Differenze tra le versioni di "RoadWarrior"
(Comincio a scrivere) |
|||
Riga 32: | Riga 32: | ||
− | Info (by itec, da sistemare) | + | === Info (by itec, da sistemare) === |
Il "RoadWarrior" è un router portatile che permette di condividere una connessione ad internet wireless, in modo sicuro. | Il "RoadWarrior" è un router portatile che permette di condividere una connessione ad internet wireless, in modo sicuro. | ||
Riga 49: | Riga 49: | ||
− | Howto un po' incasinato: | + | === Howto un po' incasinato: === |
- Inserire la parte di installazione di openwrt - | - Inserire la parte di installazione di openwrt - | ||
Riga 80: | Riga 80: | ||
Configurare la lan con un ip statico (es 192.168.250.1) e dhcp server | Configurare la lan con un ip statico (es 192.168.250.1) e dhcp server | ||
− | |||
− | |||
− | |||
− | |||
Riga 96: | Riga 92: | ||
opkg install openvpn-openssl | opkg install openvpn-openssl | ||
− | Creare un'interfaccia slan, con ip statico diverso dalla lan (es 192.168.251.1), interfaccia fisica slan, e con dhcp | + | Creare un'interfaccia '''slan''', con ip statico diverso dalla lan (es 192.168.251.1), interfaccia fisica slan, e con dhcp |
− | Creare un'interfaccia swan, unmanaged, con interfaccia fisica tun0 | + | Creare un'interfaccia '''swan''', unmanaged, con interfaccia fisica tun0 |
Vanno aggiunte queste righe su etc/config/network | Vanno aggiunte queste righe su etc/config/network | ||
Riga 161: | Riga 157: | ||
Il mio è così: | Il mio è così: | ||
− | client | + | client |
− | dev tun | + | dev tun |
− | proto tcp | + | proto tcp |
+ | |||
+ | remote itec78.no-ip.org 443 | ||
+ | resolv-retry infinite | ||
+ | #redirect-gateway def1 | ||
+ | route-nopull | ||
+ | |||
+ | nobind | ||
+ | |||
+ | persist-tun | ||
+ | persist-key | ||
+ | |||
+ | ca ca.crt | ||
+ | cert roadwarrior.crt | ||
+ | key roadwarrior.key | ||
+ | remote-cert-tls server | ||
+ | |||
+ | verb 1 | ||
+ | |||
+ | script-security 3 | ||
+ | route-delay 5 | ||
+ | route-up "/etc/openvpn/route-up.sh" | ||
+ | keepalive 10 60 | ||
+ | |||
+ | |||
+ | E' importante la riga '''route-nopull''' perchè non deve ereditare la tabella di routing dal server | ||
+ | |||
+ | Nella stessa cartella aggiungere anche il file '''route-up.sh''', dargli le autorizzazioni e inserire all'interno il seguente script: | ||
+ | |||
+ | #!/bin/sh | ||
+ | |||
+ | # Checks to see if there is an IP routing table named 'vpn', create if missing | ||
+ | if [ $(cat /etc/iproute2/rt_tables | grep vpn | wc -l) -eq 0 ]; then | ||
+ | echo "100 vpn" >> /etc/iproute2/rt_tables | ||
+ | fi | ||
+ | |||
+ | echo "------------------------------------------------------------------" | ||
+ | ip route show | ||
+ | echo "------------------------------------------------------------------" | ||
+ | |||
+ | # Remove any previous routes in the 'vpn' routing table | ||
+ | ip rule | sed -n 's/.*\(from[ \t]*[0-9\.]*\).*vpn/\1/p' | while read RULE | ||
+ | do | ||
+ | echo "remove old rule: /bin/ip rule del ${RULE}" | ||
+ | /bin/ip rule del ${RULE} | ||
+ | done | ||
+ | |||
+ | #echo ifconfig_remote: ${ifconfig_remote} dev: ${dev} > /tmp/antani | ||
+ | |||
+ | # Add routes to the vpn routing table | ||
+ | echo ip rule add from 192.168.251.0/24 lookup vpn prio 1000 | ||
+ | ip rule add from 192.168.251.0/24 lookup vpn prio 1000 | ||
+ | |||
+ | # Add the route to direct all traffic using the the vpn routing table to the tunX interface | ||
+ | echo ip route add default via ${ifconfig_remote} dev ${dev} table vpn | ||
+ | ip route add default via ${ifconfig_remote} dev ${dev} table vpn | ||
+ | |||
+ | #add a route for the lan itself | ||
+ | echo ip route add 192.168.251.0/24 dev br-slan table vpn | ||
+ | ip route add 192.168.251.0/24 dev br-slan table vpn | ||
+ | |||
+ | ip route flush cache | ||
+ | |||
+ | exit 0 | ||
+ | |||
+ | |||
+ | In questo modo openvpn parte all'avvio e cerca di connettersi al server, una volta connessa crea una tabella di routing specifica per la slan (source routing) | ||
+ | |||
− | |||
− | |||
− | |||
− | |||
− | + | Creare 2 wlan sulla wifi integrata (radio0) bridgiate con lan e slan. Le ho chiamate rispettivamente '''unsecure''' e '''secure''' | |
− | |||
− | |||
− | |||
− | |||
− | |||
− | + | Teoricamente se tutto è configurato bene quando si è collegati alla lan (o la wifi unsecure) è possibile navigare in internet in maniera non sicura. | |
− | + | Aprendo il sito http://whatismyipaddress.com/ o simili la connessione proviene dal provider dell'hotspot | |
− | + | Quando si è collegati alla slan (quindi la wifi secure) è possibile collegarsi alla lan che ospita la vpn (la lan di casa mia), e l'indirizzo ip che appare è quello della lan remota. | |
+ | === Idee e cose da provare === | ||
+ | Premetto che questo non è il mio mestiere, arrivare a questo risultato è stato molto faticoso e frutto di notte insonni e continui insuccessi. | ||
+ | Lo so, è fatto male e si poteva fare meglio ma non so come. | ||
− | + | Se qualcuno vuole contribuire è benvenuto. | |
− | |||
− | |||
− | |||
− | E' possibile accendere e spegnere il wifi con questo script (che avevo fatto partire con il connect della vpn, | + | Un problema è che le query DNS escono sempre dalla wan, bisognerebbe farle girare attraverso la vpn |
+ | |||
+ | |||
+ | E' possibile accendere e spegnere il wifi con questo script (che avevo fatto partire con il connect della vpn), da testare | ||
+ | |||
+ | #!/bin/sh | ||
+ | |||
+ | #secure | ||
+ | uci set wireless.@wifi-iface[1].disabled='0' | ||
+ | wifi | ||
+ | #unsecure | ||
+ | uci set wireless.@wifi-iface[0].disabled='1' | ||
+ | wifi | ||
− | + | exit 0 | |
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | + | Sarebbe bello utilizzare la porta ethernet come wan per collegarsi via cavo. Impostando un indirizzo ip statico di management in caso di emergenza |
Versione delle 00:04, 28 ott 2015
Scopo
Questo progetto nasce dall'esigenza di portarsi sempre con se la propria rete anche quando si è in viaggio http://en.wikipedia.org/wiki/Road_warrior_%28computing%29
Avere sempre con se una rete wifi sicura e che i nostri dispositivi conoscono ci evita ogni volta di riconfigurarli.
Il sistema inoltre può essere reso modulare aggiungendo moduli che si connettono ad esempio in wifi, 3G o quello che preferiamo.
Aggiornamento firmware sul router
In questo caso utilizziamo un piccolo access point portatile su cui installiamo il firmware openwrt, il modello non è importante, quello che conta è che il dispositivo sia compatibile con questo firmware.
Di seguito la procedura per installare openwrt su HooToo, un access point a basso costo, con wifi interno, presa per la rete cablata, alimentato con usb, switch hardware.
L'installazione del firmware è riportata sul wiki di openwrt: http://wiki.openwrt.org/toh/hootoo/tripmate-nano.
Il dispositivo ha bisogno di una memoria usb esterna, ad esempio una chiavetta su cui appoggiare il file con il nuovo firmware.
Per caricare openwrt, spostare lo switch sul router nella posizione "mondo", inserire una chiavetta di memoria usb nello slot.
Collegarsi al router tramite wifi e sull'interfaccia web caricare il firmware openwrt.
Attendere 5 minuti di orologio scollegare l'alimentazione e ricollegarla.
A questo punto ci si può collegare al router con il cavo ethernet.
Info (by itec, da sistemare)
Il "RoadWarrior" è un router portatile che permette di condividere una connessione ad internet wireless, in modo sicuro.
Una volta collegato ad un hotspot fornisce facilmente connettività wireless a tutti i dispositivi già associati.
In presenza di captive portal basta collegarsi da un solo dispositivo per dare connettività a tutti gli altri.
E' presente anche una wireless sicura che dirotta tutto il traffico attraverso una VPN, per avere un'uscita verso internet criptata.
Per fare le prove ho usato un router AUKEY PB-W1, che è un router portatile con powerbanck integrato, wifi, ethernet e usb.
In alternativa si può usare un Hootoo Tripmate Nano, o qualsiasi altro router a patto che riesca a supportare OpenWRT e che abbia almeno 8MB di flash (necessaria per installare OpenVPN
Howto un po' incasinato:
- Inserire la parte di installazione di openwrt -
Collegarsi al router all'indirizzo 192.168.1.1, impostare la password e accedere ad internet andando su Network - Wifi.
Cercare una wifi conosciuta facendo scan sulla scheda di rete interna
Collegarsi al router in ssh (per gli utenti windows c'è Putty che funziona molto bene)
Installare i pacchetti dando i seguenti comandi:
opkg update opkg install nano opkg install luci-ssl
Voglio usare sue schede wifi, quella integrata per esporre le mie reti, una esterna per collegarsi all'hotspot che fornisce connettività.
Per il supporto periferiche usb ho dovuto installare i seguenti pacchetti:
opkg install kmod-usb-core kmod-usb-ohci kmod-usb2
Per fargli riconoscere la mia scheda wifi "blueway"
opkg install kmod-rt2800-lib kmod-rt2800-usb kmod-rt2x00-lib kmod-rt2x00-usb
Riavviare per permettere al router di individuare la scheda.
Rientrando su Luci, andare su network - wifi e controllare se è apparsa la seconda interfaccia radio
Cancellare le reti, utilizzare la seconda scheda di rete per collegarsi ad internet
Configurare la lan con un ip statico (es 192.168.250.1) e dhcp server
Andare su System - system e configurare il nome del dispositivo (che apparirà anche nel nome file quando si salva la configurazione)
Volendo cambiare i server ntp (ntp1.inrim.it,ntp2.inrim.it)
Installare openvpn
opkg install openvpn-openssl
Creare un'interfaccia slan, con ip statico diverso dalla lan (es 192.168.251.1), interfaccia fisica slan, e con dhcp
Creare un'interfaccia swan, unmanaged, con interfaccia fisica tun0
Vanno aggiunte queste righe su etc/config/network
config interface 'swan' option ifname 'tun0' option proto 'none' config interface 'slan' option proto 'static' option ipaddr '192.168.251.1' option netmask '255.255.255.0' option _orig_ifname 'lan0' option _orig_bridge 'false' option type 'bridge' option ifname 'slan'
Controllare che il dhcp sia attivo sull'interfaccia slan
Applicare le regole firewall [...]
Inserire queste righe su /etc/config/network
config zone option input 'ACCEPT' option output 'ACCEPT' option name 'slan' option network 'slan' option forward 'REJECT' config zone option forward 'REJECT' option output 'ACCEPT' option input 'REJECT' option masq '1' option mtu_fix '1' option network 'swan' option name 'swan' config rule option target 'ACCEPT' option family 'ipv4' option proto 'udp' option src 'slan' option name 'Secure DHCP' option dest_port '67-68'
config rule option target 'ACCEPT' option src 'slan' option name 'Secure DNS' option dest_port '53' option family 'ipv4' config forwarding option dest 'swan' option src 'slan'
Creare dentro a /etc/openvpn il file client.conf e aggiungere i certificati nella stessa cartella.
Il mio è così:
client dev tun proto tcp remote itec78.no-ip.org 443 resolv-retry infinite #redirect-gateway def1 route-nopull nobind persist-tun persist-key ca ca.crt cert roadwarrior.crt key roadwarrior.key remote-cert-tls server verb 1 script-security 3 route-delay 5 route-up "/etc/openvpn/route-up.sh" keepalive 10 60
E' importante la riga route-nopull perchè non deve ereditare la tabella di routing dal server
Nella stessa cartella aggiungere anche il file route-up.sh, dargli le autorizzazioni e inserire all'interno il seguente script:
#!/bin/sh # Checks to see if there is an IP routing table named 'vpn', create if missing if [ $(cat /etc/iproute2/rt_tables | grep vpn | wc -l) -eq 0 ]; then echo "100 vpn" >> /etc/iproute2/rt_tables fi echo "------------------------------------------------------------------" ip route show echo "------------------------------------------------------------------" # Remove any previous routes in the 'vpn' routing table ip rule | sed -n 's/.*\(from[ \t]*[0-9\.]*\).*vpn/\1/p' | while read RULE do echo "remove old rule: /bin/ip rule del ${RULE}" /bin/ip rule del ${RULE} done #echo ifconfig_remote: ${ifconfig_remote} dev: ${dev} > /tmp/antani # Add routes to the vpn routing table echo ip rule add from 192.168.251.0/24 lookup vpn prio 1000 ip rule add from 192.168.251.0/24 lookup vpn prio 1000 # Add the route to direct all traffic using the the vpn routing table to the tunX interface echo ip route add default via ${ifconfig_remote} dev ${dev} table vpn ip route add default via ${ifconfig_remote} dev ${dev} table vpn #add a route for the lan itself echo ip route add 192.168.251.0/24 dev br-slan table vpn ip route add 192.168.251.0/24 dev br-slan table vpn ip route flush cache exit 0
In questo modo openvpn parte all'avvio e cerca di connettersi al server, una volta connessa crea una tabella di routing specifica per la slan (source routing)
Creare 2 wlan sulla wifi integrata (radio0) bridgiate con lan e slan. Le ho chiamate rispettivamente unsecure e secure
Teoricamente se tutto è configurato bene quando si è collegati alla lan (o la wifi unsecure) è possibile navigare in internet in maniera non sicura.
Aprendo il sito http://whatismyipaddress.com/ o simili la connessione proviene dal provider dell'hotspot
Quando si è collegati alla slan (quindi la wifi secure) è possibile collegarsi alla lan che ospita la vpn (la lan di casa mia), e l'indirizzo ip che appare è quello della lan remota.
Idee e cose da provare
Premetto che questo non è il mio mestiere, arrivare a questo risultato è stato molto faticoso e frutto di notte insonni e continui insuccessi.
Lo so, è fatto male e si poteva fare meglio ma non so come.
Se qualcuno vuole contribuire è benvenuto.
Un problema è che le query DNS escono sempre dalla wan, bisognerebbe farle girare attraverso la vpn
E' possibile accendere e spegnere il wifi con questo script (che avevo fatto partire con il connect della vpn), da testare
#!/bin/sh #secure uci set wireless.@wifi-iface[1].disabled='0' wifi #unsecure uci set wireless.@wifi-iface[0].disabled='1' wifi
exit 0
Sarebbe bello utilizzare la porta ethernet come wan per collegarsi via cavo. Impostando un indirizzo ip statico di management in caso di emergenza