❓

Router OpenWrt con cliente SoftEther envía tráfico fuera de la VPN

Pointiacgallego 5 noviembre 2023 06:24 ✎

⋮

A ver si me podéis echar una mano, ya que me tiene un poco desesperado.

Tengo un router con ONT integrada del proveedor de internet en la IP 192.168.0.1. Tengo otro router con OpenWrt conecta por la WAN al router principal que recibe la IP por DHCP.

En el router con OpenWrt he configurado un cliente VPN con SoftEther que se conecta a un servidor externo. He creado una interface por VPN con la IP 192.168.1.250 y el gateway 192.168.1.1 que corresponde al rango del servidor VPN.

Levanto la conexión del cliente SoftEther VPN y se conecta correctamente.

Modifico las rutas para que el tráfico salga por la VPN.

IP route del default via 192.168.0.1 dev vpn_vpn && IP route add default via 192.168.1.1 dev vpn_vpn
IP route show
default via 192.168.1.1 dev vpn_vpn
192.168.0.0/24 dev eth0 proto kernel scope link src 192.168.0.10
192.168.1.0/24 dev vpn_vpn proto kernel scope link src 192.168.1.250
192.168.8.0/24 dev br-LAN proto kernel scope link src 192.168.8.1
192.168.192.0/24 dev ztc25pdqwr proto kernel scope link src 192.168.192.4

Creo una zona en el firewall, VPN, que permita el trafico hacia la WAN desde la LAN.

Pero cuando voy a comprobar si el trafico sale por la VPN

traceroute 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 38 byte packets
1 192.168.0.1 (192.168.0.1) 1.389 ms 1.240 ms 1.282 ms

El tráfico sigue saliendo por la conexión normal.

En Windows el cliente SoftEther con la IP dentro del mismo rango del servidor VPN funciona correctamente.

Algo me tiene que faltar, llevo varios días dándole vueltas y no doy con la tecla.

pky 5 noviembre 2023 09:18

⋮

No estoy al día de los equipos OpenWrt, pero en general, ninguna VPN se crea sobre un rango existente. Tener dos interfaces de red con el mismo segmento de IP es un error. Para hacer lo que quieres necesitas una tabla de rutas propia para la VPN, con una ruta por defecto independiente. Cuando levantes la VPN el tráfico que viene de esa subred (tu IP habrá cambiado a la del rango de la VPN) mirará esa tabla de rutas y saldrás por la ruta por defecto correspondiente.

Saludos!

Pointiacgallego 5 noviembre 2023 09:28

⋮

Gracias por tu respuesta, softether esta configurado en modo bridge.

Cucalister 5 noviembre 2023 10:27

⋮

El firewall de opnwrt a veces es quisquilloso, prueba a crear una interfaz dummy con el mismo nombre del interfaz de la VPN para que el firewall en el arranque pueda asignar la zona a algo.

Luego será sobreescrita por la de la VPN.

Desde etc/config/network interfaz mivpn proto none

Prueba también a eliminar la zona y simplemente añadir la interfaz VPN a la zona LAN existente.

vukits 5 noviembre 2023 11:15

⋮

Ríete, pero estaba pensando en este tema el otro día. (pero para OpenVPN).

Como dice el compi abajo, el firewall de OpenWrt es bastante quisquilloso.

Para inspirarte sobre config del firewall, echale un vistazo al tutorial de NordVPN con OpenVPN y OpenWrt

Si no tienes conocimientos avanzados de ÑU/Linux, quizás te interese probar firmware DD-WRT (no sé, tú nos dirás ;) )

Pointiacgallego 5 noviembre 2023 12:45

⋮

Gracias por vuestras respuestas, mirare el manual que me indicas.DD-WRT no es compatible con todos los dispositivos y este router un Gl.Inet AXT-1800 ya viene con OpenWrt.