Satt och svarade på paddan igår kväll, hade tänkt lägga upp en beskrivning senare idag.MathiasS skrev:
Det är ganska enkelt när man bara förstår konceptet...
Jag återkommer med min konfig.
Coolt! Men OpenVPN är deras betaltjänst förmodar jag? Den fria VPN-tjänsten kunde jag sätta upp på minna förra ASUS-router, men det går alltså inte i EdgeOS..?Frasse_Man skrev:
Uppfattar jag dig rätt att det går att konfa så att exv 192.168.1.84 och *.*.*.43 går via OpenVPN men övriga klienter på LAN "ligger utanför"..?
Här kommer en lite how to guide:
Gå till Bahnhof sida och ladda ner filerna för openvpn från deras guide.
https://www.bahnhof.se/support/category/integrity-anonym-surf/problems
På dina sidor hittar du användarnamn och lösenord som du behöver.
Kopiera upp filerna till routern med ett FTP progam (t.ex. FileZilla), jag har valt folder /config/OpenVPN/ på min router.
Justera innehållet i client.ovpn så att sökvägarna stämmer till filerna du nyss kopierade upp.
Jag skapade en egen auth.txt fil (som kopieras till samma katalog, med användarnamn på rad 1 och lösenord på rad 2.
Vill man inte att all trafik skall gå via VPN tunnln så behöver ni lägga till route-nopull i client.ovpn filen.
Här kommer ett exempel på min client.ovpn fil
-----Client.ovpn-------
client
dev tun
proto udp
remote openvpn.integrity.st 1196
remote openvpn2.integrity.st 1196
remote openvpn3.integrity.st 1196
remote openvpn4.integrity.st 1196
remote-random
resolv-retry infinite
reneg-sec 0
nobind
persist-key
persist-tun
ca /config/OpenVPN/ca.crt
ns-cert-type server
tls-auth /config/OpenVPN/tls.key 1
comp-lzo
verb 3
mute 10
auth-user-pass /config/OpenVPN/Auth.txt
explicit-exit-notify 2
cipher aes-256-cbc
route-nopull
-------Client.ovpn------------
Innan ni börjar med några konfigurationer i routern så rekommenderar jag att ni uppgraderar till senaste releasen (1.9 tror jag) och TA BACKUP!!!
Nu kan ni börja sätta upp tunneln i routern. med följande commando i CLi:
configure
set interfaces openvpn vtun0 config-file /config/OpenVPN/client.ovpn
commit
save
Därefter skall ni fått ett nytt interface som skall bli connected och få en egen IP adress på dashborden.
Nu kan man skapa regel baserad routing, policy based routing.
Jag har gjort så genom att skapa en Firewall grupp som heter "DHCP_Clienter" då jag vill att alla klienter som surfar ska gå via VPN tunneln och integrity tjänsten men inte övrig trafik.
Gruppen skapar ni upp under fliken firewall (tror ddet finn firewall grupper där), och specar vilka adresser som skall hanteras.
Skapar man inte PBR så kommer man inte kunna logga in på en NAS eller andra tjänster som man kanske vill komma åt utifrån så för mig var detta viktigt.
Nu kör ni CLi igen.
configure
set firewall modify Source_Route rule 10 description "traffic from a LAN DHCP client goes through VPN"
set firewall modify Source_Route rule 10 source group address-group DHCP_Clients
Det finns lite andra möjligheter med denna konfiguration (source group address-group) om man önskar styra via adress eller interface istället för group!
Skriv ett frågetecken efter source och tryck enter så ser ni vilka val ni har.
set firewall modify Source_Route rule 10 modify table 1
set protocols static table 1 interface-route 0.0.0.0/0 next-hop-interface vtun0
set interfaces switch switch0 firewall in modify Source_Route
set service nat rule 5001 description "Masquerade for VPN"
set service nat rule 5001 log disable
set service nat rule 5001 outbound-interface vtun0
set service nat rule 5001 type masquerade
commit
Save
Exit
Och det ska vara allt ni behöver göra
Lite pyssel som sagt men när man väl får till det så är det så gött!
Nu är jag ingen nätverksteckniker utan tycker bara detta är kul och intressant så se detta som vägledning.
Jag kan inte hjälpa er om ni hamnar snett men Ubiquiti har ett jättebra forum och support så det går att surfa fram information om Policy based routing...
Lycka till
Gå till Bahnhof sida och ladda ner filerna för openvpn från deras guide.
https://www.bahnhof.se/support/category/integrity-anonym-surf/problems
På dina sidor hittar du användarnamn och lösenord som du behöver.
Kopiera upp filerna till routern med ett FTP progam (t.ex. FileZilla), jag har valt folder /config/OpenVPN/ på min router.
Justera innehållet i client.ovpn så att sökvägarna stämmer till filerna du nyss kopierade upp.
Jag skapade en egen auth.txt fil (som kopieras till samma katalog, med användarnamn på rad 1 och lösenord på rad 2.
Vill man inte att all trafik skall gå via VPN tunnln så behöver ni lägga till route-nopull i client.ovpn filen.
Här kommer ett exempel på min client.ovpn fil
-----Client.ovpn-------
client
dev tun
proto udp
remote openvpn.integrity.st 1196
remote openvpn2.integrity.st 1196
remote openvpn3.integrity.st 1196
remote openvpn4.integrity.st 1196
remote-random
resolv-retry infinite
reneg-sec 0
nobind
persist-key
persist-tun
ca /config/OpenVPN/ca.crt
ns-cert-type server
tls-auth /config/OpenVPN/tls.key 1
comp-lzo
verb 3
mute 10
auth-user-pass /config/OpenVPN/Auth.txt
explicit-exit-notify 2
cipher aes-256-cbc
route-nopull
-------Client.ovpn------------
Innan ni börjar med några konfigurationer i routern så rekommenderar jag att ni uppgraderar till senaste releasen (1.9 tror jag) och TA BACKUP!!!
Nu kan ni börja sätta upp tunneln i routern. med följande commando i CLi:
configure
set interfaces openvpn vtun0 config-file /config/OpenVPN/client.ovpn
commit
save
Därefter skall ni fått ett nytt interface som skall bli connected och få en egen IP adress på dashborden.
Nu kan man skapa regel baserad routing, policy based routing.
Jag har gjort så genom att skapa en Firewall grupp som heter "DHCP_Clienter" då jag vill att alla klienter som surfar ska gå via VPN tunneln och integrity tjänsten men inte övrig trafik.
Gruppen skapar ni upp under fliken firewall (tror ddet finn firewall grupper där), och specar vilka adresser som skall hanteras.
Skapar man inte PBR så kommer man inte kunna logga in på en NAS eller andra tjänster som man kanske vill komma åt utifrån så för mig var detta viktigt.
Nu kör ni CLi igen.
configure
set firewall modify Source_Route rule 10 description "traffic from a LAN DHCP client goes through VPN"
set firewall modify Source_Route rule 10 source group address-group DHCP_Clients
Det finns lite andra möjligheter med denna konfiguration (source group address-group) om man önskar styra via adress eller interface istället för group!
Skriv ett frågetecken efter source och tryck enter så ser ni vilka val ni har.
set firewall modify Source_Route rule 10 modify table 1
set protocols static table 1 interface-route 0.0.0.0/0 next-hop-interface vtun0
set interfaces switch switch0 firewall in modify Source_Route
set service nat rule 5001 description "Masquerade for VPN"
set service nat rule 5001 log disable
set service nat rule 5001 outbound-interface vtun0
set service nat rule 5001 type masquerade
commit
Save
Exit
Och det ska vara allt ni behöver göra
Lite pyssel som sagt men när man väl får till det så är det så gött!
Nu är jag ingen nätverksteckniker utan tycker bara detta är kul och intressant så se detta som vägledning.
Jag kan inte hjälpa er om ni hamnar snett
men Ubiquiti har ett jättebra forum och support så det går att surfa fram information om Policy based routing...Lycka till
Lycka till!
Såg några små saker man kan tillägga.
När du laddar ner filer från Bahnhof så tror jag inte det spelar någon roll vad du väljer för operativsystem om du inte ska köra klienten lokalt. Filerna för openvpn är samma.
Sedan såg jag att jag har en konfigurering som ser ut så här "set interfaces switch switch0 firewall in modify Source_Route" och jag kör ju POE versionen där jag har switchat Eth2-4 i switch0 där kan den raden se ut som följande tror jag "set interfaces ethernet eth1 firewall in modify Source_Route" om ni vill att den interna trafiken bara skall komma från eth1 eller annat interface...
Såg några små saker man kan tillägga.
När du laddar ner filer från Bahnhof så tror jag inte det spelar någon roll vad du väljer för operativsystem om du inte ska köra klienten lokalt. Filerna för openvpn är samma.
Sedan såg jag att jag har en konfigurering som ser ut så här "set interfaces switch switch0 firewall in modify Source_Route" och jag kör ju POE versionen där jag har switchat Eth2-4 i switch0 där kan den raden se ut som följande tror jag "set interfaces ethernet eth1 firewall in modify Source_Route" om ni vill att den interna trafiken bara skall komma från eth1 eller annat interface...
du kan visst sätta upp gratis varianten men den bygger väl på PPTP, vill minnas att jag testade den först men sen skaffade jag deras integrity tjänst istället. Guiden gäller förstås integrity tjänsten inte deras gratis tjänst även om det borde vara nästan enklare att sätta upp den.
När det gäller PBR tro jag det funkar lika bra det är hur du sätter upp VPN tjänsten som skiljer sig åt.
När det gäller PBR tro jag det funkar lika bra det är hur du sätter upp VPN tjänsten som skiljer sig åt.
Fråga
Har 2 Egen pressade nätverkskablar, en till fiberdosan och en till AP och en köpe kabel till PS4.
Dom jag har gjort själv där lyser det orange och den köpta där lyser det grönt i edgerouter lite, innebär det att jag har misslyckats med pressningen av kablarna?
Eller varför är det olika färg på lamporna?
Har 2 Egen pressade nätverkskablar, en till fiberdosan och en till AP och en köpe kabel till PS4.
Dom jag har gjort själv där lyser det orange och den köpta där lyser det grönt i edgerouter lite, innebär det att jag har misslyckats med pressningen av kablarna?
Eller varför är det olika färg på lamporna?
Grön diod visar 1000Mbps och orange diod visar 10/100Mbps.
Eftersom du inte skriver vilka modeller och/eller hastighet enheterna klarar så går det inte att svara ja eller nej på din fråga.
Om du har möjlighet att prova dom två orangea kablarna mot ps4an så får du svar om kablarna är hela eller inte.
Eftersom du inte skriver vilka modeller och/eller hastighet enheterna klarar så går det inte att svara ja eller nej på din fråga.
Om du har möjlighet att prova dom två orangea kablarna mot ps4an så får du svar om kablarna är hela eller inte.
Såg jag skrev i denna tråden för ett halvår sen, har varit mycket annat men igår landade en edgerouter PoE här hemma...
Min inledande fråga är, om jag efter kört wizard kan koppla in routern där den ska vara, om den firewall som sätts default är bra nog för att börja med? Så slipper jag "köra på bänk".
Jag undrar även över basic config vs WAN+2LAN eller WAN+2LAN2. Det står att bryggning "straffas" med prestanda. Ska jag låta Eth1 ligga på ett annat subnät, om jag tex vill ha ett gästnät (jag ser inget behov just nu av det för jag har inte gäster som vill koppla in sig, men ok.) och Eth2-4 sen gå till en switch och min AP. Om jag får ett behov av en eller två AP till vill jag ju helst använda PoE funktionen.
Kommer man åt tex fildelning mellan subnäten, utan att konfigurera massor på routern?
Finns det en ide att faktiskt ha 2 subnät i en vanlig villa? Tex ett nät där jag ställer mina NAS etc och ett som används för surfning, streaming etc. Ibland streamar jag via Plex från en lokal dator till TV eller andra enheter. Oftast kör vi netflix (UHD/4k). Har 100/100 lina ut.
... edit ...
Vad tros om att lägga mina NAS, min backupserver etc på ett subnät, det andra subnätet kopplade i den inbyggda switchen, och kan då husera 1 switch (för fasta uttag) och 2 AP via PoE. Kommer det ställa till något, prestandamässigt eller kräva komplicerad setup?
Min inledande fråga är, om jag efter kört wizard kan koppla in routern där den ska vara, om den firewall som sätts default är bra nog för att börja med? Så slipper jag "köra på bänk".
Jag undrar även över basic config vs WAN+2LAN eller WAN+2LAN2. Det står att bryggning "straffas" med prestanda. Ska jag låta Eth1 ligga på ett annat subnät, om jag tex vill ha ett gästnät (jag ser inget behov just nu av det för jag har inte gäster som vill koppla in sig, men ok.) och Eth2-4 sen gå till en switch och min AP. Om jag får ett behov av en eller två AP till vill jag ju helst använda PoE funktionen.
Kommer man åt tex fildelning mellan subnäten, utan att konfigurera massor på routern?
Finns det en ide att faktiskt ha 2 subnät i en vanlig villa? Tex ett nät där jag ställer mina NAS etc och ett som används för surfning, streaming etc. Ibland streamar jag via Plex från en lokal dator till TV eller andra enheter. Oftast kör vi netflix (UHD/4k). Har 100/100 lina ut.
... edit ...
Vad tros om att lägga mina NAS, min backupserver etc på ett subnät, det andra subnätet kopplade i den inbyggda switchen, och kan då husera 1 switch (för fasta uttag) och 2 AP via PoE. Kommer det ställa till något, prestandamässigt eller kräva komplicerad setup?
Redigerat:
1. Firewall: Default så blockas allt från Wan=>lan och något annat behövs inte.
2. Gästnät antar jag att du ska ha trådlöst isåfall, det fixar du i APn.
3. Det finns ingen anledning att ha flera subnät om du inte vill separera näten från varandra på något vis. Jag har tex mina föräldrar in i mitt nät och eftersom dom inte har en aning om vad dom klickar på så ska dom flyttas till ett separat nät. Utan sådana speciella omständigheter finns ingen anledning att mecka med sådant.
2. Gästnät antar jag att du ska ha trådlöst isåfall, det fixar du i APn.
3. Det finns ingen anledning att ha flera subnät om du inte vill separera näten från varandra på något vis. Jag har tex mina föräldrar in i mitt nät och eftersom dom inte har en aning om vad dom klickar på så ska dom flyttas till ett separat nät. Utan sådana speciella omständigheter finns ingen anledning att mecka med sådant.
Tack. Mina barn klickar hejvilt. De och tv apparater etc får ett subnät. Tror jag får ett eget subnät där mina fasta grejjor inkl backup ligger. Hoppas det inte blir för krångligt att sätta upp... Det passar hur jag sätter switcharna åxå...
Tänkte uppdatera fw, har 1.2.0 nu och senaste är 1.9.1
Nån som vet om jag måste uppdatera till en tidigare version eller kan jag hoppa till den senaste direkt? Får nämligen upload failed när jag provar att hämta in filen i routern
Nån som vet om jag måste uppdatera till en tidigare version eller kan jag hoppa till den senaste direkt? Får nämligen upload failed när jag provar att hämta in filen i routern