Cześć, mam problem i nei mogę sobie poradzić do rzeczy:
server 192.168.44.0/24
client 1 192.168.2.0/24 openvpn 10.8.2.x
client 2 192.168.3.1 openvpn 10.8.1.x
Konfiguracja na static key ( wiem ujnia ale ograniczenie unifi)
I teraz do rzeczy: z servera pingam sieć client1 całą
z client2 pingam sieć client 1 i sieć za serverem
ale za diabła nie mogę zrobić by z servera lub client1 pingnąć komputery w sieci2
sieć2 jest postawiona na asusie tomato freshtomato-arm 2022.5
firewall automatic
create nat on tunnel aktywny
inbound firewall aktywny
redirect internet trafic: routing policy
routing to destination IP 192.168.2.0/24 aktywne
routing to destination IP 192.168.44.0/24 aktywne
Tracing route from 192.168.2.2 to 192.168.3.2 over a maximum of 30 hops
1 <1 ms <1 ms <1 ms 192.168.2.1
2 4 ms 5 ms 4 ms 10.8.2.1
3 71 ms 66 ms * 10.8.1.2
4 * ^C
Tomato route -n
192.168.8.1 0.0.0.0 255.255.255.255 UH 0 0 0 eth2
10.8.1.1 0.0.0.0 255.255.255.255 UH 0 0 0 tun11
10.8.2.0 10.8.1.1 255.255.255.0 UG 0 0 0 tun11
192.168.3.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
192.168.2.0 10.8.1.1 255.255.255.0 UG 0 0 0 tun11
192.168.44.0 10.8.1.1 255.255.255.0 UG 0 0 0 tun11
192.168.8.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 192.168.8.1 0.0.0.0 UG 0 0 0 eth2
root@unknown:/tmp/home/root#
root@unknown:/tmp/home/root# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
DROP all -- anywhere wan1-ip
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
shlimit tcp -- anywhere anywhere tcp dpt:ssh state NEW
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere icmp echo-request state NEW,RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere icmptype 30 state NEW,RELATED,ESTABLISHED
ACCEPT udp -- anywhere anywhere udp dpts:33434:33534
ACCEPT tcp -- anywhere anywhere tcp dpt:webcache
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
Chain FORWARD (policy DROP)
target prot opt source destination
all -- anywhere anywhere account: network/netmask: 192.168.3.0/255.255.255.0 name: lan
ACCEPT all -- anywhere anywhere
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT esp -- anywhere anywhere
ACCEPT ah -- anywhere anywhere
ACCEPT udp -- anywhere anywhere udp dpt:500
ACCEPT udp -- anywhere anywhere udp dpt:4500
wanin all -- anywhere anywhere
wanout all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
Nic nie dało wyłączenie inbound. Zapamiętał prawdopodobnie jakieś śmieci po wyłączeniu.
Pomogło
1. reset totalny z wgraniem asusaowego softu i ponowne wgranie tomatoo (upgrade z czyszczeniem nvmram nie dało rady)
2. kombinacje z routingami:
a. routing policy w tomato vpn client
b. scripts > firewall dodanie tras routing, ponieważ push route z serwera nei do końca działa.
Generalnie bangla w chwili obecnej: sieć 44.x która jest za serwerm vpn sieć2.x klient nuemr 1 z UDM pro i sieć 3.x za tomato
Scalony z 03 grudnia 2022 13:52:50:
no dobra ale wraca drugi problem. Jeżeli z jakiegoś powodu serwer zerwie połączenie z freshtomato (client) wtedy próbuje reconnect i gdy nawiąże z sukcesem, znika tablica routingu. Jak zaloguję się do terminala musze ręcznie dodać route add -net 192.168.2.0 netmask 255.255.255.0 gw 10.8.0.1
192.168.2.0 - siec po 2 stronie tunelu
10.8.0.1 routing na serwerze.
Ktoś pomoże jak to zautomatyzowac zeby samemu się podnosiło ?
Po restarcie routera dodałem w script/firewall
Edytowany przez niqu1982 dnia 03-12-2022 13:52
· Łącznie użytkowników: 24,115 · Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.
Maniek91PL
06-11-2024 22:37
dzięki !
maxikaaz
29-10-2024 14:27
@Maniek91PL - Administration=> Admin Access, i tam masz "Allow Wireless Access" do zaznaczenia
Maniek91PL
26-10-2024 22:07
siemka! ktoś przypomni co się ustawiało jeśli nie mogę wejść od strony wifi do tomato? od lan działa
overflow2
04-10-2024 17:34
Kupowałem Asusy n10u albo n12d1 ale nie widzę ich, chyba już nie produkują, Chodzi o coś nowego i taniego. Transfery niewielkie.
maxikaaz
04-10-2024 09:38
@overflow2 patrząc po dostępności funkcji w nowych kompilacjach, to chyba nawet WRT54G/GL jeszcze ma OpenVPN, albo jakiś odpowiednik... zależy, na jakie transfery liczysz.
overflow2
30-09-2024 20:53
Jaki aktualnie najtańszy router do tomato do openvpn?
maxikaaz
27-07-2024 15:07
@servee - na początek router do rozebrania i obejrzenia, ciężko wróżyć tak tylko po objawach
maxikaaz
27-07-2024 14:55
@servee - cały kontroler nie pada tak sobie z powodu "zbiegu okoliczności", więc prawdopodobnie gdzieś przepięcie.
servee
25-07-2024 13:33
@maxikaaz: działało, aż pewnego pięknego dnia przestało działać. W tym dniu była też burza, ale to raczej zbieg okoliczności.
maxikaaz
25-07-2024 11:38
@servee - o ile problem jest w obrębie samych wyjść (dławiki, warystory), to naprawialne, ale jeśli w samym SoC - to nienaprawialne ze względu na koszta. A co było przyczyną?
' target='_blank'>Link
