elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Arreglado, de nuevo, el registro del warzone (wargame) de EHN


+  Foro de elhacker.net
|-+  Comunicaciones
| |-+  Redes
| | |-+  IPTABLES ¿Como poner reglas para VPN?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: IPTABLES ¿Como poner reglas para VPN?  (Leído 3,763 veces)
kanser

Desconectado Desconectado

Mensajes: 34


XD kanzer


Ver Perfil WWW
IPTABLES ¿Como poner reglas para VPN?
« en: 14 Enero 2015, 18:44 pm »

Hola a todas y todos  :huh:

Saben que tengo un tp-wr741nd de estos muy baratos, y bien mi onda es que tengo una red abierta muy rapida proporcionada por un centro cultural cerca de mi casa en el cual a veces colaboro.

Claro que no quiero pasar mis datos personales por ahi por que es abierta, entonces como reto de aprendizaje decidi ponerle OpenVPN cliente a mi router OpenWRT y poner una VPN gratuita de VPNgate de primero, despues vere si es mejor pagar por una VPN o ¿que me recomiendan? por ahi tengo acceso a una de riseup.net, pero de momento quiero configurar para que cada laptop o telefono movil que se conecte a mi router tenga que usar esta VPN ¿Esto se puede verdad?

Este router solo tiene 1 antena a si que desde luci escaneé y me conecte modo cliente a esta red, despues cree otra interface wifi ¿esta bien dicho interface? por que es la misma antena solo que se puede usar cliente y master a la vez esto me sorprendio mucho ya que agregue dicha "interface" como master o AP y a esta si que le pude poner un nuevo nombre SSID y WPA2-PSK CCMP AES entonces esta mas o menos asi:

Citar
WLAN ABIERTA ----------------->/      OpenWRT 12.09 una antena       \------------------>Mi PC
"SSID-CULTURA"------------>  < cliente--master (((/\))) "SSID-CASA" >------------------->WPA2-PSK CCMP AES
 192.168.1.1                                192.168.1.111   /   \   192.168.30.1                                192.168.30.105
                                                                             /     \

Quiero señalar que soy practicamente nuevo en esto y todo lo que e realizado es leyendo aqui en el foro y manualitos, las siguientes configuraciones por ejemplo las genero la interface luci, ya que no entiendo mucho de lo que pasa ahi pero es genial que puedas tomar una red wlan te conectes como cliente le cambies el nombre al SSID y hasta la encriptacion, ya que con el firmaware de tp-link solo se puede repetir modo bridge y solo con wep. bueno aca las configuraciones actuales.

network
Código
  1. # cat /etc/config/network
  2.  
  3. config interface 'loopback'
  4. option ifname 'lo'
  5. option proto 'static'
  6. option ipaddr '127.0.0.1'
  7. option netmask '255.0.0.0'
  8.  
  9. config interface 'lan'
  10. option ifname 'eth0'
  11. option type 'bridge'
  12. option proto 'static'
  13. option netmask '255.255.255.0'
  14. option ipaddr '192.168.30.1'
  15.  
  16. config interface 'wan'
  17. option ifname 'eth1'
  18. option proto 'dhcp'
  19.  
  20. config switch
  21. option name 'eth0'
  22. option reset '1'
  23. option enable_vlan '1'
  24.  
  25. config switch_vlan
  26. option device 'eth0'
  27. option vlan '1'
  28. option ports '0 1 2 3 4'
  29.  
  30. config interface 'wwan'
  31. option proto 'dhcp'
  32.  

Código
  1. firewall
  2. # cat /etc/config/firewall
  3.  
  4. config defaults
  5. option syn_flood '1'
  6. option input 'ACCEPT'
  7. option output 'ACCEPT'
  8. option forward 'REJECT'
  9.  
  10. config zone
  11. option name 'lan'
  12. option network 'lan'
  13. option input 'ACCEPT'
  14. option output 'ACCEPT'
  15. option forward 'REJECT'
  16.  
  17. config zone
  18. option name 'wan'
  19. option input 'REJECT'
  20. option output 'ACCEPT'
  21. option forward 'REJECT'
  22. option masq '1'
  23. option mtu_fix '1'
  24. option network 'wan wwan'
  25.  
  26. config forwarding
  27. option src 'lan'
  28. option dest 'wan'
  29.  
  30. config rule
  31. option name 'Allow-DHCP-Renew'
  32. option src 'wan'
  33. option proto 'udp'
  34. option dest_port '68'
  35. option target 'ACCEPT'
  36. option family 'ipv4'
  37.  
  38. config rule
  39. option name 'Allow-Ping'
  40. option src 'wan'
  41. option proto 'icmp'
  42. option icmp_type 'echo-request'
  43. option family 'ipv4'
  44. option target 'ACCEPT'
  45.  
  46. config rule
  47. option name 'Allow-DHCPv6'
  48. option src 'wan'
  49. option proto 'udp'
  50. option src_ip 'fe80::/10'
  51. option src_port '547'
  52. option dest_ip 'fe80::/10'
  53. option dest_port '546'
  54. option family 'ipv6'
  55. option target 'ACCEPT'
  56.  
  57. config rule
  58. option name 'Allow-ICMPv6-Input'
  59. option src 'wan'
  60. option proto 'icmp'
  61. list icmp_type 'echo-request'
  62. list icmp_type 'echo-reply'
  63. list icmp_type 'destination-unreachable'
  64. list icmp_type 'packet-too-big'
  65. list icmp_type 'time-exceeded'
  66. list icmp_type 'bad-header'
  67. list icmp_type 'unknown-header-type'
  68. list icmp_type 'router-solicitation'
  69. list icmp_type 'neighbour-solicitation'
  70. list icmp_type 'router-advertisement'
  71. list icmp_type 'neighbour-advertisement'
  72. option limit '1000/sec'
  73. option family 'ipv6'
  74. option target 'ACCEPT'
  75.  
  76. config rule
  77. option name 'Allow-ICMPv6-Forward'
  78. option src 'wan'
  79. option dest '*'
  80. option proto 'icmp'
  81. list icmp_type 'echo-request'
  82. list icmp_type 'echo-reply'
  83. list icmp_type 'destination-unreachable'
  84. list icmp_type 'packet-too-big'
  85. list icmp_type 'time-exceeded'
  86. list icmp_type 'bad-header'
  87. list icmp_type 'unknown-header-type'
  88. option limit '1000/sec'
  89. option family 'ipv6'
  90. option target 'ACCEPT'
  91.  
  92. config include
  93. option path '/etc/firewall.user'
  94.  
  95.  

me baje la configuracion de opengate y la corri asi desde la consola ssh del openwrt

Código
  1. /usr/sbin/screen -dmS vpn1 /usr/sbin/openvpn --config /etc/openvpn/1.ovpn --route-nopull --dev tun0 &

donde  /etc/openvpn/1.ovpn es la configuracion que baje de vpngateway y todo corrio bien al menos ahi no mostro errores, creo que solo me falta hacer tal vez una "interface" en /etc/config/network algo asi como "config interface 'VPN_client'" o algo asi y luego crear una zona en firewall y redirigir todo el trafico de salida a la VPN, pero ahi esta mi problema NECESITO AYUDA, no se casi nada de como lograr esto.

¿Alguien me puede ayudar con IPTABLES y laconfiguracion de  /etc/config/network?

O que me suguieren, se puede hacer desde LUCI solo para aprender de modo didactico y luego ir a ver los archivos de configuracion para ver como quedo.

Gracias y feliz muy feliz 2015 lleno de nuevos retos para todos.



hola amigo quiero agregar esto por que tal vez ayude
Código
  1. root@OpenWrt:/etc/openvpn# /usr/sbin/openvpn --config /etc/openvpn/my-vpn.conf --route-nopull --dev tun0 &
  2. root@OpenWrt:/etc/openvpn# Sat Jan 17 13:46:17 2015 OpenVPN 2.2.2 mips-openwrt-linux [SSL] [LZO2] [EPOLL] built on Mar 14 2013
  3. Sat Jan 17 13:46:17 2015 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
  4. Sat Jan 17 13:46:17 2015 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
  5. Sat Jan 17 13:46:17 2015 Control Channel MTU parms [ L:1559 D:140 EF:40 EB:0 ET:0 EL:0 ]
  6. Sat Jan 17 13:46:17 2015 Socket Buffers: R=[87380->131072] S=[16384->131072]
  7. Sat Jan 17 13:46:17 2015 Data Channel MTU parms [ L:1559 D:1450 EF:59 EB:4 ET:0 EL:0 ]
  8. Sat Jan 17 13:46:17 2015 Attempting to establish TCP connection with 121.135.46.36:1444 [nonblock]
  9. Sat Jan 17 13:46:18 2015 TCP connection established with 121.135.46.36:1444
  10. Sat Jan 17 13:46:18 2015 TCPv4_CLIENT link local: [undef]
  11. Sat Jan 17 13:46:18 2015 TCPv4_CLIENT link remote: 121.135.46.36:1444
  12. Sat Jan 17 13:46:18 2015 TLS: Initial packet from 121.135.46.36:1444, sid=3db4d04c 5011f987
  13. Sat Jan 17 13:46:19 2015 VERIFY OK: depth=0, /CN=8948p.net/O=mp56xk_ouggdt22/C=US
  14. Sat Jan 17 13:46:21 2015 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
  15. Sat Jan 17 13:46:21 2015 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
  16. Sat Jan 17 13:46:21 2015 Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
  17. Sat Jan 17 13:46:21 2015 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
  18. Sat Jan 17 13:46:21 2015 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
  19. Sat Jan 17 13:46:21 2015 [8948p.net] Peer Connection Initiated with 121.135.46.36:1444
  20. Sat Jan 17 13:46:23 2015 SENT CONTROL [8948p.net]: 'PUSH_REQUEST' (status=1)
  21. Sat Jan 17 13:46:23 2015 PUSH: Received control message: 'PUSH_REPLY,ping 3,ping-restart 10,ifconfig 10.211.1.13 10.211.1.14,dhcp-option DNS 10.211.254.254,dhcp-option DNS 8.8.8.8,route-gateway 10.211.1.14,redirect-gateway def1'
  22. Sat Jan 17 13:46:23 2015 Options error: option 'redirect-gateway' cannot be used in this context
  23. Sat Jan 17 13:46:23 2015 OPTIONS IMPORT: timers and/or timeouts modified
  24. Sat Jan 17 13:46:23 2015 OPTIONS IMPORT: --ifconfig/up options modified
  25. Sat Jan 17 13:46:23 2015 OPTIONS IMPORT: route-related options modified
  26. Sat Jan 17 13:46:23 2015 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
  27. Sat Jan 17 13:46:23 2015 TUN/TAP device tun0 opened
  28. Sat Jan 17 13:46:23 2015 TUN/TAP TX queue length set to 100
  29. Sat Jan 17 13:46:23 2015 /sbin/ifconfig tun0 10.211.1.13 pointopoint 10.211.1.14 mtu 1500
  30. Sat Jan 17 13:46:23 2015 Initialization Sequence Completed
o sera que desde el modo grafico se puede hacer dejo una captura de como es mi interface luci

gracias segire investigando


Mod: No hacer doble post.


« Última modificación: 17 Enero 2015, 21:51 pm por #!drvy » En línea

prefiero amigos que comparten lo poco que saben, que amigos que saben todo y no comparten nada
xv0


Desconectado Desconectado

Mensajes: 1.026



Ver Perfil
Re: IPTABLES ¿Como poner reglas para VPN?
« Respuesta #1 en: 17 Enero 2015, 19:22 pm »

Se hace dificil ayudarte con esos archivos de configuracion, que tal si miras directamente que clase de reglas tienes establecias con iptables.

Código:
iptables -nL

para NAT.

Código:
iptables -t nat -nL

Si quieres pasame los resultados por privado, hay gente que le da cosa pasarlos publicamente. Igualmente creo que deberias de empezar con algo mas simple.

Yo lo que recomiendo es usar directivas DROP, y de hay ir dejando pasar servicios conexiones y demas.

Un saludo.


En línea

kanser

Desconectado Desconectado

Mensajes: 34


XD kanzer


Ver Perfil WWW
Re: IPTABLES ¿Como poner reglas para VPN?
« Respuesta #2 en: 21 Enero 2015, 10:35 am »

hola gracias por tu respuesta lo he logrado solucionar

ahorita de pronto solo puedo decir que tuve que cambiar este comando

Código
  1. /usr/sbin/screen -dmS vpn1 /usr/sbin/openvpn --config /etc/openvpn/1.ovpn --route-nopull --dev tun0 &

por este

Código
  1. /usr/sbin/openvpn --config /etc/openvpn/1.ovpn tun0 &

aun no ivestigo bien que es --route-nopull --dev para OpenVpn

pero cuando puse este ultimo comando aparecia algo al final de la conexion como nat o algo asi lo reviso cuando lo encienda y lo posteo

gracias
En línea

prefiero amigos que comparten lo poco que saben, que amigos que saben todo y no comparten nada
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Como poner Internet gratis para celulares para redes en Panama.
Dispositivos Móviles (PDA's, Smartphones, Tablets)
lexfran 1 18,144 Último mensaje 16 Diciembre 2010, 23:07 pm
por alfre9221
Extra module para Iptables (linux): Patch-o-matic: Tarpit, reglas horarias....
Seguridad
lapsus 0 2,875 Último mensaje 28 Diciembre 2010, 17:04 pm
por lapsus
Como puedo crear reglas con iptables para cerrar todos los puertos?
Redes
aixeiger 3 5,833 Último mensaje 7 Diciembre 2012, 02:01 am
por dato000
Reglas de iptables no se aplican « 1 2 »
GNU/Linux
ccrunch 19 6,777 Último mensaje 30 Mayo 2014, 19:55 pm
por xv0
ayuda para informarme de reglas(asi)
Dudas Generales
SABIDURIA0 1 1,731 Último mensaje 2 Noviembre 2016, 23:46 pm
por simorg
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines