Trädvy Permalänk
Medlem
Plats
Karlstad
Registrerad
Jan 2012

OpenVpn - Linksys WRT1900AC

Hej!

Jag har ett problem med min OpenVpn-server som jag har konfigurerat på min router (WRT1900AC). Huvudproblemet är egentligen att det inte går att ansluta till servern utifrån.

Inne i nätverket går det att ansluta till servern, både med min Macbook och Windowsdator MEN! När jag försöker att öppna port 1194 i routern för att kunna ansluta utifrån så kan jag inte längre ansluta inifrån nätverket. Jag kan heller inte ansluta utifrån! Vad kan detta bero på?

Jag använder OpenVpn client med configs som jag exporterat från routern.

/Linus

Trädvy Permalänk
Medlem
Plats
Karlstad
Registrerad
Jan 2012

Värt att nämna är också att vilket port jag än försöker med så blir resultatet detsamma!

Trädvy Permalänk
Medlem
Plats
Karlstad
Registrerad
Dec 2002
Skrivet av Esrakuf:

Värt att nämna är också att vilket port jag än försöker med så blir resultatet detsamma!

Du ska öppna 1194 udp trafik. När du ansluter inifrån använder du exteran ip antar jag? Det beror isf på s k loopback. Inte alla routrar som har stöd för det. Du kan behöva aktivera det. Det gör så att du kan ansluta uifrån, inifrån så att säga

Kan du kolla i loggen när du försöker ansluta om det står något där? Samt kolla o loggen på routern om det står något där?
Kan också vara så att den är inställd på lokalt ip i configen? Kan du posta confen här?

[size="1"]*signatur raderad*, referrallänkar behöver vi inte gömma i signaturer (§8 marknadsföring)[/size] Till MOD: Ditt smartskafft, man gömmer inte något som är helt synligt!

Trädvy Permalänk
Medlem
Plats
Karlstad
Registrerad
Jan 2012
Skrivet av fragwolf:

Du ska öppna 1194 udp trafik. När du ansluter inifrån använder du exteran ip antar jag? Det beror isf på s k loopback. Inte alla routrar som har stöd för det. Du kan behöva aktivera det. Det gör så att du kan ansluta uifrån, inifrån så att säga

Kan du kolla i loggen när du försöker ansluta om det står något där? Samt kolla o loggen på routern om det står något där?
Kan också vara så att den är inställd på lokalt ip i configen? Kan du posta confen här?

Servern går på TCP så då antar jag att jag ska öppna porten som TCP? Eller ska det vara UDP? När jag ansluter så ansluter jag till serveradressen = routerns externa ip. Nedan hittar du loggen, där ip:n är ersatt med "xxx.xxx.x.xxx", som är tagen ur OpenVpn client.

Fri Dec 23 00:30:00 2016 OpenVPN 2.3.14 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Dec 7 2016
Fri Dec 23 00:30:00 2016 Windows version 6.2 (Windows 8 or greater) 64bit
Fri Dec 23 00:30:00 2016 library versions: OpenSSL 1.0.2i 22 Sep 2016, LZO 2.09
Enter Management Password:
Fri Dec 23 00:30:00 2016 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Fri Dec 23 00:30:00 2016 Need hold release from management interface, waiting...
Fri Dec 23 00:30:01 2016 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Fri Dec 23 00:30:01 2016 MANAGEMENT: CMD 'state on'
Fri Dec 23 00:30:01 2016 MANAGEMENT: CMD 'log all on'
Fri Dec 23 00:30:01 2016 MANAGEMENT: CMD 'hold off'
Fri Dec 23 00:30:01 2016 MANAGEMENT: CMD 'hold release'
Fri Dec 23 00:30:10 2016 MANAGEMENT: CMD 'username "Auth" "Linus123"'
Fri Dec 23 00:30:10 2016 MANAGEMENT: CMD 'password [...]'
Fri Dec 23 00:30:10 2016 Socket Buffers: R=[65536->65536] S=[65536->65536]
Fri Dec 23 00:30:10 2016 Attempting to establish TCP connection with [AF_INET]xxx.xxx.x.xxx:1194 [nonblock]
Fri Dec 23 00:30:10 2016 MANAGEMENT: >STATE:1482449410,TCP_CONNECT,,,
Fri Dec 23 00:30:20 2016 TCP: connect to [AF_INET]xxx.xxx.x.xxx:1194 failed, will try again in 5 seconds: Connection timed out (WSAETIMEDOUT)

Trädvy Permalänk
Medlem
Registrerad
Okt 2014

Jag vet inte hur du har satt upp din OpenVPN men normalt sätter man upp ett grått nät för VPN-klienterna. Sedan har du redan ett grått-nät för ditt LAN. Misstänker vidare att servern du vill nå har ett IP i ditt LAN.

Jag sätter upp lite nät för mitt exempel
LAN 192.168.10.0/24
VPN 192.168.20.0/24
Extern IP på brandvägg/router 62.63.64.67 (ingen aning vart det går)

Jag hade satt upp en regel som tillåter trafik från VPN->LAN utan några direkta begränsningar. Det är ju bara jag som vill åt mitt nät men det går så klart att begränsa.
Sedan sitter jag ute i det vilda, kopplar upp min tunnel och sedan ansluter på serverns LAN adress. Jag bryr mig bara om det externa IP't när jag kopplar upp mig.
Sitter jag hemma på mitt LAN så ansluter jag direkt till servern och använder även här LAN adressen (jag ansluter så klart inte VPN-klienten när jag sitter på samma nät som jag vill nå)

Det är kanske något jag inte begriper i din uppsättning.

Trädvy Permalänk
Medlem
Plats
Karlstad
Registrerad
Jan 2012
Skrivet av Celebmir:

Jag vet inte hur du har satt upp din OpenVPN men normalt sätter man upp ett grått nät för VPN-klienterna. Sedan har du redan ett grått-nät för ditt LAN. Misstänker vidare att servern du vill nå har ett IP i ditt LAN.

Jag sätter upp lite nät för mitt exempel
LAN 192.168.10.0/24
VPN 192.168.20.0/24
Extern IP på brandvägg/router 62.63.64.67 (ingen aning vart det går)

Jag hade satt upp en regel som tillåter trafik från VPN->LAN utan några direkta begränsningar. Det är ju bara jag som vill åt mitt nät men det går så klart att begränsa.
Sedan sitter jag ute i det vilda, kopplar upp min tunnel och sedan ansluter på serverns LAN adress. Jag bryr mig bara om det externa IP't när jag kopplar upp mig.
Sitter jag hemma på mitt LAN så ansluter jag direkt till servern och använder även här LAN adressen (jag ansluter så klart inte VPN-klienten när jag sitter på samma nät som jag vill nå)

Det är kanske något jag inte begriper i din uppsättning.

Tack för svaret! Jag är ifrån datorn för tillfället i och med det analkande julfirandet! Ska försöka ge bra svar ändå.

1. Servern jag vill nå har ett IP i mitt LAN. Det är routerns IP jag ansluter till då servern är uppsatt med hjälp av den inkluderade funktionen i routern.

2. När du säger "sätta upp regel". Menar du sätta regler i Windows brandvägg eller menar du port forwarding i routern?

3. Jag försöker connecta till det externa ip:t utifrån LANet tyvärr fungerar det inte. Jag kan connecta inifrån nätverket, förutsatt att port 1194 INTE är forwardad i routern.

Trädvy Permalänk
Medlem
Plats
Karlstad
Registrerad
Dec 2002
Skrivet av Esrakuf:

Servern går på TCP så då antar jag att jag ska öppna porten som TCP? Eller ska det vara UDP? När jag ansluter så ansluter jag till serveradressen = routerns externa ip. Nedan hittar du loggen, där ip:n är ersatt med "xxx.xxx.x.xxx", som är tagen ur OpenVpn client.

Fri Dec 23 00:30:00 2016 OpenVPN 2.3.14 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Dec 7 2016
Fri Dec 23 00:30:00 2016 Windows version 6.2 (Windows 8 or greater) 64bit
Fri Dec 23 00:30:00 2016 library versions: OpenSSL 1.0.2i 22 Sep 2016, LZO 2.09
Enter Management Password:
Fri Dec 23 00:30:00 2016 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Fri Dec 23 00:30:00 2016 Need hold release from management interface, waiting...
Fri Dec 23 00:30:01 2016 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Fri Dec 23 00:30:01 2016 MANAGEMENT: CMD 'state on'
Fri Dec 23 00:30:01 2016 MANAGEMENT: CMD 'log all on'
Fri Dec 23 00:30:01 2016 MANAGEMENT: CMD 'hold off'
Fri Dec 23 00:30:01 2016 MANAGEMENT: CMD 'hold release'
Fri Dec 23 00:30:10 2016 MANAGEMENT: CMD 'username "Auth" "Linus123"'
Fri Dec 23 00:30:10 2016 MANAGEMENT: CMD 'password [...]'
Fri Dec 23 00:30:10 2016 Socket Buffers: R=[65536->65536] S=[65536->65536]
Fri Dec 23 00:30:10 2016 Attempting to establish TCP connection with [AF_INET]xxx.xxx.x.xxx:1194 [nonblock]
Fri Dec 23 00:30:10 2016 MANAGEMENT: >STATE:1482449410,TCP_CONNECT,,,
Fri Dec 23 00:30:20 2016 TCP: connect to [AF_INET]xxx.xxx.x.xxx:1194 failed, will try again in 5 seconds: Connection timed out (WSAETIMEDOUT)

För openvpn är det standard UDP port 1194. Den försöker ansluta via tcp vilket inte går om du inte ändrat det i konfigen. Låt det vara UDP, protokollet i sig sköter resten. Kan vara det som är problemet. Att du försöker via TCP fast det inte är inställt i servern/klienten att du ska ha det.
Kan du även posta konfigen? Glöm inte att redigera användarnamn/lösenord från konfigen. Resten behöver du låta vara.

Och du är säker på det är din WAN ip? Kolla via www.mittip.se har du sedan någon liknande dyndns-tjänst på servern så alltid ansluter med det aktuella ipt?
Som sagt, troligen beror det på att routern du har inte är inställd på loopback (för mig det heter NAT 1:1 också). Därför du inte kan ansluta inifrån med ipt utifrån. När du testar detta så Bör du testa ifrån ett annat nätver än ditt eget för att vara säker på att dina lokala inställningar inte påverkar något. Sen när du vet att det fungerar utifrån så kan du ta tag i anslutningar inifrån, varför du nu skulle vilja det

Edit: Låt openvpn använda default serien, är 10.x.x.x nät. Så ser man snabbt vad som är vpn och inte. Risken är att det är lätt att skriva fel när man gör regler om det är 192.168.10.x och 192.168.11.x ex.

[size="1"]*signatur raderad*, referrallänkar behöver vi inte gömma i signaturer (§8 marknadsföring)[/size] Till MOD: Ditt smartskafft, man gömmer inte något som är helt synligt!

Trädvy Permalänk
Medlem
Plats
Karlstad
Registrerad
Jan 2012
Skrivet av fragwolf:

För openvpn är det standard UDP port 1194. Den försöker ansluta via tcp vilket inte går om du inte ändrat det i konfigen. Låt det vara UDP, protokollet i sig sköter resten. Kan vara det som är problemet. Att du försöker via TCP fast det inte är inställt i servern/klienten att du ska ha det.
Kan du även posta konfigen? Glöm inte att redigera användarnamn/lösenord från konfigen. Resten behöver du låta vara.

Och du är säker på det är din WAN ip? Kolla via www.mittip.se har du sedan någon liknande dyndns-tjänst på servern så alltid ansluter med det aktuella ipt?
Som sagt, troligen beror det på att routern du har inte är inställd på loopback (för mig det heter NAT 1:1 också). Därför du inte kan ansluta inifrån med ipt utifrån. När du testar detta så Bör du testa ifrån ett annat nätver än ditt eget för att vara säker på att dina lokala inställningar inte påverkar något. Sen när du vet att det fungerar utifrån så kan du ta tag i anslutningar inifrån, varför du nu skulle vilja det

Edit: Låt openvpn använda default serien, är 10.x.x.x nät. Så ser man snabbt vad som är vpn och inte. Risken är att det är lätt att skriva fel när man gör regler om det är 192.168.10.x och 192.168.11.x ex.

Tack, jag postar configen så fort jag kommer hem!

Trädvy Permalänk
Medlem
Registrerad
Okt 2014
Skrivet av Esrakuf:

Tack för svaret! Jag är ifrån datorn för tillfället i och med det analkande julfirandet! Ska försöka ge bra svar ändå.

1. Servern jag vill nå har ett IP i mitt LAN. Det är routerns IP jag ansluter till då servern är uppsatt med hjälp av den inkluderade funktionen i routern.

2. När du säger "sätta upp regel". Menar du sätta regler i Windows brandvägg eller menar du port forwarding i routern?

3. Jag försöker connecta till det externa ip:t utifrån LANet tyvärr fungerar det inte. Jag kan connecta inifrån nätverket, förutsatt att port 1194 INTE är forwardad i routern.

Har missat detta, jul och sådant

1) Vad du har satt upp för NAT/PAT för din server är ointressant för din VPN-anslutning, det är för anslutningar utan VPN-klient.
2) En regel i din router, den har brandväggsfunktioner
3) Lite samma som på tvåan. Syftet med VPN är att kringgå routern så att det ser ut som du sitter på ditt LAN och jobbar fasten du sitter någon annanstans med tillgång till internet.

När du sitter ute och har anslutit din VPN-klient till din router så skall du inte bry dig om routern mer. Nu skall du kunna ansluta till din server på dess LAN-adress. Det är just det VPN betyder, det kommer upplevas som du sitter hemma i ditt LAN och jobbar. Allt du kan göra hemma kan du nu göra varifrån som helst. Det enda du skall se till är att det finns en regel i din router som tillåter trafik från VPN-klienter till ditt LAN.

Trädvy Permalänk
Medlem
Plats
Karlstad
Registrerad
Jan 2012
Skrivet av Celebmir:

Har missat detta, jul och sådant

1) Vad du har satt upp för NAT/PAT för din server är ointressant för din VPN-anslutning, det är för anslutningar utan VPN-klient.
2) En regel i din router, den har brandväggsfunktioner
3) Lite samma som på tvåan. Syftet med VPN är att kringgå routern så att det ser ut som du sitter på ditt LAN och jobbar fasten du sitter någon annanstans med tillgång till internet.

När du sitter ute och har anslutit din VPN-klient till din router så skall du inte bry dig om routern mer. Nu skall du kunna ansluta till din server på dess LAN-adress. Det är just det VPN betyder, det kommer upplevas som du sitter hemma i ditt LAN och jobbar. Allt du kan göra hemma kan du nu göra varifrån som helst. Det enda du skall se till är att det finns en regel i din router som tillåter trafik från VPN-klienter till ditt LAN.

Problemet är att jag inte kan ansluta min VPN-klient till min router utifrån. Jag skulle kunna posta loggarna från OpenVPN client om det skulle kunna vara till nytta.

Angående brandväggsregler i routern så får jag kolla närmare på det. För tillfället verkar det som om det enbart går att sätta regler för ipv6-adresser, det är iallafall så det ser ut i routerns interface.

Trädvy Permalänk
Medlem
Registrerad
Maj 2016

posta gärna loggarna

Trädvy Permalänk
Medlem
Plats
Karlstad
Registrerad
Jan 2012
Skrivet av Hansar:

posta gärna loggarna

Ska gräva fram dessa!

Trädvy Permalänk
Medlem
Plats
Karlstad
Registrerad
Jan 2012

Nu har jag lyckats ansluta till min VPN utifrån. Visade sig att jag satt på ett privat IP. Nu kommer nästa problem med att komma åt klienter "bakom router" d.v.s enheter som ligger i annat subnät. Just nu kan jag inte nå datorer på mitt LAN när jag pingar utifrån.

Det är nu jag känner att mina kunskaper inte alls räcker till, så jag får helt enkelt dyka ner och läsa på.

Trädvy Permalänk
Medlem
Registrerad
Maj 2016

beroende på hur du satt upp VPN servern så behöver du en route mellan subnäten

Trädvy Permalänk
Medlem
Plats
Karlstad
Registrerad
Jan 2012
Skrivet av Hansar:

beroende på hur du satt upp VPN servern så behöver du en route mellan subnäten

Jag la ner försöken med routerns inbyggda OpenVPN-funktion. Flashade till DD-WRT och satte upp en PPTP bara för tillfället. Ska försöka mig på att sätta upp en OpenVPN i DD-WRT någon vacker dag.