60 ping-timer-rem persist-tun persist-key resolv-retry infinite mssfix 1430 nobind log client.log verb 3 daemon pull
Code:[global] workgroup = WORKGROUP server string = %h server netbios name = testsrv wins support = no wins server = 192.168.1.1 wins proxy = yes dns proxy = no local master = yes interfaces = 127.0.0.0/8 10.100.0.0/24 192.168.100.1 log file = /var/log/samba/log.%m max log size = 1000 syslog = 0 security = share encrypt passwords = true passdb backend = tdbsam obey pam restrictions = yes [cdrom] comment = Samba server's CD-ROM read only = yes locking = no path = /mnt/cdrom guest ok = yesРазница между tap и tun состоит в том, что tap - используется в том случае, если нужен bridge интерфейсов, tun - для routed (tap также можно использовать для routed-network, но не советуют, если есть возможность, то лучше tun). tap - единственный драйвер для windows также под OpenVPN, tun в win нету.1. Подумалось мне тут, а можно ли обойтись без разделения на подсети в моем случае?
Соединить надо дачу и дом, на даче 4 устройства, дома 6. Т.е. меньше 255. Сейчас на даче подсеть 192.168.2.0, дома 192.168.1.0.
Можно ли соединить посредством OpenVPN все это не разделяя на подсети, т.к. чтобы все устройства были в сети 192.16.1.0 255.255.255.0?
Прямого ответа на этот вопрос не нашел. Если это можно реализовать, то какой тогда интерфейс использовать - TUN или TAP?
Какие дополнительные настройки (отличные от организации "обычного" тоннеля) требуются?
2. Сейчас все настроено четерз TUN и поднят WINS сервер (см. выше).
Разделить подсети можно, но нужно будет продумывать тогда момент ограничения и разбиения подсети 192.168.1.0/24 и соответственно роутинга ее части через второй роутер, перенастроить DHCP.
В случае TAP нужно будет читать http://openvpn.net/index.php/open-so...-bridging.html и настраивать по-другому.
Из минусов TAP - у вас будут попадать пакеты также из внутренних сетей в туннель. (подробнее читайте ответ - http://serverfault.com/questions/211...un-for-openvpn)
Last edited by staticroute; 10-09-2012 at 04:17.
Всем добрый день!
Есть задача: организовать канал между двумя устройствами. Территориально находятся далеко друг от друга. Общаются они путем отправки запросов на конкретный, заранее заданный, но только один IP адрес (т.е. в устройстве 1 прописывается IP устройства 2, а в устройстве 2 прописывается IP устройства 1). Запросы идут как от устройства 1 к устройству 2 так и наоборот. Так как общение будет идти через Интернет, то нужно иметь второй активный WAN (в моем случае это должен быть 3G) для надежности. Проблема в том, что у роутера должен быть один внешний IP. Может между двумя роутерами получится VPN организовать?
Вот примерная схемка
Необходима помощь в настройке OpenVPN.
Задача: связать 2 компьютера: удаленный компьютер в выделенным "белым" IP стоящий за роутером Asus 500 gp Vp 2 (будет выступать в роли сервера) и компьютер находящийся за натом с роутером Asus 500 gp V2 со свисток 4g Мегафон.
Что есть: два компьютера работают в интернет (то есть интернет соединения работают), на обоих роутерах поднят OpenVPN (то есть установлены и запущены). К компютеру с белым IP есть доступ из вне по telnet и через web интерфейс. К компьтеру с 3g модемом есть доступ из локалки по telnet и через web интерфейс.
Что хотелось бы: настроить что бы 2 компьютера соединялись между собой. Сам в линуксе совсем ноль. Настроил 2 роутера только по описаниям на форуме. Сидеть дальше не могу, поскольку такой уровень познаний выходит за рамки моего мозга. Готов оплатить за помощь в настройке сети.
Если речь идет всего о двух компьютерах, то я бы настроил на "сервере" openvpn в режиме сервера, на его роутере пробросил бы соответствующий порт, а на "клиенте" настроил бы openvpn в режиме клиента. Пошаговых руководств в сети навалом. Вот неплохое http://forum.ixbt.com/topic.cgi?id=14:40906
А с роутеров openvpn убрал бы.
WL500gp 1.9.2.7-d-r2624, Optware.
Так я это и прошу и готов за это заплатить. Моих познаний настроить маршрутизацию не хватает. А так же надо открыть порты.
Я как раз так и делаю. На сервере запустил Open VPN в режиме сервера, на клинте запустил OpenVPN в режиме клиента, но связи нет. как настроить не знаю, поскольку в Линуксе ноль. Какие команды запускать и что смотреть подскажите.
Code:Конфиг клиента: client dev tun proto udp remote "мой IP" 1194 resolv-retry infinite nobind persist-key persist-tun ca /opt/etc/openvpn/keys/ca.crt cert /opt/etc/openvpn/keys/avtomoda.crt key /opt/etc/openvpn/keys/avtomoda.key ns-cert-type server comp-lzo verb 3 log-append /opt/var/log/openvpn/openvpn.log status /opt/var/log/openvpn/status.log Конфиг сервера: dev tun tls-server server 192.168.255.0 255.255.255.0 ifconfig 192.168.255.1 192.168.255.2 client-config-dir ccd route 192.168.255.0 255.255.255.0 #IP Range of VPN route 192.168.2.0 255.255.255.0 #IP Range of Earth push .route 192.168.1.0 255.255.255.0. #Say to clients that Shmelev has 192.168.1.0/24 LAN #keys dh /opt/etc/openvpn/keys/dh1024.pem ca /opt/etc/openvpn/keys/ca.crt cert /opt/etc/openvpn/keys/shmelev.crt key /opt/etc/openvpn/keys/shmelev.key #Do not change unless know what you are doing client-to-client port 1194 proto udp user nobody group nobody comp-lzo persist-tun persist-key verb 3 log-append /opt/var/log/openvpn/openvpn.log status /opt/var/log/openvpn/status.log keepalive 10 60
Last edited by vectorm; 05-09-2012 at 11:53. Reason: Простыни оборачиваем в теги.
Товарищи, помогите понять как на альтернативной прошивке поднять туннель PPTP/L2TP до железки D-link DFL260e.
Что имею.
1) Asus RT-N10U B прошитый RT-N10U-1.9.2.7-rtn-r4667.trx
2) Мегафон модем E392 подключен к п.1 (IP адрес само собой "серый", услугу выделенного динамического пока не включал.. да и не надо оно имхо)
3) D-Link DFL-260e с настроенным на нём сервером PPTP/L2TP, стоит в центральном офисе, IP белый - виндовые клиенты отлично подключаются
Можно ли штатными средствами альтернативной прошивки поднять туннель от асуса к длинку?
Нужно ли ставить OpenVPN или что то подобное? Может решение где то на поверхности?
Задача иметь доступ к устройствам за асусом и наоборот.
Да, и на случай установки доп софта - в Е392 есть разъем под microSD, имеет смысл пробовать туда что то ставить или сразу думать об отдельной флэшке через какой нибудь хаб?
Заранее спасибо.
Last edited by KAM-; 02-12-2012 at 23:02.
Требуется помощь коллективного разума!
Имею RT-N16, в который раньше был воткнут 3G модем от мегафона. На RT-N16 был настроен OpenVPN клиент, который отлично работал. Заменил модем на Yota LTE и началась свистопляска: клиент подключается, но при нагрузке на канал через пару минут пакеты идти перестают (хотя не vpn соединения работают) и клиент переподключается по таймауту. MTU, подумал Штирлиц. Уменьшил и на сервере и на клиенте до 1300. Те же грабли.
Перенес сервер с 80-го порта на 1196 - стало еще хуже, рвется мгновенно. При этом, если с того же сервера качать файл не через VPN, а по фтп, то все отлично.
Версию с питанием модема проверил - воткнул его в USB хаб с БП. Не помогло.
При этом в логе RT-N16 все чисто - не видно никаких переподключений йотовского модема.
Что это может быть? Готов рассмотреть и проверить любые гипотезы.
Может ли вообще OpenVPN работать поверх Yota LTE модема или тот своим натом все зарезает?
Пока конфиги не стал выкладывать, дабы не засорять форум. Готов выложить что угодно по мере необходимости.
Всем заранее спасибо!
Целый день мучений и глюк, наконец, побежден, но причины его появление все еще не ясны.
Поменял сервер - соединение падает под нагрузкой.
Поменял устройство с TAP на TUN и настроил маршрутизацию - соединение все равно падает под нагрузкой.
Поменял клиента на ноут с дебианом, но с одинаковыми настройками OpenVPN. РАБОТАЕТ! Никаких проблем и разрывов. Значит дело в асусе?
Начал копать дальше. Перенес OpenVPN с TCP на UDP - проблема исчезла!
Т.е. при использовании модема Yota LTE невозможно поднять OpenVPN по TCP на асусе (прошивка 4667)? При этом, если канал не загружать (ничем кроме пингов), то он у меня спокойно продержался всю ночь, до первой попытки перекинуть файл. В чем может быть причина? Проблема явно на стороне асуса, т.к. под дебианом все работало поверх TCP без проблем.
Сейчас с UDP соединение (тьфу*3) стабильное.
Last edited by Omega; 17-12-2012 at 12:26. Reason: поддержка Yota LTE появилась только с -rtn r4001 :)
А где у йоты лежат прошивки? Сейчас модем с прошивкой 3.7
По питанию проблем нет - см. выше: пытался использовать как напрямую, так и через активный хаб, с кабелем и без.
В dmesg отваливания модема нет и при отваливании VPN пинги в не VPN сеть (например .ru) идут стабильно.