web-dev-qa-db-ja.com

VPNトンネルを1つだけ構成するVLAN

私は次のトポロジーを持っています:

  • ルーター(192.168.10.1、192.168.11.1)
    • WAN-eth1(1.2.3.4)
    • VLAN1(br-lan)-eth0(PC1、192.168.10.2、PC2、192.168.10.3)
    • VLAN2(br-lantv)-eth2(Smart TV、192.168.11.2)

ルーターでOpenVPNクライアントを実行しています。スマートテレビ(VLAN2)からのトラフィックだけをVPNトンネル経由でルーティングしたいのですが、残り(ルーター、VLAN1)は、テレビが気付かないうちに直接WANに送信する必要があります(かなり馬鹿げているため、VPNを構成できません)その上のクライアント)。

ルーターはOpenWRT(turris omnia)を実行しています。

私は次のようになりました:

/ etc/config /ファイアウォール

config zone
  option name 'lan'
  list network 'lan'

config zone
  option name 'lantv'
  list network 'lantv'

config zone
  option name 'vpn'
  list network 'vpntun0'

config forwarding
  option src 'lantv'
  option dest 'vpn'

config forwarding
  option src 'lan'
  option dest 'wan'

/ etc/config/network

config interface 'lan'
        option ifname 'eth0'
        option force_link '1'
        option type 'bridge'
        option proto 'static'
        option netmask '255.255.255.0'
        option ip6assign '60'
        option ipaddr '192.168.10.1'

config interface 'lantv'
        option ifname 'eth2'
        option type 'bridge'
        option proto 'static'
        option netmask '255.255.255.0'
        option ipaddr '192.168.11.1'

config interface 'nordvpntun'
        option proto 'none'
        option ifname 'tun0'
        option delegate '0'

config interface 'wan'
        option ifname 'eth1'
        option proto 'dhcp'

そして、次のルーティングテーブルになります。

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         10.7.7.1        128.0.0.0       UG    0      0        0 tun0
default         1.2.3.4         0.0.0.0         UG    0      0        0 eth1
10.7.7.0        *               255.255.255.0   U     0      0        0 tun0
78.45.252.0     *               255.255.255.0   U     0      0        0 eth1
78.45.252.1     *               255.255.255.255 UH    0      0        0 eth1
128.0.0.0       10.7.7.1        128.0.0.0       UG    0      0        0 tun0
173.209.60.43   1.2.3.4         255.255.255.255 UGH   0      0        0 eth1
192.168.10.0    *               255.255.255.0   U     0      0        0 br-lan
192.168.11.0    *               255.255.255.0   U     0      0        0 br-lantv

LANからのトラフィックはインターネットに到達できません。

私は以下を試しました:

config forwarding
  option src 'lan'
  option dest 'vpn'

これは、PCやルーターからVPNを介してすべてをルーティングしますが、これは望ましくありません。

OR

--route-nopullをVPNconfigに転送すると、ルートがなくなり、lantvvpnに転送されましたが、そこで終了し、インターネットにアクセスできませんでした。

私がおそらく見逃しているのは、特定のVLANに対してroute default gwを定義し、そのようにlantvを構成する方法です。それとも私はそれを完全に間違っていますか?個別のVLANも必要ですか?単一のデバイスのみを再ルーティングしたいのですが。ありがとうございます。

networkingroutervpnopenwrt
3
nothrow

Luci構成の「転送」ステートメントは、ファイアウォールに関連しています(これを機能させるには、補完的なエントリが必要なようです)。見てください here(OpenWRT WiKi)

本当に必要なのは、ポリシー(ソース)ベースのルーティングを実装することです。これは、ルールとさまざまなルーティングテーブルを使用して構成できます。これを行うにはiproute2が必要であり、短いHowToドキュメントが利用可能です here(OpenWrt WiKi)

2
Carlos Mendioroz