|
Multiroom N z wykorzystaniem openVPN
|
| Steel_Rat |
Dodano 09-01-2015 21:38
|
OL Maniac
Posty: 1831
Dołączył: 29/05/2011 22:24
|
VLAN też musisz ustawić. Przeczytaj jeszcze raz tutka. Pisało tam że masz do 4 portu podpiąć drugi dekoder.
WRT3200ACN (WRT32X) + OpenWRT 18.06+światełko 150/150 Mb/s
Asus RT-AC68UvE1 + RMerlin + Entware
Netgear WNR3500Lv2 + DDWRT
|
| |
|
|
| wojgp |
Dodano 09-01-2015 22:07
|
User
Posty: 13
Dołączył: 09/01/2015 15:34
|
Na razie chcę połączyć 2 sieci LAN, nie zależy mi na wydzielaniu portu z routera. Wg tutoriala doszedłem do połowy drogi i pytanie czy w tym momencie tunel vpn powinien już działać ?
W logach routerów widać że tunel już jest i nie ma błędów, ale jakoś kompy się nie widzą :-/
Połączony z 10 January 2015 00:14:59:
Sam sobie odpowiem  Wszystkie routery muszą być z IP w tej samej podsieci przy VPN typu TAP , w moim przypadku 192.168.15.x i działa idealnie
Chyba że ktoś ma jakąś inna wizję.
Edytowany przez wojgp dnia 10-01-2015 00:14
|
| |
|
|
| hermes-80 |
Dodano 10-01-2015 10:44
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
Przecież to jest oczywista oczywistość przy TAP.
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| dar3k |
Dodano 10-01-2015 21:34
|
Super User
Posty: 416
Dołączył: 29/11/2013 22:48
|
Potrzebuje małej pomocy bo nie mogę sobie poradzić z konfiguracją serwera i klienta.
Skonfigurowałem serwer (niestety nie na tomato) oto jego plik conf
# amod OpenVPN server configuration file
# created by ovpn 01/10/15 21:18:35
########################################
# DO NOT touch these
dev ovpns
dev-type tap
dev-node /dev/tun0
proto tcp-server
daemon
writepid /var/run/openvpn_server.pid
script-security 3
secret /etc/amod/conf/openvpn/openvpn_server_static.key
log /tmp/ovpnspipe
status /var/log/openvpn_server_status.log 60
local 192.168.0.1
lport 1194
########################################
# You may touch these, but only
# if you know what you are doing
#user nobody
#group nobody
nice 12
mute 3
suppress-timestamps
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
persist-remote-ip
float
łączę się do niego z tomato poniżej konfiguracja klienta
# Automatically generated configuration
daemon
dev tap11
proto tcp-client
remote dar3k.myftp.org 1194
ifconfig 192.168.0.200 255.255.255.0
resolv-retry 5
nobind
persist-key
persist-tun
comp-lzo adaptive
verb 3
secret static.key
status-version 2
status status
# Custom Configuration
log-append /var/log/openvpn.log
Połączenie się zestawia oto logi z serwera:
TCP/UDP: Preserving recently used remote address: [AF_INET]18.*.*.*:55188
Preserving previous TUN/TAP instance: ovpns
Listening for incoming TCP connection on [AF_INET]192.168.0.1:1194
TCP connection established with [AF_INET]18.*.*.*:26009
TCPv4_SERVER link local (bound): [AF_INET]192.168.0.1:1194
TCPv4_SERVER link remote: [AF_INET]18.*.*.*:26009
Peer Connection Initiated with [AF_INET]18.*.*.*:26009
Initialization Sequence Completed
Jeszcze logi z klienta na tomato
Sat Jan 10 21:35:40 2015 Preserving previous TUN/TAP instance: tap11
Sat Jan 10 21:35:40 2015 Attempting to establish TCP connection with [AF_INET]77.255.13.*:1194 [nonblock]
Sat Jan 10 21:35:44 2015 TCP connection established with [AF_INET]77.255.13.*:1194
Sat Jan 10 21:35:44 2015 TCPv4_CLIENT link local: [undef]
Sat Jan 10 21:35:44 2015 TCPv4_CLIENT link remote: [AF_INET]77.255.13.*:1194
Niestety nie przechodzą pingi między sobą - routery się nie widzą :(
Na tomato wydzieliłem jeden port to osobnego vlana, tak jak w opisie, po podpięciu do portu komputera nie może połączyć się z serwerem dhcp - pomoże ktoś?
PS: na routerze gdzie jest serwer openvpn serwer DHCP przydziela IP z puli .10 - .100
Edytowany przez dar3k dnia 10-01-2015 21:39
ER-12 + 4x UAP-AC-PRO
|
| |
|
|
| hermes-80 |
Dodano 11-01-2015 10:07
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
U mnie tak wygląda konfiguracja klienta na tomato TAP certyfikaty - pewnie jakiś wpisów w firewallu nie masz:
cat /etc/openvpn/client1/config.ovpn
# Automatically generated configuration
daemon
client
dev tap11
proto tcp-client
remote coś.tam.pl 1466
resolv-retry 30
nobind
persist-key
persist-tun
comp-lzo yes
cipher AES-128-CBC
verb 3
status-version 2
status status
# Custom Configuration
ca /jffs/ca.crt
cert /jffs/client1.crt
key /jffs/client1.key
Oraz firewall:
cat /etc/iptables
*mangle
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-I PREROUTING -i vlan1 -j DSCP --set-dscp 0
COMMIT
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:WANPREROUTING - [0:0]
xxxxxx
-A PREROUTING -i vlan1 -d 192.168.1.1/255.255.255.0 -j DROP
-A PREROUTING -i vlan1 -d 192.168.200.2/255.255.255.0 -j DROP
xxxxxx
-A POSTROUTING -o br0 -s 192.168.1.1/255.255.255.0 -d 192.168.1.1/255.255.255.0 -j SNAT --to-source 192.168.1.1
-A POSTROUTING -o br1 -s 192.168.200.2/255.255.255.0 -d 192.168.200.2/255.255.255.0 -j SNAT --to-source 192.168.200.2
COMMIT
*filter
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]
xxxxx
-A INPUT -i lo -j ACCEPT
-A INPUT -i br0 -j ACCEPT
-A INPUT -i br1 -j ACCEPT
xxxxxx
:FORWARD DROP [0:0]
-A FORWARD -m account --aaddr 192.168.1.0/255.255.255.0 --aname lan
-A FORWARD -m account --aaddr 192.168.200.0/255.255.255.0 --aname lan1
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -i br1 -o br1 -j ACCEPT
xxxxxx
:monitor - [0:0]
xxxxxx
:wanin - [0:0]
:wanout - [0:0]
xxxxxx
-A FORWARD -i br0 -o br1 -j DROP
-A FORWARD -i br1 -o br0 -j DROP
-A FORWARD -i vlan1 -j wanin
-A FORWARD -o vlan1 -j wanout
-A FORWARD -i br0 -j ACCEPT
-A FORWARD -i br1 -j ACCEPT
COMMIT
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| dar3k |
Dodano 11-01-2015 11:05
|
Super User
Posty: 416
Dołączył: 29/11/2013 22:48
|
Z tego co widzę to ty masz ustawiony routing między dwoma vlanami, a ja chce tak jak w opisie przekierować cały ruch VPN na jeden port fizyczny. W moim przypadku firewalla nie potrzeba dotykać - tak jak w pierwszym poście mam skonfigurowane porty routera.
Połączony z 12 January 2015 22:11:06:
problem rozwiązany, nie wiem dlaczego ale na tomato miałem ustawiony parametr kompresja na adaptacyjny, a na serwerze miałem go odznaczonego. Jak zahaczyłem na serwerze to zaczęło działać 
Połączony z 13 January 2015 21:08:33:
Próbował, ktoś może skonfigurować routing między tymi sieciami? (jeden port jest całkowicie w sieci VPN, a wszyscy userzy z sieci lokalnej np. 192.168.1.0 mają dostęp do sieci z tunelu 192.168.0.0) ?
Edytowany przez dar3k dnia 13-01-2015 21:08
ER-12 + 4x UAP-AC-PRO
|
| |
|
|
| Bambus |
Dodano 25-01-2015 16:53
|
User
Posty: 6
Dołączył: 14/12/2014 17:07
|
Panowie mam pytanie jak poprawnie Ustawić DDNS, w lokalizacji pierwszej mam NEO i Liveboxa a do Liveboxa mam podpiętego asusa rt-n10u do którego jest matka podpięta.
I moje pytanie jak ustawić liveboxa i asusa, tak żeby publicznie był widoczny a zarazem tunel łączył się poprawnie? |
| |
|
|
| dar3k |
Dodano 25-01-2015 19:06
|
Super User
Posty: 416
Dołączył: 29/11/2013 22:48
|
Spróbuj w livebox skonfigurować DMZ na asusa, wepnij liveboxa do asusa jako WAN.
ER-12 + 4x UAP-AC-PRO
|
| |
|
|
| Bambus |
Dodano 25-01-2015 21:42
|
User
Posty: 6
Dołączył: 14/12/2014 17:07
|
Cytat dar3k napisał(a):
Spróbuj w livebox skonfigurować DMZ na asusa, wepnij liveboxa do asusa jako WAN.
Dzięki za odpowiedź, właśnie tak zrobiłem i działa wszystko ok |
| |
|
|
| dar3k |
Dodano 26-01-2015 06:22
|
Super User
Posty: 416
Dołączył: 29/11/2013 22:48
|
Teraz asus stał się routerem, który ma otwarte porty na "świat" jeżeli masz ustawiony WAN w tej samej podsieci co LAN to uważaj bo wszystkie porty otwarte w LAN będziesz miał dostępne z internetu! Jeżeli na WAN masz inne IP niż na portach LAN to wtedy nie ma tego problemu!
ER-12 + 4x UAP-AC-PRO
|
| |
|
|
| mp0011 |
Dodano 27-01-2015 21:33
|
User
Posty: 8
Dołączył: 01/11/2014 00:19
|
Witam,
Po dwóch miesiącach bezproblemowej pracy, coś przestało się łączyć.
Dekodery mam podpięte następująco:
Matka => RaspberriPI (VPN) =(wifi)=> Livebox2 => neostrada
Klient => Router (jako switch i DHCP) => Laptop (debian - VPN) =(wifi)=> Modem UPC => UPC (stałe IP)
Laptop pinguje raspberry, router, i 8.8.8.8 (google.pl) bez problemu.
Raspberry pinguje laptop oraz 8.8.8.8, ale nie pinguje już routera.
Pingowanie routera z Raspberry powoduje zerwanie tunelu - przestają przechodzić jakiekolwiek pingi...
Znalazłem też jedną podejrzaną rzecz, mianowicie polecenie ifconfig na laptopie nie wykazuje adresu IP na interfejsie tap0 (w raspberry jest przypisany adres taki sam jak br0).
W którym momencie ten adres powinien się do tego inferfejsu przypisać i co może być przyczyną zrywania połączenia? |
| |
|
|
| dar3k |
Dodano 28-01-2015 12:35
|
Super User
Posty: 416
Dołączył: 29/11/2013 22:48
|
Coś zmieniałeś, np. update tomato?
wrzuć configi dla obu lokalizacji. Tunel się zestawił (co podaje gui tomato?)
ER-12 + 4x UAP-AC-PRO
|
| |
|
|
| mp0011 |
Dodano 28-01-2015 13:37
|
User
Posty: 8
Dołączył: 01/11/2014 00:19
|
Nie używam Tomato (sorka jeżeli zaśmiecam temat, ale był on główną inpiracją przy mojej konfiguracji), tylko debiana i raspberry (też debian).
TV zaczęła działać (mógł być za słaby sygnał z anteny, co powodowało niechęć do synchronizacji - objawy taki jak przy niedziałającym tunelu - ciągła miganie diod na switchu/routerze. Dziwna sprawa). TV działą już bezproblemowo.
Zastanawia mnie tylko czemu tunel wywala się przy pingowaniu routera z poziomu Raspberry.
Jaki konkretnie pliki chcesz obejrzeć?
Edytowany przez mp0011 dnia 28-01-2015 13:49
|
| |
|
|
| dar3k |
Dodano 28-01-2015 18:00
|
Super User
Posty: 416
Dołączył: 29/11/2013 22:48
|
config.ovpn z jednej i drugiej lokalizacji na poczatek
ER-12 + 4x UAP-AC-PRO
|
| |
|
|
| servee |
Dodano 03-02-2015 15:46
|
User
Posty: 101
Dołączył: 23/10/2014 15:36
|
Zestawiałem połączenie wg tutoriala i mam kilka spostrzeżeń. Część z nich przewinęła się już w tej dyskusji bo powodowała problemy z właściwą konfiguracją.
I tak:
Problem 1
Cytat shibby napisał(a):
Przechodzimy do Basic -> Network i tworzymy nowy bridge:
Cytat Bridge: br2
STP: nie
IP Address: tu ustawiamy TEN SAM ADRES IP, który wpisaliśmy w kliencie ovpn czyli 192.168.0.200
Netmask: 255.255.255.0
DHCP: NIE
Zapisujemy.
U mnie należało wybrać kolejny wolny. Np. jeśli miałem tylko br0, to ustawić musiałem Bridge: br1.
Jeśli nie ustawiłem tego tak jak powyżej, to przy konfiguracji klienta openVPN w VPN Tunneling -> OpenVPN Client zakładka Basic "Bridge TAP with..." po wybraniu br2 klient nie startował. Startował natomiast gdy wskazywałem mu br0, które w tym przypadku nie ma zastosowania, bo jest do innych celów.
Problem 2
Cytat shibby napisał(a):
Przechodzimy na Advanced VLAN. Wypinamy port4 z LAN (br0), dodajemy nowy VLAN np VLAN4, VID4, zaznaczamy port4 i bridge LAN2 (br2). Zapisujemy. Wykonany zostanie reset routera.
Miałem problemy z wypięciem portu, bo po zapisaniu zmian wypięty port dalej widniał w br0 jak i w nowym VLAN'ie. Rozwiązanie, które u mnie się sprawdziło zaproponował RedDevil.
Cytat RedDevil napisał(a):
Port możesz odpiąć od vlanu w dość prosty sposób. Ściągnij sobie PUTTY, zaloguj się na router przez telnet i zrób to tak jak opisano tutaj: http://tomatousb.org/forum/t-620710
Najważniejsze, żeby zauważyć inną numerację portów niż na urządzeniu :D shibby wspomniał w odpowiedzi na Twój post o mapowaniu i wtedy mnie olśniło, bo już wcześniej się dziwiłem dlaczego WAN jest u mnie na porcie 4 w GUI :D W moim Asusie RT-N12 wygląda to tak:
Porty na urządzeniu: 1 2 3 4 WAN
Porty w oprogramowaniu: 3 2 1 0 4
Czyli żeby na porcie 1 i vlan2 mieć IP z podsieci serwera należy przez telnet (bo przez GUI chyba nie uda się wypiąć tego portu) wykonać coś takiego:
nvram set vlan0ports="2 1 0 5*"
nvram set vlan2ports="3 5*"
nvram set manual_boot_nv=1
nvram commit
Po wykonaniu tych poleceń wystarczy zrestartować router, można przez GUI, po restarcie wystartować klienta i wszystko będzie grało. Sprawdziłem w kompie, że przydziela IP z podsieci serwera
oraz kilmariusz
Cytat kilmariusz napisał(a):
Jest lepszy sposób, proponuję wpisać to do pierwszego postu.
Problem w tym że podczas restartu system przywraca wartości domyślne nvram. Żeby to wyłączyć trzeba wykonać taki skrypt :
zaloguje się przez ssh
wykonaj komendy
nvram set manual_boot_nv=1
nvram commit
następnie wejdź przez przeglądarkę i ustaw tak jak należy.
Po kolejnym restarcie już da się odłączyć port 4 od vlan0
- Alternatywa
W tymi miejscu można również skorzystać z VLAN przez WiFi bez potrzeby odpinania portu. Tą część tutka z powodzeniem zastąpić można kolejnym tutkiem zaproponowanym przez kille72. Testowałem - działa.
Problem 3
Dla Tomato w wersji v123 i wcześniejszej u mnie jak i u innych pojawiały się problemy z uruchomieniem klienta openVPN po wpisaniu skryptu w Custom Configuration.
Cytat shibby napisał(a):
Następnie na zakładce VPN Tunneling -> OpenVPN Client -> Advanced w polu Custom Configuration wpisujemy:
[quote]script-security 2
up /tmp/bridgeTAP
Pomogło dopiero.
Po wpisaniu go do jffs i zrestartowaniu routera klient startował.
Konfigurację wykonywałem na RT-N10U, czyli z Mipsel'em na pokładzie bezpośrednio po wyczyszczeniu nvram. |
| |
|
|
| shibby |
Dodano 03-02-2015 18:48
|
SysOp
Posty: 17064
Dołączył: 15/01/2009 20:30
|
ad problem 1) racja. Ja pod br1 miałem sieć gościnną, dlatego u mnie kolejnym wolnym br był właśnie br2.
Proxmox VE: i7-7700T, 48GB RAM, 3x2TB SSD, 1x1TB SSD, 512GB NVMe, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology DS920+
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
|
| |
|
|
| Barticf |
Dodano 05-02-2015 10:46
|
Power User
Posty: 230
Dołączył: 15/05/2012 16:21
|
Gdyby ktoś chciał by tylko dany adres ip przechodził przez sieć vpn:
Openvpn client - basic - Create NAT on tunnel (odznaczyć)
Openvpn client - advanced - Redirect Internet traffic (odznaczyć)
W Custom Configuration dopisać route-nopull
Do skryptów np. Firewall dodać wpis
iptables -I FORWARD -i br0 -o tun11 -j ACCEPT
iptables -I FORWARD -i tun11 -o br0 -j ACCEPT
iptables -I INPUT -i tun11 -j REJECT
iptables -t nat -A POSTROUTING -o tun11 -j MASQUERADE
Do skryptu WAN dodać
sleep 30
ip route flush table 200
ip route flush cache
ip rule add from 192.168.1.6 lookup 200
ip rule add from 192.168.1.8 lookup 200
VPN_GW=`ifconfig tun11 | awk '/inet addr/ {split ($2,A,":"); print A[2]}'`
ip route add table 200 default via $VPN_GW dev tun11
Dzięki temu tylko adresy 1.6 i 1.8 przechodzą przez sieć VPN |
| |
|
|
| overflow2 |
Dodano 05-02-2015 14:45
|
Super User
Posty: 612
Dołączył: 28/01/2008 08:36
|
Czy próbowaliście ustawić tego vpn-a tak, aby urządzenia wpięte do routerów klienckich miały dostęp do neta, oraz aby chodziły pingi we wszystkie strony (teraz pingi chodzą tylko z urządzenia do servera, ale z urządzenia do urządzenia już nie)... wydaje mi się że jest jedna przyczyna dla obu tych problemów... routing? Jak to ustawić?
Chciałbym mieć możliwość zarządzania routerami klienckimi z telefonu który również będzie klientem vpn. Na ten moment mogę się zalogować bez problemu na server, ale na klientów już nie.
Asus RT-AC56U FT-AIO
|
| |
|
|
| servee |
Dodano 06-02-2015 15:46
|
User
Posty: 101
Dołączył: 23/10/2014 15:36
|
Jak powinno być ustawione przydzielane IP od strony klienta VPN? Pytam, bo DHCP w tutku jest wyłączone.
Czy należy go na sztywno wpisać w routerze (jeśli tak, to od strony klienta czy serwera?), czy w urządzeniu końcowym, czy może tunel powinien przepuścić urządzenie od klienta VPN do serwera VPN, a serwer z racji tego, że ma DHCP włączone przydzieli IP?
Chcę to ustawić tak, żeby było dobrze i nie powodowało konfliktów, ale jednocześnie zależałoby mi na automatycznie przydzielanym IP, bo VLAN mam zrobione po wifi. W tutorialu nie zostało to opisane. |
| |
|
|
| overflow2 |
Dodano 06-02-2015 16:05
|
Super User
Posty: 612
Dołączył: 28/01/2008 08:36
|
Ja mam na serwerze przypisane na sztywno adresy, bo chcę mieć porządek.
Co do urządzeń podpiętych do klientów to one sobie z automatu pobiorą adresy z serwera, nawet jak nie będą na nim przypisane na sztywno.
Asus RT-AC56U FT-AIO
|
| |
|
' target='_blank'>Link
