|
Separacja VPN ?
|
| Lacky |
Dodano 13-03-2015 14:33
|
User
Posty: 76
Dołączył: 10/01/2014 19:43
|
Witam wszystkich.
Posiadam Asusa RT-N66U z Tomato Firmware 1.28.0000 MIPSR2-124 K26AC USB AIO-64K
Przeszukałem forum i nie tylko i nie mogę rozwiązać mojego problemu.
Mam usługę VPN obecnie konfig w OpenVPN Client i działa na cały ruch, natomiast chciałbym aby :
br0 10.0.0.1-5 - VPN, VirtualWiFi, porty, no i usługi postawione na routerze typu transmission, oscam ect.
br1 192.168.1.1 - 20- ISP, WiFi - czyli z moim IP.
Posiłkowałem się tutorialem https://openlinksys.info/forum/viewth...d_id=14849 wszystko ładnie śmiga i zarówno czy łączę się przez br0 czy br1 ładnie działa, natomiast gdy włączę usługę VPN to br0 działa, natomiast br1 odcina całkowicie od neta.
Z moich wniosków wynika,że VPN jest zestawiony standardowo z br0, a br1 powinien iść bez VPN czyli z IP moim (mam stałe) no ale okazuje się, że nie jest to takie proste.
W końcu moje pytanie co mam jeszcze zrobić aby to zadziałało ?
Być może źle to robię i całkowicie inaczej trzeba podejść do tematu, więc proszę o pomoc. |
| |
|
|
| shibby |
Dodano 13-03-2015 16:05
|
SysOp
Posty: 17153
Dołączył: 15/01/2009 20:30
|
konfiguracja TAP czy TUN?
Router: Unifi Cloud Gateway Max
Switch: Unifi USW-Lite-16-PoE
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 4x 2TB SSD
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| Lacky |
Dodano 13-03-2015 18:47
|
User
Posty: 76
Dołączył: 10/01/2014 19:43
|
TUN
Połączony z 14 March 2015 17:45:36:
Nikt nie pomoże ??
Edytowany przez Lacky dnia 14-03-2015 17:45
|
| |
|
|
| susser |
Dodano 14-03-2015 18:32
|
User
Posty: 114
Dołączył: 05/09/2014 11:42
|
Witam serdecznie,
musisz popchnac neta na br1 przez vpn, najlepiej iptables, oto regulka
iptables -t nat -I POSTROUTING -s 192.168.1.0/255.255.255.0 -o tun11 -j MASQUERADE
W tym momencie zadziala Tobie Vpn na br0 i br1, ale jak zrobic, zeby na jednym dzialal vpn a na drugim isp to bedzie wiedzial napewno @shibby.
Pozdrawiam |
| |
|
|
| Lacky |
Dodano 14-03-2015 19:10
|
User
Posty: 76
Dołączył: 10/01/2014 19:43
|
Dzięki za podpowiedź, ale słusznie zauważyłeś, że nie do końca o to chodzi, ale dzięki za radę.
@shibby wiem, że to wie  mam nadzieje, że podpowie
Połączony z 15 March 2015 09:15:43:
Zanalazłem rozwiązanie wpis w worm up :
#--------------------------------------------------------------------------------------------
# This code goes in the WAN UP section of the Tomato GUI.
# This code based on the contributions from this thread:
# http://www.linksysinfo.org/index.php?threads/route-only-specific-ports-through-vpn-openvpn.37240/
#
# And from material in these articles:
# http://linux-ip.net/html/adv-multi-internet.html
# http://fedorasolved.org/Members/kanarip/iptables-howto
#
# This script configures "selective" VPN routing. Normally Tomato will route ALL traffic out
# the OpenVPN tunnel. These changes to iptables allow some outbound traffic to use the VPN, and some
# traffic to bypass the VPN and use the regular Internet instead.
#
# To list the current rules on the router, issue the command:
# iptables -t mangle -L PREROUTING
#
# Flush/reset all the rules to default by issuing the command:
# iptables -t mangle -F PREROUTING
#
#
# First it is necessary to disable Reverse Path Filtering on all
# current and future network interfaces:
#
for i in /proc/sys/net/ipv4/conf/*/rp_filter ; do
echo 0 > $i
done
#
# Delete and table 100 and flush any existing rules if they exist.
#
ip route flush table 100
ip route del default table 100
ip rule del fwmark 1 table 100
ip route flush cache
iptables -t mangle -F PREROUTING
#
# Copy all non-default and non-VPN related routes from the main table into table 100.
# Then configure table 100 to route all traffic out the WAN gateway and assign it mark "1"
#
# NOTE: Here I assume the OpenVPN tunnel is named "tun11".
#
#
ip route show table main | grep -Ev ^default | grep -Ev tun11 \
| while read ROUTE ; do
ip route add table 100 $ROUTE
done
ip route add default table 100 via $(nvram get wan_gateway)
ip rule add fwmark 1 table 100
ip route flush cache
#
# Define the routing policies for the traffic. The rules will be applied in the order that they
# are listed. In the end, packets with MARK set to "0" will pass through the VPN. If MARK is set
# to "1" it will bypass the VPN.
#
# EXAMPLES:
#
# All LAN traffic will bypass the VPN (Useful to put this rule first, so all traffic bypasses the VPN and you can configure exceptions afterwards)
# iptables -t mangle -A PREROUTING -i br0 -j MARK --set-mark 1
# Ports 80 and 443 will bypass the VPN
# iptables -t mangle -A PREROUTING -i br0 -p tcp -m multiport --dport 80,443 -j MARK --set-mark 1
# All traffic from a particular computer on the LAN will use the VPN
# iptables -t mangle -A PREROUTING -i br0 -m iprange --src-range 192.168.1.2 -j MARK --set-mark 0
# All traffic to a specific Internet IP address will use the VPN
# iptables -t mangle -A PREROUTING -i br0 -m iprange --dst-range 216.146.38.70 -j MARK --set-mark 0
# All UDP and ICMP traffic will bypass the VPN
# iptables -t mangle -A PREROUTING -i br0 -p udp -j MARK --set-mark 1
# iptables -t mangle -A PREROUTING -i br0 -p icmp -j MARK --set-mark 1
# By default all traffic bypasses the VPN
iptables -t mangle -A PREROUTING -i br1 -j MARK --set-mark 1
# Spotify explicitly uses the VPN
iptables -t mangle -A PREROUTING -i br1 -m iprange --dst-range 78.31.8.1-78.31.15.254 -j MARK --set-mark 0
iptables -t mangle -A PREROUTING -i br1 -m iprange --dst-range 193.182.8.1-193.182.15.254 -j MARK --set-mark 0
iptables -t nat -I POSTROUTING -o tun11 --src 192.168.1.1/24 -j MASQUERADE
#------------------------------------------------------------------------------------------------
Po wpisaniu powyższego działa jak chciałem chyba.
Nie jestem na tyle biegły aby rozkminić czy wszystko jest OK, być może da się jeszcze coś lepszego z tym zrobić ?
Prosiłbym o sprawdzenie mądre głowy .
Obecnie
br0 - VPN
br1 - ISP
Edytowany przez Lacky dnia 15-03-2015 09:15
|
| |
|
|
| susser |
Dodano 15-03-2015 14:51
|
User
Posty: 114
Dołączył: 05/09/2014 11:42
|
u mnie tez dziala, super sprawa! Moze moznaby to jakos zaimplementowac w postaci jednego buttona, co myslisz @shibby? |
| |
|
|
| wojtas29 |
Dodano 04-04-2015 16:41
|
User
Posty: 47
Dołączył: 01/09/2012 17:15
|
Rozumiem ze client vpn musi mieć ustawione zdalne ip 10.0.0.0? Czy zaznaczone cały ruch przez vpn?
Do br0 mogę przypisać jedno z gniazd LAN?
Próbowałem zrobić podobnie z dekoder n
nie wiem dlaczego z automatu dostaje adres 192.168.... zamiast z puli 10.0.0.....
Połączony z 04 April 2015 17:18:44:
jeszcze jedno -NAJWAŻNIEJSZE
wszystko po prostu wkleiłeś w sekcji wan up?
Edytowany przez wojtas29 dnia 04-04-2015 17:18
|
| |
|
|
| Lacky |
Dodano 04-04-2015 17:50
|
User
Posty: 76
Dołączył: 10/01/2014 19:43
|
Client VPN - br0 - tutaj mam ustawione nieco zmieniłem, ale to dla własnej wygody ip 10.1.1.1.
Możesz dowolnie przypisywać które porty mają być przypisane do br0 i br1.
U mnie zrobiłem tak router i br0 - zostawiłem standard czyli porty również
natomiast WiFi - br1,
jednak można dowolnie to konfigurować WiFi możesz zrobić dwa WiFi br0, WiFi Virtual br1 już wedle uznania.
Tak cały skrypt jest wrzucony w WAN up.
ze skryptu swobodnie można wywalić
iptables -t mangle -A PREROUTING -i br1 -m iprange --dst-range 78.31.8.1-78.31.15.254 -j MARK --set-mark 0
iptables -t mangle -A PREROUTING -i br1 -m iprange --dst-range 193.182.8.1-193.182.15.254 -j MARK --set-mark 0
Mikrotik
|
| |
|
|
| wojtas29 |
Dodano 04-04-2015 18:12
|
User
Posty: 47
Dołączył: 01/09/2012 17:15
|
no właśnie jakoś mi nie idzie
napiszę krok po kroku co zrobiłem
w ustawieniach BASIC dodałem lan -br1
w zaawansowanych dodałem do niego 3 porty (ponieważ do tych portółw będę łączył urządzenia które maja korzystać z mojego isp)
dla br0 zostawiłem jeden port i do tego portu podepnę urządzenie które ma korzystać z vpn.
Uruchamiam vpn
i tutaj nie ma, zadnego problemu, wszystko śmiga aż miło
Natomiast mój pc jest podpięty do br1.
dostęp do rourtera mam, dostaję ip z puli którą ustaliłem - nie ma dostępu do internetu
pomimo, ze w skryptach w sekcji wan up wkleiłem skrypt który wrzuciłeś
tylko ,że ja go po prostu przekleiłem, nie muszę tam nic poprawiać, jakies adresy ip zmieniać itp? |
| |
|
|
| Lacky |
Dodano 04-04-2015 18:52
|
User
Posty: 76
Dołączył: 10/01/2014 19:43
|
Sprawdź czy zrobiłeś dokładnie tak jak jest podane w linku ad tworzenia br1
dokładnie pkt.2
Krok 2. Nowy VLAN
W Advanced->VLAN robimy nowy np. VID (3) i przypisujemy do niego Bridge LAN1 (br1). VLAN nie musi zawierać zadnych portów LAN w sobie. Ważne żeby istniał. Po nacisnieciu Save nastąpi reboot routera.
i pkt.4
Krok 4. Weryfikacja
Mozemy sprawdzic w Advanced->VLAN czy nasze wlan'y sa poprawnie przypisane do roznych bridge, Bridge eth1 to LAN (br0) oraz Bridge wl0.1 to LAN1 (br1).
Pamiętaj, że VLan nie może być VID 0 musi zaczynać się od 1 i kolejno, ja stworzyłem vlan dla br1 VID 3
W skrypcie który przekleiłeś tak naprawdę ma znaczenie linia, którą ja zmodyfikowałem pod siebie
iptables -t nat -I POSTROUTING -o tun11 --src 192.168.1.1/24 -j MASQUERADE
aby IP było z br1, jeżeli skrypt nie zadziała poprostu będzie ruch przez VPN, a nie ISP
Mikrotik
|
| |
|
|
| wojtas29 |
Dodano 04-04-2015 19:02
|
User
Posty: 47
Dołączył: 01/09/2012 17:15
|
no to moze faktycznie VID mnie zaprzymał. jako, że nie bardzo wiem czym jest ten vid po prostu go zostawiłem nie zmienionego
Dziś już nie dam rady tego sprawdzić, no chyba, że później.
na pewno napiszę, gdybyś miał chwilkę to wpadnij.
Jeszcze tylko odnośnie linka do tworzenia vlan
o którym linku mówisz, tu nic takiego nie widzę |
| |
|
|
| Lacky |
Dodano 04-04-2015 20:09
|
User
Posty: 76
Dołączył: 10/01/2014 19:43
|
https://openlinksys.info/forum/viewth...d_id=14849
Mikrotik
|
| |
|
|
| wojtas29 |
Dodano 05-04-2015 09:03
|
User
Posty: 47
Dołączył: 01/09/2012 17:15
|
zrobiłem wszytko jak trzeba, tak mi się wydaje i teraz i br0 br1 idą przez vpn
nie wiem co jest nie tak
ip ustawiłem tak samo jak u ciebie
vpn łączę przez open vpn
ten ostatni wiersz w skrypcie jest tak jak trzeba tzn ip jest z br1
Połączony z 05 April 2015 16:46:18:
tak sobie myślę, czy to nie przez to, że robiłem to na rt-ac68u
dziś spróbuję jeszcze raz na rt-n66u
Edytowany przez wojtas29 dnia 05-04-2015 16:46
|
| |
|
|
| Lacky |
Dodano 05-04-2015 17:47
|
User
Posty: 76
Dołączył: 10/01/2014 19:43
|
Nie ma większego znaczenia jaki router raczej ma znaczenie jakie tomato, ale skoro ma vpn tzn. jest OK !!
Jakiś błąd gdzieś musi być. W jaki sposób sprawdzasz czy jest vpn czy isp ?
Mikrotik
|
| |
|
|
| wojtas29 |
Dodano 05-04-2015 18:04
|
User
Posty: 47
Dołączył: 01/09/2012 17:15
|
Sprawdzam zewnętrzne ip i robie speed test.
vpn mam do 20mb ISP 100mb |
| |
|
|
| lulo |
Dodano 05-04-2015 20:59
|
User
Posty: 150
Dołączył: 20/10/2010 11:31
|
Dokładnie mam podobną sytuację - dowolna konfiguracja openvpn (serwer/klient/tomto/openwrt/i.t.d.):
- po vpn zawsze nędza (przy UPC 250 po vpn-ie ledwo 10 Mb/s np. z serwerem na ubuntu 1Gb/s-symetryk) |
| |
|
' target='_blank'>Link
