Jump to content

Yacudzer

Forum Members
  • Posts

    20
  • Joined

  • Last visited

Posts posted by Yacudzer

  1. 23 минуты назад, gaaronk сказал:

    Как раз NATить все скопом - проще. Выборочный NAT усложняет логику.

    т.е. как я вижу все это: занатили все что можно и теперь пытаемся добавить какие-то бестолковые исключения, вместо того что бы просто занатить то что нужно и ничего более...

    ... и именно по этому мне теперь вручную на хостах статические маршруты прописывать ... хорошо хоть это все временно...

  2. 15 минут назад, gaaronk сказал:

    Что бы изнутри локалки обращаться к ресурсам внутри же этой локалки по внешнему адресу, если для этого ресурса сделан проброс портов.

    Грубо говоря вы пробросили внутрь порт 80, и ваш вебсервер доступен из мира под именем my.cool.server которое резолвится во внешний IP кинетика.

    Что бы изнутри ходить на http://my.cool.server даже если и внутри локалки это имя резолвится во внешний IP

    Так неужели не проще различить по какому адресу идет обращение - если по внешнему IP, то NATить... Все просто же, зачем такие извращения с NAT_LOOPBACK

  3. 7 минут назад, gaaronk сказал:

    а и б как тут уже подсказали - штаное поведение, веб морда не понимает команды типа ip static Home ISP

    ну надо же как то адаптировать это дело... т.е. если я попытаюсь создать в веб-морде правило, то слетят все остальные настройки?? это называется нормальным поведением? я понимаю, что может такое быть на стадии разработки, в как-нить бета-версии и т.п.... а тут вроде как релиз вышел...

    7 минут назад, gaaronk сказал:

    c - не отключаемое, это NAT_LOOPBACK

    а на кой пес он мне нужен??? и зачем тогда ввели ip static для интерфейсов???

  4.  

    Обновился до версии 2.09.C.0.0-1 и обнаружил следующие глюки:

    1) при изменении пароля пользователя пропадает привязка к домашнему каталогу сервера FTP

    2) после ввода

    no ip nat Home
    ip static Home ISP
    ip static Home L2TP0
    

    случилось следующее:

    а) во вкладке NAT все пропало

    б) при добавлении любого правила - исчезают все статические записи, в т.ч. указанные выше, остается только одно, свежедобавленное

    с) траффик завернутый из Home в Home все равно натится :(

    3) Не исправлен глюк с правами доступа к папкам: если я указываю пользователю домашний каталог для FTP, который не корень моего диска, я должен все равно открыть этому пользователю доступ ко всему диску :(

     

  5. 5 часов назад, gaaronk сказал:

    Для ZBFW Self-Zone вам надо разрешать порты Isakmp  UDP 500 и  NAT-T UDP 4500 как destination  а не как source и destination

    Умно блин... Как я сам не догадался??? А вообще для этого там предусмотрены match protocol в class-map:

    class-map type inspect match-any IPSEC-class
     match protocol isakmp
     match protocol ipsec-msft
    

    Поэтому я и написал "что бы не городить дополнительных acl"...

  6. 11 час назад, KorDen сказал:

    Ставьте beta 2.09, там будет и выдача опций DHCP и исходящий интерфейс для ip static. Хотя, если у вас на WAN кинетика статичный IP и это единственный WAN, можно сделать на 2.08 ip static Home 1.2.3.4 (где 1.2.3.4 - IP WAN-интерфейса)

    Я, конечно, решил проблему частным путем, добавив на буке статический маршрут... Но вообще это задача роутера роутить траффик, а клиент не должен заморачиваться...

  7. 22 минуты назад, gaaronk сказал:

    Да, в 2.09 появилось.

    Проще уж на клиенте настроить отдельный маршрут для 192.168.0.0 255.255.0.0 в сторону циски.

    Так и делаем...

     

    Цитата

    Ну или настроить DHCP что бы выдавал этот маршрут.

    А кинетик это умеет разве?

     

    Вообще это глюк, я считаю... Циска же мой ноут определяет с правильным IP и траффик до нее не натится, хотя так он же идет через кинетик... А трафик по статическому маршруту натится...

    Jul 16 21:41:49.331: %SYS-5-CONFIG_I: Configured from console by yac52 on vty0 (192.168.234.2)[OK]

     

  8. 23 минуты назад, gaaronk сказал:

    Это особая фича кинетика. Делать NAT для всего что входит в интерфейс.

    Отключайте

    Хотя это может быть фича masquerade LAN to LAN (NAT loopback)

    А вот это уже не отключаемое.

    Я так понимаю, инфа по ссылке пока только в бета-прошивках?? Ибо у меня команда ip static Home ISP не прошла...

    прошивка release: v2.08(AAUW.0)C2

  9. Использую следующую схему:

    596bcfba5399f_-1.jpg.09e66c3e63113a4df6e27daac79668a8.jpg

    Естественно, на кинетике поднят NAT и настроен статический маршрут:

    ip route 192.168.0.0 255.255.0.0 192.168.234.19 Home

    Пробую с ноутбука пингануть что-то за IPSec-туннелем (например, 192.168.1.1) и вижу следующее в циске:

    Jul 16 20:39:49.683: %FW-6-DROP_PKT: Dropping icmp session 192.168.234.1:0 192.168.1.1:0 on zone-pair ISP-ESKO class class-default due to  DROP action found in policy-map with ip ident 2303

    Дело в том, что циска настроена пропускать траффик только от 192.168.234.2, но никак не от всей остальной сети...

    Смотрим дампы...

    Скрытый текст

    596bd1e7544a8_.thumb.jpg.3ba65bf9d0f517556ba38149cf93b6b3.jpg

    Соответственно, возникает вопрос... ЗАЧЕМ преобразовывать исходный адрес, если next-hop лежит в том же интерфейсе??????

  10. В качестве временного решения для своих собственных нужд собрал дома следующую схему:

    596bcb1e5b096_-1.jpg.a8a983788fad490d78ca4bb8f9210eef.jpg

    и был неприятно удивлен...

    На Зухеле, естесвенно, работает NAT. Циска шлет ISAKMP-пакеты для 1й фазы, а зухель их натит и преобразует исходящий порт (500) в рандомный порт в соответствии с его (зухеля) религией...

    Соответственно, на удаленной циске (1921) zone based firewall не распознает этот траффик как ISAKMP и отбраковывает... Пришлось прикручивать дополнительные ACL из-за капризов зухеля... Разве это правильно??? Тоже самое и с портом 4500, который при такой схеме обязательно включается в работу...

    P.S. если натить через циску, то она не изменяет исходящий порт ISAKMP-соединения...

  11. Есть кинетик giga 3 с подключенным жестким диском.

    Создал пользователя, дал ему права на FTP, самому пользователю по умолчанию доступ к жесткому запрещен. Создал ему домашний каталог, разрашил доступ к этому каталогу, указал в настройках FTP домашний каталог. Итог - клиент не может присоединиться. Разрешил в управлении доступом к папкам права на весь жесткий (соответственно, ко всему что есть на жд) - заработало. Пользователь коннектится.

    Т.е. для указания домашней вложенной (может даже несколько раз) папки необходимо разрешать доступ ко всей цепочке. Как я думаю, доступ должен осуществляться независимо от того разрешен ли доступ к каталогам выше или нет...

  12. с циской кто-то поднимал ipsec-туннель? мне интересно, если в циске настроено tunnel mode ipsec ipv4 - это по сути gre туннель, только без gre-заголовка, что настраивать на кинетике в этом случае?

    И есть ли возможность провести авторизацию на основе сертификатов?

  13. В 12.10.2016 в 11:43, wOvAN сказал:

    Плюс а как сделать редирект http - https при активации https, после активации http продолжает работать

    Это просто, из интерфейса который в сторону инета сделать с 443 порта проброс на внутренний IP. А 80й не пробрасывать.

    Или пробросить тоже на 443 (интересно как браузер себя поведет) ??

  14. DynDNS настроен так:

    dyndns profile _WEBADMIN
        type custom
        domain mydomain.com
        username mydomain.com
        password mysuperpassword
        update-interval 3 days
        no send-address
        url https://dynamicdns.park-your-domain.com/update?host=@&domain=mydomain.com&password=mysuperpassword
    
    ...
    interface L2TP0
        description BeeExternal
        peer tp.internet.beeline.ru
        dyndns profile _WEBADMIN
    ...

    Однако, реально запись днс не обновляется, хотя на странице системного монитора, там где состояние соединения написано

    Статус DyDNS updated sucessfully

     

    Если вручную вбить вдрес в строку браузера то все ок.

     

     
  15. 48 минут назад, Fandor сказал:

    Проверьте, всё ли вы сделали в соответствии с https://zyxel.ru/kb/4779/

    С включенным IGPM оно, конечно, заработало. Но если я не ошибаюсь, то при проставленной галке порт wan и порт с галкой должны перейти в режим свича, т.е. приставка окажется в сети провайдера (не моей) и будет не за натом... Так это все-таки нормальное поведение или баг?

  16. Есть Keenetic giga III, провайдер билайн (l2tp). Все хорошо, но есть ньюанс. Когда я ставлю галку "Приставка IPTV" на порту куда подключена приставка, перестает работать интернет. Т.е. l2tp соединение есть, но траффик дальше роутера не идет. Снимаю галку - все работает. Кто сталкивался?

×
×
  • Create New...