OpenWRT jako klient sítě OpenVPN

smaza

OpenWRT jako klient sítě OpenVPN
« kdy: 13. 04. 2023, 15:21:09 »
Zdravím,

mám násladující problém a prosím o radu:

V internetu mám openvpn server, na který se připojuje router s openwrt jako openvpn klient. K routeru se připojen do lan počítač. Na routeru mám nastaveno, aby výchozí brána byla openvpn server. Nicméně nejsem schopen nastavit firewall na routeru tak, aby pakety z lan prošly na openvpn server a opačně.

Níže příkládám výpis z /etc/config/firewall, jediná změna oproti defaultu je, že do zóny lan je přidán interface tun0.

Kód: [Vybrat]
config defaults
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'
option synflood_protect '1'

config zone
option name 'lan'
list network 'lan'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'ACCEPT'
list device 'tun0'

config zone
option name 'wan'
list network 'wan'
list network 'wan6'
option input 'REJECT'
option output 'ACCEPT'
option forward 'REJECT'
option masq '1'
option mtu_fix '1'

config forwarding
option src 'lan'
option dest 'wan'

config rule
option name 'Allow-DHCP-Renew'
option src 'wan'
option proto 'udp'
option dest_port '68'
option target 'ACCEPT'
option family 'ipv4'

config rule
option name 'Allow-Ping'
option src 'wan'
option proto 'icmp'
option icmp_type 'echo-request'
option family 'ipv4'
option target 'ACCEPT'

config rule
option name 'Allow-IGMP'
option src 'wan'
option proto 'igmp'
option family 'ipv4'
option target 'ACCEPT'

config rule
option name 'Allow-DHCPv6'
option src 'wan'
option proto 'udp'
option dest_port '546'
option family 'ipv6'
option target 'ACCEPT'

config rule
option name 'Allow-MLD'
option src 'wan'
option proto 'icmp'
option src_ip 'fe80::/10'
list icmp_type '130/0'
list icmp_type '131/0'
list icmp_type '132/0'
list icmp_type '143/0'
option family 'ipv6'
option target 'ACCEPT'

config rule
option name 'Allow-ICMPv6-Input'
option src 'wan'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
list icmp_type 'router-solicitation'
list icmp_type 'neighbour-solicitation'
list icmp_type 'router-advertisement'
list icmp_type 'neighbour-advertisement'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'

config rule
option name 'Allow-ICMPv6-Forward'
option src 'wan'
option dest '*'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'

config rule
option name 'Allow-IPSec-ESP'
option src 'wan'
option dest 'lan'
option proto 'esp'
option target 'ACCEPT'

config rule
option name 'Allow-ISAKMP'
option src 'wan'
option dest 'lan'
option dest_port '500'
option proto 'udp'
option target 'ACCEPT'

A tady je výpi /etc/config/network.

Kód: [Vybrat]
config interface 'loopback'
option device 'lo'
option proto 'static'
option ipaddr '127.0.0.1'
option netmask '255.0.0.0'

config globals 'globals'
option ula_prefix 'fd11:3ae9:d0c4::/48'

config device
option name 'br-lan'
option type 'bridge'
list ports 'eth0'
list ports 'eth2'

config interface 'lan'
option device 'br-lan'
option proto 'static'
option ipaddr '192.168.1.1'
option netmask '255.255.255.0'
option ip6assign '60'

config interface 'wan'
option device 'eth1'
option proto 'dhcp'
option hostname '*'

config interface 'wan6'
option device 'eth1'
option proto 'dhcpv6'

config device
option name 'tun0'
option ipv6 '0'
option mtu '1450'


Děkuji za pomoc.
« Poslední změna: 13. 04. 2023, 15:40:39 od Petr Krčmář »


Bugsa

  • ***
  • 118
    • Zobrazit profil
    • E-mail
Re:OpenWRT jako klient sítě OpenVPN
« Odpověď #1 kdy: 14. 04. 2023, 10:12:07 »
Nestačilo by přidat tun0 do WAN zóny místo LAN?

smaza

Re:OpenWRT jako klient sítě OpenVPN
« Odpověď #2 kdy: 14. 04. 2023, 12:11:05 »
Tak vyřešeno, nakonec si stačilo pořádně přečíst konfigurák serveru. Kdyby to někoho zajímalo viz níže.

Kód: [Vybrat]
EXAMPLE: Suppose the client
# having the certificate common name "Thelonious"
# also has a small subnet behind his connecting
# machine, such as 192.168.40.128/255.255.255.248.
# First, uncomment out these lines:
client-config-dir ccd
# Then create a file ccd/Thelonious with this line:
#   iroute 192.168.40.128 255.255.255.248
# This will allow Thelonious' private subnet to
# access the VPN.  This example will only work
# if you are routing, not bridging, i.e. you are
# using "dev tun" and "server" directives.