[MOD] FreshTomato-ARM - wątek deweloperski
|
meehowg |
Dodano 21-11-2022 20:12
|
User
Posty: 3
Dołączył: 18/06/2013 10:46
|
Cześć,
Czy w przypadku DIRa 868L świeży firmware 2022.6 po resecie powinien być w jasnej skórce? I nie mieć zakładki VPN? czy to bug?
Pozdr!
Asus RT-AC68U
D-Link DIR-868L A1/B1
|
|
|
|
pedro |
Dodano 21-11-2022 20:30
|
Moderator
Posty: 1001
Dołączył: 21/09/2015 15:03
|
meehowg napisał: ↑ Cześć,
Czy w przypadku DIRa 868L świeży firmware 2022.6 po resecie powinien być w jasnej skórce?
Czytać changelog nie zaszkodzi
Ctrl+F5 lub wyczyszczenie cache przeglądarki.
Netowski 1Gb/1Gb
Huawei E3372s-153 non-hilink + 2x15dBi MIMO
FreshTomato: Asus RT-AC3200 + RT-N18U + RT-N66U + RT-N12
|
|
|
|
meehowg |
Dodano 22-11-2022 09:21
|
User
Posty: 3
Dołączył: 18/06/2013 10:46
|
Racja. Przepraszam za zamieszanie
Tutaj wypada na to że Custom po prostu taki jest. Sprawdzone na 2ch sztukach, nawet na ściągniętym Firefox Portable. Czy do 868L jest problem z AIO albo VPN i dlatego powstał tylko Custom?
Tabela kompatybilności mówi, że routery mają 128R/128F i 32KB NVRAM. Moje są w rev. A1 i B1 i oba mają 256R/128F. show nvram pod ssh podaje 64KB NVRAM.
EDIT: Widzę post dot. 868L i NVRAM - już widzę z czego pochodzi sztuczne ograniczenie do 32KB
Asus RT-AC68U
D-Link DIR-868L A1/B1
|
|
|
|
Cieplak |
Dodano 22-11-2022 12:14
|
User
Posty: 35
Dołączył: 10/11/2015 20:58
|
@pedro może na Asus gt ax6000 dałoby radę wrzucić Tomato?
|
|
|
|
shibby |
Dodano 27-11-2022 11:42
|
SysOp
Posty: 17109
Dołączył: 15/01/2009 20:30
|
@pedro znalazłem bardzo poważny błąd we FreshTomato
Asus RT-AC68u E1 i świeżo wgrany 2022.6.
Konfiguruję VPN Client - bardzo podstawowa konfiguracja:
- TUN
- TCP
- Firewall automatic
- create NAT
- Inbound Firewall
- TLS
- Redirect trafic - No
- Ciphers: AES-256-GCM
- compression - LZO
W chwili wystartowania tunelu (który się poprawnie łączy z serwerem) przestaje działać ruch przychodzący tj, Remote SSH i HTTPS do routera oraz wszystkie Port Forwarding!
Jak zastopuje VPN to przekierowania i dostęp zdalny do routera znów zaczyna działać.
Scalony z 28 listopada 2022 10:18:40:
cofnąłem się do najstarszej wersji wspieranej przez router tj 2019.3 i na niej też przestaje ruch przychodzący działać (nawet ping na WAN (Respond to ICMP ping).
Co robię:
- reset do fabryki
- Basic -> Network: wyłaczam Wifi 2.4 i 5ghz, reszta bez zmian
- Administration -> Admin Access: Local Access zmieniam na HTTP & HTTPS, Remote Access na Enable i port 8443, save
- Advanced -> Firewall: włączam Respond to ICMP ping, save
- VPN Client 1:
Basic: Protocol: TCP, Server: ustawiam domenę i port, reszta bez zmian
Advanced: tu nic nie zmieniam (przynajmniej na 2019.3), bo jest dobrze, jest cipher AES-256-GCM i comp-lzo
Keys: wklejam CA, Cert i Key.
Save. Start i przestaje działać dostęp zdalny do routera, ping do routera (od strony WAN), przekierowania portów (testowo na lapka przekierowałem RDP czyli 3389).
Jak zastopuję VPN to wszystko zaczyna działać. Jeżeli VPN wystartuje ALE się nie połączy, np port zły, to wszystko działa. Problem występuje TYLKO w sytuacji poprawnego zestawienia VPN. Dodam że sam VPN wtedy działa, tj klienci za routerem mają widoczność sieci za VPNem.
Jakiś pomysł?
Edytowany przez shibby dnia 28-11-2022 10:26
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology SA6400
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
|
|
|
|
pedro |
Dodano 30-11-2022 22:20
|
Moderator
Posty: 1001
Dołączył: 21/09/2015 15:03
|
Próbowałeś po zestawieniu tunelu zrestartować FW?
Netowski 1Gb/1Gb
Huawei E3372s-153 non-hilink + 2x15dBi MIMO
FreshTomato: Asus RT-AC3200 + RT-N18U + RT-N66U + RT-N12
|
|
|
|
shibby |
Dodano 01-12-2022 07:14
|
SysOp
Posty: 17109
Dołączył: 15/01/2009 20:30
|
dzięki za odzew.
Tak, próbowałem - nie pomaga. Robiłem nawet restart routera (z włączoną opcją VPN "start with wan" i po restarcie routera przez moment WAN pinguje, po czym przestaje (to moment zestawienia VPNa) i przekierowania i dostępy z zewnątrz nie działają.
To nie wygląda na problem z firewallem, bo jak porównuję sobie firewall przed startem i po to widać, że regułki są dodawane - wspominałem zresztą, że sam VPN po zestawieniu działa.
Cytat --- vpn.off 2022-12-01 07:08:00.000000000 +0100
+++ vpn.on 2022-12-01 07:07:00.000000000 +0100
@@ -1,42 +1,44 @@
-# Generated by iptables-save v1.6.2 on Thu Dec 1 07:08:43 2022
+# Generated by iptables-save v1.6.2 on Thu Dec 1 07:07:55 2022
*raw
-:PREROUTING ACCEPT [1748:359514]
-:OUTPUT ACCEPT [558:213459]
+:PREROUTING ACCEPT [1176:237918]
+:OUTPUT ACCEPT [392:128785]
COMMIT
-# Completed on Thu Dec 1 07:08:43 2022
-# Generated by iptables-save v1.6.2 on Thu Dec 1 07:08:43 2022
+# Completed on Thu Dec 1 07:07:55 2022
+# Generated by iptables-save v1.6.2 on Thu Dec 1 07:07:55 2022
*nat
-:PREROUTING ACCEPT [197:35353]
-:INPUT ACCEPT [4:208]
-:OUTPUT ACCEPT [3:228]
+:PREROUTING ACCEPT [449:77864]
+:INPUT ACCEPT [52:4249]
+:OUTPUT ACCEPT [34:2715]
:POSTROUTING ACCEPT [0:0]
:WANPREROUTING - [0:0]
-A PREROUTING -d 10.30.5.222/32 -j WANPREROUTING
+-A POSTROUTING -s 192.168.1.0/24 -o tun11 -j MASQUERADE
-A POSTROUTING -o vlan2 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/24 -d 192.168.1.0/24 -o br0 -j SNAT --to-source 192.168.1.1
-A WANPREROUTING -p icmp -j DNAT --to-destination 192.168.1.1
COMMIT
-# Completed on Thu Dec 1 07:08:43 2022
-# Generated by iptables-save v1.6.2 on Thu Dec 1 07:08:43 2022
+# Completed on Thu Dec 1 07:07:55 2022
+# Generated by iptables-save v1.6.2 on Thu Dec 1 07:07:55 2022
*mangle
-:PREROUTING ACCEPT [1521:328111]
-:INPUT ACCEPT [614:92010]
-:FORWARD ACCEPT [376:130476]
-:OUTPUT ACCEPT [443:202231]
-:POSTROUTING ACCEPT [821:332835]
+:PREROUTING ACCEPT [949:206515]
+:INPUT ACCEPT [405:50799]
+:FORWARD ACCEPT [230:89725]
+:OUTPUT ACCEPT [277:117557]
+:POSTROUTING ACCEPT [509:207410]
-A PREROUTING -i vlan2 -j DSCP --set-dscp 0x00
-A PREROUTING -d 192.168.1.0/24 -i vlan2 -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
-# Completed on Thu Dec 1 07:08:43 2022
-# Generated by iptables-save v1.6.2 on Thu Dec 1 07:08:43 2022
+# Completed on Thu Dec 1 07:07:55 2022
+# Generated by iptables-save v1.6.2 on Thu Dec 1 07:07:55 2022
*filter
-:INPUT DROP [41:8343]
+:INPUT DROP [91:11691]
:FORWARD DROP [0:0]
-:OUTPUT ACCEPT [68:34870]
+:OUTPUT ACCEPT [267:114079]
:shlimit - [0:0]
:wanin - [0:0]
:wanout - [0:0]
+-A INPUT -i tun11 -m state --state NEW -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j shlimit
@@ -45,6 +47,8 @@
-A INPUT -p icmp -m limit --limit 1/sec -j ACCEPT
-A INPUT -p udp -m udp --dport 33434:33534 -m limit --limit 5/sec -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8443 -j ACCEPT
+-A FORWARD -o tun11 -j ACCEPT
+-A FORWARD -i tun11 -m state --state NEW -j DROP
-A FORWARD -m account--aaddr 192.168.1.0/255.255.255.0 --aname lan
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
@@ -55,4 +59,4 @@
-A shlimit -m recent --set --name shlimit --rsource
-A shlimit -m recent --update --seconds 60 --hitcount 4 --name shlimit --rsource -j DROP
COMMIT
-# Completed on Thu Dec 1 07:08:43 2022
+# Completed on Thu Dec 1 07:07:55 2022
Edytowany przez shibby dnia 01-12-2022 07:34
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology SA6400
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
|
|
|
|
pawel1987 |
Dodano 01-12-2022 14:14
|
User
Posty: 79
Dołączył: 06/07/2020 07:44
|
Spróbuj wyłączyć kompresję
Daj No albo disabled
|
|
|
|
shibby |
Dodano 02-12-2022 09:44
|
SysOp
Posty: 17109
Dołączył: 15/01/2009 20:30
|
@pawel1987 - compresję muszę mieć bo tak wymusza serwer - to raz. Po drugie tunel działa. Po trzecie nawet jakby admin przestawił mi kompresję na off na serwerze to naprawdę wątpię żeby kompresja powodowała blokowanie ruchu przychodzącego
@pedro - na szybko skompilowałem Tomato z zakomentowanymi liniami w rc/openvpn.c
Cytat /* Selective routing */
fprintf(fp, "script-security 2\n"
"up updown-client.sh\n"
"down updown-client.sh\n"
"route-delay 2\n"
"route-up vpnrouting.sh\n"
"route-pre-down vpnrouting.sh\n" ;
ale to nic nie dało.
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology SA6400
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
|
|
|
|
pedro |
Dodano 02-12-2022 13:43
|
Moderator
Posty: 1001
Dołączył: 21/09/2015 15:03
|
Hmmm, jest to o tyle ciekawe, że jesteś pierwszym który zgłasza ten problem, a przecież przez ok. 3+ lata ktoś powinien to zauważyć...
Owszem, wiem o problemach w zdalnym dostępie ale w trybie multiwan (czasem można wejść przez 1-szy WAN czasem przez 2-gi itd, tak ludzie zgłaszali), ale przy pojedynczym - nigdy...
Ja ze względu na brak zewnętrznego IP nie korzystam z tych dobrodziejstw, no ale będę to musiał sprawdzić w takim razie w sieci lokalnej.
Tylko pytanie kiedy, bo aktualnie mam mały remont w domu i w związku z tym mało czasu...
Netowski 1Gb/1Gb
Huawei E3372s-153 non-hilink + 2x15dBi MIMO
FreshTomato: Asus RT-AC3200 + RT-N18U + RT-N66U + RT-N12
|
|
|
|
pawel1987 |
Dodano 02-12-2022 15:47
|
User
Posty: 79
Dołączył: 06/07/2020 07:44
|
To wygląda też jakby doszło do konfliktu adresów czyli podsieć taka sama.
|
|
|
|
shibby |
Dodano 02-12-2022 20:50
|
SysOp
Posty: 17109
Dołączył: 15/01/2009 20:30
|
@pedro - mnie też to dziwi, niestety mam do testów tylko AC68 E1... Gdybym miał A1 to bym posprawdzał starsze wydania i spróbował namierzyć wersję na której przestało to działać :/ bo na mojej wersji na pewno to działało bo używałem tego tunelu przez lata.
pedro napisał: ↑
Owszem, wiem o problemach w zdalnym dostępie ale w trybie multiwan (czasem można wejść przez 1-szy WAN czasem przez 2-gi itd, tak ludzie zgłaszali), ale przy pojedynczym - nigdy...
.
w momencie kliknięcia "start" na vpn client to jakby ktoś wtyczkę odłaczył (wszystkie dostępy z zewnątrz przestają działać). Jak tylko zastopuję vpna to wszystkie dostepy wracają jak za naciśnięciem magicznej różdżki.
btw poprzedni błąd z 2020r z niedodającym się routingiem wpisanym w custom config też ja pierwszy wykryłem Widać dziwne konfiguracje używam xD
Jak będę miał chwilkę to nagram ci filmik jak to u mnie wygląda.
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology SA6400
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
|
|
|
|
qwerty321 |
Dodano 04-12-2022 05:41
|
Super User
Posty: 571
Dołączył: 27/04/2014 18:11
|
A ja zauważyłem, że w 2022.6 trzeba wygenerować nowe klucze VPN przy pomocy routera, bo nie chcą działać na openvpn 2.8, tym najnowszym na r7000 i n18u. Starsze klucze, takie generowane rok temu czy więcej, w ogóle blokują start serwerów VPN TAP i TUN. Klikasz "START" przy VPN i on się namyśla, że niby wstał i zdycha. Generalnie 2022.6 wymaga nowo wygenerowanych kluczy samym routerem. Nowe klucze leczą sprawę natychmiast. Coś jest z ich formatem czy coś? 2022.5 działało dobrze.
Może klucze VPN mu nie pasują? Ja musiałem na wszystkich routerach wygenerować klucze od nowa, bo albo nie wstawał VPN albo nie chciał działać z klientami.
Przekierowania robię na końcu więc nie sprawdziłem czy chodzą z tymi złymi kluczami.
Dodatkowo nie startuje ntpd na RT-N18U mimo zaznaczenia checboxów w Time żeby był serwerem czasu.
I na koniec próba restartu routera z gui kończy się zawieszeniem N18U, trzeba podejść i z przycisku wyłączyć mu prąd.
Instalowałem na kilku routerach, na czysto oczywiście 2022.6 i dziwnie się zachowuje. Dwa razy musiałem czyścić routery, bo po jakimś nieznaczącym zapisaniu czegoś po prostu się wysypał i musiałem czyścić NVRAM i ustawiać ponownie. Przestał się pingować i power nie pomagał, a zapisałem jakąś nieznaczącą sekcję. Tak jakby coś sobie zapisał nie tam gdzie potrzeba i zdechł.
Teraz mam jednego N18U, który się nie chce restartować, bo zawisa i nie startuje mu ntpd nawet po włączeniu do prądu. Dzisiaj go wyczyszczę i zobaczymy.
Scalony z 05 grudnia 2022 22:50:10:
Po trzykrotnym czyszczeniu NVRAM mu przeszło.
Najpierw przez gui później przez ssh ze 3 razy i dopiero reboot i jeszcze raz przez gui i już nie ma przypału ale to byłby trzeci, który mi się wysypał podczas ustawiania z palca.
Edytowany przez qwerty321 dnia 05-12-2022 22:50
|
|
|
|
bigl |
Dodano 11-12-2022 12:33
|
Maxi User
Posty: 996
Dołączył: 17/05/2006 00:12
|
@qwerty321 - mam R7000, FW 2022.6, serwerr VPN z kilkoma klientami, klucze generowane w 2019 i działają bez najmniejszego problemu. Upgrade od kilku wersji robię z zachowaniem konfiguracji. Wszystko działa.
Router: Netgear R7000 + FreshTomato (latest)
Wi-Fi: Ubiquiti U6-Lite
NAS: AsRock BeeBox Fanless + Ubuntu 20.04 Server + WD My Book Essential 8TB
Players: Odroid N2+ with Coreelec / Android TV (Nokia Streaming Box 8010)
|
|
|
|
zakk87 |
Dodano 12-12-2022 10:46
|
User
Posty: 124
Dołączył: 19/06/2020 12:59
|
AC66U_B1 2022.6 klucze nowe generowane w czerwcu na wersji 2022.3 i wszystko od tamtej pory działa.
Edytowany przez zakk87 dnia 12-12-2022 12:10
Freshtomato 2024.2 AIO @ RT-AC66U_B1
OpenWRT 23.05 @ DIR-1960
NAS OMV [CoolerMaster ELITE 110] [J1900I-C] [4GB RAM] [Toshiba HDWD130 + Hitachi 5K3000]
|
|
|
|
shibby |
Dodano 14-12-2022 09:33
|
SysOp
Posty: 17109
Dołączył: 15/01/2009 20:30
|
@petro - wracam z newsami odnośnie problemów z openvpn. Dorwałem RT-N12 D1 a co za tym idzie mogłem potestować starsze wersje tomato. Jakież było moje zdziwienie gdy okazało się, że na moich wersjach 132 i 140 ten problem też występował. Nie mogłem się z tym faktem pogodzić, bo przecież używałem tego tunelu u siebie od lat na wszystkich wersjach tomato.
Wyszło na to, że zjadła mnie rutyna... Problem był tylko u mnie i tylko w mojej specyficznej konfiguracji. Teoretycznie mój poligon doświadczalny to 2 osobne łącza z publicznymi IP, 2 osobne routery i między nimi testowałem połączenie vpn ale zapomniałem że mam ustawiony osobny, dedykowany dla mnie routing między tymi routerami na osobnym interfejsie. Finalnie ja do drugiego routera łączyłem się tym "specjalnym routingiem" ale po zestawieniu VPNa dostawał on routing do mojej podsieci kierowany przez tun11. W efekcie połączenie "z zewnątrz" przychodziło "moim specjalnym routingiem" zaś wrócić próbowało przez VPN i stąd zerwanie transmisji i efekt "zablokowanych portów". Gdy dziś przyniosłem do firmy router LTE to nagle wszystko działa tak jak powinno
Zatem sorry za zamieszanie.
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology SA6400
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
|
|
|
|
pedro |
Dodano 14-12-2022 10:10
|
Moderator
Posty: 1001
Dołączył: 21/09/2015 15:03
|
@shibby
Ha, dobrze wiedzieć (że jednak nie muszę szukać)
Swoją drogą mam pewien bardzo dziwny problem - wysłałem Ci maila.
//EDIT: swoją drogą jeśli ktoś używa W OpenVPN Routing Policy z kill switchem, to powinien korzystać z ostatniej wersji repo przynajmniej po tym commicie: https://bitbucket.org/pedro311/fresht...3052352e66. Dlaczego? Wprowadziłem serializację wywoływania wszystkich ważniejszych usług i wyszło na jaw wtedy, że wykrzacza się przy restarcie firewalla kill switch (opis w commicie).
Edytowany przez pedro dnia 14-12-2022 10:42
Netowski 1Gb/1Gb
Huawei E3372s-153 non-hilink + 2x15dBi MIMO
FreshTomato: Asus RT-AC3200 + RT-N18U + RT-N66U + RT-N12
|
|
|
|
shibby |
Dodano 15-12-2022 07:37
|
SysOp
Posty: 17109
Dołączył: 15/01/2009 20:30
|
@pedro napisałem co pw
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology SA6400
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
|
|
|
|
pedro |
Dodano 19-12-2022 17:38
|
Moderator
Posty: 1001
Dołączył: 21/09/2015 15:03
|
FreshTomato-ARM 2022.7 jest gotowe do pobrania. Więcej info w pierwszym poście
(I już nawet nie chce mi się prosić o dotacje, bo wszyscy z tego co widzę mają to w ... nosie)
Netowski 1Gb/1Gb
Huawei E3372s-153 non-hilink + 2x15dBi MIMO
FreshTomato: Asus RT-AC3200 + RT-N18U + RT-N66U + RT-N12
|
|
|
|
chans |
Dodano 22-12-2022 09:54
|
User
Posty: 109
Dołączył: 13/08/2007 15:48
|
pedro napisał: ↑ FreshTomato-ARM 2022.7 jest gotowe do pobrania. Więcej info w pierwszym poście
( I już nawet nie chce mi się prosić o dotacje, bo wszyscy z tego co widzę mają to w ... nosie)
Podziękował Dobry Człowieku. Pora zrobić aktualizację.
Ps. Święta idą więc ruszcie się z "Listem do Mikołaja" i niech Pedro też coś dostanie
|
|
|