Настройки сети OpenWrt - Страница 66 - Форум обсуждения систем "Умный дом", проектов Ардуино, OpenWRT и других DIY устройств

verdad · 04.11.2016, 12:43

добавил секцию в нетворк, но результат тот же.

Код:

root@OpenWrt:~# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.0.2     0.0.0.0         UG    50     0        0 eth1.1
192.168.0.0     0.0.0.0         255.255.255.0   U     50     0        0 eth1.1
192.168.0.2     0.0.0.0         255.255.255.255 UH    50     0        0 eth1.1
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 br-lan
200.0.1.0       0.0.0.0         255.255.255.0   U     0      0        0 tinc_vpn

Но мне кажется дело не в роутах, т.к. с роутера все адреса tinc-сети пингуются. Но из lan только 200.0.1.21. Как будто дело в фаерволе или нате. Но в них я ни секу. Конфиги фаервола которые сейчас вбиты в роутере сделаны "по образу и подобию" но не по пониманию)).

solalex · 04.11.2016, 17:00

после добавления перезапустить сеть надо
ну и команда tracert до нужного хоста покажет как идет маршрут

verdad · 04.11.2016, 17:48

Перегрузи. Таже история. Целый день на это г*вно убил.

Код:

C:\Documents and Settings\admin>tracert 200.0.1.2
 
Трассировка маршрута к 200.0.1.2 с максимальным числом прыжков 30
 
  1     2 ms    <1 мс    <1 мс  OpenWrt.lan [192.168.1.1]
  2  OpenWrt.lan [192.168.1.1]  сообщает: Заданный протокол недоступен.
 
Трассировка завершена.
 
C:\Documents and Settings\admin>

solalex · 04.11.2016, 18:02

это уже фаервол на роутере режет IGMP
надо правила добавлять

metalpsix · 10.11.2016, 09:51

verdad
Тут однозначно фаервол крутить надо + на серваке впн (в конфиге) прописать маршруты до lan сетей, ну конфиг впн в студию

verdad · 11.11.2016, 17:28

Еще раз продублирую основные конфиги openwrt.
firewall

Код:

config defaults
	option syn_flood '1'
	option input 'ACCEPT'
	option output 'ACCEPT'
	option forward 'REJECT'

config zone
	option name 'lan'
	option input 'ACCEPT'
	option output 'ACCEPT'
	option forward 'ACCEPT'
	option network 'lan'

config zone
	option name 'tinc'
	option input 'ACCEPT'
	option output 'ACCEPT'
	option forward 'ACCEPT'
	option network 'tun0'

config zone
	option name 'wan'
	option input 'ACCEPT'
	option output 'ACCEPT'
	option masq '1'
	option mtu_fix '1'
	option network 'wan'
	option forward 'REJECT'
	
config rule
	option name 'Allow-DHCP-Renew'
	option src 'wan'
	option proto 'udp'
	option dest_port '68'
	option target 'ACCEPT'
	option family 'ipv4'

config rule
	option name 'Allow-Ping'
	option src 'wan'
	option proto 'icmp'
	option icmp_type 'echo-request'
	option family 'ipv4'
	option target 'ACCEPT'

# Разрешить широковещательный трафик
config rule
	option name 'Allow-IGMP'
	option src 'wan'
	option proto 'igmp'
	option target 'ACCEPT'

# Перенаправить широковещательный трафик
config rule
	option name 'Allow-IPTV-UDPXY'
	option src 'wan'
	option proto 'all'
	option dest_ip '224.0.0.0/4'
	option target 'ACCEPT'	

config rule
	option name 'Allow-MLD'
	option src 'wan'
	option proto 'icmp'
	option src_ip 'fe80::/10'
	list icmp_type '130/0'
	list icmp_type '131/0'
	list icmp_type '132/0'
	list icmp_type '143/0'
	option family 'ipv6'
	option target 'ACCEPT'

config include
	option path '/etc/firewall.user'

config rule
	option src 'wan'
	option dest 'lan'
	option proto 'esp'
	option target 'ACCEPT'

config rule
	option src 'wan'
	option dest 'lan'
	option dest_port '500'
	option proto 'udp'
	option target 'ACCEPT'

config 	forwarding
	option dest 'wan'
	option src 'lan'
config 	forwarding
	option dest 'lan'
	option src 'wan'

config 	forwarding
	option dest 'tinc'
	option src 'wan'
config 	forwarding
	option dest 'wan'
	option src 'tinc'

config 	forwarding
	option dest 'tinc'
	option src 'lan'
config 	forwarding
	option dest 'lan'
	option src 'tinc'

network

Код:

config interface 'loopback'
	option ifname 'lo'
	option proto 'static'
	option ipaddr '127.0.0.1'
	option netmask '255.0.0.0'

config globals 'globals'
	option ula_prefix 'fd61:8c35:416b::/48'

config interface 'lan'
	option force_link '1'
	option type 'bridge'
	option proto 'static'
	option ipaddr '192.168.1.1'
	option netmask '255.255.255.0'
	option ip6assign '60'
	option ifname 'eth1.2'
	option search '10.248.1.10'

config interface 'tinc'
        option proto 'none'
        option ifname 'tun0'
	option ipaddr '200.0.1.21'
	option netmask '255.255.255.0'
        option push 'route 200.0.1.0 255.255.255.0'

config switch
	option name 'switch0'
	option reset '1'
	option enable_vlan '1'

config switch_vlan
	option device 'switch0'
	option vlan '1'
	option vid '1'
	option ports '0t 1'

config switch_vlan
	option device 'switch0'
	option vlan '2'
	option vid '2'
	option ports '0t 2 3 4'

config interface 'wan'
	option proto 'dhcp'
	option ifname 'eth1.1'
	option macaddr '04:8d:38:40:26:3c'
       	option metric '50' 
        option reqopts 'routes msstaticroutes'
	option search '10.248.1.10'

вывод ifconfig после поднятия vpn на роутере

Код:

br-lan    Link encap:Ethernet  HWaddr 10:FE:ED:34:96:DE
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:9034 errors:0 dropped:62 overruns:0 frame:0
          TX packets:8142 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:806457 (787.5 KiB)  TX bytes:1600869 (1.5 MiB)

eth1      Link encap:Ethernet  HWaddr 10:FE:ED:34:96:DE
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:10461 errors:0 dropped:12 overruns:0 frame:0
          TX packets:9553 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2397938 (2.2 MiB)  TX bytes:1428966 (1.3 MiB)
          Interrupt:5

eth1.1    Link encap:Ethernet  HWaddr 04:8D:38:40:26:3C
          inet addr:192.168.0.7  Bcast:192.168.0.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:7099 errors:0 dropped:4 overruns:0 frame:0
          TX packets:7388 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:1835559 (1.7 MiB)  TX bytes:1098729 (1.0 MiB)

eth1.2    Link encap:Ethernet  HWaddr 10:FE:ED:34:96:DE
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:3337 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2165 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:368101 (359.4 KiB)  TX bytes:292025 (285.1 KiB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:1 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:76 (76.0 B)  TX bytes:76 (76.0 B)

tun0      Link encap:Ethernet  HWaddr 32:D9:03:88:88:09
          inet addr:200.0.1.21  Bcast:200.0.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:592 errors:0 dropped:93 overruns:0 frame:0
          TX packets:271 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:500
          RX bytes:113199 (110.5 KiB)  TX bytes:25914 (25.3 KiB)

wlan0     Link encap:Ethernet  HWaddr 10:FE:ED:34:96:DE
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:6346 errors:0 dropped:0 overruns:0 frame:0
          TX packets:7020 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:670958 (655.2 KiB)  TX bytes:1573484 (1.5 MiB)

вывод route -n на роутере

Код:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.0.2     0.0.0.0         UG    50     0        0 eth1.1
192.168.0.0     0.0.0.0         255.255.255.0   U     50     0        0 eth1.1
192.168.0.2     0.0.0.0         255.255.255.255 UH    50     0        0 eth1.1
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 br-lan
200.0.1.0       0.0.0.0         255.255.255.0   U     0      0        0 tun0

На vpn серваке добавил по вашей подсказке роут на 192ю сеть
ip ro add 192.168.1.0/24 via 200.0.1.21 dev tun0
ip ro sh

Код:

root@vpn:/etc/tinc/work# ip ro sh
default via 172.16.1.254 dev eth0
10.0.0.0/8 via 10.248.1.33 dev eth1
10.200.1.0/24 via 172.16.1.1 dev eth0
10.248.1.32/29 dev eth1  proto kernel  scope link  src 10.248.1.38
172.16.1.0/24 dev eth0  proto kernel  scope link  src 172.16.1.13
192.168.1.0/24 via 200.0.1.21 dev tun0
200.0.1.0/24 dev tun0  proto kernel  scope link  src 200.0.1.1
200.0.2.0/24 dev tun1  proto kernel  scope link  src 200.0.2.1

------------------------------------------------
С роутера пингуются все сети все хосты.
С vpn сервака пингую роутер (200.0.1.21) но не пингую ноут подключенный в lan роутера (192.168.1.*)
С ноута соответственно не вижу впн серв (200.0.1.1) но вижу vpn-ip роутера (200.0.1.21).

Уже истерически пробовал менять адрес впн сети на частный, таже хня. Вручную писал правила iptables... Надеюсь на вашу помощь, измотал он меня)))

p.s. трасерт с сервака в локалку

Код:

 traceroute 192.168.1.229
traceroute to 192.168.1.229 (192.168.1.229), 30 hops max, 60 byte packets
 1  200.0.1.21 (200.0.1.21)  3.733 ms  3.884 ms  5.732 ms
 2  200.0.1.21 (200.0.1.21)  5.469 ms  5.230 ms  5.649 ms

уперся в роутер.

solalex · 11.11.2016, 19:15

А почему игнорите те советы, что я писал тут последний абзац?
ну и для обратного роута от сервака к компу нужно писать свои маршруты

verdad · 11.11.2016, 23:46

Меня немного смущает двойное определение vpn интерфейса. Одно в конфиге tinc, другое в interfaces.
Хотя, почему бы и нет. Главное чтобы заработало)
Поправил в конфиге устройства. И в предыдущем посте.
Про обратный маршрут немного не понял. После добавления маршрута 'ip ro add 192.168.1.0/24 via 200.0.1.21 dev tun0' vpn-сервак знает где искать локалку, трасерт это показывает. Он стучится на роутер, а там его не ждут)

solalex · 12.11.2016, 07:57

в tun0:

Цитата:

RX packets:592 errors:0 dropped:93

ни на что не намекает?

Код:

config rule
	option src 'tinc'
	option dest 'lan'
	option target 'ACCEPT'

metalpsix · 14.11.2016, 10:26

verdad
Я бы убрал вот это

Цитата:

config forwarding
option dest 'wan'
option src 'lan'
config forwarding
option dest 'lan'
option src 'wan'

config forwarding
option dest 'tinc'
option src 'wan'
config forwarding
option dest 'wan'
option src 'tinc'

Еще зачем делать форвард, если в зоне он разрешен. Запретить в зонах форвард и указать его vpn в lan и обратно. Они уже есть

+ я бы добавил маскарад для vpn.
Далее я бы прописал rule для lan в wan. Думаю должно понагляднее получиться

И ждём результатов.

04.11.2016, 12:43	#651
verdad Junior Member Регистрация: 03.11.2016 Сообщений: 21 Вес репутации: 0	Re: Настройки сети OpenWrt добавил секцию в нетворк, но результат тот же. Код: root@OpenWrt:~# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 192.168.0.2 0.0.0.0 UG 50 0 0 eth1.1 192.168.0.0 0.0.0.0 255.255.255.0 U 50 0 0 eth1.1 192.168.0.2 0.0.0.0 255.255.255.255 UH 50 0 0 eth1.1 192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br-lan 200.0.1.0 0.0.0.0 255.255.255.0 U 0 0 0 tinc_vpn Но мне кажется дело не в роутах, т.к. с роутера все адреса tinc-сети пингуются. Но из lan только 200.0.1.21. Как будто дело в фаерволе или нате. Но в них я ни секу. Конфиги фаервола которые сейчас вбиты в роутере сделаны "по образу и подобию" но не по пониманию)).

04.11.2016, 17:00	#652
solalex Senior Member Регистрация: 20.01.2015 Сообщений: 312 Вес репутации: 443	Re: Настройки сети OpenWrt после добавления перезапустить сеть надо ну и команда tracert до нужного хоста покажет как идет маршрут

04.11.2016, 18:02	#654
solalex Senior Member Регистрация: 20.01.2015 Сообщений: 312 Вес репутации: 443	Re: Настройки сети OpenWrt это уже фаервол на роутере режет IGMP надо правила добавлять Последний раз редактировалось solalex; 04.11.2016 в 18:07.

10.11.2016, 09:51	#655
metalpsix Junior Member Регистрация: 06.09.2016 Сообщений: 10 Вес репутации: 0	Re: Настройки сети OpenWrt verdad Тут однозначно фаервол крутить надо + на серваке впн (в конфиге) прописать маршруты до lan сетей, ну конфиг впн в студию

11.11.2016, 19:15	#657
solalex Senior Member Регистрация: 20.01.2015 Сообщений: 312 Вес репутации: 443	Re: Настройки сети OpenWrt А почему игнорите те советы, что я писал тут последний абзац? ну и для обратного роута от сервака к компу нужно писать свои маршруты Последний раз редактировалось solalex; 11.11.2016 в 19:17.

11.11.2016, 23:46	#658
verdad Junior Member Регистрация: 03.11.2016 Сообщений: 21 Вес репутации: 0	Re: Настройки сети OpenWrt Меня немного смущает двойное определение vpn интерфейса. Одно в конфиге tinc, другое в interfaces. Хотя, почему бы и нет. Главное чтобы заработало) Поправил в конфиге устройства. И в предыдущем посте. Про обратный маршрут немного не понял. После добавления маршрута 'ip ro add 192.168.1.0/24 via 200.0.1.21 dev tun0' vpn-сервак знает где искать локалку, трасерт это показывает. Он стучится на роутер, а там его не ждут) Последний раз редактировалось verdad; 11.11.2016 в 23:53.

Здесь присутствуют: 30 (пользователей: 0 , гостей: 30)