Są dwa routery RT N-16 z zainstalowanym Tomato. Do każdego z tych routerów po stronie LAN podpięci są klienci w postaci komputerów, drukarek, dekoderów sat, odtwarzaczy blu-ray i odbiorników TV. Obydwa routery mają stały zewnętrzny adres IP. Chcę oba routery połączyć tunelem VPN tak aby z internetu każdy router korzystał z własnego łącza ale aby była komunikacja urządzeń wewnątrz każdej sieci z urządzeniami z drugiej sieci w obie strony.
Jak ugryźć praktycznie ten problem?
Doczytałem, że musi być to polaczenie typu site-to-site oparte na trybie TUN.
Zainstalowałem na kompie OpenVPN, wygenerowałem static key, wpisałem go do routera w zakładkę klucze, dałem uruchom teraz, przycisk zmienia się na zatrzymaj teraz a w odpowiedzi dostaję "Serwer nie działa lub status nie może zostać odczytany".
Więc jak to zrobić aby było poprawnie?
Wszystko co znalazłem w internecie dotyczy albo instalacji na kompie z Linuxem (a ja mam windowsa) albo połączenia klienta z pojedynczym kompem do sieci VPN i nigdzie nie znalazłem jak to zrobić gdy serwerem będzie router a klientem inny router.
Edytowany przez posucha dnia 27-10-2013 13:52
Zainstalowałem na jednym routerze serwer vpn a na drugim routerze klienta vpn.
Na obu routerach działa dhcp, pierwszy router ma adres 192.168.1.1 i zakres przydzielania adresów wewnętrznych na 192.168.1.2-192.168.1.50, drugi router ma adres 192.168.1.51 i analogiczny zakres przydzielania adresów na 192.168.1.52-192.168.1.100.
I tutaj kończy się cześć wspólna z opisem instalacji dla multiroom enki - tam tylko dekodery mają się dogadywać w ramach jednej sieci a pozostałe urządzenia mają być dla siebie niewidoczne.
Ja potrzebuje tak skonfigurować routing aby wszystkie urządzenia podpięte po lanie do pierwszego routera widziały i komunikowały się z urządzeniami podłączonymi do drugiego routera i na odwrót, tj. aby spiąć wirtualnie tak obie sieci lan1 i lan2 jakby były jedną siecią ale aby z zasobów internetu, każda sieć korzystała z własnego routera a tylko ruch w ramach tej wirtualnej sieci przesyłany był przez tunel.
Na obu routerach mam wykorzystane wszystkie gniazda lan1-4, do gniazd tych są podłączone switche, które znajdują się w poszczególnych pokojach zbierając sygnał z wszystkich urządzeń jakie są w tym pokoju (dekoder, blu-ray, telewizor, komp itd.).
Jak poustawiać ten routing aby to śmigało?
Na razie testuje to mając routery w odległości pół metra jeden od drugiego i po ustawieniu wszystkiego na nich chciałbym je rozwieść tam gdzie mają docelowo pracować, a że jest to odległość półtorej godziny jazdy to nie chce jeździć bez sensu pomiędzy oba lokalizacjami aby tylko coś podopisywać w ustawieniach.
Połączenie typu TUN nie będzie działać między dwoma LANami, które mają tą samą adresację sieci (zakładam, że masz maskę 24), więc najpierw zmień adresację w jednym z LANów albo kombinuj z serwerem typu TAP.
Czyli taka adresacja jaką mam nie jest różna?
W jednej sieci zakres 192.168.1.1-192.168.1.50 a w drugiej 192.168.1.51-192.168.1.100, myślałem, że jak pula adresów się nie zazębia to będzie dobrze.
Czyli lepiej mieć w jednej sieci zakres 192.168.1.1-192.168.1.50 a w drugiej 192.168.2.1-192.168.2.50 - tak będzie dobrze?
A co do protokołu to może być TAP zamiast TUN, oba routery będą miały publiczny adres IP bez limitu danych więc jak poleci trochę więcej bajtów to mi to różnicy nie robi.
Pytanie tylko na czym łatwiej nieobeznany z sieciami człek to zestawi.
Połączony z 01 listopad 2013 20:08:34:
No więc po zmianach mam tak (dla przypomnienia oba routery są na stałych publicznych adresach IP).
Serwer zainstalowany na routerze o adresie 192.168.1.1, maska sieci 255.255.255.0
W zakładce Tunel VPN - Serwer OpenVPN mam następującą konfiguracje:
Zakładka Podstawowa:
Startuj razem z WAN - tak
Typ interfejsu - TUN
Protokół - UDP
Firewall - Własny
Tryb uwierzytelnienia - klucz statyczny
Lokalne/zdalne adresy stacji końcowych - 10.8.0.1 oraz 10.8.0.2
Zakładka Zaawansowane - tutaj nic nie zmieniałem:
Interwał próbkowania - 0
Odpowiedz jako DNS - nie
Typ klucza szyfrującego - domyślny
Kompresja - adaptacyjna
Własna konfiguracja - nic nie wpisane w tabelce
Klient zainstalowany na routerze o adresie 192.168.0.1, maska sieci 255.255.255.0
W zakładce Tunel VPN - Klient OpenVPN mam następującą konfiguracje:
Zakładka Podstawowa:
Startuj razem z WAN - tak
Typ interfejsu - TUN
Protokół - UDP
Adres/port serwera - zewnętrzny adres ip mojego routera na którym jest serwer i podany port 1194
Firewall - Własny
Tryb uwierzytelnienia - klucz statyczny
Lokalne/zdalne adresy stacji końcowych - 10.8.0.2 oraz 10.8.0.1
Zakładka Zaawansowane:
Zaawansowane - tutaj nic nie zmieniałem:
Interwał próbkowania - 0
Przekieruj ruch do Internetu przez VPN - nie
Klucz szyfrujący - domyślny
Kompresja - adaptacyjna
Ponowienie połączenia - minus 1
Własna konfiguracja - nic nie wpisane w tabelce
Zakładka Klucze - wpisany wygenerowany klucz statyczny taki sam jak na serwerze
Zakładka Status - same zera
Na serwerze wykonanie polecenia ping za pomocą gui tomato do klienta na adres 10.8.0.2 - pingi nie dochodzą, 100% zgubionych pakietów.
Na kliencie wykonanie polecenia ping za pomocą gui tomato do serwera na adres 10.8.0.1 - za pierwszym razem na 5 wysłanych pakietów wróciły 4, kolejne próby to już wracają wszystkie pakiety (na pięć wysłanych powraca pięć).
Wracając teraz do pingowania z serwera do klienta - ping z serwera na adres 10.8.0.2, to pingi działają (na pięć wysłanych powraca pięć) ale działa to tak tylko przez chwilę. Potem po chwili mam znowu 100% zgubionych pakietów z serwera do klienta. Pomaga tylko ponowne puszczenie pingu z klienta do serwera. Wygląda to tak jakby serwer zapominał o kliencie i dopiero pobudzenie serwera pingiem od klienta przypomina mu o jego istnieniu ale tylko na chwilę, po czym znowu o nim zapomina.
Oczywiście urządzenia podpięte w obu sieciach nie widzą się wzajemnie.
Podczas pingowania w zakładce status tunela VPN zarówno na serwerze jak i na kliencie zaczynają pojawia się już jakieś liczby a nie same zera, jedynie pola: pre-compress bytes, post-compress bytes, pre-decompress bytes oraz post-decompress bytes - te cztery pozostają zerowe.
Zmiana na tryb TAP w serwerze i kliencie - w konfiguracji nic innego nie zmieniam bo nie wiem co.
Jedynie w kliencie zakładce Podstawowe pojawia się nowa opcja: Serwer w jest w tej samej podsieci, która jest zatwierdzona na tak. Po jej odfajkowaniu wyskakuje na czerwono ostrzeżenie Uwaga: Cannot nie można połączyć różnych podsieci. oraz dodatkowa opcja Adres/Maska klientów VPN - z ustawieniami 10.8.0.2 oraz 255.255.255.0. O co z tym chodzi to nie wiem więc zafajkowuję tak jak jest z automatu, że serwer w jest w tej samej podsieci.
Przy tym trybie TAP w zakładce statystyki tunela VPN zarówno na serwerze jak i na kliencie ożywiają już wszystkie pozycje i mają jakieś wartości, które powoli stale wzrastają. Ale za to w trybie tym pingi nie przechodzą wogóle ani od serwera do klienta ani od klienta do serwera, oczywiście urządzenia w obu sieciach nie widzą się nawzajem.
Czytam, że powinienem dopisać regułki do routingu i firewalla, tylko nigdzie nie pisze konkretnie jakie to mają być wpisy.
Podpowiedzcie czego mi jeszcze brakuje.
Połączony z 04 listopad 2013 19:23:18:
Nikt nic nie podpowie w kwestii połączenie dwóch sieci tunelem?
Wiem, że to jest możliwe bo znajduje posty osób, które się chwalą takim połączeniem śmigającym bezproblemowo.
Tylko jak tego dokonać aby to śmigało bezproblemowo?
Edytowany przez posucha dnia 04-11-2013 19:23
Nie mam jeszcze tomato na żadnym routerze (własnie przymierzam się do zakupu RTN16 lub 66AC i tak trafiłem do tego wątku ), ale zarządzam sieciami spietymi w opisany przez Ciebie sposób. Każda z sieci ma inna adresację tj 192.168.0.1 i 192.168.1.1 Podobnie jak khain uważam, że trzeba zacząć od zmiany adresacji.
@posucha ja mam ustawiony tryb uwierzytelniania: TLS (do jednego serwera może łączyć się wielu klientów, a nie tylko jeden jak w przypadku klucza statycznego), więc nie wiem co masz nie tak, że nie działa - pokaż logi. A najlepiej przejdź na TLS, tylko musisz klucze wygenerować http://openvpn.net/index.php/open-sou...o.html#pki
· Łącznie użytkowników: 24,115 · Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.
Maniek91PL
06-11-2024 22:37
dzięki !
maxikaaz
29-10-2024 14:27
@Maniek91PL - Administration=> Admin Access, i tam masz "Allow Wireless Access" do zaznaczenia
Maniek91PL
26-10-2024 22:07
siemka! ktoś przypomni co się ustawiało jeśli nie mogę wejść od strony wifi do tomato? od lan działa
overflow2
04-10-2024 17:34
Kupowałem Asusy n10u albo n12d1 ale nie widzę ich, chyba już nie produkują, Chodzi o coś nowego i taniego. Transfery niewielkie.
maxikaaz
04-10-2024 09:38
@overflow2 patrząc po dostępności funkcji w nowych kompilacjach, to chyba nawet WRT54G/GL jeszcze ma OpenVPN, albo jakiś odpowiednik... zależy, na jakie transfery liczysz.
overflow2
30-09-2024 20:53
Jaki aktualnie najtańszy router do tomato do openvpn?
maxikaaz
27-07-2024 15:07
@servee - na początek router do rozebrania i obejrzenia, ciężko wróżyć tak tylko po objawach
maxikaaz
27-07-2024 14:55
@servee - cały kontroler nie pada tak sobie z powodu "zbiegu okoliczności", więc prawdopodobnie gdzieś przepięcie.
servee
25-07-2024 13:33
@maxikaaz: działało, aż pewnego pięknego dnia przestało działać. W tym dniu była też burza, ale to raczej zbieg okoliczności.
maxikaaz
25-07-2024 11:38
@servee - o ile problem jest w obrębie samych wyjść (dławiki, warystory), to naprawialne, ale jeśli w samym SoC - to nienaprawialne ze względu na koszta. A co było przyczyną?
' target='_blank'>Link
