https://www.raspibo.org/wiki/api.php?action=feedcontributions&feedformat=atom&user=Itecraspibo - Contributi utente [it]2026-04-14T14:41:41ZContributi utenteMediaWiki 1.35.5https://www.raspibo.org/wiki/index.php?title=RoadWarrior&diff=4686RoadWarrior2015-11-05T21:53:53Z<p>Itec: /* Idee e cose da provare */</p>
<hr />
<div>= Scopo =<br />
<br />
Il Road Warrior [http://en.wikipedia.org/wiki/Road_warrior_%28computing%29] è una persona che è spesso in viaggio, e fa largo uso del computer.<br />
<br />
Questo progetto nasce dall'esigenza di portarsi sempre con se la propria rete anche quando si è in viaggio.<br />
<br />
Avere sempre con sè una rete wifi sicura e che i nostri dispositivi conoscono ci evita di dover riconfigurarli ogni volta.<br />
<br />
In presenza di captive portal basta collegarsi da un solo dispositivo per dare connettività a tutti gli altri.<br />
<br />
E' presente anche una wireless sicura che dirotta tutto il traffico attraverso una VPN, in modo da nascondere il traffico sulla rete "ospite" e per accedere alla propria lan senza dover installare in client vpn su ogni dispositivo.<br />
<br />
Il sistema inoltre può essere reso modulare aggiungendo moduli che si connettono ad esempio in wifi, 3G o quello che preferiamo.<br />
<br />
Tutto questo puo' essere realizzato con un access point router di dimensioni compatte, facile da aggiungere al bagaglio, tipicamente il router ha piu' di una interfaccia di rete e magari una porta usb.<br />
<br />
Gli esperimenti descritti di seguito sono stati condotti su due modelli:<br />
* HooToo Trip Mate Nano [http://www.hootoo.com/hootoo-tripmate-nano-ht-tm02-wireless-portable-router.html] molto compatto con porta Ethernet, wifi, USB<br />
* AUKEY PB-W1, che è un router portatile con powerbank integrato, wifi, ethernet e usb.<br />
<br />
Il modello del router non e' fondamentale, e' importante che il router sia compatibile con OpenWRT e che abbia almeno 8MB di flash (necessaria per installare OpenVPN).<br />
<br />
[[File:RoadWarrior Aukey.jpg|400px]][[File:RoadWarrior HooToo.jpg|600px]]<br />
<br />
= Aggiornamento firmware sul router HooToo =<br />
<br />
In questo caso utilizziamo un piccolo access point portatile su cui installiamo il firmware openwrt, il modello non è importante, quello che conta è che il dispositivo sia compatibile con questo firmware.<br />
<br />
Di seguito la procedura per installare openwrt su HooToo, un access point a basso costo, con wifi interno, presa per la rete cablata, alimentato con usb, switch hardware.<br />
<br />
L'installazione del firmware è riportata sul wiki di openwrt: http://wiki.openwrt.org/toh/hootoo/tripmate-nano.<br />
<br />
Il dispositivo ha bisogno di una memoria usb esterna, ad esempio una chiavetta su cui appoggiare il file con il nuovo firmware.<br />
<br />
Per caricare openwrt, spostare lo switch sul router nella posizione "mondo", inserire una chiavetta di memoria usb nello slot.<br />
<br />
Collegarsi al router tramite wifi e sull'interfaccia web caricare il firmware openwrt.<br />
<br />
'''Attendere 5 minuti di orologio''' scollegare l'alimentazione e ricollegarla. <br />
<br />
A questo punto ci si può collegare al router con il cavo ethernet.<br />
<br />
D'ora in poi sara' possibile utilizzare i files con il firmware ufficiale openwrt.<br />
<br />
Riportiamo per comodita' il link dell'ultimo firmware per hootoo (al momento in cui viene editata la pagina): [https://downloads.openwrt.org/chaos_calmer/15.05/ramips/rt305x/openwrt-15.05-ramips-rt305x-ht-tm02-squashfs-sysupgrade.bin openwrt-15.05-ramips-rt305x-ht-tm02-squashfs-sysupgrade.bin]<br />
<br />
<br />
= Configurazione =<br />
<br />
- Inserire la parte di installazione di openwrt - <br />
<br />
<br />
=== Configurazione WiFi client ===<br />
Collegarsi al router all'indirizzo 192.168.1.1.<br />
<br />
Cambiare indirizzo ip della lan e applicare le modifiche, io ho usato 192.168.250.1. Fatto questo bisogna ricollegarsi al router al nuovo indirizzo.<br />
<br />
Accedere ad internet andando su Network - Wifi.<br />
<br />
Cercare una wifi conosciuta facendo scan sulla scheda di rete interna.<br />
<br />
Impostare la password di rete e salvare applicando le modifiche.<br />
<br />
=== Aggiornamento software e installazione pacchetti ===<br />
<br />
Collegarsi al router in ssh (ad esempio con il programma Putty).<br />
<br />
Installare i pacchetti dando i seguenti comandi:<br />
<source lang=sh><br />
opkg update<br />
opkg install nano<br />
opkg install luci-ssl<br />
</source><br />
<br />
Voglio usare sue schede wifi, quella integrata per esporre le mie reti, una esterna per collegarsi all'hotspot che fornisce connettività.<br />
<br />
Per il supporto periferiche usb ho dovuto installare i seguenti pacchetti:<br />
<source lang=sh><br />
opkg install kmod-usb-core kmod-usb-ohci kmod-usb2<br />
</source><br />
Per fargli riconoscere la mia scheda wifi "blueway"<br />
<source lang=sh><br />
opkg install kmod-rt2800-lib kmod-rt2800-usb kmod-rt2x00-lib kmod-rt2x00-usb<br />
</source><br />
<br />
Riavviare per permettere al router di individuare la scheda.<br />
Rientrando su Luci, andare su network - wifi e controllare se è apparsa la seconda interfaccia radio<br />
<br />
Cancellare le reti, utilizzare la seconda scheda di rete per collegarsi ad internet<br />
<br />
<br />
Andare su System - system e configurare il nome del dispositivo (che apparirà anche nel nome file quando si salva la configurazione). Se non avete idee suggerisco "RoadWarrior"<br />
<br />
Volendo cambiare i server ntp (ntp1.inrim.it,ntp2.inrim.it)<br />
<br />
=== Installare openvpn ===<br />
<source lang=sh><br />
opkg install openvpn-openssl<br />
</source><br />
Creare un'interfaccia '''slan''', con ip statico diverso dalla lan (es 192.168.251.1), interfaccia fisica slan, e con dhcp<br />
<br />
Creare un'interfaccia '''swan''', unmanaged, con interfaccia fisica tun0<br />
<br />
Per farlo vanno aggiunte queste righe su etc/config/network<br />
<source lang=sh><br />
config interface 'swan'<br />
option ifname 'tun0'<br />
option proto 'none'<br />
<br />
config interface 'slan'<br />
option proto 'static'<br />
option ipaddr '192.168.251.1'<br />
option netmask '255.255.255.0'<br />
option _orig_ifname 'lan0'<br />
option _orig_bridge 'false'<br />
option type 'bridge'<br />
option ifname 'slan'<br />
</source><br />
<br />
E queste su etc/config/dhcp<br />
<source lang=sh><br />
config dhcp 'slan'<br />
option start '100'<br />
option leasetime '12h'<br />
option limit '150'<br />
option interface 'slan'<br />
</source><br />
<br />
Controllare che il dhcp sia attivo sull'interfaccia slan<br />
<br />
Applicare le regole firewall inserendo queste righe su /etc/config/network<br />
<source lang=sh><br />
config zone<br />
option input 'ACCEPT'<br />
option output 'ACCEPT'<br />
option name 'slan'<br />
option network 'slan'<br />
option forward 'REJECT'<br />
<br />
config zone<br />
option forward 'REJECT'<br />
option output 'ACCEPT'<br />
option input 'REJECT'<br />
option masq '1'<br />
option mtu_fix '1'<br />
option network 'swan'<br />
option name 'swan'<br />
<br />
config rule<br />
option target 'ACCEPT'<br />
option family 'ipv4'<br />
option proto 'udp'<br />
option src 'slan'<br />
option name 'Secure DHCP'<br />
option dest_port '67-68'<br />
<br />
config rule<br />
option target 'ACCEPT'<br />
option src 'slan'<br />
option name 'Secure DNS'<br />
option dest_port '53'<br />
option family 'ipv4'<br />
<br />
config forwarding<br />
option dest 'swan'<br />
option src 'slan'<br />
</source><br />
<br />
Creare dentro a /etc/openvpn il file client.conf e aggiungere i certificati nella stessa cartella.<br />
<br />
Il mio è così:<br />
<source lang=sh><br />
client<br />
dev tun<br />
proto tcp<br />
<br />
remote [indirizzo] 443<br />
resolv-retry infinite<br />
#redirect-gateway def1<br />
route-nopull<br />
<br />
nobind<br />
<br />
persist-tun<br />
persist-key<br />
<br />
ca ca.crt<br />
cert roadwarrior.crt<br />
key roadwarrior.key<br />
remote-cert-tls server<br />
<br />
verb 1<br />
<br />
script-security 3<br />
route-delay 5<br />
route-up "/etc/openvpn/route-up.sh"<br />
keepalive 10 60<br />
</source><br />
<br />
E' importante la riga '''route-nopull''' perchè non deve ereditare la tabella di routing dal server<br />
<br />
Nella stessa cartella aggiungere anche il file '''route-up.sh''', dargli le autorizzazioni e inserire all'interno il seguente script:<br />
<br />
<source lang=sh><br />
#!/bin/sh<br />
<br />
# Checks to see if there is an IP routing table named 'vpn', create if missing<br />
if [ $(cat /etc/iproute2/rt_tables | grep vpn | wc -l) -eq 0 ]; then<br />
echo "100 vpn" >> /etc/iproute2/rt_tables<br />
fi<br />
<br />
echo "------------------------------------------------------------------"<br />
ip route show<br />
echo "------------------------------------------------------------------"<br />
<br />
# Remove any previous routes in the 'vpn' routing table<br />
ip rule | sed -n 's/.*\(from[ \t]*[0-9\.]*\).*vpn/\1/p' | while read RULE<br />
do<br />
echo "remove old rule: /bin/ip rule del ${RULE}"<br />
/bin/ip rule del ${RULE}<br />
done<br />
<br />
#echo ifconfig_remote: ${ifconfig_remote} dev: ${dev} > /tmp/antani<br />
<br />
# Add routes to the vpn routing table<br />
echo ip rule add from 192.168.251.0/24 lookup vpn prio 1000<br />
ip rule add from 192.168.251.0/24 lookup vpn prio 1000<br />
<br />
# Add the route to direct all traffic using the the vpn routing table to the tunX interface<br />
echo ip route add default via ${ifconfig_remote} dev ${dev} table vpn<br />
ip route add default via ${ifconfig_remote} dev ${dev} table vpn<br />
<br />
#add a route for the lan itself<br />
echo ip route add 192.168.251.0/24 dev br-slan table vpn<br />
ip route add 192.168.251.0/24 dev br-slan table vpn<br />
<br />
ip route flush cache<br />
<br />
exit 0<br />
</source><br />
<br />
In questo modo openvpn parte all'avvio e cerca di connettersi al server, una volta connessa crea una tabella di routing specifica per la slan (source routing)<br />
<br />
<br />
<br />
Creare 2 wlan sulla wifi integrata (radio0) bridgiate con lan e slan. Le ho chiamate rispettivamente '''unsecure''' e '''secure'''<br />
<br />
<br />
Teoricamente se tutto è configurato bene quando si è collegati alla lan (o la wifi unsecure) è possibile navigare in internet in maniera non sicura.<br />
<br />
Aprendo il sito http://whatismyipaddress.com/ o simili la connessione proviene dal provider dell'hotspot<br />
<br />
Quando si è collegati alla slan (quindi la wifi secure) è possibile collegarsi alla lan che ospita la vpn (la lan di casa mia), e l'indirizzo ip che appare è quello della lan remota.<br />
<br />
<br />
<br />
Per fare in modo che il router si colleghi ad una lista di wifi conosciute ho usato queste istruzioni<br />
<br />
https://forum.openwrt.org/viewtopic.php?id=43352<br />
<br />
Ho modificato il file wifiMgr.sh cambiando i nomi delle interfacce e aggiungendo alcune funzioni come segue:<br />
<br />
<source lang=sh><br />
#!/bin/sh<br />
. /etc/wifiMgr/config<br />
<br />
<br />
randMacAddr()<br />
{<br />
<br />
macaddr=$(dd if=/dev/urandom bs=1024 count=1 2>/dev/null|md5sum|sed 's/^\(..\)\(..\)\(..\)\(..\)\(..\)\(..\).*$/00:\2:\3:\4:\5:01/')<br />
uci set wireless.@wifi-iface[2].macaddr="$macaddr"<br />
uci commit wireless<br />
/etc/init.d/network restart<br />
<br />
}<br />
<br />
<br />
NetStatus()<br />
{<br />
logger WifiMgr: Checking network...<br />
net=$(ping 8.8.8.8 -c5 |grep "time=")<br />
if [ "$net" ]; then<br />
logger WifiMgr: Network OK<br />
#got ping response!<br />
return<br />
else<br />
logger WifiMgr: Network failed. Starting network change...<br />
NetChange<br />
fi<br />
}<br />
<br />
<br />
<br />
NetChange()<br />
{<br />
logger WifiMgr: Performing network scan...<br />
<br />
source /etc/wifiMgr/config<br />
<br />
scanres=<br />
ifconfig wlan1 down<br />
iw phy phy0 interface add scan0 type station<br />
ifconfig scan0 up<br />
<br />
while [ "$scanres" = "" ]; do<br />
#Sometimes it shows nothing, so better to ensure we did a correct scan<br />
scanres=$(iw scan0 scan|grep SSID)<br />
done<br />
<br />
iw dev scan0 del<br />
ifconfig wlan1 up<br />
killall -HUP hostapd<br />
logger WifiMgr: WifiMgr: Searching available networks...<br />
<br />
if [ "$1" ]; then<br />
ssid=net"$1"_ssid<br />
eval ssid=\$$ssid<br />
echo Trying to connect to network "$1"": $ssid"<br />
n=$(expr "$1" - "1")<br />
else<br />
n=0<br />
fi<br />
<br />
while [ "1" ]; do<br />
n=$(expr "$n" + "1")<br />
<br />
if [ "$n" = "99" ]; then<br />
#too much counts. Crazy wireless count, breaking loop!<br />
break<br />
fi<br />
<br />
ssid=net"$n"_ssid<br />
encrypt=net"$n"_encrypt<br />
key=net"$n"_key<br />
<br />
eval ssid=\$$ssid<br />
eval encrypt=\$$encrypt<br />
eval key=\$$key<br />
<br />
if [ "$ssid" = "" ]; then<br />
#ssid not existing or empty. Assume it's the end of the wlist file<br />
break<br />
fi<br />
echo SSID: $ssid<br />
#echo KEY: $key<br />
#echo SEGURIDAD: $encrypt<br />
<br />
<br />
active=$(echo $scanres | grep " $ssid ">&1 )<br />
if [ "$active" ]; then<br />
if [ "$1" ]; then<br />
echo Network found. Connecting...<br />
fi<br />
logger WifiMgr: "$ssid" network found. Applying settings..<br />
uci set wireless.@wifi-iface[2].ssid="$ssid"<br />
uci set wireless.@wifi-iface[2].encryption="$encrypt"<br />
uci set wireless.@wifi-iface[2].key="$key"<br />
uci set wireless.@wifi-iface[2].bssid=""<br />
uci commit wireless<br />
/etc/init.d/network restart<br />
<br />
#wait some seconds for everything to connect and configure<br />
sleep $NewConnCheckTimer<br />
logger WifiMgr: Checking connectivity...<br />
<br />
#check for internet connection, 5 ping sends<br />
net=$(ping google.es -c5 |grep "time=")<br />
if [ "$net" ]; then<br />
#got ping response!<br />
logger WifiMgr: Internet working! Searching ended<br />
if [ "$1" ]; then<br />
echo Sucess!<br />
fi<br />
break<br />
fi<br />
if [ "$1" ]; then<br />
echo Connection failed!<br />
break<br />
fi<br />
logger WifiMgr: Failed! Searching next available network...<br />
fi<br />
done<br />
}<br />
<br />
if [ "$1" = "" ]; then<br />
echo "No arguments supplied"<br />
<br />
elif [ "$1" = "--force" ]; then<br />
NetChange $2<br />
<br />
elif [ "$1" = "--daemon" ]; then<br />
<br />
if [ "$randMac" = "1" ]; then<br />
randMacAddr <br />
fi<br />
NetChange<br />
<br />
while [ "1" ]; do<br />
sleep $ConnCheckTimer<br />
NetStatus<br />
done<br />
<br />
else<br />
echo "Wrong arguments"<br />
fi<br />
</source> <br />
<br />
L'avvio con /etc/init.d ha qualche problema, e a volte scollega tutte le wifi ricollegandosi, ma tutto sommato funziona.<br />
<br />
=== Idee e cose da provare ===<br />
<br />
Non ne so molto di reti routing e firewall, arrivare a questo risultato è stato molto faticoso e frutto di notte insonni e continui insuccessi.<br />
<br />
Lo so, è fatto male e si poteva fare meglio ma non so come.<br />
<br />
Se qualcuno vuole contribuire e migliorare il progetto è benvenuto.<br />
<br />
<br />
<br />
Un problema è che le query DNS escono sempre dalla wan che non è sicura, bisognerebbe farle girare attraverso la vpn<br />
<br />
<br />
E' possibile accendere e spegnere il wifi con questo script (che avevo fatto partire con il connect della vpn), da testare<br />
<br />
<source lang=sh><br />
#!/bin/sh<br />
<br />
#secure<br />
uci set wireless.@wifi-iface[1].disabled='0'<br />
wifi<br />
#unsecure<br />
uci set wireless.@wifi-iface[0].disabled='1'<br />
wifi<br />
<br />
exit 0<br />
</source><br />
<br />
Sarebbe bello utilizzare la porta ethernet come wan per collegarsi via cavo. Impostando un indirizzo ip statico di management in caso di emergenza<br />
<br />
<br />
Di solito i router hanno 1-2 led. Farebbe comodo sapere dai led se la wan e la vpn sono collegate (lampeggio o accensione continua)<br />
<br />
<br />
Si potrebbe fare uno script per cambiare automaticamente il canale della scheda wireless integrata in modo che le due schede non si disturbino<br />
<br />
<br />
[[Category:Progetti]]</div>Itechttps://www.raspibo.org/wiki/index.php?title=RoadWarrior&diff=4685RoadWarrior2015-11-05T21:44:42Z<p>Itec: /* Scopo */</p>
<hr />
<div>= Scopo =<br />
<br />
Il Road Warrior [http://en.wikipedia.org/wiki/Road_warrior_%28computing%29] è una persona che è spesso in viaggio, e fa largo uso del computer.<br />
<br />
Questo progetto nasce dall'esigenza di portarsi sempre con se la propria rete anche quando si è in viaggio.<br />
<br />
Avere sempre con sè una rete wifi sicura e che i nostri dispositivi conoscono ci evita di dover riconfigurarli ogni volta.<br />
<br />
In presenza di captive portal basta collegarsi da un solo dispositivo per dare connettività a tutti gli altri.<br />
<br />
E' presente anche una wireless sicura che dirotta tutto il traffico attraverso una VPN, in modo da nascondere il traffico sulla rete "ospite" e per accedere alla propria lan senza dover installare in client vpn su ogni dispositivo.<br />
<br />
Il sistema inoltre può essere reso modulare aggiungendo moduli che si connettono ad esempio in wifi, 3G o quello che preferiamo.<br />
<br />
Tutto questo puo' essere realizzato con un access point router di dimensioni compatte, facile da aggiungere al bagaglio, tipicamente il router ha piu' di una interfaccia di rete e magari una porta usb.<br />
<br />
Gli esperimenti descritti di seguito sono stati condotti su due modelli:<br />
* HooToo Trip Mate Nano [http://www.hootoo.com/hootoo-tripmate-nano-ht-tm02-wireless-portable-router.html] molto compatto con porta Ethernet, wifi, USB<br />
* AUKEY PB-W1, che è un router portatile con powerbank integrato, wifi, ethernet e usb.<br />
<br />
Il modello del router non e' fondamentale, e' importante che il router sia compatibile con OpenWRT e che abbia almeno 8MB di flash (necessaria per installare OpenVPN).<br />
<br />
[[File:RoadWarrior Aukey.jpg|400px]][[File:RoadWarrior HooToo.jpg|600px]]<br />
<br />
= Aggiornamento firmware sul router HooToo =<br />
<br />
In questo caso utilizziamo un piccolo access point portatile su cui installiamo il firmware openwrt, il modello non è importante, quello che conta è che il dispositivo sia compatibile con questo firmware.<br />
<br />
Di seguito la procedura per installare openwrt su HooToo, un access point a basso costo, con wifi interno, presa per la rete cablata, alimentato con usb, switch hardware.<br />
<br />
L'installazione del firmware è riportata sul wiki di openwrt: http://wiki.openwrt.org/toh/hootoo/tripmate-nano.<br />
<br />
Il dispositivo ha bisogno di una memoria usb esterna, ad esempio una chiavetta su cui appoggiare il file con il nuovo firmware.<br />
<br />
Per caricare openwrt, spostare lo switch sul router nella posizione "mondo", inserire una chiavetta di memoria usb nello slot.<br />
<br />
Collegarsi al router tramite wifi e sull'interfaccia web caricare il firmware openwrt.<br />
<br />
'''Attendere 5 minuti di orologio''' scollegare l'alimentazione e ricollegarla. <br />
<br />
A questo punto ci si può collegare al router con il cavo ethernet.<br />
<br />
D'ora in poi sara' possibile utilizzare i files con il firmware ufficiale openwrt.<br />
<br />
Riportiamo per comodita' il link dell'ultimo firmware per hootoo (al momento in cui viene editata la pagina): [https://downloads.openwrt.org/chaos_calmer/15.05/ramips/rt305x/openwrt-15.05-ramips-rt305x-ht-tm02-squashfs-sysupgrade.bin openwrt-15.05-ramips-rt305x-ht-tm02-squashfs-sysupgrade.bin]<br />
<br />
<br />
= Configurazione =<br />
<br />
- Inserire la parte di installazione di openwrt - <br />
<br />
<br />
=== Configurazione WiFi client ===<br />
Collegarsi al router all'indirizzo 192.168.1.1.<br />
<br />
Cambiare indirizzo ip della lan e applicare le modifiche, io ho usato 192.168.250.1. Fatto questo bisogna ricollegarsi al router al nuovo indirizzo.<br />
<br />
Accedere ad internet andando su Network - Wifi.<br />
<br />
Cercare una wifi conosciuta facendo scan sulla scheda di rete interna.<br />
<br />
Impostare la password di rete e salvare applicando le modifiche.<br />
<br />
=== Aggiornamento software e installazione pacchetti ===<br />
<br />
Collegarsi al router in ssh (ad esempio con il programma Putty).<br />
<br />
Installare i pacchetti dando i seguenti comandi:<br />
<source lang=sh><br />
opkg update<br />
opkg install nano<br />
opkg install luci-ssl<br />
</source><br />
<br />
Voglio usare sue schede wifi, quella integrata per esporre le mie reti, una esterna per collegarsi all'hotspot che fornisce connettività.<br />
<br />
Per il supporto periferiche usb ho dovuto installare i seguenti pacchetti:<br />
<source lang=sh><br />
opkg install kmod-usb-core kmod-usb-ohci kmod-usb2<br />
</source><br />
Per fargli riconoscere la mia scheda wifi "blueway"<br />
<source lang=sh><br />
opkg install kmod-rt2800-lib kmod-rt2800-usb kmod-rt2x00-lib kmod-rt2x00-usb<br />
</source><br />
<br />
Riavviare per permettere al router di individuare la scheda.<br />
Rientrando su Luci, andare su network - wifi e controllare se è apparsa la seconda interfaccia radio<br />
<br />
Cancellare le reti, utilizzare la seconda scheda di rete per collegarsi ad internet<br />
<br />
<br />
Andare su System - system e configurare il nome del dispositivo (che apparirà anche nel nome file quando si salva la configurazione). Se non avete idee suggerisco "RoadWarrior"<br />
<br />
Volendo cambiare i server ntp (ntp1.inrim.it,ntp2.inrim.it)<br />
<br />
=== Installare openvpn ===<br />
<source lang=sh><br />
opkg install openvpn-openssl<br />
</source><br />
Creare un'interfaccia '''slan''', con ip statico diverso dalla lan (es 192.168.251.1), interfaccia fisica slan, e con dhcp<br />
<br />
Creare un'interfaccia '''swan''', unmanaged, con interfaccia fisica tun0<br />
<br />
Per farlo vanno aggiunte queste righe su etc/config/network<br />
<source lang=sh><br />
config interface 'swan'<br />
option ifname 'tun0'<br />
option proto 'none'<br />
<br />
config interface 'slan'<br />
option proto 'static'<br />
option ipaddr '192.168.251.1'<br />
option netmask '255.255.255.0'<br />
option _orig_ifname 'lan0'<br />
option _orig_bridge 'false'<br />
option type 'bridge'<br />
option ifname 'slan'<br />
</source><br />
<br />
E queste su etc/config/dhcp<br />
<source lang=sh><br />
config dhcp 'slan'<br />
option start '100'<br />
option leasetime '12h'<br />
option limit '150'<br />
option interface 'slan'<br />
</source><br />
<br />
Controllare che il dhcp sia attivo sull'interfaccia slan<br />
<br />
Applicare le regole firewall inserendo queste righe su /etc/config/network<br />
<source lang=sh><br />
config zone<br />
option input 'ACCEPT'<br />
option output 'ACCEPT'<br />
option name 'slan'<br />
option network 'slan'<br />
option forward 'REJECT'<br />
<br />
config zone<br />
option forward 'REJECT'<br />
option output 'ACCEPT'<br />
option input 'REJECT'<br />
option masq '1'<br />
option mtu_fix '1'<br />
option network 'swan'<br />
option name 'swan'<br />
<br />
config rule<br />
option target 'ACCEPT'<br />
option family 'ipv4'<br />
option proto 'udp'<br />
option src 'slan'<br />
option name 'Secure DHCP'<br />
option dest_port '67-68'<br />
<br />
config rule<br />
option target 'ACCEPT'<br />
option src 'slan'<br />
option name 'Secure DNS'<br />
option dest_port '53'<br />
option family 'ipv4'<br />
<br />
config forwarding<br />
option dest 'swan'<br />
option src 'slan'<br />
</source><br />
<br />
Creare dentro a /etc/openvpn il file client.conf e aggiungere i certificati nella stessa cartella.<br />
<br />
Il mio è così:<br />
<source lang=sh><br />
client<br />
dev tun<br />
proto tcp<br />
<br />
remote [indirizzo] 443<br />
resolv-retry infinite<br />
#redirect-gateway def1<br />
route-nopull<br />
<br />
nobind<br />
<br />
persist-tun<br />
persist-key<br />
<br />
ca ca.crt<br />
cert roadwarrior.crt<br />
key roadwarrior.key<br />
remote-cert-tls server<br />
<br />
verb 1<br />
<br />
script-security 3<br />
route-delay 5<br />
route-up "/etc/openvpn/route-up.sh"<br />
keepalive 10 60<br />
</source><br />
<br />
E' importante la riga '''route-nopull''' perchè non deve ereditare la tabella di routing dal server<br />
<br />
Nella stessa cartella aggiungere anche il file '''route-up.sh''', dargli le autorizzazioni e inserire all'interno il seguente script:<br />
<br />
<source lang=sh><br />
#!/bin/sh<br />
<br />
# Checks to see if there is an IP routing table named 'vpn', create if missing<br />
if [ $(cat /etc/iproute2/rt_tables | grep vpn | wc -l) -eq 0 ]; then<br />
echo "100 vpn" >> /etc/iproute2/rt_tables<br />
fi<br />
<br />
echo "------------------------------------------------------------------"<br />
ip route show<br />
echo "------------------------------------------------------------------"<br />
<br />
# Remove any previous routes in the 'vpn' routing table<br />
ip rule | sed -n 's/.*\(from[ \t]*[0-9\.]*\).*vpn/\1/p' | while read RULE<br />
do<br />
echo "remove old rule: /bin/ip rule del ${RULE}"<br />
/bin/ip rule del ${RULE}<br />
done<br />
<br />
#echo ifconfig_remote: ${ifconfig_remote} dev: ${dev} > /tmp/antani<br />
<br />
# Add routes to the vpn routing table<br />
echo ip rule add from 192.168.251.0/24 lookup vpn prio 1000<br />
ip rule add from 192.168.251.0/24 lookup vpn prio 1000<br />
<br />
# Add the route to direct all traffic using the the vpn routing table to the tunX interface<br />
echo ip route add default via ${ifconfig_remote} dev ${dev} table vpn<br />
ip route add default via ${ifconfig_remote} dev ${dev} table vpn<br />
<br />
#add a route for the lan itself<br />
echo ip route add 192.168.251.0/24 dev br-slan table vpn<br />
ip route add 192.168.251.0/24 dev br-slan table vpn<br />
<br />
ip route flush cache<br />
<br />
exit 0<br />
</source><br />
<br />
In questo modo openvpn parte all'avvio e cerca di connettersi al server, una volta connessa crea una tabella di routing specifica per la slan (source routing)<br />
<br />
<br />
<br />
Creare 2 wlan sulla wifi integrata (radio0) bridgiate con lan e slan. Le ho chiamate rispettivamente '''unsecure''' e '''secure'''<br />
<br />
<br />
Teoricamente se tutto è configurato bene quando si è collegati alla lan (o la wifi unsecure) è possibile navigare in internet in maniera non sicura.<br />
<br />
Aprendo il sito http://whatismyipaddress.com/ o simili la connessione proviene dal provider dell'hotspot<br />
<br />
Quando si è collegati alla slan (quindi la wifi secure) è possibile collegarsi alla lan che ospita la vpn (la lan di casa mia), e l'indirizzo ip che appare è quello della lan remota.<br />
<br />
<br />
<br />
Per fare in modo che il router si colleghi ad una lista di wifi conosciute ho usato queste istruzioni<br />
<br />
https://forum.openwrt.org/viewtopic.php?id=43352<br />
<br />
Ho modificato il file wifiMgr.sh cambiando i nomi delle interfacce e aggiungendo alcune funzioni come segue:<br />
<br />
<source lang=sh><br />
#!/bin/sh<br />
. /etc/wifiMgr/config<br />
<br />
<br />
randMacAddr()<br />
{<br />
<br />
macaddr=$(dd if=/dev/urandom bs=1024 count=1 2>/dev/null|md5sum|sed 's/^\(..\)\(..\)\(..\)\(..\)\(..\)\(..\).*$/00:\2:\3:\4:\5:01/')<br />
uci set wireless.@wifi-iface[2].macaddr="$macaddr"<br />
uci commit wireless<br />
/etc/init.d/network restart<br />
<br />
}<br />
<br />
<br />
NetStatus()<br />
{<br />
logger WifiMgr: Checking network...<br />
net=$(ping 8.8.8.8 -c5 |grep "time=")<br />
if [ "$net" ]; then<br />
logger WifiMgr: Network OK<br />
#got ping response!<br />
return<br />
else<br />
logger WifiMgr: Network failed. Starting network change...<br />
NetChange<br />
fi<br />
}<br />
<br />
<br />
<br />
NetChange()<br />
{<br />
logger WifiMgr: Performing network scan...<br />
<br />
source /etc/wifiMgr/config<br />
<br />
scanres=<br />
ifconfig wlan1 down<br />
iw phy phy0 interface add scan0 type station<br />
ifconfig scan0 up<br />
<br />
while [ "$scanres" = "" ]; do<br />
#Sometimes it shows nothing, so better to ensure we did a correct scan<br />
scanres=$(iw scan0 scan|grep SSID)<br />
done<br />
<br />
iw dev scan0 del<br />
ifconfig wlan1 up<br />
killall -HUP hostapd<br />
logger WifiMgr: WifiMgr: Searching available networks...<br />
<br />
if [ "$1" ]; then<br />
ssid=net"$1"_ssid<br />
eval ssid=\$$ssid<br />
echo Trying to connect to network "$1"": $ssid"<br />
n=$(expr "$1" - "1")<br />
else<br />
n=0<br />
fi<br />
<br />
while [ "1" ]; do<br />
n=$(expr "$n" + "1")<br />
<br />
if [ "$n" = "99" ]; then<br />
#too much counts. Crazy wireless count, breaking loop!<br />
break<br />
fi<br />
<br />
ssid=net"$n"_ssid<br />
encrypt=net"$n"_encrypt<br />
key=net"$n"_key<br />
<br />
eval ssid=\$$ssid<br />
eval encrypt=\$$encrypt<br />
eval key=\$$key<br />
<br />
if [ "$ssid" = "" ]; then<br />
#ssid not existing or empty. Assume it's the end of the wlist file<br />
break<br />
fi<br />
echo SSID: $ssid<br />
#echo KEY: $key<br />
#echo SEGURIDAD: $encrypt<br />
<br />
<br />
active=$(echo $scanres | grep " $ssid ">&1 )<br />
if [ "$active" ]; then<br />
if [ "$1" ]; then<br />
echo Network found. Connecting...<br />
fi<br />
logger WifiMgr: "$ssid" network found. Applying settings..<br />
uci set wireless.@wifi-iface[2].ssid="$ssid"<br />
uci set wireless.@wifi-iface[2].encryption="$encrypt"<br />
uci set wireless.@wifi-iface[2].key="$key"<br />
uci set wireless.@wifi-iface[2].bssid=""<br />
uci commit wireless<br />
/etc/init.d/network restart<br />
<br />
#wait some seconds for everything to connect and configure<br />
sleep $NewConnCheckTimer<br />
logger WifiMgr: Checking connectivity...<br />
<br />
#check for internet connection, 5 ping sends<br />
net=$(ping google.es -c5 |grep "time=")<br />
if [ "$net" ]; then<br />
#got ping response!<br />
logger WifiMgr: Internet working! Searching ended<br />
if [ "$1" ]; then<br />
echo Sucess!<br />
fi<br />
break<br />
fi<br />
if [ "$1" ]; then<br />
echo Connection failed!<br />
break<br />
fi<br />
logger WifiMgr: Failed! Searching next available network...<br />
fi<br />
done<br />
}<br />
<br />
if [ "$1" = "" ]; then<br />
echo "No arguments supplied"<br />
<br />
elif [ "$1" = "--force" ]; then<br />
NetChange $2<br />
<br />
elif [ "$1" = "--daemon" ]; then<br />
<br />
if [ "$randMac" = "1" ]; then<br />
randMacAddr <br />
fi<br />
NetChange<br />
<br />
while [ "1" ]; do<br />
sleep $ConnCheckTimer<br />
NetStatus<br />
done<br />
<br />
else<br />
echo "Wrong arguments"<br />
fi<br />
</source> <br />
<br />
L'avvio con /etc/init.d ha qualche problema, e a volte scollega tutte le wifi ricollegandosi, ma tutto sommato funziona.<br />
<br />
=== Idee e cose da provare ===<br />
<br />
Non ne so molto di reti routing e firewall, arrivare a questo risultato è stato molto faticoso e frutto di notte insonni e continui insuccessi.<br />
<br />
Lo so, è fatto male e si poteva fare meglio ma non so come.<br />
<br />
Se qualcuno vuole contribuire e migliorare il progetto è benvenuto.<br />
<br />
<br />
<br />
Un problema è che le query DNS escono sempre dalla wan che non è sicura, bisognerebbe farle girare attraverso la vpn<br />
<br />
<br />
E' possibile accendere e spegnere il wifi con questo script (che avevo fatto partire con il connect della vpn), da testare<br />
<br />
<source lang=sh><br />
#!/bin/sh<br />
<br />
#secure<br />
uci set wireless.@wifi-iface[1].disabled='0'<br />
wifi<br />
#unsecure<br />
uci set wireless.@wifi-iface[0].disabled='1'<br />
wifi<br />
<br />
exit 0<br />
</source><br />
<br />
Sarebbe bello utilizzare la porta ethernet come wan per collegarsi via cavo. Impostando un indirizzo ip statico di management in caso di emergenza<br />
<br />
<br />
Di solito i router hanno 1-2 led. Farebbe comodo sapere dai led se la wan e la vpn sono collegate (lampeggio o accensione continua)<br />
<br />
[[Category:Progetti]]</div>Itechttps://www.raspibo.org/wiki/index.php?title=RoadWarrior&diff=4684RoadWarrior2015-11-05T21:44:26Z<p>Itec: /* Scopo */</p>
<hr />
<div>= Scopo =<br />
<br />
Il Road Warrior [http://en.wikipedia.org/wiki/Road_warrior_%28computing%29] è una persona che è spesso in viaggio, e fa largo uso del computer.<br />
<br />
Questo progetto nasce dall'esigenza di portarsi sempre con se la propria rete anche quando si è in viaggio.<br />
<br />
Avere sempre con sè una rete wifi sicura e che i nostri dispositivi conoscono ci evita di dover riconfigurarli ogni volta.<br />
<br />
In presenza di captive portal basta collegarsi da un solo dispositivo per dare connettività a tutti gli altri.<br />
<br />
E' presente anche una wireless sicura che dirotta tutto il traffico attraverso una VPN, in modo da nascondere il traffico sulla rete "ospite" e per accedere alla propria lan senza dover installare in client vpn su ogni dispositivo.<br />
<br />
Il sistema inoltre può essere reso modulare aggiungendo moduli che si connettono ad esempio in wifi, 3G o quello che preferiamo.<br />
<br />
Tutto questo puo' essere realizzato con un access point router di dimensioni compatte, facile da aggiungere al bagaglio, tipicamente il router ha piu' di una interfaccia di rete e magari una porta usb.<br />
<br />
Gli esperimenti descritti di seguito sono stati condotti su due modelli:<br />
* HooToo Trip Mate Nano [http://www.hootoo.com/hootoo-tripmate-nano-ht-tm02-wireless-portable-router.html] molto compatto con porta Ethernet, wifi, USB<br />
* AUKEY PB-W1, che è un router portatile con powerbank integrato, wifi, ethernet e usb.<br />
<br />
Il modello del router non e' fondamentale, e' importante che il router sia compatibile con OpenWRT e che abbia almeno 8MB di flash (necessaria per installare OpenVPN).<br />
[[File:RoadWarrior Aukey.jpg|400px]][[File:RoadWarrior HooToo.jpg|600px]]<br />
<br />
= Aggiornamento firmware sul router HooToo =<br />
<br />
In questo caso utilizziamo un piccolo access point portatile su cui installiamo il firmware openwrt, il modello non è importante, quello che conta è che il dispositivo sia compatibile con questo firmware.<br />
<br />
Di seguito la procedura per installare openwrt su HooToo, un access point a basso costo, con wifi interno, presa per la rete cablata, alimentato con usb, switch hardware.<br />
<br />
L'installazione del firmware è riportata sul wiki di openwrt: http://wiki.openwrt.org/toh/hootoo/tripmate-nano.<br />
<br />
Il dispositivo ha bisogno di una memoria usb esterna, ad esempio una chiavetta su cui appoggiare il file con il nuovo firmware.<br />
<br />
Per caricare openwrt, spostare lo switch sul router nella posizione "mondo", inserire una chiavetta di memoria usb nello slot.<br />
<br />
Collegarsi al router tramite wifi e sull'interfaccia web caricare il firmware openwrt.<br />
<br />
'''Attendere 5 minuti di orologio''' scollegare l'alimentazione e ricollegarla. <br />
<br />
A questo punto ci si può collegare al router con il cavo ethernet.<br />
<br />
D'ora in poi sara' possibile utilizzare i files con il firmware ufficiale openwrt.<br />
<br />
Riportiamo per comodita' il link dell'ultimo firmware per hootoo (al momento in cui viene editata la pagina): [https://downloads.openwrt.org/chaos_calmer/15.05/ramips/rt305x/openwrt-15.05-ramips-rt305x-ht-tm02-squashfs-sysupgrade.bin openwrt-15.05-ramips-rt305x-ht-tm02-squashfs-sysupgrade.bin]<br />
<br />
<br />
= Configurazione =<br />
<br />
- Inserire la parte di installazione di openwrt - <br />
<br />
<br />
=== Configurazione WiFi client ===<br />
Collegarsi al router all'indirizzo 192.168.1.1.<br />
<br />
Cambiare indirizzo ip della lan e applicare le modifiche, io ho usato 192.168.250.1. Fatto questo bisogna ricollegarsi al router al nuovo indirizzo.<br />
<br />
Accedere ad internet andando su Network - Wifi.<br />
<br />
Cercare una wifi conosciuta facendo scan sulla scheda di rete interna.<br />
<br />
Impostare la password di rete e salvare applicando le modifiche.<br />
<br />
=== Aggiornamento software e installazione pacchetti ===<br />
<br />
Collegarsi al router in ssh (ad esempio con il programma Putty).<br />
<br />
Installare i pacchetti dando i seguenti comandi:<br />
<source lang=sh><br />
opkg update<br />
opkg install nano<br />
opkg install luci-ssl<br />
</source><br />
<br />
Voglio usare sue schede wifi, quella integrata per esporre le mie reti, una esterna per collegarsi all'hotspot che fornisce connettività.<br />
<br />
Per il supporto periferiche usb ho dovuto installare i seguenti pacchetti:<br />
<source lang=sh><br />
opkg install kmod-usb-core kmod-usb-ohci kmod-usb2<br />
</source><br />
Per fargli riconoscere la mia scheda wifi "blueway"<br />
<source lang=sh><br />
opkg install kmod-rt2800-lib kmod-rt2800-usb kmod-rt2x00-lib kmod-rt2x00-usb<br />
</source><br />
<br />
Riavviare per permettere al router di individuare la scheda.<br />
Rientrando su Luci, andare su network - wifi e controllare se è apparsa la seconda interfaccia radio<br />
<br />
Cancellare le reti, utilizzare la seconda scheda di rete per collegarsi ad internet<br />
<br />
<br />
Andare su System - system e configurare il nome del dispositivo (che apparirà anche nel nome file quando si salva la configurazione). Se non avete idee suggerisco "RoadWarrior"<br />
<br />
Volendo cambiare i server ntp (ntp1.inrim.it,ntp2.inrim.it)<br />
<br />
=== Installare openvpn ===<br />
<source lang=sh><br />
opkg install openvpn-openssl<br />
</source><br />
Creare un'interfaccia '''slan''', con ip statico diverso dalla lan (es 192.168.251.1), interfaccia fisica slan, e con dhcp<br />
<br />
Creare un'interfaccia '''swan''', unmanaged, con interfaccia fisica tun0<br />
<br />
Per farlo vanno aggiunte queste righe su etc/config/network<br />
<source lang=sh><br />
config interface 'swan'<br />
option ifname 'tun0'<br />
option proto 'none'<br />
<br />
config interface 'slan'<br />
option proto 'static'<br />
option ipaddr '192.168.251.1'<br />
option netmask '255.255.255.0'<br />
option _orig_ifname 'lan0'<br />
option _orig_bridge 'false'<br />
option type 'bridge'<br />
option ifname 'slan'<br />
</source><br />
<br />
E queste su etc/config/dhcp<br />
<source lang=sh><br />
config dhcp 'slan'<br />
option start '100'<br />
option leasetime '12h'<br />
option limit '150'<br />
option interface 'slan'<br />
</source><br />
<br />
Controllare che il dhcp sia attivo sull'interfaccia slan<br />
<br />
Applicare le regole firewall inserendo queste righe su /etc/config/network<br />
<source lang=sh><br />
config zone<br />
option input 'ACCEPT'<br />
option output 'ACCEPT'<br />
option name 'slan'<br />
option network 'slan'<br />
option forward 'REJECT'<br />
<br />
config zone<br />
option forward 'REJECT'<br />
option output 'ACCEPT'<br />
option input 'REJECT'<br />
option masq '1'<br />
option mtu_fix '1'<br />
option network 'swan'<br />
option name 'swan'<br />
<br />
config rule<br />
option target 'ACCEPT'<br />
option family 'ipv4'<br />
option proto 'udp'<br />
option src 'slan'<br />
option name 'Secure DHCP'<br />
option dest_port '67-68'<br />
<br />
config rule<br />
option target 'ACCEPT'<br />
option src 'slan'<br />
option name 'Secure DNS'<br />
option dest_port '53'<br />
option family 'ipv4'<br />
<br />
config forwarding<br />
option dest 'swan'<br />
option src 'slan'<br />
</source><br />
<br />
Creare dentro a /etc/openvpn il file client.conf e aggiungere i certificati nella stessa cartella.<br />
<br />
Il mio è così:<br />
<source lang=sh><br />
client<br />
dev tun<br />
proto tcp<br />
<br />
remote [indirizzo] 443<br />
resolv-retry infinite<br />
#redirect-gateway def1<br />
route-nopull<br />
<br />
nobind<br />
<br />
persist-tun<br />
persist-key<br />
<br />
ca ca.crt<br />
cert roadwarrior.crt<br />
key roadwarrior.key<br />
remote-cert-tls server<br />
<br />
verb 1<br />
<br />
script-security 3<br />
route-delay 5<br />
route-up "/etc/openvpn/route-up.sh"<br />
keepalive 10 60<br />
</source><br />
<br />
E' importante la riga '''route-nopull''' perchè non deve ereditare la tabella di routing dal server<br />
<br />
Nella stessa cartella aggiungere anche il file '''route-up.sh''', dargli le autorizzazioni e inserire all'interno il seguente script:<br />
<br />
<source lang=sh><br />
#!/bin/sh<br />
<br />
# Checks to see if there is an IP routing table named 'vpn', create if missing<br />
if [ $(cat /etc/iproute2/rt_tables | grep vpn | wc -l) -eq 0 ]; then<br />
echo "100 vpn" >> /etc/iproute2/rt_tables<br />
fi<br />
<br />
echo "------------------------------------------------------------------"<br />
ip route show<br />
echo "------------------------------------------------------------------"<br />
<br />
# Remove any previous routes in the 'vpn' routing table<br />
ip rule | sed -n 's/.*\(from[ \t]*[0-9\.]*\).*vpn/\1/p' | while read RULE<br />
do<br />
echo "remove old rule: /bin/ip rule del ${RULE}"<br />
/bin/ip rule del ${RULE}<br />
done<br />
<br />
#echo ifconfig_remote: ${ifconfig_remote} dev: ${dev} > /tmp/antani<br />
<br />
# Add routes to the vpn routing table<br />
echo ip rule add from 192.168.251.0/24 lookup vpn prio 1000<br />
ip rule add from 192.168.251.0/24 lookup vpn prio 1000<br />
<br />
# Add the route to direct all traffic using the the vpn routing table to the tunX interface<br />
echo ip route add default via ${ifconfig_remote} dev ${dev} table vpn<br />
ip route add default via ${ifconfig_remote} dev ${dev} table vpn<br />
<br />
#add a route for the lan itself<br />
echo ip route add 192.168.251.0/24 dev br-slan table vpn<br />
ip route add 192.168.251.0/24 dev br-slan table vpn<br />
<br />
ip route flush cache<br />
<br />
exit 0<br />
</source><br />
<br />
In questo modo openvpn parte all'avvio e cerca di connettersi al server, una volta connessa crea una tabella di routing specifica per la slan (source routing)<br />
<br />
<br />
<br />
Creare 2 wlan sulla wifi integrata (radio0) bridgiate con lan e slan. Le ho chiamate rispettivamente '''unsecure''' e '''secure'''<br />
<br />
<br />
Teoricamente se tutto è configurato bene quando si è collegati alla lan (o la wifi unsecure) è possibile navigare in internet in maniera non sicura.<br />
<br />
Aprendo il sito http://whatismyipaddress.com/ o simili la connessione proviene dal provider dell'hotspot<br />
<br />
Quando si è collegati alla slan (quindi la wifi secure) è possibile collegarsi alla lan che ospita la vpn (la lan di casa mia), e l'indirizzo ip che appare è quello della lan remota.<br />
<br />
<br />
<br />
Per fare in modo che il router si colleghi ad una lista di wifi conosciute ho usato queste istruzioni<br />
<br />
https://forum.openwrt.org/viewtopic.php?id=43352<br />
<br />
Ho modificato il file wifiMgr.sh cambiando i nomi delle interfacce e aggiungendo alcune funzioni come segue:<br />
<br />
<source lang=sh><br />
#!/bin/sh<br />
. /etc/wifiMgr/config<br />
<br />
<br />
randMacAddr()<br />
{<br />
<br />
macaddr=$(dd if=/dev/urandom bs=1024 count=1 2>/dev/null|md5sum|sed 's/^\(..\)\(..\)\(..\)\(..\)\(..\)\(..\).*$/00:\2:\3:\4:\5:01/')<br />
uci set wireless.@wifi-iface[2].macaddr="$macaddr"<br />
uci commit wireless<br />
/etc/init.d/network restart<br />
<br />
}<br />
<br />
<br />
NetStatus()<br />
{<br />
logger WifiMgr: Checking network...<br />
net=$(ping 8.8.8.8 -c5 |grep "time=")<br />
if [ "$net" ]; then<br />
logger WifiMgr: Network OK<br />
#got ping response!<br />
return<br />
else<br />
logger WifiMgr: Network failed. Starting network change...<br />
NetChange<br />
fi<br />
}<br />
<br />
<br />
<br />
NetChange()<br />
{<br />
logger WifiMgr: Performing network scan...<br />
<br />
source /etc/wifiMgr/config<br />
<br />
scanres=<br />
ifconfig wlan1 down<br />
iw phy phy0 interface add scan0 type station<br />
ifconfig scan0 up<br />
<br />
while [ "$scanres" = "" ]; do<br />
#Sometimes it shows nothing, so better to ensure we did a correct scan<br />
scanres=$(iw scan0 scan|grep SSID)<br />
done<br />
<br />
iw dev scan0 del<br />
ifconfig wlan1 up<br />
killall -HUP hostapd<br />
logger WifiMgr: WifiMgr: Searching available networks...<br />
<br />
if [ "$1" ]; then<br />
ssid=net"$1"_ssid<br />
eval ssid=\$$ssid<br />
echo Trying to connect to network "$1"": $ssid"<br />
n=$(expr "$1" - "1")<br />
else<br />
n=0<br />
fi<br />
<br />
while [ "1" ]; do<br />
n=$(expr "$n" + "1")<br />
<br />
if [ "$n" = "99" ]; then<br />
#too much counts. Crazy wireless count, breaking loop!<br />
break<br />
fi<br />
<br />
ssid=net"$n"_ssid<br />
encrypt=net"$n"_encrypt<br />
key=net"$n"_key<br />
<br />
eval ssid=\$$ssid<br />
eval encrypt=\$$encrypt<br />
eval key=\$$key<br />
<br />
if [ "$ssid" = "" ]; then<br />
#ssid not existing or empty. Assume it's the end of the wlist file<br />
break<br />
fi<br />
echo SSID: $ssid<br />
#echo KEY: $key<br />
#echo SEGURIDAD: $encrypt<br />
<br />
<br />
active=$(echo $scanres | grep " $ssid ">&1 )<br />
if [ "$active" ]; then<br />
if [ "$1" ]; then<br />
echo Network found. Connecting...<br />
fi<br />
logger WifiMgr: "$ssid" network found. Applying settings..<br />
uci set wireless.@wifi-iface[2].ssid="$ssid"<br />
uci set wireless.@wifi-iface[2].encryption="$encrypt"<br />
uci set wireless.@wifi-iface[2].key="$key"<br />
uci set wireless.@wifi-iface[2].bssid=""<br />
uci commit wireless<br />
/etc/init.d/network restart<br />
<br />
#wait some seconds for everything to connect and configure<br />
sleep $NewConnCheckTimer<br />
logger WifiMgr: Checking connectivity...<br />
<br />
#check for internet connection, 5 ping sends<br />
net=$(ping google.es -c5 |grep "time=")<br />
if [ "$net" ]; then<br />
#got ping response!<br />
logger WifiMgr: Internet working! Searching ended<br />
if [ "$1" ]; then<br />
echo Sucess!<br />
fi<br />
break<br />
fi<br />
if [ "$1" ]; then<br />
echo Connection failed!<br />
break<br />
fi<br />
logger WifiMgr: Failed! Searching next available network...<br />
fi<br />
done<br />
}<br />
<br />
if [ "$1" = "" ]; then<br />
echo "No arguments supplied"<br />
<br />
elif [ "$1" = "--force" ]; then<br />
NetChange $2<br />
<br />
elif [ "$1" = "--daemon" ]; then<br />
<br />
if [ "$randMac" = "1" ]; then<br />
randMacAddr <br />
fi<br />
NetChange<br />
<br />
while [ "1" ]; do<br />
sleep $ConnCheckTimer<br />
NetStatus<br />
done<br />
<br />
else<br />
echo "Wrong arguments"<br />
fi<br />
</source> <br />
<br />
L'avvio con /etc/init.d ha qualche problema, e a volte scollega tutte le wifi ricollegandosi, ma tutto sommato funziona.<br />
<br />
=== Idee e cose da provare ===<br />
<br />
Non ne so molto di reti routing e firewall, arrivare a questo risultato è stato molto faticoso e frutto di notte insonni e continui insuccessi.<br />
<br />
Lo so, è fatto male e si poteva fare meglio ma non so come.<br />
<br />
Se qualcuno vuole contribuire e migliorare il progetto è benvenuto.<br />
<br />
<br />
<br />
Un problema è che le query DNS escono sempre dalla wan che non è sicura, bisognerebbe farle girare attraverso la vpn<br />
<br />
<br />
E' possibile accendere e spegnere il wifi con questo script (che avevo fatto partire con il connect della vpn), da testare<br />
<br />
<source lang=sh><br />
#!/bin/sh<br />
<br />
#secure<br />
uci set wireless.@wifi-iface[1].disabled='0'<br />
wifi<br />
#unsecure<br />
uci set wireless.@wifi-iface[0].disabled='1'<br />
wifi<br />
<br />
exit 0<br />
</source><br />
<br />
Sarebbe bello utilizzare la porta ethernet come wan per collegarsi via cavo. Impostando un indirizzo ip statico di management in caso di emergenza<br />
<br />
<br />
Di solito i router hanno 1-2 led. Farebbe comodo sapere dai led se la wan e la vpn sono collegate (lampeggio o accensione continua)<br />
<br />
[[Category:Progetti]]</div>Itechttps://www.raspibo.org/wiki/index.php?title=File:RoadWarrior_HooToo.jpg&diff=4683File:RoadWarrior HooToo.jpg2015-11-05T21:43:25Z<p>Itec: </p>
<hr />
<div></div>Itechttps://www.raspibo.org/wiki/index.php?title=File:RoadWarrior_Aukey.jpg&diff=4682File:RoadWarrior Aukey.jpg2015-11-05T21:40:34Z<p>Itec: </p>
<hr />
<div></div>Itechttps://www.raspibo.org/wiki/index.php?title=RoadWarrior&diff=4681RoadWarrior2015-11-05T19:48:51Z<p>Itec: /* Aggiornamento software e installazione pacchetti */</p>
<hr />
<div>= Scopo =<br />
<br />
Il Road Warrior [http://en.wikipedia.org/wiki/Road_warrior_%28computing%29] è una persona che è spesso in viaggio, e fa largo uso del computer.<br />
<br />
Questo progetto nasce dall'esigenza di portarsi sempre con se la propria rete anche quando si è in viaggio.<br />
<br />
Avere sempre con sè una rete wifi sicura e che i nostri dispositivi conoscono ci evita di dover riconfigurarli ogni volta.<br />
<br />
In presenza di captive portal basta collegarsi da un solo dispositivo per dare connettività a tutti gli altri.<br />
<br />
E' presente anche una wireless sicura che dirotta tutto il traffico attraverso una VPN, in modo da nascondere il traffico sulla rete "ospite" e per accedere alla propria lan senza dover installare in client vpn su ogni dispositivo.<br />
<br />
Il sistema inoltre può essere reso modulare aggiungendo moduli che si connettono ad esempio in wifi, 3G o quello che preferiamo.<br />
<br />
Tutto questo puo' essere realizzato con un access point router di dimensioni compatte, facile da aggiungere al bagaglio, tipicamente il router ha piu' di una interfaccia di rete e magari una porta usb.<br />
<br />
Gli esperimenti descritti di seguito sono stati condotti su due modelli:<br />
* HooToo Trip Mate Nano [http://www.hootoo.com/hootoo-tripmate-nano-ht-tm02-wireless-portable-router.html] molto compatto con porta Ethernet, wifi, USB<br />
* AUKEY PB-W1, che è un router portatile con powerbank integrato, wifi, ethernet e usb.<br />
<br />
Il modello del router non e' fondamentale, e' importante che il router sia compatibile con OpenWRT e che abbia almeno 8MB di flash (necessaria per installare OpenVPN).<br />
<br />
= Aggiornamento firmware sul router HooToo =<br />
<br />
In questo caso utilizziamo un piccolo access point portatile su cui installiamo il firmware openwrt, il modello non è importante, quello che conta è che il dispositivo sia compatibile con questo firmware.<br />
<br />
Di seguito la procedura per installare openwrt su HooToo, un access point a basso costo, con wifi interno, presa per la rete cablata, alimentato con usb, switch hardware.<br />
<br />
L'installazione del firmware è riportata sul wiki di openwrt: http://wiki.openwrt.org/toh/hootoo/tripmate-nano.<br />
<br />
Il dispositivo ha bisogno di una memoria usb esterna, ad esempio una chiavetta su cui appoggiare il file con il nuovo firmware.<br />
<br />
Per caricare openwrt, spostare lo switch sul router nella posizione "mondo", inserire una chiavetta di memoria usb nello slot.<br />
<br />
Collegarsi al router tramite wifi e sull'interfaccia web caricare il firmware openwrt.<br />
<br />
'''Attendere 5 minuti di orologio''' scollegare l'alimentazione e ricollegarla. <br />
<br />
A questo punto ci si può collegare al router con il cavo ethernet.<br />
<br />
D'ora in poi sara' possibile utilizzare i files con il firmware ufficiale openwrt.<br />
<br />
Riportiamo per comodita' il link dell'ultimo firmware per hootoo (al momento in cui viene editata la pagina): [https://downloads.openwrt.org/chaos_calmer/15.05/ramips/rt305x/openwrt-15.05-ramips-rt305x-ht-tm02-squashfs-sysupgrade.bin openwrt-15.05-ramips-rt305x-ht-tm02-squashfs-sysupgrade.bin]<br />
<br />
<br />
= Configurazione =<br />
<br />
- Inserire la parte di installazione di openwrt - <br />
<br />
<br />
=== Configurazione WiFi client ===<br />
Collegarsi al router all'indirizzo 192.168.1.1.<br />
<br />
Cambiare indirizzo ip della lan e applicare le modifiche, io ho usato 192.168.250.1. Fatto questo bisogna ricollegarsi al router al nuovo indirizzo.<br />
<br />
Accedere ad internet andando su Network - Wifi.<br />
<br />
Cercare una wifi conosciuta facendo scan sulla scheda di rete interna.<br />
<br />
Impostare la password di rete e salvare applicando le modifiche.<br />
<br />
=== Aggiornamento software e installazione pacchetti ===<br />
<br />
Collegarsi al router in ssh (ad esempio con il programma Putty).<br />
<br />
Installare i pacchetti dando i seguenti comandi:<br />
<source lang=sh><br />
opkg update<br />
opkg install nano<br />
opkg install luci-ssl<br />
</source><br />
<br />
Voglio usare sue schede wifi, quella integrata per esporre le mie reti, una esterna per collegarsi all'hotspot che fornisce connettività.<br />
<br />
Per il supporto periferiche usb ho dovuto installare i seguenti pacchetti:<br />
<source lang=sh><br />
opkg install kmod-usb-core kmod-usb-ohci kmod-usb2<br />
</source><br />
Per fargli riconoscere la mia scheda wifi "blueway"<br />
<source lang=sh><br />
opkg install kmod-rt2800-lib kmod-rt2800-usb kmod-rt2x00-lib kmod-rt2x00-usb<br />
</source><br />
<br />
Riavviare per permettere al router di individuare la scheda.<br />
Rientrando su Luci, andare su network - wifi e controllare se è apparsa la seconda interfaccia radio<br />
<br />
Cancellare le reti, utilizzare la seconda scheda di rete per collegarsi ad internet<br />
<br />
<br />
Andare su System - system e configurare il nome del dispositivo (che apparirà anche nel nome file quando si salva la configurazione). Se non avete idee suggerisco "RoadWarrior"<br />
<br />
Volendo cambiare i server ntp (ntp1.inrim.it,ntp2.inrim.it)<br />
<br />
=== Installare openvpn ===<br />
<source lang=sh><br />
opkg install openvpn-openssl<br />
</source><br />
Creare un'interfaccia '''slan''', con ip statico diverso dalla lan (es 192.168.251.1), interfaccia fisica slan, e con dhcp<br />
<br />
Creare un'interfaccia '''swan''', unmanaged, con interfaccia fisica tun0<br />
<br />
Per farlo vanno aggiunte queste righe su etc/config/network<br />
<source lang=sh><br />
config interface 'swan'<br />
option ifname 'tun0'<br />
option proto 'none'<br />
<br />
config interface 'slan'<br />
option proto 'static'<br />
option ipaddr '192.168.251.1'<br />
option netmask '255.255.255.0'<br />
option _orig_ifname 'lan0'<br />
option _orig_bridge 'false'<br />
option type 'bridge'<br />
option ifname 'slan'<br />
</source><br />
<br />
E queste su etc/config/dhcp<br />
<source lang=sh><br />
config dhcp 'slan'<br />
option start '100'<br />
option leasetime '12h'<br />
option limit '150'<br />
option interface 'slan'<br />
</source><br />
<br />
Controllare che il dhcp sia attivo sull'interfaccia slan<br />
<br />
Applicare le regole firewall inserendo queste righe su /etc/config/network<br />
<source lang=sh><br />
config zone<br />
option input 'ACCEPT'<br />
option output 'ACCEPT'<br />
option name 'slan'<br />
option network 'slan'<br />
option forward 'REJECT'<br />
<br />
config zone<br />
option forward 'REJECT'<br />
option output 'ACCEPT'<br />
option input 'REJECT'<br />
option masq '1'<br />
option mtu_fix '1'<br />
option network 'swan'<br />
option name 'swan'<br />
<br />
config rule<br />
option target 'ACCEPT'<br />
option family 'ipv4'<br />
option proto 'udp'<br />
option src 'slan'<br />
option name 'Secure DHCP'<br />
option dest_port '67-68'<br />
<br />
config rule<br />
option target 'ACCEPT'<br />
option src 'slan'<br />
option name 'Secure DNS'<br />
option dest_port '53'<br />
option family 'ipv4'<br />
<br />
config forwarding<br />
option dest 'swan'<br />
option src 'slan'<br />
</source><br />
<br />
Creare dentro a /etc/openvpn il file client.conf e aggiungere i certificati nella stessa cartella.<br />
<br />
Il mio è così:<br />
<source lang=sh><br />
client<br />
dev tun<br />
proto tcp<br />
<br />
remote [indirizzo] 443<br />
resolv-retry infinite<br />
#redirect-gateway def1<br />
route-nopull<br />
<br />
nobind<br />
<br />
persist-tun<br />
persist-key<br />
<br />
ca ca.crt<br />
cert roadwarrior.crt<br />
key roadwarrior.key<br />
remote-cert-tls server<br />
<br />
verb 1<br />
<br />
script-security 3<br />
route-delay 5<br />
route-up "/etc/openvpn/route-up.sh"<br />
keepalive 10 60<br />
</source><br />
<br />
E' importante la riga '''route-nopull''' perchè non deve ereditare la tabella di routing dal server<br />
<br />
Nella stessa cartella aggiungere anche il file '''route-up.sh''', dargli le autorizzazioni e inserire all'interno il seguente script:<br />
<br />
<source lang=sh><br />
#!/bin/sh<br />
<br />
# Checks to see if there is an IP routing table named 'vpn', create if missing<br />
if [ $(cat /etc/iproute2/rt_tables | grep vpn | wc -l) -eq 0 ]; then<br />
echo "100 vpn" >> /etc/iproute2/rt_tables<br />
fi<br />
<br />
echo "------------------------------------------------------------------"<br />
ip route show<br />
echo "------------------------------------------------------------------"<br />
<br />
# Remove any previous routes in the 'vpn' routing table<br />
ip rule | sed -n 's/.*\(from[ \t]*[0-9\.]*\).*vpn/\1/p' | while read RULE<br />
do<br />
echo "remove old rule: /bin/ip rule del ${RULE}"<br />
/bin/ip rule del ${RULE}<br />
done<br />
<br />
#echo ifconfig_remote: ${ifconfig_remote} dev: ${dev} > /tmp/antani<br />
<br />
# Add routes to the vpn routing table<br />
echo ip rule add from 192.168.251.0/24 lookup vpn prio 1000<br />
ip rule add from 192.168.251.0/24 lookup vpn prio 1000<br />
<br />
# Add the route to direct all traffic using the the vpn routing table to the tunX interface<br />
echo ip route add default via ${ifconfig_remote} dev ${dev} table vpn<br />
ip route add default via ${ifconfig_remote} dev ${dev} table vpn<br />
<br />
#add a route for the lan itself<br />
echo ip route add 192.168.251.0/24 dev br-slan table vpn<br />
ip route add 192.168.251.0/24 dev br-slan table vpn<br />
<br />
ip route flush cache<br />
<br />
exit 0<br />
</source><br />
<br />
In questo modo openvpn parte all'avvio e cerca di connettersi al server, una volta connessa crea una tabella di routing specifica per la slan (source routing)<br />
<br />
<br />
<br />
Creare 2 wlan sulla wifi integrata (radio0) bridgiate con lan e slan. Le ho chiamate rispettivamente '''unsecure''' e '''secure'''<br />
<br />
<br />
Teoricamente se tutto è configurato bene quando si è collegati alla lan (o la wifi unsecure) è possibile navigare in internet in maniera non sicura.<br />
<br />
Aprendo il sito http://whatismyipaddress.com/ o simili la connessione proviene dal provider dell'hotspot<br />
<br />
Quando si è collegati alla slan (quindi la wifi secure) è possibile collegarsi alla lan che ospita la vpn (la lan di casa mia), e l'indirizzo ip che appare è quello della lan remota.<br />
<br />
<br />
<br />
Per fare in modo che il router si colleghi ad una lista di wifi conosciute ho usato queste istruzioni<br />
<br />
https://forum.openwrt.org/viewtopic.php?id=43352<br />
<br />
Ho modificato il file wifiMgr.sh cambiando i nomi delle interfacce e aggiungendo alcune funzioni come segue:<br />
<br />
<source lang=sh><br />
#!/bin/sh<br />
. /etc/wifiMgr/config<br />
<br />
<br />
randMacAddr()<br />
{<br />
<br />
macaddr=$(dd if=/dev/urandom bs=1024 count=1 2>/dev/null|md5sum|sed 's/^\(..\)\(..\)\(..\)\(..\)\(..\)\(..\).*$/00:\2:\3:\4:\5:01/')<br />
uci set wireless.@wifi-iface[2].macaddr="$macaddr"<br />
uci commit wireless<br />
/etc/init.d/network restart<br />
<br />
}<br />
<br />
<br />
NetStatus()<br />
{<br />
logger WifiMgr: Checking network...<br />
net=$(ping 8.8.8.8 -c5 |grep "time=")<br />
if [ "$net" ]; then<br />
logger WifiMgr: Network OK<br />
#got ping response!<br />
return<br />
else<br />
logger WifiMgr: Network failed. Starting network change...<br />
NetChange<br />
fi<br />
}<br />
<br />
<br />
<br />
NetChange()<br />
{<br />
logger WifiMgr: Performing network scan...<br />
<br />
source /etc/wifiMgr/config<br />
<br />
scanres=<br />
ifconfig wlan1 down<br />
iw phy phy0 interface add scan0 type station<br />
ifconfig scan0 up<br />
<br />
while [ "$scanres" = "" ]; do<br />
#Sometimes it shows nothing, so better to ensure we did a correct scan<br />
scanres=$(iw scan0 scan|grep SSID)<br />
done<br />
<br />
iw dev scan0 del<br />
ifconfig wlan1 up<br />
killall -HUP hostapd<br />
logger WifiMgr: WifiMgr: Searching available networks...<br />
<br />
if [ "$1" ]; then<br />
ssid=net"$1"_ssid<br />
eval ssid=\$$ssid<br />
echo Trying to connect to network "$1"": $ssid"<br />
n=$(expr "$1" - "1")<br />
else<br />
n=0<br />
fi<br />
<br />
while [ "1" ]; do<br />
n=$(expr "$n" + "1")<br />
<br />
if [ "$n" = "99" ]; then<br />
#too much counts. Crazy wireless count, breaking loop!<br />
break<br />
fi<br />
<br />
ssid=net"$n"_ssid<br />
encrypt=net"$n"_encrypt<br />
key=net"$n"_key<br />
<br />
eval ssid=\$$ssid<br />
eval encrypt=\$$encrypt<br />
eval key=\$$key<br />
<br />
if [ "$ssid" = "" ]; then<br />
#ssid not existing or empty. Assume it's the end of the wlist file<br />
break<br />
fi<br />
echo SSID: $ssid<br />
#echo KEY: $key<br />
#echo SEGURIDAD: $encrypt<br />
<br />
<br />
active=$(echo $scanres | grep " $ssid ">&1 )<br />
if [ "$active" ]; then<br />
if [ "$1" ]; then<br />
echo Network found. Connecting...<br />
fi<br />
logger WifiMgr: "$ssid" network found. Applying settings..<br />
uci set wireless.@wifi-iface[2].ssid="$ssid"<br />
uci set wireless.@wifi-iface[2].encryption="$encrypt"<br />
uci set wireless.@wifi-iface[2].key="$key"<br />
uci set wireless.@wifi-iface[2].bssid=""<br />
uci commit wireless<br />
/etc/init.d/network restart<br />
<br />
#wait some seconds for everything to connect and configure<br />
sleep $NewConnCheckTimer<br />
logger WifiMgr: Checking connectivity...<br />
<br />
#check for internet connection, 5 ping sends<br />
net=$(ping google.es -c5 |grep "time=")<br />
if [ "$net" ]; then<br />
#got ping response!<br />
logger WifiMgr: Internet working! Searching ended<br />
if [ "$1" ]; then<br />
echo Sucess!<br />
fi<br />
break<br />
fi<br />
if [ "$1" ]; then<br />
echo Connection failed!<br />
break<br />
fi<br />
logger WifiMgr: Failed! Searching next available network...<br />
fi<br />
done<br />
}<br />
<br />
if [ "$1" = "" ]; then<br />
echo "No arguments supplied"<br />
<br />
elif [ "$1" = "--force" ]; then<br />
NetChange $2<br />
<br />
elif [ "$1" = "--daemon" ]; then<br />
<br />
if [ "$randMac" = "1" ]; then<br />
randMacAddr <br />
fi<br />
NetChange<br />
<br />
while [ "1" ]; do<br />
sleep $ConnCheckTimer<br />
NetStatus<br />
done<br />
<br />
else<br />
echo "Wrong arguments"<br />
fi<br />
</source> <br />
<br />
L'avvio con /etc/init.d ha qualche problema, e a volte scollega tutte le wifi ricollegandosi, ma tutto sommato funziona.<br />
<br />
=== Idee e cose da provare ===<br />
<br />
Non ne so molto di reti routing e firewall, arrivare a questo risultato è stato molto faticoso e frutto di notte insonni e continui insuccessi.<br />
<br />
Lo so, è fatto male e si poteva fare meglio ma non so come.<br />
<br />
Se qualcuno vuole contribuire e migliorare il progetto è benvenuto.<br />
<br />
<br />
<br />
Un problema è che le query DNS escono sempre dalla wan che non è sicura, bisognerebbe farle girare attraverso la vpn<br />
<br />
<br />
E' possibile accendere e spegnere il wifi con questo script (che avevo fatto partire con il connect della vpn), da testare<br />
<br />
<source lang=sh><br />
#!/bin/sh<br />
<br />
#secure<br />
uci set wireless.@wifi-iface[1].disabled='0'<br />
wifi<br />
#unsecure<br />
uci set wireless.@wifi-iface[0].disabled='1'<br />
wifi<br />
<br />
exit 0<br />
</source><br />
<br />
Sarebbe bello utilizzare la porta ethernet come wan per collegarsi via cavo. Impostando un indirizzo ip statico di management in caso di emergenza<br />
<br />
<br />
Di solito i router hanno 1-2 led. Farebbe comodo sapere dai led se la wan e la vpn sono collegate (lampeggio o accensione continua)<br />
<br />
[[Category:Progetti]]</div>Itechttps://www.raspibo.org/wiki/index.php?title=RoadWarrior&diff=4680RoadWarrior2015-11-05T19:47:02Z<p>Itec: /* Scopo */</p>
<hr />
<div>= Scopo =<br />
<br />
Il Road Warrior [http://en.wikipedia.org/wiki/Road_warrior_%28computing%29] è una persona che è spesso in viaggio, e fa largo uso del computer.<br />
<br />
Questo progetto nasce dall'esigenza di portarsi sempre con se la propria rete anche quando si è in viaggio.<br />
<br />
Avere sempre con sè una rete wifi sicura e che i nostri dispositivi conoscono ci evita di dover riconfigurarli ogni volta.<br />
<br />
In presenza di captive portal basta collegarsi da un solo dispositivo per dare connettività a tutti gli altri.<br />
<br />
E' presente anche una wireless sicura che dirotta tutto il traffico attraverso una VPN, in modo da nascondere il traffico sulla rete "ospite" e per accedere alla propria lan senza dover installare in client vpn su ogni dispositivo.<br />
<br />
Il sistema inoltre può essere reso modulare aggiungendo moduli che si connettono ad esempio in wifi, 3G o quello che preferiamo.<br />
<br />
Tutto questo puo' essere realizzato con un access point router di dimensioni compatte, facile da aggiungere al bagaglio, tipicamente il router ha piu' di una interfaccia di rete e magari una porta usb.<br />
<br />
Gli esperimenti descritti di seguito sono stati condotti su due modelli:<br />
* HooToo Trip Mate Nano [http://www.hootoo.com/hootoo-tripmate-nano-ht-tm02-wireless-portable-router.html] molto compatto con porta Ethernet, wifi, USB<br />
* AUKEY PB-W1, che è un router portatile con powerbank integrato, wifi, ethernet e usb.<br />
<br />
Il modello del router non e' fondamentale, e' importante che il router sia compatibile con OpenWRT e che abbia almeno 8MB di flash (necessaria per installare OpenVPN).<br />
<br />
= Aggiornamento firmware sul router HooToo =<br />
<br />
In questo caso utilizziamo un piccolo access point portatile su cui installiamo il firmware openwrt, il modello non è importante, quello che conta è che il dispositivo sia compatibile con questo firmware.<br />
<br />
Di seguito la procedura per installare openwrt su HooToo, un access point a basso costo, con wifi interno, presa per la rete cablata, alimentato con usb, switch hardware.<br />
<br />
L'installazione del firmware è riportata sul wiki di openwrt: http://wiki.openwrt.org/toh/hootoo/tripmate-nano.<br />
<br />
Il dispositivo ha bisogno di una memoria usb esterna, ad esempio una chiavetta su cui appoggiare il file con il nuovo firmware.<br />
<br />
Per caricare openwrt, spostare lo switch sul router nella posizione "mondo", inserire una chiavetta di memoria usb nello slot.<br />
<br />
Collegarsi al router tramite wifi e sull'interfaccia web caricare il firmware openwrt.<br />
<br />
'''Attendere 5 minuti di orologio''' scollegare l'alimentazione e ricollegarla. <br />
<br />
A questo punto ci si può collegare al router con il cavo ethernet.<br />
<br />
D'ora in poi sara' possibile utilizzare i files con il firmware ufficiale openwrt.<br />
<br />
Riportiamo per comodita' il link dell'ultimo firmware per hootoo (al momento in cui viene editata la pagina): [https://downloads.openwrt.org/chaos_calmer/15.05/ramips/rt305x/openwrt-15.05-ramips-rt305x-ht-tm02-squashfs-sysupgrade.bin openwrt-15.05-ramips-rt305x-ht-tm02-squashfs-sysupgrade.bin]<br />
<br />
<br />
= Configurazione =<br />
<br />
- Inserire la parte di installazione di openwrt - <br />
<br />
<br />
=== Configurazione WiFi client ===<br />
Collegarsi al router all'indirizzo 192.168.1.1.<br />
<br />
Cambiare indirizzo ip della lan e applicare le modifiche, io ho usato 192.168.250.1. Fatto questo bisogna ricollegarsi al router al nuovo indirizzo.<br />
<br />
Accedere ad internet andando su Network - Wifi.<br />
<br />
Cercare una wifi conosciuta facendo scan sulla scheda di rete interna.<br />
<br />
Impostare la password di rete e salvare applicando le modifiche.<br />
<br />
=== Aggiornamento software e installazione pacchetti ===<br />
<br />
Collegarsi al router in ssh (ad esempio con il programma Putty).<br />
<br />
Installare i pacchetti dando i seguenti comandi:<br />
<source lang=sh><br />
opkg update<br />
opkg install nano<br />
opkg install luci-ssl<br />
</source><br />
<br />
Voglio usare sue schede wifi, quella integrata per esporre le mie reti, una esterna per collegarsi all'hotspot che fornisce connettività.<br />
<br />
Per il supporto periferiche usb ho dovuto installare i seguenti pacchetti:<br />
<source lang=sh><br />
opkg install kmod-usb-core kmod-usb-ohci kmod-usb2<br />
</source><br />
Per fargli riconoscere la mia scheda wifi "blueway"<br />
<source lang=sh><br />
opkg install kmod-rt2800-lib kmod-rt2800-usb kmod-rt2x00-lib kmod-rt2x00-usb<br />
</source><br />
<br />
Riavviare per permettere al router di individuare la scheda.<br />
Rientrando su Luci, andare su network - wifi e controllare se è apparsa la seconda interfaccia radio<br />
<br />
Cancellare le reti, utilizzare la seconda scheda di rete per collegarsi ad internet<br />
<br />
<br />
Andare su System - system e configurare il nome del dispositivo (che apparirà anche nel nome file quando si salva la configurazione)<br />
<br />
Volendo cambiare i server ntp (ntp1.inrim.it,ntp2.inrim.it)<br />
<br />
<br />
=== Installare openvpn ===<br />
<source lang=sh><br />
opkg install openvpn-openssl<br />
</source><br />
Creare un'interfaccia '''slan''', con ip statico diverso dalla lan (es 192.168.251.1), interfaccia fisica slan, e con dhcp<br />
<br />
Creare un'interfaccia '''swan''', unmanaged, con interfaccia fisica tun0<br />
<br />
Per farlo vanno aggiunte queste righe su etc/config/network<br />
<source lang=sh><br />
config interface 'swan'<br />
option ifname 'tun0'<br />
option proto 'none'<br />
<br />
config interface 'slan'<br />
option proto 'static'<br />
option ipaddr '192.168.251.1'<br />
option netmask '255.255.255.0'<br />
option _orig_ifname 'lan0'<br />
option _orig_bridge 'false'<br />
option type 'bridge'<br />
option ifname 'slan'<br />
</source><br />
<br />
E queste su etc/config/dhcp<br />
<source lang=sh><br />
config dhcp 'slan'<br />
option start '100'<br />
option leasetime '12h'<br />
option limit '150'<br />
option interface 'slan'<br />
</source><br />
<br />
Controllare che il dhcp sia attivo sull'interfaccia slan<br />
<br />
Applicare le regole firewall inserendo queste righe su /etc/config/network<br />
<source lang=sh><br />
config zone<br />
option input 'ACCEPT'<br />
option output 'ACCEPT'<br />
option name 'slan'<br />
option network 'slan'<br />
option forward 'REJECT'<br />
<br />
config zone<br />
option forward 'REJECT'<br />
option output 'ACCEPT'<br />
option input 'REJECT'<br />
option masq '1'<br />
option mtu_fix '1'<br />
option network 'swan'<br />
option name 'swan'<br />
<br />
config rule<br />
option target 'ACCEPT'<br />
option family 'ipv4'<br />
option proto 'udp'<br />
option src 'slan'<br />
option name 'Secure DHCP'<br />
option dest_port '67-68'<br />
<br />
config rule<br />
option target 'ACCEPT'<br />
option src 'slan'<br />
option name 'Secure DNS'<br />
option dest_port '53'<br />
option family 'ipv4'<br />
<br />
config forwarding<br />
option dest 'swan'<br />
option src 'slan'<br />
</source><br />
<br />
Creare dentro a /etc/openvpn il file client.conf e aggiungere i certificati nella stessa cartella.<br />
<br />
Il mio è così:<br />
<source lang=sh><br />
client<br />
dev tun<br />
proto tcp<br />
<br />
remote [indirizzo] 443<br />
resolv-retry infinite<br />
#redirect-gateway def1<br />
route-nopull<br />
<br />
nobind<br />
<br />
persist-tun<br />
persist-key<br />
<br />
ca ca.crt<br />
cert roadwarrior.crt<br />
key roadwarrior.key<br />
remote-cert-tls server<br />
<br />
verb 1<br />
<br />
script-security 3<br />
route-delay 5<br />
route-up "/etc/openvpn/route-up.sh"<br />
keepalive 10 60<br />
</source><br />
<br />
E' importante la riga '''route-nopull''' perchè non deve ereditare la tabella di routing dal server<br />
<br />
Nella stessa cartella aggiungere anche il file '''route-up.sh''', dargli le autorizzazioni e inserire all'interno il seguente script:<br />
<br />
<source lang=sh><br />
#!/bin/sh<br />
<br />
# Checks to see if there is an IP routing table named 'vpn', create if missing<br />
if [ $(cat /etc/iproute2/rt_tables | grep vpn | wc -l) -eq 0 ]; then<br />
echo "100 vpn" >> /etc/iproute2/rt_tables<br />
fi<br />
<br />
echo "------------------------------------------------------------------"<br />
ip route show<br />
echo "------------------------------------------------------------------"<br />
<br />
# Remove any previous routes in the 'vpn' routing table<br />
ip rule | sed -n 's/.*\(from[ \t]*[0-9\.]*\).*vpn/\1/p' | while read RULE<br />
do<br />
echo "remove old rule: /bin/ip rule del ${RULE}"<br />
/bin/ip rule del ${RULE}<br />
done<br />
<br />
#echo ifconfig_remote: ${ifconfig_remote} dev: ${dev} > /tmp/antani<br />
<br />
# Add routes to the vpn routing table<br />
echo ip rule add from 192.168.251.0/24 lookup vpn prio 1000<br />
ip rule add from 192.168.251.0/24 lookup vpn prio 1000<br />
<br />
# Add the route to direct all traffic using the the vpn routing table to the tunX interface<br />
echo ip route add default via ${ifconfig_remote} dev ${dev} table vpn<br />
ip route add default via ${ifconfig_remote} dev ${dev} table vpn<br />
<br />
#add a route for the lan itself<br />
echo ip route add 192.168.251.0/24 dev br-slan table vpn<br />
ip route add 192.168.251.0/24 dev br-slan table vpn<br />
<br />
ip route flush cache<br />
<br />
exit 0<br />
</source><br />
<br />
In questo modo openvpn parte all'avvio e cerca di connettersi al server, una volta connessa crea una tabella di routing specifica per la slan (source routing)<br />
<br />
<br />
<br />
Creare 2 wlan sulla wifi integrata (radio0) bridgiate con lan e slan. Le ho chiamate rispettivamente '''unsecure''' e '''secure'''<br />
<br />
<br />
Teoricamente se tutto è configurato bene quando si è collegati alla lan (o la wifi unsecure) è possibile navigare in internet in maniera non sicura.<br />
<br />
Aprendo il sito http://whatismyipaddress.com/ o simili la connessione proviene dal provider dell'hotspot<br />
<br />
Quando si è collegati alla slan (quindi la wifi secure) è possibile collegarsi alla lan che ospita la vpn (la lan di casa mia), e l'indirizzo ip che appare è quello della lan remota.<br />
<br />
<br />
<br />
Per fare in modo che il router si colleghi ad una lista di wifi conosciute ho usato queste istruzioni<br />
<br />
https://forum.openwrt.org/viewtopic.php?id=43352<br />
<br />
Ho modificato il file wifiMgr.sh cambiando i nomi delle interfacce e aggiungendo alcune funzioni come segue:<br />
<br />
<source lang=sh><br />
#!/bin/sh<br />
. /etc/wifiMgr/config<br />
<br />
<br />
randMacAddr()<br />
{<br />
<br />
macaddr=$(dd if=/dev/urandom bs=1024 count=1 2>/dev/null|md5sum|sed 's/^\(..\)\(..\)\(..\)\(..\)\(..\)\(..\).*$/00:\2:\3:\4:\5:01/')<br />
uci set wireless.@wifi-iface[2].macaddr="$macaddr"<br />
uci commit wireless<br />
/etc/init.d/network restart<br />
<br />
}<br />
<br />
<br />
NetStatus()<br />
{<br />
logger WifiMgr: Checking network...<br />
net=$(ping 8.8.8.8 -c5 |grep "time=")<br />
if [ "$net" ]; then<br />
logger WifiMgr: Network OK<br />
#got ping response!<br />
return<br />
else<br />
logger WifiMgr: Network failed. Starting network change...<br />
NetChange<br />
fi<br />
}<br />
<br />
<br />
<br />
NetChange()<br />
{<br />
logger WifiMgr: Performing network scan...<br />
<br />
source /etc/wifiMgr/config<br />
<br />
scanres=<br />
ifconfig wlan1 down<br />
iw phy phy0 interface add scan0 type station<br />
ifconfig scan0 up<br />
<br />
while [ "$scanres" = "" ]; do<br />
#Sometimes it shows nothing, so better to ensure we did a correct scan<br />
scanres=$(iw scan0 scan|grep SSID)<br />
done<br />
<br />
iw dev scan0 del<br />
ifconfig wlan1 up<br />
killall -HUP hostapd<br />
logger WifiMgr: WifiMgr: Searching available networks...<br />
<br />
if [ "$1" ]; then<br />
ssid=net"$1"_ssid<br />
eval ssid=\$$ssid<br />
echo Trying to connect to network "$1"": $ssid"<br />
n=$(expr "$1" - "1")<br />
else<br />
n=0<br />
fi<br />
<br />
while [ "1" ]; do<br />
n=$(expr "$n" + "1")<br />
<br />
if [ "$n" = "99" ]; then<br />
#too much counts. Crazy wireless count, breaking loop!<br />
break<br />
fi<br />
<br />
ssid=net"$n"_ssid<br />
encrypt=net"$n"_encrypt<br />
key=net"$n"_key<br />
<br />
eval ssid=\$$ssid<br />
eval encrypt=\$$encrypt<br />
eval key=\$$key<br />
<br />
if [ "$ssid" = "" ]; then<br />
#ssid not existing or empty. Assume it's the end of the wlist file<br />
break<br />
fi<br />
echo SSID: $ssid<br />
#echo KEY: $key<br />
#echo SEGURIDAD: $encrypt<br />
<br />
<br />
active=$(echo $scanres | grep " $ssid ">&1 )<br />
if [ "$active" ]; then<br />
if [ "$1" ]; then<br />
echo Network found. Connecting...<br />
fi<br />
logger WifiMgr: "$ssid" network found. Applying settings..<br />
uci set wireless.@wifi-iface[2].ssid="$ssid"<br />
uci set wireless.@wifi-iface[2].encryption="$encrypt"<br />
uci set wireless.@wifi-iface[2].key="$key"<br />
uci set wireless.@wifi-iface[2].bssid=""<br />
uci commit wireless<br />
/etc/init.d/network restart<br />
<br />
#wait some seconds for everything to connect and configure<br />
sleep $NewConnCheckTimer<br />
logger WifiMgr: Checking connectivity...<br />
<br />
#check for internet connection, 5 ping sends<br />
net=$(ping google.es -c5 |grep "time=")<br />
if [ "$net" ]; then<br />
#got ping response!<br />
logger WifiMgr: Internet working! Searching ended<br />
if [ "$1" ]; then<br />
echo Sucess!<br />
fi<br />
break<br />
fi<br />
if [ "$1" ]; then<br />
echo Connection failed!<br />
break<br />
fi<br />
logger WifiMgr: Failed! Searching next available network...<br />
fi<br />
done<br />
}<br />
<br />
if [ "$1" = "" ]; then<br />
echo "No arguments supplied"<br />
<br />
elif [ "$1" = "--force" ]; then<br />
NetChange $2<br />
<br />
elif [ "$1" = "--daemon" ]; then<br />
<br />
if [ "$randMac" = "1" ]; then<br />
randMacAddr <br />
fi<br />
NetChange<br />
<br />
while [ "1" ]; do<br />
sleep $ConnCheckTimer<br />
NetStatus<br />
done<br />
<br />
else<br />
echo "Wrong arguments"<br />
fi<br />
</source> <br />
<br />
L'avvio con /etc/init.d ha qualche problema, e a volte scollega tutte le wifi ricollegandosi, ma tutto sommato funziona.<br />
<br />
=== Idee e cose da provare ===<br />
<br />
Non ne so molto di reti routing e firewall, arrivare a questo risultato è stato molto faticoso e frutto di notte insonni e continui insuccessi.<br />
<br />
Lo so, è fatto male e si poteva fare meglio ma non so come.<br />
<br />
Se qualcuno vuole contribuire e migliorare il progetto è benvenuto.<br />
<br />
<br />
<br />
Un problema è che le query DNS escono sempre dalla wan che non è sicura, bisognerebbe farle girare attraverso la vpn<br />
<br />
<br />
E' possibile accendere e spegnere il wifi con questo script (che avevo fatto partire con il connect della vpn), da testare<br />
<br />
<source lang=sh><br />
#!/bin/sh<br />
<br />
#secure<br />
uci set wireless.@wifi-iface[1].disabled='0'<br />
wifi<br />
#unsecure<br />
uci set wireless.@wifi-iface[0].disabled='1'<br />
wifi<br />
<br />
exit 0<br />
</source><br />
<br />
Sarebbe bello utilizzare la porta ethernet come wan per collegarsi via cavo. Impostando un indirizzo ip statico di management in caso di emergenza<br />
<br />
<br />
Di solito i router hanno 1-2 led. Farebbe comodo sapere dai led se la wan e la vpn sono collegate (lampeggio o accensione continua)<br />
<br />
[[Category:Progetti]]</div>Itechttps://www.raspibo.org/wiki/index.php?title=RoadWarrior&diff=4679RoadWarrior2015-11-05T19:45:20Z<p>Itec: /* Scopo */</p>
<hr />
<div>= Scopo =<br />
<br />
Il Road Warrior [http://en.wikipedia.org/wiki/Road_warrior_%28computing%29] è una persona che è spesso in viaggio, e fa largo uso del computer.<br />
<br />
Questo progetto nasce dall'esigenza di portarsi sempre con se la propria rete anche quando si è in viaggio.<br />
<br />
Avere sempre con se una rete wifi sicura e che i nostri dispositivi conoscono ci evita ogni volta di riconfigurarli.<br />
<br />
In presenza di captive portal basta collegarsi da un solo dispositivo per dare connettività a tutti gli altri.<br />
<br />
E' presente anche una wireless sicura che dirotta tutto il traffico attraverso una VPN, in modo da nascondere il traffico sulla rete "ospite" e per accedere alla propria lan senza dover installare in client vpn su ogni dispositivo.<br />
<br />
Il sistema inoltre può essere reso modulare aggiungendo moduli che si connettono ad esempio in wifi, 3G o quello che preferiamo.<br />
<br />
Tutto questo puo' essere realizzato con un access point router di dimensioni compatte, facile da aggiungere al bagaglio, tipicamente il Road Warrior ha piu' di una interfaccia di rete e magari una porta usb.<br />
<br />
Gli esperimenti descritti di seguito sono stati condotti su due modelli:<br />
* HooToo Trip Mate Nano [http://www.hootoo.com/hootoo-tripmate-nano-ht-tm02-wireless-portable-router.html] molto compatto con porta Ethernet, wifi, USB<br />
* AUKEY PB-W1, che è un router portatile con powerbank integrato, wifi, ethernet e usb.<br />
<br />
Il modello del router non e' fondamentale, e' importante che il router sia compatibile con OpenWRT e che abbia almeno 8MB di flash (necessaria per installare OpenVPN).<br />
<br />
= Aggiornamento firmware sul router HooToo =<br />
<br />
In questo caso utilizziamo un piccolo access point portatile su cui installiamo il firmware openwrt, il modello non è importante, quello che conta è che il dispositivo sia compatibile con questo firmware.<br />
<br />
Di seguito la procedura per installare openwrt su HooToo, un access point a basso costo, con wifi interno, presa per la rete cablata, alimentato con usb, switch hardware.<br />
<br />
L'installazione del firmware è riportata sul wiki di openwrt: http://wiki.openwrt.org/toh/hootoo/tripmate-nano.<br />
<br />
Il dispositivo ha bisogno di una memoria usb esterna, ad esempio una chiavetta su cui appoggiare il file con il nuovo firmware.<br />
<br />
Per caricare openwrt, spostare lo switch sul router nella posizione "mondo", inserire una chiavetta di memoria usb nello slot.<br />
<br />
Collegarsi al router tramite wifi e sull'interfaccia web caricare il firmware openwrt.<br />
<br />
'''Attendere 5 minuti di orologio''' scollegare l'alimentazione e ricollegarla. <br />
<br />
A questo punto ci si può collegare al router con il cavo ethernet.<br />
<br />
D'ora in poi sara' possibile utilizzare i files con il firmware ufficiale openwrt.<br />
<br />
Riportiamo per comodita' il link dell'ultimo firmware per hootoo (al momento in cui viene editata la pagina): [https://downloads.openwrt.org/chaos_calmer/15.05/ramips/rt305x/openwrt-15.05-ramips-rt305x-ht-tm02-squashfs-sysupgrade.bin openwrt-15.05-ramips-rt305x-ht-tm02-squashfs-sysupgrade.bin]<br />
<br />
<br />
= Configurazione =<br />
<br />
- Inserire la parte di installazione di openwrt - <br />
<br />
<br />
=== Configurazione WiFi client ===<br />
Collegarsi al router all'indirizzo 192.168.1.1.<br />
<br />
Cambiare indirizzo ip della lan e applicare le modifiche, io ho usato 192.168.250.1. Fatto questo bisogna ricollegarsi al router al nuovo indirizzo.<br />
<br />
Accedere ad internet andando su Network - Wifi.<br />
<br />
Cercare una wifi conosciuta facendo scan sulla scheda di rete interna.<br />
<br />
Impostare la password di rete e salvare applicando le modifiche.<br />
<br />
=== Aggiornamento software e installazione pacchetti ===<br />
<br />
Collegarsi al router in ssh (ad esempio con il programma Putty).<br />
<br />
Installare i pacchetti dando i seguenti comandi:<br />
<source lang=sh><br />
opkg update<br />
opkg install nano<br />
opkg install luci-ssl<br />
</source><br />
<br />
Voglio usare sue schede wifi, quella integrata per esporre le mie reti, una esterna per collegarsi all'hotspot che fornisce connettività.<br />
<br />
Per il supporto periferiche usb ho dovuto installare i seguenti pacchetti:<br />
<source lang=sh><br />
opkg install kmod-usb-core kmod-usb-ohci kmod-usb2<br />
</source><br />
Per fargli riconoscere la mia scheda wifi "blueway"<br />
<source lang=sh><br />
opkg install kmod-rt2800-lib kmod-rt2800-usb kmod-rt2x00-lib kmod-rt2x00-usb<br />
</source><br />
<br />
Riavviare per permettere al router di individuare la scheda.<br />
Rientrando su Luci, andare su network - wifi e controllare se è apparsa la seconda interfaccia radio<br />
<br />
Cancellare le reti, utilizzare la seconda scheda di rete per collegarsi ad internet<br />
<br />
<br />
Andare su System - system e configurare il nome del dispositivo (che apparirà anche nel nome file quando si salva la configurazione)<br />
<br />
Volendo cambiare i server ntp (ntp1.inrim.it,ntp2.inrim.it)<br />
<br />
<br />
=== Installare openvpn ===<br />
<source lang=sh><br />
opkg install openvpn-openssl<br />
</source><br />
Creare un'interfaccia '''slan''', con ip statico diverso dalla lan (es 192.168.251.1), interfaccia fisica slan, e con dhcp<br />
<br />
Creare un'interfaccia '''swan''', unmanaged, con interfaccia fisica tun0<br />
<br />
Per farlo vanno aggiunte queste righe su etc/config/network<br />
<source lang=sh><br />
config interface 'swan'<br />
option ifname 'tun0'<br />
option proto 'none'<br />
<br />
config interface 'slan'<br />
option proto 'static'<br />
option ipaddr '192.168.251.1'<br />
option netmask '255.255.255.0'<br />
option _orig_ifname 'lan0'<br />
option _orig_bridge 'false'<br />
option type 'bridge'<br />
option ifname 'slan'<br />
</source><br />
<br />
E queste su etc/config/dhcp<br />
<source lang=sh><br />
config dhcp 'slan'<br />
option start '100'<br />
option leasetime '12h'<br />
option limit '150'<br />
option interface 'slan'<br />
</source><br />
<br />
Controllare che il dhcp sia attivo sull'interfaccia slan<br />
<br />
Applicare le regole firewall inserendo queste righe su /etc/config/network<br />
<source lang=sh><br />
config zone<br />
option input 'ACCEPT'<br />
option output 'ACCEPT'<br />
option name 'slan'<br />
option network 'slan'<br />
option forward 'REJECT'<br />
<br />
config zone<br />
option forward 'REJECT'<br />
option output 'ACCEPT'<br />
option input 'REJECT'<br />
option masq '1'<br />
option mtu_fix '1'<br />
option network 'swan'<br />
option name 'swan'<br />
<br />
config rule<br />
option target 'ACCEPT'<br />
option family 'ipv4'<br />
option proto 'udp'<br />
option src 'slan'<br />
option name 'Secure DHCP'<br />
option dest_port '67-68'<br />
<br />
config rule<br />
option target 'ACCEPT'<br />
option src 'slan'<br />
option name 'Secure DNS'<br />
option dest_port '53'<br />
option family 'ipv4'<br />
<br />
config forwarding<br />
option dest 'swan'<br />
option src 'slan'<br />
</source><br />
<br />
Creare dentro a /etc/openvpn il file client.conf e aggiungere i certificati nella stessa cartella.<br />
<br />
Il mio è così:<br />
<source lang=sh><br />
client<br />
dev tun<br />
proto tcp<br />
<br />
remote [indirizzo] 443<br />
resolv-retry infinite<br />
#redirect-gateway def1<br />
route-nopull<br />
<br />
nobind<br />
<br />
persist-tun<br />
persist-key<br />
<br />
ca ca.crt<br />
cert roadwarrior.crt<br />
key roadwarrior.key<br />
remote-cert-tls server<br />
<br />
verb 1<br />
<br />
script-security 3<br />
route-delay 5<br />
route-up "/etc/openvpn/route-up.sh"<br />
keepalive 10 60<br />
</source><br />
<br />
E' importante la riga '''route-nopull''' perchè non deve ereditare la tabella di routing dal server<br />
<br />
Nella stessa cartella aggiungere anche il file '''route-up.sh''', dargli le autorizzazioni e inserire all'interno il seguente script:<br />
<br />
<source lang=sh><br />
#!/bin/sh<br />
<br />
# Checks to see if there is an IP routing table named 'vpn', create if missing<br />
if [ $(cat /etc/iproute2/rt_tables | grep vpn | wc -l) -eq 0 ]; then<br />
echo "100 vpn" >> /etc/iproute2/rt_tables<br />
fi<br />
<br />
echo "------------------------------------------------------------------"<br />
ip route show<br />
echo "------------------------------------------------------------------"<br />
<br />
# Remove any previous routes in the 'vpn' routing table<br />
ip rule | sed -n 's/.*\(from[ \t]*[0-9\.]*\).*vpn/\1/p' | while read RULE<br />
do<br />
echo "remove old rule: /bin/ip rule del ${RULE}"<br />
/bin/ip rule del ${RULE}<br />
done<br />
<br />
#echo ifconfig_remote: ${ifconfig_remote} dev: ${dev} > /tmp/antani<br />
<br />
# Add routes to the vpn routing table<br />
echo ip rule add from 192.168.251.0/24 lookup vpn prio 1000<br />
ip rule add from 192.168.251.0/24 lookup vpn prio 1000<br />
<br />
# Add the route to direct all traffic using the the vpn routing table to the tunX interface<br />
echo ip route add default via ${ifconfig_remote} dev ${dev} table vpn<br />
ip route add default via ${ifconfig_remote} dev ${dev} table vpn<br />
<br />
#add a route for the lan itself<br />
echo ip route add 192.168.251.0/24 dev br-slan table vpn<br />
ip route add 192.168.251.0/24 dev br-slan table vpn<br />
<br />
ip route flush cache<br />
<br />
exit 0<br />
</source><br />
<br />
In questo modo openvpn parte all'avvio e cerca di connettersi al server, una volta connessa crea una tabella di routing specifica per la slan (source routing)<br />
<br />
<br />
<br />
Creare 2 wlan sulla wifi integrata (radio0) bridgiate con lan e slan. Le ho chiamate rispettivamente '''unsecure''' e '''secure'''<br />
<br />
<br />
Teoricamente se tutto è configurato bene quando si è collegati alla lan (o la wifi unsecure) è possibile navigare in internet in maniera non sicura.<br />
<br />
Aprendo il sito http://whatismyipaddress.com/ o simili la connessione proviene dal provider dell'hotspot<br />
<br />
Quando si è collegati alla slan (quindi la wifi secure) è possibile collegarsi alla lan che ospita la vpn (la lan di casa mia), e l'indirizzo ip che appare è quello della lan remota.<br />
<br />
<br />
<br />
Per fare in modo che il router si colleghi ad una lista di wifi conosciute ho usato queste istruzioni<br />
<br />
https://forum.openwrt.org/viewtopic.php?id=43352<br />
<br />
Ho modificato il file wifiMgr.sh cambiando i nomi delle interfacce e aggiungendo alcune funzioni come segue:<br />
<br />
<source lang=sh><br />
#!/bin/sh<br />
. /etc/wifiMgr/config<br />
<br />
<br />
randMacAddr()<br />
{<br />
<br />
macaddr=$(dd if=/dev/urandom bs=1024 count=1 2>/dev/null|md5sum|sed 's/^\(..\)\(..\)\(..\)\(..\)\(..\)\(..\).*$/00:\2:\3:\4:\5:01/')<br />
uci set wireless.@wifi-iface[2].macaddr="$macaddr"<br />
uci commit wireless<br />
/etc/init.d/network restart<br />
<br />
}<br />
<br />
<br />
NetStatus()<br />
{<br />
logger WifiMgr: Checking network...<br />
net=$(ping 8.8.8.8 -c5 |grep "time=")<br />
if [ "$net" ]; then<br />
logger WifiMgr: Network OK<br />
#got ping response!<br />
return<br />
else<br />
logger WifiMgr: Network failed. Starting network change...<br />
NetChange<br />
fi<br />
}<br />
<br />
<br />
<br />
NetChange()<br />
{<br />
logger WifiMgr: Performing network scan...<br />
<br />
source /etc/wifiMgr/config<br />
<br />
scanres=<br />
ifconfig wlan1 down<br />
iw phy phy0 interface add scan0 type station<br />
ifconfig scan0 up<br />
<br />
while [ "$scanres" = "" ]; do<br />
#Sometimes it shows nothing, so better to ensure we did a correct scan<br />
scanres=$(iw scan0 scan|grep SSID)<br />
done<br />
<br />
iw dev scan0 del<br />
ifconfig wlan1 up<br />
killall -HUP hostapd<br />
logger WifiMgr: WifiMgr: Searching available networks...<br />
<br />
if [ "$1" ]; then<br />
ssid=net"$1"_ssid<br />
eval ssid=\$$ssid<br />
echo Trying to connect to network "$1"": $ssid"<br />
n=$(expr "$1" - "1")<br />
else<br />
n=0<br />
fi<br />
<br />
while [ "1" ]; do<br />
n=$(expr "$n" + "1")<br />
<br />
if [ "$n" = "99" ]; then<br />
#too much counts. Crazy wireless count, breaking loop!<br />
break<br />
fi<br />
<br />
ssid=net"$n"_ssid<br />
encrypt=net"$n"_encrypt<br />
key=net"$n"_key<br />
<br />
eval ssid=\$$ssid<br />
eval encrypt=\$$encrypt<br />
eval key=\$$key<br />
<br />
if [ "$ssid" = "" ]; then<br />
#ssid not existing or empty. Assume it's the end of the wlist file<br />
break<br />
fi<br />
echo SSID: $ssid<br />
#echo KEY: $key<br />
#echo SEGURIDAD: $encrypt<br />
<br />
<br />
active=$(echo $scanres | grep " $ssid ">&1 )<br />
if [ "$active" ]; then<br />
if [ "$1" ]; then<br />
echo Network found. Connecting...<br />
fi<br />
logger WifiMgr: "$ssid" network found. Applying settings..<br />
uci set wireless.@wifi-iface[2].ssid="$ssid"<br />
uci set wireless.@wifi-iface[2].encryption="$encrypt"<br />
uci set wireless.@wifi-iface[2].key="$key"<br />
uci set wireless.@wifi-iface[2].bssid=""<br />
uci commit wireless<br />
/etc/init.d/network restart<br />
<br />
#wait some seconds for everything to connect and configure<br />
sleep $NewConnCheckTimer<br />
logger WifiMgr: Checking connectivity...<br />
<br />
#check for internet connection, 5 ping sends<br />
net=$(ping google.es -c5 |grep "time=")<br />
if [ "$net" ]; then<br />
#got ping response!<br />
logger WifiMgr: Internet working! Searching ended<br />
if [ "$1" ]; then<br />
echo Sucess!<br />
fi<br />
break<br />
fi<br />
if [ "$1" ]; then<br />
echo Connection failed!<br />
break<br />
fi<br />
logger WifiMgr: Failed! Searching next available network...<br />
fi<br />
done<br />
}<br />
<br />
if [ "$1" = "" ]; then<br />
echo "No arguments supplied"<br />
<br />
elif [ "$1" = "--force" ]; then<br />
NetChange $2<br />
<br />
elif [ "$1" = "--daemon" ]; then<br />
<br />
if [ "$randMac" = "1" ]; then<br />
randMacAddr <br />
fi<br />
NetChange<br />
<br />
while [ "1" ]; do<br />
sleep $ConnCheckTimer<br />
NetStatus<br />
done<br />
<br />
else<br />
echo "Wrong arguments"<br />
fi<br />
</source> <br />
<br />
L'avvio con /etc/init.d ha qualche problema, e a volte scollega tutte le wifi ricollegandosi, ma tutto sommato funziona.<br />
<br />
=== Idee e cose da provare ===<br />
<br />
Non ne so molto di reti routing e firewall, arrivare a questo risultato è stato molto faticoso e frutto di notte insonni e continui insuccessi.<br />
<br />
Lo so, è fatto male e si poteva fare meglio ma non so come.<br />
<br />
Se qualcuno vuole contribuire e migliorare il progetto è benvenuto.<br />
<br />
<br />
<br />
Un problema è che le query DNS escono sempre dalla wan che non è sicura, bisognerebbe farle girare attraverso la vpn<br />
<br />
<br />
E' possibile accendere e spegnere il wifi con questo script (che avevo fatto partire con il connect della vpn), da testare<br />
<br />
<source lang=sh><br />
#!/bin/sh<br />
<br />
#secure<br />
uci set wireless.@wifi-iface[1].disabled='0'<br />
wifi<br />
#unsecure<br />
uci set wireless.@wifi-iface[0].disabled='1'<br />
wifi<br />
<br />
exit 0<br />
</source><br />
<br />
Sarebbe bello utilizzare la porta ethernet come wan per collegarsi via cavo. Impostando un indirizzo ip statico di management in caso di emergenza<br />
<br />
<br />
Di solito i router hanno 1-2 led. Farebbe comodo sapere dai led se la wan e la vpn sono collegate (lampeggio o accensione continua)<br />
<br />
[[Category:Progetti]]</div>Itechttps://www.raspibo.org/wiki/index.php?title=RoadWarrior&diff=4678RoadWarrior2015-11-05T19:37:36Z<p>Itec: /* Installare openvpn */</p>
<hr />
<div>= Scopo =<br />
<br />
Questo progetto nasce dall'esigenza di portarsi sempre con se la propria rete anche quando si è in viaggio dispositivi che rendono tutto questo possibile si chiamano Road Warrior [http://en.wikipedia.org/wiki/Road_warrior_%28computing%29] <br />
<br />
Avere sempre con se una rete wifi sicura e che i nostri dispositivi conoscono ci evita ogni volta di riconfigurarli.<br />
<br />
In presenza di captive portal basta collegarsi da un solo dispositivo per dare connettività a tutti gli altri.<br />
<br />
E' presente anche una wireless sicura che dirotta tutto il traffico attraverso una VPN, per avere un'uscita verso internet criptata.<br />
<br />
Il sistema inoltre può essere reso modulare aggiungendo moduli che si connettono ad esempio in wifi, 3G o quello che preferiamo.<br />
<br />
Tutto questo puo' essere realizzato con un access point router di dimensioni compatte, facile da aggiungere al bagaglio, tipicamente il Road Warrior ha piu' di una interfaccia di rete e magari una porta usb.<br />
<br />
Gli esperimenti descritti di seguito sono stati condotti su due modelli:<br />
* HooToo Trip Mate Nano [http://www.hootoo.com/hootoo-tripmate-nano-ht-tm02-wireless-portable-router.html] molto compatto con porta Ethernet, wifi, USB<br />
* AUKEY PB-W1, che è un router portatile con powerbank integrato, wifi, ethernet e usb.<br />
<br />
Il modello del router non e' fondamentale, e' importante che il router sia compatibile con OpenWRT e che abbia almeno 8MB di flash (necessaria per installare OpenVPN).<br />
<br />
= Aggiornamento firmware sul router HooToo =<br />
<br />
In questo caso utilizziamo un piccolo access point portatile su cui installiamo il firmware openwrt, il modello non è importante, quello che conta è che il dispositivo sia compatibile con questo firmware.<br />
<br />
Di seguito la procedura per installare openwrt su HooToo, un access point a basso costo, con wifi interno, presa per la rete cablata, alimentato con usb, switch hardware.<br />
<br />
L'installazione del firmware è riportata sul wiki di openwrt: http://wiki.openwrt.org/toh/hootoo/tripmate-nano.<br />
<br />
Il dispositivo ha bisogno di una memoria usb esterna, ad esempio una chiavetta su cui appoggiare il file con il nuovo firmware.<br />
<br />
Per caricare openwrt, spostare lo switch sul router nella posizione "mondo", inserire una chiavetta di memoria usb nello slot.<br />
<br />
Collegarsi al router tramite wifi e sull'interfaccia web caricare il firmware openwrt.<br />
<br />
'''Attendere 5 minuti di orologio''' scollegare l'alimentazione e ricollegarla. <br />
<br />
A questo punto ci si può collegare al router con il cavo ethernet.<br />
<br />
D'ora in poi sara' possibile utilizzare i files con il firmware ufficiale openwrt.<br />
<br />
Riportiamo per comodita' il link dell'ultimo firmware per hootoo (al momento in cui viene editata la pagina): [https://downloads.openwrt.org/chaos_calmer/15.05/ramips/rt305x/openwrt-15.05-ramips-rt305x-ht-tm02-squashfs-sysupgrade.bin openwrt-15.05-ramips-rt305x-ht-tm02-squashfs-sysupgrade.bin]<br />
<br />
<br />
= Configurazione =<br />
<br />
- Inserire la parte di installazione di openwrt - <br />
<br />
<br />
=== Configurazione WiFi client ===<br />
Collegarsi al router all'indirizzo 192.168.1.1.<br />
<br />
Cambiare indirizzo ip della lan e applicare le modifiche, io ho usato 192.168.250.1. Fatto questo bisogna ricollegarsi al router al nuovo indirizzo.<br />
<br />
Accedere ad internet andando su Network - Wifi.<br />
<br />
Cercare una wifi conosciuta facendo scan sulla scheda di rete interna.<br />
<br />
Impostare la password di rete e salvare applicando le modifiche.<br />
<br />
=== Aggiornamento software e installazione pacchetti ===<br />
<br />
Collegarsi al router in ssh (ad esempio con il programma Putty).<br />
<br />
Installare i pacchetti dando i seguenti comandi:<br />
<source lang=sh><br />
opkg update<br />
opkg install nano<br />
opkg install luci-ssl<br />
</source><br />
<br />
Voglio usare sue schede wifi, quella integrata per esporre le mie reti, una esterna per collegarsi all'hotspot che fornisce connettività.<br />
<br />
Per il supporto periferiche usb ho dovuto installare i seguenti pacchetti:<br />
<source lang=sh><br />
opkg install kmod-usb-core kmod-usb-ohci kmod-usb2<br />
</source><br />
Per fargli riconoscere la mia scheda wifi "blueway"<br />
<source lang=sh><br />
opkg install kmod-rt2800-lib kmod-rt2800-usb kmod-rt2x00-lib kmod-rt2x00-usb<br />
</source><br />
<br />
Riavviare per permettere al router di individuare la scheda.<br />
Rientrando su Luci, andare su network - wifi e controllare se è apparsa la seconda interfaccia radio<br />
<br />
Cancellare le reti, utilizzare la seconda scheda di rete per collegarsi ad internet<br />
<br />
<br />
Andare su System - system e configurare il nome del dispositivo (che apparirà anche nel nome file quando si salva la configurazione)<br />
<br />
Volendo cambiare i server ntp (ntp1.inrim.it,ntp2.inrim.it)<br />
<br />
<br />
=== Installare openvpn ===<br />
<source lang=sh><br />
opkg install openvpn-openssl<br />
</source><br />
Creare un'interfaccia '''slan''', con ip statico diverso dalla lan (es 192.168.251.1), interfaccia fisica slan, e con dhcp<br />
<br />
Creare un'interfaccia '''swan''', unmanaged, con interfaccia fisica tun0<br />
<br />
Per farlo vanno aggiunte queste righe su etc/config/network<br />
<source lang=sh><br />
config interface 'swan'<br />
option ifname 'tun0'<br />
option proto 'none'<br />
<br />
config interface 'slan'<br />
option proto 'static'<br />
option ipaddr '192.168.251.1'<br />
option netmask '255.255.255.0'<br />
option _orig_ifname 'lan0'<br />
option _orig_bridge 'false'<br />
option type 'bridge'<br />
option ifname 'slan'<br />
</source><br />
<br />
E queste su etc/config/dhcp<br />
<source lang=sh><br />
config dhcp 'slan'<br />
option start '100'<br />
option leasetime '12h'<br />
option limit '150'<br />
option interface 'slan'<br />
</source><br />
<br />
Controllare che il dhcp sia attivo sull'interfaccia slan<br />
<br />
Applicare le regole firewall inserendo queste righe su /etc/config/network<br />
<source lang=sh><br />
config zone<br />
option input 'ACCEPT'<br />
option output 'ACCEPT'<br />
option name 'slan'<br />
option network 'slan'<br />
option forward 'REJECT'<br />
<br />
config zone<br />
option forward 'REJECT'<br />
option output 'ACCEPT'<br />
option input 'REJECT'<br />
option masq '1'<br />
option mtu_fix '1'<br />
option network 'swan'<br />
option name 'swan'<br />
<br />
config rule<br />
option target 'ACCEPT'<br />
option family 'ipv4'<br />
option proto 'udp'<br />
option src 'slan'<br />
option name 'Secure DHCP'<br />
option dest_port '67-68'<br />
<br />
config rule<br />
option target 'ACCEPT'<br />
option src 'slan'<br />
option name 'Secure DNS'<br />
option dest_port '53'<br />
option family 'ipv4'<br />
<br />
config forwarding<br />
option dest 'swan'<br />
option src 'slan'<br />
</source><br />
<br />
Creare dentro a /etc/openvpn il file client.conf e aggiungere i certificati nella stessa cartella.<br />
<br />
Il mio è così:<br />
<source lang=sh><br />
client<br />
dev tun<br />
proto tcp<br />
<br />
remote [indirizzo] 443<br />
resolv-retry infinite<br />
#redirect-gateway def1<br />
route-nopull<br />
<br />
nobind<br />
<br />
persist-tun<br />
persist-key<br />
<br />
ca ca.crt<br />
cert roadwarrior.crt<br />
key roadwarrior.key<br />
remote-cert-tls server<br />
<br />
verb 1<br />
<br />
script-security 3<br />
route-delay 5<br />
route-up "/etc/openvpn/route-up.sh"<br />
keepalive 10 60<br />
</source><br />
<br />
E' importante la riga '''route-nopull''' perchè non deve ereditare la tabella di routing dal server<br />
<br />
Nella stessa cartella aggiungere anche il file '''route-up.sh''', dargli le autorizzazioni e inserire all'interno il seguente script:<br />
<br />
<source lang=sh><br />
#!/bin/sh<br />
<br />
# Checks to see if there is an IP routing table named 'vpn', create if missing<br />
if [ $(cat /etc/iproute2/rt_tables | grep vpn | wc -l) -eq 0 ]; then<br />
echo "100 vpn" >> /etc/iproute2/rt_tables<br />
fi<br />
<br />
echo "------------------------------------------------------------------"<br />
ip route show<br />
echo "------------------------------------------------------------------"<br />
<br />
# Remove any previous routes in the 'vpn' routing table<br />
ip rule | sed -n 's/.*\(from[ \t]*[0-9\.]*\).*vpn/\1/p' | while read RULE<br />
do<br />
echo "remove old rule: /bin/ip rule del ${RULE}"<br />
/bin/ip rule del ${RULE}<br />
done<br />
<br />
#echo ifconfig_remote: ${ifconfig_remote} dev: ${dev} > /tmp/antani<br />
<br />
# Add routes to the vpn routing table<br />
echo ip rule add from 192.168.251.0/24 lookup vpn prio 1000<br />
ip rule add from 192.168.251.0/24 lookup vpn prio 1000<br />
<br />
# Add the route to direct all traffic using the the vpn routing table to the tunX interface<br />
echo ip route add default via ${ifconfig_remote} dev ${dev} table vpn<br />
ip route add default via ${ifconfig_remote} dev ${dev} table vpn<br />
<br />
#add a route for the lan itself<br />
echo ip route add 192.168.251.0/24 dev br-slan table vpn<br />
ip route add 192.168.251.0/24 dev br-slan table vpn<br />
<br />
ip route flush cache<br />
<br />
exit 0<br />
</source><br />
<br />
In questo modo openvpn parte all'avvio e cerca di connettersi al server, una volta connessa crea una tabella di routing specifica per la slan (source routing)<br />
<br />
<br />
<br />
Creare 2 wlan sulla wifi integrata (radio0) bridgiate con lan e slan. Le ho chiamate rispettivamente '''unsecure''' e '''secure'''<br />
<br />
<br />
Teoricamente se tutto è configurato bene quando si è collegati alla lan (o la wifi unsecure) è possibile navigare in internet in maniera non sicura.<br />
<br />
Aprendo il sito http://whatismyipaddress.com/ o simili la connessione proviene dal provider dell'hotspot<br />
<br />
Quando si è collegati alla slan (quindi la wifi secure) è possibile collegarsi alla lan che ospita la vpn (la lan di casa mia), e l'indirizzo ip che appare è quello della lan remota.<br />
<br />
<br />
<br />
Per fare in modo che il router si colleghi ad una lista di wifi conosciute ho usato queste istruzioni<br />
<br />
https://forum.openwrt.org/viewtopic.php?id=43352<br />
<br />
Ho modificato il file wifiMgr.sh cambiando i nomi delle interfacce e aggiungendo alcune funzioni come segue:<br />
<br />
<source lang=sh><br />
#!/bin/sh<br />
. /etc/wifiMgr/config<br />
<br />
<br />
randMacAddr()<br />
{<br />
<br />
macaddr=$(dd if=/dev/urandom bs=1024 count=1 2>/dev/null|md5sum|sed 's/^\(..\)\(..\)\(..\)\(..\)\(..\)\(..\).*$/00:\2:\3:\4:\5:01/')<br />
uci set wireless.@wifi-iface[2].macaddr="$macaddr"<br />
uci commit wireless<br />
/etc/init.d/network restart<br />
<br />
}<br />
<br />
<br />
NetStatus()<br />
{<br />
logger WifiMgr: Checking network...<br />
net=$(ping 8.8.8.8 -c5 |grep "time=")<br />
if [ "$net" ]; then<br />
logger WifiMgr: Network OK<br />
#got ping response!<br />
return<br />
else<br />
logger WifiMgr: Network failed. Starting network change...<br />
NetChange<br />
fi<br />
}<br />
<br />
<br />
<br />
NetChange()<br />
{<br />
logger WifiMgr: Performing network scan...<br />
<br />
source /etc/wifiMgr/config<br />
<br />
scanres=<br />
ifconfig wlan1 down<br />
iw phy phy0 interface add scan0 type station<br />
ifconfig scan0 up<br />
<br />
while [ "$scanres" = "" ]; do<br />
#Sometimes it shows nothing, so better to ensure we did a correct scan<br />
scanres=$(iw scan0 scan|grep SSID)<br />
done<br />
<br />
iw dev scan0 del<br />
ifconfig wlan1 up<br />
killall -HUP hostapd<br />
logger WifiMgr: WifiMgr: Searching available networks...<br />
<br />
if [ "$1" ]; then<br />
ssid=net"$1"_ssid<br />
eval ssid=\$$ssid<br />
echo Trying to connect to network "$1"": $ssid"<br />
n=$(expr "$1" - "1")<br />
else<br />
n=0<br />
fi<br />
<br />
while [ "1" ]; do<br />
n=$(expr "$n" + "1")<br />
<br />
if [ "$n" = "99" ]; then<br />
#too much counts. Crazy wireless count, breaking loop!<br />
break<br />
fi<br />
<br />
ssid=net"$n"_ssid<br />
encrypt=net"$n"_encrypt<br />
key=net"$n"_key<br />
<br />
eval ssid=\$$ssid<br />
eval encrypt=\$$encrypt<br />
eval key=\$$key<br />
<br />
if [ "$ssid" = "" ]; then<br />
#ssid not existing or empty. Assume it's the end of the wlist file<br />
break<br />
fi<br />
echo SSID: $ssid<br />
#echo KEY: $key<br />
#echo SEGURIDAD: $encrypt<br />
<br />
<br />
active=$(echo $scanres | grep " $ssid ">&1 )<br />
if [ "$active" ]; then<br />
if [ "$1" ]; then<br />
echo Network found. Connecting...<br />
fi<br />
logger WifiMgr: "$ssid" network found. Applying settings..<br />
uci set wireless.@wifi-iface[2].ssid="$ssid"<br />
uci set wireless.@wifi-iface[2].encryption="$encrypt"<br />
uci set wireless.@wifi-iface[2].key="$key"<br />
uci set wireless.@wifi-iface[2].bssid=""<br />
uci commit wireless<br />
/etc/init.d/network restart<br />
<br />
#wait some seconds for everything to connect and configure<br />
sleep $NewConnCheckTimer<br />
logger WifiMgr: Checking connectivity...<br />
<br />
#check for internet connection, 5 ping sends<br />
net=$(ping google.es -c5 |grep "time=")<br />
if [ "$net" ]; then<br />
#got ping response!<br />
logger WifiMgr: Internet working! Searching ended<br />
if [ "$1" ]; then<br />
echo Sucess!<br />
fi<br />
break<br />
fi<br />
if [ "$1" ]; then<br />
echo Connection failed!<br />
break<br />
fi<br />
logger WifiMgr: Failed! Searching next available network...<br />
fi<br />
done<br />
}<br />
<br />
if [ "$1" = "" ]; then<br />
echo "No arguments supplied"<br />
<br />
elif [ "$1" = "--force" ]; then<br />
NetChange $2<br />
<br />
elif [ "$1" = "--daemon" ]; then<br />
<br />
if [ "$randMac" = "1" ]; then<br />
randMacAddr <br />
fi<br />
NetChange<br />
<br />
while [ "1" ]; do<br />
sleep $ConnCheckTimer<br />
NetStatus<br />
done<br />
<br />
else<br />
echo "Wrong arguments"<br />
fi<br />
</source> <br />
<br />
L'avvio con /etc/init.d ha qualche problema, e a volte scollega tutte le wifi ricollegandosi, ma tutto sommato funziona.<br />
<br />
=== Idee e cose da provare ===<br />
<br />
Non ne so molto di reti routing e firewall, arrivare a questo risultato è stato molto faticoso e frutto di notte insonni e continui insuccessi.<br />
<br />
Lo so, è fatto male e si poteva fare meglio ma non so come.<br />
<br />
Se qualcuno vuole contribuire e migliorare il progetto è benvenuto.<br />
<br />
<br />
<br />
Un problema è che le query DNS escono sempre dalla wan che non è sicura, bisognerebbe farle girare attraverso la vpn<br />
<br />
<br />
E' possibile accendere e spegnere il wifi con questo script (che avevo fatto partire con il connect della vpn), da testare<br />
<br />
<source lang=sh><br />
#!/bin/sh<br />
<br />
#secure<br />
uci set wireless.@wifi-iface[1].disabled='0'<br />
wifi<br />
#unsecure<br />
uci set wireless.@wifi-iface[0].disabled='1'<br />
wifi<br />
<br />
exit 0<br />
</source><br />
<br />
Sarebbe bello utilizzare la porta ethernet come wan per collegarsi via cavo. Impostando un indirizzo ip statico di management in caso di emergenza<br />
<br />
<br />
Di solito i router hanno 1-2 led. Farebbe comodo sapere dai led se la wan e la vpn sono collegate (lampeggio o accensione continua)<br />
<br />
[[Category:Progetti]]</div>Itechttps://www.raspibo.org/wiki/index.php?title=RoadWarrior&diff=4677RoadWarrior2015-11-05T19:35:03Z<p>Itec: Il dhcp!!!!</p>
<hr />
<div>= Scopo =<br />
<br />
Questo progetto nasce dall'esigenza di portarsi sempre con se la propria rete anche quando si è in viaggio dispositivi che rendono tutto questo possibile si chiamano Road Warrior [http://en.wikipedia.org/wiki/Road_warrior_%28computing%29] <br />
<br />
Avere sempre con se una rete wifi sicura e che i nostri dispositivi conoscono ci evita ogni volta di riconfigurarli.<br />
<br />
In presenza di captive portal basta collegarsi da un solo dispositivo per dare connettività a tutti gli altri.<br />
<br />
E' presente anche una wireless sicura che dirotta tutto il traffico attraverso una VPN, per avere un'uscita verso internet criptata.<br />
<br />
Il sistema inoltre può essere reso modulare aggiungendo moduli che si connettono ad esempio in wifi, 3G o quello che preferiamo.<br />
<br />
Tutto questo puo' essere realizzato con un access point router di dimensioni compatte, facile da aggiungere al bagaglio, tipicamente il Road Warrior ha piu' di una interfaccia di rete e magari una porta usb.<br />
<br />
Gli esperimenti descritti di seguito sono stati condotti su due modelli:<br />
* HooToo Trip Mate Nano [http://www.hootoo.com/hootoo-tripmate-nano-ht-tm02-wireless-portable-router.html] molto compatto con porta Ethernet, wifi, USB<br />
* AUKEY PB-W1, che è un router portatile con powerbank integrato, wifi, ethernet e usb.<br />
<br />
Il modello del router non e' fondamentale, e' importante che il router sia compatibile con OpenWRT e che abbia almeno 8MB di flash (necessaria per installare OpenVPN).<br />
<br />
= Aggiornamento firmware sul router HooToo =<br />
<br />
In questo caso utilizziamo un piccolo access point portatile su cui installiamo il firmware openwrt, il modello non è importante, quello che conta è che il dispositivo sia compatibile con questo firmware.<br />
<br />
Di seguito la procedura per installare openwrt su HooToo, un access point a basso costo, con wifi interno, presa per la rete cablata, alimentato con usb, switch hardware.<br />
<br />
L'installazione del firmware è riportata sul wiki di openwrt: http://wiki.openwrt.org/toh/hootoo/tripmate-nano.<br />
<br />
Il dispositivo ha bisogno di una memoria usb esterna, ad esempio una chiavetta su cui appoggiare il file con il nuovo firmware.<br />
<br />
Per caricare openwrt, spostare lo switch sul router nella posizione "mondo", inserire una chiavetta di memoria usb nello slot.<br />
<br />
Collegarsi al router tramite wifi e sull'interfaccia web caricare il firmware openwrt.<br />
<br />
'''Attendere 5 minuti di orologio''' scollegare l'alimentazione e ricollegarla. <br />
<br />
A questo punto ci si può collegare al router con il cavo ethernet.<br />
<br />
D'ora in poi sara' possibile utilizzare i files con il firmware ufficiale openwrt.<br />
<br />
Riportiamo per comodita' il link dell'ultimo firmware per hootoo (al momento in cui viene editata la pagina): [https://downloads.openwrt.org/chaos_calmer/15.05/ramips/rt305x/openwrt-15.05-ramips-rt305x-ht-tm02-squashfs-sysupgrade.bin openwrt-15.05-ramips-rt305x-ht-tm02-squashfs-sysupgrade.bin]<br />
<br />
<br />
= Configurazione =<br />
<br />
- Inserire la parte di installazione di openwrt - <br />
<br />
<br />
=== Configurazione WiFi client ===<br />
Collegarsi al router all'indirizzo 192.168.1.1.<br />
<br />
Cambiare indirizzo ip della lan e applicare le modifiche, io ho usato 192.168.250.1. Fatto questo bisogna ricollegarsi al router al nuovo indirizzo.<br />
<br />
Accedere ad internet andando su Network - Wifi.<br />
<br />
Cercare una wifi conosciuta facendo scan sulla scheda di rete interna.<br />
<br />
Impostare la password di rete e salvare applicando le modifiche.<br />
<br />
=== Aggiornamento software e installazione pacchetti ===<br />
<br />
Collegarsi al router in ssh (ad esempio con il programma Putty).<br />
<br />
Installare i pacchetti dando i seguenti comandi:<br />
<source lang=sh><br />
opkg update<br />
opkg install nano<br />
opkg install luci-ssl<br />
</source><br />
<br />
Voglio usare sue schede wifi, quella integrata per esporre le mie reti, una esterna per collegarsi all'hotspot che fornisce connettività.<br />
<br />
Per il supporto periferiche usb ho dovuto installare i seguenti pacchetti:<br />
<source lang=sh><br />
opkg install kmod-usb-core kmod-usb-ohci kmod-usb2<br />
</source><br />
Per fargli riconoscere la mia scheda wifi "blueway"<br />
<source lang=sh><br />
opkg install kmod-rt2800-lib kmod-rt2800-usb kmod-rt2x00-lib kmod-rt2x00-usb<br />
</source><br />
<br />
Riavviare per permettere al router di individuare la scheda.<br />
Rientrando su Luci, andare su network - wifi e controllare se è apparsa la seconda interfaccia radio<br />
<br />
Cancellare le reti, utilizzare la seconda scheda di rete per collegarsi ad internet<br />
<br />
<br />
Andare su System - system e configurare il nome del dispositivo (che apparirà anche nel nome file quando si salva la configurazione)<br />
<br />
Volendo cambiare i server ntp (ntp1.inrim.it,ntp2.inrim.it)<br />
<br />
<br />
=== Installare openvpn ===<br />
<source lang=sh><br />
opkg install openvpn-openssl<br />
</source><br />
Creare un'interfaccia '''slan''', con ip statico diverso dalla lan (es 192.168.251.1), interfaccia fisica slan, e con dhcp<br />
<br />
Creare un'interfaccia '''swan''', unmanaged, con interfaccia fisica tun0<br />
<br />
Per farlo vanno aggiunte queste righe su etc/config/network<br />
<source lang=sh><br />
config interface 'swan'<br />
option ifname 'tun0'<br />
option proto 'none'<br />
<br />
config interface 'slan'<br />
option proto 'static'<br />
option ipaddr '192.168.251.1'<br />
option netmask '255.255.255.0'<br />
option _orig_ifname 'lan0'<br />
option _orig_bridge 'false'<br />
option type 'bridge'<br />
option ifname 'slan'<br />
</source><br />
<br />
E queste su etc/config/dhcp<br />
<source lang=sh><br />
config dhcp 'slan'<br />
option start '100'<br />
option leasetime '12h'<br />
option limit '150'<br />
option interface 'slan'<br />
</source><br />
<br />
Controllare che il dhcp sia attivo sull'interfaccia slan<br />
<br />
Applicare le regole firewall [...]<br />
<br />
Inserire queste righe su /etc/config/network<br />
<source lang=sh><br />
config zone<br />
option input 'ACCEPT'<br />
option output 'ACCEPT'<br />
option name 'slan'<br />
option network 'slan'<br />
option forward 'REJECT'<br />
<br />
config zone<br />
option forward 'REJECT'<br />
option output 'ACCEPT'<br />
option input 'REJECT'<br />
option masq '1'<br />
option mtu_fix '1'<br />
option network 'swan'<br />
option name 'swan'<br />
<br />
config rule<br />
option target 'ACCEPT'<br />
option family 'ipv4'<br />
option proto 'udp'<br />
option src 'slan'<br />
option name 'Secure DHCP'<br />
option dest_port '67-68'<br />
<br />
config rule<br />
option target 'ACCEPT'<br />
option src 'slan'<br />
option name 'Secure DNS'<br />
option dest_port '53'<br />
option family 'ipv4'<br />
<br />
config forwarding<br />
option dest 'swan'<br />
option src 'slan'<br />
</source><br />
<br />
Creare dentro a /etc/openvpn il file client.conf e aggiungere i certificati nella stessa cartella.<br />
<br />
Il mio è così:<br />
<source lang=sh><br />
client<br />
dev tun<br />
proto tcp<br />
<br />
remote [indirizzo] 443<br />
resolv-retry infinite<br />
#redirect-gateway def1<br />
route-nopull<br />
<br />
nobind<br />
<br />
persist-tun<br />
persist-key<br />
<br />
ca ca.crt<br />
cert roadwarrior.crt<br />
key roadwarrior.key<br />
remote-cert-tls server<br />
<br />
verb 1<br />
<br />
script-security 3<br />
route-delay 5<br />
route-up "/etc/openvpn/route-up.sh"<br />
keepalive 10 60<br />
</source><br />
<br />
E' importante la riga '''route-nopull''' perchè non deve ereditare la tabella di routing dal server<br />
<br />
Nella stessa cartella aggiungere anche il file '''route-up.sh''', dargli le autorizzazioni e inserire all'interno il seguente script:<br />
<br />
<source lang=sh><br />
#!/bin/sh<br />
<br />
# Checks to see if there is an IP routing table named 'vpn', create if missing<br />
if [ $(cat /etc/iproute2/rt_tables | grep vpn | wc -l) -eq 0 ]; then<br />
echo "100 vpn" >> /etc/iproute2/rt_tables<br />
fi<br />
<br />
echo "------------------------------------------------------------------"<br />
ip route show<br />
echo "------------------------------------------------------------------"<br />
<br />
# Remove any previous routes in the 'vpn' routing table<br />
ip rule | sed -n 's/.*\(from[ \t]*[0-9\.]*\).*vpn/\1/p' | while read RULE<br />
do<br />
echo "remove old rule: /bin/ip rule del ${RULE}"<br />
/bin/ip rule del ${RULE}<br />
done<br />
<br />
#echo ifconfig_remote: ${ifconfig_remote} dev: ${dev} > /tmp/antani<br />
<br />
# Add routes to the vpn routing table<br />
echo ip rule add from 192.168.251.0/24 lookup vpn prio 1000<br />
ip rule add from 192.168.251.0/24 lookup vpn prio 1000<br />
<br />
# Add the route to direct all traffic using the the vpn routing table to the tunX interface<br />
echo ip route add default via ${ifconfig_remote} dev ${dev} table vpn<br />
ip route add default via ${ifconfig_remote} dev ${dev} table vpn<br />
<br />
#add a route for the lan itself<br />
echo ip route add 192.168.251.0/24 dev br-slan table vpn<br />
ip route add 192.168.251.0/24 dev br-slan table vpn<br />
<br />
ip route flush cache<br />
<br />
exit 0<br />
</source><br />
<br />
In questo modo openvpn parte all'avvio e cerca di connettersi al server, una volta connessa crea una tabella di routing specifica per la slan (source routing)<br />
<br />
<br />
<br />
Creare 2 wlan sulla wifi integrata (radio0) bridgiate con lan e slan. Le ho chiamate rispettivamente '''unsecure''' e '''secure'''<br />
<br />
<br />
Teoricamente se tutto è configurato bene quando si è collegati alla lan (o la wifi unsecure) è possibile navigare in internet in maniera non sicura.<br />
<br />
Aprendo il sito http://whatismyipaddress.com/ o simili la connessione proviene dal provider dell'hotspot<br />
<br />
Quando si è collegati alla slan (quindi la wifi secure) è possibile collegarsi alla lan che ospita la vpn (la lan di casa mia), e l'indirizzo ip che appare è quello della lan remota.<br />
<br />
<br />
<br />
Per fare in modo che il router si colleghi ad una lista di wifi conosciute ho usato queste istruzioni<br />
<br />
https://forum.openwrt.org/viewtopic.php?id=43352<br />
<br />
Ho modificato il file wifiMgr.sh cambiando i nomi delle interfacce e aggiungendo alcune funzioni come segue:<br />
<br />
<source lang=sh><br />
#!/bin/sh<br />
. /etc/wifiMgr/config<br />
<br />
<br />
randMacAddr()<br />
{<br />
<br />
macaddr=$(dd if=/dev/urandom bs=1024 count=1 2>/dev/null|md5sum|sed 's/^\(..\)\(..\)\(..\)\(..\)\(..\)\(..\).*$/00:\2:\3:\4:\5:01/')<br />
uci set wireless.@wifi-iface[2].macaddr="$macaddr"<br />
uci commit wireless<br />
/etc/init.d/network restart<br />
<br />
}<br />
<br />
<br />
NetStatus()<br />
{<br />
logger WifiMgr: Checking network...<br />
net=$(ping 8.8.8.8 -c5 |grep "time=")<br />
if [ "$net" ]; then<br />
logger WifiMgr: Network OK<br />
#got ping response!<br />
return<br />
else<br />
logger WifiMgr: Network failed. Starting network change...<br />
NetChange<br />
fi<br />
}<br />
<br />
<br />
<br />
NetChange()<br />
{<br />
logger WifiMgr: Performing network scan...<br />
<br />
source /etc/wifiMgr/config<br />
<br />
scanres=<br />
ifconfig wlan1 down<br />
iw phy phy0 interface add scan0 type station<br />
ifconfig scan0 up<br />
<br />
while [ "$scanres" = "" ]; do<br />
#Sometimes it shows nothing, so better to ensure we did a correct scan<br />
scanres=$(iw scan0 scan|grep SSID)<br />
done<br />
<br />
iw dev scan0 del<br />
ifconfig wlan1 up<br />
killall -HUP hostapd<br />
logger WifiMgr: WifiMgr: Searching available networks...<br />
<br />
if [ "$1" ]; then<br />
ssid=net"$1"_ssid<br />
eval ssid=\$$ssid<br />
echo Trying to connect to network "$1"": $ssid"<br />
n=$(expr "$1" - "1")<br />
else<br />
n=0<br />
fi<br />
<br />
while [ "1" ]; do<br />
n=$(expr "$n" + "1")<br />
<br />
if [ "$n" = "99" ]; then<br />
#too much counts. Crazy wireless count, breaking loop!<br />
break<br />
fi<br />
<br />
ssid=net"$n"_ssid<br />
encrypt=net"$n"_encrypt<br />
key=net"$n"_key<br />
<br />
eval ssid=\$$ssid<br />
eval encrypt=\$$encrypt<br />
eval key=\$$key<br />
<br />
if [ "$ssid" = "" ]; then<br />
#ssid not existing or empty. Assume it's the end of the wlist file<br />
break<br />
fi<br />
echo SSID: $ssid<br />
#echo KEY: $key<br />
#echo SEGURIDAD: $encrypt<br />
<br />
<br />
active=$(echo $scanres | grep " $ssid ">&1 )<br />
if [ "$active" ]; then<br />
if [ "$1" ]; then<br />
echo Network found. Connecting...<br />
fi<br />
logger WifiMgr: "$ssid" network found. Applying settings..<br />
uci set wireless.@wifi-iface[2].ssid="$ssid"<br />
uci set wireless.@wifi-iface[2].encryption="$encrypt"<br />
uci set wireless.@wifi-iface[2].key="$key"<br />
uci set wireless.@wifi-iface[2].bssid=""<br />
uci commit wireless<br />
/etc/init.d/network restart<br />
<br />
#wait some seconds for everything to connect and configure<br />
sleep $NewConnCheckTimer<br />
logger WifiMgr: Checking connectivity...<br />
<br />
#check for internet connection, 5 ping sends<br />
net=$(ping google.es -c5 |grep "time=")<br />
if [ "$net" ]; then<br />
#got ping response!<br />
logger WifiMgr: Internet working! Searching ended<br />
if [ "$1" ]; then<br />
echo Sucess!<br />
fi<br />
break<br />
fi<br />
if [ "$1" ]; then<br />
echo Connection failed!<br />
break<br />
fi<br />
logger WifiMgr: Failed! Searching next available network...<br />
fi<br />
done<br />
}<br />
<br />
if [ "$1" = "" ]; then<br />
echo "No arguments supplied"<br />
<br />
elif [ "$1" = "--force" ]; then<br />
NetChange $2<br />
<br />
elif [ "$1" = "--daemon" ]; then<br />
<br />
if [ "$randMac" = "1" ]; then<br />
randMacAddr <br />
fi<br />
NetChange<br />
<br />
while [ "1" ]; do<br />
sleep $ConnCheckTimer<br />
NetStatus<br />
done<br />
<br />
else<br />
echo "Wrong arguments"<br />
fi<br />
</source> <br />
<br />
L'avvio con /etc/init.d ha qualche problema, e a volte scollega tutte le wifi ricollegandosi, ma tutto sommato funziona.<br />
<br />
=== Idee e cose da provare ===<br />
<br />
Non ne so molto di reti routing e firewall, arrivare a questo risultato è stato molto faticoso e frutto di notte insonni e continui insuccessi.<br />
<br />
Lo so, è fatto male e si poteva fare meglio ma non so come.<br />
<br />
Se qualcuno vuole contribuire e migliorare il progetto è benvenuto.<br />
<br />
<br />
<br />
Un problema è che le query DNS escono sempre dalla wan che non è sicura, bisognerebbe farle girare attraverso la vpn<br />
<br />
<br />
E' possibile accendere e spegnere il wifi con questo script (che avevo fatto partire con il connect della vpn), da testare<br />
<br />
<source lang=sh><br />
#!/bin/sh<br />
<br />
#secure<br />
uci set wireless.@wifi-iface[1].disabled='0'<br />
wifi<br />
#unsecure<br />
uci set wireless.@wifi-iface[0].disabled='1'<br />
wifi<br />
<br />
exit 0<br />
</source><br />
<br />
Sarebbe bello utilizzare la porta ethernet come wan per collegarsi via cavo. Impostando un indirizzo ip statico di management in caso di emergenza<br />
<br />
<br />
Di solito i router hanno 1-2 led. Farebbe comodo sapere dai led se la wan e la vpn sono collegate (lampeggio o accensione continua)<br />
<br />
[[Category:Progetti]]</div>Itechttps://www.raspibo.org/wiki/index.php?title=RoadWarrior&diff=4656RoadWarrior2015-10-30T23:11:11Z<p>Itec: </p>
<hr />
<div>= Scopo =<br />
<br />
Questo progetto nasce dall'esigenza di portarsi sempre con se la propria rete anche quando si è in viaggio dispositivi che rendono tutto questo possibile si chiamano Road Warrior [http://en.wikipedia.org/wiki/Road_warrior_%28computing%29] <br />
<br />
Avere sempre con se una rete wifi sicura e che i nostri dispositivi conoscono ci evita ogni volta di riconfigurarli.<br />
<br />
In presenza di captive portal basta collegarsi da un solo dispositivo per dare connettività a tutti gli altri.<br />
<br />
E' presente anche una wireless sicura che dirotta tutto il traffico attraverso una VPN, per avere un'uscita verso internet criptata.<br />
<br />
Il sistema inoltre può essere reso modulare aggiungendo moduli che si connettono ad esempio in wifi, 3G o quello che preferiamo.<br />
<br />
Tutto questo puo' essere realizzato con un access point router di dimensioni compatte, facile da aggiungere al bagaglio, tipicamente il Road Warrior ha piu' di una interfaccia di rete e magari una porta usb.<br />
<br />
Gli esperimenti descritti di seguito sono stati condotti su due modelli:<br />
* HooToo Trip Mate Nano [http://www.hootoo.com/hootoo-tripmate-nano-ht-tm02-wireless-portable-router.html] molto compatto con porta Ethernet, wifi, USB<br />
* AUKEY PB-W1, che è un router portatile con powerbank integrato, wifi, ethernet e usb.<br />
<br />
Il modello del router non e' fondamentale, e' importante che il router sia compatibile con OpenWRT e che abbia almeno 8MB di flash (necessaria per installare OpenVPN).<br />
<br />
= Aggiornamento firmware sul router HooToo =<br />
<br />
In questo caso utilizziamo un piccolo access point portatile su cui installiamo il firmware openwrt, il modello non è importante, quello che conta è che il dispositivo sia compatibile con questo firmware.<br />
<br />
Di seguito la procedura per installare openwrt su HooToo, un access point a basso costo, con wifi interno, presa per la rete cablata, alimentato con usb, switch hardware.<br />
<br />
L'installazione del firmware è riportata sul wiki di openwrt: http://wiki.openwrt.org/toh/hootoo/tripmate-nano.<br />
<br />
Il dispositivo ha bisogno di una memoria usb esterna, ad esempio una chiavetta su cui appoggiare il file con il nuovo firmware.<br />
<br />
Per caricare openwrt, spostare lo switch sul router nella posizione "mondo", inserire una chiavetta di memoria usb nello slot.<br />
<br />
Collegarsi al router tramite wifi e sull'interfaccia web caricare il firmware openwrt.<br />
<br />
'''Attendere 5 minuti di orologio''' scollegare l'alimentazione e ricollegarla. <br />
<br />
A questo punto ci si può collegare al router con il cavo ethernet.<br />
<br />
D'ora in poi sara' possibile utilizzare i files con il firmware ufficiale openwrt.<br />
<br />
Riportiamo per comodita' il link dell'ultimo firmware per hootoo (al momento in cui viene editata la pagina): [https://downloads.openwrt.org/chaos_calmer/15.05/ramips/rt305x/openwrt-15.05-ramips-rt305x-ht-tm02-squashfs-sysupgrade.bin openwrt-15.05-ramips-rt305x-ht-tm02-squashfs-sysupgrade.bin]<br />
<br />
<br />
= Configurazione =<br />
<br />
- Inserire la parte di installazione di openwrt - <br />
<br />
<br />
=== Configurazione WiFi client ===<br />
Collegarsi al router all'indirizzo 192.168.1.1.<br />
<br />
Cambiare indirizzo ip della lan e applicare le modifiche, io ho usato 192.168.250.1. Fatto questo bisogna ricollegarsi al router al nuovo indirizzo.<br />
<br />
Accedere ad internet andando su Network - Wifi.<br />
<br />
Cercare una wifi conosciuta facendo scan sulla scheda di rete interna.<br />
<br />
Impostare la password di rete e salvare applicando le modifiche.<br />
<br />
=== Aggiornamento software e installazione pacchetti ===<br />
<br />
Collegarsi al router in ssh (ad esempio con il programma Putty).<br />
<br />
Installare i pacchetti dando i seguenti comandi:<br />
opkg update<br />
opkg install nano<br />
opkg install luci-ssl<br />
<br />
Voglio usare sue schede wifi, quella integrata per esporre le mie reti, una esterna per collegarsi all'hotspot che fornisce connettività.<br />
<br />
Per il supporto periferiche usb ho dovuto installare i seguenti pacchetti:<br />
opkg install kmod-usb-core kmod-usb-ohci kmod-usb2<br />
<br />
Per fargli riconoscere la mia scheda wifi "blueway"<br />
opkg install kmod-rt2800-lib kmod-rt2800-usb kmod-rt2x00-lib kmod-rt2x00-usb<br />
<br />
<br />
Riavviare per permettere al router di individuare la scheda.<br />
Rientrando su Luci, andare su network - wifi e controllare se è apparsa la seconda interfaccia radio<br />
<br />
Cancellare le reti, utilizzare la seconda scheda di rete per collegarsi ad internet<br />
<br />
<br />
Andare su System - system e configurare il nome del dispositivo (che apparirà anche nel nome file quando si salva la configurazione)<br />
<br />
Volendo cambiare i server ntp (ntp1.inrim.it,ntp2.inrim.it)<br />
<br />
<br />
Installare openvpn<br />
<br />
opkg install openvpn-openssl<br />
<br />
Creare un'interfaccia '''slan''', con ip statico diverso dalla lan (es 192.168.251.1), interfaccia fisica slan, e con dhcp<br />
<br />
Creare un'interfaccia '''swan''', unmanaged, con interfaccia fisica tun0<br />
<br />
Per farlo vanno aggiunte queste righe su etc/config/network<br />
<br />
config interface 'swan'<br />
option ifname 'tun0'<br />
option proto 'none'<br />
<br />
config interface 'slan'<br />
option proto 'static'<br />
option ipaddr '192.168.251.1'<br />
option netmask '255.255.255.0'<br />
option _orig_ifname 'lan0'<br />
option _orig_bridge 'false'<br />
option type 'bridge'<br />
option ifname 'slan'<br />
<br />
Controllare che il dhcp sia attivo sull'interfaccia slan<br />
<br />
Applicare le regole firewall [...]<br />
<br />
Inserire queste righe su /etc/config/network<br />
<br />
config zone<br />
option input 'ACCEPT'<br />
option output 'ACCEPT'<br />
option name 'slan'<br />
option network 'slan'<br />
option forward 'REJECT'<br />
<br />
config zone<br />
option forward 'REJECT'<br />
option output 'ACCEPT'<br />
option input 'REJECT'<br />
option masq '1'<br />
option mtu_fix '1'<br />
option network 'swan'<br />
option name 'swan'<br />
<br />
config rule<br />
option target 'ACCEPT'<br />
option family 'ipv4'<br />
option proto 'udp'<br />
option src 'slan'<br />
option name 'Secure DHCP'<br />
option dest_port '67-68'<br />
<br />
config rule<br />
option target 'ACCEPT'<br />
option src 'slan'<br />
option name 'Secure DNS'<br />
option dest_port '53'<br />
option family 'ipv4'<br />
<br />
config forwarding<br />
option dest 'swan'<br />
option src 'slan'<br />
<br />
<br />
Creare dentro a /etc/openvpn il file client.conf e aggiungere i certificati nella stessa cartella.<br />
<br />
Il mio è così:<br />
<br />
client<br />
dev tun<br />
proto tcp<br />
<br />
remote [indirizzo] 443<br />
resolv-retry infinite<br />
#redirect-gateway def1<br />
route-nopull<br />
<br />
nobind<br />
<br />
persist-tun<br />
persist-key<br />
<br />
ca ca.crt<br />
cert roadwarrior.crt<br />
key roadwarrior.key<br />
remote-cert-tls server<br />
<br />
verb 1<br />
<br />
script-security 3<br />
route-delay 5<br />
route-up "/etc/openvpn/route-up.sh"<br />
keepalive 10 60<br />
<br />
<br />
E' importante la riga '''route-nopull''' perchè non deve ereditare la tabella di routing dal server<br />
<br />
Nella stessa cartella aggiungere anche il file '''route-up.sh''', dargli le autorizzazioni e inserire all'interno il seguente script:<br />
<br />
#!/bin/sh<br />
<br />
# Checks to see if there is an IP routing table named 'vpn', create if missing<br />
if [ $(cat /etc/iproute2/rt_tables | grep vpn | wc -l) -eq 0 ]; then<br />
echo "100 vpn" >> /etc/iproute2/rt_tables<br />
fi<br />
<br />
echo "------------------------------------------------------------------"<br />
ip route show<br />
echo "------------------------------------------------------------------"<br />
<br />
# Remove any previous routes in the 'vpn' routing table<br />
ip rule | sed -n 's/.*\(from[ \t]*[0-9\.]*\).*vpn/\1/p' | while read RULE<br />
do<br />
echo "remove old rule: /bin/ip rule del ${RULE}"<br />
/bin/ip rule del ${RULE}<br />
done<br />
<br />
#echo ifconfig_remote: ${ifconfig_remote} dev: ${dev} > /tmp/antani<br />
<br />
# Add routes to the vpn routing table<br />
echo ip rule add from 192.168.251.0/24 lookup vpn prio 1000<br />
ip rule add from 192.168.251.0/24 lookup vpn prio 1000<br />
<br />
# Add the route to direct all traffic using the the vpn routing table to the tunX interface<br />
echo ip route add default via ${ifconfig_remote} dev ${dev} table vpn<br />
ip route add default via ${ifconfig_remote} dev ${dev} table vpn<br />
<br />
#add a route for the lan itself<br />
echo ip route add 192.168.251.0/24 dev br-slan table vpn<br />
ip route add 192.168.251.0/24 dev br-slan table vpn<br />
<br />
ip route flush cache<br />
<br />
exit 0<br />
<br />
<br />
In questo modo openvpn parte all'avvio e cerca di connettersi al server, una volta connessa crea una tabella di routing specifica per la slan (source routing)<br />
<br />
<br />
<br />
Creare 2 wlan sulla wifi integrata (radio0) bridgiate con lan e slan. Le ho chiamate rispettivamente '''unsecure''' e '''secure'''<br />
<br />
<br />
Teoricamente se tutto è configurato bene quando si è collegati alla lan (o la wifi unsecure) è possibile navigare in internet in maniera non sicura.<br />
<br />
Aprendo il sito http://whatismyipaddress.com/ o simili la connessione proviene dal provider dell'hotspot<br />
<br />
Quando si è collegati alla slan (quindi la wifi secure) è possibile collegarsi alla lan che ospita la vpn (la lan di casa mia), e l'indirizzo ip che appare è quello della lan remota.<br />
<br />
<br />
<br />
Per fare in modo che il router si colleghi ad una lista di wifi conosciute ho usato queste istruzioni<br />
<br />
https://forum.openwrt.org/viewtopic.php?id=43352<br />
<br />
Ho modificato il file wifiMgr.sh cambiando i nomi delle interfacce e aggiungendo alcune funzioni come segue:<br />
<br />
#!/bin/sh<br />
. /etc/wifiMgr/config<br />
<br />
<br />
randMacAddr()<br />
{<br />
<br />
macaddr=$(dd if=/dev/urandom bs=1024 count=1 2>/dev/null|md5sum|sed 's/^\(..\)\(..\)\(..\)\(..\)\(..\)\(..\).*$/00:\2:\3:\4:\5:01/')<br />
uci set wireless.@wifi-iface[2].macaddr="$macaddr"<br />
uci commit wireless<br />
/etc/init.d/network restart<br />
<br />
}<br />
<br />
<br />
NetStatus()<br />
{<br />
logger WifiMgr: Checking network...<br />
net=$(ping 8.8.8.8 -c5 |grep "time=")<br />
if [ "$net" ]; then<br />
logger WifiMgr: Network OK<br />
#got ping response!<br />
return<br />
else<br />
logger WifiMgr: Network failed. Starting network change...<br />
NetChange<br />
fi<br />
}<br />
<br />
<br />
<br />
NetChange()<br />
{<br />
logger WifiMgr: Performing network scan...<br />
<br />
source /etc/wifiMgr/config<br />
<br />
scanres=<br />
ifconfig wlan1 down<br />
iw phy phy0 interface add scan0 type station<br />
ifconfig scan0 up<br />
<br />
while [ "$scanres" = "" ]; do<br />
#Sometimes it shows nothing, so better to ensure we did a correct scan<br />
scanres=$(iw scan0 scan|grep SSID)<br />
done<br />
<br />
iw dev scan0 del<br />
ifconfig wlan1 up<br />
killall -HUP hostapd<br />
logger WifiMgr: WifiMgr: Searching available networks...<br />
<br />
if [ "$1" ]; then<br />
ssid=net"$1"_ssid<br />
eval ssid=\$$ssid<br />
echo Trying to connect to network "$1"": $ssid"<br />
n=$(expr "$1" - "1")<br />
else<br />
n=0<br />
fi<br />
<br />
while [ "1" ]; do<br />
n=$(expr "$n" + "1")<br />
<br />
if [ "$n" = "99" ]; then<br />
#too much counts. Crazy wireless count, breaking loop!<br />
break<br />
fi<br />
<br />
ssid=net"$n"_ssid<br />
encrypt=net"$n"_encrypt<br />
key=net"$n"_key<br />
<br />
eval ssid=\$$ssid<br />
eval encrypt=\$$encrypt<br />
eval key=\$$key<br />
<br />
if [ "$ssid" = "" ]; then<br />
#ssid not existing or empty. Assume it's the end of the wlist file<br />
break<br />
fi<br />
echo SSID: $ssid<br />
#echo KEY: $key<br />
#echo SEGURIDAD: $encrypt<br />
<br />
<br />
active=$(echo $scanres | grep " $ssid ">&1 )<br />
if [ "$active" ]; then<br />
if [ "$1" ]; then<br />
echo Network found. Connecting...<br />
fi<br />
logger WifiMgr: "$ssid" network found. Applying settings..<br />
uci set wireless.@wifi-iface[2].ssid="$ssid"<br />
uci set wireless.@wifi-iface[2].encryption="$encrypt"<br />
uci set wireless.@wifi-iface[2].key="$key"<br />
uci set wireless.@wifi-iface[2].bssid=""<br />
uci commit wireless<br />
/etc/init.d/network restart<br />
<br />
#wait some seconds for everything to connect and configure<br />
sleep $NewConnCheckTimer<br />
logger WifiMgr: Checking connectivity...<br />
<br />
#check for internet connection, 5 ping sends<br />
net=$(ping google.es -c5 |grep "time=")<br />
if [ "$net" ]; then<br />
#got ping response!<br />
logger WifiMgr: Internet working! Searching ended<br />
if [ "$1" ]; then<br />
echo Sucess!<br />
fi<br />
break<br />
fi<br />
if [ "$1" ]; then<br />
echo Connection failed!<br />
break<br />
fi<br />
logger WifiMgr: Failed! Searching next available network...<br />
fi<br />
done<br />
}<br />
<br />
if [ "$1" = "" ]; then<br />
echo "No arguments supplied"<br />
<br />
elif [ "$1" = "--force" ]; then<br />
NetChange $2<br />
<br />
elif [ "$1" = "--daemon" ]; then<br />
<br />
if [ "$randMac" = "1" ]; then<br />
randMacAddr <br />
fi<br />
NetChange<br />
<br />
while [ "1" ]; do<br />
sleep $ConnCheckTimer<br />
NetStatus<br />
done<br />
<br />
else<br />
echo "Wrong arguments"<br />
fi<br />
<br />
<br />
L'avvio con /etc/init.d ha qualche problema, e a volte scollega tutte le wifi ricollegandosi, ma tutto sommato funziona.<br />
<br />
<br />
<br />
<br />
=== Idee e cose da provare ===<br />
<br />
Non ne so molto di reti routing e firewall, arrivare a questo risultato è stato molto faticoso e frutto di notte insonni e continui insuccessi.<br />
<br />
Lo so, è fatto male e si poteva fare meglio ma non so come.<br />
<br />
Se qualcuno vuole contribuire e migliorare il progetto è benvenuto.<br />
<br />
<br />
<br />
Un problema è che le query DNS escono sempre dalla wan che non è sicura, bisognerebbe farle girare attraverso la vpn<br />
<br />
<br />
E' possibile accendere e spegnere il wifi con questo script (che avevo fatto partire con il connect della vpn), da testare<br />
<br />
#!/bin/sh<br />
<br />
#secure<br />
uci set wireless.@wifi-iface[1].disabled='0'<br />
wifi<br />
#unsecure<br />
uci set wireless.@wifi-iface[0].disabled='1'<br />
wifi<br />
<br />
exit 0<br />
<br />
<br />
Sarebbe bello utilizzare la porta ethernet come wan per collegarsi via cavo. Impostando un indirizzo ip statico di management in caso di emergenza<br />
<br />
<br />
Di solito i router hanno 1-2 led. Farebbe comodo sapere dai led se la wan e la vpn sono collegate (lampeggio o accensione continua)</div>Itechttps://www.raspibo.org/wiki/index.php?title=RoadWarrior&diff=4647RoadWarrior2015-10-27T22:31:59Z<p>Itec: </p>
<hr />
<div>=== Scopo ===<br />
<br />
Questo progetto nasce dall'esigenza di portarsi sempre con se la propria rete anche quando si è in viaggio http://en.wikipedia.org/wiki/Road_warrior_%28computing%29 <br />
<br />
Avere sempre con se una rete wifi sicura e che i nostri dispositivi conoscono ci evita ogni volta di riconfigurarli.<br />
<br />
Il sistema inoltre può essere reso modulare aggiungendo moduli che si connettono ad esempio in wifi, 3G o quello che preferiamo.<br />
<br />
=== Aggiornamento firmware sul router ===<br />
In questo caso utilizziamo un piccolo access point portatile su cui installiamo il firmware openwrt, il modello non è importante, quello che conta è che il dispositivo sia compatibile con questo firmware.<br />
<br />
Di seguito la procedura per installare openwrt su HooToo, un access point a basso costo, con wifi interno, presa per la rete cablata, alimentato con usb, switch hardware.<br />
<br />
L'installazione del firmware è riportata sul wiki di openwrt: http://wiki.openwrt.org/toh/hootoo/tripmate-nano.<br />
<br />
Il dispositivo ha bisogno di una memoria usb esterna, ad esempio una chiavetta su cui appoggiare il file con il nuovo firmware.<br />
<br />
Per caricare openwrt, spostare lo switch sul router nella posizione "mondo", inserire una chiavetta di memoria usb nello slot.<br />
<br />
Collegarsi al router tramite wifi e sull'interfaccia web caricare il firmware openwrt.<br />
<br />
'''Attendere 5 minuti di orologio''' scollegare l'alimentazione e ricollegarla. <br />
<br />
A questo punto ci si può collegare al router con il cavo ethernet.<br />
<br />
<br />
Ultimo firmware per hootoo:<br />
<br />
https://downloads.openwrt.org/chaos_calmer/15.05/ramips/rt305x/openwrt-15.05-ramips-rt305x-ht-tm02-squashfs-sysupgrade.bin<br />
<br />
<br />
<br />
<br />
<br />
<br />
=== Info (by itec, da sistemare) ===<br />
<br />
Il "RoadWarrior" è un router portatile che permette di condividere una connessione ad internet wireless, in modo sicuro.<br />
<br />
Una volta collegato ad un hotspot fornisce facilmente connettività wireless a tutti i dispositivi già associati.<br />
<br />
In presenza di captive portal basta collegarsi da un solo dispositivo per dare connettività a tutti gli altri.<br />
<br />
E' presente anche una wireless sicura che dirotta tutto il traffico attraverso una VPN, per avere un'uscita verso internet criptata.<br />
<br />
<br />
Per fare le prove ho usato un router AUKEY PB-W1, che è un router portatile con powerbanck integrato, wifi, ethernet e usb.<br />
<br />
In alternativa si può usare un Hootoo Tripmate Nano, o qualsiasi altro router a patto che riesca a supportare OpenWRT e che abbia almeno 8MB di flash (necessaria per installare OpenVPN<br />
<br />
<br />
<br />
=== Howto un po' incasinato ===<br />
<br />
- Inserire la parte di installazione di openwrt - <br />
<br />
<br />
Collegarsi al router all'indirizzo 192.168.1.1, impostare la password e accedere ad internet andando su Network - Wifi.<br />
Cercare una wifi conosciuta facendo scan sulla scheda di rete interna<br />
<br />
<br />
Collegarsi al router in ssh (per gli utenti windows c'è Putty che funziona molto bene)<br />
<br />
Installare i pacchetti dando i seguenti comandi:<br />
opkg update<br />
opkg install nano<br />
opkg install luci-ssl<br />
<br />
Voglio usare sue schede wifi, quella integrata per esporre le mie reti, una esterna per collegarsi all'hotspot che fornisce connettività.<br />
<br />
Per il supporto periferiche usb ho dovuto installare i seguenti pacchetti:<br />
opkg install kmod-usb-core kmod-usb-ohci kmod-usb2<br />
<br />
Per fargli riconoscere la mia scheda wifi "blueway"<br />
opkg install kmod-rt2800-lib kmod-rt2800-usb kmod-rt2x00-lib kmod-rt2x00-usb<br />
<br />
<br />
Riavviare per permettere al router di individuare la scheda.<br />
Rientrando su Luci, andare su network - wifi e controllare se è apparsa la seconda interfaccia radio<br />
<br />
Cancellare le reti, utilizzare la seconda scheda di rete per collegarsi ad internet<br />
<br />
Configurare la lan con un ip statico (es 192.168.250.1) e dhcp server<br />
<br />
<br />
<br />
Andare su System - system e configurare il nome del dispositivo (che apparirà anche nel nome file quando si salva la configurazione)<br />
<br />
Volendo cambiare i server ntp (ntp1.inrim.it,ntp2.inrim.it)<br />
<br />
<br />
Installare openvpn<br />
<br />
opkg install openvpn-openssl<br />
<br />
Creare un'interfaccia '''slan''', con ip statico diverso dalla lan (es 192.168.251.1), interfaccia fisica slan, e con dhcp<br />
<br />
Creare un'interfaccia '''swan''', unmanaged, con interfaccia fisica tun0<br />
<br />
Vanno aggiunte queste righe su etc/config/network<br />
<br />
config interface 'swan'<br />
option ifname 'tun0'<br />
option proto 'none'<br />
<br />
config interface 'slan'<br />
option proto 'static'<br />
option ipaddr '192.168.251.1'<br />
option netmask '255.255.255.0'<br />
option _orig_ifname 'lan0'<br />
option _orig_bridge 'false'<br />
option type 'bridge'<br />
option ifname 'slan'<br />
<br />
Controllare che il dhcp sia attivo sull'interfaccia slan<br />
<br />
Applicare le regole firewall [...]<br />
<br />
Inserire queste righe su /etc/config/network<br />
<br />
config zone<br />
option input 'ACCEPT'<br />
option output 'ACCEPT'<br />
option name 'slan'<br />
option network 'slan'<br />
option forward 'REJECT'<br />
<br />
config zone<br />
option forward 'REJECT'<br />
option output 'ACCEPT'<br />
option input 'REJECT'<br />
option masq '1'<br />
option mtu_fix '1'<br />
option network 'swan'<br />
option name 'swan'<br />
<br />
config rule<br />
option target 'ACCEPT'<br />
option family 'ipv4'<br />
option proto 'udp'<br />
option src 'slan'<br />
option name 'Secure DHCP'<br />
option dest_port '67-68'<br />
<br />
config rule<br />
option target 'ACCEPT'<br />
option src 'slan'<br />
option name 'Secure DNS'<br />
option dest_port '53'<br />
option family 'ipv4'<br />
<br />
config forwarding<br />
option dest 'swan'<br />
option src 'slan'<br />
<br />
<br />
Creare dentro a /etc/openvpn il file client.conf e aggiungere i certificati nella stessa cartella.<br />
<br />
Il mio è così:<br />
<br />
client<br />
dev tun<br />
proto tcp<br />
<br />
remote itec78.no-ip.org 443<br />
resolv-retry infinite<br />
#redirect-gateway def1<br />
route-nopull<br />
<br />
nobind<br />
<br />
persist-tun<br />
persist-key<br />
<br />
ca ca.crt<br />
cert roadwarrior.crt<br />
key roadwarrior.key<br />
remote-cert-tls server<br />
<br />
verb 1<br />
<br />
script-security 3<br />
route-delay 5<br />
route-up "/etc/openvpn/route-up.sh"<br />
keepalive 10 60<br />
<br />
<br />
E' importante la riga '''route-nopull''' perchè non deve ereditare la tabella di routing dal server<br />
<br />
Nella stessa cartella aggiungere anche il file '''route-up.sh''', dargli le autorizzazioni e inserire all'interno il seguente script:<br />
<br />
#!/bin/sh<br />
<br />
# Checks to see if there is an IP routing table named 'vpn', create if missing<br />
if [ $(cat /etc/iproute2/rt_tables | grep vpn | wc -l) -eq 0 ]; then<br />
echo "100 vpn" >> /etc/iproute2/rt_tables<br />
fi<br />
<br />
echo "------------------------------------------------------------------"<br />
ip route show<br />
echo "------------------------------------------------------------------"<br />
<br />
# Remove any previous routes in the 'vpn' routing table<br />
ip rule | sed -n 's/.*\(from[ \t]*[0-9\.]*\).*vpn/\1/p' | while read RULE<br />
do<br />
echo "remove old rule: /bin/ip rule del ${RULE}"<br />
/bin/ip rule del ${RULE}<br />
done<br />
<br />
#echo ifconfig_remote: ${ifconfig_remote} dev: ${dev} > /tmp/antani<br />
<br />
# Add routes to the vpn routing table<br />
echo ip rule add from 192.168.251.0/24 lookup vpn prio 1000<br />
ip rule add from 192.168.251.0/24 lookup vpn prio 1000<br />
<br />
# Add the route to direct all traffic using the the vpn routing table to the tunX interface<br />
echo ip route add default via ${ifconfig_remote} dev ${dev} table vpn<br />
ip route add default via ${ifconfig_remote} dev ${dev} table vpn<br />
<br />
#add a route for the lan itself<br />
echo ip route add 192.168.251.0/24 dev br-slan table vpn<br />
ip route add 192.168.251.0/24 dev br-slan table vpn<br />
<br />
ip route flush cache<br />
<br />
exit 0<br />
<br />
<br />
In questo modo openvpn parte all'avvio e cerca di connettersi al server, una volta connessa crea una tabella di routing specifica per la slan (source routing)<br />
<br />
<br />
<br />
Creare 2 wlan sulla wifi integrata (radio0) bridgiate con lan e slan. Le ho chiamate rispettivamente '''unsecure''' e '''secure'''<br />
<br />
<br />
Teoricamente se tutto è configurato bene quando si è collegati alla lan (o la wifi unsecure) è possibile navigare in internet in maniera non sicura.<br />
<br />
Aprendo il sito http://whatismyipaddress.com/ o simili la connessione proviene dal provider dell'hotspot<br />
<br />
Quando si è collegati alla slan (quindi la wifi secure) è possibile collegarsi alla lan che ospita la vpn (la lan di casa mia), e l'indirizzo ip che appare è quello della lan remota.<br />
<br />
<br />
<br />
Per fare in modo che il router si colleghi ad una lista di wifi conosciute ho usato queste istruzioni<br />
<br />
https://forum.openwrt.org/viewtopic.php?id=43352<br />
<br />
Ho modificato il file wifiMgr.sh cambiando i nomi delle interfacce e aggiungendo alcune funzioni come segue:<br />
<br />
#!/bin/sh<br />
. /etc/wifiMgr/config<br />
<br />
<br />
randMacAddr()<br />
{<br />
<br />
macaddr=$(dd if=/dev/urandom bs=1024 count=1 2>/dev/null|md5sum|sed 's/^\(..\)\(..\)\(..\)\(..\)\(..\)\(..\).*$/00:\2:\3:\4:\5:01/')<br />
uci set wireless.@wifi-iface[2].macaddr="$macaddr"<br />
uci commit wireless<br />
/etc/init.d/network restart<br />
<br />
}<br />
<br />
<br />
NetStatus()<br />
{<br />
logger WifiMgr: Checking network...<br />
net=$(ping 8.8.8.8 -c5 |grep "time=")<br />
if [ "$net" ]; then<br />
logger WifiMgr: Network OK<br />
#got ping response!<br />
return<br />
else<br />
logger WifiMgr: Network failed. Starting network change...<br />
NetChange<br />
fi<br />
}<br />
<br />
<br />
<br />
NetChange()<br />
{<br />
logger WifiMgr: Performing network scan...<br />
<br />
source /etc/wifiMgr/config<br />
<br />
scanres=<br />
ifconfig wlan1 down<br />
iw phy phy0 interface add scan0 type station<br />
ifconfig scan0 up<br />
<br />
while [ "$scanres" = "" ]; do<br />
#Sometimes it shows nothing, so better to ensure we did a correct scan<br />
scanres=$(iw scan0 scan|grep SSID)<br />
done<br />
<br />
iw dev scan0 del<br />
ifconfig wlan1 up<br />
killall -HUP hostapd<br />
logger WifiMgr: WifiMgr: Searching available networks...<br />
<br />
if [ "$1" ]; then<br />
ssid=net"$1"_ssid<br />
eval ssid=\$$ssid<br />
echo Trying to connect to network "$1"": $ssid"<br />
n=$(expr "$1" - "1")<br />
else<br />
n=0<br />
fi<br />
<br />
while [ "1" ]; do<br />
n=$(expr "$n" + "1")<br />
<br />
if [ "$n" = "99" ]; then<br />
#too much counts. Crazy wireless count, breaking loop!<br />
break<br />
fi<br />
<br />
ssid=net"$n"_ssid<br />
encrypt=net"$n"_encrypt<br />
key=net"$n"_key<br />
<br />
eval ssid=\$$ssid<br />
eval encrypt=\$$encrypt<br />
eval key=\$$key<br />
<br />
if [ "$ssid" = "" ]; then<br />
#ssid not existing or empty. Assume it's the end of the wlist file<br />
break<br />
fi<br />
echo SSID: $ssid<br />
#echo KEY: $key<br />
#echo SEGURIDAD: $encrypt<br />
<br />
<br />
active=$(echo $scanres | grep " $ssid ">&1 )<br />
if [ "$active" ]; then<br />
if [ "$1" ]; then<br />
echo Network found. Connecting...<br />
fi<br />
logger WifiMgr: "$ssid" network found. Applying settings..<br />
uci set wireless.@wifi-iface[2].ssid="$ssid"<br />
uci set wireless.@wifi-iface[2].encryption="$encrypt"<br />
uci set wireless.@wifi-iface[2].key="$key"<br />
uci set wireless.@wifi-iface[2].bssid=""<br />
uci commit wireless<br />
/etc/init.d/network restart<br />
<br />
#wait some seconds for everything to connect and configure<br />
sleep $NewConnCheckTimer<br />
logger WifiMgr: Checking connectivity...<br />
<br />
#check for internet connection, 5 ping sends<br />
net=$(ping google.es -c5 |grep "time=")<br />
if [ "$net" ]; then<br />
#got ping response!<br />
logger WifiMgr: Internet working! Searching ended<br />
if [ "$1" ]; then<br />
echo Sucess!<br />
fi<br />
break<br />
fi<br />
if [ "$1" ]; then<br />
echo Connection failed!<br />
break<br />
fi<br />
logger WifiMgr: Failed! Searching next available network...<br />
fi<br />
done<br />
}<br />
<br />
if [ "$1" = "" ]; then<br />
echo "No arguments supplied"<br />
<br />
elif [ "$1" = "--force" ]; then<br />
NetChange $2<br />
<br />
elif [ "$1" = "--daemon" ]; then<br />
<br />
if [ "$randMac" = "1" ]; then<br />
randMacAddr <br />
fi<br />
NetChange<br />
<br />
while [ "1" ]; do<br />
sleep $ConnCheckTimer<br />
NetStatus<br />
done<br />
<br />
else<br />
echo "Wrong arguments"<br />
fi<br />
<br />
<br />
L'avvio con /etc/init.d ha qualche problema, e a volte scollega tutte le wifi ricollegandosi, ma tutto sommato funziona.<br />
<br />
<br />
<br />
<br />
=== Idee e cose da provare ===<br />
<br />
Non ne so molto di reti routing e firewall, arrivare a questo risultato è stato molto faticoso e frutto di notte insonni e continui insuccessi.<br />
<br />
Lo so, è fatto male e si poteva fare meglio ma non so come.<br />
<br />
Se qualcuno vuole contribuire e migliorare il progetto è benvenuto.<br />
<br />
<br />
<br />
Un problema è che le query DNS escono sempre dalla wan che non è sicura, bisognerebbe farle girare attraverso la vpn<br />
<br />
<br />
E' possibile accendere e spegnere il wifi con questo script (che avevo fatto partire con il connect della vpn), da testare<br />
<br />
#!/bin/sh<br />
<br />
#secure<br />
uci set wireless.@wifi-iface[1].disabled='0'<br />
wifi<br />
#unsecure<br />
uci set wireless.@wifi-iface[0].disabled='1'<br />
wifi<br />
<br />
exit 0<br />
<br />
<br />
Sarebbe bello utilizzare la porta ethernet come wan per collegarsi via cavo. Impostando un indirizzo ip statico di management in caso di emergenza<br />
<br />
<br />
Di solito i router hanno 1-2 led. Farebbe comodo sapere dai led se la wan e la vpn sono collegate (lampeggio o accensione continua)</div>Itechttps://www.raspibo.org/wiki/index.php?title=RoadWarrior&diff=4646RoadWarrior2015-10-27T22:27:33Z<p>Itec: </p>
<hr />
<div>=== Scopo ===<br />
<br />
Questo progetto nasce dall'esigenza di portarsi sempre con se la propria rete anche quando si è in viaggio http://en.wikipedia.org/wiki/Road_warrior_%28computing%29 <br />
<br />
Avere sempre con se una rete wifi sicura e che i nostri dispositivi conoscono ci evita ogni volta di riconfigurarli.<br />
<br />
Il sistema inoltre può essere reso modulare aggiungendo moduli che si connettono ad esempio in wifi, 3G o quello che preferiamo.<br />
<br />
=== Aggiornamento firmware sul router ===<br />
In questo caso utilizziamo un piccolo access point portatile su cui installiamo il firmware openwrt, il modello non è importante, quello che conta è che il dispositivo sia compatibile con questo firmware.<br />
<br />
Di seguito la procedura per installare openwrt su HooToo, un access point a basso costo, con wifi interno, presa per la rete cablata, alimentato con usb, switch hardware.<br />
<br />
L'installazione del firmware è riportata sul wiki di openwrt: http://wiki.openwrt.org/toh/hootoo/tripmate-nano.<br />
<br />
Il dispositivo ha bisogno di una memoria usb esterna, ad esempio una chiavetta su cui appoggiare il file con il nuovo firmware.<br />
<br />
Per caricare openwrt, spostare lo switch sul router nella posizione "mondo", inserire una chiavetta di memoria usb nello slot.<br />
<br />
Collegarsi al router tramite wifi e sull'interfaccia web caricare il firmware openwrt.<br />
<br />
'''Attendere 5 minuti di orologio''' scollegare l'alimentazione e ricollegarla. <br />
<br />
A questo punto ci si può collegare al router con il cavo ethernet.<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
=== Info (by itec, da sistemare) ===<br />
<br />
Il "RoadWarrior" è un router portatile che permette di condividere una connessione ad internet wireless, in modo sicuro.<br />
<br />
Una volta collegato ad un hotspot fornisce facilmente connettività wireless a tutti i dispositivi già associati.<br />
<br />
In presenza di captive portal basta collegarsi da un solo dispositivo per dare connettività a tutti gli altri.<br />
<br />
E' presente anche una wireless sicura che dirotta tutto il traffico attraverso una VPN, per avere un'uscita verso internet criptata.<br />
<br />
<br />
Per fare le prove ho usato un router AUKEY PB-W1, che è un router portatile con powerbanck integrato, wifi, ethernet e usb.<br />
<br />
In alternativa si può usare un Hootoo Tripmate Nano, o qualsiasi altro router a patto che riesca a supportare OpenWRT e che abbia almeno 8MB di flash (necessaria per installare OpenVPN<br />
<br />
<br />
<br />
=== Howto un po' incasinato ===<br />
<br />
- Inserire la parte di installazione di openwrt - <br />
<br />
<br />
Collegarsi al router all'indirizzo 192.168.1.1, impostare la password e accedere ad internet andando su Network - Wifi.<br />
Cercare una wifi conosciuta facendo scan sulla scheda di rete interna<br />
<br />
<br />
Collegarsi al router in ssh (per gli utenti windows c'è Putty che funziona molto bene)<br />
<br />
Installare i pacchetti dando i seguenti comandi:<br />
opkg update<br />
opkg install nano<br />
opkg install luci-ssl<br />
<br />
Voglio usare sue schede wifi, quella integrata per esporre le mie reti, una esterna per collegarsi all'hotspot che fornisce connettività.<br />
<br />
Per il supporto periferiche usb ho dovuto installare i seguenti pacchetti:<br />
opkg install kmod-usb-core kmod-usb-ohci kmod-usb2<br />
<br />
Per fargli riconoscere la mia scheda wifi "blueway"<br />
opkg install kmod-rt2800-lib kmod-rt2800-usb kmod-rt2x00-lib kmod-rt2x00-usb<br />
<br />
<br />
Riavviare per permettere al router di individuare la scheda.<br />
Rientrando su Luci, andare su network - wifi e controllare se è apparsa la seconda interfaccia radio<br />
<br />
Cancellare le reti, utilizzare la seconda scheda di rete per collegarsi ad internet<br />
<br />
Configurare la lan con un ip statico (es 192.168.250.1) e dhcp server<br />
<br />
<br />
<br />
Andare su System - system e configurare il nome del dispositivo (che apparirà anche nel nome file quando si salva la configurazione)<br />
<br />
Volendo cambiare i server ntp (ntp1.inrim.it,ntp2.inrim.it)<br />
<br />
<br />
Installare openvpn<br />
<br />
opkg install openvpn-openssl<br />
<br />
Creare un'interfaccia '''slan''', con ip statico diverso dalla lan (es 192.168.251.1), interfaccia fisica slan, e con dhcp<br />
<br />
Creare un'interfaccia '''swan''', unmanaged, con interfaccia fisica tun0<br />
<br />
Vanno aggiunte queste righe su etc/config/network<br />
<br />
config interface 'swan'<br />
option ifname 'tun0'<br />
option proto 'none'<br />
<br />
config interface 'slan'<br />
option proto 'static'<br />
option ipaddr '192.168.251.1'<br />
option netmask '255.255.255.0'<br />
option _orig_ifname 'lan0'<br />
option _orig_bridge 'false'<br />
option type 'bridge'<br />
option ifname 'slan'<br />
<br />
Controllare che il dhcp sia attivo sull'interfaccia slan<br />
<br />
Applicare le regole firewall [...]<br />
<br />
Inserire queste righe su /etc/config/network<br />
<br />
config zone<br />
option input 'ACCEPT'<br />
option output 'ACCEPT'<br />
option name 'slan'<br />
option network 'slan'<br />
option forward 'REJECT'<br />
<br />
config zone<br />
option forward 'REJECT'<br />
option output 'ACCEPT'<br />
option input 'REJECT'<br />
option masq '1'<br />
option mtu_fix '1'<br />
option network 'swan'<br />
option name 'swan'<br />
<br />
config rule<br />
option target 'ACCEPT'<br />
option family 'ipv4'<br />
option proto 'udp'<br />
option src 'slan'<br />
option name 'Secure DHCP'<br />
option dest_port '67-68'<br />
<br />
config rule<br />
option target 'ACCEPT'<br />
option src 'slan'<br />
option name 'Secure DNS'<br />
option dest_port '53'<br />
option family 'ipv4'<br />
<br />
config forwarding<br />
option dest 'swan'<br />
option src 'slan'<br />
<br />
<br />
Creare dentro a /etc/openvpn il file client.conf e aggiungere i certificati nella stessa cartella.<br />
<br />
Il mio è così:<br />
<br />
client<br />
dev tun<br />
proto tcp<br />
<br />
remote itec78.no-ip.org 443<br />
resolv-retry infinite<br />
#redirect-gateway def1<br />
route-nopull<br />
<br />
nobind<br />
<br />
persist-tun<br />
persist-key<br />
<br />
ca ca.crt<br />
cert roadwarrior.crt<br />
key roadwarrior.key<br />
remote-cert-tls server<br />
<br />
verb 1<br />
<br />
script-security 3<br />
route-delay 5<br />
route-up "/etc/openvpn/route-up.sh"<br />
keepalive 10 60<br />
<br />
<br />
E' importante la riga '''route-nopull''' perchè non deve ereditare la tabella di routing dal server<br />
<br />
Nella stessa cartella aggiungere anche il file '''route-up.sh''', dargli le autorizzazioni e inserire all'interno il seguente script:<br />
<br />
#!/bin/sh<br />
<br />
# Checks to see if there is an IP routing table named 'vpn', create if missing<br />
if [ $(cat /etc/iproute2/rt_tables | grep vpn | wc -l) -eq 0 ]; then<br />
echo "100 vpn" >> /etc/iproute2/rt_tables<br />
fi<br />
<br />
echo "------------------------------------------------------------------"<br />
ip route show<br />
echo "------------------------------------------------------------------"<br />
<br />
# Remove any previous routes in the 'vpn' routing table<br />
ip rule | sed -n 's/.*\(from[ \t]*[0-9\.]*\).*vpn/\1/p' | while read RULE<br />
do<br />
echo "remove old rule: /bin/ip rule del ${RULE}"<br />
/bin/ip rule del ${RULE}<br />
done<br />
<br />
#echo ifconfig_remote: ${ifconfig_remote} dev: ${dev} > /tmp/antani<br />
<br />
# Add routes to the vpn routing table<br />
echo ip rule add from 192.168.251.0/24 lookup vpn prio 1000<br />
ip rule add from 192.168.251.0/24 lookup vpn prio 1000<br />
<br />
# Add the route to direct all traffic using the the vpn routing table to the tunX interface<br />
echo ip route add default via ${ifconfig_remote} dev ${dev} table vpn<br />
ip route add default via ${ifconfig_remote} dev ${dev} table vpn<br />
<br />
#add a route for the lan itself<br />
echo ip route add 192.168.251.0/24 dev br-slan table vpn<br />
ip route add 192.168.251.0/24 dev br-slan table vpn<br />
<br />
ip route flush cache<br />
<br />
exit 0<br />
<br />
<br />
In questo modo openvpn parte all'avvio e cerca di connettersi al server, una volta connessa crea una tabella di routing specifica per la slan (source routing)<br />
<br />
<br />
<br />
Creare 2 wlan sulla wifi integrata (radio0) bridgiate con lan e slan. Le ho chiamate rispettivamente '''unsecure''' e '''secure'''<br />
<br />
<br />
Teoricamente se tutto è configurato bene quando si è collegati alla lan (o la wifi unsecure) è possibile navigare in internet in maniera non sicura.<br />
<br />
Aprendo il sito http://whatismyipaddress.com/ o simili la connessione proviene dal provider dell'hotspot<br />
<br />
Quando si è collegati alla slan (quindi la wifi secure) è possibile collegarsi alla lan che ospita la vpn (la lan di casa mia), e l'indirizzo ip che appare è quello della lan remota.<br />
<br />
<br />
<br />
Per fare in modo che il router si colleghi ad una lista di wifi conosciute ho usato queste istruzioni<br />
<br />
https://forum.openwrt.org/viewtopic.php?id=43352<br />
<br />
Ho modificato il file wifiMgr.sh cambiando i nomi delle interfacce e aggiungendo alcune funzioni come segue:<br />
<br />
#!/bin/sh<br />
. /etc/wifiMgr/config<br />
<br />
<br />
randMacAddr()<br />
{<br />
<br />
macaddr=$(dd if=/dev/urandom bs=1024 count=1 2>/dev/null|md5sum|sed 's/^\(..\)\(..\)\(..\)\(..\)\(..\)\(..\).*$/00:\2:\3:\4:\5:01/')<br />
uci set wireless.@wifi-iface[2].macaddr="$macaddr"<br />
uci commit wireless<br />
/etc/init.d/network restart<br />
<br />
}<br />
<br />
<br />
NetStatus()<br />
{<br />
logger WifiMgr: Checking network...<br />
net=$(ping 8.8.8.8 -c5 |grep "time=")<br />
if [ "$net" ]; then<br />
logger WifiMgr: Network OK<br />
#got ping response!<br />
return<br />
else<br />
logger WifiMgr: Network failed. Starting network change...<br />
NetChange<br />
fi<br />
}<br />
<br />
<br />
<br />
NetChange()<br />
{<br />
logger WifiMgr: Performing network scan...<br />
<br />
source /etc/wifiMgr/config<br />
<br />
scanres=<br />
ifconfig wlan1 down<br />
iw phy phy0 interface add scan0 type station<br />
ifconfig scan0 up<br />
<br />
while [ "$scanres" = "" ]; do<br />
#Sometimes it shows nothing, so better to ensure we did a correct scan<br />
scanres=$(iw scan0 scan|grep SSID)<br />
done<br />
<br />
iw dev scan0 del<br />
ifconfig wlan1 up<br />
killall -HUP hostapd<br />
logger WifiMgr: WifiMgr: Searching available networks...<br />
<br />
if [ "$1" ]; then<br />
ssid=net"$1"_ssid<br />
eval ssid=\$$ssid<br />
echo Trying to connect to network "$1"": $ssid"<br />
n=$(expr "$1" - "1")<br />
else<br />
n=0<br />
fi<br />
<br />
while [ "1" ]; do<br />
n=$(expr "$n" + "1")<br />
<br />
if [ "$n" = "99" ]; then<br />
#too much counts. Crazy wireless count, breaking loop!<br />
break<br />
fi<br />
<br />
ssid=net"$n"_ssid<br />
encrypt=net"$n"_encrypt<br />
key=net"$n"_key<br />
<br />
eval ssid=\$$ssid<br />
eval encrypt=\$$encrypt<br />
eval key=\$$key<br />
<br />
if [ "$ssid" = "" ]; then<br />
#ssid not existing or empty. Assume it's the end of the wlist file<br />
break<br />
fi<br />
echo SSID: $ssid<br />
#echo KEY: $key<br />
#echo SEGURIDAD: $encrypt<br />
<br />
<br />
active=$(echo $scanres | grep " $ssid ">&1 )<br />
if [ "$active" ]; then<br />
if [ "$1" ]; then<br />
echo Network found. Connecting...<br />
fi<br />
logger WifiMgr: "$ssid" network found. Applying settings..<br />
uci set wireless.@wifi-iface[2].ssid="$ssid"<br />
uci set wireless.@wifi-iface[2].encryption="$encrypt"<br />
uci set wireless.@wifi-iface[2].key="$key"<br />
uci set wireless.@wifi-iface[2].bssid=""<br />
uci commit wireless<br />
/etc/init.d/network restart<br />
<br />
#wait some seconds for everything to connect and configure<br />
sleep $NewConnCheckTimer<br />
logger WifiMgr: Checking connectivity...<br />
<br />
#check for internet connection, 5 ping sends<br />
net=$(ping google.es -c5 |grep "time=")<br />
if [ "$net" ]; then<br />
#got ping response!<br />
logger WifiMgr: Internet working! Searching ended<br />
if [ "$1" ]; then<br />
echo Sucess!<br />
fi<br />
break<br />
fi<br />
if [ "$1" ]; then<br />
echo Connection failed!<br />
break<br />
fi<br />
logger WifiMgr: Failed! Searching next available network...<br />
fi<br />
done<br />
}<br />
<br />
if [ "$1" = "" ]; then<br />
echo "No arguments supplied"<br />
<br />
elif [ "$1" = "--force" ]; then<br />
NetChange $2<br />
<br />
elif [ "$1" = "--daemon" ]; then<br />
<br />
if [ "$randMac" = "1" ]; then<br />
randMacAddr <br />
fi<br />
NetChange<br />
<br />
while [ "1" ]; do<br />
sleep $ConnCheckTimer<br />
NetStatus<br />
done<br />
<br />
else<br />
echo "Wrong arguments"<br />
fi<br />
<br />
<br />
L'avvio con /etc/init.d ha qualche problema, e a volte scollega tutte le wifi ricollegandosi, ma tutto sommato funziona.<br />
<br />
<br />
<br />
<br />
=== Idee e cose da provare ===<br />
<br />
Non ne so molto di reti routing e firewall, arrivare a questo risultato è stato molto faticoso e frutto di notte insonni e continui insuccessi.<br />
<br />
Lo so, è fatto male e si poteva fare meglio ma non so come.<br />
<br />
Se qualcuno vuole contribuire e migliorare il progetto è benvenuto.<br />
<br />
<br />
<br />
Un problema è che le query DNS escono sempre dalla wan che non è sicura, bisognerebbe farle girare attraverso la vpn<br />
<br />
<br />
E' possibile accendere e spegnere il wifi con questo script (che avevo fatto partire con il connect della vpn), da testare<br />
<br />
#!/bin/sh<br />
<br />
#secure<br />
uci set wireless.@wifi-iface[1].disabled='0'<br />
wifi<br />
#unsecure<br />
uci set wireless.@wifi-iface[0].disabled='1'<br />
wifi<br />
<br />
exit 0<br />
<br />
<br />
Sarebbe bello utilizzare la porta ethernet come wan per collegarsi via cavo. Impostando un indirizzo ip statico di management in caso di emergenza<br />
<br />
<br />
Di solito i router hanno 1-2 led. Farebbe comodo sapere dai led se la wan e la vpn sono collegate (lampeggio o accensione continua)</div>Itechttps://www.raspibo.org/wiki/index.php?title=RoadWarrior&diff=4645RoadWarrior2015-10-27T22:26:04Z<p>Itec: </p>
<hr />
<div>=== Scopo ===<br />
<br />
Questo progetto nasce dall'esigenza di portarsi sempre con se la propria rete anche quando si è in viaggio http://en.wikipedia.org/wiki/Road_warrior_%28computing%29 <br />
<br />
Avere sempre con se una rete wifi sicura e che i nostri dispositivi conoscono ci evita ogni volta di riconfigurarli.<br />
<br />
Il sistema inoltre può essere reso modulare aggiungendo moduli che si connettono ad esempio in wifi, 3G o quello che preferiamo.<br />
<br />
=== Aggiornamento firmware sul router ===<br />
In questo caso utilizziamo un piccolo access point portatile su cui installiamo il firmware openwrt, il modello non è importante, quello che conta è che il dispositivo sia compatibile con questo firmware.<br />
<br />
Di seguito la procedura per installare openwrt su HooToo, un access point a basso costo, con wifi interno, presa per la rete cablata, alimentato con usb, switch hardware.<br />
<br />
L'installazione del firmware è riportata sul wiki di openwrt: http://wiki.openwrt.org/toh/hootoo/tripmate-nano.<br />
<br />
Il dispositivo ha bisogno di una memoria usb esterna, ad esempio una chiavetta su cui appoggiare il file con il nuovo firmware.<br />
<br />
Per caricare openwrt, spostare lo switch sul router nella posizione "mondo", inserire una chiavetta di memoria usb nello slot.<br />
<br />
Collegarsi al router tramite wifi e sull'interfaccia web caricare il firmware openwrt.<br />
<br />
'''Attendere 5 minuti di orologio''' scollegare l'alimentazione e ricollegarla. <br />
<br />
A questo punto ci si può collegare al router con il cavo ethernet.<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
=== Info (by itec, da sistemare) ===<br />
<br />
Il "RoadWarrior" è un router portatile che permette di condividere una connessione ad internet wireless, in modo sicuro.<br />
<br />
Una volta collegato ad un hotspot fornisce facilmente connettività wireless a tutti i dispositivi già associati.<br />
<br />
In presenza di captive portal basta collegarsi da un solo dispositivo per dare connettività a tutti gli altri.<br />
<br />
E' presente anche una wireless sicura che dirotta tutto il traffico attraverso una VPN, per avere un'uscita verso internet criptata.<br />
<br />
<br />
Per fare le prove ho usato un router AUKEY PB-W1, che è un router portatile con powerbanck integrato, wifi, ethernet e usb.<br />
<br />
In alternativa si può usare un Hootoo Tripmate Nano, o qualsiasi altro router a patto che riesca a supportare OpenWRT e che abbia almeno 8MB di flash (necessaria per installare OpenVPN<br />
<br />
<br />
<br />
=== Howto un po' incasinato: ===<br />
<br />
- Inserire la parte di installazione di openwrt - <br />
<br />
<br />
Collegarsi al router all'indirizzo 192.168.1.1, impostare la password e accedere ad internet andando su Network - Wifi.<br />
Cercare una wifi conosciuta facendo scan sulla scheda di rete interna<br />
<br />
<br />
Collegarsi al router in ssh (per gli utenti windows c'è Putty che funziona molto bene)<br />
<br />
Installare i pacchetti dando i seguenti comandi:<br />
opkg update<br />
opkg install nano<br />
opkg install luci-ssl<br />
<br />
Voglio usare sue schede wifi, quella integrata per esporre le mie reti, una esterna per collegarsi all'hotspot che fornisce connettività.<br />
<br />
Per il supporto periferiche usb ho dovuto installare i seguenti pacchetti:<br />
opkg install kmod-usb-core kmod-usb-ohci kmod-usb2<br />
<br />
Per fargli riconoscere la mia scheda wifi "blueway"<br />
opkg install kmod-rt2800-lib kmod-rt2800-usb kmod-rt2x00-lib kmod-rt2x00-usb<br />
<br />
<br />
Riavviare per permettere al router di individuare la scheda.<br />
Rientrando su Luci, andare su network - wifi e controllare se è apparsa la seconda interfaccia radio<br />
<br />
Cancellare le reti, utilizzare la seconda scheda di rete per collegarsi ad internet<br />
<br />
Configurare la lan con un ip statico (es 192.168.250.1) e dhcp server<br />
<br />
<br />
<br />
Andare su System - system e configurare il nome del dispositivo (che apparirà anche nel nome file quando si salva la configurazione)<br />
<br />
Volendo cambiare i server ntp (ntp1.inrim.it,ntp2.inrim.it)<br />
<br />
<br />
Installare openvpn<br />
<br />
opkg install openvpn-openssl<br />
<br />
Creare un'interfaccia '''slan''', con ip statico diverso dalla lan (es 192.168.251.1), interfaccia fisica slan, e con dhcp<br />
<br />
Creare un'interfaccia '''swan''', unmanaged, con interfaccia fisica tun0<br />
<br />
Vanno aggiunte queste righe su etc/config/network<br />
<br />
config interface 'swan'<br />
option ifname 'tun0'<br />
option proto 'none'<br />
<br />
config interface 'slan'<br />
option proto 'static'<br />
option ipaddr '192.168.251.1'<br />
option netmask '255.255.255.0'<br />
option _orig_ifname 'lan0'<br />
option _orig_bridge 'false'<br />
option type 'bridge'<br />
option ifname 'slan'<br />
<br />
Controllare che il dhcp sia attivo sull'interfaccia slan<br />
<br />
Applicare le regole firewall [...]<br />
<br />
Inserire queste righe su /etc/config/network<br />
<br />
config zone<br />
option input 'ACCEPT'<br />
option output 'ACCEPT'<br />
option name 'slan'<br />
option network 'slan'<br />
option forward 'REJECT'<br />
<br />
config zone<br />
option forward 'REJECT'<br />
option output 'ACCEPT'<br />
option input 'REJECT'<br />
option masq '1'<br />
option mtu_fix '1'<br />
option network 'swan'<br />
option name 'swan'<br />
<br />
config rule<br />
option target 'ACCEPT'<br />
option family 'ipv4'<br />
option proto 'udp'<br />
option src 'slan'<br />
option name 'Secure DHCP'<br />
option dest_port '67-68'<br />
<br />
config rule<br />
option target 'ACCEPT'<br />
option src 'slan'<br />
option name 'Secure DNS'<br />
option dest_port '53'<br />
option family 'ipv4'<br />
<br />
config forwarding<br />
option dest 'swan'<br />
option src 'slan'<br />
<br />
<br />
Creare dentro a /etc/openvpn il file client.conf e aggiungere i certificati nella stessa cartella.<br />
<br />
Il mio è così:<br />
<br />
client<br />
dev tun<br />
proto tcp<br />
<br />
remote itec78.no-ip.org 443<br />
resolv-retry infinite<br />
#redirect-gateway def1<br />
route-nopull<br />
<br />
nobind<br />
<br />
persist-tun<br />
persist-key<br />
<br />
ca ca.crt<br />
cert roadwarrior.crt<br />
key roadwarrior.key<br />
remote-cert-tls server<br />
<br />
verb 1<br />
<br />
script-security 3<br />
route-delay 5<br />
route-up "/etc/openvpn/route-up.sh"<br />
keepalive 10 60<br />
<br />
<br />
E' importante la riga '''route-nopull''' perchè non deve ereditare la tabella di routing dal server<br />
<br />
Nella stessa cartella aggiungere anche il file '''route-up.sh''', dargli le autorizzazioni e inserire all'interno il seguente script:<br />
<br />
#!/bin/sh<br />
<br />
# Checks to see if there is an IP routing table named 'vpn', create if missing<br />
if [ $(cat /etc/iproute2/rt_tables | grep vpn | wc -l) -eq 0 ]; then<br />
echo "100 vpn" >> /etc/iproute2/rt_tables<br />
fi<br />
<br />
echo "------------------------------------------------------------------"<br />
ip route show<br />
echo "------------------------------------------------------------------"<br />
<br />
# Remove any previous routes in the 'vpn' routing table<br />
ip rule | sed -n 's/.*\(from[ \t]*[0-9\.]*\).*vpn/\1/p' | while read RULE<br />
do<br />
echo "remove old rule: /bin/ip rule del ${RULE}"<br />
/bin/ip rule del ${RULE}<br />
done<br />
<br />
#echo ifconfig_remote: ${ifconfig_remote} dev: ${dev} > /tmp/antani<br />
<br />
# Add routes to the vpn routing table<br />
echo ip rule add from 192.168.251.0/24 lookup vpn prio 1000<br />
ip rule add from 192.168.251.0/24 lookup vpn prio 1000<br />
<br />
# Add the route to direct all traffic using the the vpn routing table to the tunX interface<br />
echo ip route add default via ${ifconfig_remote} dev ${dev} table vpn<br />
ip route add default via ${ifconfig_remote} dev ${dev} table vpn<br />
<br />
#add a route for the lan itself<br />
echo ip route add 192.168.251.0/24 dev br-slan table vpn<br />
ip route add 192.168.251.0/24 dev br-slan table vpn<br />
<br />
ip route flush cache<br />
<br />
exit 0<br />
<br />
<br />
In questo modo openvpn parte all'avvio e cerca di connettersi al server, una volta connessa crea una tabella di routing specifica per la slan (source routing)<br />
<br />
<br />
<br />
Creare 2 wlan sulla wifi integrata (radio0) bridgiate con lan e slan. Le ho chiamate rispettivamente '''unsecure''' e '''secure'''<br />
<br />
<br />
Teoricamente se tutto è configurato bene quando si è collegati alla lan (o la wifi unsecure) è possibile navigare in internet in maniera non sicura.<br />
<br />
Aprendo il sito http://whatismyipaddress.com/ o simili la connessione proviene dal provider dell'hotspot<br />
<br />
Quando si è collegati alla slan (quindi la wifi secure) è possibile collegarsi alla lan che ospita la vpn (la lan di casa mia), e l'indirizzo ip che appare è quello della lan remota.<br />
<br />
<br />
<br />
Per fare in modo che il router si colleghi ad una lista di wifi conosciute ho usato queste istruzioni<br />
<br />
https://forum.openwrt.org/viewtopic.php?id=43352<br />
<br />
Ho modificato il file wifiMgr.sh cambiando i nomi delle interfacce e aggiungendo alcune funzioni come segue:<br />
<br />
#!/bin/sh<br />
. /etc/wifiMgr/config<br />
<br />
<br />
randMacAddr()<br />
{<br />
<br />
macaddr=$(dd if=/dev/urandom bs=1024 count=1 2>/dev/null|md5sum|sed 's/^\(..\)\(..\)\(..\)\(..\)\(..\)\(..\).*$/00:\2:\3:\4:\5:01/')<br />
uci set wireless.@wifi-iface[2].macaddr="$macaddr"<br />
uci commit wireless<br />
/etc/init.d/network restart<br />
<br />
}<br />
<br />
<br />
NetStatus()<br />
{<br />
logger WifiMgr: Checking network...<br />
net=$(ping 8.8.8.8 -c5 |grep "time=")<br />
if [ "$net" ]; then<br />
logger WifiMgr: Network OK<br />
#got ping response!<br />
return<br />
else<br />
logger WifiMgr: Network failed. Starting network change...<br />
NetChange<br />
fi<br />
}<br />
<br />
<br />
<br />
NetChange()<br />
{<br />
logger WifiMgr: Performing network scan...<br />
<br />
source /etc/wifiMgr/config<br />
<br />
scanres=<br />
ifconfig wlan1 down<br />
iw phy phy0 interface add scan0 type station<br />
ifconfig scan0 up<br />
<br />
while [ "$scanres" = "" ]; do<br />
#Sometimes it shows nothing, so better to ensure we did a correct scan<br />
scanres=$(iw scan0 scan|grep SSID)<br />
done<br />
<br />
iw dev scan0 del<br />
ifconfig wlan1 up<br />
killall -HUP hostapd<br />
logger WifiMgr: WifiMgr: Searching available networks...<br />
<br />
if [ "$1" ]; then<br />
ssid=net"$1"_ssid<br />
eval ssid=\$$ssid<br />
echo Trying to connect to network "$1"": $ssid"<br />
n=$(expr "$1" - "1")<br />
else<br />
n=0<br />
fi<br />
<br />
while [ "1" ]; do<br />
n=$(expr "$n" + "1")<br />
<br />
if [ "$n" = "99" ]; then<br />
#too much counts. Crazy wireless count, breaking loop!<br />
break<br />
fi<br />
<br />
ssid=net"$n"_ssid<br />
encrypt=net"$n"_encrypt<br />
key=net"$n"_key<br />
<br />
eval ssid=\$$ssid<br />
eval encrypt=\$$encrypt<br />
eval key=\$$key<br />
<br />
if [ "$ssid" = "" ]; then<br />
#ssid not existing or empty. Assume it's the end of the wlist file<br />
break<br />
fi<br />
echo SSID: $ssid<br />
#echo KEY: $key<br />
#echo SEGURIDAD: $encrypt<br />
<br />
<br />
active=$(echo $scanres | grep " $ssid ">&1 )<br />
if [ "$active" ]; then<br />
if [ "$1" ]; then<br />
echo Network found. Connecting...<br />
fi<br />
logger WifiMgr: "$ssid" network found. Applying settings..<br />
uci set wireless.@wifi-iface[2].ssid="$ssid"<br />
uci set wireless.@wifi-iface[2].encryption="$encrypt"<br />
uci set wireless.@wifi-iface[2].key="$key"<br />
uci set wireless.@wifi-iface[2].bssid=""<br />
uci commit wireless<br />
/etc/init.d/network restart<br />
<br />
#wait some seconds for everything to connect and configure<br />
sleep $NewConnCheckTimer<br />
logger WifiMgr: Checking connectivity...<br />
<br />
#check for internet connection, 5 ping sends<br />
net=$(ping google.es -c5 |grep "time=")<br />
if [ "$net" ]; then<br />
#got ping response!<br />
logger WifiMgr: Internet working! Searching ended<br />
if [ "$1" ]; then<br />
echo Sucess!<br />
fi<br />
break<br />
fi<br />
if [ "$1" ]; then<br />
echo Connection failed!<br />
break<br />
fi<br />
logger WifiMgr: Failed! Searching next available network...<br />
fi<br />
done<br />
}<br />
<br />
if [ "$1" = "" ]; then<br />
echo "No arguments supplied"<br />
<br />
elif [ "$1" = "--force" ]; then<br />
NetChange $2<br />
<br />
elif [ "$1" = "--daemon" ]; then<br />
<br />
if [ "$randMac" = "1" ]; then<br />
randMacAddr <br />
fi<br />
NetChange<br />
<br />
while [ "1" ]; do<br />
sleep $ConnCheckTimer<br />
NetStatus<br />
done<br />
<br />
else<br />
echo "Wrong arguments"<br />
fi<br />
<br />
<br />
L'avvio con /etc/init.d ha qualche problema, e a volte scollega tutte le wifi ricollegandosi, ma tutto sommato funziona.<br />
<br />
<br />
<br />
<br />
=== Idee e cose da provare ===<br />
<br />
Non ne so molto di reti routing e firewall, arrivare a questo risultato è stato molto faticoso e frutto di notte insonni e continui insuccessi.<br />
<br />
Lo so, è fatto male e si poteva fare meglio ma non so come.<br />
<br />
Se qualcuno vuole contribuire e migliorare il progetto è benvenuto.<br />
<br />
<br />
<br />
Un problema è che le query DNS escono sempre dalla wan che non è sicura, bisognerebbe farle girare attraverso la vpn<br />
<br />
<br />
E' possibile accendere e spegnere il wifi con questo script (che avevo fatto partire con il connect della vpn), da testare<br />
<br />
#!/bin/sh<br />
<br />
#secure<br />
uci set wireless.@wifi-iface[1].disabled='0'<br />
wifi<br />
#unsecure<br />
uci set wireless.@wifi-iface[0].disabled='1'<br />
wifi<br />
<br />
exit 0<br />
<br />
<br />
Sarebbe bello utilizzare la porta ethernet come wan per collegarsi via cavo. Impostando un indirizzo ip statico di management in caso di emergenza<br />
<br />
<br />
Di solito i router hanno 1-2 led. Farebbe comodo sapere dai led se la wan e la vpn sono collegate (lampeggio o accensione continua)</div>Itechttps://www.raspibo.org/wiki/index.php?title=RoadWarrior&diff=4644RoadWarrior2015-10-27T22:04:43Z<p>Itec: </p>
<hr />
<div>=== Scopo ===<br />
<br />
Questo progetto nasce dall'esigenza di portarsi sempre con se la propria rete anche quando si è in viaggio http://en.wikipedia.org/wiki/Road_warrior_%28computing%29 <br />
<br />
Avere sempre con se una rete wifi sicura e che i nostri dispositivi conoscono ci evita ogni volta di riconfigurarli.<br />
<br />
Il sistema inoltre può essere reso modulare aggiungendo moduli che si connettono ad esempio in wifi, 3G o quello che preferiamo.<br />
<br />
=== Aggiornamento firmware sul router ===<br />
In questo caso utilizziamo un piccolo access point portatile su cui installiamo il firmware openwrt, il modello non è importante, quello che conta è che il dispositivo sia compatibile con questo firmware.<br />
<br />
Di seguito la procedura per installare openwrt su HooToo, un access point a basso costo, con wifi interno, presa per la rete cablata, alimentato con usb, switch hardware.<br />
<br />
L'installazione del firmware è riportata sul wiki di openwrt: http://wiki.openwrt.org/toh/hootoo/tripmate-nano.<br />
<br />
Il dispositivo ha bisogno di una memoria usb esterna, ad esempio una chiavetta su cui appoggiare il file con il nuovo firmware.<br />
<br />
Per caricare openwrt, spostare lo switch sul router nella posizione "mondo", inserire una chiavetta di memoria usb nello slot.<br />
<br />
Collegarsi al router tramite wifi e sull'interfaccia web caricare il firmware openwrt.<br />
<br />
'''Attendere 5 minuti di orologio''' scollegare l'alimentazione e ricollegarla. <br />
<br />
A questo punto ci si può collegare al router con il cavo ethernet.<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
=== Info (by itec, da sistemare) ===<br />
<br />
Il "RoadWarrior" è un router portatile che permette di condividere una connessione ad internet wireless, in modo sicuro.<br />
<br />
Una volta collegato ad un hotspot fornisce facilmente connettività wireless a tutti i dispositivi già associati.<br />
<br />
In presenza di captive portal basta collegarsi da un solo dispositivo per dare connettività a tutti gli altri.<br />
<br />
E' presente anche una wireless sicura che dirotta tutto il traffico attraverso una VPN, per avere un'uscita verso internet criptata.<br />
<br />
<br />
Per fare le prove ho usato un router AUKEY PB-W1, che è un router portatile con powerbanck integrato, wifi, ethernet e usb.<br />
<br />
In alternativa si può usare un Hootoo Tripmate Nano, o qualsiasi altro router a patto che riesca a supportare OpenWRT e che abbia almeno 8MB di flash (necessaria per installare OpenVPN<br />
<br />
<br />
<br />
=== Howto un po' incasinato: ===<br />
<br />
- Inserire la parte di installazione di openwrt - <br />
<br />
<br />
Collegarsi al router all'indirizzo 192.168.1.1, impostare la password e accedere ad internet andando su Network - Wifi.<br />
Cercare una wifi conosciuta facendo scan sulla scheda di rete interna<br />
<br />
<br />
Collegarsi al router in ssh (per gli utenti windows c'è Putty che funziona molto bene)<br />
<br />
Installare i pacchetti dando i seguenti comandi:<br />
opkg update<br />
opkg install nano<br />
opkg install luci-ssl<br />
<br />
Voglio usare sue schede wifi, quella integrata per esporre le mie reti, una esterna per collegarsi all'hotspot che fornisce connettività.<br />
<br />
Per il supporto periferiche usb ho dovuto installare i seguenti pacchetti:<br />
opkg install kmod-usb-core kmod-usb-ohci kmod-usb2<br />
<br />
Per fargli riconoscere la mia scheda wifi "blueway"<br />
opkg install kmod-rt2800-lib kmod-rt2800-usb kmod-rt2x00-lib kmod-rt2x00-usb<br />
<br />
<br />
Riavviare per permettere al router di individuare la scheda.<br />
Rientrando su Luci, andare su network - wifi e controllare se è apparsa la seconda interfaccia radio<br />
<br />
Cancellare le reti, utilizzare la seconda scheda di rete per collegarsi ad internet<br />
<br />
Configurare la lan con un ip statico (es 192.168.250.1) e dhcp server<br />
<br />
<br />
<br />
Andare su System - system e configurare il nome del dispositivo (che apparirà anche nel nome file quando si salva la configurazione)<br />
<br />
Volendo cambiare i server ntp (ntp1.inrim.it,ntp2.inrim.it)<br />
<br />
<br />
Installare openvpn<br />
<br />
opkg install openvpn-openssl<br />
<br />
Creare un'interfaccia '''slan''', con ip statico diverso dalla lan (es 192.168.251.1), interfaccia fisica slan, e con dhcp<br />
<br />
Creare un'interfaccia '''swan''', unmanaged, con interfaccia fisica tun0<br />
<br />
Vanno aggiunte queste righe su etc/config/network<br />
<br />
config interface 'swan'<br />
option ifname 'tun0'<br />
option proto 'none'<br />
<br />
config interface 'slan'<br />
option proto 'static'<br />
option ipaddr '192.168.251.1'<br />
option netmask '255.255.255.0'<br />
option _orig_ifname 'lan0'<br />
option _orig_bridge 'false'<br />
option type 'bridge'<br />
option ifname 'slan'<br />
<br />
Controllare che il dhcp sia attivo sull'interfaccia slan<br />
<br />
Applicare le regole firewall [...]<br />
<br />
Inserire queste righe su /etc/config/network<br />
<br />
config zone<br />
option input 'ACCEPT'<br />
option output 'ACCEPT'<br />
option name 'slan'<br />
option network 'slan'<br />
option forward 'REJECT'<br />
<br />
config zone<br />
option forward 'REJECT'<br />
option output 'ACCEPT'<br />
option input 'REJECT'<br />
option masq '1'<br />
option mtu_fix '1'<br />
option network 'swan'<br />
option name 'swan'<br />
<br />
config rule<br />
option target 'ACCEPT'<br />
option family 'ipv4'<br />
option proto 'udp'<br />
option src 'slan'<br />
option name 'Secure DHCP'<br />
option dest_port '67-68'<br />
<br />
config rule<br />
option target 'ACCEPT'<br />
option src 'slan'<br />
option name 'Secure DNS'<br />
option dest_port '53'<br />
option family 'ipv4'<br />
<br />
config forwarding<br />
option dest 'swan'<br />
option src 'slan'<br />
<br />
<br />
Creare dentro a /etc/openvpn il file client.conf e aggiungere i certificati nella stessa cartella.<br />
<br />
Il mio è così:<br />
<br />
client<br />
dev tun<br />
proto tcp<br />
<br />
remote itec78.no-ip.org 443<br />
resolv-retry infinite<br />
#redirect-gateway def1<br />
route-nopull<br />
<br />
nobind<br />
<br />
persist-tun<br />
persist-key<br />
<br />
ca ca.crt<br />
cert roadwarrior.crt<br />
key roadwarrior.key<br />
remote-cert-tls server<br />
<br />
verb 1<br />
<br />
script-security 3<br />
route-delay 5<br />
route-up "/etc/openvpn/route-up.sh"<br />
keepalive 10 60<br />
<br />
<br />
E' importante la riga '''route-nopull''' perchè non deve ereditare la tabella di routing dal server<br />
<br />
Nella stessa cartella aggiungere anche il file '''route-up.sh''', dargli le autorizzazioni e inserire all'interno il seguente script:<br />
<br />
#!/bin/sh<br />
<br />
# Checks to see if there is an IP routing table named 'vpn', create if missing<br />
if [ $(cat /etc/iproute2/rt_tables | grep vpn | wc -l) -eq 0 ]; then<br />
echo "100 vpn" >> /etc/iproute2/rt_tables<br />
fi<br />
<br />
echo "------------------------------------------------------------------"<br />
ip route show<br />
echo "------------------------------------------------------------------"<br />
<br />
# Remove any previous routes in the 'vpn' routing table<br />
ip rule | sed -n 's/.*\(from[ \t]*[0-9\.]*\).*vpn/\1/p' | while read RULE<br />
do<br />
echo "remove old rule: /bin/ip rule del ${RULE}"<br />
/bin/ip rule del ${RULE}<br />
done<br />
<br />
#echo ifconfig_remote: ${ifconfig_remote} dev: ${dev} > /tmp/antani<br />
<br />
# Add routes to the vpn routing table<br />
echo ip rule add from 192.168.251.0/24 lookup vpn prio 1000<br />
ip rule add from 192.168.251.0/24 lookup vpn prio 1000<br />
<br />
# Add the route to direct all traffic using the the vpn routing table to the tunX interface<br />
echo ip route add default via ${ifconfig_remote} dev ${dev} table vpn<br />
ip route add default via ${ifconfig_remote} dev ${dev} table vpn<br />
<br />
#add a route for the lan itself<br />
echo ip route add 192.168.251.0/24 dev br-slan table vpn<br />
ip route add 192.168.251.0/24 dev br-slan table vpn<br />
<br />
ip route flush cache<br />
<br />
exit 0<br />
<br />
<br />
In questo modo openvpn parte all'avvio e cerca di connettersi al server, una volta connessa crea una tabella di routing specifica per la slan (source routing)<br />
<br />
<br />
<br />
Creare 2 wlan sulla wifi integrata (radio0) bridgiate con lan e slan. Le ho chiamate rispettivamente '''unsecure''' e '''secure'''<br />
<br />
<br />
Teoricamente se tutto è configurato bene quando si è collegati alla lan (o la wifi unsecure) è possibile navigare in internet in maniera non sicura.<br />
<br />
Aprendo il sito http://whatismyipaddress.com/ o simili la connessione proviene dal provider dell'hotspot<br />
<br />
Quando si è collegati alla slan (quindi la wifi secure) è possibile collegarsi alla lan che ospita la vpn (la lan di casa mia), e l'indirizzo ip che appare è quello della lan remota.<br />
<br />
=== Idee e cose da provare ===<br />
<br />
Premetto che questo non è il mio mestiere, arrivare a questo risultato è stato molto faticoso e frutto di notte insonni e continui insuccessi.<br />
<br />
Lo so, è fatto male e si poteva fare meglio ma non so come.<br />
<br />
Se qualcuno vuole contribuire è benvenuto.<br />
<br />
<br />
Un problema è che le query DNS escono sempre dalla wan, bisognerebbe farle girare attraverso la vpn<br />
<br />
<br />
E' possibile accendere e spegnere il wifi con questo script (che avevo fatto partire con il connect della vpn), da testare<br />
<br />
#!/bin/sh<br />
<br />
#secure<br />
uci set wireless.@wifi-iface[1].disabled='0'<br />
wifi<br />
#unsecure<br />
uci set wireless.@wifi-iface[0].disabled='1'<br />
wifi<br />
<br />
exit 0<br />
<br />
<br />
Sarebbe bello utilizzare la porta ethernet come wan per collegarsi via cavo. Impostando un indirizzo ip statico di management in caso di emergenza</div>Itechttps://www.raspibo.org/wiki/index.php?title=RoadWarrior&diff=4643RoadWarrior2015-10-27T21:34:26Z<p>Itec: Comincio a scrivere</p>
<hr />
<div>=== Scopo ===<br />
<br />
Questo progetto nasce dall'esigenza di portarsi sempre con se la propria rete anche quando si è in viaggio http://en.wikipedia.org/wiki/Road_warrior_%28computing%29 <br />
<br />
Avere sempre con se una rete wifi sicura e che i nostri dispositivi conoscono ci evita ogni volta di riconfigurarli.<br />
<br />
Il sistema inoltre può essere reso modulare aggiungendo moduli che si connettono ad esempio in wifi, 3G o quello che preferiamo.<br />
<br />
=== Aggiornamento firmware sul router ===<br />
In questo caso utilizziamo un piccolo access point portatile su cui installiamo il firmware openwrt, il modello non è importante, quello che conta è che il dispositivo sia compatibile con questo firmware.<br />
<br />
Di seguito la procedura per installare openwrt su HooToo, un access point a basso costo, con wifi interno, presa per la rete cablata, alimentato con usb, switch hardware.<br />
<br />
L'installazione del firmware è riportata sul wiki di openwrt: http://wiki.openwrt.org/toh/hootoo/tripmate-nano.<br />
<br />
Il dispositivo ha bisogno di una memoria usb esterna, ad esempio una chiavetta su cui appoggiare il file con il nuovo firmware.<br />
<br />
Per caricare openwrt, spostare lo switch sul router nella posizione "mondo", inserire una chiavetta di memoria usb nello slot.<br />
<br />
Collegarsi al router tramite wifi e sull'interfaccia web caricare il firmware openwrt.<br />
<br />
'''Attendere 5 minuti di orologio''' scollegare l'alimentazione e ricollegarla. <br />
<br />
A questo punto ci si può collegare al router con il cavo ethernet.<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Info (by itec, da sistemare)<br />
<br />
Il "RoadWarrior" è un router portatile che permette di condividere una connessione ad internet wireless, in modo sicuro.<br />
<br />
Una volta collegato ad un hotspot fornisce facilmente connettività wireless a tutti i dispositivi già associati.<br />
<br />
In presenza di captive portal basta collegarsi da un solo dispositivo per dare connettività a tutti gli altri.<br />
<br />
E' presente anche una wireless sicura che dirotta tutto il traffico attraverso una VPN, per avere un'uscita verso internet criptata.<br />
<br />
<br />
Per fare le prove ho usato un router AUKEY PB-W1, che è un router portatile con powerbanck integrato, wifi, ethernet e usb.<br />
<br />
In alternativa si può usare un Hootoo Tripmate Nano, o qualsiasi altro router a patto che riesca a supportare OpenWRT e che abbia almeno 8MB di flash (necessaria per installare OpenVPN<br />
<br />
<br />
<br />
Howto un po' incasinato:<br />
<br />
- Inserire la parte di installazione di openwrt - <br />
<br />
<br />
Collegarsi al router all'indirizzo 192.168.1.1, impostare la password e accedere ad internet andando su Network - Wifi.<br />
Cercare una wifi conosciuta facendo scan sulla scheda di rete interna<br />
<br />
<br />
Collegarsi al router in ssh (per gli utenti windows c'è Putty che funziona molto bene)<br />
<br />
Installare i pacchetti dando i seguenti comandi:<br />
opkg update<br />
opkg install nano<br />
opkg install luci-ssl<br />
<br />
Voglio usare sue schede wifi, quella integrata per esporre le mie reti, una esterna per collegarsi all'hotspot che fornisce connettività.<br />
<br />
Per il supporto periferiche usb ho dovuto installare i seguenti pacchetti:<br />
opkg install kmod-usb-core kmod-usb-ohci kmod-usb2<br />
<br />
Per fargli riconoscere la mia scheda wifi "blueway"<br />
opkg install kmod-rt2800-lib kmod-rt2800-usb kmod-rt2x00-lib kmod-rt2x00-usb<br />
<br />
<br />
Riavviare per permettere al router di individuare la scheda.<br />
Rientrando su Luci, andare su network - wifi e controllare se è apparsa la seconda interfaccia radio<br />
<br />
Cancellare le reti, utilizzare la seconda scheda di rete per collegarsi ad internet<br />
<br />
Configurare la lan con un ip statico (es 192.168.250.1) e dhcp server<br />
<br />
Creare sull'interfaccia wifi 0 una rete master, e associarla alla lan in bridge.<br />
<br />
Per comodità la chiameremo "Unsecure" in quanto dovrebbe girare il traffico direttamente sulla wan (l'hotspot) senza crittografia<br />
<br />
<br />
<br />
Andare su System - system e configurare il nome del dispositivo (che apparirà anche nel nome file quando si salva la configurazione)<br />
<br />
Volendo cambiare i server ntp (ntp1.inrim.it,ntp2.inrim.it)<br />
<br />
<br />
Installare openvpn<br />
<br />
opkg install openvpn-openssl<br />
<br />
Creare un'interfaccia slan, con ip statico diverso dalla lan (es 192.168.251.1), interfaccia fisica slan, e con dhcp<br />
<br />
Creare un'interfaccia swan, unmanaged, con interfaccia fisica tun0<br />
<br />
Vanno aggiunte queste righe su etc/config/network<br />
<br />
config interface 'swan'<br />
option ifname 'tun0'<br />
option proto 'none'<br />
<br />
config interface 'slan'<br />
option proto 'static'<br />
option ipaddr '192.168.251.1'<br />
option netmask '255.255.255.0'<br />
option _orig_ifname 'lan0'<br />
option _orig_bridge 'false'<br />
option type 'bridge'<br />
option ifname 'slan'<br />
<br />
Controllare che il dhcp sia attivo sull'interfaccia slan<br />
<br />
Applicare le regole firewall [...]<br />
<br />
Inserire queste righe su /etc/config/network<br />
<br />
config zone<br />
option input 'ACCEPT'<br />
option output 'ACCEPT'<br />
option name 'slan'<br />
option network 'slan'<br />
option forward 'REJECT'<br />
<br />
config zone<br />
option forward 'REJECT'<br />
option output 'ACCEPT'<br />
option input 'REJECT'<br />
option masq '1'<br />
option mtu_fix '1'<br />
option network 'swan'<br />
option name 'swan'<br />
<br />
config rule<br />
option target 'ACCEPT'<br />
option family 'ipv4'<br />
option proto 'udp'<br />
option src 'slan'<br />
option name 'Secure DHCP'<br />
option dest_port '67-68'<br />
<br />
config rule<br />
option target 'ACCEPT'<br />
option src 'slan'<br />
option name 'Secure DNS'<br />
option dest_port '53'<br />
option family 'ipv4'<br />
<br />
config forwarding<br />
option dest 'swan'<br />
option src 'slan'<br />
<br />
<br />
Creare dentro a /etc/openvpn il file client.conf e aggiungere i certificati nella stessa cartella.<br />
<br />
Il mio è così:<br />
<br />
client<br />
dev tun<br />
proto tcp<br />
<br />
remote [indirizzo del mio server] 443<br />
resolv-retry infinite<br />
redirect-gateway def1<br />
nobind<br />
<br />
persist-tun<br />
persist-key<br />
<br />
ca ca.crt<br />
cert roadwarrior.crt<br />
key roadwarrior.key<br />
remote-cert-tls server<br />
<br />
verb 3<br />
<br />
In questo modo openvpn parte all'avvio e cerca di connettersi al server<br />
<br />
Ho creato 2 wlan sulla wifi integrata (radio1) bridgiate con lan e slan. Le ho chiamate secure e unsecure<br />
<br />
<br />
<br />
<br />
Problemi noti:<br />
<br />
Bisogna gestire il routing differente per le 2 lan.<br />
"redirect-gateway def1" permette di aggiungere il routing per cui la slan funziona ma la lan non va + inoltre se si sconnette la vpn non si riconnette +, va fatto ripartire il servizio<br />
Ho provato col policy routing, anche scriptando alla connessione della vpn: https://github.com/soehest/openvpn ma non funziona.<br />
<br />
E' possibile accendere e spegnere il wifi con questo script (che avevo fatto partire con il connect della vpn, ma va in conflitto col routing<br />
<br />
#!/bin/sh<br />
<br />
#secure<br />
uci set wireless.@wifi-iface[1].disabled='0'<br />
wifi<br />
#unsecure<br />
uci set wireless.@wifi-iface[0].disabled='1'<br />
wifi<br />
<br />
exit 0</div>Itechttps://www.raspibo.org/wiki/index.php?title=DHCP_per_NinuxBO&diff=4642DHCP per NinuxBO2015-10-27T20:52:57Z<p>Itec: </p>
<hr />
<div>Pagina spostata sulla wiki di NinuxBO<br />
https://wiki.bologna.ninux.org/mediawiki/index.php/DHCP_per_NinuxBO</div>Itechttps://www.raspibo.org/wiki/index.php?title=DHCP_per_NinuxBO&diff=4590DHCP per NinuxBO2015-10-13T21:25:15Z<p>Itec: Creata pagina con 'Invece di creare due reti 10.50.0.0/16 e 10.51.0.0/16 è possibile creare un'unica rete /15 ma fare in modo che gli ip vengano assegnati solo sulla 10.51.x.x, in modo da tener...'</p>
<hr />
<div>Invece di creare due reti 10.50.0.0/16 e 10.51.0.0/16 è possibile creare un'unica rete /15 ma fare in modo che gli ip vengano assegnati solo sulla 10.51.x.x, in modo da tenere la 10.50.x.x per gli indirizzi statici.<br />
Ho fatto questa prova impostando l'indirizzo del router a 10.51.0.1, netmask 255.254.0.0<br />
<br />
[[File:DHCP-IP.png]]<br />
<br />
Impostare il dhcp con start a 65537, limit 65535.<br />
<br />
[[File:DHCP-Settings.png]]<br />
<br />
Se ho fatto i conti bene, il dhcp comincia ad assegnare da 10.51.0.2 in poi.<br />
<br />
Per fare la prova, ho fatto in modo che openwrt assegni gli indirizzi ip in maniera sequenziale.<br />
<br />
Il parametro è --dhcp-sequential-ip e va inserito dentro a /etc/init.d/dnsmasq <br />
<br />
procd_set_param command $PROG -C $CONFIGFILE -k -x /var/run/dnsmasq/dnsmasq.pid --dhcp-sequential-ip<br />
<br />
Va fatto così perchè UCI non supporta il parametro option dhcp_sequential_ip '1'<br />
<br />
https://forum.openwrt.org/viewtopic.php?id=50684<br />
<br />
Il risultato è questo:<br />
<br />
[[File:DHCP-Lease.png]]</div>Itechttps://www.raspibo.org/wiki/index.php?title=File:DHCP-Lease.png&diff=4589File:DHCP-Lease.png2015-10-13T21:03:59Z<p>Itec: </p>
<hr />
<div></div>Itechttps://www.raspibo.org/wiki/index.php?title=File:DHCP-Settings.png&diff=4588File:DHCP-Settings.png2015-10-13T21:03:33Z<p>Itec: </p>
<hr />
<div></div>Itechttps://www.raspibo.org/wiki/index.php?title=File:DHCP-IP.png&diff=4587File:DHCP-IP.png2015-10-13T21:03:00Z<p>Itec: </p>
<hr />
<div></div>Itechttps://www.raspibo.org/wiki/index.php?title=DCF77&diff=2208DCF772013-12-25T23:43:53Z<p>Itec: Creata pagina con '==Il DCF77== Il DCF77 è un sistema che trasmette l'ora esatta via radio (tanto per intenderci quello che serve per sincronizzare gli orologi radiocontrollati tipo Oregon Scie...'</p>
<hr />
<div>==Il DCF77==<br />
Il DCF77 è un sistema che trasmette l'ora esatta via radio (tanto per intenderci quello che serve per sincronizzare gli orologi radiocontrollati tipo Oregon Scientific)<br />
http://it.wikipedia.org/wiki/DCF77<br />
<br />
<br />
==Ricevitore con antenna collegata via GPIO==<br />
<br />
Ho trovato due software:<br />
<br />
https://github.com/rene0/dcf77pi<br />
<br />
https://github.com/vogelchr/radioclkd2<br />
<br />
Ho provato il primo con un'antenna comprata molti anni fa e non funziona, probabilmente bisogna costruire un'intefaccia tipo questa:<br />
<br />
http://www.buzzard.me.uk/jonathan/radioclock.html<br />
<br />
<br />
==Ricevitore con rtl-sdr==<br />
Ho provato con rtl_fm ma non sono riuscito a ricevere nulla, probabilmente l'antenna non va bene o la frequenza non è calibrata.<br />
<br />
<br />
==Trasmettitore==<br />
Volevo provare a generare il segnale del DCF77 utilizzando questa libreria, ma non riesco a compilarla, neanche parzialmente:<br />
<br />
http://manpages.ubuntu.com/manpages/gutsy/man1/dcf77gen.1.html<br />
<br />
https://launchpad.net/ubuntu/+source/hf/0.8-5ubuntu0.1<br />
<br />
Non ho trovato altro, a parte codice per Arduino e PIC<br />
<br />
Una volta generato il suono volevo provare a metterlo in pipe con pifm.<br />
<br />
Eventualmente da studiare un filtro per l'antenna, e un programma compatto senza dover generare audio.</div>Itechttps://www.raspibo.org/wiki/index.php?title=Radio_433&diff=2207Radio 4332013-12-25T23:24:04Z<p>Itec: Creata pagina con 'Mi piacerebbe interfacciare un ricevitore a 433,92 MHz con raspberry per poter ricevere segnali da: Apricancelli (eventualmente anche rolling code) Termometri wireless (tipo...'</p>
<hr />
<div>Mi piacerebbe interfacciare un ricevitore a 433,92 MHz con raspberry per poter ricevere segnali da:<br />
<br />
Apricancelli (eventualmente anche rolling code)<br />
<br />
Termometri wireless (tipo Oregon scientific)<br />
<br />
Ed eventualmente trasmettere anche.<br />
<br />
<br />
Una base di partenza potrebbe essere questa:<br />
<br />
http://www.ebay.it/itm/2-moduli-RF-433-Mhz-trasmettitore-ricevitore-arduino-pic-shield-/261233706163?pt=Componenti_elettronici_attivi&hash=item3cd2be04b3<br />
<br />
<br />
Software:<br />
<br />
http://wiki.pilight.org/doku.php<br />
<br />
http://ninjablocks.com/blogs/how-to/7506204-adding-433-to-your-raspberry-pi<br />
<br />
http://jeelabs.net/projects/cafe/wiki/Decoding_the_Oregon_Scientific_V2_protocol</div>Itechttps://www.raspibo.org/wiki/index.php?title=RTL-SDR&diff=1946RTL-SDR2013-11-16T18:28:29Z<p>Itec: </p>
<hr />
<div>==Installazione==<br />
(da: http://zr6aic.blogspot.dk/2013/02/setting-up-my-raspberry-pi-as-sdr-server.html)<br />
<br />
<br />
First update you Raspberry Pi wheezy Linux to the latest version.<br />
<br />
sudo apt-get update<br />
<br />
<br />
Now install the required utils to compile the RTL-2832U USB dongle driver<br />
<br />
sudo apt-get install git cmake libusb-1.0-0-dev build-essential<br />
<br />
<br />
Now install the RTL-2832U USB dongle driver src and compile<br />
<br />
git clone git://git.osmocom.org/rtl-sdr.git<br />
cd rtl-sdr/<br />
mkdir build<br />
cd build<br />
cmake ../ -DINSTALL_UDEV_RULES=ON<br />
make<br />
sudo make install<br />
sudo ldconfig<br />
<br />
<br />
if it was successful you should see no return on the previous command.<br />
<br />
I have been told that the Raspberry crash if you don't reboot before inserting the dongle. So just run<br />
<br />
sudo shutdown -r 0<br />
<br />
<br />
Install the RTL-2832U USB dongle on external powered USB HUB<br />
<br />
sudo ldconfig<br />
<br />
<br />
==Radio FM==<br />
(Liberamente preso da: http://kmkeen.com/rtl-demod-guide/)<br />
<br />
-Aggiungere istruzioni per ascoltare radio deejay-<br />
<br />
<br />
==ADSB==<br />
(da: http://www.satsignal.eu/raspberry-pi/dump1090.html)<br />
<br />
E' possibile ricevere le posizioni degli aerei in volo ricevendo i segnali inviati dai trasponder.<br />
<br />
<br />
Installazione:<br />
<br />
cd ~<br />
git clone git://github.com/MalcolmRobb/dump1090.git<br />
cd dump1090<br />
make<br />
./dump1090 --interactive<br />
<br />
==APRS==<br />
http://sq7mru.blogspot.com/2013/08/aprs-igate-rx-z-tunera-dvb-t.html<br />
<br />
==Telecomandi 433,92==<br />
(da: https://github.com/merbanan/rtl_433)<br />
<br />
git clone https://github.com/merbanan/rtl_433.git<br />
cd rtl-433/<br />
mkdir build<br />
cd build<br />
cmake ../<br />
make<br />
<br />
Si ricevono i telecomandi apricancello a 433 (non ho ancora provato con un telecomando rolling code, ma quelli normali vanno benissimo)<br />
<br />
Si ricevono anche segnali di altri apparati che trasmettono sulla stessa frequenza, probabilmente termometri wireless)<br />
<br />
==Termometri==<br />
Installare gnuradio su Raspberry è complicato e lungo, quindi non si riesce ad usare questo<br />
<br />
https://github.com/kevinmehall/rtlsdr-433m-sensor<br />
<br />
Però si potrebbe usare il sw per telecomandi 433,92 (vedi sopra) aggiungedo una parte di codice per il riconoscimento degli Oregon Scientific.<br />
<br />
Qui ci sono un po' di info e codice per Arduino<br />
<br />
http://jeelabs.net/projects/cafe/wiki/Decoding_the_Oregon_Scientific_V2_protocol<br />
<br />
http://code.google.com/p/thn128receiver/source/browse/osv1_dec.c</div>Itechttps://www.raspibo.org/wiki/index.php?title=RTL-SDR&diff=1945RTL-SDR2013-11-16T18:10:03Z<p>Itec: </p>
<hr />
<div>==Installazione==<br />
(da: http://zr6aic.blogspot.dk/2013/02/setting-up-my-raspberry-pi-as-sdr-server.html)<br />
<br />
<br />
First update you Raspberry Pi wheezy Linux to the latest version.<br />
<br />
sudo apt-get update<br />
<br />
<br />
Now install the required utils to compile the RTL-2832U USB dongle driver<br />
<br />
sudo apt-get install git cmake libusb-1.0-0-dev build-essential<br />
<br />
<br />
Now install the RTL-2832U USB dongle driver src and compile<br />
<br />
git clone git://git.osmocom.org/rtl-sdr.git<br />
cd rtl-sdr/<br />
mkdir build<br />
cd build<br />
cmake ../ -DINSTALL_UDEV_RULES=ON<br />
make<br />
sudo make install<br />
sudo ldconfig<br />
<br />
<br />
if it was successful you should see no return on the previous command.<br />
<br />
I have been told that the Raspberry crash if you don't reboot before inserting the dongle. So just run<br />
<br />
sudo shutdown -r 0<br />
<br />
<br />
Install the RTL-2832U USB dongle on external powered USB HUB<br />
<br />
sudo ldconfig<br />
<br />
<br />
==ADSB==<br />
(da: http://www.satsignal.eu/raspberry-pi/dump1090.html)<br />
<br />
E' possibile ricevere le posizioni degli aerei in volo ricevendo i segnali inviati dai trasponder.<br />
<br />
<br />
Installazione:<br />
<br />
cd ~<br />
git clone git://github.com/MalcolmRobb/dump1090.git<br />
cd dump1090<br />
make<br />
./dump1090 --interactive</div>Itechttps://www.raspibo.org/wiki/index.php?title=RTL-SDR&diff=1944RTL-SDR2013-11-16T18:06:30Z<p>Itec: Creata pagina con '==Installazione== (da: http://zr6aic.blogspot.dk/2013/02/setting-up-my-raspberry-pi-as-sdr-server.html) First update you Raspberry Pi wheezy Linux to the latest version. su...'</p>
<hr />
<div>==Installazione==<br />
(da: http://zr6aic.blogspot.dk/2013/02/setting-up-my-raspberry-pi-as-sdr-server.html)<br />
<br />
<br />
First update you Raspberry Pi wheezy Linux to the latest version.<br />
<br />
sudo apt-get update<br />
<br />
<br />
Now install the required utils to compile the RTL-2832U USB dongle driver<br />
<br />
sudo apt-get install git cmake libusb-1.0-0-dev build-essential<br />
<br />
<br />
Now install the RTL-2832U USB dongle driver src and compile<br />
<br />
git clone git://git.osmocom.org/rtl-sdr.git<br />
<br />
cd rtl-sdr/<br />
<br />
mkdir build<br />
<br />
cd build<br />
<br />
cmake ../ -DINSTALL_UDEV_RULES=ON<br />
<br />
make<br />
<br />
sudo make install<br />
<br />
sudo ldconfig<br />
<br />
<br />
if it was successful you should see no return on the previous command.<br />
<br />
I have been told that the Raspberry crash if you don't reboot before inserting the dongle.<br />
<br />
so just run sudo shutdown -r 0<br />
<br />
<br />
Install the RTL-2832U USB dongle on external powered USB HUB<br />
<br />
sudo ldconfig<br />
<br />
<br />
==ADSB==<br />
(da: http://www.satsignal.eu/raspberry-pi/dump1090.html)<br />
<br />
E' possibile ricevere le posizioni degli aerei in volo ricevendo i segnali inviati dai trasponder.<br />
<br />
<br />
Installazione:<br />
<br />
cd ~ (goes to your home directory)<br />
<br />
git clone git://github.com/MalcolmRobb/dump1090.git<br />
<br />
cd dump1090<br />
<br />
make<br />
<br />
./dump1090 --interactive</div>Itec