PoliceMan

Потестировал еще, какая-то нестабильная фигня. ip static помогло, но ненадолго. Некоторое время работает, затем пакеты начинают прилетать с адресом внутреннего интерфейса без nat. Заработало так же и при ip nat, сразу после перезагрузки, но через некоторое время отваливается и пакеты начинают опять прилетать с адресом 77.77.77.77, но для 8.8.8.8 прилетают с внешним IP, а пинги на 8.8.4.4 работают и все ок, причем для одного внутреннего хоста так, а для хоста подключающегося к кинетику по l2tp/ipsec все продолжает работать нормально. Похоже на какой-то кеш, который работает не совсем корректно. Вот сейчас, не трогая никаких настроек, опять заработало. Чудеса какие-то)

self-test self-test.txt

Всем привет! Есть роутер кинетик ультра и сервер в облаке в интернете, на сервере установлен openvpn, конфиг сервера простейший: # cat /etc/openvpn/server.conf dev tun ifconfig 172.31.255.253 172.31.255.254 cipher AES-256-CBC verb 3 <secret> # # 2048 bit OpenVPN static key # </secret> Конфиг на кинетике: dev tun remote 66.66.66.66 ifconfig 172.31.255.254 172.31.255.253 cipher AES-256-CBC verb 3 <secret> # # 2048 bit OpenVPN static key # </secret> У кинетика статический белый IP, пусть будет 77.77.77.77. Тунель устанавливается без проблем, пинги с домашних устройств за кинетиком ходят до 172.31.255.253. Теперь хочется, например, пустить трафик до гугл днс через VPN. Добавляем в кинетике маршрут 8.8.8.8/32 via 172.31.255.254 и с самого кинетика все начинает отлично работать. Но вот с домашних устройств не работает. Если смотреть tcpdump на сервере, то пакеты на него прилетают с src=77.77.77.77 через тунель, помогите разобраться почему, плз) Теперь фокус, если на сервере указать push "route 8.8.8.8 255.255.255.255" а на кинетике поставить опцию "получать маршруты от удаленной стороны", то при установке туннеля маршрут не поялвяется, но если прописать его опять вручную, то все работает! Даже с хостов за кинетиком, пакеты на сервер прилетают с адресом 172.31.255.254, т.е. как и должны, но такое у меня получилось только с одним хостом, если в push route указать подсеть, то магия пропадает) Я правильно понимаю, что проблема в ip nat и ip static мне поможет? Если да, то вопрос, почему это работает с единичным IP и может всетаки можно обойтись без полного отключения ip nat? Интернет на кинетике через pppoe, галка использовать это подключение для выхода в интернет на соединении openvpn не установлена. Заранее благодарен!

Может проще использовать проброс портов в ssh? Или VPN на кинетике настроить.

Однозначно за!

Поддерживаю, не хватает фильтрации по mac-адресам в вебе. Как для 2.4, так и для 5.

Т.к. не работает всегда, то да, можно сказать в этот момент) На 2.11.C.1.0-3 работает, но проверялось это на гиге2, у меня щас нет возможности поставить проверить, но на моей ультре на 2.11 тоже работало. mac 90:e6:ba:ca:02:e1 это комп с десяткой, на ios тоже не пашет. Если понадобится, могу дампов наснимать.

self-test self-test-2.txt

Новая опция, которая теперь позволяет настраивать отдельно доступ для незарегистрированных устройств в домашней и гостевой сети не реагирует на изменение, т.е. она отражает текущее положение дел, и если руками добавить в "ip hotspot" policy Guest permit то для гостевой сети политика доступа меняется в интерфейсе, но поменять через веб все равно не дает. При нажатии на сохранить и заходе оптять на страницу домашней или гостевой сети, изменения не сохраняются. Может эта опция подразумевает чуть другие опции в конфиге? Тогда подскажите плз как правильно поправить, полный сброс делал несколько релизов назад, пока не хочется повторять подобную процедуру. Спасибо!

День добрый, проблема появилась несколько драфтов назад, точно установить, когда, не могу. Где-то в середине разработки 2.12. Имеется первая ultra и последний драфт 2.12. Провайдер домру, с роутера пинги ipv6 работают успешно, у клиентов же ipv6 не работает вообще, адреса они получают, пакеты дальше роутера не уходят. Если делать трейс, то первым откликается ipv6 внешний адрес роутера и дальше тишина. Вычитал в соседней теме, что проблема может быть из за запрета выхода незарегистрированных устройств по умолчанию, разрешил такой доступ, не помогло. Но там ipv6 отваливается не сразу, у меня же он не работает вообще. Раньше все работало отлично, на 2.11 с тем же провайдером все так же работает.

А как такое проделать?

День добрый! При использовании функции "Доступ к веб-приложениям домашней сети" получается домен четвертого уровня, но https сертификат выписан на домен третьего, и при заходе выдается ошибка сертификата, можно это как то решить? Например выписыванием отдельных сертификатов или wildicard'ом? Что бы при добавлении имени на него делался сертификат например.

Kiborg_Man, да, вручную закрыл. В настройках отключить не могу, т.к. тогда sstp не работает. Было бы не плохо, если в настройках теперь появилось отдельно http и https. С другой стороны http тупо редиректит на https если переходить по имени, но если идти по IP, то не редиректит.

Подскажите а SSTP-сервер, я так понимаю аппаратно не ускоряется? И не ожидается такой функционал?

Т.е. то что я закрыл 80 порт в межсетевом экране, выйдет мне боком через 90 дней? Выход только один? Вернуть обратно 80 порт?