Форум обсуждения систем  

Вернуться   Форум обсуждения систем "Умный дом", проектов Ардуино, OpenWRT и других DIY устройств > Форум умного дома > Сделай сам > OpenWRT/LEDE

Ответ
 
Опции темы Поиск в этой теме Опции просмотра
Старый 11.03.2015, 14:45   #51
zmulian
Member
 
Регистрация: 16.03.2013
Адрес: Пермь
Сообщений: 47
Вес репутации: 0
zmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant future
По умолчанию Re: VPN и OpenWRT

Большое спасибо за участие.
option defaultroute '0' пробовал - эффект тотже.
Уважаемый paulerr можно ли поподробнее про

route add -net на другой конец туннеля

Вообще то основную проблемму удалось решить.
Получилось следующее (для минимального функцинала задуманного хватит)
Подсеть 192.168.40.хх<->Роутер 1(LAN-192.168.40.181)<->NAT<->(192.168.2.4)VPN(192.168.2.3)<->Роутер 2(LAN-192.168.40.50)

Оба роутера получают интернет по воздуху с разных сетей...
Заковырка была в следующем..... По умолчанию LAN2LAN выдает подсеть типа 192.168.99.хх. Стоило мне ее заменить на 192.168.2.хх с сразу все заработало.

Выложу конфиги
/etc/config/network

config interface 'loopback'
option ifname 'lo'
option proto 'static'
option ipaddr '127.0.0.1'
option netmask '255.0.0.0'

config interface 'lan'
option proto 'static'
option netmask '255.255.255.0'
option ipaddr '192.168.40.181'
option _orig_ifname 'eth0'
option _orig_bridge 'true'
option ifname 'eth0'

config interface 'wwan'
option _orig_ifname 'radio0.network1'
option _orig_bridge 'false'
option proto 'static'
option ipaddr '192.168.1.181'
option netmask '255.255.255.0'
option gateway '192.168.1.1'
option dns '192.168.1.1 8.8.8.8'

config interface 'vpn'
option ifname 'pptp-vpn'
option proto 'pptp'
option server 'vpn.lan2lan.ru'
option username 'мое имя'
option password 'мой пароль'
option buffering '1'

/etc/config/firewall

config defaults
option syn_flood '1'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'

config zone
option name 'lan'
option network 'lan'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'

config zone
option name 'wan'
option input 'REJECT'
option output 'ACCEPT'
option forward 'REJECT'
option masq '1'
option mtu_fix '1'
option network 'wan wwan'

config forwarding
option src 'lan'
option dest 'wan'

config rule
option name 'Allow-DHCP-Renew'
option src 'wan'
option proto 'udp'
option dest_port '68'
option target 'ACCEPT'
option family 'ipv4'

config rule
option name 'Allow-Ping'
option src 'wan'
option proto 'icmp'
option icmp_type 'echo-request'
option family 'ipv4'
option target 'ACCEPT'

config rule
option name 'Allow-DHCPv6'
option src 'wan'
option proto 'udp'
option src_ip 'fe80::/10'
option src_port '547'
option dest_ip 'fe80::/10'
option dest_port '546'
option family 'ipv6'
option target 'ACCEPT'

config rule
option name 'Allow-ICMPv6-Input'
option src 'wan'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
list icmp_type 'router-solicitation'
list icmp_type 'neighbour-solicitation'
list icmp_type 'router-advertisement'
list icmp_type 'neighbour-advertisement'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'

config rule
option name 'Allow-ICMPv6-Forward'
option src 'wan'
option dest '*'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'

config include
option path '/etc/firewall.user'

config redirect
option src 'lan'
option src_dip '192.168.2.4'
option target 'SNAT'
option name 'out_vpn'
option proto 'all'
option dest 'VPN'

config zone
option name 'VPN'
option input 'ACCEPT'
option output 'ACCEPT'
option network 'vpn'
option forward 'REJECT'


config redirect
option target 'DNAT'
option src 'wan'
option dest 'lan'
option proto 'tcp'
option src_dport '80'
option dest_ip '192.168.40.181'
option dest_port '80'
option name 'web80'

config redirect
option target 'DNAT'
option src 'wan'
option dest 'lan'
option proto 'tcp'
option src_dport '22'
option dest_ip '192.168.40.181'
option dest_port '22'
option name 'ssh22'

Последние два config redirect перенапрявляют с внешнего WiFi на внутреннюю сеть (ну это просто для просмотра и для ковыряния в внутренностях роутера который находится ближе). Первый redirect

config redirect
option src 'lan'
option src_dip '192.168.2.4'
option target 'SNAT'
option name 'out_vpn'
option proto 'all'
option dest 'VPN'

SNAT-ит из LAN в VPN.

Читаю мануал но не пойму как заменить SNAT на MASQUERADE. А надо бы. Потому что для SNAT нужно указывать адрес интерфейса, для MASQUERADE сам интерфейс. Это для меня важно. При изменении адресов LAN2LAN работа системы нарушится, а адреса там могут быть любые.
Непонятки заключаются в несколько различном описании firewall UCI и Netfilter/Nftables (iptables). Нутром чую что это одно и то же (только разная форма описания), но пока путаюсь (говорили мне школе "учи английский"!!!!).

То есть получилось следующее: Роутер 1 подключенный к сети и компьютеры (роутеры) могут полностью видеть Роутер 2. По адресу 192.168.2.3 на всех протоколах и портах.

Честно говоря хотелось бы большего.....
zmulian вне форума   Ответить с цитированием
Старый 11.03.2015, 14:53   #52
zmulian
Member
 
Регистрация: 16.03.2013
Адрес: Пермь
Сообщений: 47
Вес репутации: 0
zmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant future
По умолчанию Re: VPN и OpenWRT

Что не могу найти описание UCI для /etc/config/network (это по поводу option defaultroute '0')
zmulian вне форума   Ответить с цитированием
Старый 11.03.2015, 14:55   #53
zmulian
Member
 
Регистрация: 16.03.2013
Адрес: Пермь
Сообщений: 47
Вес репутации: 0
zmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant future
По умолчанию Re: VPN и OpenWRT

Нашел.Читаю.
zmulian вне форума   Ответить с цитированием
Старый 12.03.2015, 00:44   #54
paulerr
Senior Member
 
Регистрация: 04.01.2013
Адрес: Москва
Сообщений: 461
Вес репутации: 1152
paulerr has a reputation beyond reputepaulerr has a reputation beyond reputepaulerr has a reputation beyond reputepaulerr has a reputation beyond reputepaulerr has a reputation beyond reputepaulerr has a reputation beyond reputepaulerr has a reputation beyond reputepaulerr has a reputation beyond reputepaulerr has a reputation beyond reputepaulerr has a reputation beyond reputepaulerr has a reputation beyond repute
По умолчанию Re: VPN и OpenWRT

Опыт был следующим:
192.168.40.1(роутер1 с внешним инетом[серый IP], адрес 99.1) -LAN2LAN-192.168.1.1(роутер2 с внешним инетом[серый IP], адрес 99.2)--192.168.1.х(сеть)
Из сети 1.х виделся только один роутер 40.1, точнее как 99.1. С обоих роутеров виделись оба роутера как 99.1/99.2. Инет работал на обоих роутерах.
А вот на прописывание маршрутов меня не хватило. Сразу не заработало , и терпения разбираться не хватило.
Роутер 1
network
Код:
config interface 'lan'
	option ifname 'eth0'
	option force_link '1'
	option type 'bridge'
	option proto 'static'
	option netmask '255.255.255.0'
	option ip6assign '60'
	option ipaddr '192.168.40.1'

config interface 'vpn'
	option ifname 'pptp-vpn'
	option proto 'pptp'
	option username '****'
	option password '****'
	option server 'vpn.lan2lan.ru'
	option buffering '1'
	option defaultroute '0'
	option peerdns '0'

config route
	option interface 'vpn'
	option target '192.168.99.0'
	option gateway '46.38.52.90'
	option netmask '255.255.255.0'

config interface 'wwan'
	option proto 'dhcp'
firewall стандарный

Роутер 2
network
Код:
config interface 'lan'
	option ifname 'eth0.1'
	option force_link '1'
	option type 'bridge'
	option proto 'static'
	option ipaddr '192.168.1.1'
	option netmask '255.255.255.0'
	option ip6assign '60
	
config interface 'wwan'
	option proto 'dhcp'

config interface 'vpn'
	option ifname 'pptp-vpn'
	option proto 'pptp'
	option username '****'
	option password '****'
	option server 'vpn.lan2lan.ru'
	option buffering '1'
	option defaultroute '0'
	option peerdns '0'

config route
	option interface 'vpn'
	option target '192.168.99.0'
	option gateway '46.38.52.90'
	option netmask '255.255.255.0'
firewall
Код:
config zone
	option name 'VPN'
	option input 'ACCEPT'
	option output 'ACCEPT'
	option network 'vpn'
	option forward 'ACCEPT'
	option masq '1'

config forwarding
	option dest 'lan'
	option src 'VPN'

config forwarding
	option dest 'VPN'
	option src 'lan'

Последний раз редактировалось paulerr; 12.03.2015 в 00:50.
paulerr вне форума   Ответить с цитированием
Старый 13.03.2015, 15:42   #55
paulerr
Senior Member
 
Регистрация: 04.01.2013
Адрес: Москва
Сообщений: 461
Вес репутации: 1152
paulerr has a reputation beyond reputepaulerr has a reputation beyond reputepaulerr has a reputation beyond reputepaulerr has a reputation beyond reputepaulerr has a reputation beyond reputepaulerr has a reputation beyond reputepaulerr has a reputation beyond reputepaulerr has a reputation beyond reputepaulerr has a reputation beyond reputepaulerr has a reputation beyond reputepaulerr has a reputation beyond repute
По умолчанию Re: VPN и OpenWRT

Коллеги на работе потестили данный конфиг, и их вердикт: просто так не взлетит.
Вариантов два:
1) поверх PPTP делаем еще туннель (openvpn или gre), и не факт, что заработает (я бы на месте lan2lan резал бы такие пакеты), имеем гемморой с настройкой и с mtu
2)пробросить порты с роутера на нужные сервисы и ходить на эти порты типа 192.168.99.2:ххххх
paulerr вне форума   Ответить с цитированием
Старый 16.03.2015, 07:51   #56
zmulian
Member
 
Регистрация: 16.03.2013
Адрес: Пермь
Сообщений: 47
Вес репутации: 0
zmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant future
По умолчанию Re: VPN и OpenWRT

Доброе время суток....
Если не секрет.... то что значит что просто так не взлетит???
Примерно около недели - полет нормальный.... (использую OpenWrt)
Насчет резки пакетов lan2lan, я думал. Поэтому будет еще один тоннель.
Это vtund. Имеющиеся в сети примеры позволяют соединить две сетки через эти тоннели (правда информации кот наплакал и она противоречивая и с ошибками).
Использовать шифрование и сжатие (другие тоже умеют).
Планирую сделать так: vtund сжимает и шифрует пакеты и отправляет их на другой конец туннеля через lan2lan на порт ххх (например 443 так его по идее не должны блокировать - используется для защищенного соединения), на другой стороне это разжимается дешифровывается и используется дальше.
Поправьте меня если что не так. !!!
Не в курсе ли вы можно ли через одно соединение и один порт (lan2lan) соединить две сетки с помощью openvpn (с шифрованием чтобы lan2lan не заметил)???
zmulian вне форума   Ответить с цитированием
Старый 17.03.2015, 12:44   #57
paulerr
Senior Member
 
Регистрация: 04.01.2013
Адрес: Москва
Сообщений: 461
Вес репутации: 1152
paulerr has a reputation beyond reputepaulerr has a reputation beyond reputepaulerr has a reputation beyond reputepaulerr has a reputation beyond reputepaulerr has a reputation beyond reputepaulerr has a reputation beyond reputepaulerr has a reputation beyond reputepaulerr has a reputation beyond reputepaulerr has a reputation beyond reputepaulerr has a reputation beyond reputepaulerr has a reputation beyond repute
По умолчанию Re: VPN и OpenWRT

Цитата:
Сообщение от zmulian Посмотреть сообщение
что значит что просто так не взлетит
Так Вы сами и ответили
Цитата:
Сообщение от zmulian Посмотреть сообщение
Это vtund. Имеющиеся в сети примеры позволяют соединить две сетки через эти тоннели (правда информации кот наплакал и она противоречивая и с ошибками).
Теоритически, openvpn сможет работать, надо пробовать. Мы не тестили.
paulerr вне форума   Ответить с цитированием
Старый 29.03.2015, 09:43   #58
zmulian
Member
 
Регистрация: 16.03.2013
Адрес: Пермь
Сообщений: 47
Вес репутации: 0
zmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant future
По умолчанию Re: VPN и OpenWRT

Доброе время суток!!!
Опишу мой опыт использования vtun поверх lan2lan для объединения двух подсеток в бесплатном варианте (скорость 80-110 кб\сек).

Вначале ставим vtun на обоих роутерах

opkg update
opkg install vtun

Немного отвлекусь, почему мой выбор пал на vtun.
1. Это самый легковесный туннель.
2. Может использовать шифрование (я использую 128, но можно и 256).
3. Может использовать сжатие (у меня LZO).
4. Написан нашим соотечественником (поддержим отечественного производителя...) и имеет подробную инструкцию по конфигурации.
5. Может использовать различные протоколы и еще много всяких интересных финтиплюшек, которые можно использовать...Так что рекомендую......

Моя конфигурация сеток

(домашняя сетка 192.168.1.хх)<->(роутер-1,192.168.1.181, lan2lan-192.168.2.4/32, vtun сервер 10.10.10.1)<->(интернет от дом.ру- роутер-1 подключен кабелем к домашнему роутеру с адресом 192.168.1.8, раздающим интернет)

(соседский интернет от РосТелекома с внутренним адресом домашнего роутера 192.168.1.1, подключен по WiFi)<->(роутер-2, подключен клиентом по WiFi с статическим адресом 192.168.1.171, vtun клиент 10.10.10.2, lan2lan-192.168.2.3/32, внутренний адрес подсетки роутера-2 192.168.50.171)<->(тестовая подсетка 192.168.50.хх комп с виндой 192.168.50.111)

Задача: любой комп с подсетки 192.168.50.хх должен прозрачно видеть (и естественно пользоваться общими ресурсами) подсетки 192.168.1.хх и наоборот......

Приведу свои конфиги с краткими пояснениями (vtun уже стоит)

роутер-1

/etc/config/network

config interface 'loopback'
option ifname 'lo'
option proto 'static'
option ipaddr '127.0.0.1'
option netmask '255.0.0.0'

config interface 'lan'
option proto 'static'
option netmask '255.255.255.0'
option ipaddr '192.168.1.181'
option _orig_ifname 'eth0'
option _orig_bridge 'true'
option ifname 'eth0'
option gateway '192.168.1.8'
option dns '192.168.1.8 8.8.8.8'

config interface 'vpn'
option ifname 'pptp-vpn'
option proto 'pptp'
option server 'vpn.lan2lan.ru'
option username 'мое имя на lan2lan.ru'
option password 'мой пароль на lan2lan.ru'
option buffering '1'

/etc/config/firewall

приведу только часть, поскольку она стандартная да то уже была представлена, ну так, на всякий...

config include
option path '/etc/firewall.user'

config zone
option name 'VPN'
option input 'ACCEPT'
option output 'ACCEPT'
option network 'vpn'
option forward 'REJECT'

Теперь уже будут отступления

/etc/firewall.user

# This file is interpreted as shell script.
# Put your custom iptables rules here, they will
# be executed with each firewall (re-)start.

#vtund at TCP port 5000 as server side
iptables -A input_rule -p tcp --dport 5000 -j ACCEPT
iptables -A forwarding_rule -i tun+ -j ACCEPT
iptables -A forwarding_rule -o tun+ -j ACCEPT

Первая строчка пропускает порт 5000 который слушает сервер (lan2lan уже по идее должен быть запущен), 2 и 3 строчка перенаправляет вход и выход с драйвера адаптера tun.

/etc/vtund.conf

#
options {
port 5000; # порт который слушает сервер, по умолчанию из манов vtun
bindaddr { iface pptp-vpn; }; # на каком интерфейсе, но можно указать и адрес
# Syslog facility
syslog daemon;
# пути к программам, для OpenWrt такие
ppp /usr/sbin/pppd;
ifconfig /sbin/ifconfig;
route /sbin/route;
firewall /usr/sbin/iptables;
ip /usr/sbin/ip;
}

# Почему то нужно указывать настройки по умолчанию (из манов)
default {
compress no; # Compression is off by default
speed 0; # By default maximum speed, NO shaping
}

#указываем имя сессии, у меня роутеры переделанные из 702, с разным цветом светодиодов (под триколор), в данном случае подключаемся к синему. Название сессии должно совпадать на сервере и клиенте (blue_x)
# Session 'blue_x'.
blue_x {
passwd "мой пароль"; # Пароль для сессии(должен совпадать на клиенте и сервере и без кавычек
type tun; #тип адаптера (в моем случае tun)
proto tcp; #протокол tcp (можно поставить и udp но для меня более важна надежность соединения чем скорость), (udp пакет может потеряться а tcp нет)
compress lzo:9; #поставил максимальное сжатие. Проц загружен на 15-20% - мне пойдет. Замечено следующее - большие текстовые файлы передаются быстрее (скорость более 100 кб/сек). Уже сжатые архивы (типа .zip) медленнее (около 90-95 кб/сек). Даже пережатые фильмы (была и такая проба) тормозят совершенно (около 25-35 кб/сек).
encrypt yes; # тут выбор шифрования (я шифрую)
# stat yes; # наверно статистика, пока не использую
keepalive yes; #восстановление соединения при обрыве, для сервера вроде и надо, но я поставил (до конца еще не разобрался)
up {
# Настройки при подъеме соединения
# создадим подключение ptp (на всякий случай mtu 1320, так выдает lan2lan, и чтобы не было фрагментации пакетов, желательно придерживаться параметров уже установленного соединения. Если я не прав - пожалуйста поправьте. У lan mtu 1500 будут ли дробиться пакеты при переходе от lan к vtun???????
ifconfig "%% 10.10.10.1 pointopoint 10.10.10.2 mtu 1320";
#разрешим роутеру 192.168.1.181 слушать сетку 192.168.50.0/24
firewall "-I INPUT -i eth0 -s 192.168.50.0/24 -j ACCEPT";
# добавим маршрут с сетки 192.168.50.0 на дальний конец туннеля 10.10.10.2
route "add -net 192.168.50.0 netmask 255.255.255.0 gw 10.10.10.2";
# промаскарадим пакеты идущие в сетку 192.168.1.хх
firewall "-t nat -A POSTROUTING -o eth0 -j MASQUERADE";
};
down {
# При отключении интерфейса
# удалим все созданные интерфейсы
ifconfig "%% down";
#маршруты
route "del -net 192.168.50.0 netmask 255.255.255.0 gw 10.10.10.2";
# и правила фаерволла, которые создали при подъеме интерфейса
firewall "-D INPUT -i eth0 -s 192.168.50.0/24 -j ACCEPT";
firewall "-t nat -D POSTROUTING -o eth0 -j MASQUERADE";
};
}

Пока (временно) vtun запускаем упрощенно

/etc/rc.local

# Put your custom commands here that should be executed once
# the system init finished. By default this file does nothing.
mkdir /var/log/vtund > /dev/null 2>&1
mkdir /var/lock/vtund > /dev/null 2>&1
sleep 40
vtund -s
exit 0

Где 1 и 2 строчка создает временные директории для для логов.
3 строчка упрощенно дает задержку для подключения к lan2lan (обычно хватает, но не всегда. Буду делать контроль соединения lan2lan, опускание и подъем отдельными скриптами с запуском в cron). 4 строчка с ключом -s запускает демон сервера vtun.

Для сервера все.

Теперь для роутера-2

/etc/config/network

config interface 'loopback'
option ifname 'lo'
option proto 'static'
option ipaddr '127.0.0.1'
option netmask '255.0.0.0'

config interface 'lan'
option proto 'static'
option netmask '255.255.255.0'
option ipaddr '192.168.50.171'
option _orig_ifname 'eth0'
option _orig_bridge 'true'
option ifname 'eth0'

config interface 'vpn'
option ifname 'pptp-vpn'
option proto 'pptp'
option server 'vpn.lan2lan.ru'
option username 'имя для lan2lan.ru'
option password 'пароль для lan2lan.ru'
option buffering '1'
#интернет получаем по WiFi
config interface 'wwan'
option _orig_ifname 'radio0.network1'
option _orig_bridge 'false'
option proto 'static'
option ipaddr '192.168.1.171'
option netmask '255.255.255.0'
option gateway '192.168.1.1'
option dns '192.168.1.1 8.8.8.8'

/etc/config/firewall

Аналогичный с сервером (тоже частично)

config include
option path '/etc/firewall.user'

config zone
option name 'VPN'
option input 'ACCEPT'
option output 'ACCEPT'
option network 'vpn'
option forward 'REJECT'

/etc/firewall.user
Описывать не буду, аналогично серверу

# This file is interpreted as shell script.
# Put your custom iptables rules here, they will
# be executed with each firewall (re-)start.

#vtund at TCP port 3128 as server side
iptables -A input_rule -p tcp --dport 5000 -j ACCEPT
iptables -A forwarding_rule -i tun+ -j ACCEPT
iptables -A forwarding_rule -o tun+ -j ACCEPT

Хотя на клиенте первую строчку можно не вводить, поскольку слушать ему нечего...

/etc/vtund.conf

options {
port 5000; # Аналогично серверу
bindaddr { iface pptp-vpn; };

# Syslog facility
syslog daemon;

# Аналогично серверу
ppp /usr/sbin/pppd;
ifconfig /sbin/ifconfig;
route /sbin/route;
firewall /usr/sbin/iptables;
ip /usr/sbin/ip;
}

# Аналогично серверу
default {
compress no; # Compression is off by default
speed 0; # By default maximum speed, NO shaping
}


# Сессия чуть чуть попроще
# Session 'blue_x'.
blue_x {
passwd "мой пароль"; # Пароль для сессии(должен совпадать на клиенте и сервере и без кавычек

device tun1; #тип адаптера (указал конкретно что tun1 - для себя)
persist yes; #восстановление после разрыва. Говорят что работает не очень хорошо. После длительного разрыва с интернетом сам vtun выпадает из памяти. Существуют скрипты подъема. В интернете есть, если что - поделюсь, хотя испытать их еще не успел.

up {
# Connection is Up
# Подъем, за исключением адресов, аналогичен серверу
ifconfig "%% 10.10.10.2 pointopoint 10.10.10.1 mtu 1320";
firewall "-I INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT";
# Add route to net
route "add -net 192.168.1.0 netmask 255.255.255.0 gw 10.10.10.1";
# Enable masquerading for net
firewall "-t nat -A POSTROUTING -o eth0 -j MASQUERADE";
};

down {
# Connection is Down
# отпуск, за исключением адресов, аналогичен серверу
ifconfig "%% down";
#Del route to net
route "del -net 192.168.1.0 netmask 255.255.255.0 gw 10.10.10.1";
# Disable masquerading for net
firewall "-D INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT";
firewall "-t nat -D POSTROUTING -o eth0 -j MASQUERADE";

};
}


/etc/rc.local

# Put your custom commands here that should be executed once
# the system init finished. By default this file does nothing.
mkdir /var/log/vtund > /dev/null 2>&1
mkdir /var/lock/vtund > /dev/null 2>&1
sleep 70
vtund blue_x 192.168.2.4
exit 0

Практически тоже самое. В 3 строчке (относительно сервера) увеличено время (временно до написания скриптов подъема). В 4 строчке (vtund blue_x 192.168.2.4) запуск клиента.

Вроде все. После перезапуска роутеров встает вначале сервер потом клиент.

Выложу ifconfig с обоих аппаратов, что и где разберетесь сами

root@OpenWrt:~# ifconfig
eth0 Link encap:Ethernet HWaddr C4:6E:1F:C0:97:C0
inet addr:192.168.50.171 Bcast:192.168.50.255 Mask:255.255.255.0
inet6 addr: fe80::c66e:1fff:fec0:97c0/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:591 errors:0 dropped:0 overruns:0 frame:0
TX packets:504 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:64754 (63.2 KiB) TX bytes:132190 (129.0 KiB)
Interrupt:4

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:44 errors:0 dropped:0 overruns:0 frame:0
TX packets:44 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:3590 (3.5 KiB) TX bytes:3590 (3.5 KiB)

pptp-vpn Link encap:Point-to-Point Protocol
inet addr:192.168.2.3 P-t-P:46.38.52.90 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1320 Metric:1
RX packets:157 errors:0 dropped:0 overruns:0 frame:0
TX packets:191 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:25938 (25.3 KiB) TX bytes:18425 (17.9 KiB)

tun1 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.10.10.2 P-t-P:10.10.10.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1320 Metric:1
RX packets:82 errors:0 dropped:0 overruns:0 frame:0
TX packets:85 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:500
RX bytes:24373 (23.8 KiB) TX bytes:8207 (8.0 KiB)

wlan0 Link encap:Ethernet HWaddr C4:6E:1F:C0:97:C0
inet addr:192.168.1.171 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::c66e:1fff:fec0:97c0/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:327 errors:0 dropped:0 overruns:0 frame:0
TX packets:333 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:32
RX bytes:46521 (45.4 KiB) TX bytes:45136 (44.0 KiB)

root@OpenWrt:~#


root@OpenWrt:~# ifconfig
eth0 Link encap:Ethernet HWaddr C0:4A:00:30:B4:56
inet addr:192.168.1.181 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::c24a:ff:fe30:b456/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:305127 errors:0 dropped:0 overruns:0 frame:0
TX packets:338358 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:202624390 (193.2 MiB) TX bytes:204035925 (194.5 MiB)
Interrupt:4

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:23 errors:0 dropped:0 overruns:0 frame:0
TX packets:23 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:2264 (2.2 KiB) TX bytes:2264 (2.2 KiB)

pptp-vpn Link encap:Point-to-Point Protocol
inet addr:192.168.2.4 P-t-P:46.38.52.90 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1320 Metric:1
RX packets:165153 errors:0 dropped:0 overruns:0 frame:0
TX packets:156701 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:160237276 (152.8 MiB) TX bytes:34538370 (32.9 MiB)

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.10.10.1 P-t-P:10.10.10.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1320 Metric:1
RX packets:107028 errors:0 dropped:0 overruns:0 frame:0
TX packets:58106 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:500
RX bytes:136296706 (129.9 MiB) TX bytes:3110572 (2.9 MiB)

Всёёёё

Теперь прошу помощи (указания) знающих людей. Поскольку вся связь идет через VPN, интернет к которому подключены роутеры не получается использовать. В Винде при создании соединений стоит галка об использовании внутренних адресов (или что то в этом роде - не помню точно). Хотелось бы чтобы через туннели ходили только адреса сеток, а если адрес в этот диапазон не попадает, то был-бы выход в интернет через существующее соединение интернета???????
zmulian вне форума   Ответить с цитированием
Старый 30.03.2015, 13:02   #59
paulerr
Senior Member
 
Регистрация: 04.01.2013
Адрес: Москва
Сообщений: 461
Вес репутации: 1152
paulerr has a reputation beyond reputepaulerr has a reputation beyond reputepaulerr has a reputation beyond reputepaulerr has a reputation beyond reputepaulerr has a reputation beyond reputepaulerr has a reputation beyond reputepaulerr has a reputation beyond reputepaulerr has a reputation beyond reputepaulerr has a reputation beyond reputepaulerr has a reputation beyond reputepaulerr has a reputation beyond repute
По умолчанию Re: VPN и OpenWRT

а почему в конфиге /etc/config/network для vpn нет опции
option defaultroute '0' ?
Теоретически это не дает назначить маршрут поумолчанию на соединение VPN.
Покажите Ваш вывод route
paulerr вне форума   Ответить с цитированием
Старый 30.03.2015, 16:05   #60
zmulian
Member
 
Регистрация: 16.03.2013
Адрес: Пермь
Сообщений: 47
Вес репутации: 0
zmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant futurezmulian has a brilliant future
По умолчанию Re: VPN и OpenWRT

root@OpenWrt:~# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default moscow.netovern 0.0.0.0 UG 0 0 0 pptp-vpn
10.10.10.2 * 255.255.255.255 UH 0 0 0 tun0
46.38.52.90 192.168.1.8 255.255.255.255 UGH 0 0 0 eth0
46.38.52.90 * 255.255.255.255 UH 0 0 0 pptp-vpn
192.168.1.0 * 255.255.255.0 U 0 0 0 eth0
192.168.50.0 10.10.10.2 255.255.255.0 UG 0 0 0 tun0
root@OpenWrt:~#
zmulian вне форума   Ответить с цитированием
Ответ


Здесь присутствуют: 3 (пользователей: 0 , гостей: 3)
 
Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 16:12. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. Перевод: zCarot
Яндекс.Метрика