Tomato Dual VLAN (donde uno de ellos tiene un túnel VPN)

Question

Implementé algo como esto recientemente en mi red doméstica, en Tomato (shibby) v138. Aquí hay un diagrama:

Antes de comenzar con la configuración de VPN, inicialmente tenía las redes de 2,4 GHz y 5 GHz en el mismo SSID, llamémoslo "público". La red interna asignó dispositivos a direcciones en el rango 192.168.1.2-254. Esto es lo que ves en la mitad superior del diagrama.

Estos son los cambios que hice para agregar una nueva subred enrutada a través de la VPN:

BajoBásico/Red/LAN, agregué un nuevo puente llamado "br1". Le di la dirección IP 192.168.2.1, máscara de red 255.255.255.0, DHCP habilitado y rango de IP 192.168.2.2-254.
BajoInalámbrico avanzado/virtual, agregué dos nuevas interfaces inalámbricas virtuales, wl0.1 y wl1.1, para las interfaces de 2,4 GHz y 5 GHz respectivamente. Ambos están asignados al nuevo puente "LAN1 (br1)". Les di a ambos el mismo SSID nuevo, por ejemplo, "privado". También puedes darles una contraseña diferente a la de la red pública si lo deseas.
BajoTúnel VPN/Cliente OpenVPN/Básico, Configuré el cliente VPN (mi proveedor de VPN es Private Internet Access, así que seguíesta guía). También habilité "Iniciar con WAN" para que se inicie automáticamente.
BajoTúnel VPN/Cliente OpenVPN/Avanzado, Configuré la opción "Ignorar puerta de enlace de redireccionamiento" para que el cliente no enrute todo a la VPN.
BajoTúnel VPN/Cliente OpenVPN/Política de enrutamiento, Marqué "Redirigir a través de VPN" y agregué una línea con el tipo "Desde IP de origen" y el valor "192.168.2.0/24" para que todos los hosts de la nueva subred se enruten a través de la VPN.

En ese punto, puedo iniciar el cliente VPN, luego elegir un dispositivo inalámbrico, conectarme a la red "privada" y confirmar que mi IP de acceso a Internet está detrás de la VPN, y conectarme a la red "pública" y transmitir Netflix/Amazon Prime. vídeo sin recibir errores de restricción geográfica.

Ahora puede configurar cada dispositivo para que se conecte a cualquiera de los SSID según sus necesidades. En nuestra casa, el transmisor multimedia que transmite Netflix al televisor permanece en la red pública. Mi teléfono y mi computadora portátil se conectan a la red privada. En la mayoría de los casos, debe elegir uno u otro; no desea que el dispositivo se conecte automáticamente a ninguno de los dos de manera arbitraria.

Extras opcionales

Conectarse: Si desea conectar un puerto Ethernet físico a través de la VPN, puede agregar una nueva VLAN enAvanzado/VLANy asígnelo al nuevo puente (br1). En este punto, puede mover uno o más puertos Ethernet físicos del enrutador a su VLAN segura si lo desea. No lo hice, por lo que sólo los clientes inalámbricos podrán unirse a mi subred privada.

Enrutamiento interno: Después de seguir los pasos anteriores, es posible que los clientes de las redes pública y privada no puedan comunicarse entre sí. Configurar la política de enrutamiento del cliente VPN como lo hice anteriormente agrega esta regla:

iptables -t mangle -A PREROUTING -s 192.168.2.0/24 -j MARK --set-mark 311

al script de firewall de tomate. Eso marca cada paquete que se origina en la red 192.168.2.0/24, y todo lo que tiene la marca 311 se enruta a través de la VPN. Esto significaba que cualquier dispositivo en la subred "pública" (192.168.1.0/24) no podía comunicarse con dispositivos en la subred "privada" a través de la red interna, porque aunque la solicitud llegaría, la respuesta se desviaría al VPN y perdido. En mi caso, quería poder acceder a archivos compartidos desde un servidor en la red privada, así que decidí borrar la marca de cualquier cosa que deba enviarse a la red pública. Lo hice agregando la línea:

iptables -t mangle -A PREROUTING -s 192.168.2.0/24 -d 192.168.1.0/24 -j MARK --set-mark 0

aAdministración/Scripts/Firewall. Puede agregar una regla similar para cualquier puerto que desee reenviar al enrutador desde la red privada.

A prueba de fallos: También conocido como "interruptor de apagado", agregué un par de reglas adicionales aAdministración/Scripts/Firewallque están destinados a evitar que cualquier cosa de la red privada vaya a la WAN desprotegida (vlan2). Esto significa que si la VPN se cae por algún motivo, los clientes que se conectan a la red privada no pueden comunicarse accidentalmente a través de la interfaz WAN desprotegida.

iptables -I FORWARD -s 192.168.2.0/24 -o vlan2 -m state --state NEW -j REJECT --reject-with icmp-host-prohibited 
iptables -I FORWARD -p tcp -s 192.168.2.0/24 -o vlan2 -m state --state NEW -j REJECT --reject-with tcp-reset

Answer 1

Implementé algo como esto recientemente en mi red doméstica, en Tomato (shibby) v138. Aquí hay un diagrama:

Antes de comenzar con la configuración de VPN, inicialmente tenía las redes de 2,4 GHz y 5 GHz en el mismo SSID, llamémoslo "público". La red interna asignó dispositivos a direcciones en el rango 192.168.1.2-254. Esto es lo que ves en la mitad superior del diagrama.

Estos son los cambios que hice para agregar una nueva subred enrutada a través de la VPN:

BajoBásico/Red/LAN, agregué un nuevo puente llamado "br1". Le di la dirección IP 192.168.2.1, máscara de red 255.255.255.0, DHCP habilitado y rango de IP 192.168.2.2-254.
BajoInalámbrico avanzado/virtual, agregué dos nuevas interfaces inalámbricas virtuales, wl0.1 y wl1.1, para las interfaces de 2,4 GHz y 5 GHz respectivamente. Ambos están asignados al nuevo puente "LAN1 (br1)". Les di a ambos el mismo SSID nuevo, por ejemplo, "privado". También puedes darles una contraseña diferente a la de la red pública si lo deseas.
BajoTúnel VPN/Cliente OpenVPN/Básico, Configuré el cliente VPN (mi proveedor de VPN es Private Internet Access, así que seguíesta guía). También habilité "Iniciar con WAN" para que se inicie automáticamente.
BajoTúnel VPN/Cliente OpenVPN/Avanzado, Configuré la opción "Ignorar puerta de enlace de redireccionamiento" para que el cliente no enrute todo a la VPN.
BajoTúnel VPN/Cliente OpenVPN/Política de enrutamiento, Marqué "Redirigir a través de VPN" y agregué una línea con el tipo "Desde IP de origen" y el valor "192.168.2.0/24" para que todos los hosts de la nueva subred se enruten a través de la VPN.

En ese punto, puedo iniciar el cliente VPN, luego elegir un dispositivo inalámbrico, conectarme a la red "privada" y confirmar que mi IP de acceso a Internet está detrás de la VPN, y conectarme a la red "pública" y transmitir Netflix/Amazon Prime. vídeo sin recibir errores de restricción geográfica.

Ahora puede configurar cada dispositivo para que se conecte a cualquiera de los SSID según sus necesidades. En nuestra casa, el transmisor multimedia que transmite Netflix al televisor permanece en la red pública. Mi teléfono y mi computadora portátil se conectan a la red privada. En la mayoría de los casos, debe elegir uno u otro; no desea que el dispositivo se conecte automáticamente a ninguno de los dos de manera arbitraria.

Extras opcionales

Conectarse: Si desea conectar un puerto Ethernet físico a través de la VPN, puede agregar una nueva VLAN enAvanzado/VLANy asígnelo al nuevo puente (br1). En este punto, puede mover uno o más puertos Ethernet físicos del enrutador a su VLAN segura si lo desea. No lo hice, por lo que sólo los clientes inalámbricos podrán unirse a mi subred privada.

Enrutamiento interno: Después de seguir los pasos anteriores, es posible que los clientes de las redes pública y privada no puedan comunicarse entre sí. Configurar la política de enrutamiento del cliente VPN como lo hice anteriormente agrega esta regla:

iptables -t mangle -A PREROUTING -s 192.168.2.0/24 -j MARK --set-mark 311

al script de firewall de tomate. Eso marca cada paquete que se origina en la red 192.168.2.0/24, y todo lo que tiene la marca 311 se enruta a través de la VPN. Esto significaba que cualquier dispositivo en la subred "pública" (192.168.1.0/24) no podía comunicarse con dispositivos en la subred "privada" a través de la red interna, porque aunque la solicitud llegaría, la respuesta se desviaría al VPN y perdido. En mi caso, quería poder acceder a archivos compartidos desde un servidor en la red privada, así que decidí borrar la marca de cualquier cosa que deba enviarse a la red pública. Lo hice agregando la línea:

iptables -t mangle -A PREROUTING -s 192.168.2.0/24 -d 192.168.1.0/24 -j MARK --set-mark 0

aAdministración/Scripts/Firewall. Puede agregar una regla similar para cualquier puerto que desee reenviar al enrutador desde la red privada.

A prueba de fallos: También conocido como "interruptor de apagado", agregué un par de reglas adicionales aAdministración/Scripts/Firewallque están destinados a evitar que cualquier cosa de la red privada vaya a la WAN desprotegida (vlan2). Esto significa que si la VPN se cae por algún motivo, los clientes que se conectan a la red privada no pueden comunicarse accidentalmente a través de la interfaz WAN desprotegida.

iptables -I FORWARD -s 192.168.2.0/24 -o vlan2 -m state --state NEW -j REJECT --reject-with icmp-host-prohibited 
iptables -I FORWARD -p tcp -s 192.168.2.0/24 -o vlan2 -m state --state NEW -j REJECT --reject-with tcp-reset

Tomato Dual VLAN (donde uno de ellos tiene un túnel VPN)

Respuesta1

información relacionada