IPTABLES ¿Como poner reglas para VPN?

Iniciado por kanser, 14 Enero 2015, 18:44 PM

0 Miembros y 1 Visitante están viendo este tema.

kanser

Hola a todas y todos  :huh:

Saben que tengo un tp-wr741nd de estos muy baratos, y bien mi onda es que tengo una red abierta muy rapida proporcionada por un centro cultural cerca de mi casa en el cual a veces colaboro.

Claro que no quiero pasar mis datos personales por ahi por que es abierta, entonces como reto de aprendizaje decidi ponerle OpenVPN cliente a mi router OpenWRT y poner una VPN gratuita de VPNgate de primero, despues vere si es mejor pagar por una VPN o ¿que me recomiendan? por ahi tengo acceso a una de riseup.net, pero de momento quiero configurar para que cada laptop o telefono movil que se conecte a mi router tenga que usar esta VPN ¿Esto se puede verdad?

Este router solo tiene 1 antena a si que desde luci escaneé y me conecte modo cliente a esta red, despues cree otra interface wifi ¿esta bien dicho interface? por que es la misma antena solo que se puede usar cliente y master a la vez esto me sorprendio mucho ya que agregue dicha "interface" como master o AP y a esta si que le pude poner un nuevo nombre SSID y WPA2-PSK CCMP AES entonces esta mas o menos asi:

Citar
WLAN ABIERTA ----------------->/      OpenWRT 12.09 una antena       \------------------>Mi PC
"SSID-CULTURA"------------>  < cliente--master (((/\))) "SSID-CASA" >------------------->WPA2-PSK CCMP AES
192.168.1.1                                192.168.1.111   /   \   192.168.30.1                                192.168.30.105
                                                                            /     \

Quiero señalar que soy practicamente nuevo en esto y todo lo que e realizado es leyendo aqui en el foro y manualitos, las siguientes configuraciones por ejemplo las genero la interface luci, ya que no entiendo mucho de lo que pasa ahi pero es genial que puedas tomar una red wlan te conectes como cliente le cambies el nombre al SSID y hasta la encriptacion, ya que con el firmaware de tp-link solo se puede repetir modo bridge y solo con wep. bueno aca las configuraciones actuales.

network
Código (bash) [Seleccionar]

# cat /etc/config/network

config interface 'loopback'
option ifname 'lo'
option proto 'static'
option ipaddr '127.0.0.1'
option netmask '255.0.0.0'

config interface 'lan'
option ifname 'eth0'
option type 'bridge'
option proto 'static'
option netmask '255.255.255.0'
option ipaddr '192.168.30.1'

config interface 'wan'
option ifname 'eth1'
option proto 'dhcp'

config switch
option name 'eth0'
option reset '1'
option enable_vlan '1'

config switch_vlan
option device 'eth0'
option vlan '1'
option ports '0 1 2 3 4'

config interface 'wwan'
option proto 'dhcp'


Código (bash) [Seleccionar]

firewall
# cat /etc/config/firewall

config defaults
option syn_flood '1'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'

config zone
option name 'lan'
option network 'lan'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'

config zone
option name 'wan'
option input 'REJECT'
option output 'ACCEPT'
option forward 'REJECT'
option masq '1'
option mtu_fix '1'
option network 'wan wwan'

config forwarding
option src 'lan'
option dest 'wan'

config rule
option name 'Allow-DHCP-Renew'
option src 'wan'
option proto 'udp'
option dest_port '68'
option target 'ACCEPT'
option family 'ipv4'

config rule
option name 'Allow-Ping'
option src 'wan'
option proto 'icmp'
option icmp_type 'echo-request'
option family 'ipv4'
option target 'ACCEPT'

config rule
option name 'Allow-DHCPv6'
option src 'wan'
option proto 'udp'
option src_ip 'fe80::/10'
option src_port '547'
option dest_ip 'fe80::/10'
option dest_port '546'
option family 'ipv6'
option target 'ACCEPT'

config rule
option name 'Allow-ICMPv6-Input'
option src 'wan'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
list icmp_type 'router-solicitation'
list icmp_type 'neighbour-solicitation'
list icmp_type 'router-advertisement'
list icmp_type 'neighbour-advertisement'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'

config rule
option name 'Allow-ICMPv6-Forward'
option src 'wan'
option dest '*'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'

config include
option path '/etc/firewall.user'



me baje la configuracion de opengate y la corri asi desde la consola ssh del openwrt

Código (bash) [Seleccionar]
/usr/sbin/screen -dmS vpn1 /usr/sbin/openvpn --config /etc/openvpn/1.ovpn --route-nopull --dev tun0 &

donde  /etc/openvpn/1.ovpn es la configuracion que baje de vpngateway y todo corrio bien al menos ahi no mostro errores, creo que solo me falta hacer tal vez una "interface" en /etc/config/network algo asi como "config interface 'VPN_client'" o algo asi y luego crear una zona en firewall y redirigir todo el trafico de salida a la VPN, pero ahi esta mi problema NECESITO AYUDA, no se casi nada de como lograr esto.

¿Alguien me puede ayudar con IPTABLES y laconfiguracion de  /etc/config/network?

O que me suguieren, se puede hacer desde LUCI solo para aprender de modo didactico y luego ir a ver los archivos de configuracion para ver como quedo.

Gracias y feliz muy feliz 2015 lleno de nuevos retos para todos.




hola amigo quiero agregar esto por que tal vez ayude
Código (bash) [Seleccionar]
root@OpenWrt:/etc/openvpn# /usr/sbin/openvpn --config /etc/openvpn/my-vpn.conf --route-nopull --dev tun0 &
root@OpenWrt:/etc/openvpn# Sat Jan 17 13:46:17 2015 OpenVPN 2.2.2 mips-openwrt-linux [SSL] [LZO2] [EPOLL] built on Mar 14 2013
Sat Jan 17 13:46:17 2015 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Sat Jan 17 13:46:17 2015 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sat Jan 17 13:46:17 2015 Control Channel MTU parms [ L:1559 D:140 EF:40 EB:0 ET:0 EL:0 ]
Sat Jan 17 13:46:17 2015 Socket Buffers: R=[87380->131072] S=[16384->131072]
Sat Jan 17 13:46:17 2015 Data Channel MTU parms [ L:1559 D:1450 EF:59 EB:4 ET:0 EL:0 ]
Sat Jan 17 13:46:17 2015 Attempting to establish TCP connection with 121.135.46.36:1444 [nonblock]
Sat Jan 17 13:46:18 2015 TCP connection established with 121.135.46.36:1444
Sat Jan 17 13:46:18 2015 TCPv4_CLIENT link local: [undef]
Sat Jan 17 13:46:18 2015 TCPv4_CLIENT link remote: 121.135.46.36:1444
Sat Jan 17 13:46:18 2015 TLS: Initial packet from 121.135.46.36:1444, sid=3db4d04c 5011f987
Sat Jan 17 13:46:19 2015 VERIFY OK: depth=0, /CN=8948p.net/O=mp56xk_ouggdt22/C=US
Sat Jan 17 13:46:21 2015 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Sat Jan 17 13:46:21 2015 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jan 17 13:46:21 2015 Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Sat Jan 17 13:46:21 2015 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jan 17 13:46:21 2015 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Sat Jan 17 13:46:21 2015 [8948p.net] Peer Connection Initiated with 121.135.46.36:1444
Sat Jan 17 13:46:23 2015 SENT CONTROL [8948p.net]: 'PUSH_REQUEST' (status=1)
Sat Jan 17 13:46:23 2015 PUSH: Received control message: 'PUSH_REPLY,ping 3,ping-restart 10,ifconfig 10.211.1.13 10.211.1.14,dhcp-option DNS 10.211.254.254,dhcp-option DNS 8.8.8.8,route-gateway 10.211.1.14,redirect-gateway def1'
Sat Jan 17 13:46:23 2015 Options error: option 'redirect-gateway' cannot be used in this context
Sat Jan 17 13:46:23 2015 OPTIONS IMPORT: timers and/or timeouts modified
Sat Jan 17 13:46:23 2015 OPTIONS IMPORT: --ifconfig/up options modified
Sat Jan 17 13:46:23 2015 OPTIONS IMPORT: route-related options modified
Sat Jan 17 13:46:23 2015 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Sat Jan 17 13:46:23 2015 TUN/TAP device tun0 opened
Sat Jan 17 13:46:23 2015 TUN/TAP TX queue length set to 100
Sat Jan 17 13:46:23 2015 /sbin/ifconfig tun0 10.211.1.13 pointopoint 10.211.1.14 mtu 1500
Sat Jan 17 13:46:23 2015 Initialization Sequence Completed

o sera que desde el modo grafico se puede hacer dejo una captura de como es mi interface luci

gracias segire investigando


Mod: No hacer doble post.
prefiero amigos que comparten lo poco que saben, que amigos que saben todo y no comparten nada

cpu2

Se hace dificil ayudarte con esos archivos de configuracion, que tal si miras directamente que clase de reglas tienes establecias con iptables.

iptables -nL

para NAT.

iptables -t nat -nL

Si quieres pasame los resultados por privado, hay gente que le da cosa pasarlos publicamente. Igualmente creo que deberias de empezar con algo mas simple.

Yo lo que recomiendo es usar directivas DROP, y de hay ir dejando pasar servicios conexiones y demas.

Un saludo.

kanser

hola gracias por tu respuesta lo he logrado solucionar

ahorita de pronto solo puedo decir que tuve que cambiar este comando

Código (bash) [Seleccionar]
/usr/sbin/screen -dmS vpn1 /usr/sbin/openvpn --config /etc/openvpn/1.ovpn --route-nopull --dev tun0 &

por este

Código (bash) [Seleccionar]
/usr/sbin/openvpn --config /etc/openvpn/1.ovpn tun0 &

aun no ivestigo bien que es --route-nopull --dev para OpenVpn

pero cuando puse este ultimo comando aparecia algo al final de la conexion como nat o algo asi lo reviso cuando lo encienda y lo posteo

gracias
prefiero amigos que comparten lo poco que saben, que amigos que saben todo y no comparten nada