Здравствуйте!
Я в сетевых делах нуб, а может просто туповатый, но уже 3 дня не могу решить следующую проблему:
Есть у меня вышеозначеный роутер, на роутер я залил OpenWRT, потом поднял на нем мегафоновский модем для интернета, к роутеру патчкордом подключена Убунту
В такой конфигурации все работает замечательно, но мне нужен на роутере VPN-клиент, VPN-клиент я установли (все по дефолту, tun0, никаких тонких настроек), сам по себе он работает тоже стабильно, но в момент поднятия VPN-соединения, Убунту перестает видеть внешние узлы, при этом сам роутер внешние адрема пингует нормально, устанавливает пакеты из репозиториев и т.д., пускает удаленно к себе в консоль по ssh через VPN
Я погуглил и теоретически понимаю, что мне надо связать lan-интерфейс в котором находится Убунту с vpn-интерефейсом клиента на роутере, первые ссылок 20 сводятся к одному несложному решению.
Откройте /etc/config/firewall и сделайте так:
# NAT through VPN
config zone
option name 'VPN_client'
option masq '1'
option input 'ACCEPT'
option forward 'REJECT'
option output 'ACCEPT'
option network 'VPN_client'
config forwarding
option dest 'VPN_client'
option src 'lan'
Делал. И так. И везде ACCEPT ставил. И пробрасывал дополнительно VPN в lan. Результат один и тот же, как только поднимается VPN-клиент в Убунту падает интернет.
Чего я не понимаю и что делаю неправильно?
Здравствуйте, Stanislaw K, Вы писали:
SK>Здравствуйте, alammer, Вы писали:
A>>Есть у меня вышеозначеный роутер, на роутер я залил OpenWRT, потом поднял на нем мегафоновский модем для интернета, к роутеру патчкордом подключена Убунту
A>>Делал. И так. И везде ACCEPT ставил. И пробрасывал дополнительно VPN в lan. Результат один и тот же, как только поднимается VPN-клиент в Убунту падает интернет.
A>>Чего я не понимаю и что делаю неправильно?
SK>ничего не понял, уточняющие вопросы:
SK>А впн куда?
SK>При поднятом впн есть доступ до тех ресурсов которые за впн?
SK>А при поднятом впн интернет должен быть?
SK>А как он должен быть?
SK>Кроме убунты есть еще устройства?
SK>У других устройств интернет не пропадает?
SK>Другим устройствам нужно иметь доступ до тех ресурсов которые за впн?
SK>Покажи
SK>1) таблицу маршрутизации с openwrt при работающем интернете (без впн).
SK>2) таблицу маршрутизации с openwrt при НЕ работающем интернете (с поднятым впн).
я сфэйлилися очень сильно
начитался, как под впн-ом йоту обманывают и от прослушек прячутся и решил, что все это по умолчанию включается
сейчас побеседовал с товарищем, который за серверную часть отвечает и понял, что у него на впн-сервере, к которому я подключаюсь, только маршрутизация клиентов прописана, соотвественно и доступа за впн у меня не должно быть
запустился по новой:
доступа за впн нет, но почему-то гугл с яндексом пингуются — товарищ говорит, что это потому что роутер их пингует напрямую через 3g, типа дыра у меня. Непонятно тогда, почему роутер через эту дыру даже opkg update выполнить не может.
Понял, что при поднятом впн интернет должен быть. Должен быть отдельно от впн-сети. Мне тут подсказали, что для этого надо в конфигах впн-клиента отключить redirect-gateway. Сейчас буду пробовать.
таблица без впн:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 10.64.64.64 0.0.0.0 UG 0 0 0 3g-wan
10.64.64.64 0.0.0.0 255.255.255.255 UH 0 0 0 3g-wan
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br-lan
и с впн:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.250.1 128.0.0.0 UG 0 0 0 tun0
0.0.0.0 10.64.64.64 0.0.0.0 UG 0 0 0 3g-wan
10.64.64.64 0.0.0.0 255.255.255.255 UH 0 0 0 3g-wan
83.166.241.213 10.64.64.64 255.255.255.255 UGH 0 0 0 3g-wan
128.0.0.0 192.168.250.1 128.0.0.0 UG 0 0 0 tun0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br-lan
192.168.250.0 0.0.0.0 255.255.255.0 U 0 0 0 tun0
а можно хотя бы кратко, что в них такое?
Здравствуйте, alammer, Вы писали:
A>Понял, что при поднятом впн интернет должен быть. Должен быть отдельно от впн-сети. Мне тут подсказали, что для этого надо в конфигах впн-клиента отключить redirect-gateway. Сейчас буду пробовать.
ну типа того. да. отключить со стороны сервера, так как оно оттуда "прилетает".
а лучше со стороны сервера указывать маршрутизацию корректную.
A>таблица без впн:
A>Kernel IP routing table
A>Destination Gateway Genmask Flags Metric Ref Use Iface
A>0.0.0.0 10.64.64.64 0.0.0.0 UG 0 0 0 3g-wan
A>10.64.64.64 0.0.0.0 255.255.255.255 UH 0 0 0 3g-wan
A>192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br-lan
A>и с впн:
A>Kernel IP routing table
A>Destination Gateway Genmask Flags Metric Ref Use Iface
A>0.0.0.0 192.168.250.1 128.0.0.0 UG 0 0 0 tun0
A>0.0.0.0 10.64.64.64 0.0.0.0 UG 0 0 0 3g-wan
A>10.64.64.64 0.0.0.0 255.255.255.255 UH 0 0 0 3g-wan
A>83.166.241.213 10.64.64.64 255.255.255.255 UGH 0 0 0 3g-wan
A>128.0.0.0 192.168.250.1 128.0.0.0 UG 0 0 0 tun0
A>192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br-lan
A>192.168.250.0 0.0.0.0 255.255.255.0 U 0 0 0 tun0
A>а можно хотя бы кратко, что в них такое?
в первой так: у тебя есть две сети. локальная c адресами 192.168.1.ххх и весь остальной мир (интернет) досутп к которым через default gateway (маршрутизатор провайдера) 10.64.64.64
во второй: добавляется сеть tun0. и появляется gateway 192.168.250.1 на который указывает еще один маршрут по умолчанию. в таблице маршрутизации этот маршрут встречается раньше и чем 10.64.64.64 и пакеты убегают туда.
на самом деле, это косяк со стороны ВПН сервера. он тебе или неправильные маршруты присылает. или с этими маршрутами должен пропускать трафик. недонастроен от слова "совсем".
админу сервера
http://forum.ixbt.com/topic.cgi?id=14:40906#1
Здравствуйте, Stanislaw K, Вы писали:
SK>Здравствуйте, alammer, Вы писали:
A>>Понял, что при поднятом впн интернет должен быть. Должен быть отдельно от впн-сети. Мне тут подсказали, что для этого надо в конфигах впн-клиента отключить redirect-gateway. Сейчас буду пробовать.
SK>ну типа того. да. отключить со стороны сервера, так как оно оттуда "прилетает".
SK>а лучше со стороны сервера указывать маршрутизацию корректную.
A>>таблица без впн:
A>>Kernel IP routing table
A>>Destination Gateway Genmask Flags Metric Ref Use Iface
A>>0.0.0.0 10.64.64.64 0.0.0.0 UG 0 0 0 3g-wan
A>>10.64.64.64 0.0.0.0 255.255.255.255 UH 0 0 0 3g-wan
A>>192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br-lan
A>>и с впн:
A>>Kernel IP routing table
A>>Destination Gateway Genmask Flags Metric Ref Use Iface
A>>0.0.0.0 192.168.250.1 128.0.0.0 UG 0 0 0 tun0
A>>0.0.0.0 10.64.64.64 0.0.0.0 UG 0 0 0 3g-wan
A>>10.64.64.64 0.0.0.0 255.255.255.255 UH 0 0 0 3g-wan
A>>83.166.241.213 10.64.64.64 255.255.255.255 UGH 0 0 0 3g-wan
A>>128.0.0.0 192.168.250.1 128.0.0.0 UG 0 0 0 tun0
A>>192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br-lan
A>>192.168.250.0 0.0.0.0 255.255.255.0 U 0 0 0 tun0
A>>а можно хотя бы кратко, что в них такое?
SK>в первой так: у тебя есть две сети. локальная c адресами 192.168.1.ххх и весь остальной мир (интернет) досутп к которым через default gateway (маршрутизатор провайдера) 10.64.64.64
SK>во второй: добавляется сеть tun0. и появляется gateway 192.168.250.1 на который указывает еще один маршрут по умолчанию. в таблице маршрутизации этот маршрут встречается раньше и чем 10.64.64.64 и пакеты убегают туда.
SK>на самом деле, это косяк со стороны ВПН сервера. он тебе или неправильные маршруты присылает. или с этими маршрутами должен пропускать трафик. недонастроен от слова "совсем".
SK>админу сервера http://forum.ixbt.com/topic.cgi?id=14:40906#1
спасибо большое, будем учиться
