Nie jesteś zalogowany. Proszę się zalogować lub zarejestrować.
eko.one.pl → Oprogramowanie / Software → Ipsec routing do lan
Strony 1
Zaloguj się lub zarejestruj by napisać odpowiedź
Hej, skonfigurowalem sobie ipsec Ale po napięciu nie jestem w stanie zalogować się na adres routera. 192.168.1.1 adresy z ipsec przydzielane są z tej samej puli z dhcp. Jakieś wskazówki?
Tryb failsafe ( http://eko.one.pl/?p=openwrt-failsafe ) wtedy się dostaniesz do routera, zrób mount_root i napraw to co zepsułeś.
Po lanie jak jestem podłączony to jestem w stanie logować się na router. Gdy podłącza się po ipsec to nie jestem w stanie dostać się na router po www? Czy muszę failsafe używać?
Jeszcze raz - jak nie masz zestawionego tunelu to możesz się zalogować do routera tak? Jak zestawiasz tunel to już nie możesz, tak? Więc masz gdzieś w firewallu blokadę forwardingu pakietów pomiędzy ipsec a siecią lokalną. Więc sobie zezwól na to.
Właśnie czy mógłbyś podpowiedzieć jak puścić ruch z ipsec do lan? W tym cały problem
Pokaż konfig firewalla który zrobiłeś.
config defaults
option syn_flood '1'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'config zone
option name 'lan'
list network 'lan'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'ACCEPT'config zone
option name 'wan'
list network 'wan'
list network 'wan6'
option input 'REJECT'
option output 'ACCEPT'
option forward 'REJECT'
option masq '1'
option mtu_fix '1'config forwarding
option src 'lan'
option dest 'wan'config rule
option name 'Allow-DHCP-Renew'
option src 'wan'
option proto 'udp'
option dest_port '68'
option target 'ACCEPT'
option family 'ipv4'config rule
option name 'Allow-Ping'
option src 'wan'
option proto 'icmp'
option icmp_type 'echo-request'
option family 'ipv4'
option target 'ACCEPT'config rule
option name 'Allow-IGMP'
option src 'wan'
option proto 'igmp'
option family 'ipv4'
option target 'ACCEPT'config rule
option name 'Allow-DHCPv6'
option src 'wan'
option proto 'udp'
option src_ip 'fc00::/6'
option dest_ip 'fc00::/6'
option dest_port '546'
option family 'ipv6'
option target 'ACCEPT'config rule
option name 'Allow-MLD'
option src 'wan'
option proto 'icmp'
option src_ip 'fe80::/10'
list icmp_type '130/0'
list icmp_type '131/0'
list icmp_type '132/0'
list icmp_type '143/0'
option family 'ipv6'
option target 'ACCEPT'config rule
option name 'Allow-ICMPv6-Input'
option src 'wan'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
list icmp_type 'router-solicitation'
list icmp_type 'neighbour-solicitation'
list icmp_type 'router-advertisement'
list icmp_type 'neighbour-advertisement'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'config rule
option name 'Allow-ICMPv6-Forward'
option src 'wan'
option dest '*'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'config rule
option name 'Allow-IPSec-ESP'
option src 'wan'
option dest 'lan'
option proto 'esp'
option target 'ACCEPT'config rule
option name 'Allow-ISAKMP'
option src 'wan'
option dest 'lan'
option dest_port '500'
option proto 'udp'
option target 'ACCEPT'config include
option path '/etc/firewall.user'config redirect
option src 'wan'
option src_dport 'XXXXXX'
option dest 'lan'
option dest_port 'XXXXXXXXXXXXXX'
option proto 'tcp'config rule
option src 'wan'
option target 'ACCEPT'
option proto 'tcpudp'
option dest_port '4500'config rule
option src 'wan'
option target 'ACCEPT'
option proto 'tcpudp'
option dest_port '500'config redirect
option name 'rt'
option src 'wan'
option proto 'tcpudp'
option src_dport 'XXXXXXX'
option dest 'lan'
option dest_ip '192.168.1.1'
option dest_port 'XXXXXXX'config redirect
option name 'to'
option src 'wan'
option proto 'tcpudp'
option src_dport 'XXXXXX'
option dest_port 'XXXXXXXX'
option dest_ip '192.168.1.217'config rule
option src 'wan'
option target 'ACCEPT'
option proto 'tcpudp'
option dest_port '4500'config rule
option src 'wan'
option target 'ACCEPT'
option proto 'tcpudp'
option dest_port '500'config zone
option forward 'REJECT'
option name 'vpn'
option output 'ACCEPT'
option network 'ipsec'
option input 'ACCEPT'config forwarding
option dest 'lan'
option src 'vpn'config forwarding
option dest 'wan'
option src 'vpn'config forwarding
option dest 'vpn'
option src 'lan'
root@LEDE:~#
Pokaż cały konfig ipsec oraz network. Piszesz że dostajesz adresy z tej samej puli a masz wydzieloną strefę dla ipseca.
IPSEC
conn android
keyexchange=ikev1
authby=xauthpsk
xauth=server
left=%defaultroute
leftsubnet=0.0.0.0/0
leftfirewall=yes
right=%any
rightsourceip=%dhcp
forceencaps=yes
auto=add
Network
config interface 'loopback'
option ifname 'lo'
option proto 'static'
option ipaddr '127.0.0.1'
option netmask '255.0.0.0'config globals 'globals'
option ula_prefix 'fd72:4bdc:c18b::/48'config dsl 'dsl'
option annex 'a'
option tone 'av'
option xfer_mode 'atm'config interface 'lan'
option type 'bridge'
option ifname 'eth0.1'
option proto 'static'
option ipaddr '192.168.1.1'
option netmask '255.255.255.0'
option ip6assign '60'config interface 'wan'
option _orig_ifname 'ptm0'
option _orig_bridge 'false'
option proto 'pppoa'
option encaps 'vc'
option atmdev '0'
option vci '35'
option vpi '0'
option username 'xxxxxxxxxxxxx@neostrada.pl'
option password 'xxxxxxxxxxxxxx'
option ipv6 '0'config device 'wan_dev'
option name 'ptm0'
option macaddr 'f8:1a:aaaa:aaa:aaa:aaa'config interface 'wan6'
option ifname 'pppoe-wan'
option proto 'dhcpv6'config switch
option name 'switch0'
option reset '1'
option enable_vlan '1'config switch_vlan
option device 'switch0'
option vlan '1'
option ports '0 2 4 5 6t'
Mozesz ewentualnie podopowiedziec co zmienic zeby dostawac adres z tej samej puli co lan ? 192.168.1 ?
Spróbuj tego: https://eko.one.pl/forum/viewtopic.php? … 55#p191555
Polecam użycie interfejsów vti oraz mark w konfiguracji tunelu ipsec (w przyszłości xfrm, ale to dopiero od kernela 4.19)
https://wiki.strongswan.org/projects/st … teBasedVPN
Jest to bardzo wygodne, bo MTU ustawiamy na interfejsie, routing też. Dodatkowo łatwo tworzymy nową zonę w firewall'u, ustawiamy MSS clamping, wyłączamy NAT, i tym samym wszystkie najtrudniejsze sprawy są załatwione.
Nie polecam natomiast tworzenia tego interfejsu w pliku network, bo automatycznie powstaje interfejs o nazwie która nie pozwala na monitorowanie/debugowanie. Ja mam skrypt w /etc/hotplug.d/iface/
Zaleta: nadal kernel space. Wada: ipv4, ipv6 wymagają osobnych interfejsów vti
Dla "road warrior" prawa strona vti to 0.0.0.0 (bez kombinowania ze skryptem)
ok udalo mi sie uruchomic pingi i prawie dziala jak chce. Po zapieciu vpn jestem w stanie odpalic web serwis dzialajacy na adresie np: 192.168.1.218 ale nie jestem w stanie odpalic web serwisu dzialajacego na routerze czyli adresie 192.168.1.1. Macie jakies pomysly ? ssh tez nie moge sie polaczyc na 192.168.1.1 dodam ze ping odpowiada na 192.168.1.1
Problem rozwiązany wystarczyło w konfiguracji tunelu dodac: lefthostaccess=yes
Strony 1
Zaloguj się lub zarejestruj by napisać odpowiedź
eko.one.pl → Oprogramowanie / Software → Ipsec routing do lan
Forum oparte o PunBB, wspierane przez Informer Technologies, Inc