Nie jesteś zalogowany. Proszę się zalogować lub zarejestrować.
eko.one.pl → Oprogramowanie / Software → Sieć gościnna i VPN
Zaloguj się lub zarejestruj by napisać odpowiedź
Witam
Zrobiłem sobie dodatkową sieć gościnną ale chciałbym teraz aby na jednej sieci był ustawiony klient VPN a druga bez niego.
Druga sieć korzysta z pasma 5GHz a więc radio1, jak teraz to zrobić aby ta sieć nie posiadała ustawionego VPN.
VPN skonfigurowałem w panelu administracyjnym. Prośba o pomoc
Ogólnie - musisz przekierować ruch z sieci gościnnej na vpn. Przeczytaj http://eko.one.pl/?p=openwrt-routing
tak ale ja mam jedno połączenie z internetem
Masz jedno z internetem i tunel z vpn. Dwa.
Mam dwie sieci WiFi skonfigurowane jak oddzielić żeby jedna sieć była z VPN a druga nie
Mam dwa interfejsy wlan0 i wlan0-1
ip route
0.0.0.0/1 via 10.8.0.1 dev tun0
default via 192.168.0.1 dev usb0 proto static
10.8.0.1 dev tun0 proto kernel scope link src 10.8.0.10
12.345.54.48 via 192.168.0.1 dev usb0
128.0.0.0/1 via 10.8.0.1 dev tun0
172.16.0.0/24 dev br-lan proto kernel scope link src 172.16.0.1
192.168.0.0/24 dev usb0 proto kernel scope link src 192.168.0.173Jaką adresację ma siec zwykła a jaką adresację ma sieć gościnna?
sorry
172.16.0.1/24 sieć zwykła
172.16.2.1/24 gościnna
Linka dostałeś. Zrób więc zawarte w dokumencie polecenia i regułkę żeby ruch z 172.16.2.1/24 szedł przez vpn, typu: iptables -t mangle -I PREROUTING -p tcp -s 192.168.2.0/24 -j MARK --set-mark 0x30
Problem jest taki że obecnie mam włączony VPN w ruterze i działa on w obu sieciach, a jak chciałbym aby ruch z sieci 172.16.0.1/24 był bez VPN - jak przekierować ten ruch aby nie korzystał z VPN
Widzisz, jednak nie czytałeś poradnika. Albo skonfiguruj serwer vpn żeby nie dostarczał trasy domyślnej albo skonfiguruj klienta żeby nie ustawiał tras domyślnych (opcja route-noexec)
A jeszcze jedno mam pytanie, teraz dopiero zauważyłem że gdy łącze się z drugą siecią WiFi nie przyznaje mi odpowiedniego nr IP a dostaje z pierwszej puli czyli 172.16.0.100 zamiast z drugiej sieci 172.16.1.x a wszystko ustawiłem i kilkakrotnie sprawdziłem w configach
Pokaż konfigi...
cat /etc/config/network
config interface 'loopback'
option ifname 'lo'
option proto 'static'
option ipaddr '127.0.0.1'
option netmask '255.0.0.0'
config interface 'lan'
option ifname 'eth0.1'
option type 'bridge'
option proto 'static'
option netmask '255.255.255.0'
option ipaddr '172.16.0.1'
option dns '208.67.222.222 208.67.220.220'
config interface 'wan'
option auto '1'
option proto 'dhcp'
option ifname 'usb0'
option dns '208.67.222.222 208.67.220.220'
option peerdns '0'
config switch
option name 'eth0'
option reset '1'
option enable_vlan '1'
config switch_vlan
option device 'eth0'
option vlan '1'
option ports '0t 2 3 4 5'
config switch_vlan
option device 'eth0'
option vlan '2'
option ports '0t 1'
config interface 'n2n'
option ifname 'edge0'
option proto 'static'
option netmask '255.255.255.0'
option ipaddr '10.10.10.2'
config interface 'vpn'
option ifname 'tun0'
option proto 'none'
option defaultroute '0'
option peerdns '0'
config interface 'guest'
option proto 'static'
option netmask '255.255.255.0'
option ipaddr '172.16.2.1'
option defaultroute '0'cat /etc/config/wireless
config wifi-device 'radio0'
option type 'mac80211'
option hwmode '11ng'
option path 'platform/ar934x_wmac'
list ht_capab 'LDPC'
list ht_capab 'SHORT-GI-20'
list ht_capab 'SHORT-GI-40'
list ht_capab 'TX-STBC'
list ht_capab 'RX-STBC1'
list ht_capab 'DSSS_CCK-40'
option noscan '1'
option channel '5'
option htmode 'HT20'
config wifi-device 'radio1'
option type 'mac80211'
option channel '36'
option hwmode '11na'
option path 'pci0000:00/0000:00:00.0'
option htmode 'HT20'
list ht_capab 'LDPC'
list ht_capab 'SHORT-GI-20'
list ht_capab 'SHORT-GI-40'
list ht_capab 'TX-STBC'
list ht_capab 'RX-STBC1'
list ht_capab 'DSSS_CCK-40'
option noscan '1'
option txpower '5'
config wifi-iface 'ap_g'
option device 'radio0'
option mode 'ap'
option network 'lan'
option disassoc_low_ack '0'
option ssid 'Siec1'
option isolate '1'
option encryption 'psk2'
option key 'haslo'
config wifi-iface
option device 'radio0'
option mode 'ap'
option network 'lan'
option disassoc_low_ack '0'
option ssid 'Siec2'
option isolate '1'
option disabled '0'
option encryption 'psk2'
option key 'haslo'cat /etc/config/dhcp
config dnsmasq
option domainneeded '1'
option boguspriv '1'
option filterwin2k '0'
option localise_queries '1'
option rebind_protection '0'
option rebind_localhost '1'
option local '/lan/'
option domain 'lan'
option expandhosts '1'
option nonegcache '0'
option authoritative '1'
option readethers '1'
option leasefile '/tmp/dhcp.leases'
option resolvfile '/tmp/resolv.conf.auto'
list rebind_domain 'free.aero2.net.pl'
config dhcp 'lan'
option interface 'lan'
option start '100'
option leasetime '12h'
option limit '20'
config dhcp 'wan'
option interface 'wan'
option ignore '1'
config dhcp 'guest'
option interface 'guest'
option start '150'
option limit '5'
option leasetime '12h'cat /etc/config/firewall
config defaults
option syn_flood '1'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'
config zone
option name 'lan'
list network 'lan'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'
config zone
option name 'wan'
list network 'wan'
list network 'wan6'
option input 'REJECT'
option output 'ACCEPT'
option forward 'REJECT'
option masq '1'
option mtu_fix '1'
config forwarding
option src 'lan'
option dest 'wan'
config rule
option name 'Allow-DHCP-Renew'
option src 'wan'
option proto 'udp'
option dest_port '68'
option target 'ACCEPT'
option family 'ipv4'
config rule
option name 'Allow-Ping'
option src 'wan'
option proto 'icmp'
option icmp_type 'echo-request'
option family 'ipv4'
option target 'ACCEPT'
config rule
option name 'Allow-DHCPv6'
option src 'wan'
option proto 'udp'
option src_ip 'fe80::/10'
option src_port '547'
option dest_ip 'fe80::/10'
option dest_port '546'
option family 'ipv6'
option target 'ACCEPT'
config rule
option name 'Allow-ICMPv6-Input'
option src 'wan'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
list icmp_type 'router-solicitation'
list icmp_type 'neighbour-solicitation'
list icmp_type 'router-advertisement'
list icmp_type 'neighbour-advertisement'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'
config rule
option name 'Allow-ICMPv6-Forward'
option src 'wan'
option dest '*'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'
config include
option path '/etc/firewall.user'
option reload '1'
config include
option type 'script'
option path '/usr/lib/gargoyle_firewall_util/gargoyle_additions.firewall'
option family 'IPv4'
option reload '1'
config include 'miniupnpd'
option type 'script'
option path '/usr/share/miniupnpd/firewall.include'
option family 'IPv4'
option reload '1'
config include 'openvpn_include_file'
option path '/etc/openvpn.firewall'
option reload '1'
config zone
option name 'n2n'
option network 'n2n'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'
option masq '1'
config forwarding
option src 'lan'
option dest 'n2n'
config remote_accept 'ra_80_80'
option local_port '80'
option remote_port '80'
option proto 'tcp'
option zone 'wan'
config remote_accept 'ra_22_22'
option local_port '22'
option remote_port '22'
option proto 'tcp'
option zone 'wan'
config quota 'quota_1'
option ingress_limit '3145728'
option egress_limit '3145728'
option exceeded_up_speed '40'
option exceeded_down_speed '40'
option reset_interval 'day'
option ip '172.16.0.114'
option id '172.16.0.114'
option enabled '1'
config quota 'quota_2'
option ingress_limit '4194304'
option egress_limit '4194304'
option exceeded_up_speed '5'
option exceeded_down_speed '5'
option reset_interval 'day'
option ip '172.16.0.102'
option id '172.16.0.102'
option enabled '1'
config zone
option network 'guest'
option name 'guest'
option input 'REJECT'
option output 'REJECT'
option forward 'ACCEPT'
config forwarding
option src 'guest'
option dest 'wan'
config rule
option src 'guest'
option dest_port '53'
option proto 'tcpudp'
option target 'ACCEPT'
config rule
option src 'guest'
option src_port '67-68'
option dest_port '67-68'
option proto 'udp'
option target 'ACCEPT'Nie masz na wifi zdefiniowanej sieci "guest" Masz obie na "lan".
Zrestartuj, jak nie działa znów pokaż konfigi oraz wynik route -n
Dzięki Cezary z Tobą zawsze idzie szybciej 
Mała wzmianka jeszcze
tak było
config wifi-iface
option device 'radio0'
option mode 'ap'
option network 'lan'
option disassoc_low_ack '0'
option ssid 'Siec2'
option isolate '1'
option disabled '0'
option encryption 'psk2'
option key 'haslo'Poprawiłem na
config wifi-iface 'guest'
option device 'radio0'
option mode 'ap'
option network 'guest'
option disassoc_low_ack '0'
option ssid 'Siec2'
option isolate '1'
option encryption 'psk2'
option key 'haslo'teraz tylko ten nieszczęsny VPN
ustawienia
route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.0.1 0.0.0.0 UG 0 0 0 usb0
172.16.0.0 0.0.0.0 255.255.255.0 U 0 0 0 br-lan
172.16.2.0 0.0.0.0 255.255.255.0 U 0 0 0 wlan0-1
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 usb0w panelu openWRT mam wyłączony VPN - co mam teraz zrobić? - Chciałbym aby na sieci np 172.16.0.0 był ustawiony VPN
Ale nic nie zrobiłeś. Nadal masz option network 'lan' w obu przypadkach.
sorry na routerze poprawione
W drugim poście dostałeś linka, w 8 - regułkę. Czego nie wiesz?
root@Gargoyle:~# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 10.8.0.1 128.0.0.0 UG 0 0 0 tun0
0.0.0.0 192.168.0.1 0.0.0.0 UG 0 0 0 usb0
10.8.0.1 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
86.105.54.48 192.168.0.1 255.255.255.255 UGH 0 0 0 usb0
128.0.0.0 10.8.0.1 128.0.0.0 UG 0 0 0 tun0
172.16.0.0 0.0.0.0 255.255.255.0 U 0 0 0 br-lan
172.16.2.0 0.0.0.0 255.255.255.0 U 0 0 0 wlan0-1
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 usb0
root@Gargoyle:~# ip rule add from 172.16.2.0/24 table modem
root@Gargoyle:~# ip route add default via 192.168.0.0 dev usb0 table modem
RTNETLINK answers: Invalid argument
root@Gargoyle:~# ifstatus usb0
Interface usb0 not found
root@Gargoyle:~##
# reserved values
#
255 local
254 main
253 default
0 unspec
200 modem
#
# local
#
#1 inr.ruhep192.168.0.0 -> chyba 192.168.0.1, takie masz gateway, prawda
ifstatus usb0 -> ifstatus wan
brak neta - coś źle ?
root@Gargoyle:~# ip rule add from 172.16.2.0/24 table modem
root@Gargoyle:~# ip route add default via 192.168.0.1 dev usb0 table modem
root@Gargoyle:~# ip route flush cache
root@Gargoyle:~# iptables -t mangle -I PREROUTING -p tcp -s 172.16.2.0/24 -j MAR
K --set-mark 0x30
root@Gargoyle:~#1. jak dałeś całą klasę 2.0/24 to już reguły nie robisz
2. sam tunel vpn działa? możesz przez niego pingować?
3. oczywiście źle napisałem. Nie usb0 bo to jest podstawowy modem na wanie, tylko przez tunel, czyli 10.8.0.1 / tun0
tak VPN włączony i działa dobrze na Sieci1 (172.16.0.0)
natomiast teraz chce aby Siec2 czyli 172.16.2.0 działała bez VPNa
ip route show table modem
default via 192.168.0.1 dev usb0To jeszcze zrób żeby vpn nie ustawiał trasy domyślnej. Bo teraz CI ustawia.
Zaloguj się lub zarejestruj by napisać odpowiedź
eko.one.pl → Oprogramowanie / Software → Sieć gościnna i VPN
Forum oparte o PunBB, wspierane przez Informer Technologies, Inc