1 Temat przez toko_k (edytowany przez toko_k 2018-02-16 20:20:12)

  • toko_k
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-06-20
  • Posty: 80

Temat: Jak dodać adres ip do strefy lan?

Witam,
Nie wiem czy nazwa tematu dokładnie odzwierciedla mój problem, ale do rzeczy.
Zrobiłem sobie tunel IKEv2, który ma na celu połączyć router w domu z komputerem poza domem. Wygląda to tak:

[Komputery w domu] <--(sieć lan)--> [Router] <--(świat{tunel})--> [laptop]

Komputery w domu mają adresy z zakresu(lan): 10.0.0.0/24.
Router posiada publicze ip i jest na nim skonfigurowany strongswan, urządzenia podłączające się przez IKEv2 dostają ip z zakresu: 10.0.1.0/24. Laptop łączy się z routerem poprzez tunel IKEv2 i dostaje ip 10.0.1.1/24. Moim celem jest zrobienie aby laptop z adresem 10.0.1.1 należał do strefy "lan" i był "widoczny" w sieci razem z innymi komputerami. W tym momencie adresy z puli 10.0.1.0/24 są automatycznie przypisywane do strefy "wan" przez co laptop nie jest traktowany przez router jako część sieci domowej. Jestem w stanie z laptopa pingować router który ma adres 10.0.0.1, ale komputerów w strefie "lan" (10.0.0.2-x) już nie. W drugą stronę to w ogóle nie działa, tj. z komputerów w sieci domowej lub routera nie mogę pingować adresów 10.0.1.0/24.
Oto moje pliki konfiguracyjne
/etc/config/firewall

config defaults
    option syn_flood '1'
    option forward 'REJECT'
    option input 'ACCEPT'
    option output 'ACCEPT'

config zone
    option name 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option network 'lan'

config zone
    option name 'wan'
    option output 'ACCEPT'
    option masq '1'
    option mtu_fix '1'
    option network 'wan'
    option input 'REJECT'
    option forward 'REJECT'

config rule
    option name 'Allow-DHCP-Renew'
    option src 'wan'
    option proto 'udp'
    option dest_port '68'
    option target 'ACCEPT'
    option family 'ipv4'

config rule
    option name 'Allow-Ping'
    option proto 'icmp'
    option icmp_type 'echo-request'
    option family 'ipv4'
    option target 'ACCEPT'
    option src '*'

config rule
    option name 'Allow-IGMP'
    option src 'wan'
    option proto 'igmp'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option target 'ACCEPT'
    option src 'wan'
    option proto 'tcp'
    option dest_port '22'
    option name 'SSH'

config rule
    option name 'IPSec ESP'
    option target 'ACCEPT'
    option proto 'esp'
    option src '*'

config rule
    option target 'ACCEPT'
    option src 'wan'
    option proto 'udp'
    option dest_port '500'
    option name 'IKEv2'

config rule
    option target 'ACCEPT'
    option src 'wan'
    option proto 'udp'
    option dest_port '4500'
    option name 'IPSec'

config rule
    option src 'wan'
    option name 'Auth Header'
    option proto 'ah'
    option target 'ACCEPT'

config forwarding
    option dest 'wan'
    option src 'lan'

config rule
    option enabled '1'
    option target 'ACCEPT'
    option src 'wan'
    option proto 'tcp'
    option dest_port '80'
    option name 'WEB'
    option src_ip '10.0.1.0/24'

/etc/ipsec.conf

config setup
        strictcrlpolicy=no
        uniqueids=no

conn iOS-IKEV2
    auto=add
    dpdaction=hold
    keyexchange=ikev2

    #left
    left=%any
    leftsubnet=10.0.0.0/24
    leftauth=psk
    leftid=lede.server

    #right
    right=%any
    rightsourceip=10.0.1.0/24
    rightauth=eap-mschapv2
    rightid=lede.client

Czy muszę tworzyć nową strefę i jakoś kombinować żeby to było połączone ze strefą "lan". Czy można w jakiś sposób dodać adresy 10.0.1.0/24 do strefy "lan"?
Pozdrawiam,
Tomasz

2 Odpowiedź przez tymmej

  • tymmej
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2011-01-27
  • Posty: 110

Odp: Jak dodać adres ip do strefy lan?

Nie wiem co chcesz osiągnąć.

Jeżeli tylko mieć możliwość pingowania komputerów w obie strony to powinno wystarczyć poustawiać trasy.
Pokaż jak one wyglądają na komputerze podłączonym do routera, routerze i kliencie VPN.

Jak chcesz przekierować porty z routera na klienta VPN to dodatkowo musisz zrobić nową strefę w firewallu.

3 Odpowiedź przez toko_k

  • toko_k
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-06-20
  • Posty: 80

Odp: Jak dodać adres ip do strefy lan?

Chcę aby laptop podłączony do routera przez IKEv2 był widziany przez router jako komputer w sieci domowej. Czyli chyba muszę zrobić nową strefę w firewallu i włączyć przekazywanie pakietów pomiędzy strefą lan i vpn. Problem w tym, że nie wiem za bardzo jak się za to zabrać. Spróbowałem zrobić coś takiego:

config zone
    option input 'ACCEPT'
    option forward 'REJECT'
    option network ' '
    option output 'ACCEPT'
    option name 'vpn'
    list masq_src '10.0.1.0/24'

config forwarding
    option dest 'lan'
    option src 'vpn'

config forwarding
    option dest 'vpn'
    option src 'lan'

Niestety adresy 10.0.1.0/24 dalej są traktowane jako strefa "wan" sad

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,015

Odp: Jak dodać adres ip do strefy lan?

A sposób https://eko.one.pl/forum/viewtopic.php? … 55#p191555 nie rozwiązuje problemu?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez toko_k

  • toko_k
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-06-20
  • Posty: 80

Odp: Jak dodać adres ip do strefy lan?

Wydaje się to sensownym rozwiązaniem, ale...
Nie mam pojęcia co robią te komendy:

iptables -I INPUT  -m policy --dir in --pol ipsec --proto esp -j ACCEPT
iptables -I FORWARD  -m policy --dir in --pol ipsec --proto esp -j ACCEPT
iptables -I FORWARD  -m policy --dir out --pol ipsec --proto esp -j ACCEPT
iptables -I OUTPUT   -m policy --dir out --pol ipsec --proto esp -j ACCEPT

Tutaj dodaję nową strefę i przekazywanie między vpn, a lan i wan:

config zone
    option forward 'REJECT'
    option name 'vpn'
    option output 'ACCEPT'
    option network 'ipsec'
    option input 'ACCEPT'

config forwarding
    option dest 'lan'
    option src 'vpn'

config forwarding
    option dest 'wan'
    option src 'vpn'

config forwarding
    option dest 'vpn'
    option src 'lan'

Z tym, że nie mam takiego "networka" jak ipsec, więc mi to nie działa. Domyślam się, że muszę go jakoś dodać ale też nie mam pojęcia czy mam ustawiać tam jakiś adres, czy ma być niezarządzalny, czy przypisywać do niego jakiś interfejs czy też nie.
Oto wynik ifconfig -a:

br-lan    Link encap:Ethernet  HWaddr 00:0C:42:0F:D1:0B  
          inet addr:10.0.0.1  Bcast:10.0.0.255  Mask:255.255.255.0
          inet6 addr: fe80::20c:42ff:fe0f:d10b/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:4218181 errors:0 dropped:0 overruns:0 frame:0
          TX packets:5719888 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:1673370448 (1.5 GiB)  TX bytes:7095942179 (6.6 GiB)

eth0      Link encap:Ethernet  HWaddr 00:0C:42:0F:D1:0A  
          BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:0 (0.0 B)  TX bytes:320 (320.0 B)
          Interrupt:40 

eth1      Link encap:Ethernet  HWaddr 00:0C:42:0F:D1:0B  
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1813191 errors:0 dropped:120 overruns:0 frame:0
          TX packets:2112444 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:1247142249 (1.1 GiB)  TX bytes:2109441224 (1.9 GiB)

eth2      Link encap:Ethernet  HWaddr 00:0C:42:0F:D1:0C  
          inet addr:92.214.123.253  Bcast:92.214.123.255  Mask:255.255.255.0
          inet6 addr: fe80::20c:42ff:fe0f:d10c/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:8888516 errors:0 dropped:901571 overruns:0 frame:0
          TX packets:4213008 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:7314829826 (6.8 GiB)  TX bytes:1728373109 (1.6 GiB)

gre0    Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-30-CD-00-00-00-00-00-00-00-00  
          NOARP  MTU:1476  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

gretap0   Link encap:Ethernet  HWaddr 00:00:00:00:00:00  
          BROADCAST MULTICAST  MTU:1462  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:954 errors:0 dropped:0 overruns:0 frame:0
          TX packets:954 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1 
          RX bytes:75455 (73.6 KiB)  TX bytes:75455 (73.6 KiB)

wlan0     Link encap:Ethernet  HWaddr 00:0E:8E:12:0C:22  
          inet6 addr: fe80::20e:8eff:fe12:c22/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2418660 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3666862 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:497337455 (474.2 MiB)  TX bytes:5066124293 (4.7 GiB)

wlan1     Link encap:Ethernet  HWaddr 00:0E:8E:12:15:A8  
          BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

Z tego co widzę to mam jakieś dwa interfejsy "gretap0" i "gre0". Czy to może być to?
Pozdrawiam,
Tomasz