2. Fórumok
  3. Hálózat, szolgáltatók
  4. Xiaomi AX3600 WiFi 6 AIoT Router
  • Téma összefoglaló
    Utoljára frissítve: 2024-06-16 14:41

    LOGOUT

    Xiaomi AX3600 WiFi 6 AIoT Router

Új hozzászólás Aktív témák

  • #6446 wwenigma Jómunkásember
    Új Válasz #6446
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    wwenigma

    Jómunkásember

    OpenVPN szerver készítés az AX3600-ra. 1.1.19-en tesztelve

    Putty és WinSCP szükséges lesz. root-ként csatlakozunk a routerre majd a következő 2 paranccsal nyitunk, minden sor követően nyilván ENTER:

    cd /etc/easy-rsa
    export RANDFILE=/etc/easy-rsa/.rnd

    Ezután létrehozzuk a tanúsítványokat, a szerver és a kliens kulcsokat. PEM kulcsot kell majd megadni, amit szeretnél és majd ismét fogja kérni, ne felejtsd el:

    easyrsa init-pki nopass
    easyrsa build-ca
    easyrsa gen-dh
    easyrsa build-server-full my-server nopass
    easyrsa build-client-full my-client nopass

    Amint készen vagyunk (pár perc), átmásoljuk a /etc/openvpn könyvtárba:

    cp /etc/easy-rsa/pki/ca.crt /etc/easy-rsa/pki/private/my-server.* /etc/easy-rsa/pki/issued/my-server.* /etc/easy-rsa/pki/dh.pem /etc/openvpn

    Legeneráljuk a ta.key-t:

    openvpn --genkey --secret /etc/openvpn/ta.key

    Konfiguráljuk a hálózatot az alábbi parancsokkal. Először létrehozunk egy VPN csatolót:

    uci set network.vpn0=interface
    uci set network.vpn0.ifname=tun0
    uci set network.vpn0.proto=none
    uci set network.vpn0.auto=1

    Engedélyezzük a bejövő csatlakozásokat portnyitással:

    uci set firewall.Allow_OpenVPN_Inbound=rule
    uci set firewall.Allow_OpenVPN_Inbound.target=ACCEPT
    uci set firewall.Allow_OpenVPN_Inbound.src=*
    uci set firewall.Allow_OpenVPN_Inbound.proto=udp
    uci set firewall.Allow_OpenVPN_Inbound.dest_port=1194

    Tűzfal zónát (vpn) hozunk létre a vpn0 hálózathoz, ami a VPN-hez szükséges kapcsolatokat engedélyzi. Ez még nem engedélyezi a helyi vagy külső hálózatokhoz való hozzáférést a klienseknek:

    uci set firewall.vpn=zone
    uci set firewall.vpn.name=vpn
    uci set firewall.vpn.network=vpn0
    uci set firewall.vpn.input=ACCEPT
    uci set firewall.vpn.forward=REJECT
    uci set firewall.vpn.output=ACCEPT
    uci set firewall.vpn.masq=1

    Engedélyezzük, hogy a kliens hozzáférjen a helyi hálózathoz is:

    uci set firewall.vpn_forwarding_lan_in=forwarding
    uci set firewall.vpn_forwarding_lan_in.src=vpn
    uci set firewall.vpn_forwarding_lan_in.dest=lan

    És nyilván szeretnéd, hogy a helyi hálózaton levő eszközök is kommunikáljanak a VPN kliensekkel:

    uci set firewall.vpn_forwarding_lan_out=forwarding
    uci set firewall.vpn_forwarding_lan_out.src=lan
    uci set firewall.vpn_forwarding_lan_out.dest=vpn

    Ugyanígy engedélyezzük, hogy a kliensek a külső hálózathoz hozzáférjenek:

    uci set firewall.vpn_forwarding_wan=forwarding
    uci set firewall.vpn_forwarding_wan.src=vpn
    uci set firewall.vpn_forwarding_wan.dest=wan

    Elmentjük és életbe léptetjük a változásokat:

    uci commit network
    /etc/init.d/network reload
    uci commit firewall
    /etc/init.d/firewall reload

    Fog hibákat kiírni, nem foglalkozunk vele. :) Most létrehozunk egy my-vpn.conf file-t az alábbi tartalommal az OpenVPN-hez. A végén szerkesszük hogy a LAN cím az általunk használttal megegyezzen (192.168.X.0 és 192.168.X.1 ha LAN DNS-t is használjuk)

    dev tun

    server 10.8.0.0 255.255.255.0

    tls-auth ta.key 0
    key-direction 0

    cipher AES-256-CBC
    auth SHA256

    dh dh.pem
    ca ca.crt
    cert my-server.crt
    key my-server.key

    max-clients 20

    comp-lzo

    persist-tun
    persist-key

    verb 3

    #log-append /var/log/openvpn.log

    keepalive 10 60
    reneg-sec 0

    duplicate-cn

    status /tmp/ovpn_status_2_result 30
    status-version 2
    #proto tcp-server
    proto udp
    port 1194

    #Route LAN
    push "route 192.168.1.0 255.255.255.0"
    #LAN DNS
    #push "dhcp-option DNS 192.168.1.1"

    Ismét írom hogy a végén figyeljünk, szerkesszük hogy a LAN cím az általunk használttal megegyezzen (192.168.X.0 és 192.168.X.1 ha LAN DNS-t is használjuk)

    WinSCP-vel az /etc/easy-rsa könyvtárból szedjük le a pki mappát - ebben van minden kulcs. Majd a /etc/openvpn könyvtárból a ta.key-t töltsük le és a my-vpn.conf file-t ide töltsük fel. Ebben a mappában az alábbi file-oknak kell lennie:

    ca.crt
    dh.pem
    my-server.crt
    my-server.key
    ta.key
    my-vpn.conf

    Ellenőrizzuk hogy a szerver elindul előtérben:

    /usr/sbin/openvpn --status /var/run/openvpn.custom_config.status --cd /etc/openvpn --config /etc/openvpn/my-vpn.conf

    Ha minden okés Ctrl+C-vel állítsuk meg és az automatikus indulást engedélyezzük:

    uci set openvpn.custom_config.enabled=1
    uci commit openvpn
    /etc/init.d/openvpn enable

    Indítsuk el a szervert:

    /etc/init.d/openvpn start

    Ellenőrizzuk hogy működik-e:

    ps | grep openvpn

    Ha minden okés ilyesmit kell látnod:

    root@XiaoQiang:~# ps | grep openvpn
    4782 root 3252 S /usr/sbin/openvpn --syslog openvpn(custom_config) --status /var/run/openvpn.custom_config.status --cd /etc/openvpn --config /etc/openvpn/my-vpn.conf
    9915 root 1336 S grep openvpn

    Örülünk. :) Forrás: [link] Következő hsz-ben létrehozzuk a kliens csatlakozáshoz szükséges file-t.

Új hozzászólás Aktív témák

Hirdetés