Домашняя VPN и подключение к ней с коробочки на OpenWrt

OpenVPN сам по себе тормозззз. Используй wireguard или xl2tpd.

ь мой домашний роутер просто выдавать VPN-клиентам,

Линукс версия openvpn это не умеет, если у тебя микротык - то там это можно сделать.

Я пробовал поднять на этой Debian-машине VPN-сервер с дефолтными настройками, к нему можно подключиться извне, но ресурсы домашней сети через него недоступны..

роуты пропиши

Но если не хочется парится заюзай https://www.softether.org/ - там просто создаешь bridge с физическим интерфейсом и юзеры будут получать ip с твоей локальной сети

Но если не хочется парится заюзай https://www.softether.org/ - там просто создаешь bridge с физическим интерфейсом и юзеры будут получать ip с твоей локальной сети

Это интересная тема. А для OpenWrt есть клиент?

ты имеешь ввиду сервер ?

https://wordpress.tirlins.com/2015/03/setting-up-softether-vpn-on-openwrt/

но проще заюзать на openwrt wireguard.

Да не, сервер у меня дома на дебиане, а клиент тут на OpenWrt. Я хочу весь трафик с OpenWrt пустить через домашнюю сеть...

https://openwrt.org/packages/pkgdata_lede17_1/softethervpn

Но в случае openwrt с двух сторон проще организовать wireguard. Только ip с обоих сторон должны быть статическими

Статический IPv4 дома есть, а тут стоит дополнительных денег — не очень хочется их платить. Но есть IPv6 с обеих сторон — пойдет?

да только openwrt должен быть достаточно свежим

18.06

https://danrl.com/blog/2017/luci-proto-wireguard/

Линукс версия openvpn это не умеет

чего это?

через внешний dhcp без танцев с бубнами ?

По своему опыту настройки и работы с openvpn скажу пару слов.

1) Если включено полное шифрование (а с законом Яровой иначе нет смысла настраивать), то роутер на openwrt 600МГц усаживается по процу и выдаёт не более 700килобит. Селерон 2.4Ггц упирается в 80мегабит.

2) Для этого дела выгоднее всего выходит купить vps за бугром за 8$ в год с безлимитным трафиком, поднять на нём openvpn с форвардом, локалкой и всеми плюшками.

п.с. блокировки РКН обходятся проще, DNS от гугла на роутере и РКН курит бамбук )))

п.с. блокировки РКН обходятся проще, DNS от гугла на роутере и РКН курит бамбук )))

Гм блокируют вроде как по ip ?

не знаю про внешний дхцп, в гугле вроде чото всплывает про это, но я точно знаю что у меня был простой сетап - я находился в одной точке, где был рутер с клиентом опенвпн, а сервак овпн был в физически удаленной точке, на хосте за удаленным рутером (ну тупо 2 квартиры). я получал бридж в тот удалённый хост. никакого конфига это почти не требовало, кроме проброса порта на удаленном рутере.
мне не надо было абстрактного доступа «к ресурсам удаленной сети» но к ресурсом того хоста - пожалуйста))

п.с. блокировки РКН обходятся проще, DNS от гугла на роутере и РКН курит бамбук )))

Коля Герасимов - прекратите использовать машину времени.

Линукс версия openvpn это не умеет, если у тебя микротык - то там это можно сделать.

Антиресноо, и чем они отличаются? Точнее так, микротик конечно отличается, до сих пор многому не научился. Т.е. у него возможностей меньше.
Или вы про вариант «потыкать мышкой» написали?

ну видимо в том что у микротыка своя реализация openvpn которая ч МОЖЕТ пользовать pool dhcp адресов, которые используются для локальной сети. Как это у них реализовано спросить лучше у разработчиков микротыка ( но реально в интерфейсе микротыка это делает мышью ).

возможностей меньше.

Что касается openvpn - то да там есть ограничения для openvpn (например только tcp юзают). Но там родное - ipsec.

и при этом МОЖЕТ пользовать pool dhcp адресов, которые используются для локальной сети

Ну и почему это не возможно в ovpn на linux? Повторюсь, видимо дело только «в галочках гуя». Не надо говорить, что «Линукс версия openvpn это не умеет» - все умеет и даже больше. Вопрос как готовить.

Ну попробуй настроить- скажи как это работает. ПРосто если погуглить на эту тему - то пишут обычно «что будет работать через ж..».

Хотя учитывая что openvpn - тормозззз и напрямую зависит от процессора и есть более норм альтернативы ( например wireguard/ipsec) то вообще вопрос не имеет смысла

то пишут обычно

Ну на сарае тоже «обычно» написано другое слово, а там на самом деле дрова лежат.

Хотя учитывая что openvpn - тормозззз

Тоже видимо «пишут обычно». Безусловно у него есть недостатки (мы их все знаем), но в «сферическом варианте» и учитывая формулировку от ТС «я уехал из дома. Далеко.» не всегда он будет хуже того же ipsec. Не так давно, в другой теме я привел варианты скорости, где ipsec оказался даже медленнее, «далеко» это действительно важный момент.

будет «не хуже» если

1) заблочен udp (wireguard/ipsec не будут работать ) - есть такие корпоративные говнопрокси

2) вместо роутера норм. комп типа i3-i5.

В остальных случаях ( говнороутер + норм udp ) будет лучше использовать ipsec/wireguard.

Кстати в 1 варианте будет лучше использовать встроенный протокол softethervpn - сам проверил.

Ну на сарае тоже «обычно» написано другое слово, а там на самом деле дрова лежат.

Ну попробуйте и тут напишите. В микротыке это действительно делается одним кликом мыши.

Кстати ТС а зачем тебе доступ к домашней сети ? Торренты ? - арендуй уж тогда лучше VPS (contabo за 8 евриков раздает 700Гб ) - и сделай себе что хошь. Просто домашний провайдер имеет свои ограничения - особенно в случае скоростей между странами ...

заблочен udp

Смешно, но я как раз попадал на обратные случаи. Типа зарегистритесь на нашем «captive portal» при этом udp ovpn весело работало. И слал я лесом вашу регистрацию.

вместо роутера норм. комп типа i3-i5.

В целом скорее соглашусь, не soho пользовать.

В остальных случаях ( говнороутер + норм udp ) будет лучше использовать ipsec/wireguard.

У меню для личного использования куча вариантов, нельзя говорить «это хорошо» а «это плохо», просто настроено несколько вариантов и ovpn (два варианта tcp(на разных портах редирект) udp(аналогично) ) и ipsec и ipsec+l2tp. Всему свое место. Не работает одно, заработаем по другому.

Кстати в 1 варианте будет лучше использовать встроенный протокол softethervpn - сам проверил.

Тут (только в теории) соглашусь! Пока не пробовал. Но говорят очень кошерный!

по моим тестам через говнопрокси который режет udp - скорость в 2-3 больше чем openvpn через tcp ( хотя учитывая что это микротык с урезанным openvpn - хз )....

а если есть галочка в вендовом гуе - то не через ж.

PS It is also possible to use an external DHCP server to assign addresses to the OpenVPN clients. To achieve this, simply remove the specification of any IP address ranges after the server-bridge option

по ip они не могут блокировать, ибо на одном ip может быть не одна сотня сайтов. Они продолжают блочить DNS. C http у них ещё что-то получается, а вот с https (на который пираты уходят активно) их блокировки стали вообще «ниочем» и замены DNS достаточно )))

прекратите использовать машину времени.

Не верите? Пропишите гугловые днс и попробуйте открыть рутрекер.орг и любые другие пиратки с https ;)

1. провы бывает заворачивают 8.8.8.8 к себе, так что 8.8.8.8 может оказаться dns прова
2. sslbump вам ничего не говорит?
Не исключаю что вариант с 8.8.8.8 может сработать на каком-нибудь местячковом прове, но в основной своей массе времена этого решения давно прошли.

опробуйте открыть рутрекер.орг и любые другие пиратки с https

Ну например я знаю не крупного прова через которого с завидным постоянством заблокированные сайты и так работают :) , но это не значит что у всех так.

по ip они не могут блокировать

Еще как могут.

могут

В принципе могут да, и блокируют, но потом разблокируют по жалобе законопослушных владельцев сайтов на том же ip.

sslbump

Да, это неприятная штука для юзера. Но тут вопрос законности использования провайдером этой технологии. Дешифровка чужой инфы это УК РФ попахивает - ст. 272 УК РФ «Неправомерный доступ к компьютерной информации»

Для блокировки достаточно SNI. Так что все норм.

Интернет это не только сайты. Да и в целом вы правда из какой-то параллельной вселенной, как на самом деле у нас блокируют и разблокируют это же отдельная песня. Вот вспомнилась блокировка педивикии, «за наркоту», их попросили убрать страницу URL1, ну зашибись перенесли инфу на страницу URL2, в результате все довольны, по постановлению суда было написано URL1 - его нет, разблокируем :)