Hezký večer,mám router TP-Link Archer AX53, od poskytovatele mám statickou veřejnou IP adresu a na routeru jsem zapnul VPNku přes OpenVPN. Na počítači mimo tuto počítačovou síť jsem nainstalovat OpenVPN clienta a přes konfigurační soubor stažený z administrace routeru a vložený do clienta se připojil přes VPNku daného routeru. Když ale na počítači s aktivním VPNkou zobrazím počítače v síti (Průzkumník > Síť), nevidí zařízení v síti přes VPN, ale pouze v lokální síti toho počítače, počítače v síti routeru s aktivní VPN nejdou pingnout, nejde se k nim připojit přes vzdálenou plochu a logicky se ani dostat do jejich sdílených složek.Komunikace skutečně přes router a VPN běží, když v administraci VPN serveru omezím připojení jen na místní síť, na takto připojeném počítači přestane fungovat internet, ovšem do místní sítě na TP-linku se nedostanu. Co udělat pro to, abych mohl přistupovat z venku do sítě a viděl v ní počítače?Děkuji
https://openvpn.net/blog/split-tun...ss-server/
Pardon, to je neco jineho, spatne jsem precetl dotaz. Mas tam neco spatne nastavene, tipnul bych IP adresasi nebo routing. Ale bez uvedeni konkretnich udaju nastaveni je to tezko rict.
Tak sem ten konfigurak napis... bez IP a bez certu
clientdev tunproto udpfloatnobindcipher AES-128-CBCcomp-lzo adaptiveresolv-retry infiniteremote-cert-tls serverpersist-keyremote IP port<ca>-----BEGIN CERTIFICATE-----ZZZ-----END CERTIFICATE-----</ca><cert>-----BEGIN CERTIFICATE-----YYY-----END CERTIFICATE-----</cert><key>-----BEGIN PRIVATE KEY-----XXX-----END PRIVATE KEY-----</key>
Nepřekrývá se adresace LAN kde je PC klient s LAN za VPN serverem?VPN server posílá směrovací záznam pro síť LAN za VPN na klienta, objeví se v routovací tabulce klienta?Pomohly by konfigurační soubory pro server a klienta (bez veřejné IP, certifikátů a klíčů), nastavení forwarrdu na firewallu VPN routeru a možná dočasně deaktivovat firewall na koncových počítačích.
není tam při "tvorbě" konfigurátoru zaškrtávátko ohledně přístupu ven/dovnitř/dovnitř i ven? na asusech to tak je
Ne, jen toto: https://ctrlv.cz/djy7
A jen dotaz, pingas na IP adresu nebo na hostname. Protze hostname ti fungovat nebude. Pojede jen ping a prisstupy pres IP adresu. Ale pokud nezname konfigurac, tezko radit.
Pingám na IP adresu a blokovala to Windows firewall, takže vyřešeno.
na routeru v astavení VPN serveru ani není možnost že by ti neměla jít vnitřní síť, takže to jít musí...https://ctrlv.cz/BXpjpřístup na PC v domácí síti je ale samozřejmě jen přes IP adresy a nejsou vidět v okolních počítačích, to je snad jasný (to nejde v žádný VPN).Pokazit by sis to mohl jen tou VPN konfigurací na klientovi, ale tu si sem nedal jak tě vyzývali, takže co vlastně chceš řešit ??
"přístup na PC v domácí síti je ale samozřejmě jen přes IP adresy a nejsou vidět v okolních počítačích, to je snad jasný (to nejde v žádný VPN)." Jisteze to jde v mnoha VPN a to vcetne OpenVPN (TAP mode).
v zakladnim nastaveni jisteze nejde u zadny vpn Wiregurd, OpenVPN, PPTP, L2TP
Ping musi byt povolenyhttps://bitlaunch.io/blog/how-to-ma...ndows%2010.Ak su PC napojene cez Wi-Fi, tak treba vypnutClient isolation = quest modehttps://community.tp-link.com/en/business/fo...pic/264392Otazby je este firewall a aku adresu pingas - ci pridelenu na sieti alebo z rosahu VPN.Ja mam MT a ZT a tam sa na PC musim aj pripajat ajtak cez remote desktop.Takze mozno aj ty to tak potrebujes rozchodit. Pokial ti nestaci nazdielanie zloziek ale sa chces na PC aj realne pripojit/pracovat.
https://forums.openvpn.net/viewtopic.php?t=21887Windows 10 IP subnet : 192.168.0.0/24VPN subnet : 10.8.0.0/24So, Windows firewall blocks these packets .. unless you add a rule to the firewall to allow them.V pripade potreby pouzi google translate...
Pingáš na původní IP adresy ve vnitřní síti nebo na adresy, který má přidělena OpenVPN? Na původní IP se nedopingneš, musíš v tom novém rozsahu
Pingám z počítače s VPN clientem a chci pingnout počítač ve vnitřní síti, do kterého jsem se připojil a to IP adresou počítače ve vnitřní síti, to fungovat má nebo ne?
ano to fungovat má. A pingneš si na IP routeru ?
Ano, ma. Kdyz sem uvedes ty rozsahy IP adres (vcetne tech, jake ma router a PC s VPN klientem), tak ti snad bude mozne poradit.
Blokoval to Windows firewall, takže vyřešeno, stačilo zadat výjimku a už to funguje.
to je samozřejmě nesmysl. Z VPN rozsahu máš mít přístup na lokální IP v síti kam se připojuješ. Ten jinej VPN rozsah je tam jen aby se to nemíchalo ale je to proroutovaný směrem do LAN VPN serveru (to si řeší ten danej VPN server)
Pokud to "proroutovani" ten TP-Link opravdu resi.
je to klikaci router pro bezny lidi, tak jsem si jistej ze to je uz v zakladu poreseny a o tom svedci i ta volba o pristupu do mistni site... https://ctrlv.cz/BXpj
Osobne bych cekal pristup na vnitrni sit v ramci VPN subnetu.
jsem rad ze uz nemusim delat configy s OpenVpn - zapojil jsem vhodne routery napr. mr2200ac a rt6600ax do vsech lokaci ktere jsem propojil buildin vpnkou do jedne site - a to bez staticke ip - takze napr. ted kdyz potrebuji vytisknout neco na jakekoli tiskarne v jedne ze 4 lokaci napojenych pres ruzne ISP nekdy i stovky km vzdalene a to i kdyz jsem mimo dane 4 body (staci se napr z kfc pripojit pres vpn i z mobilu k jednomu routeru) - tzn vidim tiskarny. pocitace. televize. ir/dab radia. domaci sensory a spotrebice. ip kamery.
Diky, to tazateli jiste pomuze...
Stovky kilometru??? Jsi dobrej - to muselo dat prace...
Desitky km jeste jdou, ale stovky... A co teprve tisice... to uz jda poradnou praci 🙂
zkousle jsem i tp linky, asusy, cisco, netgeary - takovej opruz s propojenim dvou lokaci (napr. homeoffice swiss a czech a dalsi dve lokace na ruznych ISP) a pripojovani jsem dlouho nezazil (ubiquity a mikrotik nejak fungovali ale nakonec uzivatelskym komfortem vyhralo synology) - jeste pred par lety jsem si hral z configy s super wasting openvpn a chapu ze to nekoho muze bavit - ale pokud chci reseni s propojenim dvou a vic lokaci tak uvedene modely jsou reseni - a to je asi podstata sdeleni
Tak jeste jednou diky a posilame Zlateho bludistaka... Mimochodem jsem se take pochlapil - (ikdyz presne nevim, kde ma zive umistene web servery), tak pisi z vice nez tisic kilometru vzdalene lokace a ani jsem k tomu nepotreboval Synology.
uz to zvladne i tisice km :) OpenVPN nebo WireGuard tohle asi hned tak nedozenou - pripomina mi to stejne konstruktivni diskusi jak nekde v jizni americe testovali WRT54G na stovky m, pak km, pak desitky km, pak stovky km, ...
OVPN na TP-Link neznam...Na klient PC zkontrolovat: * Dostal OVPN adapter IP adresu z rozsahu v nastaveni? cmd "ipconfig" * Není IP adresa OVPN v konfliktu s IP rozsahem sítě, ve které je PC připojeno? * Pushuje OVPN server/TP-Link routu do vnitřní sítě? Případně lze co config souboru dodat. cmd "route print"Na PC v LAN, kam se snažíte dostat: * Dočasně vypnout firewall nebo nastavit pravidla pro PING a RDP (na všech profilech = domain, private, public).
Snad dnes odpoví 🙂
Ten, kdo tady tvrdi, ze nejde pro ping pouzit hostname nebo ze nejsou v Siti videt lokalni pocitace, tak neumi OpenVPN nakonfigurovat. Uvedu modelovou konfiguraci site.Sit v rozsahu: 192.168.0.0/24.Router ma ip 192.168.0.1/24 a poskytuje DHCP server, ktery prideluje adresy v rozsahu 2-249. Pro OpenVPN server pouziji napriklad raspberry se statickou ip adresou 192.168.0.250/24. Na raspberry vytvorim sitovy most mezi eth0 a tap0:auto br0iface br0 inet staticbridge_ports eth0 tap0address 192.168.0.250netmask 255.255.255.0network 192.168.0.0gateway 192.168.0.1dns-nameservers 192.168.0.1 1.1.1.1 8.8.4.4pre-up openvpn --mktun --lladdr 7f:6c:ea:21:dc:cd --dev tap0post-down openvpn --rmtun --dev tap0V konfiguracnim souboru OpenVPN se pouzije prikaz server-bridge:server-bridge 192.168.0.250 255.255.255.0 192.168.0.251… 192.168.0.254Vsichni klienti vpn pak dostavaji ip v rozsahu 192.168.0.251 - 254 a stavaji se plnohodnotnymi cleny lokalni site. Nize je odkaz na obrazovku s funkcnim vpn pristupem. Bohuzel hotove routery nejspis takovou konfiguraci neumi vytvorit, proto bych mozna zvazil nejake plne konfugurovatelne reseni napr. v podobe zero 2W nebo jineho usporneho sbc.https://ctrlv.link/MQwU Ukázat celý příspěvek
To není modelová konfigurace, nýbrž skanzen.
skanzen je cela OpenVPN. Wireguard 👍
Přesně tak. OpenVPN je jednovláknová dětská hračka z divokých 90. let, která na dnešních systémech nemá co pohledávat a co nabídnout.Spíš jsem ale měl na mysli ten paskviloprotokol z roku 1975, který se někdo pořád (nesmyslně) snaží používat. Hele, ta věc „unikla z laboratoře“ a nikdy nebyla určená pro veřejné použití. Tak už by bylo fakt načase se z toho omylu vzpamatovat (po málem 50 letech) a přestat ten paskvil používat.Na všech VPN používám normální veřejné adresy všech zúčastněných strojů. Stroje pak vůbec nemusí vědět, že provoz mezi různými sítěmi jde skrz VPN; v tom mají jasno routery. A hlavně (především!) nebudou mít nikdy konflikt adres, protože ten je prakticky nemožný.
na cem (dedikovanem) provozujete Wireguard ?
Neptal jste se me, ale odpovim na stejnou otazku. Nevim zda dedikovanem, ale server mi bezi na mikrotiku, a klienti jsou iOS, OpenWRT, dalsi Mikrotik, ubuntu, Windows a Android. nastaveno asi tak ze vidi se mezi sebou jen nekteri, a muj Windows a iOS maji allowhost na vsechny site. ale site mezi sebou ne. Konfigurace jednoducha jak facka. Dale mam jeden pripoj prave na iOS na allowhost 0.0.0.0/0 aby veskery provoz sel pres me pripojeni a i v zahranizci mimo EU brouzdam jako bych byl v CR, dobre pro IPTV a jine slluzby ktere jsou omezeny ze statu EU.
diky, zvladne WireGuard L2 pristup? .. tj adresovat vzdalene propojene site pres MAC addr? napr. zkousel jsi na WireGuard propojenych sitich nekdy prehrat pres DLNA klienta v lokaci A neco co mas umistene na DLNA serveru v lokaci B ? napr. kdyz se mi neco nahraje na NAS a pak se na to chci pozdeji divat na cestach z jineho homeoffice nabo hotelu
Ne, Ne, Ne, Ne a Ne. Staci takto? Ja ty VPN nemam abych mel jednu sit. DLNA nepouzivam, mam to jen a jen pro pripojeni a kontrolu a nastaveni u klientu. Takze na to co ja potebuju je to 100% funkcni. Mel jsem i OpenVPN ale ta docela zrala prostredky na slabsich zarizenich typu router s WRT apod. WG mi ted vyhovuje. Az budu potrebovat DLNA pres VPN kuknu po necem jinem. Ale treba taky PLEX mi jede, neni to DLNA jako tak, ale prehravat umi krasne i resamplovat.
Tak v tom wireguardu protáhneš GRE tunel, no... S tím není žádný problém.
uff - nejdriv vytvorit implicitni L3 WG tunnel a v nem pak vytvorit P2P GRE tunnel v ramci jiz vytvoreneho WG tunnelu - na mikrotiku fakt opruz - prakticka pouzitelnost v terenu 0 - rychlost navic nehci hodnotit - i kdyz je asi lepsi nez OpenVPN - na prehravani lokalniho DLNA z NAS to neni - takze zatim zustanu u meho syno reseni s moznosti pouzivat andro/ios (a nebo u funkcniho PLEX pro media streaming)
"Ten, kdo tady tvrdi, ze nejde pro ping pouzit hostname nebo ze nejsou v Siti videt lokalni pocitace,"V zakladnich konfiguracich to nejde a je to dobre. Proc by to nekdo jako pouzival ? Copak je problem se ve VPN pripojit na IP ? Kterej blb poziva hostname a jeste by potreboval videt okolni PC.. Proc ???
Protoze laik ma pocit, ze VPN znamena "pripojim pocitac do domaci site" a je zvykly hledat v "Okolnich pocitacich", zatimco pojem "IP adresa" mu moc nerika a vetsinou ani netusi, jake doma pouziva?
netusi, ale kdyzto musi nastaviot tak si to zjisti. A takovou sitiviou tiskarnu si doma pripojit pres hostname nebo ten podelanej WSD port je doslova peklo.. Tohle nikdy spolehliove nikomu nefunguje. Jedine priopojit na TCP port pres IP. A to je jen jeden z mala prikladu... IP kamery, NAS napric zarizenima je na hostname taky peklo.
Třeba já si raději pamatuju hostname než IP. Je to pohodlnější.
neni pohodlnejsi si to pamatovat a uz vubec to neni pohodlnejsi to pouzivat protoze to casto nefunguje ani u lokalni site. Protoze router, protoze windows a nastaveni ruznejch zarizeni ruzne.
Nemohu za to, ze Akademik CZ nechape, v cem muze byt pouzivani hostname prospesne, zejmena pokud clovek spravuje pocitacove site s vetsim poctem zarizeni. Ale pokud takovy uzivatel serfuje napr. po internetu stylem 77.75.79.222 misto seznam.cz a vyhovuje mu to, tak az si to tak klidne dela.
ja to chapu a je to bezne - na lokalni DNS mam pojmenovane vse - popravde u desitek zarizeni (sensoru, IoT, spotebice, nasy, atj) je pamatovani a pristup pres ip fakt ujete. jedine co bych chtel nejak vyresit je L2 pristup na vzdalenych propojenych lokacich pres IP tunnels resp pres VPN - tj nejaky lepsi hack (nez mam ted jako provizorium) ktery by umel prenaset L2 info do vsech propojenych siti na L3 urovni - napr. (neskodny pripad) frontier based IR DAB radia pouziva aplikaci UNDOK a ta vyzaduje L2 uroven k ovladani radii tzn ze tahle apka nevidi dalsi IR radia na lokacich ktera jsou pripojena pomoci IP tunnelu, VPN nek (svpn, ovpn, wiregurad, atp) .. tzn jestli nekdo vi jak prenaset elegantne L2 info na site propojene pres VPN tak budu rad
Neco takoveho? https://openvpn.net/vpn-server-res...-bridging/
diky, zajimave L2 addendum k openvpn (nepamatuji ze by to fungovalo kolem roku 2020) tj .. aby na vzdalene siti fungoval pristup pres MAC addresy, netbios naming atp jako v lokalnim modu .. a zkusim to.
To uz funguje mnohem dele...
tak jsem skouknul svoje testy par let zpet a aktualni stav a vypada to ze z andoridu se pres TAP L2 OpenVPN na MAC addr stale nepodivam? https://openvpn.net/faq/why-does-t...e-tunnels/
To je ale problem Androidu, ne VPN. O tom, ze to potrebujes na Android, jsi doted nic nepsal.
Potvrďte prosím přezdívku, kterou jsme náhodně vygenerovali, nebo si zvolte jinou. Zajistí, že váš profil bude unikátní.
Tato přezdívka je už obsazená, zvolte prosím jinou.