Nie jesteś zalogowany. Proszę się zalogować lub zarejestrować.
eko.one.pl → Posty przez rpc
to zamiast tamtych dwóch wpisów spróbuj takiego czegoś:
iptables -I FORWARD -i br-lan -o br-lan -j ACCEPTjakby to zadziałało to w network dodaj wpis
config forwarding
option src 'lan'
option dest 'lan'i sprawdź wtedy
jak ssh przechodzi to można tego (dzięki za pomysł cezary)
http://rpc.one.pl/index.php/lista-artyk … ppp-po-ssh
ssh i przez proxy pójdzie
no niby tak ale
próbowałeś może takiej konstrukcji ?
iptables -I FORWARD -s 192.168.2.0/24 -d 192.168.193.0/24 -j ACCEPT
iptables -I FORWARD -s 192.168.193.0/24 -d 192.168.2.0/24 -j ACCEPTz konsoli i zobacz wtedy czy pakiety idą
nie znam multiwana i nie korzystam ale sprawdź wynik polecenia
ip rule show
ip route showpowinny być utworzone oddzielne trasy dla każdego wana. Jeśli tego nie ma to jest przyczyna
a zmień sposób połaczenia z udp na tcp i wtedy zobacz
no to niech tomi513 się wykaże i maźnie jakiś wizard
wszyscy na tym skorzystamy
dla luci już jest a gargoyle nie używam
opkg install luci-app-openvpnTo jest tylko certyfikat klienta. W Common Name może być wpisane cokolwiek nieważne czy nazwa hosta klienta czy nazwa użytkownika.
Ważne jest tylko na serwerze.
Ja stosuję sobie zasadę taką
Dla hostów tudzież routerów klienckich stosuje nazwę dns danej maszyny
Dla Userów (czyli mnie, Ciebie co mamy laptopy przenośne) stosuje imienne certyfikaty
Dla serwerów openvpn zawsze nazwę dns.
Daje to to, że masz kontrolę nad tym kto się loguje.
Oczywiście można tak skonfigurować openvpn, że będzie zaglądał co jest w certyfikacie i czy się to zgadza (znaczy nazwa dns) ale w przedstawionej konfiguracji tego nie ma.
Acha jeszcze jedno. Jak generujesz certyfikat z hasłem pkcs12 i chcesz go używać to pamiętaj że w czasie uruchomienia openvpn będzie pytał o hasło do certyfikatu. Da się to ominąć ale miej tego świadomość
O ile to nie problem pod klientami mobilnymi (windows/ubuntu) bo się hasło poda na laptopie
o tyle na routerze który ma działać bez obsługowo może być to problemem
bo user istnieje
albo używasz
build-key
albo
build-key-pass
albo
build-key-pkcs12
dla tego samego usera. Po prostu user już istnieje
zrób
build-key-pkcs12 user1
i będzie ok
@carlo497
musisz ustawić w bridge (dev tap) inaczej dekodery się nie zobaczą
http://wiki.openwrt.org/doc/howto/vpn.openvpn
@badziewiak
a ciekawe wczoraj generowałem certyfikaty na wr1043nd i nie było problemów. Nawet easy-rsa + openssl-util pobrałem z openwrt.org bo mi się nie chciało kompilować. A nie ja mam opewrt a nie garygole mim że to to samo to kto wie jakie różnice drzemią
dobra
zrób jeszcze raz wszystko od nowa
pokaż wynik
cat /etc/easy-rsa/vars
clean-all
build-ca
ls /etc/easy-rsa/
build-key-pass useru mnie działa proszę
root@OpenWrt:~# build-key-pass user
NOTE: If you run ./clean-all, I will be doing a rm -rf on /etc/easy-rsa/keys
Generating a 1024 bit RSA private key
.++++++
...............................++++++
writing new private key to 'user.key'
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [PL]:
State or Province Name (full name) [Lodz]:
Locality Name (eg, city) [Wolborz]:
Organization Name (eg, company) [rpc.one.pl]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) [user]:
Name []:
Email Address [rpc@rpc.one.pl]:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Using configuration from /etc/easy-rsa/openssl.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName :PRINTABLE:'PL'
stateOrProvinceName :PRINTABLE:'Lodz'
localityName :PRINTABLE:'Wolborz'
organizationName :PRINTABLE:'rpc.one.pl'
commonName :PRINTABLE:'user'
emailAddress :IA5STRING:'rpc@rpc.one.pl'
Certificate is to be certified until Apr 9 21:38:53 2022 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updatednie rozumiem
przecież tam jest opisany serwer openvpn
a co do klienta na PC to na jaki system ? Na windows masz opisane na linux rozwiń sobie zakładkę pod opisem klienta i będziesz miał oryginalny konfig
tam są niektóre opcje poukrywane dla czytelności. poodkrywaj sobie.
Dwie uwagi
1) kolejność wpisów w /etc/config/network nie jest przypadkowa i nie można zamieniać wierszami ot tak sobie.
2)przydało by się dla czytelności napisać w opisie pod obrazkiem numery VLAN a jeszcze lepiej (bo to nie tajemnica pewnie) podać prawdziwe numery VLAN od dostawcy i jaki to dostawca.
poprawione
w której sekcji
Zapraszam
http://rpc.one.pl/index.php/lista-artyk … -w-openwrt
czekam na uwagi i spostrzeżenia - zawsze można poprawić.
bo coś pewnie zwalili w openwrt
jak nie przeszkadza ci losowy adres MAC to będzie działać
ip link add link eth0.1 name eth2 type macvlana komunikat wynika z niemożności zmiany adresu MAC
oto przykłąd
root@OpenWrt:~# ifconfig eth2 hw ether 01:23:45:67:89:AB
ifconfig: SIOCSIFHWADDR: Cannot assign requested addressjeśli rzeczywiście jest to oddzielny router z inną podsiecią w lan i nie jest to główny router to rzeczywiście brak trasy do sieci odległej było przyczyną
no to w takim razie standardowo
schemat sieci z adresacją
na poczatek
jeśli jest tak jak piszesz to firewall
iptables -I forwarding_rule -i br-lan -o tun+
iptables -I forwarding_rule -i tun+ -o br-lanpoza tym czytać i jeszcze raz czytać
http://eko.one.pl/forum/viewtopic.php?id=3289
http://rpc.one.pl/index.php/lista-artyk … ptem-hasem
transmision pracuje na jakimś porcie nie ?
więc połącz iptables + znakowanie pakietów + routing
z tym switchem
http://realtek.info/pdf/rtl8366_8369_datasheet_1-1.pdf
na 78 , 81 stronie
adres 0x0000 bit 6 EN_IGMP domyślnie ma wartość 0b0 czyli wyłączony jakby przestawić na 0b1 to switch dostałby wsparcie igmp snooping
inszo potrzeba osoby która potrafiła by to zrobić w openwrt
zawsze przy przeklejaniu istnieje niebezpieczeństwo że coś się nie tak wklei
Przede wszystkim jak to robisz przez putty (vim, nano) - tu polecam tylko i wyłącznie nano, przez winscp ?
Ja to zawsze robię sobie przez nano w puttym i jeszcze mnie nie zawiodło nigdy. Wklejałem ze stron itd.
przyznam szczerze, że komendy uci mnie mierzą więc ja zawsze lubię czyste pliki konfiguracyjne.
Więc na przyszłość zawsze sprawdzaj wpisy za pomocą
uci show XXXXX
każdy wiersz się powinien tam znaleźć jak nie ma to tu szukać problemu
Ps. podaj konfigurację udpxy przyda się innym
A w ogóle to podziękowaniem będzie jak po wszystkim na openrouter.info w dziale forum openwrt wstawisz rysunek swojej sieci co chcesz uzyskać i opiszesz swoją całą konfigurację w HOWTO
port 0 - WAN untaged (internet - 213.154.24.0/24), tagged 350 (iptv - 172.18.12.0/22), tagged 400 (managed - 172.14.16.0/22) port 1 - LAN (192.168.10.1) only untaged + NAT port 2 - iptv untaged Vlan350 port 3 - iptv untaged Vlan350, na razie jest tak, ale docelowo ma byc tak jak port 1, czyli LAN (192.168.10.1) only untaged + NAT port 4 - WAN untaged (internet - 213.154.24.0/24), tagged 350 (iptv - 172.18.12.0/22), tagged 400 (managed - 172.14.16.0/22)
ja bym na podstawie tego co dałeś zrobił tak - dokładnie kolejność wpisów ważna w /etc/config/network
jak to nie zadziała to ja już nie wiem. Wedle mojej wiedzy powinno to chodzić bez problemu.
/etc/config/network
config 'interface' 'loopback'
option 'ifname' 'lo'
option 'proto' 'static'
option 'ipaddr' '127.0.0.1'
option 'netmask' '255.0.0.0'
config 'interface' 'vlan400'
option 'ifname' 'eth0.400'
option 'proto' 'dhcp'
option 'gateway' '0.0.0.0'
config 'interface' 'vlan350'
option 'ifname' 'eth0.350'
option 'proto' 'dhcp'
option 'gateway' '0.0.0.0'
config 'interface' 'wan'
option 'ifname' 'eth0.2'
option 'proto' 'dhcp'
config 'interface' 'lan'
option 'ifname' 'eth0.1'
option 'type' 'bridge'
option 'proto' 'static'
option 'netmask' '255.255.255.0'
option 'ipaddr' '192.168.10.1'
config 'switch'
option 'name' 'rtl8366rb'
option 'reset' '1'
option 'enable_vlan' '1'
option 'enable_vlan4k' '1'
config 'switch_vlan'
option 'device' 'rtl8366rb'
option 'vlan' '400'
option 'ports' '0t 4t 5t'
config 'switch_vlan'
option 'device' 'rtl8366rb'
option 'vlan' '350'
option 'ports' '0t 2 3 4t 5t'
config 'switch_vlan'
option 'device' 'rtl8366rb'
option 'vlan' '2'
option 'ports' '0 4 5t'
config 'switch_vlan'
option 'device' 'rtl8366rb'
option 'vlan' '1'
option 'ports' '1 5t'/etc/config/dhcp
config dnsmasq
option domainneeded 1
option boguspriv 1
option filterwin2k 0 # enable for dial on demand
option localise_queries 1
option rebind_protection 1 # disable if upstream must serve RFC1918 addresses
option rebind_localhost 1 # enable for RBL checking and similar services
#list rebind_domain example.lan # whitelist RFC1918 responses for domains
option local '/lan/'
option domain 'lan'
option expandhosts 1
option nonegcache 0
option authoritative 1
option readethers 1
option leasefile '/tmp/dhcp.leases'
option resolvfile '/tmp/resolv.conf.auto'
#list server '/mycompany.local/1.2.3.4'
#option nonwildcard 1
#list interface br-lan
#list notinterface lo
#list bogusnxdomain '64.94.110.11'
config dhcp lan
option interface lan
option start 100
option limit 150
option leasetime 12h
config dhcp wan
option interface wan
option ignore
config dhcp vlan350
option interface vlan350
option ignore
config dhcp vlan400
option interface vlan400
option ignore
/etc/config/firewall
config 'defaults'
option 'syn_flood' '1'
option 'input' 'ACCEPT'
option 'output' 'ACCEPT'
option 'forward' 'REJECT'
option 'drop_invalid' '1'
config 'zone'
option 'name' 'lan'
option 'network' 'lan'
option 'input' 'ACCEPT'
option 'output' 'ACCEPT'
option 'forward' 'REJECT'
config 'zone'
option 'name' 'wan'
option 'input' 'REJECT'
option 'output' 'ACCEPT'
option 'forward' 'REJECT'
option 'masq' '1'
option 'mtu_fix' '1'
option 'network' 'wan'
config 'forwarding'
option 'src' 'lan'
option 'dest' 'wan'
config 'rule'
option 'name' 'Allow-DHCP-Renew'
option 'src' 'wan'
option 'proto' 'udp'
option 'dest_port' '68'
option 'target' 'ACCEPT'
option 'family' 'ipv4'
config 'rule'
option 'name' 'Allow-Ping'
option 'src' 'wan'
option 'proto' 'icmp'
option 'icmp_type' 'echo-request'
option 'family' 'ipv4'
option 'target' 'ACCEPT'
config 'rule'
option 'name' 'Allow-DHCPv6'
option 'src' 'wan'
option 'proto' 'udp'
option 'src_ip' 'fe80::/10'
option 'src_port' '547'
option 'dest_ip' 'fe80::/10'
option 'dest_port' '546'
option 'family' 'ipv6'
option 'target' 'ACCEPT'
config 'rule'
option 'name' 'Allow-ICMPv6-Input'
option 'src' 'wan'
option 'proto' 'icmp'
list 'icmp_type' 'echo-request'
list 'icmp_type' 'destination-unreachable'
list 'icmp_type' 'packet-too-big'
list 'icmp_type' 'time-exceeded'
list 'icmp_type' 'bad-header'
list 'icmp_type' 'unknown-header-type'
list 'icmp_type' 'router-solicitation'
list 'icmp_type' 'neighbour-solicitation'
option 'limit' '1000/sec'
option 'family' 'ipv6'
option 'target' 'ACCEPT'
config 'rule'
option 'name' 'Allow-ICMPv6-Forward'
option 'src' 'wan'
option 'dest' '*'
option 'proto' 'icmp'
list 'icmp_type' 'echo-request'
list 'icmp_type' 'destination-unreachable'
list 'icmp_type' 'packet-too-big'
list 'icmp_type' 'time-exceeded'
list 'icmp_type' 'bad-header'
list 'icmp_type' 'unknown-header-type'
option 'limit' '1000/sec'
option 'family' 'ipv6'
option 'target' 'ACCEPT'
config 'include'
option 'path' '/etc/firewall.user'
#definicja dla vlan350 z nat
config 'zone'
option 'name' 'vlan350'
option 'input' 'REJECT'
option 'output' 'ACCEPT'
option 'forward' 'REJECT'
option 'masq' '1'
option 'mtu_fix' '1'
option 'network' 'vlan350'
config 'forwarding'
option 'src' 'lan'
option 'dest' 'vlan350'
config 'rule'
option 'name' 'Allow-DHCP-Renew-vlan350'
option 'src' 'vlan350'
option 'proto' 'udp'
option 'dest_port' '68'
option 'target' 'ACCEPT'
option 'family' 'ipv4'
config 'rule'
option 'name' 'Allow-Ping-vlan350'
option 'src' 'vlan350'
option 'proto' 'icmp'
option 'icmp_type' 'echo-request'
option 'family' 'ipv4'
option 'target' 'ACCEPT'
# ----- udpxy
config 'rule'
option 'src' 'vlan350'
option 'proto' 'igmp'
option 'target' 'ACCEPT'
config 'rule'
option 'src' 'vlan350'
option 'proto' 'udp'
option 'dest_ip' '224.0.0.0/4'
option 'target' 'ACCEPT'
dodanie trasy multicastowej
ip route add 224.0.0.0/4 dev vlan350co jest odpowiednikiem poniższego wpisu
config 'route'
option 'interface' 'vlan350'
option 'target' '224.0.0.0'
option 'netmask' '240.0.0.0'
option 'gateway' '0.0.0.0'po co gateway jak masz sieć w routingu ? Poza tym chciałeś nata to juz w ogóle gateway nie potrzebny
poza tym jak vlan350 dostaje adres z dhcp to automatycznie dodaje z otrzymanego adresu odpowiednią trasę routingu
na pewno jest podawany dobry adres mac do ISP ? Co o tym mówi tcpdump ?
może ttl ?
kurde znów zapisało się nie pod tym postem gdzie trzeba.
eko.one.pl → Posty przez rpc
Forum oparte o PunBB, wspierane przez Informer Technologies, Inc