1つのVLANのみにVPNトンネルを設定する

tag-icon tag-icon networking router vpn openwrt
1つのVLANのみにVPNトンネルを設定する

次のようなトポロジがあります:

  • ルーター (192.168.10.1、192.168.11.1)
    • WAN - eth1 (1.2.3.4)
    • VLAN1 (br-lan) - eth0 (PC1、192.168.10.2、PC2、192.168.10.3)
    • VLAN2 (br-lantv) - eth2 (スマートテレビ、192.168.11.2)

ルーター上で OpenVPN クライアントを実行しています。スマート TV (VLAN2) からのトラフィックのみを VPN トンネル経由でルーティングし、残り (ルーター、VLAN1) は TV に気付かれることなく直接 WAN に送信されるようにします (これはかなり愚かな方法で、VPN クライアントを構成できません)。

ルータは OpenWRT (turris omnia) を実行しています。

最終的に次のようになりました:

/etc/config/ファイアウォール

config zone
  option name 'lan'
  list network 'lan'

config zone
  option name 'lantv'
  list network 'lantv'

config zone
  option name 'vpn'
  list network 'vpntun0'

config forwarding
  option src 'lantv'
  option dest 'vpn'

config forwarding
  option src 'lan'
  option dest 'wan'

/etc/config/ネットワーク

config interface 'lan'
        option ifname 'eth0'
        option force_link '1'
        option type 'bridge'
        option proto 'static'
        option netmask '255.255.255.0'
        option ip6assign '60'
        option ipaddr '192.168.10.1'

config interface 'lantv'
        option ifname 'eth2'
        option type 'bridge'
        option proto 'static'
        option netmask '255.255.255.0'
        option ipaddr '192.168.11.1'

config interface 'nordvpntun'
        option proto 'none'
        option ifname 'tun0'
        option delegate '0'

config interface 'wan'
        option ifname 'eth1'
        option proto 'dhcp'

最終的に次のルーティング テーブルが作成されます。

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         10.7.7.1        128.0.0.0       UG    0      0        0 tun0
default         1.2.3.4         0.0.0.0         UG    0      0        0 eth1
10.7.7.0        *               255.255.255.0   U     0      0        0 tun0
78.45.252.0     *               255.255.255.0   U     0      0        0 eth1
78.45.252.1     *               255.255.255.255 UH    0      0        0 eth1
128.0.0.0       10.7.7.1        128.0.0.0       UG    0      0        0 tun0
173.209.60.43   1.2.3.4         255.255.255.255 UGH   0      0        0 eth1
192.168.10.0    *               255.255.255.0   U     0      0        0 br-lan
192.168.11.0    *               255.255.255.0   U     0      0        0 br-lantv

LAN からのトラフィックはインターネットに到達できません。

以下を試しました:

config forwarding
  option src 'lan'
  option dest 'vpn'

これにより、PC やルーターからでもすべてが VPN 経由でルーティングされるため、望ましくありません。

または

--route-nopullVPN 構成ではルートがなく、 はlantvに転送されましたvpnが、そこで終了し、インターネットに到達できなくなりました。

route default gwおそらく、特定の VLAN を定義してそのように構成する方法がわかりませんlantv。それとも、完全に間違っているのでしょうか? 個別の VLAN は必要なのでしょうか? 単一のデバイスのみを再ルーティングしたいのです。ありがとうございます!

答え1

luci 設定の「転送」ステートメントはファイアウォールに関連しています (そして、それが機能するには補完的なエントリが必要であると思われます)。 見てみましょうこちら(OpenWRT WiKi)

本当に必要なのは、ポリシー(ソース)ベースのルーティングを実装することです。これは、ルールとさまざまなルーティングテーブルを使用して構成できます。これを行うにはiproute2が必要です。簡単なHowToドキュメントが用意されています。こちら(OpenWrt WiKi)

関連情報