|
Dwa routery i VPN
|
| kanguros |
Dodano 24-09-2016 20:16
|
User
Posty: 9
Dołączył: 24/09/2016 19:53
|
Witam Wszystkich,
bardzo potrzebuje pomocy w ustawieniu tablicy routingu na moim routerze. O to struktura mojej sieci:
Router UPC -> Router Asus + VPN
Router UPC rodziela IP z puli 192.168.1.50-255 i ma IP 192.168.1.1. Router Asusa jest do niego podlaczony kablem z portu LAN(br0) do wejscia jednego z 4 portow LAN. Ustawiony ma na stale IP 192.168.1.3 oraz brame 192.168.1.1. Calym DHCP zarzadza router z UPC. Dodatkowo na routerze UPC jest wystawiony na zewnatrze (DMZ) ip routera Asus (192.168.1.3).
Na Asusie jest uruchomiony server VPN. Ponizej ustawienia serwera:
Tutaj config clienta:
remote ip_serwera 8081
client
dev tun
proto tcp
resolv-retry infinite
nobind
comp-lzo
persist-key
persist-tun
float
route-method exe
route-delay 2
ca ca.crt
cert client1.crt
key client1.key
ns-cert-type server
Na Asusie mam takie interfejsy: br0 oraz tun21
Na Asusie aktualnie mam zainstalowane oprogramowanie od shibbiego: Tomato Firmware 1.28.0000 -131 K26ARM USB AIO-64K
Jakie wpisy IPTABLES mam dodac do Administration->Scripts->Firewall, by klienci mieli dostep do internetu oraz urzadzen z puli IP 192.168.1.1-255. Zalezy mi na tym,by caly ruch
klienta szedl przez moj router. Bardzo Was prosze o pomoc. Na pewno rozwiazanie jest proste, ale niestety nie posiadam w tej kwestii wystarczajacej wiedzy 
Czy po zapisaniu w Panelu Administration->Scripts->Firewall wpisu IPTABLES musze restartowac usluge VPN na serwerze? Czy od razu polaczony klient przez VPN bedzie te ustawienia mial dostepne?
Połączony z 26 wrzesień 2016 12:22:12:
Dolaczam zdjecia ustawien serwera, bo cos sie nie wyswietlaja.
kanguros załączono następujące plik:
Nie masz uprawnień, by zobaczyć załączniki w tym wątku.
|
| |
|
|
| smereka |
Dodano 26-09-2016 15:00
|
User
Posty: 112
Dołączył: 26/01/2012 23:45
|
Na tym portalu masz sporo poradników, poczytaj troszkę poszperaj. Tak na szybko to jak chcesz postawić na tym server vpn to musisz mieć na Asusie publiczny adres IP (stały czy dynamiczny z użyciem DDNS to już Twój wybór). Ewentualnie DMZ lub przykierowanie portów jeśli się da na tym czymś co daje UPC. Rozpocznij od podstawowej lektury |
| |
|
|
| kanguros |
Dodano 26-09-2016 15:09
|
User
Posty: 9
Dołączył: 24/09/2016 19:53
|
Serwer mi dziala. Wszystko smiga, tylko chcialem przekierowac caly ruch z klienta przez moj serwer. Tylko o to sie tu rozchodzi. Potrzebuje tylko wpisy do tablicy routingu. |
| |
|
|
| Gomi |
Dodano 26-09-2016 16:26
|
User
Posty: 89
Dołączył: 27/07/2010 15:10
|
W tym poście https://openlinksys.info/forum/viewth...d_id=20423 opisałem jak ustawić OVPN na tomato z TUN i aby był bramą dla klientów. Powinno Ci pomóc.
Przy okazji pytanie, czy masz coś wpięte do WAN, że zająłeś switcha? Może tomato nie potrafi przy takiej konfiguracji dopisać prawidłowo routingu dla ovpn.
Czy możesz modem/router UPC przestawić w tryb bridge, tak aby Asus dostał public IP?
Edytowany przez Gomi dnia 26-09-2016 16:40
|
| |
|
|
| kanguros |
Dodano 26-09-2016 20:36
|
User
Posty: 9
Dołączył: 24/09/2016 19:53
|
Ten nowy router UPC co reklamuja w TV ma mozliwosc pracy w trybie modemu. Jednak chcialem uzywac jego WIFI do komputerow w domu,bo ma mocniejsze anteny. Router Asusa ma reszte uslug, ktorych uzywam www,ftp, vpn, itd. Wszystko dziala oprocz tego przekierowania calego ruchu od klienta przez moj server vpn. Jak odznacze opcje "Direct clients to
redirect Internet traffic" to internet na kliencie dziala, ale na IP routera z UPC nie da rady sie wbic, czyli 192.168.1.1.
Połączony z 26 wrzesień 2016 21:00:51:
Teraz mam podpiety kabel z routera UPC do Asusa przez WAN. Dolaczam screen konfiguracji.
kanguros załączono następujące plik:
Nie masz uprawnień, by zobaczyć załączniki w tym wątku.
Edytowany przez kanguros dnia 26-09-2016 21:00
|
| |
|
|
| Steel_Rat |
Dodano 26-09-2016 21:02
|
OL Maniac
Posty: 1831
Dołączył: 29/05/2011 22:24
|
To w końcu działa ci przekierowanie ruchu przez swoją sieć czy nie. Jak działa a tylko nie można się zalogować do routera to chyba tak musi być.
Niestety idealnie i prosto było by tak jak pisali wcześniej. Router UPC w tryb bridge. Podpiąć go pod WAN Asusa. Resztę ustawić na Asusie...
To jak masz teraz ustawione nic nie zmienia. WAN masz zmostkowany z LAN.
WRT3200ACN (WRT32X) + OpenWRT 18.06+światełko 150/150 Mb/s
Asus RT-AC68UvE1 + RMerlin + Entware
Netgear WNR3500Lv2 + DDWRT
|
| |
|
|
| kanguros |
Dodano 26-09-2016 21:13
|
User
Posty: 9
Dołączył: 24/09/2016 19:53
|
Dzisiaj jeszcze inaczej probowalem ustawic prace tych urzadzen. Teraz kabel mam podpiety z UPC do Asusa przez WAN (tak jak na dolaczonym screenie wczesniej). Teraz Asus zarzadza DHCP. Nadal klient VPN nie ma wyjscia na swiat przy zaznaczonej opcji "Direct clients to
redirect Internet traffic". Moge tylko wbic sie na ip Asusa 192.168.1.3. IP routera UPC 192.168.1.1 w ogole nie odpowiada. |
| |
|
|
| Steel_Rat |
Dodano 26-09-2016 21:18
|
OL Maniac
Posty: 1831
Dołączył: 29/05/2011 22:24
|
Nie tak... Masz w configu zaznaczoną opcję Bridge WAN to LAN. Nie masz sterowania na tomato. Spróbuj tak do celów testowych.
Odznacz opcje "Bridge WAN to LAN". Ustaw na WAN ip 192.168.1.3. gateway i dns 192.168.1.1. Na LAN Asusa ip 192.168.2.1. I zobacz czy bęzie to działać. Do UPC nie powinieneś się dalej zalogować ale może ruch będzie przechodził przez Asusa.
WRT3200ACN (WRT32X) + OpenWRT 18.06+światełko 150/150 Mb/s
Asus RT-AC68UvE1 + RMerlin + Entware
Netgear WNR3500Lv2 + DDWRT
|
| |
|
|
| kanguros |
Dodano 26-09-2016 21:46
|
User
Posty: 9
Dołączył: 24/09/2016 19:53
|
Cytat Steel_Rat napisał(a):
Nie tak... Masz w configu zaznaczoną opcję Bridge WAN to LAN. Nie masz sterowania na tomato. Spróbuj tak do celów testowych.
Odznacz opcje "Bridge WAN to LAN". Ustaw na WAN ip 192.168.1.3. gateway i dns 192.168.1.1. Na LAN Asusa ip 192.168.2.1. I zobacz czy bęzie to działać. Do UPC nie powinieneś się dalej zalogować ale może ruch będzie przechodził przez Asusa.
Teraz tak ustawilem jak pisales. Net na normalnych klientach WIFI dziala i moge sie wbic nawet na router UPC z IP 192.168.1.1. Ale klient vpn nadal nie ma wyjscia na swiat, zadna strona sie nie otwiera. Dolaczam jeszcze 2 zrzuty ustawien.
kanguros załączono następujące plik:
Nie masz uprawnień, by zobaczyć załączniki w tym wątku.
|
| |
|
|
| Steel_Rat |
Dodano 26-09-2016 21:58
|
OL Maniac
Posty: 1831
Dołączył: 29/05/2011 22:24
|
Daj z rzuty jak teraz masz ustawionego Asusa.
Zależy mi na zakładce Basic -> Networks.
WRT3200ACN (WRT32X) + OpenWRT 18.06+światełko 150/150 Mb/s
Asus RT-AC68UvE1 + RMerlin + Entware
Netgear WNR3500Lv2 + DDWRT
|
| |
|
|
| kanguros |
Dodano 26-09-2016 22:01
|
User
Posty: 9
Dołączył: 24/09/2016 19:53
|
Ustawienie w ten sposob co pisales powoduje,ze po podlaczeniu do WIFI z UPC nie przydziela mi IP z DHCP ASUSA ( bo chyba rozne podsieci sa).
Połączony z 26 wrzesień 2016 22:04:05:
Tylko przypomne,ze chcialem korzystac z WIFI z routera UPC, bo ma mocniejszy sygnal niz Asus. Ten drugi ma zarzadzac DHCP.
kanguros załączono następujące plik:
Nie masz uprawnień, by zobaczyć załączniki w tym wątku.
Edytowany przez kanguros dnia 26-09-2016 22:04
|
| |
|
|
| Gomi |
Dodano 27-09-2016 07:50
|
User
Posty: 89
Dołączył: 27/07/2010 15:10
|
Skoro Router UPC ma dawać WiFi i być DHCP'em to zrób tak jak już miałeś wcześniej.
Router UPC --kabel--> WAN Asus
Na asusie ustaw bridge WAN to LAN. Wyłącz DHCP na Asus.
W tym momencie sprawdź, czy klienci Asusa (po kablu) dostają IP nadane przez router UPC i czy mają internet. Jeśli tak to pokaż jak wygląda routing na Asus i pokaż trace route z podłączonego klienta OVPN do jakiegoś serwera w internecie. Przy okazji zrób też trace do routera UPC. Zobaczmy gdzie Ci ucina. |
| |
|
|
| kanguros |
Dodano 27-09-2016 11:56
|
User
Posty: 9
Dołączył: 24/09/2016 19:53
|
Cytat Gomi napisał(a):
Skoro Router UPC ma dawać WiFi i być DHCP'em to zrób tak jak już miałeś wcześniej.
Router UPC --kabel--> WAN Asus
Na asusie ustaw bridge WAN to LAN. Wyłącz DHCP na Asus.
W tym momencie sprawdź, czy klienci Asusa (po kablu) dostają IP nadane przez router UPC i czy mają internet. Jeśli tak to pokaż jak wygląda routing na Asus i pokaż trace route z podłączonego klienta OVPN do jakiegoś serwera w internecie. Przy okazji zrób też trace do routera UPC. Zobaczmy gdzie Ci ucina.
Sprawdze jak wroce z pracy czy podpinajac sie przez WIFI udostepnionym na Asusie bede mial dostep do netu, ale wydaje mi sie,ze tak bo wczesniej zdaje sie,ze to testowalem. W tej chwili dolaczam tablice routingu na Asusie, oraz trace route klienta OVPN do strony wp.pl oraz ip Asusa. Niestety sa nieosiagalne. Dolaczylem tez tablice routingu na kliencie OVPN i ustawienia DNS na Asusie na wszelki wypadek.
Połączony z 27 wrzesień 2016 20:11:53:
Klienci połączeni przez wifi do Asusa przez jego AP mają wyjście na świat.
kanguros załączono następujące plik:
Nie masz uprawnień, by zobaczyć załączniki w tym wątku.
Edytowany przez kanguros dnia 27-09-2016 20:11
|
| |
|
|
| Gomi |
Dodano 27-09-2016 20:38
|
User
Posty: 89
Dołączył: 27/07/2010 15:10
|
Spróbuj dopisać taką regułę na Asus i zobacz czy będzie działać.
iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE |
| |
|
|
| kanguros |
Dodano 27-09-2016 20:58
|
User
Posty: 9
Dołączył: 24/09/2016 19:53
|
Cytat Gomi napisał(a):
Spróbuj dopisać taką regułę na Asus i zobacz czy będzie działać.
iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE
Czy po wpisaniu w Firewall tego wpisu wystarczy nacisnąć Save, żeby ta reguła zaczęła działać, czy jeszcze coś? Po save klient vpn nadal nie ma wyjścia na świat i nie widzi Asusa. |
| |
|
|
| Gomi |
Dodano 27-09-2016 21:25
|
User
Posty: 89
Dołączył: 27/07/2010 15:10
|
Komendę mogłeś odpalić w Tools > System Commands.
Hm dopisz jeszcze w routing taką regułę jak na załączonym obrazku.
Jak się nic nie zmieni, to może znajdzie się jakiś lepszy fachowiec.
Gomi załączono następujące plik:
Nie masz uprawnień, by zobaczyć załączniki w tym wątku.
|
| |
|
|
| kanguros |
Dodano 27-09-2016 21:27
|
User
Posty: 9
Dołączył: 24/09/2016 19:53
|
Iptables list z Asusa.
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:tproxy
ACCEPT tcp -- anywhere anywhere tcp dpts:1023:1025
ACCEPT tcp -- anywhere anywhere tcp dpts:60000:61000
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
shlimit tcp -- anywhere anywhere tcp dpt:ssh state NEW
shlimit tcp -- anywhere anywhere tcp dpt:snpp state NEW
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:snpp
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere tcp dpt:51515
ACCEPT tcp -- anywhere anywhere tcp dpt:www
ACCEPT tcp -- anywhere anywhere tcp dpt:81
ACCEPT tcp -- anywhere anywhere tcp dpt:4044
ACCEPT tcp -- anywhere anywhere tcp dpt:51515
ACCEPT udp -- anywhere anywhere udp dpts:sip:sip-tls
ACCEPT udp -- anywhere anywhere udp dpt:3478
ACCEPT udp -- anywhere anywhere udp dpt:iax
ACCEPT udp -- anywhere anywhere udp dpt:5036
ACCEPT tcp -- anywhere NETGEAR tcp dpt:51413
ACCEPT tcp -- anywhere NETGEAR tcp dpt:51414
ACCEPT udp -- anywhere anywhere udp dpts:60000:61000
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT tcp -- anywhere anywhere tcp dpts:64000:64100
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
TCPMSS tcp -- anywhere anywhere tcpflags: SYN,RST/SYN TCPMSS clamp to PMTU
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain shlimit (2 references)
target prot opt source destination
all -- anywhere anywhere recent: SET name: shlimit side: source
DROP all -- anywhere anywhere recent: UPDATE seconds: 60 hit_count: 4 name: shlimit side: source
Połączony z 27 wrzesień 2016 21:42:39:
Cytat Gomi napisał(a):
Komendę mogłeś odpalić w Tools > System Commands.
Hm dopisz jeszcze w routing taką regułę jak na załączonym obrazku.
Jak się nic nie zmieni, to może znajdzie się jakiś lepszy fachowiec.
Przy probie wpisania tego statycznego routingu z 192.168.1.1 dostaje Invalid IP address :(
Połączony z 06 październik 2016 20:45:41:
Ktos pomoze??? Pleaseee
Edytowany przez kanguros dnia 06-10-2016 20:45
|
| |
|
' target='_blank'>Link
