Po uruchomieniu nodogsplash nie działają te wpisy:
iptables -N forwarding_dnsmasq
iptables -I zone_lan_forward -j forwarding_dnsmasq
iptables -A forwarding_dnsmasq -j REJECTNie jesteś zalogowany. Proszę się zalogować lub zarejestrować.
eko.one.pl → Posty przez khain
Po uruchomieniu nodogsplash nie działają te wpisy:
iptables -N forwarding_dnsmasq
iptables -I zone_lan_forward -j forwarding_dnsmasq
iptables -A forwarding_dnsmasq -j REJECTDomyśliłem się tego, ale co zmienić, żeby to działało?
Korzystam z zapobiegania zmiany IP przez użytkowników http://rpc.one.pl/index.php/lista-artyk … -w-openwrt
Zrobiłem skrypt, który kopiuje odpowiednie kolumny z /tmp/dhcp.leases do /etc/ethers (wymagane, aby działało zapobieganie)
Niestety przestaje to działać, gdy uruchomię nodogpslash, tzn. po ręcznej zmianie adresu IP na końcówce, pojawia się strona z regulaminem (tak miało być), ale dostęp do internetu nadal jest (nie powinny tak być). Co zrobić, aby zapobieganie współdziałało z nodogsplash?
Może karta sieciowa w kompie traci link z routerem podczas jego rebootu i dlatego WOL nie działa. Postaw między kompem a routerem jakiegoś switcha i sprawdź czy moja hipoteza się sprawdzi.
Spróbuj dodać ten komputer do static DHCP leases, wtedy automatycznie doda się do tablicy ARP i wtedy zrób testy.
Działa WOL tylko wtedy jak komputer włączę ręcznie i potem go wyłącze.
I dokładnie tak działa WOL. Jeśli wyłączysz listwę, która zasila komputer to po włączeniu samej listwy zasialącej WOL nie będzie działał. Karta sieciowa będzie nasłuchiwać magic pakietu tylko jeśli komputer wyłączysz z poziomu systemu operacyjnego.
Wyłącz kompa, którego chcesz wybudzić. Odczekaj kilka minut i zobacz na routerze czy nadal widnieje jego wpis w arp za pomocą
arp -aMusisz mieć statyczny wpis w tablicy ARP. Gdy wyłączysz kompa to wpis w ARP znika po jakimś czasie (po 1 minucie?), dlatego pakiet nie budzi kompa.
Spróbuj openmediavault dla rpi. Jest na raspbianie i ma WebUI.
Tak, adres 10.8.0.2 to adres interfejsu tun po stronie klienta, za którym jest podsieć 192.168.1.0
Dodaj te wpisy do pliku /etc/firewall.user to nie będziesz musiał ich wpisywać po każdym restarcie routera.
Spróbuj dodać wpisy z przełącznikiem -I zamiast -A albo wywal -d 10.0.0.1
TAPa stosujesz jeśli potrzebujesz ruch broadcast do i z klienta vpn. Do zastosowań, które wymieniłeś broadcast nie jest potrzebny, więc lepiej będzie zastosować TUN. Będzie mniejszy ruch w tunel vpn.
Zasadniczo tak + dodanie forwardingu lan<->vpn. Ja używam opcji topology subnet i ifconfig-push (przypisanie stałego IP dla klienta) i wpis o routingu do sieci klienta wygląda tak
route 192.168.1.0 255.255.255.0 10.8.0.2Czyli dodana jest informacja przez jaki adres IP pakiet musi wyjść, żeby trafić do tej podsieci. Nie wiem czy bez tego opcja route działa prawidłowo.
Interfejs tap/tun masz zainstalowany w Windowsie? (domyślnie instaluje się wraz opevpn) Może to pomoże http://www.surfbouncer.com/remote_routing.htm
Wszystkie porty są domyślnie zablokowane.
Bezpieczeństwo wifi:
1) używać WPA2 z mocnym hasłem (ja mam 63 lub 64 znakowe) lub serwer radiusa
2) ukrywanie SSID i filtrowanie po MACu nie ma sensu
3) NIE używać Wi-Fi Protected Setup (WPS)
4) zmiana kanału i obniżenie siły sygnału nie wpływa na bezpieczeństwo
5) jeśli z twojego wifi korzystają goście to wydzielić osobną sieć dla nich podpinając do odseparowanego VLANa
Bezpieczeństwo od strony WAN
1) nie otwierać i nie przekierowywać portów, oprócz portu dla vpn
2) jeśli potrzebujesz dostęp do routera lub hostów w domu używaj openvpn (w Gargoyle klucze i konfigi tworzone są automatycznie po skonfigurowaniu openvpn w WebUI)
3) jeśli nie chcesz vpna to otwórz WebUI na niestandardowym porcie (bardzo niebezpieczne, bo nie ma blokady po X nieudanych próbach logowania)
4) można otworzyć ssh od strony WAN na niestandardowym porcie z blokadą po X nieudanych próbach logowania - do wyklikania w Gargoyle
5) w ssh od strony WAN dodatkowo można zablokować dostęp roota i ustawić dostęp dla innego konta oraz dodać go do sudoers (w LUCI można to zrobić z WebUI, nie pamiętam jak było w Gargoyle)
I najważniejsze używać mocnego hasła do WebUI!
firewall.@redirect[8].dest='lan'Adres 192.168.54.28 nie znajduje się w lan tylko w tap0 i pewnie w tym jest problem.
Zainstaluj najnowszego klienta openvpn i uruchamiaj go z uprawnieniami administratora.
Jeśli tunel vpn się zestawi to za pomocą opcji
dhcp-option DNS adres_IP_serwera_DNSustawiasz adres serwera DNS. Gdy tunel się nie zestawi to nazwy musi rozwiązać jakiś inny serwer dostępny dla danego hosta i mogący rozwiązać twoją nazwę domenową. Może to być np. serwer DNS na openwrt, który dla klientów w LAN rozwiąże tą nazwę (dodaj wtedy IP i domenę do pliku /etc/hosts)
Lepiej użyć uwierzytelniania klientów za pomocą klucza współdzielonego i opcji tls-auth
Tak, wystarczy ustawić alternatywny adres DNS.
1) Wskazuje na katalog (o nazwie ccd, w lokalizacji pliku z konfigiem), który zawiera opcje, dla poszczególnych klientów (czyli opcje będą aktywne gdy dany klient się podłączy) https://openlinksys.info/forum/viewthre … ost_134316 (opis jest dla tomato, ale potem wyjaśniłem co powinno znaleźć się w tym katalogu)
2) i 3) masz wyjaśnione w poście nr 6 eko.one.pl/forum/viewtopic.php?id=13826 Czego jeszcze nie wiesz?
Kombinujesz jak koń pod górę z jakimiś skryptami, gdy wszystko można ustawić w konfigu openvpn.
Taki wpisy powinieneś mieć, aby ruch z klienta do Internetu szedł przez tunel vpn:
push "route-gateway 10.8.0.1"
push "redirect-gateway def1"10.8.0.1 to adres ip serwera wewnątrz tunel vpn.
1) Usuń push "redirect-gateway def1" wtedy ruch do Internetu nie będzie szedł przez vpn albo zrób forwarding z vpn do wan
2) Nie bawiłem się tak, więc nie pomogę, ale czy nie lepiej podłączyć się drugim klientem pod serwer vpn? Wtedy będziesz miał podgląd z kamery
3) iptables -A FORWARD -i lan -o vpn -j ACCEPT
Info o sieci za serwerem push "route 192.168.0.0 255.255.255.0"
Info o sieci za klientem route 192.168.0.0 255.255.255.0
Dodaj te opcje do konfigu serwera i zrób forwarding lan<->vpn
Jeśli wyślesz (za pomocą push) info o routingu do podsieci serwera, to w konfigu klienta nie dodajesz opcji routingu.
Nie możesz. Podstawowa zasada adresacji IP.
W czym problem?
Wpisz nazwę kompa, jego MAC adres i adres IP z zakresu DHCP.
eko.one.pl → Posty przez khain
Forum oparte o PunBB, wspierane przez Informer Technologies, Inc