Forum » Omrežja in internet » OpenWRT in OpenVPN
OpenWRT in OpenVPN
harmony ::
Pozdrav.
Imam nekaj najbrz zelo n00bovskih vprasanj, ampak vseeno sem se odlocil rajsi narediti sramoto, kot pa ostati resnicno na koncu en n00b.
Zastavil sem si en domac projekt in sicer postavitev OpenVPN streznika. Nekaj tem na slo-tech sem prebral ter na koncu uvidel koliko sem na tem podrocju se zelen, posebej, ko sem sel brati link od enega forumasa.
Tisto kar mi ni jasno, ce sem prav razbral po internetu, da eni izvajajo instalacijo OpenVPN na samem strezniku bodisi je to Linux ali Windows, spet drugi pa izvedejo celotno konfiguracijo na samem ruterju. Sem to pravilno razumel?
Tisto kar mi je do sedaj ratalo je n00bovski podvig in to je samo zamenjava proizvajalcevega firemwara z OpenWRT firemware. To sem naredil na TL-WR941ND ruterju. Zelel sem nadaljevati tako, da bi gor instaliral modul OpenVPN, ampak to na tem ruterju ne gre, ker ni dovolj prostora (samo 4MB). Zato sem tudi vprasal ali sploh pravilno razumem, da eni imajo dedicated server kjer tece OpenVPN, eni pa vse to naredijo na ruterju.
Od enega forumasa sem tudi videl, da je stvar naredil z Tomato firemware (sam tutorial mi se je zdel dokaj v easy), ampak ta firemware ne podpira mojega ocitno prastarega ruterja.
Kako naprej? Ali kupim nov ruter ali pa vseeno kaj lahko naredim s tem, obstojecim?
Ce bi me kdo lahko usmeril v pravo smer, bi bil zelo hvalezen.
Imam nekaj najbrz zelo n00bovskih vprasanj, ampak vseeno sem se odlocil rajsi narediti sramoto, kot pa ostati resnicno na koncu en n00b.
Zastavil sem si en domac projekt in sicer postavitev OpenVPN streznika. Nekaj tem na slo-tech sem prebral ter na koncu uvidel koliko sem na tem podrocju se zelen, posebej, ko sem sel brati link od enega forumasa.
Tisto kar mi ni jasno, ce sem prav razbral po internetu, da eni izvajajo instalacijo OpenVPN na samem strezniku bodisi je to Linux ali Windows, spet drugi pa izvedejo celotno konfiguracijo na samem ruterju. Sem to pravilno razumel?
Tisto kar mi je do sedaj ratalo je n00bovski podvig in to je samo zamenjava proizvajalcevega firemwara z OpenWRT firemware. To sem naredil na TL-WR941ND ruterju. Zelel sem nadaljevati tako, da bi gor instaliral modul OpenVPN, ampak to na tem ruterju ne gre, ker ni dovolj prostora (samo 4MB). Zato sem tudi vprasal ali sploh pravilno razumem, da eni imajo dedicated server kjer tece OpenVPN, eni pa vse to naredijo na ruterju.
Od enega forumasa sem tudi videl, da je stvar naredil z Tomato firemware (sam tutorial mi se je zdel dokaj v easy), ampak ta firemware ne podpira mojega ocitno prastarega ruterja.
Kako naprej? Ali kupim nov ruter ali pa vseeno kaj lahko naredim s tem, obstojecim?
Ce bi me kdo lahko usmeril v pravo smer, bi bil zelo hvalezen.
BivšiUser2 ::
Prvo reši problem s prostorom
https://wiki.openwrt.org/doc/howto/extr...
https://wiki.openwrt.org/doc/howto/extr...
SloTech - če nisi z nami, si persona non grata.
harmony ::
BivšiUser2 je izjavil:
Prvo reši problem s prostorom
https://wiki.openwrt.org/doc/howto/extr...
Ze videl link. Zal moj ruter nima USB prikljucka.
BivšiUser2 ::
Image builder sekcijo si tudi preštudiral ?
https://wiki.openwrt.org/doc/howto/obta...
Vsaj to probaj. Pa potem mount na remote filesystem.
https://wiki.openwrt.org/doc/howto/obta...
Vsaj to probaj. Pa potem mount na remote filesystem.
SloTech - če nisi z nami, si persona non grata.
Zgodovina sprememb…
- spremenil: BivšiUser2 ()
harmony ::
Je ze kdo sprobal taksen nacin delovanja, ter koliko je taksen nacin zanesljiv, kot ga predlaga S4NNY1 ?
Dr_M ::
Poglej se gargoyle firmware, ki je osnovan na openwrt, samo precej lazji za konfigurirat je. Pa pazi, da bos izbral pravo verzijo firmwarea.
The reason why most of society hates conservatives and
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.
SloSlayer ::
OpenVPN lahko naložiš tudi v RAM pomnilnik routerja in ga poganjaš od tam, seveda pa to pomeni, da boš ga moral ponovno naložiti ob vsakem ponovnem zagonu routerja.
Če si spreten lahko narediš tudi hardware mod in dodaš USB port svojemu routerju:
https://wiki.openwrt.org/toh/tp-link/tl...
Dvomim, da bo to pomagalo, saj njegov problem predstavlja pomanjkanje flash pomnilnika. Tudi Gargoyle potrebuje več prostora za inštalacijo OpenWRT modulov.
Če si spreten lahko narediš tudi hardware mod in dodaš USB port svojemu routerju:
https://wiki.openwrt.org/toh/tp-link/tl...
Poglej se gargoyle firmware, ki je osnovan na openwrt, samo precej lazji za konfigurirat je. Pa pazi, da bos izbral pravo verzijo firmwarea.
Dvomim, da bo to pomagalo, saj njegov problem predstavlja pomanjkanje flash pomnilnika. Tudi Gargoyle potrebuje več prostora za inštalacijo OpenWRT modulov.
Zgodovina sprememb…
- spremenil: SloSlayer ()
harmony ::
Mislim, da bo najbolja resitev v mojem primeru nakup novega ruterja, ter da se rajsi fokusiram na svoj prvotni cilj. Lahko, da bom jutri potreboval nek drug modul in se bom spet ukvarjal s pomanjkanjem prostora.
Tale bi bil cisto spodoben se mi zdi, pa z OpenWRT nima tezav.
Tale bi bil cisto spodoben se mi zdi, pa z OpenWRT nima tezav.
Dr_M ::
Dvomim, da bo to pomagalo, saj njegov problem predstavlja pomanjkanje flash pomnilnika. Tudi Gargoyle potrebuje več prostora za inštalacijo OpenWRT modulov.
To je res ja, zato jest ne maram teh poceni tp-linkov, ker sparajo s flashom, kot da je zlat.
The reason why most of society hates conservatives and
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.
harmony ::
Sem narocil zgornji ruter. Medtem pa bom izkoristil cas v ucenje.
Nasel sem tale tutorial in upam, da bom s tem dosegel svoj cilj to je: priklop iz xyz public omrezja na svoj VPN.
Nasel sem tale tutorial in upam, da bom s tem dosegel svoj cilj to je: priklop iz xyz public omrezja na svoj VPN.
čuhalev ::
harmony ::
Je kdo mogoce ze sprobal OpenVPN na Raspberriju? Mogoce bi ta svoj "projekt" zacinil tako, da bi se tanovi Raspberry Pi3 vkljucil. Nakup novega ruterja pa vsekakor ostane, ker se mi neda jajcat in stet free kilobajte.
gslo ::
za openvpn toplo priporočam pfsense, namestite ga lahko praktično kamorkoli, pa še powerful fw dobite zraven.
SasoS ::
Na archerju lepo teče OpenVPN.
Glede server ali router vprašanja je pa čisto odvisno od konfiguracije. Nekje imam tako, da se server vpn-ja na router
Glede server ali router vprašanja je pa čisto odvisno od konfiguracije. Nekje imam tako, da se server vpn-ja na router
Daniel ::
TPLink naj bi kmalu zaklepal firmware na svojih routerjih zaradi FCCja.
http://arstechnica.com/information-tech...
Drugače pa dela OpenVPN lepo na OpenWRT. Malce časa si vzami za konfiguracijo pa boš zelo zadovoljen.
http://arstechnica.com/information-tech...
Drugače pa dela OpenVPN lepo na OpenWRT. Malce časa si vzami za konfiguracijo pa boš zelo zadovoljen.
harmony ::
Ruter sem dobil in sedaj poskusam konfigurirati OpenVPN.
Delam po tem tutorialu.
Zal se je zadeva zaustavila ze pri DDNS konfiguraciji. Ne deluje mi namrec avtomatski update na brezplacnega DDNS provajderja.
Ko v konzoli izvedem ukaz:
dobim sledeco napako:
DDNS sem registrial na noip.com
Ni mi jasna napaka "Private or invalid or no IP... given". Nasveti dobrodosli.
Delam po tem tutorialu.
Zal se je zadeva zaustavila ze pri DDNS konfiguraciji. Ne deluje mi namrec avtomatski update na brezplacnega DDNS provajderja.
Ko v konzoli izvedem ukaz:
/usr/lib/ddns/dynamic_dns_updater.sh myddns_ipv4
dobim sledeco napako:
145610 : last update: never 145610 : Detect registered/public IP 145610 : #> /usr/bin/nslookup mojopenvpn.ddns.net >/var/run/ddns/myddns_ipv4.dat 2>/var/run/ddns/myddns_ipv4.err 145610 : Registered IP 'MOJ PUBLIC DINAMICNI IP' detected 145610 info : Starting main loop at 2016-04-02 14:56 145610 : Detect local IP on 'network' 145610 : Local IP '192.168.178.20' detected on network 'wan' 145610 : Update needed - L: '192.168.178.20' <> R: 'MOJ PUBLIC DINAMICNI IP' 145610 WARN : Private or invalid or no IP '192.168.178.20' given! Please check your configuration - TERMINATE 145610 WARN : PID '13987' exit WITH ERROR '1' at 2016-04-02 14:56
DDNS sem registrial na noip.com
Ni mi jasna napaka "Private or invalid or no IP... given". Nasveti dobrodosli.
Daniel ::
Modem ti deluje kot Router. IP ranga 192.*.*.* ni javen. Nastavi internetno pozevljivost na router.
harmony ::
harmony ::
harmony ::
A je 192.168.178. omrežje, ki ga uporabljaš doma za svoj intranet?
Ne intranet je nastavljen na 192.168.2.
Do modema pridem na 192.168.178.1 - ko dam 192.168.178.20 pa pridem na ruter, kateri je tudi dosegljiv na 192.168.2.1
Ocitno sem jaz en n00b, pa neznam nastavit niti osnov od omrezja... :(
WLAN na modemu (namrec ta modem ima tudi wlan) je na disable, zato mi ni jasno kako potem lahko dostopam do interneta preko WLAN-a, kateri je enejblan samo na ruterju.
Zgodovina sprememb…
- spremenil: harmony ()
BlaY0 ::
Iz povedanega sklepam, da je tvoj modem hkrati tudi router in da 2x delaš NAT. Če hočeš na notranjem routerju postaviti VPN server imaš dve varianti. Ena je da modem postaviš v pass-through mode, tako da bo tvoj router dobil javni IP. Druga varianta je pa da na modemu narediš port forwarding nekega porta na tvoj notranji router. Jaz bi v tem primeru recimo poskusil sforwardirati TCP 443 z modema na prav tako TCP 443 na notranji router (192.168.178.20). potem bi pa VPN server na notranjem routerju postavil na ta TCP 443. Seveda ob predpostavki da tega porta ne uporabljaš za kaj drugega.
harmony ::
Hvala za pomoc. Malo se mi ze sanja...mislim, da na tem modemu nimam teh moznosti, katere si opisal, tako da bo tesko karkol narediti.
Gre se za FRITZ!Box Fon WLAN 7140 Annex A modem.
Gre se za FRITZ!Box Fon WLAN 7140 Annex A modem.
BlaY0 ::
Aja, DDNS ti pa itak ne bo delal, ker imaš javni IP na modemu. Razen če tvoj modem podpira kakšno varianto DDNS-ja. Malo razišči.
EDIT: Kolikor berem, tvoj Fritz!Box podpira DynDNS (enako dosegljiv v Expert načinu).
EDIT: Kolikor berem, tvoj Fritz!Box podpira DynDNS (enako dosegljiv v Expert načinu).
Zgodovina sprememb…
- spremenilo: BlaY0 ()
BlaY0 ::
No če malo pomislim bi se tudi DDNS servis na routerju dalo _nahecati_, da bi pogledal kakšen IP ima modem in le tega posredoval dalje. OpenWRT ti dejansko omogoča vse to.
harmony ::
Spregledal sem nastavitev "Expert nacina", zato nisem teh nastavitev nasel. Firemware je v nemscini in ni dovolj le bezno branje, kot je to pri anglescini.
No sedaj je pa tole druga zgodba glede nastavitev v expert nacinu. Bom raziskal kaj se da narediti.
No sedaj je pa tole druga zgodba glede nastavitev v expert nacinu. Bom raziskal kaj se da narediti.
harmony ::
Hehe. Boljsi ruter sem kupil zaradi treh razlogov. Da se ucim, dobil sem ga zastonj - imel sem preko firme en kupon za 100€, pa da res nastavim OpenVPN, ter se kaksne dodatne funkcije.
Sem pa prejle flesal modem z angleskim firemware, ker nemscine, kater jezik sicer govorim, nemaram videt na serverjih, ruterjih, modemih...
Grem zdej na en sprehod, potem pa dalje. :)
Sem pa prejle flesal modem z angleskim firemware, ker nemscine, kater jezik sicer govorim, nemaram videt na serverjih, ruterjih, modemih...
Grem zdej na en sprehod, potem pa dalje. :)
BlaY0 ::
Fritzi so precej zmogljivi routerji/modemi, omogočajo marsikaj. Ne bi se čudil, če bi tvoj direktno podpiral celo OpenVPN VPN implementacijo.
harmony ::
Fritzi so precej zmogljivi routerji/modemi, omogočajo marsikaj. Ne bi se čudil, če bi tvoj direktno podpiral celo OpenVPN VPN implementacijo.
Mogoce novejse razlicice, pri tem sem sedaj sel skozi vse menije in nisem opazil OpenVPN-ja.
Probal sem DDNS nastaviti preko modema, ampak ni prislo do updejta na noip.com strani. To bi moralo dejansko delovati, saj gre direktno iz modema. Poskusil sem tako http kot https.
Bi pa vprasal se glede tvojega predloga o portforwardu. Je tole pravilna nastavitev? Dejansko ni veliko za nastaviti.
BlaY0 ::
Da, to je zadosti. Lahko poskusiš DDNS z routerja. Verjetno bi moral malo predelati skripto updater.sh, tako da bi mu namesto funkcije ki pridobi wan IP, podturil nekaj v smislu:
...in bi to potem počel periodično, s tem da bi montiral trigger, ki bi poslal update samo ob dejanski spremebi IP-ja.
MYPUBIP=$(wget -qO - http://ipinfo.io/ip)
...in bi to potem počel periodično, s tem da bi montiral trigger, ki bi poslal update samo ob dejanski spremebi IP-ja.
Zgodovina sprememb…
- spremenilo: BlaY0 ()
harmony ::
Sem resil se z bolj enostavno metodo in sicer uporabil sem namesto "Network" oz. "Interface" kar update URL.
Edino v LUCI ne prikaze pravilnega IP naslova.
Tvoja metoda je tudi super in je za sprobat. Najbrz pa je to treba v "dynamic_dns_functions.sh" datoteki spremeniti?
option ip_url 'https://dynupdate.no-ip.com/nic/update'
Edino v LUCI ne prikaze pravilnega IP naslova.
Tvoja metoda je tudi super in je za sprobat. Najbrz pa je to treba v "dynamic_dns_functions.sh" datoteki spremeniti?
BlaY0 ::
Ja, saj to je popolnoma enaka metoda kot sem jo predlagal, samo nisem vedel da je že implementirana v skriptah.
Valda da v LUCI ne vidiš, LUCI ve samo kakšni IP-ji so na routerjevih interfejsih. LUCI ne ve da ti 2x delaš NAT translacijo.
Zdi se mi da ti ne bo treba nič čarat s triggerjem, ker "option ip_url" nazaj že vrne dva parametra (prvi je chg/nochg drugi pa IP). Predvidevam, da če je prvi nochg, se skripta zaključi. Torej vse kar nucaš je da ukaz, ki si ga poganjal iz ukazne vrstice, spraviš v cron in ga poganjaš recimo na eno uro ali kaj podobnega.
Zdaj samo še OpenVPN server postavi, samo vedi da moraš glede na port forwarding uporabiti opciji "proto tcp" namesto "proto udp" ter "port 443" namesto "port 1194". Enako velja potem na klientski strani... izbereš tcp ter port 443.
Valda da v LUCI ne vidiš, LUCI ve samo kakšni IP-ji so na routerjevih interfejsih. LUCI ne ve da ti 2x delaš NAT translacijo.
Zdi se mi da ti ne bo treba nič čarat s triggerjem, ker "option ip_url" nazaj že vrne dva parametra (prvi je chg/nochg drugi pa IP). Predvidevam, da če je prvi nochg, se skripta zaključi. Torej vse kar nucaš je da ukaz, ki si ga poganjal iz ukazne vrstice, spraviš v cron in ga poganjaš recimo na eno uro ali kaj podobnega.
Zdaj samo še OpenVPN server postavi, samo vedi da moraš glede na port forwarding uporabiti opciji "proto tcp" namesto "proto udp" ter "port 443" namesto "port 1194". Enako velja potem na klientski strani... izbereš tcp ter port 443.
harmony ::
Sem skoraj koncal, ampak stvar ne deluje.
Certifikate sem uspesno kreiral na drugi masini, jih prekopiral na ruter. Konfiguriral firewall...
Glede na tutorial bi ob zagonu OpenVPN moral dobiti v logu sledec output:
Jaz dobim:
Pa v LUCI bi moral OpenVPN kazati, da je startan, pri meni pise da ni.
Ideje?
Certifikate sem uspesno kreiral na drugi masini, jih prekopiral na ruter. Konfiguriral firewall...
Glede na tutorial bi ob zagonu OpenVPN moral dobiti v logu sledec output:
Thu Aug 20 20:49:02 2015 OpenVPN 2.3.6 mips-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Jun 18 2015 Thu Aug 20 20:49:02 2015 library versions: OpenSSL 1.0.2d 9 Jul 2015, LZO 2.08 Thu Aug 20 20:49:03 2015 Diffie-Hellman initialized with 2048 bit key Thu Aug 20 20:49:03 2015 Socket Buffers: R=[163840->131072] S=[163840->131072] Thu Aug 20 20:49:03 2015 TUN/TAP device tun0 opened Thu Aug 20 20:49:03 2015 TUN/TAP TX queue length set to 100 Thu Aug 20 20:49:03 2015 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0 Thu Aug 20 20:49:03 2015 /sbin/ifconfig tun0 10.8.0.1 netmask 255.255.255.0 mtu 1500 broadcast 10.8.0.255 Thu Aug 20 20:49:03 2015 GID set to nogroup Thu Aug 20 20:49:03 2015 UID set to nobody Thu Aug 20 20:49:03 2015 UDPv4 link local (bound): [undef] Thu Aug 20 20:49:03 2015 UDPv4 link remote: [undef] Thu Aug 20 20:49:03 2015 MULTI: multi_init called, r=256 v=256 Thu Aug 20 20:49:03 2015 IFCONFIG POOL: base=10.8.0.2 size=252, ipv6=0 Thu Aug 20 20:49:03 2015 Initialization Sequence Completed
Jaz dobim:
root@OpenWrt:~# cat /tmp/openvpn.log Options error: You must define private key file (--key) or PKCS#12 file (--pkcs12)
Pa v LUCI bi moral OpenVPN kazati, da je startan, pri meni pise da ni.
Ideje?
BlaY0 ::
Ne nujno. Lahko mu podaš private key v ločeni datoteki. Se pravi rabiš 3 fajle... CA certifikat, server certifikat ter server private key. Daj postaj /etc/config/openvpn fajl.
Zgodovina sprememb…
- spremenilo: BlaY0 ()
harmony ::
Config:
Dolocenih stvari sploh ne vem kaj tocno pomenijo npr:
option server '10.8.0.0 255.255.255.0'
Nisem pa dodal tega:
config openvpn 'custom_config' option config '/etc/openvpn/my-vpn.conf' config openvpn 'myvpn' option enabled '1' option dev 'tun' option port '443' option proto 'tcp' option comp_lzo 'yes' option status '/var/log/openvpn_status.log' option log '/tmp/openvpn.log' option verb '3' option mute '5' option keepalive '10 120' option persist_key '1' option persist_tun '1' option user 'nobody' option group 'nogroup' option ca '/etc/easy-rsa/keys/ca.crt' option cert '/etc/easy-rsa/keys/vpn_home.key' option dh '/etc/easy-rsa/keys/dh2048.pem' option mode 'server' option tls_server '1' option server '10.8.0.0 255.255.255.0' option topology 'subnet' option route_gateway 'dhcp' option client_to_client '1' list push 'comp-lzo yes' list push 'persist-key' list push 'persist-tun' list push 'user nobody' list push 'user nogroup' list push 'topology subnet' list push 'route-gateway dhcp' list push 'route 192.168.2.0 255.255.255.0'
Dolocenih stvari sploh ne vem kaj tocno pomenijo npr:
option server '10.8.0.0 255.255.255.0'
Nisem pa dodal tega:
#redirect ALL traffic through the VPN server (this is IMPORTANT if you don't trust your local network) uci add_list openvpn.myvpn.push="redirect-gateway def1" #push DNS to your clients (this is IMPORTANT if you don't trust your local network) uci add_list openvpn.myvpn.push="dhcp-option DNS 107.170.95.180" uci add_list openvpn.myvpn.push="dhcp-option DNS 50.116.40.226"
Zgodovina sprememb…
- spremenil: harmony ()
BlaY0 ::
Jah narobe si naredil. Za cert si uporabil private key, key-a samega (option key) pa sploh nikjer nimaš definiranega. Daj poglej kaj vse imaš v /etc/easy-rsa/keys/ in ustrezno popravi.
Tale "option server" pomeni v katerem omrežju se bosta nahajala VPN interfejsa. Zdaj odvisno zakaj postavljaš ta VPN, samo zato da prideš do mašin na intranetu ali zato da boš ven hodil z AT IP-jem?
Tale "option server" pomeni v katerem omrežju se bosta nahajala VPN interfejsa. Zdaj odvisno zakaj postavljaš ta VPN, samo zato da prideš do mašin na intranetu ali zato da boš ven hodil z AT IP-jem?
Zgodovina sprememb…
- spremenilo: BlaY0 ()
harmony ::
Jah narobe si naredil. Za cert si uporabil private key, key-a samega (option key) pa sploh nikjer nimaš definiranega. Daj poglej kaj vse imaš v /etc/easy-rsa/keys/ in ustrezno popravi.
Ahhh n00b sem...ko sem kopiral ukaz sem samo spremenil koncnico in ne samega ukaza. Ok bom popravil, pa javim stanje.
BlaY0 ::
VPN interfejse ti ni treba imet v ločenem subnetu (10.8.0.0/24), lahko jih imaš v svojem subnetu (192.168.2.0/24), to ti olajša zadevo, ker ni potrebno postavljati dodatnih rut. Samo pazi, da ti DHCP server ne bo dodeljeval IP-jev z ranga, ki ga boš uporabljal za VPN. Jaz imam recimo za VPN rezervirane IP-je od 11 do 20.
harmony ::
Prvotno tezavo sem zgleda odpravil, edino tale warning mi ni jasen. EDIT: sem popravil s chmod
Subnet sem nazaj dal na 192.168.2.0/24, tako kot si mi rekel. Kje se pa nastavi rezervacija za VPN?
Sun Apr 3 17:05:07 2016 OpenVPN 2.3.6 mips-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Jan 31 2016 Sun Apr 3 17:05:07 2016 library versions: OpenSSL 1.0.2g 1 Mar 2016, LZO 2.08 Sun Apr 3 17:05:07 2016 Diffie-Hellman initialized with 2048 bit key Sun Apr 3 17:05:07 2016 WARNING: file '/etc/easy-rsa/keys/vpn_home.key' is group or others accessible Sun Apr 3 17:05:07 2016 Socket Buffers: R=[87380->131072] S=[16384->131072] Sun Apr 3 17:05:07 2016 TUN/TAP device tun0 opened Sun Apr 3 17:05:07 2016 TUN/TAP TX queue length set to 100 Sun Apr 3 17:05:07 2016 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0 Sun Apr 3 17:05:07 2016 /sbin/ifconfig tun0 192.168.2.1 netmask 255.255.255.0 mtu 1500 broadcast 192.168.2.255 Sun Apr 3 17:05:07 2016 GID set to nogroup Sun Apr 3 17:05:07 2016 UID set to nobody Sun Apr 3 17:05:07 2016 Listening for incoming TCP connection on [undef] Sun Apr 3 17:05:07 2016 TCPv4_SERVER link local (bound): [undef] Sun Apr 3 17:05:07 2016 TCPv4_SERVER link remote: [undef] Sun Apr 3 17:05:07 2016 MULTI: multi_init called, r=256 v=256 Sun Apr 3 17:05:07 2016 IFCONFIG POOL: base=192.168.2.2 size=252, ipv6=0 Sun Apr 3 17:05:07 2016 MULTI: TCP INIT maxclients=1024 maxevents=1028 Sun Apr 3 17:05:07 2016 Initialization Sequence Completed
Subnet sem nazaj dal na 192.168.2.0/24, tako kot si mi rekel. Kje se pa nastavi rezervacija za VPN?
Zgodovina sprememb…
- spremenil: harmony ()
BlaY0 ::
Ne vem na pamet, ker ne uporabljam OpenVPN. Daj tukajle preveri kaj vse se da nastaviti oziroma kaj katera opcija pomeni. Rezervacijo za DHCP boš pa konfiguriral pri DHCP nastavitvah v LUCI.
Pa ne vem če bo tole OK. tun0 device naj ne bi imel enakega IP-ja kot ruterjev lan interfejs.
Pa ne vem če bo tole OK. tun0 device naj ne bi imel enakega IP-ja kot ruterjev lan interfejs.
Zgodovina sprememb…
- spremenilo: BlaY0 ()
harmony ::
Bom pogledal. Ja, sem opazil, da ima device "tun0" isti IP. Moram naredit pavzo. Prejle sem bil prehiter in sem hotel nekaj spremeniti in sem lan interface dal iz static na dhcp ter tako posledicno sam sebe zaklenil (nisem imel dostopa ne do luci, ne do ssh).
Sem potem kabel potegnu direkt iz modema v lan port ruterja, tako da je "ruter" dobil dinamicni IP od modema preko katerega sem se potem lahko povezal.
Sem potem kabel potegnu direkt iz modema v lan port ruterja, tako da je "ruter" dobil dinamicni IP od modema preko katerega sem se potem lahko povezal.
Zgodovina sprememb…
- spremenil: harmony ()
BlaY0 ::
Jaz sem si zdajle v 10 minutah vse skupaj postavil in dela BP.
Če želiš za VPN interfejse uporabljati IP-je v rangu tvojega intraneta (192.168.2.) potem moraš uporabiti TAP interfejs in ga dodati v bridge (tam kjer sta že eth in wlan interfejsa) in potem namesto server opcije uporabiš opcijo server-bridge kjer lahko določiš rang IP-jev ki jih bodo dobili VPN interfejsi. Nato še pri DHCP serverju excludaš ta rang in si zmagal. Skratka simpl k'pasulj...
Če želiš za VPN interfejse uporabljati IP-je v rangu tvojega intraneta (192.168.2.) potem moraš uporabiti TAP interfejs in ga dodati v bridge (tam kjer sta že eth in wlan interfejsa) in potem namesto server opcije uporabiš opcijo server-bridge kjer lahko določiš rang IP-jev ki jih bodo dobili VPN interfejsi. Nato še pri DHCP serverju excludaš ta rang in si zmagal. Skratka simpl k'pasulj...
Zgodovina sprememb…
- spremenilo: BlaY0 ()
harmony ::
Verjamem, da ti je uspelo. Jaz se sele ucim (manjka mi praksa) in upam, da bom kmalu tudi jaz rekel simpl k pasulj. :)
Preden grem naprej bi najprej rad razcistil nekaj stvari oziroma bi rad vedel, ce je tole sploh pravilna konfiguracija na ruterju.
a) LAN (gateway je modem)
b) WAN (ip preko dhcp od modema)
Preden grem naprej bi najprej rad razcistil nekaj stvari oziroma bi rad vedel, ce je tole sploh pravilna konfiguracija na ruterju.
a) LAN (gateway je modem)
config interface 'lan' option ifname 'eth1' option type 'bridge' option _orig_ifname 'eth1 radio0.network1 wlan1' option _orig_bridge 'true' option proto 'static' option ipaddr '192.168.2.1' option netmask '255.255.255.0' option gateway '192.168.178.1'
b) WAN (ip preko dhcp od modema)
config interface 'wan' option _orig_ifname 'eth0' option _orig_bridge 'false' option proto 'dhcp' option ifname 'eth0'
BlaY0 ::
Na pol. Kot prvo lan interface ne rabi gateway-a, ampak ga mora imeti wan, ta pa ga dobi od DHCP-ja na modemu. Tale lan interface pa bi moral biti bridge, v katerem bi bila eth interface ki predstavlja switch ter wlan interface (ter lahko tudi tap interface od OpenVPN-ja), to pa je praktično na vsakem routerju različno.
Prek LuCI-ja lahko vidiš bridge in kateri interfejsi so v njem.
A na modemu pa imaš fiksiran IP, ki ga dobi router prek DHCP-ja (192.168.178.20)?
Prek LuCI-ja lahko vidiš bridge in kateri interfejsi so v njem.
A na modemu pa imaš fiksiran IP, ki ga dobi router prek DHCP-ja (192.168.178.20)?
Zgodovina sprememb…
- spremenilo: BlaY0 ()
harmony ::
Ne, nisem nic fiksiral. wan dobi vedno drugacen IP. Je bolj pravilno 'wan' na ruterju nastaviti na static, pred tem pa seveda fiksno dolociti na modemu IP za wan? Na lan sem izklopil gateway.
A ni ze 'lan' interface bridge?
oziroma preko LuCI-ja:
A ni ze 'lan' interface bridge?
option type 'bridge' option _orig_ifname 'eth1 radio0.network1 wlan1'
oziroma preko LuCI-ja:
poweroff ::
server '10.8.0.0 255.255.255.0' pomeni da boš imel znotraj VPN-ja IPje od 10.8.0.1 (to bo verjetno server) do 10.8.0.254. Topologijo imaš pa subnet, ker je po mojem mnenju v tvojem primeru najbolj optimalno.
Mimogrede, po mojem mnenju bi zadeva lepo tekla na RPi3 (za ene par odjemalcev). Bom malo stestiral.
To rešiš z routo - če je default routa v VPN, potem boš hodil ven z njegovim IPjem (moraš pa še nastaviti IP forwarding!), samo za dostop do intraneta ne rabiš pushnit default route.
Mimogrede, po mojem mnenju bi zadeva lepo tekla na RPi3 (za ene par odjemalcev). Bom malo stestiral.
Tale "option server" pomeni v katerem omrežju se bosta nahajala VPN interfejsa. Zdaj odvisno zakaj postavljaš ta VPN, samo zato da prideš do mašin na intranetu ali zato da boš ven hodil z AT IP-jem?
To rešiš z routo - če je default routa v VPN, potem boš hodil ven z njegovim IPjem (moraš pa še nastaviti IP forwarding!), samo za dostop do intraneta ne rabiš pushnit default route.
sudo poweroff
Zgodovina sprememb…
- spremenilo: poweroff ()
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | OpenVPN na DD-WRTOddelek: Omrežja in internet | 955 (752) | ExSpirit |
» | Mikrotik - OpenVPNOddelek: Omrežja in internet | 1724 (1372) | mrsmoke |
» | Težave z OpenVPN povezavo (strani: 1 2 )Oddelek: Omrežja in internet | 9928 (6824) | čuhalev |
» | Openvpn (strani: 1 2 )Oddelek: Programska oprema | 14733 (6300) | Blisk |
» | OpenVPN - samo dostop do notranjega omrežjaOddelek: Omrežja in internet | 1243 (1155) | poweroff |