Как пробросить порты на сеть клиента OpenVPN на роутерах Asus?

Винды нет.
На клиентской стороне отключил UFW на убунте, не помогло,
продолжаю поиски, жду инфу от ТП асуса.
Тут пишу уже скорее для того, чтобы потом самому наткнуться если проблему решу и она снова повторится)

Как пробросить порты на сеть клиента OpenVPN на роутерах Asus?

C internal routing всё понятно, проблема в том, что при попытка через терминал исправить конфиг асуса он не сохраняется.
Я у себя уже за всё время изменил посети, теперь на асусе-сервере сеть 192.168.5.0, на клиенте - 192.168.6.0
Чтобы не мешать работать на той стороне поднял машину на ubuntu(192.168.6.51)и положил конфиг впн клиента туда.
В итоге по маршрутам видно что с неё я могу пинговаться за сервер а вот обратно всё так же йух.
Фаервола на убунте нет, на асусе сервере почему-то тупо не применяются дополнительные настройки из веб морды, ну а из терминала уже писал, что не сохраняются.
На всякий случай приложу конфиг веб морды, и таблицы маршрутов сервера и клиента вдруг мысли какие появятся.
уже в поддержку асуса написал вдруг поможет, хотя надежды мало.

OpenVPN на двух роутерах ASUS RT-N18U?

Вам удалось решить проблему?

Как пробросить порты на сеть клиента OpenVPN на роутерах Asus?

Ziptar, Приятно через столько времени видеть тех же людей)))
Дело в том, что туннелями за всё это время и много устройств конечных обросло и опасаюсь, как бы переход на tap не поломал бы всё остальное.
Иными словами починю(если удастся) одно но какой ценой)))

Как пробросить порты на сеть клиента OpenVPN на роутерах Asus?

Проблема решилась пушами, но позже была необходимость снести роутер в дефолт и настраивать всё заново. А уже после повторной настройки решение с push "route" уже не срабатывает.
Так что проблема актуальна(((

Как в iptables разрешить только туннельный трафик?

ValdikSS, Всё получилось!
Огромное спасибо!
Оказался сам себе злобный буратино.
У меня был заблокирован PREROUTING, вывод iptables -S его не выводит, заметил это внутри файла правил.
Как только разрешил PREROUTING трафик в туннеле пошёл.
Ещё раз огромное спасибо.

Нужна помощь по IPTABLES и перебросу трафика между интерфейсами

Не могли бы выложить решение?

Как в iptables разрешить только туннельный трафик?

У меня пропадает доступ к этой машине по ВПН впринципе. Т.е. после применения правил туннель какое-то время активен, а потом отключается. Подключиться к машине по ssh с компа, который подключен к тому же ВПН серверу уже нельзя.

Публикую полный вывод команды iptables -S

Свои правила это попытка разобраться + эксперименты. Они добавляются уже после. Попыток применить предоставленные правила.

Как в iptables разрешить только туннельный трафик?

ValdikSS, добавил в начало -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT
результата нет.
Не совсем понимаю логику.
Если верить этим правилам, то я запрещаю исходящие запросы с интерфейса свистка и запрещаю весь трафик от и до свистка?
Таким образом необходимо добавить разрешающее правило (FORWARD) для 22 порта до строки -A FORWARD -i int1 -j DROP и SSH должен появиться?
-A FORWARD -i int2 -p tcp --dport 22 -j ACCEPT

Как в iptables разрешить только туннельный трафик?

ValdikSS, После применения зарезался и из туннеля входящий SSH и входящий Ping

-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A FORWARD -i int2 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i int1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i int2 -o tun -j ACCEPT
-A FORWARD -i tun -o int2 -j ACCEPT
-A FORWARD -i int1 -j DROP
-A FORWARD -o int1 -j DROP
-A OUTPUT -d IP-VPN-SERVER -o int1 -j ACCEPT
-A OUTPUT -d 192.168.8.0/24 -o int1 -j ACCEPT
-A OUTPUT -o int1 -j DROP

Как в iptables разрешить только туннельный трафик?

Судя по tcpdump на интерфейсе свистка идут только подключения к ВПН серверу
Локальный интерфейс общается только со своими клиентами внутри своей подсети

Как в iptables разрешить только туннельный трафик?

Запустил лог и среди всей массы я так понял что мне нужны именно эти строки

IN= OUT=tun SRC=192.168.3.1 DST=10.50.0.2 LEN=88 TOS=0x10 PREC=0x00 TTL=64 ID=31023 DF PROTO=TCP SPT=22 DPT=49440 WINDOW=501 RES=0x00 ACK PSH URGP=0
IN= OUT=int1 SRC=192.168.8.1 DST=IP-VPN-SEVRER LEN=140 TOS=0x00 PREC=0x00 TTL=64 ID=13463 DF PROTO=UDP SPT=56708 DPT=1194 LEN=120
IN= OUT=tun SRC=192.168.3.1 DST=10.50.0.3 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=25054 PROTO=ICMP TYPE=0 CODE=0 ID=18203 SEQ=3
IN= OUT=int1 SRC=192.168.8.1 DST=IP-VPN-SERVER LEN=136 TOS=0x00 PREC=0x00 TTL=64 ID=13464 DF PROTO=UDP SPT=56708 DPT=1194 LEN=116

Я понимаю, что тут видно SSH исходящий трафик на интерфейсе tun и ВПН трафик на интерфейсе свистка с ВПН сервера, но я не понимаю какими правилами можно разрешить этот трафик учитывая, что по умолчанию у меня блокируется FORWARD а OUTPUT режет только всё, что не прописано выше.

Как в iptables разрешить только туннельный трафик?

Всё верно.
-Р - это ведь параметр по умолчанию, т.е. по умолчанию весь входящий\исходящий\транзитный трафик разрешён
Сейчас у меня так и есть.
Я правильно понимаю, что необходимо в конец моих правил добавить

-A INPUT -j LOG
-A OUTPUT -j LOG
-A FORWARD - j LOG

Чтобы посмотреть что и как именно ходит в туннель и после по умолчанию сделать DROP, и отдельными правилами разрешить то, что нашёл в логах?

Как в iptables разрешить только туннельный трафик?

Alexey Dmitriev, Если вкратце, то надо обрезать весь лишний трафик, оставить только трафик внутри VPN.
Имеется VPN сервер, к нему подключаются шлюзы, а уже к ним конечные клиенты.
Суть в том, чтобы эти шлюзы и конечные клиенты за ними видели друг друга, наружу не ходили.

Моими правилами выполнено первое условие, после подключения к VPN серверу подсети за шлюзами видны друг другу.
На счёт трафика внутри VPN не беспокоюсь, т.к. цель - запретить всё, что не идёт туда, как исходящие, так и входящие запросы.
Короче говоря - закрыть внешний интернет и сделать одну большую локальную сеть средствами VPN.
Извините если криво объяснил.

Как в iptables разрешить только туннельный трафик?

Применил рекомендованные правила, с другого шлюза в ВПН сети на этот шлюз могу подключаться, но с клиентов за удалённым шлюзом связи до этого GW нет. Ранее со старыми правилами можно было с клиента на клиент попадать за шлюзами.
сейчас так:

-P INPUT ACCEPT
-P FORWARD DROP
-P OUTPUT ACCEPT
-A FORWARD -i int2 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i int1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i int2 -o tun0 -j ACCEPT
-A FORWARD -i tun0 -o int2 -j ACCEPT
-A OUTPUT -d "IP-VPN" -o int1 -j ACCEPT
-A OUTPUT -d 192.168.8.0/24 -o int1 -j ACCEPT
-A OUTPUT -o int1 -j DROP

Как в iptables разрешить только туннельный трафик?

ValdikSS, благодарю! Попробую и обязательно отпишусь по результату.

Как в iptables разрешить только туннельный трафик?

А входящий трафик в INPUT оставить как есть?

Remoteapp самопроизвольные переключения между сеансами?

Сергей, Приветствую. прошу пощения за долгий ответ, но увы на другом компе с этой же учёткой проблема появляется вновь.

Remoteapp самопроизвольные переключения между сеансами?

ITsis, рано обрадовался. не помогло

Remoteapp самопроизвольные переключения между сеансами?

соз@SuNbka, создал нового юзера, пока полёт нормальный.