11 Sierpnia 2020 05:20:31
Nawigacja
· Strona Główna
· Galeria
· Forum
· Linki

· Tomato by Shibby

· Wiki-OpenWrt
· Wiki-DD-WRT
· Emulatory sprzętu

Darowizna
Ostatnio na forum
Najnowsze tematy
· FreshTomato amd64?
· [MOD] FreshTomato-AR...
· Multiroom N z wykorz...
· Włam wifi asus AiMesh
· oscam na openwrt (ar...
· NETGEAR WNR3500L V1 ...
· Netgear WNR3500L v2 ...
· Blokowanie całego ru...
· Pręskość OpenVPN
· [S]Netgear 10p GC110...
· [Z] Asus RT-AC88U na...
· ASUS RT-AC68U VPN
· [MOD] FreshTomato-MI...
· Pierwsza instalacjaT...
· Watchdog dla Klienta...
· [S] Netgear R8500
· Przekierowanie portó...
· Asus RT-N18U problem...
· Aktualizacja do Fres...
· DNS od cloudflare 1....
Najciekawsze tematy
· Multiroom N z wyk... [1171]
· oscam na openwrt ... [777]
· [MOD] FreshTomato... [260]
· NETGEAR WNR3500L ... [21]
· FreshTomato amd64? [14]
· Włam wifi asus Ai... [2]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
38% [140 głosów]

Broadcom ARM
Broadcom ARM
51% [188 głosów]

Atheros
Atheros
6% [21 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
1% [2 głosów]

Intel/AMD/VIA
Intel/AMD/VIA
1% [4 głosów]

Żaden z powyższych
Żaden z powyższych
3% [11 głosów]

Ogółem głosów: 370
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38

Archiwum ankiet
Reklama
Twoje IP
18.233.111.242
Reklama
Zobacz temat
OpenLinksys » :: OPROGRAMOWANIE :: » Tomato - firmware
 Drukuj temat
Przekierowanie portów przez VPN
Lucjan
Witam wszystkich.
Zarejestrowałem się niedawno ale już od dawna tu zaglądam.
Jestem posiadaczem WNR3500L v2 z aktualnym FreshTomato i mam prośbę do mądrzejszych.
Niedawno wykupiłem usługę VPN w niechlubnym celu Torrentowania.
Usługa oferuje przekierowanie portów i to działa ale nie tak jak bym chciał.
Nie za bardzo kumam sieciowy żargon, choć nie jestem już zupełnie zielony.
Choć znam poszczególne elementy to mieszają mi się zależności między nimi
więc prosił bym łopatologicznie. Jeśli dobrze zrozumiałem to port zostanie otwarty
jeśli na komputerze zostanie uruchomiony program który na nim nasłuchowuje Smile. N.p. klient torrenta.
Czyli za nim włączę w tomato VPN najpierw muszę włączyć torrenta. I tak to działa.
Ale w taki sposób muszę zatrzymać ruch na torrencie, zanim nie włączę vpn , a to mnie nie
bawi. Włączenie torrenta po włączeniu VPN nie otwiera portu. Ruch jednokierunkowy.
Jeśli zamiast vpn z tomato użyję aplikacji od dostawcy to po włączeniu torrenta najpierw
świeci na żółto ale za jakiś czas włącza się na zielono czyli prawidłowo.
Jeśli na routerze jest włączony VPN i dodatkowo aplikacja na windows-a to również świeci na zielono ale IP torrentów jest z serwera ustawionego na routerze.
Jak wymusić na routerze takie coś co robi aplikacja na komputerze. UPnP mam włączone i na routerze i w aplikacji. Komunikacja w aplikacji jest oparta o OpenVPN.
Szczegółów konfiguracji nie piszę żeby nie zaśmiecać. Najzwyklejsza bez konfiguracji opcjonalnej.
Pytanie dodatkowe jak skonfigurować Killswitch-a na routerze z tomato jeśli klient OpenVPN jest na komputerze. Nie chodzi o program od dostawcy. Ten ma wbudowany.
Liczę na waszą pomoc bo od tygodnia próbuję to ogarnąć.
Kłaniam się nisko,
Lucjan.
 
amikot
Jeśli używasz VPN tylko do torrentowania, a torrenta odpalasz tylko na komputerze, to właściwie po co ci VPN w routerze?
Przecież kompa i tak masz włączonego, to dlaczego nei używać programiku od dostawcy.

VPN na routerze ma sens jeśli torrenta odpalasz też na routerze albo na jakimś NASie, albo wtedy gdy chcesz używać VPN na większej ilości urządzeń, a dostawca akurat jest jednym z tych co ograniczają ilość odpalonych klientów.

Ja myślalem nad VPN wielokrotnie i doszedłem do wniosku że właściwie
Virgin Media Super Hub 3 - Stock firmware - DOCSIS 3.0 modem.
Linksys EA6900 v1.1 - Fresh Tomato 2020.05 AIO - główny router.
Netgear WNDR4500v1 - Fresh Tomato 2020.05 AIO - dodatkowy AP.
Synology DS 509+ - DSM4.2 - jako NAS Smile
 
Lucjan
No właśnie docelowo będzie na NAS-ie ale nie wiem jeszcze jak na nim zrobić killswitch. VPN do torrentów i steamingu. Na komputerze testuję bo tak wygodniej.
 
amikot
Ja się dopiero przymierzam do VPN. Waham się ciągle, bo żeby się opłacało to trzeba wykupić na co najmniej rok albo i dwa lata, a ja nawet nie wiem czy mi to potrzebne.
Torrentów ściągam mało i raczej jakiś starocie co ich po prostu już je wykasowali ze wszystkich platform streamingowych.
Streamowanie z za VPN mnie osobiście nie interesuje, może żonę trochę bardziej - czasem się zachciewa jej posłuchać coś w ojczystej mowie.

Mimo to już się przymierzałem do skonfigurowania routera. Dostawcy dają zwykle gotowe konfigi dla Tomato i w zasadzie wszystko jest bardzo proste pod warunkiem że chcesz przekierować cały ruch sieciowy do VPN.
Trochę trudniej jest jeśli chcesz przekierować cały ruch jednego z adresów IP bo musisz poustawiać Routing Policy.
Ja lubię jednak wyzwania i jeśli miałbym inwestować w VPN to kombinowałbym raczej jak wypuścić VPN na jednym z portów LAN routera - tak aby cokolwiek podłączone do tego portu zostało podłączone do VPN. Nawet nie wiem czy się tak da, ale takie coś mi się wymyśliło.
Konkretnie chodzi o to, że mój NAS ma dwa LANy - jeden mógłbym używać do normalnego LANa, a drugi do VPN.
Inny pomysł to wypuszczanie tylko konkretnego portu dla konkretnego IP. W VPNowy Routing Policy nie uwzględnia możliwości routingowania jedynie określonych portów.
Nie wiem czy port forwarding by się w tym nie sprawdził - pewnie trzeba by trochę poeksperymentować Grin

Jak nabierzesz trochę doświadczenia to też opisz co i jak, bo zawsze się wiedza przyda - choćby nawet dla samego siebie.
Ja na przykład czasem używam własnych opisów z forum kiedy coś rekonfiguruję - opisałem na forum jak zrobiłem, a teraz mam prawie gotowce i nie muszę się zastanawiać.
Pozdrawiam Smile
Virgin Media Super Hub 3 - Stock firmware - DOCSIS 3.0 modem.
Linksys EA6900 v1.1 - Fresh Tomato 2020.05 AIO - główny router.
Netgear WNDR4500v1 - Fresh Tomato 2020.05 AIO - dodatkowy AP.
Synology DS 509+ - DSM4.2 - jako NAS Smile
 
larry_d
@amikot
Myślę podobnie o VPN. Kilka lat temu próbowałem zestawiać takie połączenia na tomato ale raczej w celach edukacyjnych. Dokładnie z takiego samego powodu zaprzestałem badań.... tzn niemożność (jak mi się wtedy wydawałoi wciąż wydaje) przekierowania ruchu na określony port i interfejs.
Skończyło się to na tym że włączałem i wyłączałem VPN kiedy mi zależało na lokalnym IP.
Potem się zniechęciłem.....)))

Swoją drogą czy taka rura w sposób istotny (widoczny) nie spowalnia ruchu ? pz
 
amikot
Przed chwilą w celach właśnie edukacyjnych zainstalowałem ServerVPN na VMie z OVH i udało mi się skonfigurować klienta pod windowsem aby przekierować ruch przez VPN - mam teraz IP z Francji.

Udało mi się również uzyskać połączenie klienta VPN w Tomato - niestety nawet włączenie opcji przekierowania całego ruchu nie powoduje realnego przekierowania ruchu. Nadal wchodząc na strony mam IP od mojego lokalnego dostawcy. Tak więc trochę lipa.
Może spróbuję restartować router...

Połączony z 10 lipca 2020 13:04:05:
Niestety restart routera nie pomógł - VPN się podnosi, ale cały ruch nadal nadal idzie poza VPN - mimo że opcja przekierowania całego ruchu jest zaznaczona.
Edytowane przez amikot dnia 10-07-2020 13:04
Virgin Media Super Hub 3 - Stock firmware - DOCSIS 3.0 modem.
Linksys EA6900 v1.1 - Fresh Tomato 2020.05 AIO - główny router.
Netgear WNDR4500v1 - Fresh Tomato 2020.05 AIO - dodatkowy AP.
Synology DS 509+ - DSM4.2 - jako NAS Smile
 
pedro
Coś źle robisz, bo działa bezproblemowo (sam używam, również z routing policy).
Huawei E3372s-153 non-hilink + 2x15dBi MIMO

Asus RT-AC3200 + freshtomato-RT-AC3200-ARM-2020.x.xxx-beta-AIO-128K
Asus RT-N18U + freshtomato-RT-N18U-ARM-2020.x.xxx-beta-AIO-64K-NOSMP
Asus RT-N66U + freshtomato-RT-N66U_RT-AC6x-2020.x.xxx-beta-AIO-64K
Linksys WRT54G v3.1 + freshtomato-K26_RT-MIPSR1-2020.x.xxx-beta-MiniVPN
[Repozytoria FreshTomato] ---- [Obrazy FreshTomato ARM i MIPS] ---- [Dotacje - zmotywuj do dalszej pracy nad FreshTomato]
 
amikot
No ale co?
Udało mi się nawet odpalić klienta na starym Synology z DSM4.2 - gdzie musiałem zrobić konfigurację od kuchni, bo w GUI nie było opcji wklejenia klucza klienta. Transmission odpalony na NASie działa na VPNie, a jak odpalam na VPN na Tomato to się niby łączy ale ruch idzie dalej bokiem.

Mam podejżenie że może moje ustawienia blokowania ruchu sieciowego tu grają rolę - znaczy mam ten skrypt dodający regóły do iptables żeby zablokować ruch przychodzący z większości krajów. Poza tym to wszystko mam raczej standardowo + optware na USB.

Połączony z 10 lipca 2020 17:54:23:
Kolejne spostrzeżenie to zasobożerność.
Mój NAS bazuje na jednordzeniowym PPC 1GHz. VPN+Torrent obciąża go tylko w 40% (w monitorze systemu widać że równo po 20% - openvpn i transmission). Mimo tego maksymalna osiągalna prędkość pobierania to jedynie 1.5MB/s czyli 12MBit. Jak na łącze 200 MBit to słabiutko. Serwer na którym uruchamiam usługę z tego co pamiętam ma łącze symetryczne 100Mbitów i jakiegoś tam 2 rdzeniowego x86 (trudno określić co to za rdzenie na VMS i openVPN jest właściwie niezauważalny - nie sądzę aby więc serwer był tu słabym ogniwem.
Ciekawy jestem jakie prędkości mógłbym osiągnąć na routerze który ma 2 rdzenie ARM 800Mhz. Inna sprawa że transmission by został na NASie.

Połączony z 10 lipca 2020 18:09:00:
PS. Oczyiście chodziło mi o VPS nie o VMS :D

Połączony z 10 lipca 2020 21:01:33:
Po wyłączeniu skryptu do blokowania wg geoip wydaje się że router się przełączył na VPN bo ... przestał działać internet.
Jak wszedłem do statsów to niestety dziwnie, bo dane po UDP/TCP śmigają w obie strony. Auth data również jakieś przepływają.
Jednak dane TUN/TAP cały czas stoją na zero.

Zauważyłem też dziwny wpis w iptables:
Pobierz kod źródłowy  Kod źródłowy
   0     0 DROP       all  --  tun11  *       0.0.0.0/0            0.0.0.0/0            state NEW




Nie wiem skąd on się bierze.

Połączony z 10 lipca 2020 21:31:39:
Już wiem skąd się to bierze (Firewall ustawiony na auto w OpenVPN) i udało mi się to wyłączyć ale nie pomogło.

Jeśli ktoś by mógł zapodać jakie ma porobione ustawienia, to byłbym wdzięczny (chodzi mi o ustawienia routingu, firewalla itp. - ustawienia klienta VPN mam raczej dobre - bo w końcu wszystko zgodnie z konfiguracją serwera.)

Połączony z 11 lipca 2020 04:18:36:
Dobra, po ciężkich bojach udało mi się uruchomić klienta także i na Tomato.
Cały problem miał dwie przyczyny. Pierwszą okazała się owa regóła blokowania wszystkiego co obce (znaczy geoIP) - dziwne bo z jakiegoś powodu nie przeszkadzała ona klientowi odpalonemu na PC, NAS i drugim routerze. Drugą przyczyną była niedokładna konfiguracja klienta. Czyli w sumie moja wina - aczkolwiek nie do końca.
Uważam bowiem, że GUI Tomato w kwestii VPN jest wyjątkowo przekombinowane.
Serwer generując plik ovpn dla klienta nie wpisuje do niego ustawień domyślnych - bo po co zaśmiecać konfig ustawieniami które są dla serwera domyślne? Tymczasem Tomato ma w GUI prawie wszystkie opcje i wszystkie je wysyła z jakimiś ustawieniami do serwera. Domyślne ustawienia Tomato nie zawsze mogą pasować do ustawień Serwera - tak było w tym wypadku. Ustawienia Default/Auto w kilku przypadkach okazały się błędne. Skoro nie mogłem tych opcji nie ustawiać - musiałem je ustawić zgodnie z domyślnymi wartościami serwera.

Podsumowując - Klient mimo że połączony z serwerem, nie dogadywał się z serwerem co do algorytmów szyfrowania więc router nie przełączał routingu.
Teraz wybrane urządzenia już działają.
Aby działały tylko wybrane porty - należałoby wyłączyć routing policy w ustawieniach VPN zupełnie, a następnie ustawić ręcznie regóły iptables tylko dla konkretnych portów.
Edytowane przez amikot dnia 11-07-2020 04:18
Virgin Media Super Hub 3 - Stock firmware - DOCSIS 3.0 modem.
Linksys EA6900 v1.1 - Fresh Tomato 2020.05 AIO - główny router.
Netgear WNDR4500v1 - Fresh Tomato 2020.05 AIO - dodatkowy AP.
Synology DS 509+ - DSM4.2 - jako NAS Smile
 
Lucjan


Aby działały tylko wybrane porty - należałoby wyłączyć routing policy w ustawieniach VPN zupełnie, a następnie ustawić ręcznie regóły iptables tylko dla konkretnych portów.


Jak to ustawić bo jestem cienias? Routing policy to wiem tylko nie iptables. Zauważyłem że w programie od dostawcy przekierowanie działa ale na Tomato z tych samych serwerów już nie. ewidentnie brakuje jakiejś komendy w konfiguracji tomato. Zobaczę co mi odpowiedzą na suporcie. Z bardzo na nich nie liczę bo jak nie umiałem odpalić
połączenie na tomato to nawet przeglądając logi nie doszli że muszę jeszcze wklepać Static Key.
Też miałem problem z domyślnymi ustawieniami tomato. A jakaś alternatywa co nie uwali routera? Może być nawet z innym routerem?
 
amikot
Szczerze mówiąc to nie wiem. Zresztą po uaktualnieniu tomato do 2020.4 niestety VPN przestał działać.
Z całym szacunkiem dla developerów, ale ustawienia VPN w Tomato naprawdę wymagają przeprojektowania. Wszyscy dostawcy udostępniają konfigurację w plikach .ovpn i najlepiej by było gdyby konfigurowanie polegało na uploadowaniu tego pliku - prosto i bezboleśnie.

Obecnie nawet idąc za poradnikami dostawców - dostajemy najczęściej screeny z jakiegoś starego tomato i do tego cały stos komend do wpisania do pola "Custom Configuration". W efekcie dochodzi do dublowania się opcji. Bo na przykład jeśli dostawca każe mi wkleić "cipher AES-256-CBC" to rozumiem że opcja ta nie może być ustawiana przez gui (bo się zdubluje) - tylko pytanie jak mam ustawić opcję w GUI? czy na Disabled, czy na Default? Czy na co? Kiedy opcja nie zostanie zdublowana?
Normalnie Koszmar.
Ja bym to chętnie sam przerobił to gui, ale nie czuję się na siłach aby ogarnąć cały ten projekt.

W kwestii iptables, to myślę że trzeba szukać pomocy w linuxie jako takim. Wokół Tomato jest skupiona jednak mała tylko społeczność - trochę więcej przy DD-WRT (można tam zacząć szukać). Można też próbować w open-wrt. Ale chyba najlepiej szukać u speców od sieci na duże serwery - oni tam dobrze wiedzą jak to wszystko ustawić Smile

Połączony z 11 lipca 2020 19:26:25:
Znów głupia rzecz się okazała przyczyną problemów, przez przypadek skopiowałem komendę "remote" razem z adresem no i się zrobił kłopot.

Połączony z 12 lipca 2020 00:00:25:
Jeszcze w kwesti udostępniania VPN po jednym (lub więcej) konkretnym sprzętowym gnieździe LAN routera - czyli totalnej izolacji od wewnętrznego LANu, to wydaje mi się że należałoby przestawić VPN z interface TUN na TAP.
Po przestawieniu na TAP router powinien wytworzyć nowy LAN bridge - który można już wtedy w zakładce VLAN przypisać do danego portu sprzętowego.

Połączony z 12 lipca 2020 00:22:48:
Znalazłem link ze screenshotami i opisem jak zrobić VPN na TAPie:
https://www.links...tap.70697/

TAP jest zwykle wykorzystywany do przyłączania mniejszych oddziałów firmy do centrali - wtedy podstawowy LAN routera można ograniczyć do jednego sprzętowego portu który będzie służyć jedynie w celach technicznych/konfiguracyjnych. Pozostałe porty można wtedy przypisać VPNowi.
Moim zdaniem użycie TAP ma sens także w wielu innych przypadkach.
Choćby w celach edukacyjnych Grin
Edytowane przez amikot dnia 12-07-2020 00:22
Virgin Media Super Hub 3 - Stock firmware - DOCSIS 3.0 modem.
Linksys EA6900 v1.1 - Fresh Tomato 2020.05 AIO - główny router.
Netgear WNDR4500v1 - Fresh Tomato 2020.05 AIO - dodatkowy AP.
Synology DS 509+ - DSM4.2 - jako NAS Smile
 
Lucjan
Problem rozwiązany. Za mało wiedzy, za dużo opcji. Mój dostawca VPN oferuje przekierowania tylko na UDP. Ponadto w tomato pojawiła się opcja,,Inbound Firewall'' którą miałem zaznaczoną. I jeszcze, że niektóre ustawienia obowiązują dopiero po restarcie. Założyłem, że wystarczy włączyć zwykłe przekierowanie ale one nie działa z TUN. Pewnie można to jakoś ustawić ale dla mnie za wysokie loty.
Przekierowałem porty przez iptables/forwarding i działa. Dzięki za szczere chęci.
Temat do zamknięcia.
 
Przejdź do forum:
Logowanie
Nazwa użytkownika

Hasło



Nie masz jeszcze konta?
Zarejestruj się

Nie możesz się zalogować?
Poproś o nowe hasło
Aktualnie online
· Gości online: 4

· Użytkowników online: 0

· Łącznie użytkowników: 23,944
· Najnowszy użytkownik: krzychoo75
Shoutbox
Musisz zalogować się, aby móc dodać wiadomość.

pork
06-08-2020 21:46
ok znalazłem na forum, podegrałem starszą wersję

pork
06-08-2020 21:38
Cześć, R4000v2 błąd przy przesiadce OFW na FreshTomato najnowsza wersja - The firmware is not compatiable with your router. Error code -1.

tamtosiamto
31-07-2020 16:25
ano wlasnie wiem, dlatego myslalem o przejsciowce:/ jest jeszcze opcja wykorzystania minipci->sata i podpiac tam ssd, ale tu tez jest problem,, bo nie wiem skad wziac zasilanie:/ jakies dziwne slot

shibby
31-07-2020 09:44
Nie ma. Jeżeli mpcie nie obsługuje trybu storage to nie ruszy ci na nim dysk.

tamtosiamto
30-07-2020 18:40
czy sa przejsciowki, minipci->msata? Mam wolny slot minipcie i dysk msata i chcialbym to jakos ozenic

djwujek
29-07-2020 00:14
Asus RT-N 10U ma usb i już znalazłem działającą wersję Smile

Blacon
28-07-2020 23:12
Asus RT-N10 nie ma usb także masz problem z głosy Wink

djwujek
28-07-2020 02:49
Którą wersje wgrać pod Asusa rt-n10U żeby działał modem hilink Huawei E3372 ?

RaTaJ
27-07-2020 16:56

RaTaJ
27-07-2020 16:18
Czy na Tomato MIPS można włączyć funcje Reapeter? czyli wzmacniacz sygnału WiFi bez łączenia 2 routerów kablem?

man1
27-07-2020 14:26
JIROUS JRC-24 Czy taka antena pozwala na zbudowanie jakiegoś szybkiego mostu ? Lub po prostu może odebranie sygnału wielu sieci wifi z obszaru w który jest skierowana? Czy może trzeba w nią c

PanRatio
26-07-2020 13:26
Czy udało się komuś uruchomić IPv6 na FreshTomato + ONT od Orange (światłowód bez Funboxa)?

Adam Matysek
23-07-2020 13:17
ASUS RT-AC68U-Dostawcy usług VPN (ExpressVPN, NordVPN etc.) oraz support ASUSA, twierdzą że proceor zastosowany procesor jest nie wystarczająco mocny, aby poradzić sobie z przetwarzaniem "w locie

pedro
20-07-2020 00:29
Nie ma, to są reguły iptables dodawane w routerze

bigl
19-07-2020 21:01
Chodzi mi dokładniej o opcję inbound firewall w kliencie, która pojawiła się w Tomato 2019.3. Robiłem lokalnie upgrade klienta z 2019.02 do 2020.02 i przed wyjazdem zapomniałem to wyłączyć.

bigl
19-07-2020 15:59
Czy jest jakaś możliwość wyłączenia fw na kliencie openvpn przez konfigurację serwera? Zrobiłem upgrade Tomato na kliencie do wersji z inbound fw i przez to straciłem łączność.

pedro
17-07-2020 13:17
Zapewne to poprawię jak będę miał czas. Poza tym, dopiero stubby to spamuje logi, jak są problemy z WAN Pfft

42,073,248 unikalne wizyty