Openwrt Chaos Calmer 18 не пускает через VPN

0

1

Помогите, недавно обновился с «Сhaos Сalmer» 15 на 18, и после этого перестало пускать на Vpn сервера к которым я раньше подключался, пишет «Не удается подключиться к удаленному компьютеру, поэтому порт подключения закрыт». Мимо роутера работает. Пакет kmod-nf-nathelper-extra установил, не помогает((( Это что то в 18й версии?((

Ссылка

←	Защитить файлы от случайного удаления рутом

Nginx 1.15.10

→

Какой тип VPN-а? PPTP? L2TP+IPSEC? Чистый L2TP? OpenVPN? Wireguard?

Судя по nathelpers подозреваю что PPTP, но лучше уточни.

Если всё-таки PPTP - дай выхлоп

iptables-save

с роутера

Pinkbyte ★★★★★
(26.03.19 17:13:02 MSK)
Последнее исправление: Pinkbyte 26.03.19 17:14:18 MSK (всего исправлений: 1)

Ответ на: комментарий от Pinkbyte 26.03.19 17:13:02 MSK

# Generated by iptables-save v1.6.2 on Tue Mar 26 14:35:33 2019
*nat
:PREROUTING ACCEPT [19540:1754852]
:INPUT ACCEPT [432:33754]
:OUTPUT ACCEPT [1422:98411]
:POSTROUTING ACCEPT [462:34530]
:postrouting_lan_rule - [0:0]
:postrouting_rule - [0:0]
:postrouting_wan_rule - [0:0]
:prerouting_lan_rule - [0:0]
:prerouting_rule - [0:0]
:prerouting_wan_rule - [0:0]
:zone_lan_postrouting - [0:0]
:zone_lan_prerouting - [0:0]
:zone_wan_postrouting - [0:0]
:zone_wan_prerouting - [0:0]
-A PREROUTING -m comment --comment "!fw3: Custom prerouting rule chain" -j prerouting_rule
-A PREROUTING -i br-lan -m comment --comment "!fw3" -j zone_lan_prerouting
-A PREROUTING -i eth0.2 -m comment --comment "!fw3" -j zone_wan_prerouting
-A POSTROUTING -m comment --comment "!fw3: Custom postrouting rule chain" -j postrouting_rule
-A POSTROUTING -o br-lan -m comment --comment "!fw3" -j zone_lan_postrouting
-A POSTROUTING -o eth0.2 -m comment --comment "!fw3" -j zone_wan_postrouting
-A zone_lan_postrouting -m comment --comment "!fw3: Custom lan postrouting rule chain" -j postrouting_lan_rule
-A zone_lan_postrouting -s 192.168.1.0/24 -d 192.168.1.2/32 -p tcp -m tcp --dport 444 -m comment --comment "!fw3: Fritz (reflection)" -j SNAT --to-source 192.168.1.1
-A zone_lan_postrouting -s 192.168.1.0/24 -d 192.168.1.2/32 -p udp -m udp --dport 444 -m comment --comment "!fw3: Fritz (reflection)" -j SNAT --to-source 192.168.1.1
-A zone_lan_postrouting -s 192.168.1.0/24 -d 192.168.1.2/32 -p tcp -m tcp --dport 777 -m comment --comment "!fw3: Fritz (reflection)" -j SNAT --to-source 192.168.1.1
-A zone_lan_postrouting -s 192.168.1.0/24 -d 192.168.1.2/32 -p udp -m udp --dport 777 -m comment --comment "!fw3: Fritz (reflection)" -j SNAT --to-source 192.168.1.1
-A zone_lan_postrouting -s 192.168.1.0/24 -d 192.168.1.111/32 -p udp -m udp --dport 9 -m comment --comment "!fw3: WakeOnLanPC (reflection)" -j SNAT --to-source 192.168.1.1
-A zone_lan_postrouting -s 192.168.1.0/24 -d 192.168.1.112/32 -p tcp -m tcp --dport 1723 -m comment --comment "!fw3: Vpn1723 (reflection)" -j SNAT --to-source 192.168.1.1
-A zone_lan_postrouting -s 192.168.1.0/24 -d 192.168.1.112/32 -p udp -m udp --dport 1723 -m comment --comment "!fw3: Vpn1723 (reflection)" -j SNAT --to-source 192.168.1.1
-A zone_lan_prerouting -m comment --comment "!fw3: Custom lan prerouting rule chain" -j prerouting_lan_rule
-A zone_lan_prerouting -s 192.168.1.0/24 -d 185.109.55.132/32 -p tcp -m tcp --dport 444 -m comment --comment "!fw3: Fritz (reflection)" -j DNAT --to-destination 192.168.1.2:444
-A zone_lan_prerouting -s 192.168.1.0/24 -d 185.109.55.132/32 -p udp -m udp --dport 444 -m comment --comment "!fw3: Fritz (reflection)" -j DNAT --to-destination 192.168.1.2:444
-A zone_lan_prerouting -s 192.168.1.0/24 -d 185.109.55.132/32 -p tcp -m tcp --dport 777 -m comment --comment "!fw3: Fritz (reflection)" -j DNAT --to-destination 192.168.1.2:777
-A zone_lan_prerouting -s 192.168.1.0/24 -d 185.109.55.132/32 -p udp -m udp --dport 777 -m comment --comment "!fw3: Fritz (reflection)" -j DNAT --to-destination 192.168.1.2:777
-A zone_lan_prerouting -s 192.168.1.0/24 -d 185.109.55.132/32 -p udp -m udp --dport 9 -m comment --comment "!fw3: WakeOnLanPC (reflection)" -j DNAT --to-destination 192.168.1.111:9
-A zone_lan_prerouting -s 192.168.1.0/24 -d 185.109.55.132/32 -p tcp -m tcp --dport 1723 -m comment --comment "!fw3: Vpn1723 (reflection)" -j DNAT --to-destination 192.168.1.112:1723
-A zone_lan_prerouting -s 192.168.1.0/24 -d 185.109.55.132/32 -p udp -m udp --dport 1723 -m comment --comment "!fw3: Vpn1723 (reflection)" -j DNAT --to-destination 192.168.1.112:1723
-A zone_wan_postrouting -m comment --comment "!fw3: Custom wan postrouting rule chain" -j postrouting_wan_rule
-A zone_wan_postrouting -m comment --comment "!fw3" -j MASQUERADE
-A zone_wan_prerouting -m comment --comment "!fw3: Custom wan prerouting rule chain" -j prerouting_wan_rule
-A zone_wan_prerouting -p tcp -m tcp --dport 444 -m comment --comment "!fw3: Fritz" -j DNAT --to-destination 192.168.1.2:444
-A zone_wan_prerouting -p udp -m udp --dport 444 -m comment --comment "!fw3: Fritz" -j DNAT --to-destination 192.168.1.2:444
-A zone_wan_prerouting -p tcp -m tcp --dport 777 -m comment --comment "!fw3: Fritz" -j DNAT --to-destination 192.168.1.2:777
-A zone_wan_prerouting -p udp -m udp --dport 777 -m comment --comment "!fw3: Fritz" -j DNAT --to-destination 192.168.1.2:777
-A zone_wan_prerouting -p udp -m udp --dport 9 -m comment --comment "!fw3: WakeOnLanPC" -j DNAT --to-destination 192.168.1.111:9
-A zone_wan_prerouting -p tcp -m tcp --dport 1723 -m comment --comment "!fw3: Vpn1723" -j DNAT --to-destination 192.168.1.112:1723
-A zone_wan_prerouting -p udp -m udp --dport 1723 -m comment --comment "!fw3: Vpn1723" -j DNAT --to-destination 192.168.1.112:1723

Pravnik84
(26.03.19 17:48:14 MSK) автор топика

Ссылка

Ответ на: комментарий от Pinkbyte 26.03.19 17:13:02 MSK

COMMIT
# Completed on Tue Mar 26 14:35:33 2019
# Generated by iptables-save v1.6.2 on Tue Mar 26 14:35:33 2019
*mangle
:PREROUTING ACCEPT [155692:60094567]
:INPUT ACCEPT [30668:2332861]
:FORWARD ACCEPT [123761:57515259]
:OUTPUT ACCEPT [31026:3227351]
:POSTROUTING ACCEPT [154447:60728869]
-A FORWARD -o eth0.2 -p tcp -m tcp --tcp-flags SYN,RST SYN -m comment --comment "!fw3: Zone wan MTU fixing" -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Tue Mar 26 14:35:33 2019
# Generated by iptables-save v1.6.2 on Tue Mar 26 14:35:33 2019
*filter
:INPUT ACCEPT [1:97]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:forwarding_lan_rule - [0:0]
:forwarding_rule - [0:0]
:forwarding_wan_rule - [0:0]
:input_lan_rule - [0:0]
:input_rule - [0:0]
:input_wan_rule - [0:0]
:output_lan_rule - [0:0]
:output_rule - [0:0]
:output_wan_rule - [0:0]
:reject - [0:0]
:syn_flood - [0:0]
:zone_lan_dest_ACCEPT - [0:0]
:zone_lan_forward - [0:0]
:zone_lan_input - [0:0]
:zone_lan_output - [0:0]
:zone_lan_src_ACCEPT - [0:0]
:zone_wan_dest_ACCEPT - [0:0]
:zone_wan_dest_REJECT - [0:0]
:zone_wan_forward - [0:0]
:zone_wan_input - [0:0]
:zone_wan_output - [0:0]
:zone_wan_src_REJECT - [0:0]
-A INPUT -i lo -m comment --comment "!fw3" -j ACCEPT
-A INPUT -m comment --comment "!fw3: Custom input rule chain" -j input_rule
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -m comment --comment "!fw3" -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m comment --comment "!fw3" -j syn_flood
-A INPUT -i br-lan -m comment --comment "!fw3" -j zone_lan_input
-A INPUT -i eth0.2 -m comment --comment "!fw3" -j zone_wan_input
-A FORWARD -m comment --comment "!fw3: Custom forwarding rule chain" -j forwarding_rule
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -m comment --comment "!fw3" -j ACCEPT
-A FORWARD -i br-lan -m comment --comment "!fw3" -j zone_lan_forward
-A FORWARD -i eth0.2 -m comment --comment "!fw3" -j zone_wan_forward
-A FORWARD -m comment --comment "!fw3" -j reject
-A OUTPUT -o lo -m comment --comment "!fw3" -j ACCEPT
-A OUTPUT -m comment --comment "!fw3: Custom output rule chain" -j output_rule
-A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -m comment --comment "!fw3" -j ACCEPT
-A OUTPUT -o br-lan -m comment --comment "!fw3" -j zone_lan_output
-A OUTPUT -o eth0.2 -m comment --comment "!fw3" -j zone_wan_output
-A input_rule -i eth0.2 -p tcp -m tcp --dport 80 -j ACCEPT
-A input_rule -i eth0.2 -p tcp -m tcp --dport 9 -j ACCEPT
-A input_rule -i eth0.2 -p tcp -m tcp --dport 5201 -j ACCEPT
-A input_rule -i eth0.2 -p tcp -m tcp --dport 1723 -j ACCEPT
-A reject -p tcp -m comment --comment "!fw3" -j REJECT --reject-with tcp-reset
-A reject -m comment --comment "!fw3" -j REJECT --reject-with icmp-port-unreachable
-A syn_flood -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 25/sec --limit-burst 50 -m comment --comment "!fw3" -j RETURN
-A syn_flood -m comment --comment "!fw3" -j DROP
-A zone_lan_dest_ACCEPT -o br-lan -m comment --comment "!fw3" -j ACCEPT
-A zone_lan_forward -m comment --comment "!fw3: Custom lan forwarding rule chain" -j forwarding_lan_rule
-A zone_lan_forward -m comment --comment "!fw3: Zone lan to wan forwarding policy" -j zone_wan_dest_ACCEPT
-A zone_lan_forward -m conntrack --ctstate DNAT -m comment --comment "!fw3: Accept port forwards" -j ACCEPT
-A zone_lan_forward -m comment --comment "!fw3" -j zone_lan_dest_ACCEPT
-A zone_lan_input -m comment --comment "!fw3: Custom lan input rule chain" -j input_lan_rule
-A zone_lan_input -m conntrack --ctstate DNAT -m comment --comment "!fw3: Accept port redirections" -j ACCEPT
-A zone_lan_input -m comment --comment "!fw3" -j zone_lan_src_ACCEPT
-A zone_lan_output -m comment --comment "!fw3: Custom lan output rule chain" -j output_lan_rule
-A zone_lan_output -m comment --comment "!fw3" -j zone_lan_dest_ACCEPT
-A zone_lan_src_ACCEPT -i br-lan -m conntrack --ctstate NEW,UNTRACKED -m comment --comment "!fw3" -j ACCEPT
-A zone_wan_dest_ACCEPT -o eth0.2 -m conntrack --ctstate INVALID -m comment --comment "!fw3: Prevent NAT leakage" -j DROP
-A zone_wan_dest_ACCEPT -o eth0.2 -m comment --comment "!fw3" -j ACCEPT
-A zone_wan_dest_REJECT -o eth0.2 -m comment --comment "!fw3" -j reject
-A zone_wan_forward -m comment --comment "!fw3: Custom wan forwarding rule chain" -j forwarding_wan_rule
-A zone_wan_forward -p esp -m comment --comment "!fw3: @rule[7]" -j zone_lan_dest_ACCEPT
-A zone_wan_forward -p udp -m udp --dport 500 -m comment --comment "!fw3: @rule[8]" -j zone_lan_dest_ACCEPT
-A zone_wan_forward -m conntrack --ctstate DNAT -m comment --comment "!fw3: Accept port forwards" -j ACCEPT
-A zone_wan_forward -m comment --comment "!fw3" -j zone_wan_dest_REJECT
-A zone_wan_input -m comment --comment "!fw3: Custom wan input rule chain" -j input_wan_rule
-A zone_wan_input -p udp -m udp --dport 68 -m comment --comment "!fw3: Allow-DHCP-Renew" -j ACCEPT
-A zone_wan_input -p icmp -m icmp --icmp-type 8 -m comment --comment "!fw3: Allow-Ping" -j ACCEPT
-A zone_wan_input -p igmp -m comment --comment "!fw3: Allow-IGMP" -j ACCEPT
-A zone_wan_input -m conntrack --ctstate DNAT -m comment --comment "!fw3: Accept port redirections" -j ACCEPT
-A zone_wan_input -m comment --comment "!fw3" -j zone_wan_src_REJECT
-A zone_wan_output -m comment --comment "!fw3: Custom wan output rule chain" -j output_wan_rule
-A zone_wan_output -m comment --comment "!fw3" -j zone_wan_dest_ACCEPT
-A zone_wan_src_REJECT -i eth0.2 -m comment --comment "!fw3" -j reject
COMMIT
# Completed on Tue Mar 26 14:35:33 2019

Pravnik84
(26.03.19 17:48:49 MSK) автор топика

Ответ на: комментарий от Pravnik84 26.03.19 17:48:49 MSK

Окей, а теперь покажи еще

sysctl net.netfilter.nf_conntrack_helper

Если там 0 - надо писать правило для таблицы raw, цепочки PREROUTING в зависимости от протокола VPN, который ты используешь. Для PPTP там будет что-то типо этого(копирую с рабочего десктопа):

-A PREROUTING -p tcp --dport 1723 -j CT --helper pptp

Ну или можно включить conntrack helper, но при апдейте OpenWRT если обновится ядро - его могут выпилить окончательно, ибо он устарел

Pinkbyte ★★★★★
(26.03.19 18:28:45 MSK)
Последнее исправление: Pinkbyte 26.03.19 18:29:06 MSK (всего исправлений: 1)

Ответ на: комментарий от Pinkbyte 26.03.19 18:28:45 MSK

Если там 0 - надо писать правило для таблицы raw, цепочки PREROUTING в зависимости от протокола VPN, который ты используешь. Для PPTP там будет что-то типо этого(копирую с рабочего десктопа): [qoute]
Да, там 0, и протокол PPTP

Pravnik84
(26.03.19 18:33:11 MSK) автор топика