Witam,
Czy ktoś przerabiał temat routingu na tomato wybranych domen i adresów ip przez open vpn?
Mam RTN66U z WANem do UPC i tunelem openVPN do dedyka poza krajem.
Do tej pory używałem tunelu tylko do administracji dedykiem... ale niektórzy admini banują mój adres bo mam tor exita i muszę wybrane domeny przekierować przez tunel bo mi się userzy w domu skarżą.
for i in /proc/sys/net/ipv4/conf/*/rp_filter ; do
echo 0 > $i
done
ip route flush table 100
ip route del default table 100
ip rule del fwmark 1 table 100
ip route flush cache
iptables -t mangle -F PREROUTING
iface_lst=`route | awk ' {print $8}'`
for tun_if in $iface_lst; do
if [ $tun_if == "tun11" ] || [ $tun_if == "tun12" ] || [ $tun_if == "ppp0" ] then
break
fi
done
ppoe_gateway=`ifconfig ppp0 | awk '/P-t-P/ {split ($3,A,":"); print A[2]}'`
ip route show table main | grep -Ev ^default | grep -Ev $tun_if \
| while read ROUTE ; do
ip route add table 100 $ROUTE
done
ip route add default table 100 via $ppoe_gateway
ip rule add fwmark 1 table 100
ip route flush cache
iptables -t mangle -A PREROUTING -i br0 -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -i br0 -m iprange --src-range 192.168.1.14 -j MARK --set-mark 0
Powyzszy skrypt dziala tak ze caly ruch jest skierowany normalnie a tylko adres IP 192.168.1.14 laczy sie przez tunel VPN a co najwazniejsze działa z OpenVPN i PPTP.
Ponizej jescze pare przykladow bo usunalem je ze skopiowanego skryptu ze wzgledu na ograniczenia 4096 bajtów w skrypcie WAN UP.
# EXAMPLES:
#
# All LAN traffic will bypass the VPN (Useful to put this rule first, so all traffic bypasses the VPN and you can configure exceptions afterwards)
# iptables -t mangle -A PREROUTING -i br0 -j MARK --set-mark 1
# Ports 80 and 443 will bypass the VPN
# iptables -t mangle -A PREROUTING -i br0 -p tcp -m multiport --dport 80,443 -j MARK --set-mark 1
# All traffic from a particular computer on the LAN will use the VPN
# iptables -t mangle -A PREROUTING -i br0 -m iprange --src-range 192.168.1.2 -j MARK --set-mark 0
# All traffic to a specific Internet IP address will use the VPN
# iptables -t mangle -A PREROUTING -i br0 -m iprange --dst-range 216.146.38.70 -j MARK --set-mark 0
# All UDP and ICMP traffic will bypass the VPN
# iptables -t mangle -A PREROUTING -i br0 -p udp -j MARK --set-mark 1
# iptables -t mangle -A PREROUTING -i br0 -p icmp -j MARK --set-mark 1
Dzięki Mortla88... ale zmierzam do tego żeby przez tunel kierować ruch z jakiegokolwiek adresu LAN jeśli jest out na konkretny adres zewnętrzny ip a najlepiej na domenę.
Szukałem w necie - niestety bez pozytywnego rezultatu.
W statycznym routingu nie mogę zdefiniować ruta na interface tun11 :(
... dopatrzyłem właśnie, że może zadziałać z jednym z twoich przykładów:
# All traffic to a specific Internet IP address will use the VPN
# iptables -t mangle -A PREROUTING -i br0 -m iprange --dst-range 216.146.38.70 -j MARK --set-mark 0
Spróbuję i dam znać dla potomnych :)
Asus RT-N66U/B1 + Tomato 1.28-115-K26 USB AIO-64K TORExit@RPi_Model_B
Witam,
Dzięki za powyższy skrypt działa pięknie, ale mam pewne pytanie. Otóż po przekierowaniu jednego IP przez OpenVPN przkierowanie portu na ten adres nie działa tak jak powinno, na vpn serwerze mam na pewno otwarty ten port dla mojego adresu (łączyłem się bezpośrednio z VPN z urządzenia i port był otwarty).
Chodzi mi o otworzenie tego portu dla IP połączonego poprzez VPN. Miałby ktoś jakiś pomysł? Byłbym bardzo wdzięczny.
Połączony z 15 lipiec 2014 16:18:22:
Niestety nie mogę zedydować postu powyżej dlatego piszę kolejny:
Otóż jednak skrypt nie działa poprawnie - wszystkie adresy IP przechodzą przez OpenVPN.
Moim głównym założeniem jest routing tylko dla adresu lokalnego 192.168.1.5 z otwartymi portami ze zdjęcia poniżej z góry bardzo dziękuję za pomoc.
client
dev tun
proto udp
remote my.ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
mute-replay-warnings
ca ca.crt
cert koper.crt
key koper.key
tls-auth ta.key 1
cipher AES-256-CBC
comp-lzo
verb 4
mute 20
Połączony z 15 lipiec 2014 19:13:43:
EDIT
Udało mi się uruchomić NAT tylko na jednym IP, wszystko tak jak na screenach powyżej tylko zmienione firewall na automatyczny, oraz Utwórz NAT na tunel odznaczone. Jednak obecnie z urządzenia które idzie przez OpenVPN wygląda jakby było blokowane przez firewall na routerze - DNS odnajduje adres (np. apt-get update jednak nie jest wstanie ściągnąć żadnych danych). Na serwerze OpenVPN w logu statusu mam że jest klient podłączony oraz nadany jest IP.
Połączony z 22 lipiec 2014 07:57:39:
Miałby ktoś pomysł na rozwiązanie tego problemu?
Pozdrawiam
Edytowany przez koper89 dnia 22-07-2014 07:57
· Łącznie użytkowników: 24,126 · Najnowszy użytkownik: goldi111
Czat
Musisz się zalogować, aby opublikować wiadomość.
Maniek91PL
15-05-2025 19:35
witam! było coś gdzieś o obsłudze asus mesh w tomato moze? chętnie bym przetestował u rodziców
servee
24-01-2025 18:18
Światłowód + mediakonwenter. Ekranowana skrętka nie jest wymagana, taką sytuację już zastałem. Zamierzam ją wymienić na zwykłą. Da to coś?
shibby
17-01-2025 07:45
a ta skrętka ekranowana o której piszesz to jakiś wkopany przewód do bramy/furtki/kamer y zewn? Jak tak to jego też przez zabezpieczenie podepnij.
shibby
17-01-2025 07:43
no to pora zabezpieczyć kable LAN zabezpieczeniami przeciwprzepięciow ymi - tanio nie będzie. Jak przychodzi ci internet? Skrętką czy światłem? Jak skrętką to zacząłbym od tego.
servee
12-01-2025 12:52
Ponownie padły mi wszystkie porty sieciowe w routerze - to już 3-ci w 6 m-cy. Podejrzany to ekranowana, nieuziemiona skrętka - 12mb. Czy jest to możliwe?
dawidt
21-12-2024 01:09
siema
Maniek91PL
06-11-2024 22:37
dzięki !
maxikaaz
29-10-2024 14:27
@Maniek91PL - Administration=> Admin Access, i tam masz "Allow Wireless Access" do zaznaczenia
Maniek91PL
26-10-2024 22:07
siemka! ktoś przypomni co się ustawiało jeśli nie mogę wejść od strony wifi do tomato? od lan działa
overflow2
04-10-2024 17:34
Kupowałem Asusy n10u albo n12d1 ale nie widzę ich, chyba już nie produkują, Chodzi o coś nowego i taniego. Transfery niewielkie.
' target='_blank'>Link
