Yacudzer
-
Posts
20 -
Joined
-
Last visited
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by Yacudzer
-
-
23 минуты назад, gaaronk сказал:
Как раз NATить все скопом - проще. Выборочный NAT усложняет логику.
т.е. как я вижу все это: занатили все что можно и теперь пытаемся добавить какие-то бестолковые исключения, вместо того что бы просто занатить то что нужно и ничего более...
... и именно по этому мне теперь вручную на хостах статические маршруты прописывать ... хорошо хоть это все временно...
-
15 минут назад, gaaronk сказал:
Что бы изнутри локалки обращаться к ресурсам внутри же этой локалки по внешнему адресу, если для этого ресурса сделан проброс портов.
Грубо говоря вы пробросили внутрь порт 80, и ваш вебсервер доступен из мира под именем my.cool.server которое резолвится во внешний IP кинетика.
Что бы изнутри ходить на http://my.cool.server даже если и внутри локалки это имя резолвится во внешний IP
Так неужели не проще различить по какому адресу идет обращение - если по внешнему IP, то NATить... Все просто же, зачем такие извращения с NAT_LOOPBACK
-
7 минут назад, gaaronk сказал:
а и б как тут уже подсказали - штаное поведение, веб морда не понимает команды типа ip static Home ISP
ну надо же как то адаптировать это дело... т.е. если я попытаюсь создать в веб-морде правило, то слетят все остальные настройки?? это называется нормальным поведением? я понимаю, что может такое быть на стадии разработки, в как-нить бета-версии и т.п.... а тут вроде как релиз вышел...
7 минут назад, gaaronk сказал:c - не отключаемое, это NAT_LOOPBACK
а на кой пес он мне нужен??? и зачем тогда ввели ip static для интерфейсов???
-
Обновился до версии 2.09.C.0.0-1 и обнаружил следующие глюки:
1) при изменении пароля пользователя пропадает привязка к домашнему каталогу сервера FTP
2) после ввода
no ip nat Home ip static Home ISP ip static Home L2TP0
случилось следующее:
а) во вкладке NAT все пропало
б) при добавлении любого правила - исчезают все статические записи, в т.ч. указанные выше, остается только одно, свежедобавленное
с) траффик завернутый из Home в Home все равно натится
3) Не исправлен глюк с правами доступа к папкам: если я указываю пользователю домашний каталог для FTP, который не корень моего диска, я должен все равно открыть этому пользователю доступ ко всему диску
-
5 часов назад, gaaronk сказал:
Для ZBFW Self-Zone вам надо разрешать порты Isakmp UDP 500 и NAT-T UDP 4500 как destination а не как source и destination
Умно блин... Как я сам не догадался??? А вообще для этого там предусмотрены match protocol в class-map:
class-map type inspect match-any IPSEC-class match protocol isakmp match protocol ipsec-msft
Поэтому я и написал "что бы не городить дополнительных acl"...
-
11 час назад, KorDen сказал:
Ставьте beta 2.09, там будет и выдача опций DHCP и исходящий интерфейс для ip static. Хотя, если у вас на WAN кинетика статичный IP и это единственный WAN, можно сделать на 2.08 ip static Home 1.2.3.4 (где 1.2.3.4 - IP WAN-интерфейса)
Я, конечно, решил проблему частным путем, добавив на буке статический маршрут... Но вообще это задача роутера роутить траффик, а клиент не должен заморачиваться...
-
22 минуты назад, gaaronk сказал:
Да, в 2.09 появилось.
Проще уж на клиенте настроить отдельный маршрут для 192.168.0.0 255.255.0.0 в сторону циски.
Так и делаем...
ЦитатаНу или настроить DHCP что бы выдавал этот маршрут.
А кинетик это умеет разве?
Вообще это глюк, я считаю... Циска же мой ноут определяет с правильным IP и траффик до нее не натится, хотя так он же идет через кинетик... А трафик по статическому маршруту натится...
Jul 16 21:41:49.331: %SYS-5-CONFIG_I: Configured from console by yac52 on vty0 (192.168.234.2)[OK]
-
23 минуты назад, gaaronk сказал:
Это особая фича кинетика. Делать NAT для всего что входит в интерфейс.
Хотя это может быть фича masquerade LAN to LAN (NAT loopback)
А вот это уже не отключаемое.
Я так понимаю, инфа по ссылке пока только в бета-прошивках?? Ибо у меня команда ip static Home ISP не прошла...
прошивка release: v2.08(AAUW.0)C2
-
Использую следующую схему:
Естественно, на кинетике поднят NAT и настроен статический маршрут:
ip route 192.168.0.0 255.255.0.0 192.168.234.19 Home
Пробую с ноутбука пингануть что-то за IPSec-туннелем (например, 192.168.1.1) и вижу следующее в циске:
Jul 16 20:39:49.683: %FW-6-DROP_PKT: Dropping icmp session 192.168.234.1:0 192.168.1.1:0 on zone-pair ISP-ESKO class class-default due to DROP action found in policy-map with ip ident 2303
Дело в том, что циска настроена пропускать траффик только от 192.168.234.2, но никак не от всей остальной сети...
Смотрим дампы...
Соответственно, возникает вопрос... ЗАЧЕМ преобразовывать исходный адрес, если next-hop лежит в том же интерфейсе??????
-
В качестве временного решения для своих собственных нужд собрал дома следующую схему:
и был неприятно удивлен...
На Зухеле, естесвенно, работает NAT. Циска шлет ISAKMP-пакеты для 1й фазы, а зухель их натит и преобразует исходящий порт (500) в рандомный порт в соответствии с его (зухеля) религией...
Соответственно, на удаленной циске (1921) zone based firewall не распознает этот траффик как ISAKMP и отбраковывает... Пришлось прикручивать дополнительные ACL из-за капризов зухеля... Разве это правильно??? Тоже самое и с портом 4500, который при такой схеме обязательно включается в работу...
P.S. если натить через циску, то она не изменяет исходящий порт ISAKMP-соединения...
-
Есть кинетик giga 3 с подключенным жестким диском.
Создал пользователя, дал ему права на FTP, самому пользователю по умолчанию доступ к жесткому запрещен. Создал ему домашний каталог, разрашил доступ к этому каталогу, указал в настройках FTP домашний каталог. Итог - клиент не может присоединиться. Разрешил в управлении доступом к папкам права на весь жесткий (соответственно, ко всему что есть на жд) - заработало. Пользователь коннектится.
Т.е. для указания домашней вложенной (может даже несколько раз) папки необходимо разрешать доступ ко всей цепочке. Как я думаю, доступ должен осуществляться независимо от того разрешен ли доступ к каталогам выше или нет...
-
с циской кто-то поднимал ipsec-туннель? мне интересно, если в циске настроено tunnel mode ipsec ipv4 - это по сути gre туннель, только без gre-заголовка, что настраивать на кинетике в этом случае?
И есть ли возможность провести авторизацию на основе сертификатов?
-
В 12.10.2016 в 11:43, wOvAN сказал:
Плюс а как сделать редирект http - https при активации https, после активации http продолжает работать
Это просто, из интерфейса который в сторону инета сделать с 443 порта проброс на внутренний IP. А 80й не пробрасывать.
Или пробросить тоже на 443 (интересно как браузер себя поведет) ??
-
Все это замечательно. Но надо что бы торрент доступен был... Он так и продолжает работать по незащищенному соединению...
-
Подскажите, куда копать для того что бы организовать доступ к веб-морде торрент-клиента с внешней стороны?
-
DynDNS настроен так:
dyndns profile _WEBADMIN type custom domain mydomain.com username mydomain.com password mysuperpassword update-interval 3 days no send-address url https://dynamicdns.park-your-domain.com/update?host=@&domain=mydomain.com&password=mysuperpassword ... interface L2TP0 description BeeExternal peer tp.internet.beeline.ru dyndns profile _WEBADMIN ...
Однако, реально запись днс не обновляется, хотя на странице системного монитора, там где состояние соединения написано
Статус DyDNS updated sucessfully Если вручную вбить вдрес в строку браузера то все ок.
-
8 часов назад, Fandor сказал:
Я не знаю, баг это или фича.
Дело не в том что надо прописывать, а в том что пакеты дальше роутера не улетают... Хотя l2tp поднимается без проблем. Так что, скорее всего, баг.
-
48 минут назад, Fandor сказал:
Проверьте, всё ли вы сделали в соответствии с https://zyxel.ru/kb/4779/
С включенным IGPM оно, конечно, заработало. Но если я не ошибаюсь, то при проставленной галке порт wan и порт с галкой должны перейти в режим свича, т.е. приставка окажется в сети провайдера (не моей) и будет не за натом... Так это все-таки нормальное поведение или баг?
-
Есть Keenetic giga III, провайдер билайн (l2tp). Все хорошо, но есть ньюанс. Когда я ставлю галку "Приставка IPTV" на порту куда подключена приставка, перестает работать интернет. Т.е. l2tp соединение есть, но траффик дальше роутера не идет. Снимаю галку - все работает. Кто сталкивался?
Глюки последней версии 2.09.C.0.0-1
in Обмен опытом
Posted
Ладно, фик с ним, с натом... Скоро настроенная циска уедет в продакшн, немного осталось, потерпим... Суппорт, посмотрите хотя бы вопросы 1) и 3) из первого сообщения... Пожалуйста...