Nie jesteś zalogowany. Proszę się zalogować lub zarejestrować.
eko.one.pl → Posty przez manmartin
Witam
Chciałem zainstalować Openwrt w DGN2200 do obsługi TOR + VPN, najlepiej czysty soft bez GUI.
Zdziwił mnie fakt, że mało gdzie można znaleźć soft do tego routera. Znalazłem Openwrt i MODFS, nie zależy mi na DSL, ma jednie działać modem na USB.
Można dopasować jakiś soft z eko.one pod tą płytę tak, żeby działo wszystko poza dsl? Jeśli nie to co jest godne polecenia? Najbardziej by mi pasowała instalacja przez sysupgarde, ponieważ nie mam nic rs232 na ten moment.
Potrzebuje router do LTE, ale w dosyć zaawansowanej konfiguracji - ma działać na nim TOR (ewentualnie TOR+VPN przez Openvpn) i ruch kierować przez modem LTE. Zdaję sobie sprawę, że potrzebuje dosyć mocnego routera z większą ilością pamięci RAM i flash. Modem może być jako dodatkowy albo wbudowany, obojętne. Jeśli ma to być dodatkowy modem prosiłbym o pomoc w wyborze, kiedyś miałem problemy z Huawei Hilink E5573 i ZTE MF821, więc teraz chciałbym wybrać taki, żeby dobrze razem pracowało...
WiFi 5GHz nie jest mi potrzebne, porty 1Gbps też nie.
Fajnie byłoby jeśli ten zestaw zmieściłby się w 200zł, ale może być ciężko.
Może lepiej będzie to rozwiązać na jakiejś płytce pod debianem?
Robiłem testy na MR3420 z TOR, ale jedynie ping działa, widać ma problem z DNS i przepustowością. Ping leci, stronki nie jest w stanie otworzyć.
Dobra już chyba wiem co jest grane.
Miałem taką sama sytuację z AP który miał wpisaną stara bramę.
Pomogła zmiana bramy na access poincie gateway na 10.0.0.1 (parę dni temu stał jeszcze router 10.0.0.254), jedynie zastanawia mnie fakt czemu ze złym gateway nie działa? skoro pakiet i tak trafia do 10.0.0.1 które forewarduje do 95.171.197.XX
W takim razie muszę - skoro 192.168.1.1 ma tunel przez który lecą pakiety tylko do 10.0.0.0/24 (reszta leci od razu do neta) - dodać jeszcze routing do 95.171.197.00/24 przez tunel ?
Racja, pomyliłem z OpenWRT, a to jest debian.
Wywaliłem i dalej nic to nie dało.
Mam już połączony serwer bez routera, routing jest, nat śmiga pięknie. po dodaniu do firewall tego
iptables -t nat -A PREROUTING -i eth3 -p tcp -d 10.0.0.1 --dport 9000 -j DNAT --to 192.168.1.10:9000
iptables -t nat -A PREROUTING -i eth3 -p tcp -d 10.0.0.1 --dport 9001 -j DNAT --to 192.168.1.1:80
iptables -t nat -A PREROUTING -i eth3 -p tcp -d 10.0.0.1 --dport 9002 -j DNAT --to 192.168.1.10:80
iptables -A FORWARD -i lan -o vpn -j ACCEPT
iptables -A FORWARD -i vpn -o lan -j ACCEPT
iptables -t nat -A PREROUTING -i eth2 -p tcp -d 95.171.197.81 --dport 9000 -j DNAT --to 192.168.1.10:9000
iptables -t nat -A PREROUTING -i eth2 -p tcp -d 95.171.197.81 --dport 9001 -j DNAT --to 192.168.1.1:80
iptables -t nat -A PREROUTING -i eth2 -p tcp -d 95.171.197.81 --dport 9002 -j DNAT --to 192.168.1.10:80Jest dostęp tylko z Lan do monitoringu, ale z Wan już nie.
Oto cały firewall (do testów wywaliłem wszystko co mogłoby blokować, ale to nic nie dało)
# wlaczenie w kernelu forwardowania
/bin/echo 1 > /proc/sys/net/ipv4/ip_forward
# Ochrona przed atakiem typu Smurf
/bin/echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Nie aktceptujemy pakietow "source route"
/bin/echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
# Nie przyjmujemy pakietow ICMP rediect, ktore moga zmienic tablice routingu
/bin/echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
# Wlaczamy ochrone przed blednymi komunikatami ICMP error
/bin/echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
# Wlaczenie mechanizmu wykrywania oczywistych falszerstw
# (pakiety znajdujace sie tylko tablicy routingu)
/bin/echo 65536 > /proc/sys/net/ipv4/netfilter/ip_conntrack_max
/bin/echo 36024 > /proc/sys/net/ipv4/tcp_max_syn_backlog
# zwiekszenie rozmaru tablicy ARP
/bin/echo 1024 > /proc/sys/net/ipv4/neigh/default/gc_thresh1
/bin/echo 4096 > /proc/sys/net/ipv4/neigh/default/gc_thresh2
/bin/echo 8192 > /proc/sys/net/ipv4/neigh/default/gc_thresh3
# Blokada przed atakami typu SYN FLOODING
/bin/echo 1 > /proc/sys/net/ipv4/tcp_syncookies
# WĹ‚aczenie proxy arp - dzieki temu serwer nie zdycha po kilku
#/bin/echo 1 > /proc/sys/net/ipv4/conf/all/arp_filter
# Zwiekszenie rozmiarutablic routingu
/bin/echo "18192" > /proc/sys/net/ipv4/route/max_size
# czyszczenie starych regul
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
iptables -t mangle -F
iptables -t mangle -X
# ustawienie domyslnej polityki
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j DROP
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j DROP
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -j DROP
# utrzymanie polaczen nawiazanych
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
# udostepniaie internetu w sieci lokalnej
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -j MASQUERADE
iptables -A FORWARD -s 10.0.0.0/24 -j ACCEPT
iptables -t nat -A PREROUTING -i eth3 -p tcp -d 10.0.0.1 --dport 9000 -j DNAT --to 192.168.1.10:9000
iptables -t nat -A PREROUTING -i eth3 -p tcp -d 10.0.0.1 --dport 9001 -j DNAT --to 192.168.1.1:80
iptables -t nat -A PREROUTING -i eth3 -p tcp -d 10.0.0.1 --dport 9002 -j DNAT --to 192.168.1.10:80
iptables -A FORWARD -i lan -o vpn -j ACCEPT
iptables -A FORWARD -i vpn -o lan -j ACCEPT
iptables -t nat -A PREROUTING -i eth2 -p tcp -d 95.171.197.81 --dport 9000 -j DNAT --to 192.168.1.10:9000
iptables -t nat -A PREROUTING -i ppp0 -p tcp -d 95.171.197.81 --dport 9001 -j DNAT --to 192.168.1.1:80
iptables -t nat -A PREROUTING -i ppp0 -p tcp -d 95.171.197.81 --dport 9002 -j DNAT --to 192.168.1.10:80Połączenie Wan zrealizowane jest za pomocą PPPoE, jako interfejs WAN mam podać eth2 czy ppp0?
/etc/init.d$ ifconfig
eth2 Link encap:Ethernet HWaddr 90:2b:34:d5:32:91
inet6 addr: fe80::922b:34ff:fed5:3291/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:22017 errors:0 dropped:0 overruns:0 frame:0
TX packets:13523 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:21948453 (20.9 MiB) TX bytes:1845039 (1.7 MiB)
Interrupt:41
eth3 Link encap:Ethernet HWaddr ec:08:6b:02:ad:d5
inet addr:10.0.0.1 Bcast:10.0.0.255 Mask:255.255.255.0
inet6 addr: fe80::ee08:6bff:fe02:add5/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:16850 errors:0 dropped:0 overruns:0 frame:0
TX packets:24341 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1952418 (1.8 MiB) TX bytes:21332901 (20.3 MiB)
Interrupt:40
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:172 errors:0 dropped:0 overruns:0 frame:0
TX packets:172 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:20132 (19.6 KiB) TX bytes:20132 (19.6 KiB)
ppp0 Link encap:Point-to-Point Protocol
inet addr:95.171.197.81 P-t-P:10.161.1.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1480 Metric:1
RX packets:21072 errors:0 dropped:0 overruns:0 frame:0
TX packets:13461 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:21161817 (20.1 MiB) TX bytes:1544997 (1.4 MiB)
tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.8.0.1 P-t-P:10.8.0.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:1861 errors:0 dropped:0 overruns:0 frame:0
TX packets:1559 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:522900 (510.6 KiB) TX bytes:231835 (226.4 KiB)Jak zmodyfikować firewall żeby normalnie można było wystawiać porty na zewnątrz?
Próbowałem wystawić inny host z sieci LAN i to samo...
Próbowałem też tego
Spróbuj dodać wpisy z przełącznikiem -I zamiast -A albo wywal -d 10.0.0.1
i dalej to samo...
Skończyło się na wywaleniu routera na tranceiver i serwer jest jako router zewnętrzny.
Zobaczę jak będzie po nowej konfiguracji.
Dzięki za pomoc
Adres "10.8.0.2" na końcu polecenia route to adres IP interfejsu tun0 po stronie klienta?
Pojawił się problem z routingiem za nat'em - serwer ma IP lokalne 10.0.0.1 i tak skonfigurowane IPTABLES:
iptables -t nat -A PREROUTING -i eth2 -p tcp -d 10.0.0.1 --dport 9000 -j DNAT --to 192.168.1.10:9000
iptables -t nat -A PREROUTING -i eth2 -p tcp -d 10.0.0.1 --dport 9001 -j DNAT --to 192.168.1.1:80
iptables -t nat -A PREROUTING -i eth2 -p tcp -d 10.0.0.1 --dport 9002 -j DNAT --to 192.168.1.10:80
iptables -A FORWARD -i lan -o vpn -j ACCEPT
iptables -A FORWARD -i vpn -o lan -j ACCEPTW sieci lokalnej mam dostęp po wpisaniu 10.0.0.1:9001 do routera, ale po przekierowaniu portu na moim zewnetrznym routerze nie ma dostępu z zewnątrz, reguła dodana tak samo jak inne które dobrze działają.
Jakieś pomysły co może być winne?
Edit:
Jak to jest że po restarcie serwera trzeba od nowa dodać reguły iptables?
Jeżeli serwer ma IP 10.0.0.1 a klient za tunelem 192.168.1.10 to ja ustawić routing w konfigu openvpn?
coś więcej poza:
push "route 192.168.1.0 255.255.255.0"
route 192.168.1.0 255.255.255.0
Mój skrypt działa (choć czasem się wysypie), wiec wolę to poprawnie skonfigurować - chodzi mi aby klient VPN - openwrt miał stałą trasę routingu do sieci serwera 10.0.0.0/24
Testerem sprawdzisz tylko ciągłość kabla, polecam program iptraf do testów wydajności.
Są testery po kilkanaście k do testów wydajności, ale raczej takiego sobie nie kupisz 
Kabel jak kabel, ważne żeby nie był z Al, szukaj tylko renomowanych firm.
Zrobiłem firstboot bo coś nie grało tak jak ma być.
Co dokładnie robią te 3 opcje w konfigu Openvpn?
client-config-dir ccd
route 10.0.0.1 255.255.255.0
push "route 10.0.0.1 255.255.255.0"
Jest, ale nie działa tak samo jak wpisanie /etc/init.d/routing start
Dalej to samo, nic się nie zmieniło.
Dopiero wywołanie polecenia /etc/init.d/routing start polecenia się wykonują.
To tak jakby /etc/init.d/routing enable nie działało.
Chcę tylko żeby mi ktoś powiedział w jaki sposób dodać to do autostartu:
/sbin/route add -net default dev eth2 gateway 192.168.8.1
/sbin/route add -net 10.0.0.0/24 dev tun0 gateway 10.8.0.1
/sbin/route add -host 10.0.0.1 dev tun0 gateway 10.8.0.1
Po wklepaniu tego w router z odpalonym VPN wszystko działa tak jak ma działać.
Może skrypt ma się uruchomić jako root?
No własnie nie, nawet gdy wyłączę openvpn nie mam trasy domyślnej.
Nie chce mieć całego ruchu przez VPN. całość ma lecieć przez eth2 i TYLKO 10.0.0.0/24 przez tun0.
root@OpenWrt:~# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default 10.8.0.1 0.0.0.0 UG 0 0 0 tun0
10.8.0.0 * 255.255.255.0 U 0 0 0 tun0
10.8.0.1 10.8.0.5 255.255.255.255 UGH 0 0 0 tun0
10.8.0.5 * 255.255.255.255 UH 0 0 0 tun0
192.168.1.0 * 255.255.255.0 U 0 0 0 br-lan
192.168.8.0 * 255.255.255.0 U 0 0 0 eth2
192.168.8.1 * 255.255.255.255 UH 0 0 0 eth2
root@OpenWrt:~# /etc/init.d/network restart
root@OpenWrt:~# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default 192.168.8.1 0.0.0.0 UG 0 0 0 eth2
10.8.0.0 * 255.255.255.0 U 0 0 0 tun0
192.168.1.0 * 255.255.255.0 U 0 0 0 br-lan
192.168.8.0 * 255.255.255.0 U 0 0 0 eth2
192.168.8.1 * 255.255.255.255 UH 0 0 0 eth2
Już śmiga, wszystko działa tak jak należy.
Jeszcze takie coś - po uruchomieniu nie ma trasy domyślnej, ale po /etc/init.d/network restart pojawia się trasa domyślna.
Jak to działa, że po uruchomieniu nie definiuje trasy domyślnej?
Jak na stałe zdefiniować routing tak aby był uruchomiony od startu?
Już mi wszystko działa poza jednym - routing na kliencie openwrt.
Po dodaniu trasy domyślnej działa -
/sbin/route add -net default dev eth2 gateway 192.168.8.1
/sbin/route add -net 10.0.0.0/24 dev tun0 gateway 10.8.0.1
/sbin/route add -host 10.0.0.1 dev tun0 gateway 10.8.0.1
Dodałem to do skryptu w init.d i później enable, a poleceń nie wykonuje.
#!/bin/sh /etc/rc.common
start() {
/sbin/route add -net default dev eth2 gateway 192.168.8.1
/sbin/route add -net 10.0.0.0/24 dev tun0 gateway 10.8.0.1
/sbin/route add -host 10.0.0.1 dev tun0 gateway 10.8.0.1
}
stop() {
/sbin/route del -net default dev eth2 gateway 192.168.8.1
/sbin/route del -net 10.0.0.0/24 dev tun0 gateway 10.8.0.1
/sbin/route del -host 10.0.0.1 dev tun0 gateway 10.8.0.1
}
boot() {
/sbin/route del -net default dev eth2 gateway 192.168.8.1
/sbin/route del -net 10.0.0.0/24 dev tun0 gateway 10.8.0.1
/sbin/route del -host 10.0.0.1 dev tun0 gateway 10.8.0.1
}
Jakiś pomysł żeby mi te polecenia wykonywało automatycznie?
Instalujesz z repo czy pliku?
Może instalujesz wersję niezgodną z kernelem?
Spróbuj firstboot.
Witam
Mam problem z tunelem VPN na Openvpn, mam wszystko skonfigurowane oprócz routingu.
Korzystałem z http://kb.rootbox.com/instalacja-i-konf … werklient/ do konfiguracji serwera i http://eko.one.pl/?p=openwrt-openvpntun do konfiguracji klienta.
Klient to MR3420 z modemem E3372 Hilink, wewnętrzny adres to 192.168.1.1
Serwer to debian 7 który stoi za routerem z natem (forewarding dla UTP jest) z IP zewnętrznym 95.171.197.XX, Wewnetrzny IP serwera to 10.0.0.1
Tunel OpenVPN działa pięknie - serwer pinguje sie z klientem i odwrotnie, tylko pojawiły się 3 problemy -
1. klient z openwrt ma jako główny interfejs tun0 zamiast eth2 i nie ma dostępu do internetu (wszystko jest kierowane do tunelu vpn)
2. W jaki sposób zrobić przekierowanie portu 9000 do tunelu, tak aby po wpisaniu w mojej lokalnej sieci adresu 10.0.0.1:9000 (10.0.0.1:9000 > tun0 >10.8.0.1 >10.8.0.6 > 192.168.1.10:9000) przekierowało mnie przez tunel vpn do docelowego hosta 192.168.1.10:9000 ?
3. W jaki sposób mogę zrobić forewarding z lanu do VPN ?
Ogólnie wygląda to tak że na ruterze z stałym IP mam przekierowanie do 10.0.0.1:9000 > tun0 >10.8.0.1 >10.8.0.6 > 192.168.1.10:9000
Mój router to HG8245A, na którym nie można ustawić domyślnej trasy routingu (Można, ale tylko do WAN). Tak więc gdy chcę dostać się z jakiegokolwiek komputera już po przekierowaniu jako bramę mam ustawić adres mojego serwera?
VPN działa, serwer pinguje 192.168.1.1 i wzajemnie, tylko gdy openVPN jest uruchomiony Openwrt kieruje wszystko w tunel przez co nie ma dostępu do internetu.
Jak dokładnie zrobić forewarding LAN do VPN tak aby po połączeniu się do 10.0.0.1:9000 przekierowało mnie do 192.168.1.10:9000 ?
I jednocześnie żeby mieć dostęp do całej sieci wpisując normalnie 192.168.1.1
Zrobiłem tylko to:
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -F POSTROUTING
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
Konfiguracja serwera wygląda tak:
dev tun # rodzaj interfejsu
local 10.0.0.1 # IP serwera (zamiast xxx podajemy adres IP serwera)
proto udp # uzywany protokol
port 1194 # uzywany port
server 10.8.0.0 255.255.255.0 # klasa IP dla tunelu VPN
ca ca.crt # plik certyfikatu CA
cert Hackeddomain.crt # plik certyfikatu serwera
key Hackeddomain.key # plik klucza prywatnego serwera
dh dh2048.pem # plik z parametrami algorytmu Diffiego-Hellmana
max-clients 100 # maksymalna ilosc klientow
persist-tun # podtrzymuje interfejs TUN w stanie UP podczas restartu
persist-key # zapamietuje klucz
keepalive 10 120 # utrzymuje polaczenie
cipher AES-256-CBC # ustawienie algorytmu szyfrowania
comp-lzo # wlaczenie kompresji
verb 1 # poziom logowania
user nobody # uzytkownik na potrzeby OpenVPN
group nogroup # grupa na potrzeby OpenVPN
push "redirect-gateway def1" # przekierowanie calego ruchu przez VPN
push "dhcp-option DNS 8.8.8.8" # konfiguracja DNS dla DHCP
push "dhcp-option DNS 8.8.4.4" # konfiguracja DNS dla DHCP
client-config-dir ccd
route 192.168.1.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
log openvpn.log # pliki logĂłw serwera OpenVPN
status openvpn-status.log
# Konfiguracja tls-auth # klucz HMAC
key-direction 0
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
XXXXXXXXXXXXXXXXXXXXXXXXXX
-----END OpenVPN Static key V1-----
</tls-auth>
Po dodaniu tej linii nic się nie zmieniło (bez tego też działało) push "route 192.168.1.0 255.255.255.0"
Mógłbyś kolego podrzuić jakiś temat temat dokładnie opisujący tworzenie takiego routingu na debianie (serwer), albo napisać dokładnie jak to zrobić? Na kliencie openwrt nie muszę robić żadnego routngu?
Tylko skąd mam wziąć ten klucz?
I jak skonfigurować routing?
Witam
Mam problem z tunelem VPN na Openvpn, mam wszystko skonfigurowane oprócz routingu.
Korzystałem z http://kb.rootbox.com/instalacja-i-konf … werklient/ do konfiguracji serwera i http://eko.one.pl/?p=openwrt-openvpntun do konfiguracji klienta.
Klient to MR3420 z modemem E3372 Hilink, wewnętrzny adres to 192.168.1.1
Serwer to debian 7 który stoi za routerem z natem (forewarding dla UTP jest) z IP zewnętrznym 95.171.197.XX, Wewnetrzny IP serwera to 10.0.0.1.
Certyfikaty mam we właściwym miejscu, tylko o co chodzi z tls?
# Konfiguracja tls-auth
ns-cert-type server
key-direction 1
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
-----END OpenVPN Static key V1-----
</tls-auth>
1. Dodam że nie generowałem klucza HMAC, wiec mam wyrzucić to z konfiguracji?
2.W takim razie co tutaj podać w konfiguracji klienta uci set openvpn.malgosia.remote_cert_tls=server ?
Założenie jest takie:
ma być dostęp do rejestratora przez internet po wpisaniu 95.171.197.XX:9000 > 10.0.0.1:9000 > przekierowanie przez tunel VPN do wewnętrznego adresu 192.168.1.254:9000
ma być dostęp do konfiguracji routera przez internet po wpisaniu 95.171.197.XX:9001 > 10.0.0.1:9001 > przekierowanie przez tunel VPN do wewnętrznego adresu 192.168.1.1
ma być dostęp do rejestratora przez internet po wpisaniu 95.171.197.XX:9002 > 10.0.0.1:9002 > przekierowanie przez tunel VPN do wewnętrznego adresu 192.168.1.254
Główne pytanie: co i jak przekierować żeby to działało jak należy?
Może niepotrzebnie wklepałem to na serwerze:
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -F POSTROUTING
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
Z góry dzięki za pomoc 
eko.one.pl → Posty przez manmartin
Forum oparte o PunBB, wspierane przez Informer Technologies, Inc