Я работаю над настройкой домашней сети с помощью Tomato для работы с двумя SSID Wi-Fi. Мой маршрутизатор является двухдиапазонным маршрутизатором NETGEAR NIGHTHAWK, и до сих пор Tomato прекрасно с ним работает, также как и функция VPN. Единственным недостатком является то, что когда VPN активен (когда вы выбираете запуск через интерфейс Tomato), он применяет VPN-туннель к обоим SSID, которые я настроил. Есть ли какой-нибудь способ применить VPN только к одному из этих SSID? Таким образом, меняя беспроводную сеть, я могу отделиться от туннеля VPN, который работает на моем маршрутизаторе.
Это возможно?
vpn
wireless-router
tomato
matsko
источник
источник
iptables
командная строка. Например, вызов этого приведет к удалению правила, направляющего весь трафик из вторичной сети (той, что на 192.168.2.xxx), в туннель. tun11 это мой openvpn ... но мне нужно добавить маскировку интерфейса ...iptables -t nat -D POSTROUTING -s 192.168.2.0/24 -o tun11 -j MASQUERADE
Ответы:
Недавно я реализовал что-то подобное в моей домашней сети, на Tomato (shibby) v138. Вот схема:
Прежде чем перейти к настройке VPN, у меня изначально были сети с частотой 2,4 ГГц и 5 ГГц с одним SSID, назовем его «общедоступным». Внутренняя сеть назначает устройства адресам в диапазоне 192.168.1.2-254. Это то, что вы видите в верхней половине диаграммы.
Вот изменения, которые я сделал, чтобы добавить новую подсеть, которая была маршрутизирована через VPN:
В этот момент я могу запустить VPN-клиент, затем выбрать беспроводное устройство, подключиться к «частной» сети и подтвердить, что мой IP-адрес, выходящий в Интернет, находится за VPN, подключиться к «общедоступному» и транслировать Netflix / Amazon Prime видео без получения ошибок географического ограничения.
Теперь вы можете настроить каждое устройство для подключения к любому SSID в соответствии с их потребностями. В нашем доме медиа-стример, который передает потоки Netflix на телевизор, остается в сети общего пользования. Мой телефон и ноутбук подключены к частной сети. В большинстве случаев вы должны выбрать одно или другое - вы не хотите, чтобы устройство автоматически подключалось к одному из них произвольно.
Дополнительные опции
Получать проводной : Если вы хотите, чтобы физический порт Ethernet подключался через VPN, вы можете добавить новую VLAN в Дополнительно / VLAN и назначьте его новому мосту (br1). На этом этапе вы можете переместить один или несколько физических портов Ethernet на маршрутизаторе в вашу защищенную VLAN, если хотите. Я не сделал, поэтому только беспроводные клиенты смогут присоединиться к моей частной подсети.
Внутренняя маршрутизация После выполнения описанных выше действий вы можете обнаружить, что клиенты в общедоступных и частных сетях не могут общаться друг с другом. Настройка политики маршрутизации VPN-клиента, как я делал выше, добавляет это правило:
к сценарию брандмауэра томата. Это помечает каждый пакет, исходящий из сети 192.168.2.0/24, и все с пометкой 311 маршрутизируется через VPN. Это означало, что никакие устройства в «общедоступной» подсети (192.168.1.0/24) не могли общаться с устройствами в «частной» подсети через внутреннюю сеть, потому что, хотя запрос проходил, ответ перенаправлялся на VPN и потерял. В моем случае я хотел иметь возможность доступа к общим файлам с сервера в частной сети, поэтому я решил снять отметку для всего, что должно быть отправлено в общедоступную сеть. Я сделал это, добавив строку:
в Администрирование / Scripts / Firewall , Вы можете добавить аналогичное правило для любых портов, которые вы собираетесь перенаправлять на маршрутизатор из частной сети.
Безотказный : Также известный как «переключатель уничтожения», я добавил пару дополнительных правил Администрирование / Scripts / Firewall которые предназначены для предотвращения попадания чего-либо из частной сети в незащищенную глобальную сеть (vlan2). Это означает, что если VPN по какой-то причине отключается, клиенты, подключающиеся к частной сети, не могут случайно установить связь через незащищенный интерфейс WAN.
источник