15 Kwietnia 2024 01:01:31
Nawigacja
· Strona Główna
· Forum

· Tomato by Shibby
· FreshTomato


Wątki na forum
Najnowsze dyskusje
· dodatkowe złącza s...
· [Howto] Xpenology na...
· Szukam zaproszenia n...
· RT-N18U - nie można...
· Asus TUF-AX3000_V2 p...
· [MOD] Tomato64 (x86-64)
· Firewall nie zawsze ...
· [MOD] FreshTomato-AR...
· Optware na CIFS
· RT-AX56U - Status kl...
· [MOD] FreshTomato-MI...
· Multiroom N z wykorz...
· [S] Asus RT-AC68U E1
· [S] ASUS RT-AC68U
· Rozłączanie klient...
· serwer VPN za wan'em
· Przejscie z dyndns f...
· WDR3600 i problem z WAN
· Jaki USB hub do syno...
· [S] Karta sieciowa Q...
Najpopularniejsze obecnie wątki
· [Howto] Xpenology... [18]
· Szukam zaproszeni... [14]
· dodatkowe złącz... [3]
· RT-N18U - nie mo... [3]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
36% [151 głosów]

Broadcom ARM
Broadcom ARM
52% [216 głosów]

Atheros
Atheros
5% [22 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
1% [3 głosów]

Intel/AMD/VIA
Intel/AMD/VIA
1% [5 głosów]

Żaden z powyższych
Żaden z powyższych
4% [15 głosów]

Ogółem głosów: 416
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38
Twoje IP
44.212.99.208
Zobacz wątek
OpenLinksys » :: OPROGRAMOWANIE :: » Pozostałe firmware
 Drukuj wątek
OpenVPN TUN + dostęp do zasobów LAN SMB SAMBA
marianpro
Cześć Wszystkim. :)

Potrzebuję mieć bezpieczny dostęp z PC'tów na Windows'ie do RDP komputerów w sieci LAN i do udostępnionych folderów na serwerze.
Ruchu Internetowego nie chcę pchać przez VPN, tylko LAN.

Skonfigurowałem serwer OpenVPN na Merlinie (Asus RT-AC66U_B1).
Wybrałem konfigurację TUN/TCP, ponieważ mam konflikt adresacji IP między siecią, z której się łączę a tę do której się łączę, a na ten moment nie mogę tego zmienić.
O ile RDP mi działa o tyle zasobów SMB nie widzę nawet po \\IP. Oczywiście w sieci LAN wszystko działa jak należy.
Jak zmienię na TAP/TCP i połączę się np. przez router ze smarfona, to też wszystko działa. Czasem NetBIOS szwankuje bo nie ma dedykowanego winsn'a i trzeba po IP, ale ogólnie jest ok.

Znalazłem takie poradniki:
https://openvpn.net/community-resourc...r-openvpn/
https://oldwiki.archive.openwrt.org/o...penvpn.tun
https://www.howtogeek.com/64433/how-t...rt-router/
https://forums.openvpn.net/viewtopic....hp?t=17706

Próbowałem coś powklejać do okienka "Custom Configuration" w GUI routera, ale brakuje mi wiedzy.
Nawet nie wiem, czy nie robię jakiejś poważnej luki na firewallu przez te wstawki.
Sieć po obu stronach mam na 10.0.0.0/24.
Adresację klientów OpenVPN po TUN przyjąłem domyślnie proponowaną 10.8.0.0/24, czyli włączyłem VPN Subnet / Netmask 10.8.0.0 / 255.255.255.0 w GUI. Domyślam się, że to odpowiada regułce: server 10.8.0.0 255.255.255.0.

Próbowałem m.in takie coś:

push "route 10.0.0.0 255.255.255.0"
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A OUTPUT -o tun+ -j ACCEPT
iptables -A FORWARD -o tun+ -j ACCEPT

Po dodaniu powyższego nawet mi nie łączy z serwerem OpenVPN.

Po stronie pliku ovpn klienta nic nie zmieniałem, choć widziałem też poradniki, gdzie i tam ktoś robił jakieś zmiany.

Próbowałem też inne opcje z linków wyżej ale też bez rezultatu.

Pomoże ktoś? :)
 
hermes-80
Nie możesz mieć po obu stronach takiej samej podsieci - na tym polega tryb TUN by był routing między rożnymi sieciami, którym zarządza router - jeżeli masz taką sama adresacje sieci łączonych tunelem - router głupieje (po prostu nie wpuszcza pakietu w tunel), dlatego TAP działa bo on łączy segmenty tej samej podsieci.
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
 
marianpro

Cytat

hermes-80 napisał(a):

Nie możesz mieć po obu stronach takiej samej podsieci - na tym polega tryb TUN by był routing między rożnymi sieciami, którym zarządza router - jeżeli masz taką sama adresacje sieci łączonych tunelem - router głupieje (po prostu nie wpuszcza pakietu w tunel), dlatego TAP działa bo on łączy segmenty tej samej podsieci.


Z tego co ja zrozumiałem, tryb TUN tworzy wirtualną podsieć (tutaj domyślną zaakceptowałem jaką proponuje OpenVPN, tj. 10.8.0.0/24) i to ta nie może się pokrywać z siecią do jakiej przynależymy, by nie było konfliktów. Po o też ona jest tworzona - by stanowiła "pomost", a nie "most" jak w TAP. Jest wręcz to rozwiązanie polecane z tego powodu: https://osworld.pl/konfiguracja-openvpn/

Tryb bridge zaś, czyli TAP, zestawia nam dwie sieci, przydzielając adresację sieci do jakiej się łączymy i to tutaj może nastąpić konflikt, bo mamy zestawiony most.

Poza tym, testy wykonuję, łącząc się z routerem OpenVPN z klienta OpenVPN na PC połączonym przez net udostępniony ze smarfona. Zatem argument konfliktu adresacji sieci tym bardziej odpada.

***

Zauważyłem też, że jakiekolwiek wpisy w okienku Custom configuration dotyczące iptables, powodują, że serwer OpenVPN nie wstaje. Inne wpisy, np. push nie powodują tego.
Być może więc wpisy są ok, tylko nie startuje usługa.


Czy ktoś wie dlaczego?
 
pedro
Czy normalnie w konfigu OpenVPN, wpisujesz jakieś reguły iptables??
No właśnie...
Netowski 1Gb/1Gb
Huawei E3372s-153 non-hilink + 2x15dBi MIMO
FreshTomato: Asus RT-AC3200 + RT-N18U + RT-N66U + RT-N12
 
marianpro

Cytat

pedro napisał(a):

Czy normalnie w konfigu OpenVPN, wpisujesz jakieś reguły iptables??
No właśnie...


Po stronie klienta - nie, po stronie serwera - na routerze próbowałem wklejać tak jak pisałem w okienko "Custom Configuration", które zrozumiałem, że po to jest.
Tu jest przykład Shibby'iego dla wykorzystania tego okienka, ale w innym temacie: https://gnsltd.freshdesk.com/support/...pn-routers

Gdzie się zatem wpisuje dodatkowe komendy? Z Linii komend jakoś po Telenecie czy SSH?
 
pedro
Jak sama nazwa wskazuje, w skryptach Pfft
Tamto, to jest tylko i wyłącznie konfiguracja klienta/serwera OpenVPN, więc ciężko żeby taki ovpn zrozumiał, co to "iptables" Smile
Administration -> Scripts -> WAN Up/Firewall w zależności co chcesz osiągnąć.
Netowski 1Gb/1Gb
Huawei E3372s-153 non-hilink + 2x15dBi MIMO
FreshTomato: Asus RT-AC3200 + RT-N18U + RT-N66U + RT-N12
 
marianpro

Cytat

pedro napisał(a):

Jak sama nazwa wskazuje, w skryptach Pfft
Tamto, to jest tylko i wyłącznie konfiguracja klienta/serwera OpenVPN, więc ciężko żeby taki ovpn zrozumiał, co to "iptables" Smile
Administration -> Scripts -> WAN Up/Firewall w zależności co chcesz osiągnąć.


Dzięki za wskazówkę. Wiesz, nie dla każdego to oczywiste, tym bardziej, że w Merlinie tych okienek na skrypty nie ma. Tomato na moim routerze nie pójdzie.

Z tego co poszperałem, to trzeba włączyć obsługę JFFS: https://github.com/RMerl/asuswrt-merl...er-scripts

No to teraz pytanie, czy wystarczy taki plik z tym zestawem regułek jak wyżej podałem dla przykłądu, czy też muszę go "oskryptować" jakimiś komendami sterującymi / pomocniczymi czy coś?
Nigdy nie wrzucałem takich skryptów, nawet gotowych, więc nie mam pojęcia jak się to robi.
 
jurekk
W sumie pedro ;-) buduje to tomato glownie teraz on
Mowisz o Asus RT-AC66U_B1 ? Owszem pójdzie tomato z folderu ng do Ac68u_c1 podejdzie kojarzę. tylko przez Asus restoration tools wgrywaj i czysc potem nvram przyciskiem wps
ea6500v2 @Ac66u_B1 @1000 Aimesh
ea6700v cfe (custom) @AC66u_B1 node
node Aimesh,
 
marianpro

Cytat

jurekk napisał(a):

W sumie pedro ;-) buduje to tomato glownie teraz on
Mowisz o Asus RT-AC66U_B1 ? Owszem pójdzie tomato z folderu ng do Ac68u_c1 podejdzie kojarzę. tylko przez Asus restoration tools wgrywaj i czysc potem nvram przyciskiem wps


Z tych linków:
https://www.snbforums.com/threads/rt...ato.39765/
https://www.linksysinfo.org/index.php...ity.74567/
https://openlinksys.info/forum/viewth...d_id=21658
wynika, że mogę sobie uceglić router. Może zostawię sobie to na koniec taką desperację.

Patrzyłem też na DD-WRT, ale też świetlanej przyszłości nie wróżą: https://wiki.dd-wrt.com/wiki/index.ph...T-AC66U_B1

Nie znalazłem ostatecznie żadnego postu potwierdzającego, że komuś zadziałało cokolwiek innego od oryginału fw i Merlina na Asus RT-AC66U_B1.

Jakoś z tego JFFS chyba da się skorzystać?

Poza tym nie wiem nawet czy te regułki od iptables by zadziałały i czy są bezpieczne. Nie chcę z tego zrobić sztuki dla sztuki a przy okazji uwalić router.
 
jurekk
Te linki dotyczą rożnych sprzętów. Dwa w większości sa juz nieaktualne.
tu masz tabele oficjalna poszukaj sobie twoj router i jakie tomato pasuje do niego
https://wiki.freshtomato.org/doku.php?id=hardware_compatibility

Zresztą pedro jest teraz głównym deweloperem tomato wiec moze ci wytłumaczy.
Generalnei na Merlinie mozesz zorobić mniej wiecej to samo co na Tomato ale wymaga to duzo wiecej zachodu.
Z JFFS to prost osie korzysta. Włączasz w gui ta partycje i jest. Natomiast by robic to co ty chcesz potrzebujesz instalacji repozytorium ( ng entware polecam) na partycji opt byc moze na pendrive lub dysku podpiętym i zamontowanym do routera
https://github.com/Entware/Entware-ng/wiki/Install-on-asuswrt-merlin-firmware

Połączony z 18 kwietnia 2020 10:51:34:
tu szukaj odpowiedzi odnosnie swych pytan o rmerlina
https://github.com/RMerl/asuswrt-merlin.ng/wiki
https://github.com/RMerl/asuswrt-merlin.ng/wiki/JFFS
https://github.com/RMerl/asuswrt-merlin.ng/wiki/Iptables-tips

Połączony z 18 kwietnia 2020 20:32:25:
o nawet jest przez pedro zrobiony soft dal twojego routera
https://freshtomato.org/downloads/freshtomato-arm/2020/2020.2/K26ARM-NG/freshtomato-RT-AC66U_B1-ARM_NG-2020.2-AIO-64K.zip
Edytowany przez jurekk dnia 18-04-2020 20:32
ea6500v2 @Ac66u_B1 @1000 Aimesh
ea6700v cfe (custom) @AC66u_B1 node
node Aimesh,
 
marianpro

Cytat

jurekk napisał(a):

o nawet jest przez pedro zrobiony soft dal twojego routera
https://freshtomato.org/downloads/freshtomato-arm/2020/2020.2/K26ARM-NG/freshtomato-RT-AC66U_B1-ARM_NG-2020.2-AIO-64K.zip


Trafiłem wcześniej na stronę główną https://freshtomato.org/ ale chyba była późna pora, bo zarejestrowałem tylko "Under Construction" i zamknąłem przeglądarkę. ;P
Tym bardziej dziękuję za podanie linków "na talerzu". Smile
Chętnie przejdę na Tomato z obecnego Merlina, nie tylko z powodów łatwiejszej konfiguracji iptables, ale dlatego, że ma lżejsze GUI.

Zaryzykowałem i... Po pierwszej próbie załadowania Freshtomato K26ARM-NG AIO 2020.02 router niby się zrestartował ale nie było dojścia LANem, karta w PC wykrywała obecność kabla tylko.
Wgrywałem przez Asus CFE miniWeb server a także przez Asus Firmware Restoration.

Częściowo pomogła połączona procedura 30/30/30 z dodatkowym czyszczeniem NVRAM z poziomu Asus CFE miniWeb server.
Częściowo, bo o ile pojawiła się prośba o login i hasło o tyle nie dało się zalogować, próbowałem nawet admin / @newdig.
Przez telneta też nie puszczał, w tym procedura backdoora też nie szła - o ile coś takiego tutaj działa z WPS trzymanym przez 30s i logowaniem bez hasła (?).
Próbowałem też wersję K26ARM-NG VPN 2020.02 i to samo.
Ostatecznie poszła 2020.01 AIO, ale późniejszy update na 2020.02 z GUI powoduje efekt jak poprzednio - nie da się zalogować.
Ktoś coś wie o tym problemie?

No to teraz wracam do punktu wyjścia z tematu postu, tj. jak dostać się do zasobów sieciowych MS Windows po TUN/TCP?

Wpisałem jak zalecał @pedro w Administration / Scripts / Firewall to co rekomenduje strona: https://oldwiki.archive.openwrt.org/o...penvpn.tun

push "route 10.0.0.0 255.255.255.0"
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A OUTPUT -o tun+ -j ACCEPT
iptables -A FORWARD -o tun+ -j ACCEPT

Choć nadal nie wiem co dokładnie robią te komendy z iptables. Brak mi tutaj podstaw z Linuxa.

Tak czy inaczej nie działa, tj. \\IP-kompa nie wyświetla monitu o hasło, by dostać się do zasobów sieciowych SMB.
 
jurekk
@pedro cwiczył nasza czujnoscPfft i zminił zasady logowania
root/root w 2020.1 jescze było root/admin
pass/admin
w toamto masz zakladke odpowiednai smb musisz ja wypelnic
nie mam obecnie toamto zaladownego wiec nie pamietam
to cos w necie znalazlem
3e611e884a-48040.nxcli.net/wp-content/uploads/file-sharing.jpg

Połączony z 22 kwietnia 2020 10:13:41:
Nie jestem w tym biegły bo mi to od dawna nie potrzebne aleby cos było widac to musisz podmontowac zasoby
albo w zakladce usb ( dyski , foldery podpiete do routera ) albo w zakładce bodjaze administration cifs jezeli to maja byc udziały sieciowe ( podmontowne np do innych urzadzen dyski) lub nas

Połączony z 22 kwietnia 2020 10:20:47:
no i dobrze wlczyc obsługę samba 2 w windows 10,7 itd bo kojarzę ,ze chyba jest domyślnie wyłączona.

Połączony z 22 kwietnia 2020 10:20:53:
no i dobrze wlczyc obsługę samba 2 w windows 10,7 itd bo kojarzę ,ze chyba jest domyślnie wyłączona.
Edytowany przez jurekk dnia 22-04-2020 10:20
ea6500v2 @Ac66u_B1 @1000 Aimesh
ea6700v cfe (custom) @AC66u_B1 node
node Aimesh,
 
marianpro
@jurekk ale ja nie mówię o udostępnianiu zasobu podłączonego do USB w routerze.
Ja mówię o zasobach SMB w sieci LAN poza routerem (serwerem OpenVPN), ogólnie, np. na serwerze plików na MS Windows, innych PC z MS Windows itd.
Co do uwagi o wersji SMB, to chyba nie ma nic do rzeczy, skoro na TAP działa.

Co do logowania, to pospiesznie przejrzałem Changelog pod kątem słowa pass lub password. Nie przyszło mi do głowy, że deweloper zmienia login domyślny od lat... Przez telenet próbowałem też root i nie poszło. A że aktualizacja zmienia login, to już też zaskoczenie niemałe!
 
jurekk
Cool no 90% ludzi mysle miala problem taki jak ty czy ja z tym root niby wystarczy pocztyac ale ....
to i sie moze na cos przyda
https://openlinksys.info/forum/viewthread.php?thread_id=21023

Połączony z 22 kwietnia 2020 11:50:17:
ps. telnet jest domyslnie wylaczony ( w gui zakladka Adminstration trzeba go wlaczyc) ssh jes totwarte domyslnie i po ssh przez puty sie logujesz root/admin
Edytowany przez jurekk dnia 22-04-2020 11:50
ea6500v2 @Ac66u_B1 @1000 Aimesh
ea6700v cfe (custom) @AC66u_B1 node
node Aimesh,
 
marianpro

Cytat

jurekk napisał(a):

Cool no 90% ludzi mysle miala problem taki jak ty czy ja z tym root niby wystarczy pocztyac ale ....
to i sie moze na cos przyda
https://openlinksys.info/forum/viewthread.php?thread_id=21023

Połączony z 22 kwietnia 2020 11:50:17:
ps. telnet jest domyslnie wylaczony ( w gui zakladka Adminstration trzeba go wlaczyc) ssh jes totwarte domyslnie i po ssh przez puty sie logujesz root/admin


@jurekk a jak włączyć telnet miałem gdy nie było możliwości zalogowania? Stąd coś bełkotałem o backdoorze przez WPS przytrzymanym, bo tak znalazłem gdzieś w necie.

Co do Twojego linka, to jest temat trochę inny, bliżej mu chyba tego podłączania USB. Tam kolega @sasiadka podłączał dysk do tunera, ale miał byś widoczny przez router jako zasób, tak zrozumiałem.
Ja chce mieć dostęp do całego otoczenia sieciowego, wszystkich komputerów i serwerów, czy to po \\Netbios czy to po \\IP
 
jurekk
najlepszy sposob montowania dyskow do routera to ten:
https://openlinksys.info/forum/viewthread.php?thread_id=20829&rowstart=180#post_161101
ntfs tak nie zamontujesz
dyski najlepiej jak sa ext4 dyski twrde
ext2 flash

tak czy siak zakladke smb w zakladce usb w tomato musisz wypelnić chyba, kodowanie np ustawic itd

Połączony z 22 kwietnia 2020 12:24:55:
ssh istniejeWink
Edytowany przez jurekk dnia 22-04-2020 12:24
ea6500v2 @Ac66u_B1 @1000 Aimesh
ea6700v cfe (custom) @AC66u_B1 node
node Aimesh,
 
hermes-80
Ustalmy dokładnie jakie podsieci spinasz bo chyba się nie zrozumieliśmy.
Z twojego opisu wywnioskowałem że:
(10.0.0.0/24 LAN)(ServVPN - 10.8.0.0/24 TUN)-----(TUN 10.8.0.0/24 Klient-OVPN)(LAN 10.0.0.0/24)

Spinasz dwa segmenty sieci LAN ze sobą tunelem czy chcesz spiąć jeden moduł sieci LAN z pojedynczym klientem (za pomocą aplikacji np OpenVPN Client) bez drugiego segmentu sieci.
Edytowany przez hermes-80 dnia 22-04-2020 13:37
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
 
marianpro

Cytat

hermes-80 napisał(a):

Ustalmy dokładnie jakie podsieci spinasz bo chyba się nie zrozumieliśmy.
Z twojego opisu wywnioskowałem że:
(10.0.0.0/24 LAN)(ServVPN - 10.8.0.0/24 TUN)-----(TUN 10.8.0.0/24 Klient-OVPN)(LAN 10.0.0.0/24)

Spinasz dwa segmenty sieci LAN ze sobą tunelem czy chcesz spiąć jeden moduł sieci LAN z pojedynczym klientem (za pomocą aplikacji np OpenVPN Client) bez drugiego segmentu sieci.


Nie spinam segmentów sieci, chcę podpinać się pojedynczymi klientami z PC'ta z aplikacji OpenVPN do sieci LAN 10.0.0.0/24.
Jako, że robię to po TUN, to dostaję dla klienta adresację 10.8.0.0/24, bo tak zaznaczyłem - domyślnie, by nie było konfliktu z LAN.
Problemem jest, że klient nie widzi zasobów sieci SMB do jakiej się podłączył, czyli tej LAN 10.0.0.0/24.
 
hermes-80
A z jakiej adresacji sieci łączysz się klientami?
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
 
marianpro

Cytat

hermes-80 napisał(a):

A z jakiej adresacji sieci łączysz się klientami?


Skonfiguruję taką adresację jaką chcesz. Smile
 
Przejdź do forum
Zaloguj
Wprowadź adres e-mail lub nazwę użytkownika

Hasło



Nie masz jeszcze konta? Zarejestruj się.

Zapomniałeś/aś hasła?
Aktualnie online
· Gości online: 9

· Użytkowników online: 0

· Łącznie użytkowników: 24,117
· Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.

tamtosiamto
31-03-2024 12:54
Wesolego jajka wszytskim forumowiczom Grin

tamtosiamto
28-03-2024 23:24
tak, tak zgadza sie, ale ja pytam o wykluczenie noda na guest network w first set, i to nie dziala

Adooni
24-03-2024 13:16
Guest network is currently designed to allow the first set of each band (2.4G, 5G, 5G-1) available to the AiMesh node

tamtosiamto
24-03-2024 03:03
ale w 1 jest opcja do wyboru - dla calej sieci albo rutera only i wlasnie o tym mowie, ze nie dziala

Adooni
23-03-2024 16:31
w dokumencie asusa jest ze wlasnie dla 1 ma dzialac na nodach tez

tamtosiamto
23-03-2024 15:39
tak, ale nie zmienia to faktu, ze w pierwszej nie dziala wylaczanie aimesh dla goscinnej( a powinno), czyli jest jakis bug. Mam start soft, bo to dsl-ac68 ktory nie jest juz updateowany

Adooni
22-03-2024 18:07
nie, 1 wsza bedzie wszedzie trzeba 2ga zrobic dla kazdego pasma te nie sa przenoszone

tamtosiamto
19-03-2024 19:57
czyli jak mam jedna siec goscinna to powinno dzialac separowanie gosci od noda -a nie dziala Smile

tamtosiamto
19-03-2024 19:50
@Adooni 'Only one set is available for 1 band' i tak mam-1 set dla 2.4ghz i 1 dla 5ghz-czy czegos nie rozumiemW drugiej sieci goscinnej nie ma opcji wyboru Ruter only/ All nodes

Adooni
19-03-2024 19:14
no to przeczytaj to 2 pod - 1 stet z kazdego pasma jest dopuszczony na nody. zrob 2 siec jako goscinna na danym pasmie i wtedy sprawdz

71,057,333 unikalnych wizyt