04 Października 2022 02:57:52
Nawigacja
· Strona Główna
· Forum

· Tomato by Shibby
· FreshTomato


Wątki na forum
Najnowsze dyskusje
· server proxy tomato ...
· FreshTomato + Stubby...
· Xpenology na cienkim...
· OPNsense Orange FTTP
· nsa310- brak dostęp...
· AiMESH Asusa.
· TPlink a mesh
· Multiroom N z wykorz...
· Filtr geoip na er-12
· Połączenie site 2 ...
· Zaufany certyfikat S...
· [HOWTO] Kompilacja "...
· ruter z szybkim wi-fi
· VLAN na podstawie MAC
· Telkab vs Orange
· [MOD] FreshTomato-AR...
· Co kupić po uszkodz...
· Szafka - tablica bez...
· Serwer DNS w tomato
· EdgeRouter zamiast O...
Najpopularniejsze obecnie wątki
· Multiroom N z wyk... [1299]
· AiMESH Asusa. [45]
· nsa310- brak dost... [19]
· TPlink a mesh [3]
· server proxy toma... [2]
· FreshTomato + Stu... [2]
· Xpenology na cien... [2]
· OPNsense Orange FTTP [0]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
37% [149 głosów]

Broadcom ARM
Broadcom ARM
51% [209 głosów]

Atheros
Atheros
5% [22 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
1% [3 głosów]

Intel/AMD/VIA
Intel/AMD/VIA
1% [5 głosów]

Żaden z powyższych
Żaden z powyższych
3% [14 głosów]

Ogółem głosów: 406
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38
Twoje IP
44.210.237.158
Zobacz wątek
OpenLinksys » :: PORTAL :: » Tutoriale
 Drukuj wątek
Zaufany certyfikat SSL dla połączeń https w tomato
shibby
a teraz zrob to na IE. powodzenia.
Router: EdgeRouter ER-12
Switch: Ubiquiti US-8-150W
Wi-Fi: Ubiquiti U6-Lite - szt 2.
NAS: Xpenology DS920+
Serwer: Dell 3040M
 
cross

Cytat

shibby napisał(a):

a teraz zrob to na IE. powodzenia.


Ja nie rozumiem skąd ten pesymizm ?

Powodzenia na IE? Przecież certyfikaty z jakiekolwiek przeglądarki dodawane są do certyfikatów w systemie -> w magazynie Zaufane Główne urzędy certyfikacji. Tam są między innymi domyślne zaufane urzędy. Gdyby ich nie była żadna strona na jaką byśmy weszli nie byłaby zaufana nawet jakby miała cert podpisany przez autorytatywne CA. To system operacyjny musi mięć certy autorytatawnych CA. Myk polega na tym, że dodajemy tam Swoje. Szybszy sposób jest dodać , jak już mówiłem, crl do głównego hosta na serwerze www i cert się zawsze zaciąga.

Mówiłeś coś o IE ? Proszę:

sonic.net.pl/stuff/img/rcertie.png
 
overflow2
Chciałem wygenerować sobie certyfikat na start ssl, ale problem polega na tym, że tam trzeba go validować tylko na kilka określonych (niestety przez nich) adresów e-mail (generowanych dla wykupionej domeny). Jak mam to niby zrobić jak nie mam serwera mailowego na tej domenie? Jest jakiś szybki do konfiguracji (na chwilę) serwerek maila na tomato (optware)?
Asus RT-AC56U (freshtomato-ARM 2021.1 AIO) + FTTH Orange 300/50
TL-WR1043NDv1 (OpenWrt 19.07) - freeradius3
3x Asus RT-N10U, 2x Asus RT-N12_D1 (freshtomato-MIPS 2020.8 VPN / Max) --> NCP_MR@OpenVPN (ADSL, LTE
 
aszczupal
Witam , po pierwsze to chciałem się przywitać , bo zaczynam przygodę z Tym forum.
na Tomato (by shibby) przesiadłem się dosłownie kilka dni temu, no i pojawiają się pytania...
dotychczas to było kilkadziesiąt routerków ( ASUS RT-N16) pod kontrolą DD-WRT , ale problemy z https ( atak poodle na SSLv3) i kilka innych spowodował przejście na coś nowszego... no i wybór padł na Tomatu by shibby... ( BTW świetna robota....)

Dzisiaj walczę z certyfikatami. Jako że w tym wątku opisana jest procedurka, to śmiało poszedłem tym tropem. Niestety nie jest tak różowo.
Certyfikat posiadam ( wykupiony typu wildcard .. czyli na całą domenę ). podmiana plików w /etc i restart httpd to prosta sprawa , i faktycznie serwis zachowuje się tak jak powinien... Gorzej jest z próbą zapisanie tego do NVRAM , otóż brak polecenia "nvram setfb64" no i po restarcie wszystko wraca do stanu poprzedniego, próbowałem "ręcznie" wrzucić aktualny certyfikat do zmiennej "https_crt_file" , ale coś nie halo...
Czy tam znajduje się tylko certyfikat (świadczy o tym nazwa) , czy również klucz prywatny.. ?

pozdrawiam
Adam

router ASUS RT-N18U soft v124 (K26ARM)

p.s. Czy planujesz wsparcie do SNMP dla tej platformy ? ( K26ARM) z jakąś Access-listą na dostęp
 
qrs
Wykonałem prawie zgodnie z 1 postem, działa jak należy Wink

Prawie bo znalazłem literówkę, przez co ktoś mógł mieć błędy

1. generujesz router.openlinksys.info.csr

Cytat

shibby napisał(a):
W konsoli wydajemy komendę:

Cytat

cd /tmp
openssl req -nodes -newkey rsa:2048 -keyout router.openlinksys.info.key -out router.openlinksys.info.csr



2. ale później szukasz pliku router.openlinksys.info.crt

Cytat

shibby napisał(a):
Przyjmijmy, że w katalogu /tmp posiadamy wszystkie interesujące nas pliki czyli router.openlinksys.info.crt (certyfikat) oraz router.openlinksys.info.key (klucz prywatny). Wydajemy kolejno komendy:

Cytat

cat /tmp/router.openlinksys.info.crt > /etc/cert.pem


---
Netgear R7000Netgear WNR3500L v2MikroTik hAP ac^2TP-LINK M7650
 
dedeer
W związku z ustawieniem sobie openvpn na routerze mam własny klucz i certyfikat CA. Pomyślałem, że podpiszę certyfikat routera i dodam CA do listy w Firefoksie.
Wygenerowałem klucz i certyfikat dla routera przy pomocy


build-key router

i pod koniec potwierdziłem, że chcę podpisać certyfikat:


Sign the certificate? [y/n]: y
1 out of 1 certificate requests certified, commit? [y/n]: y
Write out database with 1 new entries

Skopiowałem potem router.key i router.crt do routera, podmieniłem pliki /etc/key.pem i /etc/crt.pem, ustawiłem w GUI tak, jak to opisał Shibby w pierwszym poście, zrestartowałem httpd, dodałem CA.crt do listy w Firefoksie ale kiedy próbuję się połączyć z routerem z LAN, to dostaję komunikat:

Cytat


Nie udało się nawiązać bezpiecznego połączenia

Podczas łączenia z serwerem 10.10.100.68 wystąpił błąd. Typ certyfikatu niedozwolony dla aplikacji. (Kod błędu: sec_error_inadequate_cert_type)

Żądana strona nie może zostać wyświetlona, ponieważ nie udało się potwierdzić autentyczności otrzymanych danych.


Jeśli usunę CA.crt z listy w Firefoksie, to pojawia się monit o dodanie wyjątku i po potwierdzeniu mogę się połączyć z routerem.

Może ktoś wyjaśnić o co chodzi i co mam zrobić, żeby to działało tak, jak założyłem?
 
shibby
@qrs - opis jest dobry. csr to żądanie certyfikatu (request). Podpisujesz go swoim prywatnym kluczek (key) i załączasz plik żądania w procesie generowania certyfikatu. W odpowiedzi dostajesz certyfikat crt, który został podpisany kluczem prywatnym jednostki certyfikującej (ca.key). Dzięki temu masz certyfikat autorytatywny, ponieważ został on podpisany przez obie strony, twój klucz i klucz CA.

Połączony z 22 March 2015 12:58:20:
@dedeer - swoje ca.crt też dodaj do pliku crt.pem, tak byś miał tam oba certyfikaty (swój i ca)
Edytowany przez shibby dnia 22-03-2015 12:58
Router: EdgeRouter ER-12
Switch: Ubiquiti US-8-150W
Wi-Fi: Ubiquiti U6-Lite - szt 2.
NAS: Xpenology DS920+
Serwer: Dell 3040M
 
dedeer

Cytat

shibby napisał(a):

Połączony z 22 March 2015 12:58:20:
@dedeer - swoje ca.crt też dodaj do pliku crt.pem, tak byś miał tam oba certyfikaty (swój i ca)


Cholera, to już mi nic z nvram nie zostanie. Już teraz mam wolne 5,14 % (1684 B). Nie mogę usunąć kluczy openvpn z nvram, bo do portu usb jest podłączona drukarka. Nie dam rady podłączyć do routera huba USB, bo w miejscu, gdzie stoi router brak jest dodatkowych gniazdek i hub musiałby być pasywny i dodatkowe miejsce musiałoby być na pendrivie. Jak żyć?

Dodatkowe pytanie: za routerem stoi NAS RN102. Ma on swój własny certyfikat. Docelowo chciałbym wystawić na świat galerię Piwigo i Owncloud. Jak próbowałem teraz się łączyć z Piwigo z zewnątrz (przekierownie portów na routerze), to pojawiał się komunikat o niezgodności certyfikatów, tzn. że do połączenia używany jest certyfikat routera, a strona serwuje swój - inny. Przyszło mi do głowy, żeby podpisać certyfikat NASa i użyć go w ruterze. Da się tak?
 
shibby
1) certyfikaty HTTPS nie musisz trzymać w nvram

2) certyfikatów openvpn też nie musisz trzymać w nvram

Smile
Router: EdgeRouter ER-12
Switch: Ubiquiti US-8-150W
Wi-Fi: Ubiquiti U6-Lite - szt 2.
NAS: Xpenology DS920+
Serwer: Dell 3040M
 
dedeer

Cytat

shibby napisał(a):

1) certyfikaty HTTPS nie musisz trzymać w nvram

2) certyfikatów openvpn też nie musisz trzymać w nvram

Smile


Tak, ale
1. jffs nie działa w WRN3500Lv2
2. Nie mam możliwości podłączenia do routera dodatkowego dysku
3. próbuję podmontować katalog z NAS jako udział cifs (co opisałeś) i na razie działa, ale pojawiły się 2 inne rzeczy:
  • NAS się wyłącza na noc. Jeśli chcę się połączyć z NASem zanim się wybudzi, to łączę się przez openvpn z routerem i robię WON czyli certyfikaty openvpn muszą być w nvram, bo inaczej nie będą dostępne
  • NAS usypia dyski po 10 min braku aktywności, więc połączenie z routerem w sytuacji, kiedy certyfikat HTTPS będzie na udziale cifs będzie miało opóźnienie wynikające z wybudzania dysków. Chyba jednak nie będzie innej możliwości i się do tego przyzwyczaję bo też nie łączę się często z routerem.


Na forum tomato widziałem, że udało Ci się zwiększyć nvram w Asusie RT-N66u (i to już w połowie 2012 roku), z czego wnioskuję, że jakieś prace w tym kierunku trwają, albo trwały. Są jakieś rezultaty?
 
shibby
a czemuż to nie masz możliwości podłączenia dodatkowego dysku? Co masz już podpięte pod USB?
Router: EdgeRouter ER-12
Switch: Ubiquiti US-8-150W
Wi-Fi: Ubiquiti U6-Lite - szt 2.
NAS: Xpenology DS920+
Serwer: Dell 3040M
 
dedeer
"Nie mogę usunąć kluczy openvpn z nvram, bo do portu usb jest podłączona drukarka. Nie dam rady podłączyć do routera huba USB, bo w miejscu, gdzie stoi router brak jest dodatkowych gniazdek i hub musiałby być pasywny i dodatkowe miejsce musiałoby być na pendrivie."

I na tym się chyba skończy
 
shibby
szybkość się podddajesz. Hub pasywny bez problemu uciagnie drukarkę i pendrive. Z dyskiem.byłoby ciężko bo potrzeba energii by go rozkręcić ale w pendrive tego problemu nie ma.
Router: EdgeRouter ER-12
Switch: Ubiquiti US-8-150W
Wi-Fi: Ubiquiti U6-Lite - szt 2.
NAS: Xpenology DS920+
Serwer: Dell 3040M
 
dedeer

Cytat

shibby napisał(a):

szybkość się podddajesz. Hub pasywny bez problemu uciagnie drukarkę i pendrive. Z dyskiem.byłoby ciężko bo potrzeba energii by go rozkręcić ale w pendrive tego problemu nie ma.


Nie ma mowy o poddawaniu. Przecież podkreśliłem co zrobię - właśnie to, co napisałeś.

Połączony z 01 April 2015 20:41:38:
No to jestem po kilkugodzinnych próbach przeniesienia kluczy openvpn na pendrive. Niestety nie działa. Te same klucze wpisane do nvram pozwalają bez problemu uruchomić serwer.
Ustawienia mam takie:

Basic:
start with WAN: tak
Interface type: TAP
Protocol: UDP
Port:1115
Firwall: automatic
Authorization mode: TLS
Extra HMAC authorization: Incoming (0)
Client address pool: DHCP

Advanced:
Direct clients to redirect Internet traffic: tak
Respond to DNS: tak
Advertise DNS to clients: tak
Encryption cipher: AES-256-CBC
Compression: Adaptive
TLS regeneration time: -1
Custom Configuration:

Cytat

ca /mnt/sda1/etc_pen/ca.crt
dh /mnt/sda1/etc_pen/dh1024.pem
cert /mnt/sda1/etc_pen/server.crt
key /mnt/sda1/etc_pen/server.key
tls-auth /mnt/sda1/etc_pen/ta.key

Keys: nic

Pendrive sformatowany jako ext2. Gdzieś znalazłem, że uprawnienia muszą być 755 zamiast 644, ale ich zmiana nic nie dała.
Wersja Tomato: 1.28.0000 MIPSR2-128 K26 USB AIO

Co jeszcze mogę sprawdzić/zrobić żeby openvpn zaczęło działać z kluczami na pendrivie?
Edytowany przez dedeer dnia 01-04-2015 20:41
 
qrs
shibby, najpierw piszesz żeby

Cytat

shibby napisał(a):

W zakładce Administration -> Admin Access ustawiamy wszystko tak jak na załączonym obrazku

openlinksys.info/images/ssl.png


a póżniej że

Cytat

shibby napisał(a):

Pamiętaj!! Jeżeli kiedykolwiek odznaczysz "Save in NVRAM" lub zaznaczysz "Regenerate", stracisz zapisany w nvram certyfikat i będziesz musiał powtórzyć kroki 6 i 7.


to jak to jest z Regenerate?
---
Netgear R7000Netgear WNR3500L v2MikroTik hAP ac^2TP-LINK M7650
 
b3rok
16 listopada ruszają darmowe certyfikaty w ramach projektu Let's Encrypt" - będzie można wykorzystać (w kontekście routera jak i domen).

Cytat

First certificate: Week of September 7, 2015
General availability: Week of November 16, 2015

https://letsencrypt.org/2015/08/07/up...edule.html
I. Huawei HG8240 + 1x Netgear r7000 @FreshTomato + Synology DS1512+
II. TP-Link TL-WDR4300 @Obsy OpenWRT Gargoyle
III. TP-Link TL-WDR3600 @Obsy OpenWRT Gargyle
 
shibby
@qrs - bo za pierwszym razem trzeba to zaznaczyć by stworzył się certyfikat, który później chcemy nadpisać. Natomiast jeżeli później użyjesz znów Regenerate to ta funkcja znów nadpisze twój certyfikat. Stąd to ostrzeżenie.

Ale ten opis nie działa na ARM, bo narzędzie nvram nie wspiera możliwośći zapisania pliku do nvramu. Tu trzeba użyć innego tricku by podmienić certyfikaty. Trzy linijki z ptk6 dodaj do skryptu init po zamontowaniu dysku. Nie wykonuj już ptk 7.
Router: EdgeRouter ER-12
Switch: Ubiquiti US-8-150W
Wi-Fi: Ubiquiti U6-Lite - szt 2.
NAS: Xpenology DS920+
Serwer: Dell 3040M
 
przemasisko
O fajna inicjatywa, Let's Encrypt! Tylko czy certyfikat będzie można wykorzystać w subdomenie? (np. router.serwer.pl). Darmowy StartSSL to potrafi póki co.
 
shibby

Cytat

b3rok napisał(a):

16 listopada ruszają darmowe certyfikaty w ramach projektu Let's Encrypt" - będzie można wykorzystać (w kontekście routera jak i domen).

Cytat

First certificate: Week of September 7, 2015
General availability: Week of November 16, 2015

https://letsencrypt.org/2015/08/07/up...edule.html


Cytat

Public Beta: December 3, 2015

https://letsencrypt.org/2015/11/12/pu...iming.html

Połączony z 19 listopad 2015 15:48:57:
ale z tym już chyba przesadzili

Cytat

ninety-day lifetimes for certificates

Edytowany przez shibby dnia 19-11-2015 15:48
Router: EdgeRouter ER-12
Switch: Ubiquiti US-8-150W
Wi-Fi: Ubiquiti U6-Lite - szt 2.
NAS: Xpenology DS920+
Serwer: Dell 3040M
 
b3rok

Cytat

We're sometimes asked why we only offer certificates with ninety-day lifetimes. People who ask this are usually concerned that ninety days is too short and wish we would offer certificates lasting a year or more, like some other CAs do.

Ninety days is nothing new on the Web. According to Firefox Telemetry, 29% of TLS transactions use ninety-day certificates. That's more than any other lifetime. From our perspective, there are two primary advantages to such short certificate lifetimes:

  • They limit damage from key compromise and mis-issuance. Stolen keys and mis-issued certificates are valid for a shorter period of time.

  • They encourage automation, which is absolutely essential for ease-of-use. If we're going to move the entire Web to HTTPS, we can't continue to expect system administrators to manually handle renewals. Once issuance and renewal are automated, shorter lifetimes won't be any less convenience than longer ones.

For these reasons, we do not offer certificates with lifetimes longer than ninety days. We realize that our service is young, and that automation is new to many subscribers, so we chose a lifetime that allows plenty of time for manual renewal if necessary. We recommend that subscribers renew every sixty days. Once automated renewal tools are widely deployed and working well, we may consider even shorter lifetimes.


Źródło: https://letsencrypt.org/2015/11/09/wh...-days.html


Zobaczymy jak będzie działać w praktyce ta automatyzacja i łatwość użycia...

Połączony z 17 grudzień 2015 15:44:51:
Od 03.12.2015 trwa otwarta beta - nie trzeba zaproszeń. Niestety z tego co widzę, nie ma jeszcze klienta Windows-owego.
https://letsencrypt.org/2015/12/03/en...-beta.html
Edytowany przez b3rok dnia 17-12-2015 15:45
I. Huawei HG8240 + 1x Netgear r7000 @FreshTomato + Synology DS1512+
II. TP-Link TL-WDR4300 @Obsy OpenWRT Gargoyle
III. TP-Link TL-WDR3600 @Obsy OpenWRT Gargyle
 
Przejdź do forum
Zaloguj
Wprowadź adres e-mail lub nazwę użytkownika

Hasło



Nie masz jeszcze konta? Zarejestruj się.

Zapomniałeś/aś hasła?
Aktualnie online
· Gości online: 5

· Użytkowników online: 0

· Łącznie użytkowników: 24,110
· Najnowszy użytkownik: HCI
Czat
Musisz się zalogować, aby opublikować wiadomość.

man1
28-09-2022 22:19
Czy mając vectrę i ich router 6g w trybie bridge (ale wszystkie porty LAN działają) da się zrobić z tego bonding lub cokolwiek by wykorzystać 1,2Gbps od nich?

kerios83
15-09-2022 21:03
@pedro cos tam poleciles? Bo nie widze wiadomosci z shouta nigdzie. Przypominam, chodzi mi o jak najdszybsze wifi (w przystepej cenie) do swiatla 1gB/1gB (bo nie moge dac tam kabla).

tamtosiamto
13-08-2022 20:57
nie za wczesnie na przejmowanie sie takimi sprawami? Wifi 6 jeszcze dobrze nie zagoscilo w domach, mozna powiedziec, ze wcale Smile pozyjemy zobaczymy. Najwyzej da sie po 1 apeku na 1 room i git Wink

dziubek
11-08-2022 22:09
Ciekawi mnie jak z przenikaniem sygnału przez przeszkody? https://www.telepo
lis.pl/tech/sprzet
/...y-z-wifi-7

sts
28-06-2022 11:11
Mój wynik po wifi 1.2GB/s (serwer po lan 1GB/s) https://tiny.pl/93
mj2 i szukam jeszcze czegos szybszego (mówimy o wifi)

maxikaaz
28-06-2022 10:50
@sts - nie, to wyniki z kabla. Klientów AC mam kilku, ale chyba wszyscy "jednostrumien
iowi" 80MHz (czyli 433Mbit/s), więc max. po radiu to ok. 200Mbit/s.

sts
28-06-2022 07:48
@maxikaaz Czy takie prędkości masz po wifi?

maxikaaz
27-06-2022 21:54
@sts - https://ujeb.se/tw
XQeW

maxikaaz
27-06-2022 21:42
@sts - u mnie światło 1000/300 obrabia R7000, awaryjnie mam AC56u. R7000 wykręca 930-940Mbit/s, AC56u mniej o jakieś 20-30Mbit/s. Na obydwu FreshTomato i CTF.

kille72
27-06-2022 19:11
Dołączył: 12/02/2007, zauważyłem ze jestem 15 lat starszy... Grin

56,054,465 unikalnych wizyt