Форум русскоязычного сообщества Ubuntu


Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

Автор Тема: Help - OPENWRT роутер как OPENVPN клиент (проблемы с конфигурацией)  (Прочитано 8463 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн oxothuk_ae

  • Автор темы
  • Новичок
  • *
  • Сообщений: 11
    • Просмотр профиля
возникли проблемы с конфигурированием роутера TP-Link для раздачи интернета через удаленный openvpn сервер, в виду врожденного топографического кретинизма (не понимаю я маршрутизацию) не могу заставить его работать и буду бесконечно признателен за любую помощь

Интернет приходит через ADSL router (192.168.0.111)
к сетевому разъем ADSL роутера подключен WAN порт TP-Link (он получает IP 192.168.0.8 от ADSL) и замечательно раздает интернет на устройства, подключенные к Ethernet или Wifi (сеть 192.168.1.0/24) роуты такие

root@OpenWrt:~# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.1.0     *               255.255.255.0   U     0      0        0 br-lan
192.168.0.0     *               255.255.255.0   U     0      0        0 eth0.2
default         192.168.0.111   0.0.0.0         UG    0      0        0 eth0.2

TPlink сконфигурировал как openvpn client, после запуска сервиса сам роутер к интернету подключается (я могу пинговать любой адрес), но поключенные к нему компьютеры интернет теряют)
root@OpenWrt:~# /etc/init.d/openvpn restart
root@OpenWrt:~# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
xx.xx.xx.101   192.168.0.111   255.255.255.255 UGH   0      0        0 eth0.2    ####(xx.xx.xx,101 - это адрес VPN сервера)
10.8.0.0        *               255.255.255.0   U     0      0        0 tap0
192.168.1.0     *               255.255.255.0   U     0      0        0 br-lan
192.168.0.0     *               255.255.255.0   U     0      0        0 eth0.2
default         10.8.0.1        0.0.0.0         UG    0      0        0 tap0

где искать, что смотреть?

Оффлайн Romon

  • Участник
  • *
  • Сообщений: 216
  • destructive creation
    • Просмотр профиля
Может быть "офтоп", НО причем тут Ubuntu?

Оффлайн oxothuk_ae

  • Автор темы
  • Новичок
  • *
  • Сообщений: 11
    • Просмотр профиля
да в общем то UBUNTU непричем (на ней OPENVPN server и станции)
OPENWRT на базе Debian, ИМХО маршрутизация аналогичная)

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13753
    • Просмотр профиля
по openvpn интернет приходит?
Есои да, то с маршрутизацией всё ОК.
Показывай таблесы
iptables -nvL FORWARD
P.S. Я не знаю, но вроде в openwrt программы iptables-save тоже нет.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Romon

  • Участник
  • *
  • Сообщений: 216
  • destructive creation
    • Просмотр профиля
Мне кажется что дело в изменении маршрута по умолчанию исходя из слов ТС'a (Интернет приходит через ADSL router (192.168.0.111))

до подключения: default         192.168.0.111   0.0.0.0         UG    0      0        0 eth0.2
после: default         10.8.0.1        0.0.0.0         UG    0      0        0 tap0

Т.е. openvpn его изменяет, и пакеты от клиентов  обращенные к интернет идут на твой сервер.

Но, если сервер должен выдавать интернет, то тут нужно смотреть еще и iptables, proxy(если используется).
« Последнее редактирование: 21 Февраль 2011, 18:25:49 от Romon »

Оффлайн oxothuk_ae

  • Автор темы
  • Новичок
  • *
  • Сообщений: 11
    • Просмотр профиля
Openvpn server работает нормально с Openvpn client на компах с виндой и убунтой (т.е. компьютеры нормально работают в инете) проблемы в том, что нужно подключить через VPN некоторые железки, на которые клиента поставить нельзя

root@OpenWrt:/etc# iptables -nvL FORWARD (как з запущеным Openvpn так и без)
Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
47516   13M zone_wan_MSSFIX  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
35010   12M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
12506 1012K forwarding_rule  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
12506 1012K forward    all  --  *      *       0.0.0.0/0            0.0.0.0/0           
0     0 reject     all  --  *      *       0.0.0.0/0            0.0.0.0/0     



Пользователь решил продолжить мысль 21 Февраль 2011, 18:31:56:
Мне кажется что дело в изменении маршрута по умолчанию исходя из слов ТС'a (Интернет приходит через ADSL router (192.168.0.111))

до подключения: default         192.168.0.111   0.0.0.0         UG    0      0        0 eth0.2
после: default         10.8.0.1        0.0.0.0         UG    0      0        0 tap0

Т.е. openvpn его изменяет, и пакеты от клиентов  обращенные к интернет идут на твой сервер.

Но, если сервер должен выдавать интернет, то тут нужно смотреть еще и iptables, proxy(если используется).
это нормально
вот например роут моего десктопа без VPN и с ним (точнее впн клиент запускается на десктопе)
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.1.0     0.0.0.0         255.255.255.0   U     1      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 eth0
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 eth0

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
xx.xx.xx.101   192.168.1.1     255.255.255.255 UGH   0      0        0 eth0
10.8.0.0        0.0.0.0         255.255.255.0   U     0      0        0 tap0
192.168.1.0     0.0.0.0         255.255.255.0   U     1      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 eth0
0.0.0.0         10.8.0.1        0.0.0.0         UG    0      0        0 tap0


« Последнее редактирование: 21 Февраль 2011, 18:31:56 от oxothuk_ae »

Оффлайн Romon

  • Участник
  • *
  • Сообщений: 216
  • destructive creation
    • Просмотр профиля
А то что компьютеры находятся за клиентом openvpn Вы учитывали?

Оффлайн oxothuk_ae

  • Автор темы
  • Новичок
  • *
  • Сообщений: 11
    • Просмотр профиля
А то что компьютеры находятся за клиентом openvpn Вы учитывали?
а как учитывать? они и есть за клиентом, роутер без VPN номально их в сеть пускает, а вот с впн нет

вот что десктоп за роутером выдает при включенном впн на роутере
alex@Impex-Desktop:~$ ping ubuntu.ru
PING ubuntu.ru (89.208.136.153) 56(84) bytes of data.
From 192.168.1.1 icmp_seq=1 Destination Port Unreachable
From 192.168.1.1 icmp_seq=2 Destination Port Unreachable
From 192.168.1.1 icmp_seq=3 Destination Port Unreachable

хотя в это же время сам роутер нормально пингует
root@OpenWrt:/etc# ping ubuntu.ru
PING ubuntu.ru (89.208.136.153): 56 data bytes
64 bytes from 89.208.136.153: seq=0 ttl=48 time=190.629 ms
64 bytes from 89.208.136.153: seq=1 ttl=48 time=205.893 ms
64 bytes from 89.208.136.153: seq=2 ttl=48 time=202.071 ms


Оффлайн Romon

  • Участник
  • *
  • Сообщений: 216
  • destructive creation
    • Просмотр профиля
поищи про команду openvpn iroute.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13753
    • Просмотр профиля
Предположу, что в правилах нет правила маскарадинга на tap-интерфейсе
Судя по цепочке FORWARD (в том числе отсутсвие дропнутых пакетов по правилу по умолчанию) в ней затыка нет, значит проблема в nat
Покажите
iptables -t nat -nvL POSTROUTING | grep tap
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Гарри Кашпировский

  • Гость
Да собственно тут проблема тривиальная. Маршрут по умолчанию называется, кто-то из камрадов уже обращал на это внимание. Разберитесь с маршрутами.
А гонять траффик через OpenVPN не самая лучшая идея, если конечно именно это не стоит основной задачей.

Оффлайн oxothuk_ae

  • Автор темы
  • Новичок
  • *
  • Сообщений: 11
    • Просмотр профиля
Предположу, что в правилах нет правила маскарадинга на tap-интерфейсе
Судя по цепочке FORWARD (в том числе отсутсвие дропнутых пакетов по правилу по умолчанию) в ней затыка нет, значит проблема в nat
Покажите
iptables -t nat -nvL POSTROUTING | grep tap
НИЧЕГО НЕ ВОЗВРАЩАЕТ (если без grep tap - то что-то есть)

root@OpenWrt:~# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.1.0     *               255.255.255.0   U     0      0        0 br-lan
192.168.0.0     *               255.255.0.0     U     0      0        0 eth0.2
default         192.168.0.111   0.0.0.0         UG    0      0        0 eth0.2
rroot@OpenWrt:~# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.1.0     *               255.255.255.0   U     0      0        0 br-lan
192.168.0.0     *               255.255.0.0     U     0      0        0 eth0.2
default         192.168.0.111   0.0.0.0         UG    0      0        0 eth0.2
root@OpenWrt:~# iptables -t nat -nvL POSTROUTING | grep tap                
root@OpenWrt:~# iptables -t nat -nvL POSTROUTING          
Chain POSTROUTING (policy ACCEPT 7 packets, 1000 bytes)
 pkts bytes target     prot opt in     out     source               destination        
   56  4107 postrouting_rule  all  --  *      *       0.0.0.0/0            0.0.0.0/0          
   56  4107 zone_wan_nat  all  --  *      *       0.0.0.0/0            0.0.0.0/0          


root@OpenWrt:~# /etc/init.d/openvpn restart
root@OpenWrt:~# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
xx.xx.xx.101    192.168.0.111   255.255.255.255 UGH   0      0        0 eth0.2
10.8.0.0        *               255.255.255.0   U     0      0        0 tap0
192.168.1.0     *               255.255.255.0   U     0      0        0 br-lan
192.168.0.0     *               255.255.0.0     U     0      0        0 eth0.2
default         10.8.0.1        0.0.0.0         UG    0      0        0 tap0
root@OpenWrt:~#
root@OpenWrt:~# iptables -t nat -nvL POSTROUTING | grep tap
root@OpenWrt:~# iptables -t nat -nvL POSTROUTING
Chain POSTROUTING (policy ACCEPT 7 packets, 1000 bytes)
 pkts bytes target     prot opt in     out     source               destination        
   58  4209 postrouting_rule  all  --  *      *       0.0.0.0/0            0.0.0.0/0          
   58  4209 zone_wan_nat  all  --  *      *       0.0.0.0/0            0.0.0.0/0  


Пользователь решил продолжить мысль 21 Февраль 2011, 23:20:20:
Разберитесь с маршрутами.
я уже писал - топографический кретинизм у меня


а про трафик через OPENVPN - почему это плохо. На самом деле это нужно для подключения некоторый железок - например SIP адаптера для IP телефонии - провайдер закрывает SIP порты и устройство даже не может пройти SIP авторизацию на сервере
« Последнее редактирование: 21 Февраль 2011, 23:22:04 от oxothuk_ae »

Гарри Кашпировский

  • Гость
Цитировать
я уже писал - топографический кретинизм у меня
Не знаю, я не доктор :)
Но предпологаю что.
Код: Text
  1. # ip r d default
  2. # ip r a default via 192.168.0.111 dev eth0.2
  3. # ip r a сеть_с_SIP_телефонией via 10.8.0.1 dev tap0
Предполагается, что на сервере с OVPN уже все работает.

Оффлайн oxothuk_ae

  • Автор темы
  • Новичок
  • *
  • Сообщений: 11
    • Просмотр профиля
Цитировать
Код: Text
  1. # ip r d default
  2. # ip r a default via 192.168.0.111 dev eth0.2
  3. # ip r a сеть_с_SIP_телефонией via 10.8.0.1 dev tap0
не понимает OPENWRT таких команд
на OPENVPN server все работает - на десктопы инет через VPN идет

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13753
    • Просмотр профиля
oxothuk_ae, как вы квотите - череп сломаешь пока поймёшь, что Вы писали, что квотили, а что вывод терминала. Постарайтесь приложить руку, чтобы читабельно было, мы же стараемся для Вас.
Вы определите для нас основную задачу: Весь траффик должен идти через OpenVPN? Мы с KT315 так и будем Вам предлагать варианты с разными направлениями пока не получим информацию в полном объёме в понятной интерпретации.
Судя по этому:
root@OpenWrt:~# iptables -t nat -nvL POSTROUTING
Chain POSTROUTING (policy ACCEPT 7 packets, 1000 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   58  4209 postrouting_rule  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
   58  4209 zone_wan_nat  all  --  *      *       0.0.0.0/0            0.0.0.0/0 
У Вас созданы ещё две пользовательских цепочки: postrouting_rule и zone_wan_nat
Их бы ещё посмотреть...
iptables -t postrouting_rule -nvL
iptables -t zone_wan_nat -nvL

А вообще, для проверки моей теории достаточно добавить правило
iptables -t nat -I POSTROUTING -o tap0 -j MASQUERADE
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

 

Страница сгенерирована за 0.061 секунд. Запросов: 24.