Tengo la siguiente topología:
- enrutador (192.168.10.1, 192.168.11.1)
- PÁLIDO - eth1 (1.2.3.4)
- VLAN1 (br-lan) - eth0 (PC1, 192.168.10.2, PC2, 192.168.10.3)
- VLAN2 (br-lantv) - eth2 (Smart TV, 192.168.11.2)
y tengo un cliente OpenVPN en ejecución en el enrutador. Quiero enrutar SÓLO el tráfico de Smart TV (VLAN2) a través del túnel VPN, el resto (enrutador, VLAN1) debería ir directamente a WAN, sin que el televisor se dé cuenta (es bastante tonto y no puedo configurar VPN). cliente en él).
El enrutador ejecuta OpenWRT (turris omnia).
Terminé con lo siguiente:
/etc/config/cortafuegos
config zone
option name 'lan'
list network 'lan'
config zone
option name 'lantv'
list network 'lantv'
config zone
option name 'vpn'
list network 'vpntun0'
config forwarding
option src 'lantv'
option dest 'vpn'
config forwarding
option src 'lan'
option dest 'wan'
/etc/config/red
config interface 'lan'
option ifname 'eth0'
option force_link '1'
option type 'bridge'
option proto 'static'
option netmask '255.255.255.0'
option ip6assign '60'
option ipaddr '192.168.10.1'
config interface 'lantv'
option ifname 'eth2'
option type 'bridge'
option proto 'static'
option netmask '255.255.255.0'
option ipaddr '192.168.11.1'
config interface 'nordvpntun'
option proto 'none'
option ifname 'tun0'
option delegate '0'
config interface 'wan'
option ifname 'eth1'
option proto 'dhcp'
Y termine con la siguiente tabla de enrutamiento:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default 10.7.7.1 128.0.0.0 UG 0 0 0 tun0
default 1.2.3.4 0.0.0.0 UG 0 0 0 eth1
10.7.7.0 * 255.255.255.0 U 0 0 0 tun0
78.45.252.0 * 255.255.255.0 U 0 0 0 eth1
78.45.252.1 * 255.255.255.255 UH 0 0 0 eth1
128.0.0.0 10.7.7.1 128.0.0.0 UG 0 0 0 tun0
173.209.60.43 1.2.3.4 255.255.255.255 UGH 0 0 0 eth1
192.168.10.0 * 255.255.255.0 U 0 0 0 br-lan
192.168.11.0 * 255.255.255.0 U 0 0 0 br-lantv
El tráfico de LAN no puede llegar a Internet.
Intenté lo siguiente:
config forwarding
option src 'lan'
option dest 'vpn'
que enruta todo, incluso desde la PC y el enrutador, a través de VPN, y eso no es deseable.
O
--route-nopulla la configuración de VPN, que terminó sin rutas y se lantvreenvió a vpn, pero terminó allí y no se pudo acceder a Internet.
Lo que probablemente me falta es la forma de definir route default gwuna VLAN específica y configurarla lantvde esa manera. ¿O lo estoy haciendo completamente mal? ¿Se necesita incluso una VLAN independiente? Quiero redirigir un solo dispositivo. ¡Gracias!
Respuesta1
Las declaraciones de "reenvío" en la configuración de luci se relacionan con el firewall (y parece que necesita entradas complementarias para que funcione). Echar un vistazoaquí (OpenWRT WiKi).
Lo que realmente necesita hacer es implementar el enrutamiento basado en políticas (fuente), que se puede configurar mediante reglas y diferentes tablas de enrutamiento. Necesitará iproute2 para hacer eso, y hay un breve documento de instrucciones disponibleaquí (OpenWrt WiKi).