Help - OPENWRT роутер как OPENVPN клиент (проблемы с конфигурацией)

[oxothuk_ae]

oxothuk_ae, как вы квотите - череп сломаешь пока поймёшь, что Вы писали, что квотили, а что вывод терминала.

исправлюсь обязательно, + спасибо за помощь, часа 3 буду в офлайне
я еще тут вопросы задавал, можно почитать посмотрть https://forum.openwrt.org/viewtopic.php?id=28734
а вообще мне кажется просто отсутствует что TAP0 и LAN никак не связаны, т.е. сам роутер при поднятом VPN пингует все что в инете и за ним (LAN) - пинг от ADSL через роутер на LAN пользователя и наоборот уже не проходит

[fisher74]

Включаем аналитические струнки нашего сознания и знаний:
пакет от клиента в LAN приходит в роутер со следующими параметрами:
source IP - 192.168.1.18(к примеру) и destination 8.8.8.8
Роутер разбирает пакет, анализирует, и спокойненько кидает его в tap0 согласно таблице маршрутизации без каких либо преобразований (если конечно нет соответствующего правила в таблицах iptables).
На том конце сервер OpenVPN получает пакет с такими же данными и он шлёт дальше,... Пусть он там ему делает какие-то преобразования - это не важно.
Важно то, что он не будет знать куда ответить, потому как где находится хост 192.168.1.18 он понятия не имеет (уверен, что там нет маршрута на Вашу локалку через tap).
И значит нужно source-адрес подменить на тот, который сервер OpenVPN будет знать, а это IP-адрес интерфейса tap0 Вашего роутера.

Чисто теория. Как проверить: я сказал в предыдущем своём сообщении.

[oxothuk_ae]

прописать роут можно в конфиге опенвпн на сервере, получим это, но непомогает

Код: [Выделить]

Kernel IP routing table  (ЭТО СЕРВЕРНАЯ ЧАСТЬ
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
XX.XX.XX.96    *               255.255.255.224 U     0      0        0 eth0 (XXXXXXX - это сеть с сервером)
192.168.1.0     10.8.0.2        255.255.255.0   UG    0      0        0 tap0
10.8.0.0        *               255.255.255.0   U     0      0        0 tap0
default         XX.XX.XX.97    0.0.0.0         UG    100    0        0 eth0 (ЭТО ВЫХОД В ИНЕТ)
почему-то кажется что проблема в конфигах на OPENWRT
без VPN есть правила для LAN-WAN, а вот для LAN-TAP0 ничего нет

[fisher74]

Можно. Только вот непонятно зачем Вы тему поднимаете, если не пробуете предложенные варианты.
Раз уж Вы напираете на маршруты:
1. У OpenWRT точно адрес 10.8.0.2?
2. Простейшими пингами с клиента проверяли на каком узле перестаёт пинговаться?

Код: [Выделить]

ping -c2 192.168.1.1
ping -c2 10.8.0.1
ping -c2 XX.XX.XX.96
ping -c2 8.8.8.8

почему-то кажется что проблема в конфигах на OPENWRT
без VPN есть правила для LAN-WAN, а вот для LAN-TAP0 ничего нет

Вы попробовали ввести правило предложенное мной?

[RandomNT]

Использую openvpn на openwrt, но девайс у меня tun а не tap, если отличия незначительны то работать будет так:
после поднятия опенвпн появляется дефолтная роута
0.0.0.0         10.8.0.1        0.0.0.0         UG    0      0        0 tap0
это правильно, пакеты с лана пойдут в tap0, на 10.8.0.1
в iptables нужно разрешть их проход в цепочке FORWARD и сделать снат либо маскарад в POSTROUTING
у себя в openwrt Kamikaze (r16206) прописывал бы примерно так
файл /etc/firewall.user:

Код: [Выделить]

# разрешим любые исходящие из лана в тап0
iptables -A forwarding_lan -o tap0 -j ACCEPT
# смаскарадим
iptables -t nat -A postrouting_rule -o tap0 -j MASQUERADE

(сам роутер сейчас имеет инет потомучто в цепочке OUTPUT ему разрешены любые исходящие соединения, а маскарад не требуется)

[oxothuk_ae]

файл /etc/firewall.user:

Код: [Выделить]

# разрешим любые исходящие из лана в тап0
iptables -A forwarding_lan -o tap0 -j ACCEPT
# смаскарадим
iptables -t nat -A postrouting_rule -o tap0 -j MASQUERADE


ты гений (объяснил на понятном мне языке - copy/paste), все получилось, всем спасибо

[Гарри Кашпировский]

не понимает OPENWRT таких команд

DD-WRT понимает, WIve-NG понимает, а OpenWRT не понимает. Чудны дела

[oxothuk_ae]

DD-WRT понимает, WIve-NG понимает, а OpenWRT не понимает. Чудны дела

я тут не виноват

Код: [Выделить]

BusyBox v1.15.3 (2010-04-06 03:14:11 CEST) built-in shell (ash)
Enter 'help' for a list of built-in commands.

  _______                     ________        __
 |       |.-----.-----.-----.|  |  |  |.----.|  |_
 |   -   ||  _  |  -__|     ||  |  |  ||   _||   _|
 |_______||   __|_____|__|__||________||__|  |____|
          |__| W I R E L E S S   F R E E D O M
 Backfire (10.03, r20728) --------------------------
  * 1/3 shot Kahlua    In a shot glass, layer Kahlua
  * 1/3 shot Bailey's  on the bottom, then Bailey's,
  * 1/3 shot Vodka     then Vodka.
 ---------------------------------------------------
root@OpenWrt:~# ip r d default
-ash: ip: not found
root@OpenWrt:~# ip r a default via 192.168.0.111 dev eth0.2
-ash: ip: not found
root@OpenWrt:~# ip r a сеть_с_SIP_телефонией via 10.8.0.1 dev tap0
-ash: ip: not found
root@OpenWrt:~#




[Гарри Кашпировский]

я тут не виноват

Я понимаю.
Обычно при сборке прошивки указывается, каким компонентам быть, видимо, ip посчитали лишним