Ответ
 
Опции темы Опции просмотра
Старый 31.10.2018, 17:24   #1
мирный житель
 
Аватар для anaconda
 
Регистрация 28.06.2011
Город Киев, Одесса
Телефон в подписи
 
Восклицание openwrt

на днях решил создать тему, которая поможет пользователям сервисов использующих прошивку openwrt на роутерах поддерживающих данный софт, насладиться всеми преймуществами её работы.
предлагаю делиться опытом использования различных плюшек сего софтового чуда.
начну с себя: на данный момент активно использую сервисы openvpn openssl (развернута локальная сеть между роутерами) + multiwan (для резервации канала).
всё далее описанное проверено на роутерах: tplink wdr4300 server/dual wan, 842nd client/sdr radio, 1045 server rezerv, 1043 client/dual wan, 741nd client.
как я настроил свой openvpn server и client? спасибо юзерам написавшим инструкцию на вики проекта тыц правда там оказалась маленькая неточность, методом проб и ошибок удалось поднять tap мост между телефоном/планшетом и роутером.

настройка домашнего впн сервера:
 
1 устанавливаем на роутер прошивку openwrt, для роутеров с памятью 4 мб (тплинк 741 841 и др) в сети есть готовые прошивки с включёнными пакетами: ddns, openvpn, upnp, с вырезанным установщиком пакетов и оптимизацией системы для стабильной работы. ссылка на прошивки с включёнными пакетами:
 
подходит для роутеров:
TP Link WA701ND v1
TP Link WA701ND v2
TP Link WR740n v1
TP Link WR740n v3
TP Link WR740n v4
TP Link WR740n v5
TP Link WR740n v6
TP Link WR741ND v1
TP Link WR741ND v2
TP Link WR741ND v4
TP Link WR741ND v5
TP Link WR743ND v1
TP Link WR743ND v2
TP Link WR841 v1.5
TP Link WR841 v3
TP Link WR841 v5
TP Link WR841 v7
TP Link WR841 v8
TP Link WR841 v9
TP Link WR841 v10
TP Link WR841 v11
TP Link WR841 v12
TP Link WR841 v12
TP Link WR940n v4
TP Link WR941ND v2
TP Link WR941ND v3
TP Link WR941ND v4
TP Link WR941ND v5
TP Link WR941ND v6
качаем тут: тыц , устанавливаем на ваш роутер.

 
2 для роутеров которых нет в списке, и для которых вы скачивали прошивку отсюда: тыц надо установить следующие пакеты: luci-i18n-openvpn-ru, openvpn-openssl, для русификации веб интерфейса нужно установить luci-i18n-base-ru.

 
3 теперь для всех роутеров, в которых есть необходимые пакеты настраиваем сервер, простой способ настройки: подключиться к роутеру через ssl (программа putty тыц), и вводим команды для создания профиля сервера:
 
echo > /etc/config/openvpn # очистите UCI конфигурацию для OpenVPN
uci set openvpn.HOMELINK=openvpn
uci set openvpn.HOMELINK.enabled=1
uci set openvpn.HOMELINK.verb=0
uci set openvpn.HOMELINK.proto=tcp-server
uci set openvpn.HOMELINK.port=порт сервера
uci set openvpn.HOMELINK.dev=tap
uci set openvpn.HOMELINK.mode=server
uci set openvpn.HOMELINK.tls_server=1
uci add_list openvpn.HOMELINK.push='route-gateway dhcp'
uci set openvpn.HOMELINK.keepalive='10 60'
uci set openvpn.HOMELINK.ca=/etc/openvpn/ca.crt
uci set openvpn.HOMELINK.cert=/etc/openvpn/my-server.crt
uci set openvpn.HOMELINK.key=/etc/openvpn/my-server.key
uci set openvpn.HOMELINK.dh=/etc/openvpn/dh2048.pem
uci commit openvpn
/etc/init.d/openvpn enable
/etc/init.d/openvpn start


 
4 заходим на веб страницу роутера, вкладка сервисы openvpn, туда вставляем предварительно созданные фаилы сертификатов сервера и ключей (4 фаила: ca.crt, dh2048.pem, server.crt. server.key).

 
5 сохраняем и применяем изменения. ваш сервер запущен и работает.

 
6 в настройках интерфейсов (сеть, интерфейсы) правим настройки lan интерфейса, добавляем tap0 в список портов. сохраняем и применяем изменения.

на этом настройка сервера закончена.
далее я опишу настройку клиентов на домашний сервер.
p.s кому будет интересно поковырять функционал глубже есть пару мануалов которые так и не заработали на полную:тыц и тыц (tun тунель так и не заработал).
Изображения:
Тип файла: png Безымянный1.png (90.9 Кб, 32 просмотров)
Тип файла: png Безымянный2.png (115.2 Кб, 26 просмотров)
Тип файла: png Безымянный3.png (115.9 Кб, 27 просмотров)
Тип файла: png Безымянный4.png (142.6 Кб, 25 просмотров)
Тип файла: png Безымянный5.png (106.3 Кб, 19 просмотров)

Последний раз редактировалось anaconda; 31.10.2018 в 20:25.
anaconda вне форума   Ответить с цитированием
Старый 31.10.2018, 17:37   #2
Местный
 
Аватар для utwer
 
Регистрация 09.08.2009
Город Вольнянск
Телефон Lenovo P2 VF "ЗЕРО"/КS "Все разом"
 
По умолчанию Re: openwrt

Сообщение от anaconda Посмотреть сообщение
multiwan (для резервации канала)
опиши как настроил
utwer вне форума   Ответить с цитированием
Старый 31.10.2018, 17:41   #3
мирный житель
 
Аватар для anaconda
 
Регистрация 28.06.2011
Город Киев, Одесса
Телефон в подписи
 
По умолчанию Re: openwrt

я буду описывать всё по порядку, + выложу свой конфиг
anaconda вне форума   Ответить с цитированием
Согласен:
Старый 31.10.2018, 18:09   #4
Местный
 
Аватар для Матвєй
 
Регистрация 02.08.2014
Город Чоп-Ужгород
Телефон Xiaomi Redmi 5 Plus
 
По умолчанию Re: openwrt

Сообщение от anaconda Посмотреть сообщение
я буду описывать всё по порядку, + выложу свой конфиг
А як перейти на неї з ddwrt, бо десь читав, що ця легше буде для роутера...Дякую
Матвєй на форуме   Ответить с цитированием
Старый 31.10.2018, 18:53   #5
мирный житель
 
Аватар для anaconda
 
Регистрация 28.06.2011
Город Киев, Одесса
Телефон в подписи
 
По умолчанию Re: openwrt

настройка балансировки трафика между 2 wan портами.
ВНИМАНИЕ! если у вас гигабитный роутер, и провайдер даёт реальный гигабит, эта инструкция не для вас (nat срезает скорость до 200 мбит сумарно с 2 каналов)
1 в веб интерфейсе обновить пакеты, после установить: luci-i18n-mwan3-ru
2 далее в настройках коммутатора (сеть, коммутатор) создаём новый интерфейс wlan, у вас должно быть 3 влан интерфейса: lan, wan_1, wan_2.
3 в созданном интерфейсе настраиваем опции: цп - с тегом, нужный порт - без тега, остальные отключить. должна получиться схема как показано на скрине 2.
4 с помощью программы winscp тыц подключаемся к роутеру по протоколу scp, ищем фаил mwan3 по пути /etc/config, заменяем содержимое фаила на это:
 

config policy 'balanced'
list use_member 'wan_1_m1_w3'
list use_member 'wan_2_m1_w2'
list use_member 'wan_1_6_m1_w3'
list use_member 'wan_2_6_m1_w2'
option last_resort 'unreachable'

config policy 'wan_1_wan_2'
list use_member 'wan_1_m1_w3'
list use_member 'wan_2_m2_w2'
list use_member 'wan_1_6_m1_w3'
list use_member 'wan_2_6_m2_w2'

config policy 'wan_2_wan_1'
list use_member 'wan_1_m2_w3'
list use_member 'wan_2_m1_w2'
list use_member 'wan_1_6_m2_w3'
list use_member 'wan_2_6_m1_w2'

config policy 'wan_1_only'
list use_member 'wan_1_m1_w3'
list use_member 'wan_1_6_m1_w3'

config policy 'wan_2_only'
list use_member 'wan_2_m1_w2'
list use_member 'wan_2_6_m1_w2'

config globals 'globals'
option mmx_mask '0x3F00'
option local_source 'lan'

config interface 'wan_1'
option enabled '1'
list track_ip '8.8.4.4'
list track_ip '8.8.8.8'
list track_ip '208.67.222.222'
list track_ip '208.67.220.220'
option family 'ipv4'
option reliability '2'
option count '1'
option timeout '2'
option failure_latency '1000'
option recovery_latency '500'
option failure_loss '20'
option recovery_loss '5'
option interval '5'
option down '3'
option up '8'

config interface 'wan_1_6'
option enabled '0'
list track_ip '2001:4860:4860::8844'
list track_ip '2001:4860:4860::8888'
list track_ip '2620:0:ccd::2'
list track_ip '2620:0:ccc::2'
option family 'ipv6'
option reliability '2'
option count '1'
option timeout '2'
option interval '5'
option down '3'
option up '8'

config interface 'wan_2'
option enabled '1'
list track_ip '8.8.8.8'
list track_ip '208.67.220.220'
option family 'ipv4'
option reliability '1'
option count '1'
option timeout '2'
option interval '5'
option down '3'
option up '8'

config interface 'wan_2_6'
option enabled '0'
list track_ip '2001:4860:4860::8888'
list track_ip '2620:0:ccc::2'
option family 'ipv6'
option reliability '1'
option count '1'
option timeout '2'
option interval '5'
option down '3'
option up '8'

config member 'wan_1_m1_w3'
option interface 'wan_1'
option metric '1'
option weight '3'

config member 'wan_1_m2_w3'
option interface 'wan_1'
option metric '2'
option weight '3'

config member 'wan_2_m1_w2'
option interface 'wan_2'
option metric '1'
option weight '2'

config member 'wan_2_m2_w2'
option interface 'wan_2'
option metric '2'
option weight '2'

config member 'wan_1_6_m1_w3'
option interface 'wan_1_6'
option metric '1'
option weight '3'

config member 'wan_1_6_m2_w3'
option interface 'wan_1_6'
option metric '2'
option weight '3'

config member 'wan_2_6_m1_w2'
option interface 'wan_2_6'
option metric '1'
option weight '2'

config member 'wan_2_6_m2_w2'
option interface 'wan_2_6'
option metric '2'
option weight '2'

config rule 'default_rule'
option dest_ip '0.0.0.0/0'
option use_policy 'balanced'


после сохраняем изменения.
5 в веб интерфейсе заходим в: сеть, межсетевой экран, и создаём новый интерфейс с параметрами показанными на скрине 3. привязываем к нему 2 ван порт, сохраняем и применяем.
6 в настройках интерфейсов выставляем для ван 1 - статический ип и метрику 10, для ван 2 динамический с метрикой 20.
7 применяем и перезагружаем роутер.
ВАЖНО! ПРИ РАБОТЕ С ИНТЕРФЕЙСАМИ И КОММУТАТОРОМ НА ВСЯКИЙ СЛУЧАЙ ВКЛЮЧИТЕ И НАСТРОЙТЕ WIFI, В СЛУЧАИ ДОПУСКА ОШИБОК ВХОД НА ВЕБ ЧЕРЕЗ ЛАН БУДЕТ НЕВОЗМОЖЕН.
Изображения:
Тип файла: png Безымянный1.png (96.9 Кб, 13 просмотров)
Тип файла: png Безымянный2.png (94.8 Кб, 13 просмотров)
Тип файла: png Безымянный3.png (91.6 Кб, 14 просмотров)
Тип файла: png Безымянный4.png (88.9 Кб, 8 просмотров)
Тип файла: png Безымянный5.png (136.4 Кб, 7 просмотров)

Последний раз редактировалось anaconda; 31.10.2018 в 21:20.
anaconda вне форума   Ответить с цитированием
2 Согласия(ий):
Старый 31.10.2018, 19:32   #6
Местный
 
Аватар для utwer
 
Регистрация 09.08.2009
Город Вольнянск
Телефон Lenovo P2 VF "ЗЕРО"/КS "Все разом"
 
По умолчанию Re: openwrt

{6 в настройках интерфейсов выставляем для ван 1 - статический ип и метрику 10, для ван 2 динамический с метрикой 20.} если оба операторы работают через динамику, то всеоавно для ван ставим статику?
utwer вне форума   Ответить с цитированием
Старый 31.10.2018, 19:40   #7
мирный житель
 
Аватар для anaconda
 
Регистрация 28.06.2011
Город Киев, Одесса
Телефон в подписи
 
По умолчанию Re: openwrt

пробуйте, но тогда могут быть глюки. у меня 2 прова со статикой, но нормально настроить не получалось, настраивал по мануалам с официального сайта разработчика. там было указано что должно быть на 1 статика а на 2 динамика.

Добавлено через 12 минут
настройка openvpn клиента на роутере с openwrt.
 
1 устанавливаем на роутер прошивку openwrt, для роутеров с памятью 4 мб (тплинк 741 841 и др) в сети есть готовые прошивки с включёнными пакетами: ddns, openvpn, upnp, с вырезанным установщиком пакетов и оптимизацией системы для стабильной работы. ссылка на прошивки с включёнными пакетами:
 
подходит для роутеров:
TP Link WA701ND v1
TP Link WA701ND v2
TP Link WR740n v1
TP Link WR740n v3
TP Link WR740n v4
TP Link WR740n v5
TP Link WR740n v6
TP Link WR741ND v1
TP Link WR741ND v2
TP Link WR741ND v4
TP Link WR741ND v5
TP Link WR743ND v1
TP Link WR743ND v2
TP Link WR841 v1.5
TP Link WR841 v3
TP Link WR841 v5
TP Link WR841 v7
TP Link WR841 v8
TP Link WR841 v9
TP Link WR841 v10
TP Link WR841 v11
TP Link WR841 v12
TP Link WR841 v12
TP Link WR940n v4
TP Link WR941ND v2
TP Link WR941ND v3
TP Link WR941ND v4
TP Link WR941ND v5
TP Link WR941ND v6
качаем тут: тыц , устанавливаем на ваш роутер.

 
2 для роутеров которых нет в списке, и для которых вы скачивали прошивку отсюда: тыц надо установить следующие пакеты: luci-i18n-openvpn-ru, openvpn-openssl, для русификации веб интерфейса нужно установить luci-i18n-base-ru.

 
3 теперь для всех роутеров, в которых есть необходимые пакеты настраиваем клиент, простой способ настройки: подключиться к роутеру через ssl (программа putty тыц), и вводим команды для создания профиля клиента:
 
echo > /etc/config/openvpn # очистите UCI конфигурацию для OpenVPN
uci set openvpn.HOMELINK=openvpn
uci set openvpn.HOMELINK.enabled=1
uci set openvpn.HOMELINK.dev=tap
uci set openvpn.HOMELINK.proto=tcp-client
uci set openvpn.HOMELINK.verb=0
uci set openvpn.HOMELINK.ca=/etc/openvpn/ca.crt
uci set openvpn.HOMELINK.cert=/etc/openvpn/my-client.crt
uci set openvpn.HOMELINK.key=/etc/openvpn/my-client.key
uci set openvpn.HOMELINK.client=1
uci set openvpn.HOMELINK.remote_cert_tls=server
uci set openvpn.HOMELINK.remote="адрес сервера порт"
uci commit openvpn
/etc/init.d/openvpn enable
/etc/init.d/openvpn start

Замечание - строчка "uci set openvpn.HOMELINK.remote="адрес сервера порт"" - может копироваться несколько раз в зависимости от количества резервных ип адресов вашего сервера, коннект будет происходить по порядку к каждому адресу.

 
4 заходим на веб страницу роутера, вкладка сервисы openvpn, туда вставляем предварительно созданные фаилы сертификатов сервера и ключей (3 фаила: ca.crt, client.crt. client.key).

 
5 сохраняем и применяем изменения. ваш клиент запущен и работает.

 
6 в настройках интерфейсов (сеть, интерфейсы) правим настройки интерфейсов, добавляем tap0 в список портов, нужной подсети, подключаем линк домой или к 2 wifi сети, или к отдельному lan порту (например ип телефон на впн порту зарубежом). сохраняем и применяем изменения.

на этом настройка сервера закончена.
p.s если вы будете создавать отдельный интерфейс, вам необходимо отвязать в коммутаторе 1 или несколько лан портов для впн (по необходимости), так-же при сохдании интерфейса указать опцию - неуправляемый и не назначать интерфейсу сетевую зону.

Последний раз редактировалось anaconda; 31.10.2018 в 21:23. Причина: Добавлено сообщение
anaconda вне форума   Ответить с цитированием
Согласен:
Старый 31.10.2018, 22:03   #8
мирный житель
 
Аватар для anaconda
 
Регистрация 28.06.2011
Город Киев, Одесса
Телефон в подписи
 
По умолчанию Re: openwrt

ещё хочется рассказать о других возможностях прошивки, вкратце коснусь функций: создания нескольких wifi интерфейсов (для разделения сетей), резервации адресов, записи в роутер имён хостов для домашних устройств: например, если у вас в домашней сети есть сервер с медиа фаилами, или вы хотите организовать доступ к ноутбуку/компьютеру/ресиверу через локальную сеть не заморачиваясь на вписывании адресов устройств можно легко настроить эту функцию в роутере, зафиксировав за мак адресом определённого устройства его доменное имя, и тогда вбивая в адресную строку к примеру http://medialink - попадать на фаиловый сервер, или по адресу ftp://vuduo - скачивать запись телепередачи с вашего ресивера.
всё это настраивается в веб интерфейсе: меню, сеть, имена хостов, добавить, сохраняете и применяете (см. скрин 1).
для сервисов, которым нужен статический адрес - есть функция статических адресов, настраивается в меню, сеть, dhcp и dns (скрин 2).
теперь касательно wifi - тут всё предельно просто, в меню сеть, wifi, создаём новый интерфейс (скрин 3), настраиваем как обычный роутер, прописываем зону приёма данных (лан, ван, или впн зависит от того что вы от него хотите), сохраняете и применяете (скрин 4).
Изображения:
Тип файла: png Безымянный3.png (95.9 Кб, 8 просмотров)
Тип файла: png Безымянный4.png (136.5 Кб, 6 просмотров)
Тип файла: png Безымянный2.png (116.4 Кб, 6 просмотров)
Тип файла: png Безымянный1.png (145.7 Кб, 5 просмотров)
anaconda вне форума   Ответить с цитированием
2 Согласия(ий):
Старый 31.10.2018, 22:20   #9
Местный
 
Аватар для utwer
 
Регистрация 09.08.2009
Город Вольнянск
Телефон Lenovo P2 VF "ЗЕРО"/КS "Все разом"
 
По умолчанию Re: openwrt

Если есть опыт как настроить статику при динамическом айпи, желательно для сервиса no-ip, то поделись, ну и доступ из вне к своим устройствам за роутером
utwer вне форума   Ответить с цитированием
Старый 31.10.2018, 22:25   #10
мирный житель
 
Аватар для anaconda
 
Регистрация 28.06.2011
Город Киев, Одесса
Телефон в подписи
 
По умолчанию Re: openwrt

Сообщение от utwer Посмотреть сообщение
Если есть опыт как настроить статику при динамическом айпи, желательно для сервиса no-ip, то поделись, ну и доступ из вне к своим устройствам за роутером
опыт открытия ресурсов локалки есть, напишу как только подумаю как описать это попроще, так-же будет разумно напистаь мануал по настройке контроля интернета для детей (тоже полезная штука).
к дднс привязан, апкеты хорошо работают, опишу как только доберусь до списка поддержки сервисов.

для реализации доступа к локальным ресурсам из интернета, необходимо соблюсти некоторые условия:
устройство должно иметь постоянный локальный адрес, иметь стабильное соединение с роутером, быть активным.
для настройки заходим в меню, сеть, межсетевой экран, Port Forwards - внизу страницы вносим необходимую информацию:
имя сервиса, протокол, внешняя сеть, внешний порт, внутренняя сеть, адрес устройства, внутренний порт, сохраняем нажав кнопку сохранить на строке которую вы заполняете. если у вас 2 ван порта то заполнять необходимо поля для каждоко интерфейса отдельно (см. скрин). для изменения настроек, зайдите в нужный пункт нажав кнопку изменить и заполните необходимые поля. если вам нужно открыть доступ к группе портов (порты подряд), заполняйте поле порт через знак "-" 8000-8005, 1024-1952. так-же можно заполнить перенаправление портов к примеру внешний порт для впн 1199, а внутренний 1194, тогда заполняем необходимые поля согласно инетрукции выше.
Изображения:
Тип файла: png 01.png (120.4 Кб, 14 просмотров)

Последний раз редактировалось anaconda; 31.10.2018 в 22:54.
anaconda вне форума   Ответить с цитированием
Согласен:
Ответ

Метки
openwrt

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Часовой пояс GMT +3, время: 11:07.


Powered by vBulletin® Version 3.8.11 Beta 4
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd. Перевод: zCarot