OpenVPN funziona solo la navigazione.TP-Link AX1500

[Elaboratore]

Salve a tutti,

con un router (da poco in mio possesso) TP-Link sto provando ad utilizzare il servizio OpenVPN,
per accedere da fuori con lo smartphone Android , a dispositivi che ho a casa.
Il client Android OpenVPN si connette senza problemi, naviga su internet, utilizzando la connessione e l' IP di casa, se voglio posso accedere alla configurazione del Router 192.168.1.1 tramite browser. Ma NON riesco a raggiungere qualsiasi altra cosa 192.168.1.xx di casa, collegato in WiFi o in rete nelle porte lan dello stesso TP-Link.

il router è TP-Link AX1500 Wi-Fi 6 Router
Firmware: 1.3.1 Build 20220401 Rel. 57404(4555)
Versione hardware: Archer AX10 v1.20

in cascata al modem della TIM.
il TP-Link AX1500 Wi-Fi 6 Router si collega ad internet tramite la WAN, utilizzando la modalità PPPoE utente e passw di Tim. (ho anche provato in modalità IP Dinamico, ed in questo caso aprendo la 1194 nel modem TIM).

Come già scritto sopra, funziona la navigazione e riesco ad accedere tramite browser su 192.168.1.1, e poi basta . Ho altre macchine con servizi Ftp, e CamIP ed altro, che sembrano non raggiungibili..
dopo tanti tentativi non ho trovato una soluzione .
Cosa posso fare?
Grazie.

[OUTATIME]

Innanzitutto io ti consiglio di fare le prove con un PC, fai meglio rispetto allo smartphone, poi quando tutto funziona, replichi la configurazione sullo smartphone.

Detto questo, la prima cosa da verificare è che IP ti assegna il router quando attivi la VPN. Da lì poi facciamo ulteriori ragionamenti.

[Elaboratore]

Quote:

Originariamente inviato da OUTATIME

Innanzitutto io ti consiglio di fare le prove con un PC, fai meglio rispetto allo smartphone, poi quando tutto funziona, replichi la configurazione sullo smartphone.

Detto questo, la prima cosa da verificare è che IP ti assegna il router quando attivi la VPN. Da lì poi facciamo ulteriori ragionamenti.

Ciao Grazie per la risposta, ho installato un client OpenVPN su un PC Ip pubblico diverso , e locale 192.168.1.x
alla connessione OpenVPN, IP assegnato 10.8.0.6 .
da questa macchina ho provato..
ping 192.168.1.1 OK (il TP-Link)
ping 192.168.1.15 Non raggiungibile (un server ftp)
ping 192.168.1.20 Non raggiungibile (altro dispositivo)
ping 192.168.1.xx qualsiasi cosa non è raggiungibile
ping 10.8.0.9 OK smartphone android

[OUTATIME]

Quote:

Originariamente inviato da Elaboratore

Ciao Grazie per la risposta, ho installato un client OpenVPN su un PC Ip pubblico diverso , e locale 192.168.1.x
alla connessione OpenVPN, IP assegnato 10.8.0.6 .
da questa macchina ho provato..
ping 192.168.1.1 OK (il TP-Link)
ping 192.168.1.15 Non raggiungibile (un server ftp)
ping 192.168.1.20 Non raggiungibile (altro dispositivo)
ping 192.168.1.xx qualsiasi cosa non è raggiungibile
ping 10.8.0.9 OK smartphone android

Eh no, non funziona così
Se tu hai un PC in una rete LAN diversa ma con la stessa subnet della LAN che vuoi raggiungere, non ci riuscirai mai: il gateway non viene contattato. Stai provando a pingare la LAN dove risiede il PC. Quello che pinghi come 192.168.1.1 non è il TP-Link, ma il gateway della rete del PC.

Per provare ad ottenere qualche risultato, devi costringere il PC a contattare un gateway, ma il PC lo fa solo se la subnet di destinazione è diversa da quella in cui ha l'IP assegnato, morale devi cambiare la subnet del PC che sia diversa da 192.168.1.xx e poi aggiungere questa stringa al file di configurazione di openvpn nel caso non sia già presente:

Codice:

redirect-gateway def1 bypass-dhcp

Con questo obblighi il PC ad usare la VPN per tutto ciò che non sia LAN. A questo punto puoi provare a pingare la subnet 192.168.1.xx ma dubito che il router faccia questo tipo di routing. Alla peggio devi fare un forward delle porte e poi usare l'IP del router per tutto.

[Elaboratore]

Quote:

Originariamente inviato da OUTATIME

Eh no, non funziona così
Se tu hai un PC in una rete LAN diversa ma con la stessa subnet della LAN che vuoi raggiungere, non ci riuscirai mai: il gateway non viene contattato. Stai provando a pingare la LAN dove risiede il PC. Quello che pinghi come 192.168.1.1 non è il TP-Link, ma il gateway della rete del PC.

Per provare ad ottenere qualche risultato, devi costringere il PC a contattare un gateway, ma il PC lo fa solo se la subnet di destinazione è diversa da quella in cui ha l'IP assegnato, morale devi cambiare la subnet del PC che sia diversa da 192.168.1.xx e poi aggiungere questa stringa al file di configurazione di openvpn nel caso non sia già presente:

Codice:

redirect-gateway def1 bypass-dhcp

Con questo obblighi il PC ad usare la VPN per tutto ciò che non sia LAN. A questo punto puoi provare a pingare la subnet 192.168.1.xx ma dubito che il router faccia questo tipo di routing. Alla peggio devi fare un forward delle porte e poi usare l'IP del router per tutto.

E' vero sarebbe meglio cambiare la subnet del PC clienet VPN, ma significa cambiare l'IP anche a decine di dispositivi... non è una soluzione pratica .

per evitare equivoci, ho cambiato l' IP del TP-Link che adesso è diventato 192.168.1.2 .
tornado al PC Client esterno..
dopo la connessione OpenVPN
se apro il browser e digito http://192.168.1.1 si apre il router locale .
se digito http://192.168.1.2 si apre TP-Link .

ping 192.168.1.2 ok risponde!
ping 192.168.1.20 non raggiungibile (altro dispositivo server)
http://192.168.1.20 Non si apre.

se voglio aggiungere

Codice:

redirect-gateway def1 bypass-dhcp

dove lo aggiungo? prima del certificato?

Codice:

client
dev tun
proto tcp
float
nobind
cipher AES-128-CBC
comp-lzo adaptive
resolv-retry infinite
remote-cert-tls server
persist-key
persist-tun
remote xxxx.noip.net 1194
<ca>
-----BEGIN CERTIFICATE-----
MIIDdjCCAt+gAwIBAgIJAKpzubkw9xUfMA0GCSqGSIb3DQEBCwUAMIGAMQswCQYD
VQQGEwJDTjELMAkGA1UECAwCR0QxETAPBgNVBAcMCFNoZW5aaGVuMRAwDgYDVQQK

Anche quando provo con lo Smartphone connesso tramite operatore mobile, funziona la navigazione con IP di casa.. (almeno i siti specializzati nel dare il proprio ip, mi mostra quello) , riesco ad eccedere su http://192.168.1.2 il nuovo ip del TP-Link , ma tutto il resto rimane non accendibile.

quindi "sembra" un problema da qualche parte nel TP-Link, che rende accendibile il suo IP, ma non gira sulle altre macchine .


Aggiungo che nella rete dove c'e' TP-Link , ho un lento server con installato il servizio OpenVPN, che funziona già da qualche anno, ma è lento , e
lo vorrei dismettere. con questo raggiungo tutto, e funziona tutto. Quindi il TP-Link dovrebbe sostituirlo .

[OUTATIME]

Quote:

Originariamente inviato da Elaboratore

E' vero sarebbe meglio cambiare la subnet del PC clienet VPN, ma significa cambiare l'IP anche a decine di dispositivi... non è una soluzione pratica .

per evitare equivoci, ho cambiato l' IP del TP-Link che adesso è diventato 192.168.1.2 .
tornado al PC Client esterno..
dopo la connessione OpenVPN
se apro il browser e digito http://192.168.1.1 si apre il router locale .
se digito http://192.168.1.2 si apre TP-Link .

Strano che funzioni, visto che per il PC l'IP 192.168.1.2 non dovrebbe essere nella VPN. Sei sicuro che le due reti non siano comunicanti anche senza VPN?

Quote:

Originariamente inviato da Elaboratore

se voglio aggiungere

Codice:

redirect-gateway def1 bypass-dhcp

dove lo aggiungo? prima del certificato?

Dove vuoi, non ha importanza, per fare le cose ordinate mettilo prima, ma non cambierà nulla, visto che qualsiasi IP con 192.168.1.X è nella stessa subnet. Il PC non può distinguere tra 192.168.1.20 e gli IP della LAN. Lo so che è complicato cambiare gli IP, ma purtroppo questo capita quando si hanno tutti gli IP uguali.

Quote:

Originariamente inviato da Elaboratore

quindi "sembra" un problema da qualche parte nel TP-Link, che rende accendibile il suo IP, ma non gira sulle altre macchine .
Aggiungo che nella rete dove c'e' TP-Link , ho un lento server con installato il servizio OpenVPN, che funziona già da qualche anno, ma è lento , e
lo vorrei dismettere. con questo raggiungo tutto, e funziona tutto. Quindi il TP-Link dovrebbe sostituirlo .

Il problema è che il TP-Link non è configurato per fare un NAT delle richieste dalla subnet 10 alla subnet 192, e non so neanche se la cosa sia fattibile.

La soluzione più rapida e pulita sarebbe quella di dare un IP della VPN anche ai dispositivi a cui devi accedere.

[Elaboratore]

Quote:

Originariamente inviato da OUTATIME

Strano che funzioni, visto che per il PC l'IP 192.168.1.2 non dovrebbe essere nella VPN. Sei sicuro che le due reti non siano comunicanti anche senza VPN?


Dove vuoi, non ha importanza, per fare le cose ordinate mettilo prima, ma non cambierà nulla, visto che qualsiasi IP con 192.168.1.X è nella stessa subnet. Il PC non può distinguere tra 192.168.1.20 e gli IP della LAN. Lo so che è complicato cambiare gli IP, ma purtroppo questo capita quando si hanno tutti gli IP uguali.


Il problema è che il TP-Link non è configurato per fare un NAT delle richieste dalla subnet 10 alla subnet 192, e non so neanche se la cosa sia fattibile.

La soluzione più rapida e pulita sarebbe quella di dare un IP della VPN anche ai dispositivi a cui devi accedere.

-- è possibile aggiungere dei Routing.. manualmente.
foto:
https://ibb.co/5h8R8vT
https://ibb.co/d4JKKRh


Visto che questo è un acquisto recente proprio per avere un Server OpenVPN integrato nel router , posso ancora fare il reso gratuito ! (Lo so sto andato fuori tema..) Eventualmente con quale atro router lo posso cambiare ? Tramite OpenVPN voglio accedere a tutto senza problemi... Ma per questo ultimo quesito aprirò una nuova discussione.

[OUTATIME]

Quote:

Originariamente inviato da Elaboratore

-- è possibile aggiungere dei Routing.. manualmente.
foto:
https://ibb.co/5h8R8vT
https://ibb.co/d4JKKRh


Visto che questo è un acquisto recente proprio per avere un Server OpenVPN integrato nel router , posso ancora fare il reso gratuito ! (Lo so sto andato fuori tema..) Eventualmente con quale atro router lo posso cambiare ? Tramite OpenVPN voglio accedere a tutto senza problemi... Ma per questo ultimo quesito aprirò una nuova discussione.

Eh, purtroppo quelle sono le route in uscita, non quelle in ingresso. Da qualche parte dovrebbe esserci il modo di dirgli come trattare le richieste che arrivano dall'interfaccia tun0 dirette verso la lan, ma è una cosa che non ho mai fatto, ma semplicemente perchè ho sempre preferito tenere il traffico VPN in tunnel. Io a questo punto ti consiglio, se non arriva nessuno che conosce quel router di prendere una decisione:

- Imposti la VPN anche sui dispositivi a cui devi accedere, e tieni tutto il traffico in VPN
- Imposti la VPN in bridge e non in tunnel, però conscio del fatto di dover abbandonare la subnet 192.168 ancora prima di iniziare le prove
- Verifichi la configurazione iptables dell'attuale server che gestisce la VPN, visto che immagino sia un linux, e vedi come poterla replicare sul TP-link

Le soluzioni te le ho messe giù nell'ordine in cui le preferirei io se fossi al tuo posto.
EDIT: no, non è vero... io al primo posto metterei l'utilizzo di un dispositivo dedicato, anche solo un Raspberry, su cui configurare la VPN e le regole. I menù preconfezionati dei router per gestire queste cose non mi piacciono per nulla.

[Elaboratore]

Quote:

Originariamente inviato da OUTATIME

Eh, purtroppo quelle sono le route in uscita, non quelle in ingresso. Da qualche parte dovrebbe esserci il modo di dirgli come trattare le richieste che arrivano dall'interfaccia tun0 dirette verso la lan, ma è una cosa che non ho mai fatto, ma semplicemente perchè ho sempre preferito tenere il traffico VPN in tunnel. Io a questo punto ti consiglio, se non arriva nessuno che conosce quel router di prendere una decisione:

- Imposti la VPN anche sui dispositivi a cui devi accedere, e tieni tutto il traffico in VPN
- Imposti la VPN in bridge e non in tunnel, però conscio del fatto di dover abbandonare la subnet 192.168 ancora prima di iniziare le prove
- Verifichi la configurazione iptables dell'attuale server che gestisce la VPN, visto che immagino sia un linux, e vedi come poterla replicare sul TP-link

Le soluzioni te le ho messe giù nell'ordine in cui le preferirei io se fossi al tuo posto.
EDIT: no, non è vero... io al primo posto metterei l'utilizzo di un dispositivo dedicato, anche solo un Raspberry, su cui configurare la VPN e le regole. I menù preconfezionati dei router per gestire queste cose non mi piacciono per nulla.

finalmente funziona , alcuni dispositivi collegati nello stesso switch, e con la stessa subnet 192.168.1.x avevano un gateway diverso dal tp-link , quindi il traffico internet passava su strada diversa. C'e' da dire che il vecchio e lento VPN server , raggiungeva comunque tutte le macchina 192.168.1.x anche se con gateway diverso.
Raspberry é una buona idea, qualcuno lo dovrebbe vendere già pronto all'uso per questo utilizzo!!! Diversamente Chi non ha mai provato un Raspberry potrebbe aver paura che qualcosa va storto.. e si scoraggia all'acquisto.
cmq questo TP-Link attualmente costa circa 55 Euro.. per questo prezzo..

@OUTATIME grazieee mille per le risposte!!

[OUTATIME]

Quote:

Originariamente inviato da Elaboratore

finalmente funziona , alcuni dispositivi collegati nello stesso switch, e con la stessa subnet 192.168.1.x avevano un gateway diverso dal tp-link , quindi il traffico internet passava su strada diversa.

Hai avuto fortuna a trovare il problema. Se posso darti un suggerimento quando chiedi aiuto sul forum specifica sempre se hai delle configurazioni fuori dalla norma, anche se a te può sembrare insignificante come in questo caso.

Quote:

Originariamente inviato da Elaboratore

finalmente funziona , alcuni dispositivi collegati nello stesso switch, e con la stessa subnet 192.168.1.x avevano un gateway diverso dal tp-link , quindi il traffico internet passava su strada diversa. C'e' da dire che il vecchio e lento VPN server , raggiungeva comunque tutte le macchina 192.168.1.x anche se con gateway diverso.

Questo te lo posso spiegare io. Il server VPN di prima non era il gateway, quindi le richieste arrivavano agli apparati dopo un NAT, presentandosi con l'IP del server, di conseguenza gli apparati rispondevano all'IP del server che era nella stessa LAN. Al contrario di ora che il TP-Link inoltra le richieste con l'IP della VPN 10.X gli apparati non sanno chi ha in carico la rete 10.X, di conseguenza si rivolgono al gateway.

Quote:

Originariamente inviato da Elaboratore

Raspberry é una buona idea, qualcuno lo dovrebbe vendere già pronto all'uso per questo utilizzo!!! Diversamente Chi non ha mai provato un Raspberry potrebbe aver paura che qualcosa va storto.. e si scoraggia all'acquisto.
cmq questo TP-Link attualmente costa circa 55 Euro.. per questo prezzo..

Non è questione di prezzo, semplicemente un Raspberry, o una qualsiasi altra macchina con linux (ho detto Raspberry unicamente perchè l'unico apparato che ha un consumo assimilabile ad un router), ha un livello di configurabilità e soprattutto di log che il TP-Link se li sogna. Ovviamente come hai fatto notare sono da configurare completamente da zero, ma il vantaggio è che puoi chiedere aiuto a chiunque abbia un apparato linux, non solo a chi conosce il TP-Link, anche perchè ad essere sinceri stato arrivando alla fine delle idee.

Quote:

Originariamente inviato da Elaboratore

@OUTATIME grazieee mille per le risposte!!

Di, nulla, figurati, anche perchè effettivamente non ho fatto molto.

[Elaboratore]

Quote:

Originariamente inviato da OUTATIME

Hai avuto fortuna a trovare il problema. Se posso darti un suggerimento quando chiedi aiuto sul forum specifica sempre se hai delle configurazioni fuori dalla norma, anche se a te può sembrare insignificante come in questo caso.


Questo te lo posso spiegare io. Il server VPN di prima non era il gateway, quindi le richieste arrivavano agli apparati dopo un NAT, presentandosi con l'IP del server, di conseguenza gli apparati rispondevano all'IP del server che era nella stessa LAN. Al contrario di ora che il TP-Link inoltra le richieste con l'IP della VPN 10.X gli apparati non sanno chi ha in carico la rete 10.X, di conseguenza si rivolgono al gateway.


Non è questione di prezzo, semplicemente un Raspberry, o una qualsiasi altra macchina con linux (ho detto Raspberry unicamente perchè l'unico apparato che ha un consumo assimilabile ad un router), ha un livello di configurabilità e soprattutto di log che il TP-Link se li sogna. Ovviamente come hai fatto notare sono da configurare completamente da zero, ma il vantaggio è che puoi chiedere aiuto a chiunque abbia un apparato linux, non solo a chi conosce il TP-Link, anche perchè ad essere sinceri stato arrivando alla fine delle idee.


Di, nulla, figurati, anche perchè effettivamente non ho fatto molto.

Riporto ancora un problema Riscontrato, siccome il vecchio server VPN utilizzava l' ip per il tunnel 10.8.0.0 , ed anche il nuovo ServizioOpenVPN del Tp-Link lo stesso 10.8.0.0.. alcuni dispositivi (di mezzo) switch lan ,
instradavano i pacchetti al vecchio Host per il servizio VPN. Quindi ho cambiato sia il Gateway negli HOST che voglio raggiungere da fuori , ed anche l'IP del tunnel OpenVPN.
Rimangono NON raggiungibili quelli con il Gateway diverso dal Tp-Link.. Almeno sappiamo perché !
Spero che la mia esperienza si utile a qualcuno .

By Elaboratore.