OpenVPN na Gargoyle PL

Aby uruchomić serwer OpenVPN na Gargoyle wymagany jest zewnętrzny adres IP. Jeśli mamy zmienny zewnętrzny IP to wymagane jest skonfigurowanie Usługi Dynamiczny DNS.

Konfiguracja serwera:

Wewnętrzny adres IP serwera: 10.8.0.1 Adres IP serwera VPN, Najlepiej zostawić taki jaki jest.
Wewnętrzna maska podsieci: Maska sieci VPN, 255.255.255.0 dla maksymalnie 253 podłączonych klientów.
Port serwera: 1194 - Port na którym zostanie uruchomiony serwer VPN. Port musi być również przekierowany w firewall'u na routerze. Przekierowanie portów na Gargoyle PL
Protokół: TCP lub UDP. Zostawimy UDP
Algorytm szyfrujący: Blowfish-CBC 128bit - jeśli chcemy możemy wybrać inny.
Komunikacja pomiędzy klientami VPN: Dozwolona - pozwala na komunikację klient-klient
Dostęp do urządzeń w sieci LAN: Dopuszczony - pozwala klientom na połączenie z urządzeniami w sieci LAN serwera.
Poświadczenia: Niezależne dla każdego klienta - oddzielna konfiguracja i hasła dla każdego klienta.
Klienty używają VPN do: Całego ruchu internetowego - Pozwala na dostęp do lokalnych zasobów jak i połączenia z internetem przez serwer.

Dodanie klienta

Nazwa klienta: Wpisujemy własną nazwę dla klienta.
Wewnętrzny adres IP klienta: 10.8.0.2 - Adres IP dla klienta VPN z podsieci serwera
Klient łączy się do: Dynamiczny DNS lub WAN IP serwera. W zależności od adresu IP lub domeny.
Podsieć za klientem: Niezdefiniowana lub Trasa zdefiniowana poniżej - jeśli zdefiniujemy trasę to urządzenia podłączone do serwera bedą miały dostęp do sieci LAN klienta. Ważne aby podsieć za klientem była inna niż ta która jest ustawiona na serwerze.
Klikamy Dodaj

Następnie klikamy Zapisz zmiany i OK

Jeśli uruchomienie serwera zakończyło się pomyślnie to zobaczymy na górze strony komunikat:

Na dole strony pobieramy i zapisujemy na dysku konfigurację i poświadczenia klienta:

Konfiguracja klienta:

W menu OpenVPN wybieramy Klient.
Wybieramy "Załadowanie plików z konfiguracją klienta" i klikamy "Wybierz plik..." z okienka wybieramy plik z konfiguracją i poświadczeniami pobrany z serwera.
Następnie klikamy Zapisz zmiany i czekamy aż konfiguracja zostanie zapisana i zastosowana.

Jeśli klient został pomyślnie uruchomiony i podłączony do serwera to zobaczymy:

Na serwerze w statusie OpenVPN można zobaczyć listę podłączonych klientów:

Może mam trywialne pytanie, ale czy jeśli ustawię Serwer VPN na routerze z Gargoyle, to czy mogę się połączyć z zewnątrz z tym serwerem za pomocą smartfona, czy komputera? Czy muszę mieć drugi router z Gargoyle ustawionym jako Klient VPN?

I drugie pytanie, jeszcze bardziej trywialne: Czy OpenVPN jest natywnie wbudowany w Gargoyle, czy trzeba doinstalować pakiet? Pytam, bo jeśli jest wbudowane, to bardzo oszczędzę na kupnie sprzętu, bo może wystarczy wtedy najtańszy TL-WR841

Ze smartfona można łączyć się w trybie TUN, tryb TAP nie działa, komputerowni wszystko jedno. Gargoyle domyślnie stawia serwer w trybie TUN.

OpenVPN jest na pewno w filmware dla routerów z 8MB flash. Te co mają mniej potrzebują extroota ( jeśli mają USB)

Witam. Mam internet GSM (komórkowy) bez umowy z różnych sieci bez publicznego IP, ale mam darmowe hosty na DynDNS i na no-ip. Czy takie rozwiązanie z hostem zamiast publicznego IP też może być do poprawnego działania OpenVPN jako serwer na routerze?
Czy jeżeli uruchomię OpenVPN na tym routerze to będę miał cały ruch, łącznie z internetem puszczony przez VPN (tunel), także innych urządzeń, które są w mojej lokalnej sieci ze swoimi lokalnymi IP? Czy da mi to również możliwość dostępu do taki urządzeń i ich portów? Pozdrawiam.

Jeśli coś ma być serwerem to potrzebuje zewnętrznego IP.

VPN utworzy Ci tunel który będzie symulował "sieć lokalną" jeśli chcesz puścić ruch przez serwer to w internecie będziesz widoczny przez jego IP.

Dziękuję za odpowiedź. Wiele usług VPN jest np. z jednym statycznym IP. Czy takie IP byłoby OK?

Witam
A może ktoś mi pomóc jak skonfigurować tego openVPN jako klienta aby łaczył się na serwer na Synology OpenVPN> Z Synology mam wyeksportowaną konfigurację ale ona nie działa... Nie mogę jej zaczytać do Gargoyle....
Jak ręcznie ustawiam to nie wiem jedyne co mam za klucz i certyfikat w pozycji dka klienta dać....
Bo Certyfikat CA jest w konfigu z Synology i TLS-Auth też jest ale nie ma żadnych innych dla klienta ?
Jedyne jeszcze do Synology jest wymagany user i pass. A w gargoyle nie ma gdzie go wpisać....
Tak wygląda plik konfigu wyeksportowany z Synology i działa on na aplikacji na windowsa openvpn:

https://pastebin.com/xrebupDi

Cezary na swoim forum eko.one.pl mówi wprost - Gargoyle i jego OpenVPN ma swoją wizję konfiguracji i w zasadzie jest przeznaczone tylko do łączenia z OpenVPN na innym Gargoyle. Jak chcesz łączyć się z Synology czy czymkolwiek innym, to trzymaj się jednak OpenWRT, gdzie możesz ten swój plik zrobiony przez Synology użyć wprost.

Zrobić niby zrobiłem połączenie. Gargoyle jako klient połączył się do Synology.
Jednak mam problem że z sieci LAN klienta Gargoyle do sieci LAN Synology dostaję się bez problemów.
Natomiast z sieci LAN Synology nie mogę dostać się do sieci LAN Gargoyle. Jedyne mogę dostać się na IP klienta jakie otrzymał w OpenVPN (172.22.0.x) czyli dostaję się na router TPLINK z wgranym Gargoyle. A dalej do urządzeń już nie mogę.... Router ten klienta z Gargoyle ma siec LAN 192.168.4.0 i do niej nie mogę się dostawać... Moja sieć jest 192.168.13.0

EDIT
Co najlepsze odpisało mi SYNOLOGY że nie da się takiego tunelu na obecną chwilę zestawić. Prześlą moją prośbę do developerów aby dodali taką funkcjonalność...

Jak używasz gotowych interfaceów to faktycznie może być takie ograniczenie. Jak sam stawiasz to możesz prawie wszystko o ile rozumiesz dokładnie co robisz i jak to działa.

No tak tylko na Synology nie jestem w stanie tego zrobić.... Co innego na tplinku jak wgram openwrt albo ddwrt.

Jeżeli możesz zalogować się jako root do linuksa pod spodem DSM (system operacyjny Synology) to możesz wszystko:
https://www.synology.com/pl-pl/knowledgebase/DSM/tutorial/General_Setup/How_to_login_to_DSM_with_root_permission_via_SSH_Telnet
Pytanie czy umiesz z tego skorzystać i jak jak to wszystko jest opisane, żeby to działało np. po restarcie.
Np. tutaj opisane jest położenie pliku konfiguracyjnego OpenVPN:


i dalej można to edytować.