Ich habe folgende Topologie:
- Router (192.168.10.1, 192.168.11.1)
- WAN - eth1 (1.2.3.4)
- VLAN1 (br-lan) – eth0 (PC1, 192.168.10.2, PC2, 192.168.10.3)
- VLAN2 (br-lantv) – eth2 (Smart-TV, 192.168.11.2)
und ich habe einen OpenVPN-Client auf dem Router laufen. Ich möchte NUR den Datenverkehr vom Smart TV (VLAN2) durch den VPN-Tunnel leiten, der Rest (Router, VLAN1) sollte direkt zum WAN gehen, ohne dass der Fernseher es überhaupt bemerkt (das ist ziemlich dumm und ich kann keinen VPN-Client darauf konfigurieren).
Auf dem Router läuft OpenWRT (Turris Omnia).
Am Ende kam ich zu Folgendem:
/etc/config/firewall
config zone
option name 'lan'
list network 'lan'
config zone
option name 'lantv'
list network 'lantv'
config zone
option name 'vpn'
list network 'vpntun0'
config forwarding
option src 'lantv'
option dest 'vpn'
config forwarding
option src 'lan'
option dest 'wan'
/etc/config/netzwerk
config interface 'lan'
option ifname 'eth0'
option force_link '1'
option type 'bridge'
option proto 'static'
option netmask '255.255.255.0'
option ip6assign '60'
option ipaddr '192.168.10.1'
config interface 'lantv'
option ifname 'eth2'
option type 'bridge'
option proto 'static'
option netmask '255.255.255.0'
option ipaddr '192.168.11.1'
config interface 'nordvpntun'
option proto 'none'
option ifname 'tun0'
option delegate '0'
config interface 'wan'
option ifname 'eth1'
option proto 'dhcp'
Und am Ende erhalten Sie die folgende Routing-Tabelle:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default 10.7.7.1 128.0.0.0 UG 0 0 0 tun0
default 1.2.3.4 0.0.0.0 UG 0 0 0 eth1
10.7.7.0 * 255.255.255.0 U 0 0 0 tun0
78.45.252.0 * 255.255.255.0 U 0 0 0 eth1
78.45.252.1 * 255.255.255.255 UH 0 0 0 eth1
128.0.0.0 10.7.7.1 128.0.0.0 UG 0 0 0 tun0
173.209.60.43 1.2.3.4 255.255.255.255 UGH 0 0 0 eth1
192.168.10.0 * 255.255.255.0 U 0 0 0 br-lan
192.168.11.0 * 255.255.255.0 U 0 0 0 br-lantv
Der Datenverkehr vom LAN kann das Internet nicht erreichen.
Ich habe Folgendes versucht:
config forwarding
option src 'lan'
option dest 'vpn'
die alles, sogar vom PC und Router, über VPN leitet, und das ist unerwünscht.
ODER
--route-nopullzur VPN-Konfiguration, die ohne Routen endete, und die lantvwurde an weitergeleitet vpn, aber sie endete dort und das Internet war nicht erreichbar.
Was mir wahrscheinlich fehlt, ist die Art und Weise, wie man route default gwein bestimmtes VLAN definiert und lantvauf diese Weise konfiguriert. Oder mache ich es völlig falsch? Ist ein separates VLAN überhaupt erforderlich? Ich möchte nur ein einzelnes Gerät umleiten. Danke!
Antwort1
Die "Forwarding"-Anweisungen in der Luci-Konfiguration beziehen sich auf die Firewall (und es scheint, dass Sie ergänzende Einträge benötigen, damit es funktioniert). Schauen Sie sich das anhier (OpenWRT WiKi).
Was Sie wirklich tun müssen, ist Policy (source) Based Routing zu implementieren, das mithilfe von Regeln und verschiedenen Routing-Tabellen konfiguriert werden kann. Dazu benötigen Sie iproute2, und ein kurzes HowTo-Dokument ist verfügbarhier (OpenWrt WiKi).