Останнім часом я перейшов з DD-WRT на OpenWRT і експериментую з різними мережевими конфігураціями, які у мене були під DD-WRT. Однією з цікавинок є те, що при налаштуванні клієнта OpenVPN у режимі “завжди активне VPN”, що використовує redirect-gateway, весь трафік, включно з маршрутизатором, йде через VPN на OpenWRT. Це відрізняється від DD-WRT, де фактично радять не вказувати маршрутизатору, наприклад, 192.168.1.1, у полі VPN PBR, оскільки це призводить до багатьох проблем і зриву налаштування.
Спочатку я цього не зрозумів, бо у випадку з OpenWRT потрібно додавати статичні маршрути, щоб примусово перенаправити певний трафік через WAN, оскільки маршрутизатор також маршрутизований через VPN. У той час як у DD-WRT, клієнти направляються через VPN, але сам маршрутизатор через VPN не йде, тому додаткові налаштування не потрібні.
Чому виникла така різниця між двома прошивками? Чи це тому, що обидві прошивки виконують маршрутизацію по-різному?
Дізнався, чому так: за замовчуванням DD-WRT застосовує route-noexec до конфігурації клієнта OpenVPN. А OpenWRT за замовчуванням перенаправляє основний шлюз до інтерфейсу VPN, тому потрібно запобігати зміні шлюзу, зробивши наступне:
Привіт, чи досі у вас просувається це питання? Я в подібній ситуації, переїхав з стабільного підключення клієнта OpenVPN на DD-WRT, а зараз на OpenWRT. Зараз намагаюся знову налаштувати з’єднання VPN. У мене є VPN-сервер, який передає деякі маршрути клієнту (більша частина мого інтернет-трафіку виходить через WAN, і лише кілька пакетів маршрутизуються через VPN до віддаленого розташування). І я встановив з’єднання VPN, але на відміну від DD-WRT, яке працювало без проблем, думаю, потрібно додаткове налаштування.
Привіт. Мій кейс — це налаштування OpenVPN як клієнта з політикою маршрутизації, щоб направляти трафік через інтерфейс tun0 у потрібних випадках. Я не запускаю OpenVPN сервер.
Як і зазначалося, потрібно запобігти змінюванню основного шлюзу, оскільки OpenWRT цього не робить за замовчуванням, а DD-WRT — так. Оскільки звичайно не рекомендується включати маршрутизатор у будь-яку VPN-маршрутизацію, несправжня її конфігурація може порушити з’єднання з WAN без використання статичних маршрутів. Це ж стосується тільки клієнтської налаштування, коли сервер у відповідь пушить “redirect-gateway def1”.
Для сервера OpenVPN потрібно використати команду push у конфігурації сервера для додавання цих маршрутів клієнтам. Рекомендується редагувати файл /etc/config/openvpn і встановити потрібні налаштування. Синтаксис дещо відрізняється у OpenWrt, тому можливо покопатися у /tmp/openvpn/openvpn.conf, щоб побачити налаштування. Ймовірно, треба також увімкнути NAT/маскування; це поширена причина проблем.