В общем, я сам решил проблему. Вдруг у кого возникнет такая же, я решил ее путем исправления синтаксиса /etc/config/firewall по примеру шаблона обновленного пакета firewall4:
config zone
option name wg
option family ipv4
option masq 1
option output ACCEPT
option forward REJECT
option input REJECT
option mtu_fix 1
option network wg0
config forwarding
option src lan
option dest wg
config ipset
option name vpn_ip
option match dst_net
option loadfile /mnt/sda1/lst/ip.lst
config ipset
option name vpn_subnets
option match dst_net
option loadfile /mnt/sda1/lst/subnet.lst
config ipset
option name vpn_community
option match dst_net
option loadfile /mnt/sda1/lst/community.lst
config rule
option name mark_subnet
option src lan
option dest *
option ipset vpn_subnets
option target MARK
option family ipv4
list proto 'all'
option set_mark 0x1
config rule
option name mark_ip
option src lan
option dest *
option ipset vpn_ip
option target MARK
option family ipv4
list proto 'all'
option set_mark 0x1
config rule
option name mark_community
option src lan
option dest *
option ipset vpn_community
option target MARK
option family ipv4
list proto 'all'
option set_mark 0x1
Сегодня сделал все шаг за шагом на свежей установке OpenWrt 22.03.2, перед этим просто обновил все пакеты. Изменил только путь хранения списков на примонтированной флешке /mnt/sda1/lst. При запуске скрипта все равно вижу невозможность рестарта firewall.
root@mRouter:/# /etc/init.d/hirkn
Run download lists
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
0 1909 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
0 1071k 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 11864 100 11864 0 0 12920 0 --:--:-- --:--:-- --:--:-- 23262
Firewall restart
Killed
The rendered ruleset contains errors, not doing firewall restart.
Syntax: /etc/init.d/hirkn [command]
Как я думаю, что он просто не может съесть правила.
config zone
option name 'wg'
option family 'ipv4'
option masq '1'
option output 'ACCEPT'
option forward 'REJECT'
option input 'REJECT'
option mtu_fix '1'
option network 'wg0'
config forwarding
option src 'lan'
option dest 'wg'
config ipset
option name 'vpn_ip'
option match 'dst_net'
option loadfile '/mnt/sda1/lst/ip.lst'
config ipset
option name 'vpn_subnets'
option match 'dst_net'
option loadfile '/mnt/sda1/lst/subnet.lst'
config ipset
option name 'vpn_community'
option match 'dst_net'
option loadfile '/mnt/sda1/lst/community.lst'
config rule
option name 'mark_subnet'
option src 'lan'
option dest '*'
option ipset 'vpn_subnets'
option target 'MARK'
option family 'ipv4'
list proto 'all'
option set_mark '0x1'
config rule
option name 'mark_ip'
option src 'lan'
option dest '*'
option ipset 'vpn_ip'
option target 'MARK'
option family 'ipv4'
list proto 'all'
option set_mark '0x1'
config rule
option name 'mark_community'
option src 'lan'
option dest '*'
option ipset 'vpn_community'
option target 'MARK'
option family 'ipv4'
list proto 'all'
option set_mark '0x1'
У меня затык с фаерволлом. Скрипт фризит на firewall restart, думал поможет обновление пакета, но нет. С тоннелем все хорошо. Проблема со списками, файлы загружаются и в них есть списки, сеты тоже создаются, но в них нет списков IP. Вот вывод командв просмотра списков:
# nft list ruleset | grep -A 10 vpn_ip
set vpn_ip {
type ipv4_addr
flags interval
auto-merge
}
set vpn_subnets {
type ipv4_addr
flags interval
auto-merge
}
--
iifname "br-lan" ip daddr @vpn_ip counter packets 0 bytes 0 meta mark set 0x00000001 comment "!fw4: mark_ip"
iifname "br-lan" ip daddr @vpn_community counter packets 0 bytes 0 meta mark set 0x00000001 comment "!fw4: mark_community"
}
chain mangle_postrouting {
type filter hook postrouting priority mangle; policy accept;
}
chain mangle_input {
type filter hook input priority mangle; policy accept;
}
В общем, я сам решил проблему. Вдруг у кого возникнет такая же, я решил ее путем исправления синтаксиса /etc/config/firewall по примеру шаблона обновленного пакета firewall4:
Оставлю это здесь, вдруг кому поможет)
Сегодня сделал все шаг за шагом на свежей установке OpenWrt 22.03.2, перед этим просто обновил все пакеты. Изменил только путь хранения списков на примонтированной флешке /mnt/sda1/lst. При запуске скрипта все равно вижу невозможность рестарта firewall.
Как я думаю, что он просто не может съесть правила.
Благодарю, материал впечатляющий!
У меня затык с фаерволлом. Скрипт фризит на firewall restart, думал поможет обновление пакета, но нет. С тоннелем все хорошо. Проблема со списками, файлы загружаются и в них есть списки, сеты тоже создаются, но в них нет списков IP. Вот вывод командв просмотра списков: