[分享]用兩台ASUS RT-N16(Tomato)建置兩地同網段的VPN (第31頁)

ulimie
個人積分：1844分
文章編號：46182223

1844分

301樓

2013-09-16 21:33

gfx wrote:
但我不會修改RouterBoard的Routing...

很抱歉，在下沒有 RouterOS，幫不上忙，雖然我曾一度玩了一下朋友的 RouterOS 機器，(因為他不會玩，拿來給我玩了一陣子，而且還差一點要送給我，之後又給他拿回去用，這些都是很久以前的事了。)所以我也不熟。您可以去請教一下熟悉 RouterOS 的網友。

印象中，RouterOS 是很不錯的機器，但是 User 也得有幾把刷子，因為和一般市售消費級 Router 相比，打一個勾可以解決的事情，在 RouterOS 上可能要設好幾個地方的勾才能達到一樣的目的。多打幾個勾不是問題，問題是，怎麼知道要打的是哪些勾？而那些勾又是位在什麼地方？

在我使用 RouterOS 的那一段日子裡，給我的印象是，買市售消費級 router 就像買成屋，搬進去住就可以了；買 RouterOS 就像買了一堆沙、水泥、建材.... 您得使用這些材料親自蓋起自己想要的房子，所以，您得必需同時是設計師、建築師、泥水工、裝璜師.....在下認為自己既懶又不是那塊料，不敢玩，呵呵....

不過，您可以把 VPN Server 建在 RouterOS 上面，就不用管這些了。RouterOS 的 CPU 比 N16 強，或許不會有問題。

gfx

gfx
個人積分：1603分
文章編號：46183451

1603分

302樓

2013-09-16 22:35

ulimie wrote:
您可以把 VPN Server 建在 RouterOS 上面，就不用管這些了。RouterOS 的 CPU 比 N16 強，或許不會有問題。

ROS建VPN Server很簡單,但我也想知道N16如何在第2層做VPN Server.
我另有台NAS本身也俱VPN Server,
不過在ROS與NAS連OpenVPN時感覺沒Tomato Shibby版來的方便...

Tomato Shibby只要Client端存好憑證,Client端只要負責按連線就完成了;
而ROS與NAS的OpenVPN Server,
Client端一樣得存一份憑證,同時連線時得再輸入一道帳號密碼.

製作憑證已經夠惱人了,連線還要再多一道密碼,雖安全但感覺超囉嗦麻煩的.

gfx

gfx
個人積分：1603分
文章編號：46188535

1603分

303樓

2013-09-17 9:36

讚啦! 請YAWPYNG大幫忙我終於成功讓第2層的N16當VPN Server了

RouterBoard是這麼設:

gfx

gfx
個人積分：1603分
文章編號：46255819

1603分

304樓

2013-09-21 17:39

我的OpenVPN Client的TLS認證突然無法連線,只有剩Static_key方式還可用.
連線的訊息是這樣的:

Sat Sep 21 17:00:59 2013 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.

Sat Sep 21 17:01:00 2013 Attempting to establish TCP connection with [AF_INET]220.134.45.195:1195
Sat Sep 21 17:01:00 2013 TCP connection established with [AF_INET]220.134.45.195:1195
Sat Sep 21 17:01:00 2013 TCPv4_CLIENT link local: [undef]
Sat Sep 21 17:01:00 2013 TCPv4_CLIENT link remote: [AF_INET]220.134.45.195:1195
Sat Sep 21 17:01:00 2013 Connection reset, restarting [-1]
Sat Sep 21 17:01:00 2013 SIGUSR1[soft,connection-reset] received, process restarting

Server/Clinet證書我都未曾變更,就今天後突然不行連線了..
請問是那會影響出問題呢?

ulimie

ulimie
個人積分：1844分
文章編號：46260791

1844分

305樓

2013-09-21 23:44

1. 都重開機試試。
2. 不一定是設定有問題，有時 Server/Client 有一方很忙，或是某個環節在 reboot，造成離線都可能發生這個 error。我的主機在 reboot 時，就常常看到這個信息，通常是稍候就行了。
3. 真有問題，重新設定看看。

gfx

gfx
個人積分：1603分
文章編號：46260916

1603分

306樓

2013-09-21 23:51

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
OpenVPN TLS認證連線已經回復正常了,謝謝ulimie大

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

最進都在扒文OpenVPN的設置教學,
發現原來也可將ca.crt client.crt client.key 內文複製存到client.ovpn裡.

這樣OpenVPN使用上就單純了許多,由其是手機或平版安裝OpenVPN Client時,
不用再額外匯入ca.crt client.crt client.key這些證書.

client.ovpn範例:

client
dev tun
proto tcp
remote 220.134.45.195 1195
route-gateway 192.168.88.1
resolv-retry infinite

<ca>
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
</ca>

<cert>
-----BEGIN CERTIFICATE-----
MIIDKDCCApGgAwIBAgIBBDANBgkqhkiG9w0BAQQFADBgMQswCQYDVQQGEwJUVzEL
MAkGA1UECBMCVFcxDzANBgNVBAcTBlRhaXBlaTENMAsGA1UEChMEaG9tZTEkMCIG
CSqGSIb3DQEJARYVeHh4eHh4eHhAeWFob28uY29tLnR3MB4XDTEyMTIxMjA0MzQ1
M1oXDTIyMTIxMDA0MzQ1M1owYTELMAkGA1UEBhMCVFcxCzAJBgNVBAgTAlRXMQ0w
CwYDVQQKEwRob21lMRAwDgYDVQQDEwdjbGllbnQyMSQwIgYJKoZIhvcNAQkBFhV4
eHh4eHh4eEB5YWhvby5jb20udHcwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGB
AK2zvz9DPXgVJtCWBDbO3rDPGXraqzfyH0A3OmtfJrD1rhCEvMwKDs0B19rIF/ki
RQDTtcHxZWxobwofLFCGyOkzASWoJhVUflTCPjkdeV8e4rHBPHWR1Jn+EXVWZ0ms
KGPW1WEqMJsaos5k0yObgykggOi9h0XfS+e7lbhEoZwNAgMBAAGjgfAwge0wCQYD
VR0TBAIwADAsBglghkgBhvhCAQ0EHxYdT3BlblNTTCBHZW5lcmF0ZWQgQ2VydGlm
aWNhdGUwHQYDVR0OBBYEFI5KIxOEalj3vRqBIVYFH4soOM+pMIGSBgNVHSMEgYow
gYeAFACKtTanQdFZvoMHMaX5SkXOCGIDoWSkYjBgMQswCQYDVQQGEwJUVzELMAkG
A1UECBMCVFcxDzANBgNVBAcTBlRhaXBlaTENMAsGA1UEChMEaG9tZTEkMCIGCSqG
SIb3DQEJARYVeHh4eHh4eHhAeWFob28uY29tLnR3ggkAzyg0WXEvetIwDQYJKoZI
hvcNAQEEBQADgYEAr3G3cKxhJu/DwHyOuBnYBKbXHlcXZLZbZjz/sjGXBxRmmL9h
/3n3rv+NN2ormatwUgFOP0pMaCdqEMs8LgODi5ZdQCQ/mm5C7HDdSGv1ptlmBhoK
7vIVGXfHZN7DM2veIeh9l+dvovIueKVF2u4XczIHDQgyvbwX5mKWtPHLEYo=
-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----
</key>

gfx

gfx
個人積分：1603分
文章編號：46304004

1603分

307樓

2013-09-24 16:27

請問使用OpenVPN,路由器是不是不能"啟用-禁止ICMP回應"?
我打開後Client就無法再連接到Server,不過關閉後則又回復正常

另外您有用Android手機試連接OpenVPN Server過嗎?
我手機安裝OpenVPN for Android後試著連接Server,但訊息一直警示證書錯誤..

但我確定這個證書與設定檔都有用筆電試連成功過,不過搬到手機就錯誤了

會不會是Android APP版本的問題?

ulimie

ulimie
個人積分：1844分
文章編號：46307849

1844分

308樓

2013-09-24 20:25

不會吧，當你的 VPN Server 是躲在 router 下面，從外面又怎麼 ping 得到他呢?
我把 server 上面那個 router 和 vpn server 都設成不給 ping，結果還是連的好好的。

手機連 OpenVPN 是沒有問題的。這個在 #213 樓就說明貼過了。

gfx

gfx
個人積分：1603分
文章編號：46312339

1603分

309樓

2013-09-25 0:20

ulimie wrote:
不會吧，當你的 VP...(恕刪)

為何我會質疑ICMP與OpenVPN有關呢? 是因為RouterOS的防火牆有記錄..

原本ICMP所阻擋的封包只有個位數,
但從我不斷的連接OpenVPN後被阻擋的封包數就狂飆..
所以我選擇關閉這個防火牆規則.
當我關閉它後,電腦的OpenVPN Client就連線就正常了.

Android手機部份我的client3.ovpn設定檔內容:

client
remote gfx86674.synology.me 1195
proto tcp
dev tun
route-gateway 192.168.88.1
resolv-retry infinite
comp-lzo
verb 3

nobind
persist-key
persist-tun

ca ca.crt
cert client3.crt
key client3.key

Android的錯誤連線資訊:

ulimie大您能給多一點指示嗎?

ulimie

ulimie
個人積分：1844分
文章編號：46314853

1844分

310樓

2013-09-25 8:21

應該不是 ICMP 的問題，我把 Server / Client 兩邊都關掉了也沒事，可能是RouteOS 防火牆的關係吧。 RouterOS 雖然曾經短暫玩過一下，但是時間太短了，根本來不及仔細瞭解他，無法回答您的問題。您得另請教 RouterOS 高手。

至於手機連線的問題，我當初是用 NB 撥上 DSL 連線，然後確定 NB 在外網連得進 VPN，再把那相關的 4 個檔 COPY 到手機裡面，再用手機 OpenVPN 的 app 直接 import 那個 .ovpn 檔進去就可以用了。