Hi!

Ma ki fogom én is próbálni. Én ezt fogom követni. De ha te hamarabb kipróbálod, annak csak örülök.

Alex

Helló!

Ez a leírás sokkal értelmesebbnek tűnik. Köszönöm.

Mindjárt ki is próbálom!

Kipróbáltam, de sajnos nem megy.
Valami apróság hiányozhat...

Itt akad el:

Ez a hiba:

Routeren fut az OpenVPN, tűzfalon létrehoztam a szabályt.

Mi lehet a gond?

[ Szerkesztve ]

Hi!

Kipróbáltam én is, és csak akkor sikerült csatlakoznom, ha a klienseknél PKCS12 formátumot használtam.
Remélem csak az én build-emmel van valami gond, mert ugyan a csatlakozás sikerült, de a router azonnal újraindult. Ugyan ez volt anno, mikor kliensként akartam csatlakozni a routerről VPN-re. Remélem nálad menni fog. Ha igen, akkor build-elek egy új verziót.

[ Szerkesztve ]

Alex

Helló.

Köszönöm a beszámolót.

Holnap futok még egy kört a PKCS12 formátummal, mert ennek használatát eddig mellőztem.

Remélem működni fog. Lehet, hogy a végén kénytelen leszek DD-WRTre váltani, mert abban alapból van VPN. De ezt azért el szeretném kerülni.

A PKCS12 sem hozott megoldást. Ugyanott akad el.

Habár a tűzfal szabály létre van hozva, kívülről elérhetetlennek tűnik a 1194-es port...

Úgy tűnik, mintha nem figyelne itt semmilyen alkalmazás. A process listában ott van pedig az openvpn... Konfigja szerint a 1194-es porta van állítva.

Netstat szerint mégis figyel, csak az upd protokoll jellegéből kifolyólag (gondolom legalábbis) nem tűnik nyitottnak a port szekkernek.

Századik update-je a történetnek...

Belső hálózatról kipróbáltam, itt tudtam csatlakozni a mindkét megoldással (pkcs12 és a sima is jó volt).

Viszont, pont ugyanazt tapasztaltam, mint Vargalex: azonnal újraindult a router. Mindkét esetben.

De attól, hogy újraindult a router, az OpenVPN nem zavartatta magát, és azt érezte, hogy megvan a kapcsolat. Megkaptam a 192.168.1.200 IP címet, mint a konfigban. A router újraindulása után sem értem el a hálózatot.

Ezek után lehet, hogy le kell mondanom az OpenWRT-ről... DD-WRT-ben működik rendesen az OpenVPN szerver?

Az IP-t én is megkaptam még a router újraindulás előtt.
Azért én megpróbálom még egy új build-el (beleteszem az OpenVPN-t). Mert biztos működik (legalábbis más routerek esetén olvastam sikeres beüzemelésről).

Alex

Kiváncsi vagyok, hogy sikerrel jársz-e.

De az is megfordult a fejemben, hogy a trunk firmware-ben valamit módosítottak, amit az OpenVPN még nem ismer, és rosszul kezeli a helyzetet.

Lehet kipróbálok egy Backfire-t is.

OpenWRT után a DD-WRT-t simán fel lehet tenni? A DD-WRT még mindig ilyen nvram-szerű memóriát használ a beállításokra?

Hi!

Azért akarom egy új build-el megpróbálni, mert a következőre tudok gondolni: én OpenVPN nélkül (értsd: még csomagban sem fordítottam) build-eltem a firmware-omat, majd a trunk-ról tettem fel az OpenVPN-t. Így elképzelhető, hogy valami kernel opció kimaradt, ami ezt az újraindulást okozza.
Nálad mi a helyzet? Az alap firmware-t te fordítottad, és a csomagokat szedted a trunk-ról, vagy a firmware is onnan származik?

Alex

Helló!

Az alapfirmware-t is én fordítottam a trunkból. És leszedtem az összes ehhez passzoló csomagot a repoból, és csináltam saját repót, így pontosan az akkori csomagok vannak meg. Minden csomagot innen tettem fel. Minden kernelverzió stimmel.

Pont erre gondoltam. Mivel OpenVPN-t te sem fordítottál, így simán lehet, hogy valami kernel paraméter nem létezik nálad (sem), amire az OpenVPN támaszkodna (az mindegy, hogy a kernel verzió stimmel-e). Próbáld meg úgy, hogy a trunk firmware-t teszed fel (al alap OpenWrt-set, nem a te fordításodat), mert ott ugye egyszerre fordítják minden csomaggal.
Volt már ilyenem az 1043ND-re build-elt firmware-val. Volt olyan csomag, amit én nem build-eltem, trunk-ból felrakva viszont azt mondta, hogy néhány szimbólum nem létezik a kernelben. Itt is ilyesmire gondolok, csak jóval durvább a hatása.

[ Szerkesztve ]

Alex

És ha egyből belefordítom az OpenVPN-t a trunk firmware-be, akkor az megfelelő lenne?

[ Szerkesztve ]

Az én tippem alapján már megfelelő lenne, ha egy olyan firmware-t tennél fel, amivel egyszerre fordult az OpenVPN is (akár külön csomagban). Persze ez csak elmélkedés.

Alex

Este fordítok egy újat, amibe közvetlenül beleteszek mindent.

A csupsz firmtől kcsiit tartok, nem szeretnék sokat szórakozni a csomagok egyesével való telepítésével.

Hi!

Amiről tudok nyilatkozni: a firmware build miatt nálam lévő 1043ND-n belőttem az OpenVPN-t (a saját 1.00-ás build-em van rajta, ami trunk-ból készült és OpenVPN-t is fordítottam a firmware-val együtt csomagként), csont nélkül működik.

Alex

Ez nagyon jó hír. Akkor megvan az esti programom.

Köszönöm.

Majd beszámolok mire jutottam.

[ Szerkesztve ]

Most tervezem, hogy a TP-Link TL-WR1043ND helyett beszerzek egy ilyen routert. Azt néztem, hogy ebben is 8MB ROM van és gondoltam simán lefordítom erre is az ott már bevált openwrt-t ami ~6,8MB helyet foglalt. Azonban ha itt 4MB felé megyek akkor egyszerűen nem készül el a openwrt-ar71xx-dir-825-b1-squashfs-factory.bin fájl, amit bele flashelhetek. Az openwrt oldalán is 4MB a letölthető fájl. Lehet valamit csinálni, hogy ki tudjam használni az egész ROM méretet?

Hi!

Az azonos flash méret ellenére a DIR-825-ön kevesebb a "szabad" hely. Ugyanis itt a flash-ban van egy caldata nevű partíció, ahol a hardware adatokat tárolja, illetve egy másik partíció, ahol a recovery mód csücsül. Ez utóbbiban van ugye egy alap kernel egy webszerverrel és minimális funkcióval (firmware feltöltés). Valamint az u-boot mérete is dupla annyi, mint a TP-Link-nél.

DIR-825 "partíciók":

root@D-Link:~# cat /proc/mtd
dev: size erasesize name
mtd0: 00040000 00010000 "uboot"
mtd1: 00010000 00010000 "config"
mtd2: 00100000 00010000 "kernel"
mtd3: 00510000 00010000 "rootfs"
mtd4: 00130000 00010000 "rootfs_data"
mtd5: 00010000 00010000 "caldata"
mtd6: 00190000 00010000 "unknown"
mtd7: 00610000 00010000 "firmware"

TL-WR1043ND "partíciók":

root@OpenWrt:~# cat /proc/mtd
dev: size erasesize name
mtd0: 00020000 00010000 "u-boot"
mtd1: 00140000 00010000 "kernel"
mtd2: 00690000 00010000 "rootfs"
mtd3: 000d0000 00010000 "rootfs_data"
mtd4: 00010000 00010000 "art"
mtd5: 007d0000 00010000 "firmware"

Alex

Köszi, akkor marad az extroot, vagy egy Netgear wndr3700 16MB flash-el.

Igen. Viszont a Netgear-nál akkor figyelj, hogy V2 legyen. (V1-ben ugyan úgy 8 MB flash van.)

Alex

Egyébként, ahogy a flash partíciók méretéből láthatod, a DIR-825 esetében a firmware maximális mérete 6 MB. Én is éppen most build-eltem egy 5,8 MB-osat.

Alex

Alex... Zseni vagy

Most fordítottam egy új firmware-t, és már eleve beletettem az OpenVPN-t...
Újraindulás nélkül működik.

Az az egy furcsa, hogy amikor belső hálón megnézem az IP-m, akkor a router IP-jét kapom vissza, és nem a 192.168.1.200-at, mint ahogy én azt elképzeltem. De ettől függetlenül működik. Külső hálózatból egyelőre még nem tudtam kipróbálni, de nagyon remélem, hogy jó lesz.

Nagyon köszönöm a segítséged!

Hi!

Örülök, hogy sikerült. Közben én is felraktam az új build-emet, nálam is megy probléma nélkül.

Alex

Helló!

Kipróbáltam távolról... Viszont onnan még mindig nem megy.
Elakad még a csatlakozásnál, és timeout a vége.

Gondolom valami tűzfal probléma lehet, de nem tudom, hogy mi.
Meg van nyitva a 1194-es port, és a tap-os szabályok is benne vannak az iptables-ben.

/etc/config/firewall:
config 'include'
option 'path' '/etc/config/firewall.vpn'

config 'rule'
option 'target' 'ACCEPT'
option '_name' 'VPN'
option 'src' 'wan'
option 'proto' 'tcpudp'
option 'dest_port' '1194'

/etc/config/firewall.vpn:
iptables -A INPUT -i tap+ -j ACCEPT
iptables -A FORWARD -i tap+ -j ACCEPT
iptables -I OUTPUT -o tap+ -j ACCEPT
iptables -I FORWARD -o tap+ -j ACCEPT

Mi lehet a gond?

[ Szerkesztve ]

Hi!

Ma reggel én is kipróbáltam távolról, gond nélkül megy. Azokat a tap-os szabályokat honnan vetted? Én nem tettem be ilyet.
A tap0 interface-t betetted a LAN-ba?

Alex

Szia.

Beletettem, így:

Kivettem azt a tap-os szabályt a custom firewallból. Valamelyik leírásban találtam azt az IPtables-ös cuccot.

Hi!

Az interface összerendelés úgy helyes. Még mindig nem megy?

Alex

Sajnos nem...

Én is a linkelt leírást követtem végig, egyedül a Join your clients to a windows domain bekezdést nem csináltam meg (felesleges nekem).
Nem lehet, hogy ahonnan próbálod nincs engedve kifelé a 1194-es port?

Alex

Igazad van. Volt egy prerouting a céges tűzfalon a 1194-re, ami mindig a céges openvpn szerverre nat-olt.

Áttettem az otthoni OpenVPN-t másik portra, és máris működik.

Köszönöm szépen a sok-sok segítséget!

Nincs mit, örülök, hogy működik! Én is azon gondolkodom, hogy innen a cégtől is lezárom az összes portot, és csak OpenVPN-t használok.

Alex

Sziasztok
Nemrég vettem egy DIR-825-öt, és az a problémám vele, hogy néha gondol egyet, és a böngészők nem hajlandóak semmit megjeleníteni, mintha nem lenne net. Közben a TS és a torrent simán megy.
Eredetileg 2.05EU FW volt rajta, azzal egy D-Linkes hibaüzenetet dobált "Oops! The page you requested is not available.". Csak bizonyos oldalakra pikkelt, volt hogy a PHt nem volt hajlandó megjeleníteni a Mobilarena pedig simán ment.
Ha próbálkoztam különböző oldalakkal, akkor volt, hogy egy rózsaszín lapon egy kis 404es üzenetet kaptam.
Megpróbáltam a 2.02EU FW-rel Azzal D-Link hibaüzi nincs, simám csak "Server not found Firefox can't find the server at www.google.com." Ilyenkor a routert sem tudom elérni.
Belefutott már valaki hasonló problémába?
Rohadt idegesítő ez 30k-s routernél.

Nincs előttem a router, de valami ilyesmi gond nálam is volt, és ezt jegyeztem fel:

Setup > Internet > Manual Internet Connection Setup > Advanced DNS Service

Ilyet nem igazán találok. [link]

Próbáld meg a status lapról a DNS szerverek címét bemásolni, hogy ne a D-Linktől kérje az infót. Régen erre menűpont is volt szerintem.

Megpróbálom, köszi.

Nagy bánatomra nem jött be. Lassan csak szétverem... Mire lenne érdemes lecserélni?

Inkább a firmware-t cseréld le OpenWRT-re, és nem lesznek ilyen gondjaid.

Sziasztok
Visszatértem egy gyors kérdésre:
Megoldható az, hogy egy ilyen rule-al több portot nyissak meg?
config 'redirect'
option 'src' 'wan'
option 'src_dport' '1234'
option 'proto' 'tcpudp'
option 'dest_ip' '192.168.1.xxx'

Az
option 'src_dport' '1234, 4567'
és
option 'src_dport' '1234 4567'
nem működik, már próbáltam.
Nem port-range-t akarok nyitni, hanem két, vagy több portot egy rule-ban.
Esetleg megoldható-e egy rule-on belül egy port-range pl 6200-6250 és több különálló port megnyitása?

Záróvonal mellett csak az egy nyomvonalon haladó járműveket szabad megelőzni. pl: bicikli, motorkerékpár, úthenger.

Így adsz meg egy range-et:
option 'src_dport' '1234-4567'

Két különböző (nem range-be tartozó) portot új rule-lal tudod felvenni.

[ Szerkesztve ]

Valahogy éreztem.
Köszi.

Záróvonal mellett csak az egy nyomvonalon haladó járműveket szabad megelőzni. pl: bicikli, motorkerékpár, úthenger.

Sziasztok!
Mostanában tervezem a régi routerem lecserélését, és a DIR-825-öt néztem ki, de látom alapból elég sok probléma van vele, az OPEN-WRT-t meg túl bonyolultnak találom. Ezért az lenne a kérdésem, hogy a DD-WRT-vel mire képes ez a kütyü, és ezzel is ilyen bonyolult rábírni bizonyos dolgokra? Nekem igazán a nagyobb sebesség, a nyomtatómegosztás, HDD megosztás, esetleg később torrentezés miatt lenne szükségem erre a routerra. Ezeket tudja-e a DD-WRT vagy csak az OPEN-WRT?
És még az a kérdésem lenne, hogy egy USB HUB-ot téve az egyetlen portjára, képes-e akkor több eszközt is kezelni egyszerre, vagy ez felejtős dolog? Előre is köszönöm válaszaitokat.
Üdv. mindenkinek: fjanos951

Hi!

A gyári firmware-ról nem tudok nyilatkozni, mert nem ismerem (ahogy szerintem itt a többség sem), nem is láttam, csak a recovery felületet, amíg felraktam az OpenWrt-t.
Ne ijedj meg az OpenWrt-től, egyáltalán nem bonyolult! Természetesen a DD-Wrt is feltehető a routerre, de ha pl. torrentezni akarsz, akkor oda is OpenWrt csomagot kell telepíteni, ami ráadásul kissé körülményes.
USB HUB-ot minden további nélkül használhatsz, nekem anno volt rajta 3 eszköz (pendrive, HDD, nyomtató) egyszerre.

Alex

Szia!
Köszönöm a gyors válaszodat. Még annyit kérdeznék, ha valamit nagyon elkonfigálnék az OPEN-WRT-ben, akkor meghal a masina, vagy helyrehozható JTAG nélkül is (persze, ha erre itt van lehetőség)?
Üdv.: Fjanos951

A DIR-825-nél van recovery mode, így "megölni" igazából nem lehet.

Alex

Köszi! Így bátrabban lehet kisérletezgetni azért. Az USB HUB bármilyen lehet, vagy érzékeny rá a router?