201 Odpowiedź przez miguelos

(14 odpowiedzi, napisanych Oprogramowanie / Software)

ok, cel osiagniety

1. Source NAT - aby pakiet przy przejsciu z neta przez router mial source address routera (bo ten AP nie ma gatewaya)
2. Port forward - aby z zewnatrz z portu xxxx wbic sie port 80 w LANie 192.168.0.0

Idź do forum: Oprogramowanie / Software

202 Odpowiedź przez miguelos

(14 odpowiedzi, napisanych Oprogramowanie / Software)

Cezary napisał/a:

Pokaż

route -n

root@:~# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         x.x.x.x   0.0.0.0         UG    0      0        0 eth0.2
10.1.1.0        0.0.0.0         255.255.255.0   U     0      0        0 br-lan
x.x.x.x    x.x.x.x   255.255.255.255 UGH   0      0        0 eth0.2
172.16.1.0      0.0.0.0         255.255.255.252 U     0      0        0 wg0
x.x.x.x   0.0.0.0         255.255.255.0   U     0      0        0 eth0.2
x.x.x.x   0.0.0.0         255.255.255.255 UH    0      0        0 eth0.2
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 br-lan
192.168.1.0     172.16.1.1      255.255.255.0   UG    0      0        0 wg0

testuje teraz Source NATa..

PS. metoda na :
(sleep 300; reboot) &
i ubicie sleepa wykonuje natychmiast druga komende wink
najpierw trzeba ubic proces -ash big_smile

Idź do forum: Oprogramowanie / Software

203 Odpowiedź przez miguelos

(14 odpowiedzi, napisanych Oprogramowanie / Software)

Cezary napisał/a:

A co wg ciebie jest nie tak?

no w pierwszym wypadku nie otwiera sie www (redirect) na 192.168.0.1 wink

a wget z routera (source 192.168.0.254) jest ok.. czyli translacja nie dziala..
no tak, source jest z neta, a ten AP nie ma default GW, czyli nie wie gdzie pakiet odeslac

Idź do forum: Oprogramowanie / Software

204 Odpowiedź przez miguelos

(14 odpowiedzi, napisanych Oprogramowanie / Software)

na LAN mam 2 adresy : 192.168.0.254 oraz 10.1.1.1
robie port forward z WAN:8888 -> 192.168.0.1:80, tworza sie reguly :

# iptables -L -n -v -t nat | grep 8888
    0     0 SNAT       tcp  --  *      *       10.1.1.0/24          192.168.0.1          tcp dpt:80 /* !fw3: Forward8888 (reflection) */ to:10.1.1.1
    0     0 SNAT       tcp  --  *      *       192.168.0.0/24       192.168.0.1          tcp dpt:80 /* !fw3: Forward8888 (reflection) */ to:192.168.0.254
    0     0 DNAT       tcp  --  *      *       10.1.1.0/24          x.x.x.x      tcp dpt:8888 /* !fw3: Forward8888 (reflection) */ to:192.168.0.1:80
    0     0 DNAT       tcp  --  *      *       192.168.0.0/24       x.x.x.x      tcp dpt:8888 /* !fw3: Forward8888 (reflection) */ to:192.168.0.1:80
    3   156 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:8888 /* !fw3: Forward8888 */ to:192.168.0.1:80

redirect na hosta w LAN 10.1.1.0/24 dziala ok :

# iptables -L -n -v -t nat | grep 8888
    0     0 SNAT       tcp  --  *      *       10.1.1.0/24          10.1.1.22            tcp dpt:80 /* !fw3: Forward8888 (reflection) */ to:10.1.1.1
    0     0 SNAT       tcp  --  *      *       192.168.0.0/24       10.1.1.22            tcp dpt:80 /* !fw3: Forward8888 (reflection) */ to:192.168.0.254
    0     0 DNAT       tcp  --  *      *       10.1.1.0/24          x.x.x.x      tcp dpt:8888 /* !fw3: Forward8888 (reflection) */ to:10.1.1.22:80
    0     0 DNAT       tcp  --  *      *       192.168.0.0/24       x.x.x.x      tcp dpt:8888 /* !fw3: Forward8888 (reflection) */ to:10.1.1.22:80
    4   208 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:8888 /* !fw3: Forward8888 */ to:10.1.1.22:80

ktos wie co jest nie tak ?

Idź do forum: Oprogramowanie / Software

205 Odpowiedź przez miguelos

(8 odpowiedzi, napisanych Oprogramowanie / Software)

PS. Polecam wireguard, przy przepustowosci rzedu 10Mbit obiazenie CPU było max 15%

Idź do forum: Oprogramowanie / Software

206 Odpowiedź przez miguelos

(8 odpowiedzi, napisanych Oprogramowanie / Software)

pozwole sobie dodac troche dokladniejszy opis bez wykorzystania VPN policy based routingu, korzystajac tylko z sekcji network + instalujac wireguarda

Podstawowa konfiguracja (site to site VPN + policy based routing dla 1 klienta)
z perspektywy routera 1
Zalozenia : router 1 lan = 192.168.1.0/24  ; router 2 lan = 10.1.1.0/24
1 host PBR = 192.168.1.97
konfiguracja drugiego routera jest "lustrzanym odbiciem" ponizszej konfiguracji


Instalujemy pakiety (zaleznosci zalatwiaja reszte)

opkg install luci-proto-wireguard
opkg install luci-app-wireguard

Generujemy klucze prywatne i publiczne 

wg genkey | tee privatekey | wg pubkey > publickey

Tworzymy dodatkowa tablice routingu "vpn" :

    cat /etc/iproute2/rt_tables
    #
    # reserved values
    #
    128     prelocal
    255     local
    254     main
    253     default
    10      vpn
    0       unspec
    #
    # local
    #
    #1      inr.ruhep

Calosc konfiguracji mozemy osiagnac przez modyfikacje pliku /etc/config/network :

config interface 'wg0'
        option proto 'wireguard'
        option private_key 'my-private-key'
        list addresses '172.16.1.1/30'
        option listen_port '51820'

config wireguard_wg0
        option endpoint_host 'x.x.x.x'
        option endpoint_port '51820'
        option public_key 'remote-public-key'
        list allowed_ips '0.0.0.0/0'
# zezwalamy na ruch do wszystkich sieci

Kolejna sekcja to PBR, mozemy korzystac z /etc/config/network, albo luci-app-vpn-policy-routing

# dodajemy trasy :

# LAN po drugiej stronie tunelu
config route 'lanbehindtun'
        option interface 'wg0'
        option target '10.1.1.0/24'
        option gateway '172.16.1.2'

# trasa domyslna dla PBR, tabela 10 = vpn :
config route 'defaultviavpntable'
        option interface 'wg0'
        option target '0.0.0.0/0'
        option gateway '172.16.1.2'
        option table '10'

# ip rule dla source routingu
config rule
        option src '192.168.1.97/32'
        option lookup 'vpn'

Modyfikujemy firewall :

# ruch UDP na WAN
config rule
        option target 'ACCEPT'
        option src 'wan'
        option proto 'udp'
        option dest_port '51820'
        option name 'wireguard'

# nowa strefa I ogolne zasady :
config zone
        option name 'wireguard'
        option input 'ACCEPT'
        option forward 'REJECT'
        option output 'ACCEPT'
        option network 'wg0'

# zezwalaj by 1 zdalny klient (PBR) wychodzil do internetu przez lacze drugiego routera
config forwarding
        option dest 'wan'
        option src 'wireguard'

# zezwalaj na ruch z mojego lan do wireguard (tunelu)
config forwarding
        option dest 'wireguard'
        option src 'lan'

# zezwalaj na ruch z tunelu do mojego lan
config forwarding
        option dest 'lan'
        option src 'wireguard'

Idź do forum: Oprogramowanie / Software

207 Odpowiedź przez miguelos

(14 odpowiedzi, napisanych Oprogramowanie / Software)

Cezary napisał/a:

No właśnie save zapisuje tylko a save & apply restartuje też usługi. A ty masz nie zapisywać nic... Nie ma takiego czegoś jak napisałeś w stylu cisco czy mikrotika.

komendy w UCI sa dla mnie karkolomne, pozostaje czysta zabawa iptables hmm
co do reboota :
- reboot z CLI ma tylko delay, ale nie ma opcji cancel
- pewnym obejsciem byloby wrzucenie reboota do crona i kasowanie go jak wszystko jest ok...

wracajac do sedna - jakies sugestie jak sie za to zabrac ? hmm

Idź do forum: Oprogramowanie / Software

208 Odpowiedź przez miguelos

(14 odpowiedzi, napisanych Oprogramowanie / Software)

Cezary napisał/a:

To drugie pytanie: po prostu robisz przez uci bez commita i uruchamiasz sieć/firewall. Skrypty będą widziały zmiany a dopóki tego nie zacommitujesz to nie zostanie zapisane we flash. Zwykły restart i masz od nowa.

Dlatego w tym AP nie masz ustawionego gatewaya?

- nie lubie / nie konfiguruje LEDE przez UCI smile czy SAVE z GUI robi to samo ? (zamiast SAVE & APPLY)
jak sie odetne to zdalny reboot tez nie da rady smile przydaloby sie cos w stylu "reload in 5" (minutes) ktore jest na routerach cisco

- nie ja zarzadzalem tym AP, tylko polecilem by zostal wpiety LANem i wylaczono DHCP - wiec adres jest z defaulta (bez bramy, bo AP sam jest routerem/brama)

Idź do forum: Oprogramowanie / Software

209 Temat przez miguelos

(14 odpowiedzi, napisanych Oprogramowanie / Software)

Hej

W wielkim skrocie :
- mam 2 routerki na LEDE z tunelem wireguard (polecam!) - R1 / R2
- tunel VPN = 172.16.1.x/30
- LAN1 = 192.168.1.x/24
- LAN2 = 10.1.1.x/24
- pelny routing miedzy sieciami LAN1 i LAN2 + PBR (1 host z LAN2 wychodzi przez ISP z R1)

w LAN2 znajduje sie glupi WIFI AP (albo nie glupi) - wpiety LANem, z adresacja 192.168.0.x/24
- jak dam sobie drugi adres na LAN2 to oczywiscie AP jest osiagalny z R2, ale nie z R1, poniewaz ten AP nie ma zadnego default GW, wiec odpowie tylko za komunikacje z wlasnej sieci.

Chcialbym zatem zrobic NATa na LAN2, zeby mozliwa byla komunikacja :
host w LAN1 (moj PC) -> R1 -> tunel -> R2 -> LAN2 druga adresacja
NAT / masq musialby zatem byc na LAN2 br-lan z R2 - jakies sugestie jak to zrobic w LEDE ?

bonus pytanie - wolabym zrobic to z konsoli + zabezpieczyc sie czyms w stylu - zrob reboot za 5 min, zeby nie zwalic sobie konfiguracji. Czy taki reboot jest mozliwy ? (w sensie nie robic trwalych zmian w plikach networks & firewall)

probowalem juz zrobic zwykle przekierowanie portu na R2 (z WAN, z VPNa) na adres 192.168.0.1 (adres APka) ale nic z tego hmm

Idź do forum: Oprogramowanie / Software

210 Odpowiedź przez miguelos

(47 odpowiedzi, napisanych Sprzęt / Hardware)

korni007 napisał/a:

@Cezary a WDR3600? Byłby odpowiedni? czy 8mb flashu starczy? Jeżeli nie to chyba można extroota zrobić?
Jeżeli zdecydowałbym sie na extroot to podczas upgradeu obrazu nic się nie stanie?

Posiadam obecnie 3 routery : 2x3600 i 1xC5
Jak chcesz jakies podstawowe rzeczy to 8MB wystarczy - zainstaluj wersje LEDE i doinstaluj Luci (z wersja mbedtls zamiast openssl zostaje jakies 2.9 MB wolnego), extroot tez nie trudny do zrobienia

a jak ci zalezy na wiecej i AC to poluj na Archera C5 - wyhaczysz na OLXie, tylko trzeba byc cierpliwym, koniecznie wersja z 3 antenami - 1.2 (sam polowalem 5 miesiecy tongue). Openwrt na C5/C7 to dokladnie to samo

Idź do forum: Sprzęt / Hardware

211 Odpowiedź przez miguelos

(2 odpowiedzi, napisanych Oprogramowanie / Software)

2. wiem - ale dla mnie 2 sekundy kosztem 700kB jednak wygralo smile

ok, to temat mozna chyba wywalic ?

Idź do forum: Oprogramowanie / Software

212 Temat przez miguelos

(2 odpowiedzi, napisanych Oprogramowanie / Software)

Nie wiem gdzie to umieścić więc zakładam nowy temat

Nabyłem ostatnio archera c5 i zacząłem się bawić czystym lede bez luci, by unikąć niechcianych pakietów.
Mam 2 pytania/spostrzeżenia

1. Instalacja obrazu factory LEDE na Archer C5 failuje na ostatnim (kilku ostatnich?) obrazach tp-linka, nie pamiętam dokładnie błędu, ale wyrzuca coś jakby nie wykrywał obrazu.. Pomogła dopiero instalacja gargoyle (CC) i na to dopiero LEDE.. to jakiś bug/znany problem ? bo gdyby nie było buildów CC to byłaby bieda..

2. Wygląda, że domyślna instalacja SSL dla luci korzysta z mbedtls - "luci-ssl"
a obrazy na eko korzystaja z "luci-ssl-openssl"
wprawdzie mbedtls jest troche wolniejsze, ale wszystko dziala, a calosc zajmuje 700kB mniej, co może mieć znaczenie przy routerach z mniejszym flash..

Idź do forum: Oprogramowanie / Software

213 Odpowiedź przez miguelos

(8 odpowiedzi, napisanych Oprogramowanie / Software)

keys :

untrusted comment: LEDE usign key of Hans Dedecker
RWRRUfaUIMP1CAL9wvk3ABBHdUM+3SjMvIuJlK68b3b04Pw3wiaiAfxX
untrusted comment: LEDE usign key of Jo-Philipp Wich
RWRypX8hkbIR4FLhtx5pjXcAIsI1iPUIcI5bMG8jZoiCkrwTstECBPqL
untrusted comment: LEDE 17.01 "Reboot" public key
RWR5LZ2bOfGA3FGliZosEDhodiAKDOISmQs/mmjo4rhcbFtqkibJqMzo
untrusted comment: LEDE usign key of Álvaro Fernández Rojas
RWSe9GlCCBAsQwI5+wztnWKHfBlvPFP2G00FvZyx+Wfv9AwSViUwo/s2
untrusted comment: LEDE usign key for unattended build jobs
RWS1BD5w+adc3j2Hqg9+b66CvLR7NlHbsj7wjNVj0XGt/othDgIAOJS+
untrusted comment: eko.one.pl repository
RWTCjitWGehxRtrX7Avh3n9PBQyADMd9gwjg1kW7q6R6WdD+8qzEG26h
untrusted comment: LEDE usign key of Ted Hess
RWTazp1N8WiWvy7rYxstJqaMzGiS4XfW1oyYrk2vwJMRBeBF+8xEA+EZ
untrusted comment: LEDE usign key of John Crispin
RWTdbeDQa709heyMmwDZjWmlhcTCUv/q+3TBYDPdJAGRuys6xcxE09fp

opkg.conf
dest root /
dest ram /tmp
lists_dir ext /var/opkg-lists
option overlay_root /overlay
#option check_signature 1

(ostatnie zaznaczam/odhaczam na testy)

Idź do forum: Oprogramowanie / Software

214 Odpowiedź przez miguelos

(8 odpowiedzi, napisanych Oprogramowanie / Software)

skopiowalem i dalej failuje
klucze ktore byly sa identyczne jak w /rom/etc/opkg/keys jak i na innym routerze
opkg remove opkg ich nie usunal

no to pytanie z innej beczki, bo juz nie pamietam
system instalowalem z obrazu luci lede, jak zrobie upgrade (np. do czystego lede) - to zostana tylko pliki konfiguracyjne (jesli to zaznacze) - ale nie zainstalowanie pakiety ?

Idź do forum: Oprogramowanie / Software

215 Odpowiedź przez miguelos

(8 odpowiedzi, napisanych Oprogramowanie / Software)

no to nie kumam - skoro te pliki zostaly to dlaczego ich nie akceptuje ?
porownalem zawartosc - jest identyczna

Idź do forum: Oprogramowanie / Software

216 Odpowiedź przez miguelos

(8 odpowiedzi, napisanych Oprogramowanie / Software)

mam tam jakies klucze sprzed wywalenia..
no i pytanie czy archer c5 bedzie mial te same klucze co wdr 3600 ?

Idź do forum: Oprogramowanie / Software

217 Temat przez miguelos

(8 odpowiedzi, napisanych Oprogramowanie / Software)

Hej

Nie pytajcie jak, ale tak niefortunnie bawilem sie w putty, ze usunal mi sie opkg smile
jako, ze nie wiedzialem jak go ponownie zainstalowac to skopiowalem opkg, opkg.conf i distfeeds.conf z innego routera

ale przy update otrzymuje :
Downloading http://dl.eko.one.pl/lede/17.01-SNAPSHO … ckages.sig
Signature check failed.
Remove wrong Signature file.

wiem, ze to moge obejsc przez wylaczenie :
#option check_signature 1

ale jakie jest zrodlo problemu, czy moge bez tego dzialac ?

Idź do forum: Oprogramowanie / Software

218 Odpowiedź przez miguelos

(8 odpowiedzi, napisanych Oprogramowanie / Software)

Dla wszystkich szukających podobnego rozwiązania polecam następujący tandem :

Wireguard :
https://danrl.com/blog/2017/luci-proto-wireguard/
https://mullvad.net/en/guides/running-wireguard-router/

VPN policy based routing :
https://github.com/stangri/openwrt_pack … /README.md
https://forum.lede-project.org/t/vpn-po … sion/10389

co udało mi się osiągnąć paroma kliknięciami :
- szyfrowany tunel między dwoma Lanami, ruch w obie strony
- PBR pozwala 1/paru klientom korzystanie z wyjścia przez drugi router

Idź do forum: Oprogramowanie / Software

219 Odpowiedź przez miguelos

(8 odpowiedzi, napisanych Oprogramowanie / Software)

Ad 2) wystarczy kmod-wireguard, po prostu routery trzeba bylo po instalacji zrebootowac
teraz czekaja mnie testy metoda prob i bledow co i jak. Jak mi sie uda to to opisze smile

Idź do forum: Oprogramowanie / Software

220 Odpowiedź przez miguelos

(8 odpowiedzi, napisanych Oprogramowanie / Software)

Nigdy nie robilem zaawansowanego konfigu w LEDE (VPN) a tymbardziej temat wireguard jest dosc nowy, czy ktos moze wypowiedziec sie na nastepujace tematy (podzielic sie jakimkolwiek konfigiem)

wireguard :
- ustawiam klienta allowed IPs na 0.0.0.0/0 - wg. guida to cos w stylu default route
- ustawiam server allowed IP na 10.1.1.100 - tylko ten IP bedzie mogl przejsc przez tunel
- ustawiam adresacje tunelu : 172.16.1.1/30 (server) i 172.16.1.2/30 (klient)



pytania :

1. jak klient ma przepchac cos przez tunel ?
  - router zmieni mu route na podstawie ww konfiga? (chyba marzenia)
  - ustawic mu default gateway na drugi koniec tunelu ? (dhcp, czy static config? no i czy router to obsluzy..)
  - ustawic PBR jak np tutaj :
https://forum.lede-project.org/t/use-wi … -only/7999

2. czy do dzialania wireguard wystarczy kmod-wireguard, czy trzeba jeszcze pakiet wireguard ? (mam jeszcze luci-app-wireguard, luci-proto-wireguard, wireguard-tools)

Idź do forum: Oprogramowanie / Software

221 Odpowiedź przez miguelos

(10 odpowiedzi, napisanych Oprogramowanie / Software)

ostatnia wrzutka/zapytanie
konfiguruje obecnie drugi router z LEDE, zaczalem od wersji bez LUCI by miec jak najmniej pakietow a potrzebne doinstalowac..

no i zauwazylem, ze :
luci + luci-ssl (uzywa mbedtls) 

Configuring libmbedtls.
Configuring px5g-mbedtls.
Configuring libustream-mbedtls.
Configuring luci-ssl.

zajmuje 900kB mniej niz
luci + luci-ssl-openssl

Configuring zlib.
Configuring libopenssl.
Configuring openssl-util.
Configuring libustream-openssl.
Configuring luci-ssl-openssl.

jest jakis powod uzywania openssl a nie luci-ssl (mbedtls) ?

Idź do forum: Oprogramowanie / Software

222 Odpowiedź przez miguelos

(10 odpowiedzi, napisanych Oprogramowanie / Software)

wlasnie przed chwila znalazlem to samo smile
ok, w koncu wszystko dziala, jeszcze potrzeba bylo zalozyc konto i wkleic token API

Idź do forum: Oprogramowanie / Software

223 Odpowiedź przez miguelos

(375 odpowiedzi, napisanych Oprogramowanie / Software)

Hejka, czy obrazy dalej maja ta zawartosc jak w pierwszym poscie :
LEDE -> transmission
LUCI LEDE -> LUCI + Openvpn (bez transmission)

Pytam, bo nie bede korzystac z openvpn, a te kilka kB moze miec dla mnie znaczenie. Zamiast openvpn bedzie wireguard (+ reczna instalacja LUCI)

Idź do forum: Oprogramowanie / Software

224 Odpowiedź przez miguelos

(10 odpowiedzi, napisanych Oprogramowanie / Software)

z zainstalowanym pakietem  libustream-mbedtls
mam w logach
Thu Apr 12 12:30:26 2018 daemon.err uhttpd[4036]: Failed to load ustream-ssl library: Error loading shared library libmbedcrypto.so.1: No such file or directory (needed by /lib/libustream-ssl.so)
Thu Apr 12 12:30:51 2018 daemon.info procd: Instance uhttpd::instance1 s in a crash loop 6 crashes, 0 seconds since last crash

Idź do forum: Oprogramowanie / Software

225 Odpowiedź przez miguelos

(10 odpowiedzi, napisanych Oprogramowanie / Software)

no wlasnie nie mam, luci wymaga libustream-openssl
cshark wymaga libustream-mbedtls
z libustream-mbedtls nie wstaje uhttpd (luci)
z libustream-openssl nie dziala cshark
oba maja taka sama biblioteke, tj. /lib/libustream-ssl.so

Idź do forum: Oprogramowanie / Software