05 Marca 2021 08:37:55
Nawigacja
· Strona Główna
· Galeria
· Forum
· Linki

· Tomato by Shibby

· Wiki-OpenWrt
· Wiki-DD-WRT
· Emulatory sprzętu

Darowizna
Ostatnio na forum
Najnowsze tematy
· [MOD] FreshTomato-MI...
· [MOD] FreshTomato-AR...
· RT-N16 dziwne zachow...
· [HOWTO] Blokowanie i...
· VPN przez NORDA dla ...
· Takie tam
· router z mozliwoscia...
· How to...?
· R7000 i dysk 8Tb z Hub
· RT-ac56u
· Pasmo 2.4Ghz
· Dodatkowe DynDNS?
· WR841n - próba zmian...
· Tomato - Kontrola Ro...
· [s] Netgear R6220
· [s] Netgear R6220
· Asus RT-AC56U mod to...
· Wstęp do migracji z ...
· ER4 firewall
· Router do inea 10 Gb/s
Najciekawsze tematy
· [MOD] FreshTomato... [493]
· [MOD] FreshTomato... [295]
· RT-N16 dziwne zac... [13]
· Pasmo 2.4Ghz [13]
· [HOWTO] Blokowani... [8]
· VPN przez NORDA d... [5]
· router z mozliwos... [5]
· R7000 i dysk 8Tb ... [3]
· How to...? [2]
· Takie tam [1]
· RT-ac56u [0]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
38% [144 głosów]

Broadcom ARM
Broadcom ARM
51% [196 głosów]

Atheros
Atheros
5% [21 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
1% [2 głosów]

Intel/AMD/VIA
Intel/AMD/VIA
1% [4 głosów]

Żaden z powyższych
Żaden z powyższych
3% [12 głosów]

Ogółem głosów: 383
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38

Archiwum ankiet
Reklama
Twoje IP
54.236.58.220
Reklama
Zobacz temat
OpenLinksys » :: OPROGRAMOWANIE :: » Tomato - firmware
 Drukuj temat
OpenVPN Tomato - nie działa
radoart
Jade od paru lat na PPTP gdyż nigdy nie udąło mi się uruchomić OpenVPN, teraz p latach znowu spróbowałem bo wiecej pracuje z domu niż wcześniej, i dalej to samo, kompletnie nic się nie zmieniło OpenVPN pod Windowsem sypie błędami że masakra. Zongluje komiplacjami tomato i openvpn pod windows i tylko zmeiniają się errory na inne.
Próbuje generowac certy na tomato potem generuje pliki i przenosze do openvpn na windows, efekt, error, że certyfikat wygasł.
Próbuję generować certy na kliencie windowsowym, nie działa polecenie "build-ca" dostaję komunikat: "openssl is not recognized as an internal or external command, operable program or batch file"
U gościa na filmie oczywiście działa: https://www.youtube.com/watch?v=14-lGVcKBNA&t=739s

Czy jest na forum ktoś komu udąło się to uruchomic i mógłby pomóc?
 
pedro
Radzę zmienić temat wątku na coś podobnego do "Nie potrafię uruchomić OpenVPN pod tomato".

Bo w tej chwili sugeruje on, że jest coś skopane we FreshTomato (mogę się tylko domyślać w jakiej wersji, bo po co napisać...), a nie jest, o czym świadczą setki osób używających w/w. w tym ja.
Huawei E3372s-153 non-hilink + 2x15dBi MIMO

Asus RT-AC3200 + freshtomato AIO-128K
Asus RT-N18U + freshtomato AIO-64K-NOSMP
Asus RT-N66U + freshtomato AIO-64K
Linksys WRT54G v3.1 + freshtomato-K26_RT-MIPSR1 MiniVPN
[Repozytoria FreshTomato] ---- [Obrazy FreshTomato ARM i MIPS] ---- [Dotacje - zmotywuj do dalszej pracy nad FreshTomato]
 
rako28
Ja przy tworzeniu certyfikatów podpieralem się tym tutorialem.
Udało się działa w trybie tap,nawet telefon idzie podłączyć jako klienta.Na kompie też działa ok.Nie pamiętam teraz jaka wersję tomato mam teraz chyba FreshTomato Firmware 2019.3.220 -beta K26ARM USB AIO-64K.
[Netgear WNR3500L v2 Tomato Firmware 1.28.0000 MIPSR2-137 K26 USB AIO
Netgear R8000 FreshTomato Firmware 2019.3.220 -beta K26ARM USB AIO-64K
 
radoart
Chętnie bym zmienił temat ale nie wiem jak.
Obecna wersja tomato to: 2020.7 MIPSR2 K26AC USB AIO-64K
WinOpenVPN to 2.5.0.
Pytanie podstawowe to czy w obecnych najnowszysch wersjach oprogramowania certy generuje sie w tomato czy na windowsie?
 
gorus1
Od blisko 10 lat mam na kilku routerach z tomato ustawione klienty opevpn i wszystko działa jak należy.
Poniżej przykładowy config dla klienta
Pobierz kod źródłowy  Kod źródłowy
client
remote          IP.ADRE.SS 1194
dev             tun
proto           udp
status          current_status
resolv-retry    infinite
ns-cert-type    server
topology        subnet
verb            3

cipher          AES-256-CBC


ca              ca.crt
cert            client1.crt
key             client1.key
tls-auth        ta.key 1

nobind
persist-key
persist-tun
comp-lzo




a serwer openvpn działa na ubuntu serwer 18.04
podobnie jak tu https://www.digitalocean.com/community/tutorials/how-to-set-up-an-openvpn-server-on-ubuntu-18-04
natomiast jego config wygląda tak
Pobierz kod źródłowy  Kod źródłowy
mode                  server
local            ip.se.rwera
port                  1194
proto                 udp
tls-server
ifconfig              10.8.0.1 255.255.255.0
topology              subnet
client-config-dir     /etc/openvpn/ccd
client-to-client




cipher                AES-256-CBC


dev                   tun
keepalive             25 180
status                /var/run/openvpn_status
verb                  3


dh                    /etc/openvpn/dh1024.pem
ca                    /etc/openvpn/ca.crt
cert                  /etc/openvpn/server.crt
key                   /etc/openvpn/server.key
tls-auth              /etc/openvpn/ta.key 0

persist-key
persist-tun
comp-lzo

push "topology subnet"
push "route-gateway 10.8.0.1"


route 192.168.2.0 255.255.255.0 10.8.0.2
route 192.168.3.0 255.255.255.0 10.8.0.3
route 192.168.4.0 255.255.255.0 10.8.0.4



gdyby taki config udało Ci się wyklikać w tomato to nie może nie działać.
Jeszcze jedno - jak widać w configu serwera - wszystkie ustawienia dla klientów takie jak ip, routing itp. są pobierane z serwera z katalogu /openvpn/ccd
Prykładowy config wygląda następująco
Pobierz kod źródłowy  Kod źródłowy
ifconfig-push 10.8.0.2 255.255.255.0
iroute 192.168.2 255.255.255.0
push "route 192.168.3.0 255.255.255.0 10.8.0.1"
push "route 192.168.4.0 255.255.255.0 10.8.0.1"



jak to ustawisz to nie ma wała, aby nie działało (oczywiście jeżeli firewall jest odpowiednio skonfigurowany).
 
amikot
Certy możesz sobie generować gdzie chcesz - ważne żeby odpowiednie certy wkleić w odpowiednie miejsca w ustawieniach.
Virgin Media Super Hub 3 - Stock firmware - DOCSIS 3.0 modem.
Linksys EA6900 v1.1 - Fresh Tomato 2021.01 AIO - główny router.
Linksys RE6500 - stock FW v1.0.012 - range extender.
Xpenology HP Microserver N54L - Baremetal yun loader 1.03b + DSM6.2.3
 
gorus1
No właśnie z tym miewałem nie raz problemy - czy mógłbyś napisać które certy gdzie przekopiować, aby móc wygenerować certy dla kolejnych klientów z zachowaniem certyfikatu serwera?
 
Gomi
@radoart próbowałeś z mojego starego tematu - https://openlinksys.info/forum/viewthread.php?thread_id=20423 ?
Powinno działać, mimo że pisałem to kilka lat temu.
 
tombono
Posiadam router rt-n16 z freshtomato 2020.6
Zauważyłem, że jak np. mam brak prądu to open VPN serwer nie startuje automatycznie - muszę zalogować się do routera i nacisnąć przycisk start now.
Zaznaczam, że jak nacisnę przycisk start now to zawsze jeszcze klikam save - ale po kolejnym braku prądu mam ten sam problem.
Czy jest jakieś inne rozwiązanie lub jakiś skrypt który by to sprawdzał i w razie W uruchamiał?

Z góry dziękuję za pomoc.
 
amikot
Tombono: możesz sobie ustawić watchdoga sprawdzającego co jakiś czas w harmonogramie czy VPN działa, albo komendę startującą w skryptach (WAN UP).
W obu przypadkach powinno działać:

Pobierz kod źródłowy  Kod źródłowy
if ! /bin/ps w | grep vpnclient1 | grep -v -e "grep"; then
    service vpnclient1 restart
fi





Gorus1: No coś tu chyba albo ja nie rozumiem albo ty nie rozumiesz.
Przecież zestaw certyfikatów jest jeden dla każdego serwera. Wszyscy klienci danego serwera mają te same certyfikaty - Jeśli chcesz kontrolować dostęp dla użytkowników to do tego masz opcję loginu i hasła.
Jak już masz serwer ustawiony, to masz tam przycisk generowania konfigu dla klienta.
Virgin Media Super Hub 3 - Stock firmware - DOCSIS 3.0 modem.
Linksys EA6900 v1.1 - Fresh Tomato 2021.01 AIO - główny router.
Linksys RE6500 - stock FW v1.0.012 - range extender.
Xpenology HP Microserver N54L - Baremetal yun loader 1.03b + DSM6.2.3
 
pedro
tombono napisał(a):

Posiadam router rt-n16 z freshtomato 2020.6
Zauważyłem, że jak np. mam brak prądu to open VPN serwer nie startuje automatycznie - muszę zalogować się do routera i nacisnąć przycisk start now.
Zaznaczam, że jak nacisnę przycisk start now to zawsze jeszcze klikam save - ale po kolejnym braku prądu mam ten sam problem.
Czy jest jakieś inne rozwiązanie lub jakiś skrypt który by to sprawdzał i w razie W uruchamiał?

Z góry dziękuję za pomoc.

Zaklikać "Start with WAN"
Huawei E3372s-153 non-hilink + 2x15dBi MIMO

Asus RT-AC3200 + freshtomato AIO-128K
Asus RT-N18U + freshtomato AIO-64K-NOSMP
Asus RT-N66U + freshtomato AIO-64K
Linksys WRT54G v3.1 + freshtomato-K26_RT-MIPSR1 MiniVPN
[Repozytoria FreshTomato] ---- [Obrazy FreshTomato ARM i MIPS] ---- [Dotacje - zmotywuj do dalszej pracy nad FreshTomato]
 
tombono
@pedro i @amikot

Dzięki Panowie za pomoc - wszystko działa jak należy

Pozdrawiam
 
gorus1
amikot:
chodziło mi o to, aby móc generować certyfikaty dla kolejnych klientów openvpn w różnych miejscach (urządzeniach) bez wpływu na dotychczasowe ustawienia.
Aby to zrobić to chyba muszę przenieść certyfikaty serwera openvpn (ewentualnie ustawienia openssl), ale co i gdzie przenieść tego nie wiem, a załóżmy, że chciałbym od teraz generować certyfikaty na windows.
 
amikot
Jak odpalałem serwer OVPN na ubuntu to nie miałem takich problemów. Na tomato nie próbowałem ale wydaje mi się, że webUI tomato nie pozwala skonfigurować serwera aby korzystał z kluczy klientów.
Wygląda na to, że serwer postawiony na tomato pozwala jedynie na logowanie jedynie z certyfikatem serwera i ewentualnie za pomocą loginu/hasła (które można ustawić w zakładce Advanced po zaptaszkowaniu odpowiedniej opcji).
Klient OVPN w tomato oczywiście ma opcję użycia klucza, ale to jest inna bajka.
Przypuszczam, ze gdyby konfigurować serwer z linii poleceń to możnaby też jakoś ominąć ograniczenia WebUI - no chyba że problemem jest pojemność NVRAM (zestaw certyfikatów samego serwera zajmuje pokaźną część NVRAM, a co dopiero certyfikaty klientów których może być przecież więcej).
Możliwe, że problem można ominąć za pomocą wersji OpenVPN z entware - ten ustawienia zapisuje zapewne na dysku /opt/ czyli może być na jakimś pendrive.
Zawsze opcją jest jakiś mikroPC z linuxem który by to ogarnął a router zostawić temu co robi najlepiej Smile.
Virgin Media Super Hub 3 - Stock firmware - DOCSIS 3.0 modem.
Linksys EA6900 v1.1 - Fresh Tomato 2021.01 AIO - główny router.
Linksys RE6500 - stock FW v1.0.012 - range extender.
Xpenology HP Microserver N54L - Baremetal yun loader 1.03b + DSM6.2.3
 
gorus1
Całkowicie nie o to mi chodziło.
Załóżmy, że przenoszę serwer openvpn na inną maszynę (np. inny vps także z ubuntu server 18.04).
Samo przeniesienie openvpn jest dość proste i nie jest wymagana żadna filozowia.
Problem pojawia się wtedy, kiedy chcę na na nowym serwerze wygenerować certyfikaty dla nowego klienta przy zachowaniu dotychczasowych certyfikatów openvpn serwera i pozostałych klientów.
Aby to zrobić to na pewno muszę przenieść certyfikaty serwera, ale do jakiego katalogu tego nie wiem, tak samo nie wiem czy przypadkiem nie trzeba przenieść ustawień openssl i liczyłem na podpowiedź w tym zakresie.
 
khain
Zainstaluj openssl i easy-rsa
Skopiuj ca.crt do /etc/easy-rsa/pki
Skopiuj ca.key do /etc/easy-rsa/pki/private
Sprawdź czy wszystkie ścieżki w pliku /etc/easy-rsa/openssl.cnf się zgadzają.
Utwórz wymagane katalogi
Skopiuj pliki index.txt i serial do /etc/easy-rsa/pki/keys/
Jeśli ich nie masz to wykonaj:
Pobierz kod źródłowy  Kod źródłowy
touch /etc/easy-rsa/pki/keys/index.txt
echo 00 > /etc/easy-rsa/pki/keys/serial




Wykonaj poniższe polecenia jeśli chcesz wygenerować certy dla nowego użytkownika
Pobierz kod źródłowy  Kod źródłowy
cd /etc/easy-rsa/
openssl req -nodes -config openssl.cnf -newkey rsa:2048 -days 3650 -keyout userkey.pem -out usercert.req

openssl ca -config openssl.cnf -out usercert.pem -keyfile ./pki/private/cakey.pem -infiles usercert.req



Jeśli krzyczy błędami to znaczy, że pliki są w nieodpowiednich katalogach albo nie ma tych katalogów.
 
gorus1
Duże dzięki khain - właśnie o to mi chodziło.
Pozdr
 
qwerty321
radoart napisał(a):

Pytanie podstawowe to czy w obecnych najnowszysch wersjach oprogramowania certy generuje sie w tomato czy na windowsie?


W nowym OpenVPN pod windows uprościli teraz generowanie kluczy. Masz tam EasyRSA shell EasyRSA-Start.bat specjalnie do generowania kluczy. Tam jest readme, to bardzo proste narzędzie. Na pewno ma lepszy generator liczb losowych.
 
Przejdź do forum:
Logowanie
Nazwa użytkownika

Hasło



Nie masz jeszcze konta?
Zarejestruj się

Nie możesz się zalogować?
Poproś o nowe hasło
Aktualnie online
· Gości online: 7

· Użytkowników online: 0

· Łącznie użytkowników: 24,034
· Najnowszy użytkownik: leszekd51
Shoutbox
Musisz zalogować się, aby móc dodać wiadomość.

pedro
26-02-2021 19:07
Wujek gugiel ci (prawie) prawdę powie Wink

p4v3u
25-02-2021 12:25
Wam też Vectra nie działa od 12? Warszawa

tamtosiamto
16-02-2021 15:12
asus cos namieszal, bo widze, ze chyba kazdy soft pod nowsze boxy ma bete z poprawkami z poczatku lutego

Adooni
15-02-2021 20:57
ale wylamal sie jezyk od RJ45 i podlaczylem pod 5E du.. ekranowany i byl problem

Adooni
15-02-2021 20:55
ok rozwiazalem problem pierdzenia, przeod od zasilacza szedl za blisko przewodow sieciowych a wczesneij mialem klasy 6A i bylo OK

Adooni
15-02-2021 20:30
u mnie tez np router przy obciazeniu szczegolnei po zmianie softu pierdzial jak dysk nie moglem dojsc co to

Adooni
15-02-2021 16:25
a moze to to zasilacz?

Obserwator
14-02-2021 13:37
Wyłączone mam Wi Fi w nim. Odpiecie modemu nie daje rezultatu. Wylko wyłączenie z prądu przyciskiem daje efekt tzn znikaja zakłócenia.

Adooni
14-02-2021 07:01
a zmieniales kanal nadawania wi-fi?

Obserwator
13-02-2021 21:26
Jaka tania alternatywa dla Asus RT-N10U? Cos z USB tez. Cos taniego. Mam internet mobilny. Asus mi zakłócenia na dekoder DVBT robi spore.

tamtosiamto
11-02-2021 20:17
czy komus z aimesh asus rozlaczyl sie node po grzebaniu w qos i traffic analyzer? Tam grzebalem i po grzebaniu widze, ze node rozlaczony

pedro
07-02-2021 15:41
Jest odpowiedni dział

podtor
07-02-2021 12:30
Czy w Shoutboxie można spamować ofertami sprzedaży czy tylko ogłoszenia można zamieszać w giełdzie forum? Mam na sprzedaż 3 routery.

shibby
01-02-2021 13:49
sam cert się odnowił ale nie rozumiem czemu reload apache mu nie wystarczył... konieczy był restart apache...

aviko
28-01-2021 03:05
NET::ERR_CERT_DATE
_INVALID

salawalas
27-01-2021 18:08
Ok. Widzę,że wrzuciłeś 2.84rc2 do repo. Gratki Pfft

pedro
27-01-2021 17:50
Zawsze możesz sobie skompilować obraz z aktualnego repo Pfft

43,658,404 unikalne wizyty