Openwrt

Quelques réglages utiles

Vpn passthrough

On installe Openvpn (opkg install openvpn) et on le configure.

Ouverture du port UDP 1194 dans le firewall

/etc/config/firewall

  config 'rule'

  option 'src' 'wan' 
  option 'target' 'ACCEPT' 
  option 'proto' 'udp' 
  option 'dest_port' '1194' 

Lancement automatique du client VPN au démarrage du routeur

Tous les réglages de Openvpn sont dans /etc/openvpn/*.conf

/etc/openvpn/my_vpn_script ```

  1. !/bin/sh
  2. cd /etc/openvpn/

openvpn --daemon --config /etc/openvpn/config_file.conf ## remplacer 'config_file' par le nom du fichier de conf. ```

/etc/init.d/openvpn ```

  1. !/bin/sh /etc/rc.common
  2. OpenVPN init script
  3. Copyright (C) 2008 Jo-Philipp Wich
  4. This is free software, licensed under the GNU General Public License v2.
  5. See /LICENSE for more information.
  6. $Id$

START=95 BIN=/usr/sbin/openvpn SSD=start-stop-daemon

start() {

/etc/openvpn/my_vpn_script 
} 

stop() { 
    killall openvpn 
    } 

Ajout au démarrage :

 /etc/init.d/openvpn enable 

### Permettre aux client du routeur d'accéder au réseau 

On active le forwarding pour les clients connectés au routeur :

RĂ©gles iptables :

*/etc/firewall.user* ``` 

1.  openvpn

iptables -I OUTPUT -o tun+ -j ACCEPT iptables -I INPUT -i tun+ -m state
--state ESTABLISHED,RELATED -j ACCEPT iptables -I FORWARD -o tun+ -j
ACCEPT iptables -I FORWARD -i tun+ -m state --state ESTABLISHED,RELATED
-j ACCEPT iptables -t nat -I POSTROUTING -o tun+ -j MASQUERADE

source :

Isolation du LAN

Le routeur Openwrt est sur 192.168.5.0/24. Le sous-réseau proposé par le routeur est sur 192.168.100.0/24.

192.168.100.0/24 est invisible depuis 192.168.5.0/24 192.168.5.0/24 est visible depuis 192.168.100.0/4

Rendre inaccessible le réseau hôte

On rend inaccessible toutes les adresse sur le réseau hôte, excepté la gateway.

/etc/firewall.user ```

  1. isolation

iptables -I FORWARD -s 192.168.5.0/255.255.255.0 -j DROP iptables -I FORWARD -s 192.168.5.1 -j ACCEPT ```

Bloquer l'accès à l'admin du réseau hôte depuis le sous-réseau

/etc/config/firewall ``` config rule

    option 'src' 'lan' 
    option 'dest' 'wan' 
    option 'dest_port' '80' 
    option 'dest_ip' '192.168.5.1' 
    option 'target' 'REJECT' 

config rule

    option 'src' 'lan' 
    option 'dest' 'wan' 
    option 'dest_port' '22' 
    option 'dest_ip' '192.168.5.1' 
    option 'target' 'REJECT' 

config rule

    option 'src' 'lan' 
    option 'dest' 'wan' 
    option 'dest_port' '23' 
    option 'dest_ip' '192.168.5.1' 
    option 'target' 'REJECT' 


### Autoriser l'admin du sous-réseau depuis le réseau hôte 

*/etc/firewall.user*
 iptables -t nat -A prerouting_wan -p tcp --dport 22 -j ACCEPT 
 iptables -A input_wan -p tcp --dport 22 -j ACCEPT 
 iptables -t nat -A prerouting_wan -p tcp --dport 80 -j ACCEPT 
 iptables -A input_wan -p tcp --dport 80 -j ACCEPT 

Relancer le firewall :

 /etc/init.d/firewall restart 

Source :