|
VPN na WNR3500L v2 - podstawy i proba uruchomienia
|
| salo5 |
Dodano 09-04-2015 01:27
|
User
Posty: 26
Dołączył: 25/11/2007 23:50
|
Witam,
piszę tutaj mało, bo staram się sam dochodzić do wszystkiego, ale teraz mam zagwozdkę.
Chciałbym postawić serwer VPN na Netgearze WNR3500Lv2 i mam parę pytań.
To wszystko ma działać tak:
do mojego routera podpinają się hosty z zainstalowanym openvpn (zazwyczaj zmienne IP Neostrada) i dostają IP poprzez DHCP z tej samej puli co inne komputery w LAN gdzie jest router z tomato.
Teraz moje pytania:
1) jaki typ interfejsu wybrać na tomato? TUN czy TAP? Moim zdaniem TAP.
2) jaki protokół wybrać? TCP czy UDP?
3) czy muszę specjalnie jakieś dodatkowe porty przekierowywać?
4) czy wszystkie komputery będą siebie widziały, tzn. czy będę mógł pingować komputery podłączone poprzez VPN z urządzeń będących fizycznie w sieci LAN tomato?
5) czy komputery spięte w VPN będą mogły siebie wzajemnie pingować?
6) czy przekierowując port zewnętrzny np. FTP na IP urządzenie podłączonego przez VPN, będę mógł go zdalnie osiągnąć?
7) czy jest możliwe aby spinać sieci LAN w taki sposób, żeby 2 routery z tomato wzajemnie siebie widziały i zrobić z tego jedną sieć z jedna adresacją i pulą adresów IP przydzielanych przez DHCP?
Jeżeli ktoś pomoże to będę bardzo wdzięczny za odpowiedzi.
Z góry dziękuję!
Pozdrawiam! |
| |
|
|
| dedeer |
Dodano 09-04-2015 22:13
|
User
Posty: 38
Dołączył: 18/04/2014 20:28
|
Cytat salo5 napisał(a):
Witam,
piszę tutaj mało, bo staram się sam dochodzić do wszystkiego, ale teraz mam zagwozdkę.
Chciałbym postawić serwer VPN na Netgearze WNR3500Lv2 i mam parę pytań.
To wszystko ma działać tak:
do mojego routera podpinają się hosty z zainstalowanym openvpn (zazwyczaj zmienne IP Neostrada) i dostają IP poprzez DHCP z tej samej puli co inne komputery w LAN gdzie jest router z tomato.
Teraz moje pytania:
1) jaki typ interfejsu wybrać na tomato? TUN czy TAP? Moim zdaniem TAP.
2) jaki protokół wybrać? TCP czy UDP?
3) czy muszę specjalnie jakieś dodatkowe porty przekierowywać?
4) czy wszystkie komputery będą siebie widziały, tzn. czy będę mógł pingować komputery podłączone poprzez VPN z urządzeń będących fizycznie w sieci LAN tomato?
5) czy komputery spięte w VPN będą mogły siebie wzajemnie pingować?
6) czy przekierowując port zewnętrzny np. FTP na IP urządzenie podłączonego przez VPN, będę mógł go zdalnie osiągnąć?
7) czy jest możliwe aby spinać sieci LAN w taki sposób, żeby 2 routery z tomato wzajemnie siebie widziały i zrobić z tego jedną sieć z jedna adresacją i pulą adresów IP przydzielanych przez DHCP?
Jeżeli ktoś pomoże to będę bardzo wdzięczny za odpowiedzi.
Z góry dziękuję!
Pozdrawiam!
1. TAP - wtedy wszystkie komputery będą miały numery IP z tej samej puli. Przy TUN LAN będzie mieć np. 192.168.0.0/24, a klienty VPN: 10.10.0.0/24
2. W sumie obojętne. TCP = pewność dostarczenia pakietu, UDP = szybkość bez pewności. Zacznij od UDP. Im dalej geograficznie od serwera są klienty, tym wolniej będzie działać TCP.
3. Nie.
4. Tak
5. Tak
6. Nie bardzo rozumiem, o co chodzi.
7. Tak. |
| |
|
|
| salo5 |
Dodano 09-04-2015 23:43
|
User
Posty: 26
Dołączył: 25/11/2007 23:50
|
Cześć!
Dzięki za odpowiedzi, jeszcze jakbyś mógł doprecyzować:
- odnośnie 6go punktu:
komputer A (na którym działa serwer FTP) łączy się poprzez VPN do sieci B i dostaje adres IP: np. 192.168.1.15.
Teraz czy jak przekieruje port FTP na routerze sieci B na 192.168.1.15, to czy będę mógł z komputera C (np. w USA, niebędącego częścią sieci B) dostać się do komputera A na serwer FTP łącząc się z adresem IP zewnętrznym routera sieci B?
Jeszcze jedna sprawa:
Ile można userów podłaczyć przez VPN do Netgeara 3500Lv2?
Z góry dzięki za odpowiedź.
Pozdrawiam! |
| |
|
|
| dedeer |
Dodano 10-04-2015 00:13
|
User
Posty: 38
Dołączył: 18/04/2014 20:28
|
Cytat salo5 napisał(a):
Cześć!
Dzięki za odpowiedzi, jeszcze jakbyś mógł doprecyzować:
- odnośnie 6go punktu:
komputer A (na którym działa serwer FTP) łączy się poprzez VPN do sieci B i dostaje adres IP: np. 192.168.1.15.
Teraz czy jak przekieruje port FTP na routerze sieci B na 192.168.1.15, to czy będę mógł z komputera C (np. w USA, niebędącego częścią sieci B) dostać się do komputera A na serwer FTP łącząc się z adresem IP zewnętrznym routera sieci B?
Jeszcze jedna sprawa:
Ile można userów podłaczyć przez VPN do Netgeara 3500Lv2?
Z góry dzięki za odpowiedź.
Pozdrawiam!
Wydaje mi się, że byłoby to możliwe, nie mam jednak jak sprawdzić. Być może wymagałoby to jakiejś regułki w iptables, ale tu zgaduję.
Co do liczby klintów, to na stronie https://serverfault.com/questions/439...e-possible ktoś pytał o możliwość jednoczesnego podłączenia do 1 mln klientów i wyszło, że nie jest to niemożliwe ale:
"You would mainly need to consider these two points:
- The bandwidth your data transfers are going to use would need encryption / decryption at the VPN server side, consuming CPU resources.
- OpenVPN client connections consume both, memory and CPU resources on the server even when no data is transferred.
WNR3500L v2 to nie jest demon prędkości więc nie liczyłbym na zbyt dużo. Jeśli chciałbyś umożliwić jednoczesne połączenia większej liczbie klientów, to albo robisz router z komputera i na nim uruchamiasz OpnVPN, albo jakieś rozwiązania dedykowane, ale na tym się nie znam. |
| |
|
|
| salo5 |
Dodano 10-04-2015 00:20
|
User
Posty: 26
Dołączył: 25/11/2007 23:50
|
Myslalem o około 30-40 klientach... |
| |
|
|
| majkel152 |
Dodano 10-04-2015 00:36
|
OL Maniac
Posty: 1716
Dołączył: 09/06/2010 14:36
|
routerboard jakis z mt l4+ np 2011
nie znam się na tym ^^
kupię coś fajnego
sieć domowa:
router z pfsense https://i.imgur.com/IuB6Zwy.png, jakieś dziwne urządzenia , ups, światłowody, apeki i działa miło  |
| |
|
|
| salo5 |
Dodano 28-10-2015 14:26
|
User
Posty: 26
Dołączył: 25/11/2007 23:50
|
Cześć,
temat trochę odkopuję ale mam kolejne pytania:
tak czytam i czytam i im wiecej czytam tym więcej nie rozumiem
Proszę o podpowiedzi:
1) czy połączenie TAP zabiera dużo więcej "łącza" niż TUN?
2) czy przy połączeniu TUN "ja rozumiem że tworze nowa sieć", czy mogę w niej używac DHCP?
3) czy w tej nowej sieci na TUN wszystkie komputery z dwóch połączonych sieci sie widzą?
Z góry dzięki za odpowiedź. |
| |
|
|
| shibby |
Dodano 29-10-2015 09:02
|
SysOp
Posty: 17110
Dołączył: 15/01/2009 20:30
|
TAP jest przeźroczysty, TUN to defacto NAT między podsieciami.
TAP ma jedną zasadniczą wadę - przepuszcza wszystko, łącznie z broadcastami, co generuje masę niepotrzebnego ruchu. Sprawia również, że broadcasty DHCP przechodzą między podsieciami, wynikiem czego może być sytuacja w której klient z routerem A dostanie dzierżawę IP z routera B i on będzie dla niego bramą domyślną, zatem cały ruch internetowy klienta będzie szedł niepotrzebne przez router B po VPNie.
BTW przy scalaniu podsieci może lepiej zainteresuj się TINC.
Router: Unifi Cloud Gateway Max
Switch: Netgear MS510TXPP
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| salo5 |
Dodano 29-10-2015 14:37
|
User
Posty: 26
Dołączył: 25/11/2007 23:50
|
Dzięki @shibby za odpowiedź.
ja nie chce przepuszczać Bóg wie jakiego ruchu - potrzebuję spiąć kilka dekoderów nc+.
Z moich wyliczeń: 4-5MB ruchu dziennie.
Ale czy to nie zamuli mi routera?
A jakbym chciał podłączyć 20 tuneli?
To wtedy pewnie lepszy router? Tylko czy on da radę.
Łącze mam 20/1.
A teraz wracając do TUN:
- np. mam pierwszą sieć: 192.168.1.x, drugą 192.168.2.x - teraz tworzę nowa podsieć: 10.0.0.x gdzie będą urządzenia podpinane po TUN - czy tam się da ustawić jakieś DHCP?
Coraz częściej chodzi mi po głowie router na Debianie, ale konfiguracja "z klawiatury" mnie przeraża - wolałbym mieć możliwość wyklikiwania - czy może jest jakiś program/nakładka na Debiana, która umożliwi mi to?
A może jakiś routerowy linux z nakładką www do ustawień?
Z góry dzięki za odpowiedzi i przepraszam za marudzenie.
Pozdrawiam! |
| |
|
|
| kamilj |
Dodano 29-10-2015 15:25
|
Moderator
Posty: 982
Dołączył: 28/12/2011 12:24
|
Z takim łączem może być ciężko przy 20 dekoderach nc+.
Co do routera wiżej padła propozycja MT rb2011 i po sprawie.
------------------------------------------------------------------------------
[b] RegulaminOpenlinksys.info v0.1
[url=http://openlinksys.info/forum/viewthread.p |
| |
|
|
| shibby |
Dodano 29-10-2015 15:40
|
SysOp
Posty: 17110
Dołączył: 15/01/2009 20:30
|
salo5 - 20 osobnych tuneli czy 20 klientów VPN podpiętych do jednego tunelu bo to różnica
Tak jak pisałem TAP przepuszcza wszystkie broadcasty. Oczywiście są one niezbędne do działania mutliroomu więc o TUNie w tym przypadku można zapomnieć. Dlatego w tutorialu o multiroomie pokazywałem jak należy wydzielić port dekodera do osobnej podsieci, bo defacto on będzie dostawał dzierżawę IP z DHCP routera, na którym stoi serwer VPN. Taki serwer DHCP musi w podsieci istnieć tylko jeden by nie dochodziło do konfliktów adresów IP.
Mutliroomu dla więcej niż jednego klienta nie testowałem ale jego zasada konfiguracji powinna być identyczna jak dla tej przedstawionej przeze mnie. Jedyna różnica to zmiana static key na TLS i wygenerowanie certyfikatów klienckich lub wersja prostsza z autoryzacją po loginie i haśle. Ale i w tym przypadku zasada wydzielenia VLANu dla dekoderów musi być zachowana.
Router: Unifi Cloud Gateway Max
Switch: Netgear MS510TXPP
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| salo5 |
Dodano 30-10-2015 14:40
|
User
Posty: 26
Dołączył: 25/11/2007 23:50
|
Cześć męczę dalej
A czy jak zestawię połączenie takie jak w temacie multiroom N po VPN, to czy będę widział też router na którym ten VPN "po stronie wtórnej" i czy będę mógł sobie na nim np. robić zmiany przez www jeżeli nie ma na nim zewnętrznego IP? |
| |
|
|
| hermes-80 |
Dodano 31-10-2015 10:08
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
Cytat salo5 napisał(a):
Cześć męczę dalej
A czy jak zestawię połączenie takie jak w temacie multiroom N po VPN, to czy będę widział też router na którym ten VPN "po stronie wtórnej" i czy będę mógł sobie na nim np. robić zmiany przez www jeżeli nie ma na nim zewnętrznego IP?
Tak będziesz miał do niego dostęp po wewnętrznym IP do puki tunel nie padnie.
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
' target='_blank'>Link
