|
Przekierowanie portów przez VPN
|
| Lucjan |
Dodano 07-07-2020 23:28
|
User
Posty: 4
Dołączył: 04/07/2020 11:52
|
Witam wszystkich.
Zarejestrowałem się niedawno ale już od dawna tu zaglądam.
Jestem posiadaczem WNR3500L v2 z aktualnym FreshTomato i mam prośbę do mądrzejszych.
Niedawno wykupiłem usługę VPN w niechlubnym celu Torrentowania.
Usługa oferuje przekierowanie portów i to działa ale nie tak jak bym chciał.
Nie za bardzo kumam sieciowy żargon, choć nie jestem już zupełnie zielony.
Choć znam poszczególne elementy to mieszają mi się zależności między nimi
więc prosił bym łopatologicznie. Jeśli dobrze zrozumiałem to port zostanie otwarty
jeśli na komputerze zostanie uruchomiony program który na nim nasłuchowuje  . N.p. klient torrenta.
Czyli za nim włączę w tomato VPN najpierw muszę włączyć torrenta. I tak to działa.
Ale w taki sposób muszę zatrzymać ruch na torrencie, zanim nie włączę vpn , a to mnie nie
bawi. Włączenie torrenta po włączeniu VPN nie otwiera portu. Ruch jednokierunkowy.
Jeśli zamiast vpn z tomato użyję aplikacji od dostawcy to po włączeniu torrenta najpierw
świeci na żółto ale za jakiś czas włącza się na zielono czyli prawidłowo.
Jeśli na routerze jest włączony VPN i dodatkowo aplikacja na windows-a to również świeci na zielono ale IP torrentów jest z serwera ustawionego na routerze.
Jak wymusić na routerze takie coś co robi aplikacja na komputerze. UPnP mam włączone i na routerze i w aplikacji. Komunikacja w aplikacji jest oparta o OpenVPN.
Szczegółów konfiguracji nie piszę żeby nie zaśmiecać. Najzwyklejsza bez konfiguracji opcjonalnej.
Pytanie dodatkowe jak skonfigurować Killswitch-a na routerze z tomato jeśli klient OpenVPN jest na komputerze. Nie chodzi o program od dostawcy. Ten ma wbudowany.
Liczę na waszą pomoc bo od tygodnia próbuję to ogarnąć.
Kłaniam się nisko,
Lucjan. |
| |
|
|
| amikot |
Dodano 08-07-2020 01:08
|
Power User
Posty: 298
Dołączył: 14/12/2018 18:24
|
Jeśli używasz VPN tylko do torrentowania, a torrenta odpalasz tylko na komputerze, to właściwie po co ci VPN w routerze?
Przecież kompa i tak masz włączonego, to dlaczego nei używać programiku od dostawcy.
VPN na routerze ma sens jeśli torrenta odpalasz też na routerze albo na jakimś NASie, albo wtedy gdy chcesz używać VPN na większej ilości urządzeń, a dostawca akurat jest jednym z tych co ograniczają ilość odpalonych klientów.
Ja myślalem nad VPN wielokrotnie i doszedłem do wniosku że właściwie
ZTE MF286D - Stock Firmware (Vodafone UK)
ASUS TUF-AX3000 V2 - AsusWRT/FreshTomato 3.0.0.4.2023_4-gb6923ed
Acer Aspire E1-571 - OMV 6
|
| |
|
|
| Lucjan |
Dodano 08-07-2020 15:34
|
User
Posty: 4
Dołączył: 04/07/2020 11:52
|
No właśnie docelowo będzie na NAS-ie ale nie wiem jeszcze jak na nim zrobić killswitch. VPN do torrentów i steamingu. Na komputerze testuję bo tak wygodniej. |
| |
|
|
| amikot |
Dodano 09-07-2020 03:14
|
Power User
Posty: 298
Dołączył: 14/12/2018 18:24
|
Ja się dopiero przymierzam do VPN. Waham się ciągle, bo żeby się opłacało to trzeba wykupić na co najmniej rok albo i dwa lata, a ja nawet nie wiem czy mi to potrzebne.
Torrentów ściągam mało i raczej jakiś starocie co ich po prostu już je wykasowali ze wszystkich platform streamingowych.
Streamowanie z za VPN mnie osobiście nie interesuje, może żonę trochę bardziej - czasem się zachciewa jej posłuchać coś w ojczystej mowie.
Mimo to już się przymierzałem do skonfigurowania routera. Dostawcy dają zwykle gotowe konfigi dla Tomato i w zasadzie wszystko jest bardzo proste pod warunkiem że chcesz przekierować cały ruch sieciowy do VPN.
Trochę trudniej jest jeśli chcesz przekierować cały ruch jednego z adresów IP bo musisz poustawiać Routing Policy.
Ja lubię jednak wyzwania i jeśli miałbym inwestować w VPN to kombinowałbym raczej jak wypuścić VPN na jednym z portów LAN routera - tak aby cokolwiek podłączone do tego portu zostało podłączone do VPN. Nawet nie wiem czy się tak da, ale takie coś mi się wymyśliło.
Konkretnie chodzi o to, że mój NAS ma dwa LANy - jeden mógłbym używać do normalnego LANa, a drugi do VPN.
Inny pomysł to wypuszczanie tylko konkretnego portu dla konkretnego IP. W VPNowy Routing Policy nie uwzględnia możliwości routingowania jedynie określonych portów.
Nie wiem czy port forwarding by się w tym nie sprawdził - pewnie trzeba by trochę poeksperymentować 
Jak nabierzesz trochę doświadczenia to też opisz co i jak, bo zawsze się wiedza przyda - choćby nawet dla samego siebie.
Ja na przykład czasem używam własnych opisów z forum kiedy coś rekonfiguruję - opisałem na forum jak zrobiłem, a teraz mam prawie gotowce i nie muszę się zastanawiać.
Pozdrawiam
ZTE MF286D - Stock Firmware (Vodafone UK)
ASUS TUF-AX3000 V2 - AsusWRT/FreshTomato 3.0.0.4.2023_4-gb6923ed
Acer Aspire E1-571 - OMV 6
|
| |
|
|
| larry_d |
Dodano 10-07-2020 12:45
|
User
Posty: 14
Dołączył: 08/06/2020 13:11
|
@amikot
Myślę podobnie o VPN. Kilka lat temu próbowałem zestawiać takie połączenia na tomato ale raczej w celach edukacyjnych. Dokładnie z takiego samego powodu zaprzestałem badań.... tzn niemożność (jak mi się wtedy wydawałoi wciąż wydaje) przekierowania ruchu na określony port i interfejs.
Skończyło się to na tym że włączałem i wyłączałem VPN kiedy mi zależało na lokalnym IP.
Potem się zniechęciłem.....)))
Swoją drogą czy taka rura w sposób istotny (widoczny) nie spowalnia ruchu ? pz |
| |
|
|
| amikot |
Dodano 10-07-2020 12:56
|
Power User
Posty: 298
Dołączył: 14/12/2018 18:24
|
Przed chwilą w celach właśnie edukacyjnych zainstalowałem ServerVPN na VMie z OVH i udało mi się skonfigurować klienta pod windowsem aby przekierować ruch przez VPN - mam teraz IP z Francji.
Udało mi się również uzyskać połączenie klienta VPN w Tomato - niestety nawet włączenie opcji przekierowania całego ruchu nie powoduje realnego przekierowania ruchu. Nadal wchodząc na strony mam IP od mojego lokalnego dostawcy. Tak więc trochę lipa.
Może spróbuję restartować router...
Połączony z 10 lipca 2020 13:04:05:
Niestety restart routera nie pomógł - VPN się podnosi, ale cały ruch nadal nadal idzie poza VPN - mimo że opcja przekierowania całego ruchu jest zaznaczona.
Edytowany przez amikot dnia 10-07-2020 13:04
ZTE MF286D - Stock Firmware (Vodafone UK)
ASUS TUF-AX3000 V2 - AsusWRT/FreshTomato 3.0.0.4.2023_4-gb6923ed
Acer Aspire E1-571 - OMV 6
|
| |
|
|
| pedro |
Dodano 10-07-2020 13:13
|
Moderator
Posty: 1001
Dołączył: 21/09/2015 15:03
|
Coś źle robisz, bo działa bezproblemowo (sam używam, również z routing policy).
Netowski 1Gb/1Gb
Huawei E3372s-153 non-hilink + 2x15dBi MIMO
FreshTomato: Asus RT-AC3200 + RT-N18U + RT-N66U + RT-N12
|
| |
|
|
| amikot |
Dodano 10-07-2020 14:21
|
Power User
Posty: 298
Dołączył: 14/12/2018 18:24
|
No ale co?
Udało mi się nawet odpalić klienta na starym Synology z DSM4.2 - gdzie musiałem zrobić konfigurację od kuchni, bo w GUI nie było opcji wklejenia klucza klienta. Transmission odpalony na NASie działa na VPNie, a jak odpalam na VPN na Tomato to się niby łączy ale ruch idzie dalej bokiem.
Mam podejżenie że może moje ustawienia blokowania ruchu sieciowego tu grają rolę - znaczy mam ten skrypt dodający regóły do iptables żeby zablokować ruch przychodzący z większości krajów. Poza tym to wszystko mam raczej standardowo + optware na USB.
Połączony z 10 lipca 2020 17:54:23:
Kolejne spostrzeżenie to zasobożerność.
Mój NAS bazuje na jednordzeniowym PPC 1GHz. VPN+Torrent obciąża go tylko w 40% (w monitorze systemu widać że równo po 20% - openvpn i transmission). Mimo tego maksymalna osiągalna prędkość pobierania to jedynie 1.5MB/s czyli 12MBit. Jak na łącze 200 MBit to słabiutko. Serwer na którym uruchamiam usługę z tego co pamiętam ma łącze symetryczne 100Mbitów i jakiegoś tam 2 rdzeniowego x86 (trudno określić co to za rdzenie na VMS i openVPN jest właściwie niezauważalny - nie sądzę aby więc serwer był tu słabym ogniwem.
Ciekawy jestem jakie prędkości mógłbym osiągnąć na routerze który ma 2 rdzenie ARM 800Mhz. Inna sprawa że transmission by został na NASie.
Połączony z 10 lipca 2020 18:09:00:
PS. Oczyiście chodziło mi o VPS nie o VMS :D
Połączony z 10 lipca 2020 21:01:33:
Po wyłączeniu skryptu do blokowania wg geoip wydaje się że router się przełączył na VPN bo ... przestał działać internet.
Jak wszedłem do statsów to niestety dziwnie, bo dane po UDP/TCP śmigają w obie strony. Auth data również jakieś przepływają.
Jednak dane TUN/TAP cały czas stoją na zero.
Zauważyłem też dziwny wpis w iptables:
0 0 DROP all -- tun11 * 0.0.0.0/0 0.0.0.0/0 state NEW
Nie wiem skąd on się bierze.
Połączony z 10 lipca 2020 21:31:39:
Już wiem skąd się to bierze (Firewall ustawiony na auto w OpenVPN) i udało mi się to wyłączyć ale nie pomogło.
Jeśli ktoś by mógł zapodać jakie ma porobione ustawienia, to byłbym wdzięczny (chodzi mi o ustawienia routingu, firewalla itp. - ustawienia klienta VPN mam raczej dobre - bo w końcu wszystko zgodnie z konfiguracją serwera.)
Połączony z 11 lipca 2020 04:18:36:
Dobra, po ciężkich bojach udało mi się uruchomić klienta także i na Tomato.
Cały problem miał dwie przyczyny. Pierwszą okazała się owa regóła blokowania wszystkiego co obce (znaczy geoIP) - dziwne bo z jakiegoś powodu nie przeszkadzała ona klientowi odpalonemu na PC, NAS i drugim routerze. Drugą przyczyną była niedokładna konfiguracja klienta. Czyli w sumie moja wina - aczkolwiek nie do końca.
Uważam bowiem, że GUI Tomato w kwestii VPN jest wyjątkowo przekombinowane.
Serwer generując plik ovpn dla klienta nie wpisuje do niego ustawień domyślnych - bo po co zaśmiecać konfig ustawieniami które są dla serwera domyślne? Tymczasem Tomato ma w GUI prawie wszystkie opcje i wszystkie je wysyła z jakimiś ustawieniami do serwera. Domyślne ustawienia Tomato nie zawsze mogą pasować do ustawień Serwera - tak było w tym wypadku. Ustawienia Default/Auto w kilku przypadkach okazały się błędne. Skoro nie mogłem tych opcji nie ustawiać - musiałem je ustawić zgodnie z domyślnymi wartościami serwera.
Podsumowując - Klient mimo że połączony z serwerem, nie dogadywał się z serwerem co do algorytmów szyfrowania więc router nie przełączał routingu.
Teraz wybrane urządzenia już działają.
Aby działały tylko wybrane porty - należałoby wyłączyć routing policy w ustawieniach VPN zupełnie, a następnie ustawić ręcznie regóły iptables tylko dla konkretnych portów.
Edytowany przez amikot dnia 11-07-2020 04:18
ZTE MF286D - Stock Firmware (Vodafone UK)
ASUS TUF-AX3000 V2 - AsusWRT/FreshTomato 3.0.0.4.2023_4-gb6923ed
Acer Aspire E1-571 - OMV 6
|
| |
|
|
| Lucjan |
Dodano 11-07-2020 12:47
|
User
Posty: 4
Dołączył: 04/07/2020 11:52
|
Cytat
Aby działały tylko wybrane porty - należałoby wyłączyć routing policy w ustawieniach VPN zupełnie, a następnie ustawić ręcznie regóły iptables tylko dla konkretnych portów.
Jak to ustawić bo jestem cienias? Routing policy to wiem tylko nie iptables. Zauważyłem że w programie od dostawcy przekierowanie działa ale na Tomato z tych samych serwerów już nie. ewidentnie brakuje jakiejś komendy w konfiguracji tomato. Zobaczę co mi odpowiedzą na suporcie. Z bardzo na nich nie liczę bo jak nie umiałem odpalić
połączenie na tomato to nawet przeglądając logi nie doszli że muszę jeszcze wklepać Static Key.
Też miałem problem z domyślnymi ustawieniami tomato. A jakaś alternatywa co nie uwali routera? Może być nawet z innym routerem? |
| |
|
|
| amikot |
Dodano 11-07-2020 19:04
|
Power User
Posty: 298
Dołączył: 14/12/2018 18:24
|
Szczerze mówiąc to nie wiem. Zresztą po uaktualnieniu tomato do 2020.4 niestety VPN przestał działać.
Z całym szacunkiem dla developerów, ale ustawienia VPN w Tomato naprawdę wymagają przeprojektowania. Wszyscy dostawcy udostępniają konfigurację w plikach .ovpn i najlepiej by było gdyby konfigurowanie polegało na uploadowaniu tego pliku - prosto i bezboleśnie.
Obecnie nawet idąc za poradnikami dostawców - dostajemy najczęściej screeny z jakiegoś starego tomato i do tego cały stos komend do wpisania do pola "Custom Configuration". W efekcie dochodzi do dublowania się opcji. Bo na przykład jeśli dostawca każe mi wkleić "cipher AES-256-CBC" to rozumiem że opcja ta nie może być ustawiana przez gui (bo się zdubluje) - tylko pytanie jak mam ustawić opcję w GUI? czy na Disabled, czy na Default? Czy na co? Kiedy opcja nie zostanie zdublowana?
Normalnie Koszmar.
Ja bym to chętnie sam przerobił to gui, ale nie czuję się na siłach aby ogarnąć cały ten projekt.
W kwestii iptables, to myślę że trzeba szukać pomocy w linuxie jako takim. Wokół Tomato jest skupiona jednak mała tylko społeczność - trochę więcej przy DD-WRT (można tam zacząć szukać). Można też próbować w open-wrt. Ale chyba najlepiej szukać u speców od sieci na duże serwery - oni tam dobrze wiedzą jak to wszystko ustawić
Połączony z 11 lipca 2020 19:26:25:
Znów głupia rzecz się okazała przyczyną problemów, przez przypadek skopiowałem komendę "remote" razem z adresem no i się zrobił kłopot.
Połączony z 12 lipca 2020 00:00:25:
Jeszcze w kwesti udostępniania VPN po jednym (lub więcej) konkretnym sprzętowym gnieździe LAN routera - czyli totalnej izolacji od wewnętrznego LANu, to wydaje mi się że należałoby przestawić VPN z interface TUN na TAP.
Po przestawieniu na TAP router powinien wytworzyć nowy LAN bridge - który można już wtedy w zakładce VLAN przypisać do danego portu sprzętowego.
Połączony z 12 lipca 2020 00:22:48:
Znalazłem link ze screenshotami i opisem jak zrobić VPN na TAPie:
https://www.linksysinfo.org/index.php...tap.70697/
TAP jest zwykle wykorzystywany do przyłączania mniejszych oddziałów firmy do centrali - wtedy podstawowy LAN routera można ograniczyć do jednego sprzętowego portu który będzie służyć jedynie w celach technicznych/konfiguracyjnych. Pozostałe porty można wtedy przypisać VPNowi.
Moim zdaniem użycie TAP ma sens także w wielu innych przypadkach.
Choćby w celach edukacyjnych
Edytowany przez amikot dnia 12-07-2020 00:22
ZTE MF286D - Stock Firmware (Vodafone UK)
ASUS TUF-AX3000 V2 - AsusWRT/FreshTomato 3.0.0.4.2023_4-gb6923ed
Acer Aspire E1-571 - OMV 6
|
| |
|
|
| Lucjan |
Dodano 17-07-2020 12:28
|
User
Posty: 4
Dołączył: 04/07/2020 11:52
|
Problem rozwiązany. Za mało wiedzy, za dużo opcji. Mój dostawca VPN oferuje przekierowania tylko na UDP. Ponadto w tomato pojawiła się opcja,,Inbound Firewall'' którą miałem zaznaczoną. I jeszcze, że niektóre ustawienia obowiązują dopiero po restarcie. Założyłem, że wystarczy włączyć zwykłe przekierowanie ale one nie działa z TUN. Pewnie można to jakoś ustawić ale dla mnie za wysokie loty.
Przekierowałem porty przez iptables/forwarding i działa. Dzięki za szczere chęci.
Temat do zamknięcia. |
| |
|
' target='_blank'>Link
