|
TOMATO VPN GUI - konfiguracja
|
| hermes-80 |
Dodano 27-03-2014 09:47
|
VIP
Posty: 3682
Dołączył: 21/04/2009 11:24
|
Wygeneruj te klucze na jakiejś dystrybucji linuxa.
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| henrix343 |
Dodano 02-05-2014 01:15
|
User
Posty: 60
Dołączył: 24/02/2014 20:23
|
znalazlem chwile czasu aby wrocic do tematu. sciagnalem i zainstalowalem minta, ale nie wiem jak zainstalowac wersje openvpn v2.2
automatycznie instaluje 2.3.2 a jak sciagne recznie v2.2 to z /.configure | make | make install tylko to pierwsze przechodzi i nie wiem nawet jak uruchomic po tym program...
Sprubuje na 2 kompie z windom odpalic jeszcze raz openvpn i wygenerowac klucze bo z tym linuxem bedzie ciezko...
Połączony z 13 maj 2014 12:57:21:
Dobra udało się na chwilę przysiąść do kompa - z najnowsza wersja openVPN (heartbleed vulnerability) udalo sie wygenerowac klucze.
Teraz tak, mój dostawca ma 'stale' IP (zalózmy 200.200.200.200) ale czasami w najmniej spodziewanych momentach je zmienia, wiec stosuje dynDNS. Rozumiem, ze na routerku podaje w zakladce ->openVPN serwer (Tomato Firmware 1.28.0000 MIPSR2-116 K26 USB BTgui-VPN) tylko port i:
Certificate Authority - dane z ca.crt
Server Certificate - czesc danych z pliku server.crt
Server Key - server.key
Diffie Hellman parameters - dh1024.pem
ta.key pomijamy (nie jest nawet generowany).
I teraz pomóżcie mi zrozumiec zasade dzialania:
Klientem jest komputer z poza sieci domowej wbijam w routerze dynDNS tego kompa w zakładce ->openVPN client:
Certificate Authority - ca.crt
Client Certificate - cześć danych z pliku client1.crt
Client Key - client1.key
i polaczenie jest szyfrowane w tunelu, komputer widzi reszte komputerow za routerem tak jakby byly w sieci lokalnej. Jak teraz przetestować czy wszystko działa i polaczenie jest szyfrowane ?
Klientem może być także moja maszyna 192.168.1.2 czyli komputer, który laczy sie z routerem bezpośrednio po kablu lub kolejny komputer w tym samym pomieszczeniu, który łaczy się po wifi ? Plusem w takim wypadku jest to, ze automatycznie wszystkie polaczenia sa tunelowane i szyfrowane w sieci lan ?
Czemu są tylko 2 zakładki klienta w tomato ?
Edytowany przez henrix343 dnia 13-05-2014 12:57
|
| |
|
|
| khain |
Dodano 13-05-2014 14:39
|
Power User
Posty: 335
Dołączył: 25/07/2007 17:09
|
Tak, hosty są podpięte tak jakby były w sieci LAN, w zależności czy masz typ interfejsu ustawiony na TAP lub TUN to jest to ta sama podsieć lub inna.
VPN działa tylko od strony WAN.
Zakładki klienta służą do podłączenia rutera jako klienta do serwera, który stoi np. na innym routerze. Do skonfigurowania serwera na tomato nie trzeba nic wpisywać w zakładkach klienta.
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
|
| |
|
|
| henrix343 |
Dodano 13-05-2014 16:10
|
User
Posty: 60
Dołączył: 24/02/2014 20:23
|
Acha, czyli jeżeli komputer z poza sieci łączy się z moim VPN to wtedy połączenie jest tunelowane i szyfrowane i ten zewnętrzny komputer widzi to wszystko tak jakby był w LAN - jak to sprawdzić czy wszystko gra i gdzie wpisać te klucze ?
A jeżeli chce mieć takie samo połączenie miedzy komputerami w sieci wewnętrznej ? Np cały ruch z sieci od momentu wpłynięcia pakietów do routera (bo wcześniej chyba się nie da) - i przekazywania do poszczególnych komputerów był szyfrowany ?
Połączony z 22 maj 2014 17:35:34:
Witam ponownie. Zastawiłem sieć VPN - okienko w openVPN GUI jest zielone. Ale niektóre strony podczas korzystania z internetu (większość) się nie ładują, nie można wejść na pocztę. Gdy wpisuje lokalny adres routera to mogę się bez problemu połączyć i zalogować , więc sieć VPN chodzi. Co zrobić aby chodziły stronki netowe ? Pozdrawiam i dzięki za dotychczasowa pomoc.
Edytowany przez henrix343 dnia 22-05-2014 17:35
|
| |
|
|
| turbopecet |
Dodano 28-05-2014 12:39
|
User
Posty: 12
Dołączył: 27/07/2006 18:42
|
Panowie, może ktoś wie co zrobić aby okienko status servera VPN w Tomato było aktywne i pokazywało podpiętych klientów. Wszystko działa gdy klucze są wklejone do odpowiednich pól ale wtedy nvram jest zajęty. Aby zwolnić nvram pliki z kluczami mam na jffs w folderze openvpn a w zaawansowanej konfiguracji VPN podałem ścieżki:
ca /jffs/openvpn/ca.crt
cert /jffs/openvpn/server.crt
key /jffs/openvpn/server.key
dh /jffs/openvpn/dh2048.pem
i skrypt firewalla
iptables -I FORWARD -i br0 -o tap21 -j ACCEPT
iptables -I FORWARD -i tap21 -o br0 -j ACCEPT
Przy takiej konfiguracji i pustych polach w zakładce klucze serwer się uruchamia ale wspomniane na wstępie okno status nie działa. Na jffs tworzy się plik bez rozszerzenia o nazwie status, może trzeba gdzieś podać ścieżkę do tego pliku? |
| |
|
|
| sszpila |
Dodano 28-05-2014 12:53
|
User
Posty: 147
Dołączył: 20/08/2009 10:59
|
Ja mam klucze trzymane na cifs i okienko status działa poprawnie. Pliczek status tworzy się tam gdzie powinien, czyli /tmp/etc/openvpn/server1/
Taką mam custom configuration:
APU2E4 4GB OpenWRT Snapshot
UAP-AC LITE
Xpenology@Microserver gen8
|
| |
|
|
| turbopecet |
Dodano 28-05-2014 20:10
|
User
Posty: 12
Dołączył: 27/07/2006 18:42
|
Dzięki za pomoc wrzuciłem klucze do /jffs/openvpn/server1 i już poprawnie wyświetla status. Oczywiście trzeba zmodyfikować ścieżki do kluczy.
ca /jffs/openvpn/server1/ca.crt
cert /jffs/openvpn/server1/server.crt
key /jffs/openvpn/server1/server.key
dh /jffs/openvpn/server1/dh2048.pem |
| |
|
|
| JFH |
Dodano 27-07-2014 13:49
|
User
Posty: 111
Dołączył: 31/10/2010 13:07
|
jaką komendą "zmusić" klienta openvpn do startu przy włączeniu routera/access pointa ?
klient vpn na wireless ethernet bridge, WAN działa jako port LAN, więc opcja "Start with WAN" nie działa
Połączony z 30 lipiec 2014 19:26:01:
nikt nie wiem, czy nie da rady tego zrobić ?
Edytowany przez JFH dnia 30-07-2014 19:26
|
| |
|
|
| shibby |
Dodano 31-07-2014 13:28
|
SysOp
Posty: 17165
Dołączył: 15/01/2009 20:30
|
w sumie ciekawa uwaga. Nie wiem czy tak zadziała bo router w trybie bridge ma wyłączony firewall i nat, tak więc regułki nie zadziałają. Tylko sam router będzie mógł korzystać z VPNa. Userzy podpięci do niego już nie.
Połączony z 31 lipiec 2014 13:30:56:
Cytat turbopecet napisał(a):
Panowie, może ktoś wie co zrobić aby okienko status servera VPN w Tomato było aktywne i pokazywało podpiętych klientów. Wszystko działa gdy klucze są wklejone do odpowiednich pól ale wtedy nvram jest zajęty. Aby zwolnić nvram pliki z kluczami mam na jffs w folderze openvpn a w zaawansowanej konfiguracji VPN podałem ścieżki:
ca /jffs/openvpn/ca.crt
cert /jffs/openvpn/server.crt
key /jffs/openvpn/server.key
dh /jffs/openvpn/dh2048.pem
i skrypt firewalla
iptables -I FORWARD -i br0 -o tap21 -j ACCEPT
iptables -I FORWARD -i tap21 -o br0 -j ACCEPT
Przy takiej konfiguracji i pustych polach w zakładce klucze serwer się uruchamia ale wspomniane na wstępie okno status nie działa. Na jffs tworzy się plik bez rozszerzenia o nazwie status, może trzeba gdzieś podać ścieżkę do tego pliku?
w przypadku gdy ścieżki do certyfikatów podajesz w polu custom to na zakładce basic powinieneś jako "Authorization Mode" też wybrać Custom. Wtedy pola z zakładki Keys znikają i router wie, że ma brać wszystko z pola custom.
Edytowany przez shibby dnia 31-07-2014 13:30
Router: Unifi Cloud Gateway Fiber
Switch: Unifi USW-Lite-16-PoE
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 4x 2TB SSD
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| JFH |
Dodano 20-09-2014 16:01
|
User
Posty: 111
Dołączył: 31/10/2010 13:07
|
jaką komendą "zmusić" klienta openvpn do startu przy włączeniu routera/access pointa ?
klient vpn na wireless ethernet bridge, WAN działa jako port LAN, więc opcja "Start with WAN" nie działa
podbijam poprzedni post, trochę już przeleżał |
| |
|
|
| macek |
Dodano 12-10-2014 17:17
|
User
Posty: 14
Dołączył: 10/10/2014 08:59
|
Cytat jaką komendą "zmusić" klienta openvpn do startu przy włączeniu routera/access pointa ?
klient vpn na wireless ethernet bridge, WAN działa jako port LAN, więc opcja "Start with WAN" nie działa
Spróbuj coś takiego (znalezione gdzies tam):
# So.....lets just sleep until the sysup signal or we've been up for 5 minutess.
A=600
while [ $A -gt 0 ] && [ $(cut -f1 -d"." /proc/uptime) -lt 300 ] ; do
A=$(( $A - 1 ))
if [ -f /var/notice/sysup ] ; then break; fi
sleep 1
done
service vpnserver1 start
oczywsicie server zmien na klient...
mam podobna sytuacje, ale na serwerze ;)
wklej to w skrypty w INIT |
| |
|
|
| smereka |
Dodano 24-10-2014 17:18
|
User
Posty: 112
Dołączył: 26/01/2012 23:45
|
Mam na RT-N16(tomato by shibby) postawiony server vpn tun. Sieć wydzielona na potrzeby klientów to: 10.8.1.0 255.255.255.0. Sieć lokalna na routerze to: 192.168.1.1/24
Moje pytanie brzmi jak zablokować cały ruch od klienta o adresie 10.8.1.21 do sieci lokalnej. Chodzi mi o całkowite wycięcie, czyli np. brak możliwości pingowania. W drugą stronę czyli ja będąc w sieci lokalnej chciałbym mieć możliwość pingowania oraz wchodzenia np na zasoby sieciowe klienta. Pomoże ktoś? Dziękuję. |
| |
|
|
| JFH |
Dodano 29-10-2014 10:44
|
User
Posty: 111
Dołączył: 31/10/2010 13:07
|
Cytat macek napisał(a):
Cytat jaką komendą "zmusić" klienta openvpn do startu przy włączeniu routera/access pointa ?
klient vpn na wireless ethernet bridge, WAN działa jako port LAN, więc opcja "Start with WAN" nie działa
Spróbuj coś takiego (znalezione gdzies tam):
# So.....lets just sleep until the sysup signal or we've been up for 5 minutess.
A=600
while [ $A -gt 0 ] && [ $(cut -f1 -d"." /proc/uptime) -lt 300 ] ; do
A=$(( $A - 1 ))
if [ -f /var/notice/sysup ] ; then break; fi
sleep 1
done
service vpnserver1 start
oczywsicie server zmien na klient...
mam podobna sytuacje, ale na serwerze ;)
wklej to w skrypty w INIT
działa !! ;)
wielkie dzięki |
| |
|
|
| as-max |
Dodano 19-12-2014 22:14
|
User
Posty: 46
Dołączył: 11/08/2010 20:06
|
Mam postawiony serwer openvpn na asusie rt-n16 w takiej wersji.
Problem polega na tym, że łącząc się po przez klientów np. z windowsa lub z iphone'a nie widzę niektórych komputerów z sieci domowej. Widoczne są np. router, serwer na linuxie, amplituner ale np. laptopów z windowsami już nie widać. Nie odpowiadają również na pingi. Jakiś pomysł - gdzie szukać przyczyny? Dodam, że sieć domowa działa bez najmniejszych problemów i wewnątrz niej wszystkie komputery (serwery) są widoczne.
Asus RT-N16
DH61AG + G630T + Samsung SSD830 Debian Wheezy
Terminal HP-Thin 1,2 GHz Debian Squeeze
|
| |
|
|
| rako28 |
Dodano 05-01-2015 23:34
|
User
Posty: 87
Dołączył: 04/02/2014 19:41
|
witam mam zestawiony vpn tap.Niby wszystko ok dziala,ale po polaczeniu sie klientem z innej sieci mam adres ip tej sieci a nie adres publiczny swojej sieci.jak to zmienic zeby ruch przekierowac przez swoj router i przy probie sprawdzeniq ip bylo to domowe . router z tomato 10.3.3.1 klient vpn dostaje 10.3.3.47. pingi w obie strony ok.ale ip zew. jest z sieci z ktorej sie lacze.
[Asus Tuf ax3000v2 ofv
Asus ax56u Merlin
Netgear WNR3500L v2 Freshtomato
Netgear R8000
|
| |
|
|
| khain |
Dodano 06-01-2015 17:55
|
Power User
Posty: 335
Dołączył: 25/07/2007 17:09
|
Napisz dokładnie jaki masz konfig sieci i co chcesz osiągnąć, bo nie wiadomo o co Ci chodzi.
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
|
| |
|
|
| 21smoczek |
Dodano 16-01-2015 13:48
|
User
Posty: 55
Dołączył: 15/05/2011 19:53
|
Cytat shibby napisał(a):
to takie uzupelnienie mojego tutoriala, ktory dostepny jest w wiki. Tam tez sa skrypty do generowania certyfikatow na linuxie.
Ogolnie nie trzeba miec tomato VPN mod by miec openvpn. Wystarcza optware.
Certyfikaty mozna tez generowac na samym routerze pod warynkiem ze mamy zainstalowane optware.
shibby gdzie dokładnie jest Twoja strona WIKI z opisem? Bo chciałbym postawić server VPN na tomato i przydałaby się jakaś instrukcja. |
| |
|
|
| jaro81 |
Dodano 21-01-2015 07:53
|
User
Posty: 1
Dołączył: 21/01/2015 07:47
|
Cześć. Przyłączam się do pytania 21smoczek . Zacząłem czytać ten tutorial, ale niestety część obrazków do których się odnosi tekst została usunięta z serwera Imageshack a bez tego ciężko cokolwiek zacząć. Może ktoś by odświeżył ten temat?
Pozdrawiam
jaro |
| |
|
|
| cross |
Dodano 19-02-2015 12:30
|
User
Posty: 62
Dołączył: 09/08/2014 02:39
|
Moglibyście hosting zdjęć odświerzyć |
| |
|
|
| sulim |
Dodano 07-05-2015 16:17
|
User
Posty: 21
Dołączył: 10/11/2009 09:36
|
uruchomiłem serwer VPN na routerze WRT54GL z Tomato PL 1.28.0005 108-PL ND VPN na pokładzie
Typ interfejsu TUN
Protokół UDP
Port 1194
Firewall własny
Tryb uwierzytelniania klucz statyczny
Lokalne/zdalne adresy stacji końcowych 10.8.0.1 / 10.8.0.2
wygenerowałem klucz i wkleiłem go w swoje miejsce
tak wygląda tablica routingu
na Komputerze zaisnatlowałem OpenVPN
wkleiłem statyczny klucz w swoje miejsce zawarować pliku config wygląda tak
dev tun21
remote 83.xx.xxx.66
proto udp
port 1194
ifconfig 10.8.0.2 10.8.0.1
secret secret.key
persist-tun
persist-key
keepalive 10 120
cipher AES-256-CBC
comp-lzo
verb 1
Klien prtobuje się łączyć ale nie udaj mu sie logi z OpenVPN GUI
Thu May 07 15:35:53 2015 OpenVPN 2.3.6 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Mar 19 2015
Thu May 07 15:35:53 2015 library versions: OpenSSL 1.0.1m 19 Mar 2015, LZO 2.08
Enter Management Password:
Thu May 07 15:35:54 2015 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Thu May 07 15:35:54 2015 open_tun, tt->ipv6=0
Thu May 07 15:35:54 2015 TAP-WIN32 device [Połączenie lokalne 3] opened: \\.\Global\{5508086D-A810-44AA-87C5-3AF41CB09A2E}.tap
Thu May 07 15:35:54 2015 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.8.0.2/255.255.255.252 on interface {5508086D-A810-44AA-87C5-3AF41CB09A2E} [DHCP-serv: 10.8.0.1, lease-time: 31536000]
Thu May 07 15:35:54 2015 Successful ARP Flush on interface [22] {5508086D-A810-44AA-87C5-3AF41CB09A2E}
Thu May 07 15:35:54 2015 UDPv4 link local (bound): [undef]
Thu May 07 15:35:54 2015 UDPv4 link remote: [AF_INET]83.xx.xxx.66:1194
Efekt jaki chciał bym otrzymać to podpięcie się po serwer VPN na routerze i korzystanie zasobów sieci (udostępnione foldery, drukarki sieciowe itp.)
Będę wdzięczny za pomoc |
| |
|
' target='_blank'>Link
