Помогите с настройкой firewall в OpenWRT для OpenVPN

0

2

Привет, друзья!

Не силен в сетевых технологиях, поэтому прошу о помощи. Задача такая: застравить роутер с прошивкой OpenWRT ходить в интернет через VPN и USB-свисток Билайна.

Что сделано на данный момент: свисток прикручен, VPN поднят вот результаты ifconfig:

root@ROOter:~# ifconfig
br-UK_VPN Link encap:Ethernet  HWaddr EA:82:0A:63:DE:80
          inet6 addr: fe80::e882:aff:fe63:de80/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:7 errors:0 dropped:0 overruns:0 frame:0
          TX packets:7 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:196 (196.0 B)  TX bytes:738 (738.0 B)

br-lan    Link encap:Ethernet  HWaddr F4:F2:6D:DE:7F:E0
          inet addr:192.168.10.1  Bcast:192.168.10.255  Mask:255.255.255.0
          inet6 addr: fde1:5fe5:dcb0::1/60 Scope:Global
          inet6 addr: fe80::f6f2:6dff:fede:7fe0/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:5105 errors:0 dropped:0 overruns:0 frame:0
          TX packets:5108 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:290048 (283.2 KiB)  TX bytes:414618 (404.9 KiB)

eth0      Link encap:Ethernet  HWaddr F4:F2:6D:DE:7F:DF
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
          Interrupt:4

eth1      Link encap:Ethernet  HWaddr F4:F2:6D:DE:7F:E0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:5229 errors:0 dropped:4 overruns:0 frame:0
          TX packets:4818 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:375234 (366.4 KiB)  TX bytes:389518 (380.3 KiB)
          Interrupt:5

eth2      Link encap:Ethernet  HWaddr 58:2C:80:13:92:63
          inet addr:192.168.1.100  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::5a2c:80ff:fe13:9263/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2319 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2570 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:370479 (361.7 KiB)  TX bytes:292517 (285.6 KiB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:379 errors:0 dropped:0 overruns:0 frame:0
          TX packets:379 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:27510 (26.8 KiB)  TX bytes:27510 (26.8 KiB)

tap0      Link encap:Ethernet  HWaddr EA:82:0A:63:DE:80
          inet addr:10.102.167.239  Bcast:10.127.255.255  Mask:255.224.0.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:7 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:294 (294.0 B)  TX bytes:784 (784.0 B)

wlan0     Link encap:Ethernet  HWaddr F4:F2:6D:DE:7F:E0
          inet6 addr: fe80::f6f2:6dff:fede:7fe0/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:476 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:60237 (58.8 KiB)


Здесь: eth2 - это USB модем, tap0 - поднятый VPN

Вот конфиг моего файрвола:

root@ROOter:~# cat /etc/config/firewall

config defaults
        option syn_flood '1'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'REJECT'

config include
        option path '/etc/firewall.user'

config zone
        option input 'ACCEPT'
        option forward 'REJECT'
        option output 'ACCEPT'
        option name 'lan'
        option network 'lan'

config zone
        option input 'ACCEPT'
        option forward 'REJECT'
        option output 'ACCEPT'
        option name 'wan'
        option network 'wan wan1 wan2'

config zone
        option forward 'REJECT'
        option output 'ACCEPT'
        option name 'vpn'
        option input 'REJECT'
        option masq '1'
        option mtu_fix '1'
        option network 'UK_VPN'

config rule
        option name 'Allow-DHCP-Renew'
        option src 'wan'
        option proto 'udp'
        option dest_port '68'
        option target 'ACCEPT'
        option family 'ipv4'

config rule
        option name 'Allow-Ping'
        option src 'wan'
        option proto 'icmp'
        option icmp_type 'echo-request'
        option family 'ipv4'
        option target 'ACCEPT'

config rule
        option name 'Allow-DHCPv6'
        option src 'wan'
        option proto 'udp'
        option src_ip 'fe80::/10'
        option src_port '547'
        option dest_ip 'fe80::/10'
        option dest_port '546'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Input'
        option src 'wan'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        list icmp_type 'router-solicitation'
        list icmp_type 'neighbour-solicitation'
        list icmp_type 'router-advertisement'
        list icmp_type 'neighbour-advertisement'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Forward'
        option src 'wan'
        option dest '*'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config forwarding
        option dest 'vpn'
        option src 'lan'



Собственно вопрос: что нужно поправить в конфиге чтобы заставить весь трафик ходить по VPN?

Буду признателен за помощь и полезные ссылки для изучения конфигурации файрволов :)

Ссылка

полезные ссылки для изучения конфигурации файрволов

http://ow.ly/4nezNl

~~mos~~ ★★☆☆☆
(29.04.16 14:16:13 MSK)

Ответ на: полезные ссылки для изучения конфигурации файрволов от mos 29.04.16 14:16:13 MSK

ссыль укоротилась до неузнаваемости.
Заблудилось где-то на гугле.

Vasily22 ★
(29.04.16 15:16:42 MSK)

спасибо, улыбнуло!

bigov ★
(30.04.16 05:36:10 MSK)

вобще-то фаерволл это для ограничения. Ты его вначале вобще отключи, свой фаерволл. А чтоб трафик завернуть куда надо, то для этого маршрутизация используется. Как настроишь ее, тогда и фаерволлом забавляйся. За подробностями - см. ссылку вверху.

bigov ★
(30.04.16 05:39:45 MSK)

https://wiki.openwrt.org/ru/doc/uci/firewall

ArcFi ★
(30.04.16 09:14:58 MSK)

Ответ на: комментарий от bigov 30.04.16 05:39:45 MSK

Спасибо за наводку :) Не знаю как долго я еще буду разбираться с этими маршрутизациями, а VPN нужен уже сейчас :(

Такой вопрос, может есть тут добрый человек который выделит полчаса личного времени и проверит настройки моего роутера? Естественно за вознаграждение. Для профи - это 5 минут, для меня недели мучений, проб, ошибок :)

NGNeer
(30.04.16 10:40:31 MSK) автор топика

полезные ссылки для изучения конфигурации файрволов

Похожие темы