ubuntu/debian router bridge....

[franz]

Ja bi to rjesio jednim mikrotikom. Qos rutanje, vpn....

Sent from my PAP4055DUO using Tapatalk

[dalibor.klobucaric]

Ja bi to rjesio jednim mikrotikom. Qos rutanje, vpn....

Sent from my PAP4055DUO using Tapatalk

i ja bi riješio s mikrotikom samo pod
a) nemam mikrotik router (znam da košta nekih 250 kn)
b) neznam se kretat po sistemu (ali planiram naučiti) dodiše ima neka win aplikacija al nije to to

u privitku sam našao sliku kaj točno pokušavam napraviti

[franz]

imas winbox, GUI s kojim ako znas kaj trebas poklikas u par klika
za probu imas iso za skinut.

za pokazat javi pa se poklika, a i routerbordovi trose puuno manje struje pa se nakraju godine isplati uloziti
jedina mana, openvpn mozes spojiti samo preko TCP konekcije i bez lzo kopresije.

[dalibor.klobucaric]

slažem se z tobom, jako je jenostavno, videl sam prije nekog vremena na FOIu je frend držal predavanje na tu temu i fakat je jako zanimljivo... doduše nemam nikakvog iskustva... pa me to kači malo ovak se borim z nekim na čemu znam delati, pa se boksam...

al mortik bi te mogel pelati na pivu da me malo zeduciraš

[drade]

Prema prikazanome, nesto ovakvo bi trebalo omoguciti ono sto zelis postici (doduse, ne znam da li imas jos kakvih pravila u svojim iptables tablicama, stoga pazi na poredak).

Kod: Označi sve

sysctl -w net.ipv4.ip_forward=1
iptables -A FORWARD -i eth0 -o tun0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

EDIT:
Ovo ce ti bas sav promet "furati" preko VPN tunela. Mozda ne bi bilo lose da to granuliras/filtriras prema nekakavim/odredjenim servisima.

[dalibor.klobucaric]

Zahvaljujem samo daj mi malo objasni.

Ako sam dobro shvatil sav promet se routa preko TUN0 devajsa..
sad dal je bitno što ja imam ETH0 i ETH1

jer mi je ETH0 mrežna koja mi je zaštekana na modem i ima izlaz na intenet, a ETH1 mi je zaštekan na AP na koji se kače klienti

par pitanja, prema moj logici ovo mi se dopada, sav promet ide preko TUN0 dal to znači da će i promet preko ETH0 i ETH1 ići preko TUN0?

nadalje, dal mi jedna i druga mrežna moraju biti postavljene sa statičkom adresom?

/etc/network/interfaces

Kod: Označi sve

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
#auto eth0
#iface eth0 inet dhcp

auto eth0
iface eth0 inet static
address 192.168.1.100
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
gateway 192.168.1.1

#dns-nameservers
#dns-search

auto eth1
iface eth0 inet static
address 192.168.1.101
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
gateway 192.168.1.100

Te ako to postavim na ovaj način dal moram reči AP-u da mi je gateway 192.168.1.101
Što bi ujedno značilo da se klient (koji DHCP-jem dobija adresu od AP-a) routa na 192.168.1.101 (ili ti ga ETH1) i onda taj promet ide preko TUN0 tj ETH0 prema internetu tj modemu?

jesmo se dobro razumjeli?

i kak to postaviti da se ta pravila pojave i nakon reboot-a?

EDIT:
još jedno pitanje, dal mi ove naredbe omogućuju da komuniciram sa tim uređajem obostrano, remo portfw-om preko interneta do modema do 192.168.1.100?

jer bi trebal komunicirati sa ETH0 preko te lokalne mreže

[drade]

eth0 mrezno sucelje koje je izlozeno javnoj mrezi, u tom slucaju, bez problema ces moci pristupati tom sucelju, tj. naredbe koje sam ti dao, ne involviraju eth1 u cijeloj prici, niti sprecavaju promet da dolazi do tog sucelja (osim ukoliko nemas nekakavih default pravila koja upravo to cine).

tun0 je virtualno sucelje, a promet putuje preko eth0 do tvog VPS-a.

Dakle,

1. Defaultni gateway ti ostaje isti koji si i imao, taj dio ne moras dirati.
2. Sav promet s tvoje lokalne mreze (izlozeno na sucelju eth1) se proslijedjuje preko tun sucelja dalje (mozes provjeriti naredbom)

Kod: Označi sve

traceroute NESTO

3. Pravila snimas naredbom /etc/init/d/iptables save (to bi trebalo zagarantirati da ce pravila koja si stavio biti primjenjena pri pokretanju sustava; naravno, ukoliko si omogucio iptablesima da je loadaju u tvoj runlevel.
4. Pravila koja sam ti dao, involviraju samo LAN sucelje (u pravilima sam pretpostavio da je eth0 LAN sucelje; zamijeni prema potrebi).

Disekcija pravila:
1.

Kod: Označi sve

iptables -A FORWARD -i eth0 -o tun0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

Kaze, "proslijedi" sav promet koji dolazi s eth0 sucelja na tun0 sucelje.

2.

Kod: Označi sve

iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT

Kaze, "proslijedi" sav promet koji dolazi na tun0 sucelje prema eth0 sucelju (mora ici u oba smjera).

3.

Kod: Označi sve

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Kaze, "maskiraj" sav promet.

Ne znam da li ovo, sto sam gore napisao baca malo svijetla na cijelu pricu.

[dalibor.klobucaric]

Odličan post.. Neizmjerno sam zahvalan.
SAd mi je malo lakše jer razumijem neke stvari, sad se jedino moram boksati kak postaviti AA,
jerbo u njega moram napisati tko mi je gateway.

E sad, dal da u njega upišem IP adresu TUN0 ili ETH1?

[dalibor.klobucaric]

kak bi to moralo funkcionirati?

evo sad sam malo odustal od routera i pokušavam iskonfigurirati interfaces na klientu.
Spojen sam na ovaj novi router/računalo
pa me daj pliz malo educiraj kaj staviti u interfaces file

tnx