數位天堂

Nokia:科技始終來自於人性; 拜耳:如果文明不能使我們更相愛,那科技便失去意義!
歡迎您的加入,讓我們一起討論科技與環保的整合應用...

您尚未登入。

#1 2009-12-17 01:07:21

hippo
天使
註冊日期: 2008-10-07
文章數: 1562
目前積分 :   20 

[Tomato] OpenVPN Site-to-Site Bridged (同網段)

OpenVPN使用SSL加密, 安全性比PPTP更好. BCM4704內建VPN加速引擎(IPSec), 網友們可試試看CPU負載的差異.
以下實作Ethernet Bridging, 使用最簡單的Static Key作認證. 了解理念後, 可改為X509 PKI. 並比較bridging與routing的差異後, 套用於自己的網路環境. 接下來, 甚至可測試DD-WRT與Tomato於OpenVPN的連結等.
PC端程式, 可於OpenVPN Downloads下載. Windows GUI可於OpenVPN GUI for Windows下載.

OpenVPN server:
WL-500gP: 192.168.1.1/24
OpenVPN client:
WL-520gU: 192.168.1.2/24
二者韌體: Tomato v1.27.8741 vpn3.4 ND USB VPN (泰迪熊)

OpenVPN server:
1. LAN: 192.168.1.1/24, DHCP on.
WAN端若為動態IP, 再配合Basic--> DDNS.
https://digiland.tw/uploads/614_tomatousb_openvpn_site2site_bridged_server_lan.gif
2. 基本設定
https://digiland.tw/uploads/614_tomatousb_openvpn_site2site_bridged_server_basic.gif
Interface Type, 參考Determining whether to use a routed or bridged VPN.
3. 產生static key

# openvpn --genkey --secret static.key


# cat static.key

# # 2048 bit OpenVPN static key # -----BEGIN OpenVPN Static key V1----- c707db5a29a613a6e016e6d9b32fcfb8 538c18b6677144af98607183efb6d784 3b8b74c0f9de5484be739523f065b4f6 ...省略 e91fea47c1b298881069d85e0d3572a3 5df5f5d7c0baefb9e16eb7f92a1ecdfb c93be655cf6783fb8ac4107c712513e1 -----END OpenVPN Static key V1-----


https://digiland.tw/uploads/614_tomatousb_openvpn_site2site_bridged_server_statickey.gif
4. Start Now, 啟動OpenVPN server.
觀察設定檔(/etc/openvpn/server1/config.ovpn), 網卡, 防火牆, 訊息(dmesg, /var/log/messages)等.

OpenVPN client:
1. LAN: 192.168.1.2/24, DHCP off.
若不由server端之DHCP發放IP, 而要由client端之DHCP發放, 設定為與server不同的發放範圍. 例如: 192.168.1.150~192.168.1.199
https://digiland.tw/uploads/614_tomatousb_openvpn_site2site_bridged_client_lan.gif
2. 基本設定
因server端為動態IP, 故使用DDNS解析.
https://digiland.tw/uploads/614_tomatousb_openvpn_site2site_bridged_client_basic.gif
3. static key, 與server端相同.
https://digiland.tw/uploads/614_tomatousb_openvpn_site2site_bridged_client_statickey.gif
4. Start Now, 啟動OpenVPN client.
觀察相關檔案. server端接受連入的訊息, client端路由的變更等.

測試
OpenVPN server:
192.168.1.2為client端連入.
https://digiland.tw/uploads/614_tomatousb_openvpn_site2site_bridged_server_devicelist.gif
OpenVPN client:
ping server端, 測試連結.
https://digiland.tw/uploads/614_tomatousb_openvpn_site2site_bridged_client_ping.gif
ok, 虛擬通道建立完成.

參考:
Tomato VPN build with Web GUI




離線

 

#2 2010-03-02 00:09:18

hippo
天使
註冊日期: 2008-10-07
文章數: 1562
目前積分 :   20 

Re: [Tomato] OpenVPN Site-to-Site Bridged (同網段)

韌體: Tomato v1.27.8744 vpn3.6 ND USB VPN
此版OpenVPN client有些問題, 無法啟動, 但server可以. 以Tomato VPN測試, 則一切正常. 似乎是Tomato USB整合Tomato VPN還不是很好.
另外, Redirect Internet traffic功能, 或許可解決這個問題.
這裡有支援PPTP client的延伸版本.



離線

 

#3 2010-10-08 12:10:49

tivanmi
新生
註冊日期: 2010-06-30
文章數: 22
目前積分 :   

Re: [Tomato] OpenVPN Site-to-Site Bridged (同網段)

這篇很讚
copy一份留著
去Openvpn看HOWTO,有夠累,還看設不好...


離線

 

#4 2010-12-06 23:22:17

Paneb
新生
註冊日期: 2009-12-09
文章數: 37
目前積分 :   

Re: [Tomato] OpenVPN Site-to-Site Bridged (同網段)

請問這樣client端的所有流量不是會由server出去嗎?

若是我只是要分享server端區網的資源,在用OpenVPN的前提下。

我要兩端流量各走各的,Server & client 的分享器各自DHCP配發其下Lan的IP,只有存取VPN 網段192.168.1.x的資源時,才是直接連線,這樣是要在哪裡做變更?

發現hippo兄這篇文章被 tomatousb.org 放在tutorials裡頭喔。yes


離線

 

#5 2010-12-07 11:43:02

hippo
天使
註冊日期: 2008-10-07
文章數: 1562
目前積分 :   20 

Re: [Tomato] OpenVPN Site-to-Site Bridged (同網段)

Redirect Internet traffic選項, 就如同ofr兄這篇所寫的意思. 預設是未勾選, 也就是各走各的. 所以, 預設值就是您要的. 您可traceroute或WebUI的Tools-->Trace查看測試結果.

使用泰迪熊韌體, 而有微薄貢獻, 實在不足掛齒. 榮耀歸於數位天堂.



離線

 

#6 2010-12-07 22:37:43

Aven
天使
來自: 數位天堂
註冊日期: 2007-07-15
文章數: 2266
網站

Re: [Tomato] OpenVPN Site-to-Site Bridged (同網段)

hippo 提到:

使用泰迪熊韌體, 而有微薄貢獻, 實在不足掛齒. 榮耀歸於數位天堂.

感覺像是在某教堂的祈禱大會現場,結尾忘了說"阿門"!!



技術問題請於論壇上集眾人之力公開討論,感恩 thankgod

離線

 

#7 2010-12-07 23:11:48

hippo
天使
註冊日期: 2008-10-07
文章數: 1562
目前積分 :   20 

Re: [Tomato] OpenVPN Site-to-Site Bridged (同網段)

其實還是最感謝站長提供這個互相交流的園地啦.


離線

 

#8 2011-03-13 22:02:02

hippo
天使
註冊日期: 2008-10-07
文章數: 1562
目前積分 :   20 

Re: [Tomato] OpenVPN Site-to-Site Bridged (同網段)

以下使用OpenVPN原始碼內的easy-rsa, 經Optware的OpenSSL套件, 產生PKI key.

1. 安裝OpenSSL

# ipkg-opt install openssl


2. 下載OpenVPN, 抽出easy-rsa

# aria2c --event-poll=select http://openvpn.net/release/openvpn-2.1.1.tar.gz # tar -xzf openvpn-2.1.1.tar.gz # mkdir easy-rsa # mv openvpn-2.1.1/easy-rsa/2.0/ easy-rsa/ # rm -fr openvpn-2.1.1 # cd easy-rsa/2.0/ # most README


3. 編輯clean-all, build-ca, build-key-server, build-dh, build-key, 將#!/bin/bash改為#!/bin/sh
4. 修改相關KEY環境變數. KEY值依自己的需要修改.

# vi vars export KEY_SIZE=1024 ... export KEY_COUNTRY="TW" export KEY_PROVINCE="Taiwan" export KEY_CITY="Taipei" export KEY_ORG="DigiLand" export KEY_EMAIL="hippo@digiland.tw"


5. 更改$PATH, 使用Optware的openssl. 載入環境變數.

# export PATH=/opt/bin:$PATH # source ./vars # env | grep KEY


6. 建立相關PKI
6-1) 建立過程中, 會以KEY環境變數當作預設值. Common Name可再作修改, 當作識別名稱.
6-2) 若需要HMAC(tls-auth), 才需要產生ta.key

# ./clean-all # ./build-ca # ./build-key-server server # ./build-dh # ./build-key client # openvpn --genkey --secret keys/ta.key


7. 結果

# ll keys/ total 72 -rw-r--r-- 1 root root 3883 Mar 13 18:30 01.pem -rw-r--r-- 1 root root 3741 Mar 13 21:15 02.pem -rw-r--r-- 1 root root 1212 Mar 13 18:28 ca.crt -rw------- 1 root root 887 Mar 13 18:28 ca.key -rw-r--r-- 1 root root 3741 Mar 13 21:15 client.crt -rw-r--r-- 1 root root 668 Mar 13 21:15 client.csr -rw------- 1 root root 891 Mar 13 21:15 client.key -rw-r--r-- 1 root root 245 Mar 13 18:55 dh1024.pem -rw-r--r-- 1 root root 217 Mar 13 21:15 index.txt -rw-r--r-- 1 root root 21 Mar 13 21:15 index.txt.attr -rw-r--r-- 1 root root 21 Mar 13 18:30 index.txt.attr.old -rw-r--r-- 1 root root 113 Mar 13 18:30 index.txt.old -rw-r--r-- 1 root root 3 Mar 13 21:15 serial -rw-r--r-- 1 root root 3 Mar 13 18:30 serial.old -rw-r--r-- 1 root root 3883 Mar 13 18:30 server.crt -rw-r--r-- 1 root root 680 Mar 13 18:30 server.csr -rw------- 1 root root 887 Mar 13 18:30 server.key -rw------- 1 root root 636 Mar 13 21:17 ta.key



離線

 

#9 2012-04-09 01:47:11

kang0224
新生
註冊日期: 2012-04-09
文章數: 2
目前積分 :   

Re: [Tomato] OpenVPN Site-to-Site Bridged (同網段)

請問,目前敝有3台已裝openvpn機子,也參考了一些文章設定連接起來
但問題來了,3台各自都有開DHCP(192.168.1.1/22;192.168.1.254/22;192.168.2.1/22)
三台的接口類型皆為TAP ,協議 UDP,
有時.1.1網段下的PC gateway 會取到.2.1的,.2.1的會取到.1.1的
,因目前只是想做到檔案分享( Lan to Lan)
請問該如何設定才能解決,謝謝


離線

 

#10 2012-04-09 15:32:09

hippo
天使
註冊日期: 2008-10-07
文章數: 1562
目前積分 :   20 

Re: [Tomato] OpenVPN Site-to-Site Bridged (同網段)

1. 同網段, 分割不同DHCP分配位址.
2. 修改路由表.
3. 也可改用IPv6測試.
未實作, 請自行測試.


離線

 

相關討論主題

主題 回覆 點閱 最後發表
置頂
置頂: Tomato 後續延伸版本 FreshTomato 作者 wen1977  [ 1 2 3 4 ]
33 85117 2024-10-23 08:28:27 作者 huiduo
置頂
置頂: [Tomato Shibby] 正體中文化韌體下載 作者 Aven  [ 1 2 3 … 163 ]
1625 3031638 2024-04-28 12:35:05 作者 s87311
Tomato Shibby v140 韌體更新 作者 Service  [ 1 2 3 … 16 ]
155 348136 2022-12-08 17:08:17 作者 dir868l
置頂
置頂: [精華] Tomato 網路資源及文章索引 作者 Aven  [ 1 2 3 … 6 ]
54 207397 2022-09-15 12:25:01 作者 chiachu
222 502811 2022-09-14 14:54:52 作者 chiachu

友情連結

論壇頁尾

Powered by PunBB
© Copyright 2018 Rickard Andersson
RSS Feed