Нужен совет по роутеру (Нужен роутер с поддержкой openvpn)

Ethernet card, Wi-Fi, Bluetooth, IrDA, ADSL-модемы, модемы

Модератор: Модераторы разделов

gesigor
Сообщения: 401
ОС: Fedora 30

Нужен совет по роутеру

Сообщение gesigor »

Здравствуйте! Нужен Ваш совет.
Нужно подобрать роутер, который бы подключался к провайдеру посредством pppoe, затем соединялся к удаленнуму серверу OpenVPN, тем самым объединял сеть за сервером OpenVPN и сеть за этим роутером. Сам опыта с роутерами не имею. Путем гугления, нашел вроде ASUS RT-N16, как один из надежных. Но хотелось бы услышать мнения специалистов. Еще и потому, что описания похожих задач в google не нашел.
OC Centos, FC21
https://gesigor.ru
Спасибо сказали:

Аватара пользователя
daedalus
Сообщения: 127
Статус: толстый полярный лис
ОС: Gentoo-hardened

Re: Нужен совет по роутеру

Сообщение daedalus »

gesigor писал(а):
30.09.2012 17:57
Нужно подобрать роутер, который бы подключался к провайдеру посредством pppoe, затем соединялся к удаленнуму серверу OpenVPN, тем самым объединял сеть за сервером OpenVPN и сеть за этим роутером.

Из готовых решений, работающих "out of the box", советую посмотреть на Mikrotik RB-750.
А вообще, любой роутер, на который можно поставить OpenWRT (в котором поднять openvpn).

Код: Выделить всё

--- /dev/brain
+++ /dev/ass
Спасибо сказали:

gesigor
Сообщения: 401
ОС: Fedora 30

Re: Нужен совет по роутеру

Сообщение gesigor »

Интересная коробочка, но извиняюсь за вопрос, а можно будет в нем настроить одновременно подключение pppoe затем openvpn?
OC Centos, FC21
https://gesigor.ru
Спасибо сказали:

Аватара пользователя
daedalus
Сообщения: 127
Статус: толстый полярный лис
ОС: Gentoo-hardened

Re: Нужен совет по роутеру

Сообщение daedalus »

gesigor

Если вы о Микротике, то да. Внутри полноценная ОС на базе Slackware с некоторыми проприетарными библиотеками и драйверами, но в сети есть инструкции по установке туда Gentoo.

Код: Выделить всё

--- /dev/brain
+++ /dev/ass
Спасибо сказали:

Аватара пользователя
kisil
Сообщения: 204
ОС: Slackware 13,37-14

Re: Нужен совет по роутеру

Сообщение kisil »

daedalus писал(а):
01.10.2012 23:34
gesigor

Если вы о Микротике, то да. Внутри полноценная ОС на базе Slackware с некоторыми проприетарными библиотеками и драйверами, но в сети есть инструкции по установке туда Gentoo.


А чем Слакваре плох??
Спасибо сказали:

Аватара пользователя
daedalus
Сообщения: 127
Статус: толстый полярный лис
ОС: Gentoo-hardened

Re: Нужен совет по роутеру

Сообщение daedalus »

kisil
Там от слаки осталось то, ее перелопатили, назвали MikroTik Router OS и сделали платной (бесплатная версия имеет ограничение на число VLAN'ов и невозможность создания WDS сети), причем цены такие, что финансовый отдел Microsoft нервно курит в сторонке.

Код: Выделить всё

--- /dev/brain
+++ /dev/ass
Спасибо сказали:

gesigor
Сообщения: 401
ОС: Fedora 30

Re: Нужен совет по роутеру

Сообщение gesigor »

Спасибо! осталось его найти, далеко не везде видимо он есть.
OC Centos, FC21
https://gesigor.ru
Спасибо сказали:

Аватара пользователя
daedalus
Сообщения: 127
Статус: толстый полярный лис
ОС: Gentoo-hardened

Re: Нужен совет по роутеру

Сообщение daedalus »

gesigor
Смотрите тут, имхо дешевле не найдете. Сайт и магазин на хорошем счету, без обмана, шлют в регионы после предоплаты.

Единственное что за такую цену Лицензия Mikrotik RouterOS Level 4.
То есть выше транспортного протокола роутер маршрутизировать не будет, хотя для SOHO применения этого вполне достаточно (VLAN, WDS, IGMP, PIM, маршрутизация).

Код: Выделить всё

--- /dev/brain
+++ /dev/ass
Спасибо сказали:

gesigor
Сообщения: 401
ОС: Fedora 30

Re: Нужен совет по роутеру

Сообщение gesigor »

Спасибо! Теперь надо его поизучать.
OC Centos, FC21
https://gesigor.ru
Спасибо сказали:

gesigor
Сообщения: 401
ОС: Fedora 30

Re: Нужен совет по роутеру

Сообщение gesigor »

Здравствуйте! В общем в итоге выбор пал на Asus RT-N10U + DD-WRT + Firmware: DD-WRT v24-sp2 (05/08/11) vpn-small.
Ситуация в итоге такая: Есть сеть в офисе 192.168.1.0, там поднят openvpn (сеть 192.168.100.0). Сеть удаленного офиса 192.168.6.0. Конфиг сервера:

Код: Выделить всё

port 1194
proto tcp-server
dev tap0
tls-server
mode server
tls-auth "/etc/openvpn/keys/ta.key" 0
auth MD5
keepalive 10 120
persist-key
persist-tun
ifconfig 192.168.100.1 255.255.255.0
ifconfig-pool 192.168.100.200 192.168.100.240 255.255.255.0
ifconfig-pool-persist "/etc/openvpn/ipp.txt"
push "route-gateway 192.168.100.1"
push "route 192.168.1.0 255.255.255.0 192.168.100.1"
route 192.168.6.0 255.255.255.0 192.168.100.200
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem
crl-verify /etc/openvpn/keys/crl.pem
keepalive 10 120
comp-lzo
cipher BF-CBC
max-clients 5
user nobody
group nobody
client-to-client
status "/etc/openvpn/log/openvpn-status.log"
log "/etc/openvpn/log/openvpn.log"
log-append "/etc/openvpn/log/openvpn.log"
verb 3

Задача его сначала была такая, давать доступ удаленным клиентам к сети офиса. И он с этой задачей справлялся. Одиночный клиент соединялся с сервером и при этом мог спокойно заходить в интернет.
Один из удаленных офисов (тот самый клиент) расширился. Появилось много компьютеров. И все они должны заходить в сеть головного офиса, но также иметь интернет.
В этом удаленном офисе поставили Asus RT-N10U, подняли там openvpn-клиент.
теперь у компьтеров офиса есть доступ в сеть головного офиса, но сам интернет странно работает. Пинг сайтов идет, nslookup "сайт" также показывает и работает. Браузер, если набрать в адресной строке имя сайта, его откроет, но все сторонние ссылки на нем работать не будут. Например в goolge если набрать слово, он найдет ссылки на сайты, но перейти на эти сайты не получится. Брали одиночный компьютер, подымали там openvpn-клиент, на роутере останавливали службу openvpn, все работает. Было также замечено, роутер работает сначала без openvpn, на компах интернет есть, включаем openvpn, интернет есть. Перегружаем роутер. Все, интернет не работает. Если в браузере выставить прокси головного офиса, интернет работает (но так не пойдет...)
На роутере до поднятия openvpn

Код: Выделить всё

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
212.1.254.126   *               255.255.255.255 UH    0      0        0 ppp0
212.1.254.126   *               255.255.255.255 UH    0      0        0 ppp0
192.168.6.0   *               255.255.255.0       U     0      0        0 br0
169.254.0.0      *               255.255.0.0           U     0      0        0 br0
127.0.0.0          *               255.0.0.0               U     0      0        0 lo
default         b12-z11.ti.ru   0.0.0.0              UG    0      0        0 ppp0

После поднятия:

Код: Выделить всё

212.1.254.126   *                      255.255.255.255 UH    0      0        0 ppp0
212.1.254.126   *                      255.255.255.255 UH    0      0        0 ppp0
192.168.100.0   *                      255.255.255.0       U     0      0        0 tap1
192.168.6.0       *                      255.255.255.0       U     0      0        0 br0
192.168.1.0     192.168.100.1   255.255.255.0      UG    0      0        0 tap1
169.254.0.0       *                     255.255.0.0            U     0      0        0 br0
127.0.0.0           *                     255.0.0.0                U     0      0        0 lo
default         b12-z11.ti.ru      0.0.0.0                  UG    0      0        0 ppp0

На что можно обратить внимание?
OC Centos, FC21
https://gesigor.ru
Спасибо сказали:

gesigor
Сообщения: 401
ОС: Fedora 30

Re: Нужен совет по роутеру

Сообщение gesigor »

Проблему решил, вставив эту строку в настройках iptables роутера.

Код: Выделить всё

iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Но сказать по правде полностью не понял что она делает. Догадываюсь что что-то у меня было с mtu не так. Буду рад, если кто знает, что эта строка делает. google про --clamp-mss-to-pmtu ничего не знает...
OC Centos, FC21
https://gesigor.ru
Спасибо сказали:

Аватара пользователя
Bluetooth
Сообщения: 4395
Статус: Блюзовый
ОС: Debian Squeeze amd64

Re: Нужен совет по роутеру

Сообщение Bluetooth »

Спасибо сказали:

gesigor
Сообщения: 401
ОС: Fedora 30

Re: Нужен совет по роутеру

Сообщение gesigor »

Спасибо! В принципе я уже шел в правильном направлении. Хорошая статья! Доходчиво написано!
OC Centos, FC21
https://gesigor.ru
Спасибо сказали: