Hi!

A BackFire-on is felesleges ezért saját iptables szabályokat alkalmazni. Szépen megadható a tűzfalon. Így viszont csináltál egy NAT-olást az 1036-ról a 80-as portra, a következő szabályban pedig a 80-as portra érkező összes kérést (feltétel nélkül) fogadod.

Az 1.1.4-en nem elég a tűzfalon a portot megváltoztatni, az uhttpd config-ban is meg kell változtatni. Ha nem módosítod, akkor a 443-as porton elérhető a LuCI HTTPS protokollon.

Alex

Backfire-on a natolás működhet? Csak mert ezt én a tűzfalon luci-ban bexelgettem és ez lett belőle.
A lényeg, hogy beengedjen a 1036-os porton monnyuk.

az 1.1.4-en hol találom az uhttpd config-ot? Mert nem enged be jelenleg a 443-as porton sem.

Szerk: Visszaállítottam a 443-ra és most ott beenged.

[ Szerkesztve ]

Nem rakosgatok hetekig semmit! Aki előbb eljön érte azé a cucc!

Hi!

Hogy állítottad be a BackFire-t a LuCI-n? Illetve hol látod, hogy ez a tűzfal szabály lett belőle?

Az uhttpd config-ot a /etc/config/uhttpd-ben találod. De ha megadod a tűzfal config-odat, akkor könnyebb lesz, ugyanis tényleg be kell engedjen a 443-as porton defaultban. (Ugye HTTPS-en próbálod?)

Szerk.: Akkor 1.1.4-en a tűzfal rendben van.

[ Szerkesztve ]

Alex

Az 1.1.4-en maradok a 443-on szerintem.
A másik így néz ki:

Ebből a 2 remote Luci amit beletettem, a többi szabály mind benne volt.

[ Szerkesztve ]

Nem rakosgatok hetekig semmit! Aki előbb eljön érte azé a cucc!

Hi!

Nekem ebből a képből úgy tűnik, hogy a Redirect-nél, illetve a Rule-nál sem adtad meg a destination port-ot (80). Illetve a Rule-nál megadtál Source portot, ami viszont nem kell.

Alex

A szabály pedig a custom rulesban van.

Nem rakosgatok hetekig semmit! Aki előbb eljön érte azé a cucc!

Tehát ha destination portot beírogatom mind2-nél 80-ra és a source portot 1036-ra akkor a 1036-os bejövőn fogom elérni a routert?

Nem rakosgatok hetekig semmit! Aki előbb eljön érte azé a cucc!

Hi!

A custom rules-ba nem kell semmilyen szabály.
A rule-nál nem kell source port, a többi helyes.

Alex

És akkor melyik porton enged majd be kívülről?
Nem akarom, hogy a 80-ason menjen. Valami másik portot szeretnék.

Nem rakosgatok hetekig semmit! Aki előbb eljön érte azé a cucc!

Hi!

Ilyen beállítással az 1036-on fog.

Alex

Köszi! Bár most kiiktattam mindent amit mondtál, és így viszont egyátalán nem jutok be sehol. Hiába hagytam meg a 1036-os beállítást.

Nem rakosgatok hetekig semmit! Aki előbb eljön érte azé a cucc!

Hi!

A redirect-et és a rule-t is meghagytad? Mi most pontosan a config?

Alex

Most kiirtottam mindet belőle és megpróbálom tiszta lappal.
Igen mind a 2 megmaradt, majd megpróbáltam a redirectet kiiktatni. De se így se úgy.
Most a wan zónát tettem acceptre az inputnál, de ugyebár ez biztonságtechnikailag nem a legjobb.
Custom rulesba nem tudom valahogy parancsal kiírni ezt amit szeretnék? Egyszerűbb lenne, és nem hergelnélek vele tovább.

Nem rakosgatok hetekig semmit! Aki előbb eljön érte azé a cucc!

Hi!

Nem hergelsz egyáltalán. Azonban az input lánc default policy-jának ACCEPT-re állítása a lehető legrosszabb ötlet...

A szabályok részletes beállításairól csinálj egy-egy képet, úgy jobban tudok segíteni. A végén a /etc/config/firewall-ban ilyen kell, hogy legyen az eredmény:

config 'redirect'
option '_name' 'Remote Luci'
option 'src' 'wan'
option 'proto' 'tcp'
option 'src_dport' '1036'
option 'dest_ip' '192.168.1.1'
option 'dest_port' '80'
option 'target' 'DNAT'
option 'dest' 'lan'

config 'rule'
option 'target' 'ACCEPT'
option '_name' 'Remote Luci'
option 'src' 'wan'
option 'proto' 'tcp'
option 'dest_ip' '192.168.1.1'
option 'dest_port' '80'

Custom rule tényleg nem kell hozzá (persze megoldható azzal is). Sokkal egyszerűbb és átláthatóbb így.

[ Szerkesztve ]

Alex

És azt hogy tudom megnézni, hogy sikerült-e?
Ezek a jelenlegi rules beállítások, és sehogy nem jutok be:


Nem tudom valahogyan az /etc/config/firewall-t szerkeszteni közvetlenül?
Mivan, ha ezt simán becopyzom az /etc/firewall.user-be (ebbe tudok írni közvetlen ugyebár mint custom rules)
"Azonban az input lánc default policy-jának ACCEPT-re állítása a lehető legrosszabb ötlet..."
Viszont a router 2 emelettel lejjebb van gép nélkül, tehát ahányszor kizárom magam gép levisz ráköt beenged gép visszahoz...

[ Szerkesztve ]

Nem rakosgatok hetekig semmit! Aki előbb eljön érte azé a cucc!

Hi!

Ahogy korábban írtam, a rule-ba nem kell a source port megadása! A redirect-be pedig ami eddig volt, de a destination port-nál meg kell adnod a 80-at.

Viszont SSH-n a 2222-es porton eléred a router-t.

Természetesen be tudod írni a /etc/config/firewall file-ba is. Ehhez ssh-n futtasd le ezt (miután az általad létrehozott szabályt (szabályokat) törlöd):

cat << __EOF__ >> /etc/config/firewall
config 'redirect'
option '_name' 'Remote Luci'
option 'src' 'wan'
option 'proto' 'tcp'
option 'src_dport' '1036'
option 'dest_ip' '192.168.1.1'
option 'dest_port' '80'
option 'target' 'DNAT'
option 'dest' 'lan'

config 'rule'
option 'target' 'ACCEPT'
option '_name' 'Remote Luci'
option 'src' 'wan'
option 'proto' 'tcp'
option 'dest_ip' '192.168.1.1'
option 'dest_port' '80'
__EOF__

Majd mehet egy tűzfal újraindítás:

/etc/init.d/firewall restart

Alex

Zsír, műxik! Köszi!
Az előzőnél kivettem a bejövő portot a rule-ból. És így már megy is.
Már csak az a kérdés, hogy ezt meg tudom-e csinálni https-en is? Vagy az tök más dolog?

[ Szerkesztve ]

Nem rakosgatok hetekig semmit! Aki előbb eljön érte azé a cucc!

Nah ügyes voltam. Lett egy gigabit nasom. Nem ment gigabiten, ezért gondoltam kipróbálom a gyári fw-t hátha azzal megy, lekaptam a gyári.bin-t luci weben keresztül rányomtam a frissítésre.. Majd elment az örök vadászmezőkre a routerem... Küldöm vissza garanciába

Soros kábel nincs kéznél?

Ebbe én is belefutottam már 1szer.

Nem rakosgatok hetekig semmit! Aki előbb eljön érte azé a cucc!

Nincsen sajnos Kivárom míg megfordul. Addigis 841ND.

MI okozhatja, hogy csak 100mbiten megy? PL kábel?

Most nézem, hogy a 841nd nem tudja a gigabitet... vááá. Ha soroson keresztül rámegyek akkor az gari vesztést okoz?

Ha csinálom mindezt hogyan tegyem?

Hi!

vargalex féle openwrt-re létezik valami vpn szerver? Olyan kellene nekem amivel bárhol is vagyok az összes gépem lássa a többit.

Xiaomi Mi4 W. & Xiaomi Mi3 W. & Xiaomi MiPad & Xiaomi Mi2 & Xiaomi Redmi 1S & Xiaomi Piston & Xiaomi Piston 2 & Mi Headphones (Brutálisan gyönyörű hangzás!!!)

Hi!

Ami bármelyik OpenWrt-re. Én konkrétan OpenVPN-t használok.

Alex

Hi!

Soros porton így élesztheted.
Kábelkészítéssel, bekötéssel, stb. is készült egy komplett leírás. Normál esetben a 4-es pontban található firmware feltöltési idő tényleg néhány pillanat, tehát ne ijedj meg, ha hamar végezne.
Egyébként, ha nem akarsz belevágni, akkor Budapesten tudok segíteni. (Vagy marad a garanciális ügyintézés.)

Alex

Felraktam vargalex legújabb fw-jét. 1.1.4-et. uShare alatt nekem ezt dobta.

This page contains the following errors:
error on line 141 at column 40: xmlParseEntityRef: no name
Below is a rendering of the page up to the first error.

Fotóim https://fb.com/toth.szabolcs.art || IG: http://instagram.com/_tothszabolcs_ || Weblapom http://szabolcs-toth.com

Szép napot!
Hogyan tudok uninstallálni csomagokat a fw-ből, úgy, hogy szabad helyem legyen? Ugyanis van egy csomó dolog, amire nincsen szükségem, de hely az jólenne, mert szeretnék egy pptp vpn servert feldobni rá.

Nem rakosgatok hetekig semmit! Aki előbb eljön érte azé a cucc!

Hi!

Igen, korábban már jelezték, adtam is rá egy gyorsjavítást.

Alex

Hi!

Azokat a csomagokat is le tudod szedni, amik a firmware részei, azonban mivel ezek a csak olvasható squashfs partíción vannak, így csak logikai törlés történik (ami tulajdonképpen helyet foglal a jffs2 partíción). Tehát helyet nem fogsz nyerni vele. Ilyen esetben extroot-ot kell használni, vagy egy alap OpenWrt-re kell telepíteni a számodra szükséges csomagokat.

[ Szerkesztve ]

Alex

Tehát, ha valamit feltelepítek, akkor sosem fogom tudni letörölni? Növelni a particióméretet lehet valahogyan? Csak mert feltettem egy openvpn-easy-rsa-t, de nem boldogultam vele, és találtam egy szimpatikusabbat. Leszedtem, de a hely még kevesebb lett. Hogyan tudom kigyomlálni? Vagy egyszerűen újraflashelhetem a routert?

Nem rakosgatok hetekig semmit! Aki előbb eljön érte azé a cucc!

Ez elkerülte a figyelmemet.
Köszi.

Fotóim https://fb.com/toth.szabolcs.art || IG: http://instagram.com/_tothszabolcs_ || Weblapom http://szabolcs-toth.com

Hi!

Ha utólag telepített csomagról van szó, azt természetesen le lehet szedni. Viszont minden esetben célszerű a --autoremove kapcsolót használni, mert így a telepítéskor a függőségek miatt felkerült csomagokat (ha már nincs rájuk szükség, azaz más telepített csomagoknak nem függőségei) is leszedi. Azaz pl.:

opkg remove openvpn-easy-rsa --autoremove

Az openvpn-easy-rsa-val mi a gond?

Persze, ha már leszedted, akkor ez a parancs hatástalan lesz.

Természetesen újra is flash-elheted a routert.

Alex

Értem! Akkor ezt most resetelhetem.
De lassan világos lesz hogy működik.
Csak 1 bajom van vele, hogy nem szeretek ssh alól konfigolni. Szeretem a beállításokat Luci-ban kattingatással megoldani. Ezt a csomagot akartam feltenni helyette: luci-app-openvpn.
De elkövettem azt a hibát, hogy Luci-ban megnyomtam naívan a remove parancsot. Így még kevesebb helyem lett mint volt. Most emiatt ott tartok hogy van 36kb hely és semmit nem tudok leszedni, mert ahoz hely kell.

Ezek közül gondolom a firmware része miatt semmit nem tudok így leszedni:
uShare
hd-idle
p910nd - Nyomtató szerver
Transmission
vsftpd
FTP backup
miniDLNA

Ugyanis ezekre nincsen szükségem. Sima routernek használom, nincsen szükségem ilyen extrákra, arra ott a server a sarokban. (Arra nem bíznék rá net elosztást, dhcp-t, mert ugyebár windows...)
Takarítani nem tudok gondolom sehogy, csak egy resettel?
Még ezt találtam, de ehez is helyet akar.

Nem rakosgatok hetekig semmit! Aki előbb eljön érte azé a cucc!

Sziasztok!

Abban tudtok nekem segíteni, hogy a legújabb Vargalex OpenWRT-n hogyan kell beállitani az snmpd-t, hogy küldje a forgalmi adatokat a Windowsra telepített Networx traffic monitornak?

Ja, és még egy kérdés:

A QOS-ban lehet bővíteni a filtereket?
A besorolási szabályok sorrendje számít? (elől a sürgős végén az alacsony pl?)

[ Szerkesztve ]

Hi!

Az említett csomagok közül semmit nem tudsz leszedni. Viszont, ha neked ezek nem kellenek, akkor lehet, hogy jobban jársz, ha pl. egy 12.09-beta-t teszel fel. Abban van web felület, viszont semmi extra (sem tűzfal beállítás, semmi). Erre azt teszel, amit akarsz.
Vagy marad az extroot, amit már írtam.

Alex

Szerintem megpróbálom akkor a beta-t.
Lényeg, hogy gyors, megbízható legyen. Be tudjak kintről jönni 4-5 porton 4-5 progival, és tudja a pptp-t, dyndns-t, upnp-t. Nameg tudjam managelni kivülről. Szerintem menni fog az itt tanultakkal! Mindent köszönök eddig is.
Megpróbálkozom a pptp-vel, de ha tudsz jobb beloginelős jellegű vpn-ről akkor ne tartsd magadban. Ha nem megy úgy is jövök.

Nem rakosgatok hetekig semmit! Aki előbb eljön érte azé a cucc!

Nem beszéltél mostanában a fejlesztőkkel? Ez az openwrt nem hogy gyorsabb lenne, hanem inkább egyre lassabb lesz.
Pl most transmission már felmegy 7-es load-ra és a legtöbb erőforrást a sys viszi el.

Fotóim https://fb.com/toth.szabolcs.art || IG: http://instagram.com/_tothszabolcs_ || Weblapom http://szabolcs-toth.com

Hi!

Ez mind megoldható, de nyilván az alap OpenWrt esetében (a tűzfal config kivételével) ez mind csomag telepítéssel fog járni. Persze ez nem gond, mehet akár LuCI-ból is.

Ahogy korábban írtam, én az OpenVPN-t használom, azt csak ajánlani tudom.

Alex

És az tud sima pptp-t? Az a lényeg, hogy amikor be akarok lépni a hálózatra akkor egy sima mezei winfosh kapcsolat létrehozással meg tudjam oldani.

Nem rakosgatok hetekig semmit! Aki előbb eljön érte azé a cucc!

Hi!

Az OpenVPN nyilván nem tud pptp-t.

Alex

Maradok akkor a sima ppp-nél, mert ideiglenes kapcsolatokról beszélünk. Nomeg az OpenVPN jóval bonyolultabb. Szerinted mennyit kérdeznék, mire lenne belőle valami?

Nem rakosgatok hetekig semmit! Aki előbb eljön érte azé a cucc!

Az ilyen eseti kapcsolatokat megoldhatod SSH tunnel-el is akár, ehhez még VPN sem kell! Az legalább erősen titkosított, szemben a PPTP-vel...

[ Szerkesztve ]

Nem bonyolítanám ennyire. Arra kell, hogy egy másik helyen lévő hálózati eszköz adatait kérjem le havi 2 alkalommal. Tunelezéshez kéne valami a másik oldalra is nem?

Nem rakosgatok hetekig semmit! Aki előbb eljön érte azé a cucc!

Nem! Ahhoz csak a PuTTY-ot kell kicsit állítgatni, a routerhez hozzá sem kell nyúlni! Ettől egyszerűbb biztonságos kapcsolatot nem találsz! Ezen kívül nincs folyamatosan nyitva, mert amint bezárod a PuTTY-ot, a tunnel is záródik, és erőforrást sem fogyaszt a routeren...

[ Szerkesztve ]

Köszönöm a segítséget!
A leírást elolvastam tetszik, de már leadtam a masinát. Péntekre jön az új
Üdv,
Marcell

Evvel csak az a baj, hogy az eszközre semmit nem tudsz feltenni, mert zárt forráskódú unix alapú firmware van. Ezért nemhiszem, hogy ez menne.
De a leírás tuti, és másra jólesz! Köszi!

[ Szerkesztve ]

Nem rakosgatok hetekig semmit! Aki előbb eljön érte azé a cucc!

Mármint milyen eszközre? Ha a routerre be loginolsz ssh-n (amire egyébként a vpn-t is telepítenéd), akkor a létrejött tunnel-en keresztül eléred a hálózat többi eszközét is! Legalábbis olyan alkalmazásokkal, amik képesek proxy-t kezelni! De végülis Te tudod, ha nem jó, hát nem jó!

Mivel kell elérned azt az eszközt? Valami speciális alkalmazással?

[ Szerkesztve ]

Üdv!

Van egy HP laserjet 1018-as nyomtatóm amit elvileg lehetne használni print szerveren keresztül, de nekem még se akar összejönni....
hiába dugom rá usb-n a routerre a nyomtatót,a LED nem világít, illetve a Printer Controller se látja
Valami ötlet?

(mindent úgy csináltam ahogy a setup wizzard írta: gépet kábelen routerre->nyomtatót usb-n routerre-> router ON)

A 1018-ashoz szerintem firmware-t kell feltölteni hotplug scripttel, anélkül nem fog menni!