LINUX.ORG.RU
ФорумAdmin

роутинг OpenVPN на роутере для определенных клиентов

 , , ,


0

1

Привет лор! Подскажи пожалуйста, имеется роутер asus, на нем поднял Openvpn клиент, сейчас получается что все клиенты роутера ходят в интернет через openvpn, как сделать так чтобы ходил только один-два компьютера через openvpn который поднят на роутере, а остальные компьютеры через стандартное подключение.

Настройки сейчас такие: ip route:

admin@RT-AC87U-D900:/tmp/home/root# ip route
10.8.0.5 dev tun11  proto kernel  scope link  src 10.8.0.6
10.8.0.1 via 10.8.0.5 dev tun11
94.120.201.97 dev vlan2  scope link
109.234.150.6 via 94.120.201.97 dev vlan2
94.120.201.96/27 dev vlan2  proto kernel  scope link  src 94.120.201.106
169.254.39.0/24 dev br0  proto kernel  scope link  src 169.254.39.39
192.168.1.0/24 dev br0  proto kernel  scope link  src 192.168.1.1
127.0.0.0/8 dev lo  scope link
0.0.0.0/1 via 10.8.0.5 dev tun11
128.0.0.0/1 via 10.8.0.5 dev tun11
default via 94.120.201.97 dev vlan2
iptables:
admin@RT-AC87U-D900:/tmp/home/root# iptables-save
# Generated by iptables-save v1.4.14 on Thu Jan 15 19:20:05 2015
*raw
:PREROUTING ACCEPT [21453840:23538077180]
:OUTPUT ACCEPT [1088663:281389715]
COMMIT
# Completed on Thu Jan 15 19:20:05 2015
# Generated by iptables-save v1.4.14 on Thu Jan 15 19:20:05 2015
*nat
:PREROUTING ACCEPT [16967:19515834]
:INPUT ACCEPT [778:48880]
:OUTPUT ACCEPT [227:15100]
:POSTROUTING ACCEPT [221:13920]
:DNSFILTER - [0:0]
:LOCALSRV - [0:0]
:VSERVER - [0:0]
:VUPNP - [0:0]
-A PREROUTING -d 94.120.201.106/32 -j VSERVER
-A POSTROUTING -s 192.168.1.0/24 -o tun11 -j MASQUERADE
-A POSTROUTING ! -s 94.120.201.106/32 -o vlan2 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/24 -d 192.168.1.0/24 -o br0 -j MASQUERADE
-A VSERVER -j VUPNP
COMMIT
# Completed on Thu Jan 15 19:20:05 2015
# Generated by iptables-save v1.4.14 on Thu Jan 15 19:20:05 2015
*mangle
:PREROUTING ACCEPT [18937299:21914438231]
:INPUT ACCEPT [16226064:20592707814]
:FORWARD ACCEPT [16761108:20665238020]
:OUTPUT ACCEPT [772163:115795099]
:POSTROUTING ACCEPT [17586635:20783081374]
:BWDPI_FILTER - [0:0]
COMMIT
# Completed on Thu Jan 15 19:20:05 2015
# Generated by iptables-save v1.4.14 on Thu Jan 15 19:20:05 2015
*filter
:INPUT ACCEPT [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [72089:20965347]
:FUPNP - [0:0]
:PControls - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -i tun11 -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i br0 -m state --state NEW -j ACCEPT
-A INPUT -d 224.0.0.0/4 -p igmp -j ACCEPT
-A INPUT -d 224.0.0.0/4 -p udp -m udp ! --dport 1900 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -i br0 -m mac --mac-source F4:6D:04:AC:E3:78 -j DROP
-A FORWARD -d 224.0.0.0/4 -p udp -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD ! -i br0 -o vlan2 -j DROP
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -i vlan2 -p icmp -j DROP
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -i br0 -j ACCEPT
-A PControls -m state --state INVALID -j DROP
-A PControls -j ACCEPT
-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logaccept -j ACCEPT
-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logdrop -j DROP
COMMIT
# Completed on Thu Jan 15 19:20:05 2015
Openvpn.conf
admin@RT-AC87U-D900:/tmp/etc/openvpn/client1# cat config.ovpn
# Automatically generated configuration
daemon
client
dev tun11
proto udp
remote 109.234.150.6 1194
resolv-retry infinite
nobind
persist-key
persist-tun
comp-lzo adaptive
verb 3
ca ca.crt
cert client.crt
key client.key
status-version 2
status status

# Custom Configuration

Где: 94.120.201.97 - гейтвей провайдера.

94.120.201.106 - внешний статический ип адрес роутера.

109.234.150.6 - ип адрес openvpn сервера.

192.168.1.23 - локальный ип адрес компьютера, которого надо пустить через openvpn, остальных пустить напрямую.


Здесь принято советовать man iptables. Но я направил бы Вас на LARTC.

dhameoelin ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.