openwrt nat, /etc/ppp/ip-up не выполняется

Необходимо ли nat настраивать именно при поднятии впн ( в сети есть ресурсы, которые и без впн должны доступны, если он упал)

Не обязательно, достаточно поднять при старте системы.

/etc/ppp/ip-up (chmod 755). Вот только коннекш поднимается ( поднимаю через ifup vpn), а скрипт не выполняется.

А почему ты решил что он не выполняется?

Да я туда «запихал» 'echo lol > myfile' и если я его выполняю вручную, то файл появляется. В общем не выполняется 100%)

а как мне маршрут прописать тогда, в файле ip-up <ip_of_the_far_end_of_your_tunnel> я его могу взять как передаваемый параметр (у меня этот айпи выдает днс и с каждым разом он другой)

На openwrt вместо /etc/ppp/ip-up выполняется /lib/netifd/ppp-up, который запускает все исполняемые файлы из каталога /etc/ppp/ip-up.d/.

Я уже пробовал засовывать и в эту папку, все-равно не выполняются. Они ж должны выполняться, если я коннекшен не через pppd call поднимаю, а его поднимает /etc/init.d/network ? In Kamikaze both ip-up and ip-down are provided. Instead put your scripts in /etc/ppp/ip-up.d and /etc/ppp/ip-down.d respectfully. Make sure they are marked executable.

А вообще в openwrt должен быть какой-то более адекватный способ управления маршрутами и всем этим, чем добавление команд в разные скрипты. В /etc/config/network можно разные вещи делать, вот, например: http://wiki.openwrt.org/doc/uci/network#ipv4.routes

Проблема в том, что я не знаю ip конца тунеля до поднятия VPN (

а как мне маршрут прописать тогда, в файле ip-up <ip_of_the_far_end_of_your_tunnel> я его могу взять как передаваемый параметр (у меня этот айпи выдает днс и с каждым разом он другой)

Брр я запутался, маршрут или все-таки nat? Я писал конкретно про nat или от него нужно что-то большего чем masquerade?

Они ж должны выполняться, если я коннекшен не через pppd call поднимаю, а его поднимает /etc/init.d/network ?

Ну да, тогда pppd вызывается с нужными параметрами, чтобы выполнять именно /lib/netifd/ppp-up, а не /etc/ppp/ip-up. Кстати, я не знаю (и уже не помню), как на более старых версиях оно устроено, я на trunk сижу.

Проблема в том, что я не знаю ip конца тунеля до поднятия VPN (

У меня pppoe, там маршрут default добавляется в скрипте /lib/netifd/ppp-up:

[ -n "$IPREMOTE" ] && proto_add_ipv4_route 0.0.0.0 0 "$IPREMOTE"

Вручную я ничего особенного не настраивал для этого.

Я просто «чайник» в этом деле. Все, что я знаю, это у меня есть рабочий инет на роутере, все что мне нужно - раздать этот инет на локальные машины, а тут приходится читать несколько страниц А4 и разбираться, что каждая команда делает и в каких случаях она нужна. Насколько я понял, чтоб на машинах был инет мне нужно как прописать маршрут, так и настроить NAT, чтоб по этому маршруту пакеты траслировались.

Насколько я понял, чтоб на машинах был инет мне нужно как прописать маршрут, так и настроить NAT, чтоб по этому маршруту пакеты траслировались.

Для NAT в /etc/config/firewall делается секция forwarding. Маршрут у меня прописывается сам уже готовыми скриптами. Не думаю, что для pptp должно что-то сильно отличаться.

По поводу nat в твоем же мануале было:

Also note, all these commands you can add to something like /etc/init.d/S70routes (create it). Though you have no ppp0 interface upon S70routes execution, it will work nevetherless. In this case you also do not need to remove these rules in ip-down. You can just add these lines to your S70routes:
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.168.0/24 -d 0/0 -j MASQUERADE

Где 192.168.168.0/24 замени на свою внутреннюю сеть, а ppp0 на интерфейс туннеля если он другой (можно для всех интерфейсов ppp, тогда напиши ppp+)
Также в зависимости от других твоих правил iptables возможно надо добавить
iptables -A FORWARD -o ppp0 -s 192.168.168.0/24 -j ACCEPT

Для работы локалки без туннеля, добавь такие же правила только ppp0 замени на внешний интерфейс, например на eth1

Маршрут у меня прописывается сам уже готовыми скриптами

Я конечно не большой зннаток openwrt, но разве добавление строки defaultroute в
/etc/ppp/options.pptp не спасает?

Я конечно не большой зннаток openwrt, но разве добавление строки defaultroute в
/etc/ppp/options.pptp не спасает?

Если так сделать, то pppd сам настроит маршрут по умолчанию. В openwrt по дефолту сделано иначе, там pppd запускается с nodefaultroute, а маршрут добавляется в скрипте ppp-up (у меня на роутере так, по крайней мере).

итак, двигаемся дальше. 3 магическими коммандами я поднял NAT

/etc/ppp/ip-up.d/ip-up
...
iptables -A forwarding_rule -o $1 -j ACCEPT
iptables -A forwarding_rule -i $1 -j ACCEPT
iptables -t nat -A postrouting_rule -o $1 -j MASQUERADE

С компа:

wget http://www.speedtest.net/
--2014-06-18 19:37:29--  http://www.speedtest.net/
Resolving www.speedtest.net (www.speedtest.net)... 93.184.219.82
Connecting to www.speedtest.net (www.speedtest.net)|93.184.219.82|:80... connected.
HTTP request sent, awaiting response...

С роутера: wget сразу закачивает без задержек.

Предполагаю что проблема в mtu. Добавь в iptables правило
iptables –t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu.
btw если действительно проблема в mtu это легко проверить понизив его на интерфейсе компа ( который за роутером )

Если это действительно проблема в MTU, то в openwrt можно добавить строку:

option mtu_fix '1'

в /etc/config/firewall в зону, соответствующую pptp-подключению, это будет аналогично правилу iptables, которое предложил anc.

Всем спасибо за помощь, помогло iptables mtu. Только почему-то скорость на vpn на openwrt скорость максимум 3МБайт, даже без торрентов ( на томже speedtest.net) Обычно люди ставят линукс на роутер дабы скорость возрастала. А у меня наоборот ;( Но это уже другая история)

На офф прошивке 10МБ было даже на торрентах, оказывается все-таки поприетарщина рулит в этом плане

Обычно люди ставят линукс на роутер дабы скорость возрастала. А у меня наоборот ;(

Тебя обманули )
Первое: там скорее всего и так было ядро линукс.
Второе: ставят для получения больших возможностей от коробки ( btw ты так и не написал какой)
Третье: Посмотри tcpdump на внешних интерфейсах, м.б. тебя тупо ддосят, если у тебя все открыто, поэтому и скорость падает.

wr1043nd. в '$top' 2 процесса сжирают все цп. как загрузку включаю какуе-то. отключаю загрузку ~2%, так что скорее всего пптп такой слооооу. мб настройки впн нетакие (у нас даже админ походу не знает какие они, у него екзе файл для клиентов впн коннекш поднимает на винде) в tcpdump через пптп все идет компрессед, лень было сегодня разбирать внутренности пакетов/

А как сделать чтоб все сетевые ресурсы были доступны? Они как-то по разному себя ведут. Я же не должен для каждого сетевога ресурса отдельно что-то прописывать(а если их 10000?, на стоковой прошивке TP-link, я ток впн подключение добавил и все работало)
Днс недоступен???

ping video.ns
ping: unknown host video.ns 

ping www.nexus.cn.ua
PING www.nexus.cn.ua (193.105.201.10) 56(84) bytes of data. 
нет ответа

ping chat.ns
PING chat.ns (172.25.1.111) 56(84) bytes of data. 
нет ответа

все, что я сделал это etc/iproute2/rt_tables

10 vpn

#!/bin/sh
# parameters
# $1 the interface name used by pppd (e.g. ppp3)
# $2 the tty device name
# $3 the tty device speed
# $4 the local IP address for the interface
# $5 the remote IP address
# $6 the parameter specified by the 'ipparam' option to pppd

logfile=/var/log/pptp.log
echo "`date` $0 $1 $2 $3 $4 $5 $6" >> $logfile

case "$6" in
 peer-name1)
 A="/usr/sbin/iptables -t filter -I FORWARD -o $1 -j ACCEPT"
 B="/usr/sbin/iptables -t nat -A POSTROUTING -o $1 -j MASQUERADE"
 C="/sbin/route add -net 10.0.0.0 netmask 255.0.0.0 $1"
 $A
 echo " $? $A" >> $logfile
 $B
 echo " $? $B" >> $logfile
 $C
 echo " $? $C" >> $logfile
 ;;
 *)
esac

iptables -A forwarding_rule -o $1 -j ACCEPT
iptables -A forwarding_rule -i $1 -j ACCEPT
iptables -t nat -A postrouting_rule -o $1 -j MASQUERADE
iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

exit 0

config interface 'wan'
        option ifname 'eth0.2'
        option proto 'dhcp'
        option macaddr 'bc:5f:f4:7c:42:49'

config interface 'vpn'
        option ifname 'pptp-vpn'
        option proto 'pptp'
        option username 'nightmare'
        option password 'nightmare'
        option server 'vpn.ns'
        option mtu 1400

Доступа нету как из роутера, так и из локальных машин. Вот опять пропинговал

ping www.nexus.cn.ua
PING ns.nexus.cn.ua (172.25.1.250) 56(84) bytes of data.
нет ответа

И еще вопрос, у меня на компе стоит сетевая карта, в ней мак адрес изменить нельзя, по этому маку мне выдается айпишник. Чтоб у мня был интернет на роутере, я изменял этот мак на WAN интерфейсе. Но если я подключаю комп к роутеру, то в сети получается 2 одинаковых мак адреса, и роутер зависает, пока я не отключу WAN кабель, либо комп. На стоковой прошивке мне не проходилось об этом задумываться, возможно и на openwrt можно как-то решить.

я профтыкал, что они в другой подсети) решил, просто добавив маршрут. ip route add 172.25.1.0/24 via 172.25.25.1. Мак адресс разрешил добавив, в /etc/network/config

...
switch
  option name 'switch0'
  ...
  option enable_learning 0 #ЭТУ СТРОКУ
  ...