Jump to content
Денис Илютин

доступ к веб-интерфейсу через OpenVPN

Recommended Posts

Продолжение из http://forum.keenetic.net/topic/61-правила-iptables-для-openvpn/?do=findComment&comment=11451

Лог в прикрепленном файле

При этом если запускаешь вручную (sh 051-openvpn-iptables.sh) - все в порядке.

 

Содержание скриптов:

Скрытый текст

/opt/etc/ndm/netfilter.d/051-openvpn-iptables.sh


#!/bin/sh
iptables -A INPUT -p tcp -i br0 --dport 1:13000 -j ACCEPT
iptables -A INPUT -i tun0 -j ACCEPT
iptables -A POSTROUTING --table nat -s 192.168.3.0/24 -o br0 -j MASQUERADE
iptables -A OUTPUT -j ACCEPT
iptables -A FORWARD -o tun0 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i tun0 -o br0 -m state --state NEW -j ACCEPT

 

/opt/etc/ndm/netfilter.d/filter.h


#!/bin/sh

[ "$table" != "filter" ] && exit 0   # check the table name
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

/opt/bin/logger "openvpn iptables rules applied"

 

Если не запускать - пинга до кинетика с сервера нет. Запуск filter.sh этого не меняет. Запуск 051-openvpn-iptables.sh - дает пинг.

 

iptables:

Скрытый текст

/opt/etc/ndm/netfilter.d # iptables -L -v -n
Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination 
12517 1604K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0   
   44  7528 ACCEPT     all  --  *      *       0.0.0.0/0            224.0.0.0/4 
    0     0 ACCEPT     2    --  *      *       0.0.0.0/0            0.0.0.0/0   
 2869  792K _NDM_IPSEC_INPUT_FILTER  all  --  *      *       0.0.0.0/0            0.0.0.0/0
 2869  792K _NDM_IN_EXCEPTIONS  all  --  *      *       0.0.0.0/0            0.0.0.0/0
 2869  792K _NDM_IN    all  --  *      *       0.0.0.0/0            0.0.0.0/0   
  201 21959 _NDM_IPSEC_INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0
   73  6132 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            state INVALID
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate DNAT
  128 15827 _NDM_INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0  
  128 15827 SL_PRIVATE  all  --  *      *       0.0.0.0/0            0.0.0.0/0  
    0     0 ACCEPT     tcp  --  br0    *       0.0.0.0/0            0.0.0.0/0            tcp dpts:1:13000
    1    84 ACCEPT     all  --  tun0   *       0.0.0.0/0            0.0.0.0/0   

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination 
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            224.0.0.0/4 
  472 30209 _NDM_IPSEC_FORWARD  all  --  *      *       0.0.0.0/0            0.0.0.0/0
  472 30209 _NDM_IN    all  --  *      *       0.0.0.0/0            0.0.0.0/0   
  115  6440 _NDM_OUT   all  --  *      *       0.0.0.0/0            0.0.0.0/0   
  115  6440 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            state INVALID
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate DNAT
    0     0 _NDM_PRE_FORWARD  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 _NDM_FORWARD  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 SL_FORWARD  all  --  *      *       0.0.0.0/0            0.0.0.0/0  
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0   
    0     0 ACCEPT     all  --  br0    br0     0.0.0.0/0            0.0.0.0/0   
    0     0 ACCEPT     all  --  br1    br1     0.0.0.0/0            0.0.0.0/0   
    0     0 ACCEPT     all  --  *      tun0    0.0.0.0/0            0.0.0.0/0   
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  tun0   br0     0.0.0.0/0            0.0.0.0/0            state NEW

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination 
14806 2204K _NDM_IPSEC_OUTPUT_FILTER  all  --  *      *       0.0.0.0/0            0.0.0.0/0
14806 2204K _NDM_OUT   all  --  *      *       0.0.0.0/0            0.0.0.0/0   
11064 1641K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0   

Chain SL_FORWARD (1 references)
 pkts bytes target     prot opt in     out     source               destination 
    0     0 SL_PROTECT  all  --  *      apcli0  0.0.0.0/0            0.0.0.0/0            ctstate NEW
    0     0 SL_PROTECT  all  --  *      eth2.2  0.0.0.0/0            0.0.0.0/0            ctstate NEW
    0     0 SL_PROTECT  all  --  *      ppp0    0.0.0.0/0            0.0.0.0/0            ctstate NEW
    0     0 SL_PROTECT  all  --  *      ppp1    0.0.0.0/0            0.0.0.0/0            ctstate NEW
    0     0 SL_PROTECT  all  --  *      lte_br0  0.0.0.0/0            0.0.0.0/0            ctstate NEW

Chain SL_PRIVATE (2 references)
 pkts bytes target     prot opt in     out     source               destination 
    0     0 ACCEPT     all  --  ra2    *       0.0.0.0/0            0.0.0.0/0            ctstate NEW
    0     0 ACCEPT     all  --  ra1    *       0.0.0.0/0            0.0.0.0/0            ctstate NEW
    0     0 ACCEPT     all  --  ra0    *       0.0.0.0/0            0.0.0.0/0            ctstate NEW
    0     0 ACCEPT     all  --  ra3    *       0.0.0.0/0            0.0.0.0/0            ctstate NEW
    0     0 ACCEPT     all  --  eth2.1 *       0.0.0.0/0            0.0.0.0/0            ctstate NEW
    0     0 ACCEPT     all  --  br0    *       0.0.0.0/0            0.0.0.0/0            ctstate NEW
   35  8015 ACCEPT     all  --  br1    *       0.0.0.0/0            0.0.0.0/0            ctstate NEW

Chain SL_PROTECT (7 references)
 pkts bytes target     prot opt in     out     source               destination 
    0     0 SL_PRIVATE  all  --  *      *       0.0.0.0/0            0.0.0.0/0  

Chain _NDM_FORWARD (1 references)
 pkts bytes target     prot opt in     out     source               destination 
    0     0 _NDM_UPNP_FORWARD  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain _NDM_HOTSPOT_FWD (1 references)
 pkts bytes target     prot opt in     out     source               destination 

Chain _NDM_IN (2 references)
 pkts bytes target     prot opt in     out     source               destination 
  737 88005 _acl__WEBADMIN_FastEthernet0/Vl  all  --  eth2.2 *       0.0.0.0/0            0.0.0.0/0
    0     0 _acl__WEBADMIN_WifiMaster0/Wifi  all  --  apcli0 *       0.0.0.0/0            0.0.0.0/0
    0     0 _acl__WEBADMIN_UsbModem0  all  --  ppp0   *       0.0.0.0/0            0.0.0.0/0
 2288  706K _acl__WEBADMIN_Home  all  --  br0    *       0.0.0.0/0            0.0.0.0/0
   35  8015 _acl__WEBADMIN_Guest  all  --  br1    *       0.0.0.0/0            0.0.0.0/0

Chain _NDM_INPUT (1 references)
 pkts bytes target     prot opt in     out     source               destination 
    0     0 SL_PROTECT  udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:53
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp spt:67 dpt:68
    0     0 SL_PROTECT  udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp spts:67:68 dpts:67:68

Chain _NDM_IN_EXCEPTIONS (1 references)
 pkts bytes target     prot opt in     out     source               destination 

Chain _NDM_IPSEC_FORWARD (1 references)
 pkts bytes target     prot opt in     out     source               destination 

Chain _NDM_IPSEC_INPUT (1 references)
 pkts bytes target     prot opt in     out     source               destination 

Chain _NDM_IPSEC_INPUT_FILTER (1 references)
 pkts bytes target     prot opt in     out     source               destination 

Chain _NDM_IPSEC_OUTPUT_FILTER (1 references)
 pkts bytes target     prot opt in     out     source               destination 

Chain _NDM_OUT (2 references)
 pkts bytes target     prot opt in     out     source               destination 

Chain _NDM_PRE_FORWARD (1 references)
 pkts bytes target     prot opt in     out     source               destination 
    0     0 _NDM_HOTSPOT_FWD  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain _NDM_UPNP_FORWARD (1 references)
 pkts bytes target     prot opt in     out     source               destination 

Chain _acl__WEBADMIN_FastEthernet0/Vl (1 references)
 pkts bytes target     prot opt in     out     source               destination 
  626 68998 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0   
  111 19007 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0   

Chain _acl__WEBADMIN_Guest (1 references)
 pkts bytes target     prot opt in     out     source               destination 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0   

Chain _acl__WEBADMIN_Home (1 references)
 pkts bytes target     prot opt in     out     source               destination 
  592 40408 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
 1381  637K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0   
  315 28716 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0   

Chain _acl__WEBADMIN_UsbLte0 (0 references)
 pkts bytes target     prot opt in     out     source               destination 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0   
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0   
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80

Chain _acl__WEBADMIN_UsbModem0 (1 references)
 pkts bytes target     prot opt in     out     source               destination 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:8000
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:9000
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0   
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0   
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:5080

Chain _acl__WEBADMIN_WifiMaster0/Wifi (1 references)
 pkts bytes target     prot opt in     out     source               destination 
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0   
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22

 

 

Таблицы маршрутизации:

192.168.1.0/24 - локалка, где находится сервер(192.168.1.5)
192.168.137.0/24 - локалка, где находится клиент(192.168.137.1)
192.168.3.0/24 - VPN-локалка.(192.168.3.1-сервер, 192.168.3.4 - клиент)

Скрытый текст

Клиент:


Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         192.168.2.1     0.0.0.0         UG    0      0        0 eth2.2
10.1.30.0       *               255.255.255.0   U     0      0        0 br1
85.114.0.81     192.168.2.1     255.255.255.255 UGH   0      0        0 eth2.2
85.114.2.81     192.168.2.1     255.255.255.255 UGH   0      0        0 eth2.2
192.168.1.0     192.168.3.1     255.255.255.0   UG    0      0        0 tun0
192.168.2.0     *               255.255.255.0   U     0      0        0 eth2.2
192.168.3.0     *               255.255.255.0   U     0      0        0 tun0
192.168.137.0   *               255.255.255.0   U     0      0        0 br0


 

 

Сервер:


Routing tables

Internet:
Destination        Gateway            Flags      Netif Expire
default            192.168.1.1        UGS     epair0b
127.0.0.1          link#1             UH          lo0
192.168.1.0/24     link#2             U       epair0b
192.168.1.5        link#2             UHS         lo0
192.168.3.0/24     192.168.3.1        UGS        tun0
192.168.3.1        link#3             UHS         lo0
192.168.3.2        link#3             UH         tun0
192.168.137.0/24   192.168.3.2        UGS        tun0

 

P.S. Был вопрос про проброс - это в локальной сети сервера.

log.txt

Share this post


Link to post
Share on other sites

Ни одного Segfault не видно.

Научитесь оформлять листинги. Есть же кнопка код. Логи предварительно сохраняйте в файл. Содержимое скрипта, который возвращает ошибку в куче ненужной информации не увидел.

Share this post


Link to post
Share on other sites
9 минут назад, zyxmon сказал:

Ни одного Segfault не видно.

Научитесь оформлять листинги. Есть же кнопка код. Логи предварительно сохраняйте в файл. Содержимое скрипта, который возвращает ошибку в куче ненужной информации не увидел.

Извиняюсь, сейчас подправлю оформление.
А насчет ошибки, вот же, под первым катом строка 1, 4 и т.д.:  Opkg::Manager: /opt/etc/ndm/netfilter.d/051-openvpn-iptables.sh: Segmentation fault. Да и exit code 139 - Segfault, насколько я знаю.

Edited by Денис Илютин

Share this post


Link to post
Share on other sites

А откуда скрипт знает где находится iptables? Или задайте PATH, или полный путь к iptables указывайте. Да и шебанг надежнее такой  `/opt/bin/sh`. Прошивочный `/bbin/sh` - это не настоящий шелл.

Share this post


Link to post
Share on other sites

Еще tracelog до двух портов 12345 (работает подключение, проброс на устройство в локалке) и 11111 (не работает, openvpn->keenetic морда). Очень извиняюсь за то, что картинками.

порт 12345

Скрытый текст

tracelog2.png

порт 11111

Скрытый текст

tracelog1.png

 

Share this post


Link to post
Share on other sites

смотрите таблицу маршрутизации.

не нужно сюда приводить данные. анализируйте их самостоятельно.

ps ссылка на настройки - скорее всего проверялась на прошивке Падавана. Для кинетика скорее всего нужно слегка иначе.

Share this post


Link to post
Share on other sites

Так. Проблема видимости локализована, ибо из локалки сервера веб-интерфейс keenetic открывается. Так что да, вы правы - там надо в таблицах маршрутизации смотреть.

А вот вопрос с SegFault открыт. Дописал #/opt/bin/sh вначале и пути "/usr/sbin/iptables"/. Теперь это выглядит так:

# /opt/bin/sh

/usr/sbin/iptables -A INPUT -p tcp -i br0 --dport 1:13000 -j ACCEPT
/usr/sbin/iptables -A INPUT -i tun0 -j ACCEPT
/usr/sbin/iptables -A POSTROUTING --table nat -s 192.168.3.0/24 -o br0 -j MASQUERADE
/usr/sbin/iptables -A OUTPUT -j ACCEPT
/usr/sbin/iptables -A FORWARD -o tun0 -j ACCEPT
/usr/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
/usr/sbin/iptables -A FORWARD -i tun0 -o br0 -m state --state NEW -j ACCEPT

Однако лог точно такой же как в первом сообщении.

Edited by Денис Илютин

Share this post


Link to post
Share on other sites

во-первых - шебанг должОн быть c !  #!/opt/bin/sh

во-вторых - путь к бинарнику /opt/sbin/iptables

~ # cat ipt.sh 
#!/opt/bin/sh

/opt/sbin/iptables -A INPUT -p tcp -i br0 --dport 1:13000 -j ACCEPT
/opt/sbin/iptables -A INPUT -i tun0 -j ACCEPT
/opt/sbin/iptables -A POSTROUTING --table nat -s 192.168.3.0/24 -o br0 -j MASQUERADE
/opt/sbin/iptables -A OUTPUT -j ACCEPT
/opt/sbin/iptables -A FORWARD -o tun0 -j ACCEPT
/opt/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
/opt/sbin/iptables -A FORWARD -i tun0 -o br0 -m state --state NEW -j ACCEPT
~ # 
~ # ./ipt.sh 
~ # 
~ # iptables -nvL -t nat
Chain PREROUTING (policy ACCEPT 16 packets, 6272 bytes)
 pkts bytes target     prot opt in     out     source               destination         
....          
    0     0 MASQUERADE  all  --  *      br0     192.168.3.0/24       0.0.0.0/0  # <- ваше 3-е правило         
....

 

Share this post


Link to post
Share on other sites

Если Вам нужен доступ к кинетику и к сети за кинетиком снаружи - то Вам нужен OpenVPN сервер на кинетике. Вы путаетесь в показаниях.

Тему Вы назвали "доступ к веб-интерфейсу через OpenVPN", а в другой теме утверждали, что у Вас Openvpn клиент на кинетике. С этим разберитесь!

Share this post


Link to post
Share on other sites
6 часов назад, TheBB сказал:

во-первых - шебанг должОн быть c !  #!/opt/bin/sh

во-вторых - путь к бинарнику /opt/sbin/iptables

Нужно бы посмотреть в каком окружении выполняются сейчас скрипты-хуки. Я бы рекомендовал начинать все такие скрипты со строк

#!/opt/bin/sh

PATH=/opt/sbin:/opt/bin:/usr/sbin:/usr/bin:/sbin:/bin

unset LD_LIBRARY_PATH
unset LD_PRELOAD

Может быть еще и `unset TZ` для надежности. Может быть стоит это в FAQ? Уже нет пакетов keenopt!

 

Новая инфа: Окружение скрипта (netfilter) - такое

timezone=Europe/Moscow
USER=root
SHLVL=1
LD_LIBRARY_PATH=/opt/lib:/opt/usr/lib:/lib:/usr/lib
HOME=/
NDM_MOUNT_ROOT=/tmp/mnt
LD_BIND_NOW=1
TERM=linux
PATH=/opt/bin:/opt/sbin:/opt/usr/bin:/opt/usr/sbin:/bin:/sbin:/usr/bin:/usr/sbin
LANG=UTF-8
SHELL=/bin/sh
PWD=/
table=filter

Единственно, что может вызывать Segfault - LD_LIBRARY_PATH. Переменная PATH уже задана правильно.

Или же LD_BIND_NOW --- может и тут собака порылась.

Edited by zyxmon
Дополнение
  • Thanks 1

Share this post


Link to post
Share on other sites
7 часов назад, TheBB сказал:

во-первых - шебанг должОн быть c !  #!/opt/bin/sh

во-вторых - путь к бинарнику /opt/sbin/iptables

Насчет во-первых сделал, ничего не поменялось.

Насчет во-вторых:

~ # find / -name "iptables"
/usr/lib/iptables
/usr/sbin/iptables

Но ни так, ни так не работает.

Поставил полностью ваш скрипт (кроме путей к iptables, которых он не находил), на выходе

~ # /opt/etc/ndm/netfilter.d/051-openvpn-iptables.sh
/opt/etc/ndm/netfilter.d/051-openvpn-iptables.sh: line 1: /opt/root: Permission denied
/opt/etc/ndm/netfilter.d/051-openvpn-iptables.sh: line 11: /opt/root: Permission denied
/opt/etc/ndm/netfilter.d/051-openvpn-iptables.sh: line 12: /opt/root: Permission denied
/opt/etc/ndm/netfilter.d/051-openvpn-iptables.sh: line 13: /opt/root: Permission denied
/opt/etc/ndm/netfilter.d/051-openvpn-iptables.sh: line 14: /opt/root: Permission denied

 

3 часа назад, zyxmon сказал:

Если Вам нужен доступ к кинетику и к сети за кинетиком снаружи - то Вам нужен OpenVPN сервер на кинетике. Вы путаетесь в показаниях.

На кинетике серый IP - это раз. Из локальной сети сервера кинетик я вижу - это два. Да, на кинетике клиент.

Share this post


Link to post
Share on other sites
2 часа назад, zyxmon сказал:

 


#!/opt/bin/sh

PATH=/opt/sbin:/opt/bin:/usr/sbin:/usr/bin:/sbin:/bin

unset LD_LIBRARY_PATH
unset LD_PRELOAD

 

А вот это помогло!

Скрипты применяются, в логах ругани нет.

Share this post


Link to post
Share on other sites

Вопрос еще в одном. Проблема внешней недоступности в правилах файервола, как я понял. Но если для родных интерфейсов кинетика можно настроить межсетевой экран из веб-интерфейса, то тут - только через iptables, как я понимаю.

Ситуация: Если я выхожу с компа 192.168.1.203 (подсеть сервера) - веб-интерфейс кинетика открыт.
Если выхожу из удаленной сети - нет.

Какие правила прописать, чтобы заработало? 

Пробовал на роутере 192.168.1.1 маскарадить запросы - не вышло.

Edited by Денис Илютин

Share this post


Link to post
Share on other sites

проведем эксперимент: опустим газету в серную кислоту, а журнал "ТВ-парк" в дистиллированную воду...

Скрытый текст

~ # opkg list-installed | grep ip
iptables - 1.4.21-2
~ # 
~ # ln -s /opt/sbin/xtables-multi /opt/share/iptables
~ # 
~ # cat /opt/etc/ndm/netfilter.d/ipt.sh 
#!/opt/bin/sh

[ "$table" != "filter" ] && exit 0   # check the table name

/opt/share/iptables -A INPUT -p tcp -i br0 --dport 1:13000 -j ACCEPT
/opt/share/iptables -A INPUT -i tun0 -j ACCEPT
/opt/share/iptables -A POSTROUTING --table nat -s 192.168.3.0/24 -o br0 -j MASQUERADE
/opt/share/iptables -A OUTPUT -j ACCEPT
/opt/share/iptables -A FORWARD -o tun0 -j ACCEPT
/opt/share/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
/opt/share/iptables -A FORWARD -i tun0 -o br0 -m state --state NEW -j ACCEPT

/opt/bin/logger "openvpn iptables rules applied"
~ # 
~ # /opt/share/iptables -nvL -t nat
Chain PREROUTING (policy ACCEPT 49 packets, 18538 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   49 18538 _NDM_DNAT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain INPUT (policy ACCEPT 16 packets, 3157 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 47 packets, 4506 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 47 packets, 4506 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   47  4506 _NDM_IPSEC_POSTROUTING_NAT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
   47  4506 _NDM_SNAT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 MASQUERADE  all  --  *      br0     192.168.3.0/24       0.0.0.0/0   <------------- :)        

Chain SL_PRIVATE (0 references)
  ....     
~ # 
~ # ndmc
Login: admin
Password: *****

(config)> show log 
....
I [Sep 30 16:41:45] ndm: Opkg::Manager: configured init script:
                    "/opt/etc/init.d/rc.unslung".
I [Sep 30 16:41:45] ndm: Core::ConfigurationSaver: saving configuration...
I [Sep 30 16:41:45] dropbear[2017]: Running in background
I [Sep 30 16:41:45] root: Started amuled from .
I [Sep 30 16:41:48] root: openvpn iptables rules applied  <-------------------- :)
I [Sep 30 16:41:49] ndm: Core::ConfigurationSaver: configuration saved.
I [Sep 30 16:42:22] dropbear[2079]: Child connection from 192.168.2.33:37622
I [Sep 30 16:42:28] dropbear[2079]: Password auth succeeded for 'root' from
                    192.168.2.33:37622
I [Sep 30 16:49:50] ndm: Core::Server: started Session
                    /var/run/ndm.core.socket.
....

работает, даже, с такими извращениями ))) чем же пакет не угодил?


~ # opkg list | grep ^iptable
iptables - 1.4.21-2 - IP firewall administration tool.  Matches: - icmp - tcp - udp - comment - conntrack - limit - mac - mark - multiport - set - state - time  Targets: - ACCEPT - CT - DNAT - DROP - REJECT - LOG - MARK - MASQUERADE - REDIRECT - SET - SNAT - TCPMSS  Tables: - filter - mangle - nat - raw 
~ #

 

ВАМИ используется iptables из прошивки (?), от того и "костылять", приходится, т.к. /usr/sbin/... находится за пределами  /opt/...

Share this post


Link to post
Share on other sites
4 часа назад, Денис Илютин сказал:

Какие правила прописать, чтобы заработало? 

Основные я указывал. Может быть еще потребуются правила - это зависит от прошивочных, которые зависят от настроек.

Хорошая теме по openvpn тут - http://forum.ixbt.com/topic.cgi?id=14:40906

Продолжение темы - http://forum.ixbt.com/topic.cgi?id=14:56078

Share this post


Link to post
Share on other sites

Всем спасибо, все заработало. Действительно, основных правил было достаточно. 

После добавления строчки 

iptables -t nat -A POSTROUTING --dst 192.168.137.0/24 -p tcp -j SNAT --to-source 192.168.1.1

в роутер основной сети (где сервер), трафик из внешней сети пошел.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...