Openwrt
Quelques réglages utiles
Vpn passthrough
On installe Openvpn (opkg install openvpn) et on le configure.
Ouverture du port UDP 1194 dans le firewall
/etc/config/firewall
config 'rule'
option 'src' 'wan'
option 'target' 'ACCEPT'
option 'proto' 'udp'
option 'dest_port' '1194'
Lancement automatique du client VPN au démarrage du routeur
Tous les réglages de Openvpn sont dans /etc/openvpn/*.conf
/etc/openvpn/my_vpn_script ```
- !/bin/sh
- cd /etc/openvpn/
openvpn --daemon --config /etc/openvpn/config_file.conf ## remplacer 'config_file' par le nom du fichier de conf. ```
/etc/init.d/openvpn ```
- !/bin/sh /etc/rc.common
- OpenVPN init script
- Copyright (C) 2008 Jo-Philipp Wich
- This is free software, licensed under the GNU General Public License v2.
- See /LICENSE for more information.
- $Id$
START=95 BIN=/usr/sbin/openvpn SSD=start-stop-daemon
start() {
/etc/openvpn/my_vpn_script
}
stop() {
killall openvpn
}
Ajout au démarrage :
/etc/init.d/openvpn enable
### Permettre aux client du routeur d'accéder au réseau
On active le forwarding pour les clients connectés au routeur :
RĂ©gles iptables :
*/etc/firewall.user* ```
1. openvpn
iptables -I OUTPUT -o tun+ -j ACCEPT iptables -I INPUT -i tun+ -m state
--state ESTABLISHED,RELATED -j ACCEPT iptables -I FORWARD -o tun+ -j
ACCEPT iptables -I FORWARD -i tun+ -m state --state ESTABLISHED,RELATED
-j ACCEPT iptables -t nat -I POSTROUTING -o tun+ -j MASQUERADE
source :
Isolation du LAN
Le routeur Openwrt est sur 192.168.5.0/24. Le sous-réseau proposé par le routeur est sur 192.168.100.0/24.
192.168.100.0/24 est invisible depuis 192.168.5.0/24 192.168.5.0/24 est visible depuis 192.168.100.0/4
Rendre inaccessible le réseau hôte
On rend inaccessible toutes les adresse sur le réseau hôte, excepté la gateway.
/etc/firewall.user ```
- isolation
iptables -I FORWARD -s 192.168.5.0/255.255.255.0 -j DROP iptables -I FORWARD -s 192.168.5.1 -j ACCEPT ```
Bloquer l'accès à l'admin du réseau hôte depuis le sous-réseau
/etc/config/firewall ``` config rule
option 'src' 'lan'
option 'dest' 'wan'
option 'dest_port' '80'
option 'dest_ip' '192.168.5.1'
option 'target' 'REJECT'
config rule
option 'src' 'lan'
option 'dest' 'wan'
option 'dest_port' '22'
option 'dest_ip' '192.168.5.1'
option 'target' 'REJECT'
config rule
option 'src' 'lan'
option 'dest' 'wan'
option 'dest_port' '23'
option 'dest_ip' '192.168.5.1'
option 'target' 'REJECT'
### Autoriser l'admin du sous-réseau depuis le réseau hôte
*/etc/firewall.user*
iptables -t nat -A prerouting_wan -p tcp --dport 22 -j ACCEPT
iptables -A input_wan -p tcp --dport 22 -j ACCEPT
iptables -t nat -A prerouting_wan -p tcp --dport 80 -j ACCEPT
iptables -A input_wan -p tcp --dport 80 -j ACCEPT
Relancer le firewall :
/etc/init.d/firewall restart
Source :