23 Listopada 2024 16:58:47
Nawigacja
· Strona Główna
· Forum

· Tomato by Shibby
· FreshTomato


Wątki na forum
Najnowsze dyskusje
· [S] Asus RT-AC56U
· DIR868l OFW asus vs ...
· Szukam zaproszenia n...
· [MOD] FreshTomato-AR...
· Asus RT-AC5300 ,prob...
· archer c6 v3.20
· [S] Nighthawk R7000P...
· [S]Asus RT-AC5300 - ...
· Tanie N100 na promce...
· net z telefonu wifi+...
· Tomato - bugi/proble...
· HUAWEI z światłowodem
· Asus TUF-AX3000_V2 p...
· rt-ax88upro częste ...
· [Howto] Xpenology na...
· Jaki router pod Open...
· Ruter z tomato
· Czy to jeszcze NAS?
· RT AC66U B1
· Wireguard na FreshTo...
Najpopularniejsze obecnie wątki
· DIR868l OFW asus ... [8]
· [S] Asus RT-AC56U [0]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
36% [151 głosów]

Broadcom ARM
Broadcom ARM
52% [219 głosów]

Atheros
Atheros
5% [22 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
1% [3 głosów]

Intel/AMD/VIA
Intel/AMD/VIA
1% [5 głosów]

Żaden z powyższych
Żaden z powyższych
4% [15 głosów]

Ogółem głosów: 419
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38
Twoje IP
18.116.15.22
Zobacz wątek
 Drukuj wątek
OpenVPN (TAP) połączenie dwóch sieci
dar3k
Próbuje się przenieść na ER-12 z tomato lecz poległem na konfiguracji OpenVPN dla mojego nietypowego rozwiązania.
Mam za pomocą OpenVPN spięte dwie sieci w jedną, co opisywałem tutaj: https://openlinksys.info/forum/viewthread.php?thread_id=19009
Jest to dla mnie konieczne z racji oprogramowania z licencją sieciową (zabezpieczyli się aby nie dzielić się licencją poza siecią lokalną tak, że wyszukuje jej po broadcast a nie po IP, więc tylko TAP działa), a dla ułatwienia pracy stworzyłem jedną dużą sieć:
router1 (tomato OpenVPN client - musi być klient bo internet bez publicznego IP)
192.168.0.1, DHCP 192.168.0.2-100
router2 (server)
192.168.0.101 DHCP 192.168.0.102-255
Autentyfikacja TLS (prócz tych dwóch lokalizacji jeszcze komputerem można się dopiąć), na tomato nie było większych problemów - jedyne co było kłopotliwe na początku to dwa serwery DHCP i przydzielanie IP przez losowy serwer ale to załatwione przez ebtables, wszystko działa perfekcyjnie.

Próbuję to przenieść na EdgeOS tworząc server VPN TAP, dodając bridge "br0", do którego dodaje vtun1 i switch0 (próbowałem też eth0), lecz gdy wystartuje VPN (nawet nikt się do niego nie podepnie bo mam jeszcze WAN odpięty od routera), to wysypuje się całość - niby komputer wpięty po kabelku dostaje adres IP z DHCP ale nie widzi routera i zostaje przywrócenie ustawień fabrycznych i zabawa od nowa.

Może ktoś coś pomoże - przypuszczam, że problem jest z bridge lub złym jego wpięciem ?

Połączony z 29 stycznia 2021 15:58:14:
Tutaj jest niby opis jak to zrobić https://help.ui.com/hc/en-us/articles/360012840854-EdgeRouter-OpenVPN-Layer-2-Tunnel ale wydaje mi się niepełny.
Edytowany przez dar3k dnia 29-01-2021 15:58
ER-12 + 4x UAP-AC-PRO
 
hermes-80
U mnie działa to od strzału - https://openlinksys.info/forum/viewth...d_id=22454
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
 
dar3k
Ale działa bo wpinasz jeden port do VPN, i masz inną adresację na nim, a ja chce mieć wszędzie taką samą.

Połączony z 29 stycznia 2021 20:00:07:
W tomato bridge z głównym LANem załatwiało sprawę - nawet DHCP działał na OpenVPN prawidłowo..

Połączony z 29 stycznia 2021 21:40:47:
Serwer OpenVPN działa prawidłowo myślę, że to coś z bridge mam nie tak ale nie wiem co..


Fri Jan 29 20:12:22 2021 OpenVPN 2.4.0 mips-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Oct 14 2018
Fri Jan 29 20:12:22 2021 library versions: OpenSSL 1.0.2u  20 Dec 2019, LZO 2.08
Fri Jan 29 20:12:22 2021 MANAGEMENT: unix domain socket listening on /tmp/openvpn-mgmt-intf
Fri Jan 29 20:12:22 2021 NOTE: when bridging your LAN adapter with the TAP adapter, note that the new bridge adapter will often take on its own IP address that is different from what the LAN adapter was previously set to
Fri Jan 29 20:12:22 2021 Diffie-Hellman initialized with 4096 bit key
Fri Jan 29 20:12:22 2021 TUN/TAP device vtun0 opened
Fri Jan 29 20:12:22 2021 TUN/TAP TX queue length set to 100
Fri Jan 29 20:12:22 2021 Could not determine IPv4/IPv6 protocol. Using AF_INET
Fri Jan 29 20:12:22 2021 Socket Buffers: R=[294912->294912] S=[294912->294912]
Fri Jan 29 20:12:22 2021 UDPv4 link local (bound): [AF_INET][undef]:1194
Fri Jan 29 20:12:22 2021 UDPv4 link remote: [AF_UNSPEC]
Fri Jan 29 20:12:22 2021 MULTI: multi_init called, r=256 v=256
Fri Jan 29 20:12:22 2021 Initialization Sequence Completed
Fri Jan 29 20:16:00 2021 IP:3862 TLS: Initial packet from [AF_INET]IP:3862, sid=188c64ed b6b4fa46
Fri Jan 29 20:16:01 2021 IP:3862 VERIFY OK: depth=1, C=PL, ST=PL, L=Pozna, O=OpenVPN, OU=dar3k, CN=dar3k, name=dar3k, emailAddress=dar3k@mail.com
Fri Jan 29 20:16:01 2021 IP:3862 VERIFY OK: depth=0, C=PL, ST=PL, L=Pozna, O=OpenVPN, OU=dar3k, CN=R7000, name=dar3k, emailAddress=dar3k@mail.com
Fri Jan 29 20:16:01 2021 IP:3862 peer info: IV_VER=2.4.3
Fri Jan 29 20:16:01 2021 IP:3862 peer info: IV_PLAT=linux
Fri Jan 29 20:16:01 2021 IP:3862 peer info: IV_PROTO=2
Fri Jan 29 20:16:01 2021 IP:3862 peer info: IV_NCP=2
Fri Jan 29 20:16:01 2021 IP:3862 peer info: IV_LZ4=1
Fri Jan 29 20:16:01 2021 IP:3862 peer info: IV_LZ4v2=1
Fri Jan 29 20:16:01 2021 IP:3862 peer info: IV_LZO=1
Fri Jan 29 20:16:01 2021 IP:3862 peer info: IV_COMP_STUB=1
Fri Jan 29 20:16:01 2021 IP:3862 peer info: IV_COMP_STUBv2=1
Fri Jan 29 20:16:01 2021 IP:3862 peer info: IV_TCPNL=1
Fri Jan 29 20:16:01 2021 IP:3862 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 4096 bit RSA
Fri Jan 29 20:16:01 2021 IP:3862 [R7000] Peer Connection Initiated with [AF_INET]IP:3862
Fri Jan 29 20:16:01 2021 R7000/IP:3862 MULTI: no dynamic or static remote --ifconfig address is available for R7000/IP:3862
Fri Jan 29 20:16:02 2021 R7000/IP:3862 PUSH: Received control message: 'PUSH_REQUEST'
Fri Jan 29 20:16:02 2021 R7000/IP:3862 SENT CONTROL [R7000]: 'PUSH_REPLY,ping 10,ping-restart 60,peer-id 1,cipher AES-256-GCM' (status=1)
Fri Jan 29 20:16:02 2021 R7000/IP:3862 Data Channel Encrypt: Cipher 'AES-256-GCM' initialized with 256 bit key
Fri Jan 29 20:16:02 2021 R7000/IP:3862 Data Channel Decrypt: Cipher 'AES-256-GCM' initialized with 256 bit key
Fri Jan 29 20:16:03 2021 R7000/IP:3862 MULTI: Learn: 10:da:43:c3:4a:ab -> R7000/IP:3862
Fri Jan 29 20:16:04 2021 R7000/IP:3862 MULTI: Learn: 54:88:0e:7e:a6:de -> R7000/IP:3862
Fri Jan 29 20:16:04 2021 R7000/IP:3862 MULTI: Learn: 6c:0d:c4:02:82:01 -> R7000/IP:3862
Fri Jan 29 20:16:05 2021 R7000/IP:3862 MULTI: Learn: fc:8f:90:aa:af:41 -> R7000/IP:3862
Fri Jan 29 20:16:38 2021 R7000/IP:3862 MULTI: Learn: f4:91:1e:d3:c4:de -> R7000/IP:3862


Zrobiłem tak jak w opisie od multiroom ale nie dodałem do br0 żadnego adresu IP.
openlinksys.info/images/er-multiroom/2.png
br0 dodałem do vtun0 i switch0, efekt taki, że na żadnym porcie eth wpiętym do switch0 nie mam dostępu do internetu, oraz routera, OpenVPN nie działa, port jaki dodałem do osobnego VLAN działa (inny adres IP).

w procesach wisi coś takiego;


/usr/sbin/openvpn --daemon --verb 3 --writepid /var/run/openvpn-vtun0.pid --status /var/run/openvpn/status/vtun0.status 30 --dev-type tap --dev vtun0 --mode server --tls-server --topology subnet --keepalive 10 60 --lport 1194 --proto udp --ca /config/auth/server1/ca.crt --cert /config/auth/server1/server.crt --key /config/auth/server1/server.key --dh /config/auth/server1/dh.pem --management /tmp/openvpn-mgmt-intf unix --server-bridge nogw --client-config-dir /var/run/openvpn/ccd/vtun0 --keepalive 10 60 --comp-lzo

W porównaniu do tomato to "--topology subnet" jest dodane - nie mogę doszukać się dokładnie co to robi..

Połączony z 29 stycznia 2021 22:37:38:
Coś tutaj nie do końca działa tak jak powinno do openvpn nie można zrobić bridge do switch0 (błąd wyrzuca, że switch0 to nie bridge), więc usunąłem adres IP switch0, i wpisałem ten adres do br0, i dodałem br0 do openvpn i do switch0, wszystko zaczęło niby działać tzn z routera widzę 192.168.0.1 ale nie działa DHCP na edgerouter ani nie odpowiada router na 192.168.0.101 wychodzi na to, że chyba tego nie dam rady zrobić tak jak na tomato .. chyba, że znajdzie się ktoś mądrzejszy ode mnie tutaj ;)

Połączony z 30 stycznia 2021 22:40:03:
Jedyna opcja aby to zrobić to tak jak tutaj: https://openlinksys.info/forum/viewthread.php?thread_id=22454
i wypiąć wszystkie porty ze switch0 i dodać je do br0, pytanie czy to ma jakiś wpływ na ich wydajność ? (czy br0 = switch0), tego nie wiem, potestuje czy wszystko działa jak na tomato, z tego co udało mi się zobaczyć to znacznie większa wydajność VPN niż na tomato.
dar3k załączono następujące plik:
Nie masz uprawnień, by zobaczyć załączniki w tym wątku.

Edytowany przez dar3k dnia 30-01-2021 22:40
ER-12 + 4x UAP-AC-PRO
 
shibby

Cytat

br0 dodałem do vtun0 i switch0


nie mozesz do bridge wpiąć fizycznego switcha. Jeżeli tak chcesz robić to musisz ze switch0 w ogóle zrezygnować, czyli wypiąć wszystkie porty ze switch0 i powpinać je (eth1, eth2 itd) wtedy do br0.

Inna sprawa to po co robić TAP między sieciami. Z doświadczenia wiem że lepiej jest zrobić TUN. Widoczność sieci będzie ale odchodzą problemy takie jak przenikający przez tunel DHCP czy gateway, czyli to zeby każda sieć wychodziła przez swój net a nie przez VPN.
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology SA6400
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
 
dar3k

Cytat

shibby napisał(a):

Cytat

br0 dodałem do vtun0 i switch0

nie mozesz do bridge wpiąć fizycznego switcha. Jeżeli tak chcesz robić to musisz ze switch0 w ogóle zrezygnować, czyli wypiąć wszystkie porty ze switch0 i powpinać je (eth1, eth2 itd) wtedy do br0.

Inna sprawa to po co robić TAP między sieciami. Z doświadczenia wiem że lepiej jest zrobić TUN. Widoczność sieci będzie ale odchodzą problemy takie jak przenikający przez tunel DHCP czy gateway, czyli to zeby każda sieć wychodziła przez swój net a nie przez VPN.


Finalnie tak zrobiłem, że wszystkie porty wyrzuciłem ze switch0 i dodałem bo br0 i działa.

Niestety po TUN dużo rzeczy nie działa np. broadcast przez co nie działał mi jeden soft co poszukuje klucza w sieci LAN, a tak nawet działa Wake On LAN po VPN - co jest przydatne mając dwie lokalizacje sieci (a wygodne bo masz sieć jakbyś był w obu miejscach na raz fizycznie).

Problem rozwiązany - niestety bez switch0 Smile
ER-12 + 4x UAP-AC-PRO
 
shibby
switch0 niby fajna sprawa bo odciąża procesor, w takim ER-X i ER-X-SFP to fajna sprawa bo wszystkie porty do niego należą.

Gorzej w moim ER-12 o do switch0 może należeć tylko pierwsze 8 portów. Pozostałe 4, w tym porty SFP, nie mogę wpiąć do switch0. Zatem przykładowo nie jestem w stanie spiąć sobie routera ze switchem po SFP Sad
Musiałbym wywalić switch0, zrobić bridge i wtedy mogę łączyć sobie dowolne porty. Ale obawiam się że wtedy już router nie będzie w stanie obsłużyć mi łacza 1/1gbit.
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology SA6400
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
 
Przejdź do forum
Zaloguj
Wprowadź adres e-mail lub nazwę użytkownika

Hasło



Nie masz jeszcze konta? Zarejestruj się.

Zapomniałeś/aś hasła?
Aktualnie online
· Gości online: 107

· Użytkowników online: 0

· Łącznie użytkowników: 24,115
· Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.

Maniek91PL
06-11-2024 22:37
dzięki !Grin

maxikaaz
29-10-2024 14:27
@Maniek91PL - Administration=> Admin Access, i tam masz "Allow Wireless Access" do zaznaczenia

Maniek91PL
26-10-2024 22:07
siemka! ktoś przypomni co się ustawiało jeśli nie mogę wejść od strony wifi do tomato? od lan działa

overflow2
04-10-2024 17:34
Kupowałem Asusy n10u albo n12d1 ale nie widzę ich, chyba już nie produkują, Chodzi o coś nowego i taniego. Transfery niewielkie.

maxikaaz
04-10-2024 09:38
@overflow2 patrząc po dostępności funkcji w nowych kompilacjach, to chyba nawet WRT54G/GL jeszcze ma OpenVPN, albo jakiś odpowiednik... zależy, na jakie transfery liczysz.

overflow2
30-09-2024 20:53
Jaki aktualnie najtańszy router do tomato do openvpn?

maxikaaz
27-07-2024 15:07
@servee - na początek router do rozebrania i obejrzenia, ciężko wróżyć tak tylko po objawach

maxikaaz
27-07-2024 14:55
@servee - cały kontroler nie pada tak sobie z powodu "zbiegu okoliczności",
więc prawdopodobnie gdzieś przepięcie.

servee
25-07-2024 13:33
@maxikaaz: działało, aż pewnego pięknego dnia przestało działać. W tym dniu była też burza, ale to raczej zbieg okoliczności.

maxikaaz
25-07-2024 11:38
@servee - o ile problem jest w obrębie samych wyjść (dławiki, warystory), to naprawialne, ale jeśli w samym SoC - to nienaprawialne ze względu na koszta. A co było przyczyną?

95,422,414 unikalnych wizyt