« Tunnel VPN Wireguard et parefeu dans OpenWrt » : différence entre les versions
Aucun résumé des modifications |
Aucun résumé des modifications |
||
| (9 versions intermédiaires par 2 utilisateurs non affichées) | |||
| Ligne 1 : | Ligne 1 : | ||
Pour affiner les règles du pare feu. | Pour affiner les règles du pare feu. | ||
Vu d'un client (machine win) qui se connecte au routeur via un VPN. On teste un ping du routeur, 192.168.1.1 ou une autre adresse du réseau local. | |||
<pre> | Conditions du test : | ||
- PC1 : connecté au réseau local en filaire, sur lequel se trouve le routeur | |||
- PC2 : connecté en wifi sur le téléphone en point d'accès 4G | |||
Bien redémarrer l'interface VPN du routeur après chaque modif de valeur. | |||
<pre> | |||
config zone | config zone | ||
option name 'vpn' | option name 'vpn' | ||
option input 'ACCEPT' | option input 'ACCEPT' | ||
option output ' | option output 'REJECT' | ||
option forward ' | option forward 'REJECT' | ||
option masq '1' | option masq '1' | ||
list network 'VPN' | list network 'VPN' | ||
| Ligne 15 : | Ligne 23 : | ||
Si on ne met pas ACCEPT dans input (REJECT), alors la requête ping échoue, avec le message "impossible de joindre le port de destination." | Si on ne met pas ACCEPT dans input (REJECT), alors la requête ping échoue, avec le message "impossible de joindre le port de destination." | ||
Si on | Si on met REJECT dans output ou dans forward (intrazone forward), alors la requête ping fonctionne quand même. | ||
Si on ne définit pas une route du type ci dessous, le ping ne répond pas. | Si on ne définit pas une route du type ci dessous, le ping ne répond pas. | ||
| Ligne 23 : | Ligne 31 : | ||
option interface 'VPN' | option interface 'VPN' | ||
option target '10.0.0.0/24' | option target '10.0.0.0/24' | ||
</pre> | |||
Il n'est pas nécessaire de définir un forward du VPN vers WAN si on souhaite juste avoir accès au réseau local via le VPN. | |||
<pre> | |||
config forwarding | |||
option src 'vpn' | |||
option dest 'lan' | |||
config forwarding | |||
option src 'wan' | |||
option dest 'vpn' | |||
config forwarding | |||
option src 'lan' | |||
option dest 'vpn' | |||
config forwarding | |||
option src 'wan' | |||
option dest 'lan' | |||
</pre> | </pre> | ||
Dernière version du 26 avril 2025 à 08:55
Pour affiner les règles du pare feu.
Vu d'un client (machine win) qui se connecte au routeur via un VPN. On teste un ping du routeur, 192.168.1.1 ou une autre adresse du réseau local.
Conditions du test :
- PC1 : connecté au réseau local en filaire, sur lequel se trouve le routeur
- PC2 : connecté en wifi sur le téléphone en point d'accès 4G
Bien redémarrer l'interface VPN du routeur après chaque modif de valeur.
config zone
option name 'vpn'
option input 'ACCEPT'
option output 'REJECT'
option forward 'REJECT'
option masq '1'
list network 'VPN'
Si on ne met pas ACCEPT dans input (REJECT), alors la requête ping échoue, avec le message "impossible de joindre le port de destination."
Si on met REJECT dans output ou dans forward (intrazone forward), alors la requête ping fonctionne quand même.
Si on ne définit pas une route du type ci dessous, le ping ne répond pas.
config route
option interface 'VPN'
option target '10.0.0.0/24'
Il n'est pas nécessaire de définir un forward du VPN vers WAN si on souhaite juste avoir accès au réseau local via le VPN.
config forwarding
option src 'vpn'
option dest 'lan'
config forwarding
option src 'wan'
option dest 'vpn'
config forwarding
option src 'lan'
option dest 'vpn'
config forwarding
option src 'wan'
option dest 'lan'