Mitt mål är att sätta upp en VPN-server så att jag kan ansluta till mitt nätverk när jag är bortrest utan att öppna några portar på routern. Min router är en dålig TPLink Archer AX3000. När jag konfigurerar OpenVPN-servern via administratörsgränssnittet förhindrar den att de reserverade VPN-IP:erna är på samma subnet som DHCP-IP-poolen. Det betyder att även om jag kan ansluta till min VPN utifrån kan den inte prata med maskiner på mitt nätverk.
Jag undrar vad jag kan göra här. Jag har tillgång till en Linux-server som kör några containrar och en Synology NAS. Osäker på om jag bör använda annan serverprogramvara eller om det finns något enklare jag missar. Jag är en mjukvaruingenjör, så detta nätverksarbete är ibland lite utanför min nivå.
Jag uppskattar all hjälp eller råd.
Edit: skärmbild av router OpenVPN UI
De flesta VPN-servrar jag har använt är inställda så här.
Du skapar brandväggs-/rutningsregler för att tillåta dina (VPN) IP-adresser att komma åt det IP-intervall du behöver på ditt lokala nätverk.
OpenVPN-servern tilldelar sitt eget IP-intervall till klienterna, och det kan inte överlappa med resten av ditt nätverk. Om det görs korrekt kommer detta att vara transparent för dina andra enheter. Till exempel, anta att ditt nätverk är 10.0.1.0/24, VPN-nätverket är 10.0.2.0/24, din NAS är 10.0.1.5, din router är 10.0.1.1, OpenVPN binder till 10.0.2.1, och IP:t som ges till din telefon när du är utanför är 10.0.2.5. Din NAS har en standardrutt till 10.0.1.1, vilket innebär att all trafik utom 10.0.1.0/24 skickas till routern för att hantera. OpenVPN-servern måste veta att 10.0.1.0/24 finns och ska vara en publicerad rutt, och din router måste veta att 10.0.2.0/24 finns som en statisk rutt. Den sista raden kanske är förberedd för dig eftersom den är inbyggd, men rutten (subnätet) att push:a via OpenVPN är förmodligen inte. Du måste meddela OpenVPN vilka subnät du vill att dina klienter ska känna till, så att klienten routar dessa subnät över VPN-anslutningen. Detta brukar inte vara inbäddat i din .ovpn-fil, men på serversidan för vilka rutter som “pushas,” så kolla det.
Jag har sett där du måste lägga till en statisk rutt på enheten 10.0.1.5 för att uttryckligen skicka trafik för 10.0.2.0/24 till 10.0.1.1, men det är när du har mer exotiska setup, som att ha flera gränssnitt på samma server och varje är på ett annat subnät.
Titta på OpenVPN-loggarna på klientens sida, det kommer att visa vilka rutter som pushas så du kan bekräfta om det saknas.
För de som följer med, jag bestämde mig för att installera WireGuard VPN på min Linux-server och vidarebefordra all VPN-trafik genom den. Så jag var tvungen att öppna en port på routern, men det verkar nu routa trafiken korrekt till mina maskiner på det lokala nätverket när jag är ansluten till WireGuard VPN.
Detta betyder att även om jag kan ansluta till min VPN utifrån kan den inte prata med maskinerna på mitt nätverk.
Det är avsiktligt. Om du inte har ett L2 WAN kan du inte ha enheter över internet (eller ett annat nätverk) på samma sändningsdomän. de måste routas på lager 3.
Något förhindrar att det routas, möjligen en policy på din router.
Kan du skärmbeskärma OpenVPN-setup-sidan?
Jag känner inte till den router, men OpenVPN på min router har ett alternativ att “Annonsera DNS till klienter” i Avancerat avsnitt - det måste vara valt “Ja” för att dina fjärrklienter ska kunna komma åt maskiner på ditt hemnät.
Jag har lagt till en skärmbild av gränssnittet. Inte många alternativ.
Borta hemifrån just nu, så kan inte ta en skärmbild av sidan, men det är bokstavligen 2 alternativ: Start-IP och subnetmask. Så kanske jag kör OpenVPN på Linux-maskinen för att få mer konfigurationsmöjligheter?
Jag lade till en skärmbild av OpenVPN-konfigurationsgränssnittet. Inga verkligt användbara alternativ för att hjälpa här.
Det verkar inte rätt. OpenVPN på TP-Link-routrar är mycket enkelt och lätt.
Du bör se något som detta. Jag tog den här skärmbilden av en AX3000-emulator på TP-Link:s hemsida.
https://imgur.com/a/vHIPi27
Är du säker på att detta är där du gör det? Om du använder PPTP eller något annat kan du behöva manuellt ställa in några rutter.
Du kan installera Tailscale på din Synology, och Synology har också en VPN-server med fler alternativ än TP-Link, men då måste du portforwarda för att det ska fungera korrekt.
Du behöver inte portforwarda för Tailscale.
Jag ska kolla in Tailscale. Jag har inte hört talas om det. Jag är inte emot att köpa en ny router också, men jag är inte säker på vilken som är en bra att stödja alla de funktioner jag behöver.
Så här är en fråga.. är din TP-Link exponerad mot internet eller går du via en annan ISP-router?
ISP-modemet är i bryggläge så routern är exponerad mot internet.
