Help - OPENWRT роутер как OPENVPN клиент (проблемы с конфигурацией)

[oxothuk_ae]

возникли проблемы с конфигурированием роутера TP-Link для раздачи интернета через удаленный openvpn сервер, в виду врожденного топографического кретинизма (не понимаю я маршрутизацию) не могу заставить его работать и буду бесконечно признателен за любую помощь

Интернет приходит через ADSL router (192.168.0.111)
к сетевому разъем ADSL роутера подключен WAN порт TP-Link (он получает IP 192.168.0.8 от ADSL) и замечательно раздает интернет на устройства, подключенные к Ethernet или Wifi (сеть 192.168.1.0/24) роуты такие

root@OpenWrt:~# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.1.0     *               255.255.255.0   U     0      0        0 br-lan
192.168.0.0     *               255.255.255.0   U     0      0        0 eth0.2
default         192.168.0.111   0.0.0.0         UG    0      0        0 eth0.2

TPlink сконфигурировал как openvpn client, после запуска сервиса сам роутер к интернету подключается (я могу пинговать любой адрес), но поключенные к нему компьютеры интернет теряют)
root@OpenWrt:~# /etc/init.d/openvpn restart
root@OpenWrt:~# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
xx.xx.xx.101   192.168.0.111   255.255.255.255 UGH   0      0        0 eth0.2    ####(xx.xx.xx,101 - это адрес VPN сервера)
10.8.0.0        *               255.255.255.0   U     0      0        0 tap0
192.168.1.0     *               255.255.255.0   U     0      0        0 br-lan
192.168.0.0     *               255.255.255.0   U     0      0        0 eth0.2
default         10.8.0.1        0.0.0.0         UG    0      0        0 tap0

где искать, что смотреть?

[Romon]

Может быть "офтоп", НО причем тут Ubuntu?

[oxothuk_ae]

да в общем то UBUNTU непричем (на ней OPENVPN server и станции)
OPENWRT на базе Debian, ИМХО маршрутизация аналогичная)

[fisher74]

по openvpn интернет приходит?
Есои да, то с маршрутизацией всё ОК.
Показывай таблесы

Код: [Выделить]

iptables -nvL FORWARD
P.S. Я не знаю, но вроде в openwrt программы iptables-save тоже нет.

[Romon]

Мне кажется что дело в изменении маршрута по умолчанию исходя из слов ТС'a (Интернет приходит через ADSL router (192.168.0.111))

до подключения: default         192.168.0.111   0.0.0.0         UG    0      0        0 eth0.2
после: default         10.8.0.1        0.0.0.0         UG    0      0        0 tap0

Т.е. openvpn его изменяет, и пакеты от клиентов  обращенные к интернет идут на твой сервер.

Но, если сервер должен выдавать интернет, то тут нужно смотреть еще и iptables, proxy(если используется).

[oxothuk_ae]

Openvpn server работает нормально с Openvpn client на компах с виндой и убунтой (т.е. компьютеры нормально работают в инете) проблемы в том, что нужно подключить через VPN некоторые железки, на которые клиента поставить нельзя

root@OpenWrt:/etc# iptables -nvL FORWARD (как з запущеным Openvpn так и без)
Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
47516   13M zone_wan_MSSFIX  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
35010   12M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
12506 1012K forwarding_rule  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
12506 1012K forward    all  --  *      *       0.0.0.0/0            0.0.0.0/0           
0     0 reject     all  --  *      *       0.0.0.0/0            0.0.0.0/0     


Пользователь решил продолжить мысль 21 Февраля 2011, 18:31:56:

Мне кажется что дело в изменении маршрута по умолчанию исходя из слов ТС'a (Интернет приходит через ADSL router (192.168.0.111))

до подключения: default         192.168.0.111   0.0.0.0         UG    0      0        0 eth0.2
после: default         10.8.0.1        0.0.0.0         UG    0      0        0 tap0

Т.е. openvpn его изменяет, и пакеты от клиентов  обращенные к интернет идут на твой сервер.

Но, если сервер должен выдавать интернет, то тут нужно смотреть еще и iptables, proxy(если используется).

это нормально
вот например роут моего десктопа без VPN и с ним (точнее впн клиент запускается на десктопе)
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.1.0     0.0.0.0         255.255.255.0   U     1      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 eth0
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 eth0

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
xx.xx.xx.101   192.168.1.1     255.255.255.255 UGH   0      0        0 eth0
10.8.0.0        0.0.0.0         255.255.255.0   U     0      0        0 tap0
192.168.1.0     0.0.0.0         255.255.255.0   U     1      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 eth0
0.0.0.0         10.8.0.1        0.0.0.0         UG    0      0        0 tap0

[Romon]

А то что компьютеры находятся за клиентом openvpn Вы учитывали?

[oxothuk_ae]

А то что компьютеры находятся за клиентом openvpn Вы учитывали?

а как учитывать? они и есть за клиентом, роутер без VPN номально их в сеть пускает, а вот с впн нет

вот что десктоп за роутером выдает при включенном впн на роутере
alex@Impex-Desktop:~$ ping ubuntu.ru
PING ubuntu.ru (89.208.136.153) 56(84) bytes of data.
From 192.168.1.1 icmp_seq=1 Destination Port Unreachable
From 192.168.1.1 icmp_seq=2 Destination Port Unreachable
From 192.168.1.1 icmp_seq=3 Destination Port Unreachable

хотя в это же время сам роутер нормально пингует
root@OpenWrt:/etc# ping ubuntu.ru
PING ubuntu.ru (89.208.136.153): 56 data bytes
64 bytes from 89.208.136.153: seq=0 ttl=48 time=190.629 ms
64 bytes from 89.208.136.153: seq=1 ttl=48 time=205.893 ms
64 bytes from 89.208.136.153: seq=2 ttl=48 time=202.071 ms

[Romon]

поищи про команду openvpn iroute.

[fisher74]

Предположу, что в правилах нет правила маскарадинга на tap-интерфейсе
Судя по цепочке FORWARD (в том числе отсутсвие дропнутых пакетов по правилу по умолчанию) в ней затыка нет, значит проблема в nat
Покажите

Код: [Выделить]

iptables -t nat -nvL POSTROUTING | grep tap

[Гарри Кашпировский]

Да собственно тут проблема тривиальная. Маршрут по умолчанию называется, кто-то из камрадов уже обращал на это внимание. Разберитесь с маршрутами.
А гонять траффик через OpenVPN не самая лучшая идея, если конечно именно это не стоит основной задачей.

[oxothuk_ae]

Предположу, что в правилах нет правила маскарадинга на tap-интерфейсе
Судя по цепочке FORWARD (в том числе отсутсвие дропнутых пакетов по правилу по умолчанию) в ней затыка нет, значит проблема в nat
Покажите

Код: [Выделить]

iptables -t nat -nvL POSTROUTING | grep tap
НИЧЕГО НЕ ВОЗВРАЩАЕТ (если без grep tap - то что-то есть)

root@OpenWrt:~# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.1.0     *               255.255.255.0   U     0      0        0 br-lan
192.168.0.0     *               255.255.0.0     U     0      0        0 eth0.2
default         192.168.0.111   0.0.0.0         UG    0      0        0 eth0.2
rroot@OpenWrt:~# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.1.0     *               255.255.255.0   U     0      0        0 br-lan
192.168.0.0     *               255.255.0.0     U     0      0        0 eth0.2
default         192.168.0.111   0.0.0.0         UG    0      0        0 eth0.2
root@OpenWrt:~# iptables -t nat -nvL POSTROUTING | grep tap                
root@OpenWrt:~# iptables -t nat -nvL POSTROUTING          
Chain POSTROUTING (policy ACCEPT 7 packets, 1000 bytes)
 pkts bytes target     prot opt in     out     source               destination        
   56  4107 postrouting_rule  all  --  *      *       0.0.0.0/0            0.0.0.0/0          
   56  4107 zone_wan_nat  all  --  *      *       0.0.0.0/0            0.0.0.0/0          


root@OpenWrt:~# /etc/init.d/openvpn restart
root@OpenWrt:~# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
xx.xx.xx.101    192.168.0.111   255.255.255.255 UGH   0      0        0 eth0.2
10.8.0.0        *               255.255.255.0   U     0      0        0 tap0
192.168.1.0     *               255.255.255.0   U     0      0        0 br-lan
192.168.0.0     *               255.255.0.0     U     0      0        0 eth0.2
default         10.8.0.1        0.0.0.0         UG    0      0        0 tap0
root@OpenWrt:~#
root@OpenWrt:~# iptables -t nat -nvL POSTROUTING | grep tap
root@OpenWrt:~# iptables -t nat -nvL POSTROUTING
Chain POSTROUTING (policy ACCEPT 7 packets, 1000 bytes)
 pkts bytes target     prot opt in     out     source               destination        
   58  4209 postrouting_rule  all  --  *      *       0.0.0.0/0            0.0.0.0/0          
   58  4209 zone_wan_nat  all  --  *      *       0.0.0.0/0            0.0.0.0/0  

Пользователь решил продолжить мысль 21 Февраля 2011, 23:20:20:

Разберитесь с маршрутами.

я уже писал - топографический кретинизм у меня


а про трафик через OPENVPN - почему это плохо. На самом деле это нужно для подключения некоторый железок - например SIP адаптера для IP телефонии - провайдер закрывает SIP порты и устройство даже не может пройти SIP авторизацию на сервере

[Гарри Кашпировский]

я уже писал - топографический кретинизм у меня

Не знаю, я не доктор
Но предпологаю что.

Код: (на железке с OWRT) [Выделить]

# ip r d default
# ip r a default via 192.168.0.111 dev eth0.2
# ip r a сеть_с_SIP_телефонией via 10.8.0.1 dev tap0Предполагается, что на сервере с OVPN уже все работает.

[oxothuk_ae]

Код: (на железке с OWRT) [Выделить]

# ip r d default
# ip r a default via 192.168.0.111 dev eth0.2
# ip r a сеть_с_SIP_телефонией via 10.8.0.1 dev tap0

не понимает OPENWRT таких команд
на OPENVPN server все работает - на десктопы инет через VPN идет

[fisher74]

oxothuk_ae, как вы квотите - череп сломаешь пока поймёшь, что Вы писали, что квотили, а что вывод терминала. Постарайтесь приложить руку, чтобы читабельно было, мы же стараемся для Вас.
Вы определите для нас основную задачу: Весь траффик должен идти через OpenVPN? Мы с KT315 так и будем Вам предлагать варианты с разными направлениями пока не получим информацию в полном объёме в понятной интерпретации.
Судя по этому:

root@OpenWrt:~# iptables -t nat -nvL POSTROUTING
Chain POSTROUTING (policy ACCEPT 7 packets, 1000 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   58  4209 postrouting_rule  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
   58  4209 zone_wan_nat  all  --  *      *       0.0.0.0/0            0.0.0.0/0 

У Вас созданы ещё две пользовательских цепочки: postrouting_rule и zone_wan_nat
Их бы ещё посмотреть...

Код: [Выделить]

iptables -t postrouting_rule -nvL
iptables -t zone_wan_nat -nvL
А вообще, для проверки моей теории достаточно добавить правило

Код: [Выделить]

iptables -t nat -I POSTROUTING -o tap0 -j MASQUERADE