Важно

[WadimMosk]

всем привет!
Вот и первый полезный пост.
Если баян - удалите.
И так - есть у меня MR3020. на нем крутилась OPENWRT, была подключена камера (C270), которая успешно просматривалась через веб.
Но главное в том, что питание 3020 было взято с ПОРТА USB от основного роутера NETGEAR WNDR3700. И так... все отлично работало примерно месяц.. были и сбои питания (220в) и еще что то.. но в общем роутер 3020 работал стабильно и без геммороя.

Сегодня Я залил на него CyberWRT 1.4. Ну в общем с первого топика. И опа - роутер мигает диодом секунд 15 и в ребут...
я думал прошивка хреново залилась.
зачем то воткнул в USB зарядку от iphone.. и роутер прогрузился и я подцепился без проблем....

Вот и непонятно - если проблема с дефицитом питания, то почему он в вебкой от порта NETGEAR работает... непонятно.... я думаю, это странно что CYBERWRT заставляет роутер без обвеса потреблять энергии больше чем Openwrt с mjpg streamer и камерой на борту...

Вот такой вот опыт...
Может кому и пригодится.

И отдельно хочется высказать ОГРОМНОЙ РЕСПЕКТ Админу.Вот честное слово - дай Бог ему здоровья Очень много интересно проработал, разжевал и объяснил на этом форуме...
Я говорю не от всплеска чувств и почти весеннего обострения, а он того что сам нае...лся прилично, пока не вник в систему опенВРТ и вообще процесс работы с MR3020.
Правда моей целью было поднять небольшую сеть с разных офисов на OPENVPN. Очень удобно настроить openVPN и сделать ее мостом между VPN и вашей локальной сетью.
Т. е. я объединил несколько своих сетей методов подключения клиента OPENVPN к единому серваку.
Плюс этого решения в том, что я просто приезжаю на нужный мне объект. тупо сую MR3020 в общий свитч и он поднимает ЗАЩИЩЕННЫЙ канал с сервером. И соответственно все пользователи локалки работают с сервером.
и вся это в крохе 3020.

Админ, на волне моего восторга количеством вложенного вашего труда и сил, прошу рассмотреть вариант модуля OPENVPN.
Думаю можно его залить и через opkg, но раз делаем красотульку - давайте в том же духе!

Всем Спасибо!
Во истину CyberWRT))

[Admin]

Цитата:

Вот и непонятно - если проблема с дефицитом питания, то почему он в вебкой от порта NETGEAR работает... непонятно.... я думаю, это странно что CYBERWRT заставляет роутер без обвеса потреблять энергии больше чем Openwrt с mjpg streamer и камерой на борту...

А в Openwrt роутер работал по WiFi?

Цитата:

прошу рассмотреть вариант модуля OPENVPN.
Думаю можно его залить и через opkg, но раз делаем красотульку - давайте в том же духе!

Я никогда не сталкивался с VPN
Если подробно распишите все этапы установки, то попробуем сделать такой модуль

[WadimMosk]

VPN надо сделать. мегаштука. если кто поймет смысл, то вещь незаменимая, удобная и т.д.
В инструкции в принципе все понятно - заливаем прошу в роутер, подмонтируем флешку как overlay, ставим из репы openVPN, и настраиваем.
В свое время простота и надежность данного метода спасла мою задницу))
А главное я настроил сто лет назад кленот и сервачок на MR3020 и MR3220 и все до сих пор работает и все автоматизированно подключается при любых сбоях.

В общем если какие то нужны разъяснения - отвечу в удовольствием.

Вот пример с ХАБРЫ.

OpenVPN клиент на роутере TP-Link TL-MR3020 с OpenWRT
Имеется клиент, который пользуется 3G интернетом, соответственно NAT и серый IP адрес. Имеется необходимость туда попадать на сервер терминалов и IP камеры. Я решил сделать подключение к уже имеющемуся серверу OpenVPN. И оттуда прокинуть порты на камеры и сервер. У клиента используется 3G роутер TP-Link TL-MR3020.
На него залил прошивку OpenWRT Attitude Adjustment Beta 2.

Прошивку берем тут и прошиваем из вебморды стоковой прошивки роутера, как при обычном обновлении.

Так как на борту флеш объемом всего 4Мб, то пришлось поставить туда усб хаб и флешку. Но чтобы увиделась флешка сначала нужно доустановить пакеты.

opkg install kmod-usb-uhci kmod-usb-storage block-mount kmod-fs-ext4
insmod usb-ohci

Cоздаем точку подключения:
mkdir /mnt/sda1

Я флешку на компе заранее отформатировал в ext4, маунтим ее:
mount -t ext4 /dev/sda1 /mnt/sda1 -o rw,sync

Сначала была еще мысль создать на флешке раздел под swap, но потом передумал, вдруг мало ли сдохнет флешка от постоянной перезаписи.

Копируем туда установленные пакеты:
tar -C /overlay -cvf - . | tar -C /mnt/sda1 -xvf –

Немного правим конфиг:
vi /etc/config/fstab

чтобы выглядело вот так:
config 'mount'
option target /overlay
option device /dev/sda1
option fstype ext4
option options rw,sync
option enabled 1
option enabled_fsck 1

затем перезагружаем роутер
reboot

Теперь мы не ограничены исходным размером flash роутера. И можем себе позволить поставить практически все
Смотрим свободное место:
df -h
Filesystem Size Used Available Use% Mounted on
rootfs 504.4M 25.0M 453.8M 5% /
/dev/root 2.0M 2.0M 0 100% /rom
tmpfs 14.3M 168.0K 14.1M 1% /tmp
tmpfs 512.0K 0 512.0K 0% /dev
/dev/sda1 504.4M 25.0M 453.8M 5% /overlay
overlayfs:/overlay 504.4M 25.0M 453.8M 5% /

Устанавливаем необходимые нам пакеты:
opkg install openvpn nano mc luci-i18n-russian

Для нормальной работы mc нужно выполнить две строчки:

export TERMINFO=/usr/share/terminfo
export TERM=xterm

И чтобы каждый раз их не выполнять руками нужно их добавить в /etc/profile:
nano /etc/profile

Затем копируем на роутер в /etc/openvpn/ ключи и сертификаты созданные на сервере openvpn:
ca.crt
dh1024.pem
client.crt
client.key
ta.key

Правим конфиг
nano /etc/config/openvpn

package openvpn
config openvpn client
option enabled 1
option client 1
option dev tun
option proto udp
list remote "remote.server.ip 1194"
option resolv_retry infinite
option nobind 1
option persist_key 1
option persist_tun 1
option ca /etc/openvpn/ca.crt
option cert /etc/openvpn/client.crt
option key /etc/openvpn/client.key
option dh /etc/openvpn/dh1024.pem
option ns_cert_type server
option tls_auth "/etc/openvpn/ta.key 1"
option comp_lzo 1
option verb 0

затем запускаем openvpn
/etc/init.d/openvpn start
/etc/init.d/openvpn enable

Теперь настраиваем 3g. Устанавливаем пакеты:
opkg install kmod-usb-serial kmod-usb-serial-option

Добавляем в /etc/config/network
nano /etc/config/network

config 'interface' 'wan'
option 'ifname' 'ppp0'
#option 'pincode' '1234'; у кого включена проверка pin кода раскомментировать строчку
option 'device' '/dev/ttyUSB0': может быть другим, проверяйте с помощью dmesg
option 'apn' 'home.beeline.ru'; указываем свою apn
option 'service' 'umts'
option 'proto' '3g'
#option 'username' 'yourusername'; у некоторых ОПСОСов требуется
#option 'password' 'yourpassword'; авторизация при подключении

Перезагружаем роутер и проверяем:
ping 192.168.254.1 -c 5
PING 192.168.254.1 (192.168.254.1): 56 data bytes
64 bytes from 192.168.254.1: seq=0 ttl=64 time=947.409 ms
64 bytes from 192.168.254.1: seq=1 ttl=64 time=606.373 ms
64 bytes from 192.168.254.1: seq=2 ttl=64 time=576.448 ms
64 bytes from 192.168.254.1: seq=3 ttl=64 time=554.852 ms
64 bytes from 192.168.254.1: seq=4 ttl=64 time=503.695 ms
--- 192.168.254.1 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max = 503.695/637.755/947.409 ms

ifconfig
3g-wan Link encap:Point-to-Point Protocol
inet addr:172.20.17.132 P-t-P:10.64.64.64 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:220 errors:0 dropped:0 overruns:0 frame:0
TX packets:234 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:25248 (24.6 KiB) TX bytes:23382 (22.8 KiB)

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:192.168.254.105 P-t-P: 192.168.254.106 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:10 errors:0 dropped:0 overruns:0 frame:0
TX packets:10 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:840 (840.0 B) TX bytes:840 (840.0 B)

Все отлично работает, несмотря на задержки. Другого интернета нет, так как здание находится далековато от всего, и подключить человеческий интернет стоит слишком дорого, то приходится довольствоваться этим. 3g модем Huawei e150, у кторого принудительно включен режим только модем, с другими модемами придется возможно поплясать.
Подробнее про подключение флешки и размещению пакетов почитать можно тут, про openvpn тут
openwrt, openwpn, tplink, 3g, шифрование трафика.

исходный текст - http://habrahabr.ru/sandbox/51521/

[WB789]

Доброго времени суток! Это Создание Клиента? А как из 3020 сделать ВПН сервер? Пробовал pptpd. Сервис завёлся. Даже подключался к нему из вне, но дальше самого роутера не прошёл. ЧЯДН, так и не понял.

[WadimMosk]

В идеале бы сделать, что бы можно было основные настройки openVPN заполнять из веб формы на страничке роутера.
Если это осуществится, то с меня пиво))
Да и вообще поднятие VPN канала с помощью этой проги решает миллион проблем.
Сама прога занимает немного ресурсов. Даже при серьезном шифровании трафика.
Для особых параноиков можно установить 1024 битное шифрование к кучей ключей DH и и.т.д.
У меня кстати очень даже стабильно держало канал в довольно унылых условиях доступа к интернету.
Думаю так же это оценят любители сделать видеонаблюдение.
В общем очень удобная штука.
Для меня в свое время это было открытие. Потому как я "замучался" с виндовскими средствами поднятия VPN канала.

[WadimMosk]

Цитата:

Сообщение от WB789

Доброго времени суток! Это Создание Клиента? А как из 3020 сделать ВПН сервер? Пробовал pptpd. Сервис завёлся. Даже подключался к нему из вне, но дальше самого роутера не прошёл. ЧЯДН, так и не понял.

Сервер создается точно так же. меняется всего одна команда в конфиге - client на Server))

главное что бы у вас были ключи и там и там... Хотя можно вообще на статическом ключе сделать. дело одной минуты.

Если не понятно то могу более подробно объяснить практический смысл данной проги. в двух словах - на основе MR3020 вы создаете аппаратный шлюз к вашей сети из любой точки мира. Просто достаточно его воткнуть в роутер вашей сети. и он все сделает сам.
Брендовые шлюзы стоят в разы, и даже десятки раз дороже нашего самопала)

[WadimMosk]

http://habrahabr.ru/post/191990/

Вот еще немного интересного...

[paulerr]

Внесу свои 5 копеек про OpenVPN:
На Attitude Adjustment не стоит писать конфиг в /etc/config/openvpn. Создаете в каталоге etc/openvpn/ свой файл с конфигурацией хххх.ovpn, и тогда etc/config/openvpn:

Код:

package openvpn
config openvpn custom_config

	option enabled 1
	option config /etc/openvpn/хххх.ovpn

/etc/openvpn/хххх.ovpn. remote 11.11.11.11 1194 - это внешний IP-адрес вашего OpenVPN сервера и порт

Код:

#OpenVPN Client conf
tls-client
client
dev tun
proto udp
tun-mtu 1400
mssfix 1350
remote 11.11.11.11 1194
cipher AES-128-CBC
comp-lzo
verb 3
ns-cert-type server
replay-window 1064 15
mute-replay-warnings
pkcs12 /etc/openvpn/home_dacha.p12

часть /etc/config/network

Код:

config interface 'vpn'
	option ifname 'tun0'
	option defaultroute '0'
	option peerdns '0'
	option proto 'none'

часть /etc/config/firewall

Код:

config zone
	option name 'VPN'
	option input 'ACCEPT'
	option output 'ACCEPT'
	option network 'vpn'
	option forward 'ACCEPT'
	option masq '1'

config forwarding
	option dest 'lan'
	option src 'VPN'

config forwarding
	option dest 'VPN'
	option src 'lan'

Это общие настройки для клиента в режиме tun. Подсеть на клиенте 192.168.13.0

Конфиг хххх-server.ovpn на сервере. Подсеть на сервере 192.168.0.0. Внутренний адрес сервера в сети openvpn 10.9.0.1

Код:

# Automatically generated configuration
daemon
server 10.9.0.0 255.255.255.0
proto udp
port 1194
dev tun22
cipher AES-128-CBC
comp-lzo adaptive
keepalive 15 60
verb 3
push "route 192.168.0.0 255.255.255.0"
client-config-dir ccd
client-to-client
ccd-exclusive
route 192.168.12.0 255.255.255.0
route 192.168.11.0 255.255.255.0
route 192.168.13.0 255.255.255.0
ca ca.crt
dh dh.pem
cert server.crt
key server.key
status-version 2
status status

# Custom Configuration
verb 0

а также файл ./ccd/home_dacha (маршруты на удаленные сети). Конкретному клиенту выдается адрес 10.9.0.14

Код:

iroute 192.168.13.0 255.255.255.0
ifconfig-push 10.9.0.14 10.9.0.13

Для сервера надо писать свои правила на файрволе. Для OpenVPN порт по умолчанию 1194, для PPTP 1723.

Далее начинаются пляски с тонкостями настроек хххх.ovpn / хххх-server.ovpn на обоих сторонах и маршрутизации в зависимости от потребностей.

У меня удаленный роутер (на даче) связывается через модем с домашним хостом. На даче своя подсеть, и по openvpn существует возможность видеть внутренние сети за сервером (192.168.0.0) и клиентом(192.168.13.0). В Инет удаленный сайт выходит напрямую. Таких клиентов аж 3 шт...

PS. У меня сервер не на OpenWRT. И файл хххх-server.ovpn генерится из настроек через GUI. Но так работает.
PSS. Генерация ключей и всякие настройки OpenVPN неплохо описаны в инете, например на ixbt