24 Listopada 2024 03:22:21
Nawigacja
· Strona Główna
· Forum

· Tomato by Shibby
· FreshTomato


Wątki na forum
Najnowsze dyskusje
· [S] Asus RT-AC56U
· DIR868l OFW asus vs ...
· Szukam zaproszenia n...
· [MOD] FreshTomato-AR...
· Asus RT-AC5300 ,prob...
· archer c6 v3.20
· [S] Nighthawk R7000P...
· [S]Asus RT-AC5300 - ...
· Tanie N100 na promce...
· net z telefonu wifi+...
· Tomato - bugi/proble...
· HUAWEI z światłowodem
· Asus TUF-AX3000_V2 p...
· rt-ax88upro częste ...
· [Howto] Xpenology na...
· Jaki router pod Open...
· Ruter z tomato
· Czy to jeszcze NAS?
· RT AC66U B1
· Wireguard na FreshTo...
Najpopularniejsze obecnie wątki
· DIR868l OFW asus ... [8]
· [S] Asus RT-AC56U [0]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
36% [151 głosów]

Broadcom ARM
Broadcom ARM
52% [219 głosów]

Atheros
Atheros
5% [22 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
1% [3 głosów]

Intel/AMD/VIA
Intel/AMD/VIA
1% [5 głosów]

Żaden z powyższych
Żaden z powyższych
4% [15 głosów]

Ogółem głosów: 419
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38
Twoje IP
3.149.239.79
Zobacz wątek
OpenLinksys » :: PORTAL :: » Tutoriale
 Drukuj wątek
Zaufany certyfikat SSL dla połączeń https w tomato
Efamon
Witam wszystkich Smile

Ostatnio musiałem odnowić certyfikat na StartSSL dla GUI Tomato i mam problem, choć z tego co sprawdziłem dotyczy również certyfikatów generowanych przez WoSign. Na Chrome oraz IE certyfikaty są rozpoznawane poprawnie (tzn. z całą ścieżką certyfikacji), natomiast Firefox 43.0.4 ma problem z certyfikatami pośrednimi, jakby w ogóle ich nie wczytywał:
Certyfikat nie jest zaufany, ponieważ certyfikat wystawcy jest nieznany.
Serwer może nie wysyłać właściwych certyfikatów pośrednich.
Import dodatkowego certyfikatu głównego może okazać się konieczny.


Nadmienię, że w pliku /etc/cert.pem znajdują się 3 certyfikaty w kolejności: certyfikat dla serwera, certyfikat pośredni oraz certyfikat roota. Mam Tomato w wersji Tomato Firmware 1.28.0000 MIPSR2-132 K26 USB AIO (RT-N).

Czy ktoś wie gdzie może tkwić problem i jak go rozwiązać?
 
kpietrek

Cytat

qrs napisał(a):

udało się, wygenerowałem cert dla ?????.noip.me ważny na 3 lata za free Wink

certyfikat wygenerowałem w serwisie https://buy.wosign.com

Common Name (CN) zweryfikowałem tak jak napisał shibby

Cytat

shibby napisał(a):

3) autoryzacja WWW. Należy umieścić na stronie ze swoją domeną plik z odpowiednim wpisem. I to jesteś w stanie wykonać używając chociażby wbudowanego w tomato nginxa na porcie 80.


Podpowiedzcie proszę jak tego ngixa odpalić by zweryfikowac domenę dla potrzeb certyfikatu. Robie to pierwszy raz.
Netgear R7000 + FreshTomato Firmware 2021.2 K26ARM USB AIO-64K
Asus RT-N18U + FreshTomato Firmware 2021.2 K26ARM USB VPN-64K-NOSMP
Asus RT-AC56U + Tomato Firmware 1.28.0000 -138 K26ARM USB AIO-64K
 
qrs

Cytat

przemasisko napisał(a):

O fajna inicjatywa, Let's Encrypt! Tylko czy certyfikat będzie można wykorzystać w subdomenie? (np. router.serwer.pl). Darmowy StartSSL to potrafi póki co.


let's encrypt jak otrzymujesz to też nie jest zaufany
---
Netgear R7000Netgear WNR3500L v2MikroTik hAP ac^2TP-LINK M7650
 
kpietrek
Po wgraniu nowego softu i czyszczeniu NVRAM jak teraz to ustawić?? Wszystko od początku?? Mam wcześniej wygenerowany cert ssl na wosign.com. Jak przywrócić ponownie ten certyfikat ??

Połączony z 15 luty 2017 19:36:02:
Ok. Już sobie poradziłem.
Edytowany przez kpietrek dnia 15-02-2017 19:36
Netgear R7000 + FreshTomato Firmware 2021.2 K26ARM USB AIO-64K
Asus RT-N18U + FreshTomato Firmware 2021.2 K26ARM USB VPN-64K-NOSMP
Asus RT-AC56U + Tomato Firmware 1.28.0000 -138 K26ARM USB AIO-64K
 
lulo
1.) Czy mógłby ktoś szczegółowo rozwinąć kwestię (wytłuszczonym tekstem) z postu #1-ego ?:

Cytat:
(...)
2) walidacja posiadania zgłoszonej domeny poprzez adres email (konieczność posiadania maila admin@domena, administrator@domena, webmaster@domena etc) lub poprzez wpis CNAME w DNSie
(...)
Ma to związek z niemożnością (a raczej sporą uciążliwością) stawiania specjalnie dla samego kodu weryfikacyjnego dla domeny serwera poczty (dotyczy StartSSL).

2). Czy można zastosować, a jeżeli tak to jak w praktyce, opisany sposób w poście #63, tyle że w lede/openwrt (stosowna składnia, o ile jest ta sama funkcjonalność) ?:

Cytat


(...)
A żeby działał ci lokalnie to w konfiguracji dnsmasq wystarczy dodać wpis by ta domena dla lokalnych zapytań przyjmowała adres ip lokalny np.,
address=/moja.domena.pl/192.168.1.1

Czyli jeżeli z zewnątrz, z internetu ktoś wywoła adres subdomeny np. poczta.domena.pl (który jest lokalnym adresem domenowym wewnętrznego ip, na którym słucha coś - tu w przykładzie np. jakiś serwer poczty), to dnsmasq przetłumaczy to, iż skieruje to na adres lokalny (lokalne ip) ? - dobrze zrozumiałem ?
Bo w LAN to faktycznie wydaje się to nieco bez sensu...

Połączony z 17 luty 2017 16:44:44:
Odnoszę wrażenie, że temat zaledwie został poruszony i brak jakichś na prawdę wyczerpujących opisów dla owych darmowych certów StartSSL, Let's Encrypt, Wosign w kontekście zastosowania tego dla routera i jednocześnie na potrzeby sieci lokalnej za tym routerem...

Połączony z 17 luty 2017 16:48:13:
Tak na marginesie Wosign już zaprzestał możliwości generowania certów domenowych za free.
Edytowany przez lulo dnia 17-02-2017 16:48
 
shibby
Ten opis pokazuje jak dodać posiadamy już certyfikat do routera a nie jak go wygenerować. Jeżeli jest potrzeba przedstawienia dokładniejszego procesu generowania certyfikatu to wystarczy poprosić.

Walidacja za pomocą wpisu w DNSie polega na hmm wpisu w DNSie Smile Nie wiem jak to dokładniej wytłumaczyć. Wybierając tą opcję jesteśmy proszeni by zrobić odpowiedni wpis w DNSie. Ten sposób walidacji zadziała oczywiście gdy posiadamy własną domenę a nie np. tą z dynDNSa.

Na domenę dynDNS lepiej wybrać walidację WWW, gdzie jesteśmy proszeni wstawić pliczek html na serwerze, na który wskazuje domena np. http://moja.domena.pl/blablabla123.html. Gdy wskazany plik będzie dostępny pod wskazanym adresem to znaczy, że mamy prawa do tej domeny.

Jeżeli zaś chodzi o kwestię konfiguracji dnsmasq w openwrt to wystarczy dodać powyższy wpis w plik /etc/dnsmasq.conf, choć można zrobić to też przez /etc/config/dhcp (tu musisz użyć odpowiedniej składni UCI).
https://wiki.openwrt.org/doc/howto/dhcp.dnsmasq
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology SA6400
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
 
lulo
@shibby - ale co wpisać w polu CNAME (konkretnie) ? Czy to zadziała na StartSSL ?
Mam raczej na myśli darmową domenę na freenom.com, gdzie właśnie można edytować wspomniany rekord CNAME (słynne domeny *.tk za free na max. rok - tak to wygląda obecnie).
Co do dnsmasq, czyli najprościej wpis w /etc/config/dhcp - konkretnie jak ma wyglądać taki wpis ? Bo w Tomato ta składnia wygląda chyba nieco inaczej - to czy użyję uci, czy nano, vi to przecież bez znaczenia - chodzi o to jak taki wpis docelowo w openwrt/lede ma wyglądać.
Edytowany przez lulo dnia 17-02-2017 17:28
 
shibby

Cytat

ale co wpisać w polu CNAME (konkretnie) ?


to co ci każe wystawca certyfikatu podczas składania żądania o certyfikat (CSR). Przykładowo dla Comodo jest to:
.yourdomain.com. CNAME .comodoca.com.


Cytat

Co do dnsmasq, czyli najprościej wpis w /etc/config/dhcp - konkretnie jak ma wyglądać taki wpis


config 'dhcp' 'lan'
list 'address' '/moja.domena.pl/192.168.1.1'

powinno zadziałać.
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology SA6400
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
 
lulo
Czyli jednak nie da się wykorzystać metody z CNAME w serwisie/u wystawcy cert. StartSSL - tam niestety jest zapytanie tylko o adres e-mail ustawiony na domenie...czyli serwer poczty trzeba jednak stawiać.
Jeżeli się mylę to poproszę o jakiś tutek krok po kroku, jak uzyskać to na StartSSL. No niby w jednej z zakładek wizarda jest coś podobnego (z wykorzystaniem csr swojego certa), ale chyba nie dla typu DV1 niestety (czyli tylko dla domeny).
Generalnie certy na StartSSL ze względu na czas ważności jak i uniwersalność oraz większą elastyczność w wykorzystaniu ich w swoim WAN/LAN wyglądają ogólnie najkorzystniej - z tych za free oczywiście.
Co do dnsmasq to dziękuję za rozjaśnienie - chociaż nie wiem czy to zadziała, bo w openwrt/lede, w stosownych tutkach brak opcji "list address", natomiast reszta wygląda jak zwykłe przekierowanie domeny na IP....no nic, w wolnej chwili to przetestuję.
 
mundeczek
Co do walidacji przez www na dynDNS to postawiłem sobie szybko Apache przez portable xampp i po przekierowaniu portów walidacja zadziałała Grin
Tyle, że nie chce przejść https://domena.dynDNS
Może ktoś jakąś podpowiedź podrzuci?

Połączony z 07 październik 2017 21:43:25:
Jednak zadziałało Grin
Certyfikat generowałem na stronie https://www.sslforfree.com/
Ważny przez 90 dni.
Edytowany przez mundeczek dnia 07-10-2017 21:43
 
overflow2
Wynalazł może ktoś darmową alternatywę dla wosign? Chrome już całkowicie dropuje stronę na tym certyfikacie.
Asus RT-AC56U FT-AIO
 
U53R_
lestencrypt
 
Steel_Rat

Cytat

overflow2 napisał(a):

Wynalazł może ktoś darmową alternatywę dla wosign? Chrome już całkowicie dropuje stronę na tym certyfikacie.

Oczywiście Let's Encrypt.
Taki mały tutorial dla entwer-ng (na optware-ng też powinno działać):
https://github.com/Entware-ng/Entware...7s-Encrypt
Jak ktoś używa LEDE z LUCI to można też zainstalować pakiet luci-app-acme
Ja osobiście przeszedłem na certyfikat z Let's Encrypt.
WRT3200ACN (WRT32X) + OpenWRT 18.06+światełko 150/150 Mb/s
Asus RT-AC68UvE1 + RMerlin + Entware
Netgear WNR3500Lv2 + DDWRT
 
overflow2
Dzięki Steel_Rat właśnie tego szukałem, bo widziałem na eko.one jest generowanie pod lede i szukałem czegoś do tomato. Przetestuję.

Połączony z 27 listopad 2017 19:21:55:
Udało mi się wygenerować cert na wbudowanym nginx-ie, muszę jeszcze wyczaić jak to ustawić w automacie... Niestety wszystkie ustawienia znikają po restarcie routera.
Edytowany przez overflow2 dnia 27-11-2017 19:21
Asus RT-AC56U FT-AIO
 
Steel_Rat
Co znika? Generalnie powinno wszystko działać.
WRT3200ACN (WRT32X) + OpenWRT 18.06+światełko 150/150 Mb/s
Asus RT-AC68UvE1 + RMerlin + Entware
Netgear WNR3500Lv2 + DDWRT
 
overflow2
Chodzi mi o to, że ja wygenerowałem certy na nginx-ie który jest wkompilowany w obraz (nie ten z entware) no i jak wiadomo, wszystkie ustawienia są ładowane do RAMu więc po restarcie całość znika. Certy oczywiście skopiowałem na dysk i je mam, tylko samo konfigurowanie znika.

Przydałoby się zrobić taki generator w gui Grin, to już by była bajka.
Asus RT-AC56U FT-AIO
 
Steel_Rat
Zawsze możesz w ustawieniach nginx w Tomato podać ścieżkę do pliku conf nginx-a, który masz np W jffs.
WRT3200ACN (WRT32X) + OpenWRT 18.06+światełko 150/150 Mb/s
Asus RT-AC68UvE1 + RMerlin + Entware
Netgear WNR3500Lv2 + DDWRT
 
damianssj661
Tomato ARM nie obsługuje setfb64. Wklejam rozwiązanie


 /etc/cert.pem

cat /opt/ssl/mycert.key > /etc/key.pem

service httpd restart


ASUS RT-AC56U
 
kpietrek
Powiedzcie bo napotkałem na błędy i nie wiem jak to ugryźć. Próbuję uruchomić ssl przez let's i utknąłem na etapie generowania certfikatu. Wpisuję:


bash ./dehydrated --domain piast.no-ip.org --cron


i dostaję odpowiedź:


root@unknown:/opt/etc/nginx# bash ./dehydrated --domain piast.no-ip.org --cron
# INFO: Using main config file /opt/etc/nginx/config
Processing piast.no-ip.org
 + Signing domains...
 + Generating private key...
 + Generating signing request...
 + Requesting new certificate order from CA...
 + Received 1 authorizations URLs from the CA
 + Handling authorization for piast.no-ip.org
 + 1 pending challenge(s)
 + Deploying challenge tokens...
 + Responding to challenge for piast.no-ip.org authorization...
 + Cleaning challenge tokens...
 + Challenge validation has failed :(
ERROR: Challenge is invalid! (returned: invalid) (result: {
  "type": "http-01",
  "status": "invalid",
  "error": {
    "type": "urn:ietf:params:acme:error:connection",
    "detail": "Fetching http://piast.no-ip.org/.well-known/acme-challenge/B3wkTkB7QmHpMWEiP1hC6vg5RQZ4aJ6zNBuAEOJ8jeg: Timeout during connect (likely firewall problem)",
    "status": 400
  },
  "url": "https://acme-v02.api.letsencrypt.org/acme/challenge/UgpBG8MJ-kMVFo5YsG73DIHqB-BKFX_Itr7ndL_Pfd8/9383143509",
  "token": "B3wkTkB7QmHpMWEiP1hC6vg5RQZ4aJ6zNBuAEOJ8jeg",
  "validationRecord": [
    {
      "url": "http://piast.no-ip.org/.well-known/acme-challenge/B3wkTkB7QmHpMWEiP1hC6vg5RQZ4aJ6zNBuAEOJ8jeg",
      "hostname": "piast.no-ip.org",
      "port": "80",
      "addressesResolved": [
        "89.72.202.64"
      ],
      "addressUsed": "89.72.202.64"
    }
  ]
})
root@unknown:/opt/etc/nginx#


Powiedzcie co jest tu nie tak? Co powinienem zrobić?
Netgear R7000 + FreshTomato Firmware 2021.2 K26ARM USB AIO-64K
Asus RT-N18U + FreshTomato Firmware 2021.2 K26ARM USB VPN-64K-NOSMP
Asus RT-AC56U + Tomato Firmware 1.28.0000 -138 K26ARM USB AIO-64K
 
khain
Błąd 400 oznacza, że serwer nie mógł obsłużyć zapytania - nie masz serwera http uruchomionego pod domeną piast.no-ip.org albo (tak jak w logu) port 80 nie jest dostępny od strony WAN.
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
 
Przejdź do forum
Zaloguj
Wprowadź adres e-mail lub nazwę użytkownika

Hasło



Nie masz jeszcze konta? Zarejestruj się.

Zapomniałeś/aś hasła?
Aktualnie online
· Gości online: 100

· Użytkowników online: 0

· Łącznie użytkowników: 24,115
· Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.

Maniek91PL
06-11-2024 22:37
dzięki !Grin

maxikaaz
29-10-2024 14:27
@Maniek91PL - Administration=> Admin Access, i tam masz "Allow Wireless Access" do zaznaczenia

Maniek91PL
26-10-2024 22:07
siemka! ktoś przypomni co się ustawiało jeśli nie mogę wejść od strony wifi do tomato? od lan działa

overflow2
04-10-2024 17:34
Kupowałem Asusy n10u albo n12d1 ale nie widzę ich, chyba już nie produkują, Chodzi o coś nowego i taniego. Transfery niewielkie.

maxikaaz
04-10-2024 09:38
@overflow2 patrząc po dostępności funkcji w nowych kompilacjach, to chyba nawet WRT54G/GL jeszcze ma OpenVPN, albo jakiś odpowiednik... zależy, na jakie transfery liczysz.

overflow2
30-09-2024 20:53
Jaki aktualnie najtańszy router do tomato do openvpn?

maxikaaz
27-07-2024 15:07
@servee - na początek router do rozebrania i obejrzenia, ciężko wróżyć tak tylko po objawach

maxikaaz
27-07-2024 14:55
@servee - cały kontroler nie pada tak sobie z powodu "zbiegu okoliczności",
więc prawdopodobnie gdzieś przepięcie.

servee
25-07-2024 13:33
@maxikaaz: działało, aż pewnego pięknego dnia przestało działać. W tym dniu była też burza, ale to raczej zbieg okoliczności.

maxikaaz
25-07-2024 11:38
@servee - o ile problem jest w obrębie samych wyjść (dławiki, warystory), to naprawialne, ale jeśli w samym SoC - to nienaprawialne ze względu na koszta. A co było przyczyną?

95,509,911 unikalnych wizyt