Пустить в интернет через openvpn только 1 физический порт

Обсуждение оборудования и его настройки
Ответить
nefton
Сообщения: 2
Зарегистрирован: 03 авг 2022, 12:02

03 авг 2022, 12:51

Добрый день. Хотел пустить в интернет через openvpn только eth5 с роутера (RB951Ui-2Hnd). Тоесть любой компьютер к нему подключенный должен выходить в сеть через openvn.

Что сделал: (сори не все действия уже помню :( )
1. создал новый мост (bridge_eth5), Интерфейс ether5 отключил от bridge (по дефолту) и подключил к bridge_eth5
итого есть 2 бриджа brdge_2_3_4_w и brighe_eth5
2. Создал дополнительный DHCP сервер для bridge_eth5 который выдает айпи 192.168.66.2 - 254
3. Назначил интерфейсу ether5 адреса 192.168.66.1/24 во вкладке IP->Adresses
На этом этапе роутер и подключенный комп к eth5 стали взаимно пинговатся

4. Подключил опенвн в НьюЁрке (потом будет важно). статус connected, на вкладке статуса у етого подключения ни ай пи ни сеть не показывается,
но в IP->Adresses появилась запись про присвоенный адресс 192.168.100.20 маске 255,255,255,0 и интерфейсе NY_VPN
+ появился роут в записях 192,168,100,0/24 NY_VPN reacheble dist = 1
Так же взаимно пингуются openvpn сервер и роутер

5. Проверил настройку сервера просто на компе, подключенному к eth4 (обычному) - все работает, пинг 125мс, скорости под 70Mbit обе и закачка и загрузка

Дальше идут действия в которых гложат смутные сомнения

6. На вкладке Firewall->Mangle добавил запись
chain: prerouting
srs_adresses: 192.168.66.0/24
action: mark_routing
mark: eth5_only_mark

пс. пробовал наблюдать за счетчиками пакетов в фарволе а так же отключать запрещающие правила - без результатно

7. Добавил Firewall->NAT
chain: srcnat
Src adresses: 192.168.66.0/24
Out_interface: NY_VPN
action: masquarade

8. Добавил дефаулт роут
Dst_addresses: 0.0.0.0/0
Gateway NY_VPN
distance 1
Routing_mark: eth5_only_mark

В результате чтото очень странное, на компе подключенному к eth5:
интернет есть частично. speedtest показывает пинг 284мс (вдвое выше чем раньше)
загрузка 24Mb
upload: 0!!!!
так же не получается закачать картинку на гугл картинки... виснет безбожно
да и вообще тормозит очень сильно


KaNelam
Сообщения: 495
Зарегистрирован: 11 июл 2017, 13:03

04 авг 2022, 19:52

nefton писал(а):
03 авг 2022, 12:51
Добрый день. Хотел пустить в интернет через openvpn только eth5 с роутера (RB951Ui-2Hnd). Тоесть любой компьютер к нему подключенный должен выходить в сеть через openvn.

Что сделал: (сори не все действия уже помню :( )
1. создал новый мост (bridge_eth5), Интерфейс ether5 отключил от bridge (по дефолту) и подключил к bridge_eth5
итого есть 2 бриджа brdge_2_3_4_w и brighe_eth5
2. Создал дополнительный DHCP сервер для bridge_eth5 который выдает айпи 192.168.66.2 - 254
3. Назначил интерфейсу ether5 адреса 192.168.66.1/24 во вкладке IP->Adresses
На этом этапе роутер и подключенный комп к eth5 стали взаимно пинговатся

4. Подключил опенвн в НьюЁрке (потом будет важно). статус connected, на вкладке статуса у етого подключения ни ай пи ни сеть не показывается,
но в IP->Adresses появилась запись про присвоенный адресс 192.168.100.20 маске 255,255,255,0 и интерфейсе NY_VPN
+ появился роут в записях 192,168,100,0/24 NY_VPN reacheble dist = 1
Так же взаимно пингуются openvpn сервер и роутер

5. Проверил настройку сервера просто на компе, подключенному к eth4 (обычному) - все работает, пинг 125мс, скорости под 70Mbit обе и закачка и загрузка

Дальше идут действия в которых гложат смутные сомнения

6. На вкладке Firewall->Mangle добавил запись
chain: prerouting
srs_adresses: 192.168.66.0/24
action: mark_routing
mark: eth5_only_mark

пс. пробовал наблюдать за счетчиками пакетов в фарволе а так же отключать запрещающие правила - без результатно

7. Добавил Firewall->NAT
chain: srcnat
Src adresses: 192.168.66.0/24
Out_interface: NY_VPN
action: masquarade

8. Добавил дефаулт роут
Dst_addresses: 0.0.0.0/0
Gateway NY_VPN
distance 1
Routing_mark: eth5_only_mark

В результате чтото очень странное, на компе подключенному к eth5:
интернет есть частично. speedtest показывает пинг 284мс (вдвое выше чем раньше)
загрузка 24Mb
upload: 0!!!!
так же не получается закачать картинку на гугл картинки... виснет безбожно
да и вообще тормозит очень сильно
на 5й порт повесить адрес+dhcp-server (если нужен)
натсройить дефроут с новой ьалицей маршрутизации в опнвпн+нат для этой таблицы


Аватара пользователя
podarok66
Модератор
Сообщения: 4175
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

06 авг 2022, 13:51

1-4 шаги нормально Не увидел пула адресов, назначили или нет? Сеть на вкладке Network прописали у dhcp-server'а? Роут я обычно стараюсь прописать на конкретный адрес, а не на интерфейс. Гетвей же у вашего туннеля один и тот же? Дальше осталось прописать правило маскарадинга, где всю сеть 192.168.66.0/24 надо направить через ваш туннель. И всё уже должно работать...

Код: Выделить всё

/ip firewall nat 
add action=masquerade chain=srcnat src-address=192.168.66.0/24 out-interface=openvpn_tunnel
Если после такого есть проблемы, только просмотр всего конфига, и никак иначе. Вы там своими экспериментами уже, поди такого наделали...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
nefton
Сообщения: 2
Зарегистрирован: 03 авг 2022, 12:02

Вчера, 09:49

podarok66 писал(а):
06 авг 2022, 13:51
Не увидел пула адресов, назначили или нет? Сеть на вкладке Network прописали у dhcp-server'а?
Да, DHCP выдает адресс из пула 192.168.66.2 - 192.168.66.254
podarok66 писал(а):
06 авг 2022, 13:51
Роут я обычно стараюсь прописать на конкретный адрес, а не на интерфейс.
В том был и смысл задумки что любой компьютер физически воткнутый в 5й порт будет идти в сеть через впн. Захотел впн - физически перетыкнул и вуаля.
podarok66 писал(а):
06 авг 2022, 13:51
Гетвей же у вашего туннеля один и тот же?
Вот тут начинается непонятность. Есть PPP интерфейс NY_VPN. У него в свойствах нигде нет гетевея. Есть только статус connected. Гетеваи есть только в таблице маршрутизации. Притом одной. Где найти/настроить вторую/другую не пойму
Изображение


Ответить