Member
Возможно ли такое? К примеру прога будет хранится на ftp с конфигами, а работать на роутере.
Member
Всем здрасьте.
сейчас установлено подключение client-to-client
Но нужно чтобы был централизованный сервер.
а к нему подключались клинты. клиенты должны иметь доступ между собой по ip адресам выданным сервером.
сейчас настройки такие
SERVER (РОУТЕР)
Code:dev tun0 ifconfig 10.8.0.1 10.8.0.2 secret static.key
CLIENT
никто не подскажет толковые настройки????Code:remote xxxxxxxxxxx dev tun0 ifconfig 10.8.0.2 10.8.0.1 secret static.key keepalive 10 120
И в чём разница между tap и tun
Last edited by Omega; 20-03-2012 at 01:58. Reason: double post
Junior Member
rt-n16
Всех с прошедшими празниками!
Есть пара вопросов касательно настроек роутера, может быть вы сможите мне помочь:
1) Openvpn работает только по tcp, udp соединения подключаются но траффик через такое соединение перестает идти буквально через 5сек после подключения. Без роутера все ок.
2) Можно ли сделать второе подключение в роутере к интернету через usb модем и подключаться к нему через сокс сервер на роутере, при этом стандарнтное PPTP WAN подключение оставить по дефолту?
Заранее спасибо
Junior Member
openvpn
репозитарии opkg идет после r3702 во всех следующих версиях вместо ipkg
Кто нибудь с помощью нового репозитария opkg,
OpenVPN устанавливал?
По этой инструкции http://wl500g.info/archive/index.php/t-8880.html
впрямую не проходит: пакетов с именами uclibc-opt openssl lzo
нет. Директории /opt/etc/init.d не создается. и т.д.
Я нахожусь в процессе, но уже ясно, что надо,
отдельную инструкцию создать.
Member
Да, init.d и стартовый скрипт при установке не создается, делал руками.Originally Posted by kpush
В остальном ни каких проблем не было при переезде на новый репозиторий.
Junior Member
Спасибо.
Да все получилось.
Member
Вчера только пришлось заморочиться, пока заметки еще под рукой..
На роутере выполняем команды:
# mkdir /tmp/local/opt
# mount -o bind /usr/local/opt /opt
# ipkg.sh update; ipkg.sh install opkg; opkg update; opkg install openvpn
Создаем файлики:
(1) /opt/etc/openvpn/server.conf
(2) /usr/local/sbin/post-bootCode:proto tcp-server dev tun0 port 443 ifconfig 10.8.0.2 10.8.0.1 keepalive 10 120 secret static.key
(3) /usr/local/sbin/post-firewallCode:#!/bin/sh # keep opkg repository in flash memory mount -o bind /usr/local/opt /opt # OpenVPN /sbin/insmod tun /opt/bin/openvpn --daemon --cd /opt/etc/openvpn --config server.conf
(4) /opt/etc/openvpn/static.keyCode:#!/bin/sh vpnPort=443 vpnProto=tcp vpnDevice=tun0 iptables -P INPUT DROP iptables -D INPUT -j DROP iptables -A INPUT -p $vpnProto --dport $vpnPort --tcp-flags FIN,SYN,RST,ACK SYN -j BRUTE iptables -A INPUT -p $vpnProto --dport $vpnPort -j ACCEPT iptables -I INPUT -i $vpnDevice -j ACCEPT iptables -I FORWARD -i $vpnDevice -j ACCEPT iptables -I FORWARD -o $vpnDevice -j ACCEPT iptables -I OUTPUT -o $vpnDevice -j ACCEPT
(генерируется на сервере или на клиенте командой
# openvpn --genkey --secret static.key
содержимое копипастится через ssh без всяких scp)
устанавливаем права на файлы:
# chmod 0755 "/usr/local/sbin/post-boot"
# chmod 0755 "/usr/local/sbin/post-firewall"
пишем сделанное во флеш и перегружаемся с молитвой:
# flashfs save && flashfs commit && flashfs enable
# reboot
конфиг для клиента:
Нюансы:Code:proto tcp-client dev tun0 port 443 ifconfig 10.8.0.1 10.8.0.2 secret static.key redirect-gateway remote 213.24.76.23
(1) фаерволом прикрыл OpenVPN от брутфорса;
(2) пишу лог в сислог, чтобы не париться с ротацией, и чтобы проще было глянуть через веб-интерфейс;
(3) если хочется управлять отдельным скриптом в /opt/etc/init.d/ , то нужно искать rc.unslung .
PS: Спасибо за новый репозиторий!
PPS: поправлено.
Last edited by pux; 23-06-2012 at 18:58.
Member
Это делать не нужно:
Скрипт запуска делает много полезных вещей в частностиCode:mkdir /dev/net mknod /dev/net/tun c 10 200
если модуль не был загружен.Code:/sbin/insmod tun
Плюс проверка на наличие запущенных процессов при остановки и рестарте (stop/start).
Registered User
Установлена прошивка 1.9.2.7-rtn.3976
Установил на USB флешку openvpn_2.2.0-1_mipsel.ipk
Доступ к VPN работает с роутера нормально.
Запускаю на роутере iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
для того чтобы можно было из локальной сетки через рутер доступ в VPN получить.
После этого ping из локальной сетки в VPN проходит без проблем, но любое обращение по ssh/telnet приводит к перезагрузки роутера.
Похоже проблема где-то в masquerading tcp + tun
Кто-нибудь сталкивался с подобным?
Спасибо,
В.
Senior Member
Попробуйте отключить Fast nat:
Code:nvram set misc_fastnat_x=0 nvram commit && reboot
1. WL500gp v1 (1.9.2.7-10) -> RT-N16 (1.9.2.7-rtn-r3849) -> RT-AC66U (3.0.0.4.374.4422)
2. RT-N16 (1.9.2.7-rtn-r3893) -> RT-AC66U (3.0.0.4.374.979) -> RT-AC68U (3.0.0.4.374.4422) + WD TV Live Hub/Gen3
3. RT-N15U (1.9.2.7-rtn-r3926) + RT-N12C1 (7.1.1.1.32)
Registered User
Огромное спасибо! Помогло!
Интересно это пофиксили в новых версиях ядра?
Еще раз большое спасибо!
В.
Я сначала подумал, что это линуксовая фича из коммьюнити. Оказалось, fast nat - это броадкомовкий хак.Огромное спасибо! Помогло!
Интересно это пофиксили в новых версиях ядра?
В.
Last edited by Omega; 18-03-2012 at 10:03. Reason: double post
Member
Подтверждаю, была ровно такая же фигня. Отключение fast nat также помогло. VicSer, благодарю за наводку.
Junior Member
спасибо, это я как раз сообразил!
А вот с рутингом - нет идей.
Полностью задача
Есть интерфейсы
br0 локалка 192.168.1.0
vlan2 WAN 192.168.2.0 с гейтом 192.168.2.1 Оно default gateway
tun0 с обственно тунель, openvpn client, назовем IPtun.0 c гетйом как водится IPtun.1
Задачка
все что не 192.168.х.х зарутить в tun0, при этом дефолт гейт (vlan2) оставить прежним.
Чтоб если tun0 отвалится (что бывает), все само вернулось на обычную схему
Не подскажете решение?
Где то видел да никак найти не могу
linuxnoob
Что конкретно вы хотите вообще? У вас Openvpn клиент цепляется у интернет-узлу я так понимаю? (188.хх.хх)
Какая подсеть у tun0 интерфейса? Объясните по-человечески.
Junior Member
Да, все правильно
inet addr:10.114.232.41 Bcast:10.127.255.255 Mask:255.240.0.0
Только он не tun0 а tap0
И route table выглядит так
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.2.1 * 255.255.255.255 UH 0 0 0 vlan2
188.xx.xx.xx 192.168.2.1 255.255.255.255 UGH 0 0 0 vlan2
192.168.2.0 * 255.255.255.0 U 0 0 0 vlan2
192.168.1.0 * 255.255.255.0 U 0 0 0 br0
10.112.0.0 * 255.240.0.0 U 0 0 0 tap0
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default localhost 128.0.0.0 UG 0 0 0 tap0
128.0.0.0 localhost 128.0.0.0 UG 0 0 0 tap0
default 192.168.2.1 0.0.0.0 UG 0 0 0 vlan2
И теперь надо все, что не 192.168.0.0 255.255.0.0 зарутить на tap0
Чтобы сетка на br0 пользовала инет через VPN (tap0)
Posting Permissions
Reply With Quote
