Nie jesteś zalogowany. Proszę się zalogować lub zarejestrować.
eko.one.pl → Oprogramowanie / Software → VPN na konkretne porty
Strony 1
Zaloguj się lub zarejestruj by napisać odpowiedź
Witam,
Chciałbym zrobić u siebie tak aby ruch "do i z" serwera ftp postawionego na routerze był kierowany przez VPN. Reszta ruchu natomiast miałaby odbywać się jak do tej pory (mam net w play).
Potrzebuje wiedzieć coś jeszcze oprócz tego 
?
http://lukasz.bromirski.net/docs/transl … .NETFILTER
Jakieś linki/rady pomocne w osiągnięciu celu?
http://eko.one.pl/?p=openwrt-routing
i musisz sobie odpowiednio ruch zamarkować.
Narazie teoria, poźniej spróbuje w praktyce.
Robię coś takiego:
0:
Instaluje iprouter jeśli nie ma
1:
echo "200 ftp" >> /etc/iproute2/rt_tables2:
ip rule add fwmark 0x30 table ftp
ip route flush cache
iptables -t mangle -I PREROUTING -p tcp --dport 21 -j MARK --set-mark 0x30I tyle w temacie? Czy coś jeszcze?
Prawie. Masz markować ruch z routera, a nie przechodzący przeznaczony dla zewnętrznego ftp, zobacz np. http://mailman.ds9a.nl/pipermail/lartc/ … 20457.html
Czyli w punkcie 2 daje:
ip rule add fwmark 1000 table ftp
ip route flush cache
iptables -t mangle -A PREROUTING -i eth0 -p tcp --sport 20 -j MARK --set-mark 1000
iptables -t mangle -A PREROUTING -i eth0 -p tcp --dport 20 -j MARK --set-mark 1000
iptables -t mangle -A PREROUTING -i eth0 -p tcp --sport 21 -j MARK --set-mark 1000
iptables -t mangle -A PREROUTING -i eth0 -p tcp --dport 21 -j MARK --set-mark 1000
iptables -t mangle -A PREROUTING -m helper --helper ftp -j MARK --set-mark 1000Czy jeżeli interfejs WAN jest eth1 to powinienem zamienić eth0 na eth1?
Wan taki jak masz, od routera zależy.
ip rule add fwmark 1000 table ftp
ip route flush cache
iptables -t mangle -A PREROUTING -i eth1 -p tcp --sport 20 -j MARK --set-mark 1000
iptables -t mangle -A PREROUTING -i eth1 -p tcp --dport 20 -j MARK --set-mark 1000
iptables -t mangle -A PREROUTING -i eth1 -p tcp --sport 21 -j MARK --set-mark 1000
iptables -t mangle -A PREROUTING -i eth1 -p tcp --dport 21 -j MARK --set-mark 1000
iptables -t mangle -A PREROUTING -m helper --helper ftp -j MARK --set-mark 1000Tak będzie dobrze?
Sprawdź
Wydaje mi się że to nie wyczerpuje sprawy, ponieważ ja mam tylko jedno łącze (mój internet z playa) a ruch z ftp chce puścić tylko przez VPN. Po zrobieniu czegoś takiego to chyba nie zadziała. VPN mam skonfigurowany za pomocą pluginu PPTP w gargoyle. Co jeszcze musze dodać do tablicy żeby to działało tak jak chce?
root@Gargoyle:~# ip route show
default via 10.100.201.254 dev pptp-vpnpptp proto static
10.100.201.254 dev pptp-vpnpptp proto kernel scope link src 10.100.200.204
185.25.148.103 via 192.168.8.1 dev eth1 proto static
192.168.1.0/24 dev br-lan proto kernel scope link src 192.168.1.1
192.168.8.0/24 dev eth1 proto kernel scope link src 192.168.8.100Powinienem doklepać coś takiego:
/sbin/ip route add default via JAKIADRESIPTUWSTAWIĆ? dev pptp-vpnpptp table ftpZauważ że ty cały ruch domyślnie masz przez vpn. Więc najpierw zmień sobie konfigurację vpna.
No wiem właśnie. Pytanie jak to zrobić? Nie wystarczy zamarkować pakietów z ftp i wygenerować tabeli do routowania na vpn tak jak jest tutaj: http://lukasz.bromirski.net/docs/transl … .NETFILTER
tylko zmienić:
# /sbin/ip route add default via 10.100.201.254 dev pptp-vpnpptp table ftp(To wyżej to taka radosna twórczość 
) Mógłbym prosić o jakieś bardziej szczegółowe wskazówki jak dokonać zmiany konfig VPN (w czym trzeba pogrzebać i co należałoby zmienić?)
Znalazłem taki temat:
https://www.gargoyle-router.com/phpbb/v … amp;t=2534
Dodać option 'defaultroute' '0' czy to nie wystarczy?
Wystarczy.
Czyli na koniec muszę dodać routing na mojej tablicy tak?
default via 10.100.201.254 dev pptp-vpnpptpTaki jest dobry?
Tak, zawsze musisz dodać bo nie będzie wiedział gdzie to posłać.
Takie polecenie zadziała?
/sbin/ip route add default via 10.100.201.254 dev pptp-vpnpptp table NAZWAMOJEJTABELIbez /sbin/ 
polecenie zadziałało, teraz testy i dam znać co i jak
Dobra, więc standardowo coś nie "bangla"
root@Gargoyle:~# cat /etc/iproute2/rt_tables
#
# reserved values
#
255 local
254 main
253 default
0 unspec
#
# local
#
#1 inr.ruhep
200 ftptabroot@Gargoyle:~# cat /etc/rc.local
# Put your custom commands here that should be executed once
# the system init finished. By default this file does nothing.
ip rule add fwmark 1000 table ftptab
ip route flush cache
iptables -t mangle -A PREROUTING -i eth1 -p tcp --sport 20 -j MARK --set-mark 10
iptables -t mangle -A PREROUTING -i eth1 -p tcp --dport 20 -j MARK --set-mark 10
iptables -t mangle -A PREROUTING -i eth1 -p tcp --sport 21 -j MARK --set-mark 10
iptables -t mangle -A PREROUTING -i eth1 -p tcp --dport 21 -j MARK --set-mark 10
iptables -t mangle -A PREROUTING -m helper --helper ftp -j MARK --set-mark 1000root@Gargoyle:~# ip route show table ftptab
default via 10.100.201.254 dev pptp-vpnpptproot@Gargoyle:~# ip route show
default via 192.168.8.1 dev eth1 proto static
10.100.201.254 dev pptp-vpnpptp proto kernel scope link src 10.100.200.204
185.25.148.103 via 192.168.8.1 dev eth1 proto static
192.168.1.0/24 dev br-lan proto kernel scope link src 192.168.1.1
192.168.8.0/24 dev eth1 proto kernel scope link src 192.168.8.100Zauważyłem, że po restarcie, znika zapis w ip route show table ftptab. Jak go dodać na stałe?
Serwer nadal nie widoczny z zewnątrz. Powinienem dodać do firewalla
list network 'wan vpnpptp'?
config interface 'vpnpptp'Strony 1
Zaloguj się lub zarejestruj by napisać odpowiedź
eko.one.pl → Oprogramowanie / Software → VPN na konkretne porty
Forum oparte o PunBB, wspierane przez Informer Technologies, Inc