Jump to content

Search the Community

Showing results for tags 'nat'.



More search options

  • Search By Tags

    Type tags separated by commas.
  • Search By Author

Content Type


Forums

  • Keenetic Community
    • Сборка и настройка приложений Opkg
    • Каталог готовых решений Opkg
    • Развитие NDMS
    • Неофициальная техподдержка NDMS
    • Тестирование NDMS
    • Мобильное приложение

YAHOO


Facebook Account


Twitter Account


Skype Account


Youtube Account


Google+ Account


Keenetic

Found 19 results

  1. Привет! Я пишу всякие сетевые приложули, и столкнулся с проблемой их тестирования, ибо при обращении по wan, роутер подставляет ответкой свой lan-адрес. То есть, схема "мастер-сервер" + "сервер" + "клиент" - не работает в пределах одной локальной сети: 1. Сервер пробует условно залогиниться у мастера через wan, мастер от кинетика в ответке получает локальный адрес этого самого кинетика. 2. Клиент пробует получить по wan список серверов, и получает список одинаковых локальных адресов кинетика. 3. Клиент пробует подключиться по wan к серверу через локальный адрес кинетика который получил, и закономерно не может подключиться: кинетик не знает кому переправлять (разве что мучить таблицы трансляции адресов по отдельности для lan и wan). Или пример посложнее, который принципиально не решаем с текущим положением дел: 1. Тот же сервер в локалке логинится у мастера по wan-адресу кинетика 2. Клиент из внешней сети, пытается получить у мастера тот же список адресов серверов, получает тот же список локальных адресов самого кинетика 3. Клиент пытается подключиться к своей локалке, и вообще ничего не может, ибо в его локалке вообще может не быть такого адреса. Предлагаю более логичную схему, которая позволит работать в данных условиях, хотя возможно чуть нагрузит прошивку. 1. Если к роутеру обращаются по wan, он подменяет ответный адрес на свой wan, и мутит nat, мол если придёт ответ на wan по этому порту - отправить назад тому кто обращался. 2. Если к роутеру обращаются по lan подменять оветку на свой lan. Это вроде не очень сложно, хотя и сложнее чем сделать фон веб-интерфейса тёмным, и я сталкивался с подобной схемой работы nlb у старых кинетиков (вроде giga 2, там, помнится, внешний подставлял) : )
  2. Здравствуйте. После того, как новый веб интерфейс сделали по умолчанию, заметил одну странность. У меня на роутере установлен lightppd и он сидит на 81 порту во внутренней сети а встроенная web, как надо на 80 (http). С помощью Network Adress Translation (NAT) настроено, что со стороны публичного интернета встроенная веб переадресовывается на порт 8080, а lightppd на 80 (http). (Не галочками на странице настроек и изменением портов там, еще по старому, когда этих настроек не было еще). Таким образом, кто заходит извне по публичному адресу роутера попадает на страничку lightppd, а на встроенную веб попадает по порту ххх.ххх.ххх.ххх:8080. Раньше замечательно все работало, и даже с помощью NAT Loopback в локальной сети, заходя по доменному адресу, которое присвоено на внешний IP, можно было без каких либо манипуляций из внутренней сети сразу видеть страничку lightppd и заходя по 192.168.1.1 или по публичному адресу xxx.xxx.xxx.xxx:8080, попасть на встроенную веб роутера. Проблема сейчас в том, что логика с переносом нового интерфейса на главную роль поломалось, и заходя из Интернета по публичному адресу, да открывается страничка lightppd, но вот при попытке зайти на веб страницу роутера по порту 8080 по публичному адресу ххх.ххх.ххх.ххх:8080, откроется страничка "404 не найдена страница", в адресной строке при этом будет уже переадресованый адрес ххх.ххх.ххх.хххх/_ . Если схитрить и набрать в строке ххх.ххх.ххх.хххх:8080/? или ххх.ххх.ххх.хххх:8080/_ то уже мы можем благополучно попасть на старую или новую соответсвенно страницы веб конфигуратора. Просим починить логику и приятных выходных.
  3. Oct 22 09:51:15ndm kernel: SWNAT bind table cleared Oct 22 09:51:15ndm Core::System::DriverManager: unloading hw_nat.ko... привет всем с какого то момента началось валиться в журнале, что это и как решить сбрасывал настраивал роутер заново, все равно self-test.txt
  4. Други! Направьте, если уже обсуждалось аналогичное. Есть keeenetic 2 2.10 прошивкой. Keendns через 3g/LTE модем работает на ура. Могу зайти на keenetic через web и все настраивать. Установил ещё домен 4го уровня для доступа на веб-интерфейс Моксы - тоже все работает. Мокса связывает меня тепловым насосом по Local TCP Application Port 4002. Естественно настроил NAT, т.к. keendns не пробрасывает внешние порты отличные от списка (80, 81, 280, 591, 777, 5080, 8080, 8090 и 65080 , читай https://help.keenetic.net/hc/ru/articles/115001511429-Пример-удаленного-доступа-к-ресурсам-домашней-сети-через-сервис-KeenDNS-с-помощью-классических-правил-NAT-) Короче для доступа к тепловому насосу мне нужно проброс обращений с одного из открытых внешних портов , например выбрал 8090, на мой порт 4002 внутреннего устройства (moxa) сети моего keenetica. Что и было это сделал с помощью NAT правила. Теперь, когда я обращаюсь из вне специальной программой управления тепловым насосом по адресу моёимя.mykeenetic.ru:8090 Пишет, что соединение установлено, но все равно не работает. Что и где я сделал не так или в принципе так как я придумал не работает ??? спасибо всем кто отозвался !
  5. Добрый день. Использую Keenetic Giga 2 на драфт прошивке 2.09.C.0.0-2. Хочу решить простую задачу: делаем проброс порта 64144 c белого IP-адреса PPPoE подключения на внутренний tcp сервер (192.168.1.6:88) и файерволлом ограничиваем ip адреса, с которых возможно подключение. Всё настроил, проброс проходит, но правила ФВ не отрабатывают. Было сделано: 1) Проброс порта 64144 с подлкючения RTK PPPoE на внутренний IP:88, правило сразу сработало. При переходе на внешнийIP:88, открывается необходимый ресурс. 2) ФВ, добавлено запрещающее правило: для любых входящих подключений, поступающих по каналу RTK PPPoE на порт 64144, После добавления правила порт остаётся открытым с любого внешнего хоста! 3) Далее после блокировки всех надо бы добавить правило для открытия доступа с определённого хоста, например сервера 2ip.ru для проверки доступности порта, но он показывает доступность ещё на шаге 2. Вопрос: как заставить работать файерволл? и заметка по багу: если указывать рабочее расписание в правиле и сохранять, при следующем открытии оно не будет выбранным.
  6. Использую следующую схему: Естественно, на кинетике поднят NAT и настроен статический маршрут: ip route 192.168.0.0 255.255.0.0 192.168.234.19 Home Пробую с ноутбука пингануть что-то за IPSec-туннелем (например, 192.168.1.1) и вижу следующее в циске: Jul 16 20:39:49.683: %FW-6-DROP_PKT: Dropping icmp session 192.168.234.1:0 192.168.1.1:0 on zone-pair ISP-ESKO class class-default due to DROP action found in policy-map with ip ident 2303 Дело в том, что циска настроена пропускать траффик только от 192.168.234.2, но никак не от всей остальной сети... Смотрим дампы... Соответственно, возникает вопрос... ЗАЧЕМ преобразовывать исходный адрес, если next-hop лежит в том же интерфейсе??????
  7. Как можно поднять NGROK на устройстве с серым IP? Или какие еще варианты есть достучаться до IP камеры через роутер,получающий серый IP?
  8. добрый день. прошу помочь разобраться со странной проблемой. keenetic viva, авторизация у провайдера по pppoe, много лет работала железка нормально, на одном из lan портов еще приставка dune hd 102, подписывается по igmp. просто перестал работать инет и тв, поднимается pppoe соединение, форвардинга никакого нет, потом падает, пробует соединяться сообщая в лог, что есть незавершенное pppoe. ТВ тоже не работает, хотя pppoe для этого не нужно, приставка должна получать так же приватный адрес из сети оператора. no ip на wan соединении делал, тоже ничего не помогает. прошивка последняя, ставил и предыдущие, сбрасывал все настройки, делал рекавери утилитой зиксель - ничего не помогает. в инете нашел похожую проблему, якобы с процессором проблема и можно смело выкидывать коробку...
  9. Добрый день! Прошу подсказки по настройке прозрачного (без NAT) роутинга между private-интерфейсами, когда один из них - L2TP/ipsec туннель. L2TP0 интерфейс на KeeneticII имеет security-level private, no global, прописана команда ip nat L2TP0, чтобы с сервера проходили пакеты к условному хосту 7.7.7.7, который доступен только через один из WAN-портов KeeneticII. Я ожидаю, что команда ip nat L2TP0 приведет к трансляции адресов из подсетей 192.168.200.0/24 и 192.168.230.0/24 при отправке пакетов в public-интерфейсы KeeneticII (к хосту 7.7.7.7, например), а при обращении к хостам из подсети 192.168.60.0/22 пакеты будут проходить прозрачно. Однако wireshark, запущенный на 192.168.60.40 показывает, что при пинге с адресов 192.168.230.33 или 192.168.200.130 хоста 192.168.60.40 источником пакетов является 192.168.60.1 Как сделать, чтобы хосты на разных концах туннелей этого RAS обращались друг к другу без NAT? Схема подключения для наглядного понимания на рисунке ниже.
  10. Доброго дня. А как на giga III v2.08(AAUW.0)C1 ограничить доступ к проброшенному порту? Есть SIP trunk. Пробросил порт 5060 до АТСки. Связь заработала. Хотел добавить deny правило для всех и permit правило для нужных IP, но deny правило не отрабатывает на проброшенный порт. Как быть? Не хочу обратно на openwrt) Может в какой-то альфе-бете уже организован данный функционал? Спасибо.
  11. Добрый вечер Бьюсь с проблемой, но не получается. Есть Кинетик (первый вроде), release: v2.04(BFW.2)C7 Подключен к провайдеру по 3G и к частной сети по PPTP. NAT включен только для соединения 3G, при создании PPTP галку "Выход в интернет" убрал. В VPN соединение прокинут маршрут к SIP шлюзу и он успешно пингуется. Однако, при попытке регистрации SIP клиентом на шлюзе получаю проблему из-за того, что кинетик натит пакеты в PPTP соединении (хотя вообще не должен был бы?), и делает это крайне странно - подменяя адрес источника на адрес провайдера сети 3G, что мне совсем не понятно... Когда-то стоял SIP ALG шлюз, но я его снес и делал команды config, components, далее команда remove nathelper-sip, commit В списке компонентов его нет, но проблема есть. Как быть подскажите?
  12. Giga II; Extra II v2.09 A3-3 При редактировании правила NAT в списке "Перенаправить на адрес" в строке для ввода IP появляется МАС прежнего устройства
  13. Giga II; Keenetic II; Extra II 2.09.A.3.0-0 Сломано выключение правил перенаправления адресов и портов в вкладке "Трансляция сетевых адресов (NAT)" Видео
  14. Keenetic Viva, v2.09(AANT.3)A0. При добавлении, или изменении уже существующих правил, в логе выводятся множественные сообщения, вида: [I] Jan 2 18:56:38 ndm: Network::StaticNat: static NAT rule has been added. [E] Jan 2 18:56:38 ndm: Network::StaticNat: static NAT rule does not exist. [E] Jan 2 18:56:38 ndm: Network::StaticNat: static NAT rule does not exist. [I] Jan 2 18:56:38 ndm: Network::StaticNat: static NAT schedule unchanged. [I] Jan 2 18:56:38 ndm: Network::StaticNat: static NAT disable unchanged. Так же (не знаю, фича это, или баг, но, тем не менее опишу ), в более ранних прошивках нельзя было добавить правила, в которых пересекались диапазоны портов. Например: self-test, прикрепил в скрытом сообщении, ниже.
  15. Собственно в чем ошибка: 1. /#security.statics - пробуем добавить правило для трансляции 2. Вибираем Translate to: Other на предыдущих прошивках появлялось поле для ввода ип на последней же - поле не появится, пока не нажать кнопку для сохранения правила. Версия прошивки Model Keenetic Ultra II NDMS version v2.09(AAUX.1)A2
  16. По ходу своей работы столкнулся с такой жутко неудобной проблемой: Настраиваю правила трансляции портов на NAT или правила блокировке firewall. Обычно это не одно правило, например RDP на несколько машин и еще пара портов проброа для временного/постоянного доступа, а так же firewall правила - до двух десятков бывает. Но вот незадача, если надо временно выключить доступ ко внутренним портам (бывает что на задачу 2-3 правила) то не кнопки выключить правило, его можно только банально "грохнуть"! Но мне в 80% случаев через какое-то время опять нужно включить правила и приходиться его создавать с нуля! Ну надо например на час два RDP закрыть, а потом открыть. А иногда порты-то по памяти и не вспомнишь! Так к чему я, на многих железках есть помимо удалить и вверх вниз приоритет поднять, кнопка выключить обработку правила, чтобы потом при необходимости его просто включить, а не создавать заново! А firewall если из десятка правил тестируешь... проще выключить и посмотреть как без правила работать, чем после удаления сказать - "Нет, давай ка назад и создавать правило заново!" Это ж время убивается и жесть как неудобно! На многих D-Link, NetGear, да чего далеко ходить, юзаю USG 40W и там все прекрасно есть... и куча правил... и часто половина выключены, а когда они нужны, я их просто включаю, заметьте, просто включаю, а не вспоминаю с мукой, что надо и не создаю заново! Пускай сделают напротив правило еще колонку, а там (как многие обычно делают) иконка лампочки, либо горит, либо нет. На худой конец галочки хватит! Заранее всем благодарен!
  17. Друзья, намучавшись вдоволь с настройкой IPSec VPN клиента для подключения к CISCO VPN с авторизацией XAuth PSK в веб-морде Giga3 и так и не получив коннекта, я решил решить это через Entware с помощью VPNC (который успешной трудится у меня на android смартфоне). И действительно как настройка так и коннект проходят гладко и за 10 минут мы получаем вот такое прерасное зрелище в busybox entware: Но вот беда - пакеты из локальной сети и даже от самого кинетика (скажем из той же морды) не идут по полученным от VPN сервера маршрутами. Ощущение, что NAT отсутствует, но как-бы он принудительно запускается в самом vpnc.conf при установлении коннекта. Задачи очевидные: 1) Сделать, чтобы всем клиентам роутера (wifi и lan) были доступны маршруты от VPN сервера 2) Первая задача не отменяет того, что все клиенты роутера выходят в интернет через тот же интерфейс, что и vpn. Прошу Вашего содействия или возмедного взаимодействия.
  18. Добрый день! Я нахожусь за NAT провайдера. Мой айпи серый и динамический, например 66.66.66.66 У меня есть арендованный виртуальный сервер с Ubuntu на борту. У сервера белый статический айпи, например 99.99.99.99. На нем настроен PPTP сервер и проброс 80 порта: iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 10.0.0.100:80 iptables -t nat -A POSTROUTING -p tcp -d 10.0.0.100 --dport 80 -j SNAT --to-source 99.99.99.99 При подключении к этому VPN с компьютера под управлением Windows (из моей сети) я снимаю галочку Use as default gateway и выполняю следующую команду: route -p add 99.99.99.99 mask 255.255.255.255 10.0.0.100 при этом я получаю следующее поведение: 1. Скорость моего подключения к интернету остается полной и соответствует заявленной провайдером. 2. Мой айпи с точки зрения всех сервисов остается 66.66.66.66 3. Самое главное - при запросе к айпи 99.99.99.99 открывается веб-сервер моего компьютера под управлением Windows - то есть, я получаю белый айпи без необходимости трясти провайдера. Я бы хотел получит аналогичное поведение при подключении к этому VPN со своего раутера Zyxel Keenetic Giga III - хочу чтобы все запросы по айпи 99.99.99.99 приходили на мой раутер и я дальше сам их распределял по своей локальной сети на основании правил Port Forwarding без необходимости подключать к VPN каждый узел сети по отдельности. Таким образом в настоящий момент, я ожидаю что при обращении к айпи 99.99.99.99 по 80 порту у меня откроется панель управления раутером. Остальные правила маршрутизации я намерен настроить позднее. Настройки, которые я применяю для подключения к VPN (скриншоты): Раутер успешно подключается к VPN, получает айпи 10.0.0.100 и успшено пингует сервер по айпи 10.0.0.1, сервер тоже может пропинговать раутер по айпи 10.0.0.100 Но при открытии адреса 99.99.99.99 в браузере я получаю Page can not be loaded. Вопрос: что я делаю не так и как мне добиться ожидаемого результата? Почему эта схема успешно работает в Windows, но не работает в моем раутере? Буду очень признателен за любую помощь! P.S.: Версия прошивки - v2.07(AAUW.5)C3
×