[OpenWRT] Ervaringen & Discussie

[ Voor 11% gewijzigd door Killertjuh op 06-11-2023 14:36 ]

[ Voor 5% gewijzigd door D-Three op 06-11-2023 20:07 ]

[ Voor 25% gewijzigd door Borromini op 06-11-2023 19:21 ]

Borromini schreef op maandag 6 november 2023 @ 19:01:
IP aanpassen gaat makkelijker via SSH, via de web UI zal de failsafe de aanpassing terugdraaien omdat ie de verbinding wegvalt.

Voor PoE heb je realtek-poe nodig, en je dient een gateway in te stellen zoals in de configuratie hierboven als je op je switch zelf internet wil.

kroonen schreef op maandag 6 november 2023 @ 18:58:
hoi,

Voor POE, in de 23.05 daar is de realtek-poe package bij software

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78

cat /etc/config/network

config interface 'loopback'
        option device 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config globals 'globals'
        option ula_prefix 'xxxx:xxxx:xxxx::/48'

config device 'switch'
        option name 'switch'
        option type 'bridge'
        option macaddr 'xx:xx:xx:xx:xx:xx'
        list ports 'lan1'
        list ports 'lan2'
        list ports 'lan3'
        list ports 'lan4'
        list ports 'lan5'
        list ports 'lan6'
        list ports 'lan7'
        list ports 'lan8'
        list ports 'lan9'
        list ports 'lan10'
        list ports 'lan11'
        list ports 'lan12'
        list ports 'lan13'
        list ports 'lan14'
        list ports 'lan15'
        list ports 'lan16'
        list ports 'lan17'
        list ports 'lan18'
        list ports 'lan19'
        list ports 'lan20'
        list ports 'lan21'
        list ports 'lan22'
        list ports 'lan23'
        list ports 'lan24'
        list ports 'lan25'
        list ports 'lan26'

config bridge-vlan
        option device 'switch'
        option vlan '10'
        list ports 'lan1'
        list ports 'lan2'
        list ports 'lan3'
        list ports 'lan4'
        list ports 'lan5'
        list ports 'lan6'
        list ports 'lan7'
        list ports 'lan8'
        list ports 'lan9'
        list ports 'lan10'
        list ports 'lan11'
        list ports 'lan12'
        list ports 'lan13'
        list ports 'lan14'
        list ports 'lan15'
        list ports 'lan16'
        list ports 'lan17'
        list ports 'lan18'
        list ports 'lan19'
        list ports 'lan20'
        list ports 'lan21'
        list ports 'lan22'
        list ports 'lan23'
        list ports 'lan24'
        list ports 'lan25'
        list ports 'lan26'

config interface 'data'
        option proto 'static'
        option device 'switch.10'
        option ipaddr '192.168.10.11'
        option netmask '255.255.255.0'
        option gateway '192.168.10.1'

1
2
3
4
5
6
7

config interface 'data'
        option proto 'static'
        option device 'switch.10'
        option ipaddr '192.168.10.11/24'
        option gateway '192.168.10.1'
        option dns '192.168.10.1'
        option ip6assign '60'

[ Voor 17% gewijzigd door Borromini op 06-11-2023 22:20 ]

[ Voor 6% gewijzigd door D-Three op 06-11-2023 22:23 ]

Borromini schreef op maandag 6 november 2023 @ 22:01:
Edit: je kan trouwens ook mijn DSA VLAN script gebruiken om je VLANs in te stellen, of er inspiratie uithalen voor tagged, untagged en default VLAN op DSA. Jij hebt je standaard-interface op switch.10 zitten en ik denk dat het script hardcoded switch.1 neemt.

Borromini schreef op maandag 6 november 2023 @ 22:24:
Als je DHCP gebruikt om je switch een IP te geven dan handelt DHCP die dingen af hé, dus als je je netwerkapparatuur zelf 'op het internet' wil dan dien je die dingen in te stellen.

[ Voor 5% gewijzigd door D-Three op 06-11-2023 22:41 ]

Killertjuh schreef op maandag 6 november 2023 @ 14:21:
Ik probeer alle DNS verkeer naar WAN te redirecten naar Adguard
Wanneer ik lokaal een nslookup doe naar 8.8.8.8 krijg ik een timeout. Dit komt omdat ik hieronder al een portforwarding rule heb aangemaakt. Wanneer ik deze weer uitschakel werkt nslookup weer zoals normaal.
[Afbeelding]

Dit is onder "Port Forwarding" de settings. Elke request naar port 53 moet geredirect worden naar internal ip
[Afbeelding]

Zoals je in adguard kunt zien komt de request ook aan.
[Afbeelding]

Maar zoals op eerste afbeelding is te zien krijgt de client geen antwoord. Heeft iemand een idee hoe dit kan?


edit:
Fixed ik vergat de volgende regel:
[Afbeelding]

Videopac schreef op zaterdag 11 november 2023 @ 08:12:
Banana R3 iperf3 test, SQM Cake uit, KPN PPPoE 1Gb:

code:

1 2 3 4 5 6

iperf3 -c speedtest.ams1.nl.leaseweb.net -P 4 -R [SUM] 0.00-10.03 sec 748 MBytes 626 Mbits/sec 325 sender [SUM] 0.00-10.00 sec 738 MBytes 619 Mbits/sec receiver iperf3 -c speedtest.ams1.nl.leaseweb.net -P 4 [SUM] 0.00-10.00 sec 1.07 GBytes 922 Mbits/sec 0 sender [SUM] 0.00-10.03 sec 1.07 GBytes 914 Mbits/sec receiver

Laat me weten als ik andere dingen moet testen.

sweetdude schreef op zaterdag 11 november 2023 @ 12:20:
[...]


Toevallig heb ik van de week mijn Linksys wrt32x geupgrade van versie 21 naar 23 (versie 22 had blijkbaar een nare bug erin zitten.)
Door de upgrade moest ik een clean install doen en heb ik dezelfde instellingen gemaakt. In mijn geval voor pihole in combinatie met unbound DNS server, maar dat maakt verder geen drol uit.

Zo te zien heb je bij de portforwarding settings een klein foutje staan. Ervan uitgaande dat IP 192.168.1.32 je adguard device is dien je bij source IPadres nog !192.168.1.32 op te nemen (let op het "!" uitroepteken ervoor!, heb ik ook 3 weken mee liggen klooien voordat ik hem zag)
Dan gaat deze regel voor alle apparaten in je netwerk op behalve adguard die moet namelijk wel op poort 53 verzoeken naar buiten kunnen doen. (met dank aan deze tutorial (https://jeff.vtkellers.co...ough-pihole-with-openwrt/)
Ik heb deze regel trouwens 2x aangemaakt 1x voor ipv4 en 1x voor ipv6 met de ipv6 adressen er dan in.

Bij de interfaces heb ik trouwens ook in het ipv6 tabblad het ipv6 adres van de pihole opgenomen bij de Announced IPv6 DNS servers

Falco schreef op vrijdag 13 oktober 2023 @ 04:04:
Inmiddels werkt auc -b 23.05 -B 23.05.0 voor mijn WAX202 en WAX206 AP's.
Op mijn r7800 hoofdrouter wacht ik nog even op de officiële aankondiging. Auc en luci-attended-sysupgrade geven ook nog geen update mogelijkheden.

joostnl schreef op zondag 12 november 2023 @ 20:49:
Toevallig ik ben een set up aan het instellen met wax206 hoofdrouter wax202 als dumb AP. Nog tips voor een beginner?


[...]

Falco schreef op maandag 13 november 2023 @ 10:03:
[...]

En de tip die ik dus met de upgrade naar 23.05 leerde, gebruik attended sysupgrade (of AUC) niet voor major versie upgrades. Voor versie upgrades (e.g. 22.03 --> 23.05) kan je beter sysupgrade gebruiken.

Wat dan handig is dat je zelf een klein installatie logje bijhoudt van welke packages je extra installeert, dan kan je mbv de firmware selector zelf die packages toevoegen zodat je je eigen custom sysupgrade kan maken.

De minor versie updates (e.g. 23.05.0 --> 23.05.1) kan je wel prima met luci-attended-sysupgrade doen, dit is dan gelijk het eerste pakket wat je toevoegt aan je installatie (is geen onderdeel van standaard images).

1

make image PROFILE=naam-van-je-device PACKAGES=wireguard -ppp -ppp-mod-pppoe

Tom Paris schreef op maandag 13 november 2023 @ 10:29:
[...]


Ik ben hierin waarschijnlijk een tikeltje obsessief, maar ik maak altijd mijn eigen images met de imagebuilder in een VM. Per device simpel commando als:

code:

1	make image PROFILE=naam-van-je-device PACKAGES=wireguard -ppp -ppp-mod-pppoe

Op die manier altijd een image zonder packages die ik toch niet gebruik maar wel veel ruimte innemen (ppp/pppoe), en nooit problemen met sysupgrade. Ook handig als je bijv. OpenVPN gebruikt en daarom de standaard MbedTLS varianten van wpad en luci wil vervangen met OpenSSL.

Speaking of which, we kunnen weer aan de slag wat 23.05.1 komt er aan: changelog en downloads.

Tom Paris schreef op maandag 13 november 2023 @ 10:29:
[...]
Speaking of which, we kunnen weer aan de slag wat 23.05.1 komt er aan: changelog en downloads.

Tom Paris schreef op woensdag 15 november 2023 @ 09:53:
[...]


Dat duurde niet lang... 23.05.2 images staan zelfs al online.

Chris.nl schreef op donderdag 16 november 2023 @ 00:30:
https://openwrt.org/releases/23.05/notes-23.05.2

Inmiddels officieel

[ Voor 5% gewijzigd door snah001 op 06-12-2023 10:47 ]

Borromini schreef op woensdag 6 december 2023 @ 11:38:
Met de beste wil van de wereld is het niet OpenWrt, het is hun fork daarvan. Die mag dan nog dicht bij mainline OpenWrt zitten (en dat siert hen), maar het zit nog altijd stampvol binary blobs .

Kan je evengoed zeggen dat je OpenWrt draait met zowat elke willekeurige recente SoC van QCA of Broadcom; zowat alle vendor firmware voor consumentenspul is tegenwoordig op OpenWrt gebaseerd.

Teleflubbie schreef op woensdag 27 september 2023 @ 10:52:
[...]


Heb hier ook een C2600 Openwrt combi draaien als main router. (uptime van 308 dagen )
Never change a winning team, maar ....... krijg binnenkort glasvezel en verwacht dat de NAT throughput boven de 500Mbs een bottleneck gaat worden.

Iemand hier al ervaring met deze versie die NSS hardware ondersteuning heeft? https://forum.openwrt.org...2600-linksys-ea8500/82525

(ik zal hem t.z.t gaan testen als de 23.05 stable uitkomt).

Davema schreef op zondag 31 december 2023 @ 13:59:
[...]


Heb je dit nog getest? Ik zit in precies dezelfde situatie en ga over op 1000 Mbit KPN glasvezel vanaf een Ziggo 200 Mbit verbinding nu. Dit zal mijn TP link C2600 met huidige Openwrt stable niet meer maximaal trekken. Mogelijk helpt de NSS build van ACWifidude hierbij, nu verwacht ik dat de switch naar DSA die eraan komt ook nog lastig wordt deze NSS build. Ik lees veel goede ervaringen over de Belkin RT3200 / Linksys E8450 voor switch naar Wifi 6, maar die is hier weer slecht te krijgen. Evt nog de Nanopi r4s en losse Access Points? Nog tips voor hardware upgrades bij glasvezel en mogelijk wifi 6 (ax) ready?

[ Voor 4% gewijzigd door Videopac op 31-12-2023 17:28 ]

Davema schreef op zondag 31 december 2023 @ 13:59:
[...]


Heb je dit nog getest? Ik zit in precies dezelfde situatie en ga over op 1000 Mbit KPN glasvezel vanaf een Ziggo 200 Mbit verbinding nu. Dit zal mijn TP link C2600 met huidige Openwrt stable niet meer maximaal trekken. Mogelijk helpt de NSS build van ACWifidude hierbij, nu verwacht ik dat de switch naar DSA die eraan komt ook nog lastig wordt deze NSS build. Ik lees veel goede ervaringen over de Belkin RT3200 / Linksys E8450 voor switch naar Wifi 6, maar die is hier weer slecht te krijgen. Evt nog de Nanopi r4s en losse Access Points? Nog tips voor hardware upgrades bij glasvezel en mogelijk wifi 6 (ax) ready?

[ Voor 12% gewijzigd door Borromini op 23-01-2024 12:50 ]

Borromini schreef op dinsdag 23 januari 2024 @ 12:44:
Hoe is 'EasyMesh' universeel? Klinkt als marketing of een merknaam. Nog nooit van gehoord, en ook nog nooit op het OpenWrt-forum zien voorbijkomen.

Zie hier: Wikipedia: Wi-Fi Alliance

OpenWrt ondersteunt 802.11s, dat wel.

nossie63 schreef op dinsdag 23 januari 2024 @ 16:21:
[...]


Oke, en dat werkt dan op elke router? Ook op een router die fabriek-af geen mesh heeft?

RobertMe schreef op dinsdag 23 januari 2024 @ 17:38:
Wat is mesh uberhaupt? Het wordt zowel gebruikt voor "wireless backhaul tussen meerdere nodes", en is dus gewoon een ordinaire repeater met alle nadelen. En het wordt gebruikt voor "seamless roaming", en daarvoor zijn allemaal mooie 802.11... standaarden.

Dit i.t.t. tot bv Z-Wave of Zigbee (IoT draadloze protocollen) waarbij elk apparaat dat op de netspanning is aangesloten dienst doet als zowel "(end) node" als "repeater" en het netwerk zich echt automatisch uitbreid als je meer apparaten plaatst.

[ Voor 21% gewijzigd door Falco op 23-01-2024 21:17 ]

Ankh schreef op woensdag 31 januari 2024 @ 11:34:
Zijn er hier mensen met OpenWRT en een NanoPI R4S (4GB)?
Die van mij is binnen en wil OpenWRT installeren. Kan de normale build van OpenWRT gebruiken of ik kan een speciale build pakken: https://github.com/anaelo...Wrt-NanoPi-R2S-R4S-Builds
Deze laatste heeft dan ook weer de optie om build 22 of 23 te nemen (waarbij de laatste nog als beta is bestempeld).

Borromini schreef op woensdag 31 januari 2024 @ 12:52:
@Ankh Een 'speciale' build wil zeggen dat je ook voor kernel drivers etc van die persoon afhankelijk bent, je kan daarop niet zomaar alle pakketten van upstream OpenWrt op installeren. Bluts met de buil.

Borromini schreef op woensdag 31 januari 2024 @ 14:46:
Zitten er gesloten blobs in die andere build die bepaalde zaken in hardware laten afhandelen bv., terwijl OpenWrt dat in software doet? Want anders ga je niet veel meer dan winsten op papier zien.

ImmortalWRT patches for Rockchip target NanoPi R2S (rk3328) / NanoPi R4S support (rk3399
NanoPi R4S : r8168 driver for R4S (realtek) instead of kernel r8169 + r8169 firmwares package

[ Voor 5% gewijzigd door groxgrox op 31-01-2024 20:33 ]

Ankh schreef op zaterdag 24 februari 2024 @ 09:50:
[...]

Al gekeken op de Wiki van OpenWRT?
https://openwrt.org/docs/...urations?s[]=kpn#kpn_ftth

grotegok schreef op zaterdag 24 februari 2024 @ 10:50:
[...]
Yes, nu meer aandacht aan besteed.
Helaas haal ik met mijn APU2 niet meer dan 400Mb/s throughput, exact hetzelfde als met PfSense.

grotegok schreef op zaterdag 24 februari 2024 @ 10:50:
[...]


Yes, nu meer aandacht aan besteed.
Helaas haal ik met mijn APU2 niet meer dan 400Mb/s throughput, exact hetzelfde als met PfSense.

[ Voor 19% gewijzigd door freestyler2 op 08-03-2024 15:04 ]

freestyler2 schreef op vrijdag 8 maart 2024 @ 14:58:
Ik loop tegen een probleem aan waarbij ik van buitenaf geen toegang kan krijgen tot een service die draait op mijn Windows Server (IP: 10.0.0.195) via poort 1194 (OpenVPN - maar het werkt voor geen enkele port die ik instel, dus ook niet bijv 123), ondanks dat ik meen alles correct te hebben geconfigureerd. Hier is een overzicht van mijn setup en wat ik tot nu toe heb geprobeerd:

Netwerkopstelling:
Ik heb een primaire en een secundaire router in mijn netwerk. De secundaire router (draaiend op OpenWRT) is verbonden met de primaire router en heeft het IP-adres 192.168.1.77 toegewezen gekregen. Dit IP-adres is ingesteld in de DMZ van de primaire router.
Het doel is om poort 1194 te openen voor een Windows Server met IP 10.0.0.195, dat achter de secundaire router staat.

Wat ik heb gedaan:
Op de OpenWRT-router heb ik port forwarding ingesteld voor poort 1194, gericht op 10.0.0.195.
Op de Windows Server heb ik gecontroleerd of de firewall uitgeschakeld is ("Firewall State: Off"), om eventuele blokkades door de firewall te elimineren.

Probleem:
Ondanks deze configuratie kan ik van buiten het netwerk geen verbinding maken met de service op poort 1194. Andere poorten, zoals 3389 voor Remote Desktop, werken wel naar behoren.
[Afbeelding]

Ik heb ook een DMZ-regel ingesteld door poort 1194 te veranderen in 1-65535, maar zelfs dan blijft elke andere poort gesloten, met uitzondering van poort 3389 (en misschien andere maar ik heb niet alles getest, maar als ik simpel port 123 test met een online tool, is zelfs deze port gesloten voor buitenaf).

Vragen:
Zijn er specifieke instellingen of stappen in OpenWRT of Windows Server die ik mogelijk over het hoofd zie?

sweetdude schreef op vrijdag 8 maart 2024 @ 16:08:
[...]

De openWRT instellingen missen een protocol voor openVPN zou dat TCP moeten zijn.

freestyler2 schreef op vrijdag 8 maart 2024 @ 14:58:
Andere poorten, zoals 3389 voor Remote Desktop, werken wel naar behoren.

freestyler2 schreef op vrijdag 8 maart 2024 @ 14:58:
Ik heb ook een DMZ-regel ingesteld door poort 1194 te veranderen in 1-65535, maar zelfs dan blijft elke andere poort gesloten, met uitzondering van poort 3389 (en misschien andere maar ik heb niet alles getest, maar als ik simpel port 123 test met een online tool, is zelfs deze port gesloten voor buitenaf).

OpenWRT draait op een grote hoeveelheid apparaten. Een volledige lijst vind je hier.

Veelgebruikte OpenWRT routers:

Netgear WNDR3700 (Gigabit ethernet, 802.11n (300mbps) - koop bij voorkeur de V2 of V4)
TP-Link WR1043 (Gigabit ethernet, 802.11n (450mbps))
TP-Link WDR4300 (Gigabit ethernet, 802.11n (750mbps))
TP-Link Archer C7 (Gigabit ethernet, 802.11n (450mbps) en 802.11ac (1300mbps)) Let op, alleen de V2 wordt ondersteund!

[ Voor 20% gewijzigd door D-Three op 15-03-2024 23:41 ]

mtsberk schreef op vrijdag 15 maart 2024 @ 22:41:
enkele vragen.

In begin post staat:

[...]

Dit is een hele lijst met routers die grotendeels niet in Nederland verkrijgbaar zijn.
Hoe kan ik filters op de routers die wel in Nederland verkrijgbaar zijn?

In beginpost staat ook:

[...]


Dit is van 2015 en het is nu 2024.

Kan TS @Dennis een nieuwe update geven over deze lijst?

[ Voor 13% gewijzigd door laurens0619 op 04-04-2024 10:18 ]

[ Voor 19% gewijzigd door Borromini op 04-04-2024 13:06 ]

Borromini schreef op donderdag 4 april 2024 @ 13:06:
@Erik1 Doet die PoE dan? Lijkt me niet het geval te zijn?

[ Voor 27% gewijzigd door Borromini op 04-04-2024 15:37 ]

Erik1 schreef op woensdag 3 april 2024 @ 21:23:
Een tip voor als je op zoek bent naar een goedkoop en simpel Wifi 6 AP, ik kwam deze repeaters tegen voor €29 per stuk:
uitvoering: Netgear EAX12

SoC: MT7621, 256 MiB RAM, 128 MiB NAND
Wifi: MT7915: 2.4/5 GHz 2x2 802.11ax (DBDC)
Ethernet: 1 port 10/100/1000

Worden door de stable release van OpenWRT nog niet ondersteund maar in de snapshot al wel een tijdje. Ik heb er 3 gekocht, al 1 geflasht en die lijkt stabiel te draaien. Energieverbruik is ongeveer 5W idle met WiFi aan. Als je stopcontact + netwerkaansluiting naast elkaar hebt zitten dan zijn ze mooi compact op te hangen en heb je geen PoE nodig

Ankh schreef op vrijdag 5 april 2024 @ 10:55:
Ben toch benieuwd hoe een OpenWRT AP het doet ten opzichte van een Unifi AP? Ik heb zelf 3x Unifi 6 Lite APs hangen, welke middels de cloud worden "beheerd". Alle APs hebben een UTP kabel en Mesh is niet direct nodig (mogelijk wel voor de tuin).

Ankh schreef op vrijdag 5 april 2024 @ 10:55:
Ik heb zelf 3x Unifi 6 Lite APs hangen

[ Voor 14% gewijzigd door Borromini op 05-04-2024 16:01 ]

Ankh schreef op vrijdag 5 april 2024 @ 10:55:
Ben toch benieuwd hoe een OpenWRT AP het doet ten opzichte van een Unifi AP? Ik heb zelf 3x Unifi 6 Lite APs hangen, welke middels de cloud worden "beheerd". Alle APs hebben een UTP kabel en Mesh is niet direct nodig (mogelijk wel voor de tuin).

Ankh schreef op vrijdag 5 april 2024 @ 17:23:
Ik doe echt niets met de monitoring tools, mogelijk vanuit een docker VM als ik OpenWRT draai.
Ooit ingesteld en dat is het. Cloud controller wordt door een ICT bedrijf van een vriend van mij gerund en kan daar op meeliften. Zij pushen ook de updates. ZO nu en dan werkt er weer eens iets niet met die UniFi hardware, dus moet ik weer handmatig iets fixen.

Ik heb "maar" 2 SSIDs (gewoon + IoT), geen vlans (nog). Ben nu bezig om mijn edgerouter te vervangen voor een NanoPi R4S met vlans. Daarna wil ik kijken of ik dit stukje ook kan versimpelen (verbeteren).

D-Three schreef op maandag 15 april 2024 @ 21:37:
[...]

Ik heb een tijdje Omada gehad (de TP-Link tegenhanger van Ubiquiti) en op zich was ik daar redelijk tevreden over. Handig om alles vanuit één dashboard te kunnen instellen. Maar eigenlijk overkill voor mijn thuisgebruik en ik deed ook niks met de monitoring. Om daar dan een controller voor te laten draaien... Na even twijfelen om "all in" Omada te gaan, heb ik uiteindelijk de omgekeerde beweging gemaakt. Een NanoPi R2S aangeschaft, enkele Omada access points konden zelfs worden geflashed. De rest werd vervangen, inclusief de switch. Erg handig om de VLAN's te beheren

[ Voor 16% gewijzigd door D-Three op 16-04-2024 10:32 ]

[ Voor 4% gewijzigd door Lord Anubis op 03-06-2024 22:50 ]

Lord Anubis schreef op maandag 3 juni 2024 @ 22:49:
Misschien enkele noob vragen maar kon het niet terug vinden;

Mijn eerste benodigheden.
Zijn er ervaringen om een QNap QHora-321 om te zetten naar openwrt?
Had wel ergens iets gezien mbt de QHora-322.

Lord Anubis schreef op maandag 3 juni 2024 @ 22:49:
Aanvankelijk wil ik een QHora-321 kopen vanwege de hardware met name de 2.5Gbs poorten

iPadawan schreef op dinsdag 4 juni 2024 @ 13:15:
[...]

Hebben maar 1Gbs poorten of te weinig 2.5Gbs poorten.

iPadawan schreef op dinsdag 4 juni 2024 @ 13:15:
[...]

Hebben maar 1Gbs poorten of te weinig 2.5Gbs poorten.

[ Voor 6% gewijzigd door Tom Paris op 04-06-2024 13:48 ]

Tom Paris schreef op dinsdag 4 juni 2024 @ 13:47:
[...]


Zeker de Banana Pi BPI-R4 is interessant voor multi-gig fiber, XGS-PON SFP+ erin, en een 10Gbit uplink naar een mooie switch.

[ Voor 3% gewijzigd door Lord Anubis op 13-06-2024 19:59 ]

ToniW schreef op donderdag 13 juni 2024 @ 21:11:
Ik wil graag verkeer vanaf mijn LAN naar een bepaald IP-adres via WireGuard routeren. Al het andere verkeer moet nog steeds default naar het standaard WAN gaan.
Voor zover ik gelezen heb kan dat het best met Policy Based Routing, maar ik krijg het niet werkend.

De WG tunnel lijkt me te werken. Als ik op het console in de router een vaste route instel:
route add [ipadres] wg0
en dan ssh naar dat [ipadres] dan zie ik dat ik vanaf een ip-adres kom van mijn VPN provider

Vanaf een machine in het LAN lukt het niet om in te loggen, ik krijg een connection timeout.

Wat ik verder ook in PBR instel, het lijkt allemaal niet uit te maken.

Heeft iemand sprankelende ideeën en/of pointers naar duidelijke docs hierover?

1
2
3
4
5
6
7
8
9
10

config rule
    option in 'lan'
    option dest '<IP>/32'
    option lookup '300'

config route
    option interface 'wireguard'
    option target '0.0.0.0'
    option netmask '0.0.0.0'
    option table '300'

Tom Paris schreef op donderdag 13 juni 2024 @ 22:00:
[...]


Geen PBR gebruiken, maar in /etc/network iets als dit:

code:

1 2 3 4 5 6 7 8 9 10

config rule option in 'lan' option dest '<IP>/32' option lookup '300' config route option interface 'wireguard' option target '0.0.0.0' option netmask '0.0.0.0' option table '300'

ToniW schreef op vrijdag 14 juni 2024 @ 09:09:
[...]


Dank voor de hulp, maar het heeft niet het gewenste effect.
ipv interface 'wireguard' heb ik interface 'wg0' gebruikt omdat-ie zo heet bij mij
Ik neem trouwens aan dat je /etc/config/network bedoelt?

Het effect is dat een ssh vanaf de console van de router wel verbindt met remote, maar het verkeer gewoon vanaf mijn WAN-adres komt.
ssh vanaf het LAN geeft nog steeds een timeout.

Tom Paris schreef op vrijdag 14 juni 2024 @ 12:38:
[...]


Sorry, /etc/config/network idd. Kun je je hele etc/config/network en etc/config/firewall eens posten?

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79

config interface 'loopback'
    option device 'lo'
    option proto 'static'
    option ipaddr '127.0.0.1'
    option netmask '255.0.0.0'

config globals 'globals'
    option ula_prefix 'fda7:d7ad:20b6::/48'

config device
    option name 'br-lan'
    option type 'bridge'
    list ports 'eth0'

config interface 'lan'
    option device 'br-lan'
    option proto 'static'
    option netmask '255.255.255.0'
    option ipaddr '192.168.0.1'
    option igmp_snooping '1'

config interface 'wan'
    option proto 'pppoe'
    option username 'xx'
    option password 'xx'
    option ipv6 '0'
    option device 'eth1.6'
    option metric '50'

config interface 'GUEST'
    option proto 'static'
    option device 'eth0.11'
    option ipaddr '192.168.100.1'
    option netmask '255.255.255.0'

config interface 'IPTVWAN'
    option proto 'dhcp'
    option hostname '*'
    option vendorid 'IPTV_RG'
    option peerdns '0'
    option device 'eth1.4'

config interface 'wwan'
    option proto 'dhcp'
    option metric '100'

config device
    option name 'eth1.4'
    option type '8021q'
    option ifname 'eth1'
    option vid '4'

config device
    option name 'pppoe-wan'
    option mtu '1492'

config interface 'wg0'
    option proto 'wireguard'
    option private_key 'xxx'
    option listen_port '51820'
    list addresses '10.14.0.2/16'

config wireguard_wg0
    option description 'surfshark'
    option public_key 'xxx'
    option endpoint_host '185.174.159.109'
    option persistent_keepalive '25'
    list allowed_ips '0.0.0.0/0'

config rule
    option in 'lan'
    option dest 'xxx/32'
    option lookup '300'

config route
    option interface 'wg0'
    option target '0.0.0.0'
    option netmask '0.0.0.0'
    option table '300'

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227

config defaults
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option synflood_protect '1'

config zone 'lan'
    option name 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'
    list device 'tun+'
    list network 'lan'

config zone 'wan'
    option name 'wan'
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option masq '1'
    option mtu_fix '1'
    list network 'wan'
    list network 'wan6'
    list network 'wwan'

config forwarding
    option src 'lan'
    option dest 'wan'

config rule
    option name 'Allow-DHCP-Renew'
    option src 'wan'
    option proto 'udp'
    option dest_port '68'
    option target 'ACCEPT'
    option family 'ipv4'

config rule
    option name 'Allow-Ping'
    option src 'wan'
    option proto 'icmp'
    option icmp_type 'echo-request'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-IGMP'
    option src 'wan'
    option proto 'igmp'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-DHCPv6'
    option src 'wan'
    option proto 'udp'
    option src_ip 'fc00::/6'
    option dest_ip 'fc00::/6'
    option dest_port '546'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-MLD'
    option src 'wan'
    option proto 'icmp'
    option src_ip 'fe80::/10'
    list icmp_type '130/0'
    list icmp_type '131/0'
    list icmp_type '132/0'
    list icmp_type '143/0'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Input'
    option src 'wan'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    list icmp_type 'router-solicitation'
    list icmp_type 'neighbour-solicitation'
    list icmp_type 'router-advertisement'
    list icmp_type 'neighbour-advertisement'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Forward'
    option src 'wan'
    option dest '*'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-IPSec-ESP'
    option src 'wan'
    option dest 'lan'
    option proto 'esp'
    option target 'ACCEPT'

config rule
    option name 'Allow-ISAKMP'
    option src 'wan'
    option dest 'lan'
    option dest_port '500'
    option proto 'udp'
    option target 'ACCEPT'

config rule
    option name 'Support-UDP-Traceroute'
    option src 'wan'
    option dest_port '33434:33689'
    option proto 'udp'
    option family 'ipv4'
    option target 'REJECT'
    option enabled '0'

config include
    option path '/etc/firewall.user'

config zone
    option name 'guest'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'
    list device 'eth0.11'
    list network 'GUEST'

config forwarding
    option src 'guest'
    option dest 'wan'

config zone
    option name 'iptv'
    option input 'DROP'
    option output 'ACCEPT'
    option forward 'DROP'
    option masq '1'
    list network 'IPTVWAN'

config forwarding
    option src 'lan'
    option dest 'iptv'

config rule
    option name 'guest allow http to lan'
    list proto 'tcp'
    option src 'guest'
    option dest 'lan'
    option dest_port '80'
    option target 'ACCEPT'

config rule
    option name 'guest allow https to lan'
    list proto 'tcp'
    option dest 'lan'
    option dest_port '443'
    option target 'ACCEPT'
    option src 'guest'

config nat 'dns_masq'
    option name 'Masquerade-DNS'
    option src 'lan'
    option dest_ip '192.168.0.3'
    option dest_port '53'
    option proto 'tcp udp'
    option target 'MASQUERADE'

config rule
    option name 'allow ssh guest->lan'
    option src 'guest'
    option dest 'lan'
    option target 'ACCEPT'
    option dest_port '22'

config rule 'ovpn'
    option name 'Allow-OpenVPN'
    option src 'wan'
    option dest_port '1197'
    option proto 'udp'
    option target 'ACCEPT'

config forwarding
    option src 'lan'
    option dest 'guest'

config include 'pbr'
    option fw4_compatible '1'
    option type 'script'
    option path '/usr/share/pbr/pbr.firewall.include'

config zone
    option name 'wg'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'
    list network 'wg0'

config forwarding
    option src 'wg'
    option dest 'lan'

config forwarding
    option dest 'wg'

config forwarding
    option src 'lan'

config forwarding
    option src 'lan'
    option dest 'wg'

ToniW schreef op vrijdag 14 juni 2024 @ 12:56:
[...]


/etc/config/network:
(Ik heb een paar blokjes voor port forwards en specifieke blocking van bepaald lan->wan verkeer weggelaten)

code:

1

<knip>

[ Voor 6% gewijzigd door krijn1985 op 14-06-2024 13:34 ]

krijn1985 schreef op vrijdag 14 juni 2024 @ 12:59:
[...]

off-topic: ik zou je public IP even weghalen.

ToniW schreef op vrijdag 14 juni 2024 @ 12:56:
[...]


/etc/config/network:
(Ik heb een paar blokjes voor port forwards en specifieke blocking van bepaald lan->wan verkeer weggelaten)

1
2
3
4
5

config route
    option interface 'wg'
    option target '0.0.0.0'
    option netmask '0.0.0.0'
    option table '300'

ToniW schreef op vrijdag 14 juni 2024 @ 13:18:
[...]


Ehm... help me, ik zie die nergens staan...
Enige publieke ip-adres wat erin staat is dat van de endpoint van surfshark

Tom Paris schreef op vrijdag 14 juni 2024 @ 13:24:
[...]


Je Wireguard-zone heet 'wg', dus je route moet zijn

code:

1 2 3 4 5

config route option interface 'wg' option target '0.0.0.0' option netmask '0.0.0.0' option table '300'

Dan de PBR-regels weghalen uit /etc/config/firewall. Het IP wat je via Wireguard wil bereiken is een publiek IP?

ToniW schreef op vrijdag 14 juni 2024 @ 13:53:
[...]
Het ip-adres in de WG-config komt van surfshark en is publiek.

Tom Paris schreef op vrijdag 14 juni 2024 @ 21:35:
[...]


Ik doel op het specifieke IP wat je wil bereiken via de Wireguard tunnel. Is dat een publiek IP? Of een private IP in het netwerk van je Wireguard peer?