23 Listopada 2024 02:57:20
Nawigacja
· Strona Główna
· Forum

· Tomato by Shibby
· FreshTomato


Wątki na forum
Najnowsze dyskusje
· [S] Asus RT-AC56U
· DIR868l OFW asus vs ...
· Szukam zaproszenia n...
· [MOD] FreshTomato-AR...
· Asus RT-AC5300 ,prob...
· archer c6 v3.20
· [S] Nighthawk R7000P...
· [S]Asus RT-AC5300 - ...
· Tanie N100 na promce...
· net z telefonu wifi+...
· Tomato - bugi/proble...
· HUAWEI z światłowodem
· Asus TUF-AX3000_V2 p...
· rt-ax88upro częste ...
· [Howto] Xpenology na...
· Jaki router pod Open...
· Ruter z tomato
· Czy to jeszcze NAS?
· RT AC66U B1
· Wireguard na FreshTo...
Najpopularniejsze obecnie wątki
· Szukam zaproszeni... [19]
· DIR868l OFW asus ... [8]
· [S] Asus RT-AC56U [0]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
36% [151 głosów]

Broadcom ARM
Broadcom ARM
52% [219 głosów]

Atheros
Atheros
5% [22 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
1% [3 głosów]

Intel/AMD/VIA
Intel/AMD/VIA
1% [5 głosów]

Żaden z powyższych
Żaden z powyższych
4% [15 głosów]

Ogółem głosów: 419
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38
Twoje IP
18.191.27.78
Zobacz wątek
OpenLinksys » :: PORTAL :: » Tutoriale
 Drukuj wątek
Multiroom N z wykorzystaniem openVPN
Steel_Rat
VLAN też musisz ustawić. Przeczytaj jeszcze raz tutka. Pisało tam że masz do 4 portu podpiąć drugi dekoder.
WRT3200ACN (WRT32X) + OpenWRT 18.06+światełko 150/150 Mb/s
Asus RT-AC68UvE1 + RMerlin + Entware
Netgear WNR3500Lv2 + DDWRT
 
wojgp
Na razie chcę połączyć 2 sieci LAN, nie zależy mi na wydzielaniu portu z routera. Wg tutoriala doszedłem do połowy drogi i pytanie czy w tym momencie tunel vpn powinien już działać ?
W logach routerów widać że tunel już jest i nie ma błędów, ale jakoś kompy się nie widzą :-/

Połączony z 10 January 2015 00:14:59:
Sam sobie odpowiem Wink Wszystkie routery muszą być z IP w tej samej podsieci przy VPN typu TAP , w moim przypadku 192.168.15.x i działa idealnie Wink
Chyba że ktoś ma jakąś inna wizję. Wink
Edytowany przez wojgp dnia 10-01-2015 00:14
 
hermes-80
Przecież to jest oczywista oczywistość przy TAP.
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
 
dar3k
Potrzebuje małej pomocy bo nie mogę sobie poradzić z konfiguracją serwera i klienta.
Skonfigurowałem serwer (niestety nie na tomato) oto jego plik conf


# amod OpenVPN server configuration file
# created by ovpn 01/10/15 21:18:35

########################################
# DO NOT touch these

dev ovpns
dev-type tap
dev-node /dev/tun0
proto tcp-server
daemon
writepid /var/run/openvpn_server.pid
script-security 3
secret /etc/amod/conf/openvpn/openvpn_server_static.key
log /tmp/ovpnspipe
status /var/log/openvpn_server_status.log 60

local 192.168.0.1
lport 1194

########################################
# You may touch these, but only
# if you know what you are doing

#user nobody
#group nobody

nice 12
mute 3
suppress-timestamps

keepalive 10 60
ping-timer-rem
persist-tun
persist-key
persist-remote-ip
float


łączę się do niego z tomato poniżej konfiguracja klienta



# Automatically generated configuration
daemon
dev tap11
proto tcp-client
remote dar3k.myftp.org 1194
ifconfig 192.168.0.200 255.255.255.0
resolv-retry 5
nobind
persist-key
persist-tun
comp-lzo adaptive
verb 3
secret static.key
status-version 2
status status

# Custom Configuration
log-append /var/log/openvpn.log


Połączenie się zestawia oto logi z serwera:


TCP/UDP: Preserving recently used remote address: [AF_INET]18.*.*.*:55188
Preserving previous TUN/TAP instance: ovpns
Listening for incoming TCP connection on [AF_INET]192.168.0.1:1194
TCP connection established with [AF_INET]18.*.*.*:26009
TCPv4_SERVER link local (bound): [AF_INET]192.168.0.1:1194
TCPv4_SERVER link remote: [AF_INET]18.*.*.*:26009
Peer Connection Initiated with [AF_INET]18.*.*.*:26009
Initialization Sequence Completed


Jeszcze logi z klienta na tomato


Sat Jan 10 21:35:40 2015 Preserving previous TUN/TAP instance: tap11
Sat Jan 10 21:35:40 2015 Attempting to establish TCP connection with [AF_INET]77.255.13.*:1194 [nonblock]
Sat Jan 10 21:35:44 2015 TCP connection established with [AF_INET]77.255.13.*:1194
Sat Jan 10 21:35:44 2015 TCPv4_CLIENT link local: [undef]
Sat Jan 10 21:35:44 2015 TCPv4_CLIENT link remote: [AF_INET]77.255.13.*:1194


Niestety nie przechodzą pingi między sobą - routery się nie widzą :(

Na tomato wydzieliłem jeden port to osobnego vlana, tak jak w opisie, po podpięciu do portu komputera nie może połączyć się z serwerem dhcp - pomoże ktoś?

PS: na routerze gdzie jest serwer openvpn serwer DHCP przydziela IP z puli .10 - .100
Edytowany przez dar3k dnia 10-01-2015 21:39
ER-12 + 4x UAP-AC-PRO
 
hermes-80
U mnie tak wygląda konfiguracja klienta na tomato TAP certyfikaty - pewnie jakiś wpisów w firewallu nie masz:

cat /etc/openvpn/client1/config.ovpn
# Automatically generated configuration
daemon
client
dev tap11
proto tcp-client
remote coś.tam.pl 1466
resolv-retry 30
nobind
persist-key
persist-tun
comp-lzo yes
cipher AES-128-CBC
verb 3
status-version 2
status status

# Custom Configuration
ca /jffs/ca.crt
cert /jffs/client1.crt
key /jffs/client1.key

Oraz firewall:
cat /etc/iptables
*mangle
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-I PREROUTING -i vlan1 -j DSCP --set-dscp 0
COMMIT
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:WANPREROUTING - [0:0]
xxxxxx
-A PREROUTING -i vlan1 -d 192.168.1.1/255.255.255.0 -j DROP
-A PREROUTING -i vlan1 -d 192.168.200.2/255.255.255.0 -j DROP
xxxxxx
-A POSTROUTING -o br0 -s 192.168.1.1/255.255.255.0 -d 192.168.1.1/255.255.255.0 -j SNAT --to-source 192.168.1.1
-A POSTROUTING -o br1 -s 192.168.200.2/255.255.255.0 -d 192.168.200.2/255.255.255.0 -j SNAT --to-source 192.168.200.2
COMMIT
*filter
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]
xxxxx
-A INPUT -i lo -j ACCEPT
-A INPUT -i br0 -j ACCEPT
-A INPUT -i br1 -j ACCEPT
xxxxxx
:FORWARD DROP [0:0]
-A FORWARD -m account --aaddr 192.168.1.0/255.255.255.0 --aname lan
-A FORWARD -m account --aaddr 192.168.200.0/255.255.255.0 --aname lan1
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -i br1 -o br1 -j ACCEPT
xxxxxx
:monitor - [0:0]
xxxxxx
:wanin - [0:0]
:wanout - [0:0]
xxxxxx
-A FORWARD -i br0 -o br1 -j DROP
-A FORWARD -i br1 -o br0 -j DROP
-A FORWARD -i vlan1 -j wanin
-A FORWARD -o vlan1 -j wanout
-A FORWARD -i br0 -j ACCEPT
-A FORWARD -i br1 -j ACCEPT
COMMIT

===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
 
dar3k
Z tego co widzę to ty masz ustawiony routing między dwoma vlanami, a ja chce tak jak w opisie przekierować cały ruch VPN na jeden port fizyczny. W moim przypadku firewalla nie potrzeba dotykać - tak jak w pierwszym poście mam skonfigurowane porty routera.

Połączony z 12 January 2015 22:11:06:
problem rozwiązany, nie wiem dlaczego ale na tomato miałem ustawiony parametr kompresja na adaptacyjny, a na serwerze miałem go odznaczonego. Jak zahaczyłem na serwerze to zaczęło działać Smile

Połączony z 13 January 2015 21:08:33:
Próbował, ktoś może skonfigurować routing między tymi sieciami? (jeden port jest całkowicie w sieci VPN, a wszyscy userzy z sieci lokalnej np. 192.168.1.0 mają dostęp do sieci z tunelu 192.168.0.0) ?
Edytowany przez dar3k dnia 13-01-2015 21:08
ER-12 + 4x UAP-AC-PRO
 
Bambus
Panowie mam pytanie jak poprawnie Ustawić DDNS, w lokalizacji pierwszej mam NEO i Liveboxa a do Liveboxa mam podpiętego asusa rt-n10u do którego jest matka podpięta.
I moje pytanie jak ustawić liveboxa i asusa, tak żeby publicznie był widoczny a zarazem tunel łączył się poprawnie?
 
dar3k
Spróbuj w livebox skonfigurować DMZ na asusa, wepnij liveboxa do asusa jako WAN.
ER-12 + 4x UAP-AC-PRO
 
Bambus

Cytat

dar3k napisał(a):

Spróbuj w livebox skonfigurować DMZ na asusa, wepnij liveboxa do asusa jako WAN.

Dzięki za odpowiedź, właśnie tak zrobiłem i działa wszystko ok Smile
 
dar3k
Teraz asus stał się routerem, który ma otwarte porty na "świat" jeżeli masz ustawiony WAN w tej samej podsieci co LAN to uważaj bo wszystkie porty otwarte w LAN będziesz miał dostępne z internetu! Jeżeli na WAN masz inne IP niż na portach LAN to wtedy nie ma tego problemu!
ER-12 + 4x UAP-AC-PRO
 
mp0011
Witam,

Po dwóch miesiącach bezproblemowej pracy, coś przestało się łączyć.

Dekodery mam podpięte następująco:

Matka => RaspberriPI (VPN) =(wifi)=> Livebox2 => neostrada
Klient => Router (jako switch i DHCP) => Laptop (debian - VPN) =(wifi)=> Modem UPC => UPC (stałe IP)

Laptop pinguje raspberry, router, i 8.8.8.8 (google.pl) bez problemu.

Raspberry pinguje laptop oraz 8.8.8.8, ale nie pinguje już routera.

Pingowanie routera z Raspberry powoduje zerwanie tunelu - przestają przechodzić jakiekolwiek pingi...

Znalazłem też jedną podejrzaną rzecz, mianowicie polecenie ifconfig na laptopie nie wykazuje adresu IP na interfejsie tap0 (w raspberry jest przypisany adres taki sam jak br0).

W którym momencie ten adres powinien się do tego inferfejsu przypisać i co może być przyczyną zrywania połączenia?
 
dar3k
Coś zmieniałeś, np. update tomato?
wrzuć configi dla obu lokalizacji. Tunel się zestawił (co podaje gui tomato?)
ER-12 + 4x UAP-AC-PRO
 
mp0011
Nie używam Tomato (sorka jeżeli zaśmiecam temat, ale był on główną inpiracją przy mojej konfiguracji), tylko debiana i raspberry (też debian).

TV zaczęła działać (mógł być za słaby sygnał z anteny, co powodowało niechęć do synchronizacji - objawy taki jak przy niedziałającym tunelu - ciągła miganie diod na switchu/routerze. Dziwna sprawa). TV działą już bezproblemowo.

Zastanawia mnie tylko czemu tunel wywala się przy pingowaniu routera z poziomu Raspberry.
Jaki konkretnie pliki chcesz obejrzeć?
Edytowany przez mp0011 dnia 28-01-2015 13:49
 
dar3k
config.ovpn z jednej i drugiej lokalizacji na poczatek
ER-12 + 4x UAP-AC-PRO
 
servee
Zestawiałem połączenie wg tutoriala i mam kilka spostrzeżeń. Część z nich przewinęła się już w tej dyskusji bo powodowała problemy z właściwą konfiguracją.
I tak:

Problem 1

Cytat

shibby napisał(a):

Przechodzimy do Basic -> Network i tworzymy nowy bridge:

Cytat

Bridge: br2
STP: nie
IP Address: tu ustawiamy TEN SAM ADRES IP, który wpisaliśmy w kliencie ovpn czyli 192.168.0.200
Netmask: 255.255.255.0
DHCP: NIE


Zapisujemy.


U mnie należało wybrać kolejny wolny. Np. jeśli miałem tylko br0, to ustawić musiałem Bridge: br1.
Jeśli nie ustawiłem tego tak jak powyżej, to przy konfiguracji klienta openVPN w VPN Tunneling -> OpenVPN Client zakładka Basic "Bridge TAP with..." po wybraniu br2 klient nie startował. Startował natomiast gdy wskazywałem mu br0, które w tym przypadku nie ma zastosowania, bo jest do innych celów.

Problem 2

Cytat

shibby napisał(a):

Przechodzimy na Advanced VLAN. Wypinamy port4 z LAN (br0), dodajemy nowy VLAN np VLAN4, VID4, zaznaczamy port4 i bridge LAN2 (br2). Zapisujemy. Wykonany zostanie reset routera.

Miałem problemy z wypięciem portu, bo po zapisaniu zmian wypięty port dalej widniał w br0 jak i w nowym VLAN'ie. Rozwiązanie, które u mnie się sprawdziło zaproponował RedDevil.

Cytat

RedDevil napisał(a):
Port możesz odpiąć od vlanu w dość prosty sposób. Ściągnij sobie PUTTY, zaloguj się na router przez telnet i zrób to tak jak opisano tutaj: http://tomatousb.org/forum/t-620710

Najważniejsze, żeby zauważyć inną numerację portów niż na urządzeniu :D shibby wspomniał w odpowiedzi na Twój post o mapowaniu i wtedy mnie olśniło, bo już wcześniej się dziwiłem dlaczego WAN jest u mnie na porcie 4 w GUI :D W moim Asusie RT-N12 wygląda to tak:

Porty na urządzeniu: 1 2 3 4 WAN
Porty w oprogramowaniu: 3 2 1 0 4

Czyli żeby na porcie 1 i vlan2 mieć IP z podsieci serwera należy przez telnet (bo przez GUI chyba nie uda się wypiąć tego portu) wykonać coś takiego:


nvram set vlan0ports="2 1 0 5*"
nvram set vlan2ports="3 5*"
nvram set manual_boot_nv=1
nvram commit


Po wykonaniu tych poleceń wystarczy zrestartować router, można przez GUI, po restarcie wystartować klienta i wszystko będzie grało. Sprawdziłem w kompie, że przydziela IP z podsieci serwera

oraz kilmariusz

Cytat

kilmariusz napisał(a):

Jest lepszy sposób, proponuję wpisać to do pierwszego postu.
Problem w tym że podczas restartu system przywraca wartości domyślne nvram. Żeby to wyłączyć trzeba wykonać taki skrypt :

zaloguje się przez ssh
wykonaj komendy
nvram set manual_boot_nv=1
nvram commit

następnie wejdź przez przeglądarkę i ustaw tak jak należy.

Po kolejnym restarcie już da się odłączyć port 4 od vlan0


- Alternatywa

W tymi miejscu można również skorzystać z VLAN przez WiFi bez potrzeby odpinania portu. Tą część tutka z powodzeniem zastąpić można kolejnym tutkiem zaproponowanym przez kille72. Testowałem - działa.

Problem 3

Dla Tomato w wersji v123 i wcześniejszej u mnie jak i u innych pojawiały się problemy z uruchomieniem klienta openVPN po wpisaniu skryptu w Custom Configuration.

Cytat

shibby napisał(a):
Następnie na zakładce VPN Tunneling -> OpenVPN Client -> Advanced w polu Custom Configuration wpisujemy:
[quote]script-security 2
up /tmp/bridgeTAP

Pomogło dopiero.

Cytat

shibby napisał(a):
Skrypt ten można zapisać również na stałe np na jffs

Po wpisaniu go do jffs i zrestartowaniu routera klient startował.

Konfigurację wykonywałem na RT-N10U, czyli z Mipsel'em na pokładzie bezpośrednio po wyczyszczeniu nvram.
 
shibby
ad problem 1) racja. Ja pod br1 miałem sieć gościnną, dlatego u mnie kolejnym wolnym br był właśnie br2.
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology SA6400
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
 
Barticf
Gdyby ktoś chciał by tylko dany adres ip przechodził przez sieć vpn:
Openvpn client - basic - Create NAT on tunnel (odznaczyć)
Openvpn client - advanced - Redirect Internet traffic (odznaczyć)
W Custom Configuration dopisać route-nopull
Do skryptów np. Firewall dodać wpis

iptables -I FORWARD -i br0 -o tun11 -j ACCEPT
iptables -I FORWARD -i tun11 -o br0 -j ACCEPT
iptables -I INPUT -i tun11 -j REJECT
iptables -t nat -A POSTROUTING -o tun11 -j MASQUERADE


Do skryptu WAN dodać

sleep 30
ip route flush table 200
ip route flush cache
ip rule add from 192.168.1.6 lookup 200
ip rule add from 192.168.1.8 lookup 200
VPN_GW=`ifconfig tun11 | awk '/inet addr/ {split ($2,A,":"); print A[2]}'`
ip route add table 200 default via $VPN_GW dev tun11


Dzięki temu tylko adresy 1.6 i 1.8 przechodzą przez sieć VPN
 
overflow2
Czy próbowaliście ustawić tego vpn-a tak, aby urządzenia wpięte do routerów klienckich miały dostęp do neta, oraz aby chodziły pingi we wszystkie strony (teraz pingi chodzą tylko z urządzenia do servera, ale z urządzenia do urządzenia już nie)... wydaje mi się że jest jedna przyczyna dla obu tych problemów... routing? Jak to ustawić?

Chciałbym mieć możliwość zarządzania routerami klienckimi z telefonu który również będzie klientem vpn. Na ten moment mogę się zalogować bez problemu na server, ale na klientów już nie.
Asus RT-AC56U FT-AIO
 
servee
Jak powinno być ustawione przydzielane IP od strony klienta VPN? Pytam, bo DHCP w tutku jest wyłączone.
Czy należy go na sztywno wpisać w routerze (jeśli tak, to od strony klienta czy serwera?), czy w urządzeniu końcowym, czy może tunel powinien przepuścić urządzenie od klienta VPN do serwera VPN, a serwer z racji tego, że ma DHCP włączone przydzieli IP?
Chcę to ustawić tak, żeby było dobrze i nie powodowało konfliktów, ale jednocześnie zależałoby mi na automatycznie przydzielanym IP, bo VLAN mam zrobione po wifi. W tutorialu nie zostało to opisane.
 
overflow2
Ja mam na serwerze przypisane na sztywno adresy, bo chcę mieć porządek.

Co do urządzeń podpiętych do klientów to one sobie z automatu pobiorą adresy z serwera, nawet jak nie będą na nim przypisane na sztywno.
Asus RT-AC56U FT-AIO
 
Przejdź do forum
Zaloguj
Wprowadź adres e-mail lub nazwę użytkownika

Hasło



Nie masz jeszcze konta? Zarejestruj się.

Zapomniałeś/aś hasła?
Aktualnie online
· Gości online: 77

· Użytkowników online: 0

· Łącznie użytkowników: 24,115
· Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.

Maniek91PL
06-11-2024 22:37
dzięki !Grin

maxikaaz
29-10-2024 14:27
@Maniek91PL - Administration=> Admin Access, i tam masz "Allow Wireless Access" do zaznaczenia

Maniek91PL
26-10-2024 22:07
siemka! ktoś przypomni co się ustawiało jeśli nie mogę wejść od strony wifi do tomato? od lan działa

overflow2
04-10-2024 17:34
Kupowałem Asusy n10u albo n12d1 ale nie widzę ich, chyba już nie produkują, Chodzi o coś nowego i taniego. Transfery niewielkie.

maxikaaz
04-10-2024 09:38
@overflow2 patrząc po dostępności funkcji w nowych kompilacjach, to chyba nawet WRT54G/GL jeszcze ma OpenVPN, albo jakiś odpowiednik... zależy, na jakie transfery liczysz.

overflow2
30-09-2024 20:53
Jaki aktualnie najtańszy router do tomato do openvpn?

maxikaaz
27-07-2024 15:07
@servee - na początek router do rozebrania i obejrzenia, ciężko wróżyć tak tylko po objawach

maxikaaz
27-07-2024 14:55
@servee - cały kontroler nie pada tak sobie z powodu "zbiegu okoliczności",
więc prawdopodobnie gdzieś przepięcie.

servee
25-07-2024 13:33
@maxikaaz: działało, aż pewnego pięknego dnia przestało działać. W tym dniu była też burza, ale to raczej zbieg okoliczności.

maxikaaz
25-07-2024 11:38
@servee - o ile problem jest w obrębie samych wyjść (dławiki, warystory), to naprawialne, ale jeśli w samym SoC - to nienaprawialne ze względu na koszta. A co było przyczyną?

95,328,815 unikalnych wizyt