RT-AC66U vs RT-AC68U a firmware Tomato (VPN)

[Guest gulashos]

Cześć mam pytanie potrzebuję stworzyć tunel VPN dla dwóch lokalizacji i czytam, że najlepszym rozwiązaniem jest zmiana firmware na Tomato. 

 

W teorii na stronie http://tomato.groov.pl/?page_id=164 widzę oba modele. 

 

 

K26RT-AC – MIPSR2 – SDK6.x, special builds for RT-N66U, RT-AC66U, R6300v1 and Tenda W1800R only

 

K26ARM – ARM – only for Broadcom-ARM based routers like: Asus RT-N18U, RT-AC56U, RT-AC68U (except HW Rev C1), RT-AC68R, D-Link DIR868L, Huawei WS880, Netgear R7000, R6400, R6300v2, R6250, Linksys EA6900, EA6700, EA6500 v2

 

tylko chciałem się upewnić czy konkretnie dla modeli z AiMesh-em mogę też wgrać ten soft, konkretnie chodzi mi o te 2 modele: 

https://www.x-kom.pl/p/116446-router-asus-rt-ac66u-1750mb-s-a-b-g-n-ac-2xusb-.html#Specyfikacja

https://www.morele.net/router-asus-aimesh-rt-ac68u-613032/

 

Ewentualnie napiszcie czy to samo osiągnę merlinem. Zależy mi na stworzeniu VPNa aby połaczyć multirooma. 

 

 

 

 

 

[house 67]

na ac66u tak, na ac68u już nie (chyba że kupisz używany z innym HW Rev)

[Guest gulashos]

OK a czy w takim razie mam alternatywę aby stworzyć OpenVPNa ? Szkoda mi troszkę tego RT-AC68U wywalić od tak. Merlinem jestem w stanie to ogarnąć ? Bo Merlin bez kłopotu działał. W necie znalazłem jeszcze coś takiego jak freshtomato ? Mogę użyć jako zamiennik ?

 

To co potrzebuję zrobić to skonfigurować wg poniższego tutorialu (nie wiem czy mogę podać linka więc po prostu przekleję):

 

Cytat

Zarys prezentowanej sytuacji:

LOKALIZACJA 1:
Router Asus RT-N16 z Tomato. Adres IP LAN 192.168.0.1/24. Dekoder (matka) turbo o adrese ip np 192.168.0.10 z maską podsieci 255.255.255.0. Dekoder koniecznie musi posiadać wpisaną bramę domyślna wskazującą na router czyli 192.168.0.1. Kolejny warunek to stałe publiczne ip (najlepiej) lub (w przypadku zmiennego publicznego ip) skonfigurowana i działająca usługa DDNS. Tu postawimy serwer openVPN.

LOKALIZACJA 2:
Router Asus RT-N66u z Tomato. Adres IP LAN 10.1.1.1/24. Dekoder (biały) o adresie ... jak już ustaliliśmy musi być z puli dekodera matki czyli w naszym przykładzie 192.168.0.x ale o tym później. Na routerze uruchomimy klienta openVPN.

Ponieważ dekodery muszą być w tej samej podsieci, nasz tunel openvpn musi być przeźroczysty - zastosujemy urządzenie TAP. I tu mała uwaga. TAP to nasz wirtualny kabel, za pomocą którego spinamy gdzie odległe lokalizacje. Nie jest nakładany routing/NAT tak więc wszystkie pakiety broadcastowe mogą swobodnie przez niego wędrować. Taka sytuacja komplikuje jedną rzecz - w sieci będą istnieć więc dwa serwery DHCP. Jest na to rozwiązanie. Wykorzystać VLANy i wydzielić jeden fizyczny port LAN dla dekodera tak by tylko on miał komunikację po openVPN. Ale dosyć teorii, zabierajmy się do działania.


Konfiguracja serwera openVPN na routerze z dekoderem matką.

Generujemy klucz współdzielony static.key wydają w konsoli routera komendy:

cd /tmp
openvpn --genkey --secret static.key
cat static.key

 

Kopiujemy zawartość łącznie z liniami ----BEGIN do END ----

Wchodzimy do Tomato -> VPN Tunneling -> OpenVPN Server i na zakładce Basic ustawiamy kolejno:

 

Start with WAN: tak
Interface Type: TAP
Protocol: TCP
Port: 1194
Firewall: Automatic
Authorization Mode: Static Key

Na zakładce Keys wklejamy wygenerowany wcześniej klucz. Zapisujemy i startujemy serwer. Tu już skonczyliśmy. Od tej pory zajmować się będziemy tylko i wyłącznie routerem w drugiej lokalizacji.


Konfiguracja klienta openVPN na routerze z białym dekoderem:

Przechodzimy w Tomato na VPN Tunneling -> OpenVPN Client i na zakładce Basic ustawiamy kolejno:

 

Start with WAN: tak
Interface Type: TAP
Protocol: TCP
Server Address/Port: Tu podajemy publiczny adres IP pierwszego routera albo domenę DDNS, port 1194
Firewall: Custom
Authorization Mode: Static Key
Server is on the same subnet: NIE - ignorujemy ostrzeżenie
Tunnel address/netmask: Tu wpisujemy wolny adres IP z puli pierwszego routera np 192.168.0.200 z maską 255.255.255.0

UWAGA: Od wersji Tomato v124 doszła opcja "Bridge TAP with...". Po stworzeniu nowego interfejsu LAN (w przykładzie był to br2), zaznaczamy opcję "Server is on the same subnet" i wybieramy nasz nowy interfejs LAN (br2). Nie dodajemy już nic do skryptu INIT i nie dopisujemy nic do pola Custom Configuration.

Na zakładce Keys wklejamy masz klucz współdzielony. Zapisujemy i startujemy klienta.

Sprawdzamy czy tunel się zestawił pingują z routera router pierwszy czyli 192.168.0.1. Sprawdźmy też jaki interfejs został podniesiony. Wystarczy w tym celu wydać komendę "ifconfig" i zobaczyć numer interfejsu TAP. U mnie był to tap11. Zapamiętujemy.


Połowa drogi za nami. Teraz musimy stworzyć osobny VLAN tylko i wyłącznie pod biały dekoder Nki.

Przechodzimy do Basic -> Network i tworzymy nowy bridge:

 

Bridge: br2
STP: nie
IP Address: tu ustawiamy TEN SAM ADRES IP, który wpisaliśmy w kliencie ovpn czyli 192.168.0.200
Netmask: 255.255.255.0
DHCP: NIE

Zapisujemy.

Przechodzimy na Advanced VLAN. Wypinamy port4 z LAN (br0), dodajemy nowy VLAN np VLAN4, VID4, zaznaczamy port4 i bridge LAN2 (br2). Zapisujemy. Wykonany zostanie reset routera.

Do skrytpu INIT (Administration -> Scripts -> INIT) dopisujemy:

 

echo "#!/bin/sh" > /tmp/bridgeTAP
echo "brctl addif br2 tap11" >> /tmp/bridgeTAP
chmod +x /tmp/bridgeTAP

gdzie br2 to interfejs bridge nowego VLANa, który przed momentem stworzyliśmy a tap11 to interfejs VPN, na którym wstaje klient oVPN. Ów skrypt ma za zadanie scalić oba interfejsy (notabene o tym samym adresie IP) w jeden.

Następnie na zakładce VPN Tunneling -> OpenVPN Client -> Advanced w polu Custom Configuration wpisujemy:

 

script-security 2
up /tmp/bridgeTAP

Skrypt ten można zapisać również na stałe np na jffs lub opt. Pamiętać trzeba tylko o zmianie ścieżki do konfiguracji klienta ovpn.

Zapisujemy zmiany i dla pewności restartujemy router.

Sprawdźmy teraz wyniki naszej pracy. Jeżeli wszystko skonfigurowaliśmy poprawnie podpinając się do portu4 w routerze dostaniemy adres ip z serwera DHCP PIERWSZEGO routera czyli 192.168.0.x !! I o to nam chodziło  Urządzenie podpięte do portu4 dostanie też bramę domyślna 192.168.0.1 a więc wychodzić będzie z internetu w lokalizacji 1. Natomiast porty 1-3 będą działać tak jak działały czyli w sieci 10.1.1.1 kompletnie odseparowane od podsieci 192.168.0.x.

Podpinamy więc biały dekoder bezpośrednio do portu4 w naszym routerze. Odświeżamy adresację IP i mamy adres 192.168.0.x. Multiroom sam się "dogada", gdyż dekodery bez problemu się widzą i nie wiedzą, że dzieli je kilka/kilkadziesiąt/kilkaset kilometrów 

Mała porada na koniec: logi openvpn będą dość spore i skutecznie mogą zaśmiecić logi systemowe (messages). Możemy skierować logi ovpn do osobnego pliku. W tym celu na zakładce advanced klienta oraz serwera ovpn w polu Custom Configuration dopisujemy:

 

log-append /var/log/openvpn.log

 

 

Edited October 7, 2019 by gulashos

[Guest dimson]

To co chcesz osiągnąć "najłatwiej" ogarniesz na tomato - sam korzystam z takiego rozwiązania  (freshtomato to w sumie to samo tylko jest inna nakładka graficzna)

Inne FW też podobno dają taką możliwość ale tam już tak łatwo nie jest i trzeba klikać w konsoli.

[Guest gulashos]

OK

23 godziny temu, dimson napisał:

To co chcesz osiągnąć "najłatwiej" ogarniesz na tomato - sam korzystam z takiego rozwiązania  (freshtomato to w sumie to samo tylko jest inna nakładka graficzna)

Inne FW też podobno dają taką możliwość ale tam już tak łatwo nie jest i trzeba klikać w konsoli.

tylko pytanie czy na nowym RT-AC68U nie wgram Tomato ani FreshTomato? Ewentualnie mogę kupić nowy router ale o podobnych parametrach a tego wpiąć jako repeater w sieci Mesh. Dobrze zrozumiałem, że też używasz patentu VPN dla Multiroom ? Jeśli tak to miałbym pytanie czy możliwe jest aby 2 a nie 1 port obsługiwał sieć, która jest podpięta do dekodera matki?

 

A tak teraz myślę, czy to nie jest tak, że de facto muszę na AC-68 postawić server (bo ten będzie przy dekoderze głównym) a dopiero AC-66 z Tomato jako Client na dekoderach dodatkowych ?

Edited October 8, 2019 by gulashos

[Guest dimson]

Nie ma problemu żebyś podpiął LAN2 zamiast LAN1, choć ja u siebie całą konfiguracją mam po WIFI.

Myślę, że server dobrze byłoby postawić na mocniejszym routerze ale najważniejsze jest żeby w tej lokalizacji było stałem zewnętrze IP, choć jeśli go nie będzie tragedii nie mam, ratujesz się DYNDNS.

[house 67]

W dniu 8.10.2019 o 17:45, gulashos napisał:

tylko pytanie czy na nowym RT-AC68U nie wgram Tomato ani FreshTomato?

nie, nowe rewizje sprzętowe nie są wspierane przez te FW. Możesz poszukać Linksys EA6900 lub D-Link DIR-868L rev A1 - to ten sam CPU i możliwość instalacji tomato. Rozwiązaniem jest zakup używanego Asusa RT-AC68U.

[Guest gulashos]

 

7 godzin temu, dimson napisał:

Nie ma problemu żebyś podpiął LAN2 zamiast LAN1, choć ja u siebie całą konfiguracją mam po WIFI.

Myślę, że server dobrze byłoby postawić na mocniejszym routerze ale najważniejsze jest żeby w tej lokalizacji było stałem zewnętrze IP, choć jeśli go nie będzie tragedii nie mam, ratujesz się DYNDNS.

Tylko teraz mam cały czas jedną rozkminę czy nowe (rev. B1) RT-AC68U który natywnie ma opcję zrobienia serwera VPN musi mieć wgrane Tomato ? 

[Guest dimson]

Tomato na rev. B1 nie pójdziei tyle w temacie. Czy natywna obsługa VPN w AsusWRT lub RMerlin pozwoli na uruchomienie multirooma nie wiem nie sprawdzałem.

Sugeruję podobnie jak @house, poszukanie jakiejś używki AC68U, R7000 lub modeli innych modeli gdzie z będzie możliwość wgrania tomato lub pozostania na OFW.

[Guest gulashos]

3 godziny temu, dimson napisał:

Tomato na rev. B1 nie pójdziei tyle w temacie. Czy natywna obsługa VPN w AsusWRT lub RMerlin pozwoli na uruchomienie multirooma nie wiem nie sprawdzałem.

Sugeruję podobnie jak @house, poszukanie jakiejś używki AC68U, R7000 lub modeli innych modeli gdzie z będzie możliwość wgrania tomato lub pozostania na OFW.

Kurczę mam wrażenie, że się nie rozumiemy. Chodzi mi oto skoro rev. B1 ma natywną obsługę serwera VPN to czy w ogóle muszę mieć Tomato? Bo wydaje mi się, że Tomato jest potrzebne aby zrobić VPN Clienta a nie serwer. Do AC66 wiem, że  musze mieć ale czy AC68U też wymaga zmiany firmware czy jak mam opcje postawić serwer to co stawiam bez większej filozofii.

[Guest dimson]

W ramach OFW, Asus na pewno ma obsługę VPN pytanie czy jest możliwość ustawienia servera VPN w trybie TAP i zrobienia Bridga z konkretnym LAN lub WIFI - tego nie wiem, trzeba by sprawdzić.

[Guest gulashos]

OK a czy mogę mieć prośbę aby ktoś mając na AC68U Tomato wrzucił screena z ustawień VPN ?

[Guest gulashos]

Z tego co widzę nawet na OFW to jest opcja ustawienia go trybie TAP:

Coś jeszcze powinienem sprawdzić ?