-
Fototrend
OpenWrt topic
Új hozzászólás Aktív témák
-
vampire17
addikt
Sziasztok!
Adott egy OpenWRT es egy OPNSense. Wireguard VPN-el vannak osszelove. A VPN kapcsolat el, a a ket router/tuzfal a VPN ip-jukkel tudjak egymast pingelni (192.168.2.1, 192.168.2.4)
Viszont sem a az OpenWRT sem az OPNSense LAN halozatabol nem tudok atpingelni a masikba.
A ket alhalozat:
OPNSense 192.168.1.0/24
OpenWRT: 192.168.3.0/24
VPN alhalozat: 192.168.2.0/24Nyilvan a valasz az a Static route es/vagy firewall roule-ok, visoznt ma mar minden logikus beallitast vegigzongoraztunk... esetleg valaki le tudna irni legalabb OpenWRT szintaktikaval, hogy milyen szabalyok kellenek, hogy ez mukodjon? (Az elv alapjan mar csak sikerul atforgatni OPNSense szintaktikara, vagy max azzal a kerdessel megyek egy masik topicba...
)Kiegeszites: Mindket oldalon, a wireguard peer beallitasanal engedelyezve van, hogy belelasson az adott oldal LAN jaba. (az opnsense nel latszik is, hogy ez a resz letrehozza a megfelelo static rule-t, gondolom ezt az OPNsense is megcsinalja)
A legfurabb az, hogy meg pl az OpenWRT -rol sem tudom pingelni a az OPNSense LAN ip tartomanyat... (meg magat az OPNSense LAN ip-jet sem) pedig mondjuk egy telefonos wireguardal siman bepingelek ebbe a LAN-ba.
-
vampire17
addikt
válasz
vargalex
#2083
üzenetére
Kozben gondolkodtam, ha fizikailag kerded, akkor a kov. felekepp nez ki a dolog.
Van egy router, ami WAN on kapja egy DSL modemmel a netet. a LAN portjain ülnek a kliensek meg AP-k, vegyesen. illetve van rajta egy switch is. (a switch-en is kliensek vannak, meg AP-k)
Az "AP" alatt ertek konkretan Acces Point-ot is, de van rajta ket Router is, switch modban (A LAN jukra megy a halozat) kikapcsolt DHCP-vel...
Szoval, egy van, ami Router, DHCP-vel, stb... a tobbi vagy kliens, vagy AP, vagy Switch modban egyeb router.
A confignak ugy kene kineznie, hogy a fo-routeren engedelyezett MAC-ek mehessenek netre, a tobbi nem. Szoval egy sima white list. ami miatt nem jo a beepitett wifi white list, az az AP-k es a tobbi, switch modban futo router miatt van. Mivel ha a fo routeren beallitom a white list-et, a tobbi eszkozrol csatlakozva(AP-k, switch modban futo routerek) vigan lehet nezetni....
-
vampire17
addikt
válasz
vargalex
#2076
üzenetére
hali!
talaltam egy ilyet:
https://forum.openwrt.org/viewtopic.php?pid=57096#p57096
iptables -A forwarding_rule -m mac --mac-source NN:NN:NN:NN:NN:NN - j ACCEPT
iptables -A forwarding_rule -m mac --mac-source MM:MM:MM:MM:MM:MM - j ACCEPT
iptables -A forwarding_rule -j DROPBeirtam a firewall.user -be de igy is kienged barkit a netre.... en mar tenyleg nem tom mi lehet a baj... Az szamit esetleg hogy meg van egy AP is koztem, meg a router kozott ?
-
vampire17
addikt
válasz
vargalex
#2076
üzenetére
Szoval:
Letrehozok egy ilyen szabalyt "Traffic Rules"-nel:
Any TCP+UDP
From any host in lan with source MAC aa:bb:cc:dd:ee:ff
To any host in wanEz ugye lesz "Accept forward"
Ez idaig OK.
Most bemegyek a "general settings"-be majd azt mondom a zone ==> forwardings-nal (A LAN ---> WAN iranynal) hogy a "Allow forward to destination zones: WAN" nal ne legyen pipa.... es igy ott sincs net, ahol kene..
tehat az engedelyezett MAC-nel. -
vampire17
addikt
válasz
vampire17
#2074
üzenetére
Amit irtal, hogy nem kell tilto szabaly azt kitoroltem. Az eredeti leirasban azt irtad, a LAN--->WAN nak a zonaknal ugy kell kineznie, mint a WAN-nak (tehat WAN--->reject) viszont ha igy allitom, akkor egyaltalan nincs net, azokon a gepeken sem, amiknek a MAC cimet felvettem a szabalyoknal...
-
vampire17
addikt
válasz
vargalex
#2073
üzenetére
egy DHCP-n kivuli IP-t (10.50.2.50) adtam neki ugyanabbol a tartomanybol, amiben a router is van (10.50.2.210 a router IP-je)
A MAC szureses temara tudnal meg help-elni?
nem akar mukodni... Letrehoztam az engedelyezett MAC-ek listajat, viszont mit kell kikapcsolnom, vagy letiltanom, hogy a tobbi MAC-en ne legyen net? -
vampire17
addikt
Sziasztok!
Raktam egy PPTPD szervert OpenWRT-re, megy is szepen, de a kliensrol csak a router elerheto a LAN on levo eszkozok nem.
Ime a firevall.user configja:
iptables -A input_wan -p tcp --dport 1723 -j ACCEPT
iptables -A input_wan -p gre -j ACCEPT
iptables -A input_rule -i ppp+ -j ACCEPT
iptables -A forwarding_rule -i ppp+ -j ACCEPT
iptables -A forwarding_rule -o ppp+ -j ACCEPT
iptables -A output_rule -o ppp+ -j ACCEPTKell meg valami, vagy mi miatt nem elerheto a tobbi eszkoz szerintetek?
UI:
Ha kellene, ez az options.pptpd configja:
auth
name "pptp-server"
lcp-echo-failure 3
lcp-echo-interval 60
default-asyncmap
mtu 1482
mru 1482
nobsdcomp
nodeflate
#noproxyarp
#nomppc
chapms-strip-domain
# Otherwise, your chap-secret file will have to include "DOMAIN\\user" instead of user.
mppe required,no40,no56,stateless
require-mschap-v2
refuse-chap
refuse-mschap
refuse-eap
refuse-pap
ms-dns 172.16.1.1
#plugin radius.so
#radius-config-file /etc/radius.conf -
vampire17
addikt
válasz
vargalex
#2056
üzenetére
kozben megoldodott.
Szoval: Elso lepesben kovettem ezt a kis "tutorialt": Link
De ez nem akart összejönni... Hiaba csinaltam a leiras alapjan uj engedelyezest (LAN zonabol adott MAC cimu gep barmilyen host-ot elerhet WAN-on, hogy a kerdesedre valaszoljak
), illetve vettem ki a pipat a LAN ----> WAN tovabbitastol a LAN zoba beallitasainal (hogy LAN->Reject legyen az eredmeny), nem akart menni a net a kivalasztott gepen...Vegul az lett a megoldas, hogy a szabalyoknal letre hoztam az engedelyezett gepek szabalyat, majd a vegen egy tilto szabalyt. Ez volt a kulcs... Ha eloszor hoztam letre a tilto szabalyt, majd az engedelyezeseket, akkor nem ment.... nem gondoltam volna, hogy szamit a sorrend...
-
vampire17
addikt
Uj kerdes.. .ezzel szenvedek egy ideje... firewall ban,traffic rules-al probalok MAC szurest csinalni. Kikapcsoltam a firewall lan zonajaban a "forward destination zones"-t es letrehoztam a traffic rules ban egy egyeni szabaly-t hogy eyg adott mac cimet engedjen wan-ra.
Ez szep is jo, de sajna valamiert nem megy, csak homokorazik a cucc.... (marmint egy tetszoleges weboldal)
-
vampire17
addikt
Sziasztok!
Sikeresen kinyirtam egy TL-WDR4300-at.... letiltottam a lan interfeszen veletlenul a bejovo kapcsolatok engedelyezeset.... probatam a fail-safe modot (kikapcs-bekapcs, kozben a reset gomb 60mp-ig nyomva tart) de sajna nem jott ossze.... Ennel a tipusnal maskepp kell, vagy miert nem megy?
Szetszedni semmikepp sem szeretnem, mondjatok valami okosat....
Új hozzászólás Aktív témák
- sziku69: Fűzzük össze a szavakat :)
- CASIO órák kedvelők topicja!
- Formula-1
- NVIDIA GeForce RTX 5080 / 5090 (GB203 / 202)
- Háztartási gépek
- Forza sorozat (Horizon/Motorsport)
- BestBuy topik
- Kodi és kiegészítői magyar nyelvű online tartalmakhoz (Linux, Windows)
- Soundbar, soundplate, hangprojektor
- Milyen okostelefont vegyek?
- További aktív témák...
- BESZÁMÍTÁS! Sony PlayStation 4 PRO 1TB fekete játékkonzol extrákkal garanciával hibátlan működéssel
- BESZÁMÍTÁS! ASRock Phantom Gaming RX 7900XTX 24GB garanciával hibátlan működéssel
- Apple iPad Pro 12,9 (3. generáció) 64GB Wi-Fi + Cellular használt, karcmentes
- Dell és HP szerver HDD caddy keretek, adapterek. Több száz darab készleten, szállítás akár másnapra
- A Legújabb! Dobozos Új DELL XPS 13 9340/ULTRA 7-155H/32 GB Ram/1TB SSD/AI BOOST+INTEL ARC
Állásajánlatok
Cég: Laptopműhely Bt.
Város: Budapest