04 Grudnia 2022 03:29:26
Nawigacja
· Strona Główna
· Forum

· Tomato by Shibby
· FreshTomato


Wątki na forum
Najnowsze dyskusje
· Asus RT-AX56U i dzwi...
· [ARM] po włączeniu...
· Połączenie site 2 ...
· ASUS RT-AX88U wgrywa...
· airport extreme Mode...
· [MOD] FreshTomato-AR...
· Asus RT-AC66U (mips)...
· Moze ktoś z was ma ...
· Problem z wejście d...
· Asus Merlin
· Huawei B818-263 jaka...
· Huawei B818-263 czy ...
· Reanimacja ASUS RT-A...
· NordVPN - zrywa poł...
· Router
· [S] Unifi U6-PRO acc...
· Black Week od shibby
· [S] Sprzedam Router ...
· Rozszerzenie pokryci...
· Internet w Orange......
Najpopularniejsze obecnie wątki
· [MOD] FreshTomato... [744]
· Reanimacja ASUS R... [12]
· Moze ktoś z was ... [7]
· ASUS RT-AX88U wgr... [6]
· Problem z wejści... [6]
· Huawei B818-263 c... [6]
· Połączenie site... [2]
· NordVPN - zrywa p... [2]
· Asus RT-AX56U i d... [1]
· [ARM] po włącze... [1]
· Asus Merlin [1]
· airport extreme M... [0]
· Asus RT-AC66U (mi... [0]
· Huawei B818-263 j... [0]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
37% [149 głosów]

Broadcom ARM
Broadcom ARM
52% [210 głosów]

Atheros
Atheros
5% [22 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
1% [3 głosów]

Intel/AMD/VIA
Intel/AMD/VIA
1% [5 głosów]

Żaden z powyższych
Żaden z powyższych
3% [14 głosów]

Ogółem głosów: 407
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38
Twoje IP
35.172.224.102
Zobacz wątek
OpenLinksys » :: PORTAL :: » Tutoriale
 Drukuj wątek
Zaufany certyfikat SSL dla połączeń https w tomato
Efamon
Witam wszystkich Smile

Ostatnio musiałem odnowić certyfikat na StartSSL dla GUI Tomato i mam problem, choć z tego co sprawdziłem dotyczy również certyfikatów generowanych przez WoSign. Na Chrome oraz IE certyfikaty są rozpoznawane poprawnie (tzn. z całą ścieżką certyfikacji), natomiast Firefox 43.0.4 ma problem z certyfikatami pośrednimi, jakby w ogóle ich nie wczytywał:
Certyfikat nie jest zaufany, ponieważ certyfikat wystawcy jest nieznany.
Serwer może nie wysyłać właściwych certyfikatów pośrednich.
Import dodatkowego certyfikatu głównego może okazać się konieczny.


Nadmienię, że w pliku /etc/cert.pem znajdują się 3 certyfikaty w kolejności: certyfikat dla serwera, certyfikat pośredni oraz certyfikat roota. Mam Tomato w wersji Tomato Firmware 1.28.0000 MIPSR2-132 K26 USB AIO (RT-N).

Czy ktoś wie gdzie może tkwić problem i jak go rozwiązać?
 
kpietrek

Cytat

qrs napisał(a):

udało się, wygenerowałem cert dla ?????.noip.me ważny na 3 lata za free Wink

certyfikat wygenerowałem w serwisie https://buy.wosign.com

Common Name (CN) zweryfikowałem tak jak napisał shibby

Cytat

shibby napisał(a):

3) autoryzacja WWW. Należy umieścić na stronie ze swoją domeną plik z odpowiednim wpisem. I to jesteś w stanie wykonać używając chociażby wbudowanego w tomato nginxa na porcie 80.


Podpowiedzcie proszę jak tego ngixa odpalić by zweryfikowac domenę dla potrzeb certyfikatu. Robie to pierwszy raz.
Netgear R7000 + FreshTomato Firmware 2021.2 K26ARM USB AIO-64K
Asus RT-N18U + FreshTomato Firmware 2021.2 K26ARM USB VPN-64K-NOSMP
Asus RT-AC56U + Tomato Firmware 1.28.0000 -138 K26ARM USB AIO-64K
 
qrs

Cytat

przemasisko napisał(a):

O fajna inicjatywa, Let's Encrypt! Tylko czy certyfikat będzie można wykorzystać w subdomenie? (np. router.serwer.pl). Darmowy StartSSL to potrafi póki co.


let's encrypt jak otrzymujesz to też nie jest zaufany
---
Netgear R7000Netgear WNR3500L v2MikroTik hAP ac^2TP-LINK M7650
 
kpietrek
Po wgraniu nowego softu i czyszczeniu NVRAM jak teraz to ustawić?? Wszystko od początku?? Mam wcześniej wygenerowany cert ssl na wosign.com. Jak przywrócić ponownie ten certyfikat ??

Połączony z 15 luty 2017 19:36:02:
Ok. Już sobie poradziłem.
Edytowany przez kpietrek dnia 15-02-2017 19:36
Netgear R7000 + FreshTomato Firmware 2021.2 K26ARM USB AIO-64K
Asus RT-N18U + FreshTomato Firmware 2021.2 K26ARM USB VPN-64K-NOSMP
Asus RT-AC56U + Tomato Firmware 1.28.0000 -138 K26ARM USB AIO-64K
 
lulo
1.) Czy mógłby ktoś szczegółowo rozwinąć kwestię (wytłuszczonym tekstem) z postu #1-ego ?:

Cytat:
(...)
2) walidacja posiadania zgłoszonej domeny poprzez adres email (konieczność posiadania maila admin@domena, administrator@domena, webmaster@domena etc) lub poprzez wpis CNAME w DNSie
(...)
Ma to związek z niemożnością (a raczej sporą uciążliwością) stawiania specjalnie dla samego kodu weryfikacyjnego dla domeny serwera poczty (dotyczy StartSSL).

2). Czy można zastosować, a jeżeli tak to jak w praktyce, opisany sposób w poście #63, tyle że w lede/openwrt (stosowna składnia, o ile jest ta sama funkcjonalność) ?:

Cytat


(...)
A żeby działał ci lokalnie to w konfiguracji dnsmasq wystarczy dodać wpis by ta domena dla lokalnych zapytań przyjmowała adres ip lokalny np.,
address=/moja.domena.pl/192.168.1.1

Czyli jeżeli z zewnątrz, z internetu ktoś wywoła adres subdomeny np. poczta.domena.pl (który jest lokalnym adresem domenowym wewnętrznego ip, na którym słucha coś - tu w przykładzie np. jakiś serwer poczty), to dnsmasq przetłumaczy to, iż skieruje to na adres lokalny (lokalne ip) ? - dobrze zrozumiałem ?
Bo w LAN to faktycznie wydaje się to nieco bez sensu...

Połączony z 17 luty 2017 16:44:44:
Odnoszę wrażenie, że temat zaledwie został poruszony i brak jakichś na prawdę wyczerpujących opisów dla owych darmowych certów StartSSL, Let's Encrypt, Wosign w kontekście zastosowania tego dla routera i jednocześnie na potrzeby sieci lokalnej za tym routerem...

Połączony z 17 luty 2017 16:48:13:
Tak na marginesie Wosign już zaprzestał możliwości generowania certów domenowych za free.
Edytowany przez lulo dnia 17-02-2017 16:48
 
shibby
Ten opis pokazuje jak dodać posiadamy już certyfikat do routera a nie jak go wygenerować. Jeżeli jest potrzeba przedstawienia dokładniejszego procesu generowania certyfikatu to wystarczy poprosić.

Walidacja za pomocą wpisu w DNSie polega na hmm wpisu w DNSie Smile Nie wiem jak to dokładniej wytłumaczyć. Wybierając tą opcję jesteśmy proszeni by zrobić odpowiedni wpis w DNSie. Ten sposób walidacji zadziała oczywiście gdy posiadamy własną domenę a nie np. tą z dynDNSa.

Na domenę dynDNS lepiej wybrać walidację WWW, gdzie jesteśmy proszeni wstawić pliczek html na serwerze, na który wskazuje domena np. http://moja.domena.pl/blablabla123.html. Gdy wskazany plik będzie dostępny pod wskazanym adresem to znaczy, że mamy prawa do tej domeny.

Jeżeli zaś chodzi o kwestię konfiguracji dnsmasq w openwrt to wystarczy dodać powyższy wpis w plik /etc/dnsmasq.conf, choć można zrobić to też przez /etc/config/dhcp (tu musisz użyć odpowiedniej składni UCI).
https://wiki.openwrt.org/doc/howto/dhcp.dnsmasq
Router: EdgeRouter ER-12
Switch: Ubiquiti US-8-150W
Wi-Fi: Ubiquiti U6-Lite - szt 2.
NAS: Xpenology DS920+
 
lulo
@shibby - ale co wpisać w polu CNAME (konkretnie) ? Czy to zadziała na StartSSL ?
Mam raczej na myśli darmową domenę na freenom.com, gdzie właśnie można edytować wspomniany rekord CNAME (słynne domeny *.tk za free na max. rok - tak to wygląda obecnie).
Co do dnsmasq, czyli najprościej wpis w /etc/config/dhcp - konkretnie jak ma wyglądać taki wpis ? Bo w Tomato ta składnia wygląda chyba nieco inaczej - to czy użyję uci, czy nano, vi to przecież bez znaczenia - chodzi o to jak taki wpis docelowo w openwrt/lede ma wyglądać.
Edytowany przez lulo dnia 17-02-2017 17:28
 
shibby

Cytat

ale co wpisać w polu CNAME (konkretnie) ?


to co ci każe wystawca certyfikatu podczas składania żądania o certyfikat (CSR). Przykładowo dla Comodo jest to:
.yourdomain.com. CNAME .comodoca.com.


Cytat

Co do dnsmasq, czyli najprościej wpis w /etc/config/dhcp - konkretnie jak ma wyglądać taki wpis


config 'dhcp' 'lan'
list 'address' '/moja.domena.pl/192.168.1.1'

powinno zadziałać.
Router: EdgeRouter ER-12
Switch: Ubiquiti US-8-150W
Wi-Fi: Ubiquiti U6-Lite - szt 2.
NAS: Xpenology DS920+
 
lulo
Czyli jednak nie da się wykorzystać metody z CNAME w serwisie/u wystawcy cert. StartSSL - tam niestety jest zapytanie tylko o adres e-mail ustawiony na domenie...czyli serwer poczty trzeba jednak stawiać.
Jeżeli się mylę to poproszę o jakiś tutek krok po kroku, jak uzyskać to na StartSSL. No niby w jednej z zakładek wizarda jest coś podobnego (z wykorzystaniem csr swojego certa), ale chyba nie dla typu DV1 niestety (czyli tylko dla domeny).
Generalnie certy na StartSSL ze względu na czas ważności jak i uniwersalność oraz większą elastyczność w wykorzystaniu ich w swoim WAN/LAN wyglądają ogólnie najkorzystniej - z tych za free oczywiście.
Co do dnsmasq to dziękuję za rozjaśnienie - chociaż nie wiem czy to zadziała, bo w openwrt/lede, w stosownych tutkach brak opcji "list address", natomiast reszta wygląda jak zwykłe przekierowanie domeny na IP....no nic, w wolnej chwili to przetestuję.
 
mundeczek
Co do walidacji przez www na dynDNS to postawiłem sobie szybko Apache przez portable xampp i po przekierowaniu portów walidacja zadziałała Grin
Tyle, że nie chce przejść https://domena.dynDNS
Może ktoś jakąś podpowiedź podrzuci?

Połączony z 07 październik 2017 21:43:25:
Jednak zadziałało Grin
Certyfikat generowałem na stronie https://www.sslforfree.com/
Ważny przez 90 dni.
Edytowany przez mundeczek dnia 07-10-2017 21:43
 
overflow2
Wynalazł może ktoś darmową alternatywę dla wosign? Chrome już całkowicie dropuje stronę na tym certyfikacie.
Asus RT-AC56U FT-AIO
 
U53R_
lestencrypt
 
Steel_Rat

Cytat

overflow2 napisał(a):

Wynalazł może ktoś darmową alternatywę dla wosign? Chrome już całkowicie dropuje stronę na tym certyfikacie.

Oczywiście Let's Encrypt.
Taki mały tutorial dla entwer-ng (na optware-ng też powinno działać):
https://github.com/Entware-ng/Entware...7s-Encrypt
Jak ktoś używa LEDE z LUCI to można też zainstalować pakiet luci-app-acme
Ja osobiście przeszedłem na certyfikat z Let's Encrypt.
WRT3200ACN (WRT32X) + OpenWRT 18.06+światełko 150/150 Mb/s
Asus RT-AC68UvE1 + RMerlin + Entware
Netgear WNR3500Lv2 + DDWRT
 
overflow2
Dzięki Steel_Rat właśnie tego szukałem, bo widziałem na eko.one jest generowanie pod lede i szukałem czegoś do tomato. Przetestuję.

Połączony z 27 listopad 2017 19:21:55:
Udało mi się wygenerować cert na wbudowanym nginx-ie, muszę jeszcze wyczaić jak to ustawić w automacie... Niestety wszystkie ustawienia znikają po restarcie routera.
Edytowany przez overflow2 dnia 27-11-2017 19:21
Asus RT-AC56U FT-AIO
 
Steel_Rat
Co znika? Generalnie powinno wszystko działać.
WRT3200ACN (WRT32X) + OpenWRT 18.06+światełko 150/150 Mb/s
Asus RT-AC68UvE1 + RMerlin + Entware
Netgear WNR3500Lv2 + DDWRT
 
overflow2
Chodzi mi o to, że ja wygenerowałem certy na nginx-ie który jest wkompilowany w obraz (nie ten z entware) no i jak wiadomo, wszystkie ustawienia są ładowane do RAMu więc po restarcie całość znika. Certy oczywiście skopiowałem na dysk i je mam, tylko samo konfigurowanie znika.

Przydałoby się zrobić taki generator w gui Grin, to już by była bajka.
Asus RT-AC56U FT-AIO
 
Steel_Rat
Zawsze możesz w ustawieniach nginx w Tomato podać ścieżkę do pliku conf nginx-a, który masz np W jffs.
WRT3200ACN (WRT32X) + OpenWRT 18.06+światełko 150/150 Mb/s
Asus RT-AC68UvE1 + RMerlin + Entware
Netgear WNR3500Lv2 + DDWRT
 
damianssj661
Tomato ARM nie obsługuje setfb64. Wklejam rozwiązanie


 /etc/cert.pem

cat /opt/ssl/mycert.key > /etc/key.pem

service httpd restart


ASUS RT-AC56U
 
kpietrek
Powiedzcie bo napotkałem na błędy i nie wiem jak to ugryźć. Próbuję uruchomić ssl przez let's i utknąłem na etapie generowania certfikatu. Wpisuję:


bash ./dehydrated --domain piast.no-ip.org --cron


i dostaję odpowiedź:


root@unknown:/opt/etc/nginx# bash ./dehydrated --domain piast.no-ip.org --cron
# INFO: Using main config file /opt/etc/nginx/config
Processing piast.no-ip.org
 + Signing domains...
 + Generating private key...
 + Generating signing request...
 + Requesting new certificate order from CA...
 + Received 1 authorizations URLs from the CA
 + Handling authorization for piast.no-ip.org
 + 1 pending challenge(s)
 + Deploying challenge tokens...
 + Responding to challenge for piast.no-ip.org authorization...
 + Cleaning challenge tokens...
 + Challenge validation has failed :(
ERROR: Challenge is invalid! (returned: invalid) (result: {
  "type": "http-01",
  "status": "invalid",
  "error": {
    "type": "urn:ietf:params:acme:error:connection",
    "detail": "Fetching http://piast.no-ip.org/.well-known/acme-challenge/B3wkTkB7QmHpMWEiP1hC6vg5RQZ4aJ6zNBuAEOJ8jeg: Timeout during connect (likely firewall problem)",
    "status": 400
  },
  "url": "https://acme-v02.api.letsencrypt.org/acme/challenge/UgpBG8MJ-kMVFo5YsG73DIHqB-BKFX_Itr7ndL_Pfd8/9383143509",
  "token": "B3wkTkB7QmHpMWEiP1hC6vg5RQZ4aJ6zNBuAEOJ8jeg",
  "validationRecord": [
    {
      "url": "http://piast.no-ip.org/.well-known/acme-challenge/B3wkTkB7QmHpMWEiP1hC6vg5RQZ4aJ6zNBuAEOJ8jeg",
      "hostname": "piast.no-ip.org",
      "port": "80",
      "addressesResolved": [
        "89.72.202.64"
      ],
      "addressUsed": "89.72.202.64"
    }
  ]
})
root@unknown:/opt/etc/nginx#


Powiedzcie co jest tu nie tak? Co powinienem zrobić?
Netgear R7000 + FreshTomato Firmware 2021.2 K26ARM USB AIO-64K
Asus RT-N18U + FreshTomato Firmware 2021.2 K26ARM USB VPN-64K-NOSMP
Asus RT-AC56U + Tomato Firmware 1.28.0000 -138 K26ARM USB AIO-64K
 
khain
Błąd 400 oznacza, że serwer nie mógł obsłużyć zapytania - nie masz serwera http uruchomionego pod domeną piast.no-ip.org albo (tak jak w logu) port 80 nie jest dostępny od strony WAN.
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
 
Przejdź do forum
Zaloguj
Wprowadź adres e-mail lub nazwę użytkownika

Hasło



Nie masz jeszcze konta? Zarejestruj się.

Zapomniałeś/aś hasła?
Aktualnie online
· Gości online: 6

· Użytkowników online: 0

· Łącznie użytkowników: 24,114
· Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.

PixelPL
03-12-2022 16:29

tamtosiamto
02-12-2022 07:37
https://tiny.pl/wf
7d6
Okazja do pozbycia sie c+ bez kar umownych

Maniek91PL
16-11-2022 19:59
po ile realnie są edgerouter ER-6P ? i edgeswitch 10x ?

tamtosiamto
16-11-2022 07:19
Przeczytaj uwaznie, o co pytalem, a raczej co stwierdzilem

Adooni
14-11-2022 23:04
przeciez napisalem ze juz nie ma w Orange umowy bez FB

tamtosiamto
14-11-2022 09:16
Adooni nie chodzi o opcje z fb czy bez, tylko w umowie ma byc cena podana za dzierzawe, jak byla i wziales to musisz niestety placic

belliash
14-11-2022 08:13
(...) z prawem. Wielu operatorów już się przejechało na dokładaniu do umowy niechcianych usług na siłę.

belliash
14-11-2022 08:12
Ja za FB akurat nei płacę, ale też z niego nie korzystam - leży w pudełku. Wystarczy mi ONT. Niemniej zastanowić się należy, czy takie wciskanie urządzenia na siłę za dodatkową opłatą jest zgodne z pr

Adooni
13-11-2022 21:31
nie ma w orange opcji bez FB.

tamtosiamto
13-11-2022 19:31
Jak nie bylo w umowie wzmianki o 3.99 to zerwac umowe, a jak byla, ale czytac sie nie chcialo to cierpiec do konca umowy

57,844,622 unikalnych wizyt