gaaronk
-
Posts
299 -
Joined
-
Days Won
3
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Everything posted by gaaronk
-
IPSEC туннель ЧЕРЕЗ keenetic
gaaronk replied to Yacudzer's topic in Обсуждение IPsec, OpenVPN и других туннелей
Для ZBFW Self-Zone вам надо разрешать порты Isakmp UDP 500 и NAT-T UDP 4500 как destination а не как source и destination -
IPSEC туннель ЧЕРЕЗ keenetic
gaaronk replied to Yacudzer's topic in Обсуждение IPsec, OpenVPN и других туннелей
В 2.09.B.0.0-1 так точно нет, а более новой не видать. -
IPSEC туннель ЧЕРЕЗ keenetic
gaaronk replied to Yacudzer's topic in Обсуждение IPsec, OpenVPN и других туннелей
Ну что делать коли с тонкой настройкой NAT на кинетике полная беда. Жестко заточено для домашнего пользователя. Мелкий бизнес уже мимо. -
И в случае топик стартера тоже. У него пакет пришел в br0, развернулся на маршрутизации и ушел в br0. Следите за руками При отключении ip nat Home и настройке ip static Home 1.2.3.4 получаем что пакет попадает в цепочку POSTROUTING Оттуда падает в _NDM_SNAT, оттуда сразу в _NDM_STATIC_LOOP а там уже его ждет Chain _NDM_STATIC_LOOP (1 references) num pkts bytes target prot opt in out source destination 6 0 0 MASQUERADE all -- br0 br0 0.0.0.0/0 0.0.0.0/0 Все, с интерфейса он выйдет с IP адресом рутера.
-
Умеет отдавать опции, но тоже в последних версиях. Трафик от вас до циски идет через компонент кинетика - коммутатор. А до сети 192.168.1.0/24 (например) уже через маршрутизатор. И там натится.
-
Да, в 2.09 появилось. Проще уж на клиенте настроить отдельный маршрут для 192.168.0.0 255.255.0.0 в сторону циски. Ну или настроить DHCP что бы выдавал этот маршрут. А почему бы IPSec не настроить на самом кинетике?
-
Это особая фича кинетика. Делать NAT для всего что входит в интерфейс. Отключайте Хотя это может быть фича masquerade LAN to LAN (NAT loopback) А вот это уже не отключаемое.
-
IPSEC туннель ЧЕРЕЗ keenetic
gaaronk replied to Yacudzer's topic in Обсуждение IPsec, OpenVPN и других туннелей
Используйте в cli команду ip nat udp-port-preserve -
Тогда вопрос. Можно ли при задании ip static SRC DST, где DST - исходящий интерфейс сделать опцию чтобы рандомизировать транслируемые порты для UDP, как это делается для NAT на входном интерфейсе ? По сути проблемы. Роутер с публичным ип A держит ipsec туннель с хостом B. Клиент за роутером, полнимает от себя туннель к хосту B (иногда так надо, потому что в туннеле который держит роутер бегают определенные сетки, а иногда надо поднять на клиенте впн, что бы заворачивалось все). Роутер транслирует исходящий адрес и порт клиента (для IKE) в A:500 Статический туннель A-B через некоторое время умирает, потому что IKE сообщения от B к роутеру попадают вовсе не к роутеру, а к клиенту поднявшему отдельный туннель.
-
Кстати, если использовать в CLI что то вроде ip static Guest PPPoE0 То в web интерфейсе ранее введенные трансляции портов не отображаются.
-
Вот мне и интересно by design для чего?
-
Ping-check не используется
-
У меня для работы с GRE туннелями добавляются правила для NAT через стандартные хуки. И при этом пишется сообщение в лог. Все было хорошо до момента пока не начали работать wi-if клиенты. И тут полетело. [I] Jul 15 01:33:27 iptables: Add GRE rules to table nat [I] Jul 15 04:01:21 iptables: Core::Syslog: last message repeated 100 times. Думал может сислог глючит. Добавил в скрипт таймштамп. Все начало забиваться Jul 15 06:40:46iptablesdebug Sat Jul 15 06:40:46 MSK 2017 Jul 15 06:41:03iptablesAdd GRE rules to table nat Jul 15 06:41:03iptablesdebug Sat Jul 15 06:41:03 MSK 2017 Jul 15 06:41:46iptablesAdd GRE rules to table nat Jul 15 06:41:46iptablesdebug Sat Jul 15 06:41:46 MSK 2017 Jul 15 06:42:21iptablesAdd GRE rules to table nat Jul 15 06:42:21iptablesdebug Sat Jul 15 06:42:21 MSK 2017 Поясните пожалуйста зачем дергать правила раз несколько раз в минуту и как это отключить?! Ну не нужно же перестраивать цепочку NAT если ничего в конфигурации не поменялось, wan интерфейс не дергался и тд.
-
Все о туннелях IPIP, GRE и EoIP
gaaronk replied to Le ecureuil's topic in Обсуждение IPsec, OpenVPN и других туннелей
Это было бы ВЕЛИКОЛЕПНО -
Да тот же RFC2409 этого НЕ запрещает.
-
При no nail-up в конфиг стронгсвана для соединения вставляется rekey = no А раз мы не делаем rekey то и lifitime у нас становится бесконечным, то есть 0. И мы ждем что rekey инициирует другая сторона.
-
А она у меня и не включена. Вот те куски iptables когда настроено так: ip nat Home ip nat Guest Все, больше настроек нет Chain POSTROUTING (policy ACCEPT 5 packets, 334 bytes) num pkts bytes target prot opt in out source destination 1 19 2854 _NDM_IPSEC_POSTROUTING_NAT all -- * * 0.0.0.0/0 0.0.0.0/0 2 5 334 _NDM_SNAT all -- * * 0.0.0.0/0 0.0.0.0/0 3 0 0 MASQUERADE all -- br0 * 0.0.0.0/0 0.0.0.0/0 4 0 0 MASQUERADE all -- br1 * 0.0.0.0/0 0.0.0.0/0 Chain _NDM_NAT_UDP (0 references) num pkts bytes target prot opt in out source destination 1 0 0 MASQUERADE udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spts:35000:65535 masq ports: 1024-34999 2 0 0 MASQUERADE udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spts:1024:34999 masq ports: 35000-65535 3 0 0 MASQUERADE udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spts:0:411 masq ports: 412-1023 4 0 0 MASQUERADE udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spts:412:1023 masq ports: 0-411 Включаю Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination 1 0 0 _NDM_IPSEC_POSTROUTING_NAT all -- * * 0.0.0.0/0 0.0.0.0/0 2 0 0 _NDM_SNAT all -- * * 0.0.0.0/0 0.0.0.0/0 3 0 0 MASQUERADE all -- br0 * 0.0.0.0/0 0.0.0.0/0 4 0 0 MASQUERADE all -- br1 * 0.0.0.0/0 0.0.0.0/0 Chain _NDM_NAT_UDP (0 references) num pkts bytes target prot opt in out source destination 1 0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 2 0 0 MASQUERADE udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spts:1024:34999 masq ports: 35000-65535 3 0 0 MASQUERADE udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spts:0:411 masq ports: 412-1023 4 0 0 MASQUERADE udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spts:412:1023 masq ports: 0-411 Выключаю и возвращаюсь к исходному.
-
А вот поясните пожалуйста что именно делает команда ip nat udp-port-preserve ? Как я вижу она вставляет в цепочку _NDM_NAT_UDP первым правилом RETURN Вопрос в том что на цепочку _NDM_NAT_UDP и так никто не ссылается. Трафик в нее никогда не попадает В версии 2.09.B.0.0-1 так точно Ибо в POSTROUTING только 3 0 0 MASQUERADE all -- br0 * 0.0.0.0/0 0.0.0.0/0 4 0 0 MASQUERADE all -- br1 * 0.0.0.0/0 0.0.0.0/0 Ну и Chain _NDM_NAT_UDP (0 references)
-
Ну я писал уже как то
-
Хотелось бы получить возможность делать NAT не по входящему интерфейсу, а по исходящему. Нормальный маскарадинг с udp preserve и прочими плюшками. Без костыля в виде static.
-
Все о туннелях IPIP, GRE и EoIP
gaaronk replied to Le ecureuil's topic in Обсуждение IPsec, OpenVPN и других туннелей
На 2.09 beta при ребуте один раз стронгсван не стартовал. Все что было в логе это ndm: IpSec::Configurator: system failed [0xcffd0080], code = 255. После еще одного ребута - все хорошо. -
<delete>
-
Все о туннелях IPIP, GRE и EoIP
gaaronk replied to Le ecureuil's topic in Обсуждение IPsec, OpenVPN и других туннелей
А почему ESP соединения висят conntrack как UNREPLIED ? Хотя трафик идет по ним в обе стороны постоянно? На простом debian они попадают в RELATED,ESTABLISHED -
Проброс сделал. Все работает. В файрволе сделал проброс лишнее прикрыл фильтрами. Что удивительно, когда web интерфейс висит на порту 8080 то проблем в Safari нет. Перевешиваешь на другой порт - и все идет в разнос. Вообщем всем спасибо за ответы.
-
Да, открывается 443 порт. А как его сменить?
