Jump to content

RT-AC66U vs RT-AC68U a firmware Tomato (VPN)

Rate this topic


Guest house

Recommended Posts

Guest gulashos

Cześć mam pytanie potrzebuję stworzyć tunel VPN dla dwóch lokalizacji i czytam, że najlepszym rozwiązaniem jest zmiana firmware na Tomato. 

 

W teorii na stronie http://tomato.groov.pl/?page_id=164 widzę oba modele. 

 

 

K26RT-AC – MIPSR2 – SDK6.x, special builds for RT-N66U, RT-AC66U, R6300v1 and Tenda W1800R only

 

K26ARM – ARM – only for Broadcom-ARM based routers like: Asus RT-N18U, RT-AC56U, RT-AC68U (except HW Rev C1), RT-AC68R, D-Link DIR868L, Huawei WS880, Netgear R7000, R6400, R6300v2, R6250, Linksys EA6900, EA6700, EA6500 v2

 

tylko chciałem się upewnić czy konkretnie dla modeli z AiMesh-em mogę też wgrać ten soft, konkretnie chodzi mi o te 2 modele: 

https://www.x-kom.pl/p/116446-router-asus-rt-ac66u-1750mb-s-a-b-g-n-ac-2xusb-.html#Specyfikacja

https://www.morele.net/router-asus-aimesh-rt-ac68u-613032/

 

Ewentualnie napiszcie czy to samo osiągnę merlinem. Zależy mi na stworzeniu VPNa aby połaczyć multirooma. 

 

 

 

 

 

Link to post
Share on other sites
  • Administrator

na ac66u tak, na ac68u już nie (chyba że kupisz używany z innym HW Rev)

Link to post
Share on other sites
Guest gulashos

OK a czy w takim razie mam alternatywę aby stworzyć OpenVPNa ? Szkoda mi troszkę tego RT-AC68U wywalić od tak. Merlinem jestem w stanie to ogarnąć ? Bo Merlin bez kłopotu działał. W necie znalazłem jeszcze coś takiego jak freshtomato ? Mogę użyć jako zamiennik ?

 

To co potrzebuję zrobić to skonfigurować wg poniższego tutorialu (nie wiem czy mogę podać linka więc po prostu przekleję):

 

Cytat

Zarys prezentowanej sytuacji:

LOKALIZACJA 1:
Router Asus RT-N16 z Tomato. Adres IP LAN 192.168.0.1/24. Dekoder (matka) turbo o adrese ip np 192.168.0.10 z maską podsieci 255.255.255.0. Dekoder koniecznie musi posiadać wpisaną bramę domyślna wskazującą na router czyli 192.168.0.1. Kolejny warunek to stałe publiczne ip (najlepiej) lub (w przypadku zmiennego publicznego ip) skonfigurowana i działająca usługa DDNS. Tu postawimy serwer openVPN.

LOKALIZACJA 2:
Router Asus RT-N66u z Tomato. Adres IP LAN 10.1.1.1/24. Dekoder (biały) o adresie ... jak już ustaliliśmy musi być z puli dekodera matki czyli w naszym przykładzie 192.168.0.x ale o tym później. Na routerze uruchomimy klienta openVPN.

Ponieważ dekodery muszą być w tej samej podsieci, nasz tunel openvpn musi być przeźroczysty - zastosujemy urządzenie TAP. I tu mała uwaga. TAP to nasz wirtualny kabel, za pomocą którego spinamy gdzie odległe lokalizacje. Nie jest nakładany routing/NAT tak więc wszystkie pakiety broadcastowe mogą swobodnie przez niego wędrować. Taka sytuacja komplikuje jedną rzecz - w sieci będą istnieć więc dwa serwery DHCP. Jest na to rozwiązanie. Wykorzystać VLANy i wydzielić jeden fizyczny port LAN dla dekodera tak by tylko on miał komunikację po openVPN. Ale dosyć teorii, zabierajmy się do działania.


Konfiguracja serwera openVPN na routerze z dekoderem matką.

Generujemy klucz współdzielony static.key wydają w konsoli routera komendy:

cd /tmp
openvpn --genkey --secret static.key
cat static.key

 


Kopiujemy zawartość łącznie z liniami ----BEGIN do END ----

Wchodzimy do Tomato -> VPN Tunneling -> OpenVPN Server i na zakładce Basic ustawiamy kolejno:

 

Start with WAN: tak
Interface Type: TAP
Protocol: TCP
Port: 1194
Firewall: Automatic
Authorization Mode: Static Key



Na zakładce Keys wklejamy wygenerowany wcześniej klucz. Zapisujemy i startujemy serwer. Tu już skonczyliśmy. Od tej pory zajmować się będziemy tylko i wyłącznie routerem w drugiej lokalizacji.


Konfiguracja klienta openVPN na routerze z białym dekoderem:

Przechodzimy w Tomato na VPN Tunneling -> OpenVPN Client i na zakładce Basic ustawiamy kolejno:

 

Start with WAN: tak
Interface Type: TAP
Protocol: TCP
Server Address/Port: Tu podajemy publiczny adres IP pierwszego routera albo domenę DDNS, port 1194
Firewall: Custom
Authorization Mode: Static Key
Server is on the same subnet: NIE - ignorujemy ostrzeżenie
Tunnel address/netmask: Tu wpisujemy wolny adres IP z puli pierwszego routera np 192.168.0.200 z maską 255.255.255.0



UWAGA: Od wersji Tomato v124 doszła opcja "Bridge TAP with...". Po stworzeniu nowego interfejsu LAN (w przykładzie był to br2), zaznaczamy opcję "Server is on the same subnet" i wybieramy nasz nowy interfejs LAN (br2). Nie dodajemy już nic do skryptu INIT i nie dopisujemy nic do pola Custom Configuration.

Na zakładce Keys wklejamy masz klucz współdzielony. Zapisujemy i startujemy klienta.

Sprawdzamy czy tunel się zestawił pingują z routera router pierwszy czyli 192.168.0.1. Sprawdźmy też jaki interfejs został podniesiony. Wystarczy w tym celu wydać komendę "ifconfig" i zobaczyć numer interfejsu TAP. U mnie był to tap11. Zapamiętujemy.


Połowa drogi za nami. Teraz musimy stworzyć osobny VLAN tylko i wyłącznie pod biały dekoder Nki.

Przechodzimy do Basic -> Network i tworzymy nowy bridge:

 

Bridge: br2
STP: nie
IP Address: tu ustawiamy TEN SAM ADRES IP, który wpisaliśmy w kliencie ovpn czyli 192.168.0.200
Netmask: 255.255.255.0
DHCP: NIE



Zapisujemy.

Przechodzimy na Advanced VLAN. Wypinamy port4 z LAN (br0), dodajemy nowy VLAN np VLAN4, VID4, zaznaczamy port4 i bridge LAN2 (br2). Zapisujemy. Wykonany zostanie reset routera.

Do skrytpu INIT (Administration -> Scripts -> INIT) dopisujemy:

 

echo "#!/bin/sh" > /tmp/bridgeTAP
echo "brctl addif br2 tap11" >> /tmp/bridgeTAP
chmod +x /tmp/bridgeTAP



gdzie br2 to interfejs bridge nowego VLANa, który przed momentem stworzyliśmy a tap11 to interfejs VPN, na którym wstaje klient oVPN. Ów skrypt ma za zadanie scalić oba interfejsy (notabene o tym samym adresie IP) w jeden.

Następnie na zakładce VPN Tunneling -> OpenVPN Client -> Advanced w polu Custom Configuration wpisujemy:

 

script-security 2
up /tmp/bridgeTAP



Skrypt ten można zapisać również na stałe np na jffs lub opt. Pamiętać trzeba tylko o zmianie ścieżki do konfiguracji klienta ovpn.

Zapisujemy zmiany i dla pewności restartujemy router.

Sprawdźmy teraz wyniki naszej pracy. Jeżeli wszystko skonfigurowaliśmy poprawnie podpinając się do portu4 w routerze dostaniemy adres ip z serwera DHCP PIERWSZEGO routera czyli 192.168.0.x !! I o to nam chodziło  Urządzenie podpięte do portu4 dostanie też bramę domyślna 192.168.0.1 a więc wychodzić będzie z internetu w lokalizacji 1. Natomiast porty 1-3 będą działać tak jak działały czyli w sieci 10.1.1.1 kompletnie odseparowane od podsieci 192.168.0.x.

Podpinamy więc biały dekoder bezpośrednio do portu4 w naszym routerze. Odświeżamy adresację IP i mamy adres 192.168.0.x. Multiroom sam się "dogada", gdyż dekodery bez problemu się widzą i nie wiedzą, że dzieli je kilka/kilkadziesiąt/kilkaset kilometrów 

Mała porada na koniec: logi openvpn będą dość spore i skutecznie mogą zaśmiecić logi systemowe (messages). Możemy skierować logi ovpn do osobnego pliku. W tym celu na zakładce advanced klienta oraz serwera ovpn w polu Custom Configuration dopisujemy:

 

log-append /var/log/openvpn.log

 

 

Edited by gulashos
Link to post
Share on other sites
Guest dimson

To co chcesz osiągnąć "najłatwiej" ogarniesz na tomato - sam korzystam z takiego rozwiązania :) (freshtomato to w sumie to samo tylko jest inna nakładka graficzna)

Inne FW też podobno dają taką możliwość ale tam już tak łatwo nie jest i trzeba klikać w konsoli.

Link to post
Share on other sites
Guest gulashos

OK

23 godziny temu, dimson napisał:

To co chcesz osiągnąć "najłatwiej" ogarniesz na tomato - sam korzystam z takiego rozwiązania :) (freshtomato to w sumie to samo tylko jest inna nakładka graficzna)

Inne FW też podobno dają taką możliwość ale tam już tak łatwo nie jest i trzeba klikać w konsoli.

tylko pytanie czy na nowym RT-AC68U nie wgram Tomato ani FreshTomato? Ewentualnie mogę kupić nowy router ale o podobnych parametrach a tego wpiąć jako repeater w sieci Mesh. Dobrze zrozumiałem, że też używasz patentu VPN dla Multiroom ? Jeśli tak to miałbym pytanie czy możliwe jest aby 2 a nie 1 port obsługiwał sieć, która jest podpięta do dekodera matki?

 

A tak teraz myślę, czy to nie jest tak, że de facto muszę na AC-68 postawić server (bo ten będzie przy dekoderze głównym) a dopiero AC-66 z Tomato jako Client na dekoderach dodatkowych ?

Edited by gulashos
Link to post
Share on other sites

Nie ma problemu żebyś podpiął LAN2 zamiast LAN1, choć ja u siebie całą konfiguracją mam po WIFI.

Myślę, że server dobrze byłoby postawić na mocniejszym routerze ale najważniejsze jest żeby w tej lokalizacji było stałem zewnętrze IP, choć jeśli go nie będzie tragedii nie mam, ratujesz się DYNDNS.

Link to post
Share on other sites
  • Administrator
W dniu 8.10.2019 o 17:45, gulashos napisał:

tylko pytanie czy na nowym RT-AC68U nie wgram Tomato ani FreshTomato?

nie, nowe rewizje sprzętowe nie są wspierane przez te FW. Możesz poszukać Linksys EA6900 lub D-Link DIR-868L rev A1 - to ten sam CPU i możliwość instalacji tomato. Rozwiązaniem jest zakup używanego Asusa RT-AC68U.

Link to post
Share on other sites
Guest gulashos

 

7 godzin temu, dimson napisał:

Nie ma problemu żebyś podpiął LAN2 zamiast LAN1, choć ja u siebie całą konfiguracją mam po WIFI.

Myślę, że server dobrze byłoby postawić na mocniejszym routerze ale najważniejsze jest żeby w tej lokalizacji było stałem zewnętrze IP, choć jeśli go nie będzie tragedii nie mam, ratujesz się DYNDNS.

Tylko teraz mam cały czas jedną rozkminę czy nowe (rev. B1) RT-AC68U który natywnie ma opcję zrobienia serwera VPN musi mieć wgrane Tomato ? 

Link to post
Share on other sites

Tomato na rev. B1 nie pójdziei tyle w temacie. Czy natywna obsługa VPN w AsusWRT lub RMerlin pozwoli na uruchomienie multirooma nie wiem nie sprawdzałem.

Sugeruję podobnie jak @house, poszukanie jakiejś używki AC68U, R7000 lub modeli innych modeli gdzie z będzie możliwość wgrania tomato lub pozostania na OFW.

Link to post
Share on other sites
Guest gulashos
3 godziny temu, dimson napisał:

Tomato na rev. B1 nie pójdziei tyle w temacie. Czy natywna obsługa VPN w AsusWRT lub RMerlin pozwoli na uruchomienie multirooma nie wiem nie sprawdzałem.

Sugeruję podobnie jak @house, poszukanie jakiejś używki AC68U, R7000 lub modeli innych modeli gdzie z będzie możliwość wgrania tomato lub pozostania na OFW.

Kurczę mam wrażenie, że się nie rozumiemy. Chodzi mi oto skoro rev. B1 ma natywną obsługę serwera VPN to czy w ogóle muszę mieć Tomato? Bo wydaje mi się, że Tomato jest potrzebne aby zrobić VPN Clienta a nie serwer. Do AC66 wiem, że  musze mieć ale czy AC68U też wymaga zmiany firmware czy jak mam opcje postawić serwer to co stawiam bez większej filozofii.

Link to post
Share on other sites

W ramach OFW, Asus na pewno ma obsługę VPN pytanie czy jest możliwość ustawienia servera VPN w trybie TAP i zrobienia Bridga z konkretnym LAN lub WIFI - tego nie wiem, trzeba by sprawdzić.

Link to post
Share on other sites
  • 3 weeks later...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Similar Content

    • Tracid
      By Tracid
      Firmware z odblokowaną funkcją repeatera. Nie mam jednak pewności czy funkcja ta działa poprawnie.
      RT-AC1200G+_3.0.0.4_382_52272-g73d3ea2-FIX.zip
       
    • Fate
      By Fate
      Witam po krotće opisze po kolei by jak najwiecej wyjasnic pierwszy raz robilem siec aimesh na poczatek zrobilem
      wgrany soft asusa ze strony najnowszy jak i ustawienia fabryczne wgrane na asusie ktory pracuje jako router skonfigurowana siec wszystko domyslne jedynie w zakladce profesional wylaczane Airtime Fairness oraz Universal Beamforming
      2,4 ustawiona na 20mhz i 13 kanal 
      5 ustawiona na 20/40/80 kanal 48
      reszta opcji domyslne
      w drugim routerze tak samo ustawienia domyslne a po uruchomieniu konfiguratora ustawiony jako mesh dodatkowo w 1 routerze w zakladce aimesh wyszukal i dodal do sieci router jak mowilem robilem to pierwszy raz ale chyba nic nie skopalem
      routery sa ustawione jeden u mnie w pokoju w odleglosci 1 metra od komputera a drugi gdzies w lini prostej 5 metrow dalej w drugim pokoju w ustawieniach pokazuje 2 kreski zasiegu w zakladce mesh routery dzialaja po wifi bez kabla
      i teraz przechodzac do mojego pytania to po wifi mam w moim odczuciu jakies slabe te predkosci mianowicie internet swiatlowodowy 500mb a np na telefonie siec 5g telefon na biurku predkosci mam 120/140 mb download a u siebie w komputerze maksymalnie mialem 220mb teraz okolo 200bm w porywach jak mowilem metr od routera ,w drugim pokoju sprawa wyglada tak tv sony podlaczony do 5g w przegladarce pokazalo 60mb  stoi gdzies metr od drugiego routera a na laptopie w tym samym pokoju 150/170mb
      pokaze moze na koniec w routerze co mi przy sieci 5g pokazuje 
      idx MAC          Associated Authorized   RSSI PHY PSM SGI STBC Tx rate  Rx rate  Connect Time D8:8Fxxxxxxxxxxx Yes        Yes         -45dBm ac  Yes Yes No   6M       866.7M   00:14:49 D0:xxxxxxxxxxxxx Yes        Yes         -40dBm ac  No  Yes Yes  866.7M   866.7M   04:22:33 B0:xxxxxxxxxxxxx Yes        Yes         -66dBm ac  No  Yes Yes  585M     526.5M   05:47:33 10:xxxxxxxxxxxxx Yes        Yes         -58dBm ac  Yes Yes Yes  6M       24M      06:07:43 1 to telefon na biurku 
      2 moj komputer
      3 i 4 laptop i tv
      nie wiem nie znam sie wiem ze to wifi nie kabel lecz spodziewalem sie wiekszych predkosci 
×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue. For more information, please see ours Guidelines and Privacy Policy.