25 Marzec 2019 07:37:06
Nawigacja
· Strona Główna
· Galeria
· Forum
· Linki

· Tomato by Shibby

· Wiki-OpenWrt
· Wiki-DD-WRT
· Emulatory sprzętu

Darowizna
Ostatnio na forum
Najnowsze tematy
· [MOD] FreshTomato-ARM
· [MOD] FreshTomato-MIPS
· Inne IP dla wybranyc...
· RT-AC56U problem z 5G
· [S] Asus RT-AC68u
· Używany EA6700 AC175...
· Tomato - bugi/proble...
· Speedtest.net na rou...
· Router AC56U slaby z...
· Multiroom N z wykorz...
· ea6700 co robić?
· [MOD] Tomato by shibby
· McAfee - free 6 months
· Jaki router kupić? Z...
· Połączenie dwóch sie...
· Problem z DNS i otwi...
· Asus RT-N12D1 Jaki a...
· OpenVPN client Andro...
· Asus RT-AC3200 - rou...
· Serwer VPN na Asus R...
Najciekawsze tematy
· [MOD] FreshTomato... [687]
· [MOD] FreshTomato... [364]
· Inne IP dla wybra... [0]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
39% [135 głosów]

Broadcom ARM
Broadcom ARM
49% [171 głosów]

Atheros
Atheros
6% [21 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
1% [2 głosów]

Intel/AMD/VIA
Intel/AMD/VIA
1% [4 głosów]

Żaden z powyższych
Żaden z powyższych
3% [10 głosów]

Ogółem głosów: 347
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38

Archiwum ankiet
Reklama
Twoje IP
34.229.97.16
Reklama
Zobacz temat
OpenLinksys » :: OPROGRAMOWANIE :: » Tomato - firmware
 Drukuj temat
Dostęp z zewnątrz przez OpenVPN
djecstasy
Witam,
Mam problem z dostaniem się z zewnątrz na router po OpenVPN.
Opiszę najpierw całą sieć:

Lokalizacja A
Orange
Funbox + Asus z serwerem OpenVPN (192.168.0.3)
Ustawiony DDNS

Lokalizacja B
Play
Asus z klientem OpenVPN (192.168.0.101)

Dla testów ustawiłem na Funoxie DMZ na ip Asusa z serwerem OpenVPN (192.168.0.3)
mogę teraz zalogować się po adresie ddns na Funbox oraz Asusa z serwerem, a więc działa.
Następnie Ustawiłem kolejny DMZ (w asusie z serwerem) na Asusa z klientem (192.168.0.101)
Teoretycznie powinienem móc zalogować się na drugiego Asusa jednak to nie działa.

Dlaczego używam DMZ? żeby wykluczyć błąd w przekierowaniu portów.
Ktoś ma jakiś pomysł jak to ogarnąć?
 
khain
Sprawdź logi serwera i klienta - tam znajdziesz odpowiedź dlaczego nie działa.
Asus RT-N16 - Tomato ver. K26USB 1.28.RT-N MIPSR2 130 EN AIO
TP-Link TL-WDR3600 v1.5 - OpenWRT 15.05 with Luci +Microsoft LifeCam VX-3000
TP-Link TL-WDR3600 v1.5 - OpenWRT 15.05 with Luci +Logitech C270
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163 +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A
 
djecstasy
Na serwerze w logach nie ma kompletnie nic a na kliencie coś takiego:
Pobierz kod źródłowy  Kod źródłowy
Jan  5 17:44:15 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.184 DST=172.217.16.14 LEN=83 TOS=0x00 PREC=0x00 TTL=63 ID=22201 DF PROTO=TCP SPT=51327 DPT=443 SEQ=3199237842 ACK=3696098223 WINDOW=1486 RES=0x00 ACK PSH URGP=0 OPT (0101080A00420580A2E389FB)
Jan  5 17:44:22 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.129 DST=168.63.16.185 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=7420 DF PROTO=TCP SPT=59679 DPT=443 SEQ=2025326873 ACK=0 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405B40103030201010402)


 
khain
To nie jest log openvpn. Przede wszystkim włącz logowanie poprzez dodanie do konfigu
Pobierz kod źródłowy  Kod źródłowy
verb 3


Log powinien trafiać do sysloga chyba, że masz opcję
Pobierz kod źródłowy  Kod źródłowy
log /sciezka/do/pliku


w konfigu, wtedy log trafia do tego pliku.
Asus RT-N16 - Tomato ver. K26USB 1.28.RT-N MIPSR2 130 EN AIO
TP-Link TL-WDR3600 v1.5 - OpenWRT 15.05 with Luci +Microsoft LifeCam VX-3000
TP-Link TL-WDR3600 v1.5 - OpenWRT 15.05 with Luci +Logitech C270
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163 +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A
 
djecstasy
na serwerze:
Pobierz kod źródłowy  Kod źródłowy
Jan  5 21:43:19 Leka daemon.notice openvpn[20654]: 94.254.241.164:62068 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Jan  5 21:43:19 Leka daemon.notice openvpn[20654]: 94.254.241.164:62068 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Jan  5 21:43:19 Leka daemon.notice openvpn[20654]: 94.254.241.164:62068 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Jan  5 21:43:19 Leka daemon.notice openvpn[20654]: 94.254.241.164:62068 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Jan  5 21:43:19 Leka daemon.notice openvpn[20654]: 94.254.241.164:62068 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-GCM-SHA384, 1024 bit RSA
Jan  5 21:43:19 Leka daemon.notice openvpn[20654]: 94.254.241.164:62068 [mulicka] Peer Connection Initiated with [AF_INET]94.254.241.164:62068
Jan  5 21:43:19 Leka daemon.notice openvpn[20654]: mulicka/94.254.241.164:62068 OPTIONS IMPORT: reading client specific options from: ccd/mulicka
Jan  5 21:43:19 Leka daemon.err openvpn[20654]: mulicka/94.254.241.164:62068 Options error: in --iroute 192.168.0.101 255.255.255.0 : Bad network/subnet specification
Jan  5 21:43:19 Leka daemon.notice openvpn[20654]: mulicka/94.254.241.164:62068 MULTI_sva: pool returned IPv4=192.168.0.102, IPv6=(Not enabled)
Jan  5 21:43:21 Leka daemon.notice openvpn[20654]: mulicka/94.254.241.164:62068 MULTI: Learn: e0:3f:49:8b:12:84 -> mulicka/94.254.241.164:62068
Jan  5 21:43:21 Leka daemon.notice openvpn[20654]: mulicka/94.254.241.164:62068 PUSH: Received control message: 'PUSH_REQUEST'
Jan  5 21:43:21 Leka daemon.notice openvpn[20654]: mulicka/94.254.241.164:62068 send_push_reply(): safe_cap=940
Jan  5 21:43:21 Leka daemon.notice openvpn[20654]: mulicka/94.254.241.164:62068 SENT CONTROL [mulicka]: 'PUSH_REPLY,route 192.168.0.101 255.255.255.0,route 192.168.0.135 255.255.255.0,route 192.168.0.0 255.255.255.255,route-gateway 192.168.0.3,ping 15,ping-restart 60,ifconfig 192.168.0.102 255.255.255.0' (status=1)
Jan  5 21:43:21 Leka daemon.notice openvpn[20654]: mulicka/94.254.241.164:62068 MULTI: Learn: e0:b9:a5:45:7b:2c -> mulicka/94.254.241.164:62068
Jan  5 21:43:35 Leka daemon.notice openvpn[20654]: mulicka/94.254.241.164:62068 MULTI: Learn: d0:ae:ec:3b:9d:15 -> mulicka/94.254.241.164:62068
Jan  5 21:43:36 Leka daemon.notice openvpn[20654]: mulicka/94.254.241.164:62068 MULTI: Learn: 00:24:b2:45:53:2e -> mulicka/94.254.241.164:62068
Jan  5 21:44:10 Leka daemon.notice openvpn[20654]: mulicka/94.254.241.164:62068 MULTI: Learn: 18:1e:78:54:d9:03 -> mulicka/94.254.241.164:62068


 
khain
Pobierz kod źródłowy  Kod źródłowy
Options error: in --iroute 192.168.0.101 255.255.255.0 : Bad network/subnet specification


Opcja iroute powinna zawierać adres podsieci za klientem a nie hosta. Wrzuć jeszcze logi klienta.
Asus RT-N16 - Tomato ver. K26USB 1.28.RT-N MIPSR2 130 EN AIO
TP-Link TL-WDR3600 v1.5 - OpenWRT 15.05 with Luci +Microsoft LifeCam VX-3000
TP-Link TL-WDR3600 v1.5 - OpenWRT 15.05 with Luci +Logitech C270
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163 +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A
 
djecstasy
Ale to jest adres podsieci klienta...
Na kliencie tylko to:
Pobierz kod źródłowy  Kod źródłowy
Jan  5 22:08:50 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.184 DST=31.13.81.9 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=41355 DF PROTO=TCP SPT=41726 DPT=443 SEQ=2300921817 ACK=0 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405500402080A004BE6520000000001030306)
Jan  5 22:09:04 Wroclaw daemon.err openvpn[2286]: event_wait : Interrupted system call (code=4)
Jan  5 22:09:04 Wroclaw daemon.notice openvpn[2286]: OpenVPN STATISTICS
Jan  5 22:09:04 Wroclaw daemon.notice openvpn[2286]: Updated,Fri Jan  5 22:09:04 2018
Jan  5 22:09:04 Wroclaw daemon.notice openvpn[2286]: TUN/TAP read bytes,967192
Jan  5 22:09:04 Wroclaw daemon.notice openvpn[2286]: TUN/TAP write bytes,558751
Jan  5 22:09:04 Wroclaw daemon.notice openvpn[2286]: TCP/UDP read bytes,758698
Jan  5 22:09:04 Wroclaw daemon.notice openvpn[2286]: TCP/UDP write bytes,1091435
Jan  5 22:09:04 Wroclaw daemon.notice openvpn[2286]: Auth read bytes,558751
Jan  5 22:09:04 Wroclaw daemon.notice openvpn[2286]: pre-compress bytes,197472
Jan  5 22:09:04 Wroclaw daemon.notice openvpn[2286]: post-compress bytes,182608
Jan  5 22:09:36 Wroclaw daemon.info dnsmasq-dhcp[2366]: DHCPREQUEST(br0) 192.168.0.180 d0:ae:ec:3b:9d:15
Jan  5 22:09:36 Wroclaw daemon.info dnsmasq-dhcp[2366]: DHCPACK(br0) 192.168.0.180 d0:ae:ec:3b:9d:15
Jan  5 22:09:43 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.184 DST=172.217.16.35 LEN=1378 TOS=0x00 PREC=0x00 TTL=63 ID=64223 DF PROTO=UDP SPT=57312 DPT=443 LEN=1358
Jan  5 22:09:43 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.184 DST=172.217.16.35 LEN=817 TOS=0x00 PREC=0x00 TTL=63 ID=64224 DF PROTO=UDP SPT=57312 DPT=443 LEN=797
Jan  5 22:09:43 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.184 DST=172.217.16.36 LEN=1378 TOS=0x00 PREC=0x00 TTL=63 ID=64227 DF PROTO=UDP SPT=60066 DPT=443 LEN=1358
Jan  5 22:09:43 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.184 DST=172.217.16.46 LEN=1378 TOS=0x00 PREC=0x00 TTL=63 ID=64219 DF PROTO=UDP SPT=42784 DPT=443 LEN=1358
Jan  5 22:09:43 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.184 DST=172.217.16.36 LEN=480 TOS=0x00 PREC=0x00 TTL=63 ID=64228 DF PROTO=UDP SPT=60066 DPT=443 LEN=460
Jan  5 22:10:01 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.184 DST=79.191.198.25 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=54142 DF PROTO=TCP SPT=58180 DPT=81 SEQ=1070059867 ACK=0 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405500402080A004C02250000000001030306)
Jan  5 22:10:01 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.184 DST=79.191.198.25 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=5832 DF PROTO=TCP SPT=58181 DPT=81 SEQ=2164462829 ACK=0 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405500402080A004C02250000000001030306)
Jan  5 22:10:01 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.184 DST=79.191.198.25 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=13521 DF PROTO=TCP SPT=58182 DPT=81 SEQ=1236612860 ACK=0 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405500402080A004C022D0000000001030306)
Jan  5 22:10:01 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.184 DST=172.217.16.42 LEN=1378 TOS=0x00 PREC=0x00 TTL=63 ID=571 DF PROTO=UDP SPT=33983 DPT=443 LEN=1358
Jan  5 22:10:02 Wroclaw user.warn kernel: ACCEPT IN=br0 OUT=eth2 SRC=192.168.0.184 DST=79.191.198.25 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=54389 DF PROTO=TCP SPT=58183 DPT=81 SEQ=3014776331 ACK=0 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405500402080A004C027E0000000001030306)


 
khain
No właśnie ma być adres podsieci klienta, a nie adres hosta w tej podsieci.
Dostajesz
Pobierz kod źródłowy  Kod źródłowy
event_wait : Interrupted system call (code=4)


Powodów może być kilka. Brak otwartego portu, różne porty ustawione w konfigu serwera i klienta, różne protokoły na serwerze i kliencie, różne ustawienia kompresji (comp-lzo). Sprawdź to wszystko.
Asus RT-N16 - Tomato ver. K26USB 1.28.RT-N MIPSR2 130 EN AIO
TP-Link TL-WDR3600 v1.5 - OpenWRT 15.05 with Luci +Microsoft LifeCam VX-3000
TP-Link TL-WDR3600 v1.5 - OpenWRT 15.05 with Luci +Logitech C270
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163 +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A
 
djecstasy
Wydaje się być ok
Klient:
imgie.pl/images/2018/01/06/klient123ae0.md.png
imgie.pl/images/2018/01/06/klient283f55.md.png

Serwer:
imgie.pl/images/2018/01/06/server18e600.md.png
imgie.pl/images/2018/01/06/server2a15c6.md.png
imgie.pl/images/2018/01/06/server3984ee.md.png
 
khain
Nie stosuj TAPa do łączenia dwóch podsieci. Podsieć za serwerem i klientem musi mieć inną adresację.
Asus RT-N16 - Tomato ver. K26USB 1.28.RT-N MIPSR2 130 EN AIO
TP-Link TL-WDR3600 v1.5 - OpenWRT 15.05 with Luci +Microsoft LifeCam VX-3000
TP-Link TL-WDR3600 v1.5 - OpenWRT 15.05 with Luci +Logitech C270
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163 +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A
 
djecstasy
Tylko jest jedno ale. OpenVPN postawiony na potrzeby multiroom nc+ wg:
https://openlinksys.info/forum/viewthread.php?thread_id=16352
Obawiam się że z dwoma podsieciami to nie zadziała...
poza tym:
OpenVPN może działać w jednym z dwóch trybów - routowania (tun) oraz w trybie mostkowania, czyli bridge (tap):

Tryb routowania - używany w przypadku konfiguracji typu brama + wielu klientów lub brama-brama. Przykładem wykorzystania tego trybu jest łączenie się z firmą pracowników zdalnych.
Tryb bridge - używany w przypadku łączenia kilku sieci. W tym przypadku między sieciami przekazywany jest cały ruch, łącznie z broadcastem (pakietami rozgłoszeniowymi), co może prowadzić do nadmiernego obciążenia tunelu VPN niepotrzebnym ruchem. Przykładem wykorzystania tego trybu jest połączenie pomiędzy oddziałem firmy a centralą.

a więc dzięki temu wszystkie urządzenia widzą się wzajemnie.
 
khain
Tak, jeśli chcesz, żeby NC+ działał to musisz zastosować TAP, ale ja bym wydzielił osobny VLAN na NC+ i zastosował drugi serwer vpn dla pzostałych urządzeń w LAN. Tak czy inaczej podawanie
Pobierz kod źródłowy  Kod źródłowy
push "route...
route


przy TAPie nie ma sensu tak samo jak stosowanie "Manage client Specific Options" (na dodatek nadal błędnie podajesz tam adresy hostów zamiast podsieci).
Asus RT-N16 - Tomato ver. K26USB 1.28.RT-N MIPSR2 130 EN AIO
TP-Link TL-WDR3600 v1.5 - OpenWRT 15.05 with Luci +Microsoft LifeCam VX-3000
TP-Link TL-WDR3600 v1.5 - OpenWRT 15.05 with Luci +Logitech C270
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163 +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A
 
djecstasy
Czyli mam rozumieć że na TAPie i na na jednej adresacji nie ma możliwości aby działało przekierowanie portów?
 
khain
Bedzie działac, tylko, ze nie ustawiasz tego w openvpn a w firewallu. Najpierw trzeba zestawić poprawnie tunel openvpn i zablokować przepływ pakietów DHCP pomiędzy klientem a serwerem (jeśli używa się TAPa).
Asus RT-N16 - Tomato ver. K26USB 1.28.RT-N MIPSR2 130 EN AIO
TP-Link TL-WDR3600 v1.5 - OpenWRT 15.05 with Luci +Microsoft LifeCam VX-3000
TP-Link TL-WDR3600 v1.5 - OpenWRT 15.05 with Luci +Logitech C270
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163 +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A
 
Przejdź do forum:
Logowanie
Nazwa użytkownika

Hasło



Nie masz jeszcze konta?
Zarejestruj się

Nie możesz się zalogować?
Poproś o nowe hasło
Aktualnie online
· Gości online: 3

· Użytkowników online: 1
cyberbob32

· Łącznie użytkowników: 23,864
· Najnowszy użytkownik: mariof
Shoutbox
Musisz zalogować się, aby móc dodać wiadomość.

majkel152
23-03-2019 11:57
gpon onu np mikrotika + router z sfp - jeśli się zgodzą , w innym wypadku ustaw swój router na ip dmz z ich złomu

Bourne55
23-03-2019 09:53
Czy można zamienić ruter fiber od dostawcy innym urządzeniem i nadal mieć internet

majkel152
20-03-2019 22:36
brak altrnatyw fw

PanRatio
20-03-2019 18:34
Warto kupić ten router z ibood Asus Blue Cave AC2600 za 460 zł? Grin

majkel152
19-03-2019 15:36
siejecie paranoje

pedro
18-03-2019 19:10
Raczej: 99% Sad

pedro
17-03-2019 14:27
Jeśli producenci będą prawnie zobligowani do zablokowania na amen, to raczej zmieni. 90% nie będzie potrafiło odblokować...

tamtosiamto
17-03-2019 01:24
@pedro i co z tego wyniknie? Ktos ci zabroni wgrac tomato? Czytanie takich 'newsow' to strata czasu

bigl
16-03-2019 15:13
Wgrałem DD-WRT na R7000 - wersja beta KongAC z 5 lutego 2019. Sterownik: Broadcom BCM47XX 10/100/1000 Mbps Ethernet Controller 7.14.89.21 (r524987). Jądro 4.4.173-rc1.

kille72
14-03-2019 15:27
Pięknie...

pedro
14-03-2019 14:14
Niech żyje Eurokołchoz: https://android.c.
..a-openwrt/

NeoX
14-03-2019 12:36
@Pedro: https://forum.dd-w
rt.com/phpBB2/view
topic.php?t=278372
I rzeczywiscie, dd-WRT korzysta z driverow 7.14.89.21, plus do tego chyba maja kernel 4.4.192. Trzeba to zbadac

pedro
13-03-2019 22:53
A-le o szo choźźii? Wink Gdzie te sterowniki?

majkel152
13-03-2019 18:43
taa do starych, co innego ich działanie ;p

NeoX
13-03-2019 15:16
Są: https://wireless.w
iki.kernel.org/en/
users/Drivers/b43
https://wireless.w
iki.kernel.org/en/
users/Drivers/brcm
80211 Jeżeli ktoś używa DD-WRT z nowym kernelem, to można się przekonać - wysta

Steel_Rat
13-03-2019 12:12
Jak by to były sterowniki opensource to by też były w openwrt a nie ma.

NeoX
13-03-2019 07:56
DD-WRT ma wlasne jadro ktore ozenili ze sterownikami opensource do radia. Musze to sprawdzic jak skoncze aktualna robote. Jak tak jest, to mozna podobny manewr zrobic w tomato

37,805,006 unikalne wizyty