2013年4月28日

Tomato OpenVPN Server Connect By Android Phone

最近將分享器裝上Tomato firmware後,想讓它成為VPN Server方便在外面使用不安全的wifi上網時,可以連回家中的網路再出去,或是讓手機去撥VPN連回家中,Android手機預設有support PPTP、L2TP/IPSec的VPN撥號,但若要support SSL VPN的話,要另外裝OpenVPN for Android這個app才能連線,但對於VPN來說,SSL VPN的listen port可以改為TCP 443 port避過一些有限制的網路使用,使用上較有彈性,優缺點可以參考這裡有說明

下面為在Tomato(VPN Server)與Android Phone(VPN Client)使用OpenVPN的方法
(研究了三天才實作出來0rz....)
Step 1:先建立OpenVPN所需的Root CA、Server Key、Client Key、Diffie Hellman參數
這個部分需要一台有安裝OpenVPN軟體的電腦來建立這些東西,我是在Linux上建立這些東西,沒有Linux機器的人,也可以利用Windows電腦裝OpenVPN來建立這些東西
# apt-get install openvpn 安裝OpenVPN套件
#cd /usr/share/doc/openvpn/examples/easy-rsa/2.0 利用easy-rsa來建立相關的CA & KEY
#vi vars  修改CA範例檔部分參數
export KEY_COUNTRY="TW"
export KEY_PROVINCE="Taiwan"
export KEY_CITY="自行設定"
export KEY_ORG="自行設定"
export KEY_EMAIL="自行設定"

Step 2:Linux上執行vars來建立相關檔案
#Source ./vars
#./clean-all  先清空此台Linux上的所有key
#./build-ca   建立CA
#./build-key-server YourServer(名稱自訂)建立server憑證
#./build-key Yourclient(名稱自訂)建立Client憑證
#./build-dh(安全性愈高製作時間愈久)Diffie Hellman參數

Step 3:分享器Tamoto UI裡面,點選VPN Tunnelling-->OpenVPN Server
依順序設定如下,其中Advanced頁面中的Custom Configuration額外再輸入
script-security 3
auth-user-pass-verify /etc/verify.sh via-env
(繼續閱讀...)

2013年4月21日

開啟Asus RT-N12 B1 的Tomato pppoe relay

Tomato 韌體預設未將pppoe relay功能加入,需自行安裝rp-pppoe-relay套件在JFFS上面才可以使用此功能
Step1:連入Web管理介面,打開JFFS功能
Administration-->JFFS Enable,啟用後要選下方的格式化/清除,否則無法 mount JFFS磁碟
CLI mode下輸入df -h查看是否已正確mount JFFS磁碟
root@Tomato:/tmp/home/root# df -h
Filesystem                Size      Used Available Use% Mounted on
/dev/root                 5.2M      5.2M         0 100% /
tmpfs                    14.0M    288.0K     13.7M   2% /tmp
devfs                    14.0M         0     14.0M   0% /dev
/dev/mtdblock3            1.8M    196.0K      1.6M  11% /jffs
Step 2:安裝rp-pppoe-relay套件
# mkdir -p /tmp/pppoe
#cd /tmp/pppoe
# wget http://kamikaze.openwrt.org/8.09.2/brcm-2.4/packages/rp-pppoe-relay_3.10-1_mipsel.ipk
# tar xzf rp-pppoe-relay_3.10-1_mipsel.ipk
# tar xzf data.tar.gz
# cp usr/sbin/pppoe-relay /jffs
# cd /
# rm -rf /tmp/pppoe
# /jffs/pppoe-relay -S vlan 1 -C br0
注意:vlan1在我的機器是設定為Wan端,Lan端為br0,需依實際狀況修改對應的Vlan





(繼續閱讀...)

2013年4月8日

SNMP定義網路介面的主要效能與項目意義

項目
說明
建議
流入流量(ifInOctets)
表示從這個網路Interface所流入的網路流量大小。
若是這個網路Interface所連接的設備是屬於WAN的設備,如Router, ATU-R等,需要訂定最高使用流量警訊通知,如此當網路頻寬不足時,進行網路頻寬的擴建,避免因為網路頻寬不足要成網路存取速度過慢。
流出流量(ifOutOctets)
表示從這個網路Interface所流出的網路流量大小。
流入封包(ifInUcastPkts)
表示從這個網路Interface所流入的單點傳輸封包數量。
網路封包的大小與數量會影響到整體網路運作效能,例如:當網路遭受到DoS攻擊或者是有人在做Host/Port Scanning,都有可能造成小封包數量過多,所以,需要觀察網路封包數量與網路流量必須要成正比。
流出封包(ifOutUcastPkts)
表示從這個網路Interface所流出的單點傳輸封包數量。
流入廣播封包(ifInNUcastPkts)
表示從這個網路Interface所流入的廣播封包數量(廣播封包表示非單點傳輸封包,但包含子網路的廣播傳輸與多點傳輸的封包)
廣播封包在網路上傳送數量不宜太多,一但有過多的廣播封包出現,則會影響到整體網路運作效能,但事發生廣播風暴一般很難發現源頭,透過流入/流出廣播封包效能指標,便可以發現到究竟廣播封包是從哪個網路Interface傳送出來這些廣播封包的。
(繼續閱讀...)

Copyright © 2009 New Life in Taipei All rights reserved. Theme by Laptop Geek. | Bloggerized by FalconHive.