1 Temat przez groszexxx (edytowany przez groszexxx 2024-09-26 23:32:04)

  • Zarejestrowany: 2023-03-15
  • Posty: 35

Temat: ZeroTier w OpenWRT - problem z routingiem statycznym?

Cześć.
Mam taką konfigurację:
NVR > OpenWRT (adres ZeroTier 192.168.191.21) > MF258 (router LTE)
               |
               |
                --> -- > -- > -- > -- > -- > -- > -- > (ZeroTier Tunel)   < -- < -- Truenas Scale (adres ZeroTier 192.168.191.88)

Mam połączenie między OpenWRT, a Truenas. Tunel Zerotier działa.

Niestety, pogubiłem się kompletnie w konfiguracji. I proszę o naprowadzenie. Zaczynam mieć wątpliwości czy moje wymagania nie są z serii: mieć jabłko i zjeść jabłko.
Dla testu PC zastępuję NVR. Stwierdziłem, że żeby pozbyć się problemów z NATem to skonfiguruję OpenWRT jako "głupi AP" 

Praca jako AP (głupi AP, bez maskarady)
Kabel do routera podłączamy do jednego z portu LAN, zakładamy że główny router ma adresację 192.168.1.1.


    # uci set network.lan.ipaddr=192.168.1.2
    # uci set network.lan.gateway=192.168.1.1
    # uci set network.lan.dns=192.168.1.1
    # uci set dhcp.lan.ignore='1'
    # uci commit
    # reboot

Potem wg tego tematu:
https://eko.one.pl/?p=openwrt-zerotier

ale niewiele mi to pomogło. Poza tunelem, czyli, że z 192.168.191.21 (adres zerotier OpenWRT) mogę pingować 192.168.191.88 (adres ZeroTier 192.168.191.88) nic nie osiągnąłęm, a to już miałem na samym początku. Jakieś sugestię?

W panelu ZeroTier w Managed routes mam:
192.168.191.0/24     (LAN).
192.168.1.0/24 via    192.168.191.21   
192.168.1.0/24 via    192.168.191.88   

Wydaje mi się, że na pewno brakuje czegoś co przekieruje mi pakiety z sieci wewnętrznej 192.168.1.155 na tą z ZeroTier 192.168.191.88 . Tylko to by musiało być gdzieś ustawione w OpenWRT?

Na NVR nie mogę dodać żadnego routingu statycznego. No i czy nawet, gdybym z NVR widział TrueNAS - to czy NVR dalej będzie miał też dostęp do internetu żeby dawać obraz z kamer do chmury (to chyba przez p2p się odbywa) ?
Chodzi o to, że wymyśliłem sobie, że będę zapisywał monitoring i na dysku w NVR i na serwerze TrueNAS.

Cały dzień mi zleciał na różnych próbach. Stad post z prośbą o wskazówki.
Pozdrawiam.

Edit:
Pomyślałem, że przyda się konfiguracja Firewalla: 

 
config defaults
        option syn_flood '1'
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'

config zone
        option name 'lan'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'
        list network 'lan'

config zone
        option name 'wan'
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option masq '1'
        option mtu_fix '1'
        list network 'wan'
        list network 'wan6'
        list network 'wwan'

config forwarding
        option src 'lan'
        option dest 'wan'

config rule
        option name 'Allow-DHCP-Renew'
        option src 'wan'
        option proto 'udp'
        option dest_port '68'
        option target 'ACCEPT'
        option family 'ipv4'

config rule
        option name 'Allow-Ping'
        option src 'wan'
        option proto 'icmp'
        option icmp_type 'echo-request'
        option family 'ipv4'
        option target 'ACCEPT'

config rule
        option name 'Allow-DHCPv6'
        option src 'wan'
        option proto 'udp'
        option dest_port '546'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-MLD'
        option src 'wan'
        option proto 'icmp'
        option src_ip 'fe80::/10'
        list icmp_type '130/0'
        list icmp_type '131/0'
        list icmp_type '132/0'
        list icmp_type '143/0'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Input'
        option src 'wan'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        list icmp_type 'router-solicitation'
        list icmp_type 'neighbour-solicitation'
        list icmp_type 'router-advertisement'
        list icmp_type 'neighbour-advertisement'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-IPSec-ESP'
        option src 'wan'
        option dest 'lan'
        option proto 'esp'
        option target 'ACCEPT'

config rule
        option name 'Allow-ISAKMP'
        option src 'wan'
        option dest 'lan'
        option dest_port '500'
        option proto 'udp'
        option target 'ACCEPT'

config redirect
        option src 'wan'
        option proto 'tcpudp'
        option src_dport '1-65535'
        option dest_ip '192.168.1.155'

config zone
        option name 'home'
        option input 'ACCEPT'
        option forward 'ACCEPT'
        option output 'ACCEPT'
        option network 'home'
        option masq '1'

config forwarding
        option src 'home'
        option dest 'wan'

config forwarding
        option src 'home'
        option dest 'lan'

config forwarding
        option src 'lan'
        option dest 'home'

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,048

Odp: ZeroTier w OpenWRT - problem z routingiem statycznym?

Z czym właściwie jest problem? Bo chyba tego jednego zdania zabrakło.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez groszexxx

  • Zarejestrowany: 2023-03-15
  • Posty: 35

Odp: ZeroTier w OpenWRT - problem z routingiem statycznym?

Cześć.
Przepraszam za to, że przedłożyłem problem w tak mało zrozumiały sposób. Godzina i zmęczenie zrobiły swoje.

groszexxx napisał/a:

Poza tunelem, czyli, że z 192.168.191.21 (adres zerotier OpenWRT) mogę pingować 192.168.191.88 (adres ZeroTier 192.168.191.88) nic nie osiągnąłęm

Chciałem przez to powiedzieć, że mam tylko ping między 192.168.191.21, a 192.168.191.88, a potrzebuje oczywiście mieć ping/połączenie między 192.168.1.155, a 192.168.191.88
Chcę żeby rejestrator (192.168.1.155) miał połączenie z serwerem TrueNas (192.168.191.88).

Jeżeli nie rzucają się w oczy jakieś błędy lub braki w konfiguracji, to ja w niedzielę wyresetuje wszystkie ustawienia OpenWRT i spróbuję całą procedurę od nowa.

Wydaje mi się, że jest problem z routes (routing tables?), ale co konkretnie jest źle albo czego brakuje - nie wiem.

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,048

Odp: ZeroTier w OpenWRT - problem z routingiem statycznym?

192.168.1.0/24 via    192.168.191.21   
192.168.1.0/24 via    192.168.191.88 

to raczej jest zle bo wysyła do routerów obie trasy i router w końcu nie wie gdzie co wysłać.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez kmaras77

  • Zarejestrowany: 2020-03-13
  • Posty: 450

Odp: ZeroTier w OpenWRT - problem z routingiem statycznym?

Ja mam tak:
Moja sieć zerotier to 192.168.5.0/24
Routery mają sieci 192.168.x.x
Zerotier ma wychodzić do internetu z  192.168.5.10 a lokalną 192.168.1.0/24 (lan) 192.168.2.0/24    (wan)
routery inne mają podsieci:
192.168.10.0/24  (lan)i 192.168.0.0/24 (wan)

192.168.3.0/24 (lan)

Managed Routes 7/128

0.0.0.0/0     via    192.168.5.10    <- to jest router, który jest głównym i z niego idzie ruch do Internetu z Zerotier
192.168.0.0/24     via    192.168.5.21    <- podsieć na routerze, który ma adres Zerotier 192.168.5.21   
192.168.1.0/24    via    192.168.5.10   
192.168.10.0/24    via    192.168.5.21   
192.168.2.0/24    via    192.168.5.10   
192.168.3.0/24    via    192.168.5.30   
192.168.5.0/24        (LAN)


I generalnie działa - jak się wpisze adres z sieci LAn dowolnego routera, to ma się połączenie.
A jak serwis BPR uzna., że dany pakiet ma iść na główny router z wyjściem do internetu to go kieruje na interfejs zerothier i trafia do głównego routera i idzie w świat.

I dzięki temu w kilku domach działa netflix na jedno konto.

6 Odpowiedź przez groszexxx

  • Zarejestrowany: 2023-03-15
  • Posty: 35

Odp: ZeroTier w OpenWRT - problem z routingiem statycznym?

Dzięki Panowie. Doceniam.

Wieczorem zrobię testy, najpóźniej w poniedziałek napiszę o wynikach.

Pozdrawiam, Groszexxx.

7 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,048

Odp: ZeroTier w OpenWRT - problem z routingiem statycznym?

Inna adresacja na klientach, tak jak @kmaras77 napisał.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

8 Odpowiedź przez groszexxx (edytowany przez groszexxx 2024-10-07 01:47:23)

  • Zarejestrowany: 2023-03-15
  • Posty: 35

Odp: ZeroTier w OpenWRT - problem z routingiem statycznym?

Cześć. Doszedłem w końcu ze wszystkim do ładu. Działa jako tako, chociaż nie ustrzegłem się błędów.

Wydaje mi się, że moje problemy wynikały (i w sumie dalej wynikają) z ustawień firewalla. Największy problem miałem z tym, że nie rozumiałem dlaczego raz mam połączenie, a raz nie. Trzy razy zabierałem się za pisanie tego posta. Dopiero po czasie wyczytałem, że Firewall domyślnie zezwala na połączenie przychodzące, gdy jest już jakieś aktywne połączenie z wewnątrz sieci. Przyznam, że nie mam podstaw, więc mogę to źle opisać.
Miałem sytuację, gdy pingowałem z komputera urządzenie, to nie było połączenia. Spingowałem z OpenWRT IP ZeroTier mojego komputera. I nagle, gdy ponowiłem pingowanie z kompa tego urządzenia, z którym nie było kontaktu, wszystko było ok.

Dygresja:
Cezary, widziałem, że w opisie ZeroTier w ogóle nie poruszasz kwestii, że po każdym restarcie urządzenie będzie zmieniało swój adres, ten na podstawie, którego następuje weryfikacja, czyli za każdym razem trzeba weryfikować urządzenie jeszcze raz. Żeby tego uniknąć trzeba dodać do /etc/config/zerotier  option secret '

config zerotier 'sample_config'
        option enabled '1'
        list join 'my network id'
        option secret 'my key'

Może komuś się to przyda.
Pozdrawiam.

9 Odpowiedź przez Królik

  • Skąd: Warszawa
  • Zarejestrowany: 2015-07-10
  • Posty: 1,106

Odp: ZeroTier w OpenWRT - problem z routingiem statycznym?

Mi się secret sam dodaje po akceptacji w sieci.

Mam i używam: Fujitsu Futro S720, Netgear R6220, Unielec U7621-06, TP-Linki 1043 V1, V2, Linksysy EA7500v2, AeroHive AP350, Linksys EA8500, ZTE MF286d.
Mam: D-Linki DWR-921, DWR-118, DWR-116, TP-Link WDR-4900 v1, Checkpoint L-50, Linksysy 1900ACS, LB-Link BL-W1200,

Królik's Strona

10 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,048

Odp: ZeroTier w OpenWRT - problem z routingiem statycznym?

Tak, dodawał się automatycznie.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona