URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 16068
[ Назад ]

Исходное сообщение
"Правила маршрутизации для домашнего роутера"
Отправлено Дарья , 18-Апр-08 00:41

Здравствуйте всем.
Пытаюсь дома настроить wi-fi маршрутизатор asus wl500w так, чтобы он был ещё и openVPN клиентом до офисной сети.
Поставила openVPN, настроила конфиги.
До запуска клиента
[admin@router root]$ route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
83.217.192.140  *               255.255.255.255 UH    0      0        0 ppp0
10.10.10.0      *               255.255.255.0   U     0      0        0 br0
127.0.0.0       *               255.0.0.0       U     0      0        0 lo
default         83.217.192.140  0.0.0.0         UG    0      0        0 ppp0
83.217.192.140 - гейтевей провайдера
10.10.10.1 - asus
После. В конфиге выставлено route-method exec
[admin@router root]$ route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.3.5     *               255.255.255.255 UH    0      0        0 tun0
89.171.191.124  83.217.192.140  255.255.255.255 UGH   0      0        0 ppp0
83.217.192.140  *               255.255.255.255 UH    0      0        0 ppp0
192.168.3.0     192.168.3.5     255.255.255.0   UG    0      0        0 tun0
192.168.1.0     192.168.3.5     255.255.255.0   UG    0      0        0 tun0
10.10.10.0      *               255.255.255.0   U     0      0        0 br0
127.0.0.0       *               255.0.0.0       U     0      0        0 lo
default         192.168.3.5     128.0.0.0       UG    0      0        0 tun0
128.0.0.0       192.168.3.5     128.0.0.0       UG    0      0        0 tun0
default         83.217.192.140  0.0.0.0         UG    0      0        0 ppp0
89.171.191.124 openVPN сервер офиса (да, это Польша, не пугайтесь :)
Проблема в том, что с асуса, я все "более ли менее" вижу. И `интернет`, и офисную локалку. Более ли менее — все, что не нравиться, так это то, что `интернет` идет тоже через офис.
Хуже то, что я не с локальной домашней сети, не вижу не интернета, ни офиса после появление таких маршрутов в таблице маршрутизации.

Подскажите пожалуйста, какие, нужно маршруты оставить(route-noexec и дальше hande made), чтобы все было по-человечески.
Интернет, через гейтевей провайдера-интернет.
Офис, через гейтевей провайдера-гейтевей офиса-офис.

Содержание

Правила маршрутизации для домашнего роутера,Дарья, 00:43 , 18-Апр-08
Правила маршрутизации для домашнего роутера,KobaLTD, 16:39 , 18-Апр-08
- Правила маршрутизации для домашнего роутера,Дарья, 22:23 , 18-Апр-08
  - Правила маршрутизации для домашнего роутера,KobaLTD, 11:28 , 21-Апр-08
    - Правила маршрутизации для домашнего роутера,Дарья, 20:21 , 21-Апр-08
      - Правила маршрутизации для домашнего роутера,KobaLTD, 08:59 , 22-Апр-08
        
        Правила маршрутизации для домашнего роутера,KobaLTD, 09:03 , 22-Апр-08
        
        Правила маршрутизации для домашнего роутера,Дарья, 12:32 , 22-Апр-08
        
        Правила маршрутизации для домашнего роутера,KobaLTD, 17:53 , 23-Апр-08
        
        Правила маршрутизации для домашнего роутера,Дарья, 19:58 , 23-Апр-08
        Правила маршрутизации для домашнего роутера,Дарья, 20:15 , 23-Апр-08
        
        Правила маршрутизации для домашнего роутера,KobaLTD, 12:36 , 24-Апр-08
        
        Правила маршрутизации для домашнего роутера,Дарья, 20:20 , 24-Апр-08
        
        Правила маршрутизации для домашнего роутера,KobaLTD, 09:58 , 25-Апр-08
        
        Правила маршрутизации для домашнего роутера,KobaLTD, 11:54 , 25-Апр-08

Сообщения в этом обсуждении

"Правила маршрутизации для домашнего роутера"
Отправлено Дарья , 18-Апр-08 00:43

Что-то меня совсем таблицы маршрутов замучили...
"Хуже то, что я с локальной домашней сети после появления таких маршрутов, не вижу ни интернета, ни офиса "

"Правила маршрутизации для домашнего роутера"
Отправлено KobaLTD , 18-Апр-08 16:39

а вообще чтобы правельно набрасать вам таблизу маршрутизации надо знать
1) ip(реальный) впн сервера в офисе
2) ip сеть на который работате вашь впн (какой у сервра, какой у вас)
3) какая/кие сетака в оффисе
4) какая у вас дома лакалка
5) параметры (ip/сетка/шлюз) вашего инета дома
6) сетки вашего прова (если у вас инет аля домашней сети + както там к инету)
ну а если в краце то
default 192.168.3.5 128.0.0.0 UG 0 0 0 tun0
128.0.0.0 192.168.3.5 128.0.0.0 UG 0 0 0 tun0
вот это пускает вашь инет через офис и почти все остальное - либо убивайте или меняйе метрику, причем какая то странная маска раздаеться у вас 128.0.0.0 ? так что капайте настройки вашего впн сервера

"Правила маршрутизации для домашнего роутера"
Отправлено Дарья , 18-Апр-08 22:23

KobaLTD, спасибо. Поправила. Уже правильней.
С самого роутера, теперь траффик ходит правильно и в "инет" и в "офис".
Теперь, таблица такая.
[admin@router root]$ route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.3.5     *               255.255.255.255 UH    0      0        0 tun0
89.171.191.124  83.217.192.140  255.255.255.255 UGH   0      0        0 ppp0
83.217.192.140  *               255.255.255.255 UH    0      0        0 ppp0
192.168.3.0     192.168.3.5     255.255.255.0   UG    0      0        0 tun0
192.168.1.0     192.168.3.5     255.255.255.0   UG    0      0        0 tun0
10.10.10.0      *               255.255.255.0   U     0      0        0 br0
127.0.0.0       *               255.0.0.0       U     0      0        0 lo
default         83.217.192.140  0.0.0.0         UG    0      0        0 ppp0
Трудности в другом. Теперь клиенты роутера 10.10.10.1/24 инет видят, а офисную "192.168.1." сеть - нет. Видимо потому, что роутер неправильно натит :\

"Правила маршрутизации для домашнего роутера"
Отправлено KobaLTD , 21-Апр-08 11:28

>[оверквотинг удален]
>      U
>0      0
>   0 lo
>default         83.217.192.140  0.0.0.0
>        UG
> 0      0
>    0 ppp0
>
>Трудности в другом. Теперь клиенты роутера 10.10.10.1/24 инет видят, а офисную "192.168.1."
>сеть - нет. Видимо потому, что роутер неправильно натит :\
В офисную сеть он и не должен натить - они должны по роуту ходить
дайте полную раскладку где что (ip/маски/шлюзы) и кто как ходить должен, с данным девайсом не работал, но общие правила построения мсогу сделать.

"Правила маршрутизации для домашнего роутера"
Отправлено Дарья , 21-Апр-08 20:21

Домашний роутер
br0(wifi адаптер)
ip 10.10.10.1
mask 255.255.255.0
ppp0(до Провайдера)
ip 89.169.36.45
gw 83.217.192.141
mask 255.255.255.255
tun0(openVPN клиент до офиса)
ip 192.168.3.6
gw 192.168.3.5
mask 255.255.255.255
Домашний ноутбук(dhcp от роутера)
Dhcp включен. . . . . . . . . . . : да
Автонастройка включена  . . . . . : да
IP-адрес  . . . . . . . . . . . . : 10.10.10.69
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 10.10.10.1
DHCP-сервер . . . . . . . . . . . : 10.10.10.1
DNS-серверы . . . . . . . . . . . : 10.10.10.1
Офисный OpenVPN-машина
89.171.191.124
Офисная сеть
192.168.1.0
255.255.255.0
Сейчас такая таблица:
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.3.5     *               255.255.255.255 UH    0      0        0 tun0
89.179.197.114  83.217.192.141  255.255.255.255 UGH   0      0        0 ppp0
83.217.192.141  *               255.255.255.255 UH    0      0        0 ppp0
192.168.3.0     192.168.3.5     255.255.255.0   UG    0      0        0 tun0
192.168.1.0     192.168.3.5     255.255.255.0   UG    0      0        0 tun0
10.10.10.0      *               255.255.255.0   U     0      0        0 br0
127.0.0.0       *               255.0.0.0       U     0      0        0 lo
default         83.217.192.141  0.0.0.0         UG    0      0        0 ppp0
С _дом.роутера_ (+)интернет, (+)домашняя локалка, (+)офисная локалка.
С _дом.ноутбука_ (+)интернет, (+)домашняя локалка, (-)офисная локалка.
А хотелось бы, чтобы со всех машин за домашним роутером(как дом.ноутбук) было видно офисную локалку, помимо интернета и дом. локалки.

"Правила маршрутизации для домашнего роутера"
Отправлено KobaLTD , 22-Апр-08 08:59

>[оверквотинг удален]
>default         83.217.192.141  0.0.0.0
>        UG
> 0      0
>    0 ppp0
>
>С _дом.роутера_ (+)интернет, (+)домашняя локалка, (+)офисная локалка.
>С _дом.ноутбука_ (+)интернет, (+)домашняя локалка, (-)офисная локалка.
>
>А хотелось бы, чтобы со всех машин за домашним роутером(как дом.ноутбук) было
>видно офисную локалку, помимо интернета и дом. локалки.
Значит по порятку - видна локалка - если в смысле видеть в "Сетевом окружении" - то это просто так не решаеться нужно или подымать wins сервер или делать проброс брадкаст пакетов (чего вашь девайс скорее всего не умеет), возможность достучаться до машин по IP можно
теперь таблица маршрутизации
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.3.5     *               255.255.255.255 UH    0      0        0 tun0
89.179.197.114  83.217.192.141  255.255.255.255 UGH   0      0        0 ppp0
83.217.192.141  *               255.255.255.255 UH    0      0        0 ppp0
192.168.3.0     192.168.3.5     255.255.255.0   UG    0      0        0 tun0
192.168.1.0     192.168.3.5     255.255.255.0   UG    0      0        0 tun0
10.10.10.0      *               255.255.255.0   U     0      0        0 br0
127.0.0.0       *               255.0.0.0       U     0      0        0 lo
default         83.217.192.141  0.0.0.0         UG    0      0        0 ppp0
с маршрутизацие все правельно
есчо бы домавил конкретно руками но не обязательно
89.171.191.124255.255.255.255 UGH   0      0        0 ppp0

"Правила маршрутизации для домашнего роутера"
Отправлено KobaLTD , 22-Апр-08 09:03

>89.171.191.124255.255.255.255 UGH   0      0
>      0 ppp0
сори не туда нажал :)
89.171.191.124  83.217.192.141  255.255.255.255 UGH   0      0        0 ppp0
это явное указание маршруиа до впн сервера
по поводу видости я уже написал или проброс брадкастов (надо смотреть понимает ли вашь девайс такое) или организация wins сервреа в офиссе.
уточните что в такой реализации не наботатет или работает не так?

"Правила маршрутизации для домашнего роутера"
Отправлено Дарья , 22-Апр-08 12:32

Не-а, никакого "сетевого окружения" не надо. Нужен доступ по ip до конкретных офисных серверов.
Сейчас с этим-то и плохо.
Если делать ping с самого дом. роутера до офисных серверов, то все ок. Соотвественно, апач отвечает если делать с дом.роутера lynx http://192.168.1.23(один из офис.локальных серверов).
Но с дом. ноутбука, который, соотвественно за дом.роутером нет ни ping`a, ни :80 до 192.168.1.23.

"Правила маршрутизации для домашнего роутера"
Отправлено KobaLTD , 23-Апр-08 17:53

>[оверквотинг удален]
>офисных серверов.
>
>Сейчас с этим-то и плохо.
>
>Если делать ping с самого дом. роутера до офисных серверов, то все
>ок. Соотвественно, апач отвечает если делать с дом.роутера lynx http://192.168.1.23(один из
>офис.локальных серверов).
>
>Но с дом. ноутбука, который, соотвественно за дом.роутером нет ни ping`a, ни
>:80 до 192.168.1.23.
Это уже не маршрутизация а NAT, вот его и надо капать - скорее всего стоит каконить правило из серии
все что с 10.10.10.0/255.255.255.0 на !10.10.10.0/255.255.255.0 заварачивать на default через NAT
надо смотреть эти настройки - жалко девайса такого под рукой нет :(

"Правила маршрутизации для домашнего роутера"
Отправлено Дарья , 23-Апр-08 19:58

>[оверквотинг удален]
>>ок. Соотвественно, апач отвечает если делать с дом.роутера lynx http://192.168.1.23(один из
>>офис.локальных серверов).
>>
>>Но с дом. ноутбука, который, соотвественно за дом.роутером нет ни ping`a, ни
>>:80 до 192.168.1.23.
>
>Это уже не маршрутизация а NAT, вот его и надо капать -
>скорее всего стоит каконить правило из серии
>все что с 10.10.10.0/255.255.255.0 на !10.10.10.0/255.255.255.0 заварачивать на default через NAT
>надо смотреть эти настройки - жалко девайса такого под рукой нет :(
Девайс как девайс, linux inside ;) поэтому...
А как изобразить nat ? iptables'oм?
Спасибо, в любом случае, за помощь и отзывчивость.

"Правила маршрутизации для домашнего роутера"
Отправлено Дарья , 23-Апр-08 20:15

Похоже, вот решение.
iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -o tun0 -j SNAT --to-source 192.168.3.6

"Правила маршрутизации для домашнего роутера"
Отправлено KobaLTD , 24-Апр-08 12:36

>Похоже, вот решение.
>iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -o tun0 -j SNAT --to-source
>192.168.3.6
это не решение
для внутреней маршрутизации (локалка<----тунель----->офис) NAT не нужен
скорее всего в этом проблема, гдето включен нат (скорее всего на устройстве) который все что выходит из локалки пытаеться гнать в ppp0, но почему это срабатывает до маршрутизации незнаю. Надо полсностью смотерть настройки девайса и впн шлюза, жалко девайса для разбора нет под рукой.
З.Ы. к стати не все роутеры умеют работать с натом и маршрутизацие одновременно - может твой из этой серии.

"Правила маршрутизации для домашнего роутера"
Отправлено Дарья , 24-Апр-08 20:20

Вот чего есть...
# cat nat_rules
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:VSERVER - [0:0]
-A PREROUTING -d 89.169.36.45 -j VSERVER
-A VSERVER -p tcp -m tcp --dport 8080 -j DNAT --to-destination 10.10.10.1:80
-A VSERVER -p tcp -m tcp --dport 16002 -j DNAT --to-destination 10.10.10.75:16002
-A VSERVER -p udp -m udp --dport 16002 -j DNAT --to-destination 10.10.10.75:16002
-A PREROUTING -p udp -d 89.169.36.45 --sport 6112 -j NETMAP --to 10.10.10.0/24
-A POSTROUTING -p udp -s 10.10.10.0/24 --dport 6112 -j NETMAP --to 89.169.36.45
-A POSTROUTING -o ppp0 ! -s 89.169.36.45 -j MASQUERADE
-A POSTROUTING -o br0 -s 10.10.10.0/24 -d 10.10.10.0/24 -j MASQUERADE
COMMIT

"Правила маршрутизации для домашнего роутера"
Отправлено KobaLTD , 25-Апр-08 09:58

>Вот чего есть...
>
># cat nat_rules
>*nat
да блин - может я конешно ничего не понимаю но мне кажеться
>[оверквотинг удален]
>
>-A VSERVER -p tcp -m tcp --dport 16002 -j DNAT --to-destination 10.10.10.75:16002
>
>-A VSERVER -p udp -m udp --dport 16002 -j DNAT --to-destination 10.10.10.75:16002
>
>-A PREROUTING -p udp -d 89.169.36.45 --sport 6112 -j NETMAP --to 10.10.10.0/24
>
>-A POSTROUTING -p udp -s 10.10.10.0/24 --dport 6112 -j NETMAP --to 89.169.36.45
>
>-A POSTROUTING -o ppp0 ! -s 89.169.36.45 -j MASQUERADE
это правило на сколько я понял если пакет не с ip 89.169.36.45 то NAT серез ppp0
>-A POSTROUTING -o br0 -s 10.10.10.0/24 -d 10.10.10.0/24 -j MASQUERADE
бред - смысл это правила я не улавливываю?
>COMMIT
насколько я понял правело строяться аналогично iptables в лине тогда долно быть что то вроде этого
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.3.5     *               255.255.255.255 UH    0      0        0 tun0
89.179.197.114  83.217.192.141  255.255.255.255 UGH   0      0        0 ppp0
83.217.192.141  *               255.255.255.255 UH    0      0        0 ppp0
192.168.3.0     192.168.3.5     255.255.255.0   UG    0      0        0 tun0
192.168.1.0     192.168.3.5     255.255.255.0   UG    0      0        0 tun0
10.10.10.0      *               255.255.255.0   U     0      0        0 br0
127.0.0.0       *               255.0.0.0       U     0      0        0 lo
default         83.217.192.141  0.0.0.0         UG    0      0        0 ppp0
# cat nat_rules
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:VSERVER - [0:0]
-A PREROUTING -d 89.169.36.45 -j VSERVER
-A VSERVER -p tcp -m tcp --dport 8080 -j DNAT --to-destination 10.10.10.1:80
-A VSERVER -p tcp -m tcp --dport 16002 -j DNAT --to-destination 10.10.10.75:16002
-A VSERVER -p udp -m udp --dport 16002 -j DNAT --to-destination 10.10.10.75:16002
-A PREROUTING -p udp -d 89.169.36.45 --sport 6112 -j NETMAP --to 10.10.10.0/24
-A POSTROUTING -p udp -s 10.10.10.0/24 --dport 6112 -j NETMAP --to 89.169.36.45
-A POSTROUTING -s 10.10.10.0/24 -d !192.168.0.0/16 -o ppp0 -j MASQUERADE
(все приходящее от 10.10.10.0/24 и с дистанцие НЕ ДО 192.168.0.0/255.255.0.0 NAT в инет)
COMMIT
приблезительно так должно все разруливать
есть правдо 1 странность
почемуто отсутствует цепочка FORWARD - если проводить аналогию с линукс - может быть 2 варианта 1 по аналогии с линухом не в ключена маршрутизация (в лине echo "1" > /proc/sys/net/ipv4/ip_forward), вариант 2 девай не умеет одновременно и маршрутизировать и NAT (встераються такие "уроды в природе")
для второго варианта можно изменить цепочки да и при первом сработает но не совсем "коректно" будет
# cat nat_rules
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:VSERVER - [0:0]
-A PREROUTING -d 89.169.36.45 -j VSERVER
-A VSERVER -p tcp -m tcp --dport 8080 -j DNAT --to-destination 10.10.10.1:80
-A VSERVER -p tcp -m tcp --dport 16002 -j DNAT --to-destination 10.10.10.75:16002
-A VSERVER -p udp -m udp --dport 16002 -j DNAT --to-destination 10.10.10.75:16002
-A PREROUTING -p udp -d 89.169.36.45 --sport 6112 -j NETMAP --to 10.10.10.0/24
-A POSTROUTING -p udp -s 10.10.10.0/24 --dport 6112 -j NETMAP --to 89.169.36.45
-A POSTROUTING -s 10.10.10.0/24 -d 192.168.1.0/24 -o tun0 -j MASQUERADE
-A POSTROUTING -s 10.10.10.0/24 -d 192.168.3.0/24 -o tun0 -j MASQUERADE
-A POSTROUTING -s 10.10.10.0/24 -d !192.168.0.0/16 -o ppp0 -j MASQUERADE
в принцепе должно сработать
а вообще файрвол надо перекапывать основательно т.к. не видно цепочки INPUT, везде все разрешено :)

"Правила маршрутизации для домашнего роутера"
Отправлено KobaLTD , 25-Апр-08 11:54

>есть правдо 1 странность
>почемуто отсутствует цепочка FORWARD
.....
>а вообще файрвол надо перекапывать основательно т.к. не видно цепочки INPUT, везде
>все разрешено :)
сори не заметил что : # cat nat_rules