18 Czerwiec 2018 19:13:37
Nawigacja
· Strona Główna
· Galeria
· Forum
· Linki

· Tomato by Shibby

· Wiki-OpenWrt
· Wiki-DD-WRT
· Emulatory sprzętu

Darowizna
Ostatnio na forum
Najnowsze tematy
· [MOD] FreshTomato-ARM
· [S] Router Netgear ...
· [MOD] Tomato by shibby
· [K] Karta WiFi half ...
· Jaka wersja Tomato n...
· sieć domowa w domku ...
· [S] UniFi AP LR + Un...
· ASUS RT-N18U + E3372...
· Podatność VPNFilter ...
· Multiroom N z wykorz...
· Własna kompilacja to...
· [MOD] FreshTomato-MIPS
· Dostęp z lan do VLAN...
· R6400v2 & Tomato - c...
· ASUS RT-AC88U czy AS...
· ASUS RT-AC5300 kto...
· jaki router do multi...
· Wgranie konfiguracji...
· Jaki modem LTE do ro...
· Potrzebna pomoc przy...
Najciekawsze tematy
· [MOD] Tomato by s... [13651]
· Multiroom N z wyk... [932]
· [MOD] FreshTomato... [106]
· ASUS RT-N18U + E3... [9]
· Podatność VPNFilt... [5]
· Jaka wersja Tomat... [3]
· sieć domowa w dom... [2]
· [S] Router Netge... [0]
· [K] Karta WiFi ha... [0]
· [S] UniFi AP LR +... [0]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
40% [132 głosów]

Broadcom ARM
Broadcom ARM
48% [158 głosów]

Atheros
Atheros
6% [19 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
0% [1 głos]

Intel/AMD/VIA
Intel/AMD/VIA
1% [3 głosów]

Żaden z powyższych
Żaden z powyższych
3% [10 głosów]

Ogółem głosów: 327
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38

Archiwum ankiet
Reklama
Twoje IP
54.80.247.119
Reklama
Zobacz temat
OpenLinksys » :: OPROGRAMOWANIE :: » Tomato - firmware
 Drukuj temat
Dostęp z zewnątrz przez OpenVPN
djecstasy
Witam,
Mam problem z dostaniem się z zewnątrz na router po OpenVPN.
Opiszę najpierw całą sieć:

Lokalizacja A
Orange
Funbox + Asus z serwerem OpenVPN (192.168.0.3)
Ustawiony DDNS

Lokalizacja B
Play
Asus z klientem OpenVPN (192.168.0.101)

Dla testów ustawiłem na Funoxie DMZ na ip Asusa z serwerem OpenVPN (192.168.0.3)
mogę teraz zalogować się po adresie ddns na Funbox oraz Asusa z serwerem, a więc działa.
Następnie Ustawiłem kolejny DMZ (w asusie z serwerem) na Asusa z klientem (192.168.0.101)
Teoretycznie powinienem móc zalogować się na drugiego Asusa jednak to nie działa.

Dlaczego używam DMZ? żeby wykluczyć błąd w przekierowaniu portów.
Ktoś ma jakiś pomysł jak to ogarnąć?
 
khain
Sprawdź logi serwera i klienta - tam znajdziesz odpowiedź dlaczego nie działa.
Asus RT-N16 - Tomato ver. K26USB 1.28.RT-N MIPSR2 130 EN AIO
TP-Link TL-WDR3600 v1.5 - OpenWRT 15.05 with Luci +Microsoft LifeCam VX-3000
TP-Link TL-WDR3600 v1.5 - OpenWRT 15.05 with Luci +Logitech C270
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163 +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A
 
djecstasy
Na serwerze w logach nie ma kompletnie nic a na kliencie coś takiego:
Pobierz kod źródłowy  Kod źródłowy
Jan  5 17:44:15 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.184 DST=172.217.16.14 LEN=83 TOS=0x00 PREC=0x00 TTL=63 ID=22201 DF PROTO=TCP SPT=51327 DPT=443 SEQ=3199237842 ACK=3696098223 WINDOW=1486 RES=0x00 ACK PSH URGP=0 OPT (0101080A00420580A2E389FB)
Jan  5 17:44:22 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.129 DST=168.63.16.185 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=7420 DF PROTO=TCP SPT=59679 DPT=443 SEQ=2025326873 ACK=0 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405B40103030201010402)


 
khain
To nie jest log openvpn. Przede wszystkim włącz logowanie poprzez dodanie do konfigu
Pobierz kod źródłowy  Kod źródłowy
verb 3


Log powinien trafiać do sysloga chyba, że masz opcję
Pobierz kod źródłowy  Kod źródłowy
log /sciezka/do/pliku


w konfigu, wtedy log trafia do tego pliku.
Asus RT-N16 - Tomato ver. K26USB 1.28.RT-N MIPSR2 130 EN AIO
TP-Link TL-WDR3600 v1.5 - OpenWRT 15.05 with Luci +Microsoft LifeCam VX-3000
TP-Link TL-WDR3600 v1.5 - OpenWRT 15.05 with Luci +Logitech C270
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163 +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A
 
djecstasy
na serwerze:
Pobierz kod źródłowy  Kod źródłowy
Jan  5 21:43:19 Leka daemon.notice openvpn[20654]: 94.254.241.164:62068 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Jan  5 21:43:19 Leka daemon.notice openvpn[20654]: 94.254.241.164:62068 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Jan  5 21:43:19 Leka daemon.notice openvpn[20654]: 94.254.241.164:62068 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Jan  5 21:43:19 Leka daemon.notice openvpn[20654]: 94.254.241.164:62068 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Jan  5 21:43:19 Leka daemon.notice openvpn[20654]: 94.254.241.164:62068 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-GCM-SHA384, 1024 bit RSA
Jan  5 21:43:19 Leka daemon.notice openvpn[20654]: 94.254.241.164:62068 [mulicka] Peer Connection Initiated with [AF_INET]94.254.241.164:62068
Jan  5 21:43:19 Leka daemon.notice openvpn[20654]: mulicka/94.254.241.164:62068 OPTIONS IMPORT: reading client specific options from: ccd/mulicka
Jan  5 21:43:19 Leka daemon.err openvpn[20654]: mulicka/94.254.241.164:62068 Options error: in --iroute 192.168.0.101 255.255.255.0 : Bad network/subnet specification
Jan  5 21:43:19 Leka daemon.notice openvpn[20654]: mulicka/94.254.241.164:62068 MULTI_sva: pool returned IPv4=192.168.0.102, IPv6=(Not enabled)
Jan  5 21:43:21 Leka daemon.notice openvpn[20654]: mulicka/94.254.241.164:62068 MULTI: Learn: e0:3f:49:8b:12:84 -> mulicka/94.254.241.164:62068
Jan  5 21:43:21 Leka daemon.notice openvpn[20654]: mulicka/94.254.241.164:62068 PUSH: Received control message: 'PUSH_REQUEST'
Jan  5 21:43:21 Leka daemon.notice openvpn[20654]: mulicka/94.254.241.164:62068 send_push_reply(): safe_cap=940
Jan  5 21:43:21 Leka daemon.notice openvpn[20654]: mulicka/94.254.241.164:62068 SENT CONTROL [mulicka]: 'PUSH_REPLY,route 192.168.0.101 255.255.255.0,route 192.168.0.135 255.255.255.0,route 192.168.0.0 255.255.255.255,route-gateway 192.168.0.3,ping 15,ping-restart 60,ifconfig 192.168.0.102 255.255.255.0' (status=1)
Jan  5 21:43:21 Leka daemon.notice openvpn[20654]: mulicka/94.254.241.164:62068 MULTI: Learn: e0:b9:a5:45:7b:2c -> mulicka/94.254.241.164:62068
Jan  5 21:43:35 Leka daemon.notice openvpn[20654]: mulicka/94.254.241.164:62068 MULTI: Learn: d0:ae:ec:3b:9d:15 -> mulicka/94.254.241.164:62068
Jan  5 21:43:36 Leka daemon.notice openvpn[20654]: mulicka/94.254.241.164:62068 MULTI: Learn: 00:24:b2:45:53:2e -> mulicka/94.254.241.164:62068
Jan  5 21:44:10 Leka daemon.notice openvpn[20654]: mulicka/94.254.241.164:62068 MULTI: Learn: 18:1e:78:54:d9:03 -> mulicka/94.254.241.164:62068


 
khain
Pobierz kod źródłowy  Kod źródłowy
Options error: in --iroute 192.168.0.101 255.255.255.0 : Bad network/subnet specification


Opcja iroute powinna zawierać adres podsieci za klientem a nie hosta. Wrzuć jeszcze logi klienta.
Asus RT-N16 - Tomato ver. K26USB 1.28.RT-N MIPSR2 130 EN AIO
TP-Link TL-WDR3600 v1.5 - OpenWRT 15.05 with Luci +Microsoft LifeCam VX-3000
TP-Link TL-WDR3600 v1.5 - OpenWRT 15.05 with Luci +Logitech C270
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163 +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A
 
djecstasy
Ale to jest adres podsieci klienta...
Na kliencie tylko to:
Pobierz kod źródłowy  Kod źródłowy
Jan  5 22:08:50 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.184 DST=31.13.81.9 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=41355 DF PROTO=TCP SPT=41726 DPT=443 SEQ=2300921817 ACK=0 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405500402080A004BE6520000000001030306)
Jan  5 22:09:04 Wroclaw daemon.err openvpn[2286]: event_wait : Interrupted system call (code=4)
Jan  5 22:09:04 Wroclaw daemon.notice openvpn[2286]: OpenVPN STATISTICS
Jan  5 22:09:04 Wroclaw daemon.notice openvpn[2286]: Updated,Fri Jan  5 22:09:04 2018
Jan  5 22:09:04 Wroclaw daemon.notice openvpn[2286]: TUN/TAP read bytes,967192
Jan  5 22:09:04 Wroclaw daemon.notice openvpn[2286]: TUN/TAP write bytes,558751
Jan  5 22:09:04 Wroclaw daemon.notice openvpn[2286]: TCP/UDP read bytes,758698
Jan  5 22:09:04 Wroclaw daemon.notice openvpn[2286]: TCP/UDP write bytes,1091435
Jan  5 22:09:04 Wroclaw daemon.notice openvpn[2286]: Auth read bytes,558751
Jan  5 22:09:04 Wroclaw daemon.notice openvpn[2286]: pre-compress bytes,197472
Jan  5 22:09:04 Wroclaw daemon.notice openvpn[2286]: post-compress bytes,182608
Jan  5 22:09:36 Wroclaw daemon.info dnsmasq-dhcp[2366]: DHCPREQUEST(br0) 192.168.0.180 d0:ae:ec:3b:9d:15
Jan  5 22:09:36 Wroclaw daemon.info dnsmasq-dhcp[2366]: DHCPACK(br0) 192.168.0.180 d0:ae:ec:3b:9d:15
Jan  5 22:09:43 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.184 DST=172.217.16.35 LEN=1378 TOS=0x00 PREC=0x00 TTL=63 ID=64223 DF PROTO=UDP SPT=57312 DPT=443 LEN=1358
Jan  5 22:09:43 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.184 DST=172.217.16.35 LEN=817 TOS=0x00 PREC=0x00 TTL=63 ID=64224 DF PROTO=UDP SPT=57312 DPT=443 LEN=797
Jan  5 22:09:43 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.184 DST=172.217.16.36 LEN=1378 TOS=0x00 PREC=0x00 TTL=63 ID=64227 DF PROTO=UDP SPT=60066 DPT=443 LEN=1358
Jan  5 22:09:43 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.184 DST=172.217.16.46 LEN=1378 TOS=0x00 PREC=0x00 TTL=63 ID=64219 DF PROTO=UDP SPT=42784 DPT=443 LEN=1358
Jan  5 22:09:43 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.184 DST=172.217.16.36 LEN=480 TOS=0x00 PREC=0x00 TTL=63 ID=64228 DF PROTO=UDP SPT=60066 DPT=443 LEN=460
Jan  5 22:10:01 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.184 DST=79.191.198.25 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=54142 DF PROTO=TCP SPT=58180 DPT=81 SEQ=1070059867 ACK=0 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405500402080A004C02250000000001030306)
Jan  5 22:10:01 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.184 DST=79.191.198.25 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=5832 DF PROTO=TCP SPT=58181 DPT=81 SEQ=2164462829 ACK=0 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405500402080A004C02250000000001030306)
Jan  5 22:10:01 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.184 DST=79.191.198.25 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=13521 DF PROTO=TCP SPT=58182 DPT=81 SEQ=1236612860 ACK=0 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405500402080A004C022D0000000001030306)
Jan  5 22:10:01 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.184 DST=172.217.16.42 LEN=1378 TOS=0x00 PREC=0x00 TTL=63 ID=571 DF PROTO=UDP SPT=33983 DPT=443 LEN=1358
Jan  5 22:10:02 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.184 DST=79.191.198.25 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=54389 DF PROTO=TCP SPT=58183 DPT=81 SEQ=3014776331 ACK=0 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405500402080A004C027E0000000001030306)


 
khain
No właśnie ma być adres podsieci klienta, a nie adres hosta w tej podsieci.
Dostajesz
Pobierz kod źródłowy  Kod źródłowy
event_wait : Interrupted system call (code=4)


Powodów może być kilka. Brak otwartego portu, różne porty ustawione w konfigu serwera i klienta, różne protokoły na serwerze i kliencie, różne ustawienia kompresji (comp-lzo). Sprawdź to wszystko.
Asus RT-N16 - Tomato ver. K26USB 1.28.RT-N MIPSR2 130 EN AIO
TP-Link TL-WDR3600 v1.5 - OpenWRT 15.05 with Luci +Microsoft LifeCam VX-3000
TP-Link TL-WDR3600 v1.5 - OpenWRT 15.05 with Luci +Logitech C270
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163 +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A
 
djecstasy
Wydaje się być ok
Klient:
imgie.pl/images/2018/01/06/klient123ae0.md.png
imgie.pl/images/2018/01/06/klient283f55.md.png

Serwer:
imgie.pl/images/2018/01/06/server18e600.md.png
imgie.pl/images/2018/01/06/server2a15c6.md.png
imgie.pl/images/2018/01/06/server3984ee.md.png
 
khain
Nie stosuj TAPa do łączenia dwóch podsieci. Podsieć za serwerem i klientem musi mieć inną adresację.
Asus RT-N16 - Tomato ver. K26USB 1.28.RT-N MIPSR2 130 EN AIO
TP-Link TL-WDR3600 v1.5 - OpenWRT 15.05 with Luci +Microsoft LifeCam VX-3000
TP-Link TL-WDR3600 v1.5 - OpenWRT 15.05 with Luci +Logitech C270
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163 +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A
 
djecstasy
Tylko jest jedno ale. OpenVPN postawiony na potrzeby multiroom nc+ wg:
https://openlinksys.info/forum/viewthread.php?thread_id=16352
Obawiam się że z dwoma podsieciami to nie zadziała...
poza tym:
OpenVPN może działać w jednym z dwóch trybów - routowania (tun) oraz w trybie mostkowania, czyli bridge (tap):

Tryb routowania - używany w przypadku konfiguracji typu brama + wielu klientów lub brama-brama. Przykładem wykorzystania tego trybu jest łączenie się z firmą pracowników zdalnych.
Tryb bridge - używany w przypadku łączenia kilku sieci. W tym przypadku między sieciami przekazywany jest cały ruch, łącznie z broadcastem (pakietami rozgłoszeniowymi), co może prowadzić do nadmiernego obciążenia tunelu VPN niepotrzebnym ruchem. Przykładem wykorzystania tego trybu jest połączenie pomiędzy oddziałem firmy a centralą.

a więc dzięki temu wszystkie urządzenia widzą się wzajemnie.
 
khain
Tak, jeśli chcesz, żeby NC+ działał to musisz zastosować TAP, ale ja bym wydzielił osobny VLAN na NC+ i zastosował drugi serwer vpn dla pzostałych urządzeń w LAN. Tak czy inaczej podawanie
Pobierz kod źródłowy  Kod źródłowy
push "route...
route


przy TAPie nie ma sensu tak samo jak stosowanie "Manage client Specific Options" (na dodatek nadal błędnie podajesz tam adresy hostów zamiast podsieci).
Asus RT-N16 - Tomato ver. K26USB 1.28.RT-N MIPSR2 130 EN AIO
TP-Link TL-WDR3600 v1.5 - OpenWRT 15.05 with Luci +Microsoft LifeCam VX-3000
TP-Link TL-WDR3600 v1.5 - OpenWRT 15.05 with Luci +Logitech C270
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163 +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A
 
djecstasy
Czyli mam rozumieć że na TAPie i na na jednej adresacji nie ma możliwości aby działało przekierowanie portów?
 
khain
Bedzie działac, tylko, ze nie ustawiasz tego w openvpn a w firewallu. Najpierw trzeba zestawić poprawnie tunel openvpn i zablokować przepływ pakietów DHCP pomiędzy klientem a serwerem (jeśli używa się TAPa).
Asus RT-N16 - Tomato ver. K26USB 1.28.RT-N MIPSR2 130 EN AIO
TP-Link TL-WDR3600 v1.5 - OpenWRT 15.05 with Luci +Microsoft LifeCam VX-3000
TP-Link TL-WDR3600 v1.5 - OpenWRT 15.05 with Luci +Logitech C270
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163 +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A
 
Przejdź do forum:
Logowanie
Nazwa użytkownika

Hasło



Nie masz jeszcze konta?
Zarejestruj się

Nie możesz się zalogować?
Poproś o nowe hasło
Aktualnie online
· Gości online: 16

· Użytkowników online: 0

· Łącznie użytkowników: 23,713
· Najnowszy użytkownik: wloczykij45
Shoutbox
Musisz zalogować się, aby móc dodać wiadomość.

overflow2
18-06-2018 07:24
Czyżbyś kupił na promce? Wink

PanRatio
17-06-2018 21:32
Czemu tomato nie wspiera RT-AC86U? Frown

mosfit
17-06-2018 18:05
Spokojnie wystarczy np. TEN > https://openlinks.
..d_id=21708

man1
13-06-2018 23:00
poszukiwany jakis bardzo prosty routerek dla lacza 200/20 mbit. brak klientow wifi ac. wystarczy nawet switch 2p, ale nie wiem czy dekoder nie wymaga switcha 1gb ?

Jacek5
10-06-2018 09:53
Nie mam. Sadzilem, ze skoro jest tak wielu pasjonatow, to sprawa wyglada doac prosyo. Ale fakt, jest z tym kiepsko.. Tak, jesli juz to xpenology...

balagaan
07-06-2018 21:43
Qnap ma zabezpieczenie sprzętowe, bez szans na instalację.

jack78
04-06-2018 04:22
A skąd masz ten system QNAP? Czy może myślałeś o Xpenology?

overflow2
29-05-2018 10:35
Ma odkręcane.

BK
29-05-2018 08:11
RT-N18U ma odkręcane anteny? RP-SMA?

overflow2
29-05-2018 06:37
p4v3u - w neo od zawsze jest publiczny, tyle że dynamiczny.

jurekk
28-05-2018 17:18
takkkkk ;-)

BK
28-05-2018 15:01
RT-N18U? :-)

BK
28-05-2018 14:36
Co byście polecili w alternatywie do Netgear WNR3500L/U/v2 ?

p4v3u
28-05-2018 11:30
Czy w neostradzie mozna dostac publiczny adres IP ?

Jacek5
27-05-2018 14:31
Czy ma sens wrzucanie do hp microserver systemu z qnap? Bo sam freenas jest dla mnie srednio pociagajacy Wink

branetre
25-05-2018 22:04
Aktualizacja regulaminu w dziale K/S/Z/O

fenir
23-05-2018 21:15

35,804,886 unikalne wizyty