1 Temat przez zaawii

  • zaawii
  • Użytkownik
  • Nieaktywny
  • Skąd: Wrocław
  • Zarejestrowany: 2024-01-25
  • Posty: 63

Temat: BPI-R3 - NordVPN i split tunneling

Przychodzę do Was z prośbą o poradę. Otrzymałem dwuletni pakiet NordVPN i chciałbym z niego jakoś mądrze skorzystać. Posiadam router BPI-R3 i dość sporą siec domową ze smart homne, nasem, kilkunastoma laptopami i telefonami. Aby nie konfigurować VPNa na każdym urządzeniu z osobna ktoś zasugerował mi postawić na routerze split tunneling i ustawić reguły, które urządzenie ma korzystać z VPN a które nie. Czy ktoś z tego korzysta i może podpowiedzieć czy warto i ewentualnie jak to skonfigurować ?
Obecnie mam tylko skonfigurowany WireGuard aby mieć dostęp z zewnątrz do sieci domowej.

Zanim przyszedłem do Was zadałem podobne pytanie ChatGPT ale nie do końca mu wierze i nie chcę niczego zepsuć. Czy takie podejście ma ręce i nogi ?

1. Przygotowanie routera
Zainstaluj OpenWrt na Banana Pi BPI-R3:

Upewnij się, że masz najnowszą wersję OpenWrt kompatybilną z Twoim urządzeniem.
Jeśli system jest już zainstalowany, upewnij się, że wszystkie pakiety są zaktualizowane.
Zainstaluj wymagane pakiety VPN:

Zaloguj się na router przez SSH:

opkg update
opkg install openvpn-openssl luci-app-openvpn ip-full
Zainstaluj dodatkowe pakiety, takie jak luci-app-vpn-policy-routing, które ułatwiają split tunneling.
2. Konfiguracja OpenVPN
Skopiuj pliki konfiguracyjne VPN:

Pobierz pliki OpenVPN (np. z ProtonVPN lub NordVPN).
Skopiuj je na router, np. do /etc/openvpn/:

scp config.ovpn root@192.168.1.1:/etc/openvpn/
Edytuj plik konfiguracyjny:

Upewnij się, że w pliku .ovpn znajduje się linia z użytkownikiem i hasłem lub wskaż plik z danymi logowania:

auth-user-pass /etc/openvpn/auth.txt
Stwórz plik auth.txt:

echo "USERNAME" > /etc/openvpn/auth.txt
echo "PASSWORD" >> /etc/openvpn/auth.txt
chmod 600 /etc/openvpn/auth.txt
Uruchom OpenVPN:

Włącz i skonfiguruj usługę:

/etc/init.d/openvpn enable
/etc/init.d/openvpn start
3. Split tunneling z VPN Policy Routing
Zainstaluj VPN Policy Routing:

W OpenWrt zainstaluj pakiet:

opkg install luci-app-vpn-policy-routing
Uruchom usługę:

/etc/init.d/vpn-policy-routing enable
/etc/init.d/vpn-policy-routing start
Skonfiguruj zasady routingu:

Wejdź do Luci Web Interface: System -> Software -> VPN Policy Routing.
Dodaj reguły:
Domyślny ruch (bez VPN): Ustaw na WAN.
Ruch wybranych urządzeń przez VPN: Dodaj adresy IP urządzeń lub określ usługi (np. porty).
Przykładowe reguły:

Laptop: cały ruch przez VPN.
Smart TV: bez VPN (dla Netflixa).
Dodaj reguły według IP lub MAC adresów.

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,013

Odp: BPI-R3 - NordVPN i split tunneling

Akurat chatgpt jest bardzo lewoskrętny jeżeli chodzi o sprawy techniczne. Możesz mu zadać pytanie i sprawdzić czy się da, ale nie ufaj całkowicie w to co pisze.

Pakietu vpn-policy-routing nie ma już kilka ładnych lat, jest pakiet pbr i odpowiedni do niego applet do luci luci-app-pbr. I to masz zainstalować.

Później - zakładając że masz już konfigurację NordVPN i on działa - klikasz sobie w gui i wybierasz co idzie przez vpn lub wan, w zależności co zrobiłeś domyślnie.

Nie wiem do czego chcesz używasz VPN'a - jeżeli do obejścia blokad regionalnych to jeszcze ma to sens, bo jeżeli do normalnej codziennej pracy czy przeglądania internetu a siedzisz w domu a nie w podróży to nie ma to najmniejszego sensu. Tak czy siak - robisz vpn'a, instalujesz pbr'a, konfigurujesz tak jak chcesz żeby było i cieszysz się z produktywnie spędzonego weekendu.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez zaawii

  • zaawii
  • Użytkownik
  • Nieaktywny
  • Skąd: Wrocław
  • Zarejestrowany: 2024-01-25
  • Posty: 63

Odp: BPI-R3 - NordVPN i split tunneling

Do ominięcia blokad regionalnych również ale bardziej myślałem o zwiększeniu prywatności w sieci. Aby np raz na jakiś czas pobrać sobie jakiś film z torrentów ze spokojniejszą głowa itp wink

W takim razie dobrze obstawiałem aby Chatowi nie ufać. Na razie nic jeszcze nie konfigurowałem nawet VPNa. Zapomniałem napisać, że mam na routerze Twoją wersję softu i jak widzę VPN jest domyślnie zainstalowany (widzę go w GUI)

https://i.ibb.co/yQfjwsx/vpn.png

Łopatologicznie reasumując:

- konfiguruję VPN wg instrukcji Użycie komercyjnego klienta OpenVPN w OpenWrt

- instaluję pakiety:

https://i.ibb.co/WHQmKWS/vpn2.png
ten żółty też ?

- ustawiam reguły w GUI

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,013

Odp: BPI-R3 - NordVPN i split tunneling

Nie, zwykły pbr, nie ten żółty nie.

NordVPN nie zwiększy ci bezpieczeństwa. Co więcej - przy pierwszym żądaniu danych przez jakieś organizacje o trzyliterowych  skrótach  pewnie  sami pierwsi z papierkiem w zębach przyjdą żeby się podzielić informacjami kto w danym momencie korzystał. Przecież nie położą interesu w ramach anonimowości kogoś dla nich randomowego...

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez zaawii

  • zaawii
  • Użytkownik
  • Nieaktywny
  • Skąd: Wrocław
  • Zarejestrowany: 2024-01-25
  • Posty: 63

Odp: BPI-R3 - NordVPN i split tunneling

Pewnie masz rację. Temat i tak odpuściłem, jakoś mnie przerosła konfiguracja. O ile sam VPN na routerze udało się połączyć to już ustawienie poszczególnych urządzeń staje się problematyczne. Nie ogarniam chyba tego jak skonfigurować zaporę bo chyba jedno blokuje drugie i ostatecznie nie mam połączenia.

6 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,013

Odp: BPI-R3 - NordVPN i split tunneling

- robisz normalnie router, ma działać rzez wan/modem/pppoe czy co tam masz
- robisz vpn
- i teraz abo zrobiłeś tak że cały ruch idzie przez vpn (tak zwykle jest przy NordVPN) i ono jest domyślnym wyjściem w świat
- albo ustawiasz metriki np. na wan 10 i na vpn 20, wtedy głównym będzie wan a drugim vpn
- instalujesz pbr i sobie wyklikujesz co ma iść którym łączem.

Na każdym etapie musi działać internet przez jedno lub drugie. Jeżeli nie działa to zatrzymujesz się i ogarniasz temat, bo bez tego dalsze kroki nie mają sensu.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

7 Odpowiedź przez gwidon

  • gwidon
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2020-10-18
  • Posty: 64

Odp: BPI-R3 - NordVPN i split tunneling

Model    Xiaomi Mi Router AX3000T (OpenWrt U-Boot layout)
Architektura    ARMv8 Processor rev 4
Platforma docelowa    mediatek/filogic
Wersja firmware    OpenWrt 23.05-SNAPSHOT r24133-33b45c0a0e / LuCI openwrt-23.05 branch git-24.313.38121-76e4eca

ERROR: The pbr service is currently disabled!
WARNING: Resolver set (dnsmasq.nftset) is not supported on this system.
WARNING: Resolver set (dnsmasq.nftset) is not supported on this system.

Niestety nie działa pbr.

8 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,013

Odp: BPI-R3 - NordVPN i split tunneling

gwidon napisał/a:

Model    Xiaomi Mi Router AX3000T (OpenWrt U-Boot layout)
Architektura    ARMv8 Processor rev 4
Platforma docelowa    mediatek/filogic
Wersja firmware    OpenWrt 23.05-SNAPSHOT r24133-33b45c0a0e / LuCI openwrt-23.05 branch git-24.313.38121-76e4eca

ERROR: The pbr service is currently disabled!
WARNING: Resolver set (dnsmasq.nftset) is not supported on this system.
WARNING: Resolver set (dnsmasq.nftset) is not supported on this system.

Niestety nie działa pbr.

Bez złośliwości, ale wiesz że pbr działał by lepiej gdybyś go włączył? Nawet sam pokazałeś ten komunikat.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

9 Odpowiedź przez gwidon (edytowany przez gwidon 2024-12-19 12:21:41)

  • gwidon
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2020-10-18
  • Posty: 64

Odp: BPI-R3 - NordVPN i split tunneling

Ten error się wyświetlił przy instalacji, więc mnie zmyliło, że to błąd instalacji smile
Natomiast rozumiem, że to:]

gwidon napisał/a:
WARNING: Resolver set (dnsmasq.nftset) is not supported on this system.
WARNING: Resolver set (dnsmasq.nftset) is not supported on this system.

nie jest problemem?

10 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,013

Odp: BPI-R3 - NordVPN i split tunneling

dnsmasq-full potrzebujesz jeżeli nftsetów będziesz używał. Będziesz?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

11 Odpowiedź przez gwidon (edytowany przez gwidon 2024-12-19 12:57:34)

  • gwidon
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2020-10-18
  • Posty: 64

Odp: BPI-R3 - NordVPN i split tunneling

Zrobiłem:

opkg update
opkg install luci-app-pbr
service rpcd restart
uci add_list pbr.config.supported_interface="tun*"
uci commit pbr
service pbr restart


root@Xiaomi:~# service pbr restart
Removing routing for 'wan/pppoe-wan/xxxxxxxxxxxxx' [✓]
Removing routing for 'vpn/tun0/10.20.0.1' [✓]
pbr 1.1.6-22 (fw4 nft file mode) stopped [✓]
Using wan interface (on_start): wan 
Found wan gateway (on_start): xxxxxxxxxxxxxx
Setting up routing for 'wan/pppoe-wan/xxxxxxxxxxxx' [✓]
Setting up routing for 'vpn/tun0/10.20.0.1' [✓]
Installing fw4 nft file [✓]
pbr 1.1.6-22 monitoring interfaces: wan vpn 
pbr 1.1.6-22 (fw4 nft file mode) started with gateways:
wan/pppoe-wanxxxxxxxxxxxxxxx [✓]
vpn/tun0/10.20.0.1
WARNING: Resolver set (dnsmasq.nftset) is not supported on this system.
WARNING: Resolver set (dnsmasq.nftset) is not supported on this system.
WARNING: Resolver set (dnsmasq.nftset) is not supported on this system.
root@Xiaomi:~#

I pbr nie ma w luci sad

Edit:
Router też restartowałem

12 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,013

Odp: BPI-R3 - NordVPN i split tunneling

W luci w serwisach chyba to siedzi.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

13 Odpowiedź przez gwidon

  • gwidon
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2020-10-18
  • Posty: 64

Odp: BPI-R3 - NordVPN i split tunneling

Przejrzałem każdą zakładkę luci i nie ma.

14 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,013

Odp: BPI-R3 - NordVPN i split tunneling

Odinstaluj i zainstaluj jeszcze raz. Nie będzie - pisz do autora projektu.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

15 Odpowiedź przez gwidon

  • gwidon
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2020-10-18
  • Posty: 64

Odp: BPI-R3 - NordVPN i split tunneling

Poddaje się, chciałem tylko potestować funkcjonalność, ale skoro na starcie są problemy, to aż tak tego nie potrzebuję.

16 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,013

Odp: BPI-R3 - NordVPN i split tunneling

Zainstalowałeś i w konsoli ci działało, więc mogłeś tylko podać polityki i już byś miał.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

17 Odpowiedź przez gwidon

  • gwidon
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2020-10-18
  • Posty: 64

Odp: BPI-R3 - NordVPN i split tunneling

Cezary napisał/a:

Zainstalowałeś i w konsoli ci działało, więc mogłeś tylko podać polityki i już byś miał.

Ja prosty człek jestem i bez GUI to dla mnie czarna magia big_smile

18 Odpowiedź przez zakk87

  • zakk87
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2022-12-05
  • Posty: 41

Odp: BPI-R3 - NordVPN i split tunneling

cześć, chciałem zainstalować pbr i niestety mam błąd

Uruchamianie menedżera pakietów
apk add pbr
Błędy
ERROR: unable to select packages:
  ip-tiny-6.18.0-r2:
    conflicts: ip-full-6.18.0-r2[ip=6.18.0-r2]
    satisfies: world[ip-tiny]
               ddns-scripts-2.8.2-r84[ip]
               wireguard-tools-1.0.20250521-r1[ip]
  ip-full-6.18.0-r2:
    conflicts: ip-tiny-6.18.0-r2[ip=6.18.0-r2]
    satisfies: ddns-scripts-2.8.2-r84[ip]
               pbr-1.2.1-r87[ip-full]
               wireguard-tools-1.0.20250521-r1[ip]
Wykonanie polecenia apk install zakończone błędem 9 .

ogólnie chciałbym przepuścić ruch do kilku domen poprzez surfshark, standardowo trasowanie pozwala tylko na format CIDR.
Jak mam zainstalować pbr?

19 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,013

Odp: BPI-R3 - NordVPN i split tunneling

Zainstaluj wcześniej albo ip-tiny albo ip-full.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

20 Odpowiedź przez zakk87

  • zakk87
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2022-12-05
  • Posty: 41

Odp: BPI-R3 - NordVPN i split tunneling

właśnie ip-tiny mam już zainstalowane - czyżby był w obrazie?

21 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,013

Odp: BPI-R3 - NordVPN i split tunneling

Poprawka: pbr zależy od ip-full. I tylko ip-full. Więc musisz odinstalować ip-tiny, zainstalować ip-full i resztę która zależy od ip.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

22 Odpowiedź przez zakk87 (edytowany przez zakk87 2026-02-07 22:14:58)

  • zakk87
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2022-12-05
  • Posty: 41

Odp: BPI-R3 - NordVPN i split tunneling

no niestety po odinstalowaniu ip-tiny wywaliło mi całego wireguarda z routera. sh...
wg0 - Nieobsługiwany typ protokołu.
zainstalowałem ponownie i niby działa.

23 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,013

Odp: BPI-R3 - NordVPN i split tunneling

ip-tiny i ip-full dostarczają ten sam pakiet - ip. Wireguard zalezy od niego, więc wywalając ip-tiny poleciały też zależności. Jest tak jak powinno...

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona