Consiglio Access Point per VPN

[spider81man]

Buongiorno a tutti,
ho un Access Point marca TP-Link modello "Archer C6 Gigabit Router Wi-Fi Dual Band AC1200 Wireless", su questo ho installato OpenWrt e configurato la mia VPN, nel mio caso Cyberghost ma va bena anche NordVPN e similari e non ho problemi di sorta, va bene è veloce è fa il suo lavoro ma TUTTO il traffico va sulla VPN.
Per motivi di logistica però vorrei sostituirlo con un altro modello c ma vorrei che questo avesse queste caratteristiche:

- potesse avere 2 linee wireless, una VPN ed una normale;
- possibilità di configurare le porte Ethernet, che ne so sulla 1 la VPN e sulle altre il traffico normale dell'ISP.

E' possibile questa cosa?
Grazie infinite

[wrad3n]

Quote:

Originariamente inviato da spider81man

- potesse avere 2 linee wireless, una VPN ed una normale;
- possibilità di configurare le porte Ethernet, che ne so sulla 1 la VPN e sulle altre il traffico normale dell'ISP.

Nel repository di openwrt c'è un'applicazione chiamata "policy based routing", che ti permette di scegliere dove far passare il traffico: se dalla wan o dalla vpn (o da qualunque altra interfaccia sia impostata sul router) per singolo dispositivo/ip/porta/dominio, cerca "pbr" e "luci-app-pbr".

[spider81man]

Quote:

Originariamente inviato da wrad3n

Nel repository di openwrt c'è un'applicazione chiamata "policy based routing", che ti permette di scegliere dove far passare il traffico: se dalla wan o dalla vpn (o da qualunque altra interfaccia sia impostata sul router) per singolo dispositivo/ip/porta/dominio, cerca "pbr" e "luci-app-pbr".

Gentilissimo,
Appena posso provo e ti faccio sapere. Grazie

[spider81man]

Quote:

Originariamente inviato da wrad3n

Nel repository di openwrt c'è un'applicazione chiamata "policy based routing", che ti permette di scegliere dove far passare il traffico: se dalla wan o dalla vpn (o da qualunque altra interfaccia sia impostata sul router) per singolo dispositivo/ip/porta/dominio, cerca "pbr" e "luci-app-pbr".

Devo installare entrambi i pacchetti sia "pbr" che "luci-app-pbr"?

EDIT:

Ho provato ad installare i pacchetti ma mi dice

Manually install package
The package luci-app-pbr is not available in any configured repository.

Ho OpenWrt 19.07.5

[spider81man]

Sto provando a mettere l'ultima versione compatibile per il mio router che ho preso da qui

https://openwrt.org/toh/tp-link/archer_c6_v2

ma mi da questo tipo di errore e non capisco se andare avanti o meno

https://ibb.co/S7TF5vQ

Che faccio flasho o no?? Che non vorrei che ho una versione di OPENWRT che non mi permette di fare la cosa.

[wrad3n]

Quote:

Originariamente inviato da spider81man

Che faccio flasho o no?? Che non vorrei che ho una versione di OPENWRT che non mi permette di fare la cosa.

No, non farlo così, c'è un gap troppo grande tra le versioni: 19.X.X -> 23.X.X, un upgrade diretto mantenendo le impostazioni potrebbe incasinare il router.

Comunque puoi gestire il traffico WAN/VPN anche con Openwrt 19, pbr/luci-app-pbr lì non esistono, ma ci sono le versioni precedenti dello stesso "autore", chiamate "vpn-policy-routing" e "luci-app-vpn-policy-routing". (pbr è l'evoluzione di vpn-policy-routing).

[spider81man]

Quote:

Originariamente inviato da wrad3n

No, non farlo così, c'è un gap troppo grande tra le versioni: 19.X.X -> 23.X.X, un upgrade diretto mantenendo le impostazioni potrebbe incasinare il router.

Comunque puoi gestire il traffico WAN/VPN anche con Openwrt 19, pbr/luci-app-pbr lì non esistono, ma ci sono le versioni precedenti dello stesso "autore", chiamate "vpn-policy-routing" e "luci-app-vpn-policy-routing". (pbr è l'evoluzione di vpn-policy-routing).

ok grazie ma poi come posso fare per gestirle una volta scaricato il tutto???

[wrad3n]

Generalmente tramite indirizzi IP, es:



screenshot del mio pbr, vpn-policy-routing è praticamente identico. (nella tabella ho preparato impostati gli IP dei dispositivi di cui mi capita di switchare tra WAN e VPN).

- Vuoi che il traffico di un dispositivo della LAN passi dalla WAN e non dalla VPN?

Imposti l'IP di quel dispositivo in "local addresses/devices" e spunti "enabled"

- Vuoi che il traffico della porta x di un dispositivo della LAN passi dalla WAN e non dalla VPN?

oltre all'IP del dispositivo, aggiungi anche la porta interessata in "local ports" (solo il traffico di quella porta passerà dalla WAN, il resto dalla VPN).

- Vuoi che in generale (per tutti i dispositivi della LAN) il traffico di un sito web passi dalla WAN e non dalla VPN?

Imposti il dominio (es. hwupgrade.it) in "Remote addresses/domains" e spunti "enabled" (su questo però non ricordo se vpn-policy-routing sia in grado di farlo, probabilmente lavora con gli IP, quindi va ricercato ed impostato l'IP di hwupgrade.it)

Nella parte bassa della pagina di configurazione di pbr/vpn-policy-routing trovi la zona "Custom" con già preimpostati dei servizi es. Netflix e Prime da poter escludere dalla VPN.
Lì puoi aggiungere anche altro, c'è uno script che scarica l'intero range IP es. di disney, microsoft, rai, mediaset etc. etc. da poter escludere dalla VPN.

[spider81man]

Grazie,
in pratica dici quali IP usano la VPN e quali no giusto? In questo modo il televisore e la playstation ad esempio non vanno su VPN.
Ma in vece se volessi che il Wi-Fi andasse su linea normale come potrei fare? Io vorrei che TUTTO andare su internet normale TRANNE la porta 1 dell'access point.

[spider81man]

Quote:

Originariamente inviato da wrad3n

No, non farlo così, c'è un gap troppo grande tra le versioni: 19.X.X -> 23.X.X, un upgrade diretto mantenendo le impostazioni potrebbe incasinare il router.

Comunque puoi gestire il traffico WAN/VPN anche con Openwrt 19, pbr/luci-app-pbr lì non esistono, ma ci sono le versioni precedenti dello stesso "autore", chiamate "vpn-policy-routing" e "luci-app-vpn-policy-routing". (pbr è l'evoluzione di vpn-policy-routing).

Buongiorno,
guarda su u forum di OpenWrt mi hanno detto di fare un upgrade graduale da 19.07 alla 21.02, poi dalla 22.03 alla to 23.05 facendo prima un "backup" e senza spuntare "keep settings" quando faccio l'upgrade.
il problema è che quando provo l'upgrade dalla 19.07 alla 21.02 mi da sempre lo stesso messaggio di errore e mi dice di FORZARE L'Upgrade. Che faccio?

EDIT:
Ho fatto l'upload non ai dati di fabrica ma con il SYSUPDATE e tutto ok, ora sono all'ultima versione. Provo le configurazioni e ti faccio sapere.
Grazie

[spider81man]

Allora, sono riuscito gradualmente a fare l'upload a "LuCI openwrt-23.05 branch" ma, dopo che faccio "upload list" quando provo ad installare "openvpn-openssl”

https://ibb.co/QnGJ8zY

til sistema mi da questo messaggio:

https://ibb.co/sJFdghb

Così io non posso installare "openvpn-openssl" che è una cosa basilare, puoi aiutarmi?
Grazie

[wrad3n]

Quote:

Originariamente inviato da spider81man

Così io non posso installare "openvpn-openssl" che è una cosa basilare, puoi aiutarmi?

Che versione del Tplink C6? in generale sembra carente di memoria interna, qui indicano 8MB di Flash per il C6 v2 Europeo:

https://openwrt.org/toh/tp-link/archer_c6_v2

Se scorri la pagina principale di openwrt sul router, dovrebbe esserci la zona "Storage" che indica spazio interno libero/occupato, cosa riporta?

Se sono realmente 8MB probabilmente Openwrt 23 è troppo "grande" per quel router, se lo installi funziona, ma non hai "spazio di manovra" per installare altro... openvpn-openssl tra pacchetto stesso e dipendenze richiede 1.61MB e l'errore del secondo screenshot indica che hai solo ~1MB libero...

[spider81man]

Quote:

Originariamente inviato da wrad3n

Che versione del Tplink C6? in generale sembra carente di memoria interna, qui indicano 8MB di Flash per il C6 v2 Europeo:

https://openwrt.org/toh/tp-link/archer_c6_v2

Se scorri la pagina principale di openwrt sul router, dovrebbe esserci la zona "Storage" che indica spazio interno libero/occupato, cosa riporta?

Se sono realmente 8MB probabilmente Openwrt 23 è troppo "grande" per quel router, se lo installi funziona, ma non hai "spazio di manovra" per installare altro... openvpn-openssl tra pacchetto stesso e dipendenze richiede 1.61MB e l'errore del secondo screenshot indica che hai solo ~1MB libero...

Ecco lo spazio, credo che sia ESAURITO causa aggiornamento quindi o faccio un Downgrade, se possibile, oppure devo cambiare Access Point, in caso mi hanno consigliato i "Mikrotik", tu me ne puoi consigliare uno? Basta che la VPN sia sulla porta 1 dell'AP vada sulla VPN, oppure che possa dire che determinati servizi di streaming (Netflix/Disney/amazonprime) non passino per la VPN.
https://ibb.co/x1mtDkq

[wrad3n]

Quote:

Originariamente inviato da spider81man

devo cambiare Access Point, in caso mi hanno consigliato i "Mikrotik", tu me ne puoi consigliare uno?

Non saprei, ho un router con openwrt che gestisce tutta la rete ma non ha wifi, ho degli access point sparsi per casa (collegati via cavo al router) ma montano firmware (più o meno) ufficiali.
Con openwrt ho usato in passato i Netgear R7500 (256MB di RAM e 128MB di Flash) e R7800 (512MB di RAM e 128MB di Flash) ma sono vecchi (2015/2016), comunque l'R7800 è ancora tra i più supportati, c'è un tizio sul forum di openwrt che rilascia le sue build (quindi con funzionalità aggiuntive già preinstallate) con regolarità.

[spider81man]

Quote:

Originariamente inviato da wrad3n

Non saprei, ho un router con openwrt che gestisce tutta la rete ma non ha wifi, ho degli access point sparsi per casa (collegati via cavo al router) ma montano firmware (più o meno) ufficiali.
Con openwrt ho usato in passato i Netgear R7500 (256MB di RAM e 128MB di Flash) e R7800 (512MB di RAM e 128MB di Flash) ma sono vecchi (2015/2016), comunque l'R7800 è ancora tra i più supportati, c'è un tizio sul forum di openwrt che rilascia le sue build (quindi con funzionalità aggiuntive già preinstallate) con regolarità.

La cosa divertente è che ho Flashato il FW originale, poi ho preso e rimesso il vecchio ma nulla, mi da sempre l'ultima versione!!!

[OUTATIME]

Quote:

Originariamente inviato da wrad3n

Non saprei, ho un router con openwrt che gestisce tutta la rete ma non ha wifi

Che è la configurazione ottimale.

Quote:

Originariamente inviato da spider81man

La cosa divertente è che ho Flashato il FW originale, poi ho preso e rimesso il vecchio ma nulla, mi da sempre l'ultima versione!!!

E investire 50 euro in un router e fargli fare il router?
http://www.orangepi.org/html/hardWar...-Plus-LTS.html

[spider81man]

Quote:

Originariamente inviato da OUTATIME

Che è la configurazione ottimale.


E investire 50 euro in un router e fargli fare il router?
http://www.orangepi.org/html/hardWar...-Plus-LTS.html

Buongiorno,
Era perché avevo già questo in casa chiedevo. Altrimenti ne hai un da consigliare oltre a quello linkato?
Grazie

[OUTATIME]

Quote:

Originariamente inviato da spider81man

Buongiorno,
Era perché avevo già questo in casa chiedevo. Altrimenti ne hai un da consigliare oltre a quello linkato?
Grazie

L'R1 costa completo di box 50 euro, a meno penso si faccia fatica trovare qualcosa.
Comunque il mio suggerimento in generale, era quello di evitare dispositivi che non sono fatti per essere moddati, oltre che per semplicità d'installazione (su quello che ti ho linkato fai il flash dell'immagine su SD, la infili e parte), anche per compatibilità, e lo dimostrano i problemi che stai avendo ad aggiornare all'ultima versione di OpenWRT.
Se non ti piacciono i dispositivi OrangePi, qualsiasi altro router va bene.

[spider81man]

Quote:

Originariamente inviato da OUTATIME

L'R1 costa completo di box 50 euro, a meno penso si faccia fatica trovare qualcosa.
Comunque il mio suggerimento in generale, era quello di evitare dispositivi che non sono fatti per essere moddati, oltre che per semplicità d'installazione (su quello che ti ho linkato fai il flash dell'immagine su SD, la infili e parte), anche per compatibilità, e lo dimostrano i problemi che stai avendo ad aggiornare all'ultima versione di OpenWRT.
Se non ti piacciono i dispositivi OrangePi, qualsiasi altro router va bene.

ha anche il wifi quel modulo giusto? In effetti l'ho trovato a 42€ con BOX su aliexpress, su amazon non lo trovo.

[spider81man]

Quote:

Originariamente inviato da OUTATIME

L'R1 costa completo di box 50 euro, a meno penso si faccia fatica trovare qualcosa.
Comunque il mio suggerimento in generale, era quello di evitare dispositivi che non sono fatti per essere moddati, oltre che per semplicità d'installazione (su quello che ti ho linkato fai il flash dell'immagine su SD, la infili e parte), anche per compatibilità, e lo dimostrano i problemi che stai avendo ad aggiornare all'ultima versione di OpenWRT.
Se non ti piacciono i dispositivi OrangePi, qualsiasi altro router va bene.

Buongiorno,
guarda ho preso l'orange pi, che img devo montarci sopra per mettere OpenWrt??
grazie