Openvpn verbinding opzetten Rpi tplink1043 - Netwerken

Vraag

zondag 30 april 2017 16:26

Acties:

Topicstarter

Beste vrienden der tweakers.

Na vele mensen gehoord te hebben over het gemak dat een vpn kan bieden ben ik overstag gegaan en wil thuis een vpn server opzetten op basis van Open vpn.

De server is een Raspberry Pi met daarop een versie van Pivpn https://raspberrytips.nl/...m-openvpn-te-installeren/

De installatie ging soepel op de Pi, en via "Open vpn connect" werkt het inmiddels prima op mijn Android telefoon, ik kan vanaf buitenaf verbinden via 4g en kan via ipadressen op mijn lokale netwerk komen... dat werk dus prima.

Ik heb tevens nog wat oudere routers liggen die ik graag als een "travel router" in wil gaan zetten, en moet neerkomen op het volgende:
Ik ben bij iemand thuis, zet die router neer plug een utp kabel in de wan van de (travel)router en wil dan graag dat deze automatisch als een vpn client een verbinding opzet naar mijn huis. (mijn router word dus via een utp kabel aangesloten op de router / modem wat bij diegene thuis staat)

Alles wat dus achter deze router gebeurt (via de 4 lan poorten en wifi) wil ik dus laten routeren via mijn thuislan.

Ik heb als travel router een Tplink TL-WR1043ND v1 gebruikt met daarop DDWRT v24SP2 ( build 03/25/13)
DIt omdat deze versie van ddwrt een open vpn client aan boord heeft en ik deze graag wil gebruiken.

(de tplink heeft een tijdelijke aparte internet verbinding die op de wan binnenkomt)

Ik heb de vpn client aanstaan in ddwrt, heb mijn wan ip adres ingevuld met kloppende poorten (1194 udp)
(encrypt=aes 256 cbc hash=sha256) Tevens heb ik het client certificaat van de Raspberry pi gekopieerd naar de "publieke server certificaat"

Na dit alles gedaan te hebben heb ik op opslaan en toepassen geklikt, en had gehoopt dat de router een verbinding zou opzetten met mijn vpn server, mooi niet dus.

Ik kom via google ook niet ver, ik krijg halve scripts in beeld en ben het even een beetje beu.... want ik weet niet waar ik het verder zoeken moet...

Wie kan mij helpen dit probleem op te lossen? / Kan me naar de goede richting te helpen.

Voip enthousiastelling, Liever een kabel dan wifi

Alle reacties

zondag 30 april 2017 17:17

Acties:

Mijzelf

had gehoopt dat de router een verbinding zou opzetten met mijn vpn server, mooi niet dus.

Wat deed hij dan wel? Logs?

Het eerste wat in mij opkomt is een IP conflict. Blijkbaar heb je je vpn server zo geconfigureerd dat hij een route pusht naar je thuis netwerk. Mocht dat thuisnetwerk hetzelfde subnet gebruiken als het lokale netwerk waar de client zich bevindt, dan gaat het niet werken.

zondag 30 april 2017 17:34

Acties:

Will_M

Intentionally Left Blank

Mijzelf schreef op zondag 30 april 2017 @ 17:17:
[...]
Wat deed hij dan wel? Logs?

Het eerste wat in mij opkomt is een IP conflict. Blijkbaar heb je je vpn server zo geconfigureerd dat hij een route pusht naar je thuis netwerk. Mocht dat thuisnetwerk hetzelfde subnet gebruiken als het lokale netwerk waar de client zich bevindt, dan gaat het niet werken.

Ik wordt hier eigenlijk al een beetje "kriegel" als ik alleen al lees dat er certificaten "gekopieerd" worden waarbij het dan ook nog eens client certificaten zijn welke eigenlijk server certificaten moeten zijn.

Volgens mij is het opzetten van een VPN juist bedoeld om een "secure" netwerk op te zetten waarbij je ook weet wíe wát isseud én waarom, toch?

Boldly going forward, 'cause we can't find reverse

zondag 30 april 2017 18:00

Acties:

shure-fan

Topicstarter

Mijzelf schreef op zondag 30 april 2017 @ 17:17:
[...]
Wat deed hij dan wel? Logs?

Het eerste wat in mij opkomt is een IP conflict. Blijkbaar heb je je vpn server zo geconfigureerd dat hij een route pusht naar je thuis netwerk. Mocht dat thuisnetwerk hetzelfde subnet gebruiken als het lokale netwerk waar de client zich bevindt, dan gaat het niet werken.

De travelrouter heb ik een subnet gegeven die ik niet gebruik (ik gebruik 192.168.0.x, de travelrouter heeft 192.168.10.x)

Logs.... Ja leuk puntje, ik kan die dus ook nergens vinden,

Ik heb zelf weinig verstand van linux vandaar dat ik de website (genoemd in de OP) heb gebruikt voor een stap voor stap handleiding

Voip enthousiastelling, Liever een kabel dan wifi

zondag 30 april 2017 18:04

Acties:

shure-fan

Topicstarter

wimmel_1 schreef op zondag 30 april 2017 @ 17:34:
[...]

Ik wordt hier eigenlijk al een beetje "kriegel" als ik alleen al lees dat er certificaten "gekopieerd" worden waarbij het dan ook nog eens client certificaten zijn welke eigenlijk server certificaten moeten zijn.

Ik heb de handleiding gevolgd van die website, waarbij er gezegd werd om het client certificaat te copieren naar je apparaat,

Een echt duidelijke handleiding voor ddwrt heb ik niet gevonden, wat ik waar moet invullen

Ik heb em dus ook gekopieert naar mijn telefoon, en daar werkt het gewoon goed (daar kon ik het certificaat importeren)

[ Voor 7% gewijzigd door shure-fan op 30-04-2017 18:07 ]

Voip enthousiastelling, Liever een kabel dan wifi

zondag 30 april 2017 18:11

Acties:

Will_M

Intentionally Left Blank

shure-fan schreef op zondag 30 april 2017 @ 18:04:
[...]

Ik heb de handleiding gevolgd van die website, waarbij er gezegd werd om het client certificaat te copieren naar je apparaat,

Ik heb em dus ook gekopieert naar mijn telefoon, en daar werkt het gewoon goed (daar kon ik het certificaat importeren)

Jouw telefoon is zuiver en alleen een "client" voor de Rpi en gedraagt zich ook zo. Een willekeurige router gaat zich óók als client gedragen naar die Rpi máár... Dat ding gaat tevens als server werken voor andere devices en dus klopt het certificaat niet (oftewel : Het certificaat verbiedt 't je om die functies aan te kunnen spreken binnen die VPN/SSL tunnel).

Boldly going forward, 'cause we can't find reverse

zondag 30 april 2017 21:40

Acties:

Thralas

wimmel_1 schreef op zondag 30 april 2017 @ 18:11:
Dat ding gaat tevens als server werken voor andere devices en dus klopt het certificaat niet (oftewel : Het certificaat verbiedt 't je om die functies aan te kunnen spreken binnen die VPN/SSL tunnel).

Hoezo 'als server werken'? TS heeft 1 VPN server (de Raspberry Pi) en twee clients (telefoon, TP-Link). Dat werkt prima voor zover TS het schetst, maar je zaait hier volgens mij (onbedoeld) een hoop onterechte verwarring.

shure-fan schreef op zondag 30 april 2017 @ 18:00:
Logs.... Ja leuk puntje, ik kan die dus ook nergens vinden,

Ik heb zelf weinig verstand van linux vandaar dat ik de website (genoemd in de OP) heb gebruikt voor een stap voor stap handleiding

Even heel bot: harder zoeken. Zonder logs gaan we echt nergens komen.

Neem eens een kijkje in /var/log op zowel je client als server. 9/10 keer vind je daar ofwel een aparte openvpn.log, of alles wordt naar de algemene syslog file gelogged (messages, syslog). Als die er echt niet is zul je een log directive aan de config moeten toevoegen, of OpenVPN vanaf de command line starten.

Stap 1 is checken of je tunnel werkt.

Daarna zul je nog redelijk wat moeten klussen om de netwerken (thuisnetwerk, LAN-achter TP-Link) aan elkaar te knopen, tenzij je de easy way out neemt (en van je tunnel een bridge maakt). Maar laat eerst maar eens zien dat een simpele tunnel werkt.

[ Voor 4% gewijzigd door Thralas op 30-04-2017 21:41 ]

zondag 30 april 2017 21:42

Acties:

Mijzelf

shure-fan schreef op zondag 30 april 2017 @ 18:00:
[...]

De travelrouter heb ik een subnet gegeven die ik niet gebruik (ik gebruik 192.168.0.x, de travelrouter heeft 192.168.10.x)

Het ging me om het netwerk aan de WAN van de travelrouter, die heb je niet in de hand. Als dat ook 192.168.0.x of 192.168.10.x is (en die kan is best groot), dan gaat het ook niet werken. In beide gevallen moet de router tussen 2 identieke netwerken routeren.

zondag 30 april 2017 21:51

Acties:

Will_M

Intentionally Left Blank

Thralas schreef op zondag 30 april 2017 @ 21:40:
[...]

Hoezo 'als server werken'? TS heeft 1 VPN server (de Raspberry Pi) en twee clients (telefoon, TP-Link). Dat werkt prima voor zover TS het schetst, maar je zaait hier volgens mij (onbedoeld) een hoop onterechte verwarring.

[...]

Even heel bot: harder zoeken. Zonder logs gaan we echt nergens komen.

Neem eens een kijkje in /var/log op zowel je client als server. 9/10 keer vind je daar ofwel een aparte openvpn.log, of alles wordt naar de algemene syslog file gelogged (messages, syslog). Als die er echt niet is zul je een log directive aan de config moeten toevoegen, of OpenVPN vanaf de command line starten.

Stap 1 is checken of je tunnel werkt.

Daarna zul je nog redelijk wat moeten klussen om de netwerken (thuisnetwerk, LAN-achter TP-Link) aan elkaar te knopen, tenzij je de easy way out neemt (en van je tunnel een bridge maakt). Maar laat eerst maar eens zien dat een simpele tunnel werkt.

Zoals ik 't lees:

TS wil een TP-Link apparaat op een externe locatie (dus niet op z'n eigen THUIS adres) neer zetten en dat ding laten contacten middels VPN met z'n Rpi welke wél THUIS staat. Vervolgens moeten er óver dat TP-Link apparaat verbindingen opgezet kunnen worden met het netwerk áchter de Rpi bij 'm thuis.

Feitelijk een "Site-To-Site" VPN, en dan zul je toch echt iets andere certificaten moeten gaan gebruiken wil je 't veilig houden.

https://www.smallnetbuild...-to-site-vpn-with-openvpn

Boldly going forward, 'cause we can't find reverse

zondag 30 april 2017 23:31

Acties:

Thralas

wimmel_1 schreef op zondag 30 april 2017 @ 21:51:
TS wil een TP-Link apparaat op een externe locatie (dus niet op z'n eigen THUIS adres) neer zetten en dat ding laten contacten middels VPN met z'n Rpi welke wél THUIS staat. Vervolgens moeten er óver dat TP-Link apparaat verbindingen opgezet kunnen worden met het netwerk áchter de Rpi bij 'm thuis.

Zo las ik 'm ook.

Feitelijk een "Site-To-Site" VPN, en dan zul je toch echt iets andere certificaten moeten gaan gebruiken wil je 't veilig houden.

https://www.smallnetbuild...-to-site-vpn-with-openvpn

Er gebeurt daar qua certficaten 1:1 hetzelfde als bij een klassieke OpenVPN 'road warrior' setup.

Of je nu twee netwerken aan elkaar knoopt of een enkele client hebt, dat staat geheel los van hoe je de authenticatie (lees: certificaten) inricht.

Sterker nog, een gemiddelde site2site IPsec tunnel werkt met een shared secret, dat is nooit veilger dan de standaardmanier om OpenVPN in te richten.

Het enige ten aanzien van certificaten waar TS praktisch tegenaan kan lopen is het feit dat hij zegt certificaten te hebben gekopieerd. Theoretisch is dat inderdaad niet netjes, praktisch resulteert dat er in dit geval enkel in dat je niet beide clients tegelijk kunt verbinden tenzij je server config duplicate-cn specificeert. Handiger om even een nieuw client certificate aan te maken dus.

Waar het site2site vs. road warrior-verhaal wel wezenlijk verschilt is het pushen/zetten van route-opties, al dan niet twee kanten op en/of het toepassen van NAT.

[ Voor 5% gewijzigd door Thralas op 30-04-2017 23:34 ]

maandag 1 mei 2017 00:29

Acties:

PhilipsFan

Ik heb het idee dat hij probeert om client-certificaten op de travel-router te importeren als server-certificaat. Dat gaat niet werken. Je moet op je server de certificaten aanmaken voor een client (op mijn raspberry pi rolt er dan uiteindelijk een .ovpn bestandje uit) en dat moet je op je travel-router importeren als client-certificaat. Op mijn Asus router kan ik letterlijk een .ovpn bestandje uploaden, iets vergelijkbaars zal vast met DD-WRT ook mogelijk zijn.

maandag 1 mei 2017 01:10

Acties:

shure-fan

Topicstarter

PhilipsFan schreef op maandag 1 mei 2017 @ 00:29:
Ik heb het idee dat hij probeert om client-certificaten op de travel-router te importeren als server-certificaat. Dat gaat niet werken. Je moet op je server de certificaten aanmaken voor een client (op mijn raspberry pi rolt er dan uiteindelijk een .ovpn bestandje uit) en dat moet je op je travel-router importeren als client-certificaat. Op mijn Asus router kan ik letterlijk een .ovpn bestandje uploaden, iets vergelijkbaars zal vast met DD-WRT ook mogelijk zijn.

Op mijn telefoon kon ik idd importeren vanuit de map die openvpn heeft aangemaakt, (dus moest het bestand gekopieert worden naar mijn telefoon om deze te kunnen importeren.

Daar staat echter alleen een client key in geen CA keys en dergelijke.

Voip enthousiastelling, Liever een kabel dan wifi

maandag 1 mei 2017 01:13

Acties:

shure-fan

Topicstarter

wimmel_1 schreef op zondag 30 april 2017 @ 21:51:
[...]

Zoals ik 't lees:

TS wil een TP-Link apparaat op een externe locatie (dus niet op z'n eigen THUIS adres) neer zetten en dat ding laten contacten middels VPN met z'n Rpi welke wél THUIS staat. Vervolgens moeten er óver dat TP-Link apparaat verbindingen opgezet kunnen worden met het netwerk áchter de Rpi bij 'm thuis.

Dit klopt helemaal, het is bedoelt als verlenging van mijn netwerk thuis, als ik eens ergens ben en ik kan mijn router inprikken.... dan wil ik graag naadloos verbinding kunnen hebben met mijn netwerk thuis

https://www.smallnetbuild...-to-site-vpn-with-openvpn

Voip enthousiastelling, Liever een kabel dan wifi

maandag 1 mei 2017 01:37

Acties:

True

Dislecticus

Maar weet je überhaupt wel zeker dat je 'travel-router' kan fungeren als VPN client? Is die optie in ddwrt niet een VPN server in plaats van een client.

Probeert je travel-router wel echt verbinding te maken met je RPi of wil hij z'n eigen VPN opzetten waar je naar kan connecten?

VW ID.7 Tourer Pro S | 5670 Wp JA Solar - 14x405 33° op Zuid | Twente

maandag 1 mei 2017 01:39

Acties:

shure-fan

Topicstarter

True schreef op maandag 1 mei 2017 @ 01:37:
Maar weet je überhaupt wel zeker dat je 'travel-router' kan fungeren als VPN client? Is die optie in ddwrt niet een VPN server in plaats van een client.

Probeert je travel-router wel echt verbinding te maken met je RPi of wil hij z'n eigen VPN opzetten waar je naar kan connecten?

Er staat toch zeker wel dat ik een open vpn client kan activeren waar ik vervolgens credentials in kan voeren,
kijk maar eens naar screenshots van de build die ik in de OP heb toegevoegd.

Voip enthousiastelling, Liever een kabel dan wifi

maandag 1 mei 2017 01:41

Acties:

True

Dislecticus

shure-fan schreef op maandag 1 mei 2017 @ 01:39:
[...]

Er staat toch zeker wel dat ik een open vpn client kan activeren waar ik vervolgens credentials in kan voeren,
kijk maar eens naar screenshots van de build die ik in de OP heb toegevoegd.

Ik zie behalve een link naar een Nederlandse RPi site geen links of screenshots?

VW ID.7 Tourer Pro S | 5670 Wp JA Solar - 14x405 33° op Zuid | Twente

maandag 1 mei 2017 02:13

Acties:

shure-fan

Topicstarter

Woeps, ik zie het, die is er niet.

Naja, ik kan met zekerheid zeggen dat er een openvpn client in ddwrt aanwezig is

Voip enthousiastelling, Liever een kabel dan wifi

maandag 1 mei 2017 02:23

Acties:

johnkeates

De client in DD-WRT is s2s/p2p en niet c2s.

maandag 1 mei 2017 02:30

Acties:

shure-fan

Topicstarter

johnkeates schreef op maandag 1 mei 2017 @ 02:23:
De client in DD-WRT is s2s/p2p en niet c2s.

Oke,

Ga ik daar morgen even over puzzelen,

iedereen alvast bedankt voor de antwoorden tot nu toe, Morgen weer verder prutsen

Voip enthousiastelling, Liever een kabel dan wifi

dinsdag 2 mei 2017 14:37

Acties:

shure-fan

Topicstarter

Oke,

Ik ben inmiddels een stapje verder,

Ik heb het .OVPN profiel van de ddwrt aangemaakt op de PI, deze heb ik gedownload naar mijn pc

daar heb ik het bestand geopend in notepad, en daar bleken dus alle certificaten in te zitten die er nodig zijn

de CA de CERT en Key en de tls-auth

die heb ik vervolgens in de betreffende vakjes in de openvpn client van de travelrouter gestopt, en op "save and apply" geklikt,

vervolgens kon ik de router niet meer benaderen....
De router heb ik een ddwrt fabrieks reset gegeven, en stel ik nu steeds opnieuw in (trial and error)

Edit: ik kan de router niet meer benaderen wanneer ik de Client Private key heb ingevoerd,
Bij de CA en CERT gaat alles goed, bij het invoeren en klikken op "save and apply" gaat het fout en kan ik de router niet meer benaderen.

Dhcp word wel uitgedeeld volgens het lokale netwerk, echter probeert de computer verbinding te maken met de webinterface en blijft daarop proberen zonder resultaat.

Dus ik ben al een stapje verder...

[ Voor 24% gewijzigd door shure-fan op 02-05-2017 14:48 ]

Voip enthousiastelling, Liever een kabel dan wifi

woensdag 10 mei 2017 19:15

Acties:

shure-fan

Topicstarter

kick,

iemand nog tips?

ik ben inmiddels de wanhoop nabij en de rommel het raam uitsmijt.....

Ik krijg het niet voor elkaar, en heb hier vele uren inzitten voor iets dat simpel lijkt op het oog

Voip enthousiastelling, Liever een kabel dan wifi

Pagina: 1

Reageer