Originally Posted by
Wolfgun
Пробуй Tap
OpenVPN не ставил .... С tap вроде все должно работать. Да где-то в аглиской ветки есть сылка на WiKi по установки на роутер
Про TAP глянул, но хочется "красивого", ч.б. через GUI одной кнопкой и видеть по индикатору что сеть через vpn :-)
Originally Posted by
ivlis
Конфиг сервера и клиента openvpn в студию. У меня всё работает на 10ой прошивке.
Спасибо, попробую !
Проблему я решил, но увы с помощью костылей:
1) При упрощенном конфиге (secret static.key):
Конфиг сервера
Code:
port 5190
proto udp
dev tun0
secret static.key
ifconfig 10.8.0.1 10.8.0.2
push "dhcp-option DOMAIN router.name"
push "dhcp-option DNS prov.dns.ip.1"
push "dhcp-option DNS prov.dns.ip.1"
push "route 10.8.0.1"
script-security 2
up ./server.up
chroot /tmp
В server.up
Code:
#!/bin/sh
route add -net 10.8.0.0 netmask 255.255.255.0 gw $5
Конфиг клиента
Code:
dev tun0
port 5190
proto udp
remote dyn.dns.subdomain
ifconfig 10.8.0.2 10.8.0.1
secret static.key
После запуска получается неверная таблица роутов:
Code:
10.8.0.1 * 255.255.255.255 UH 0 0 0 tun0
192.168.1.0 * 255.255.255.0 U 0 0 0 wlan0
link-local * 255.255.0.0 U 1000 0 0 wlan0
default router.name 0.0.0.0 UG 0 0 0 wlan0
Приходится ее править ручками:
Code:
sudo route del default wlan0
sudo route add -net white.ext.ip netmask 255.255.255.255 gw router.name metric 1
sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.8.0.1 metric 1
Тогда получается более нормально и все работает ( пинг внутреннего ip роутера, выход в интернет с внешним ip адресом роутера "white.ext.ip" )
Code:
10.8.0.1 * 255.255.255.255 UH 0 0 0 tun0
white.ext.ip router.name 255.255.255.255 UGH 1 0 0 wlan0
192.168.1.0 * 255.255.255.0 U 0 0 0 wlan0
link-local * 255.255.0.0 U 1000 0 0 wlan0
default 10.8.0.1 0.0.0.0 UG 1 0 0 tun0
Соответственно при отключении надо снова ручками править роуты, ч.б. вернуть все в зад.
2) При использовании конфигов клиент / сервер что даны как образец (подходит больше, т.к. можно разруливать ip клиентов и т.д. и т.п.) ситуация почти та же только роут добавляется вообще страшный:
Code:
10.8.0.5 * 255.255.255.255 UH 0 0 0 tun0
10.8.0.1 10.8.0.5 255.255.255.255 UGH 0 0 0 tun0
Хотя в конфигах все та же строка push route 10.8.0.1, короче барабашка.
Вот мой post-firewall
Code:
#!/bin/sh
# set default policy
iptables -P INPUT DROP
# remove last default rule
iptables -D INPUT -j DROP
#fix defaults
#iptables -t filter -A INPUT -m state --state INVALID -j DROP
#iptables -t filter -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# this is for dropbear
iptables -A INPUT -p tcp --syn --dport SSH_PORT -j ACCEPT
# this is for transmission + daemon
iptables -A INPUT -p tcp --dport 51413 -j ACCEPT
iptables -A INPUT -p tcp --dport DAEMON_PORT -j ACCEPT
# this is for openvpn
iptables -I INPUT -p udp --dport 5190 -j ACCEPT
iptables -t nat -I PREROUTING -i eth1 -p udp --dport 5190 -j DNAT --to-destination $4:5190
iptables -A INPUT -j DROP
# Allow TUN interface connections to OpenVPN server
iptables -I INPUT -i tun0 -j ACCEPT
# Allow TUN interface connections to be forwarded through other interfaces
iptables -I FORWARD -i tun0 -j ACCEPT
iptables -I FORWARD -o tun0 -j ACCEPT
#iptables -A INPUT -j DROP
iptables -I OUTPUT -o tun0 -j ACCEPT
#postrouting
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o ppp0 -j MASQUERADE
В результате вопрос, неужели это единственный вариан прыганья с бубном ? В принципе можно легко справиться двумя скриптами ( старт / стоп vpn ) но хочется изящества что ли.