Jump to content

gaaronk

Forum Members
  • Posts

    274
  • Joined

  • Days Won

    3

Everything posted by gaaronk

  1. Это да. Но это не относится к NAT Loopback, imho.
  2. По завету Le ecureuil буду активнее в соотвесвующей теме. Даешь нормальный NAT на выход!
  3. Я не желающий. Я понимающий как оно работает на уровне иптаблес и поясняющий остальным. =)
  4. Ну поймите. Рутер рассчитан на домашнего пользователя. Где производитель подстелил соломки где только можно. Что бы все работало и обращений в поддержку было минимальное количество. Вам нужно нестандартного? Или открывайте топики в теме про развитие или используйте другой инструмент - рутера на опенврт, с прошивкой падавана, циски и тд и тп.
  5. Как раз NATить все скопом - проще. Выборочный NAT усложняет логику.
  6. Возможность отключения, хотя бы через CLI, NAT Loopback.
  7. Что бы изнутри локалки обращаться к ресурсам внутри же этой локалки по внешнему адресу, если для этого ресурса сделан проброс портов. Грубо говоря вы пробросили внутрь порт 80, и ваш вебсервер доступен из мира под именем my.cool.server которое резолвится во внешний IP кинетика. Что бы изнутри ходить на http://my.cool.server даже если и внутри локалки это имя резолвится во внешний IP
  8. а и б как тут уже подсказали - штаное поведение, веб морда не понимает команды типа ip static Home ISP c - не отключаемое, это NAT_LOOPBACK
  9. А если уже обновился но после перезагрузки не менял и не сохранял конфигурацию - слетит ли конфиг при ребуте? А то электричество может мигнуть.
  10. Тогда должно все работать. Вот пример живого конфига class-map type inspect match-any cls-gw-ipsec match protocol isakmp match protocol ipsec-msft policy-map type inspect pmap-wan-to-gw class type inspect cls-gw-ipsec inspect class class-default drop zone-pair security wan-to-gw source wan destination self service-policy type inspect pmap-wan-to-gw Включаем дебаг и смотрим Jul 17 14:31:04.972: ISAKMP-PAK: (0):received packet from 1.1.1.1 dport 500 sport 56149 Global (N) NEW SA Jul 17 14:31:04.972: ISAKMP: (0):Created a peer struct for 1.1.1.1, peer port 56149 Jul 17 14:31:04.972: ISAKMP: (0):New peer created peer = 0x7FB9E230D038 peer_handle = 0x80000232 Jul 17 14:31:04.972: ISAKMP: (0):Locking peer struct 0x7FB9E230D038, refcount 1 for crypto_isakmp_process_block Jul 17 14:31:04.972: ISAKMP: (0):local port 500, remote port 56149 Jul 17 14:31:04.972: ISAKMP: (0):Find a dup sa in the avl tree during calling isadb_insert sa = 7FB9E230F300 Jul 17 14:31:04.972: ISAKMP: (0):processing SA payload. message ID = 0 Jul 17 14:31:04.972: ISAKMP: (0):processing ID payload. message ID = 0 Jul 17 14:31:04.972: ISAKMP: (0):ID payload Все заработало, при том что соединение пришло НЕ с 500-го порта.
  11. opkg install bird4 birdc4 и все будет. Лучше квагги. Я как раз использую внутри GRE туннелей.
  12. Для ZBFW Self-Zone вам надо разрешать порты Isakmp UDP 500 и NAT-T UDP 4500 как destination а не как source и destination
  13. В 2.09.B.0.0-1 так точно нет, а более новой не видать.
  14. Ну что делать коли с тонкой настройкой NAT на кинетике полная беда. Жестко заточено для домашнего пользователя. Мелкий бизнес уже мимо.
  15. И в случае топик стартера тоже. У него пакет пришел в br0, развернулся на маршрутизации и ушел в br0. Следите за руками При отключении ip nat Home и настройке ip static Home 1.2.3.4 получаем что пакет попадает в цепочку POSTROUTING Оттуда падает в _NDM_SNAT, оттуда сразу в _NDM_STATIC_LOOP а там уже его ждет Chain _NDM_STATIC_LOOP (1 references) num pkts bytes target prot opt in out source destination 6 0 0 MASQUERADE all -- br0 br0 0.0.0.0/0 0.0.0.0/0 Все, с интерфейса он выйдет с IP адресом рутера.
  16. Умеет отдавать опции, но тоже в последних версиях. Трафик от вас до циски идет через компонент кинетика - коммутатор. А до сети 192.168.1.0/24 (например) уже через маршрутизатор. И там натится.
  17. Да, в 2.09 появилось. Проще уж на клиенте настроить отдельный маршрут для 192.168.0.0 255.255.0.0 в сторону циски. Ну или настроить DHCP что бы выдавал этот маршрут. А почему бы IPSec не настроить на самом кинетике?
  18. Это особая фича кинетика. Делать NAT для всего что входит в интерфейс. Отключайте Хотя это может быть фича masquerade LAN to LAN (NAT loopback) А вот это уже не отключаемое.
  19. Тогда вопрос. Можно ли при задании ip static SRC DST, где DST - исходящий интерфейс сделать опцию чтобы рандомизировать транслируемые порты для UDP, как это делается для NAT на входном интерфейсе ? По сути проблемы. Роутер с публичным ип A держит ipsec туннель с хостом B. Клиент за роутером, полнимает от себя туннель к хосту B (иногда так надо, потому что в туннеле который держит роутер бегают определенные сетки, а иногда надо поднять на клиенте впн, что бы заворачивалось все). Роутер транслирует исходящий адрес и порт клиента (для IKE) в A:500 Статический туннель A-B через некоторое время умирает, потому что IKE сообщения от B к роутеру попадают вовсе не к роутеру, а к клиенту поднявшему отдельный туннель.
  20. Кстати, если использовать в CLI что то вроде ip static Guest PPPoE0 То в web интерфейсе ранее введенные трансляции портов не отображаются.
  21. Вот мне и интересно by design для чего?
  22. Ping-check не используется
  23. У меня для работы с GRE туннелями добавляются правила для NAT через стандартные хуки. И при этом пишется сообщение в лог. Все было хорошо до момента пока не начали работать wi-if клиенты. И тут полетело. [I] Jul 15 01:33:27 iptables: Add GRE rules to table nat [I] Jul 15 04:01:21 iptables: Core::Syslog: last message repeated 100 times. Думал может сислог глючит. Добавил в скрипт таймштамп. Все начало забиваться Jul 15 06:40:46iptablesdebug Sat Jul 15 06:40:46 MSK 2017 Jul 15 06:41:03iptablesAdd GRE rules to table nat Jul 15 06:41:03iptablesdebug Sat Jul 15 06:41:03 MSK 2017 Jul 15 06:41:46iptablesAdd GRE rules to table nat Jul 15 06:41:46iptablesdebug Sat Jul 15 06:41:46 MSK 2017 Jul 15 06:42:21iptablesAdd GRE rules to table nat Jul 15 06:42:21iptablesdebug Sat Jul 15 06:42:21 MSK 2017 Поясните пожалуйста зачем дергать правила раз несколько раз в минуту и как это отключить?! Ну не нужно же перестраивать цепочку NAT если ничего в конфигурации не поменялось, wan интерфейс не дергался и тд.
×
×
  • Create New...