Skocz do zawartości
luqa4fun

DSM problem z openVPN

Oceń temat:

Rekomendowane odpowiedzi

luqa4fun

Witam

 

mam problem z połączeniem się z zewnątrz przez open VPN, posiadam dwa router, przekierowane na jednym i drugim port 1194, zewnętrzne ip DSL z orange, w opcjach nas włączona opcja VPN, nadane uprawnienia użytkownikowi, pobrana konfiguracja (3 pliki), dodałem moje IP, przy próbie połączania wyskakuje okno logowania, wpisuje dane (próbowałem dwóch użytkowników) i niestety nie łączy się.

Tue Mar 17 15:36:50 2015 OpenVPN 2.3.6 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Mar  4 2015
Tue Mar 17 15:36:50 2015 library versions: OpenSSL 1.0.1l 15 Jan 2015, LZO 2.08
Tue Mar 17 15:37:01 2015 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Tue Mar 17 15:37:01 2015 UDPv4 link local (bound): [undef]
Tue Mar 17 15:37:01 2015 UDPv4 link remote: [AF_INET]moje_ip:1194
Tue Mar 17 15:38:01 2015 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Tue Mar 17 15:38:01 2015 TLS Error: TLS handshake failed
Tue Mar 17 15:38:01 2015 SIGUSR1[soft,tls-error] received, process restarting
Edytowane przez luqa4fun

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
house

i drugim port 1194

1194/udp ? jeśli przesuniesz hosta z openvpn do dmz na drugim routerze i zmienisz przekierowanie portu to coś się zmienia ? zrestartuj nas'a, włącz i wyłącz vpn server i pobierz jeszcze raz pliki konfiguracyjne.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
luqa4fun

 jeśli przesuniesz hosta z openvpn do dmz na drugim routerze i zmienisz przekierowanie portu to coś się zmienia ?

nie bardzo rozumiem to pytanie, przekierowalem port 5000 do zarządzania przez www i działa, chciałbym jednak bardziej bezpieczniej przez openvpna

 

TCP/UDP

restart, włączenie wyłączenie, pobranie nowej konfiguracji nie pomogło, nadal ten sam błąd

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
house

przekierowałeś port http do DSM a do OpenVPN który?
openit_1426622599__2015-03-17_210235.png

Jeśli zmienisz port openvpn na jakikolwiek inny ale tcp również nie działa?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
shibby

Tue Mar 17 15:38:01 2015 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)

Tue Mar 17 15:38:01 2015 TLS Error: TLS handshake failed

 

ewidentny problem z certyfikatami. Prawdopodobnie źle wygenerowane/podpisane.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
luqa4fun

port na http mam przekierowany 5000 (dostęp przez przeglądarkę), działa cały czas

port do openvpn przekierowany 1194, nie łączy się, próbowałem łączyć się z rożnych miejsc (tzn. sieci)

w routerach zaznaczone tcp/udp w obu przypadkach

 

nie mam innego pomysłu na certyfikaty, może odinstaluje vpn i jeszcze raz zainstaluje, pobierałem kilka razy paczkę konfiguracyjną

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
house

ewidentny problem z certyfikatami.

Moim zdaniem z handshake po udp przez 2 nat'y :

 

(check your network connectivity)

 

DSM zawsze generuje je poprawnie zarówno dla https (webgui) jak i openvpn - nigdy nie miałem z tym problemu. Działa bezproblemowo nawet na androidzie. 

 

port do openvpn przekierowany 1194, nie łączy się, próbowałem łączyć się z rożnych miejsc (tzn. sieci)

jak przekierujesz jedynie 1194/TCP i ustawisz taki sam port w DSM również nie działa ? jak się łączysz - pobierasz pliki ca.crt i openvpn.ovpn (wpisując adres WAN pierwszego routera w pliku openvpn.ovpn przed numerem portu) i wrzucasz je do C:\Program Files\OpenVPN\config ?

przenieś NAS'a na chwilę do dmz na drugim routerze i zmień przekierowanie portu na pierwszym i sprawdź czy się połączy. 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
luqa4fun

jak przekierujesz jedynie 1194/TCP i ustawisz taki sam port w DSM również nie działa ? jak się łączysz - pobierasz pliki ca.crt i openvpn.ovpn (wpisując adres WAN pierwszego routera w pliku openvpn.ovpn przed numerem portu) i wrzucasz je do C:\Program Files\OpenVPN\config ?

przenieś NAS'a na chwilę do dmz na drugim routerze i zmień przekierowanie portu na pierwszym i sprawdź czy się połączy. 

 

 

 

tak również nie działa, pliki robię jak piszesz

mam trochę ograniczone możliwości kombinacji z routerami na tą chwilę bo to stoi w zaprzyjaźnionej firmie w ciągłym użytku, drugi router do którego jest podpięty synology jest w cieci do której maja dostęp wszyscy w firmie (LAN. WiFi), pierwszy router dostarczony przez orange służy tylko do usługi DSL, nie było możliwości skonfigurowania DSLa na tplinku

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
house

mam trochę ograniczone możliwości kombinacji z routerami na tą chwilę bo to stoi w zaprzyjaźnionej firmie w ciągłym użytku

kiepsko :/

 

pierwszy router dostarczony przez orange służy tylko do usługi DSL

a możesz wpiąć się za 1 routerem i sprawdzić czy połączysz się przez jego NAT ? poza tym po co drugi gateway w ramach jednej firmy ? Co to za urządzenie ?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
luqa4fun

kiepsko :/

 

 

 

a możesz wpiąć się za 1 routerem i sprawdzić czy połączysz się przez jego NAT ? poza tym po co drugi gateway w ramach jednej firmy ? Co to za urządzenie ?

 

spróbuje tak zrobić przy następnej wizycie u nich

nawet nie potrafię powtórzyć nazwy routera od orange (Ciip... coś takiego), kiepski jakościowo, głównie chodzi o zasięg, mają tplinka z trzema antenami a ten już ogarnia całą firmę z zasięgiem

Edytowane przez luqa4fun
  • Lubię 1

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się


  • Przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników, przeglądających tę stronę.

  • Podobna zawartość

    • Hictis1935
      Przez Hictis1935
      Witam,
      posiadam router ASUS RT-AC68U, firmware Merlin 380.68_4 i światłowód 600 Mbit/s.
      Przy podłączeniu kabla WAN bezpośrednio do karty sieciowej uzyskuję gwarantowaną prędkość.
      W momencie poprowadzenie sieci przez router, maksymalne osiągi oscylują w granicach 500 Mbit/s.
      CPU Core 1 osiąga 100%, Core 2 jest prawie nie używany.
      QoS, Bandwitch Monitor, Air Control i inne dodatki są off.  W zakładce info WAN i Lan 1 Gbps.
      Próbowałem różne ustawienia w zakłade Switch Control (Enable Jumbo Frame, Spanning-Tree Protocol, NAT Acceleration ON/OFF) ale to nic nie pomaga.
       
      Udało mi się znaleźć informacje, że niektórzy na tym routerze wyciągają prędkości > 900 Mbit/s.
      Proszę  pomoc, lub sugestie co jeszcze mógł bym sprawdzić aby w pełni wykorzystać możliwości ISP.
    • bischop
      Przez bischop
      Hi
      On my router:
      Tomato v1.28.0000 MIPSR2-2.4-123 K26 USB AIO ======================================================== Welcome to the Netgear WNR3500L v2 [TomatoUSB] # uname -a Linux unknown 2.6.22.19 #4 Wed Oct 29 11:33:28 CET 2014 mips GNU/Linux got problem with DDoS attack. From time to time - usually every day between 6 p.m. - 01:00 a.m. - somebody is attacking. I`m not sure he is attacking from only one IP address or many.
      I got no proper rules for my iptables and i`m not sure exacly how to defend from this kind of attack.
      I think this kind of attack is not on TCP but UDP protocol. Why? becouse i think somebody is trying to DDoS my TeamSpeak v3 server behind that router. If TeamSpeak is turned off - there are not DDoS attack at all, my router is alive and not under heavy traffic.
      Using iptables && conntrack got a problem, becouse my iptables rules are not accepted becouse i got no conntrack :
      # iptables -t mangle -A PREROUTING -m conntrack --ctstate INVALID -j DROP iptables v1.3.8: Couldn't load match `conntrack':File not found Try `iptables -h' or 'iptables --help' for more information.  
       
       
      That is weird becouse i think i got it:
      # lsmod | grep conntrack nf_conntrack_h323 37152 0 nf_conntrack_ipv6 14176 3 # modprobe -l | grep conntrack /lib/modules/2.6.22.19/kernel/net/netfilter/nf_conntrack_h323.ko /lib/modules/2.6.22.19/kernel/net/netfilter/nf_conntrack_proto_gre.ko /lib/modules/2.6.22.19/kernel/net/netfilter/nf_conntrack_sip.ko /lib/modules/2.6.22.19/kernel/net/ipv6/netfilter/nf_conntrack_ipv6.ko /lib/modules/2.6.22.19/kernel/net/netfilter/nf_conntrack_ftp.ko /lib/modules/2.6.22.19/kernel/net/netfilter/nf_conntrack_pptp.ko /lib/modules/2.6.22.19/kernel/net/netfilter/nf_conntrack_rtsp.ko So if i got it - i dont know how to load this module for IPv4.
      # ll -a /lib/modules/2.6.22.19/kernel/net/ipv4/ drwxr-xr-x 3 root root 191 Oct 29 2014 ./ drwxr-xr-x 9 root root 105 Oct 29 2014 ../ -rw-r--r-- 1 root root 7704 Oct 29 2014 ah4.ko -rw-r--r-- 1 root root 9288 Oct 29 2014 esp4.ko -rw-r--r-- 1 root root 9160 Oct 29 2014 ipcomp.ko drwxr-xr-x 2 root root 593 Oct 29 2014 netfilter/ -rw-r--r-- 1 root root 5344 Oct 29 2014 tcp_vegas.ko -rw-r--r-- 1 root root 5176 Oct 29 2014 tunnel4.ko -rw-r--r-- 1 root root 3284 Oct 29 2014 xfrm4_mode_beet.ko -rw-r--r-- 1 root root 2388 Oct 29 2014 xfrm4_mode_transport.ko -rw-r--r-- 1 root root 3292 Oct 29 2014 xfrm4_mode_tunnel.ko -rw-r--r-- 1 root root 3956 Oct 29 2014 xfrm4_tunnel.ko  
       modprobe -a /lib/modules/2.6.22.19/kernel/net/ipv4/  <doesnt exist nf_conntrack_ipv4.ko>
       
       
      So my question is how to load conntrack ipv4 to get iptables working with it for udp?
      How to set proper rulez for droppig udp traffic by iptables?
      How to configure my router to defend that DDoS?
       
    • DominikP
      Przez DominikP
      Mam w firmie nowego DS214+, na który wgrana jest baza programu do obsługi warsztatu samochodowego. Według producenta tego programu na serwerze nie działa blokowanie rekordów w Sambie i przez to dwie osoby mogły w każdej chwili poprawiać te same dane i serwer nie protestował. Prowadziło to oczywiście do utraty spójności. Czy da się w jakiś sposób włączyć blokowanie tych rekordów ?

openitforum.pl

Forum poświęcone przesyłaniu i przechowywaniu danych w małej sieci. Prezentujemy testy urządzeń oraz pomagamy w ich obsłudze i konfiguracji.
×

Powiadomienie o plikach cookie

Kontynuując przeglądanie strony, wyrażasz zgodę na używanie przez nas plików cookies. Więcej informacji zawiera nasza Polityka prywatności