Задать вопрос
  • Как пробросить порты на сеть клиента OpenVPN на роутерах Asus?

    @ITsis Автор вопроса
    Винды нет.
    На клиентской стороне отключил UFW на убунте, не помогло,
    продолжаю поиски, жду инфу от ТП асуса.
    Тут пишу уже скорее для того, чтобы потом самому наткнуться если проблему решу и она снова повторится)
    Написано
  • Как пробросить порты на сеть клиента OpenVPN на роутерах Asus?

    @ITsis Автор вопроса
    C internal routing всё понятно, проблема в том, что при попытка через терминал исправить конфиг асуса он не сохраняется.
    Я у себя уже за всё время изменил посети, теперь на асусе-сервере сеть 192.168.5.0, на клиенте - 192.168.6.0
    Чтобы не мешать работать на той стороне поднял машину на ubuntu(192.168.6.51)и положил конфиг впн клиента туда.
    В итоге по маршрутам видно что с неё я могу пинговаться за сервер а вот обратно всё так же йух.
    Фаервола на убунте нет, на асусе сервере почему-то тупо не применяются дополнительные настройки из веб морды, ну а из терминала уже писал, что не сохраняются.
    На всякий случай приложу конфиг веб морды, и таблицы маршрутов сервера и клиента вдруг мысли какие появятся.
    уже в поддержку асуса написал вдруг поможет, хотя надежды мало.

    6840199c0e04a604929998.png

    68401e3e9d9fc151417707.png

    68401f2791f17095071801.png
    Написано
  • OpenVPN на двух роутерах ASUS RT-N18U?

    @ITsis
    Вам удалось решить проблему?
    Написано
  • Как пробросить порты на сеть клиента OpenVPN на роутерах Asus?

    @ITsis Автор вопроса
    Ziptar, Приятно через столько времени видеть тех же людей)))
    Дело в том, что туннелями за всё это время и много устройств конечных обросло и опасаюсь, как бы переход на tap не поломал бы всё остальное.
    Иными словами починю(если удастся) одно но какой ценой)))
    Написано
  • Как пробросить порты на сеть клиента OpenVPN на роутерах Asus?

    @ITsis Автор вопроса
    Проблема решилась пушами, но позже была необходимость снести роутер в дефолт и настраивать всё заново. А уже после повторной настройки решение с push "route" уже не срабатывает.
    Так что проблема актуальна(((
    Написано
  • Как в iptables разрешить только туннельный трафик?

    @ITsis Автор вопроса
    ValdikSS, Всё получилось!
    Огромное спасибо!
    Оказался сам себе злобный буратино.
    У меня был заблокирован PREROUTING, вывод iptables -S его не выводит, заметил это внутри файла правил.
    Как только разрешил PREROUTING трафик в туннеле пошёл.
    Ещё раз огромное спасибо.
  • Как в iptables разрешить только туннельный трафик?

    @ITsis Автор вопроса
    У меня пропадает доступ к этой машине по ВПН впринципе. Т.е. после применения правил туннель какое-то время активен, а потом отключается. Подключиться к машине по ssh с компа, который подключен к тому же ВПН серверу уже нельзя.

    Публикую полный вывод команды iptables -S

    Свои правила это попытка разобраться + эксперименты. Они добавляются уже после. Попыток применить предоставленные правила.
  • Как в iptables разрешить только туннельный трафик?

    @ITsis Автор вопроса
    ValdikSS, добавил в начало -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT
    результата нет.
    Не совсем понимаю логику.
    Если верить этим правилам, то я запрещаю исходящие запросы с интерфейса свистка и запрещаю весь трафик от и до свистка?
    Таким образом необходимо добавить разрешающее правило (FORWARD) для 22 порта до строки -A FORWARD -i int1 -j DROP и SSH должен появиться?
    -A FORWARD -i int2 -p tcp --dport 22 -j ACCEPT
  • Как в iptables разрешить только туннельный трафик?

    @ITsis Автор вопроса
    ValdikSS, После применения зарезался и из туннеля входящий SSH и входящий Ping
    -P INPUT ACCEPT
    -P FORWARD ACCEPT
    -P OUTPUT ACCEPT
    -A FORWARD -i int2 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
    -A FORWARD -i int1 -m state --state RELATED,ESTABLISHED -j ACCEPT
    -A FORWARD -i int2 -o tun -j ACCEPT
    -A FORWARD -i tun -o int2 -j ACCEPT
    -A FORWARD -i int1 -j DROP
    -A FORWARD -o int1 -j DROP
    -A OUTPUT -d IP-VPN-SERVER -o int1 -j ACCEPT
    -A OUTPUT -d 192.168.8.0/24 -o int1 -j ACCEPT
    -A OUTPUT -o int1 -j DROP
  • Как в iptables разрешить только туннельный трафик?

    @ITsis Автор вопроса
    Судя по tcpdump на интерфейсе свистка идут только подключения к ВПН серверу
    Локальный интерфейс общается только со своими клиентами внутри своей подсети
  • Как в iptables разрешить только туннельный трафик?

    @ITsis Автор вопроса
    Запустил лог и среди всей массы я так понял что мне нужны именно эти строки

    IN= OUT=tun SRC=192.168.3.1 DST=10.50.0.2 LEN=88 TOS=0x10 PREC=0x00 TTL=64 ID=31023 DF PROTO=TCP SPT=22 DPT=49440 WINDOW=501 RES=0x00 ACK PSH URGP=0
    IN= OUT=int1 SRC=192.168.8.1 DST=IP-VPN-SEVRER LEN=140 TOS=0x00 PREC=0x00 TTL=64 ID=13463 DF PROTO=UDP SPT=56708 DPT=1194 LEN=120
    IN= OUT=tun SRC=192.168.3.1 DST=10.50.0.3 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=25054 PROTO=ICMP TYPE=0 CODE=0 ID=18203 SEQ=3
    IN= OUT=int1 SRC=192.168.8.1 DST=IP-VPN-SERVER LEN=136 TOS=0x00 PREC=0x00 TTL=64 ID=13464 DF PROTO=UDP SPT=56708 DPT=1194 LEN=116


    Я понимаю, что тут видно SSH исходящий трафик на интерфейсе tun и ВПН трафик на интерфейсе свистка с ВПН сервера, но я не понимаю какими правилами можно разрешить этот трафик учитывая, что по умолчанию у меня блокируется FORWARD а OUTPUT режет только всё, что не прописано выше.
  • Как в iptables разрешить только туннельный трафик?

    @ITsis Автор вопроса
    Всё верно.
    -Р - это ведь параметр по умолчанию, т.е. по умолчанию весь входящий\исходящий\транзитный трафик разрешён
    Сейчас у меня так и есть.
    Я правильно понимаю, что необходимо в конец моих правил добавить
    -A INPUT -j LOG
    -A OUTPUT -j LOG
    -A FORWARD - j LOG


    Чтобы посмотреть что и как именно ходит в туннель и после по умолчанию сделать DROP, и отдельными правилами разрешить то, что нашёл в логах?
  • Как в iptables разрешить только туннельный трафик?

    @ITsis Автор вопроса
    Alexey Dmitriev, Если вкратце, то надо обрезать весь лишний трафик, оставить только трафик внутри VPN.
    Имеется VPN сервер, к нему подключаются шлюзы, а уже к ним конечные клиенты.
    Суть в том, чтобы эти шлюзы и конечные клиенты за ними видели друг друга, наружу не ходили.

    Моими правилами выполнено первое условие, после подключения к VPN серверу подсети за шлюзами видны друг другу.
    На счёт трафика внутри VPN не беспокоюсь, т.к. цель - запретить всё, что не идёт туда, как исходящие, так и входящие запросы.
    Короче говоря - закрыть внешний интернет и сделать одну большую локальную сеть средствами VPN.
    Извините если криво объяснил.
  • Как в iptables разрешить только туннельный трафик?

    @ITsis Автор вопроса
    Применил рекомендованные правила, с другого шлюза в ВПН сети на этот шлюз могу подключаться, но с клиентов за удалённым шлюзом связи до этого GW нет. Ранее со старыми правилами можно было с клиента на клиент попадать за шлюзами.
    сейчас так:
    -P INPUT ACCEPT
    -P FORWARD DROP
    -P OUTPUT ACCEPT
    -A FORWARD -i int2 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
    -A FORWARD -i int1 -m state --state RELATED,ESTABLISHED -j ACCEPT
    -A FORWARD -i int2 -o tun0 -j ACCEPT
    -A FORWARD -i tun0 -o int2 -j ACCEPT
    -A OUTPUT -d "IP-VPN" -o int1 -j ACCEPT
    -A OUTPUT -d 192.168.8.0/24 -o int1 -j ACCEPT
    -A OUTPUT -o int1 -j DROP
  • Как в iptables разрешить только туннельный трафик?

    @ITsis Автор вопроса
    ValdikSS, благодарю! Попробую и обязательно отпишусь по результату.
  • Как в iptables разрешить только туннельный трафик?

    @ITsis Автор вопроса
    А входящий трафик в INPUT оставить как есть?
  • Remoteapp самопроизвольные переключения между сеансами?

    @ITsis Автор вопроса
    Сергей, Приветствую. прошу пощения за долгий ответ, но увы на другом компе с этой же учёткой проблема появляется вновь.
  • Remoteapp самопроизвольные переключения между сеансами?

    @ITsis Автор вопроса
    ITsis, рано обрадовался. не помогло
  • Remoteapp самопроизвольные переключения между сеансами?

    @ITsis Автор вопроса
    соз@SuNbka, создал нового юзера, пока полёт нормальный.