Денис Илютин Posted September 29, 2016 Posted September 29, 2016 Продолжение из http://forum.keenetic.net/topic/61-правила-iptables-для-openvpn/?do=findComment&comment=11451 Лог в прикрепленном файле При этом если запускаешь вручную (sh 051-openvpn-iptables.sh) - все в порядке. Содержание скриптов: Скрытый текст /opt/etc/ndm/netfilter.d/051-openvpn-iptables.sh #!/bin/sh iptables -A INPUT -p tcp -i br0 --dport 1:13000 -j ACCEPT iptables -A INPUT -i tun0 -j ACCEPT iptables -A POSTROUTING --table nat -s 192.168.3.0/24 -o br0 -j MASQUERADE iptables -A OUTPUT -j ACCEPT iptables -A FORWARD -o tun0 -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i tun0 -o br0 -m state --state NEW -j ACCEPT /opt/etc/ndm/netfilter.d/filter.h #!/bin/sh [ "$table" != "filter" ] && exit 0 # check the table name iptables -I FORWARD -i br0 -o tun0 -j ACCEPT iptables -I FORWARD -i tun0 -o br0 -j ACCEPT iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE /opt/bin/logger "openvpn iptables rules applied" Если не запускать - пинга до кинетика с сервера нет. Запуск filter.sh этого не меняет. Запуск 051-openvpn-iptables.sh - дает пинг. iptables: Скрытый текст /opt/etc/ndm/netfilter.d # iptables -L -v -n Chain INPUT (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 12517 1604K ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 44 7528 ACCEPT all -- * * 0.0.0.0/0 224.0.0.0/4 0 0 ACCEPT 2 -- * * 0.0.0.0/0 0.0.0.0/0 2869 792K _NDM_IPSEC_INPUT_FILTER all -- * * 0.0.0.0/0 0.0.0.0/0 2869 792K _NDM_IN_EXCEPTIONS all -- * * 0.0.0.0/0 0.0.0.0/0 2869 792K _NDM_IN all -- * * 0.0.0.0/0 0.0.0.0/0 201 21959 _NDM_IPSEC_INPUT all -- * * 0.0.0.0/0 0.0.0.0/0 73 6132 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID 0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate DNAT 128 15827 _NDM_INPUT all -- * * 0.0.0.0/0 0.0.0.0/0 128 15827 SL_PRIVATE all -- * * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT tcp -- br0 * 0.0.0.0/0 0.0.0.0/0 tcp dpts:1:13000 1 84 ACCEPT all -- tun0 * 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- * * 0.0.0.0/0 224.0.0.0/4 472 30209 _NDM_IPSEC_FORWARD all -- * * 0.0.0.0/0 0.0.0.0/0 472 30209 _NDM_IN all -- * * 0.0.0.0/0 0.0.0.0/0 115 6440 _NDM_OUT all -- * * 0.0.0.0/0 0.0.0.0/0 115 6440 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID 0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate DNAT 0 0 _NDM_PRE_FORWARD all -- * * 0.0.0.0/0 0.0.0.0/0 0 0 _NDM_FORWARD all -- * * 0.0.0.0/0 0.0.0.0/0 0 0 SL_FORWARD all -- * * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT all -- br0 br0 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT all -- br1 br1 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT all -- * tun0 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 ACCEPT all -- tun0 br0 0.0.0.0/0 0.0.0.0/0 state NEW Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 14806 2204K _NDM_IPSEC_OUTPUT_FILTER all -- * * 0.0.0.0/0 0.0.0.0/0 14806 2204K _NDM_OUT all -- * * 0.0.0.0/0 0.0.0.0/0 11064 1641K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 Chain SL_FORWARD (1 references) pkts bytes target prot opt in out source destination 0 0 SL_PROTECT all -- * apcli0 0.0.0.0/0 0.0.0.0/0 ctstate NEW 0 0 SL_PROTECT all -- * eth2.2 0.0.0.0/0 0.0.0.0/0 ctstate NEW 0 0 SL_PROTECT all -- * ppp0 0.0.0.0/0 0.0.0.0/0 ctstate NEW 0 0 SL_PROTECT all -- * ppp1 0.0.0.0/0 0.0.0.0/0 ctstate NEW 0 0 SL_PROTECT all -- * lte_br0 0.0.0.0/0 0.0.0.0/0 ctstate NEW Chain SL_PRIVATE (2 references) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- ra2 * 0.0.0.0/0 0.0.0.0/0 ctstate NEW 0 0 ACCEPT all -- ra1 * 0.0.0.0/0 0.0.0.0/0 ctstate NEW 0 0 ACCEPT all -- ra0 * 0.0.0.0/0 0.0.0.0/0 ctstate NEW 0 0 ACCEPT all -- ra3 * 0.0.0.0/0 0.0.0.0/0 ctstate NEW 0 0 ACCEPT all -- eth2.1 * 0.0.0.0/0 0.0.0.0/0 ctstate NEW 0 0 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0 ctstate NEW 35 8015 ACCEPT all -- br1 * 0.0.0.0/0 0.0.0.0/0 ctstate NEW Chain SL_PROTECT (7 references) pkts bytes target prot opt in out source destination 0 0 SL_PRIVATE all -- * * 0.0.0.0/0 0.0.0.0/0 Chain _NDM_FORWARD (1 references) pkts bytes target prot opt in out source destination 0 0 _NDM_UPNP_FORWARD all -- * * 0.0.0.0/0 0.0.0.0/0 Chain _NDM_HOTSPOT_FWD (1 references) pkts bytes target prot opt in out source destination Chain _NDM_IN (2 references) pkts bytes target prot opt in out source destination 737 88005 _acl__WEBADMIN_FastEthernet0/Vl all -- eth2.2 * 0.0.0.0/0 0.0.0.0/0 0 0 _acl__WEBADMIN_WifiMaster0/Wifi all -- apcli0 * 0.0.0.0/0 0.0.0.0/0 0 0 _acl__WEBADMIN_UsbModem0 all -- ppp0 * 0.0.0.0/0 0.0.0.0/0 2288 706K _acl__WEBADMIN_Home all -- br0 * 0.0.0.0/0 0.0.0.0/0 35 8015 _acl__WEBADMIN_Guest all -- br1 * 0.0.0.0/0 0.0.0.0/0 Chain _NDM_INPUT (1 references) pkts bytes target prot opt in out source destination 0 0 SL_PROTECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68 0 0 SL_PROTECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spts:67:68 dpts:67:68 Chain _NDM_IN_EXCEPTIONS (1 references) pkts bytes target prot opt in out source destination Chain _NDM_IPSEC_FORWARD (1 references) pkts bytes target prot opt in out source destination Chain _NDM_IPSEC_INPUT (1 references) pkts bytes target prot opt in out source destination Chain _NDM_IPSEC_INPUT_FILTER (1 references) pkts bytes target prot opt in out source destination Chain _NDM_IPSEC_OUTPUT_FILTER (1 references) pkts bytes target prot opt in out source destination Chain _NDM_OUT (2 references) pkts bytes target prot opt in out source destination Chain _NDM_PRE_FORWARD (1 references) pkts bytes target prot opt in out source destination 0 0 _NDM_HOTSPOT_FWD all -- * * 0.0.0.0/0 0.0.0.0/0 Chain _NDM_UPNP_FORWARD (1 references) pkts bytes target prot opt in out source destination Chain _acl__WEBADMIN_FastEthernet0/Vl (1 references) pkts bytes target prot opt in out source destination 626 68998 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 111 19007 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 Chain _acl__WEBADMIN_Guest (1 references) pkts bytes target prot opt in out source destination 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 Chain _acl__WEBADMIN_Home (1 references) pkts bytes target prot opt in out source destination 592 40408 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 1381 637K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 315 28716 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 Chain _acl__WEBADMIN_UsbLte0 (0 references) pkts bytes target prot opt in out source destination 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 Chain _acl__WEBADMIN_UsbModem0 (1 references) pkts bytes target prot opt in out source destination 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8000 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:9000 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5080 Chain _acl__WEBADMIN_WifiMaster0/Wifi (1 references) pkts bytes target prot opt in out source destination 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 Таблицы маршрутизации: 192.168.1.0/24 - локалка, где находится сервер(192.168.1.5) 192.168.137.0/24 - локалка, где находится клиент(192.168.137.1) 192.168.3.0/24 - VPN-локалка.(192.168.3.1-сервер, 192.168.3.4 - клиент) Скрытый текст Клиент: Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface default 192.168.2.1 0.0.0.0 UG 0 0 0 eth2.2 10.1.30.0 * 255.255.255.0 U 0 0 0 br1 85.114.0.81 192.168.2.1 255.255.255.255 UGH 0 0 0 eth2.2 85.114.2.81 192.168.2.1 255.255.255.255 UGH 0 0 0 eth2.2 192.168.1.0 192.168.3.1 255.255.255.0 UG 0 0 0 tun0 192.168.2.0 * 255.255.255.0 U 0 0 0 eth2.2 192.168.3.0 * 255.255.255.0 U 0 0 0 tun0 192.168.137.0 * 255.255.255.0 U 0 0 0 br0 Сервер: Routing tables Internet: Destination Gateway Flags Netif Expire default 192.168.1.1 UGS epair0b 127.0.0.1 link#1 UH lo0 192.168.1.0/24 link#2 U epair0b 192.168.1.5 link#2 UHS lo0 192.168.3.0/24 192.168.3.1 UGS tun0 192.168.3.1 link#3 UHS lo0 192.168.3.2 link#3 UH tun0 192.168.137.0/24 192.168.3.2 UGS tun0 P.S. Был вопрос про проброс - это в локальной сети сервера. log.txt Quote
zyxmon Posted September 29, 2016 Posted September 29, 2016 Ни одного Segfault не видно. Научитесь оформлять листинги. Есть же кнопка код. Логи предварительно сохраняйте в файл. Содержимое скрипта, который возвращает ошибку в куче ненужной информации не увидел. Quote
Денис Илютин Posted September 29, 2016 Author Posted September 29, 2016 (edited) 9 минут назад, zyxmon сказал: Ни одного Segfault не видно. Научитесь оформлять листинги. Есть же кнопка код. Логи предварительно сохраняйте в файл. Содержимое скрипта, который возвращает ошибку в куче ненужной информации не увидел. Извиняюсь, сейчас подправлю оформление. А насчет ошибки, вот же, под первым катом строка 1, 4 и т.д.: Opkg::Manager: /opt/etc/ndm/netfilter.d/051-openvpn-iptables.sh: Segmentation fault. Да и exit code 139 - Segfault, насколько я знаю. Edited September 29, 2016 by Денис Илютин Quote
zyxmon Posted September 29, 2016 Posted September 29, 2016 А откуда скрипт знает где находится iptables? Или задайте PATH, или полный путь к iptables указывайте. Да и шебанг надежнее такой `/opt/bin/sh`. Прошивочный `/bbin/sh` - это не настоящий шелл. Quote
Денис Илютин Posted September 29, 2016 Author Posted September 29, 2016 Еще tracelog до двух портов 12345 (работает подключение, проброс на устройство в локалке) и 11111 (не работает, openvpn->keenetic морда). Очень извиняюсь за то, что картинками. порт 12345 Скрытый текст порт 11111 Скрытый текст Quote
zyxmon Posted September 29, 2016 Posted September 29, 2016 смотрите таблицу маршрутизации. не нужно сюда приводить данные. анализируйте их самостоятельно. ps ссылка на настройки - скорее всего проверялась на прошивке Падавана. Для кинетика скорее всего нужно слегка иначе. Quote
Денис Илютин Posted September 29, 2016 Author Posted September 29, 2016 (edited) Так. Проблема видимости локализована, ибо из локалки сервера веб-интерфейс keenetic открывается. Так что да, вы правы - там надо в таблицах маршрутизации смотреть. А вот вопрос с SegFault открыт. Дописал #/opt/bin/sh вначале и пути "/usr/sbin/iptables"/. Теперь это выглядит так: # /opt/bin/sh /usr/sbin/iptables -A INPUT -p tcp -i br0 --dport 1:13000 -j ACCEPT /usr/sbin/iptables -A INPUT -i tun0 -j ACCEPT /usr/sbin/iptables -A POSTROUTING --table nat -s 192.168.3.0/24 -o br0 -j MASQUERADE /usr/sbin/iptables -A OUTPUT -j ACCEPT /usr/sbin/iptables -A FORWARD -o tun0 -j ACCEPT /usr/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT /usr/sbin/iptables -A FORWARD -i tun0 -o br0 -m state --state NEW -j ACCEPT Однако лог точно такой же как в первом сообщении. Edited September 29, 2016 by Денис Илютин Quote
TheBB Posted September 29, 2016 Posted September 29, 2016 во-первых - шебанг должОн быть c ! #!/opt/bin/sh во-вторых - путь к бинарнику /opt/sbin/iptables ~ # cat ipt.sh #!/opt/bin/sh /opt/sbin/iptables -A INPUT -p tcp -i br0 --dport 1:13000 -j ACCEPT /opt/sbin/iptables -A INPUT -i tun0 -j ACCEPT /opt/sbin/iptables -A POSTROUTING --table nat -s 192.168.3.0/24 -o br0 -j MASQUERADE /opt/sbin/iptables -A OUTPUT -j ACCEPT /opt/sbin/iptables -A FORWARD -o tun0 -j ACCEPT /opt/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT /opt/sbin/iptables -A FORWARD -i tun0 -o br0 -m state --state NEW -j ACCEPT ~ # ~ # ./ipt.sh ~ # ~ # iptables -nvL -t nat Chain PREROUTING (policy ACCEPT 16 packets, 6272 bytes) pkts bytes target prot opt in out source destination .... 0 0 MASQUERADE all -- * br0 192.168.3.0/24 0.0.0.0/0 # <- ваше 3-е правило .... Quote
zyxmon Posted September 30, 2016 Posted September 30, 2016 Если Вам нужен доступ к кинетику и к сети за кинетиком снаружи - то Вам нужен OpenVPN сервер на кинетике. Вы путаетесь в показаниях. Тему Вы назвали "доступ к веб-интерфейсу через OpenVPN", а в другой теме утверждали, что у Вас Openvpn клиент на кинетике. С этим разберитесь! Quote
zyxmon Posted September 30, 2016 Posted September 30, 2016 (edited) 6 часов назад, TheBB сказал: во-первых - шебанг должОн быть c ! #!/opt/bin/sh во-вторых - путь к бинарнику /opt/sbin/iptables Нужно бы посмотреть в каком окружении выполняются сейчас скрипты-хуки. Я бы рекомендовал начинать все такие скрипты со строк #!/opt/bin/sh PATH=/opt/sbin:/opt/bin:/usr/sbin:/usr/bin:/sbin:/bin unset LD_LIBRARY_PATH unset LD_PRELOAD Может быть еще и `unset TZ` для надежности. Может быть стоит это в FAQ? Уже нет пакетов keenopt! Новая инфа: Окружение скрипта (netfilter) - такое timezone=Europe/Moscow USER=root SHLVL=1 LD_LIBRARY_PATH=/opt/lib:/opt/usr/lib:/lib:/usr/lib HOME=/ NDM_MOUNT_ROOT=/tmp/mnt LD_BIND_NOW=1 TERM=linux PATH=/opt/bin:/opt/sbin:/opt/usr/bin:/opt/usr/sbin:/bin:/sbin:/usr/bin:/usr/sbin LANG=UTF-8 SHELL=/bin/sh PWD=/ table=filter Единственно, что может вызывать Segfault - LD_LIBRARY_PATH. Переменная PATH уже задана правильно. Или же LD_BIND_NOW --- может и тут собака порылась. Edited September 30, 2016 by zyxmon Дополнение 1 Quote
Денис Илютин Posted September 30, 2016 Author Posted September 30, 2016 7 часов назад, TheBB сказал: во-первых - шебанг должОн быть c ! #!/opt/bin/sh во-вторых - путь к бинарнику /opt/sbin/iptables Насчет во-первых сделал, ничего не поменялось. Насчет во-вторых: ~ # find / -name "iptables" /usr/lib/iptables /usr/sbin/iptables Но ни так, ни так не работает. Поставил полностью ваш скрипт (кроме путей к iptables, которых он не находил), на выходе ~ # /opt/etc/ndm/netfilter.d/051-openvpn-iptables.sh /opt/etc/ndm/netfilter.d/051-openvpn-iptables.sh: line 1: /opt/root: Permission denied /opt/etc/ndm/netfilter.d/051-openvpn-iptables.sh: line 11: /opt/root: Permission denied /opt/etc/ndm/netfilter.d/051-openvpn-iptables.sh: line 12: /opt/root: Permission denied /opt/etc/ndm/netfilter.d/051-openvpn-iptables.sh: line 13: /opt/root: Permission denied /opt/etc/ndm/netfilter.d/051-openvpn-iptables.sh: line 14: /opt/root: Permission denied 3 часа назад, zyxmon сказал: Если Вам нужен доступ к кинетику и к сети за кинетиком снаружи - то Вам нужен OpenVPN сервер на кинетике. Вы путаетесь в показаниях. На кинетике серый IP - это раз. Из локальной сети сервера кинетик я вижу - это два. Да, на кинетике клиент. Quote
Денис Илютин Posted September 30, 2016 Author Posted September 30, 2016 2 часа назад, zyxmon сказал: #!/opt/bin/sh PATH=/opt/sbin:/opt/bin:/usr/sbin:/usr/bin:/sbin:/bin unset LD_LIBRARY_PATH unset LD_PRELOAD А вот это помогло! Скрипты применяются, в логах ругани нет. Quote
Денис Илютин Posted September 30, 2016 Author Posted September 30, 2016 (edited) Вопрос еще в одном. Проблема внешней недоступности в правилах файервола, как я понял. Но если для родных интерфейсов кинетика можно настроить межсетевой экран из веб-интерфейса, то тут - только через iptables, как я понимаю. Ситуация: Если я выхожу с компа 192.168.1.203 (подсеть сервера) - веб-интерфейс кинетика открыт. Если выхожу из удаленной сети - нет. Какие правила прописать, чтобы заработало? Пробовал на роутере 192.168.1.1 маскарадить запросы - не вышло. Edited September 30, 2016 by Денис Илютин Quote
TheBB Posted September 30, 2016 Posted September 30, 2016 проведем эксперимент: опустим газету в серную кислоту, а журнал "ТВ-парк" в дистиллированную воду... Скрытый текст ~ # opkg list-installed | grep ip iptables - 1.4.21-2 ~ # ~ # ln -s /opt/sbin/xtables-multi /opt/share/iptables ~ # ~ # cat /opt/etc/ndm/netfilter.d/ipt.sh #!/opt/bin/sh [ "$table" != "filter" ] && exit 0 # check the table name /opt/share/iptables -A INPUT -p tcp -i br0 --dport 1:13000 -j ACCEPT /opt/share/iptables -A INPUT -i tun0 -j ACCEPT /opt/share/iptables -A POSTROUTING --table nat -s 192.168.3.0/24 -o br0 -j MASQUERADE /opt/share/iptables -A OUTPUT -j ACCEPT /opt/share/iptables -A FORWARD -o tun0 -j ACCEPT /opt/share/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT /opt/share/iptables -A FORWARD -i tun0 -o br0 -m state --state NEW -j ACCEPT /opt/bin/logger "openvpn iptables rules applied" ~ # ~ # /opt/share/iptables -nvL -t nat Chain PREROUTING (policy ACCEPT 49 packets, 18538 bytes) pkts bytes target prot opt in out source destination 49 18538 _NDM_DNAT all -- * * 0.0.0.0/0 0.0.0.0/0 Chain INPUT (policy ACCEPT 16 packets, 3157 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 47 packets, 4506 bytes) pkts bytes target prot opt in out source destination Chain POSTROUTING (policy ACCEPT 47 packets, 4506 bytes) pkts bytes target prot opt in out source destination 47 4506 _NDM_IPSEC_POSTROUTING_NAT all -- * * 0.0.0.0/0 0.0.0.0/0 47 4506 _NDM_SNAT all -- * * 0.0.0.0/0 0.0.0.0/0 0 0 MASQUERADE all -- * br0 192.168.3.0/24 0.0.0.0/0 <------------- :) Chain SL_PRIVATE (0 references) .... ~ # ~ # ndmc Login: admin Password: ***** (config)> show log .... I [Sep 30 16:41:45] ndm: Opkg::Manager: configured init script: "/opt/etc/init.d/rc.unslung". I [Sep 30 16:41:45] ndm: Core::ConfigurationSaver: saving configuration... I [Sep 30 16:41:45] dropbear[2017]: Running in background I [Sep 30 16:41:45] root: Started amuled from . I [Sep 30 16:41:48] root: openvpn iptables rules applied <-------------------- :) I [Sep 30 16:41:49] ndm: Core::ConfigurationSaver: configuration saved. I [Sep 30 16:42:22] dropbear[2079]: Child connection from 192.168.2.33:37622 I [Sep 30 16:42:28] dropbear[2079]: Password auth succeeded for 'root' from 192.168.2.33:37622 I [Sep 30 16:49:50] ndm: Core::Server: started Session /var/run/ndm.core.socket. .... работает, даже, с такими извращениями ))) чем же пакет не угодил? ~ # opkg list | grep ^iptable iptables - 1.4.21-2 - IP firewall administration tool. Matches: - icmp - tcp - udp - comment - conntrack - limit - mac - mark - multiport - set - state - time Targets: - ACCEPT - CT - DNAT - DROP - REJECT - LOG - MARK - MASQUERADE - REDIRECT - SET - SNAT - TCPMSS Tables: - filter - mangle - nat - raw ~ # ВАМИ используется iptables из прошивки (?), от того и "костылять", приходится, т.к. /usr/sbin/... находится за пределами /opt/... Quote
zyxmon Posted September 30, 2016 Posted September 30, 2016 4 часа назад, Денис Илютин сказал: Какие правила прописать, чтобы заработало? Основные я указывал. Может быть еще потребуются правила - это зависит от прошивочных, которые зависят от настроек. Хорошая теме по openvpn тут - http://forum.ixbt.com/topic.cgi?id=14:40906 Продолжение темы - http://forum.ixbt.com/topic.cgi?id=14:56078 Quote
Денис Илютин Posted October 6, 2016 Author Posted October 6, 2016 Всем спасибо, все заработало. Действительно, основных правил было достаточно. После добавления строчки iptables -t nat -A POSTROUTING --dst 192.168.137.0/24 -p tcp -j SNAT --to-source 192.168.1.1 в роутер основной сети (где сервер), трафик из внешней сети пошел. Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.