Outils pour utilisateurs

Outils du site


openwrt

Openwrt

Quelques réglages utiles

Vpn passthrough

On installe Openvpn (opkg install openvpn) et on le configure.

Ouverture du port UDP 1194 dans le firewall

/etc/config/firewall

config 'rule'
	option 'src' 'wan'
	option 'target' 'ACCEPT'
	option 'proto' 'udp'
	option 'dest_port' '1194'

Lancement automatique du client VPN au démarrage du routeur

Tous les réglages de Openvpn sont dans /etc/openvpn/*.conf

/etc/openvpn/my_vpn_script

#!/bin/sh
#cd /etc/openvpn/
openvpn --daemon --config /etc/openvpn/config_file.conf # remplacer 'config_file' par le nom du fichier de conf.

/etc/init.d/openvpn

#!/bin/sh /etc/rc.common
# OpenVPN init script
# Copyright (C) 2008 Jo-Philipp Wich
# This is free software, licensed under the GNU General Public License v2.
# See /LICENSE for more information.
# $Id$

START=95
BIN=/usr/sbin/openvpn
SSD=start-stop-daemon

start() {
	/etc/openvpn/my_vpn_script
	}
	
	stop() {
		killall openvpn
		}

Ajout au démarrage :

/etc/init.d/openvpn enable

Permettre aux client du routeur d'accéder au réseau

On active le forwarding pour les clients connectés au routeur :

Régles iptables :

/etc/firewall.user

#openvpn
iptables -I OUTPUT -o tun+ -j ACCEPT
iptables -I INPUT -i tun+ -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD -o tun+ -j ACCEPT
iptables -I FORWARD -i tun+ -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -I POSTROUTING -o tun+ -j MASQUERADE

source : https://forum.perfect-privacy.com/showpost.php?s=881d8e1a49f1be800a107d7a4314019b&p=4897&postcount=7

Isolation du LAN

Le routeur Openwrt est sur 192.168.5.0/24. Le sous-réseau proposé par le routeur est sur 192.168.100.0/24.

192.168.100.0/24 est invisible depuis 192.168.5.0/24
192.168.5.0/24 est visible depuis 192.168.100.0/4

Rendre inaccessible le réseau hôte

On rend inaccessible toutes les adresse sur le réseau hôte, excepté la gateway.

/etc/firewall.user

# isolation
iptables -I FORWARD -s 192.168.5.0/255.255.255.0 -j DROP
iptables -I FORWARD -s 192.168.5.1 -j ACCEPT

Bloquer l'accès à l'admin du réseau hôte depuis le sous-réseau

/etc/config/firewall

config rule
        option 'src' 'lan'
        option 'dest' 'wan'
        option 'dest_port' '80'
        option 'dest_ip' '192.168.5.1'
        option 'target' 'REJECT'
config rule
        option 'src' 'lan'
        option 'dest' 'wan'
        option 'dest_port' '22'
        option 'dest_ip' '192.168.5.1'
        option 'target' 'REJECT'
config rule
        option 'src' 'lan'
        option 'dest' 'wan'
        option 'dest_port' '23'
        option 'dest_ip' '192.168.5.1'
        option 'target' 'REJECT'

Autoriser l'admin du sous-réseau depuis le réseau hôte

/etc/firewall.user

iptables -t nat -A prerouting_wan -p tcp --dport 22 -j ACCEPT
iptables        -A input_wan      -p tcp --dport 22 -j ACCEPT
iptables -t nat -A prerouting_wan -p tcp --dport 80 -j ACCEPT
iptables        -A input_wan      -p tcp --dport 80 -j ACCEPT

Relancer le firewall :

/etc/init.d/firewall restart

Source : http://wiki.openwrt.org/doc/uci/firewall#examples

2013/11/05