• Zarejestrowany: 2013-08-22
  • Posty: 78

Temat: openvpn, a dostęp z zew.

Witam.

Mecze się już z jednym problemem prawie godzinę nie mogąc znaleźć rozwiązania, być może ktoś tutaj będzie znał odpowiedź.
Mam na routerze zainstalowanego klienta openvpn, żeby na stałe łączyć się przez niego z internetem.
Jednak chciałbym mieć dostęp do routera z zew., na normalnym ip.
Oto moje configi:

config interface 'loopback'
    option ifname 'lo'
    option proto 'static'
    option ipaddr '127.0.0.1'
    option netmask '255.0.0.0'

config interface 'lan'
    option ifname 'eth0.1'
    option type 'bridge'
    option proto 'static'
    option ipaddr '192.168.3.1'
    option netmask '255.255.255.0'

config interface 'wan'
    option ifname 'eth0.2'
    option proto 'dhcp'
    option macaddr '00:1F:A4:DE:17:78'

config interface 'vpn'
    option ifname 'tun0'
    option proto 'none'
    option defaultroute '1'
config defaults
    option syn_flood '1'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'REJECT'

config zone
    option name 'lan'
    option network 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'REJECT'

config zone
    option name 'wan'
    option network 'wan'
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option masq '1'
    option mtu_fix '1'

config zone
    option name 'vpn'
    option network 'vpn'
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option masq 1

config forwarding
    option src 'vpn'
    option dest 'lan'

config forwarding
        option src lan
        option dest vpn

config forwarding
    option src 'lan'
    option dest 'wan'

#vpn
config rule
       option src              lan
       option dest             wan
       option proto            tcpudp
       option dest_ip          192.168.3.0/24
       option target           ACCEPT

config rule
       option src              lan
       option dest             wan
       option proto            tcpudp
       option target           REJECT

config rule
        option src      wan
        option proto    tcp
        option target   ACCEPT
#end
 ...

Co powinienem zmienić aby działało to tak jak chcę?

http://bbarwik.com/meteo/ - stacja meteo na OpenWrt
MR3420v2 + 2xWDR3600 + Foxconn NT-435 + Foxconn NT-535.
Niestety teraz wynajmuję mieszkanie więc tymczasowo plany rozbudowy wstrzymane sad

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,169

Odp: openvpn, a dostęp z zew.

Otwórz port na wan ten który użyłeś w openvpn.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez bbarwik

  • Zarejestrowany: 2013-08-22
  • Posty: 78

Odp: openvpn, a dostęp z zew.

Mam otwarte wszystkie porty na WAN

config rule
        option src      wan
        option proto    tcp
        option target   ACCEPT

Taka konfiguracja bez openvpn bez problemu śmiga, dopiero po dodaniu option defaultroute '1' urywa się dostęp do rutera z zew..

http://bbarwik.com/meteo/ - stacja meteo na OpenWrt
MR3420v2 + 2xWDR3600 + Foxconn NT-435 + Foxconn NT-535.
Niestety teraz wynajmuję mieszkanie więc tymczasowo plany rozbudowy wstrzymane sad

4 Odpowiedź przez michal_dydycz

  • Zarejestrowany: 2012-01-06
  • Posty: 58

Odp: openvpn, a dostęp z zew.

No jak wol masz przeciez route map zmieniona default gw przechodzi na kanal vpn i pupa wink albo iproute 2 albo static dla wan dla adresu z ktorego sie wbijasz wink inaczej tylko wewntrz tunelu idzie ruch ....

5 Odpowiedź przez michal_dydycz

  • Zarejestrowany: 2012-01-06
  • Posty: 58

Odp: openvpn, a dostęp z zew.

Spac mi sie nie chce wiec tak na wan dostaje pakiet a router z powrotem do Ciebie kieruje go przez vpn bo w tablicy routingu widzi wyjscie na swiat przez tunel ale pakiet nie dostaje sie dalej bo nie natuje go ani nic i tak nie zadziala ...
musisz dodac tabele routingu
dodac reguly dla tabel zeby dla danej tabeli wan byl default i to co wchodzi na wan zeby trafialo do tabeli z wyjsciem default przez wan ....

6 Odpowiedź przez bbarwik

  • Zarejestrowany: 2013-08-22
  • Posty: 78

Odp: openvpn, a dostęp z zew.

Masz racje, z tcpdump wynika że pakiety dochodzą na wan.

root@OpenWrt:~# ip route
0.0.0.0/1 via 10.4.78.133 dev tun0
default via 192.168.88.1 dev eth0.2  proto static
10.4.0.1 via 10.4.78.133 dev tun0
10.4.78.133 dev tun0  proto kernel  scope link  src 10.4.78.134
95.211.149.200 via 192.168.88.1 dev eth0.2
128.0.0.0/1 via 10.4.78.133 dev tun0
192.168.3.0/24 dev br-lan  proto kernel  scope link  src 192.168.3.1
192.168.88.0/24 dev eth0.2  proto kernel  scope link  src 192.168.88.19
http://bbarwik.com/meteo/ - stacja meteo na OpenWrt
MR3420v2 + 2xWDR3600 + Foxconn NT-435 + Foxconn NT-535.
Niestety teraz wynajmuję mieszkanie więc tymczasowo plany rozbudowy wstrzymane sad

7 Odpowiedź przez michal_dydycz

  • Zarejestrowany: 2012-01-06
  • Posty: 58

Odp: openvpn, a dostęp z zew.

ok wiec
najpier dodaj tabele zzzz
ip route add default xxxxxxx dev yyyy table zzzz
ip rule add from eeeeeeeee table zzzzz
tak w skrócie podpowiedz wink
xxxxxxx adres bramy dla wan
eeeeeee adres portu wan

8 Odpowiedź przez bbarwik (edytowany przez bbarwik 2013-10-13 15:21:19)

  • Zarejestrowany: 2013-08-22
  • Posty: 78

Odp: openvpn, a dostęp z zew.

ip route add default 192.168.88.1 dev tun0 table vpn
Error: either "to" is duplicate, or "192.168.88.1" is a garbage.

Coś nie bardzo mi to działa.

#Edit
Po zrobieniu:

 ip route delete 0.0.0.0/1 via 10.4.78.133 dev tun0

Zadziałało yikes

http://bbarwik.com/meteo/ - stacja meteo na OpenWrt
MR3420v2 + 2xWDR3600 + Foxconn NT-435 + Foxconn NT-535.
Niestety teraz wynajmuję mieszkanie więc tymczasowo plany rozbudowy wstrzymane sad

9 Odpowiedź przez bbarwik (edytowany przez bbarwik 2013-10-13 21:26:01)

  • Zarejestrowany: 2013-08-22
  • Posty: 78

Odp: openvpn, a dostęp z zew.

No tak, zadziałało tylko że vpn działa mi teraz tylko na porcie 80 (na 443 mam już normalne ip)

#edit
Poradziłem sobie tongue

ip route add 178.212.167.xx via 192.168.88.1 dev eth0.2

#edit 2
Jednak nie, dziala tylko z domowego ip..

http://bbarwik.com/meteo/ - stacja meteo na OpenWrt
MR3420v2 + 2xWDR3600 + Foxconn NT-435 + Foxconn NT-535.
Niestety teraz wynajmuję mieszkanie więc tymczasowo plany rozbudowy wstrzymane sad

10 Odpowiedź przez michal_dydycz

  • Zarejestrowany: 2012-01-06
  • Posty: 58

Odp: openvpn, a dostęp z zew.

Cos pomieszales wink  na wan masz zew IP ??? i tabela vpn to dodales ja jako odzielna dla wan czy dla vpn  ??? bo chodzi Ci o dostep z zewnatrz to nie testuje z domy tylko z zewnatrz i czy dodales ip rule add from ???? dla wejscia z zewnatrz ?

11 Odpowiedź przez michal_dydycz

  • Zarejestrowany: 2012-01-06
  • Posty: 58

Odp: openvpn, a dostęp z zew.

Ps bo jak wywaliles ta brame 0.0.0.0/1 to wywaliles default dla vpn wink

12 Odpowiedź przez bbarwik

  • Zarejestrowany: 2013-08-22
  • Posty: 78

Odp: openvpn, a dostęp z zew.

Ta, nie znam się na tym, jak masz jakiś konkretny pomysł to podrzuć i coś z tego może będzie.

http://bbarwik.com/meteo/ - stacja meteo na OpenWrt
MR3420v2 + 2xWDR3600 + Foxconn NT-435 + Foxconn NT-535.
Niestety teraz wynajmuję mieszkanie więc tymczasowo plany rozbudowy wstrzymane sad

13 Odpowiedź przez michal_dydycz

  • Zarejestrowany: 2012-01-06
  • Posty: 58

Odp: openvpn, a dostęp z zew.

config interface 'wan'
    option ifname 'eth0.2'
    option proto 'dhcp'
    option macaddr '00:1F:A4:DE:17:78'
Wychodzi na to ze to masz wan w tabeli co podales z ip wyglada na to ze masz tam adres 192.168.88.19
czyli nie masz routera na zewnetrznym ip wystawionym wiec masz jakis jeszcze jeden router co mapuje Ci zew IP na wew ???
i daodales tabele routingu wpis w rt_tables ???
jeszcze jedno w dhcp odznacz zeby nie dsotawal default gw a ustaw static route dla konca tunelu i dopiero poznie ip route 2 config wink
albo zacznij od usuniecia default dal tabeli chociaz vpn powinien przy starcie tunelu usunac tamta trase ....

14 Odpowiedź przez bbarwik

  • Zarejestrowany: 2013-08-22
  • Posty: 78

Odp: openvpn, a dostęp z zew.

Właśnie problem jest też w tym że openvpn automatycznie dodaje rekordy do route, nie idzie ich edytować. To 192.168.88.19 to ip na wam routera, mam radiówkę z unikalnym ip, a mój router jest ustawiony jako router brzegowy (wszystkie porty są przekierowane na mój router).
W rt_tables dodałem
10      vpn

http://bbarwik.com/meteo/ - stacja meteo na OpenWrt
MR3420v2 + 2xWDR3600 + Foxconn NT-435 + Foxconn NT-535.
Niestety teraz wynajmuję mieszkanie więc tymczasowo plany rozbudowy wstrzymane sad

15 Odpowiedź przez michal_dydycz (edytowany przez michal_dydycz 2013-10-17 21:36:57)

  • Zarejestrowany: 2012-01-06
  • Posty: 58

Odp: openvpn, a dostęp z zew.

OK wiem o Co ci Chodzi ale dlatego jest ta tabela zeby mimo tego iz vpn dodaje do jedej tabeli default to dla okreslonych warunkow pakiet wpada do innej tabeli .... rozumiem iz na dachu masz mikrotika bo klasa 88 to defaultowa w mietku jest ale powiedz mi czy w ip ip rule add from eeeeeeeee table zzzzz
jako eeeeeee dajesz adres z mietka 88 czy ten public ktory jest na mietku tzn mikrotiku ?
bo powinien byc ten co dostajesz z mietka z klasy 88 jesli masz jakos dynamicznie dodaj cala klase wejsciowa 88.0/24