27 Listopada 2024 08:32:02
Nawigacja
· Strona Główna
· Forum

· Tomato by Shibby
· FreshTomato


Wątki na forum
Najnowsze dyskusje
· Nowe routery: UX, UC...
· DIR868l OFW asus vs ...
· [S] Asus RT-AC56U
· Szukam zaproszenia n...
· [MOD] FreshTomato-AR...
· Asus RT-AC5300 ,prob...
· archer c6 v3.20
· [S] Nighthawk R7000P...
· [S]Asus RT-AC5300 - ...
· Tanie N100 na promce...
· net z telefonu wifi+...
· Tomato - bugi/proble...
· HUAWEI z światłowodem
· Asus TUF-AX3000_V2 p...
· rt-ax88upro częste ...
· [Howto] Xpenology na...
· Jaki router pod Open...
· Ruter z tomato
· Czy to jeszcze NAS?
· RT AC66U B1
Najpopularniejsze obecnie wątki
· DIR868l OFW asus ... [11]
· Nowe routery: UX,... [1]
· [S] Asus RT-AC56U [0]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
36% [151 głosów]

Broadcom ARM
Broadcom ARM
52% [219 głosów]

Atheros
Atheros
5% [22 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
1% [3 głosów]

Intel/AMD/VIA
Intel/AMD/VIA
1% [5 głosów]

Żaden z powyższych
Żaden z powyższych
4% [15 głosów]

Ogółem głosów: 419
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38
Twoje IP
18.223.237.218
Zobacz wątek
OpenLinksys » :: OPROGRAMOWANIE :: » Tomato - firmware
 Drukuj wątek
Konfiguracja VPN jakiej jeszcze nie było. Dostęp do sicie LAN po stronie klienta.
mvincm
Witam.

Z reguły zawsze googluje i szukam zanim coś napisze ale takiej konfiguracji VPN to chyba jeszcze nie było Wink Może mi pomożecie i podpowiecie jak to zrobić.

W pierwszej kolejności krótki opis problemu. Jak może wiecie jak się ma dostęp do internetu przez LTE (u mnie konkretnie przez operatora Plus) to nie ma się publicznego IP (nie ma nawet możliwości dokupienia takiej usługi dodatkowej dla LTE - dla starszych/wolniejszych technologii jest taka opcja a dla LTE nie ma zapewne celowo).

I teraz właściwy problem. Z sieci LAN w jednej lokalizacji (nazwijmy ją LAN "B") z konkretnego hosta/urządzenia (nie routera!) muszę mieć dostęp do konkretnego hosta/urządzenia (też nie router) w sieci LAN która to właśnie wyjście na Internet ma przez Plus LTE (nazwijmy ją LAN "A").

W przypadku LAN "B" domyślna brama ma publiczne IP i jest na Tomato (by Shibby) i tu postawiłem serwer VPN (zero problemu). W sieci "A" domyślna brama nie jest na Tomato tylko wyjście w świat zapewnia router Dovado (jeden z lepszych przy LTE). Tak więc dodatkowo w sieci "A" jest postawiony drugi router na Tomato i on jest klientem VPN. Klient łączy się do serwera i wszystko śmiga. To znaczy, że jest z klienta bez problemu jest zestawiany tunel do serwera, pingi i usługi chodzą. Wszystko ok. Nawet wyporne to jest na zerwanie połączenia czy restarty serwera vpn.

No ale... przez tak postawiony tunel nie mogę przecież dostać się z jednego hosta/urządzenia w sieci "B" do hosta urządzenia w sieci "A". W sieci "A" klient vpn nie jest przecież domyślną bramą więc routing nie zadziała. Pomyślałem więc, że zrobię DNAT no ale też nie działa. Wykombinowałem tak:

Na serwerze VPN dodałem regułę:

iptables -t nat -I PREROUTING -p tcp -d 192.168.1.1 --dport 5522 -j DNAT --to-destination 10.8.0.6:5522

Gdzie: 192.168.1.1 to adres serwera vpn/routera a port 5522 to docelowy port na zdalnym urządzeniu do którego się chcę dostać.

Na kliencie VPN dodałem regułę:

iptables -t nat -I PREROUTING -p tcp -d 10.8.0.6 --dport 5522 -j DNAT --to-destination 192.168.2.2:22

Gdzie 192.168.2.2 to ip urządzenia na które muszę się wbić (testowo na port ssh - odpalić połączenie).

Przy takich wpisach teoretycznie i ustawieniu w urządzeniu/hoscie z sieci "B" jako adres pod którym na szukać usług adresu 192.168.1.1:5522 powinno śmigać. No ale nie śmiga.

Czy ktoś jest mi w stanie pomóc jak ustawić iptables/routing po stronie klienta vpn abym mógł się dostać do urządzenia w sieci "A".

Z góry dziękuję. Rysunek poglądowy poniżej:

HOST B ----> ROUTER/SERWER VPN ----> internet---->Modem/router LTE---->KLIENT VPN---->HOST A

Czy jak robić aby B widział A (może być po MASQ).

P.S.
Wiem o istnieniu SSH Revers Tunnel i nawet go testuje ale działa mniej stabilniej niż OpenVPN.

Dziękuję.
MvincM
 
eRd
Ja mam podobny problem, chociaż nieco inny. Mam 2 routery z OpenVPN - klient z modemem z Aero2 oraz serwer na stałym zewnętrznym IP. Oba pracują w tej samej podsieci (192.168.2.x i mają inne IP żeby się nie gryzły. Co ciekawe gdy jestem podłączony (po wifi) z routerem z Aero2 to mogę się logować na stronę drugiego routera bez problemu, a odwrotnie to nie działa. Mi właśnie przede wszystkim chodzi o to żeby z zewnątrz móc logować się na router z Aero2. Ktoś może wie jak to rozwiązać?
WRT54GL v 1.1 Tomato Firmware 1.28.0005 108 ND VPN + 11 użyszkodników na kablu + 1 wifi Wink
Netgear WNR3500L v1 @500MHz Tomato Firmware 1.28.0000 MIPSR2-108 K26 USB BTgui-VPN
PAP2T soft 5.1.6 LS / IPFON
Zotac HD-ID11 (ION2),
 
lazik
http://openlinksys.info/forum/viewthread.php?thread_id=13479
 
radzio
http://radziu.jogger.pl/2011/10/30/openvpn-i-tomato-laczenie-dwoch-odleglych-sieci-sieci/
Linksys E4200 v1 - Tomato 1.28 092V K26 RT-N USB AIO by shibby

Linksys WRT54G v3.1 - Tomato 1.28 062 K26 VPN by shibby
 
mvincm
Szanowni...

Chyba chyba o to chodziło Wink Wink Jestem po konfiguracji i pierwsze testy przebiegły ok. Pracuję i testuję dalej Wink Dziękuję za szybką odpowiedź.

@eRd
Jeśli faktycznie ta metoda zadziała to też masz problem rozwiązany. Wystarczy abyś na routerze z publicznym IP zrobił sobie przekierowanie dowolnego wolnego portu na adres prywatny Twojego routera z Areo2 i po sprawie.

MvincM
 
eRd
Dzięki za linka. Nie ukrywam, że wzorowałem się na tym linku, który podał radzio już wcześniej, ale jak widać czasem trzeba i z 10 razy coś przeczytać, żeby zrobić jak trzeba. Zmieniłem zakres ip na taki, który zawiera obie sieci, które łączę, a nie tylko jedną i działa Grin Mogę się już logować wszędzie, ale wydaje mi się, że w otoczeniu sieciowym nie widzą się te sieci. Czy za to odpowiadają te wpisy z tap21 w firewallu? Czy trzeba te wpisy dodać na serwerze czy kliencie?
Dzięki i pozdrawiam Cool
WRT54GL v 1.1 Tomato Firmware 1.28.0005 108 ND VPN + 11 użyszkodników na kablu + 1 wifi Wink
Netgear WNR3500L v1 @500MHz Tomato Firmware 1.28.0000 MIPSR2-108 K26 USB BTgui-VPN
PAP2T soft 5.1.6 LS / IPFON
Zotac HD-ID11 (ION2),
 
mvincm
Super. Dziękuję. Działa doskonale.

No może z jednym małym wyjątkiem. W Tomato (by Shibby) na WRT54GL nie ma niestety ebtables a faktycznie przydałoby się zablokować pomiędzy sieciami ruch DHCP i UPnP. Panowie może jakiś pomysł? Jakie wiemy w WRT54GL jest tylko 4MB flash więc paczka z optware pewnie się nie zmieści.

P.S.
Czy jak walczyliście z OpenVPN to zastanawialiście się nad jakiś watchdog'iem dla usługi VPN (czy to klient czy serwer)?

Dzięki i pozdrawiam,
MvincM
 
eRd
Jeżeli na obu routerach mamy włączony File Sharing to warto na jednym z nich (u mnie na serwerze) wyłączyć master browser i wins server żeby się wzajemnie nie gryzły.
Dodam jeszcze, że u mnie nie widzą się w otoczeniu sieciowym obie sieci, ale jak z wiersza poleceń chcę się dostać do jakiegoś zasobu to działa bez zarzutu, np. \\nas
Edytowany przez eRd dnia 09-06-2012 17:54
WRT54GL v 1.1 Tomato Firmware 1.28.0005 108 ND VPN + 11 użyszkodników na kablu + 1 wifi Wink
Netgear WNR3500L v1 @500MHz Tomato Firmware 1.28.0000 MIPSR2-108 K26 USB BTgui-VPN
PAP2T soft 5.1.6 LS / IPFON
Zotac HD-ID11 (ION2),
 
mvincm
No i jeszcze jeden drobny mankament. Zestawienie takiego tunelu (bridge mode) generuje pewien ruch do/z Internetu (rozumiem, że jest to ruch badający tunel oraz wszystkie komunikaty rozgłoszeniowe sieci ethernet). Nie jest to wielki ruch ale z moich wyliczeń (oby błędnych) to sam standby tunelu może zjeść ok 1GB na miesiąc. Dla łącza bez limitu to nie problem ale dla łącza LTE/3G gdzie są w miarę ostre limity to sporo.

Postaram się na IPTABLES wyciąć cały ruch jaki mi nie jest potrzebny ale jeśli to faktycznie ruch ethernetowy to go za wiele nie wytnę...

P.S.
A bawił się ktoś autossh na Tomato?

MvincM
 
eRd
Da się jakoś to przerobić na iptables?

ebtables -I FORWARD -i tap21 -p IPv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -I FORWARD -o tap21 -p IPv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -I INPUT -i tap21 -p IPv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -I OUTPUT -o tap21 -p IPv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP

#Block UPnP between OpenVPN TAP
ebtables -I FORWARD -i tap21 -p IPv4 --ip-protocol udp --ip-destination-port 1900 -j DROP
ebtables -I FORWARD -o tap21 -p IPv4 --ip-protocol udp --ip-destination-port 1900 -j DROP
ebtables -I INPUT -i tap21 -p IPv4 --ip-protocol udp --ip-destination-port 1900 -j DROP
ebtables -I OUTPUT -o tap21 -p IPv4 --ip-protocol udp --ip-destination-port 1900 -j DROP


bo dzisiaj miałem sytuację, że na komputerze z domu zamiast korzystać ze swojego stałego (szybszego) łącza to przełączyło mnie na aero (tak byłem identyfikowany choćby na speedtest).

Nikt nie pomoże jak ten ruch wyciąć? Mimo ustawienia static IP dla mojego komputera z zakresu DHCP servera ovpn to raz korzystam z łącza aero a raz ze stałego co bardzo wkurza jeżeli chodzi o prędkość.
Edytowany przez eRd dnia 19-06-2012 00:13
WRT54GL v 1.1 Tomato Firmware 1.28.0005 108 ND VPN + 11 użyszkodników na kablu + 1 wifi Wink
Netgear WNR3500L v1 @500MHz Tomato Firmware 1.28.0000 MIPSR2-108 K26 USB BTgui-VPN
PAP2T soft 5.1.6 LS / IPFON
Zotac HD-ID11 (ION2),
 
Przejdź do forum
Zaloguj
Wprowadź adres e-mail lub nazwę użytkownika

Hasło



Nie masz jeszcze konta? Zarejestruj się.

Zapomniałeś/aś hasła?
Aktualnie online
· Gości online: 87

· Użytkowników online: 0

· Łącznie użytkowników: 24,115
· Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.

Maniek91PL
06-11-2024 22:37
dzięki !Grin

maxikaaz
29-10-2024 14:27
@Maniek91PL - Administration=> Admin Access, i tam masz "Allow Wireless Access" do zaznaczenia

Maniek91PL
26-10-2024 22:07
siemka! ktoś przypomni co się ustawiało jeśli nie mogę wejść od strony wifi do tomato? od lan działa

overflow2
04-10-2024 17:34
Kupowałem Asusy n10u albo n12d1 ale nie widzę ich, chyba już nie produkują, Chodzi o coś nowego i taniego. Transfery niewielkie.

maxikaaz
04-10-2024 09:38
@overflow2 patrząc po dostępności funkcji w nowych kompilacjach, to chyba nawet WRT54G/GL jeszcze ma OpenVPN, albo jakiś odpowiednik... zależy, na jakie transfery liczysz.

overflow2
30-09-2024 20:53
Jaki aktualnie najtańszy router do tomato do openvpn?

maxikaaz
27-07-2024 15:07
@servee - na początek router do rozebrania i obejrzenia, ciężko wróżyć tak tylko po objawach

maxikaaz
27-07-2024 14:55
@servee - cały kontroler nie pada tak sobie z powodu "zbiegu okoliczności",
więc prawdopodobnie gdzieś przepięcie.

servee
25-07-2024 13:33
@maxikaaz: działało, aż pewnego pięknego dnia przestało działać. W tym dniu była też burza, ale to raczej zbieg okoliczności.

maxikaaz
25-07-2024 11:38
@servee - o ile problem jest w obrębie samych wyjść (dławiki, warystory), to naprawialne, ale jeśli w samym SoC - to nienaprawialne ze względu na koszta. A co było przyczyną?

95,950,512 unikalnych wizyt