NikolayTLM
-
Posts
9 -
Joined
-
Last visited
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by NikolayTLM
-
-
16 минут назад, MercuryV сказал:
я смотрю так
# iptables -S | grep work
-A FORWARD -s 192.168.1.221/32 -i br0 -o work -j ACCEPT
-A FORWARD -s 192.168.1.220/32 -i br0 -o work -j ACCEPTс виду все ок, но доступа так и нет у клиента с нужным IP, как буд то не резолвит система IP адреса по доменному имени машины.
с веб интерфейса роутера делаю пинг:
Скрытый текстsending ICMP ECHO request to nizndt001.xxx.local...PING nizndt001.xxx.local (10.2.4.30) 56 (84) bytes of data.84 bytes from nizndt001.xxx.local (10.2.4.30): icmp_req=1, ttl=125, time=117.57 ms.84 bytes from nizndt001.xxx.local (10.2.4.30): icmp_req=2, ttl=125, time=118.56 ms.84 bytes from nizndt001.xxx.local (10.2.4.30): icmp_req=3, ttl=125, time=118.83 ms.84 bytes from nizndt001.xxx.local (10.2.4.30): icmp_req=4, ttl=125, time=118.75 ms.84 bytes from nizndt001.xxx.local (10.2.4.30): icmp_req=5, ttl=125, time=118.76 ms.--- nizndt001.drylock.local ping statistics ---5 packets transmitted, 5 packets received, 0% packet loss,0 duplicate(s), time 4120.94 ms.Round-trip min/avg/max = 117.57/118.49/118.83 ms.с клиента выдает- Ping request could not find host nizndt001.xxx.local. Please check the name and try again.
-
немного смущает ответ системы на # iptables -L FORWARD
Скрытый текст/opt/etc/ndm/netfilter.d # iptables -L FORWARD
Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- 192.168.1.221 anywhere
ACCEPT all -- 192.168.1.220 anywhere
_NDM_MULTICAST_INPUT udp -- anywhere base-address.mcast.net/4
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
_NDM_ACL_IN all -- anywhere anywhere
_NDM_ACL_OUT all -- anywhere anywhere
_NDM_IPSEC_FORWARD all -- anywhere anywhere
_NDM_VPN_FORWARD all -- anywhere anywhere
_NDM_FORWARD all -- anywhere anywhere
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere ctstate DNAT
_NDM_SL_FORWARD all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhereanywhere - так и должно быть?
ну и судя по всему что то происходит, но не совсем так как надо, ибо доступ в сеть "интернет" пропал с требуемого IP для VPN, но и доступа к ресурсам VPN то же нет((((
возможно я не правильно настроил config для openfortivpn?
Скрытый текст### configuration file for openfortivpn, see man openfortivpn(1) ###
pppd-ifname = work
#persistent = 300
set-dns = 1
#use-resolvconf = 1
#set-routes = 1
#half-internet-routes = 0
#pppd-use-peerdns = 1
host = xxxx
port = xxxx
username = xxxx
password = xxxx
trusted-cert = xxxx -
57 минут назад, MercuryV сказал:
доступ появится с .220 ?
нет, может я еще что то забыл? какие команды может запустить?
57 минут назад, MercuryV сказал:зря, лучше почините окружение
переустановить OPKG?
58 минут назад, MercuryV сказал:теоретически можно добавить в конфиг параметр persistent =
в конфиг openfortivpn?
58 минут назад, MercuryV сказал:но это костыль
согласен, это люто не верно.
-
37 минут назад, MercuryV сказал:
можно не обращать внимания
не подскажу
проверьте, что установлен пакет iptables
проверьте, что в скрипте указано верное название сетевого интерфейса
выполните команду iptables вручную в консоли (прошивка может не сразу дёрнуть скрипт)
iptables установлен
Скрытый текст/ # iptables
iptables v1.4.21: no command specified
Try `iptables -h' or 'iptables --help' for more information.с именами интерфейсов все в порядке
так же сейчас подключение по VPN скидывается по прошествии какого то времени
Скрытый текстФев 11 14:02:50pppd[659]Hangup (SIGHUP)Фев 11 14:02:50pppd[659]Modem hangupФев 11 14:02:50pppd[659]Connect time 51.0 minutes.Фев 11 14:02:50pppd[659]Sent 6250 bytes, received 5330 bytes.Фев 11 14:02:50pppd[659]Connection terminated.Фев 11 14:02:50pppd[659]Exit.можно как ни будь его зафиксировать на постоянку, или сделать скрипт автоподнятия при разрыве?
З.Ы. так же после крайнего обновления ПО роутера - root/keenetic перестал работать по SSH, захожу под админской учеткой, потом exec sh
/opt/etc/init.d/S11openfortivpn без изменений из вашего поста
параметр pppd-ifname = work -- добавлен в конфиг openfortivpn
/opt/etc/ndm/netfilter.d/111-openfortivpn.sh выглядит так:Скрытый текст#!/bin/sh
INTERFACE="work"
[ "$type" == "ip6tables" ] && exit 0
[ "$table" != "filter" ] && exit 0
[ -z "$(iptables -S | grep $INTERFACE)" ] || exit 0iptables -w -I FORWARD -s 192.168.1.220 -i br0 -o $INTERFACE -j ACCEPT
iptables -w -I FORWARD -s 192.168.1.221 -i br0 -o $INTERFACE -j ACCEPTexit 0
-
В 01.02.2022 в 03:19, MercuryV сказал:
Скрипт для автозагрузки - /opt/etc/init.d/S11openfortivpn
#!/bin/sh ENABLED=yes PROCS=openfortivpn ARGS="" PREARGS="" DESC=$PROCS PATH=/opt/sbin:/opt/bin:/opt/usr/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin . /opt/etc/init.d/rc.func
Скрипт для форвардинга - /opt/etc/ndm/netfilter.d/111-openfortivpn.sh
#!/bin/sh INTERFACE="work" [ "$type" == "ip6tables" ] && exit 0 [ "$table" != "filter" ] && exit 0 [ -z "$(iptables -S | grep $INTERFACE)" ] || exit 0 iptables -w -I FORWARD -s 192.168.XX.YY -i br0 -o $INTERFACE -j ACCEPT exit 0
Здесь я разрешаю соединения с конкретного компьютера домашнего сегмента через интерфейс work. Чтобы имя интерфейса было именно таким, в конфиг openfortivpn добавлен параметр pppd-ifname = work
Перенастроил я на режим роутера, прописал IP, выставил статический тот же для клиента, но доступа все равно нет... с веб морды роутера ресурсы на VPN пингуються успешно.....
-
В 01.02.2022 в 03:19, MercuryV сказал:
#!/bin/sh
Спасибо Вам огромное! в журнале увидел нехорошее сообщение -
pppd[620]kernel does not support PPP filteringи если не сложно - подскажите пожалуйста, можно ли все это провернуть - если роутер настроен как Точка доступа/Ретранслятор и сделать так что бы все без исключения подключенные к нему клиенты по WiFi шли по VPN? -
после запуска openfortivpn ручками:
Скрытый текстINFO: Negotiation complete.
DEBUG: pppd ---> gateway (6 bytes)
local IP address 10.1.200.6
remote IP address 169.254.2.1
DEBUG: Got Address: 10.1.200.6
DEBUG: Interface Name: ppp1
DEBUG: Interface Addr: 10.1.200.6
INFO: Interface ppp1 is UP.
INFO: Setting new routes...
DEBUG: ip route show to 0.0.0.0/0.0.0.0 dev !ppp1
DEBUG: ip route show to 80.188.222.34/255.255.255.255 dev ppp1
DEBUG: Route not found.
DEBUG: ip route show to 80.188.222.34/255.255.255.255 dev !ppp1
DEBUG: Setting route to vpn server...
DEBUG: ip route show to 80.188.222.34/255.255.255.255 via 192.168.3.1 dev apcli0
DEBUG: ip route add to 80.188.222.34/255.255.255.255 via 192.168.3.1 dev apcli0
DEBUG: ip route add to 10.10.0.0/255.255.0.0 dev ppp1
DEBUG: ip route add to 10.1.0.0/255.255.0.0 dev ppp1
DEBUG: ip route add to 10.4.0.0/255.255.0.0 dev ppp1
DEBUG: ip route add to 10.3.0.0/255.255.0.0 dev ppp1
DEBUG: ip route add to 192.168.96.0/255.255.224.0 dev ppp1
DEBUG: ip route add to 10.5.0.0/255.255.0.0 dev ppp1
DEBUG: ip route add to 10.2.0.0/255.255.0.0 dev ppp1
DEBUG: ip route add to 10.8.0.0/255.255.0.0 dev ppp1
DEBUG: ip route add to 10.12.0.0/255.255.0.0 dev ppp1
DEBUG: ip route add to 10.11.0.0/255.255.0.0 dev ppp1
DEBUG: ip route add to 10.9.0.0/255.255.0.0 dev ppp1
DEBUG: ip route add to 172.25.20.0/255.255.255.0 dev ppp1
DEBUG: ip route add to 192.168.168.0/255.255.255.0 dev ppp1
DEBUG: ip route add to 10.6.0.0/255.255.0.0 dev ppp1
DEBUG: ip route add to 10.13.0.0/255.255.0.0 dev ppp1
DEBUG: ip route add to 172.31.0.0/255.255.255.252 dev ppp1
INFO: Adding VPN nameservers...
DEBUG: Attempting to modify /etc/resolv.conf directly.
DEBUG: Adding "nameserver 10.1.1.20", to /etc/resolv.conf.
DEBUG: Adding "nameserver 10.1.1.21", to /etc/resolv.conf.
INFO: Tunnel is up and running.Скрытый текст~ # ip route
default via 192.168.3.1 dev br0
10.1.0.0/16 dev ppp0 scope link
10.2.0.0/16 dev ppp0 scope link
10.3.0.0/16 dev ppp0 scope link
10.4.0.0/16 dev ppp0 scope link
10.5.0.0/16 dev ppp0 scope link
10.6.0.0/16 dev ppp0 scope link
10.8.0.0/16 dev ppp0 scope link
10.9.0.0/16 dev ppp0 scope link
10.10.0.0/16 dev ppp0 scope link
10.11.0.0/16 dev ppp0 scope link
10.12.0.0/16 dev ppp0 scope link
10.13.0.0/16 dev ppp0 scope link
80.188.222.34 via 192.168.3.1 dev br0
169.254.2.1 dev ppp0 scope link src 10.1.200.18
172.25.20.0/24 dev ppp0 scope link
172.31.0.0/30 dev ppp0 scope link
192.168.3.0/24 dev br0 scope link src 192.168.3.100
192.168.96.0/19 dev ppp0 scope link
192.168.168.0/24 dev ppp0 scope link -
Приветствую,
Задача - настроить на роутере Forti VPN клиент и пробросить данную сеть всем подключающимся к данному роутеру. openfortivpn установил, конфигурационный фаил настроил, при запуске openfortivpn он успешно подключается --- комп который мне нужен в данной сети пингуеться и резолвится по имени в терминале или на веб морде "Проверка сетевого соединения", но с ПК подключенного к данному роутеру пинг не проходит... помогите пожалуйста победить маршрутизацию... и за одно ткните пожалуйста носом как правильно засунуть в "автозагрузку" openfortivpn
openfortivpn помогите пожалуйста настроить маршрутизацию и автозагрузку
in Вопросы по сборке и настройке Opkg
Posted · Edited by NikolayTLM
@MercuryV
я провел доп поератора связи - специально под это дело... вобщем по IP рабоает, и с прописанного по IP клиента (Wi-Fi) доступ есть по IP запросу (иду на веб морду, пингую машину по доменному имени и уже по полученному IP работаю с клиента). Лог выдает:
не подскажите - можно ли их как то автоматически использовать только для определенных IP, или только вручную забивать на стороне клиента? Я просто не уверен что они статические....
P.S. теперь openfortivpn перестал автоматически подниматься после перезагрузки роутера (после того как настроил PPoE соединение) - опять окружение переустанавливать?))))