|
11.03.2015, 14:45
|
#11 |
|
Member
Регистрация: 16.03.2013
Адрес: Пермь
Сообщений: 47
Вес репутации: 0   |
Re: VPN и OpenWRT
Большое спасибо за участие.
option defaultroute '0' пробовал - эффект тотже. Уважаемый paulerr можно ли поподробнее про route add -net на другой конец туннеля Вообще то основную проблемму удалось решить. Получилось следующее (для минимального функцинала задуманного хватит) Подсеть 192.168.40.хх<->Роутер 1(LAN-192.168.40.181)<->NAT<->(192.168.2.4)VPN(192.168.2.3)<->Роутер 2(LAN-192.168.40.50) Оба роутера получают интернет по воздуху с разных сетей... Заковырка была в следующем..... По умолчанию LAN2LAN выдает подсеть типа 192.168.99.хх. Стоило мне ее заменить на 192.168.2.хх с сразу все заработало. Выложу конфиги /etc/config/network config interface 'loopback' option ifname 'lo' option proto 'static' option ipaddr '127.0.0.1' option netmask '255.0.0.0' config interface 'lan' option proto 'static' option netmask '255.255.255.0' option ipaddr '192.168.40.181' option _orig_ifname 'eth0' option _orig_bridge 'true' option ifname 'eth0' config interface 'wwan' option _orig_ifname 'radio0.network1' option _orig_bridge 'false' option proto 'static' option ipaddr '192.168.1.181' option netmask '255.255.255.0' option gateway '192.168.1.1' option dns '192.168.1.1 8.8.8.8' config interface 'vpn' option ifname 'pptp-vpn' option proto 'pptp' option server 'vpn.lan2lan.ru' option username 'мое имя' option password 'мой пароль' option buffering '1' /etc/config/firewall config defaults option syn_flood '1' option input 'ACCEPT' option output 'ACCEPT' option forward 'REJECT' config zone option name 'lan' option network 'lan' option input 'ACCEPT' option output 'ACCEPT' option forward 'REJECT' config zone option name 'wan' option input 'REJECT' option output 'ACCEPT' option forward 'REJECT' option masq '1' option mtu_fix '1' option network 'wan wwan' config forwarding option src 'lan' option dest 'wan' config rule option name 'Allow-DHCP-Renew' option src 'wan' option proto 'udp' option dest_port '68' option target 'ACCEPT' option family 'ipv4' config rule option name 'Allow-Ping' option src 'wan' option proto 'icmp' option icmp_type 'echo-request' option family 'ipv4' option target 'ACCEPT' config rule option name 'Allow-DHCPv6' option src 'wan' option proto 'udp' option src_ip 'fe80::/10' option src_port '547' option dest_ip 'fe80::/10' option dest_port '546' option family 'ipv6' option target 'ACCEPT' config rule option name 'Allow-ICMPv6-Input' option src 'wan' option proto 'icmp' list icmp_type 'echo-request' list icmp_type 'echo-reply' list icmp_type 'destination-unreachable' list icmp_type 'packet-too-big' list icmp_type 'time-exceeded' list icmp_type 'bad-header' list icmp_type 'unknown-header-type' list icmp_type 'router-solicitation' list icmp_type 'neighbour-solicitation' list icmp_type 'router-advertisement' list icmp_type 'neighbour-advertisement' option limit '1000/sec' option family 'ipv6' option target 'ACCEPT' config rule option name 'Allow-ICMPv6-Forward' option src 'wan' option dest '*' option proto 'icmp' list icmp_type 'echo-request' list icmp_type 'echo-reply' list icmp_type 'destination-unreachable' list icmp_type 'packet-too-big' list icmp_type 'time-exceeded' list icmp_type 'bad-header' list icmp_type 'unknown-header-type' option limit '1000/sec' option family 'ipv6' option target 'ACCEPT' config include option path '/etc/firewall.user' config redirect option src 'lan' option src_dip '192.168.2.4' option target 'SNAT' option name 'out_vpn' option proto 'all' option dest 'VPN' config zone option name 'VPN' option input 'ACCEPT' option output 'ACCEPT' option network 'vpn' option forward 'REJECT' config redirect option target 'DNAT' option src 'wan' option dest 'lan' option proto 'tcp' option src_dport '80' option dest_ip '192.168.40.181' option dest_port '80' option name 'web80' config redirect option target 'DNAT' option src 'wan' option dest 'lan' option proto 'tcp' option src_dport '22' option dest_ip '192.168.40.181' option dest_port '22' option name 'ssh22' Последние два config redirect перенапрявляют с внешнего WiFi на внутреннюю сеть (ну это просто для просмотра и для ковыряния в внутренностях роутера который находится ближе). Первый redirect config redirect option src 'lan' option src_dip '192.168.2.4' option target 'SNAT' option name 'out_vpn' option proto 'all' option dest 'VPN' SNAT-ит из LAN в VPN. Читаю мануал но не пойму как заменить SNAT на MASQUERADE. А надо бы. Потому что для SNAT нужно указывать адрес интерфейса, для MASQUERADE сам интерфейс. Это для меня важно. При изменении адресов LAN2LAN работа системы нарушится, а адреса там могут быть любые. Непонятки заключаются в несколько различном описании firewall UCI и Netfilter/Nftables (iptables). Нутром чую что это одно и то же (только разная форма описания), но пока путаюсь (говорили мне школе "учи английский"!!!!). То есть получилось следующее: Роутер 1 подключенный к сети и компьютеры (роутеры) могут полностью видеть Роутер 2. По адресу 192.168.2.3 на всех протоколах и портах. Честно говоря хотелось бы большего..... |
|
|
| Здесь присутствуют: 2 (пользователей: 0 , гостей: 2) | |
|
|
Древовидный вид