Настройка vpn в lan

[paulerr]

Я делал, используя методику, описанную на хабре .
Конфиг сервера (не openwrt)

Код:

cat /tmp/etc/openvpn/server2/config.ovpn 
# Automatically generated configuration
daemon
server 10.9.0.0 255.255.255.0 # адрес сети vpn 
proto tcp-server
port 21190 # порт поменял с 1194
dev tun22 # сервер не один
cipher AES-128-CBC
comp-lzo adaptive
keepalive 15 60
verb 3
push "route 192.168.0.0 255.255.255.0"
client-config-dir ccd
client-to-client
ccd-exclusive
route 192.168.11.0 255.255.255.0 # клиент №1
push "route 192.168.11.0 255.255.255.0"
route 192.168.12.0 255.255.255.0 # клиент №2
push "route 192.168.12.0 255.255.255.0"
route 192.168.13.0 255.255.255.0 # клиент №3
push "route 192.168.13.0 255.255.255.0"
ca ca.crt
dh dh.pem
cert server.crt
key server.key
status-version 2
status status

Для каждого клиента в каталоге /ccd существует файл с названием сертификата клиента, пример для клиента №3

Код:

 cat /tmp/etc/openvpn/server2/ccd/home_dacha 
iroute 192.168.13.0 255.255.255.0

Настройки фаервола

Код:

 cat /tmp/etc/openvpn/fw/server2-fw.sh 
#!/bin/sh
iptables -t nat -I PREROUTING -p tcp --dport 21190 -j ACCEPT
iptables -I INPUT -p tcp --dport 21190 -j ACCEPT
iptables -I INPUT -i tun22 -j ACCEPT
iptables -I FORWARD 4 -i tun22 -j ACCEPT
iptables -A ipttolan -i tun22 -m account --aaddr 192.168.0.0/255.255.255.0 --aname lan -j RETURN
iptables -A iptfromlan -o tun22 -m account --aaddr 192.168.0.0/255.255.255.0 --aname lan -j RETURN

Настройки клиента здесь уже MR3420 на openwrt

Код:

 cat /etc/config/openvpn
package openvpn
config openvpn custom_config

        option enabled 1
        option config /etc/openvpn/dacha.ovpn

Код:

 cat /etc/openvpn/dacha.ovpn 
#OpenVPN Client conf
tls-client
client
dev tun
proto tcp
tun-mtu 1400
mssfix 1350
remote 8.8.8.8 21190 # здесь реальный адрес и порт
cipher AES-128-CBC
comp-lzo
verb 3
ns-cert-type server

# only proto udp
# replay-window 1064 15

mute-replay-warnings
pkcs12 /etc/openvpn/home_dacha.p12

Код:

cat /etc/config/network 
config interface 'lan'
        option ifname 'eth1.1'
        option force_link '1'
        option type 'bridge'
        option proto 'static'
        option ipaddr '192.168.13.1'
        option netmask '255.255.255.0'
        option ip6assign '60'

config interface 'vpn'
        option ifname 'tun0'
        option defaultroute '0'
        option peerdns '0'
        option proto 'none'

Код:

cat /etc/config/firewall 
config zone
        option name 'lan'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'
        option network 'lan'

config forwarding
        option src 'lan'
        option dest 'wan'

config zone
        option name 'VPN'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option network 'vpn'
        option forward 'ACCEPT'
        option masq '1'

config forwarding
        option dest 'lan'
        option src 'VPN'

config forwarding
        option dest 'VPN'
        option src 'lan'

[coolermister]

Всем спасибо за помощь. В итоге, настроил проксирование через nginx.