Search the Community

Пишу по мотивам моего поста в курилке, который сейчас уже в архиве, а мог бы быть многим полезен. Иногда на форуме и в канале я вижу вопросы по реализации выборочной маршрутизации некоторых ресурсов через поднятый на роутере VPN туннель, такой как OpenVPN или Wireguard. Мой скрипт очень простой и эффективный способ перейти на любимый ресурс, даже если он по какой-то причине заблокирован на территории страны. Многие инструкции предлагают обойти блокировку вообще всего, что заблокировано. Но вряд ли кто-то постоянно посещает все эти заблокированные ресурсы. Многим достаточно разблокировать лишь несколько своих нужных ресурсов. Небольшие комментарии по скрипту. /opt/root/vpnsitelist.txt - это обычный текстовый файл, где в каждой строке находится адрес заблокированного ресурса 127.0.0.1 - это ваш DNS сервер. У меня используется AdGuardDNS в режиме DoT/DoH из прошивки. У вас может быть другой. Узнать какой у вас можно выполнив команда nslookup ya.ru на роутере. ovpn_br0 - имя интерфейса туннеля OpenVPN. У вас может немного отличаться, чтобы посмотреть какой именно у вас воспользуйтесь командой ifconfig nwg0 - имя интерфейса туннеля Wireguard. У вас может немного отличаться, чтобы посмотреть какой именно у вас воспользуйтесь командой ifconfig Для тех у кого OpenVPN скрипт удобно разместить в директории /opt/etc/ndm/openvpn-up.d/ и сделать симлинк в крон ln -s /opt/etc/ndm/openvpn-up.d/1-unblock-static-route /opt/etc/cron.hourly/01unblock Выполнять скрипт в кроне с какой-либо периодичностью я рекомендую потому, что IP адреса заблокированных ресурсов могут часто меняться и нужно добавлять маршруты для них. У тех у кого Wireguard можно разместить скрипт в /opt/etc/ndm/ifstatechanged.d но тут нужна доработка по отслеживанию поднятия туннеля. Дополнения и улучшения скрипта приветствуются.

Очень хочется сделать так (config)> interface Gre0 ip address 192.168.76.1 255.255.255.255 Network::Interface::Ip error[72220674]: "Gre0": network 192.168.76.1/32 conflicts with interface "Home". Чтоб пакеты выходили в туннель с ip домашней подсети. Так как туннелей планируется много - очень тяжело спланировать каждому свою подсетку. Но показывает (config)> show interface Gre0 id: Gre0 index: 0 type: Gre description: interface-name: Gre0 link: up connected: yes state: up role: misc mtu: 1476 tx-queue: 1 conflict: interface: Bridge0 address: 192.168.76.1 mask: 255.255.255.255 elapsed: 27 global: no security-level: public tunnel-local-source: 37.хх.хх.хх tunnel-remote-destination: 37.хх.хх.хх ipsec-enabled: no ipsec-ikev2-allowed: yes ipsec-ikev2-enabled: no Но маска же другая - конфликта нет! Еще хочется peer адреса, как у pptp интерфейсов ставить на l3 туннели. Вот в линуксе у меня root@route:~# ip a l ipip-lenina 9: ipip-lenina@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1480 qdisc noqueue state UNKNOWN group default qlen 1 link/ipip 109.хх.хх.хх peer 109.хх.хх.хх inet 192.168.14.1 peer 192.168.14.138/32 brd 192.168.14.1 scope global ipip-lenina valid_lft forever preferred_lft forever

Всем привет! Развернул OpenVPN сервер в режиме TAP на Zyxel Keenetic Giga II c прошивкой 2.15.A.3.0-0 (Подсеть 192.168.0.0, ip=192.168.0.1) Имеются три клиента : 1) Zyxel Keenetic Giga II c прошивкой 2.15.A.3.0-0. (Подсеть 192.168.1.0, ip=192.168.1.1) , 2) Мобильный клиент на Android. 3) Windows Со стороны клиентов сервер и подсеть сервера пингуется, всё исправно работает. В обратную сторону не работает, так как сервер выдаёт IP-адрес клиенту (шлюзу) из выделенного диапазона 192.168.0.67-192.168.0.71 в порядке подключения. При попытке регистрации клиента в подсети сервера каждый раз возникает новый MAC-адрес клиента, поэтому нет возможности “жёсткой” привязки ip адреса и назначения статического маршрута к подсети клиента. В чём причина возникновения новых MAC-адресов у клиентов при установлении туннеля? CONFIG Сервера port 1194 proto udp dev tap0 <ca></ca> <cert></cert> <key></key> <dh></dh> server-bridge 192.168.0.1 255.255.255.0 192.168.0.67 192.168.0.71 client-to-client keepalive 10 600 <tls-auth></tls-auth> key-direction 0 cipher AES-256-CBC compress lz4-v2 push "compress lz4-v2" persist-key persist-tun verb 5 explicit-exit-notify 1 CONFIG CLIENT client dev tap0 proto udp remote xxx.xxx.xxx.xxx 1194 resolv-retry infinite nobind persist-key persist-tun <ca></ca> <cert></cert> <key></key> remote-cert-tls server <tls-auth></tls-auth> key-direction 1 cipher AES-256-CBC verb 5

Друзья, намучавшись вдоволь с настройкой IPSec VPN клиента для подключения к CISCO VPN с авторизацией XAuth PSK в веб-морде Giga3 и так и не получив коннекта, я решил решить это через Entware с помощью VPNC (который успешной трудится у меня на android смартфоне). И действительно как настройка так и коннект проходят гладко и за 10 минут мы получаем вот такое прерасное зрелище в busybox entware: Но вот беда - пакеты из локальной сети и даже от самого кинетика (скажем из той же морды) не идут по полученным от VPN сервера маршрутами. Ощущение, что NAT отсутствует, но как-бы он принудительно запускается в самом vpnc.conf при установлении коннекта. Задачи очевидные: 1) Сделать, чтобы всем клиентам роутера (wifi и lan) были доступны маршруты от VPN сервера 2) Первая задача не отменяет того, что все клиенты роутера выходят в интернет через тот же интерфейс, что и vpn. Прошу Вашего содействия или возмедного взаимодействия.

Добрый день! Я нахожусь за NAT провайдера. Мой айпи серый и динамический, например 66.66.66.66 У меня есть арендованный виртуальный сервер с Ubuntu на борту. У сервера белый статический айпи, например 99.99.99.99. На нем настроен PPTP сервер и проброс 80 порта: iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 10.0.0.100:80 iptables -t nat -A POSTROUTING -p tcp -d 10.0.0.100 --dport 80 -j SNAT --to-source 99.99.99.99 При подключении к этому VPN с компьютера под управлением Windows (из моей сети) я снимаю галочку Use as default gateway и выполняю следующую команду: route -p add 99.99.99.99 mask 255.255.255.255 10.0.0.100 при этом я получаю следующее поведение: 1. Скорость моего подключения к интернету остается полной и соответствует заявленной провайдером. 2. Мой айпи с точки зрения всех сервисов остается 66.66.66.66 3. Самое главное - при запросе к айпи 99.99.99.99 открывается веб-сервер моего компьютера под управлением Windows - то есть, я получаю белый айпи без необходимости трясти провайдера. Я бы хотел получит аналогичное поведение при подключении к этому VPN со своего раутера Zyxel Keenetic Giga III - хочу чтобы все запросы по айпи 99.99.99.99 приходили на мой раутер и я дальше сам их распределял по своей локальной сети на основании правил Port Forwarding без необходимости подключать к VPN каждый узел сети по отдельности. Таким образом в настоящий момент, я ожидаю что при обращении к айпи 99.99.99.99 по 80 порту у меня откроется панель управления раутером. Остальные правила маршрутизации я намерен настроить позднее. Настройки, которые я применяю для подключения к VPN (скриншоты): Раутер успешно подключается к VPN, получает айпи 10.0.0.100 и успшено пингует сервер по айпи 10.0.0.1, сервер тоже может пропинговать раутер по айпи 10.0.0.100 Но при открытии адреса 99.99.99.99 в браузере я получаю Page can not be loaded. Вопрос: что я делаю не так и как мне добиться ожидаемого результата? Почему эта схема успешно работает в Windows, но не работает в моем раутере? Буду очень признателен за любую помощь! P.S.: Версия прошивки - v2.07(AAUW.5)C3