29 Marca 2024 10:16:30
Nawigacja
· Strona Główna
· Forum

· Tomato by Shibby
· FreshTomato


Wątki na forum
Najnowsze dyskusje
· [Howto] Xpenology na...
· [MOD] Tomato64 (x86-64)
· [MOD] FreshTomato-AR...
· Optware na CIFS
· RT-AX56U - Status kl...
· Asus TUF-AX3000_V2 p...
· [MOD] FreshTomato-MI...
· Multiroom N z wykorz...
· [S] Asus RT-AC68U E1
· [S] ASUS RT-AC68U
· Rozłączanie klient...
· serwer VPN za wan'em
· Przejscie z dyndns f...
· WDR3600 i problem z WAN
· Jaki USB hub do syno...
· [S] Karta sieciowa Q...
· Asus rt-n18u port fo...
· Netflix dzielenie ko...
· Nextcloud konfigurac...
· Netgear WNR3500L
Najpopularniejsze obecnie wątki
· [MOD] FreshTomato... [869]
· [MOD] Tomato64 (x... [27]
· [Howto] Xpenology... [14]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
36% [151 głosów]

Broadcom ARM
Broadcom ARM
52% [216 głosów]

Atheros
Atheros
5% [22 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
1% [3 głosów]

Intel/AMD/VIA
Intel/AMD/VIA
1% [5 głosów]

Żaden z powyższych
Żaden z powyższych
4% [15 głosów]

Ogółem głosów: 416
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38
Twoje IP
18.205.59.250
Zobacz wątek
 Drukuj wątek
[HOWTO] OpenVPN klient + routing policy dla wybranych IP
dar3k
Konfiguracja OpenVPN jest dość prosta, potrzebujemy plik *.ovpn.

Założenia - działająca konfiguracja OpenVPN (np. gotowiec do pobrania od dostawcy VPN), tylko wybrane adresy IP mają mieć dostęp do VPN pozostali nie.
Plik z konfiguracją : moja_konfiguracja.ovpn (nazwa dowolna) edytujemy i dodajemy:


route-nopull

Pozwoli to nie przyjmować domyślnej konfiguracji routingu (cały ruch do VPN), a wykonać ją samemu.

Z konsoli dodajemy konfigurację OpenVPN:


set interfaces openvpn vtun0 config-file /config/auth/moja_konfiguracja.ovpn
set interfaces openvpn vtun0 description 'VPN_klient'

To samo można zrobić tak:
config tree -> Interfaces -> openvpn -> Add -> vtun0 -> Update list
klikamy na vtun0 i do ramki config-file wklejamy ścieżkę do pliku konfiguracji, a w pole description opis (wyświetla się w dashboard routera)

Oczywiście podajemy odpowiednią ścieżkę do pliku konfiguracji (najlepiej umieścić w /config/auth - katalog /config zostaje pobrany przy tworzeniu kopi zapasowej konfiguracji routera)

W zakładce dashboard powinniśmy zobaczyć nasze nowe połączenie i jego status oraz IP, dzięki opcji "route-nopull" nie będzie miało one jeszcze wpływu na pozostały ruch.

Teraz dodajemy NAT


configure
set service nat rule 5000 description openvpn
set service nat rule 5000 log disable
set service nat rule 5000 outbound-interface vtun0
set service nat rule 5000 protocol all
set service nat rule 5000 source address [b]Adres_IP/32[/b]
set service nat rule 5000 type masquerade
commit
save
exit

oraz firewall


configure
set firewall modify Modify_LAN_IN rule 1 action modify
set firewall modify Modify_LAN_IN rule 1 description 'Traffic from Computer to vtun0'
set firewall modify Modify_LAN_IN rule 1 modify table 1
set firewall modify Modify_LAN_IN rule 1 source address [b]Adres_IP/32[/b]
commit
save
exit


Dodajemy, którego interface zmiany mają dotyczyć


configure
set interfaces bridge switch0 firewall in modify Modify_LAN_IN
commit
save
exit

Uwaga, różne routery mają różnie rozwiązania czasem jest to br0, czasem switch0 więc należy podać odpowiedni dla siebie.
Od teraz podany adres IP ma dostęp do VPN, a cała reszta nie.

Aby zapobiec wyciekowi adresu IP jeżeli nie mamy zestawionego połączenia VPN należy dodać


configure
set protocols static table 1 route 0.0.0.0/0 blackhole distance 200
commit
save
exit


Można to samo wykonać również nie dla jednego adresu lecz całej grupy (identycznie jak opisane tutaj: https://openlinksys.info/forum/viewth...d_id=22455)
Wtedy zamiast


set service nat rule 5000 source address [b]Adres_IP/32[/b]
set firewall modify Modify_LAN_IN rule 1 source address [b]Adres_IP/32[/b]

Dajemy:


set service nat rule 5000 source address-group NAZWA
set firewall modify Modify_LAN_IN rule 1 source address-group NAZWA

ER-12 + 4x UAP-AC-PRO
 
man1
Wygląda to bardzo ciekawie, to jest odpowiedź na moje problemy które ciągle zmuszają mnie do rozłączania vpna.

Ale...

Jak rozumiem, komendy te należy wykonywać na jakimś linuxie, na którym dodajemy plik config.ovpn jako konfiguracje klienta OpenVPN?
 
shibby
@man1 - cały ten dział i opisywane w nim poradniki dotyczą rodziny roterów EdgeRouter od firmy Ubiquiti. Ewentualnie z racji pewnych podobieństw mogą być traktowane jako podpowiedź w przypadku konfiguracji sprzętu Unifi.

@dar3k - w przypadku korzystania z multiwana całość mocno się komplikuje, ponieważ wizard domyślnie w "interfaces bridge switch0 firewall in modify" ustawia politykę "balance", której ruszać nie możemy. Jeżeli ją zmienimy to wszystko raz działa, raz nie. Mówiąc wszystko mam na myśli np ping (jeden leci, drugi nie), przekierowania portów (raz działa raz nie), jak i sam internet...

Już to raz przerabiałem gdy potrzebowałem w konfiguracji multiwan (2 łacza w load-balance) zablokować jednemu userowi neta. Wszystkie opisy w necie piszą by właśnie nową politykę ustawić w modify in.... Ja musiałem ją tak przerobić by ustawić ją w modify out, a w modify in pozostawić balance.
Przerabiałem to tez u siebie w przypadku separacji ruchu między vlanami - tu również wszystkie opisy na necie mówią o zmianie polityki w modify in.

Oczywiście jeżeli mamy jedno łącze to ten problem nie występuje.
Proxmox VE: i7-7700T, 48GB RAM, 3x2TB SSD, 1x1TB SSD, 512GB NVMe, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology DS920+
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
 
dar3k

Cytat

shibby napisał(a):
@dar3k - w przypadku korzystania z multiwana całość mocno się komplikuje, ponieważ wizard domyślnie w "interfaces bridge switch0 firewall in modify" ustawia politykę "balance", której ruszać nie możemy. Jeżeli ją zmienimy to wszystko raz działa, raz nie. Mówiąc wszystko mam na myśli np ping (jeden leci, drugi nie), przekierowania portów (raz działa raz nie), jak i sam internet...

Już to raz przerabiałem gdy potrzebowałem w konfiguracji multiwan (2 łacza w load-balance) zablokować jednemu userowi neta. Wszystkie opisy w necie piszą by właśnie nową politykę ustawić w modify in.... Ja musiałem ją tak przerobić by ustawić ją w modify out, a w modify in pozostawić balance.
Przerabiałem to tez u siebie w przypadku separacji ruchu między vlanami - tu również wszystkie opisy na necie mówią o zmianie polityki w modify in.

Oczywiście jeżeli mamy jedno łącze to ten problem nie występuje.


Ja używam tylko jednego łącza (działa na tyle stabilnie, że wystarczy Smile Jeżeli używasz dwóch i to rozwiązanie też to dopisz jak zrobić dla multiWAN, pewnie komuś się przyda Smile
ER-12 + 4x UAP-AC-PRO
 
shibby
zmiana głównie polegała na tym że zamiast source IP wykorzystałem z destination IP. Czy tu takie rozwiązanie pomoże.. wątpię.

np można by sprawdzić czy ustawienie polityki na vtun0 out destination ip zamiast switch0 in source ip by zadziałało.
Proxmox VE: i7-7700T, 48GB RAM, 3x2TB SSD, 1x1TB SSD, 512GB NVMe, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology DS920+
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
 
evangelion69
Czy ten tutek działa z konfiguracjami NordVPN? Jak rozumiem mogę dodać kilka dresów IP które mają łączyć się za pomocą tunelu i tylko przez niego mają wyjście na świat. Kill switch też tu jest?
Mikrotiki
 
dar3k
Jest opisane co dodać aby zapobiec wyciekowi adresu IP gdy VPN zerwie (brak dostępu do WAN gdy nie ma połączenia do VPN), z nordVPN powinno działać jeżeli wspiera OpenVPN.
ER-12 + 4x UAP-AC-PRO
 
Przejdź do forum
Zaloguj
Wprowadź adres e-mail lub nazwę użytkownika

Hasło



Nie masz jeszcze konta? Zarejestruj się.

Zapomniałeś/aś hasła?
Aktualnie online
· Gości online: 8

· Użytkowników online: 0

· Łącznie użytkowników: 24,117
· Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.

tamtosiamto
28-03-2024 23:24
tak, tak zgadza sie, ale ja pytam o wykluczenie noda na guest network w first set, i to nie dziala

Adooni
24-03-2024 13:16
Guest network is currently designed to allow the first set of each band (2.4G, 5G, 5G-1) available to the AiMesh node

tamtosiamto
24-03-2024 03:03
ale w 1 jest opcja do wyboru - dla calej sieci albo rutera only i wlasnie o tym mowie, ze nie dziala

Adooni
23-03-2024 16:31
w dokumencie asusa jest ze wlasnie dla 1 ma dzialac na nodach tez

tamtosiamto
23-03-2024 15:39
tak, ale nie zmienia to faktu, ze w pierwszej nie dziala wylaczanie aimesh dla goscinnej( a powinno), czyli jest jakis bug. Mam start soft, bo to dsl-ac68 ktory nie jest juz updateowany

Adooni
22-03-2024 18:07
nie, 1 wsza bedzie wszedzie trzeba 2ga zrobic dla kazdego pasma te nie sa przenoszone

tamtosiamto
19-03-2024 19:57
czyli jak mam jedna siec goscinna to powinno dzialac separowanie gosci od noda -a nie dziala Smile

tamtosiamto
19-03-2024 19:50
@Adooni 'Only one set is available for 1 band' i tak mam-1 set dla 2.4ghz i 1 dla 5ghz-czy czegos nie rozumiemW drugiej sieci goscinnej nie ma opcji wyboru Ruter only/ All nodes

Adooni
19-03-2024 19:14
no to przeczytaj to 2 pod - 1 stet z kazdego pasma jest dopuszczony na nody. zrob 2 siec jako goscinna na danym pasmie i wtedy sprawdz

tamtosiamto
19-03-2024 14:17
@Adooni 'Guest network on AiMesh - Router only'

70,439,592 unikalnych wizyt