26 Odpowiedź przez PiotrekK (edytowany przez PiotrekK 2024-11-21 16:50:33)

  • Skąd: woj. mazowieckie
  • Zarejestrowany: 2023-06-03
  • Posty: 735

Odp: OpenVPN+pbr

1. Czyli sytuacja jest taka, że urządzenie IP=...101 widoczne jest zdalnie (z zewnątrz) przez VPN i widoczne jest również w lokalnej sieci LAN, ale jak wyłączysz VPN to nie widać go również w lokalnej sieci LAN?

2. Patrzę na tą konfigurację pbr i nie rozumiem, jaka jest myśl przewodnia wykorzystywania takiej armaty jak PBR do tego aby przez VPN można było się dostać do jednego urządzenia a do reszty nie. Mógłbyś zaspokoić moją ciekawość/niewiedzę?

Korzystam z: MF286D; r32225 Kernel 6.12.60 i AW1000; r34139 Kernel 6.12.80
Wypełnij ankietę. Poprawiamy tłumaczenie LuCI. Szczegóły w tym poście

27 Odpowiedź przez Cezary (edytowany przez Cezary 2024-11-21 18:50:39)

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,915

Odp: OpenVPN+pbr

1. Nie, żeby urządzenie wychodziło w świat przez vpn a po wyłączeniu vpn szło przez wan. Teraz wg niego się to nie dzieje
2. ma wiele innych urządzeń które domyślnie kieruje przez wan zamiast vpn. I nie ma to nic wspólnego z "dostaniem się do urządzenia" Chodzi o to którym łączem urządzenie wychodzi w świat.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

28 Odpowiedź przez PiotrekK (edytowany przez PiotrekK 2024-11-21 18:51:45)

  • Skąd: woj. mazowieckie
  • Zarejestrowany: 2023-06-03
  • Posty: 735

Odp: OpenVPN+pbr

OK, czyli urządzenie wychodzi z sieci OpenWRT przez tunel OpenVPN, który jest klientem serwera VPN na jakimś zewnętrznym serwisie.

Korzystam z: MF286D; r32225 Kernel 6.12.60 i AW1000; r34139 Kernel 6.12.80
Wypełnij ankietę. Poprawiamy tłumaczenie LuCI. Szczegóły w tym poście

29 Odpowiedź przez hiuman (edytowany przez hiuman 2024-11-21 19:22:24)

  • hiuman
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2019-03-16
  • Posty: 170

Odp: OpenVPN+pbr

Cezary napisał/a:

1. Nie, żeby urządzenie wychodziło w świat przez vpn a po wyłączeniu vpn szło przez wan. Teraz wg niego się to nie dzieje
2. ma wieje innych urządzeń które domyślnie kieruje przez wan zamiast vpn. I nie ma to nic wspólnego z "dostaniem się do urządzenia" Chodzi o to którym łączem urządzenie wychodzi w świat.

Dokładnie.
Teraz zmieniłem partycje z wersją 21.02 i tu jest wszystko dobrze.

30 Odpowiedź przez PiotrekK

  • Skąd: woj. mazowieckie
  • Zarejestrowany: 2023-06-03
  • Posty: 735

Odp: OpenVPN+pbr

A jeszcze powiedz, co to znaczy: "ale w razie utraty vpn żeby nadal działało w sieci."?

Korzystam z: MF286D; r32225 Kernel 6.12.60 i AW1000; r34139 Kernel 6.12.80
Wypełnij ankietę. Poprawiamy tłumaczenie LuCI. Szczegóły w tym poście

31 Odpowiedź przez hiuman

  • hiuman
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2019-03-16
  • Posty: 170

Odp: OpenVPN+pbr

Czasami zewnętrzny dostawca vpn robi jakieś restarty i wtedy tracę tunel. przy takiej sytuacji chcę dalej mieć dostęp do internetu.

32 Odpowiedź przez PiotrekK (edytowany przez PiotrekK 2024-11-21 19:07:45)

  • Skąd: woj. mazowieckie
  • Zarejestrowany: 2023-06-03
  • Posty: 735

Odp: OpenVPN+pbr

OK, czyli to urządzenie 'vu+' korzysta z internetu dostawcy usług przez VPN, a jak dostawca tych usług wyłącza VPN, to ten dekoder coś tam pobiera sobie z internetu (przez WAN ) już poza siecią tego dostawcy, tak?

Korzystam z: MF286D; r32225 Kernel 6.12.60 i AW1000; r34139 Kernel 6.12.80
Wypełnij ankietę. Poprawiamy tłumaczenie LuCI. Szczegóły w tym poście

33 Odpowiedź przez hiuman (edytowany przez hiuman 2024-11-21 19:10:05)

  • hiuman
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2019-03-16
  • Posty: 170

Odp: OpenVPN+pbr

Tak
W tej konfiguracji on w ogóle nie ma dostępu do internetu. Jak włącze vpn od razu dostaje internet.

34 Odpowiedź przez PiotrekK (edytowany przez PiotrekK 2024-11-21 19:16:31)

  • Skąd: woj. mazowieckie
  • Zarejestrowany: 2023-06-03
  • Posty: 735

Odp: OpenVPN+pbr

Rozumiem, że walczysz z tym PBR na OpenWrt 24.10-SNAPSHOT?
A może warto sprawdzić to na stabilnej wersji np. 23.05.5 ?

Korzystam z: MF286D; r32225 Kernel 6.12.60 i AW1000; r34139 Kernel 6.12.80
Wypełnij ankietę. Poprawiamy tłumaczenie LuCI. Szczegóły w tym poście

35 Odpowiedź przez hiuman (edytowany przez hiuman 2024-11-21 19:23:47)

  • hiuman
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2019-03-16
  • Posty: 170

Odp: OpenVPN+pbr

Zainstalowałem najnowszą wersję bo @Cezary mi zasugerował aktualizację. Ciągle używam wersji 21.02.

36 Odpowiedź przez PiotrekK (edytowany przez PiotrekK 2024-11-21 19:29:19)

  • Skąd: woj. mazowieckie
  • Zarejestrowany: 2023-06-03
  • Posty: 735

Odp: OpenVPN+pbr

A może trzeba tak pojechać:

ip rule add from 192.168.1.101 lookup 100
ip route add default via 10.8.0.1 dev tun0 table 100  # 10.8.0.1 to adres IP bramy OpenVPN
ip route add default via 192.168.1.1 dev eth0  # 192.168.1.1 to adres bramy WAN


uci add network route
uci set network.@route[-1].interface='vpn' 
uci set network.@route[-1].target='0.0.0.0'
uci set network.@route[-1].netmask='0.0.0.0'
uci set network.@route[-1].gateway='10.8.0.1'  # Adres bramy VPN
uci commit network

uci add firewall rule
uci set firewall.@rule[-1].src='lan'
uci set firewall.@rule[-1].src_ip='192.168.1.101'
uci set firewall.@rule[-1].dest='wan'
uci set firewall.@rule[-1].proto='all'
uci set firewall.@rule[-1].target='ACCEPT'
uci set firewall.@rule[-1].family='ipv4'
uci commit firewall
Korzystam z: MF286D; r32225 Kernel 6.12.60 i AW1000; r34139 Kernel 6.12.80
Wypełnij ankietę. Poprawiamy tłumaczenie LuCI. Szczegóły w tym poście

37 Odpowiedź przez hiuman

  • hiuman
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2019-03-16
  • Posty: 170

Odp: OpenVPN+pbr

A jak ustalić adres bramy vpn, bo IP vpn jest zmienne.

38 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,915

Odp: OpenVPN+pbr

Najprostszy pbr:
/etc/config/network:

config interface 'wan'
    option proto 'qmi'
    option device '/dev/cdc-wdm0'
    option apn 'internet'
    list dns '1.1.1.1'
    list dns '1.0.0.1'
    option peerdns '0'
    option metric '10'

config interface 'wg0'
    option proto 'wireguard'
        ...
    option metric '20'
    option ip4table '3'

config wireguard_wg0
    option route_allowed_ips '1'
    list allowed_ips '0.0.0.0/0'
        ...

config rule
    option src 192.168.11.229/32
    option lookup '3'
    option priority '30000'

Gdzie 192.168.11.229 to klient wpięty kablem do lanu. wan jest przez modem, wg0 to akurat wireguard, wan ma mniejszy metric więc jest "głównym" interfejsem.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

39 Odpowiedź przez hiuman

  • hiuman
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2019-03-16
  • Posty: 170

Odp: OpenVPN+pbr

Dobrze rozumiem że mam podmienić u siebie? Jutro to zrobię.

40 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,915

Odp: OpenVPN+pbr

Jak chcesz. Zrobiłem tylko jako prymitywny przykład do pakiety pbr.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

41 Odpowiedź przez hiuman

  • hiuman
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2019-03-16
  • Posty: 170

Odp: OpenVPN+pbr

A może coś w configach skopałem. Można wgrać configi z wersji 21?

42 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,915

Odp: OpenVPN+pbr

Nie, nie możesz. Zmieniły się ustawienia od tamtej wersji.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

43 Odpowiedź przez hiuman

  • hiuman
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2019-03-16
  • Posty: 170

Odp: OpenVPN+pbr

Ok rozumiem

44 Odpowiedź przez hiuman

  • hiuman
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2019-03-16
  • Posty: 170

Odp: OpenVPN+pbr

@Cezary zainstalowałem jeszcze raz Twój obraz 24.10 i z konfigurowałem wszystko od nowa. W końcu wszystko zatrybiło i działa tak jak chciałem.
Możesz jeszcze raz zobaczyć czy wszystko jest dobrze?
Firewall:

config defaults
    option syn_flood '1'
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'

config zone
    option name 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'
    list network 'lan'

config zone
    option name 'wan'
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option masq '1'
    option mtu_fix '1'
    list network 'wan'
    list network 'wan6'

config forwarding
    option src 'lan'
    option dest 'wan'

config rule
    option name 'Allow-DHCP-Renew'
    option src 'wan'
    option proto 'udp'
    option dest_port '68'
    option target 'ACCEPT'
    option family 'ipv4'

config rule
    option name 'Allow-Ping'
    option src 'wan'
    option proto 'icmp'
    option icmp_type 'echo-request'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-IGMP'
    option src 'wan'
    option proto 'igmp'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-DHCPv6'
    option src 'wan'
    option proto 'udp'
    option dest_port '546'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-MLD'
    option src 'wan'
    option proto 'icmp'
    option src_ip 'fe80::/10'
    list icmp_type '130/0'
    list icmp_type '131/0'
    list icmp_type '132/0'
    list icmp_type '143/0'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Input'
    option src 'wan'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    list icmp_type 'router-solicitation'
    list icmp_type 'neighbour-solicitation'
    list icmp_type 'router-advertisement'
    list icmp_type 'neighbour-advertisement'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Forward'
    option src 'wan'
    option dest '*'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-IPSec-ESP'
    option src 'wan'
    option dest 'lan'
    option proto 'esp'
    option target 'ACCEPT'

config rule
    option name 'Allow-ISAKMP'
    option src 'wan'
    option dest 'lan'
    option dest_port '500'
    option proto 'udp'
    option target 'ACCEPT'

config zone
    option name 'vpn'
    option input 'ACCEPT'
    option forward 'ACCEPT'
    option output 'ACCEPT'
    option network 'vpn'
    option masq '1'

config forwarding
    option src 'vpn'
    option dest 'wan'

config rule
    option name 'OpenVPN'
    option target 'ACCEPT'
    option src 'wan'
    option proto 'udp'
    option dest_port '1194'

config forwarding
    option src 'vpn'
    option dest 'lan'

config forwarding
    option src 'lan'
    option dest 'vpn'

config include 'pbr'
    option fw4_compatible '1'
    option type 'script'
    option path '/usr/share/pbr/firewall.include'

Network:

config interface 'loopback'
    option device 'lo'
    option proto 'static'
    option ipaddr '127.0.0.1'
    option netmask '255.0.0.0'

config globals 'globals'
    option ula_prefix 'fd2a:84dd:73f9::/48'

config device
    option name 'br-lan'
    option type 'bridge'
    list ports 'lan1'
    list ports 'lan2'
    list ports 'lan3'
    list ports 'lan4'

config interface 'lan'
    option device 'br-lan'
    option proto 'static'
    option ipaddr '192.168.1.1'
    option netmask '255.255.255.0'
    option ip6assign '60'

config device
    option name 'wan'
    option macaddr 'ea:9f:80:1b:5f:f8'

config interface 'wan'
    option device 'wan'
    option proto 'dhcp'
    option dns '8.8.8.8 8.8.4.4'
    option peerdns '0'

config interface 'wan6'
    option device 'wan'
    option proto 'dhcpv6'

config interface 'vpn'
    option device 'tun0'
    option proto 'none'

Pbr:

config pbr 'config'
    option enabled '1'
    option verbosity '2'
    option strict_enforcement '1'
    option resolver_set 'none'
    list resolver_instance '*'
    option ipv6_enabled '0'
    list ignored_interface 'vpnserver'
    option boot_timeout '30'
    option rule_create_option 'add'
    option procd_boot_delay '0'
    option procd_reload_delay '1'
    option webui_show_ignore_target '0'
    option nft_rule_counter '0'
    option nft_set_auto_merge '1'
    option nft_set_counter '0'
    option nft_set_flags_interval '1'
    option nft_set_flags_timeout '0'
    option nft_set_policy 'performance'
    list webui_supported_protocol 'all'
    list webui_supported_protocol 'tcp'
    list webui_supported_protocol 'udp'
    list webui_supported_protocol 'tcp udp'
    list webui_supported_protocol 'icmp'

config include
    option path '/usr/share/pbr/pbr.user.aws'
    option enabled '0'

config include
    option path '/usr/share/pbr/pbr.user.netflix'
    option enabled '0'

config dns_policy
    option name 'Redirect Local IP DNS'
    option src_addr '192.168.1.5'
    option dest_dns '1.1.1.1'
    option enabled '0'

config policy
    option name 'Ignore Local Requests'
    option interface 'ignore'
    option dest_addr '10.0.0.0/24 10.0.1.0/24 192.168.100.0/24 192.168.1.0/24'
    option enabled '0'

config policy
    option name 'Plex/Emby Local Server'
    option interface 'wan'
    option src_port '8096 8920 32400'
    option enabled '0'

config policy
    option name 'Plex/Emby Remote Servers'
    option interface 'wan'
    option dest_addr 'plex.tv my.plexapp.com emby.media app.emby.media tv.emby.media'
    option enabled '0'

config policy
    option name 'WDMyCloud'
    option src_addr '192.168.1.247'
    option interface 'wan'

config policy
    option name 'ElizyTelefon'
    option src_addr '192.168.1.208'
    option interface 'wan'

config policy
    option name 'POCOM3'
    option src_addr '192.168.1.179'
    option interface 'wan'

config policy
    option name 'PS4'
    option src_addr '192.168.1.115'
    option interface 'wan'

config policy
    option name 'ElizaTablet'
    option src_addr '192.168.1.105'
    option interface 'wan'

config policy
    option name 'Drukarka'
    option src_addr '192.168.1.203'
    option interface 'wan'

config policy
    option name 'MojLaptop'
    option src_addr '192.168.1.103'
    option interface 'wan'

config policy
    option name 'iRobot-2FDF77BAABCB4BC5BE245CE3D9508648'
    option src_addr '192.168.1.209'
    option interface 'wan'

config policy
    option name 'TvBRAVIA'
    option src_addr '192.168.1.188'
    option interface 'wan'

config policy
    option name 'rapb'
    option src_addr '192.168.1.176'
    option interface 'wan'

config policy
    option name 'raspberrypi'
    option src_addr '192.168.1.211'
    option interface 'wan'

config policy
    option name 'ElizaIphon'
    option src_addr '192.168.1.157'
    option interface 'wan'

config policy
    option name 'MotoTomek'
    option src_addr '192.168.1.114'
    option interface 'wan'

config policy
    option name 'Laptop-tomek'
    option src_addr '192.168.1.182'
    option interface 'wan'

config policy
    option name 'KasiaMoto'
    option src_addr '192.168.1.173'
    option interface 'wan'

config policy
    option name 'ElizyLaptop'
    option src_addr '192.168.1.164'
    option interface 'wan'

config policy
    option name 'OPPO-Reno5-Lite'
    option src_addr '192.168.1.122'
    option interface 'wan'

config policy
    option name 'adam-Maly-Komputer'
    option src_addr '192.168.1.110'
    option interface 'wan'

45 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,915

Odp: OpenVPN+pbr

Tak z ciekawości - ile masz hostów które idą przez wan a ile przez vpn?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

46 Odpowiedź przez hiuman

  • hiuman
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2019-03-16
  • Posty: 170

Odp: OpenVPN+pbr

18 przez wan, a przez vpn 1 czasem 2