Reply With QuoteА чем не устраивает встроенный PPTP ASUS RT-N66U?Originally Posted by Alex_Beny
Вот как выглядит его настройка в GUI:
http://service.asus.com/demoui/RT-N6...P_Content.html
Junior Member
Помогите выбрать роутер, на котором возможно поднять шифрованный OpenVPN-клиент.
Цель клиента на роутере: чтобы можно было попасть к двум компам в LANe роутера, из любого места.
Через VPN будут идти RDP-пакеты.
Интернет серфинг при этом должен осуществляться через обычное интернет соединение, минуя VPN.
Возможно ли такое на роутере? Если да, то посоветуйте, какое железо взять?
Junior Member
А чем не устраивает встроенный PPTP ASUS RT-N66U?
Вот как выглядит его настройка в GUI:
http://service.asus.com/demoui/RT-N6...P_Content.html
Junior Member
А поделиться своей версией прошивки можете?
Как я понимаю, у вас OpenVPN уже встроен в нее?
Кстати, один малоизвестный форумчанин мне задаёт вопрос: почему у всех клином свет сошёлся на OpenVPN? Ведь все эти туннели построены по одинаковому принципу: создаются tun интерфейсы, в/из которых вываливается трафик, гоняемый между двумя устройствами в шифрованном виде через обычные интерфейсы. Причём в каждой реализации шифрование допустимо абсолютно любое, как б-г на душу положит.
Для тестов работы FastNAT c tun-интерфейсами, например, был собран vtun, он сейчас в есть в репозитории. Да, он тоже тянет за собой openssl и в итоге получается по размеру такой же "раскормленный", как статически собранный OpenVPN. Но если нужен VPN-клиент в прошивке, то лучше собрать quicktun - он не зависит от openssl, а пользует ассиметричное шифрование по эллиптическим кривым, используя ту же библиотеку (nacl), что и dnscrypt-proxy.
Если будут заинтересованные, то могу спортировать quicktun нам. У quicktun есть клиент как под linux, так и под windows. Конфигурируется в четыре строчки!
Last edited by ryzhov_al; 13-06-2012 at 10:48. Reason: theMIROn was here
создаются tun интерфейсы, в/из которых вываливается трафик, гоняемый между двумя устройствами в шифрованном виде через обычные интерфейсы.
ASUS WL5xx: FW 1.9.2.7-d-rXXXX / обсуждение прошивки [RU] / firmware discussion [EN] | bip irc proxy
ASUS RT-N1x: FW 1.9.2.7-rtn-rXXXX / обсуждение прошивки [RU] / firmware discussion [EN] | fake ident daemon
Member
Имхо ответ содержится в вопросе. Потому что сошелся у всех :-) Т.е. уже долгое время много серверов/клиентов доступно на куче разных платформ и операционок, и на смартфонах, и на серверах, и на этих.. ну, как их.. во, на роутерах.
Есть люди, которые поддерживают код OpenVPN. Есть по нему куча документации разного уровня на всех языках. Экологическая ниша, можно сказать, занята, и нет особого смысла пересаживаться на другие ВПНки.
В частности, когда я искал решение своих проблем, никаких витюнов/квиктюнов мне лично в поиске не попалось, а попался OpenVPN, и на нем стая роутеров взлетела и отлично летит до сих пор. Это не значит, что все остальные решения плохие.. но чем они лучше? OpenVPN тоже можно запустить с лаконичным конфигом..
С тех пор, как Вампик, да продлится жизнь его на тысячу лет, вернул в n-ветку для DIR-320 поддержку usb storage, меня лично в целом все устраивает. Ну, и пользуясь случаем, спасибо и всем остальным, приложившим руки.
PS: FilimoniC, вы так злобно изругали один из моих любимых инструментов, что мне захотелось изругать какой-нибудь из ваших...
Боже! Нельзя быть таким диким! Речь не о том, что вы нашли первым в гугле, а о том, что можно встроить в прошивку.
Для того, чтобы заработал VPN-туннель на quicktun вам необходимы:
а) модуль tun:
б) бинарник quicktun:Code:$ du -h /opt/lib/modules/2.6.22.19/kernel/drivers/net/tun.ko 16.0K /opt/lib/modules/2.6.22.19/kernel/drivers/net/tun.ko
Всё! Сорок четыре килобайта. Это влезет даже в самый куцый флеш DIR-320.Code:$ du -h ./quicktun.combined 28.0K ./quicktun.combined
Если бы вы обратили на это внимание раньше, то ваша стая DIR-320 летала бы и быстрее, и без помощи внешних флешек. Поверьте: то, что вы ничего кроме OpenVPN не видели не значит, что лучше ничего нет.
Last edited by ryzhov_al; 14-06-2012 at 21:07.
linuxnoob
OpenVPN однозначно мощнее по функционалу, чем quicktun и уже проверенно работает.
Насчет размера, не проблема купить флешку на 4-32 Гб, стоит совсем немного, зато место будет не только под этот софт.
Да и в принципе то же самое логгирование VPN коннектов/syslog в флеш роутера ну никак не стоит делать, для этого нужно отдельный винч/флешка.
То есть альтернативу вам больше никогда не предлагать. Ок.
И куда вы эту мощь на dir320 девать будете? Напомню: чуть выше речь о стае летающих dir320.
linuxnoob
Да я не против альтернатив как таковых, но вроде в DIR320 есть USB, так в чем проблема купить флешку?
Смотрите название темы.
Это вы про экономию памяти говорите? Посмотрите сколько занимает в памяти бездействующий OpenVPN. Сравните с quicktun:
А для логирования проще указать Remote log server в веб-интерфейсе. Не понимаю зачем себе на ровном месте проблем выдумывать.Code:mapped: 1012K writeable/private: 140K shared: 0K
Member
Уговорили, включайте в прошивку :-) А OpenVPN не включайте. И народ потянется к прекрасному. И даже я, ленивый и дикий, попробую...
Навело на мысль.. Да, в исходники я все еще не смотрел, а узнать хочется. Может быть, в прошивке уже реализована возможность при старте после монтирования флешки проверять, нет ли на ней файла со специальным названием, и выполнять его? Про post-mount и прочие скрипты я знаю, но их нужно еще прописать во флеш.. А наличие такой фичи облегчило бы жизнь и "серийным настройщикам", и полным нубам.
"Прошейте роутер вот той прошивкой, распакуйте вот этот файл в корень флешки, вставте ее в роутер и перегрузитесь. И все уже настроено."
PS: Кстати, асусы из коробки случайно не умеют обновлять таким образом прошивку? PPS: За оффтоп -- прощения просим..
Last edited by Omega; 15-06-2012 at 14:53. Reason: 2 posts merged
Junior Member
вчера в порядке эксперимента поковырялся с openvpn-nl, это openvpn 2.1, пропатченный на предмет сборки с polarssl. размер статического бинарника openvpn получается 0.7МБ (без сжатия). для сравнения, статика последнего openvpn и openssl тянет на 2.3МБ.
в openvpn-nl всё хорошо, кроме того, что он отказывается иметь общие коннекты c openvpn/openssl:
толком не разбирался, но подозреваю, polarssl не переваривает сертификаты openssl. и openvpn-nl придётся спаривать только с себе подобными, что сильно ограничивает область его применения (для меня)Code:TLS_ERROR: read tls_read_plaintext error
P.S. в openwrt началась возня по приведению пакета openvpn в актуальный вид. тамошний народ планирует выпилить 2 вида пакетов, с openssl и polarssl. работа кипит...
могу, но не уверен, что она кому-то сможет пригодиться. из моей прошивки вырезаны все ненужные лично мне вещи, включая wi-fi.
попробуйте собрать прошивку самостоятельно, это не так сложно, как кажется на первый взгляд! выложенной на code.google.com инструкции для этого, на мой взгляд, вполне достаточно. а добавить в прошивку openvpn - это просто закинуть в /usr/sbin бинарник, не более того...
Last edited by oblikoamorale; 15-06-2012 at 07:34.
linuxnoob
инструкций там явно недостаточно, для этого нужно иметь базовые представления о Makefile.
инструкции там больше по сборке, по сути это просто, если что-то кастомное нужно, то уже могут возникнуть проблемы, даже тупо, если убрать некоторые опции в make menuconfig, то сборка может не завершиться удачно.
кроме того есть определенные hardcoded установки модулей в Makefile, поэтому, если пересобираете ядро со своими опциями (скажем выкинете ntfs поддержку или чего-то еще), то нужно будет gateway/Makefile также править самому вручную.
для инсталла openvpn нужно будет в Makefile добавить строчку сборки и копирования бинарника
по типу:
(код неточный, скорее всего нужно будет еще предварительно добавить сборку пакета с нужными опциями, если не делаете этого до этого).Code:install -D openvpn/src/openvpn $(INSTALLDIR)/openvpn/usr/sbin/openvpn $(STRIP) $(INSTALLDIR)/openvpn/usr/sbin/openvpn
Другими словами, есть желание зарабатывать деньги настройкой стаи роутеров, но нет желания работать ручками и вы просите вынести функционал в web-интерфейс. Круто.
Мне со статической линковкой theMIROn одну вещь напомнил, я виде её раньше при сборке opkg. Допустим, статическая fatlib.a содержит внутри бинарники blob1.o, blob2.o, blob3.o. И допустим, что ваша софтина использует только функции из blob1.o Если вы слинкуете fatlib.a со своей программой, то в итоговый код могут попасть blob2.o, blob3.o, которые вам там нафиг не нужны. Для того, чтобы openvpn-nl ещё похудел, передавайте линковщику ключ --gc-sections, который заставляет линковщика выкидывать те секции кода, которые у вас в софтине не задействованы.
Posting Permissions
