Routing pomiędzy LAN i WLAN

[gorus1]

Witam!
Trzy routery z tomato na pokładzie - na jednym serwer VPN, a dwa pozostałe to klienci VPN. Połączenie w warstwie TAP, ale z ręcznie skonfigurowanym routingiem gdyż każdy router tworzy inną podsieć. Problem polega na tym, że pingi przechodzą, ale tylko pomiędzy hostami połączonymi do routerów poprzez kabel LAN (br0) natomiast nie można łączyć się z hostami połączonymi do routerów poprzez WLAN (eth1).
W firewallu na routerze wpisałem

Kod: Zaznacz cały

iptables -I FORWARD -i br0 -o tap21 -j ACCEPT
iptables -I FORWARD -i tap21 -o br0 -j ACCEPT

Kod: Zaznacz cały

iptables -I FORWARD -i eth1 -o tap21 -j ACCEPT
iptables -I FORWARD -i tap21 -o eth1 -j ACCEPT

i analogicznie na klientach.
Co może być przyczyną blokady połączenia w obydwu kierunkach hostów podłączonych do routerów po WLAN?

[key]

Separacja WLAN.

Daj w pierszej kolejnosci wyniki "brctl show" i "ifconfig".

[gorus1]

brctl

Kod: Zaznacz cały

	addbr     	<bridge>		add bridge 
	delbr     	<bridge>		delete bridge 
	addif     	<bridge> <device>	add interface to bridge 
	delif     	<bridge> <device>	delete interface from bridge 
	setageing 	<bridge> <time>		set ageing time 
	setbridgeprio	<bridge> <prio>		set bridge priority 
	setfd     	<bridge> <time>		set bridge forward delay 
	sethello  	<bridge> <time>		set hello time 
	setmaxage 	<bridge> <time>		set max message age 
	setpathcost	<bridge> <port> <cost>	set path cost 
	setportprio	<bridge> <port> <prio>	set port priority 
	show      				show a list of bridges 
	showmacs  	<bridge>		show a list of mac addrs 
	showstp   	<bridge>		show bridge stp info 
	stp       	<bridge> {on|off}	turn stp on/off 

ifconfig

Kod: Zaznacz cały

br0        Link encap:Ethernet  HWaddr 20:4E:7F:10:10:02   
           inet addr:10.10.5.1  Bcast:10.10.5.255  Mask:255.255.255.0 
           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1 
           RX packets:889944 errors:0 dropped:0 overruns:0 frame:0 
           TX packets:1055793 errors:0 dropped:0 overruns:0 carrier:0 
           collisions:0 txqueuelen:0  
           RX bytes:273735595 (261.0 MiB)  TX bytes:1093942268 (1.0 GiB) 
 
eth0       Link encap:Ethernet  HWaddr 20:4E:7F:10:10:02   
           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1 
           RX packets:1868907 errors:0 dropped:0 overruns:0 frame:0 
           TX packets:1337109 errors:0 dropped:0 overruns:0 carrier:0 
           collisions:0 txqueuelen:1000  
           RX bytes:1256167880 (1.1 GiB)  TX bytes:671082945 (639.9 MiB) 
           Interrupt:4 Base address:0x2000  
 
eth1       Link encap:Ethernet  HWaddr 20:4E:7F:10:10:04   
           UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1 
           RX packets:1388600 errors:0 dropped:0 overruns:0 frame:158225 
           TX packets:1564515 errors:53 dropped:0 overruns:0 carrier:0 
           collisions:0 txqueuelen:1000  
           RX bytes:461190353 (439.8 MiB)  TX bytes:1025962974 (978.4 MiB) 
           Interrupt:3 Base address:0x1000  
 
lo         Link encap:Local Loopback   
           inet addr:127.0.0.1  Mask:255.0.0.0 
           inet6 addr: ::1/128 Scope:Host 
           UP LOOPBACK RUNNING MULTICAST  MTU:16436  Metric:1 
           RX packets:687 errors:0 dropped:0 overruns:0 frame:0 
           TX packets:687 errors:0 dropped:0 overruns:0 carrier:0 
           collisions:0 txqueuelen:0  
           RX bytes:70245 (68.5 KiB)  TX bytes:70245 (68.5 KiB) 
 
tap11      Link encap:Ethernet  HWaddr 00:FF:CE:DA:F9:2A   
           inet addr:192.168.100.200  Bcast:192.168.100.255  Mask:255.255.255.0 
           UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1 
           RX packets:3581 errors:0 dropped:0 overruns:0 frame:0 
           TX packets:3127 errors:0 dropped:0 overruns:0 carrier:0 
           collisions:0 txqueuelen:100  
           RX bytes:296859 (289.9 KiB)  TX bytes:654129 (638.7 KiB) 
 
vlan1      Link encap:Ethernet  HWaddr 20:4E:7F:10:10:02   
           UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1 
           RX packets:424975 errors:0 dropped:0 overruns:0 frame:0 
           TX packets:519641 errors:0 dropped:0 overruns:0 carrier:0 
           collisions:0 txqueuelen:0  
           RX bytes:111540739 (106.3 MiB)  TX bytes:393943801 (375.6 MiB) 
 
vlan2      Link encap:Ethernet  HWaddr 20:4E:7F:10:10:03   
           inet addr:89.174.63.250  Bcast:89.174.63.255  Mask:255.255.255.248 
           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1 
           RX packets:1400395 errors:0 dropped:0 overruns:0 frame:0 
           TX packets:791492 errors:0 dropped:0 overruns:0 carrier:0 
           collisions:0 txqueuelen:0  
           RX bytes:1103864367 (1.0 GiB)  TX bytes:270687585 (258.1 MiB)

[key]

Mialo byc "brctl show". Syntaks znam.

Daj jeszcze "route".

[gorus1]

route serwera

Kod: Zaznacz cały

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface 
192.168.1.1     *               255.255.255.255 UH    0      0        0 vlan1 
192.168.100.0   *               255.255.255.0   U     0      0        0 br0 
192.168.101.0   192.168.100.201 255.255.255.0   UG    0      0        0 br0 
10.10.5.0       192.168.100.200 255.255.255.0   UG    0      0        0 br0 
192.168.1.0     *               255.255.255.0   U     0      0        0 vlan1 
192.168.200.0   *               255.255.255.0   U     0      0        0 br1 
127.0.0.0       *               255.0.0.0       U     0      0        0 lo 
default         192.168.1.1     0.0.0.0         UG    0      0        0 vlan1

route klienta

Kod: Zaznacz cały

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface 
xxxxxxxxxxxx   *               255.255.255.255 UH    0      0        0 vlan2 
xxxxxxxxxxxx  *               255.255.255.248 U     0      0        0 vlan2 
192.168.100.0   *               255.255.255.0   U     0      0        0 tap11 
192.168.101.0   192.168.100.201 255.255.255.0   UG    0      0        0 tap11 
10.10.5.0       *               255.255.255.0   U     0      0        0 br0 
127.0.0.0       *               255.0.0.0       U     0      0        0 lo 
default         249a.konstancin 0.0.0.0         UG    0      0        0 vlan2 

Kod: Zaznacz cały

brctl show serwer
bridge name	bridge id		STP enabled	interfaces 
br0		8000.0018f8f1fecc	no		vlan0 
							tap21 
br1		8000.0018f8f1fecc	yes		vlan2 
							eth1 

brctlshow client

Kod: Zaznacz cały

bridge name	bridge id		STP enabled	interfaces 
br0		8000.204e7f101002	no		vlan1 
							eth1 

[key]

Strasznie to namieszane w mostach, IMHO.

iptables miedzy br0 i tap21 nie ma moim zdaniem sensu - tap21 jest czescia br0.

Ogolnie nie bardzo widze sens rozbijania na tyle przestrzeni adresowych. U mnie tap jest w przestrzeni adresowej danego routera - do tego sa poustawiane odpowiednio route. Nie robie nic przy pomocy iptables.

Przyklad na dwoch sieciach:

Server:
eth 192.168.100.1
tap21 192.168.100.100

route
192.168.150.0 192.168.100.100 255.255.255.0 tap21

Client:
Server:
eth 192.168.150.1
tap12 192.168.150.100

route
192.168.100.0 192.168.150.100 255.255.255.0 tap12

[gorus1]

Tyle przestrzeni adresowych ze względu na to, że chciałem odizolować od sieci LAN klientów łączących się po WLAN. Może jest jakiś inny sposób na izolację od sieci LAN klientów łączących się po WLAN???
Odnośnie routingu - wpisuje w config openvpn kilentów tomato: route 192.168.101.0 255.255.255.0 192.168.100.200
gdzie 192.168.101.0 to sieć kolejnego klienta, a 192.168.100.200 to IP jakie dostaje ten klient od serwera openVPN. Do wszystkich klientów trasy routingu dla sieci serwera openVPN dodają się automatycznie. Czy jest jakaś komenda żeby nie wpisywać na każdym z klientów (każdy z nich należy do osobnej podsieci) oddzielnie tras routingu?
Po dodaniu tych tras ręcznie w analogiczny sposób na każdym kliencie - hosty ze wszystkich sieci klientów się widzą natomiast po ręcznym dodaniu tras routingu na serwerze VPN serwer się restartuje i przydziela każdemu klientowi oddzielny adres IP. Dodam, że trasy na serwerze VPN dodaję w analogiczny sposób jak na klientach.
Korzystając z okazji dwa pytanka:
1. W jaki sposób zapewnić (jaką komendą) na serwerze VPN, aby konkretnym klientom VPN przydzielał ten sam adres IP?
2. W jaki sposób na serwerze VPN "pushować" trasy routingu dla poszczególnych klientów VPN tak, aby nie trzeba było wpisywać ręcznie u poszczególnych klientów? Dodam, że jak wpisuję w config serwera VPN np.

Kod: Zaznacz cały

push "route 192.168.101.0 255.255.255.0 192.168.100.200"

to trasa ta dodaje się do wszystkich klientów - również do tego, którego dotyczy ta trasa i "wykrzacza" mi wtedy sieć na tym routerze...

[key]

Może jest jakiś inny sposób na izolację od sieci LAN klientów łączących się po WLAN???

Mozesz sprecyzowac po co?

Czy jest jakaś komenda żeby nie wpisywać na każdym z klientów (każdy z nich należy do osobnej podsieci) oddzielnie tras routingu?

Client moze przyjac configuracje (w tym route) przy pomocy push/pull.

W jaki sposób zapewnić (jaką komendą) na serwerze VPN, aby konkretnym klientom VPN przydzielał ten sam adres IP?

Jest mozliwosc przypisania IP do certyfikatu. Moj serwer robi to przy pomocy GUI.

W jaki sposób na serwerze VPN "pushować" trasy routingu dla poszczególnych klientów VPN tak, aby nie trzeba było wpisywać ręcznie u poszczególnych klientów? Dodam

Rozdzial klientow przy pomocy certyfikatow.

[gorus1]

Na wstępie dzięki wielkie za pomoc. Wracając do tematu to
chcę zrobić izolację WLAN ponieważ chcę uruchomić hotspot poprzez Captive Portal i chciałbym klientom hotspota zablokować dostęp do LAN-u. Dodatkowo chciałbym dla klientów WLAN przyciąć pasmo poprzez limitera, ale to inna bajka i obawiam się, że na tym mogę się wyłożyć.
Co do komend to jak na serwerze ustawię np. push route "192.168.101.0 255.255.255.0 192.168.100.200" to serwer wysyła trasę do wszystkich sieci które są podłączone - również do tej 192.168.101.0/24 i wtedy ta sieć się wysypuje.
Co do certyfikatów, to ja w GUI tomato nie widzę opcji przydzielenia konkretnego IP do certyfikatu i nie wiem dlaczego po restarcie serwera VPN klienci czasem otrzymują inne adresy IP i muszę wtedy od nowa wpisywać ręcznie trasy routingu.

[key]

ponieważ chcę uruchomić hotspot poprzez Captive Portal

Daj dodatkowy router.

to serwer wysyła trasę do wszystkich sieci które są podłączone

Musisz rozdzielic certyfikaty. Wieczorem bede w domu, to spojrze w konfiguracje - moze wyczytam jak to zrobic na plikach.

nie wiem dlaczego po restarcie serwera VPN klienci czasem otrzymują inne adresy IP

Zalezy w jakiej kolejnosci sie co podlacza.

[gorus1]

Dodatkowy router to dodatkowe koszty w związku z czym wolałbym zrobić to na jednym routerze. Co do przydzielania IP certyfikatom byłbym wdzięczny bardziej szczegółowe info.

[key]

# To assign specific IP addresses to specific
# clients or if a connecting client has a private
# subnet behind it that should also have VPN access,
# use the subdirectory "ccd" for client-specific
# configuration files (see man page for more info).
# EXAMPLE: Suppose the client
# hav.ing the certificate common name "Thelonious"
# also has a small subnet behind his connecting
# machine, such as 192.168.40.128/255.255.255.248.
# First, uncomment out these lines:
;client-config-dir ccd
client-config-dir /etc/openvpn/ccd

;route 192.168.40.128 255.255.255.248
# Then create a file ccd/Thelonious with this line:
# iroute 192.168.40.128 255.255.255.248
# This will allow Thelonious' private subnet to
# access the VPN. This example will only work
# if you are routing, not bridging, i.e. you are
# using "dev tun" and "server" directives.

# EXAMPLE: Suppose you want to give
# Thelonious a fixed VPN IP address of 10.9.0.1.
# First uncomment out these lines:
;client-config-dir ccd
;route 10.9.0.0 255.255.255.252
# Then add this line to ccd/Thelonious:
# ifconfig-push 10.9.0.1 10.9.0.2

oraz:
http://mtehrani30.blogspot.de/2008/03/o ... ic-ip.html

[gorus1]

Kod: Zaznacz cały

ifconfig-push 10.9.0.1 10.9.0.2

ta linia wskazuje na konkretny adres ip serwera i klienta (dwie sieci), a ja testuję na kilku sieciach w związku z czym musiałbym tworzyć kilka serwerów vpn (oddzielnie dla każdej sieci) i potem je routować. Dlatego ja stosuję taką konfugurację: server-bridge

Kod: Zaznacz cały

192.168.100.1 255.255.255.0 192.168.100.200 192.168.100.214

i potrzebuję, żeby server VPN pomimo DHCP przydzielał ten sam adres IP konkretnemu routerowi klientowi VPN. Znalazłem taki opis http://randomseed.pl/2008/10/15/openvpn i tu jest niby, że

Kod: Zaznacz cały

# podłączający się klienci będą mieli zawsze takie same adresy IP
ifconfig-pool-persist ipp.txt
ifconfig-pool-linear
persist-remote-ip

,ale u mnie to jakoś nie zadziałało. Poza tym moja konfiguracja serwera VPN wygląda następująco:

Kod: Zaznacz cały

daemon 
server-bridge 192.168.100.1 255.255.255.0 192.168.100.200 192.168.100.214 
proto udp 
port 1194 
dev tap21 
comp-lzo adaptive 
keepalive 15 60 
verb 3 
client-config-dir ccd 
client-to-client 
ca ca.crt 
dh dh.pem 
cert server.crt 
key server.key 
status-version 2 
status status 

[key]

Przeczytaj jeszcze raz przyklad ktory ci podalem.
Kluczowa jest linia:

client-config-dir /etc/openvpn/ccd

Ta linijka mowisz, ze w katalogu /etc/openvpn/ccd znajduja sie pliki konfiguracyjne klientow.

Dla certyfikatu "swinkamorska" wklejasz w /etc/openvpn/ccd plik o nazwie swinkamorska i w nim piszesz cala konfiguracje dla tego klienta. Czyli jesli tam wpiszesz:

Kod: Zaznacz cały

ifconfig-push 10.9.0.1 10.9.0.2 

to tylko klient "swinkamorska" dostanie taki push.

[gorus1]

Nie doczytałem, ale faktycznie dużo mi wyjaśniłeś. Ten plik w katalogu ccd ma być z rozszerzeniem ovpn, txt czy conf? Zrobię sobie oddzielne configi dla każdego klienta i po sprawie.

[key]

Bez rozszerzenia.