openwrt + openvpn

0

1

Привет.
В свете моего недавнего треда о том, что провайдер спуффит днс трафик в угоду роскомцензуре, наконец решил обложиться впнами. С этим возникли некоторые проблемы.

Дано(постараюсь изобразить схему графически попозже):
- Есть домашняя сеть 192.168.1.0/24
- В качестве гейтвея в этой сети используется роутер на 600мгц мипсе и опенврт 15.05. Адрес гейта 1.1
- Есть ДО впска, на которой поднят сервер openvpn с подсетью 192.168.200.0/24. Адрес впс в ней 200.1, адрес клиента 200.4
- В домашней сети есть мощная машина, которая точно сможет прокачать 100мбит через опенвпн, поэтому планируется коннектиться к впн через нее. Адрес 1.100

Что хочется:
- Заворачивать весь траффик в сети в впн
- Пускать определенные машины из домашней сети(адрес 1.50) через обычный гейтвей провайдера, а не впн. Например виндовую машину с игрушками
- Пускать торрент-траффик с машины 1.100 через обычный гейт, а не впн
- Пускать днс траффик с роутера через впн

Мысли:
В качестве домашнего гейтвея хочется использовать роутер с врт, тк в нем изкоробки есть дхцп+днс+красивая морда. Однако у этого варианта есть минусы: ввиду красивой морды и особенностей опенврт, воспользоваться многими возможностями dnsmasq не представляется возможным без применения костылей.
Как мне видится решение:
- На 1.100 запускается клиент опенвпн, который пушит дефолт роут через себя и настраивается маскарадинг для подсети 1.0/24 через интерфейс впн
- На роутере создается диапазон адресов, для которых дефолт гейтвеем указывается 1.100. В этот диапазон не должны входить 1.100 и те машины, которые планируется пускать «напрямую»
- Днс траффик(53 порт) с помощью iptables с роутера 1.1 перенаправляется на 1.100, чтобы шел через впн
- Торрент траффик на 1.100 помечается с помощью ип столов и перенаправляется на 1.1

Проблема:
Спустя 2 дня мытарств я так и не смог убедить dnsmasq на роутере разделять dhcp-range на несколько поддиапазонов и пушить им разные 121 опции. В гугле ничего толкового не ищется.
Хотелось бы услышать мысли насчет того, в каких местах я ошибаюсь и как лучше организовать сеть под мои задумки.
Спасибо.

Ссылка

←	SSL + gzip = BREACH ???

Не получается поднять NAT

→

Ну можно для машин получающих интернет по vpn прописать статические настойки сети, нэ?

mamba_namba_karamba ★
(09.10.15 23:41:22 MSK)

Ответ на: комментарий от mamba_namba_karamba 09.10.15 23:41:22 MSK

Машин в домашней сети 10+, замучаюсь каждой руками прописывать свой дефолтный роут. Хочется это возложить на вртю.

Deleted
(09.10.15 23:43:27 MSK)

Ответ на: комментарий от Deleted 09.10.15 23:43:27 MSK

Нашел пока следующее решение:
- для всех машин из dhcp-range пушится дефолт роут через 1.100
- на 1.100 дефолтный роут байпасится опенвпном
- на 1.100 поднимается еще один инстанс dnsmasq, на который форвардит свои запросы dnsmasq с 1.1
- для машин, которые нужно пускать «напрямую» придется прописывать дефолтный роут вручную
Осталось решить вопрос с торрентами.

Deleted
(10.10.15 01:19:01 MSK)

Ответ на: комментарий от Deleted 10.10.15 01:19:01 MSK

Еще, похоже, проделанная схема не срабатывает с виндовыми машинами: им роуты не пушатся. По крайней мере у единстенной виндовой тачке под рукой роут шел через 1.1 гейт.

Deleted
(10.10.15 01:32:17 MSK)

Ответ на: комментарий от Deleted 10.10.15 01:32:17 MSK

Винде, оказывается, надо подсовывать 249 опцию вместо 121, теперь роут через 1.100 появляется, но его метрика больше, чем у 1.1

Deleted
(10.10.15 09:47:06 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	SSL + gzip = BREACH ???

Admin

Не получается поднять NAT

→

Похожие темы