OpenWRT openvpn сервер - где шифруется соединение

network, openvpn, openwrt, routing, роутер

0

2

Алоха. Дома получил постоянный внешний айпишник. Хочу сделать из роутера на OpenWRT openvpn сервер для шифрования подключения к ресурсам локалки извне. Вопрос следующий. Если я, находясь за пределами домашней локалки (для примера 192.168.0.0/24), но подключившись с ноутбука к openvpn серверу на домашнем роутере (для примера адрес у ноутбука в openvpn сети 10.8.8.2), обращаюсь через маскарадинг на роутере (для примера с 10.8.8.100 на 192.168.0.10), то на каком сегменте соединения подключение будет зашифровано? Когда ноут будет получать ответ от 192.168.0.10, он его получил через openvpn туннель (то есть маршрут 192.168.0.10 > 192.168.0.1 > 10.8.8.1 > 10.8.8.2) или нет?

Ссылка

←	снова к теме cursor freezing на sway

Установщик EndeavourOS - камень в огород Ubuntu

→

Юзай wireguard

~~Jopich1~~ ☆
(20.04.21 09:18:50 MSK)

Ответ на: комментарий от Jopich1 20.04.21 09:18:50 MSK

Каким образом он к моему вопросу относится?

xLithium
(20.04.21 09:19:20 MSK) автор топика

Ответ на: комментарий от Jopich1 20.04.21 09:18:50 MSK

Юзай wireshark же, ну!

Khnazile ★★★★★
(20.04.21 09:39:21 MSK)

Распиши, где и какие подсети у тебя, а то в твоих описаниях чёрт ногу сломит.

Пакет идёт без шифрования, когда покидает tun, и роутер делает с ним маскарад, чтобы в локалке устройства от неизвестной сети не офигели.

Radjah ★★★★★
(20.04.21 09:45:03 MSK)

Ответ на: комментарий от Khnazile 20.04.21 09:39:21 MSK

Wireshark я могу попробовать, когда у меня будет готовый сетап. Его пока нет. Целесообразность такого сетапа зависит от моего вопроса. Может мне его вообще нет смысл делать.

xLithium
(20.04.21 09:45:57 MSK) автор топика

Ссылка

Ответ на: комментарий от xLithium 20.04.21 09:19:20 MSK

Прямым, это впн будущего, грубо говоря. Погугли, но в ядре оно появилось с 5.10, у wrt емнип, оно ниже сейчас. И это, у тебя роутер не взорвется?) Лучше используй его по назначению, а под сервак или заюзайй старый комп (если нет в закромах - на авито полно за копейки), либо малинку какую-нибудь.

Dog ★★★
(20.04.21 09:49:14 MSK)

Ответ на: комментарий от Radjah 20.04.21 09:45:03 MSK

Исходные:

Локалка - 192.168.0.0/24.

ВПН - 10.8.8.0/24.

Ноутбук за пределами локалки, клиент ВПН - 10.8.8.2.

Маскарадинг на роутере - с 10.8.8.100 на 192.168.0.10.

Что происходит:

Обращаюсь с ноута к 10.8.8.100, ожидая установить соединение с 192.168.0.10. Соединение идет:

10.8.8.2 > 10.8.8.1 > 10.8.8.100 > 192.168.0.1 > 192.168.0.10

На этом этапе все понятно, что соединение от ноута, который вне локалки 192.168.0.0/24, завернуто в впн туннель, то есть зашифровано.

Дальше от 192.168.0.10 нужно получить ответ ноуту. Как идет маршрут этого ответа? Мое предположение:

192.168.0.10 > 192.168.0.1 > 10.8.8.1 > 10.8.8.2

В таком случае после роутера-сервера ответ так же завернут в туннель, а значит зашифрован. Я правильно предполагаю?

xLithium
(20.04.21 09:52:45 MSK) автор топика

Ответ на: комментарий от Dog 20.04.21 09:49:14 MSK

Что за бред ты несешь? Каким образом это относится к моему вопросу, а не выдуманному тобой вопросу? Если тебе надо поговорить про ваергард - создай тему и общайся.

xLithium
(20.04.21 09:54:07 MSK) автор топика

Ответ на: комментарий от xLithium 20.04.21 09:52:45 MSK

Забыл дописать, что роутер здесь на 192.168.0.1 и 10.8.8.1.

xLithium
(20.04.21 09:54:59 MSK) автор топика

Ссылка

Ответ на: комментарий от xLithium 20.04.21 09:54:07 MSK

Ок, удачи)

Dog ★★★
(20.04.21 09:55:22 MSK)

Ссылка

Ответ на: комментарий от xLithium 20.04.21 09:52:45 MSK

Непонятно, зачем тут маскарадинг.

Khnazile ★★★★★
(20.04.21 09:56:17 MSK)

Ответ на: комментарий от Khnazile 20.04.21 09:56:17 MSK

Разве не нужен? Ноут же не клиент локалки 192.168.0.0/24. Ему не известен маршрут до нее. Как я могу обратиться к клиентам этой локалки с ноута через впн? Можно конечно проброс порта на роутере делать, допустим с 10.8.8.1:55555 на 192.168.0.10:55555, но если нужно 100 портов, на каждый порт создавать правило не удобно.

xLithium
(20.04.21 09:59:17 MSK) автор топика

Ответ на: комментарий от xLithium 20.04.21 09:59:17 MSK

Обратится через маршрут от openvpn. Хотя бы через default gateway, который популярные клиенты автоматом приписывают, если им не указать обратное.

Khnazile ★★★★★
(20.04.21 10:07:34 MSK)

Ответ на: комментарий от Khnazile 20.04.21 10:07:34 MSK

Обратится через маршрут от openvpn

Если я правильно понял ты имеешь ввиду настроить маршрут на ноуте, что обращение к подсети 192.168.0.0/24 происходит через интерфейс tun и шлюз 10.8.8.1?

xLithium
(20.04.21 10:12:47 MSK) автор топика

Ответ на: комментарий от xLithium 20.04.21 09:54:07 MSK

Не обращай внимания. Здесь половина регистрантов пишут в тред чтобы написать, но так как по теме ответить не могут, пытаются пропихнуть свои предпочтения (а в итоге выяснится что и в них они некомпетентны, лол).

Но, как бы я не хотел, у Wireguard есть одно значительное преимущество перед OpenVPN — он жрёт гораздо меньше ресурсов (а значит вытягивает больше клиентов одновременно, что имеет смысл на слабых девайсах типа роутеров).

По сабжу: не понятно о каком конкретно соединении идёт речь, и на каком этапе шифрование интересует.

mord0d ★★★★★
(20.04.21 10:14:40 MSK)

Ответ на: комментарий от xLithium 20.04.21 10:12:47 MSK

Обычно так и делают, но как минимум клиент под винду и network manager сами прописываются маршрут 0.0.0.0/0, если не запретить им это делать в настройках, даже если на сервере отправка такого маршрута отключена.

Khnazile ★★★★★
(20.04.21 10:17:27 MSK)

Ответ на: комментарий от mord0d 20.04.21 10:14:40 MSK

жрёт гораздо меньше ресурсов

У меня от силы 3 клиента одновременно и траффик не интенсивный. Вполне должен вытянуть. Даже если каким-то чудом не вытянет, будут смотреть на другие технологии.

По сабжу: не понятно о каком конкретно соединении идёт речь, и на каком этапе шифрование интересует.

Меня интересует этап ответа от 192.168.0.10 на ноут. Идет ли он по туннелю или он ищет другие маршруты и оказывается незашифрованным?

xLithium
(20.04.21 10:23:06 MSK) автор топика

Ответ на: комментарий от Khnazile 20.04.21 10:17:27 MSK

А как в таком случае работает роутер? Он без доп. настройки понимает, что если я как клиент сети 10.8.8.0/24 обращаюсь к нему как к шлюзу для доступа к сети 192.168.0.0/24, то туда меня и надо направить? Без натинга или проброса портов?

xLithium
(20.04.21 10:24:20 MSK) автор топика

Ответ на: комментарий от xLithium 20.04.21 10:24:20 MSK

На роутере маршрут на tun интерфейс. Что-то типа 10.8.8.0/24 via tun0, он сам передаст пакеты куда надо, если конечно это не запрещено на файерволе. Но тогда ничего не будет работать и с nat.

Khnazile ★★★★★
(20.04.21 10:29:05 MSK)

Ответ на: комментарий от xLithium 20.04.21 09:52:45 MSK

Маскарадинг на роутере - с 10.8.8.100 на 192.168.0.10.

Как-то так должно получиться в случае маскарада, если ничего не путаю.

Запрос летит на 10.8.8.100, или какой там default gw у туннеля.

src-адрес пакета сменится на 192.168.0.10.

Ответит прилетит на 192.168.0.10.

dst-адрес ответа сменится на 10.8.8.2.

Radjah ★★★★★
(20.04.21 11:23:31 MSK)

Ссылка

Ответ на: комментарий от Khnazile 20.04.21 10:29:05 MSK

Так тоже можно. У меня такая схема работает. На сервере прописаны пуши маршрутов в локалку для клиентов, а клиенты в локалке и так будут кидать пакеты до неизвестных адресов в default gw, который роутер и сервер openvpn.

Radjah ★★★★★
(20.04.21 11:28:48 MSK)

Ответ на: комментарий от xLithium 20.04.21 10:23:06 MSK

Идет ли он по туннелю или он ищет другие маршруты и оказывается незашифрованным?

Зависит от того как у тебя настроен маршрут. Магии не бывает. ☺

mord0d ★★★★★
(20.04.21 13:02:58 MSK)

Ссылка

Khnazile, Radjah, спасибо за разъяснения. Схема более-менее сложилась. Ответ на мой вопрос исходя из пояснений - да, в обратную сторону пакеты также идут через туннель, траффик шифруется. Буду ставить openwrt и настраивать, заодно проверю ваершарком. Если что, напишу сюда.