LINUX.ORG.RU
ФорумAdmin

openwrt+openvpn


0

1

Есть два роутера под openwrt, соединены через OpenVPN.
routerA внутренний IP 192.168.1.1 внешний IP xxx.xxx.xxx.xxx
routerB внутренний IP 192.168.2.1 внешний IP yyy.yyy.yyy.yyy

если из первой подсети обращаемся ко второй - все пингуется, из второй в первую - тоже. НО стоит сделать это одновременно, сеть ложится - идут пинги либо в одну, либо в другую сторону.
RouterA

dev tun0
port 1194
ifconfig 10.0.0.1 10.0.0.2
verb 4
secret /etc/openvpn/key
comp-lzo
ping 15
ping-restart 300
resolv-retry 300
ping-timer-rem
persist-tun
persist-key
user nobody
group nogroup
status /var/log/openvpn.log
route 192.168.2.0 255.255.255.0
iptables -t nat -A prerouting_wan -p udp --dport 1194 -j ACCEPT
iptables        -A input_wan      -p udp --dport 1194 -j ACCEPT
iptables -A forwarding_rule -i tun+ -o br-lan -d 192.168.1.0/24 -j ACCEPT
iptables -A forwarding_rule -i br-lan -o tun+ -d 192.168.2.0/24 -j ACCEPT
RouterB
remote xxx.xxx.xxx.xxx
port 1194
dev tun0
ifconfig 10.0.0.2 10.0.0.1
verb 4
secret /etc/openvpn/key
comp-lzo
ping 15
ping-restart 300
resolv-retry 300
ping-timer-rem
persist-tun
persist-key
user nobody
group nogroup
status /var/log/openvpn-client.log
route 192.168.1.0 255.255.255.0
iptables -A forwarding_rule -i tun+ -o br-lan -d 192.168.2.0/24 -j ACCEPT
iptables -A forwarding_rule -i br-lan -o tun+ -d 192.168.1.0/24 -j ACCEPT

в чем может быть проблема?

Кроме хиловатого шифрования мне не нравится что не указан явно proto, по умолчанию берётся udp, а он как известно ничего не гарантирует в этих больших интернетах.
Мой совет (может идиотский и не решающий проблему) - прописать явно proto tcp или proto udp.

И да, юзер nobody:nogroup не менее могущественный, чем root, если от его имени запущено куча служб - заведи отдельного юзера openvpn (useradd с ключом --system и без указания хомяка и шелла)

adriano32 ★★★ ()
Ответ на: комментарий от adriano32

proto udp и tcp пробовал - не помогло. Юзера заводил, тоже самое. У меня такое чувство, что проблема в iptables, т.к. трафик, как мне ажется, проходит только для инициировавшего соединение. Но никак не могу разобраться с Openwrt`ншыми iptables.
RouterB

root@OpenWrt:/# iptables -L -vn
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
  108  4447 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0
        state RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
    1    48 syn_flood  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0
        tcp flags:0x17/0x02
   46  7255 input_rule  all  --  *      *       0.0.0.0/0            0.0.0.0/0
   46  7255 input      all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 zone_wan_MSSFIX  all  --  *      *       0.0.0.0/0            0.0.0.
0/0
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0
        state RELATED,ESTABLISHED
    0     0 forwarding_rule  all  --  *      *       0.0.0.0/0            0.0.0.
0/0
    0     0 forward    all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 reject     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
   74  6472 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0
        state RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0
    3   724 output_rule  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    3   724 output     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain forward (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 zone_lan_forward  all  --  br-lan *       0.0.0.0/0            0.0.0
.0/0
    0     0 zone_wan_forward  all  --  eth0.2 *       0.0.0.0/0            0.0.0
.0/0

Chain forwarding_lan (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain forwarding_rule (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  tun+   br-lan  0.0.0.0/0            192.168.2.0/
24
    0     0 ACCEPT     all  --  br-lan tun+    0.0.0.0/0            192.168.1.0/
24
    0     0 nat_reflection_fwd  all  --  *      *       0.0.0.0/0            0.0
.0.0/0

Chain forwarding_wan (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain input (1 references)
 pkts bytes target     prot opt in     out     source               destination
   46  7255 zone_lan   all  --  br-lan *       0.0.0.0/0            0.0.0.0/0
    0     0 zone_wan   all  --  eth0.2 *       0.0.0.0/0            0.0.0.0/0

Chain input_lan (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain input_rule (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain input_wan (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain nat_reflection_fwd (1 references)
 pkts bytes target     prot opt in     out     source               destination

wiz_z-city ()
Ответ на: комментарий от wiz_z-city
Chain output (1 references)
 pkts bytes target     prot opt in     out     source               destination
    3   724 zone_lan_ACCEPT  all  --  *      *       0.0.0.0/0            0.0.0.
0/0
    0     0 zone_wan_ACCEPT  all  --  *      *       0.0.0.0/0            0.0.0.
0/0

Chain output_rule (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain reject (5 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0
        reject-with tcp-reset
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0
        reject-with icmp-port-unreachable

Chain syn_flood (1 references)
 pkts bytes target     prot opt in     out     source               destination
    1    48 RETURN     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0
        tcp flags:0x17/0x02 limit: avg 25/sec burst 50
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain zone_lan (1 references)
 pkts bytes target     prot opt in     out     source               destination
   46  7255 input_lan  all  --  *      *       0.0.0.0/0            0.0.0.0/0
   46  7255 zone_lan_ACCEPT  all  --  *      *       0.0.0.0/0            0.0.0.
0/0

Chain zone_lan_ACCEPT (2 references)
 pkts bytes target     prot opt in     out     source               destination
    3   724 ACCEPT     all  --  *      br-lan  0.0.0.0/0            0.0.0.0/0
   46  7255 ACCEPT     all  --  br-lan *       0.0.0.0/0            0.0.0.0/0

Chain zone_lan_DROP (0 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DROP       all  --  *      br-lan  0.0.0.0/0            0.0.0.0/0
    0     0 DROP       all  --  br-lan *       0.0.0.0/0            0.0.0.0/0

Chain zone_lan_MSSFIX (0 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 TCPMSS     tcp  --  *      br-lan  0.0.0.0/0            0.0.0.0/0
        tcp flags:0x06/0x02 TCPMSS clamp to PMTU

Chain zone_lan_REJECT (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 reject     all  --  *      br-lan  0.0.0.0/0            0.0.0.0/0
    0     0 reject     all  --  br-lan *       0.0.0.0/0            0.0.0.0/0

Chain zone_lan_forward (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 zone_wan_ACCEPT  all  --  *      *       0.0.0.0/0            0.0.0.
0/0
    0     0 forwarding_lan  all  --  *      *       0.0.0.0/0            0.0.0.0
/0
    0     0 zone_lan_REJECT  all  --  *      *       0.0.0.0/0            0.0.0.
0/0

Chain zone_wan (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
        icmp type 8
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0
        udp dpt:68
    0     0 input_wan  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 zone_wan_REJECT  all  --  *      *       0.0.0.0/0            0.0.0.
0/0

Chain zone_wan_ACCEPT (2 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  *      eth0.2  0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     all  --  eth0.2 *       0.0.0.0/0            0.0.0.0/0


Chain zone_wan_DROP (0 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DROP       all  --  *      eth0.2  0.0.0.0/0            0.0.0.0/0
    0     0 DROP       all  --  eth0.2 *       0.0.0.0/0            0.0.0.0/0

Chain zone_wan_MSSFIX (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 TCPMSS     tcp  --  *      eth0.2  0.0.0.0/0            0.0.0.0/0
        tcp flags:0x06/0x02 TCPMSS clamp to PMTU

Chain zone_wan_REJECT (2 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 reject     all  --  *      eth0.2  0.0.0.0/0            0.0.0.0/0
    0     0 reject     all  --  eth0.2 *       0.0.0.0/0            0.0.0.0/0

Chain zone_wan_forward (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 forwarding_wan  all  --  *      *       0.0.0.0/0            0.0.0.0
/0
    0     0 zone_wan_REJECT  all  --  *      *       0.0.0.0/0            0.0.0.
0/0
wiz_z-city ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.