Задать вопрос
  • Как пробросить порты на сеть клиента OpenVPN на роутерах Asus?

    @ITsis Автор вопроса
    Пишу для себя, если снова вернусь к данной проблеме, но и для тех, кто столкнется с тем же.

    Подводя промежуточный итог выяснилось, что при подключении клиента через интерфейс TUN можно видеть хосты за сервером, но хосты за клиентом не видны.
    Как и предполагалось проблема в маршрутах. Нужный маршрут просто не строится не зависимо добавляется/
    Route или push route в пользовательской конфигурации не помогают.
    При изменении конфига по SSH, роутер его не сохраняет.
    Поддержка Asus сообщила что менять таким образом конфиг нельзя, так же сообщили, что ручное изменение маршрута в асусах так же не поддерживается.
    В итоге с их слов хочешь чтобы хосты за vpn видели друг друга - используй TAP. И пофиг, что например на шлюзе под ubuntu без проблем всё работает на TUN.

    Так что пока вяло буду искать вариант решения учитывая что раньше точно работало на TUN.(может дело в прошивке. от ТП больше ничего полезного не узнать)
    Ответ написан
    Комментировать
  • Как в iptables разрешить только туннельный трафик?

    @ITsis Автор вопроса
    Можно для совсем тупых? Ведь именно таким я себя и ощущаю...
    -P INPUT ACCEPT
    -P FORWARD ACCEPT
    -P OUTPUT ACCEPT
    -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT #разрешение SSH
    -A INPUT -i int2-j ACCEPT #разрешить весь входящий трафик на локальный интерфейс (может лишнее)
    -A FORWARD -i int2 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT #перенаправление всех новых и существующих соединений из локального интерфейса 
    -A FORWARD -i int1 -m state --state RELATED,ESTABLISHED -j ACCEPT #перенаправление всех существующих соединений из интернета(свистка)
    -A FORWARD -i int2 -o tun -j ACCEPT #разрешение всего трафика между локальным интерфейсом и тунелем
    -A FORWARD -i tun -o int2 -j ACCEPT 
    -A FORWARD -i int1 -j DROP #запретить получать всё через свитсок, что не разрешено выше
    -A FORWARD -o int1 -j DROP #запретить отправлять всё через свисток, что не разрешено выше
    -A OUTPUT -p tcp -m tcp --dport 22 -j ACCEPT #разрешить исходящий трафик для ssh
    -A OUTPUT -d IP-VPN-SERVER -o int1 -j ACCEPT #разрешить исходящие подключения на ВПН сервер через свисток
    -A OUTPUT -d 192.168.8.0/24 -o int1 -j ACCEPT #разрешить исходящие подключения с локального адреса свистка через его интерфейс
    -A OUTPUT -o int1 -j DROP #закрыть весь исходящий трафик в интернет


    В итоге после применения этого правила какое-то время моё ssh подключение держится, потом падает.
    Соответственно пинг не проходит, через туннель уже не подключиться на эту машину, хотя с неё доступ на другие ВПН клиенты есть.

    Что нужно прописать в FORWARD и OUTPUT Чтобы последние команды DROP не мешали получить доступ от других ВПН клиентов к этой машине?
    Ответ написан
    Комментировать