|
OpenVPN & routing policy
|
| dar3k |
Dodano 26-09-2020 14:23
|
Super User
Posty: 419
Dołączył: 29/11/2013 22:48
|
Mam pytanie odnoście routing policy "To domian", jeśli połączony VPN to działa wyśmienicie ale chciałbym osiągnąć blokadę wymienionych na liście domen gdy brak VPN aby zapobiec połączenia bez VPN do danej domeny, w jaki sposób to najlepiej osiągnąć ?
Podobnie "From source IP" jeżeli VPN nie jest połączony to przez ISP nie ma internetu.
ER-12 + 4x UAP-AC-PRO
|
| |
|
|
| pedro |
Dodano 26-09-2020 16:51
|
Moderator
Posty: 1001
Dołączył: 21/09/2015 15:03
|
Kill Switch'a wciąż brak - tak jak i czasu. Możesz użyć poniższego i wrzucić do "Firewall":
# VPN kill switch (petla, gdy mamy więcej niż 1 WAN)
WAN_IF=$(nvram get wan_iface)
# wpisac wlasciwy
TUN_IF=tun11
iptables -I FORWARD -i br0 -s IP_WEWNETRZNE -o $WAN_IF -j REJECT
iptables -I FORWARD -i br0 -s IP_WEWNETRZNE -p tcp -o $WAN_IF -j REJECT
iptables -I FORWARD -i br0 -s IP_WEWNETRZNE -p udp -o $WAN_IF -j REJECT
iptables -I FORWARD ! -o $TUN_IF -d DOMENA -j REJECT
iptables -I FORWARD -o $WAN_IF -d DOMENA -j REJECT
Netowski 1Gb/1Gb
Huawei E3372s-153 non-hilink + 2x15dBi MIMO
FreshTomato: Asus RT-AC3200 + RT-N18U + RT-N66U + RT-N12
|
| |
|
|
| dar3k |
Dodano 27-09-2020 11:12
|
Super User
Posty: 419
Dołączył: 29/11/2013 22:48
|
Wielkie dzięki, działa :)
Połączony z 08 października 2020 20:28:57:
A jednak nie do końca działa, jak z jakiegoś powodu VPN zerwie połączenie i wznowi to linijka blokująca ruch po WAN działa, lecz po wznowieniu połączenia VPN, ruch nadal blokuje. Po ponownym wpisaniu linijki
iptables -I FORWARD ! -o $TUN_IF -d DOMENA -j REJECT
Edytowany przez dar3k dnia 08-10-2020 20:28
ER-12 + 4x UAP-AC-PRO
|
| |
|
|
| pedro |
Dodano 08-10-2020 20:55
|
Moderator
Posty: 1001
Dołączył: 21/09/2015 15:03
|
Cytat A jednak nie do końca działa, jak z jakiegoś powodu VPN zerwie połączenie i wznowi to linijka blokująca ruch po WAN działa, lecz po wznowieniu połączenia VPN, ruch nadal blokuje.
A jaśniej?
Używam powyższego (w firewall) od dobrych paru lat i nie mam żadnego problemu.
Netowski 1Gb/1Gb
Huawei E3372s-153 non-hilink + 2x15dBi MIMO
FreshTomato: Asus RT-AC3200 + RT-N18U + RT-N66U + RT-N12
|
| |
|
|
| amikot |
Dodano 09-10-2020 00:17
|
Power User
Posty: 298
Dołączył: 14/12/2018 18:24
|
Ja używam tylko jednej linijki jako kill switcha.
Inna sprawa że u mnie do VPN ma dostęp tylko jeden adres IP (selective routing policy), nie zastanawiałem się jak by to miało wyglądać dla całego ruchu, ale raczej podobnie.
Poniższą linijkę umieściłem zarówno w Firewall jak i w WAN UP, a to ze względu na fakt że z moich obserwacji wynika że firewall nie resetuje się przy odnowieniu połączenia WAN, ale też WAN się nie odnawia się przy resecie firewalla.
iptables -I FORWARD 1 -o vlan2 -s 192.168.1.111 -j DROP
Jak widać dość prosta sprawa: na 1 pozycję łańcucha FORWARD wsadzam regółę odrzucającą wszystkie przychodzące połączenia ze źródła 192.168.1.111 i adresowane do wyjściowego interfejsu vlan2.
Równocześnie ustawienia routing policy przekierowujące ruch z 192.168.1.111 na VPN załatwiają kwestię dostępu do VPN dla tegoż adresu IP.
W momencie gdy VPN pada - zostaje jedynie regóła blokująca WAN - więc 192.168.1.111 zostaje bez neta, ale też nie buszuje bez VPN - czyli zachowuje anonimowość.
ZTE MF286D - Stock Firmware (Vodafone UK)
ASUS TUF-AX3000 V2 - AsusWRT/FreshTomato 3.0.0.4.2023_4-gb6923ed
Acer Aspire E1-571 - OMV 6
|
| |
|
|
| dar3k |
Dodano 09-10-2020 19:50
|
Super User
Posty: 419
Dołączył: 29/11/2013 22:48
|
U mnie też po wpisaniu linijek od @pedro działa to selektywnie dla domen ale zauważyłem, że z pewnych nieznanych mi przyczyn gdy zerwie połączenie z VPN (mam keepalive 10 60 ustawiony) i po ponownym połączeniu ruch do domeny wpisanej w routing policy jest blokowany, dopiero po ręcznym wykonaniu:
iptables -I FORWARD ! -o $TUN_IF -d DOMENA -j REJECT
Widzi tą domenę - wygląda to tak, jakby przy ponownym połączeniu do VPN coś się wysypywało. Z logów clienta VPN wynika, że wszystko powinno być ok - ponieważ wyglądają zawsze tak samo.
Połączony z 13 października 2020 12:16:59:
Sprawdzałem jeszcze ping do bramy VPN działa, tylko i wyłącznie brakuje ruchu do wpisanej domeny i po wykonaniu jeszcze raz powyższego wpisu do Firewall działa.
Nie jest czasem tak, że po ponownym połączeniu do VPN wykonuje się jakiś skrypt firewalla (w ustawieniach clienta VPN mam Firewall na Auto).
Edytowany przez dar3k dnia 13-10-2020 12:16
ER-12 + 4x UAP-AC-PRO
|
| |
|
|
| pedro |
Dodano 13-10-2020 18:51
|
Moderator
Posty: 1001
Dołączył: 21/09/2015 15:03
|
Cytat dar3k napisał(a):
U mnie też po wpisaniu linijek od @pedro działa to selektywnie dla domen ale zauważyłem, że z pewnych nieznanych mi przyczyn gdy zerwie połączenie z VPN (mam keepalive 10 60 ustawiony) i po ponownym połączeniu ruch do domeny wpisanej w routing policy jest blokowany, dopiero po ręcznym wykonaniu:
iptables -I FORWARD ! -o $TUN_IF -d DOMENA -j REJECT
Widzi tą domenę - wygląda to tak, jakby przy ponownym połączeniu do VPN coś się wysypywało. Z logów clienta VPN wynika, że wszystko powinno być ok - ponieważ wyglądają zawsze tak samo.
Połączony z 13 października 2020 12:16:59:
Sprawdzałem jeszcze ping do bramy VPN działa, tylko i wyłącznie brakuje ruchu do wpisanej domeny i po wykonaniu jeszcze raz powyższego wpisu do Firewall działa.
Nie jest czasem tak, że po ponownym połączeniu do VPN wykonuje się jakiś skrypt firewalla (w ustawieniach clienta VPN mam Firewall na Auto).
Nie wiem dlaczego u Ciebie po zerwanym połączeniu to nie działa. U mnie jest ok, tym bardziej że jestem na LTE, gdzie jak wiadomo stabilność połączenia jest delikatnie mówiąc średnia.
Dodałeś te reguły do "Firewall" tak jak pisałem?
Netowski 1Gb/1Gb
Huawei E3372s-153 non-hilink + 2x15dBi MIMO
FreshTomato: Asus RT-AC3200 + RT-N18U + RT-N66U + RT-N12
|
| |
|
|
| dar3k |
Dodano 14-10-2020 07:57
|
Super User
Posty: 419
Dołączył: 29/11/2013 22:48
|
Tak dodałem je do scripts->firewall, a w VPN masz zaznaczone Firewall Custom czy Automatic (ja mam auto).
ER-12 + 4x UAP-AC-PRO
|
| |
|
|
| pedro |
Dodano 14-10-2020 10:19
|
Moderator
Posty: 1001
Dołączył: 21/09/2015 15:03
|
Auto, przy Custom trzeba samemu wklepać wszystkie reguły.
Netowski 1Gb/1Gb
Huawei E3372s-153 non-hilink + 2x15dBi MIMO
FreshTomato: Asus RT-AC3200 + RT-N18U + RT-N66U + RT-N12
|
| |
|
' target='_blank'>Link
