How to play OpenWRT for Raspberry Pi CM4

How to play OpenWRT for Raspberry Pi CM4

Prepare build openfortivpn package environment on Ubuntu 20.04.3 LTS

Refer above example to optimization for CM4 (Raspberry Pi 4 Computer Module)‌‌

Download openwrt-sdk-bcm27xx-bcm2711_gcc-8.4.0_musl.Linux-x86_64.tar.xz from https://onedrive.live.com/?authkey=!AEcwsyZAovIBK-I&id=5219529519B9B6A1!963&cid=5219529519B9B6A1

Unpack on Ubuntu 20.04.3 LTS my T420 notebook and make openfortivpn‌‌This step can skip because OpenWRT can manually install it online.

# 從原始碼編譯 openfortivpn ipk 檔
tar vxJf openwrt-sdk-bcm27xx-bcm2711_gcc-8.4.0_musl.Linux-x86_64.tar.xz 
cd openwrt-sdk-bcm27xx-bcm2711_gcc-8.4.0_musl.Linux-x86_64/package 
git clone https://github.com/excelwang/openwrt-openfortivpn openfortivpn 
cd ..
./scripts/feeds update base 
./scripts/feeds install libopenssl resolveip ppp 
make package/openfortivpn/compile V=s 
cd bin/packages/aarch64_cortex-a72/base/ 
ls openfortivpn_1.7.1_git467cab7-1_aarch64_cortex-a72.ipk

Refer the link https://note.amoiisacat.one/?p=35‌‌

We search and find out the build package files at

https://downloads.openwrt.org/snapshots/packages/aarch64_cortex-a72/

https://downloads.openwrt.org/snapshots/packages/aarch64_cortex-a72/packages/openfortivpn_1.17.1-1_aarch64_cortex-a72.ipk

https://downloads.openwrt.org/snapshots/packages/aarch64_cortex-a72/luci/luci-proto-openfortivpn_git-20.240.06846-642f738_all.ipk

https://forum.archive.openwrt.org/viewtopic.php?id=16599‌‌https://github.com/openwrt/luci‌‌

To install all its package definitions

./scripts/feeds update luci
./scripts/feeds install -a -p luci make menuconfig
make world

More reference
‌‌https://openwrt-nctu.gitbook.io/project/openwrt-compile-env/openwrt-opkg-manager

More packages for CM4
‌‌https://archive.openwrt.org/releases/packages-21.02/aarch64_cortex-a72/

Setup the OpenWRT manually, but I no use this example.

opkg install openfortivpn luci-proto-openfortivpn
reboot

In Luci add interface proto using openfortivpn fill username, password, ip address, port in advanced, fill “VPN Server’s certificate SHA1 hash” if your fortiSSL cert not trusted by your device.

Save and apply restart the interface will connected and get a ip from vpn. Let openwrt’s client can access fortiSSL
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o vpn-company -j MASQUERADE add static route then done in OpwnWRT UCI Network -> firewall -> static route

How to fix CM4 wifi problem on OpenWRT which have resolved in latest CM4 image

cd /lib/firmware/brcm
cp brcmfmac43455-sdio.raspberrypi,4-model-b.txt brcmfmac43455-sdio.raspberrypi,4-compute-module.txt
reboot

https://forum.openwrt.org/t/raspberry-pi-cm4-wifi-not-working/90280/3

root@OpenWrt:~# dmesg | grep brcmfmac
[ 6.865501] brcmfmac: brcmffwallocrequest: using brcm/brcmfmac43455-sdio for chip BCM4345/6
[ 6.889369] brcmfmac mmc1:0001:1: Direct firmware load for brcm/brcmfmac43455-sdio.raspberrypi,4-compute-module.txt failed with error -2
[ 6.901659] brcmfmac mmc1:0001:1: Falling back to sysfs fallback for: brcm/brcmfmac43455-sdio.raspberrypi,4-compute-module.txt
[ 6.917922] brcmfmac mmc1:0001:1: Direct firmware load for brcm/brcmfmac43455-sdio.txt failed with error -2
[ 6.927674] brcmfmac mmc1:0001:1: Falling back to sysfs fallback for: brcm/brcmfmac43455-sdio.txt
[ 11.913882] usbcore: registered new interface driver brcmfmac
[ 12.933667] brcmfmac: brcmfsdiohtclk: HT Avail timeout (1000000): clkctl 0x50

root@OpenWrt:~# iw dev
root@OpenWrt:~# wifi status
The IP Tables firewall tutorials video
Just reference for know what is VPN gateway

Set firewall rule for wifi to vpn‌‌ https://mackonsti.wordpress.com/2021/02/20/install-openvpn-server-openwrt-router/

查詢網絡接口的狀態

root@OpenWrt:~# uci -P/var/state show network.wan
root@OpenWrt:~# uci -P/var/state show network network.loopback*=interface network.loopback.proto='static' network.loopback.ipaddr='127.0.0.1' network.loopback.netmask='255.0.0.0' network.loopback.device='lo' network.loopback.up='1' network.loopback.ifname='lo' network.globals=globals network.globals.ulaprefix='fd95:27c5:3e18::/48' network.globals.packetsteering='1' network.lan=interface network.lan.proto='static' network.lan.ipaddr='192.168.2.1' network.lan.netmask='255.255.255.0' network.lan.ip6assign='60' network.lan.device='br-lan' network.lan.up='1' network.lan.ifname='br-lan' network.wan=interface network.wan.proto='dhcp' network.wan.device='eth1' network.wan.up='1' network.wan.ifname='eth1' network.vpn0=interface network.vpn0.proto='openfortivpn' network.vpn0.peeraddr='VPN DNS' network.vpn0.username='VPN Login User' network.vpn0.password='VPN Login Password' network.vpn0.defaultroute='0' network.vpn0.up='1' network.vpn0.ifname='vpn-vpn0' network.docker=interface network.docker.device='docker0' network.docker.proto='none' network.docker.auto='0' network.@device[0]=device network.@device[0].type='bridge' network.@device[0].name='docker0' network.@device[1]=device network.@device[1].name='br-lan' network.@device[1].type='bridge' network.@device[1].ports='eth0' network.wwan=interface network.wwan.proto='dhcp' network.@route[0]=route network.@route[0].interface='vpn0' network.@route[0].target='Route target network segment' network.@route[0].netmask='255.255.0.0' network.@route[1]=route network.@route[1].interface='vpn0' network.@route[1].target='Route target network segment' network.@route[1].netmask='255.255.0.0' network.@route[2]=route network.@route[2].interface='vpn0' network.@route[2].target='Route target network segment' network.@route[2].netmask='255.255.0.0' network.@route[3]=route network.@route[3].target='Route target network segment' network.@route[3].netmask='255.255.255.0' network.@route[3].interface='vpn0' network.@route[4]=route network.@route[4].interface='vpn0' network.@route[4].target='Route target network segment' network.@route[4].netmask='255.255.255.0' network.@route[5]=route network.@route[5].interface='vpn0' network.@route[5].target='Route target network segment' network.@route[5].netmask='255.255.0.0' network.@route[6]=route network.@route[6].interface='vpn0' network.@route[6].target='Route target network segment' network.@route[6].netmask='255.255.0.0' network.@route[7]=route network.@route[7].interface='vpn0' network.@route[7].target='Route target network segment' network.@route[7].netmask='255.255.255.0' network.@route[8]=route network.@route[8].interface='vpn0' network.@route[8].target='Route target network segment' network.@route[8].netmask='255.255.255.0' network.@route[9]=route network.@route[9].interface='vpn0' network.@route[9].target='Route target network segment' network.@route[9].netmask='255.255.0.0'*

Routing basics Routing basics See also: IP Layer Network Administration, IP routing tutorial Routing is the process of selecting a path to send network traffic. There are several routing protocols for dynamic routing, specifically B.A.T.M.A.N. and OLSR for mesh networking, however static routing is typically eno…                   OpenWrt Wiki Vladislav Grigoryev

Base knowledge study

OpenWRT with two gateways

Use case study‌

‌          OpenVPN SplitTunneling on OpenWRT Split-tunneling is a networking technique that lets you route traffic to different network gateways depending on where it is coming from… Medium  Amedeo Baragiola

有關連接VPN後的route table問題 - iT 邦幫忙::一起幫忙解決難題,拯救 IT 人的一天 大家好..Cisco asa弄vpn小弟已經修好了xD.. 現在發現了另一個問題.. 我是使用AnyConnect去連接我自己設定的vpn 但連接該VPN後我卻發現我不能使用原本網路的功能

偵錯參考資料

VPN does not add network route Using Openwrt 4.9.120 I have set up a pptp vpn to connect to another site, the link comes up and I can ping Internet sites and the vpn remote gateway, but not any hosts on the remote LAN. Basically, I want to set up a LAN-LAN vpn for traffic between the LANs and all other traffic to go the default…OpenWrt Forum Larry

最後寫上此次設定VPN想法與心得

還是寫中文好懂一點,在決定要實作一個VPN路由器的動機,是疫情期間有很多機會需要在家工作,我在公司的工作模式習慣混用Windows平台與LINUX平台分別操作遠端網路與桌面程式等,最近又新購入的MacBook的macOS系統也就是說工作的異質平台都要能連上公司的內部網路。

一天在家工作我就必需在每一台電腦上安裝上VPN client軟體進行撥號登入公司內網,其麻煩程度是我所不能忍的。

這次花了約一週的時間研究如何所謂的科學上網,主要還是有分種網路連接方式

  1. 旁路由網路設置,適合套用在只有一個網路介面的路由機
  2. 中繼路由網路設置,適合套用在有一個以上網路介面的路由機

想當然而有一個以上的網路介面的中繼路能有效隔離家用網路與VPN網路層,對現存的網路幾乎不用做額外的設定。我只要專注在這個雙網路介面的RaspberryPi安裝上OpenWRT並做VPN Gateway的設置就可以透過其LAN與Wi-Fi來穿透到公司內部網路。

這台路由器的主要工作是把需要連接到辦公室的網段轉發到VPN Virtual Interface

其中有幾個知識點是必需要知道的

  1. OpenWRT Firmware 走的是IPtable的邏輯上面我找了影片來復習了基本觀念
  2. OpenForticlient 在Linux上的安裝改用OpenWRT介面設定,我事先用一台Linux筆電練習知道方式後,再套用在OpenWRT的LUI介面就明白多了
  3. OpenWRT的Wi-Fi 可以當Wi-Fi Client也可以當Wi-Fi AP,如果人在外面沒有WAN孔可以接上Internet就可以利用其Wi-Fi Client連上手機的AP當WAN的介面用,勾選[V] Replace Wireless Configuration
  4. 在OpenWRT的Network -> Interface -> VPN0 -> Advanced Settings -> 取消勾選 [ ] Use default gateway , 才不置於連不上家用網路的機器
  5. 最後是靜態路由的添加,這裡要把公司內的不同網段一行一行手動加入到OpenWRT的路由表中‌‌Interface = VPN0‌‌Target =  公司網段‌‌IPv4-NetMask = 255.255.0.0 or 255.255.255.0
  6. 測試一切都能正常工作後 download a tar archive of the current configuration files.

補充

OpenWRT用到的eMMC不大,充份利用剩餘空間打開Terminal Service‌‌fdisk /dev/mmcblk0 來新增分割給SWAP與Docker Home

fdisk -l /dev/mmcblk0 
Disk /dev/mmcblk0: 29.12 GiB, 31268536320 bytes, 61071360 sectors Units: sectors of 1  512 = 512 bytes Sector size (logical/physical): 512 bytes / 512 bytes I/O size (minimum/optimal): 512 bytes / 512 bytes Disklabel type: dos Disk identifier: 0x5452574f 
Device         Boot    Start      End  Sectors  Size Id Type 
/dev/mmcblk0p1       8192   532479   524288  256M  c W95 FAT32 (LBA) /dev/mmcblk0p2        540672  4734975  4194304    2G 83 Linux 
/dev/mmcblk0p3       4734976 13123583  8388608    4G 82 Linux swap / Solaris /dev/mmcblk0p4     13123584 61071359 47947776 22.9G 83 Linux

Automount the partition

  1. Generate a config entry for the fstab file:
block detec | uci import fstab
  1. Now enable automount on that config entry;
uci set fstab.@mount[-1].enabled='1'
uci commit fstab
  1. Optionally enable autocheck of the file system each time the OpenWrt device powers up:
uci set fstab.@global[0].check_fs='1'
uci commit fstab
  1. Reboot you OpenWrt device (to verify that automount works)
  2. After the reboot, check your results: Run
uci show fstab
fstab.@global[0]=global
fstab.@global[0].anon_swap='0'
fstab.@global[0].anon_mount='0'
fstab.@global[0].auto_swap='1'
fstab.@global[0].auto_mount='1'
fstab.@global[0].delay_root='5'
fstab.@global[0].check_fs='0'
fstab.@swap[0]=swap
fstab.@swap[0].device='/dev/mmcblk0p3'
fstab.@swap[0].enabled='1'
fstab.@mount[0]=mount
fstab.@mount[0].target='/mnt/mmcblk0p4'
fstab.@mount[0].uuid='8c474bac-22d3-4f17-bd78-a4f0f98bdec8'
fstab.@mount[0].enabled='1'
root@OpenWrt:~# mkdir /mnt/mmcblk0p4
root@OpenWrt:~# mkswap  /dev/mmcblk0p3
Setting up swapspace version 1, size = 6534721536 bytes

How to upgrade OpenWrt 21.02 to 22.03.3

Before perform upgrade the firmware, must backup current configration as file for restore after upgraded.
The important thing, perform force upgrade will lost old partition table that will have to rebuild with fdisk command.

sysupgrade -F -v <upgrade firmware>

Read more

世界越快心越慢

在晚飯後的休息時間,我特別享受在客廳瀏灠youtube上各樣各式創作者的影音作品。很大不同於傳統媒體,節目多是針對大多數族群喜好挑選的,在youtube上我會依心情看無腦的動畫、一些旅拍記錄、新聞時事談論。 尤其在看了大量的Youtube的分享後,我真的感受到會限制我的是我的無知,特別是那些我想都沒想過的實際應用,在學習後大大幫助到我的生活和工作層面。 休息在家時,我喜歡想一些沒做過的菜,動手去設計生活和工作上的解決方案,自己是真的很難閒著沒事做。 如創作文章,陪養新的習慣都能感覺到成長的喜悅,是不同於吃喝玩樂的快樂的。 創作不去限制固定的形式,文字是創作、影像聲音也是創作,記錄生活也是創作,我想留下的就是創造—》實現—》回憶,這樣子的循環過程,在留下的足跡面看到自己一路上的成長、失敗、絕望、重新再來。 雖然大部份的時候去做這些創作也不明白有什麼特別的意義,但不去做也不會留下什麼,所以呀不如反事都去試試看,也許能有不一樣的水花也許有意想不到的結果,投資自己永遠不會是失敗的決定,不是嗎?先問問自己再開始計畫下一步,未來沒人說得準。 像最近看youtube仍大一群人在為DOS開

By Phillips Hsieh

知識管理的三個步驟:一小時學會把知識運用到生活上

摘錄瓦基「閱讀前哨站」文章作為自己學習知識管理的內容 Part1「篩選資訊」 如何從海量資訊中篩選出啟發性、實用性和相關性的精華,讓你在學習過程中不再迷失方向。 1. 實用性 2. 啟發性 Part2「提高理解」 如何通過譬喻法和應用法,將抽象的知識與日常生活和工作緊密結合,建立更深刻的理解。 1. 應用法 2. 譬喻法 Part3「運用知識」 如何連結既有知識,跟自己感興趣的領域和專案產生關聯,讓你在運用知識的路途上游刃有餘。 1. 跟日常工作專案、人際活動產生連結 # 為什麼要寫日記? * 寫日記是為了忘記,忘卻瑣碎事情,保持專注力 * 寫日記就像在翻譯這個世界,訓練自己的解讀能力 * 不只是透過日記來記錄生活,而是透過日記來發展生活 #如何寫日記? * 不要寫流水帳式的日記,而是寫覆盤式的日記 當我們試著記錄活動和感受之間的關聯,有助於辦認出真正快樂的事 日記的記錄方式要以過程為主,而非結果 * 感恩日記的科學建議,每日感恩的案例

By Phillips Hsieh
2024年 3月30日 14屆美利達環彰化百K

2024年 3月30日 14屆美利達環彰化百K

這是場半小時就被秒報名額滿的經典賽事, 能順利出賽實屬隊友的功勞, 這次的準備工作想試試新買的外胎, 因為是無內胎用的外胎, 特別緊超級難安裝的, 問了其他朋友才知道, 要沾上肥皂水才容易滑入車框。 一早四點起床準備, 五點集合備好咖啡在車上飲用, 約了六點在彰化田尾鄉南鎮國小, 整好裝四人一起出發前往會場。 被排在最後一批出發, 這次的路線會繞行的員林148上139縣道, 其實在早上五點多天就開始有點飄雨, 大伙就開始擔心不會要雨戰吧! 果不其然才出發準備上148爬坡雨勢越來越大, 戴著防風眼鏡的我在身體的熱氣加上雨水冷凝效果下, 鏡面上滿是霧氣肉眼可視距離才剩不到五公尺, 只能緊依前前方的車友幫忙開路, 之後洪大跟上來我立馬請求他幫忙開路, 上了139停下車把防風眼鏡收起來, 反正下雨天又陰天完全用不到太陽眼鏡了。 雨是邊下邊打雷, 大伙都在這條139上一台一台單車好像避電針, 一時有點害怕不然想平時沒做什麼壞事, 真打到自己就是天意了。 下了139雨勢開始變小, 大伙的速度開始有所提昇, 開高鐵列車的時機己成熟, 物色好列車就跟好跟滿。 最後找了一隊似乎整團有固定在練

By Phillips Hsieh
2023 12月9號 美利達單車嘉年華

2023 12月9號 美利達單車嘉年華

第二次參加美利達環南投賽事, 還記得去年第一次參加這美利達環南投, 還特地提前一天跟車友在魚池住了一晚。 這回用上了剛在7月份剛安裝的車頂架, 安裝了二種不同的攜車架, 都樂這邊可以不用拆車輪直上車頂, YAKIMA這邊選了經濟的款式, 折掉前輪利用前叉固定在攜車架上。 約了唯一一位一起參加的朋友, 二人一早四點約見面, 幫朋友帶上了拿鐵咖啡, 開上日月潭在水社碼頭停好車, 騎往向山遊客中心, 路過美麗的日月潭簡直不要太美了拍一張。 抵達會場己是人山人海了, 跟著大伙排隊順便也看網紅也欣賞名車。 出發就先沿著日月潭順時針騎, 騎到玄裝寺很急停下來上一下廁所, 比賽時都會尿都特別的滿, 一方面是比較緊張,一方面是特別興奮。 這時己經跟車友失散了, 只能獨推沿路看有沒有車友可以一起組隊的, 很可惜在山區大家的實力不一只求平安順騎了, 原則就是有補給就停有食物就吃。 下到水里人群再次聚集起來, 光等紅綠燈就是一條車龍。 騎行了一大圈水里再回到131縣道, 這時背後傳來熟悉的聲音叫菲哥, 終於跟車友重新集合接下來就一路邊聊邊騎。 最後來幾張專業攝影師拍攝的照片 回到終點台上

By Phillips Hsieh