29 Marca 2024 13:57:11
Nawigacja
· Strona Główna
· Forum

· Tomato by Shibby
· FreshTomato


Wątki na forum
Najnowsze dyskusje
· [MOD] Tomato64 (x86-64)
· [Howto] Xpenology na...
· [MOD] FreshTomato-AR...
· Optware na CIFS
· RT-AX56U - Status kl...
· Asus TUF-AX3000_V2 p...
· [MOD] FreshTomato-MI...
· Multiroom N z wykorz...
· [S] Asus RT-AC68U E1
· [S] ASUS RT-AC68U
· Rozłączanie klient...
· serwer VPN za wan'em
· Przejscie z dyndns f...
· WDR3600 i problem z WAN
· Jaki USB hub do syno...
· [S] Karta sieciowa Q...
· Asus rt-n18u port fo...
· Netflix dzielenie ko...
· Nextcloud konfigurac...
· Netgear WNR3500L
Najpopularniejsze obecnie wątki
· [MOD] FreshTomato... [869]
· [MOD] Tomato64 (x... [28]
· [Howto] Xpenology... [15]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
36% [151 głosów]

Broadcom ARM
Broadcom ARM
52% [216 głosów]

Atheros
Atheros
5% [22 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
1% [3 głosów]

Intel/AMD/VIA
Intel/AMD/VIA
1% [5 głosów]

Żaden z powyższych
Żaden z powyższych
4% [15 głosów]

Ogółem głosów: 416
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38
Twoje IP
3.90.35.86
Zobacz wątek
 Drukuj wątek
OpenVPN (TAP) połączenie dwóch sieci
dar3k
Próbuje się przenieść na ER-12 z tomato lecz poległem na konfiguracji OpenVPN dla mojego nietypowego rozwiązania.
Mam za pomocą OpenVPN spięte dwie sieci w jedną, co opisywałem tutaj: https://openlinksys.info/forum/viewthread.php?thread_id=19009
Jest to dla mnie konieczne z racji oprogramowania z licencją sieciową (zabezpieczyli się aby nie dzielić się licencją poza siecią lokalną tak, że wyszukuje jej po broadcast a nie po IP, więc tylko TAP działa), a dla ułatwienia pracy stworzyłem jedną dużą sieć:
router1 (tomato OpenVPN client - musi być klient bo internet bez publicznego IP)
192.168.0.1, DHCP 192.168.0.2-100
router2 (server)
192.168.0.101 DHCP 192.168.0.102-255
Autentyfikacja TLS (prócz tych dwóch lokalizacji jeszcze komputerem można się dopiąć), na tomato nie było większych problemów - jedyne co było kłopotliwe na początku to dwa serwery DHCP i przydzielanie IP przez losowy serwer ale to załatwione przez ebtables, wszystko działa perfekcyjnie.

Próbuję to przenieść na EdgeOS tworząc server VPN TAP, dodając bridge "br0", do którego dodaje vtun1 i switch0 (próbowałem też eth0), lecz gdy wystartuje VPN (nawet nikt się do niego nie podepnie bo mam jeszcze WAN odpięty od routera), to wysypuje się całość - niby komputer wpięty po kabelku dostaje adres IP z DHCP ale nie widzi routera i zostaje przywrócenie ustawień fabrycznych i zabawa od nowa.

Może ktoś coś pomoże - przypuszczam, że problem jest z bridge lub złym jego wpięciem ?

Połączony z 29 stycznia 2021 15:58:14:
Tutaj jest niby opis jak to zrobić https://help.ui.com/hc/en-us/articles/360012840854-EdgeRouter-OpenVPN-Layer-2-Tunnel ale wydaje mi się niepełny.
Edytowany przez dar3k dnia 29-01-2021 15:58
ER-12 + 4x UAP-AC-PRO
 
hermes-80
U mnie działa to od strzału - https://openlinksys.info/forum/viewth...d_id=22454
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
 
dar3k
Ale działa bo wpinasz jeden port do VPN, i masz inną adresację na nim, a ja chce mieć wszędzie taką samą.

Połączony z 29 stycznia 2021 20:00:07:
W tomato bridge z głównym LANem załatwiało sprawę - nawet DHCP działał na OpenVPN prawidłowo..

Połączony z 29 stycznia 2021 21:40:47:
Serwer OpenVPN działa prawidłowo myślę, że to coś z bridge mam nie tak ale nie wiem co..


Fri Jan 29 20:12:22 2021 OpenVPN 2.4.0 mips-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Oct 14 2018
Fri Jan 29 20:12:22 2021 library versions: OpenSSL 1.0.2u  20 Dec 2019, LZO 2.08
Fri Jan 29 20:12:22 2021 MANAGEMENT: unix domain socket listening on /tmp/openvpn-mgmt-intf
Fri Jan 29 20:12:22 2021 NOTE: when bridging your LAN adapter with the TAP adapter, note that the new bridge adapter will often take on its own IP address that is different from what the LAN adapter was previously set to
Fri Jan 29 20:12:22 2021 Diffie-Hellman initialized with 4096 bit key
Fri Jan 29 20:12:22 2021 TUN/TAP device vtun0 opened
Fri Jan 29 20:12:22 2021 TUN/TAP TX queue length set to 100
Fri Jan 29 20:12:22 2021 Could not determine IPv4/IPv6 protocol. Using AF_INET
Fri Jan 29 20:12:22 2021 Socket Buffers: R=[294912->294912] S=[294912->294912]
Fri Jan 29 20:12:22 2021 UDPv4 link local (bound): [AF_INET][undef]:1194
Fri Jan 29 20:12:22 2021 UDPv4 link remote: [AF_UNSPEC]
Fri Jan 29 20:12:22 2021 MULTI: multi_init called, r=256 v=256
Fri Jan 29 20:12:22 2021 Initialization Sequence Completed
Fri Jan 29 20:16:00 2021 IP:3862 TLS: Initial packet from [AF_INET]IP:3862, sid=188c64ed b6b4fa46
Fri Jan 29 20:16:01 2021 IP:3862 VERIFY OK: depth=1, C=PL, ST=PL, L=Pozna, O=OpenVPN, OU=dar3k, CN=dar3k, name=dar3k, emailAddress=dar3k@mail.com
Fri Jan 29 20:16:01 2021 IP:3862 VERIFY OK: depth=0, C=PL, ST=PL, L=Pozna, O=OpenVPN, OU=dar3k, CN=R7000, name=dar3k, emailAddress=dar3k@mail.com
Fri Jan 29 20:16:01 2021 IP:3862 peer info: IV_VER=2.4.3
Fri Jan 29 20:16:01 2021 IP:3862 peer info: IV_PLAT=linux
Fri Jan 29 20:16:01 2021 IP:3862 peer info: IV_PROTO=2
Fri Jan 29 20:16:01 2021 IP:3862 peer info: IV_NCP=2
Fri Jan 29 20:16:01 2021 IP:3862 peer info: IV_LZ4=1
Fri Jan 29 20:16:01 2021 IP:3862 peer info: IV_LZ4v2=1
Fri Jan 29 20:16:01 2021 IP:3862 peer info: IV_LZO=1
Fri Jan 29 20:16:01 2021 IP:3862 peer info: IV_COMP_STUB=1
Fri Jan 29 20:16:01 2021 IP:3862 peer info: IV_COMP_STUBv2=1
Fri Jan 29 20:16:01 2021 IP:3862 peer info: IV_TCPNL=1
Fri Jan 29 20:16:01 2021 IP:3862 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 4096 bit RSA
Fri Jan 29 20:16:01 2021 IP:3862 [R7000] Peer Connection Initiated with [AF_INET]IP:3862
Fri Jan 29 20:16:01 2021 R7000/IP:3862 MULTI: no dynamic or static remote --ifconfig address is available for R7000/IP:3862
Fri Jan 29 20:16:02 2021 R7000/IP:3862 PUSH: Received control message: 'PUSH_REQUEST'
Fri Jan 29 20:16:02 2021 R7000/IP:3862 SENT CONTROL [R7000]: 'PUSH_REPLY,ping 10,ping-restart 60,peer-id 1,cipher AES-256-GCM' (status=1)
Fri Jan 29 20:16:02 2021 R7000/IP:3862 Data Channel Encrypt: Cipher 'AES-256-GCM' initialized with 256 bit key
Fri Jan 29 20:16:02 2021 R7000/IP:3862 Data Channel Decrypt: Cipher 'AES-256-GCM' initialized with 256 bit key
Fri Jan 29 20:16:03 2021 R7000/IP:3862 MULTI: Learn: 10:da:43:c3:4a:ab -> R7000/IP:3862
Fri Jan 29 20:16:04 2021 R7000/IP:3862 MULTI: Learn: 54:88:0e:7e:a6:de -> R7000/IP:3862
Fri Jan 29 20:16:04 2021 R7000/IP:3862 MULTI: Learn: 6c:0d:c4:02:82:01 -> R7000/IP:3862
Fri Jan 29 20:16:05 2021 R7000/IP:3862 MULTI: Learn: fc:8f:90:aa:af:41 -> R7000/IP:3862
Fri Jan 29 20:16:38 2021 R7000/IP:3862 MULTI: Learn: f4:91:1e:d3:c4:de -> R7000/IP:3862


Zrobiłem tak jak w opisie od multiroom ale nie dodałem do br0 żadnego adresu IP.
openlinksys.info/images/er-multiroom/2.png
br0 dodałem do vtun0 i switch0, efekt taki, że na żadnym porcie eth wpiętym do switch0 nie mam dostępu do internetu, oraz routera, OpenVPN nie działa, port jaki dodałem do osobnego VLAN działa (inny adres IP).

w procesach wisi coś takiego;


/usr/sbin/openvpn --daemon --verb 3 --writepid /var/run/openvpn-vtun0.pid --status /var/run/openvpn/status/vtun0.status 30 --dev-type tap --dev vtun0 --mode server --tls-server --topology subnet --keepalive 10 60 --lport 1194 --proto udp --ca /config/auth/server1/ca.crt --cert /config/auth/server1/server.crt --key /config/auth/server1/server.key --dh /config/auth/server1/dh.pem --management /tmp/openvpn-mgmt-intf unix --server-bridge nogw --client-config-dir /var/run/openvpn/ccd/vtun0 --keepalive 10 60 --comp-lzo

W porównaniu do tomato to "--topology subnet" jest dodane - nie mogę doszukać się dokładnie co to robi..

Połączony z 29 stycznia 2021 22:37:38:
Coś tutaj nie do końca działa tak jak powinno do openvpn nie można zrobić bridge do switch0 (błąd wyrzuca, że switch0 to nie bridge), więc usunąłem adres IP switch0, i wpisałem ten adres do br0, i dodałem br0 do openvpn i do switch0, wszystko zaczęło niby działać tzn z routera widzę 192.168.0.1 ale nie działa DHCP na edgerouter ani nie odpowiada router na 192.168.0.101 wychodzi na to, że chyba tego nie dam rady zrobić tak jak na tomato .. chyba, że znajdzie się ktoś mądrzejszy ode mnie tutaj ;)

Połączony z 30 stycznia 2021 22:40:03:
Jedyna opcja aby to zrobić to tak jak tutaj: https://openlinksys.info/forum/viewthread.php?thread_id=22454
i wypiąć wszystkie porty ze switch0 i dodać je do br0, pytanie czy to ma jakiś wpływ na ich wydajność ? (czy br0 = switch0), tego nie wiem, potestuje czy wszystko działa jak na tomato, z tego co udało mi się zobaczyć to znacznie większa wydajność VPN niż na tomato.
dar3k załączono następujące plik:
Nie masz uprawnień, by zobaczyć załączniki w tym wątku.

Edytowany przez dar3k dnia 30-01-2021 22:40
ER-12 + 4x UAP-AC-PRO
 
shibby

Cytat

br0 dodałem do vtun0 i switch0


nie mozesz do bridge wpiąć fizycznego switcha. Jeżeli tak chcesz robić to musisz ze switch0 w ogóle zrezygnować, czyli wypiąć wszystkie porty ze switch0 i powpinać je (eth1, eth2 itd) wtedy do br0.

Inna sprawa to po co robić TAP między sieciami. Z doświadczenia wiem że lepiej jest zrobić TUN. Widoczność sieci będzie ale odchodzą problemy takie jak przenikający przez tunel DHCP czy gateway, czyli to zeby każda sieć wychodziła przez swój net a nie przez VPN.
Proxmox VE: i7-7700T, 48GB RAM, 3x2TB SSD, 1x1TB SSD, 512GB NVMe, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology DS920+
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
 
dar3k

Cytat

shibby napisał(a):

Cytat

br0 dodałem do vtun0 i switch0

nie mozesz do bridge wpiąć fizycznego switcha. Jeżeli tak chcesz robić to musisz ze switch0 w ogóle zrezygnować, czyli wypiąć wszystkie porty ze switch0 i powpinać je (eth1, eth2 itd) wtedy do br0.

Inna sprawa to po co robić TAP między sieciami. Z doświadczenia wiem że lepiej jest zrobić TUN. Widoczność sieci będzie ale odchodzą problemy takie jak przenikający przez tunel DHCP czy gateway, czyli to zeby każda sieć wychodziła przez swój net a nie przez VPN.


Finalnie tak zrobiłem, że wszystkie porty wyrzuciłem ze switch0 i dodałem bo br0 i działa.

Niestety po TUN dużo rzeczy nie działa np. broadcast przez co nie działał mi jeden soft co poszukuje klucza w sieci LAN, a tak nawet działa Wake On LAN po VPN - co jest przydatne mając dwie lokalizacje sieci (a wygodne bo masz sieć jakbyś był w obu miejscach na raz fizycznie).

Problem rozwiązany - niestety bez switch0 Smile
ER-12 + 4x UAP-AC-PRO
 
shibby
switch0 niby fajna sprawa bo odciąża procesor, w takim ER-X i ER-X-SFP to fajna sprawa bo wszystkie porty do niego należą.

Gorzej w moim ER-12 o do switch0 może należeć tylko pierwsze 8 portów. Pozostałe 4, w tym porty SFP, nie mogę wpiąć do switch0. Zatem przykładowo nie jestem w stanie spiąć sobie routera ze switchem po SFP Sad
Musiałbym wywalić switch0, zrobić bridge i wtedy mogę łączyć sobie dowolne porty. Ale obawiam się że wtedy już router nie będzie w stanie obsłużyć mi łacza 1/1gbit.
Proxmox VE: i7-7700T, 48GB RAM, 3x2TB SSD, 1x1TB SSD, 512GB NVMe, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology DS920+
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
 
Przejdź do forum
Zaloguj
Wprowadź adres e-mail lub nazwę użytkownika

Hasło



Nie masz jeszcze konta? Zarejestruj się.

Zapomniałeś/aś hasła?
Aktualnie online
· Gości online: 10

· Użytkowników online: 0

· Łącznie użytkowników: 24,117
· Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.

tamtosiamto
28-03-2024 23:24
tak, tak zgadza sie, ale ja pytam o wykluczenie noda na guest network w first set, i to nie dziala

Adooni
24-03-2024 13:16
Guest network is currently designed to allow the first set of each band (2.4G, 5G, 5G-1) available to the AiMesh node

tamtosiamto
24-03-2024 03:03
ale w 1 jest opcja do wyboru - dla calej sieci albo rutera only i wlasnie o tym mowie, ze nie dziala

Adooni
23-03-2024 16:31
w dokumencie asusa jest ze wlasnie dla 1 ma dzialac na nodach tez

tamtosiamto
23-03-2024 15:39
tak, ale nie zmienia to faktu, ze w pierwszej nie dziala wylaczanie aimesh dla goscinnej( a powinno), czyli jest jakis bug. Mam start soft, bo to dsl-ac68 ktory nie jest juz updateowany

Adooni
22-03-2024 18:07
nie, 1 wsza bedzie wszedzie trzeba 2ga zrobic dla kazdego pasma te nie sa przenoszone

tamtosiamto
19-03-2024 19:57
czyli jak mam jedna siec goscinna to powinno dzialac separowanie gosci od noda -a nie dziala Smile

tamtosiamto
19-03-2024 19:50
@Adooni 'Only one set is available for 1 band' i tak mam-1 set dla 2.4ghz i 1 dla 5ghz-czy czegos nie rozumiemW drugiej sieci goscinnej nie ma opcji wyboru Ruter only/ All nodes

Adooni
19-03-2024 19:14
no to przeczytaj to 2 pod - 1 stet z kazdego pasma jest dopuszczony na nody. zrob 2 siec jako goscinna na danym pasmie i wtedy sprawdz

tamtosiamto
19-03-2024 14:17
@Adooni 'Guest network on AiMesh - Router only'

70,442,967 unikalnych wizyt