a sprawdź na skrosowanym kablu nie prostym ?

pokaż wynik polecenia przed i po restarcie routera (chodzi mi o zobaczenie jak się spiął ethernet w momencie zawieszenia łącza i po wpięciu wtyczki ponownie do routera)

swconfig dev rtl8366rb port 0 show

zobaczymy jak wynegocjował z modemem prędkość

a może zdalnie modem przestawili. Nowy dostawca nowe ustawienia kto wie. Może na stałe ustawili a nie na autonegocjację. Może problem z mdix ? Masz kabel prosty czy skrosowany ? Sprawdź na switchu przynajmniej będziesz wiedział gdzie problem

a więc tak

certyfikat clienta openvpn (router Stroze ) ma w polu CommonName wpis jak niżej:

CN=stroza.localhost

A więc na routerze Serafin (server openvpn) proszę utworzyć katalog ccd

mkdir /etc/openvpn/ccd

następnie w katalogu ccd tworzymy plik dokładnie o nazwie zdefiniowanej w certyfikacie clienta CN

touch /etc/openvpn/ccd/stroza.localhost

plik /etc/openvpn/ccd/stroza.localhost uzupełniamy następującą treścią:

ifconfig-push 10.0.1.5 10.0.1.6
iroute 192.168.2.0 255.255.255.0

Proszę zmodyfikować plik konfiguracyjny serwera openvpn Serafin

root@Serafin:~$ cat /etc/openvpn/openvpn.conf
dev tun
port 1194
proto udp
keepalive 10 120

persist-key
persist-tun

mode server

server 10.0.1.0 255.255.255.0
ifconfig-pool-persist /tmp/ipp.txt

verb 3

tls-server
route 192.168.2.0 255.255.255.0
push "route 10.0.1.0 255.255.255.0"
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.2.0 255.255.255.0"

client-to-client
client-config-dir ccd
ccd-exclusive

#logowanie
log-append /tmp/log/openvpn.log
status /tmp/log/openvpn.status

#certyfikaty
dh /etc/ssl/dh1024.pem
ca /etc/ssl/cacert.pem
cert /etc/ssl/servercert.pem
key /etc/ssl/private/serverkey.pem_wp

Konfigurację pliku openvpn na routerze Stroza zostawiamy bez zmian czyli

root@Stroza:~$ cat /etc/openvpn/openvpn.conf
client
dev tun
proto udp

remote 91.X.Y.Z 1194

persist-key
persist-tun

ca /etc/openvpn/cacert.pem
cert /etc/openvpn/strozacert.pem
key /etc/openvpn/strozakey.pem_wp

#logowanie
log-append /tmp/log/openvpn.log
status /tmp/log/openvpn.status

verb 3

po tych operacjach serwer openvpn wyśle odpowiednie trasy do clienta oraz u siebie odpowiednio ustawi
druga rzecz to to że klient openvpn będzie miał zawsze te same adresy
po trzecie jak chcemy dodać nową sieć np. nowy router to tworzymy nowy plik w katalogu ccd z nazwą z CommonName certyfikatu clienta (musi być nowy certyfikat dodatkowy) oraz z wpisami nowych adresów ip oraz trasy

np.
Mamy dodatkowy router nazwijmy to GURU o adresie jego sieci LAN 192.168.100.0/24. Nazwa w certyfikacie CommonName to
CN=guru
plik /etc/openvpn/ccd/guru winien zawierać

ifconfig-push 10.0.1.9 10.0.1.10
iroute 192.168.100.0 255.255.255.0

oraz do pliku openvpn.conf serwera Serafin dopisujemy dwa wiersze

route 192.168.100.0 255.255.255.0
push "route 192.168.100.0 255.255.255.0"

i to wszystko

wszystkie 3 podsieci (Serafin,Stroze,GURU) będą się widzieć nawzajem. Jak dołoży się jeszcze do tego zwykłego klienta openvpn np. z pod windows bez podsieci to też będzie miał routing do pozostałych podsieci

Jeszcze jedna sprawa firewall
na razie opisałem routing
pewnie będzie potrzeba na na routerach ustawienie czegoś podobnego

iptables -I FORWARD -i tun0 -o br-lan -j ACCEPT
iptables -I FORWARD -i br-lan -o tun0 -j ACCEPT

oraz dodatkowo na Serafinie (to dla przykładu 3 routerów)

iptables -I FORWARD --src 192.168.2.0/24 --dst 192.168.100.0/24 -j ACCEPT
iptables -I FORWARD --src 192.168.100.0/24 --dst 192.168.2.0/24 -j ACCEPT

ale to w praniu wyjdzie

po ustawieniu wszystkiego pokaż na obu routerach
route -n

dobra właśnie to u siebie odpaliłem może nie na openwrt ale przecież powinno działać

potrzebuje wiedzieć dokładnie co pisze w polu CN certyfikatu dla clienta (za Subject:)
/etc/openvpn/strozacert.pem
a najlepiej wklej cały wiersz za "Subject:"

jak będę to miał to wyrzucę gotowe konfigi

Acha firewalla nie ruszamy na razie to się zrobi po routiungu

Ps. bez obrazy ale tomi513 nie wie co pisze a w zasadzie to nie rozumie routingu nat i w ogóle jak to działa i z czym się to je
Kolego @tomi513 trochę się należy podszkolić w sieciach a dopiero radzić co i jak a nie strzelać na ślepo.

pokaż jeszcze trasę z Serafina

potem dodaj ręcznie na Serafinie po utworzeniu tunelu

route add -net 192.168.2.0 netmask 255.255.255.0 gw 10.0.1.6

i daj jeszcze raz route -n

zobacz czy po dodaniu trasy ręcznie zabangla

jeśli tak to możemy wykorzystać po stronie serwera skrypty up i down

jeśli nie to będziemy szukać przyczyny
musi działać

Trochę zamieszamy aby było po mojemu (czyli tak jak winno być w openwrt)
usuń swoje poniższe wpisy wpisy

root@Serafin:~$ cat /etc/init.d/routing
#!/bin/sh /etc/rc.common
# routing potrzebny do komunikacji pomiedzy hostami w VPN

START=99

start() {
        sleep 100
        route add -net 192.168.2.0 netmask 255.255.255.0 gw 10.0.1.2
}

root@Stroza:~$ cat /etc/init.d/routing
#!/bin/sh /etc/rc.common
# routing potrzebny do komunikacji pomiedzy hostami w VPN

START=99

start() {
        sleep 150
        route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.0.1.5
}

a zamiast nich dodaj do pliku /etc/config/network
WRT160NL-serwer, hostname Serafin:

config 'route'
        option 'interface' 'lan'
        option 'target' '192.168.2.0'
        option 'netmask' '255.255.255.0'
        option 'gateway' '10.0.1.6'
        option 'metric' '1'

       
oraz do pliku /etc/config/network
WRT160NL, hostname Stroza:

config 'route'
        option 'interface' 'lan'
        option 'target' '192.168.1.0'
        option 'netmask' '255.255.255.0'
        option 'gateway' '10.0.1.1'
        option 'metric' '1'

       
potem restart routerów

Tymi wpisami zamieniliśmy twoje ręczne na te które normalnie działają w openwrt
Krótko mówiąc zrobiliśmy porządek no i poprawiłem gateway po obu stronach

poproszę teraz po restarcie logi z obu routerów

route -n

zobaczymy jak się trasy poustawiały i czy poprawnie

nadal twierdzę, że nat nie jest potrzebne przy tego typu sieci. Robiłem to nie raz i działa na więcej jak dwóch routerach.
bez sensu jest używać przekierowań między dwoma swoimi podsieciami prywatnymi. Ale cóż jak tak dla Ciebie lepiej to dobrze. Ja temat odpuszczam.

no coś chyba zagmatwałeś bo
garygole to openwrt więc jest br-lan a nie br0 chyba ?
po drugie niepotrzebnie używasz MASQUERADE w przypadku routingu nie ma takiej - można go wyłączyć dla ruchu między własnymi sieciami

powinno wystarczyć na obu routerach

iptables -I FORWARD -i br-lan -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br-lan -j ACCEPT
iptables -t nat -I PREROUTING -i br-lan -o tun0 -j ACCEPT

mam pytanie czy naprawdę musisz to przez nat robić ? nie wystarczy zwykły routing ?
Masz dwie podsieci LAN1 i LAN2 aż się prosi o zrobienie routingu
żadnych przekierowań, brak bridge, itd.
Klienci jednej sieci mają dostęp do drugiej i viceversa i chyba o to Ci w ogóle chodzi ?

może inaczej

trochę z linka
http://rpc.one.pl/index.php/lista-artyk … od-openwrt
przykład 4

oraz ja bym tu dodatkowo spróbował skonfigurować proxyigmp i wtedy teoretycznie da się obejrzeć iptv

trochę tu masz
http://eko.one.pl/forum/viewtopic.php?id=1309

dziwne pytania zadajesz
schemat z adresacją bo zagmatwałeś to wszystko

dla mnie to kombinujesz jak tylko RDP. Dodaj do interfejsu WAN alias z drugim adresem IP publicznym (bo rozumiem, że potrzebujesz mieć na innym adresie ip RDP) i zrób forward jednego portu na LAN i tyle.