Jeszcze raz napisz co właściwie chcesz osiągnąć.

To chyba już masz zrobione, wystarczy że tunel vpn robi trasę domyślną. Co najwyżej możesz jeszcze zrobić tak, że jak nie ma tunelu to nie ma wyjścia w internet (jest to w poradnikach na stronie nordvpn)

To zainstaluj sobie np. vpnbypass i sobie skonfiguruj/wyklikaj co ma nie iść przez vpn.

vpnbypass? Nie. On jest tylko od przekierowania ruchu a nie od pilnowania czy masz połączenie czy nie. To już musisz sobie sam oskryptować.

No nie bardzo mi to działa i chyba nie jest to na moje potrzeby.
Aktualnie mam tak:
192.168.10.0/24 (lan) w której mam dostęp do wszystkich pozostałych sieci i ma iść normalnie wanem
192.168.11.0/24 (guest) która nigdzie nie ma dostępu i ma ZAWSZE iść przez vpn, jak połączenie zostanie zerwane to nie ma internetu i nie widzi pozostały sieci
192.168.12.0/24 (vpnout) która ma mieć dostęp do lan i guest i ma ZAWSZE iść przez vpn, jak połączenie zostanie zerwane to nie ma internetu.
Jeszcze pewnie dojdzie siec vpn-a pod którego będę się mógł podpiąc z zewnątrz do swojej sieci 192.168.13.0/24 (vpnin) która ma być jak lan, wyjątkiem jest wyjście na świat swoim własnym wanem.
Generalnie mam zestawianie połączenia z vpn-em i z parametrem route-nopull na interfejsie tun0. Teraz chyba musiałbym odpowiednio dodać routing. Na firewallu mam ustawione forwarding src guest/vpnout dest vpn, ale ruch mi nie wychodzi w ogóle. Ahh i providerem jest nordvpn ale ten poradnik na ich stronie to tak średnio działa.

if (! ip a s tun0 up) && (! iptables -C forwarding_rule -j REJECT); then
       iptables -I forwarding_rule -j REJECT
fi

Tu się zaczynają kłopoty.
https://support.nordvpn.com/Connectivit … ordVPN.htm link dla przypomnienia
Jakieś rady?

if (! ip a s tun0 up) 

To w ogóle działa? Co to dokładnie robi? Można to wypluć do /dev/null (nie bardzo ogarniam skrypty bashowe, a przy restarcie firewalla pluje mi wynikiem tego polecenia)?
Rozumiem żeby dodać w regułach np.

 -s 192.168.11.0/24 

Z wan-u też mam puścić na tunel a potem bypasem to oszukać tak?
A co z rutowaniem wtedy? Trasa domyślna zostanie nadpisana przez vpn-a jak usunę route-nopull. Skąd będziemy mieli trasę do wan-u? I co z trasą wan-u jak wywali vpn-a? Chcę mieć na tej jednej sieci internet, bez znaczenia czy jest vpn czy nie.

Jak wynik tego wywalic do /dev/null ?

Ale jak dam forwarding src lan dest vpn, to po wywaleniu vpn-a nie będę mieć internetu. Bo nie ma frowarding na wan. Co z tym przypadkiem?

To co podaje dokumentacja na nordvpn

 
uci add firewall forwarding
uci set firewall.@forwarding[-1].src='lan'
uci set firewall.@forwarding[-1].dest='vpnfirewall'
uci commit firewall

Ja to muszę zrobić dla wszystkich swoich sieci, ale jak zrobię dla lanu to po wywaleniu VPN nie mam internetu na lanie.
Chyba że src lan/guest/vpnout dest wan zostawiam i mają być po 2 wpisy z każdej sieci na forwading-u.

Wrócę z pracy i walczę dalej.

config vpnbypass 'allow_lan' <- tu ma być config vpnbypass 'config'  tak jak było domyślnie. On szuka sekcji config a nie innej.

Witajcie,
podepnę się pod temat. Postawiłem klienta openvpn na raspberry pi z oprogramowaniem openwrt (nazwijmy go Router B), który łączy mi się automatycznie do routera na "Cezarowym" Garygoyle (serwer openvpn - nazwijmy go Router A) .

Jestem w stanie po podłączeniu do Routera B (lan) pingowac urządzenia w sieci na routerze A.

Bedąc podłączonym do routera B (lan) jestem w stanie pingować sam router A ale nic poza nim. Mimo tego, że w konfiguracji serwera mam zdefiniowaną podsieć za klientem (10.10.1.0, 255.255.255.0)

Mogę wrzuć konfigurację, aczkolwiek prosiłbym o podanie ścieżek do interesujacych was plików.

Nie wiem gdzie szukać błędu. Większość ustawień wyklikałem z GUI.

Czytałem poniższy wątek,
https://eko.one.pl/?p=openwrt-openvpntu … zaserwerem