|
Multiroom N z wykorzystaniem openVPN
|
| andrewxxx |
Dodano 26-03-2016 08:39
|
User
Posty: 14
Dołączył: 12/01/2010 14:55
|
Witam udało mi się postawić serwer na openwrt. Testowalem przy pomocy klienta z ddwrt i pod Windows i wszystko idealnie działa. Nie potrafię jednak zrobić konfiguracji pod openwrt dla klienta. Vpn łączy się ale brakuje mu mostu. Próbowałem na różne sposoby i nic. Czy ktoś może podesłać jaki most tworzy se pod ddwrt ? Nie mam teraz na stanie i nie wiem nie mam jak sprawdzić. |
| |
|
|
| hermes-80 |
Dodano 26-03-2016 09:57
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
#!/bin/sh /etc/rc.common
START=94
start() {
openvpn --mktun --dev tap0
brctl addif br-lan tap0
ifconfig tap0 0.0.0.0 promisc up
}
stop() {
ifconfig tap0 0.0.0.0 down
brctl delif br-lan tap0
openvpn --rmtun --dev tap0
}
do tworzenia mostów między interfejsami służy program: brctl
#!/bin/sh
brctl addif br2 tap11
parametry dla programu są dostępne po wydaniu komendy brctl
http://eko.one.pl/?p=openwrt-openvpn
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| Dimson |
Dodano 07-04-2016 00:32
|
User
Posty: 93
Dołączył: 14/09/2007 21:23
|
zanim zacznę walkę wolę się podpytać, czy serwer VPN da się uruchomić na WRT54GL ? będzie to jakoś sensownie działać ?
założenie jest takie:
- dekoder główny (matka) + WRT54GL + Neostrada (zmienne zewnętrzne IP)
- dekoder dodatkowy MR + R7000 + kablowy ISP (stały zewnętrzny adres IP) |
| |
|
|
| hermes-80 |
Dodano 07-04-2016 12:42
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
Niestety WRT54GL ma za mało Flash-u by tam zmieścił się obraz z VPN-em jedyny sposób to SDmod i instalacja VPN na opt-ware i ręczna konfiguracja.
Jeśli chodzi o działanie OpenVPN na tych routerkach to wykorzystywany tylko do MR nie sprawiał żadnych problemów (u mnie działał na WRT54G-TM 8MBflash) ponieważ MR wymienia bardzo niewielka ilość danych co nie wpływa za mocno na wydajność routera.
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| shibby |
Dodano 07-04-2016 13:17
|
SysOp
Posty: 17067
Dołączył: 15/01/2009 20:30
|
1) możesz wgrać wersję VPN ale dużo starszą np.
http://tomato.groov.pl/download/K24/build5x-124-EN/tomato-ND-1.28.5x-124-VPN.trx
działać zadziała
2) Serwer VPNa nie musi być tak gdzie "matka". Skoro silniejszy router jest ze łączem ze stałym IP jest tam gdzie biały dekoder, to możesz na nim postawić serwer VPN.
Proxmox VE: i7-7700T, 64GB RAM, 3x2TB SSD, 1x1TB SSD, 512GB NVMe, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology DS920+
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
|
| |
|
|
| Dimson |
Dodano 07-04-2016 16:13
|
User
Posty: 93
Dołączył: 14/09/2007 21:23
|
Dzięki za cenne rady.
Serwer VPN chcę postawić na WRT54GL dlatego, że stoi on u rodziców (dekoder matka też) i pewnie jak już raz uda mi się go skonfigurować i odpalić to nie będę tam więcej grzebał.
Natomiast R7000 będzie klientem i jak będą wychodzić nowe wersje tomato to wydaje mi się, że łatwiej mi będzie testować nowe funkcjonalności na R7000 działającym jako klient. Tym bardzie, że pewnie dojdzie pewnie jeszcze jedne router z MR więc, chciałbym żeby niezależnie od moich "zabaw" z R7000 na tym drugim MR śmigał bez problemów. Reasumują, jeśli będę trzymał się tutka to poniższe założenie powinno działać ?
- dekoder główny (matka) + serwer WRT54GL (tomato-ND-1.28.5x-124-VPN) + Neostrada (zmienne zewnętrzne IP)
- dekoder dodatkowy MR + klient R7000 + kablowy ISP (stały zewnętrzny adres IP)
- dekoder dodatkowy MR + klient z tomato + internet neo/ kablówka / 3G lub LTE
Edytowany przez Dimson dnia 07-04-2016 16:19
|
| |
|
|
| shibby |
Dodano 07-04-2016 16:28
|
SysOp
Posty: 17067
Dołączył: 15/01/2009 20:30
|
1) do zmiennego IP musisz mieć DDNSa.
2) tutek jest tylko "punkt-punkt" a nie "serwer-wielu klientów". W konfiguracji WRT54GL i R7000 ten tutek zadziała ale dodanie kolejnego klienta wymaga całkowicie innego podejścia do tematu, ponieważ zamiast static.key musisz użyć TLS i wygenerować certyfikaty SSL dla bramy i każdego klienta. Takiej konfiguracji osobiście nie testowałem, choć nie przeczę że jest to niemożliwe.
Proxmox VE: i7-7700T, 64GB RAM, 3x2TB SSD, 1x1TB SSD, 512GB NVMe, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology DS920+
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
|
| |
|
|
| Dimson |
Dodano 07-04-2016 18:33
|
User
Posty: 93
Dołączył: 14/09/2007 21:23
|
1) jasna sprawa 
2) to też się zgadza ale widzę, że kilku kolegów już przerabiało ten temat (2 lub więcej klientów MR) więc mam nadzieję że poratują jak będę bił głową w mur  |
| |
|
|
| overflow2 |
Dodano 07-04-2016 20:13
|
Super User
Posty: 612
Dołączył: 28/01/2008 08:36
|
Autoryzacja TLS i wszystko śmiga z kilkoma klientami.
Asus RT-AC56U FT-AIO
|
| |
|
|
| Dimson |
Dodano 08-04-2016 02:29
|
User
Posty: 93
Dołączył: 14/09/2007 21:23
|
@overflow2, właśnie między innymi Ciebie miałem na myśli
Połączony z 11 kwiecień 2016 00:42:09:
połowa drogi chyba za mną:
- serwer skonfigurowany i odpalony na WRT54GL z usługą dyndns
- client na R7000 również
jeśli dobrze rozumiem, teraz trzeba na R7000 wydzielić 1 VLAN na którymś porcie LAN - tak żeby urządzenie (dekoder, laptop) podpięte do tego portu dostawało adresację z WRT54GL ? (wg mnie najtrudniejszy element całego tutka)
Połączony z 12 kwiecień 2016 20:06:49:
dziękuję za pomoc, cenne rady i wskazówki temat ogarnięty finalnie konfiguracja wygląda tak:
1.Neostrada, ZTE ZXDSL 831 w trybie bridge ->LAN<- WRT54GL (server VPN z TLS, skonfigurowany DYNDNS) ->WIFI<-TL-WR702N w trybie Client ->LAN<- dekoder matka (wpisane na sztywno ip z zakresu serwera)
2.Lokalny ISP modem Cisco ->LAN<-R7000 (Client VPN TLS, VLAN do serwera)->LAN<-BOX+(mydelniczka)
Edytowany przez Dimson dnia 12-04-2016 20:06
|
| |
|
|
| hermes-80 |
Dodano 12-04-2016 23:39
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
MR puszcza się najlepiej w osobnych vlan-ach (serwer - klient) z dwóch najważniejszych powodów.
1. Odseparowanie sieci lokalnych (niebezpieczne) - gdy klient/serwer ma dostęp do sieci lokalnych po obu stronach usług/danych/PC-tów.
2. Odseparowane sieci znacznie zmniejszają ilość danych przesyłanych przez tunel.
Sam DHCP jest drugorzędna sprawą bo można odpalić DHCP po stronie klienta i serwera uprzednio odpowiednio go konfigurując.
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| shibby |
Dodano 13-04-2016 10:15
|
SysOp
Posty: 17067
Dołączył: 15/01/2009 20:30
|
i nie minęło kilka dni i właśnie jestem w trakcie konfiguracji MR w 4 lokalizacjach Taka rada ode mnie. Jeżeli serwer VPN nie stoi tam gdzie matka (taką właśnie ja mam sytuację) to w konfiguracji serwera trzeba dodatkowo zaznaczyć: "Manage Client-Specific Options" a następnie "Allow Client<->Client". Inaczej klienci nie będą się widzieli wzajemnie.
Proxmox VE: i7-7700T, 64GB RAM, 3x2TB SSD, 1x1TB SSD, 512GB NVMe, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology DS920+
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
|
| |
|
|
| hermes-80 |
Dodano 13-04-2016 10:43
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
Poza tym - nie wiem jak teraz ale - trzeba wziąć poprawkę na to iż jeżeli dekoder po zaniku prądu wcześniej się podniesie niż DHCP na routerze - nie zestawi się MR z powodu tego, że dekoder tylko raz w trybie automatycznej sieci pyta o adres IP - jak go nie dostaje to głupieje - nie lepiej miało się przy przestawieniu sieci na manual w dekoderze - po restarcie prądowym w dekoderze powracała autokonfiguracja sieci.
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| shibby |
Dodano 13-04-2016 10:47
|
SysOp
Posty: 17067
Dołączył: 15/01/2009 20:30
|
na to jest prosty sposób. Ja nie używam DHCP tylko każdy dekoder ma konfigurację manualną. Zaletą takiego rozwiązania jest to, że każy dekoder może mieć wpisaną bramę SWOJEGO ROUTERA lokalnego, zatem nie będzie sytuacji, w której np. VOD Go będzie leciało przez VPN i wychodziło z IP innego routera, bo tam mu nakazuje brama domyślna Dekodery muszą należeć do jednej i tej samej logicznej sieci zatem de facto nawet brama domyślna nie jest potrzebna do poprawnego działania multiroomu.
Proxmox VE: i7-7700T, 64GB RAM, 3x2TB SSD, 1x1TB SSD, 512GB NVMe, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology DS920+
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
|
| |
|
|
| hermes-80 |
Dodano 13-04-2016 11:03
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
Tak tylko, że ja miałem taki przypadek, że po ustawieniu manualnym - po zaniku prądu dekoder wracał do autokonfiguracji a manualne ustawienia kasowały się.
Też myślałem że to mi rozwiąże sprawę - więc zrób sobie testy.
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| joseph |
Dodano 13-04-2016 12:35
|
Power User
Posty: 210
Dołączył: 16/11/2012 13:36
|
Cytat shibby napisał(a):
na to jest prosty sposób. Ja nie używam DHCP tylko każdy dekoder ma konfigurację manualną. Zaletą takiego rozwiązania jest to, że każy dekoder może mieć wpisaną bramę SWOJEGO ROUTERA lokalnego, zatem nie będzie sytuacji, w której np. VOD Go będzie leciało przez VPN i wychodziło z IP innego routera, bo tam mu nakazuje brama domyślna Dekodery muszą należeć do jednej i tej samej logicznej sieci zatem de facto nawet brama domyślna nie jest potrzebna do poprawnego działania multiroomu.
Ja mam wyłączony serwer DHCP w ustawieniach serwera vpn i mam wpisy w Static DHCP, konfigurację na dekoderach mam na auto.
Bardzo rzadko (raz na trzy miesiące) zdarza się problem z brakiem zestawienia MR.
Muszę spróbować tak jak shibby mówi.
Edytowany przez joseph dnia 13-04-2016 12:47
|
| |
|
|
| hermes-80 |
Dodano 13-04-2016 13:04
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
Ja tylko podpowiadam - jakie można spotkać problemy przy MR - sam DHCP też nie jest jakimś dużym problemem - można zablokować go przez ebtables.
U mnie w każdym razie sprawdzało się DHCP + statick osobny dla każdego segmentu + ograniczenie IP tylko dla uprzędzeń w segmencie. Problem z wcześniejszym wstaniem dekodera od routera - naprawiło poprawienie bug-a przez @shibbiego z long boot-em Tomato.
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| Kruku |
Dodano 18-04-2016 13:40
|
User
Posty: 1
Dołączył: 18/04/2016 13:35
|
Czy aktualnie kupując N z multiroom nie ma problemów z działaniem poprzez VPN? |
| |
|
|
| hermes-80 |
Dodano 18-04-2016 13:41
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
Raczej wszystko zostało na tej samej zasadzie.
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| serpente666 |
Dodano 29-05-2016 00:14
|
User
Posty: 1
Dołączył: 28/05/2016 23:23
|
Witam wszystkich, to mój pierwszy post na forum. Dzięki za ten tutorial!
Od jakiegoś czasu zastanawiałem się czy pobawić się w to o czym piszecie ale zanim to zrobię to chciałbym Was zapytać 'czy to zagra' w mojej konfiguracji, tak by to wyglądało:
Lokalizacja 1 - brak publicznego IP:
Internet od Wireless ISP -> AP Ubiquiti z firmwarem Airmax z DHCP (nie mam możliwości ingerować w AP) -> Asus RT n-18 chyba (na razie bez tomato) z DHCP i w tej sieci dekoder matka i 1 dekoder biały.
Lokalizacja 2 - publiczny IP:
Modem DSL+router+WAP w jednym urządzeniu -> Asus RT n10u -> 2gi dekoder biały.
Dodatkowo dekodery w lokalizacji 1 są teraz połączone przez PoE i miałyby możliwość podłączenia do Asusa tylko po wifi przez AP w trybie client.
Jak zmodyfikować tutorial dla tego przypadku? Czy wystarczy 1 tunel VPN dla tych 2 dekoderów w lokalizacji 1?
Bazując na logice tutoriala klient VPN ma tunel na 1 porcie LAN a ja mam nie dość że 2 dekodery to jeszcze po wifi... czy tu do portu LAN trzeba podpiąć dodatkowy Wireless AP w zwykłym trybie bridge (bez DHCP w AP) tak żeby serwer DHCP w lokalizacji 1 mógł przypisać IP tym 2 dekoderom?
Kurcze robi się ciekawie co o tym myślicie? |
| |
|
' target='_blank'>Link
