LINUX.ORG.RU

OpenWRT openvpn сервер - где шифруется соединение

 , , , ,


0

2

Алоха. Дома получил постоянный внешний айпишник. Хочу сделать из роутера на OpenWRT openvpn сервер для шифрования подключения к ресурсам локалки извне. Вопрос следующий. Если я, находясь за пределами домашней локалки (для примера 192.168.0.0/24), но подключившись с ноутбука к openvpn серверу на домашнем роутере (для примера адрес у ноутбука в openvpn сети 10.8.8.2), обращаюсь через маскарадинг на роутере (для примера с 10.8.8.100 на 192.168.0.10), то на каком сегменте соединения подключение будет зашифровано? Когда ноут будет получать ответ от 192.168.0.10, он его получил через openvpn туннель (то есть маршрут 192.168.0.10 > 192.168.0.1 > 10.8.8.1 > 10.8.8.2) или нет?

Распиши, где и какие подсети у тебя, а то в твоих описаниях чёрт ногу сломит.

Пакет идёт без шифрования, когда покидает tun, и роутер делает с ним маскарад, чтобы в локалке устройства от неизвестной сети не офигели.

Radjah ★★★★★ ()
Ответ на: комментарий от Khnazile

Wireshark я могу попробовать, когда у меня будет готовый сетап. Его пока нет. Целесообразность такого сетапа зависит от моего вопроса. Может мне его вообще нет смысл делать.

xLithium ()
Ответ на: комментарий от xLithium

Прямым, это впн будущего, грубо говоря. Погугли, но в ядре оно появилось с 5.10, у wrt емнип, оно ниже сейчас. И это, у тебя роутер не взорвется?) Лучше используй его по назначению, а под сервак или заюзайй старый комп (если нет в закромах - на авито полно за копейки), либо малинку какую-нибудь.

Dog ()
Ответ на: комментарий от Radjah

Исходные:

Локалка - 192.168.0.0/24.

ВПН - 10.8.8.0/24.

Ноутбук за пределами локалки, клиент ВПН - 10.8.8.2.

Маскарадинг на роутере - с 10.8.8.100 на 192.168.0.10.

Что происходит:

Обращаюсь с ноута к 10.8.8.100, ожидая установить соединение с 192.168.0.10. Соединение идет:

10.8.8.2 > 10.8.8.1 > 10.8.8.100 > 192.168.0.1 > 192.168.0.10

На этом этапе все понятно, что соединение от ноута, который вне локалки 192.168.0.0/24, завернуто в впн туннель, то есть зашифровано.

Дальше от 192.168.0.10 нужно получить ответ ноуту. Как идет маршрут этого ответа? Мое предположение:

192.168.0.10 > 192.168.0.1 > 10.8.8.1 > 10.8.8.2

В таком случае после роутера-сервера ответ так же завернут в туннель, а значит зашифрован. Я правильно предполагаю?

xLithium ()
Ответ на: комментарий от Dog

Что за бред ты несешь? Каким образом это относится к моему вопросу, а не выдуманному тобой вопросу? Если тебе надо поговорить про ваергард - создай тему и общайся.

xLithium ()
Ответ на: комментарий от Khnazile

Разве не нужен? Ноут же не клиент локалки 192.168.0.0/24. Ему не известен маршрут до нее. Как я могу обратиться к клиентам этой локалки с ноута через впн? Можно конечно проброс порта на роутере делать, допустим с 10.8.8.1:55555 на 192.168.0.10:55555, но если нужно 100 портов, на каждый порт создавать правило не удобно.

xLithium ()
Ответ на: комментарий от xLithium

Обратится через маршрут от openvpn. Хотя бы через default gateway, который популярные клиенты автоматом приписывают, если им не указать обратное.

Khnazile ★★★★★ ()
Ответ на: комментарий от Khnazile

Обратится через маршрут от openvpn

Если я правильно понял ты имеешь ввиду настроить маршрут на ноуте, что обращение к подсети 192.168.0.0/24 происходит через интерфейс tun и шлюз 10.8.8.1?

xLithium ()
Ответ на: комментарий от xLithium

Не обращай внимания. Здесь половина регистрантов пишут в тред чтобы написать, но так как по теме ответить не могут, пытаются пропихнуть свои предпочтения (а в итоге выяснится что и в них они некомпетентны, лол).

Но, как бы я не хотел, у Wireguard есть одно значительное преимущество перед OpenVPN — он жрёт гораздо меньше ресурсов (а значит вытягивает больше клиентов одновременно, что имеет смысл на слабых девайсах типа роутеров).

По сабжу: не понятно о каком конкретно соединении идёт речь, и на каком этапе шифрование интересует.

mord0d ★★★★★ ()
Ответ на: комментарий от xLithium

Обычно так и делают, но как минимум клиент под винду и network manager сами прописываются маршрут 0.0.0.0/0, если не запретить им это делать в настройках, даже если на сервере отправка такого маршрута отключена.

Khnazile ★★★★★ ()
Ответ на: комментарий от mord0d

жрёт гораздо меньше ресурсов

У меня от силы 3 клиента одновременно и траффик не интенсивный. Вполне должен вытянуть. Даже если каким-то чудом не вытянет, будут смотреть на другие технологии.

По сабжу: не понятно о каком конкретно соединении идёт речь, и на каком этапе шифрование интересует.

Меня интересует этап ответа от 192.168.0.10 на ноут. Идет ли он по туннелю или он ищет другие маршруты и оказывается незашифрованным?

xLithium ()
Ответ на: комментарий от Khnazile

А как в таком случае работает роутер? Он без доп. настройки понимает, что если я как клиент сети 10.8.8.0/24 обращаюсь к нему как к шлюзу для доступа к сети 192.168.0.0/24, то туда меня и надо направить? Без натинга или проброса портов?

xLithium ()
Ответ на: комментарий от xLithium

На роутере маршрут на tun интерфейс. Что-то типа 10.8.8.0/24 via tun0, он сам передаст пакеты куда надо, если конечно это не запрещено на файерволе. Но тогда ничего не будет работать и с nat.

Khnazile ★★★★★ ()
Ответ на: комментарий от xLithium

Маскарадинг на роутере - с 10.8.8.100 на 192.168.0.10.

Как-то так должно получиться в случае маскарада, если ничего не путаю.

Запрос летит на 10.8.8.100, или какой там default gw у туннеля.

src-адрес пакета сменится на 192.168.0.10.

Ответит прилетит на 192.168.0.10.

dst-адрес ответа сменится на 10.8.8.2.

Radjah ★★★★★ ()
Ответ на: комментарий от Khnazile

Так тоже можно. У меня такая схема работает. На сервере прописаны пуши маршрутов в локалку для клиентов, а клиенты в локалке и так будут кидать пакеты до неизвестных адресов в default gw, который роутер и сервер openvpn.

Radjah ★★★★★ ()
Ответ на: комментарий от xLithium

Идет ли он по туннелю или он ищет другие маршруты и оказывается незашифрованным?

Зависит от того как у тебя настроен маршрут. Магии не бывает. ☺

mord0d ★★★★★ ()

@Khnazile, @Radjah, спасибо за разъяснения. Схема более-менее сложилась. Ответ на мой вопрос исходя из пояснений - да, в обратную сторону пакеты также идут через туннель, траффик шифруется. Буду ставить openwrt и настраивать, заодно проверю ваершарком. Если что, напишу сюда.

xLithium ()
Ответ на: комментарий от Radjah

Плюсую.

У меня работало также, через пуши прописаные в конфиге openvpn сервера.

matcha ()
Ответ на: комментарий от Dog

тебя спрашивают где какой трафик будет ходить, а ты отвечаешь что нужен другой VPN. От того что он сменит VPN его вопрос ни на йоту не изменится.

zgen ★★★★★ ()
Для того чтобы оставить комментарий войдите или зарегистрируйтесь.