Konfiguracja OpenVPN jest dość prosta, potrzebujemy plik *.ovpn.
Założenia - działająca konfiguracja OpenVPN (np. gotowiec do pobrania od dostawcy VPN), tylko wybrane adresy IP mają mieć dostęp do VPN pozostali nie.
Plik z konfiguracją : moja_konfiguracja.ovpn (nazwa dowolna) edytujemy i dodajemy:
set interfaces openvpn vtun0 config-file /config/auth/moja_konfiguracja.ovpn
set interfaces openvpn vtun0 description 'VPN_klient'
To samo można zrobić tak: config tree -> Interfaces -> openvpn -> Add -> vtun0 -> Update list
klikamy na vtun0 i do ramki config-file wklejamy ścieżkę do pliku konfiguracji, a w pole description opis (wyświetla się w dashboard routera)
Oczywiście podajemy odpowiednią ścieżkę do pliku konfiguracji (najlepiej umieścić w /config/auth - katalog /config zostaje pobrany przy tworzeniu kopi zapasowej konfiguracji routera)
W zakładce dashboard powinniśmy zobaczyć nasze nowe połączenie i jego status oraz IP, dzięki opcji "route-nopull" nie będzie miało one jeszcze wpływu na pozostały ruch.
configure
set service nat rule 5000 description openvpn
set service nat rule 5000 log disable
set service nat rule 5000 outbound-interface vtun0
set service nat rule 5000 protocol all
set service nat rule 5000 source address [b]Adres_IP/32[/b]
set service nat rule 5000 type masquerade
commit
save
exit
configure
set interfaces bridge switch0 firewall in modify Modify_LAN_IN
commit
save
exit
Uwaga, różne routery mają różnie rozwiązania czasem jest to br0, czasem switch0 więc należy podać odpowiedni dla siebie.
Od teraz podany adres IP ma dostęp do VPN, a cała reszta nie.
Aby zapobiec wyciekowi adresu IP jeżeli nie mamy zestawionego połączenia VPN należy dodać
@man1 - cały ten dział i opisywane w nim poradniki dotyczą rodziny roterów EdgeRouter od firmy Ubiquiti. Ewentualnie z racji pewnych podobieństw mogą być traktowane jako podpowiedź w przypadku konfiguracji sprzętu Unifi.
@dar3k - w przypadku korzystania z multiwana całość mocno się komplikuje, ponieważ wizard domyślnie w "interfaces bridge switch0 firewall in modify" ustawia politykę "balance", której ruszać nie możemy. Jeżeli ją zmienimy to wszystko raz działa, raz nie. Mówiąc wszystko mam na myśli np ping (jeden leci, drugi nie), przekierowania portów (raz działa raz nie), jak i sam internet...
Już to raz przerabiałem gdy potrzebowałem w konfiguracji multiwan (2 łacza w load-balance) zablokować jednemu userowi neta. Wszystkie opisy w necie piszą by właśnie nową politykę ustawić w modify in.... Ja musiałem ją tak przerobić by ustawić ją w modify out, a w modify in pozostawić balance.
Przerabiałem to tez u siebie w przypadku separacji ruchu między vlanami - tu również wszystkie opisy na necie mówią o zmianie polityki w modify in.
Oczywiście jeżeli mamy jedno łącze to ten problem nie występuje.
Router:Unifi Cloud Gateway Max Switch:Unifi USW-Lite-16-PoE Switch:Unifi USW-Flex-Mini - szt. 2 Wi-Fi:Unifi U6-Lite - szt. 2 Proxmox VE:i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD VM #1:Synology SA6400 VM #2:Debian, WWW VM #3: Home Assistant OS
shibby napisał(a):
@dar3k - w przypadku korzystania z multiwana całość mocno się komplikuje, ponieważ wizard domyślnie w "interfaces bridge switch0 firewall in modify" ustawia politykę "balance", której ruszać nie możemy. Jeżeli ją zmienimy to wszystko raz działa, raz nie. Mówiąc wszystko mam na myśli np ping (jeden leci, drugi nie), przekierowania portów (raz działa raz nie), jak i sam internet...
Już to raz przerabiałem gdy potrzebowałem w konfiguracji multiwan (2 łacza w load-balance) zablokować jednemu userowi neta. Wszystkie opisy w necie piszą by właśnie nową politykę ustawić w modify in.... Ja musiałem ją tak przerobić by ustawić ją w modify out, a w modify in pozostawić balance.
Przerabiałem to tez u siebie w przypadku separacji ruchu między vlanami - tu również wszystkie opisy na necie mówią o zmianie polityki w modify in.
Oczywiście jeżeli mamy jedno łącze to ten problem nie występuje.
Ja używam tylko jednego łącza (działa na tyle stabilnie, że wystarczy Jeżeli używasz dwóch i to rozwiązanie też to dopisz jak zrobić dla multiWAN, pewnie komuś się przyda
Czy ten tutek działa z konfiguracjami NordVPN? Jak rozumiem mogę dodać kilka dresów IP które mają łączyć się za pomocą tunelu i tylko przez niego mają wyjście na świat. Kill switch też tu jest?
Jest opisane co dodać aby zapobiec wyciekowi adresu IP gdy VPN zerwie (brak dostępu do WAN gdy nie ma połączenia do VPN), z nordVPN powinno działać jeżeli wspiera OpenVPN.
· Łącznie użytkowników: 24,117 · Najnowszy użytkownik: Maross
Czat
Musisz się zalogować, aby opublikować wiadomość.
servee
24-01-2025 18:18
Światłowód + mediakonwenter. Ekranowana skrętka nie jest wymagana, taką sytuację już zastałem. Zamierzam ją wymienić na zwykłą. Da to coś?
shibby
17-01-2025 07:45
a ta skrętka ekranowana o której piszesz to jakiś wkopany przewód do bramy/furtki/kamer y zewn? Jak tak to jego też przez zabezpieczenie podepnij.
shibby
17-01-2025 07:43
no to pora zabezpieczyć kable LAN zabezpieczeniami przeciwprzepięciow ymi - tanio nie będzie. Jak przychodzi ci internet? Skrętką czy światłem? Jak skrętką to zacząłbym od tego.
servee
12-01-2025 12:52
Ponownie padły mi wszystkie porty sieciowe w routerze - to już 3-ci w 6 m-cy. Podejrzany to ekranowana, nieuziemiona skrętka - 12mb. Czy jest to możliwe?
dawidt
21-12-2024 01:09
siema
Maniek91PL
06-11-2024 22:37
dzięki !
maxikaaz
29-10-2024 14:27
@Maniek91PL - Administration=> Admin Access, i tam masz "Allow Wireless Access" do zaznaczenia
Maniek91PL
26-10-2024 22:07
siemka! ktoś przypomni co się ustawiało jeśli nie mogę wejść od strony wifi do tomato? od lan działa
overflow2
04-10-2024 17:34
Kupowałem Asusy n10u albo n12d1 ale nie widzę ich, chyba już nie produkują, Chodzi o coś nowego i taniego. Transfery niewielkie.
maxikaaz
04-10-2024 09:38
@overflow2 patrząc po dostępności funkcji w nowych kompilacjach, to chyba nawet WRT54G/GL jeszcze ma OpenVPN, albo jakiś odpowiednik... zależy, na jakie transfery liczysz.