Witam,
Czy ktoś przerabiał temat routingu na tomato wybranych domen i adresów ip przez open vpn?
Mam RTN66U z WANem do UPC i tunelem openVPN do dedyka poza krajem.
Do tej pory używałem tunelu tylko do administracji dedykiem... ale niektórzy admini banują mój adres bo mam tor exita i muszę wybrane domeny przekierować przez tunel bo mi się userzy w domu skarżą.
for i in /proc/sys/net/ipv4/conf/*/rp_filter ; do
echo 0 > $i
done
ip route flush table 100
ip route del default table 100
ip rule del fwmark 1 table 100
ip route flush cache
iptables -t mangle -F PREROUTING
iface_lst=`route | awk ' {print $8}'`
for tun_if in $iface_lst; do
if [ $tun_if == "tun11" ] || [ $tun_if == "tun12" ] || [ $tun_if == "ppp0" ] then
break
fi
done
ppoe_gateway=`ifconfig ppp0 | awk '/P-t-P/ {split ($3,A,":"); print A[2]}'`
ip route show table main | grep -Ev ^default | grep -Ev $tun_if \
| while read ROUTE ; do
ip route add table 100 $ROUTE
done
ip route add default table 100 via $ppoe_gateway
ip rule add fwmark 1 table 100
ip route flush cache
iptables -t mangle -A PREROUTING -i br0 -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -i br0 -m iprange --src-range 192.168.1.14 -j MARK --set-mark 0
Powyzszy skrypt dziala tak ze caly ruch jest skierowany normalnie a tylko adres IP 192.168.1.14 laczy sie przez tunel VPN a co najwazniejsze działa z OpenVPN i PPTP.
Ponizej jescze pare przykladow bo usunalem je ze skopiowanego skryptu ze wzgledu na ograniczenia 4096 bajtów w skrypcie WAN UP.
# EXAMPLES:
#
# All LAN traffic will bypass the VPN (Useful to put this rule first, so all traffic bypasses the VPN and you can configure exceptions afterwards)
# iptables -t mangle -A PREROUTING -i br0 -j MARK --set-mark 1
# Ports 80 and 443 will bypass the VPN
# iptables -t mangle -A PREROUTING -i br0 -p tcp -m multiport --dport 80,443 -j MARK --set-mark 1
# All traffic from a particular computer on the LAN will use the VPN
# iptables -t mangle -A PREROUTING -i br0 -m iprange --src-range 192.168.1.2 -j MARK --set-mark 0
# All traffic to a specific Internet IP address will use the VPN
# iptables -t mangle -A PREROUTING -i br0 -m iprange --dst-range 216.146.38.70 -j MARK --set-mark 0
# All UDP and ICMP traffic will bypass the VPN
# iptables -t mangle -A PREROUTING -i br0 -p udp -j MARK --set-mark 1
# iptables -t mangle -A PREROUTING -i br0 -p icmp -j MARK --set-mark 1
Dzięki Mortla88... ale zmierzam do tego żeby przez tunel kierować ruch z jakiegokolwiek adresu LAN jeśli jest out na konkretny adres zewnętrzny ip a najlepiej na domenę.
Szukałem w necie - niestety bez pozytywnego rezultatu.
W statycznym routingu nie mogę zdefiniować ruta na interface tun11 :(
... dopatrzyłem właśnie, że może zadziałać z jednym z twoich przykładów:
# All traffic to a specific Internet IP address will use the VPN
# iptables -t mangle -A PREROUTING -i br0 -m iprange --dst-range 216.146.38.70 -j MARK --set-mark 0
Spróbuję i dam znać dla potomnych :)
Asus RT-N66U/B1 + Tomato 1.28-115-K26 USB AIO-64K TORExit@RPi_Model_B
Witam,
Dzięki za powyższy skrypt działa pięknie, ale mam pewne pytanie. Otóż po przekierowaniu jednego IP przez OpenVPN przkierowanie portu na ten adres nie działa tak jak powinno, na vpn serwerze mam na pewno otwarty ten port dla mojego adresu (łączyłem się bezpośrednio z VPN z urządzenia i port był otwarty).
Chodzi mi o otworzenie tego portu dla IP połączonego poprzez VPN. Miałby ktoś jakiś pomysł? Byłbym bardzo wdzięczny.
Połączony z 15 lipiec 2014 16:18:22:
Niestety nie mogę zedydować postu powyżej dlatego piszę kolejny:
Otóż jednak skrypt nie działa poprawnie - wszystkie adresy IP przechodzą przez OpenVPN.
Moim głównym założeniem jest routing tylko dla adresu lokalnego 192.168.1.5 z otwartymi portami ze zdjęcia poniżej z góry bardzo dziękuję za pomoc.
client
dev tun
proto udp
remote my.ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
mute-replay-warnings
ca ca.crt
cert koper.crt
key koper.key
tls-auth ta.key 1
cipher AES-256-CBC
comp-lzo
verb 4
mute 20
Połączony z 15 lipiec 2014 19:13:43:
EDIT
Udało mi się uruchomić NAT tylko na jednym IP, wszystko tak jak na screenach powyżej tylko zmienione firewall na automatyczny, oraz Utwórz NAT na tunel odznaczone. Jednak obecnie z urządzenia które idzie przez OpenVPN wygląda jakby było blokowane przez firewall na routerze - DNS odnajduje adres (np. apt-get update jednak nie jest wstanie ściągnąć żadnych danych). Na serwerze OpenVPN w logu statusu mam że jest klient podłączony oraz nadany jest IP.
Połączony z 22 lipiec 2014 07:57:39:
Miałby ktoś pomysł na rozwiązanie tego problemu?
Pozdrawiam
Edytowany przez koper89 dnia 22-07-2014 07:57
· Łącznie użytkowników: 24,115 · Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.
Maniek91PL
06-11-2024 22:37
dzięki !
maxikaaz
29-10-2024 14:27
@Maniek91PL - Administration=> Admin Access, i tam masz "Allow Wireless Access" do zaznaczenia
Maniek91PL
26-10-2024 22:07
siemka! ktoś przypomni co się ustawiało jeśli nie mogę wejść od strony wifi do tomato? od lan działa
overflow2
04-10-2024 17:34
Kupowałem Asusy n10u albo n12d1 ale nie widzę ich, chyba już nie produkują, Chodzi o coś nowego i taniego. Transfery niewielkie.
maxikaaz
04-10-2024 09:38
@overflow2 patrząc po dostępności funkcji w nowych kompilacjach, to chyba nawet WRT54G/GL jeszcze ma OpenVPN, albo jakiś odpowiednik... zależy, na jakie transfery liczysz.
overflow2
30-09-2024 20:53
Jaki aktualnie najtańszy router do tomato do openvpn?
maxikaaz
27-07-2024 15:07
@servee - na początek router do rozebrania i obejrzenia, ciężko wróżyć tak tylko po objawach
maxikaaz
27-07-2024 14:55
@servee - cały kontroler nie pada tak sobie z powodu "zbiegu okoliczności", więc prawdopodobnie gdzieś przepięcie.
servee
25-07-2024 13:33
@maxikaaz: działało, aż pewnego pięknego dnia przestało działać. W tym dniu była też burza, ale to raczej zbieg okoliczności.
maxikaaz
25-07-2024 11:38
@servee - o ile problem jest w obrębie samych wyjść (dławiki, warystory), to naprawialne, ale jeśli w samym SoC - to nienaprawialne ze względu na koszta. A co było przyczyną?
' target='_blank'>Link
