• Zarejestrowany: 2012-02-18
  • Posty: 704

Temat: TP-Link TL-WDR3600 v1 - TAP VPN - Client - > problem z zaporą ?

Założenia: klient łączy się przez Wifi przez swój router do sieci lan2.
Otrzymuje adres z serwera TAP VPN z serwera.
W logu też jest o tym informacja (więc samo połączenie działa):
2024-09-20 08:30:12 Extracted DHCP router address: 192.168.1.1
Ale po tym jak już otrzyma IP z dobrej sieci to nadal do tej sieci nie ma dostępu, pingi zablokowane itd.
Sprawdzałem innym klientem i wszystko działa poprawnie.
Więc zakładam że jest problem z zaporą u tego klienta i szukam i nie mogę odnaleźć, pomoże ktoś?

config defaults
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option synflood_protect '1'

config zone
    option name 'lan'
    list network 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'

config zone
    option name 'lan2'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'
    option network 'lan2'

config zone
    option name 'wan'
    list network 'wan'
    list network 'wan6'
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option masq '1'
    option mtu_fix '1'

config forwarding
    option src 'lan'
    option dest 'wan'

config rule
    option name 'Allow-DHCP-Renew'
    option src 'wan'
    option proto 'udp'
    option dest_port '68'
    option target 'ACCEPT'
    option family 'ipv4'

config rule
    option name 'Allow-Ping'
    option src 'wan'
    option proto 'icmp'
    option icmp_type 'echo-request'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-IGMP'
    option src 'wan'
    option proto 'igmp'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-DHCPv6'
    option src 'wan'
    option proto 'udp'
    option dest_port '546'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-MLD'
    option src 'wan'
    option proto 'icmp'
    option src_ip 'fe80::/10'
    list icmp_type '130/0'
    list icmp_type '131/0'
    list icmp_type '132/0'
    list icmp_type '143/0'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Input'
    option src 'wan'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    list icmp_type 'router-solicitation'
    list icmp_type 'neighbour-solicitation'
    list icmp_type 'router-advertisement'
    list icmp_type 'neighbour-advertisement'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Forward'
    option src 'wan'
    option dest '*'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-IPSec-ESP'
    option src 'wan'
    option dest 'lan'
    option proto 'esp'
    option target 'ACCEPT'

config rule
    option name 'Allow-ISAKMP'
    option src 'wan'
    option dest 'lan'
    option dest_port '500'
    option proto 'udp'
    option target 'ACCEPT'

config forwarding
    option src 'lan2'
    option dest 'lan'

config zone
    option name 'vpn'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'
    option network 'br-lan2'

config forwarding
    option src 'lan2'
    option dest 'vpn'

config forwarding
    option src 'vpn'
    option dest 'lan2'

network:

config interface 'loopback'
    option device 'lo'
    option proto 'static'
    option ipaddr '127.0.0.1'
    option netmask '255.0.0.0'

config globals 'globals'
    option ula_prefix 'fd02:36b9:2190::/48'

config device
    option name 'br-lan'
    option type 'bridge'
    list ports 'eth0.1'

config interface 'lan'
    option device 'br-lan'
    option proto 'static'
    option ipaddr '192.168.3.1'
    option netmask '255.255.255.0'
    option ip6assign '60'

config device
    option name 'eth0.2'
    option macaddr 'a0:f3:c1:ce:0f:d7'

config interface 'wan'
    option device 'eth0.2'
    option proto 'dhcp'

config interface 'wan6'
    option device 'eth0.2'
    option proto 'dhcpv6'

config switch
    option name 'switch0'
    option reset '1'
    option enable_vlan '1'

# VLAN 1 dla LAN (bez portu 4, który jest teraz w VLAN 3)
config switch_vlan
    option device 'switch0'
    option vlan '1'
    option ports '2 3 5 0t'

# VLAN 2 dla WAN
config switch_vlan
    option device 'switch0'
    option vlan '2'
    option ports '1 0t'

# Dodajemy VLAN 3 dla LAN2
config switch_vlan
    option device 'switch0'
    option vlan '3'
    option ports '4 6t'

# Mostek dla lan2, obejmujący eth0.3 i tap0
config interface 'lan2'
    option device 'br-lan2'
    option proto 'static'
    option ipaddr '192.168.1.146'
    option netmask '255.255.255.0'

config device
    option name 'br-lan2'
    option type 'bridge'
    list ports 'eth0.3'  # Przypisanie eth0.3 (port LAN 4) do bridge'a lan2
    list ports 'tap0'    # Przypisanie tap0 do bridge'a lan2

config interface 'wwan'
    option proto 'dhcp'

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 113,949

Odp: TP-Link TL-WDR3600 v1 - TAP VPN - Client - > problem z zaporą ?

1. W firewallu masz  option network 'br-lan2' co jest błędem. Sieci nazywa się lan2, br-lan2 to nazwa bridge a nie sieci. Tam ma być lan2 jak już

Chcesz z lan2 wyjść do internetu przez wan? To brakuje ci

config forwarding
    option src 'lan2'
    option dest 'wan'

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez andrewxxx

  • Zarejestrowany: 2012-02-18
  • Posty: 704

Odp: TP-Link TL-WDR3600 v1 - TAP VPN - Client - > problem z zaporą ?

Nie ruszyły sad
Wydzieliłem też jeden port w lan i tam wcale nie otrzymuje adresu dhcp.

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 113,949

Odp: TP-Link TL-WDR3600 v1 - TAP VPN - Client - > problem z zaporą ?

A mi działa.

I teraz jesteś w kropce, bo nie wiesz co mi działa a ja nie wiem co nie ruszyło. Naucz się pisać dokładnie o co chodzi, bo "nie ruszyły" kompletnie nic nie oznacza. Co "nie ruszyły"?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez andrewxxx

  • Zarejestrowany: 2012-02-18
  • Posty: 704

Odp: TP-Link TL-WDR3600 v1 - TAP VPN - Client - > problem z zaporą ?

Zmodyfikowałem jednak konfigurację i teraz wygląda następująco, dodane do network, reszta usunięta:

config interface 'lan2'
    option device 'br-lan2'
    option proto 'static'
    option ipaddr '192.168.1.143'
    option netmask '255.255.255.0'

config device
    option name 'br-lan2'
    option type 'bridge'
    list ports 'tap0'

firewall

bez zmian

Klient łączy się po wifi i ma już dostęp do sieci vpn (do sieci lokalnej) i (to mu wystarczy), ale nie wiem jak teraz zrobić, aby z serwera można było dobić się do klienta (192.168.1.143).

Zapewne u klienta trzeba dodać jakiś forwarding na zaporze?

6 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 113,949

Odp: TP-Link TL-WDR3600 v1 - TAP VPN - Client - > problem z zaporą ?

Lub otworzenie portów. Zależy co tam jest.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

7 Odpowiedź przez andrewxxx

  • Zarejestrowany: 2012-02-18
  • Posty: 704

Odp: TP-Link TL-WDR3600 v1 - TAP VPN - Client - > problem z zaporą ?

Naprawione prawie wszystko, ale z wifi jest teraz problem, który nie wiem jak rozwiązać, a mianowicie.
Było tak i były dwie różne sieci, jedna tap a druga "standardowa" (na dwa radia):

config wifi-device 'radio0'
    option type 'mac80211'
    option path 'platform/ahb/18100000.wmac'
    option channel '1'
    option band '2g'
    option htmode 'HT20'
    option cell_density '0'

config wifi-iface 'default_radio0'
    option device 'radio0'
    option network 'lan2'
    option mode 'ap'
    option ssid 'OpenWrt-tap'
    option encryption 'psk-mixed'
    option key 'haslo'

config wifi-device 'radio1'
    option type 'mac80211'
    option path 'pci0000:00/0000:00:00.0'
    option channel '36'
    option band '5g'
    option htmode 'HT20'
    option cell_density '0'

config wifi-iface 'default_radio1'
    option device 'radio1'
    option network 'lan'
    option mode 'ap'
    option ssid 'OpenWrt5-lan'
    option encryption 'psk-mixed'
    option key 'haslo'

I to działało poprawnie.

Teraz jak dodaje to nową sieć typu "sta", aby była ona wan w mojej konfiguracji to radio nie jest już dostępne:

config wifi-device 'radio0'
    option type 'mac80211'
    option path 'platform/ahb/18100000.wmac'
    option channel '1'
    option band '2g'
    option htmode 'HT20'
    option cell_density '0'

config wifi-iface 'default_radio0'
    option device 'radio0'
    option network 'lan2'
    option mode 'ap'
    option ssid 'OpenWrt-tap'
    option encryption 'psk-mixed'
    option key 'haslo'

config wifi-device 'radio1'
    option type 'mac80211'
    option path 'pci0000:00/0000:00:00.0'
    option channel '36'
    option band '5g'
    option htmode 'HT20'
    option cell_density '0'

config wifi-iface 'default_radio1'
    option device 'radio1'
    option network 'lan'
    option mode 'ap'
    option ssid 'OpenWrt5-lan'
    option encryption 'psk-mixed'
    option key 'haslo'

config wifi-iface 'wifinet2'
    option device 'radio1'
    option mode 'sta'
    option ssid 'open'
    option encryption 'psk-mixed'
    option key 'haslo'
    option network 'wwan'

pojawia się taki błąd w logach:

Fri Sep 20 10:29:05 2024 daemon.notice hostapd: handle_probe_req: send failed
Fri Sep 20 10:29:05 2024 daemon.notice hostapd: handle_probe_req: send failed
Fri Sep 20 10:29:05 2024 daemon.notice hostapd: handle_probe_req: send failed


nie wiem gdzie szukać przyczyny, dodawałem nową sieć przez "luci".

8 Odpowiedź przez Cezary (edytowany przez Cezary 2024-09-20 11:48:16)

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 113,949

Odp: TP-Link TL-WDR3600 v1 - TAP VPN - Client - > problem z zaporą ?

Sta się musi podłączyć żeby ap działał. Taki urok sterowników

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

9 Odpowiedź przez andrewxxx

  • Zarejestrowany: 2012-02-18
  • Posty: 704

Odp: TP-Link TL-WDR3600 v1 - TAP VPN - Client - > problem z zaporą ?

Dobra faktycznie tak jest :-) i wówczas działa.
To jeszcze jedna i ostatnia kwestia :-) podejrzana

Dodałem sobie sieć standardową :-) 

config wifi-iface 'wifinet4'
    option device 'radio0'
    option mode 'ap'
    option ssid 'OpenWrt2'
    option encryption 'psk-mixed'
    option key 'haslo
    option network 'lan'

i każdy kto do niej wejdzie ma dostęp do sieci lokalnej, ale do Internetu już nie :-(

a każdy kto jest podpięty przewodem to mu działa

gdzie szukać przyczyny ? które ustawienia firewall ?

10 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 113,949

Odp: TP-Link TL-WDR3600 v1 - TAP VPN - Client - > problem z zaporą ?

W sumie żadne, jeżeli kabel to też sieć "lan" to musi działać i tu i tu.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

11 Odpowiedź przez andrewxxx

  • Zarejestrowany: 2012-02-18
  • Posty: 704

Odp: TP-Link TL-WDR3600 v1 - TAP VPN - Client - > problem z zaporą ?

A jednak po lanie też nie ma, miałem wifi zapięta.

Tak wygląda cała konfiguracja:

No właśnie nie działa sad jest tylko dostęp do sieci lokalnej, a neta odcina.

network

config interface 'loopback'
    option device 'lo'
    option proto 'static'
    option ipaddr '127.0.0.1'
    option netmask '255.0.0.0'

config globals 'globals'
    option ula_prefix 'fdce:c243:1c40::/48'

config device
    option name 'br-lan'
    option type 'bridge'
    list ports 'eth0.1'

config interface 'lan'
    option device 'br-lan'
    option proto 'static'
    option ipaddr '192.168.3.1'
    option netmask '255.255.255.0'
    option ip6assign '60'

config interface 'lan2'
    option device 'br-lan2'
    option proto 'static'
    option ipaddr '192.168.1.143'
    option netmask '255.255.255.0'

config device
    option name 'br-lan2'
    option type 'bridge'
    list ports 'tap0'

config device
    option name 'eth0.2'
    option macaddr 'a0:f3:c1:ce:0f:d7'

config interface 'wan'
    option device 'eth0.2'
    option proto 'dhcp'

config interface 'wan6'
    option device 'eth0.2'
    option proto 'dhcpv6'

config switch
    option name 'switch0'
    option reset '1'
    option enable_vlan '1'

config switch_vlan
    option device 'switch0'
    option vlan '1'
    option ports '2 3 4 5 0t'

config switch_vlan
    option device 'switch0'
    option vlan '2'
    option ports '1 0t'

config interface 'wwan'
    option proto 'dhcp'

firewall:

config defaults
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option synflood_protect '1'

config zone
    option name 'lan'
    list network 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'

config zone
    option name 'lan2'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'
    list network 'lan2'

config zone
    option name 'wan'
    list network 'wan'
    list network 'wan6'
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option masq '1'
    option mtu_fix '1'

config forwarding
    option src 'lan'
    option dest 'wan'

config rule
    option name 'Allow-DHCP-Renew'
    option src 'wan'
    option proto 'udp'
    option dest_port '68'
    option target 'ACCEPT'
    option family 'ipv4'

config rule
    option name 'Allow-Ping'
    option src 'wan'
    option proto 'icmp'
    option icmp_type 'echo-request'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-IGMP'
    option src 'wan'
    option proto 'igmp'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-DHCPv6'
    option src 'wan'
    option proto 'udp'
    option dest_port '546'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-MLD'
    option src 'wan'
    option proto 'icmp'
    option src_ip 'fe80::/10'
    list icmp_type '130/0'
    list icmp_type '131/0'
    list icmp_type '132/0'
    list icmp_type '143/0'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Input'
    option src 'wan'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    list icmp_type 'router-solicitation'
    list icmp_type 'neighbour-solicitation'
    list icmp_type 'router-advertisement'
    list icmp_type 'neighbour-advertisement'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Forward'
    option src 'wan'
    option dest '*'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-IPSec-ESP'
    option src 'wan'
    option dest 'lan'
    option proto 'esp'
    option target 'ACCEPT'

config rule
    option name 'Allow-ISAKMP'
    option src 'wan'
    option dest 'lan'
    option dest_port '500'
    option proto 'udp'
    option target 'ACCEPT'

config zone
    option name 'vpn'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'
    list network 'tap0'

config forwarding
    option src 'vpn'
    option dest 'lan'

config forwarding
    option src 'lan'
    option dest 'vpn'

config forwarding
    option src 'vpn'
    option dest 'lan2'

config forwarding
    option src 'lan2'
    option dest 'vpn'

config rule
    option name 'Allow-Traffic-VPN-LAN2'
    option src 'vpn'
    option dest 'lan2'
    option proto 'all'
    option target 'ACCEPT'

config rule
    option name 'Allow-Traffic-LAN2-VPN'
    option src 'lan2'
    option dest 'vpn'
    option proto 'all'
    option target 'ACCEPT'

wireless:

config wifi-device 'radio0'
    option type 'mac80211'
    option path 'platform/ahb/18100000.wmac'
    option channel '1'
    option band '2g'
    option htmode 'HT20'
    option cell_density '0'

config wifi-iface 'default_radio0'
    option device 'radio0'
    option network 'lan2'
    option mode 'ap'
    option ssid 'OpenWrt-tap'
    option encryption 'psk-mixed'
    option key ''

config wifi-device 'radio1'
    option type 'mac80211'
    option path 'pci0000:00/0000:00:00.0'
    option channel '36'
    option band '5g'
    option htmode 'HT20'
    option cell_density '0'

config wifi-iface 'default_radio1'
    option device 'radio1'
    option network 'wwan'
    option mode 'sta'
    option ssid 'open'
    option encryption 'psk-mixed'
    option key ''

config wifi-iface 'wifinet2'
    option device 'radio0'
    option mode 'ap'
    option ssid 'vpn'
    option encryption 'psk-mixed'
    option key ''
    option network 'lan2'

config wifi-iface 'wifinet3'
    option device 'radio0'
    option mode 'ap'
    option ssid 'vpn2'
    option encryption 'psk-mixed'
    option key ''
    option network 'lan2'

config wifi-iface 'wifinet4'
    option device 'radio0'
    option mode 'ap'
    option ssid 'OpenWrt2'
    option encryption 'psk-mixed'
    option key ''
    option network 'lan'

dhcp:

config dnsmasq
    option domainneeded    1
    option boguspriv    1
    option filterwin2k    0  # enable for dial on demand
    option localise_queries    1
    option rebind_protection 1  # disable if upstream must serve RFC1918 addresses
    option rebind_localhost 1  # enable for RBL checking and similar services
    #list rebind_domain example.lan  # whitelist RFC1918 responses for domains
    option local    '/lan/'
    option domain    'lan'
    option expandhosts    1
    option nonegcache    0
    option cachesize    1000
    option authoritative    1
    option readethers    1
    option leasefile    '/tmp/dhcp.leases'
    option resolvfile    '/tmp/resolv.conf.d/resolv.conf.auto'
    #list server        '/mycompany.local/1.2.3.4'
    option nonwildcard    1 # bind to & keep track of interfaces
    #list interface        br-lan
    #list notinterface    lo
    #list bogusnxdomain     '64.94.110.11'
    option localservice    1  # disable to allow DNS requests from non-local subnets
    option ednspacket_max    1232
    option filter_aaaa    0
    option filter_a        0
    #list addnmount        /some/path # read-only mount path to expose it to dnsmasq

config dhcp lan
    option interface    lan
    option start     100
    option limit    150
    option leasetime    12h

config dhcp wan
    option interface    wan
    option ignore    1

# DHCP dla LAN2 jest ignorowany, bo adresy są z serwera OpenVPN
config dhcp 'lan2'
    option interface 'lan2'
    option ignore '1'

12 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 113,949

Odp: TP-Link TL-WDR3600 v1 - TAP VPN - Client - > problem z zaporą ?

route -n

pokaż.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

13 Odpowiedź przez andrewxxx

  • Zarejestrowany: 2012-02-18
  • Posty: 704

Odp: TP-Link TL-WDR3600 v1 - TAP VPN - Client - > problem z zaporą ?

root@OpenWrt:~# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.0.0.27       0.0.0.0         UG    0      0        0 phy1-sta0
10.0.0.0        0.0.0.0         255.255.254.0   U     0      0        0 phy1-sta0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 br-lan2
192.168.3.0     0.0.0.0         255.255.255.0   U     0      0        0 br-lan
root@OpenWrt:~#

14 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 113,949

Odp: TP-Link TL-WDR3600 v1 - TAP VPN - Client - > problem z zaporą ?

Albo sieć wwan dodaj do strefy wan w firewallu albo robisz oddzielną strefę dla wwan, przypisujesz do niej sieć wwan, ustawiasz maskaradę i kolejny wpis zezwalający na forwarding lan do wwan.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

15 Odpowiedź przez andrewxxx

  • Zarejestrowany: 2012-02-18
  • Posty: 704

Odp: TP-Link TL-WDR3600 v1 - TAP VPN - Client - > problem z zaporą ?

Teraz jest jak złoto smile śmiga elegancko.
Podziękować.