[Tutorial] OpenWrt+OpenVpn+Htc One S 4.0.4

[x_redentor]

esta es mi aportacion y una forma de dejar lo que he echo en internet para ayudar a los demas , todos pensareis que estoy
, gracias

os pido porfabor que no leais solo el primer post leer todos por su gran contenido de informacion no se puede porner todo en el primero , al no haber ESPOILER,gracias
todo lo que he usado

Código:

puerta de enlace  192.168.1.1
wan del router 10.0.0.1 
frim del router Openwrt backfire 10.03.1 (tabla de routers compatibles http://wiki.openwrt.org/toh/start )
movil usado Htc One S 4.0.4 (ultima RUU)
programa android cliente OpenVPN para Android (en el market de android)
servidor DDns no-ip  (http://www.no-ip.com)
programa ssh PUTTY (http://www.chiark.greenend.org.uk/~s.../download.html) 
Router 192.168.1.1 en la DMZ o abrir el puerto UDP 1194 (en mi caso en la configuracion del X3000)

configuracion de mi red:

Código:

((internet)) -----  Router ADSL ------- Router Servidor VPN
ip x.x.x.x           ip 10.0.0.1                ip 192.16.1.1
Jazztel            linksys X3000       Ubuquiti Routerstation Pro

el router en cuestion a modificar seria el servidor VPN, este tiene que ser compatible con openwrt mirar la tablas que puse en lo que usado arriba , pero tambien se podria hacer este proceso en el Router ADSL.

lo primero es montar el servidor OpenVpn en el router. (damos por hecho que ya esta instalado el firmware openwrt)
si vais a instalar el openwrt , recordar copiar los datos de vuestra conesion a internet , estan en la tabla mas abajo o http://www.subirimagenes.com/privada...2-1930373.html
si vuestro router esta detras de el de internet como el mio eso cambia , tendreis que configurarlo para que se conecte ael router que da acceso a internet.
entramos en el router, en general la puerta de enlace es 192.168.1.1, como es mi caso, usaremos ssh (putty)
instalamos

Código:

opkg update
opkg install openvpn openvpn-easy-rsa luci-app-ddns nano

configuramos certificados
si queremos modificarlo , sino saltamos este paso.

Código:

cd /etc/easy-rsa 
nano vars

Código:

export KEY_COUNTRY="US" 
export KEY_PROVINCE="CA" 
export KEY_CITY="SanFrancisco" 
export KEY_ORG="Fort-Funston" 
export KEY_EMAIL="[email protected]"

para gravar los cambios , Control + O , salir Control + X
Generamos certificados

Código:

build-ca 
build-dh

le ponemos la misma clave al certificado server y al cliente

Código:

build-key-server server 
build-key client

Creamos el archivo openvpn.conf

Código:

nano /etc/openvpn/openvpn.conf

contenido del archivo

Código:

mode server
tls-server

### network options
port 1194
proto udp
dev tun

### Certificate and key files
ca /etc/easy-rsa/keys/ca.crt
cert /etc/easy-rsa/keys/server.crt
key /etc/easy-rsa/keys/server.key
dh /etc/easy-rsa/keys/dh1024.pem

server 10.8.0.0 255.255.255.0
push "redirect-gateway def1"
push "dhcp-option DNS 192.168.1.1" 
client-to-client

### (optional) compression (Can be slow)
#comp-lzo
persist-key
persist-tun

verb 3
keepalive 10 120
log-append /var/log/openvpn/openvpn.log

editamos el archivo openvpn

Código:

nano /etc/config/openvpn

Código:

config 'openvpn' 'lan'
        option 'enable' '1'
        option 'port' '1194'
        option 'proto' 'udp'
        option 'dev' 'tun'
        option 'ca' '/etc/easy-rsa/keys/ca.crt'
        option 'cert' '/etc/easy-rsa/keys/server.crt'
        option 'key' '/etc/easy-rsa/keys/server.key'
        option 'dh' '/etc/easy-rsa/keys/dh1024.pem'
        option 'ifconfig_pool_persist' '/tmp/ipp.txt'
        option 'keepalive' '10 120'
        option 'comp_lzo' '1'
        option 'persist_key' '1'
        option 'persist_tun' '1'
        option 'status' '/var/log/openvpn-status.log' 
        option 'verb' '3'
        option 'server' '10.8.0.0 255.255.255.0'
        list 'push' 'dhcp-option DOMAIN lan'
        list 'push' 'dhcp-option DNS 192.168.1.1'

configuramos el cortafuegos y añadimos esto al final

Código:

nano /etc/config/firewall

Código:

config 'rule'
        option 'target' 'ACCEPT'
        option 'name' 'VPN'
        option 'src' 'wan'
        option 'proto' 'udp'
        option 'dest_port' '1194'

editamos las reglas del cortafuegos y añadimos al final

Código:

nano /etc/firewall.user

Código:

iptables -t nat -A prerouting_wan -p udp --dport 1194 -j ACCEPT
iptables -A input_wan -p udp --dport 1194 -j ACCEPT

iptables -I INPUT -i tun+ -j ACCEPT
iptables -I FORWARD -i tun+ -j ACCEPT
iptables -I OUTPUT -o tun+ -j ACCEPT
iptables -I FORWARD -o tun+ -j ACCEPT

Código:

/etc/init.d/openvpn start

y le ponemos en enable para que se ejecute en el inicio del router

Código:

/etc/init.d/openvpn enable

los archivos necesarios para el moviel estan en la direccion

Código:

/etc/easy-rsa/keys

son los siguientes archivos

Código:

ca.crt
cliente.crt
cliente.key
dh1024.pem

estos archivos hay que llevarlos a la targeta sd de nuestro Htc One S
bien usaremos "filezilla", segun esta.

Código:

servidor: 192.168.1.1 , puerto 22
protocolo SFTP-SSH file transter protocol
modo de acceso: normal
Usuario: nuestra clave (root)
contraseña: nuestra contraseña (la que le pusiste)

le damos a conectar , vamos a la carpeta de nuestro router

Código:

/etc/easy-rsa/keys

y descargamos todos los archivos que hemos dicho anteriormente.
los metemos en una carpeta que creamos en la sd , llamada "openvpn"
si hemos llegado aqui, sois unos maquinas
descargamos del marquet "OpenVPN para Android" , este y no otro.
el servidor lo creamos en el Dynamic Dns
y creamos una VPN nueva y lo unico que hay que hacer es selecionar en tipo "certificados"
y vamos poniendo todos los certificados que metimos en la carpeta openvpn.
################################################## ##############
Dynamic DNS. no-ip mismamente
instalamos luci-app-ddns (ya esta instalado lo metimos al principio)
y ahora desde LUCI (el menu del router)
en cualquier navegador ponemos la direccion 192.168.1.1
pestaña SERVICES y Dynamic DNS

Código:

enable , activado
servidor no-ip.org
hostname , pepino.no-ip.org
username , [email protected]
password , password
source of ip address , URL
URL , dynupdate.no-ip.com
check for..... , 10
check-time ... , min
force update... , 72
force-time ... , h

reiniciamos el router y a conectar

esplicacion, se crea un tunel directo entre movil y router , pero el movil para salir a internet sale por las dns del router , haciendo pensar que estas en casa, conectado al wifi, este tunel esta cifrado y podriamos poner el puerto que nos diera la gana , funcionando el viber, skype , .......etc , todo full como dicen.
tambien se prodria crear servidor en linux, windows 7 ..... etc , mi proceso es un poco mas complicado pero economico y una vez enmarcha comodo, porque el router siempre esta encendido.
es todo un follon pero la recompensa es muy grande y si quieren que tambien bloquen el whatshapp.

¿Con este sistema se puede romper el límite de velocidad de descarga de las operadoras?, se las puede engañar de algún modo?.

Gracias

[x_redentor]

pues te digo que no tengo ni idea , se supone que mi velocidad a de ser de 124kb, por haber llegado al tope del consumo , pero las fotos y los consumos , ni de coña los 124kb.


jajaja, yo creo que lo he repetido varias veces,...

acabo de hacer un test de la ip del movil y me marca la ip del router., es como si estubiera en casa.

y habria que mirar el tema del archivo TUN.KO
que parece ser que es de lo que estas hablando, si alguien lo tiene para la ultima RUU , lo pase, jajaja y probamos que seguro que nos llevamos una sorpresa

[thisnight]

Que router tienes?? conectado directamente a la linea? o conectado a otro router?. Saludos!

[x_redentor]

repondo arriba perdona

actualizacion.

instalamos DropBear SSH_Server , y podremos conectarnos al movil por ssh desde cualquier pc que este en el router como si estubieramos en wifi , solo que se conectara atraves del tunel openvpn.(3G)

Código:

x_redentor@A200:~$ ssh [email protected]
Welcome to DropBear SSH Server!
[email protected]'s password: 
root@android:/data/local # cd ..
root@android:/data # cd ..
root@android:/ # ls
acct                  etc                        init.rc                sys
cache               firmware_dsps        init.target.rc       system
config               firmware_q6           init.usb.rc          tombstones
cwkeys            firmware_radio        init.ville.rc         ueventd.goldfish.rc
d                      firmware_wcnss     mnt                  ueventd.rc
data                  init                        proc                 ueventd.ville.rc
default.prop       init.goldfish.rc        root                  vendor
dev                   init.qcom.rc           sbin
devlog               init.qcom.sh          sdcard
root@android:/ #

practico.

[thisnight]

los comandos los vias por telnet no?, porque via LUCI no veo nada...hazme caso, pez, y aun no me queda claro como instalas el openvpn...y como no me quedaba claro, un paquete de firmware con openvpn incorporado, es de bitswitch pero bueno. Y por cierto, quizas lo sabes, para configurar un Comtrend ct5365 openwrt con telefonica? consigo que rule...san google, falla, y comentarios de 2011 con que no se podia...¿?¿?

Un saludo!!!

[x_redentor]

se puede envian via telnet, pero preferible en ssh, el openwrt , ser puede intalar de todo discos duros , servidores pptp, ipsec , openvpn, ............etc, siempre mirando la
capacidad por que esos router tiene poca , muy poca, pero para instalar un server pptp y openvpn , valen.
espera y reedito esplicandolo , que ayer instala el openwrt en un router de telefonica , (los blancos) es un CT-5361

a todo lo que se puede instalar al router esta en http://downloads.openwrt.org/backfir...63xx/packages
para que veas que hay de todo , pero cuidado con la capacidad del router que se acaba, a y en el 2011 no se podria pero estamos casi en el 2013 , jajaja
bueno al lio

ojo este proceso es muy peligroso - ( instalacion firm openwrt en un CT-5365 )

buscamos el router en las tablas de openwrt http://wiki.openwrt.org/toh/start#comtrend

Código:

CT-5365  -  R30819  bcm63xx  Broadcom 6348  240  4  16  BCM4318 (onboard)  802.11b/g  5  Yes  possible

bien tiene un chip bcm63xx, vamos a la descarga

http://downloads.openwrt.org/backfire/10.03.1/brcm63xx

segun pagina oficial http://wiki.openwrt.org/toh/comtrend/ct5365

Código:

Comtrend CT 5365 is based on a Broadcom processor 
(brcm63xx/96348A-122). OpenWrt correct firmare is openwrt-96348GW-generic-squashfs-cfe.bin, 
which can be directly flashed from the original firmware page.

seria este
http://downloads.openwrt.org/backfir...uashfs-cfe.bin

segun paguina para actualizar

Código:

Installation

   
  Flashing ANY Firmware

    You must set your TCP/IP v4 protocol to: 
 
 IP: 192.168.1.2
 Netmask: 255.255.255.0
 Gateway: 192.168.1.1
 DNS: (optional, can be blank).
   Then: 
 
 Power off the router.
 Press reset button near the antenna.
 Keep it pressed while powering up during ~20+ seconds.
 Acces to http://192.168.1.1 and upload binary file.
 Wait until router reboots.

se puede instalar via luci. el servidor openvpn , si pero la modificacion de los archivos tiene que ser por telnet o ssh

vamos a luci
pestaña System--> Software
actualizamos la lista de paquetes

instalamos los paquetes

Código:

openvpn 
openvpn-easy-rsa
nano

openvpn (es el que crea el servidor)
openvpn-easy-rsa (crea los certificados y los maneja)
nano (es el editor de testos en español y mejor)

lo demas tendriamos que hacerlo via ssh o telnet

[thisnight]

el problema que tengo, es que no se configurarlo para telefonica...no encuentro nada, he estado haciendo tu tutorial...pero no me conecta el router a internet, tengo red local, pero nada mas, sigo buscando...

Gracias por el tutorial, exagerao para ser domingo, hazme caso!

[x_redentor]

Datos de las operados de adsl , en caso de instalacion de el openwrt , copiar estos valores
antes de instalar el firm openwrt.



aqui lo tienes , espero que te ayude, fallo mio nadie es perfecto

[thisnight]

jeje gracias x_redentor; ya lo conseguí; de todos modos los dejo aqui, para quien instale openwrt, viendo la interfaz, vea donde va cada parametro.

1) http://www.alfredomatas.es/2012/07/1...movistar-ftth

AQUI LO EXPLICA PARA LOS 3 TIPOS DE FIRMWARES
2) http://www.redeszone.net/2011/04/06/...raf-u-openwrt


Un saludo!!, y esperemos que funcione; que no baje la velocidad de esos "7.2mbps" que dicen tiene el 3G...

[x_redentor]

muestra del menu LUCI de openwrt

jajaja , hay ya ba cojiendo forma este post , sabes que he visto por internet que cobran pasta por esto del servidor openvpn , juas juas , es la leche



aqui para que veais como es la interface del luci

[x_redentor]

si no sabemos o no queremos conectar por firezilla. hay ba mas facil

ojo con el espacio en el router!!!! instalamos mas cosas ZIP

Código:

opkg update
opkg install zip
cd /etc/easy-rsa/keys
mkdir /www/open
cp ca.crt /www/open
cp client.crt /www/open
cp client.key /www/open
cp dh1024.pem /www/open
cd /www/open
zip claves.zip ./*.*

bien ahora no vamos al navegador que mas rabia nos de .

http://192.168.1.1/open

y hay esta tu archivo con las claves (claves.zip) descomprime en tu SD del movil

o

nos conectamos al wifi del router y hacemos la misma operacion y lo descargamos al movil , y ale a descomprimir desde android

[x_redentor]

si alguien tiene el tun.ko , que lo pase que no hay forma de encontrarlo , gracias

[thisnight]

donde viene ese fichero??

[x_redentor]

Como vas?.Lo as echo?
El tun. Ko se ve que modifica las conexiones openvpn, si instalamos el, tun.Ko instaler.
Veras que para nuestro modelo o mi versión no hay.

[thisnight]

si te digo que estoy bajo un comtrend 5365...no te lo crees, y con 1mb de memoria libre...al final acaba petando.

Lastima que aunque tenga liberao el livebox2 no haya nada para él. Mañana me llegare a buscar un router en condiciones, preferiblemente un buffalo...pero claro...soltar 75e ahora...puuff.

Para que quieres modificar las conexiones del vpn??, si con que lo configures para que conecte el movil y eso ya lo has hecho...¿?¿?:

 Cita:

el servidor lo creamos en el Dynamic Dns
y creamos una VPN nueva y lo unico que hay que hacer es selecionar en tipo "certificados"
y vamos poniendo todos los certificados que metimos en la carpeta openvpn.

pero aqui...a la hora de configurar la ddns de no-ip, supongo que debes poner la ip tuya publica, vamos la del cliente que tienes instalado en el pc quoteo de nuevo:

[quote]
enable , activado servidor no-ip.org hostname , pepino.no-ip.org username , [email protected] password , password source of ip address , URL -> IP Publica de nuestro router supongo URL , dynupdate.no-ip.com check for..... , 10 check-time ... , min force update... , 72 force-time ... , h

un saludo!!!

PD: aun no he terminado, falta de rom en el comtrend, pero digo yo, la conexion movil va a un isp, y ese isp debe ser el mismo que tu compañia movil y fija, ademas del nodo...van a un mismo punto cableado terrestre que va al router, que el que por el repetidor de antena??

si con solo las dns, puedes llegar a "engañar" a tu isp...mmm...muy facil lo veo

[x_redentor]

cuando te registras en no-ip , creas un ip dinamica, que te dan opcion a crear 3 gratuitas, con tu password , usuario y el hosts , con figuras el openwrt , opcion Dinamic DDns, mis valores son orientatibos para que os gieis.

esto hace que cuando tu compañia de adsl te cambia la ip publica, openwrt informe a no-ip , asi siempre podras encontrar tu router en internet,

ejemplo creamos en no-ip , --> vpn.no-ip.gz

Código:

enable , activado 
servidor no-ip.org 
hostname , vpn.no-ip.gz 
username , [email protected] (tu usuario de no-ip) 
password , password (tu password de no-ip) 
source of ip address , 
URL URL , dynupdate.no-ip.com 
check for..... , 10
 check-time ... , min 
force update... , 72 
force-time ... , h

la ip publica la coge no-ip cuando el router rebota o informa a no-ip

seria en no-ip , asi
hostname vpn.no-ip.gz
host type DNS Host(a)

apretamos update y ya esta. y luego a configurar en openwrt, comprovamos que este todo activado y reiniciamios el router.
si entramos en no-ip , si todo a salido bien , veremos que esta nuestra ip publica en el host de vpn.no-ip.gz

pd: en cuanto a los del isp , no , lo que hace el programa de opwnvpn es desbiar todo el trafico saliente a internet , atrabes del tunel , cogiendo ip y dns del router,

prueba esto , conectas a internet y busca cualquier pagina de esas que te ficen la ip.
, ahora conecta el openvpn de android y haz lo mismo , veras que la ip que usas para salir a internet a cambiado, por eso a vista de operadora esta como si estubieras conectado al wifi. y sin los bloqueos de puertos y etc... de la compañia , puse una foto arriba que lo esplica muy bien con un dibujo.

[mjnavapo]

A ver si alguien me puede ayudar que llevo varios dias haciendo pruebas y no consigo hacer funcionar la VPN

Tengo unas dudas en el caso del ejemplo del primer post:

Duda 1:
Esta el router ADSL con IP 10.0.0.1

Al router ADSL esta conectado el router Ubiquiti con IP 192.168.1.1

Es asi? Por que no esta en el mismo rango los dos router ?


Duda 2:
El archivo /etc/openvpn/openvpn.conf realmente es necesario?

Es que si realizo cambios en la configuracion IP de ese archivo no veo que haga efecto, como si lo hace cuando lo cambio en /etc/config/openvpn


Duda 3:
Por que se usa la 10.8.0.0 ??


Os cuento mi caso:

Tengo un router ADSL con IP 192.168.1.1 y a este le tengo conectado una Fonera 2100 con IP 192.168.1.2 que es la que hace de servidor VPN

Si configuro /etc/config/openvpn con la IP 10.8.0.0 al conectarme me da una IP 10.8.0.6 pero por supuesto ni tengo internet, ni puedo acceder a los otros equipos de mi red, ya que estan en rangos diferentes.

Si lo configuro con una IP de mi mismo rango, al conectar la VPN me da error codigo 111

Si pongo el servidor VPN (la fonera) dentro de otro rango al de mi red, por ejemplo con IP 172.26.0.1, pero luego el /etc/config/openvpn lo configuro en 192.168.1.0 me da creo que era error 113 de no se encuentra la ruta del host

Como tendria que configurarlo?

[carama]

Interesante este tema, lo que es raro que muriera .

Perdon por subirlo, pero andaba buscando algo como esto.