VPN и OpenWRT

[Admin]

Спасибо за подробную инструкцию!
После нового года оформим в модуль "VPN"

[zmulian]

Всем привет... Что-то тема заглохла... Не понимаю почему, но я пестал подключаться к lan2lan с стационарника... С роута проблемм нет(по крайней мере пигуется) но при отключении шифрования. При включеном - не работает... Честно говоря прокурки манов по iptables ясности не внесли. (при том что в инглише шарю плохо). Вообще мне нужно пробросить часть сети с одно адреса на другой.ПАМАГИТЕ...

[zmulian]

Доброе время суток уважаемые форумчане.
Имеется такая схемка

Вначале
Роутер 1 ip192.168.40.181 через WWAN подключен к точке доступа с статическим адресом 192.168.1.8. Роутер 2 ip192.168.40.50 через WWAN подключен к точке доступа с статическим адресом 192.168.1.1. Оба роутера выходили в интернет, загружали пакеты, пинговали ресурсы, одним словом работали как и должны.
Потом
Было настроено pptp-vpn соединение через сервис LAN2LAN, который дает для бесплатного тестирования 3 адреса с ограниченной пропускной полосой (Врут. Из 3 адресов только 2 рабочие).
В результате чего pptp-vpn превратился в WAN (а это мне не надо).
Скриншоты прилагаю (буду прилагать для одного - второй настроен аналогично)


При этом на роутере исчез интернет со всеми отсюда вытекающими (весь трафик пошел в pptp-vpn). А кстати pptp-vpn имеет маску /32, то есть 255.255.255.255.
С стационарного компа вэбка 192.168.99.4 нормально просматривается, и с Роутера 2 пингуется, то есть ресурс работает. Хоть и без выходов роутеров в интернет, отсюда вывод - пакеты дистанционно с интернет репозиториев не поставить.
Уважаемые господа, как через один pptp-vpn объединить части подсети, или сети? Вначале pptp-vpn настраивался аналогично 6 посту с закоментированной строкой #mppe required,no40,no56,stateless. Если ее раскоментировать, то не работает. Потом все было упрощено.
/etc/config/network
config interface 'loopback'
option ifname 'lo'
option proto 'static'
option ipaddr '127.0.0.1'
option netmask '255.0.0.0'

config interface 'lan'
option ifname 'eth0'
option type 'bridge'
option proto 'static'
option netmask '255.255.255.0'
option ipaddr '192.168.40.181'

config interface 'wwan'
option _orig_ifname 'radio0.network1'
option _orig_bridge 'false'
option proto 'static'
option ipaddr '192.168.1.181'
option netmask '255.255.255.0'
option gateway '192.168.1.8'
option dns '192.168.1.8 8.8.8.8'

config interface 'vpn'
option ifname 'pptp-vpn'
option proto 'pptp'
option server 'vpn.lan2lan.ru'
option username 'имя'
option password 'пароль'
option buffering '1'

#config route
# option interface 'vpn'
# option target '46.38.52.90'
# option gateway '192.168.1.8'
# option netmask '255.255.255.0'
часть /etc/config/firewall
config defaults
option syn_flood '1'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'

config zone
option name 'lan'
option network 'lan'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'

config zone
option name 'wan'
option input 'REJECT'
option output 'ACCEPT'
option forward 'REJECT'
option masq '1'
option mtu_fix '1'
option network 'wan wwan'

config forwarding
option src 'lan'
option dest 'wan'
config include
option path '/etc/firewall.user'

#config zone
# option name 'VPN'
# option input 'ACCEPT'
# option output 'ACCEPT'
# option network 'vpn'
# option forward 'ACCEPT'

#config forwarding
# option dest 'VPN'
# option src 'lan'

#config forwarding
# option dest 'lan'
# option src 'VPN'

Строчки были закоментированы поскольку от них никакого толку нет.
Схемка должна быть такая
(ip192.168.40.181 ip192.168.40.12)<->(функция)<->VPN Роутер 1
(ip192.168.40.50 ip192.168.40.22)<->(функция)<->VPN Роутер 2

Чую мягким местом что дело не в iptables. Там где строкой выше стоит слово (функция) должно стоять что-то преобразующее и кодирующее пакеты с (ip192.168.40.181 ip192.168.40.12) и скармливающее все это VPN с последующим преобразованием обратно - VPN > принять, раскодировать, преобразовать > (ip192.168.40.50 ip192.168.40.22).
Может быть и iptables, но я не смог ничего пробросить из VPN в LAN.
Может кто знает как решить мою проблему (если она вообще решаема)?

[zmulian]

И в догонку. Как убрать VPN из WAN, чтобы он стал виртуальным LAN?

[paulerr]

Цитата:

Сообщение от zmulian

(ip192.168.40.181 ip192.168.40.12)<->(функция)<->VPN Роутер 1
(ip192.168.40.50 ip192.168.40.22)<->(функция)<->VPN Роутер 2

?

Функция, вроде как называется Forwardings..
Вам принципиально иметь на всех узлах 192.168.40.ххх? Посмотрите на свои маски подсети, они правильные (255.255.255.0) ? Может лучше что-нибудь 255.255.255.128, или меньше...

[zmulian]

Совершенно не принципиально. Но что то не получается. Из внешней сети во внутреннюю можно пробросить 80 порт или 22. То есть получить доступ к вэбке или ssh. Может расскажете поподробнее??? Плиз Это насчет Forwardings

[paulerr]

Плохой из меня рассказчик, да и не моя профессия - телематика и передача данных.
Основное - это маршрутизация пакетов. Есть шлюз, который направляет пакеты по адресам. Вы должны правильно построить таблицу маршрутизации и преобразования адресов.
Если не принципиально везде 40 подсеть, сделайте на одном из узлов 41.ххх, чтобы не считать адреса и сети.
По крайней мере у Вас VPN поднимается, далее должны добавить маршрут между сетями 40 и 41 через соединение VPN.

PS. Кстати, не факт, что в бесплатном варианте LAN2LAN будет заниматься маршрутизацией.

[zmulian]

Форвардил на 1 роутере с 40 подсети на VPN. Но до уделенного конца VPN 192.168.99.3 так и не достучался. Честно говоря комп подключенный к роутеру в LAN (192.168.40.181) тоже не видит VPN (192.168.99.4). Не подскажете, где я ошибся? ПЛЗ

[paulerr]

покажите вывод route

[paulerr]

Цитата:

Сообщение от zmulian

. Потом все было упрощено.

Цитата:

Сообщение от zmulian

. При этом на роутере исчез интернет со всеми отсюда вытекающими (весь трафик пошел в pptp-vpn).

Вернитесь к 6 посту, не упрощая.

Код:

option defaultroute '0'

например, не дает становиться шлюзом по умолчанию.

Строки в /etc/config/firewall - дают возможность передавать трафик из зоны lan в зону vpn. Если нужен только доступ
до/с роутеров, которые стоят на концах туннеля - то можно без этих строк.
Для маршрутизации доступа к сети за роутером - скорее всего надо после установления соединения сделать что-то типа:

Код:

route add -net на другой конец туннеля

Будет-ли это работать через LAN2LAN - пробуйте.

PS. Все что находилось в инете - предлагается сделать сервер у себя, на "белом" IP. У меня оно так и работает c 4 узлами, но через OpenVPN и tun.