welinux.ru / Есть вопрос! — openwrt openvpn tun client

Александр Шоренков 07.02.2014 12:03

Есть вопрос! — openwrt openvpn tun client

Здравствуйте!

Есть openwrt на нем стоит openvpn в режиме tun клиента.
Туннель поднимается. Но пинг из локалки сервера в локалку за openwrt не идет. Понимаю что косяк где-то в firewall, но где конкретно понять не могу.

конфиг /etc/config/firewall

config defaults
option syn_flood '1'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'

config zone
option name 'lan'
option network 'lan'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'

config zone
option name 'wan'
option network 'wan'
option input 'REJECT'
option output 'ACCEPT'
option forward 'REJECT'
option masq '1'
option mtu_fix '1'

config zone
option input 'ACCEPT'
option output 'ACCEPT'
option name 'vpn'
option network 'vpn'
option forward 'REJECT'

config forwarding
option dest 'lan'
option src 'vpn'

config forwarding
option dest 'vpn'
option src 'lan'

config forwarding
option src 'lan'
option dest 'wan'

config rule
option name 'Allow-DHCP-Renew'
option src 'wan'
option proto 'udp'
option dest_port '68'
option target 'ACCEPT'
option family 'ipv4'

config redirect
option name 'ssh'
option src 'wan'
option target 'DNAT'
option proto 'tcpudp'
option dest_port '22'
option src_dport '5555'
option dest 'lan'
option dest_ip '10.7.13.1'

config rule
option name 'Allow-Ping'
option proto 'icmp'
option icmp_type 'echo-request'
option family 'ipv4'
option target 'ACCEPT'
option src '*'
option dest '*'

config rule
option name 'Allow-DHCPv6'
option src 'wan'
option proto 'udp'
option src_ip 'fe80::/10'
option src_port '547'
option dest_ip 'fe80::/10'
option dest_port '546'
option family 'ipv6'
option target 'ACCEPT'

config rule
option name 'Allow-ICMPv6-Input'
option src 'wan'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
list icmp_type 'router-solicitation'
list icmp_type 'neighbour-solicitation'
list icmp_type 'router-advertisement'
list icmp_type 'neighbour-advertisement'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'

config rule
option name 'Allow-ICMPv6-Forward'
option src 'wan'
option dest '*'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'

config include
option path '/etc/firewall.user'

/etc/config/network

config interface 'loopback'
option ifname 'lo'
option proto 'static'
option ipaddr '127.0.0.1'
option netmask '255.0.0.0'

config globals 'globals'
option ula_prefix 'fd34:daa3:b80::/48'

config interface 'lan'
option ifname 'eth0.1'
option type 'bridge'
option proto 'static'
option netmask '255.255.255.0'
option ip6assign '60'
option macaddr '90:94:e4:f0:04:ea'
option ipaddr '10.7.13.1'

config interface 'wan'
option ifname 'eth0.2'
option _orig_ifname 'eth0.2'
option _orig_bridge 'false'
option proto 'static'
option ipaddr 'xx.xx.xx.xx'
option netmask '255.255.255.0'
option gateway 'xx.xx.xx.xx'
option dns 'xx.xx.xx.xx xx.xx.xx.xx'

config interface 'wan6'
option ifname '@wan'
option proto 'dhcpv6'

config switch
option name 'rt305x'
option reset '1'
option enable_vlan '1'

config switch_vlan
option device 'rt305x'
option vlan '1'
option ports '0 1 2 3 5 6t'

config switch_vlan
option device 'rt305x'
option vlan '2'
option ports '4 6t'

config interface 'vpn'
option ifname 'tun0'
option proto 'none'

Тэги:

+ 0 -

Похожие

dront78 07.02.2014 14:50 #

+ 0 -

у меня тупо в
/etc/rc.local
# Put your custom commands here that should be executed once
# the system init finished. By default this file does nothing.
iptables -t nat -A POSTROUTING -o tun+ -j MASQUERADE
exit 0

dront78 07.02.2014 14:50 #

+ 0 -

ну и роуты в openvpn сервере отдаются

Александр Шоренков 10.02.2014 11:34 #

+ 0 -

спасибо.

stass 21.02.2014 00:20 #

+ 0 -

чтобы из сетки сервера пингать подсетку за клиентом VPN, сначала серверу надо сказать какую подсетку в какого клиента роутить:

в стандартном конфиге сервера есть пример:

# EXAMPLE: Suppose the client                                            
# having the certificate common name "Thelonious"                     
# also has a small subnet behind his connecting                      
# machine, such as 192.168.40.128/255.255.255.248.                
# First, uncomment out these lines:               
client-config-dir /etc/openvpn/ccd
# Then create a file ccd/Thelonious with this line:              
#   iroute 192.168.40.0 255.255.255.0                             
# This will allow Thelonious' private subnet to                        
# access the VPN.  This example will only work                   
# if you are routing, not bridging, i.e. you are                    
# using "dev tun" and "server" directives.

а еще эту подсетку надо объявить в конфиге openvpn
route 192.168.40.0 255.255.255.0

Кажется, тогда роуты будут сами подниматься/опускаться при присоединении клиента
А маскарадинг не понадобится.