OK
Spróbuję. Używam od dawna OpenWrt na innych routerach i zdecydowanie mi odpowiada.
DuDuS
Nie jesteś zalogowany. Proszę się zalogować lub zarejestrować.
eko.one.pl → Posty przez woma1
OK
Spróbuję. Używam od dawna OpenWrt na innych routerach i zdecydowanie mi odpowiada.
DuDuS
@Cybe
Aaaa. Teraz widzę. Na EKO mamy dla tego modelu w wersji EU OpenWrt 19.07 oraz 21.02. To mi wystarczy bo obydwie wersje maja WireGuarda.
Co zatem będzie sprawniejsze. OpenWrt w powyższych wersjach czy Gargoyle? Osobiście nigdy z Gg nie korzystałem i jestem przyzwyczajony do OpenWrt z Luci.
DuDuS
Nieważne.
Dzięki za pomoc. Miłego dnia :-)
HI
Nie dla sportu, ale dla zastosowań praktycznych. Teraz wykorzystuję ten router jako AccessPoint, toteż żadna zmiana nie jest mi potrzebna. Ale mam zamiar przeznaczyć go do pracy jako router, a wtedy chcę mieć zarządzanie bardziej pod kontrola niż umożliwia mi to stock. Stąd moje zainteresowanie. Wireguard jest mi konieczny, i już to stanowi cenną wskazówkę. No ale chciałbym wiedzieć jak się ma sprawność i szybkość działania pod gargoile w stosunku do stock. Rozumiem że zarządzalność jest niepórwnanie większa (podobnie jak OpenWrt). Potwierdź lub zaprzecż.
I jeszczs jedno. Czy lepszym wyborem jest jako router niewielkuiej sieci jest stary dobry Netgear WNDR4300 z OpenWrt 19 czy ten TP-LINK pod Gargoule 14?
DuDuS
He! He! He!
Nie jestem pacyfistą! Strzelam sportowo z broni palnej :-)
Nie pragnę sławy. Bynajmniej, nie z powodu fałszywej skromności :-)
Nie chcę być wiecznie młody. Muszę umrzeć aby zrobić miejsce dla moich i Twoich prawnuków na tej ziemi (bo z wnukami się pomieścimy) :-)
W kilku słowach, czym gargoyle będzie górowało nad stock (poza oczywiście Wireguard, a to bardzo dużo). Szybszy? Więcej funkcji? Większa swoboda konfigurowania? No i co tam jeszcze.
DuDuS
Podsumowując. Gdybyś miał ten router to wgrał byś gargoyle (oczywiście pomijając OpenWrt bez Luci, ktory preferujesz)?
HI
Kurczę, jakoś się przyzwyczaiłem do OpenWrt. Ale przecież trzeba w życiu sięgać po nowe rzeczy.
1. Co zyskam (w kilku słowach) przechodząc na tym urządzeniu ze stock na gargoyle?
2. Czy będę miał Wireguard (zarówno client jak i server), na czym mi bardzo zależy
3. Jak najbezpieczniej przeflashować
4. Podaj link bardzo proszę do obrazu
5. Czy (jak by co) można wrócic do stock?
DuDuS
HI
Dzięki Cezary. To kiszka. Lubie Luci i posługuje się na co dzień w moich routerach z Twoim OpenWrt. Oczywiście, można grzebać po plikach, i czasem (jak konieczne) to robię.
W sumie jednak chyba nie ma sensu przechodzenie na tym sprzęcie na OpenWrt. Kupując kilka lat temu popatrzyłem tylko czy jest dla niego support OpenWrt, i kupiłem. Ale 8MB flash to kiepściutko, i chyba nie warto się bawić. Niby dobry procesor, 128 RAM, a tu niespodzianka, 8MB!
Pytałem tak na przyszłość, bo korzystam obecnie z Mikrotika hAP ac^3. Ale dość mnie wkurza ten ichniejszy system, chociaż podobno jest bardzo sprawny i bezpieczny. Tylko żeby coś tam pogrzebać to tzreba doktorat zrobić z sieci :-)
Jeszcze raz dzięki Cezary i milego wieczoru, a po jutrze super weekendu !!!
DuDuS
HI
No to następne pytanie.
Posiadam TP_LINK Archer C6(EU) ver.2.0 firmware 1.3.7
Chciałbym wgrać OpenWrt. Widzę jednak "u nas" obraz tylko do wersji US. Tutaj https://openwrt.org/toh/tp-link/archer_c6_v2 jest co prawda informacja o wspieraniu wersji EU, jednak nie jest wymieniony support z wersji firmware 1.3.7 (kończy się na 1.3.6). Poza tym wolał bym jednak dobra wersje od Cezarego, bo zawsze z nich korzystam. Zatem pytania:
1. Czy to" https://dl.eko.one.pl/firmware/?version … r-c6-v2-us mogę wgrać do mojego routera?
2. Jeśli nie, to czy jest wersja dla mojego routera?
3. Jeśli nie, to czy będzie?
4. Jeśli nie, to czy mogę zastosować firmware stąd: https://openwrt.org/toh/tp-link/archer_c6_v2 (oczywiście dla EU), który z niżej wymienionych obrazów zastosować i jakim mechanizmem najbezpieczniej będzie przeprowadzić operację:
Factory image
Sysupgrade image
OEM Firmware
Może ktoś już wgrywał OpenWrt na ten router?
DuDuS
OK. Dzięki :-)
Niestety, wyłączenie trasy na Mikrotik powoduję że nie widać juz z jego strony sieci OpenWrt. Natomiast wyłaczenie trasy po stronie OpenWrt nic nie zmienia i OpenWrt widzi Mikrotik.
Zatem mogę zrezygnować ze statycznej trasy tylko po stronie OpenWrt
A jak sobie Wireguard zrobi te trasy? Rozumiem że dynamicznie i nie dopisze ich do konfiguracj?
1. Na Mikrotik tez zlikwidowac Routing? Czy tylko na OpenWrt?
2. Czy ich istnienie w czyms przeszkadza?
3. Jak je powinien zrobić? Dopisze je automatycznie do onfiguracji czy "w locie" będzie je tworzył dla dynamicznie
Dla porządku powinno być tak:
Mikrotik
Allowed Adresses:
10.8.1.11/32
192.168.100.0/24
OpenWrt
Peer
Dozwolone IP:
10.8.1.1/32
192.168.101.0/24
Oczywiście i w jednym i w drugim można zastosować odpowiednio jako pierwszy adres 10.8.1.0/24
ROUTING
MikroTik:
Dest. Adress: 192.168.100.0/24
Gateway: 10.8.1.11
OpenWrt
Statyczne Trasy
Cel: 192.168.101.0/24
Brama: 10.8.1.1
DuDuS
Podczas poprawiania Peera na OpenWrt omyłkowo wpisałem list allowed_ips '10.8.0.1/24' zamiast list allowed_ips '10.8.1.0/24'. I w tym tkwił problem. Teraz juz zaczęło działać. Byl mi DHCP n ie uwaliło. Zaraz zrestartuję OpenWrt i zobaczę co będzie
Dzięki Cezary i wszyscy ktorzy starali sie mi pomoc. miłego wieczoru. mam nadzieje że będzie już OK
DuDuS
Na mikrotiku Allowed Adresses mam:
10.8.1.0/24
192.168.100.0/24
I OpenWrt widzi Mikrotika, ale Mikrotik nie widzu OpenWrt (mowie o sieciach)
---------------------------------------------------------------------------------------------
Dobra. Chyba jest OK. Pomyliłem się w Peer na OpenWrt. Zamiast 10.8.1.0/24 wpisalem 10.8.0.1/24. Poprawiłem i zaczyn a dzialać
DOM już widzi BIURO. Problem był po stronie Mikrotik. Co zrobić aby BIURO widziało DOM?
DuDuS
Walczę z tym. Ale chyba nie dam rady.
Jeśli ustawię tylko to co u Ciebie w poradniku, to niestety sieci się nie widzą wzajemnie. WG nawiązuje połączenie (widzę to i na Mikrotik, i na OpenWrt). Ja już nie wiem, jak mam to zrobić żeby działało w obie strony.
Sekcja dotycząca Wireguard w network jest zatem dobra, bo połączenie jest ustanawiane. Poprawiłem list allowed_ips '10.8.1.0/30' na list allowed_ips '10.8.1.0/24' Zatem pozostaje tylko firewall. Wywalilem zatem z firewall wszystko co wczęsniej dodałem recznie i dotyczyło Wireguard (zone, rule, redirect) i wprowadzilem identycznie linia po linii jak w twoim poradniku korzustając z terminala Putty. Oczywiście zmieniłem port na ten ktory używam.
Jest teraz tak:
-----------------------------------------------------------------------------------------
network:
config interface 'wg0'
option proto 'wireguard'
option private_key 'ONs???='
list addresses '10.8.1.11/32'
option auto '0'
config wireguard_wg0
option public_key '4sG???='
option description 'Dom'
option persistent_keepalive '25'
option endpoint_port '13???'
option route_allowed_ips '1'
option endpoint_host 'XXX.XXX.XXX.XXX'
list allowed_ips '10.8.1.0/24'
list allowed_ips '192.168.101.0/24'
config route
option target '192.168.101.0/24'
option gateway '10.8.1.1'
option interface 'wg0'
-----------------------------------------------------------------------------------------
firewall:
config rule
option src 'wan'
option target 'ACCEPT'
option proto 'udp'
option dest_port '13???'
option name 'Wireguard'
config zone
option name 'wg'
option input 'ACCEPT'
option forward 'ACCEPT'
option output 'ACCEPT'
option masq '1'
option network 'wg0'
config forwarding
option src 'wg'
option dest 'wan'
config forwarding
option src 'wan'
option dest 'wg'
config forwarding
option src 'wg'
option dest 'lan'
config forwarding
option src 'lan'
option dest 'wg'
-----------------------------------------------------------------------------------------
I oczywiście sieci się nie widzą. Co i gdzie mam dodać, aby się widziały? Tego w Twoim poradniku nie ma, stąd moja prośba. Konfiguracje obydwu sieci podalem w pierwszym poście
DuDuS
Ponownie proszę o pomoc w temacie. Przede wszystkim co może być przyczyna blokowania DHCP
DuDuS
@Cezary
OK. Zmieniam na /24
@mar_w
OK. Sprawdzę to wieczorem i postaram się dostosować do Twoich zaleceń.
ALE NADAL NAJWAZNIEJSZE NIE ROZWIĄZANE!!!
Co jest źle w mojej konfiguracji, że Wireguard zablokował DHCP! Bez wyjaśnienia tego problemu nie mogę ruszyć do przodu! Obawa przed ponownym zablokowaniem DHCP po włączeniu Wireguard uniemożliwia mi jakiekolwiek dalsze działania!
Pomóżcie mi Koledzy najpierw zdiagnozować i naprawić ten problem!
DuDuS :-)
@mar_w
Jednym słowem reguła poniżej jest wadliwa:
-------------------------------------------------
config zone
option name 'wan'
option input 'REJECT'
option output 'ACCEPT'
option forward 'REJECT'
option masq '1'
option mtu_fix '1'
list network 'wan'
list network 'wan6'
list network 'vpn1'
list network 'L2TP'
list network 'wg0'
-------------------------------------------------
ponieważ blokuje mi pakiety wracające przez Wireguard. Należy z niej usunąć wg0. Ciekawe jednak ze obydwie sieci widziały się przy tej regule (mówię o vpn1) gdy korzystałem z OpenVPN. A przynajmniej tak to sobie przypominam!
Dobrze kombinuję?
@Cezary
A ja nie twierdzę że Ty użyłeś maski /30. Znalazłem ją w którymś z poradników, i tak wpisałem. Jaka zatem powinna byc prawidłowa maska dla '10.8.1.0, i ogólnie jakie wpisy powinienem mieć jako allowed_ip.
@mar_w
Twoja wypowiedź nic nie wnosi do rozwiązania mojego problemu. Nie oczekują nauczycielskiego rugania, tylko pomocy. Oczywiście że nie korzystałem świadomie jak znawca tematu, tylko starałem się odnalezione przykłady i poradniki dostosować do własnych sieci. I zapewne zrobiłem coś wadliwi, stąd prośba o pomoc. Piszesz że mam groch z kapusta, OK. To podaj mi konkretna konfiguracja jaka powinienem zastosować w moim przypadku. Ja nie chce poznawać tajników sieci komputerowych, gdyż zajmuję się czymś innym. Ale czasem potrzebuję (w miarę własnych możliwości i dzięki życzliwej pomocy Cezarego) coś w sieci skonfigurować, i zazwyczaj daje radę sam (z pomocą poradnikow). Tym razem najwyraźniej temat mnie nieco przerósł. Stąd prośba o pomoc.
@xrace
[custos@MikroTik] /ip/route> print
Flags: D - DYNAMIC; A - ACTIVE; c - CONNECT, s - STATIC, v - VPN
Columns: DST-ADDRESS, GATEWAY, DISTANCE
# DST-ADDRESS GATEWAY DISTANCE
DAv 0.0.0.0/0 JAROSZ 1
DAc 10.8.1.0/24 WG-Server 0
DAc aaa.bbb.ccc.ddd/32 JAROSZ 0
0 As 192.168.100.0/24 10.8.1.11 1
DAc 192.168.101.0/24 bridge 0
JAROSZ to dostęp do internetu PPPoE
Przede wszystkim chodzi mi jednak teraz o wyjaśnienie przyczyn zablokowania DHCP. Nie mogę odpalić ponownie Wireguard na OpenWrt bez rozwiązania tego problemu, bo jak wyjadę z lokalizacji BIURO i znowu się wywali to stracę dostęp.
DuDuS
Zgodnie z dokumentacja na eko.one.pl oraz opisami znalezionymi w internecie np:
https://systemzone.net/wireguard-site-t … outeros-7/
https://netadminpro.pl/wireguard-site-t … -mikrotik/
Oczywiście mogę zmienić, ale na jaką maskę konkretnie (w moim przypadku)
Ja się na tym nie znam jakoś dogłębnie, i znać się nie chcę. Potrzebuję zestawić VPN pomiędzy Mikrotik i Openwrt tak, aby obydwie sieci widziały się wzajemnie. Działało na OpebNPN, ale z pewnych względów muszę przejść na (nawiasem mówiąc dużo szybszy, prostszy i nowocześniejszy) Wireguard.
Inna sprawa, czy maska/30 mogła "uwalić" DHCP, tak jak to opisałem?
DuDuS
HI
I znowu prośba o pomoc. Co jest źle w mojej konfiguracji Wireguard.
BIURO:
Mikrotik
IP publiczne XXX.XXX.XXX.XXx, LAN 192.168.101.0, IP lokalne 192.168.101.1, IP Wireguard 10.8.1.1. Port 13???
DOM
NETGEAR WNDR4300
OpenWrt 19.07-SNAPSHOT r11430-ecbbb373ed / LuCI openwrt-19.07 branch git-22.099.58928-786ebc9
IP publiczne YYY.YYY.YYY.YYY, LAN 192.168.100.0, IP lokalne 192.168.100.1, IP Wireguard 10.8.1.11
Pliki konfiguracyjne NETGEAR (tylko części związane z Wireguuard oraz inne, które mogą być powiązane z Wireguard lub moim problemem, nie chce śmiecić niepotrzebnymi wpisami)):
-----------------------------------------------------------------------------------------
network:
config interface 'wg0'
option proto 'wireguard'
option private_key 'ONs???='
list addresses '10.8.1.11/32'
option auto '0'
config wireguard_wg0
option public_key '4sG???='
option description 'Dom'
option persistent_keepalive '25'
option endpoint_port '13???'
option route_allowed_ips '1'
option endpoint_host 'XXX.XXX.XXX.XXX'
list allowed_ips '10.8.1.0/30'
list allowed_ips '192.168.101.0/24'
config route
option target '192.168.101.0/24'
option gateway '10.8.1.1'
option interface 'wg0'
-----------------------------------------------------------------------------------------
firewall:
config zone
option name 'wan'
option input 'REJECT'
option output 'ACCEPT'
option forward 'REJECT'
option masq '1'
option mtu_fix '1'
list network 'wan'
list network 'wan6'
list network 'vpn1'
list network 'L2TP'
list network 'wg0'
…
config zone
option name 'wg'
list network 'wg0'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'ACCEPT'
option masq '1'
config forwarding
option src 'wg'
option dest 'lan'
config forwarding
option src 'wg'
option dest 'wan'
config forwarding
option src 'lan'
option dest 'wg'
config forwarding
option src 'wan'
option dest 'wg'
config rule
option target 'ACCEPT'
option name 'wireguard'
list src_ip '10.8.1.0/24'
list dest_ip '10.8.1.11/32'
list dest_ip '192.168.100.1'
option src 'wan'
-----------------------------------------------------------------------------------------
dhcp:
config dnsmasq
option domainneeded '1'
option boguspriv '1'
option localise_queries '1'
option rebind_protection '1'
option rebind_localhost '1'
option local '/lan/'
option domain 'lan'
option expandhosts '1'
option authoritative '1'
option readethers '1'
option leasefile '/tmp/dhcp.leases'
option resolvfile '/tmp/resolv.conf.auto'
option localservice '1'
list rebind_domain 'free.aero2.net.pl'
option quietdhcp '1'
config dhcp 'lan'
option interface 'lan'
option start '150'
option limit '49'
option leasetime '120m'
config dhcp 'wan'
option interface 'wan'
option ignore '1'
config odhcpd 'odhcpd'
option maindhcp '0'
option leasefile '/tmp/hosts/odhcpd'
option leasetr
-----------------------------------------------------------------------------------------
Client2.conf
[Interface]
PrivateKey = DeF???=
Address = 10.8.1.13/32
DNS = 1.1.1.1
[Peer]
PublicKey = 4sG???=
AllowedIPs = 10.8.1.1/32, 192.168.101.0/24
Endpoint = XXX.XXX.XXX.XXX:13???
PersistentKeepalive = 10
-----------------------------------------------------------------------------------------
1. W sieci DOM widzę cała sieć BIURO. Niestety, w sieci BIURO nie widzę sieci DOM ani żadnych w nim komputerów. Łącząc się bezpośrednio z PC w sieci DOM klientem Wireguard (konfiguracja powyżej) widzę oczywiście całą sieć BIURO i wszystkie w niej urządzenia.
2. Co najgorsze, po jakimś czasie działania (kilka dni, nic nie zmieniałem w konfiguracji) Wireguard zablokował DHCP na serwerze sieci DOM (czyli na NETGEAR). Generalnie OpenWrt nie przydzielało IP żadnej podłączonej doń stacji. Status/Aktywne dzierżawy DHCP zupełnie pusto. Dopiero wyłącznie Wireguard i restart routera przywróciło jego normalna pracę (połączyłem się z nim przydzielając karcie sieciowej komputera ręcznie IP). Gdzie tkwi mój błąd (bo to ze go popełniłem nie ulega najmniejszej wątpliwości)
Ja oczywiście wiem, że pierwszą rada jest przejście na najnowsze OpenWrt. Ale to niestety wiąże się z koniecznością konfiguracji routera od początku. Nie da się bowiem przejść z OpenWrt 19 na 23. Brak możliwości aktualizacji z poziomu System/Wgraj nowy obraz firmware. Wolal bym pozostać przy OpenWrt19.
dUdUs
HI Cezary
Jakoś mi BANIP do gustu nie przypadł. Z kilku względów, ale nie będę się rozwodził.
Chciałem zastosować KNOCKD: https://eko.one.pl/?p=openwrt-knockd
Niestety:
opkg update
opkg install knockd
Unknown package 'knockd'.
Collected errors:
* opkg_install_cmd: Cannot install package knockd.
Ja wiem co napiszesz! Żebym skorzystał z FWKNOP. Ale w tym przypadku dla otwarcia danego portu na routerze muszę zainstalowac jakieś dodatkowe oprogramowania na Windows lub Androidzie, a dla mnie to nie tędy droga. Chciałbym najnormalniej w świecie z terminala (Windows czy Android czy Linux)wydac proste komendy dla znanych portów i tyle. Tak działał KNOCKD, i mjnie to by odpowiadało.
Jest jakaś możliwość zainstalowania go na OpenWrt 19.07?
DuDuS
HI
Jeśli można moje "trzy grosze", to od lat korzystam z Luci i jestem bardzo zadowolony. Oczywiście są rzeczy które łatwiej robi się przez terminal, są też takie których się w Luci zrobić nie da. Ale generalnie z 90% konfiguracji działa w Luci "jak talala".
Zapraszam do Mikrotik! Tam jeśli czegoś programiści sami nie zaplanowali, to wszystko trzeba robić skryptami. Przykładem niech będzie Banip, którego na Mikrotik po prostu nie ma! I każdy musi sam wklepać ręcznie w terminalu stosowne regułki. Brrrrr.
Tak więc nie narzekajmy na Luci. Jest OK.
DuDuS
HI
1. A mogę zmienić na inną nazwę użytkownika niż root lub admin?
2. Ponawiam zapytanie: jak najprościej skonfigurować banip tylko i wyłącznie przed atakami "brute force" (a w zasadzie chodzi tylko o logowanie interfejsu Luci)
3. Jeżeli dany IP wpiszę ręcznie do whitelist, a następnie banip dopisze go (w związku z próbami logowania) do blacklist, to czy taki adres zostanie zablokowany czy nie (chodzi mi o uniknięcie sytuacji, w której "po pijoku" zablokuję adsres IP biurowy logując się zdalnie do routera domowego)
DuDuS
eko.one.pl → Posty przez woma1
Forum oparte o PunBB, wspierane przez Informer Technologies, Inc