LINUX.ORG.RU
ФорумAdmin

Домашняя VPN и подключение к ней с коробочки на OpenWrt

 , , , ,


1

2

Привет.

Недавно получилось так, что я уехал из дома. Далеко. Учиться. Подключил здесь интернет, поставил старый TP-LINK с OpenWrt в качестве точки вай-фая, и через некоторое время ощутил, что мне не хватает ресурсов моей домашней сети вроде NAS и бекап-сервера, а также осознал, что меня немного подзадолбали блокировки РКН. Соответственно, решил весь трафик с TP-LINK’а пустить через домашнюю сеть.

Решение этой проблемы, казалось, лежит на поверхности — OpenVPN. Но я не понимаю, как лучше это реализовать. Вообще, у меня дома уже есть OpenVPN сервер, поднятый на стандартной прошивке Netgear R7000, и для задач вроде «срочно подключиться с ноута к домашней сети в дороге» его хватало, но для использования на постоянной основе он оказался малопригоден ввиду, во-первых, маленькой скорости, во-вторых, старой версии OpenVPN, а в-третьих, постоянных глюков. Плюс ко всему, у меня не получилось подключиться к нему с моей местной OpenWrt-коробочки по TAP. Пакетики почему-то не ходили. По TUN кое-как получилось, пинги с самой коробочки до компьютеров в домашней сети шли, но маршрутизацию через него я так и не настроил...

Думаю, что можно поднять VPN-сервер на Debian-машине, которая у меня дома круглосуточно включена. Но проблема в том, что я, честно говоря, не особо понимаю, как это сделать. Нужна ли отдельная подсеть, или возможно как-то заставить мой домашний роутер просто выдавать VPN-клиентам, подключенным через сервер, IP-шники из своего DHCP пула? И что еще нужно? Просто порты пробросить? Я пробовал поднять на этой Debian-машине VPN-сервер с дефолтными настройками, к нему можно подключиться извне, но ресурсы домашней сети через него недоступны...

В общем, задача, вроде бы, простая, но я впал в какой-то ступор. Подскажите, пожалуйста, хотя бы, в какую сторону копать...

Спасибо заранее.

OpenVPN сам по себе тормозззз. Используй wireguard или xl2tpd.

ь мой домашний роутер просто выдавать VPN-клиентам,

Линукс версия openvpn это не умеет, если у тебя микротык - то там это можно сделать.

Я пробовал поднять на этой Debian-машине VPN-сервер с дефолтными настройками, к нему можно подключиться извне, но ресурсы домашней сети через него недоступны..

роуты пропиши

Но если не хочется парится заюзай https://www.softether.org/ - там просто создаешь bridge с физическим интерфейсом и юзеры будут получать ip с твоей локальной сети

Jopich1
()
Последнее исправление: Jopich1 (всего исправлений: 5)
Ответ на: комментарий от Jopich1

Но если не хочется парится заюзай https://www.softether.org/ - там просто создаешь bridge с физическим интерфейсом и юзеры будут получать ip с твоей локальной сети

Это интересная тема. А для OpenWrt есть клиент?

kolyanok
() автор топика
Ответ на: комментарий от Jopich1

Да не, сервер у меня дома на дебиане, а клиент тут на OpenWrt. Я хочу весь трафик с OpenWrt пустить через домашнюю сеть...

kolyanok
() автор топика
Ответ на: комментарий от kolyanok

https://openwrt.org/packages/pkgdata_lede17_1/softethervpn

Но в случае openwrt с двух сторон проще организовать wireguard. Только ip с обоих сторон должны быть статическими

Jopich1
()
Последнее исправление: Jopich1 (всего исправлений: 1)
Ответ на: комментарий от Jopich1

Статический IPv4 дома есть, а тут стоит дополнительных денег — не очень хочется их платить. Но есть IPv6 с обеих сторон — пойдет?

kolyanok
() автор топика

По своему опыту настройки и работы с openvpn скажу пару слов.

1) Если включено полное шифрование (а с законом Яровой иначе нет смысла настраивать), то роутер на openwrt 600МГц усаживается по процу и выдаёт не более 700килобит. Селерон 2.4Ггц упирается в 80мегабит.

2) Для этого дела выгоднее всего выходит купить vps за бугром за 8$ в год с безлимитным трафиком, поднять на нём openvpn с форвардом, локалкой и всеми плюшками.

п.с. блокировки РКН обходятся проще, DNS от гугла на роутере и РКН курит бамбук )))

Dimarius
()
Ответ на: комментарий от Dimarius

п.с. блокировки РКН обходятся проще, DNS от гугла на роутере и РКН курит бамбук )))

Гм блокируют вроде как по ip ?

Jopich1
()
Ответ на: комментарий от Jopich1

не знаю про внешний дхцп, в гугле вроде чото всплывает про это, но я точно знаю что у меня был простой сетап - я находился в одной точке, где был рутер с клиентом опенвпн, а сервак овпн был в физически удаленной точке, на хосте за удаленным рутером (ну тупо 2 квартиры). я получал бридж в тот удалённый хост. никакого конфига это почти не требовало, кроме проброса порта на удаленном рутере.
мне не надо было абстрактного доступа «к ресурсам удаленной сети» но к ресурсом того хоста - пожалуйста))

mos ★★☆☆☆
()
Ответ на: комментарий от Dimarius

п.с. блокировки РКН обходятся проще, DNS от гугла на роутере и РКН курит бамбук )))

Коля Герасимов - прекратите использовать машину времени.

anc ★★★★★
()
Ответ на: комментарий от Jopich1

Линукс версия openvpn это не умеет, если у тебя микротык - то там это можно сделать.

Антиресноо, и чем они отличаются? Точнее так, микротик конечно отличается, до сих пор многому не научился. Т.е. у него возможностей меньше.
Или вы про вариант «потыкать мышкой» написали?

anc ★★★★★
()
Ответ на: комментарий от anc

ну видимо в том что у микротыка своя реализация openvpn которая ч МОЖЕТ пользовать pool dhcp адресов, которые используются для локальной сети. Как это у них реализовано спросить лучше у разработчиков микротыка ( но реально в интерфейсе микротыка это делает мышью ).

возможностей меньше.

Что касается openvpn - то да там есть ограничения для openvpn (например только tcp юзают). Но там родное - ipsec.

Jopich1
()
Последнее исправление: Jopich1 (всего исправлений: 2)
Ответ на: комментарий от Jopich1

и при этом МОЖЕТ пользовать pool dhcp адресов, которые используются для локальной сети

Ну и почему это не возможно в ovpn на linux? Повторюсь, видимо дело только «в галочках гуя». Не надо говорить, что «Линукс версия openvpn это не умеет» - все умеет и даже больше. Вопрос как готовить.

anc ★★★★★
()
Ответ на: комментарий от anc

Ну попробуй настроить- скажи как это работает. ПРосто если погуглить на эту тему - то пишут обычно «что будет работать через ж..».

Хотя учитывая что openvpn - тормозззз и напрямую зависит от процессора и есть более норм альтернативы ( например wireguard/ipsec) то вообще вопрос не имеет смысла

Jopich1
()
Последнее исправление: Jopich1 (всего исправлений: 1)
Ответ на: комментарий от Jopich1

то пишут обычно

Ну на сарае тоже «обычно» написано другое слово, а там на самом деле дрова лежат.

Хотя учитывая что openvpn - тормозззз

Тоже видимо «пишут обычно». Безусловно у него есть недостатки (мы их все знаем), но в «сферическом варианте» и учитывая формулировку от ТС «я уехал из дома. Далеко.» не всегда он будет хуже того же ipsec. Не так давно, в другой теме я привел варианты скорости, где ipsec оказался даже медленнее, «далеко» это действительно важный момент.

anc ★★★★★
()
Ответ на: комментарий от anc

будет «не хуже» если

1) заблочен udp (wireguard/ipsec не будут работать ) - есть такие корпоративные говнопрокси

2) вместо роутера норм. комп типа i3-i5.

В остальных случаях ( говнороутер + норм udp ) будет лучше использовать ipsec/wireguard.

Кстати в 1 варианте будет лучше использовать встроенный протокол softethervpn - сам проверил.

Ну на сарае тоже «обычно» написано другое слово, а там на самом деле дрова лежат.

Ну попробуйте и тут напишите. В микротыке это действительно делается одним кликом мыши.

Jopich1
()
Последнее исправление: Jopich1 (всего исправлений: 5)
Ответ на: комментарий от Jopich1

Кстати ТС а зачем тебе доступ к домашней сети ? Торренты ? - арендуй уж тогда лучше VPS (contabo за 8 евриков раздает 700Гб ) - и сделай себе что хошь. Просто домашний провайдер имеет свои ограничения - особенно в случае скоростей между странами ...

Jopich1
()
Ответ на: комментарий от Jopich1

заблочен udp

Смешно, но я как раз попадал на обратные случаи. Типа зарегистритесь на нашем «captive portal» при этом udp ovpn весело работало. И слал я лесом вашу регистрацию.

вместо роутера норм. комп типа i3-i5.

В целом скорее соглашусь, не soho пользовать.

В остальных случаях ( говнороутер + норм udp ) будет лучше использовать ipsec/wireguard.

У меню для личного использования куча вариантов, нельзя говорить «это хорошо» а «это плохо», просто настроено несколько вариантов и ovpn (два варианта tcp(на разных портах редирект) udp(аналогично) ) и ipsec и ipsec+l2tp. Всему свое место. Не работает одно, заработаем по другому.

anc ★★★★★
()
Ответ на: комментарий от Jopich1

Кстати в 1 варианте будет лучше использовать встроенный протокол softethervpn - сам проверил.

Тут (только в теории) соглашусь! Пока не пробовал. Но говорят очень кошерный!

anc ★★★★★
()
Ответ на: комментарий от anc

по моим тестам через говнопрокси который режет udp - скорость в 2-3 больше чем openvpn через tcp ( хотя учитывая что это микротык с урезанным openvpn - хз )....

Jopich1
()
Ответ на: комментарий от Jopich1

а если есть галочка в вендовом гуе - то не через ж.

PS It is also possible to use an external DHCP server to assign addresses to the OpenVPN clients. To achieve this, simply remove the specification of any IP address ranges after the server-bridge option

mos ★★☆☆☆
()
Ответ на: комментарий от Jopich1

по ip они не могут блокировать, ибо на одном ip может быть не одна сотня сайтов. Они продолжают блочить DNS. C http у них ещё что-то получается, а вот с https (на который пираты уходят активно) их блокировки стали вообще «ниочем» и замены DNS достаточно )))

Dimarius
()
Ответ на: комментарий от anc

прекратите использовать машину времени.

Не верите? Пропишите гугловые днс и попробуйте открыть рутрекер.орг и любые другие пиратки с https ;)

Dimarius
()
Ответ на: комментарий от Dimarius

1. провы бывает заворачивают 8.8.8.8 к себе, так что 8.8.8.8 может оказаться dns прова
2. sslbump вам ничего не говорит?
Не исключаю что вариант с 8.8.8.8 может сработать на каком-нибудь местячковом прове, но в основной своей массе времена этого решения давно прошли.

опробуйте открыть рутрекер.орг и любые другие пиратки с https

Ну например я знаю не крупного прова через которого с завидным постоянством заблокированные сайты и так работают :) , но это не значит что у всех так.

anc ★★★★★
()
Ответ на: комментарий от anc

могут

В принципе могут да, и блокируют, но потом разблокируют по жалобе законопослушных владельцев сайтов на том же ip.

Dimarius
()
Ответ на: комментарий от anc

sslbump

Да, это неприятная штука для юзера. Но тут вопрос законности использования провайдером этой технологии. Дешифровка чужой инфы это УК РФ попахивает - ст. 272 УК РФ «Неправомерный доступ к компьютерной информации»

Dimarius
()
Ответ на: комментарий от Dimarius

Для блокировки достаточно SNI. Так что все норм.

anc ★★★★★
()
Ответ на: комментарий от Dimarius

Интернет это не только сайты. Да и в целом вы правда из какой-то параллельной вселенной, как на самом деле у нас блокируют и разблокируют это же отдельная песня. Вот вспомнилась блокировка педивикии, «за наркоту», их попросили убрать страницу URL1, ну зашибись перенесли инфу на страницу URL2, в результате все довольны, по постановлению суда было написано URL1 - его нет, разблокируем :)

anc ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.