Toto je starší verze dokumentu!
Obsah
DD-WRT
Vlastní DDNS
- DDNS Service: custon
- DNDNS Server: wifi.mysh.cz
- User Name: cokoliv
- Password: cokoliv
- Host Name: <dnsjmeno-praha.wladik.net>
- URL: /set.php?h=
- Additional: prazdne
- Do not use external ip check: Yes
WNDR3700
Obnovení původního firmware
NAT Loopback - aby šlo na WAN adresu i zevnitr
U novějších buildů je problém, a nefunguje to správne a je nunté to nějak řešit. Zde je popis problému http://svn.dd-wrt.com:8000/ticket/1868 Nástin řešení http://www.dd-wrt.com/phpBB2/viewtopic.php?t=89353 + popis problému http://www.dd-wrt.com/phpBB2/viewtopic.php?p=514682&sid=32548683897734841151b4ca08a9f2d6
insmod ipt_mark # asi neni nutne insmod xt_mark # asi neni nutne iptables -t mangle -A PREROUTING -i ! `get_wanface` -d `nvram get wan_ipaddr` -j MARK --set-mark 0xd001 iptables -t nat -A POSTROUTING -m mark --mark 0xd001 -j MASQUERADE
Instalace IPKG
je potřeba upravené verze ipkg, protože ta stávající má problém a nefunguje na tomhle sestavení dd-wrt
- povolit JFFS přes web (prvně s Clear a pak bez Clear)
mkdir -p /jffs/usr/local/lib/ipkg/lists
/jffs/ipkg update
- stáhnout upravenou verzi ipkg a uložit do /jffs/ http://svn.dd-wrt.com:8000/browser//opt/bin/ipkg resp.
wget http://svn.dd-wrt.com:8000/export/17149/opt/bin/ipkg
http://www.myopenrouter.com/forum/thread/22327/dd-wrt-on-wnr3500l-jffs-etc-ipkg.conf-no-such-file/
AICCU pro Sixxs
/jffs/ipkg install aiccu
- pro fungování aiccu je bohužel nutné posunout časové pásmo routeru (na UTC-1) při ntp.cesnet.cz (problém DD-WRT)
- upravit /jffs/etc/aiccu.conf podle vlastního tunnelu
vi /jffs/etc/aiccu.conf
# Login information username <your nichandle/username> password <your password> # Protocol and server listed on your tunnel protocol tic server tic.sixxs.net # Interface names to use ipv6_interface sixxs # The tunnel_id to use # (only required when there are multiple tunnels in the list) tunnel_id <your tunnel id> # Be verbose? verbose false # Daemonize? daemonize true # Set default route? defaultroute true
aiccu start /jffs/etc/aiccu.conf
OpenVPN tunel
Statický
Pomocí statického tunelu se dají spojit dvě sítě bez složitého sestavování CA.
- Praha: dd-wrt (10.0.0.5) jako server se siti 10.0.0.0/24 a zaroven jako brana
- Sobesin: dd-wrt (192.168.1.1). Sit 192.168.1.0/24, brana je NanoStation2 (192.168.1.2) dd-wrt je jen soucast site
Statický klíč je na obou routerech uložený na JFFS paměti, ale mohl by být přímov initskriptu v nvram, ale takhle to šetří místo. Pro spojení se vytvoří nový iface tap0, který se připojí do existujícího bridge br0
Praha
díra do firewallu pro příchozí spojení
iptables -I INPUT 1 -p udp --dport 1194 -j ACCEPT
vytvoříme symlink na openvpn s názvem myvpn (aby se náš tunel ve výpisu ps jmenoval myvpn)
cd /tmp ln -s /usr/sbin/openvpn /tmp/myvpn
založíme nový iface
openvpn --mktun --dev tap0
připojíme do mostu
brctl addif br0 tap0
a povolíme promiscuitní mód sítovky s adresou 0.0.0.0
ifconfig tap0 0.0.0.0 promisc up
klíč je čitelný jen rootem
chmod 600 /jffs/static.key
a spustíme samotný tunel
/tmp/myvpn --dev tap0 --secret /jffs/static.key --comp-lzo --port 1194 --proto udp --verb 3 --keepalive 10 60 --daemon
bez parametru –daemon se to spustí s výpisem, dobré pro ladění
pro přístup do sítě v soběšíně přidáme route cestu
route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.0.0.9
Soběšín
v dd-wrt vytvoříme konec tunelu
cd /tmp ln -s /usr/sbin/openvpn /tmp/myvpn openvpn --mktun --dev tap0 ifconfig tap0 10.0.0.9 promisc up
/tmp/myvpn --dev tap0 --secret /jffs/static.key --comp-lzo --port 1194 --proto udp --verb 3 --remote praha.wladik.net --keepalive 10 60 --daemon
do brány (NanoStation) přidáme route cestu
route add -net 10.0.0.0 netmask 255.255.255.0 gw 192.168.1.1
cestu přímo v dd-wrt není nutné tvočit, protože jsme nepřipojili do bridge, a vytvoří se automaticky.
Zdroje a poznámky
Poznámky:
- Pro úplně spojení sítí by se dalo udělat připojení do bridge i v soběšíně a používat stejný adresový prostor. takto je to jako routed, tím je určitě autonomie obou sítí.
- Dalo by se na DD-WRT povolit bez ručního přidělení adresy tj. napsat jen
ifconfig tap0 0.0.0.0 promisc up
a pak by stačilo DHCP klientem požádat o IP adresu, ale pro zadávání route cest je lepší mít adresu pevnou.
- Pro přístup k zařízením mezi oběma sítěmi je potřeba mít správně nastavené lokální brány, aby bylo možné předávat odpovědi.
Zdroje