[Megoldva] OpenWrt +Multi-WAN +OpenVPN +DNS forward

 ( ace | 2012. február 16., csütörtök - 19:32 )

Sziasztok!

Problematikám a fenti felállással.
- A MultiWAN megy rendesen elsődleges kapcsolat kábelmodem (wan), másodlagos wifi wan (wwan). Ha nincs a wan átáll wwan-ra, és vissza a wan-ra ha megjön a kapcsolat.
- OPenVPN server is elindul, a kliens csatlakozik hozzá. (Ez csak a wan porton megy (jelenleg))

1.) A gondok itt kezdődnek A szerver oldalról próbálom a kliens hálót elérni, nem megy amíg a wwan-t le nem kapcsolom, utána vissza is kapcsolhatom, megy továbbra is. ???
2.) Hiába írom be az /etc/config/dhcp
config 'dnsmasq'
...
...
list 'server' '/foo.bar/dns1_ip'
list 'server' '/foo.bar/dns2_ip'
Nincs hatása.

nslookup host1.foo.bar
Server: 127.0.0.1
Address 1: 127.0.0.1 localhost.
nslookup: can't resolve 'host1.foo.bar': Name or service not known

Tplink wr-1043nd / OpenWrt Backfire 10.03.1-RC6

5let merre tovább, google első "pár" találaton már megvolt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

route problémára tippelnék. route táblát nézd meg.

Az egyetlen eltérés, hogy a 2 utolsó ruote felcserélve jelenik meg.
route -n

Amikor jó:
0.0.0.0 wan_gw_ip 0.0.0.0 UG 0 0 0 eth0.2
0.0.0.0 wwan_gw_ip 0.0.0.0 UG 0 0 0 wlan1

Amikor rossz: (boot után)
0.0.0.0 wwan_gw_ip 0.0.0.0 UG 0 0 0 wlan1
0.0.0.0 wan_gw_ip 0.0.0.0 UG 0 0 0 eth0.2

Az internet közben ok.

Most azt csináltam, hogy leállítottam a multiwant majd elindítottam, és utána jó lett, a route tábla, pedig ugyanaz mint boot után, amikor nem ment.
---
Egy anlgaii etegyem ktuasátai szenirt nem szimát melyin serenrodbn vnanak a bteűk egy szbóan, az etegyeln ftonos dloog, hogy az eslő és az ultosó bteűk a hölyeükn lneegyek. A tböbi bteű lheet tljees össze-vabisszásagn, mgiés porbléma nlkéül oalvsahtó

Akkor nézd meg a traffic rule-t hátha ott van valami probléma.

A multiwan config így néz ki nálam. Ami lehet, hogy kevés első configom mentor by google :)

config 'multiwan' 'config'
	option 'health_monitor' 'serial'
	option 'default_route' 'wan'

config 'interface' 'wan'
	option 'weight' '10'
	option 'health_interval' '10'
	option 'icmp_hosts' 'dns'
	option 'timeout' '3'
	option 'health_fail_retries' '3'
	option 'health_recovery_retries' '5'
	option 'dns' 'auto'
	option 'failover_to' 'wwan'

config 'mwanfw'

	option 'wanrule' 'wan'

config 'interface' 'wwan'
	option 'timeout' '3'
	option 'health_fail_retries' '3'
	option 'health_recovery_retries' '5'
	option 'dns' 'auto'
	option 'weight' '10'
	option 'health_interval' '10'
	option 'icmp_hosts' 'dns'
	option 'failover_to' 'wan'

Ezt próbáld ki, hátha:
http://www.guideband.com/datasheets/EQ-NR-041-guide.pdf

Én ebből hiányolok több sort, hogy miért nincs minden átengedve. (nekem ebből az jön le, hogy a wan-ról minden engedve de a wwan-ról meg semmi).

config 'mwanfw'
option 'wanrule' 'wan'

Esetleg egy firewall és egy network-ot is tudnál mutatni?

Ha van elég helyed akkor lehet érdemes lenne bekapcsolni egy rövid időre a debug-ot hátha ír valamit
config 'multiwan' 'config'
option 'default_route' 'wan'
option 'debug' '1'

Ezt a leírást megtaláltam én is, ha az ebben szereplő traffic roule-t állítom be akkor az ilyen lesz:

config 'mwanfw'
	option 'wanrule' 'wan'
	option 'ports' '80'

Esetleg felvehetem a szabályt mindkét wan if-re.

Az éltérés, ha jól látom a jelenlegi, és a linkelten lévő közt:
A leírásban 2 fw zóna van 1 helyett ami szerintem felesleges, mert midkét wan-ra u.a a szabályok vonatkoznak, és nem is a FW-ben akad el, hanem a tun0 helyett a wan if-re megy a forgalom. Olyan mintha a multiwan "nem venné észre", hogy felépült a vpn kapcsolat, és nem a def gw-re kellene a csomagokat küldenie.

Config: http://pastebin.com/TV9SDd1V

Nem kell felvenned a szabályt mind2 wan if-re mert a configodba ez van:

config 'zone'
option 'name' 'wan'
option 'input' 'REJECT'
option 'output' 'ACCEPT'
option 'forward' 'REJECT'
option 'masq' '1'
option 'mtu_fix' '1'
option 'network' 'wan wwan'

Emiatt egy zóna a wan és wwan-t, csak ezt a config látása előtt nem tudtam.

Viszont amit írtak itt az azonos metricről, azt lehet érdemes lenne átírni:

config 'interface' 'wan'
option 'ifname' 'eth0.2'
option 'proto' 'dhcp'
option 'macaddr' '00:00:00:00:00:00'
option 'metric' '10'
option 'peerdns' '0'
option 'defaultroute' '0'
list 'dns' '208.67.222.222'
list 'dns' '208.67.220.220'
list 'dns' '8.8.8.8'
list 'dns' '8.8.4.4'

Itt nézz körül:
https://forum.openwrt.org/viewtopic.php?pid=150015

Kipróbáltam, játszottam a metrikákkal is, nem volt hatással az eredményre.
A "megoldást" lentebb leírtam, nem szép, de működik.
A másik problémára nincs valami ötleted?

---
Egy anlgaii etegyem ktuasátai szenirt nem szimát melyin serenrodbn vnanak a bteűk egy szbóan, az etegyeln ftonos dloog, hogy az eslő és az ultosó bteűk a hölyeükn lneegyek. A tböbi bteű lheet tljees össze-vabisszásagn, mgiés porbléma nlkéül oalvsahtó

A 2. problémánál a felületen próbáld meg kitölteni a dns szervert, mert a luci scriptje általában helyesen tölti ki a confot. Nekem a wifit nem ismerte fel sehogy se, pedig a configokat lementettem a régi rendszerből még mielőtt upgradeltem backfire-re mert ott már máshogy kellett a beállításokat a configba beírni.

Érsd:
régi:
onfig wifi-iface
option device radio
option network lan

backfire:
config 'wifi-iface'
option 'device' 'radio0'
option 'network' 'lan'

Pedig a backfire howto ja is azt mondja, hogy a wifi detect eredményét irányítsam be a wireless-be, de azzal se ment. Szeretem mikor apró változások miatt szopok órákat :) Egy próbát megér a felület is.

Ok megnézem, bár a luci-n látszik amit a file-ba írtam, és a dnsmasq restart se jelez hibát.

A webes felülettel nekem pont ellentétes tapasztalataim vannak, az backfire rc5-nél több órámba telt mire a wifi wwant és lant sikerült összekattogtatnom, mert az egyik mindig szétverte a másikat, most csak bemásoltam az rc6-ba és egyből ment, a VPN-nél nincs is az összes opció a webes felületen.

Közben újabb hibát is találtam, hiába wan a wwan if. beállítva, hogy No bring of boot (auto 0), simán felhúzza.
---
Egy anlgaii etegyem ktuasátai szenirt nem szimát melyin serenrodbn vnanak a bteűk egy szbóan, az etegyeln ftonos dloog, hogy az eslő és az ultosó bteűk a hölyeükn lneegyek. A tböbi bteű lheet tljees össze-vabisszásagn, mgiés porbléma nlkéül oalvsahtó

Sajna ez sem segített.
---
Egy anlgaii etegyem ktuasátai szenirt nem szimát melyin serenrodbn vnanak a bteűk egy szbóan, az etegyeln ftonos dloog, hogy az eslő és az ultosó bteűk a hölyeükn lneegyek. A tböbi bteű lheet tljees össze-vabisszásagn, mgiés porbléma nlkéül oalvsahtó

lehet nem jól értem, de nekem logikusnak tűnik.

a két route táblába alapján azonos metrikkel? van a két default route. Te rákapcsolódsz a wanra a wwanon meg megy a válasz. ( nem ismerem az openwrt-t de azonos routemetrik mellett loadbalance illik.) Ha lekapcsolod a wwant kiker

ül a route táblából , felépül a session és boldogság van.

A " ossz" tábla azt mutatja a wwan a precedencuaelőnyös default route.

Tipp : ronsd le a wwan metricet, de a failover vigye a want ez alá
Ha mukszik a failover és visszajön a wan, visszaveszi a routingot.

Csináltam tcpdump-ot és csak a wan-on megy a forgalom a wwan-on nem.

És nem is kell kikapcsolnom a wwan-t, elég ha a multiwan restrat a vpn után kapcsolódás után. Akkor a route tábla nem változik, de elkezd működni.

Meg a vpn-en belüli forgalomnak nem is a default route-ra kéne mennie hanem a
192.168.xxx.0 10.xx.xx.xx 255.255.256.0 UG 0 0 0 tun0

Ha nincs kimenő a wwan-on, akkor sorry.

Viszont a tunnelezett forgalom a normál routing alapján megy. a tunnel routinggal csak azt adod meg mit terelsz a tunnelbe.

Igen, és a gond, hogy nem terelődik be a tunnel-be multiwan restart-ig, hiába van ott a routing táblában.

Mi történik, ha nem a failovert rúgod meg, hanem a vpn-t?

Semmi, sőt ha ment a vpn, és újraindítottam akkor utána ismét kell a multiwan restart.

A "megoldás" a vpn initscript-be satrt kap egy restarttot a multiwn.
---
Egy anlgaii etegyem ktuasátai szenirt nem szimát melyin serenrodbn vnanak a bteűk egy szbóan, az etegyeln ftonos dloog, hogy az eslő és az ultosó bteűk a hölyeükn lneegyek. A tböbi bteű lheet tljees össze-vabisszásagn, mgiés porbléma nlkéül oalvsahtó

Mi van a vpn konfigodban?

Ma ha hazaérem elküldőm, de a korábban is működő linux-os vpn server configja van betolva linux formában, meg van egy openwrt-sített változatom is belőle.

---
Egy anlgaii etegyem ktuasátai szenirt nem szimát melyin serenrodbn vnanak a bteűk egy szbóan, az etegyeln ftonos dloog, hogy az eslő és az ultosó bteűk a hölyeükn lneegyek. A tböbi bteű lheet tljees össze-vabisszásagn, mgiés porbléma nlkéül oalvsahtó

config 'openvpn' 'server_id_openwrt_style_config'
	option 'dev' 'tun'
	option 'server' '10.xxx.xxx.0 255.255.255.0'
	option 'proto' 'tcp'
	option 'port' 'xxxx'
	option 'ca' '/etc/openvpn/keys/ca.crt'
	option 'cert' '/etc/openvpn/keys/server_id.crt'
	option 'key' '/etc/openvpn/keys/server_id.key'
	option 'dh' '/etc/openvpn/keys/dh4096.pem'
	option 'tls_auth' '/etc/openvpn/keys/ta.key 0'
	option 'client_config_dir' '/etc/openvpn/ccd'
	option 'client_to_client' '0'
	option 'keepalive' '10 120'
	option 'verb' '3'
	option 'comp_lzo' '1'
	list 'push' 'route 192.168.local_lan.0 255.255.255.0'
	list 'route' '192.168.remote_lan1.0 255.255.254.0'
	list 'route' '192.168.remote_lan1.0 255.255.255.0'
	list 'route' '192.168.remote_lan1.0 255.255.255.0'
	list 'route' '192.168.remote_lan1.0 255.255.255.0'
	option 'enable' '1'

---
Egy anlgaii etegyem ktuasátai szenirt nem szimát melyin serenrodbn vnanak a bteűk egy szbóan, az etegyeln ftonos dloog, hogy az eslő és az ultosó bteűk a hölyeükn lneegyek. A tböbi bteű lheet tljees össze-vabisszásagn, mgiés porbléma nlkéül oalvsahtó

-- dupla --

Egy reggeli tea melletti up.

Itthon vagyok, s újra nekiálltam nyüstölni a router-t, de sajnos nem jövök rá hol b* el, valami 5let?

Esetleg bulvárosítsam :)

Van egy virtualboxos openwrt imagem, mukodo openvpn-el. Érdekel?

Igen köszönöm.
Bár nem a igazán VPN-nel van a gond, az megy hanem a multuwan és dnsmasq-al.
- routing egy multivan restart után megy arra amerre kell.
- a dns forwarder meg nem akarja az igazat.

---
Egy anlgaii etegyem ktuasátai szenirt nem szimát melyin serenrodbn vnanak a bteűk egy szbóan, az etegyeln ftonos dloog, hogy az eslő és az ultosó bteűk a hölyeükn lneegyek. A tböbi bteű lheet tljees össze-vabisszásagn, mgiés porbléma nlkéül oalvsahtó

subscribe

vegulis sikerult megoldani?

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Eddig még nem.
Az új FW-vel még nem volt időm megnézni.

Hátha másnak, vagy akár nekem is a későbbiekben jól jöhet.

DNS forwarding-ra a megoldás:
Rebind protection ki kellett kapcsolni.

option rebind_protection '0'

Hogy ez mi annak utánanézni, ha valakinek van kedve összefoglalhatná pár szóban. THX.

---
Egy anlgaii etegyem ktuasátai szenirt nem szimát melyin serenrodbn vnanak a bteűk egy szbóan, az etegyeln ftonos dloog, hogy az eslő és az ultosó bteűk a hölyeükn lneegyek. A tböbi bteű lheet tljees össze-vabisszásagn, mgiés porbléma nlkéül oalvsahtó

Kulturáltabban:

/etc/config/dhcp
.....
option rebind_protection '1'
list server '/foo.bar/192.168.xxx.xxx'
list server '/foo.bar/192.168.xxx.xxx'
list server '8.8.8.8'
list server '8.8.4.4'
list rebind_domain 'foo.bar'
.....

---
Egy anlgaii etegyem ktuasátai szenirt nem szimát melyin serenrodbn vnanak a bteűk egy szbóan, az etegyeln ftonos dloog, hogy az eslő és az ultosó bteűk a hölyeükn lneegyek. A tböbi bteű lheet tljees össze-vabisszásagn, mgiés porbléma nlkéül oalvsahtó