Tipps & Tricks: OpenVPN auf einem Router mit TomatoUSB Mod von Shibby

Dschunglegold

New Member
Hallo Aero,

Firewall Settings unter Advanced Settings:
Respond to ICMP ping NO
Limits (INACTIVE)
ICMP (INACTIVE)
Traceroute (INACTIVE)
Enable SYN cookies NO
Enable DSCP Fix YES
IPv6 IPSec Passthrough SEY

NAT
NAT loopback ALL
NAT target MASQURADE

Multicast
Enable IGMPproxy NO

unter Script WAN Up habe ich nichts drin .. möglicherweise ist da das Übel :D ... Wobei ich den vpn Server ja normal erreichen kann wenn der Tunnel nicht auf gebaut ist. nur wenn ich das VPN Starte ist da nichts mehr ..

Danke :)
 

Dschunglegold

New Member
Hallo Gerd,

auch dir erst mal danke für die Rückmeldung.

was meinst du mit "Die erste Zeile mit "iptables --flush FORWARD" und ohne am Anfang ausprobieren:" ausprobieren? die ist doch schon drin :)

ich hatte mich auch etwas gewundert über das tun+ , denn bei mir ist es auch tun11. ich hatte beides versucht. Da ich nur einen Client habe gibt es bei mir auch kein tun12

die Privacy sache versuche ich dann gleich mal :)

Nachtrag:
iptables -I FORWARD -i br0 -o vlan2 -j DROP << das scheint zu funktionieren. !! super..
ich habe heute ein wenig zu tun und fummel immer mal wieder im Zeitfenstern am Router rum. Ich werde das noch mal mit tcpdump und ping attack testen. aber wenn ein Forward zwischen br0 und vlan2 auf drop steht, sollte das nun nicht mehr passieren. Klasse :D

danke :)
 
Last edited:

Gerd

Active Member
was meinst du mit "Die erste Zeile mit "iptables --flush FORWARD" und ohne am Anfang ausprobieren:" ausprobieren? die ist doch schon drin :)

Damit meinte ich:

Code:
iptables --flush FORWARD
iptables -I FORWARD -i br0 -o tun11 -j ACCEPT
iptables -I FORWARD -i tun11 -o br0 -j ACCEPT
iptables -I FORWARD -i br0 -o vlan2 -j DROP
iptables -I INPUT -i tun11 -j REJECT
iptables -t nat -A POSTROUTING -o tun11 -j MASQUERADE

oder mit

Code:
iptables -I FORWARD -i br0 -o tun11 -j ACCEPT
iptables -I FORWARD -i tun11 -o br0 -j ACCEPT
iptables -I FORWARD -i br0 -o vlan2 -j DROP
iptables -I INPUT -i tun11 -j REJECT
iptables -t nat -A POSTROUTING -o tun11 -j MASQUERADE

ausprobieren. Das sind alternative Regeln die man so im Internet für Tomato findet. Vielleicht hast du dann aus dem LAN und WLAN heraus einen Zugriff auf die IP des VPN Servers.
 

Dschunglegold

New Member
ok ok .. gerafft ..

ich habe das Beispiel von dem HowTo genommen:
iptables --flush FORWARD
iptables -P FORWARD DROP
iptables -I FORWARD -o tun+ -j ACCEPT
iptables -I FORWARD -i tun+ -j ACCEPT
iptables -t nat -I POSTROUTING -o tun+ -j MASQUERADE

mit deinem:
iptables --flush FORWARD
iptables -I FORWARD -i br0 -o tun11 -j ACCEPT
iptables -I FORWARD -i tun11 -o br0 -j ACCEPT
iptables -I FORWARD -i br0 -o vlan2 -j DROP
iptables -I INPUT -i tun11 -j REJECT
iptables -t nat -A POSTROUTING -o tun11 -j MASQUERADE
funktioniert die Namendauflösung (DNS) nicht mehr aber ping geht durch ..

ich habe beide Versionen ohne iptables --flush FORWARD aus probiert. aber ohne erfolg

ich werde weiter tüfteln .. Danke :D
 

Dschunglegold

New Member
ich habe da was gefunden..
mit deinem Code funzen zwar ICMP aber kein DNS (andere ports habe ich nicht versucht)
wenn ich in meiner interface connect direkt die DNS auf dem Client angebe, dann geht DNS wieder ..

also da wird nichts geblockt zwischen ziel und source, sondern der Router kommt nicht mehr an den DNS ..

das ist nicht schlimm, denn somit weis ich das auch meine DNS anfragen durch den Tunnel gehen :D

wenn ich
iptables --flush FORWARD
weg, lasse, dann komme ich auch zum VPN Server durch *juhuuuu* .. also da liegt der Hund begraben.
das flush löscht eine vorhandene Regel die wieder rein muss (allerdings mit ziel VPN Server ip)

bei mir ist es schon bald 0 Uhr .. jetzt ist feinerabend ..

vielen dank wir kommen der sache näher :)
 

Aero

Junior Member
Guten Morgen

Ich habe mal eine Fragen zwecks IPv6 Einstellung

Sollte man bei shibby bei IPv6 (Einstellung) Nativ einstellen Accept RA from bei wan den Hacken rein oder bei Lan
Sollte man bei shibby bei IPv6 (Einstellung) 6rd from DHCP v4 (Option212) einstellen

Im ISP Router ist IPV6 deaktiviert

Dazu eine Erklährung bezüglich, wäre natürlich nett um es zu verstehen
Grüße
 
Top