01 Marca 2021 11:24:05
Nawigacja
· Strona Główna
· Galeria
· Forum
· Linki

· Tomato by Shibby

· Wiki-OpenWrt
· Wiki-DD-WRT
· Emulatory sprzętu

Darowizna
Ostatnio na forum
Najnowsze tematy
· router z mozliwoscia...
· VPN przez NORDA dla ...
· How to...?
· R7000 i dysk 8Tb z Hub
· [MOD] FreshTomato-AR...
· RT-ac56u
· Pasmo 2.4Ghz
· Dodatkowe DynDNS?
· WR841n - próba zmian...
· Tomato - Kontrola Ro...
· [s] Netgear R6220
· [s] Netgear R6220
· Asus RT-AC56U mod to...
· [HOWTO] Blokowanie i...
· Wstęp do migracji z ...
· ER4 firewall
· Router do inea 10 Gb/s
· [MOD] FreshTomato-MI...
· [S] Router Linksys E...
· Co kupić? Mieszkanie...
Najciekawsze tematy
· [MOD] FreshTomato... [490]
· [MOD] FreshTomato... [294]
· Asus RT-AC56U mod... [64]
· Router do inea 10... [26]
· WR841n - próba zm... [19]
· Wstęp do migracji... [15]
· Pasmo 2.4Ghz [13]
· Dodatkowe DynDNS? [10]
· [HOWTO] Blokowani... [7]
· ER4 firewall [6]
· router z mozliwos... [5]
· R7000 i dysk 8Tb ... [3]
· Tomato - Kontrola... [3]
· How to...? [2]
· Co kupić? Mieszka... [1]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
38% [144 głosów]

Broadcom ARM
Broadcom ARM
51% [196 głosów]

Atheros
Atheros
5% [21 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
1% [2 głosów]

Intel/AMD/VIA
Intel/AMD/VIA
1% [4 głosów]

Żaden z powyższych
Żaden z powyższych
3% [12 głosów]

Ogółem głosów: 383
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38

Archiwum ankiet
Reklama
Twoje IP
3.235.11.178
Reklama
Zobacz temat
 Drukuj temat
[HOWTO] OpenVPN server pod Multiroom NC+
shibby
Temat konfiguracji multiroomu na Tomato jest dobrze znany a sam temat wciąż chętnie czytany, dlatego też serię poradników postanowiłem rozpocząć od niego.

Założenia

- mamy wstępnie skonfigurowany EdgeRouter (prześliśmy przez Wizard, router ma internet)
- EdgeRouter będzie robił za serwer i to do niego podepnie się klient (np z Tomato)
- EdgeRouter ma publiczny IP (bo inaczej nie mógłby być serwerem)


Przygotowanie bridge i wstępna konfigruracja

Konfigurację przeprowadzę na ER-12. Dla przypomnienia porty eth0-eth7 spięte są domyślnie w switch0, natomiast ostatnie 2 porty LAN i SFP są niezależne. Dlatego też w poniższej instrukcji użyję portu eth8. Dla sprzętów, które mają wszystkie porty eth spięte w switch0 (np ER-X, ER-X-SFP) musimy najpierw wypiąć jeden port ze switcha.

W Dashboard przy switch0 klikamy w Action -> Config, przechodzimy na zakładkę VLAN i odznaczamy jeden z portów - do tego portu podepniemy dekoder "matkę".

openlinksys.info/images/er-multiroom/1.png

Następnie przechodzimy do "Config Tree" -> Interfaces -> bridge, dodajemy br0 i klikamy w "Update List", rozwijamy br0, nadajemy adresację IP dla multiroomu (address), możemy nadać też nazwę (description). Po wszystkim likamy w "Preview" i zapisujemy zmiany.

openlinksys.info/images/er-multiroom/2.png

Następnie w Config Tree przechodzimy do Interfaces -> <wybrany przez nas port> -> bridge-group i w polu bridge wpisujemy br0

openlinksys.info/images/er-multiroom/3.png

Jeżeli chcemy dla dekoderów postawić serwer DHCP to robimy to w Services -> DHCP Server -> Add DHCP Server. Ja uznałem to za zbędne przy dwóch dekoderach i ustawiłem na nich adresację z palca. To co musimy natomiast zrobić to dodać "br0" do interfejsów DNS, by dekoder mógł korzystać z internetu. W tym celu udajemy się do Services -> DNS, klikamy w "Add Listen Interfaces" i wybieramy "br0" i zapisujemy zmiany.

Server OpenVPN

OpenVPN nie wyklikamy z GUI, trzeba to robić z konsoli lub z poziomu "Config Tree". W tutorialach postaram się używał "łatwiejszej" opcji. Czasami jednak i tak będziemy zmuszeni skorzystać z konsoli. Tak też będzie w tym przypadku.

Po zalogowaniu się do SSH routera wydajemy kolejno komendy:
mkdir /config/vtun0
openvpn --genkey --secret static.key


W ten sposób wygenerowaliśmy klucz współdzielony i zapisaliśmy go w /config/vtun0/static.key

W Config Tree przechodzimy do Interfaces -> openvpn -> wpisujemy vtun0 -> Update List, rozwijamy vtun0 i uzupełniamy następujące pola:
- description - nazwa własna
- device-type - tap
- local-port - 1194 (to port domyślny, możemy wpisać dowolny)
- mode - site-to-site
- openvpn-option - --comp-lzo
- protocol - tcp-passive
- shared-secret-key-file - /config/vtun0/static.key

Preview i Save

Następnie wchodzimy w bridge-group i wpisujemy br0.

Całość mniej więcej powinna wyglądać następująco:

openlinksys.info/images/er-multiroom/4.png


Otwarcie portu openVPN na świat

Przechodzimy do Firewall/NAT -> Firewall Polices. Domyślnie ujrzymy tu 2 polityki. Interesuje nas WAN_LOCAL czyli polityka dotycząca lokalnych usług postawionych na routerze. Wybieramy Action -> Edit Ruleset a następnie Add New Rule
- Description - dowolna nazwa
- Enable - zaznaczamy
- Action - Accept
- Protocol - TCP
- zakładka Destionation -> Port - 1194

zapisujemy zmiany. Następnie łapiemy za nową regułę i przeciągamy ją tak by była między regułą "Allow established/related" a "Drop invalid state". Ostatni krok to kliknięcie w "Save Rule Order".

Wierzcie już nie ale to koniec Smile Jeżeli wszystko zrobiliśmy dobrze to klient openVPN powinien widzieć dekoder matkę.

Pozdrawiam
Router: Ubiquiti EdgeRouter ER-12 (FTTH + LTE/failover, OpenVPN, DPI, VLAN) - łącze 1000/1000mbps
Switch: Ubiquiti US-8-150W
Wi-Fi: Ubiquiti UAP-AC-Pro + UAP-AC-Lite
NAS: Xpenology DS918+ (i5-6200u, 8GB ram, 3x 4TB/RAID5, SSD cache, Unifi, Pi Hole/DNS Server, Home Assistant, NextCloud+onlyOffice)
UPS: Eaton Ellipse Eco 650
 
hermes-80
Ja to akurat mam skonfigurowane na certyfikatach Wink - Też się zastanawiałem nad uwiecznieniem tego gdzieś by potem skleroza pracy nie dodała.
Można również stworzyć ciekawy system detekcji problemów z MR - tak wykryłem uszkodzony matkę dekoder, który w trybie czuwania przestawał serwować usługę MR (poprzez protokół ARP, który jak wiemy dostawca nie jest w stanie zablokować jak to robi chociażby z protokołem ICMP by nam utrudnić diagnozę połączeń).
Narzędzie to na Tomato arping i skrypt logwatch (chociaż ja instalowałem samego klienta smtp) jak i paczki które można doinstalować do wersji EDGE z większa ilością pamięci.
Tomato nadal jest niezastąpione jako friendly User chociażby do MR .
Teraz prawdopodobnie polsat wprowadził podobna politykę.

Połączony z 03 stycznia 2021 00:09:29:
To co znacząco odróżnia Tomato od EDGE - żaden EDGE nie ma wbudowanego WIFI - to trzeba mieć na uwadze kupując te routery.
Edytowane przez hermes-80 dnia 03-01-2021 00:09
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
 
Adooni
bardzo czesto router montujemy tam gdzie doprowadza nam "kabel" od operatora albo w piwnicy domku wiec i tak trzeba czesto kobinowac z AP a przy Ubiquiti mozna AP wyprowadzic gdzie nam pasuje

w ofercie sa 2 ciekawe urzadzenie od nich ktore maja wi-fi Smile
https://eu.store....am-machine
https://eu.store....ts/udm-pro
UPC 300/20 Mb/s + Connect Box(bridge)
Asus RT-AC68U (RT-AC56U CFEmod) @1200/800 (CFE 1.0.2.0) | AsusWRT-Merlin RT-AC68U_386.1_0 +amtm
HPE MicroServer gen8: Xeon E3-1265Lv2, 16GB (2x KTH-PL316E/8G), 4x4TB WD RED, SSD, SD grub | PROXMOX 5.2.1 | OMV 4.1.3-1
----------------------------------------------------------------------------------------------------------------------------------
Asus RT-AC56U @1200/800 (CFE 1.0.2.7) | Freshtomato-RT-AC56U-ARM_NG-2020.8-AIO-64K
Asus WL-500W | FreshTomato-K26USB_RT-MIPSR1-2020.5-VPN + Huawei E3372s-153 non-hilink + PLAY LTE
Asus RT-N12 | FreshTomato-RT-N12-K26-MIPSR2-2018.5-MiniIPv6
Asus RT-N16 | Tomato-K26USB-1.28.RT-MIPSR2-132-AIO + Huawei E3372s-153 non-hilink + PLAY LTE
 
shibby
Też się zastanawiałem nad uwiecznieniem tego gdzieś by potem skleroza pracy nie dodała.


to jest jeden z głównych powodów pisania tych artykułów. Wiem ile czasu zajęło mi skonfigurowanie multiroomu po raz pierwszy. Wiedza nigdzie nie opisana (spięcie portu ETH i oVPN TAP w jeden bridge).

Pisałem nawet w tym celu na oficjalnym forum UI i temat pozostał bez echa Grin A rozwiązanie okazało się banalne: wskazywałem plik config.ovpn i nie wiedzieć czemu wtedy bridge nie chce wpiąć tapa. Zmieniłem koncepcję i ustawiłem wszystkie parametry w konfigu i ruszyło od strzała.

Ja to akurat mam skonfigurowane na certyfikatach


Też działasz na ER czy masz to na Tomato?

w ofercie sa 2 ciekawe urzadzenie od nich ktore maja wi-fi


@Adooni - DM faktycznie ma (swoją drogą całkiem fajne bo można go parować z kolejnymi APkami od Unifi) ale UDM-Pro nie ma WiFi. Na jedynie wbudowany kontroler Unifi.
Router: Ubiquiti EdgeRouter ER-12 (FTTH + LTE/failover, OpenVPN, DPI, VLAN) - łącze 1000/1000mbps
Switch: Ubiquiti US-8-150W
Wi-Fi: Ubiquiti UAP-AC-Pro + UAP-AC-Lite
NAS: Xpenology DS918+ (i5-6200u, 8GB ram, 3x 4TB/RAID5, SSD cache, Unifi, Pi Hole/DNS Server, Home Assistant, NextCloud+onlyOffice)
UPS: Eaton Ellipse Eco 650
 
hermes-80
Dokładnie tak jak ty też przegrzebałem, jak to niektórzy określają "cały internet" i trochę czasu zeszło zanim jakiekolwiek postępy zrobiłem, ale ja jako leniwy i w meandrach konsoli za głęboko nie chciałem się zagłębiać wiedząc, że to samo mogę przez config tree zrobić to zaatakowałem od tej strony.

EDGERouter X SFP 2.0.8

Obecnie konfig mam taki.
WAN - PPPoE
LAN - dwie podsieci
Eth0 - MR Na switchu rozszyte po gniazdkach za pomocą basic vlan
Eth 1,2,3 - sieć domowa

Na switchu rozszyte po gniazdkach za pomocą basic vlan obie podsieci.

Server OVPN tap (certyfikaty) na EDGERouter X SFP - (SFP nie używany, wyłączony) - podłączonych 2 klientów
Clienci na Tomato - standardowy config (MR, Sieć domowa - dwa vlany)

Dodatkowy tunel - Tomato OVPN tun (certyfikaty)- klient ER OVPN tun podłączony do Eth1,2,3 (zarządzanie siecią domową ER)

Dodatkowo testowałem wcześniej:
Tomato Serwer OVPN tap - klient ER OVPN tap
Tomato Serwer OVPN tun - Klient ER OVPN tun

Wszystko działało

Obecnie działający skrypt sprawdzający co 15 min zawieszenie się serwera matki i po 30 minutach braku odpowiedzi wysyła maila, że wystąpił jakiś problem.
poprzez arping
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
 
shibby
a coś jeszcze ciekawego masz zrobionego? Bo ja jeszcze kilka pomysłów na tutoriale mam Wink
Router: Ubiquiti EdgeRouter ER-12 (FTTH + LTE/failover, OpenVPN, DPI, VLAN) - łącze 1000/1000mbps
Switch: Ubiquiti US-8-150W
Wi-Fi: Ubiquiti UAP-AC-Pro + UAP-AC-Lite
NAS: Xpenology DS918+ (i5-6200u, 8GB ram, 3x 4TB/RAID5, SSD cache, Unifi, Pi Hole/DNS Server, Home Assistant, NextCloud+onlyOffice)
UPS: Eaton Ellipse Eco 650
 
hermes-80
Priorytetem było ustawienie MR: Tomato + ER oraz rozdział sieci MR od domowej.
Sprzęt nie mój więc ograniczyłem się do tego.
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
 
shibby
Posiadasz może jeszcze dostęp do niego, żeby dodać do tego tutorial konfigurację z certyfikatami?
Router: Ubiquiti EdgeRouter ER-12 (FTTH + LTE/failover, OpenVPN, DPI, VLAN) - łącze 1000/1000mbps
Switch: Ubiquiti US-8-150W
Wi-Fi: Ubiquiti UAP-AC-Pro + UAP-AC-Lite
NAS: Xpenology DS918+ (i5-6200u, 8GB ram, 3x 4TB/RAID5, SSD cache, Unifi, Pi Hole/DNS Server, Home Assistant, NextCloud+onlyOffice)
UPS: Eaton Ellipse Eco 650
 
hermes-80
Tak jasne dodam Wink.

Połączony z 04 stycznia 2021 11:17:46:
Tunel OpenVPN Tap UDP
EDGERouter X SFP v2.0.8.5247496.191120.1124 OpenVPN TAP - Server
WNR 3500L v1 Tomato Firmware 1.28.0000 MIPSR2-140 K26 USB miniVPN - Client


Opis podstawowej konfiguracji serwera OpenVPN nie rózni sie niczym od opisanej przez shibby-ego procedury.

1. Po włączeniu routera ustawiamy wybrany przez siecie preset z wizarda. https://openlinksys.info/forum/viewthread.php?thread_id=22452

konfig ustawiany w config tree

2. Odpinamy jeden port ze switcha (w moim przypadku eth1). - Remove
interfaces / switch / switch0 / switch-port / interface : Interfaces on switch
interface
eth2
eth3
eth4
Update List/Preview


3. Tworzymy bridge br0 - Add
interfaces / bridge : Bridge interface name
bridge br0
Update List

Konfigurujemy go:
interfaces / bridge / br0
address 192.168.2.100/24 (nadajemu mu IP z podsieci jaką ustalimy sobie dla MR indywidualny dla tego interfejsu)
aging 300
bridged-conntrack disable
description Local 2 (nadajemy sobie nazwe dla tego interfejsu - dowolna)
forwarding-delay ---
hello-time 2
max-age 20
multicast ----
priority 32768
promiscuousdisable
redirect ----
stp false
Preview

4. Podpinamy wypiety port pod stworzony br0
interfaces / ethernet / eth1 / bridge-group : Add this interface to a bridge group
bridge br0
cost ----
priority ----
Preview

5. Tworzymy nowy interfejs openvpn vtun0. - Add
interfaces / openvpn : OpenVPN tunnel interface name
openvpn vtun0
Update List

Konfigurujemy go:
interfaces / openvpn / vtun0
config-file ----
description OpenVPNS_TAP_to_Local2 (nadajemy sobie nazwe dla tego interfejsu - dowolna)
device-type tap
encryption aes128
hash ----
local-host ----
local-port 1194 (port nasłuch Serwera - nalezy otworzyc go w firewallu)
mode server
openvpn-option --keepalive 15 60
protocol udp
redirect ----
remote-address ----
remote-host ----
remote-port ----
shared-secret-key-file ----

Wpinamy interfejs w nasz utworzony bridge br0
interfaces / openvpn / vtun0 / bridge-group : Interface to be added to a bridge group
bridge br0
cost ----
priority ----

Informujemy w jakięj podsieci będzie działał
interfaces / openvpn / vtun0 / server : Server-mode options
domain-name ----
max-connections ----
name-server ----
push-route ----
subnet 192.168.2.0/24
topology ----

Dodajemy certyfikaty
interfaces / openvpn / vtun0 / tls : Transport Layer Security (TLS) options
ca-cert-file /config/auth/Server/ca.crt
cert-file /config/auth/Server/server.crt
crl-file ----
dh-file /config/auth/Server/dh1024.pem
key-file /config/auth/Server/server.key
role ----
Preview

Certyfikaty miałem juz wcześniej wygenerowane więc musiałem je najpierw przenieśc na router
Wincsp i logujemy sie na router
Chyba jeszcze trzeba było nadac prawa tym plikom/katlogom (nie pamiętam Smile)
Tworzymy katalogi jeśli ich niema /config/auth/Server
Kopiujemy tam certyfikar i klucze


Ustawienia klienta Tomato

br1 192.168.2.200 255.255.255.0

Basic
Start with WAN +
Interface Type TAP
Bridge TAP with LAN1 (br1) * default
Protocol UDP
Server Address/Port (IP WAN EDGERouter) 1194
Firewall Automatic
Authorization Mode TLS
Username/Password Authentication -
Extra HMAC authorization (tls-auth) Disabled
Server is on the same subnet +

Advanced
Poll Interval 0 (in minutes, 0 to disable)
Ignore Redirect Gateway (route-nopull) +
Accept DNS configuration Disabled
Encryption cipher AES-128-CBC
Compression Disabled
TLS Renegotiation Time -1 (in seconds, -1 for default)
Connection retry 30 (in seconds; -1 for infinite)
Verify server certificate (tls-remote) -
Custom Configuration
ca "/nas/Dane/Certyfikaty_OpenVPN/Klient2/Client3/ca.crt"
cert "/nas/Dane/Certyfikaty_OpenVPN/Klient2/Client3/client3.crt"
key "/nas/Dane/Certyfikaty_OpenVPN/Klient2/Client3/client3.key"


Tunel OpenVPN Tap UDP
EDGERouter X SFP v2.0.8.5247496.191120.1124 OpenVPN TAP - Client
WNR 3500L v1 Tomato Firmware 1.28.0000 MIPSR2-140 K26 USB miniVPN - Server


1 - 4 takie same jak wyżej

br0 IP 192.168.2.100

5. Tworzymy nowy interfejs openvpn vtun0. - Add
interfaces / openvpn : OpenVPN tunnel interface name
openvpn vtun0
Update List

Konfigurujemy go:
interfaces / openvpn / vtun0
config-file ----
description OpenVPNC_TAP_to_Local 2 (nadajemy sobie nazwe dla tego interfejsu - dowolna)
device-type tap
encryption aes128
hash ----
local-host ----
local-port ----
mode client
openvpn-option ----
protocol udp
redirect ----
remote-address ----
remote-host 8x.x2.xx0.1x (IP Serwera OpenVPN na Tomato)
remote-port 1194
shared-secret-key-file

interfaces / openvpn / vtun0 / bridge-group : Interface to be added to a bridge group
bridge br0
cost ----
priority ----

interfaces / openvpn / vtun0 / tls : Transport Layer Security (TLS) options
ca-cert-file /config/auth/Client1/ca.crt
cert-file /config/auth/Client1/client1.crt
crl-file ----
dh-file ----
key-file /config/auth/Client1/client1.key
role ----
Preview

Ustawienia Servera Tomato

br1 192.168.2.1 255.255.255.0

Basic
Start with WAN +
Interface Type TAP
Bridge TAP with LAN1 (br1) * default
Protocol UDP
Port 1194
Firewall Automatic
Authorization Mode TLS
Extra HMAC authorization (tls-auth) Disabled
Client address pool DHCP 192.168.2.100-192.168.2.254

Advanced
Poll Interval 0 (in minutes, 0 to disable)
Direct clients to redirect Internet traffic -
Respond to DNS -
Encryption cipher AES-128-CBC
Compression Disabled
TLS Renegotiation Time -1 (in seconds, -1 for default)
Manage Client-Specific Options +
Allow Client<->Client +
Allow Only These Clients -
Allow User/Pass Auth -
Custom Configuration
ca "/nas/Dane/Certyfikaty OpenVPN/Klient1/Server/ca.crt"
cert "/nas/Dane/Certyfikaty OpenVPN/Klient1/Server/server.crt"
key "/nas/Dane/Certyfikaty OpenVPN/Klient1/Server/server.key"
dh "/nas/Dane/Certyfikaty OpenVPN/Klient1/Server/dh1024.pem"


Tunel OpenVPN Tun UDP
EDGERouter X SFP v2.0.8.5247496.191120.1124 OpenVPN TUN - Client
WNR 3500L v1 Tomato Firmware 1.28.0000 MIPSR2-140 K26 USB miniVPN - Server


W tym przypadku nie odpinamy portu ze switcha i nie tworzymy bridga czyli pomijamy punkty od 1 - 4.

5. Tworzymy nowy interfejs openvpn vtun0. - Add
interfaces / openvpn : OpenVPN tunnel interface name
openvpn vtun0
Update List

interfaces / openvpn / vtun0
config-file ----
description OpenVPNC_TUN_to_Local1 (nadajemy sobie nazwe dla tego interfejsu - dowolna)
device-type ----
encryption aes128
hash ----
local-host -----
local-port ----
mode client
openvpn-option --persist-tun
protocol udp
redirect -----
remote-address ----
remote-host 8x.xx.2x.xx (IP Serwera OpenVPN na Tomato)
remote-port 1194
shared-secret-key-file ----

interfaces / openvpn / vtun0 / tls : Transport Layer Security (TLS) options
ca-cert-file /config/auth/Client2/ca.crt
cert-file /config/auth/Client2/client2.crt
crl-file ----
dh-file ----
key-file /config/auth/Client2/client2.key
role ----

Ustawienia Servera Tomato

Basic
Start with WAN +
Interface Type TUN
Protocol UDP
Port 1194
Firewall Automatic
Authorization Mode TLS
Extra HMAC authorization (tls-auth) Disabled
VPN subnet/netmask 10.0.0.0 255.255.255.0

Advanced
Poll Interval 0 (in minutes, 0 to disable)
Push LAN to clients +
Direct clients to redirect Internet traffic -
Respond to DNS -
Encryption cipher AES-128-CBC
Compression Disabled
TLS Renegotiation Time -1 (in seconds, -1 for default)
Manage Client-Specific Options -
Allow Client<->Client -
Allow Only These Clients -
Custom Configuration
ca /nas/Dane/OpenVPN/ca.crt
cert /nas/Dane/OpenVPN/server.crt
key /nas/Dane/OpenVPN/server.key
dh /nas/Dane/OpenVPN/dh1024.pem


Sprawdzanie statusu servera
show openvpn status server

Szczegółowy status
sudo cat /run/openvpn/status/vtun0.status

Log Systemowy
sudo cat /var/log/messages

Log OpenVPN
sudo cat /var/log/messages |grep openvpn

Pisałem to z pamięci - nie miałem możliwości przejscia napisanej procedury według opisu wiec jeśli coś nie zadziała to nie bijcie Wink
Edytowane przez hermes-80 dnia 04-01-2021 11:17
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
 
shibby
piękne dzięki Smile

Warto dodać że katalog /config na routerze o jedyne miejsce które nie czyści się przy aktualizacji oprogramowanie oraz przy "Reset to default". W najnowszej wersji (2.0.9) dopiero dodali nową opcję "Factory default", która to kasuje również zawartość katalogu "/config"
Router: Ubiquiti EdgeRouter ER-12 (FTTH + LTE/failover, OpenVPN, DPI, VLAN) - łącze 1000/1000mbps
Switch: Ubiquiti US-8-150W
Wi-Fi: Ubiquiti UAP-AC-Pro + UAP-AC-Lite
NAS: Xpenology DS918+ (i5-6200u, 8GB ram, 3x 4TB/RAID5, SSD cache, Unifi, Pi Hole/DNS Server, Home Assistant, NextCloud+onlyOffice)
UPS: Eaton Ellipse Eco 650
 
dar3k
Pytanie trochę może nie na temat TAP, bo to TUN + routing policy dla wybranych domen.
Chodzi o to, że chciałbym mieć OpenVPN clienta i przekierowywać wybrane domeny na VPN, a wszystko inne normalnie na gateway + brak połączenia VPN = brak dostępu do danych domen.
Na tomato działa: https://openlinksys.info/forum/viewthread.php?thread_id=22346
Da się to zrobić na ER ? Router już w drodze więc mam nadzieję, że wszystko co mam na tomato ogarnę na nim też Smile
ER-12 + 3x UAP-AC-PRO
 
shibby
Osobiście tego nie robiłem ale myślę że dasz radę to ogarnąć

https://community...3479695947
Router: Ubiquiti EdgeRouter ER-12 (FTTH + LTE/failover, OpenVPN, DPI, VLAN) - łącze 1000/1000mbps
Switch: Ubiquiti US-8-150W
Wi-Fi: Ubiquiti UAP-AC-Pro + UAP-AC-Lite
NAS: Xpenology DS918+ (i5-6200u, 8GB ram, 3x 4TB/RAID5, SSD cache, Unifi, Pi Hole/DNS Server, Home Assistant, NextCloud+onlyOffice)
UPS: Eaton Ellipse Eco 650
 
dar3k
shibby napisał(a):

Osobiście tego nie robiłem ale myślę że dasz radę to ogarnąć

https://community...3479695947


Niestety to jest po portach, daleko mu do tego co ma tomato dla domen. Wiesz może jak tomato to realizuje ? szukałem co się zmienia, i znalazłem, że w /etc/dnsmasq.conf pojawiają sie wpisy np:
Pobierz kod źródłowy  Kod źródłowy
ipset=/ipleak.net/vnprouting312



a do firewalla dodaje:
Pobierz kod źródłowy  Kod źródłowy

iptables -I INPUT -i tun12 -j ACCEPT
iptables -I FORWARD -i tun12 -j ACCEPT
iptables -t nat -I POSTROUTING -s 192.168.0.0/255.255.255.0 -o tun12 -j MASQUERADE
iptables -t mangle -A PREROUTING -m set --match-set vpnrouting312 dst,src -j MARK --set-mark 312




ale nie mam pojęcia jak to przenieść do edgeOS ?!
Edytowane przez dar3k dnia 31-01-2021 22:08
ER-12 + 3x UAP-AC-PRO
 
shibby
zobacz tu:
https://community.ui.com/questions/Dnsmasq-Ipset/738d0e0d-9e9f-4808-8e8c-0795275fb847

Co prawda to temat sprzed 5ciu lat i mowa w nim o tym, że wbudowany w edgeos dnsmasq nie ma w ogóle wbudowanej obsługi ipset ale może się od tego czasu coś zmieniło. Trzeba by sprawdzić.
Router: Ubiquiti EdgeRouter ER-12 (FTTH + LTE/failover, OpenVPN, DPI, VLAN) - łącze 1000/1000mbps
Switch: Ubiquiti US-8-150W
Wi-Fi: Ubiquiti UAP-AC-Pro + UAP-AC-Lite
NAS: Xpenology DS918+ (i5-6200u, 8GB ram, 3x 4TB/RAID5, SSD cache, Unifi, Pi Hole/DNS Server, Home Assistant, NextCloud+onlyOffice)
UPS: Eaton Ellipse Eco 650
 
Przejdź do forum:
Logowanie
Nazwa użytkownika

Hasło



Nie masz jeszcze konta?
Zarejestruj się

Nie możesz się zalogować?
Poproś o nowe hasło
Aktualnie online
· Gości online: 6

· Użytkowników online: 0

· Łącznie użytkowników: 24,034
· Najnowszy użytkownik: zerman
Shoutbox
Musisz zalogować się, aby móc dodać wiadomość.

pedro
26-02-2021 19:07
Wujek gugiel ci (prawie) prawdę powie Wink

p4v3u
25-02-2021 12:25
Wam też Vectra nie działa od 12? Warszawa

tamtosiamto
16-02-2021 15:12
asus cos namieszal, bo widze, ze chyba kazdy soft pod nowsze boxy ma bete z poprawkami z poczatku lutego

Adooni
15-02-2021 20:57
ale wylamal sie jezyk od RJ45 i podlaczylem pod 5E du.. ekranowany i byl problem

Adooni
15-02-2021 20:55
ok rozwiazalem problem pierdzenia, przeod od zasilacza szedl za blisko przewodow sieciowych a wczesneij mialem klasy 6A i bylo OK

Adooni
15-02-2021 20:30
u mnie tez np router przy obciazeniu szczegolnei po zmianie softu pierdzial jak dysk nie moglem dojsc co to

Adooni
15-02-2021 16:25
a moze to to zasilacz?

Obserwator
14-02-2021 13:37
Wyłączone mam Wi Fi w nim. Odpiecie modemu nie daje rezultatu. Wylko wyłączenie z prądu przyciskiem daje efekt tzn znikaja zakłócenia.

Adooni
14-02-2021 07:01
a zmieniales kanal nadawania wi-fi?

Obserwator
13-02-2021 21:26
Jaka tania alternatywa dla Asus RT-N10U? Cos z USB tez. Cos taniego. Mam internet mobilny. Asus mi zakłócenia na dekoder DVBT robi spore.

tamtosiamto
11-02-2021 20:17
czy komus z aimesh asus rozlaczyl sie node po grzebaniu w qos i traffic analyzer? Tam grzebalem i po grzebaniu widze, ze node rozlaczony

pedro
07-02-2021 15:41
Jest odpowiedni dział

podtor
07-02-2021 12:30
Czy w Shoutboxie można spamować ofertami sprzedaży czy tylko ogłoszenia można zamieszać w giełdzie forum? Mam na sprzedaż 3 routery.

shibby
01-02-2021 13:49
sam cert się odnowił ale nie rozumiem czemu reload apache mu nie wystarczył... konieczy był restart apache...

aviko
28-01-2021 03:05
NET::ERR_CERT_DATE
_INVALID

salawalas
27-01-2021 18:08
Ok. Widzę,że wrzuciłeś 2.84rc2 do repo. Gratki Pfft

pedro
27-01-2021 17:50
Zawsze możesz sobie skompilować obraz z aktualnego repo Pfft

43,632,653 unikalne wizyty