21 Listopada 2024 18:36:09
Nawigacja
· Strona Główna
· Forum

· Tomato by Shibby
· FreshTomato


Wątki na forum
Najnowsze dyskusje
· [S] Asus RT-AC56U
· DIR868l OFW asus vs ...
· Szukam zaproszenia n...
· [MOD] FreshTomato-AR...
· Asus RT-AC5300 ,prob...
· archer c6 v3.20
· [S] Nighthawk R7000P...
· [S]Asus RT-AC5300 - ...
· Tanie N100 na promce...
· net z telefonu wifi+...
· Tomato - bugi/proble...
· HUAWEI z światłowodem
· Asus TUF-AX3000_V2 p...
· rt-ax88upro częste ...
· [Howto] Xpenology na...
· Jaki router pod Open...
· Ruter z tomato
· Czy to jeszcze NAS?
· RT AC66U B1
· Wireguard na FreshTo...
Najpopularniejsze obecnie wątki
· Szukam zaproszeni... [19]
· DIR868l OFW asus ... [8]
· [S] Asus RT-AC56U [0]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
36% [151 głosów]

Broadcom ARM
Broadcom ARM
52% [219 głosów]

Atheros
Atheros
5% [22 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
1% [3 głosów]

Intel/AMD/VIA
Intel/AMD/VIA
1% [5 głosów]

Żaden z powyższych
Żaden z powyższych
4% [15 głosów]

Ogółem głosów: 419
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38
Twoje IP
18.225.95.229
Zobacz wątek
OpenLinksys » :: OPROGRAMOWANIE :: » Tomato - firmware
 Drukuj wątek
Połączenie dwóch sieci OpenVPN z obustronnym dostępem do urządzeń
Theo16
Potrzebuję pomocy przy konfiguracji połączenia VPN. Próbuję spiąć ze sobą dwie sieci tak aby był dostęp do urządzeń w sieciach LAN. Konfiguracja urządzeń wygląda tak:
- Sieć z publicznym IP: główny router RT-AX55 192.168.1.1 (LAN), jako AP działa RT-N18U (192.168.1.2) na tomato i tu najlepiej jakby działał serwer OpenVPN bo mam wrażenie że oryginalny soft Asusa ma mocno ograniczone możliwości konfiguracji.
- Sieć bez publicznego IP: Modem B535-232 192.168.0.1 z przekierowanymi wszystkimi portami na główny router RN-N16 z tomato 192.168.0.2 (WAN). 192.168.2.0 (LAN).
Tak jak wspomniałem na początku chciałbym, aby sieć 192.168.1.0 miała dostęp do urządzeń 192.168.2.0 i vice versa. Próbowałem różnych poradników, ale na żadnym nie chciało mi to działać w obie strony. Będę wdzięczny za pomoc i wskazówki.
 
hermes-80
Bo nie będzie działać to w konfiguracji AP ze względu na to, że OpenVPN jest tak ustawiony że uruchamia się z włączeniem portu WAN.
Druga sprawa - jakiej przepustowości oczekujesz po tunelu.
Trzecia - czy ma to działać w jednej domenie rozgłoszeniowej (tap) czy w trybie routingu (tun).
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
 
Theo16
Serwer może stać na RT-AX55 jeżeli jest to warunek działania. Przepustowość na poziomie 20-30 Mbit w zupełności będzie wystarczająca. Czytałem, że TUN znacznie mniej obciąża procesor więc wolałbym iść w te stronę.
 
dar3k
Jeżeli nie przeszkadza Ci wspólna adresacja w obu sieciach to ja u siebie mam dwie lokalizacje spięte tak:
https://openlinksys.info/forum/viewthread.php?thread_id=19009
Wszystko działa jakby było w jednej sieci - a statycznie wpisując bramę z drugiej lokalizacji można nawet wyjść na świat z tamtym adresem IP Smile
ER-12 + 4x UAP-AC-PRO
 
hermes-80
Na serwer wybiera sie silniejsze sprzetowo urządzenie. Na AP też jest możliwe uruchomienie tunelu ale wtedy już trzeba z palca dodawać odpowiednie komendy.
Postawienie tunelu przez GUI nie jest jakoś bardzo skompplikowane.
RT-AX55 jest na to Tomato?
Edytowany przez hermes-80 dnia 06-06-2023 17:53
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
 
Theo16
dar3k spróbuję tą metodą, ale problemem może być, że serwer dhcp jest na innym urządzaniu niż serwer vpn.

hermes-80 Ciężko mi porównać RT-AX55 do RT-N18U gdyż są to raczej podstawowe urządzenia różniące się głównie obsługą różnych WiFi. Na RT-AX55 nie ma tomato ani merlin wrt.
 
dar3k

Theo16 napisał:

dar3k spróbuję tą metodą, ale problemem może być, że serwer dhcp jest na innym urządzaniu niż serwer vpn.

To też nie problem - tylko zablokuj w ebtables zapytania DHCP - bo inaczej będziesz miał w jednej sieci 2 serwery dhcp i adresy będzie Ci przydzielał losowo - który pierwszy odpowie (a ten przez vpn często będzie pierwszy).
ER-12 + 4x UAP-AC-PRO
 
Theo16

dar3k napisał:

Theo16 napisał:

dar3k spróbuję tą metodą, ale problemem może być, że serwer dhcp jest na innym urządzaniu niż serwer vpn.

To też nie problem - tylko zablokuj w ebtables zapytania DHCP - bo inaczej będziesz miał w jednej sieci 2 serwery dhcp i adresy będzie Ci przydzielał losowo - który pierwszy odpowie (a ten przez vpn często będzie pierwszy).


Ustawienia tak jak na zdjęciach. Tunel połączony, ale nie mogę się dostać na urządzenia zarówno z jednej strony jak i z drugiej.
Theo16 załączono następujące plik:
Nie masz uprawnień, by zobaczyć załączniki w tym wątku.
 
dar3k
A jak masz ustawione IP ? Nie mają konfliktu (routery muszą mieć inne IP i inną pulę przydzielania dhcp np. jedna sieć 192.168.0.1 IP routera i DHCP 192.168.0.2-50, 192.168.0.51 drugi router i dhcp 192.168.0.52-100).
Dodatkowo dałbym Firewall: Automatic
ER-12 + 4x UAP-AC-PRO
 
Theo16
Konfliktu nie ma jeden jest od 1 do 199 drugi od 201 do 250 obie w sieci 192.168.1.XXX. Sprawdzę popołudniu czy zmiana ustawień firewalla coś pomoże.
 
hermes-80
Firewall na automatic
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
 
Theo16
Przełączenie na automatic nic nie zmieniło. Log od momentu włączenia serwera po włączenie klienta:
- serwer

Jun 7 21:03:57   daemon   notice   openvpn-server1[5465]   Closing TUN/TAP interface
Jun 7 21:03:57   daemon   notice   openvpn-server1[5465]   SIGTERM[hard,init_instance] received, process exiting
Jun 7 21:03:57   kern   info   kernel   br0: port 4(tap21) entering forwarding state
Jun 7 21:03:57   kern   info   kernel   br0: port 4(tap21) entering forwarding state
Jun 7 21:03:57   kern   info   kernel   br0: port 4(tap21) entering forwarding state
Jun 7 21:03:57   kern   info   kernel   br0: port 4(tap21) entering forwarding state
Jun 7 21:03:57   kern   info   kernel   br0: port 4(tap21) entering disabled state
Jun 7 21:04:03   kern   info   kernel   device tap21 entered promiscuous mode
Jun 7 21:04:03   kern   info   kernel   ADDRCONF(NETDEV_UP): tap21: link is not ready
Jun 7 21:04:03   daemon   warn   openvpn-server1[7405]   DEPRECATED OPTION: The option --secret is deprecated.
Jun 7 21:04:03   daemon   notice   openvpn-server1[7405]   DEPRECATION: No tls-client or tls-server option in configuration detected. OpenVPN 2.7 will remove the functionality to run a VPN without TLS. See the examples section in the manual page for examples of a similar quick setup with peer-fingerprint.
Jun 7 21:04:03   daemon   notice   openvpn-server1[7405]   OpenVPN 2.6.1 arm-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD]
Jun 7 21:04:03   daemon   notice   openvpn-server1[7405]   library versions: OpenSSL 1.1.1t 7 Feb 2023, LZO 2.10
Jun 7 21:04:03   daemon   notice   openvpn-server1[7406]   TUN/TAP device tap21 opened
Jun 7 21:04:03   daemon   notice   openvpn-server1[7406]   TUN/TAP TX queue length set to 1000
Jun 7 21:04:03   daemon   warn   openvpn-server1[7406]   Could not determine IPv4/IPv6 protocol. Using AF_INET6
Jun 7 21:04:03   daemon   notice   openvpn-server1[7406]   Socket Buffers: R=[87380->87380] S=[16384->16384]
Jun 7 21:04:03   daemon   notice   openvpn-server1[7406]   setsockopt(IPV6_V6ONLY=0)
Jun 7 21:04:03   daemon   notice   openvpn-server1[7406]   Listening for incoming TCP connection on [AF_INET6][undef]:1194
Jun 7 21:04:03   kern   info   kernel   ADDRCONF(NETDEV_CHANGE): tap21: link becomes ready
Jun 7 21:04:03   kern   info   kernel   br0: port 4(tap21) entering forwarding state
Jun 7 21:04:03   kern   info   kernel   br0: port 4(tap21) entering forwarding state


-klient


Jun  7 21:04:30 unknown user.info kernel: device tap11 entered promiscuous mode
Jun  7 21:04:30 unknown user.info kernel: br0: port 3(tap11) entering forwarding state
Jun  7 21:04:31 unknown daemon.warn openvpn-client1[5536]: Cipher negotiation is disabled since neither P2MP client nor server mode is enabled
Jun  7 21:04:31 unknown daemon.notice openvpn-client1[5536]: OpenVPN 2.5.9 mipsel-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD]
Jun  7 21:04:31 unknown daemon.notice openvpn-client1[5536]: library versions: OpenSSL 1.1.1t  7 Feb 2023, LZO 2.10
Jun  7 21:04:31 unknown daemon.warn openvpn-client1[5538]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Jun  7 21:04:31 unknown daemon.warn openvpn-client1[5538]: WARNING: INSECURE cipher (BF-CBC) with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC). Support for these insecure ciphers will be removed in OpenVPN 2.7.
Jun  7 21:04:31 unknown daemon.notice openvpn-client1[5538]: Outgoing Static Key Encryption: Cipher 'BF-CBC' initialized with 128 bit key
Jun  7 21:04:31 unknown daemon.warn openvpn-client1[5538]: WARNING: INSECURE cipher (BF-CBC) with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC). Support for these insecure ciphers will be removed in OpenVPN 2.7.
Jun  7 21:04:31 unknown daemon.notice openvpn-client1[5538]: Outgoing Static Key Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication
Jun  7 21:04:31 unknown daemon.notice openvpn-client1[5538]: Incoming Static Key Encryption: Cipher 'BF-CBC' initialized with 128 bit key
Jun  7 21:04:31 unknown daemon.warn openvpn-client1[5538]: WARNING: INSECURE cipher (BF-CBC) with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC). Support for these insecure ciphers will be removed in OpenVPN 2.7.
Jun  7 21:04:31 unknown daemon.notice openvpn-client1[5538]: Incoming Static Key Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication
Jun  7 21:04:31 unknown daemon.notice openvpn-client1[5538]: TUN/TAP device tap11 opened
Jun  7 21:04:31 unknown daemon.notice openvpn-client1[5538]: TUN/TAP TX queue length set to 1000
Jun  7 21:04:31 unknown daemon.notice openvpn-client1[5538]: /usr/sbin/ip link set dev tap11 up mtu 1500
Jun  7 21:04:31 unknown daemon.notice openvpn-client1[5538]: /usr/sbin/ip link set dev tap11 up
Jun  7 21:04:31 unknown daemon.notice openvpn-client1[5538]: /usr/sbin/ip addr add dev tap11 10.8.0.2/24
Jun  7 21:04:31 unknown daemon.notice openvpn-client1[5538]: updown-client.sh tap11 1500 1590 10.8.0.2 255.255.255.0 init
Jun  7 21:04:31 unknown daemon.notice openvpn-client1[5538]: TCP/UDP: Preserving recently used remote address: [AF_INET]XXX.XXX.XXX.XXX:1194
Jun  7 21:04:31 unknown daemon.notice openvpn-client1[5538]: Socket Buffers: R=[87380->87380] S=[16384->16384]
Jun  7 21:04:31 unknown daemon.notice openvpn-client1[5538]: Attempting to establish TCP connection with [AF_INET]XXX.XXX.XXX.XXX:1194 [nonblock]
Jun  7 21:04:31 unknown daemon.notice openvpn-client1[5538]: TCP connection established with [AF_INET]XXX.XXX.XXX.XXX:1194
Jun  7 21:04:31 unknown daemon.notice openvpn-client1[5538]: TCP_CLIENT link local: (not bound)
Jun  7 21:04:31 unknown daemon.notice openvpn-client1[5538]: TCP_CLIENT link remote: [AF_INET]XXX.XXX.XXX.XXX:1194
Jun  7 21:04:31 unknown daemon.err openvpn-client1[5538]: Authenticate/Decrypt packet error: cipher final failed
Jun  7 21:04:31 unknown daemon.err openvpn-client1[5538]: Fatal decryption error (process_incoming_link), restarting
Jun  7 21:04:31 unknown daemon.notice openvpn-client1[5538]: SIGUSR1[soft,decryption-error] received, process restarting
Jun  7 21:04:31 unknown daemon.notice openvpn-client1[5538]: Restart pause, 5 second(s)
Jun  7 21:04:36 unknown daemon.warn openvpn-client1[5538]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Jun  7 21:04:36 unknown daemon.notice openvpn-client1[5538]: Re-using pre-shared static key
Jun  7 21:04:36 unknown daemon.notice openvpn-client1[5538]: Preserving previous TUN/TAP instance: tap11
Jun  7 21:04:36 unknown daemon.notice openvpn-client1[5538]: TCP/UDP: Preserving recently used remote address: [AF_INET]XXX.XXX.XXX.XXX:1194
Jun  7 21:04:36 unknown daemon.notice openvpn-client1[5538]: Socket Buffers: R=[87380->87380] S=[16384->16384]
Jun  7 21:04:36 unknown daemon.notice openvpn-client1[5538]: Attempting to establish TCP connection with [AF_INET]XXX.XXX.XXX.XXX:1194 [nonblock]
Jun  7 21:04:36 unknown daemon.notice openvpn-client1[5538]: TCP connection established with [AF_INET]XXX.XXX.XXX.XXX:1194
Jun  7 21:04:36 unknown daemon.notice openvpn-client1[5538]: TCP_CLIENT link local: (not bound)
Jun  7 21:04:36 unknown daemon.notice openvpn-client1[5538]: TCP_CLIENT link remote: [AF_INET]XXX.XXX.XXX.XXX:1194
Jun  7 21:04:37 unknown daemon.err openvpn-client1[5538]: Authenticate/Decrypt packet error: cipher final failed
Jun  7 21:04:37 unknown daemon.err openvpn-client1[5538]: Fatal decryption error (process_incoming_link), restarting
Jun  7 21:04:37 unknown daemon.notice openvpn-client1[5538]: SIGUSR1[soft,decryption-error] received, process restarting
Jun  7 21:04:37 unknown daemon.notice openvpn-client1[5538]: Restart pause, 5 second(s)
Jun  7 21:04:42 unknown daemon.warn openvpn-client1[5538]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
 
hermes-80
Szyfrowanie z domyślnego zmień na AES-256-CBC
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
 
Theo16
Dziękuje wszystkim za pomoc. Po zresetowaniu urządzeń do ustawień fabrycznych oraz ustawieniu serwera i klienta od nowa zgodnie z instrukcjami od dar3k oraz radami od hermes-80 połączenie działa prawidłowo. Potrzebuję jeszcze informacji co i gdzie dopisać, aby będąc za serwerem móc się dostać na modem B535-232 192.168.0.1 dający Internet klientowi. W kliencie w basic->network mam ustawiony Route Modem IP.
 
dar3k
A ustawiając z ręki jako bramę adres drugiego routera (tego za serwerem vpn, do którego ten modem jest wpięty jako WAN fizycznie) możesz się dostać na ten modem?
ER-12 + 4x UAP-AC-PRO
 
Theo16
Router po stronie klienta jest ustawiony tak jak widać na załączniku i w tej sieci mam dostęp do modemu na 192.168.0.1. Chciałbym mieć jeszcze dostęp do niego będąc podłączony do sieci po stronie serwera.
Theo16 załączono następujące plik:
Nie masz uprawnień, by zobaczyć załączniki w tym wątku.
 
dar3k
Wpisz ręcznie w ustawienia karty sieciowej bramę na ten router, gdzie chcesz się do modemu dostać i zobacz czy widzisz ten modem - problem jest taki, że po VPN nie zrobisz routingu dwóch sieci, a jak odpowiada Ci po zmianie bramy to może rozwiąże Twój problem Smile
ER-12 + 4x UAP-AC-PRO
 
Theo16
Właśnie myślałem, że można ustawić jakiś routing na stałe, bo ręczna zmiana bramy jest męczące zwłaszcza jak potrzebowałbym się dostać np. z telefonu.
 
hermes-80
Dodajesz trasę na serwerze openvpn w custom config - route 192.168.0.0
Przy twoich potrzebach skonfigurował bym OVPN jako tun. Poza tym dodał bym parametry wskazane przez shbbiego: https://openlinksys.info/forum/viewth...ost_179893 by troszkę przepustowość zwiększyć.
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
 
Przejdź do forum
Zaloguj
Wprowadź adres e-mail lub nazwę użytkownika

Hasło



Nie masz jeszcze konta? Zarejestruj się.

Zapomniałeś/aś hasła?
Aktualnie online
· Gości online: 90

· Użytkowników online: 0

· Łącznie użytkowników: 24,115
· Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.

Maniek91PL
06-11-2024 22:37
dzięki !Grin

maxikaaz
29-10-2024 14:27
@Maniek91PL - Administration=> Admin Access, i tam masz "Allow Wireless Access" do zaznaczenia

Maniek91PL
26-10-2024 22:07
siemka! ktoś przypomni co się ustawiało jeśli nie mogę wejść od strony wifi do tomato? od lan działa

overflow2
04-10-2024 17:34
Kupowałem Asusy n10u albo n12d1 ale nie widzę ich, chyba już nie produkują, Chodzi o coś nowego i taniego. Transfery niewielkie.

maxikaaz
04-10-2024 09:38
@overflow2 patrząc po dostępności funkcji w nowych kompilacjach, to chyba nawet WRT54G/GL jeszcze ma OpenVPN, albo jakiś odpowiednik... zależy, na jakie transfery liczysz.

overflow2
30-09-2024 20:53
Jaki aktualnie najtańszy router do tomato do openvpn?

maxikaaz
27-07-2024 15:07
@servee - na początek router do rozebrania i obejrzenia, ciężko wróżyć tak tylko po objawach

maxikaaz
27-07-2024 14:55
@servee - cały kontroler nie pada tak sobie z powodu "zbiegu okoliczności",
więc prawdopodobnie gdzieś przepięcie.

servee
25-07-2024 13:33
@maxikaaz: działało, aż pewnego pięknego dnia przestało działać. W tym dniu była też burza, ale to raczej zbieg okoliczności.

maxikaaz
25-07-2024 11:38
@servee - o ile problem jest w obrębie samych wyjść (dławiki, warystory), to naprawialne, ale jeśli w samym SoC - to nienaprawialne ze względu na koszta. A co było przyczyną?

95,144,970 unikalnych wizyt