28 Marca 2024 10:29:22
Nawigacja
· Strona Główna
· Forum

· Tomato by Shibby
· FreshTomato


Wątki na forum
Najnowsze dyskusje
· [Howto] Xpenology na...
· [MOD] FreshTomato-AR...
· [MOD] Tomato64 (x86-64)
· Optware na CIFS
· RT-AX56U - Status kl...
· Asus TUF-AX3000_V2 p...
· [MOD] FreshTomato-MI...
· Multiroom N z wykorz...
· [S] Asus RT-AC68U E1
· [S] ASUS RT-AC68U
· Rozłączanie klient...
· serwer VPN za wan'em
· Przejscie z dyndns f...
· WDR3600 i problem z WAN
· Jaki USB hub do syno...
· [S] Karta sieciowa Q...
· Asus rt-n18u port fo...
· Netflix dzielenie ko...
· Nextcloud konfigurac...
· Netgear WNR3500L
Najpopularniejsze obecnie wątki
· [MOD] FreshTomato... [869]
· [MOD] Tomato64 (x... [26]
· [Howto] Xpenology... [13]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
36% [151 głosów]

Broadcom ARM
Broadcom ARM
52% [216 głosów]

Atheros
Atheros
5% [22 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
1% [3 głosów]

Intel/AMD/VIA
Intel/AMD/VIA
1% [5 głosów]

Żaden z powyższych
Żaden z powyższych
4% [15 głosów]

Ogółem głosów: 416
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38
Twoje IP
54.227.104.229
Zobacz wątek
OpenLinksys » :: PORTAL :: » Tutoriale
 Drukuj wątek
Zaufany certyfikat SSL dla połączeń https w tomato
Efamon
Witam wszystkich Smile

Ostatnio musiałem odnowić certyfikat na StartSSL dla GUI Tomato i mam problem, choć z tego co sprawdziłem dotyczy również certyfikatów generowanych przez WoSign. Na Chrome oraz IE certyfikaty są rozpoznawane poprawnie (tzn. z całą ścieżką certyfikacji), natomiast Firefox 43.0.4 ma problem z certyfikatami pośrednimi, jakby w ogóle ich nie wczytywał:
Certyfikat nie jest zaufany, ponieważ certyfikat wystawcy jest nieznany.
Serwer może nie wysyłać właściwych certyfikatów pośrednich.
Import dodatkowego certyfikatu głównego może okazać się konieczny.


Nadmienię, że w pliku /etc/cert.pem znajdują się 3 certyfikaty w kolejności: certyfikat dla serwera, certyfikat pośredni oraz certyfikat roota. Mam Tomato w wersji Tomato Firmware 1.28.0000 MIPSR2-132 K26 USB AIO (RT-N).

Czy ktoś wie gdzie może tkwić problem i jak go rozwiązać?
 
kpietrek

Cytat

qrs napisał(a):

udało się, wygenerowałem cert dla ?????.noip.me ważny na 3 lata za free Wink

certyfikat wygenerowałem w serwisie https://buy.wosign.com

Common Name (CN) zweryfikowałem tak jak napisał shibby

Cytat

shibby napisał(a):

3) autoryzacja WWW. Należy umieścić na stronie ze swoją domeną plik z odpowiednim wpisem. I to jesteś w stanie wykonać używając chociażby wbudowanego w tomato nginxa na porcie 80.


Podpowiedzcie proszę jak tego ngixa odpalić by zweryfikowac domenę dla potrzeb certyfikatu. Robie to pierwszy raz.
Netgear R7000 + FreshTomato Firmware 2021.2 K26ARM USB AIO-64K
Asus RT-N18U + FreshTomato Firmware 2021.2 K26ARM USB VPN-64K-NOSMP
Asus RT-AC56U + Tomato Firmware 1.28.0000 -138 K26ARM USB AIO-64K
 
qrs

Cytat

przemasisko napisał(a):

O fajna inicjatywa, Let's Encrypt! Tylko czy certyfikat będzie można wykorzystać w subdomenie? (np. router.serwer.pl). Darmowy StartSSL to potrafi póki co.


let's encrypt jak otrzymujesz to też nie jest zaufany
---
Netgear R7000Netgear WNR3500L v2MikroTik hAP ac^2TP-LINK M7650
 
kpietrek
Po wgraniu nowego softu i czyszczeniu NVRAM jak teraz to ustawić?? Wszystko od początku?? Mam wcześniej wygenerowany cert ssl na wosign.com. Jak przywrócić ponownie ten certyfikat ??

Połączony z 15 luty 2017 19:36:02:
Ok. Już sobie poradziłem.
Edytowany przez kpietrek dnia 15-02-2017 19:36
Netgear R7000 + FreshTomato Firmware 2021.2 K26ARM USB AIO-64K
Asus RT-N18U + FreshTomato Firmware 2021.2 K26ARM USB VPN-64K-NOSMP
Asus RT-AC56U + Tomato Firmware 1.28.0000 -138 K26ARM USB AIO-64K
 
lulo
1.) Czy mógłby ktoś szczegółowo rozwinąć kwestię (wytłuszczonym tekstem) z postu #1-ego ?:

Cytat:
(...)
2) walidacja posiadania zgłoszonej domeny poprzez adres email (konieczność posiadania maila admin@domena, administrator@domena, webmaster@domena etc) lub poprzez wpis CNAME w DNSie
(...)
Ma to związek z niemożnością (a raczej sporą uciążliwością) stawiania specjalnie dla samego kodu weryfikacyjnego dla domeny serwera poczty (dotyczy StartSSL).

2). Czy można zastosować, a jeżeli tak to jak w praktyce, opisany sposób w poście #63, tyle że w lede/openwrt (stosowna składnia, o ile jest ta sama funkcjonalność) ?:

Cytat


(...)
A żeby działał ci lokalnie to w konfiguracji dnsmasq wystarczy dodać wpis by ta domena dla lokalnych zapytań przyjmowała adres ip lokalny np.,
address=/moja.domena.pl/192.168.1.1

Czyli jeżeli z zewnątrz, z internetu ktoś wywoła adres subdomeny np. poczta.domena.pl (który jest lokalnym adresem domenowym wewnętrznego ip, na którym słucha coś - tu w przykładzie np. jakiś serwer poczty), to dnsmasq przetłumaczy to, iż skieruje to na adres lokalny (lokalne ip) ? - dobrze zrozumiałem ?
Bo w LAN to faktycznie wydaje się to nieco bez sensu...

Połączony z 17 luty 2017 16:44:44:
Odnoszę wrażenie, że temat zaledwie został poruszony i brak jakichś na prawdę wyczerpujących opisów dla owych darmowych certów StartSSL, Let's Encrypt, Wosign w kontekście zastosowania tego dla routera i jednocześnie na potrzeby sieci lokalnej za tym routerem...

Połączony z 17 luty 2017 16:48:13:
Tak na marginesie Wosign już zaprzestał możliwości generowania certów domenowych za free.
Edytowany przez lulo dnia 17-02-2017 16:48
 
shibby
Ten opis pokazuje jak dodać posiadamy już certyfikat do routera a nie jak go wygenerować. Jeżeli jest potrzeba przedstawienia dokładniejszego procesu generowania certyfikatu to wystarczy poprosić.

Walidacja za pomocą wpisu w DNSie polega na hmm wpisu w DNSie Smile Nie wiem jak to dokładniej wytłumaczyć. Wybierając tą opcję jesteśmy proszeni by zrobić odpowiedni wpis w DNSie. Ten sposób walidacji zadziała oczywiście gdy posiadamy własną domenę a nie np. tą z dynDNSa.

Na domenę dynDNS lepiej wybrać walidację WWW, gdzie jesteśmy proszeni wstawić pliczek html na serwerze, na który wskazuje domena np. http://moja.domena.pl/blablabla123.html. Gdy wskazany plik będzie dostępny pod wskazanym adresem to znaczy, że mamy prawa do tej domeny.

Jeżeli zaś chodzi o kwestię konfiguracji dnsmasq w openwrt to wystarczy dodać powyższy wpis w plik /etc/dnsmasq.conf, choć można zrobić to też przez /etc/config/dhcp (tu musisz użyć odpowiedniej składni UCI).
https://wiki.openwrt.org/doc/howto/dhcp.dnsmasq
Proxmox VE: i7-7700T, 48GB RAM, 3x2TB SSD, 1x1TB SSD, 512GB NVMe, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology DS920+
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
 
lulo
@shibby - ale co wpisać w polu CNAME (konkretnie) ? Czy to zadziała na StartSSL ?
Mam raczej na myśli darmową domenę na freenom.com, gdzie właśnie można edytować wspomniany rekord CNAME (słynne domeny *.tk za free na max. rok - tak to wygląda obecnie).
Co do dnsmasq, czyli najprościej wpis w /etc/config/dhcp - konkretnie jak ma wyglądać taki wpis ? Bo w Tomato ta składnia wygląda chyba nieco inaczej - to czy użyję uci, czy nano, vi to przecież bez znaczenia - chodzi o to jak taki wpis docelowo w openwrt/lede ma wyglądać.
Edytowany przez lulo dnia 17-02-2017 17:28
 
shibby

Cytat

ale co wpisać w polu CNAME (konkretnie) ?


to co ci każe wystawca certyfikatu podczas składania żądania o certyfikat (CSR). Przykładowo dla Comodo jest to:
.yourdomain.com. CNAME .comodoca.com.


Cytat

Co do dnsmasq, czyli najprościej wpis w /etc/config/dhcp - konkretnie jak ma wyglądać taki wpis


config 'dhcp' 'lan'
list 'address' '/moja.domena.pl/192.168.1.1'

powinno zadziałać.
Proxmox VE: i7-7700T, 48GB RAM, 3x2TB SSD, 1x1TB SSD, 512GB NVMe, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology DS920+
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
 
lulo
Czyli jednak nie da się wykorzystać metody z CNAME w serwisie/u wystawcy cert. StartSSL - tam niestety jest zapytanie tylko o adres e-mail ustawiony na domenie...czyli serwer poczty trzeba jednak stawiać.
Jeżeli się mylę to poproszę o jakiś tutek krok po kroku, jak uzyskać to na StartSSL. No niby w jednej z zakładek wizarda jest coś podobnego (z wykorzystaniem csr swojego certa), ale chyba nie dla typu DV1 niestety (czyli tylko dla domeny).
Generalnie certy na StartSSL ze względu na czas ważności jak i uniwersalność oraz większą elastyczność w wykorzystaniu ich w swoim WAN/LAN wyglądają ogólnie najkorzystniej - z tych za free oczywiście.
Co do dnsmasq to dziękuję za rozjaśnienie - chociaż nie wiem czy to zadziała, bo w openwrt/lede, w stosownych tutkach brak opcji "list address", natomiast reszta wygląda jak zwykłe przekierowanie domeny na IP....no nic, w wolnej chwili to przetestuję.
 
mundeczek
Co do walidacji przez www na dynDNS to postawiłem sobie szybko Apache przez portable xampp i po przekierowaniu portów walidacja zadziałała Grin
Tyle, że nie chce przejść https://domena.dynDNS
Może ktoś jakąś podpowiedź podrzuci?

Połączony z 07 październik 2017 21:43:25:
Jednak zadziałało Grin
Certyfikat generowałem na stronie https://www.sslforfree.com/
Ważny przez 90 dni.
Edytowany przez mundeczek dnia 07-10-2017 21:43
 
overflow2
Wynalazł może ktoś darmową alternatywę dla wosign? Chrome już całkowicie dropuje stronę na tym certyfikacie.
Asus RT-AC56U FT-AIO
 
U53R_
lestencrypt
 
Steel_Rat

Cytat

overflow2 napisał(a):

Wynalazł może ktoś darmową alternatywę dla wosign? Chrome już całkowicie dropuje stronę na tym certyfikacie.

Oczywiście Let's Encrypt.
Taki mały tutorial dla entwer-ng (na optware-ng też powinno działać):
https://github.com/Entware-ng/Entware...7s-Encrypt
Jak ktoś używa LEDE z LUCI to można też zainstalować pakiet luci-app-acme
Ja osobiście przeszedłem na certyfikat z Let's Encrypt.
WRT3200ACN (WRT32X) + OpenWRT 18.06+światełko 150/150 Mb/s
Asus RT-AC68UvE1 + RMerlin + Entware
Netgear WNR3500Lv2 + DDWRT
 
overflow2
Dzięki Steel_Rat właśnie tego szukałem, bo widziałem na eko.one jest generowanie pod lede i szukałem czegoś do tomato. Przetestuję.

Połączony z 27 listopad 2017 19:21:55:
Udało mi się wygenerować cert na wbudowanym nginx-ie, muszę jeszcze wyczaić jak to ustawić w automacie... Niestety wszystkie ustawienia znikają po restarcie routera.
Edytowany przez overflow2 dnia 27-11-2017 19:21
Asus RT-AC56U FT-AIO
 
Steel_Rat
Co znika? Generalnie powinno wszystko działać.
WRT3200ACN (WRT32X) + OpenWRT 18.06+światełko 150/150 Mb/s
Asus RT-AC68UvE1 + RMerlin + Entware
Netgear WNR3500Lv2 + DDWRT
 
overflow2
Chodzi mi o to, że ja wygenerowałem certy na nginx-ie który jest wkompilowany w obraz (nie ten z entware) no i jak wiadomo, wszystkie ustawienia są ładowane do RAMu więc po restarcie całość znika. Certy oczywiście skopiowałem na dysk i je mam, tylko samo konfigurowanie znika.

Przydałoby się zrobić taki generator w gui Grin, to już by była bajka.
Asus RT-AC56U FT-AIO
 
Steel_Rat
Zawsze możesz w ustawieniach nginx w Tomato podać ścieżkę do pliku conf nginx-a, który masz np W jffs.
WRT3200ACN (WRT32X) + OpenWRT 18.06+światełko 150/150 Mb/s
Asus RT-AC68UvE1 + RMerlin + Entware
Netgear WNR3500Lv2 + DDWRT
 
damianssj661
Tomato ARM nie obsługuje setfb64. Wklejam rozwiązanie


 /etc/cert.pem

cat /opt/ssl/mycert.key > /etc/key.pem

service httpd restart


ASUS RT-AC56U
 
kpietrek
Powiedzcie bo napotkałem na błędy i nie wiem jak to ugryźć. Próbuję uruchomić ssl przez let's i utknąłem na etapie generowania certfikatu. Wpisuję:


bash ./dehydrated --domain piast.no-ip.org --cron


i dostaję odpowiedź:


root@unknown:/opt/etc/nginx# bash ./dehydrated --domain piast.no-ip.org --cron
# INFO: Using main config file /opt/etc/nginx/config
Processing piast.no-ip.org
 + Signing domains...
 + Generating private key...
 + Generating signing request...
 + Requesting new certificate order from CA...
 + Received 1 authorizations URLs from the CA
 + Handling authorization for piast.no-ip.org
 + 1 pending challenge(s)
 + Deploying challenge tokens...
 + Responding to challenge for piast.no-ip.org authorization...
 + Cleaning challenge tokens...
 + Challenge validation has failed :(
ERROR: Challenge is invalid! (returned: invalid) (result: {
  "type": "http-01",
  "status": "invalid",
  "error": {
    "type": "urn:ietf:params:acme:error:connection",
    "detail": "Fetching http://piast.no-ip.org/.well-known/acme-challenge/B3wkTkB7QmHpMWEiP1hC6vg5RQZ4aJ6zNBuAEOJ8jeg: Timeout during connect (likely firewall problem)",
    "status": 400
  },
  "url": "https://acme-v02.api.letsencrypt.org/acme/challenge/UgpBG8MJ-kMVFo5YsG73DIHqB-BKFX_Itr7ndL_Pfd8/9383143509",
  "token": "B3wkTkB7QmHpMWEiP1hC6vg5RQZ4aJ6zNBuAEOJ8jeg",
  "validationRecord": [
    {
      "url": "http://piast.no-ip.org/.well-known/acme-challenge/B3wkTkB7QmHpMWEiP1hC6vg5RQZ4aJ6zNBuAEOJ8jeg",
      "hostname": "piast.no-ip.org",
      "port": "80",
      "addressesResolved": [
        "89.72.202.64"
      ],
      "addressUsed": "89.72.202.64"
    }
  ]
})
root@unknown:/opt/etc/nginx#


Powiedzcie co jest tu nie tak? Co powinienem zrobić?
Netgear R7000 + FreshTomato Firmware 2021.2 K26ARM USB AIO-64K
Asus RT-N18U + FreshTomato Firmware 2021.2 K26ARM USB VPN-64K-NOSMP
Asus RT-AC56U + Tomato Firmware 1.28.0000 -138 K26ARM USB AIO-64K
 
khain
Błąd 400 oznacza, że serwer nie mógł obsłużyć zapytania - nie masz serwera http uruchomionego pod domeną piast.no-ip.org albo (tak jak w logu) port 80 nie jest dostępny od strony WAN.
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
 
Przejdź do forum
Zaloguj
Wprowadź adres e-mail lub nazwę użytkownika

Hasło



Nie masz jeszcze konta? Zarejestruj się.

Zapomniałeś/aś hasła?
Aktualnie online
· Gości online: 11

· Użytkowników online: 0

· Łącznie użytkowników: 24,117
· Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.

Adooni
24-03-2024 13:16
Guest network is currently designed to allow the first set of each band (2.4G, 5G, 5G-1) available to the AiMesh node

tamtosiamto
24-03-2024 03:03
ale w 1 jest opcja do wyboru - dla calej sieci albo rutera only i wlasnie o tym mowie, ze nie dziala

Adooni
23-03-2024 16:31
w dokumencie asusa jest ze wlasnie dla 1 ma dzialac na nodach tez

tamtosiamto
23-03-2024 15:39
tak, ale nie zmienia to faktu, ze w pierwszej nie dziala wylaczanie aimesh dla goscinnej( a powinno), czyli jest jakis bug. Mam start soft, bo to dsl-ac68 ktory nie jest juz updateowany

Adooni
22-03-2024 18:07
nie, 1 wsza bedzie wszedzie trzeba 2ga zrobic dla kazdego pasma te nie sa przenoszone

tamtosiamto
19-03-2024 19:57
czyli jak mam jedna siec goscinna to powinno dzialac separowanie gosci od noda -a nie dziala Smile

tamtosiamto
19-03-2024 19:50
@Adooni 'Only one set is available for 1 band' i tak mam-1 set dla 2.4ghz i 1 dla 5ghz-czy czegos nie rozumiemW drugiej sieci goscinnej nie ma opcji wyboru Ruter only/ All nodes

Adooni
19-03-2024 19:14
no to przeczytaj to 2 pod - 1 stet z kazdego pasma jest dopuszczony na nody. zrob 2 siec jako goscinna na danym pasmie i wtedy sprawdz

tamtosiamto
19-03-2024 14:17
@Adooni 'Guest network on AiMesh - Router only'

Adooni
18-03-2024 19:20
Asus napisał coś takiego Note: Guest network is currently designed to allow the first set of each band (2.4G, 5G, 5G-1) available to the AiMesh node. Only one set is available for each band.

70,415,309 unikalnych wizyt