Cześć, mam problem i nei mogę sobie poradzić do rzeczy:
server 192.168.44.0/24
client 1 192.168.2.0/24 openvpn 10.8.2.x
client 2 192.168.3.1 openvpn 10.8.1.x
Konfiguracja na static key ( wiem ujnia ale ograniczenie unifi)
I teraz do rzeczy: z servera pingam sieć client1 całą
z client2 pingam sieć client 1 i sieć za serverem
ale za diabła nie mogę zrobić by z servera lub client1 pingnąć komputery w sieci2
sieć2 jest postawiona na asusie tomato freshtomato-arm 2022.5
firewall automatic
create nat on tunnel aktywny
inbound firewall aktywny
redirect internet trafic: routing policy
routing to destination IP 192.168.2.0/24 aktywne
routing to destination IP 192.168.44.0/24 aktywne
Tracing route from 192.168.2.2 to 192.168.3.2 over a maximum of 30 hops
1 <1 ms <1 ms <1 ms 192.168.2.1
2 4 ms 5 ms 4 ms 10.8.2.1
3 71 ms 66 ms * 10.8.1.2
4 * ^C
Tomato route -n
192.168.8.1 0.0.0.0 255.255.255.255 UH 0 0 0 eth2
10.8.1.1 0.0.0.0 255.255.255.255 UH 0 0 0 tun11
10.8.2.0 10.8.1.1 255.255.255.0 UG 0 0 0 tun11
192.168.3.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
192.168.2.0 10.8.1.1 255.255.255.0 UG 0 0 0 tun11
192.168.44.0 10.8.1.1 255.255.255.0 UG 0 0 0 tun11
192.168.8.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 192.168.8.1 0.0.0.0 UG 0 0 0 eth2
root@unknown:/tmp/home/root#
root@unknown:/tmp/home/root# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
DROP all -- anywhere wan1-ip
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
shlimit tcp -- anywhere anywhere tcp dpt:ssh state NEW
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere icmp echo-request state NEW,RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere icmptype 30 state NEW,RELATED,ESTABLISHED
ACCEPT udp -- anywhere anywhere udp dpts:33434:33534
ACCEPT tcp -- anywhere anywhere tcp dpt:webcache
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
Chain FORWARD (policy DROP)
target prot opt source destination
all -- anywhere anywhere account: network/netmask: 192.168.3.0/255.255.255.0 name: lan
ACCEPT all -- anywhere anywhere
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT esp -- anywhere anywhere
ACCEPT ah -- anywhere anywhere
ACCEPT udp -- anywhere anywhere udp dpt:500
ACCEPT udp -- anywhere anywhere udp dpt:4500
wanin all -- anywhere anywhere
wanout all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
Nic nie dało wyłączenie inbound. Zapamiętał prawdopodobnie jakieś śmieci po wyłączeniu.
Pomogło
1. reset totalny z wgraniem asusaowego softu i ponowne wgranie tomatoo (upgrade z czyszczeniem nvmram nie dało rady)
2. kombinacje z routingami:
a. routing policy w tomato vpn client
b. scripts > firewall dodanie tras routing, ponieważ push route z serwera nei do końca działa.
Generalnie bangla w chwili obecnej: sieć 44.x która jest za serwerm vpn sieć2.x klient nuemr 1 z UDM pro i sieć 3.x za tomato
Scalony z 03 grudnia 2022 13:52:50:
no dobra ale wraca drugi problem. Jeżeli z jakiegoś powodu serwer zerwie połączenie z freshtomato (client) wtedy próbuje reconnect i gdy nawiąże z sukcesem, znika tablica routingu. Jak zaloguję się do terminala musze ręcznie dodać route add -net 192.168.2.0 netmask 255.255.255.0 gw 10.8.0.1
192.168.2.0 - siec po 2 stronie tunelu
10.8.0.1 routing na serwerze.
Ktoś pomoże jak to zautomatyzowac zeby samemu się podnosiło ?
Po restarcie routera dodałem w script/firewall
Edytowany przez niqu1982 dnia 03-12-2022 13:52
· Łącznie użytkowników: 24,117 · Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.
tamtosiamto
23-04-2024 12:35
modem bez smilocka?
man1
22-04-2024 23:27
Czy próbował ktoś uzywac karty voice (z nolimit GB) od tmobile w modemie /routerze? Da się jakoś to zrobić? Bo u mnie neta brak. E3372
tamtosiamto
31-03-2024 12:54
Wesolego jajka wszytskim forumowiczom
tamtosiamto
28-03-2024 23:24
tak, tak zgadza sie, ale ja pytam o wykluczenie noda na guest network w first set, i to nie dziala
Adooni
24-03-2024 13:16
Guest network is currently designed to allow the first set of each band (2.4G, 5G, 5G-1) available to the AiMesh node
tamtosiamto
24-03-2024 03:03
ale w 1 jest opcja do wyboru - dla calej sieci albo rutera only i wlasnie o tym mowie, ze nie dziala
Adooni
23-03-2024 16:31
w dokumencie asusa jest ze wlasnie dla 1 ma dzialac na nodach tez
tamtosiamto
23-03-2024 15:39
tak, ale nie zmienia to faktu, ze w pierwszej nie dziala wylaczanie aimesh dla goscinnej( a powinno), czyli jest jakis bug. Mam start soft, bo to dsl-ac68 ktory nie jest juz updateowany
Adooni
22-03-2024 18:07
nie, 1 wsza bedzie wszedzie trzeba 2ga zrobic dla kazdego pasma te nie sa przenoszone
tamtosiamto
19-03-2024 19:57
czyli jak mam jedna siec goscinna to powinno dzialac separowanie gosci od noda -a nie dziala
' target='_blank'>Link
