[分享]用兩台ASUS RT-N16(Tomato)建置兩地同網段的VPN (第30頁)

-VaLeN-

-VaLeN-
個人積分：0分
文章編號：45900632

0分

291樓

2013-09-01 11:44

rontzong wrote:
當介面類型是 TUN...(恕刪)

儲存時 net mask 會說是無效的...

另外，試過

VPN 子網/遮罩: 10.8.0.0 255.0.0.0
VPN 子網/遮罩: 10.0.1.0 255.255.0.0

可以儲存設定，但無法啟用...

/var/log/message

Sep 1 11:32:34 VALEN-N16 daemon.err openvpn[2271]: Options error: --server directive network/netmask combination is invalid
Sep 1 11:32:34 VALEN-N16 daemon.warn openvpn[2271]: Use --help for more information.
Sep 1 11:34:20 VALEN-N16 daemon.err openvpn[2289]: Options error: --server directive network/netmask combination is invalid
Sep 1 11:34:20 VALEN-N16 daemon.warn openvpn[2289]: Use --help for more information.

rontzong

rontzong
個人積分：333分
文章編號：45901751

333分

樓主

2013-09-01 13:06

-VaLeN- wrote:
儲存時 net ma...(恕刪)

改VPN的 Sub Mask 不行，那有試過改LAN端的嗎?

rontzong

rontzong
個人積分：333分
文章編號：45901784

333分

樓主

2013-09-01 13:08

Sorry! 系統錯誤導致多發，自刪。

-VaLeN-

-VaLeN-
個人積分：0分
文章編號：45908355

0分

294樓

2013-09-01 21:55

rontzong wrote:
改VPN的Sub M...(恕刪)

看起來還是沒辦法呢...

-VaLeN-

-VaLeN-
個人積分：0分
文章編號：45908384

0分

295樓

2013-09-01 21:57

系統錯誤多發...自刪.
系統錯誤多發...自刪.

qdaystan

qdaystan
個人積分：0分
文章編號：45909004

0分

296樓

2013-09-01 22:34

感謝分享喔
家裡也是用ASUS RT-N16
很實用耶!!

chenc001

chenc001
個人積分：2分
文章編號：46063424

2分

297樓

2013-09-10 11:31

感謝大大分享精華好文阿~
小弟來打卡筆記阿 ^.^

ulimie

ulimie
個人積分：1844分
文章編號：46122206

1844分

298樓

2013-09-13 10:18

如果您想要用 N16 / OpenVPN 來建立 site-to-site VPN，而且您的網路流量很大，那麼就要注意一些事情；如果您的流量不大，那麼下面的就當做參考。

請先閱讀這則 Post：
http://www.mobile01.com/topicdetail.php?f=110&t=3545235&m=s&s=10&last=46120893
另外，如該文所述，本人在添購了 NAS 之後，有了狀況。

長久以來，在下的 TAP Bridged site-to-site VPN 一直都穩定得讓人閒的發慌，直到添購了 NAS，才又讓我為了這件事忙了起來，NAS 增加的流量，讓 N16 忙不過來，造成了大問題。

CPU 看起來應付越來越多的流量封包處理已經有點力不從心，他以網路流量處理為第一優先，引發的狀況就是，他沒時間處理其他服務，除了大家常碰到的 GUI 變龜之外，首當其衝的就是 VPN Service，只要流量一大起來，在 SysLog 就看到了一大堆(非常多的) VPN error，(而這些 error 大都是 handshake 問題，只要流量一降低下來，就完全消失)。這個會造成輕則網路速度拖慢，重則 VPN 連線中斷，多出來的 error 還會造成更多 CPU 的處理負擔，造成惡性循環。

改善對策：
1. 換購新先進機種，這個要花錢，最後考慮。
2. 將 VPN Server 服務從 N16 分離出來，讓他專心處理流量，不必兼職。
當然，從免錢的第 2 項開始做。

我把 Server 這邊 N16 上面的 VPN 停掉，VPN Server 改架在舊機 WL-520GU 上面，然後把 520GU 放在 N16 下面。
結果，所有的 VPN SysLog error 都沒有了。

效率比較如何？現在還沒辦法測，因為另一端正在長時間全速用外網上載到 NAS。但是，至少，另一個 Client 連上 VPN 作業是很 OK 的。

結論，
1. N16 是不錯的機器，但是，網路流量大的話，考慮一下 N66U.....
2. 別讓 N16 過勞死，又要 BT，又要 VPN，又要大流量，準會出問題。

ulimie

ulimie
個人積分：1844分
文章編號：46179412

1844分

299樓

2013-09-16 18:22

gfx wrote:
意思需Server與...(恕刪)

可以參考這一篇：
http://www.smallnetbuilder.com/security/security-howto/30353-how-to-set-up-a-site-to-site-vpn-with-openvpn

這邊討論的是，如果 site-to-site VPN 的 Server/Client 主機不是建立在 Router 同一台機器上，而是在 Router 之下時的設定方式。

經過測試，實際上使用，Bridged VPN，既已是 bridged，並不需增設路由；如果是 Routed VPN 則要增設路由。

您只需照該文第三頁最底端那張 Figure 3: Adding a Route to the Server-side Router 的圖, 套用自己的設定，把相關的路由增設在 Server 端上層的那個 Router 上就可以了。

如果 Client 只是在外的單機，則不需特別再設定；

如果是 site-to-site 的話，而且 Client 也一樣是在 Router 之下，則相對的 Client 那邊，在第四頁底端也一樣有一張 Client side 那邊 Router 的相對路由設定圖。

gfx

gfx
個人積分：1603分
文章編號：46180792

1603分

300樓

2013-09-16 20:04

ulimie wrote:
您只需照該文第三頁最底端那張 Figure 3: Adding a Route to the Server-side Router 的圖, 套用自己的設定，把相關的路由增設在 Server 端上層的那個 Router 上就可以了。

其實我有試,看翻譯應該是設定Server端上層沒錯.

但我不會修改RouterBoard的Routing...

只好偷雞挑簡單的做,只修改Server下層的N16,或許這個原因VPN才會設定失敗的吧!