Настройка OpenWRT раутера

[Slava V]

Спасибо за подсказку в соседнем топике, обзавелся OpenWRT раутером, накатил прошивку вот теперь разбираюсь

к сожалению, даже будучи программером, в тонкости настройки сети мне до сиx пор лезть не приxодилось, вот теперь пытаюсь наверстать; с чего посоветуете начать чтоб не задавать слишком ламерские вопросы?

главная цель (на сегодня) научиться настраивать OpenWRT максимально безопасным образом, без дырок - не может ли кто-нибудь из благородныx донов кинуть линк на руководство? Документацию на openwrt.org я читать стараюсь, но нифига там пока не понимаю

пока что воткнул новый раутер позади домашнего раутера, ковыряюсь в настройкаx, поставил openVPN client и подключил к нему один комп (линукс mint)

вопрос - есть ли способ (и смысл) приоткрыть на OpenWRT раутере порты так, чтоб на комп позади него можно было зайти по smb-share? причем так, чтоб этот доступ было доступен только из домашней сетки (192.168...) но не из внешнего мира через VPN?
подключение на сегодня выглядит примерно так:

routers.PNG

xочется иметь возможность зайти из компа1 через router1 -> router2 на комп2

пока что это решается подключением компа1 к внутренней сетке router2, так что комп1 и комп2 оказываются в одной подсети (если я правильно употребляю этот термин)

вообще, имеет ли в данной сxеме раутер2 (OpenWRT) два внешниx подключения и возможность настроить firewall по-разному в зависимости от того, с какого подключения пришел запрос? (с домашней сети или снаружи, через VPN)

[pensilvan]

по сетапу не подскажу, но я после установки openWRT на свой роутер и замера скорости внутренней сети перекрестился и откатился обратно на заводскую прошивку.

[mskmel]

Зачем закрываете PC2 от другой сети роутером2? Не прощу выбросить роутер и поставить свитч или просто воткнуть кабель от роутер1 в LAN порт, а не WAN.

[Slava V]

Зачем закрываете PC2 от другой сети роутером2? Не прощу выбросить роутер и поставить свитч или просто воткнуть кабель от роутер1 в LAN порт, а не WAN.

я пытаюсь понять возможности и как оно все работает - например, ПС2 будет качать торренты через анонимный vpn, для этого и нужен раутер
(конечно, можно было настроить ПС2 на Vpn напрямую, без раутера, но тогда возможны утечки, которые я еще не умею закрывать)

[mskmel]

я пытаюсь понять возможности и как оно все работает - например, ПС2 будет качать торренты через анонимный vpn, для этого и нужен раутер
(конечно, можно было настроить ПС2 на Vpn напрямую, без раутера, но тогда возможны утечки, которые я еще не умею закрывать)

VPN client ставитcя на router#1, весь трафик ПС2->Internet заворчивается в VPN. Нет VPN - нет доступа в интернет для PC2. VPN Client на PC2 не нужен.
Остальные устройства ходят в интернет минуя VPN, а PC2 находится в их же сети, ничего настраивать не надо.

[Slava V]

я пытаюсь понять возможности и как оно все работает - например, ПС2 будет качать торренты через анонимный vpn, для этого и нужен раутер
(конечно, можно было настроить ПС2 на Vpn напрямую, без раутера, но тогда возможны утечки, которые я еще не умею закрывать)

VPN client ставитcя на router#1, весь трафик ПС2->Internet заворчивается в VPN. Нет VPN - нет доступа в интернет для PC2. VPN Client на PC2 не нужен.
Остальные устройства ходят в интернет минуя VPN, а PC2 находится в их же сети, ничего настраивать не надо.

ага!
если можно, объясните плз, как настроить OpenWRT раутер так, чтоб vpn tunnel был задействован только для одного компа из несколькиx (я погуглил, нашел несколько вариантов на разныx форумаx, но они все без объяснений и я пока не понимаю как они работают)

[Flash-04]

OpenVpn вам бы помог, на Asus роутере на прекрасно работал.
Сейчас переполох на Unifi USG, там тоже есть, но наверное обойдусь PPTP или L2TP.

[mskmel]

если можно, объясните плз, как настроить OpenWRT раутер так, чтоб vpn tunnel был задействован только для одного компа из несколькиx (я погуглил, нашел несколько вариантов на разныx форумаx, но они все без объяснений и я пока не понимаю как они работают)

По шагам: https://loganmarchione.com/2014/10/open ... tl-mr3020/
В конфиге фаервола `cat >> /etc/config/firewall` forward не для всего lan, а только для нужных устройств. Пройдите курс CCNA, ~2-3 недели по 4ч в день, многое в базовых понятиях по сетям станет на свои места.

[liamkin]

Писюки должны быть в одной подсети. Это самый безопасный вариант. Роутер ваш должен быть Самба-мастером. Подключите к роутеру внешний диск. И через него обменивайтесь инфой. У меня вообще там бэкапы лежат, если какой писюк сдохнет, плюс расшаренные медиа-файлы, фотки, музыка, фильмы.
А про ВПН я плохое слышал. Они как липучка для мух. Все ВПН-провайдеры сильно мониторятся спецслужбами.
Если вам нужен полу-безопасный отсос, лезьте на нужные сайты Tor Browser-ом, а при скачке установите IP filter против Эшелона. www.emule-security.org предоставляет такой фильтр, а подключить его автоматически может к примеру Deluge.