26 Marzec 2017 14:58:30
Nawigacja
· Strona Główna
· Galeria
· Forum
· Linki

· Tomato by Shibby

· Wiki-OpenWrt
· Wiki-DD-WRT
· Emulatory sprzętu

Darowizna
Ostatnio na forum
Najnowsze tematy
· Serwer "Składak"
· Asus RT-N56u - "diam...
· Kompilacje by @kille72
· blokowanie spamu po ...
· Który router? lte-a ...
· Jaka kamera IP z moż...
· AC66U - 3 diody i ma...
· [MOD] Tomato by shibby
· Modem sim jako zapas...
· Skrzynka mailowa?
· Tomato i Netgear R6400
· VLAN - testy poprawi...
· Asus RT-AC56U - "mał...
· Iptables tomato prze...
· openvpn Tomato-serwe...
· [S] Serwer QNAP TVS-...
· Netgear WNR3500Lv2 +...
· Blokada dostepu do d...
· Uwalony? Asus RT-n18...
· Uwierzytelnianie Act...
Najciekawsze tematy
· [MOD] Tomato by s... [13157]
· Kompilacje by @ki... [331]
· Asus RT-AC56U - "... [329]
· Serwer "Składak" [89]
· VLAN - testy popr... [52]
· router 3g - zagwo... [24]
· Tomato i Netgear ... [14]
· Netgear WNDR3700V... [13]
· Który router? lte... [9]
· Netgear WNR3500Lv... [7]
· Uwalony? Asus RT-... [7]
· Asus RT-N56u - "d... [6]
· AC66U - 3 diody i... [6]
· Modem sim jako za... [6]
· Skrzynka mailowa? [6]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
41% [118 głosów]

Broadcom ARM
Broadcom ARM
48% [137 głosów]

Atheros
Atheros
6% [16 głosów]

Marvell
Marvell
1% [3 głosów]

Ralink
Ralink
0% [1 głos]

Intel/AMD/VIA
Intel/AMD/VIA
1% [3 głosów]

Żaden z powyższych
Żaden z powyższych
3% [8 głosów]

Ogółem głosów: 286
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38

Archiwum ankiet
Reklama
Twoje IP
54.157.210.33
Reklama
Zobacz temat
OpenLinksys » :: OPROGRAMOWANIE :: » Tomato - firmware
 Drukuj temat
Konfiguracja serwera openVPN na Tomato + generowanie kluczy na Windows + config dla klienta
Gomi
Poniższy wpis przygotowałem w formie tekstowej i starałem się opisać wszystko dokładnie i łopatologicznie.
Jest to mój pierwszy taki faq/manual. Dla mnie jest czytelny i zrozumiały. Nie dla wszystkich taki musi być, więc z miłą chęcią przeczytam Wasze uwagi i postaram się poprawić.
Konfigurację robiłem na czuja, mogłem więc popełnić jakieś błędy. Tak wiem, tutorial'e na ten temat już były, liczę jednak, że ten "po mojemu" komuś się przyda i ułatwi robotę.
Nie zanudzam dalej, przejdźmy do rzeczy...

Założenia - server openVPN (TUN) jako brama internetowa dla wielu klientów + dostęp do sieci LAN. Autoryzacja: klucze 2048, login i hasło

W poniższym opisie jak skonfigurować openVPN udział wezmą:
- router Asus AC68U z wgranym Tomato by Shibby Firmware 1.28.0000 -136 K26ARM USB AIO-64K / jako server openVPN
- komputer stacjonarny w Windows 10 x64 Pro / na którym zostaną wygenerowane klucze
- stary netbook z jeszcze starszym Windows XP Home, który posłuży jako testowy klient
* - powinno także działać na innych konfiguracjach

-=-=-=-=-=-
1. Logujemy się na router i przechodzimy do menu VPN Tunneling > OpenVPN Server

2. W zakładce Server 1 > Basic
ustawiamy:
- zaznaczamy "chcecker/kwadracik" - "Start with WAN"
- wybieramy - "Interface Type" TUN
- Protocol - UDP
- Port - wg uznania np. 40000
- Firewall - Automatic
- Authorization Mode - TLS
- Extra HMAC authorization (tls-auth) - Bi-directional
- VPN subnet/netmask - spokojnie można zostawić wybraną podsieć, ale musi być ona inna od własnej

SAVE - na dole strony

3. W zakładce Server 1 > Advanced
ustawiamy:
- Poll Interval - 0 (domyślnie)
- Push LAN to clients - zaznaczamy (chcemy dać dostęp klientom VPN do sieci lokalnej)
- Direct clients to redirect Internet traffic - zaznaczamy (chcemy by router stał się wyjściem na świat dla klientów)
- Respond to DNS - zaznaczamy
- Advertise DNS to clients - zaznaczamy (wymuś aby router był DNSem dla klientów)
- Encryption cipher - wybieramy z listy AES-256-CBC
- Compression - Disabled - można zmienić, ale ponoć czasem są problemy (w moim przypadku zostawiłem Disabled)
- TLS Renegotiation Time - domyślnie "-1"
- Manage Client-Specific Options - zaznaczamy (chcemy ustawić różne rzeczy dla klientów VPN)
- Allow Client<->Client - zaznaczamy (chcemy aby klienci VPN widzieli sie między sobą)
- Allow Only These Clients - tu można wpisać listę tylko dopuszczonych klientów (w przykładzie nie użyte)
- Allow User/Pass Auth - zaznaczamy (chcemy aby poza autoryzacją kluczami, klient musiał także wprowadzić login i hasło)
- w tabeli która się pojawi po zaznaczeniu wprowadzamy dane klientów do logowania, odpowiednio login i hasło
- Allow Only User/Pass(Without cert) Auth - nie zaznaczamy

SAVE - na dole strony

4. W zakładce Server 1 > Keys
trzeba w odpowiednie pola wprowadzić właściwe klucze.

Zanim je wprowadzimy trzeba je wygenerować i trzeba mieć czym.

W tym celu instalujemy pełną wersję openVPN dla Windows (w tym przykładzie openvpn-install-2.3.10-I603-x86_64.exe).
Aktualne wersje dostępne są tutaj - LINK.
Oczywiście trzeba pobrać odpowiednią wersję dla naszego Windowsa na którym będziemy generować klucze.
W trakcie instalacji zaznaczamy wszystkie możliwe składniki - bez nich nie zrobimy kluczy.

Jak już zainstalowaliśmy to przechodzimy w trybie ms-dos do C:\Program Files\OpenVPN\easy-rsa> i odpalamy !tylko 1 raz! init-config.bat / zrobi to kopię bezpieczeństwa vars.bat
Następnie otwieramy edytorem txt (np. notepad++) vars.bat i zmieniamy
set KEY_SIZE=1024 na 2048
2048 wydaje się pewniejsze niż 1024
set KEY_COUNTRY=wpisz_swoje
set KEY_PROVINCE=wpisz_swoje
set KEY_CITY=wpisz_swoje
set KEY_ORG=wpisz_swoje
set KEY_EMAIL=wpisz_swoje
set KEY_CN=wpisz_swoje
set KEY_NAME=wpisz_swoje
set KEY_OU=wpisz_swoje

Powyższa modyfikacja ułatwi nam dalszą generację kluczy i wypełnianie danych.

Następnie przechodzimy do generowania kluczy.

Na początek te które będzie trzeba umieścić na routerze przez GUI.
Pola w GUI uzupełniamy danymi tak by zaczynały się od -----BEGIN----- i kończyły na -----END-----.
(Podpisany certyfikat tych danych ma więcej i trzeba je wyjąć z całości.)

Poniżej lista pól (nazwy pól w nawiasach kwadratowych) z opisem jak wygenerować do nich klucze.

- [Static Key] - ta.key - generujemy w Windows poleceniem "openvpn --genkey --secret ta.key" (oczywiście trzeba być w katalogu gdzie jest openVPN jeśli nie działa w dowolnym miejscu)

- [Certificate Authority] - ca.crt - generujemy w windows korzystając z gotowych batchy
- vars.bat, clean-all.bat, build-ca.bat - odpalamy w tej kolejności, wszystkie znajdziemy w katalogu C:\Program Files\OpenVPN\easy-rsa>

- [Server Certificate] - server.crt - generujemy w windows korzystając ponownie z batcha
- build-key-server.bat server (gdyby coś nie szło trzeba odpalić vars i jeszcze raz powtórzyć)
W przypadku pytania czy podpisać ten certyfikat przez CA zgadzamy się. Z utworzonego pliku do pola w GUI ma trafić tylko część pomiędzy -----BEGIN CERTIFICATE----- i -----END CERTIFICATE-----.

- [Server Key] - server.key - uzyskamy go tworząc server.crt / patrz trochę wyżej

- [Diffie Hellman parameters] - dh2048.pem - tworzymy korzystając z batcha
- build-dh.bat / to chwilę potrwa


Po uzupełnieniu wszystkich 5 pól w GUI Tomato wygenerowanymi powyżej kluczami robimy ponownie...
SAVE - na dole strony

PO ZAPISANIU POWYŻSZEGO MOŻEMY JUŻ WYSTARTOWAĆ SERVER - NACISKAMY PRZYCISK "START NOW"
Jeśli wszystko zrobiliśmy poprawnie i nie wkradł się jakiś babol to server powinien ruszyć i można zobaczyć jego status w
Server 1 > Status

5. Generujemy klucze dla klienta (dla kolejnych klientów robi się tak samo tylko trzeba zmienić nazwę/numer klienta).
build-key.bat klient1
- utworzą nam się 3 pliki klient1.crt, klient1.csr (w zasadzie nie potrzebny w konfiguracji, połączeniu), klient1.key
Dane z pliku crt i key będą potrzebne do utworzenia configu, do połączenia.
* - klucze klientów muszą być podpisane przez CA, więc na pytanie czy podpisać odpowiadamy TAK

6. Tworzymy 1 plikowy config (plik) zawierający klucze o nazwie np. moj_router.ovpn (można tą nazwę zmienić na własną).
Plik dla powyższych ustawień powinien wyglądać tak.

client # tryb pracy
dev tun # rodzaj interfejsu, tun - działa jak router, tap - jak switch (bridge)
proto udp # rodzaj protokołu, UDP wydaje się lepszy do tej usługi
remote moj.ddns.pl (lub IP jeśli stałe) 40000 # adres routera/servera od strony WAN
nobind # nie otwiera portu po stronie klienta
auth-user-pass # autoryzacja dodatkowo po loginie i haśle
auth-nocache # klient nie cache'uje hasła - zwiększa bezpieczeństwo
remote-cert-tls server # zwiększa bezpieczeństwo klienta, ma chronić przed atakiem man in the middle
persist-key
persist-tun
cipher AES-256-CBC
keepalive 15 60
ping-timer-rem
verb 1
<ca>
-----BEGIN CERTIFICATE-----
ciąg znaków z plik ca.crt wygenerowanego w punkcie 4. / dokładnie ten sam co jest na routerze/serverze
-----END CERTIFICATE-----
</ca>
<cert>
całą zawartość pliku klient1.crt
</cert>
<key>
-----BEGIN PRIVATE KEY-----
ciąg znaków z pliku klient1.key / właściwy dla właściwego klienta
-----END PRIVATE KEY-----
</key>
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
ciąg znaków z pliku ta.key wygenerowanego w punkcie 4. / dokładnie to samo co na serverze
-----END OpenVPN Static key V1-----
</tls-auth>


Tak przygotowany plik umieszczamy w:
C:\Program Files\OpenVPN\config>
* - lub w odpowiedniej lokalizacji gdzie zainstalowany jest klient openVPN
** - pliki takie działają poprawnie w android'owym kliencie openVPN connect, trzeba je tam zaimportować

7. Łączymy się klientem za pomocą innego dostawcy do internetu.
- Odpalamy OpenVPN GUI.
- Znajdujemy w zasobniku obok zegarka właściwą ikonkę, klikamy prawym myszy i klikamy połącz (jeśli jest więcej configów) to wybieramy właściwy i w nim odpalamy połącz

Powinno działać.
Edytowane przez Gomi dnia 03-06-2016 16:50
 
Jacek5
Podziekował. W wolnym czasie w koncu skonfiguruje... Smile
Asus RT-AC56U @1200,666 + Tomato 138 AIO
GPON 75/75
ASUS RT-N16 + Tomato 132 AIO
Multimedia 60Mb/3
 
damianssj661
Dzięki!
Parę razy się do tego przymierzałem ale po pierwszym błędzie przestawało mi się chcieć a teraz poszło
ASUS RT-AC56U
 
Jacek5
Czy powyzszy sposob konfiguracji, bedzie wlasciwy dla jednoczesnego laczenia sie z komputera oraz innego routera, z tak wlasnie skonfogurowanym routerem glownym?

Połączony z 06 styczeń 2017 00:03:56:
Nie idzie załaczyc serwera....

W logach mam cos takiego:
Jan 6 00:02:17 unknown daemon.notice openvpn[16852]: OpenVPN 2.3.13 arm-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Nov 5 2016
Jan 6 00:02:17 unknown daemon.notice openvpn[16852]: library versions: OpenSSL 1.0.2j 26 Sep 2016, LZO 2.09
Jan 6 00:02:17 unknown daemon.notice openvpn[16855]: PLUGIN_INIT: POST /lib/openvpn_plugin_auth_nvram.so '[/lib/openvpn_plugin_auth_nvram.so] [vpn_server1_users_val]' intercepted=PLUGIN_AUTH_USER_PASS_VERIFY
Jan 6 00:02:17 unknown daemon.err openvpn[16855]: OpenSSL: error:0906D06C:lib(9):func(109):reason(108)
Jan 6 00:02:17 unknown daemon.err openvpn[16855]: Cannot load DH parameters from dh.pem
Jan 6 00:02:17 unknown daemon.notice openvpn[16855]: Exiting due to fatal error

Połączony z 06 styczeń 2017 00:44:10:
Nie bardzo wiem, gdzie moze tkwic problem, bo probowalem parokrotnie...

Przy tworzeniu certyfikatów, zauwazyłem, ze p owpisaniu polecenia:

C:\Program Files\OpenVPN\easy-rsa>build-key-server.bat server

Pojawia sie taki komunikator
Pobierz kod źródłowy  Kod źródłowy
WARNING: can't open config file: /etc/ssl/openssl.cnf




jak rowniez po wklepaniu "build-key-server.bat server" przy nazwie "commonName" domyslnie wskakuje nazwa 'serwer', pomimo, ze uzywałem pisanej przez v...

Ogolnie nie mam pojecia :) Delikatnie sugerowałem sie innymi poradnikami ale wciaz nie tak...
Edytowane przez Jacek5 dnia 06-01-2017 00:44
Asus RT-AC56U @1200,666 + Tomato 138 AIO
GPON 75/75
ASUS RT-N16 + Tomato 132 AIO
Multimedia 60Mb/3
 
hermes-80
Polecam bezproblemowa generacje kluczy na Live CD (Backtrack 4, Kali - itd).
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
 
Jacek5
Nie zaktualizowalem swojego poprzedniego posta. Nie poajwia sie juz komunikat" WARNING: can't open config fileFrownetc/ssl/openssl.cnf", Pomoglo, z tego co pamietam, okreslenie w pliku nazwy serwera.... Naprawde tuoriale sa dla ludzi dosc bieglych, nie majac pewnego wyczucia, troche mocno trzeba sie poglowic. Tak czy siak, dupa... Dalej nie działa.

Zainstalowałem KALI na virtualbox. Korzystajac z poradnika
http://kb.rootbox.com/instalacja-i-konfiguracja-openvpn-serwerklient/
Natrafiłem szybko na jeden z komunikatow.. No such file or directory.

Nie mam szczescia do linuxa.... A naprawde wklejam jak jest w tuorialu. Openvpn zainstalowałem ale dalej juz sie pieprzy.

Moglbym skorzystac z tuoriala shibbiego, ale coz, pare lat mineło, ten jest juz w tomato i wymaga niby szybkiej konfiguracji.. Wink Jest jakis nowszy, ale bez dzialajacych grafik, screenow, co juz mnie zniecheca, bo nie mam sil do glowkowania, co autor mial na mysli.

Powyzsza instrukcja wydaje sie cieakwa, ale co zrobic.... Wciaz nie tak. Pomyslałem, ze byc moze brakuje pamieci w NVRAM. Nie wiem....

Połączony z 07 styczeń 2017 01:30:17:
Dzis sie udalo.. Jedna z roznic to taka, ze wklejałem klucze z tymi opisami gdzie zaczyna i konczy sie dany klucz, oraz instalowałem dzis Entware..... testowałem na lapie podalczonym z telefonu i predkosc byla maaaks do 1Mega. Mam nadzieje, ze z laczami z podpisue, bedzie w miare przywoicie Wink

Jeszcze raz dzieki za tuoriala
Edytowane przez Jacek5 dnia 07-01-2017 01:30
Asus RT-AC56U @1200,666 + Tomato 138 AIO
GPON 75/75
ASUS RT-N16 + Tomato 132 AIO
Multimedia 60Mb/3
 
Przejdź do forum:
Logowanie
Nazwa użytkownika

Hasło



Nie masz jeszcze konta?
Zarejestruj się

Nie możesz się zalogować?
Poproś o nowe hasło
Aktualnie online
· Gości online: 9

· Użytkowników online: 2
slawko, Adooni

· Łącznie użytkowników: 23,457
· Najnowszy użytkownik: michal55
Shoutbox
Musisz zalogować się, aby móc dodać wiadomość.

pedro
24-03-2017 00:07
Też testuję 138.13 i jak zwykle mam jedną prośbę: https://openlinks...os
t_162178

jachu
22-03-2017 21:21
juz pobralem zaraz bede instalowac

kille72
22-03-2017 21:15
v138.13 ARM gotowa do pobrania: https://openlinks.
..ost_159401

p4v3u
22-03-2017 01:15
rt-n18 wydaje się byc rozsadny.

PixelPL
22-03-2017 00:57
Czym zastąpić stary Asus RT-N16?

p4v3u
21-03-2017 20:52
czy dalej najlepszym modemem 3/4g dla tomato (ac68) bedzie 3372 nohilink?

jurekk
21-03-2017 16:56
otwórz watek bo tu nie ma miejsca by ci ktos pomógł i napisz cos wiecej jakie tomato jakie zrodlo neta , czy masz stale ip itd

Bolek01148
20-03-2017 15:44
Witam wszystkich i proszę o pomoc. Jestem pod ddos atakiem od ponad roku. Jestem zielony o linuxie ,uczę since i po instalacji Tomato na linxys E1550 niewiem Jak jego skonfigurowac .Potrzebuję wasze

RaTaJ
19-03-2017 16:58
priority wybierz highest

lolo2
18-03-2017 21:52
Mam, uruchomione Gre, zona wlacza seriale online to ping w grach wzrasta do 200 a wtedy ciezko grac.

lolo2
18-03-2017 21:51
bwlimit sluzy do limitu pasma. A jest gdzieś funkcja aby mieć niższe pingi w grze?

kille72
18-03-2017 16:42
Priority?

RaTaJ
18-03-2017 16:14
192.168.1.1/bwlimi
t.asp

lolo2
18-03-2017 15:21
Witam, ktora to opcja w tomato odpowiada aby nada IP priorytet do lepszego PING?

kille72
17-03-2017 06:39

VANT
10-03-2017 23:58
@krisan masz jakikolwiek domowy sprzęt który przetworzy taką ilość danych ? Na 100% nie, no chyba że w domu masz jakąś wydajną serwerową macierz z kartą 10Gb. W temacie piszesz o domu i tanim sprzęci

krisan
10-03-2017 22:15
Hejka, ktoś korzysta z infrastruktury 10GbE w swoim LANie? Jakie doświadczenia? https://openlinks.
..d_id=21077

31,413,006 unikalne wizyty