dexter

Всё понял, спасибо.

@Александр Рыжов, прописал на обоих концах туннеля. Спасибо помогло. Теперь все сайты открываются. Не долго музыка играла, направил в тунель кроме компа ещё и нас с раздачей торентов и все опять только часть сайтов открывается. Убрал политику для нас'а комп нормально стал открывать сайты.

@Le ecureuil, я не против, но..... Что сделал. На удаленной Ultra изменил SL = public на IPIP интерфейсе. Прописал "ip static IPIP0 ISP", перезагрузил устройство и в снифере на eth2.2 увидел 19:21:19.425460 IP 192.168.100.12 > ya.ru: ICMP echo request, id 1, seq 314, length 40 19:21:24.423661 IP 192.168.100.12 > ya.ru: ICMP echo request, id 1, seq 315, length 40 19:21:29.435480 IP 192.168.100.12 > ya.ru: ICMP echo request, id 1, seq 316, length 40 После этого на удаленной Ultra изменил SL = private на IPIP интерфейсе, перезагрузил устройство( "ip static IPIP0 ISP" в конфиге было при перезагрузке) и в снифере на eth2.2 увидел 19:25:01.440761 IP 31-129-0-0.static.ip.ххх-ххх.ru > ya.ru: ICMP echo request, id 1, seq 408, length 40 19:25:01.449730 IP ya.ru > 31-129-0-0.static.ip.ххх-ххх.ru: ICMP echo reply, id 1, seq 408, length 40 19:25:02.454910 IP 31-129-0-0.static.ip.ххх-ххх.ru > ya.ru: ICMP echo request, id 1, seq 409, length 40 19:25:02.463746 IP ya.ru > 31-129-0-0.static.ip.ххх-ххх.ru: ICMP echo reply, id 1, seq 409, length 40 Или натить нужно на Ultra 2 за которой у меня хост 192.168.100.12 и с которого я пингую ya.ru? На Ultra 2 за которой у меня хост 192.168.100.12 у IPIP интерфейса SL = private и нет никакого ната. Как-то наоборот всё получается или я запутался.

@Le ecureuil, пинги идут и на 50000. Нижу срытым постом я выложу кусок tcpdump с Ultra1 через которую хочу выйти в инет. Пытался открыть speedtest.net. DNS имена нормально разрешает.

Сделал через IPIP туннель. public не обязательно. Достаточно маршрута по умолчанию и ip global > 0 на интерфейсе. Спасибо за Вашу работу. p.s. скоро изобретем циску. Какая-то ерунда творится. Всё пингуется, но не все сайты открываются. Сайты пытаюсь открывать с хоста 192.168.100.12, который находится за Ultra 2. Ниже 2 селф-теста. В инет пытаюсь выйти через Ultra 1, которая на другом конце IPIP туннеля. Иногда, после изменения ip hotspot host приходится делать этому хосту сначала "deny", а затем "permit".

Странно, вечером заработало. Отбой тревоги. Можно снести мусор.

Подскажите, работает ли нат на IPIP туннеле. На одном конце прописал маршрут до узла, на другом конце туннеля прописал "ip static IPIP0 ISP". На снифере интерфейса ISP eth2.2 во время пинга вижу не IP ISP интерфейса, а серый адрес хоста с которого запустил пинг.

Т.е. нужен ещё 1 туннель специально для таких целей? А в будущем не планируется, что-то изменить, что бы и с SL private работало? Я правильно понял, что SL public и ip global > 0 должно быть на U2, т.к. хост расположен за ней?

Подскажите как мне загнать хост с IP 192.168.100.253 в IPIP туннель и вывести его в инет через удаленный роутер. Оба роутера соединены через IPIP IPSec туннель. U2 выступает в качестве сервера к ней и подключен клиент, а U1 выступает в качестве клиента, через него я и хочу выйти в инет. Туннель на обоих концах имеет security-level private и через него маршрутизируются удаленные сети. Конфиг U2. Конфиг U1

Так, свою проблему я решил. Из-за моих настроек сегментов вида: ip static Vlan101 OTS ip static Vlan104-MCAST OTS ip static Guest OTS ip static Home OTS Пока не прописал ip static Home WifiMaster0/WifiStation0 пакеты не шли. Теперь всё заработало и я пошел через Мегафон(WifiMaster0/WifiStation0).

Нифига не работает. default-policy на deny поменял, но ничего не меняется.

self-test.txt

Что-то ничего не выходит. Что сделал: - подключил резерв через ТД созданную на телефоне Прописал: ip policy test permit global WifiMaster0/WifiStation0 - ТД резерв через телефон для тестов no permit global OTS - основное соединение ip hotspot host a0:88:b4:54:b1:d4 permit - хост с которого пингую яндекс host a0:88:b4:54:b1:d4 policy test default-policy permit В данный момент трассировка обрывается на роутере. Селф-тест в режиме дебаг скрытым постом ниже.

В ps4 интерфейс гигабитный? А если их с NAS напрямую попробовать соединить(идеальный вариант через кросс патч-корд).

Сегодня попробую хост в IP-IP туннель завернуть. Поддержу KorDen в просьбе, т.к. не весь трафик хоста хотелось бы гнать через туннель, а только торренты.