Jump to content

Search the Community

Showing results for tags 'nat'.



More search options

  • Search By Tags

    Type tags separated by commas.
  • Search By Author

Content Type


Forums

  • Keenetic Community
    • Keenetic Development
    • Keenetic Community Support
    • KeeneticOS Testing
    • Mobile App
  • Open Package Support
    • Opkg Help
    • Opkg Cookbook
    • Opkg Cookbook RUS

Find results in...

Find results that contain...


Date Created

  • Start

    End


Last Updated

  • Start

    End


Filter by number of...

Joined

  • Start

    End


Group


Location


Web-site


Interests


Occupation


AOL Account


ICQ Account


WLM


YAHOO


Facebook Account


Twitter Account


Skype Account


Youtube Account


Google+ Account


Keenetic

Found 26 results

  1. Доброго времени суток! Возникла у меня необходимость сделать SNAT при пробросе порта с публичного интерфейса на ip в сегменте. В линуксах есть iptables для этого, а тут такого нету. Это роутер keenetic lite 2 (хотел сначала OpenWRT поставить на него, но прочитал, что для lite 2 их нету (или нестабильные какие-то), а теперь уже поздно - там теперь стоит NDMS 2.14.C.0.0-4). Документация keenetic говорит, что SNAT выполняется только при переходе с private в public. Выходит, надо как-то пустить пакет по интерфейсам, чтоб он прошёл и DNAT, и SNAT. Есть туннели там (IP-IP, GRE), которыми, наверное, можно пускать трафик с одного интерфейса keenetic на другой, заставляя keenetic сделать DNAT и SNAT. Только вот я не понял пока как это можно сделать (как-то создать виртуальный интерфейс, brige). Кто-нибудь знает, как заставить keenetic делать и DNAT, и SNAT при передаче пакетов с порта на WAN на ip в сегменте? Спасибо за ответы.
  2. Читал инструкцию, искал на форуме ответы, находил близкое что-то, но... не то. Уже несколько дней я пытаюсь настроить сделать белый ip роутеру следующим образом: У меня есть роутер Keenetic Ultra II (прошивка: 2.13.C.0.0-3) и Keenetic Lite II (прошивка: 2.13.C.0.0-4 - отладочная). На Keenetic Lite II поднят PPTP сервер (белыq IP), на Keenetic Ultra II - клиент (серый IP). Я НЕ маршрутизирую подсети, т.к. это мне не надо. Мне вполне хватает IP, выданного PPTP сервером (из специально созданного для этого сегмента 172.16.1.0/30). Keenetic Lite II 172.16.1.1 Keenetic Ultra II имеет IP 172.16.1.2 DHCP в сегменте выключен, NAT не выключается, в PPTP NAT включен. На Keenetic Ultra II настроен firewall, который пропускает запросы из PPTP туннеля. Итого, я могу обратиться из сети Keenetic Ultra II на адрес 172.16.1.1 и попасть в настройки интернет-центра Keenetic Lite II Я могу обратиться из сети Keenetic Lite II (172.16.1.0/30) к 172.16.1.2 и попасть в настройки интернет-центра Keenetic Ultra II В настройках firewall Keenetic Ultra II разрешил пинг - идёт, 0% потерь! А вот с BroadBand nat на Keenetic Ultra II ну никак работать не хочет. Не натирует и всё тут! Порты указаны, вроде, верно (открыт нужный мне порт, направление на 80 порт по ip 172.16.1.2), но не работает... Не знаю что делать. Решил захватить несколько пакетов. Не увидел, чтоб Ultra пытался отправить ответ. А даже и пытался если, то куда он его отправит? На адрес source? Так это IP моего провайдера + динамический. Его там просто отбросят. Как мне сделать нормальное натирование? P.S. Не предлагайте мне убрать PPTP (заменить на другое), добавить маршруты сетей - мне это не нужно! Спасибо за ответы.
  3. andr3w

    Вот честно сколько лет занимаюсь администрированием linux серверов и не раз использовал таблицу raw для специфических задач, когда надо что-то сделать до conntrack (в принципе это единственный вариант) и никогда никакой просадки скорости не было, да и в принципе не может быть при прямых руках и грамотно написанных правилах. Может есть все таки возможность вернуть таблицу raw, если уж человек решил сам ее использовать? Если человеку не хватает стандартной прошивки и он ставит систему открытых пакетов, то он в принципе делает это на свой страх и риск. Задействовав кучу сервисов, можно не только просадку скорости получить, но и весь маршрутизатор положить... если уж так рассуждать.
  4. Alexander Eerie

    Не могу найти в вэб интерфейсе как отключить NAT. В синей версии была одна галочка, которая отключала нат на всех интерфейсах и включала на всех. Хочется иметь возможность отключать НАТ на интерфейсах VPN (на данный момент) и но на интерфейсах Эзернет тоже не помешает. У меня сейчас Всё работает с включенным в обе стороны трафик ходит, но иногда важно иметь представление с какого хоста пришел запрос из локалки.
  5. Доброго времени суток. Имею в наличии кинетик лайт 3 ревизии б. Недавно обновил его на прошивку 2.11.C.0.0-1 и программа 3CX перестала работать корректно. На предыдущей прошивке работа программы нареканий не вызывала. Суть проблемы заключается в том что я перестал слышать собеседника при этом он меня слышит прекрасно. Я понимал что в прошивке опять что-то сделали с NAT и поэтому просто попробовал режим DMZ для моего IP. Положительного эффекта это не дало. Подсоединил шнур от интернета напрямую к компьютеру и программа заработала. Есть ли гайд по даунгрейду прошивки или можно просто через веб интерфейс залить прошлую версию?
  6. Всем привет! Есть роутер кинетик ультра и сервер в облаке в интернете, на сервере установлен openvpn, конфиг сервера простейший: # cat /etc/openvpn/server.conf dev tun ifconfig 172.31.255.253 172.31.255.254 cipher AES-256-CBC verb 3 <secret> # # 2048 bit OpenVPN static key # </secret> Конфиг на кинетике: dev tun remote 66.66.66.66 ifconfig 172.31.255.254 172.31.255.253 cipher AES-256-CBC verb 3 <secret> # # 2048 bit OpenVPN static key # </secret> У кинетика статический белый IP, пусть будет 77.77.77.77. Тунель устанавливается без проблем, пинги с домашних устройств за кинетиком ходят до 172.31.255.253. Теперь хочется, например, пустить трафик до гугл днс через VPN. Добавляем в кинетике маршрут 8.8.8.8/32 via 172.31.255.254 и с самого кинетика все начинает отлично работать. Но вот с домашних устройств не работает. Если смотреть tcpdump на сервере, то пакеты на него прилетают с src=77.77.77.77 через тунель, помогите разобраться почему, плз) Теперь фокус, если на сервере указать push "route 8.8.8.8 255.255.255.255" а на кинетике поставить опцию "получать маршруты от удаленной стороны", то при установке туннеля маршрут не поялвяется, но если прописать его опять вручную, то все работает! Даже с хостов за кинетиком, пакеты на сервер прилетают с адресом 172.31.255.254, т.е. как и должны, но такое у меня получилось только с одним хостом, если в push route указать подсеть, то магия пропадает) Я правильно понимаю, что проблема в ip nat и ip static мне поможет? Если да, то вопрос, почему это работает с единичным IP и может всетаки можно обойтись без полного отключения ip nat? Интернет на кинетике через pppoe, галка использовать это подключение для выхода в интернет на соединении openvpn не установлена. Заранее благодарен!
  7. Собственно интересует наличие модуля для ipv6 nat, когда будет? Спасибо.
  8. День добрый, Дома стоит Keenetic Extra II После обновления прошивки с версии 2.10 на 2.11 перестал работать проброс порта ssh. Подскажите, - что-то изменилось? Настройки NAT и Firewall не менялись, но ноутбук стоящий за роутером через ssh более не доступен. в NAT настроено правило на трансляцию конкретного порта с роутера на конкретный порт устройства в Firewall прописан маршрут туда и обратно по портам в сеть роутера
  9. Суть задачи следующая. Основной интернет канал на даче по проводу, резервный на модеме с серым адресом создаю соединение на Zyxel Ultra II на интерфейсе модема l2tp + ipsec до сервера с прямым адресом на сервере делаю проброс порта 3389 на адрес полученный Zyxel а на Zyxel правило проброса 3389 в локальную сеть на ПК Не работает... Если Mikroik -> Mikrotik работает Мне надо что бы Mikrotik сервер VPN -> Zyxel работало.... Перепробовал разные комбинации настроек - чет никак... Может быть есть какой то другой способ что бы в случаи падения основного канала можно было достучаться до внутренней сети и сервисов... Или я чет не там где то настраиваю? Если кто то делал что то подобное напишите пожалуйста как чего куда.... p.s. где l2tp ipsec на Zyxel - c галочкой использовать для доступа в интернет и без нее результат одинаковый прошивка 2.10.C.1.0-0
  10. Привет! Я пишу всякие сетевые приложули, и столкнулся с проблемой их тестирования, ибо при обращении по wan, роутер подставляет ответкой свой lan-адрес. То есть, схема "мастер-сервер" + "сервер" + "клиент" - не работает в пределах одной локальной сети: 1. Сервер пробует условно залогиниться у мастера через wan, мастер от кинетика в ответке получает локальный адрес этого самого кинетика. 2. Клиент пробует получить по wan список серверов, и получает список одинаковых локальных адресов кинетика. 3. Клиент пробует подключиться по wan к серверу через локальный адрес кинетика который получил, и закономерно не может подключиться: кинетик не знает кому переправлять (разве что мучить таблицы трансляции адресов по отдельности для lan и wan). Или пример посложнее, который принципиально не решаем с текущим положением дел: 1. Тот же сервер в локалке логинится у мастера по wan-адресу кинетика 2. Клиент из внешней сети, пытается получить у мастера тот же список адресов серверов, получает тот же список локальных адресов самого кинетика 3. Клиент пытается подключиться к своей локалке, и вообще ничего не может, ибо в его локалке вообще может не быть такого адреса. Предлагаю более логичную схему, которая позволит работать в данных условиях, хотя возможно чуть нагрузит прошивку. 1. Если к роутеру обращаются по wan, он подменяет ответный адрес на свой wan, и мутит nat, мол если придёт ответ на wan по этому порту - отправить назад тому кто обращался. 2. Если к роутеру обращаются по lan подменять оветку на свой lan. Это вроде не очень сложно, хотя и сложнее чем сделать фон веб-интерфейса тёмным, и я сталкивался с подобной схемой работы nlb у старых кинетиков (вроде giga 2, там, помнится, внешний подставлял) : )
  11. Oct 22 09:51:15ndm kernel: SWNAT bind table cleared Oct 22 09:51:15ndm Core::System::DriverManager: unloading hw_nat.ko... привет всем с какого то момента началось валиться в журнале, что это и как решить сбрасывал настраивал роутер заново, все равно self-test.txt
  12. Возможность отключения, хотя бы через CLI, NAT Loopback.
  13. Добрый день! Я - системный администратор и очень активно использую протокол IPv6 в работе. Провайдер OnLime, который предоставляет нативный IPv6 через RA. Испытываю проблемы с устройством ZyXEL Keenetic Ultra II, т.к. ни в веб-интерфейсе ни в CLI не получается настроить ни кастомные роуты ни файрволл для IPv6 адресов. Веб-интерфейс требует IP адреса с точкой, т.е. IPv6 просто не принимает, а CLI просто говорит об ошибке. Подскажите, пожалуйста, это у меня руки кривые или действительно функциональность роутера ограничена в районе IPv6? Спасибо. P.S. Прошивка v2.06(AAUX.8)B0 UPD. Прошился бетой 2.07, ситуация не изменилась.
  14. Други! Направьте, если уже обсуждалось аналогичное. Есть keeenetic 2 2.10 прошивкой. Keendns через 3g/LTE модем работает на ура. Могу зайти на keenetic через web и все настраивать. Установил ещё домен 4го уровня для доступа на веб-интерфейс Моксы - тоже все работает. Мокса связывает меня тепловым насосом по Local TCP Application Port 4002. Естественно настроил NAT, т.к. keendns не пробрасывает внешние порты отличные от списка (80, 81, 280, 591, 777, 5080, 8080, 8090 и 65080 , читай https://help.keenetic.net/hc/ru/articles/115001511429-Пример-удаленного-доступа-к-ресурсам-домашней-сети-через-сервис-KeenDNS-с-помощью-классических-правил-NAT-) Короче для доступа к тепловому насосу мне нужно проброс обращений с одного из открытых внешних портов , например выбрал 8090, на мой порт 4002 внутреннего устройства (moxa) сети моего keenetica. Что и было это сделал с помощью NAT правила. Теперь, когда я обращаюсь из вне специальной программой управления тепловым насосом по адресу моёимя.mykeenetic.ru:8090 Пишет, что соединение установлено, но все равно не работает. Что и где я сделал не так или в принципе так как я придумал не работает ??? спасибо всем кто отозвался !
  15. Добрый день. Использую Keenetic Giga 2 на драфт прошивке 2.09.C.0.0-2. Хочу решить простую задачу: делаем проброс порта 64144 c белого IP-адреса PPPoE подключения на внутренний tcp сервер (192.168.1.6:88) и файерволлом ограничиваем ip адреса, с которых возможно подключение. Всё настроил, проброс проходит, но правила ФВ не отрабатывают. Было сделано: 1) Проброс порта 64144 с подлкючения RTK PPPoE на внутренний IP:88, правило сразу сработало. При переходе на внешнийIP:88, открывается необходимый ресурс. 2) ФВ, добавлено запрещающее правило: для любых входящих подключений, поступающих по каналу RTK PPPoE на порт 64144, После добавления правила порт остаётся открытым с любого внешнего хоста! 3) Далее после блокировки всех надо бы добавить правило для открытия доступа с определённого хоста, например сервера 2ip.ru для проверки доступности порта, но он показывает доступность ещё на шаге 2. Вопрос: как заставить работать файерволл? и заметка по багу: если указывать рабочее расписание в правиле и сохранять, при следующем открытии оно не будет выбранным.
  16. Хотелось бы получить возможность делать NAT не по входящему интерфейсу, а по исходящему. Нормальный маскарадинг с udp preserve и прочими плюшками. Без костыля в виде static.
  17. Использую следующую схему: Естественно, на кинетике поднят NAT и настроен статический маршрут: ip route 192.168.0.0 255.255.0.0 192.168.234.19 Home Пробую с ноутбука пингануть что-то за IPSec-туннелем (например, 192.168.1.1) и вижу следующее в циске: Jul 16 20:39:49.683: %FW-6-DROP_PKT: Dropping icmp session 192.168.234.1:0 192.168.1.1:0 on zone-pair ISP-ESKO class class-default due to DROP action found in policy-map with ip ident 2303 Дело в том, что циска настроена пропускать траффик только от 192.168.234.2, но никак не от всей остальной сети... Смотрим дампы... Соответственно, возникает вопрос... ЗАЧЕМ преобразовывать исходный адрес, если next-hop лежит в том же интерфейсе??????
  18. добрый день. прошу помочь разобраться со странной проблемой. keenetic viva, авторизация у провайдера по pppoe, много лет работала железка нормально, на одном из lan портов еще приставка dune hd 102, подписывается по igmp. просто перестал работать инет и тв, поднимается pppoe соединение, форвардинга никакого нет, потом падает, пробует соединяться сообщая в лог, что есть незавершенное pppoe. ТВ тоже не работает, хотя pppoe для этого не нужно, приставка должна получать так же приватный адрес из сети оператора. no ip на wan соединении делал, тоже ничего не помогает. прошивка последняя, ставил и предыдущие, сбрасывал все настройки, делал рекавери утилитой зиксель - ничего не помогает. в инете нашел похожую проблему, якобы с процессором проблема и можно смело выкидывать коробку...
  19. Добрый день! Прошу подсказки по настройке прозрачного (без NAT) роутинга между private-интерфейсами, когда один из них - L2TP/ipsec туннель. L2TP0 интерфейс на KeeneticII имеет security-level private, no global, прописана команда ip nat L2TP0, чтобы с сервера проходили пакеты к условному хосту 7.7.7.7, который доступен только через один из WAN-портов KeeneticII. Я ожидаю, что команда ip nat L2TP0 приведет к трансляции адресов из подсетей 192.168.200.0/24 и 192.168.230.0/24 при отправке пакетов в public-интерфейсы KeeneticII (к хосту 7.7.7.7, например), а при обращении к хостам из подсети 192.168.60.0/22 пакеты будут проходить прозрачно. Однако wireshark, запущенный на 192.168.60.40 показывает, что при пинге с адресов 192.168.230.33 или 192.168.200.130 хоста 192.168.60.40 источником пакетов является 192.168.60.1 Как сделать, чтобы хосты на разных концах туннелей этого RAS обращались друг к другу без NAT? Схема подключения для наглядного понимания на рисунке ниже.
  20. Вопрос, который давно уже поднимался, но лично для меня встал острее с появлением туннелей. На текущий момент единственный вариант не натировать сеть через туннель - отключить ip nat полностью, воспользовавшись ip static, однако он требует наличия статического IP - https://zyxel.ru/kb/3252/ По вполне очевидным причинам во многих случаях этот вариант совсем не приемлем (разве что играться со скриптами в entware). Варианты реализации с точки зрения пользователя, на мой взгляд: - в ip nat добавить опциональный исходящий интерфейс, описывая таким образом что натить, а что нет (скажем, натить Home->ISP, Guest ->ISP, IPIP0->ISP, но не натить IPIP<->Home) - в ip static добавить возможность указания исходящего интерфейса, чтобы автоматически брался IP с этого интерфейса
  21. Доброго дня. А как на giga III v2.08(AAUW.0)C1 ограничить доступ к проброшенному порту? Есть SIP trunk. Пробросил порт 5060 до АТСки. Связь заработала. Хотел добавить deny правило для всех и permit правило для нужных IP, но deny правило не отрабатывает на проброшенный порт. Как быть? Не хочу обратно на openwrt) Может в какой-то альфе-бете уже организован данный функционал? Спасибо.
  22. Добрый вечер Бьюсь с проблемой, но не получается. Есть Кинетик (первый вроде), release: v2.04(BFW.2)C7 Подключен к провайдеру по 3G и к частной сети по PPTP. NAT включен только для соединения 3G, при создании PPTP галку "Выход в интернет" убрал. В VPN соединение прокинут маршрут к SIP шлюзу и он успешно пингуется. Однако, при попытке регистрации SIP клиентом на шлюзе получаю проблему из-за того, что кинетик натит пакеты в PPTP соединении (хотя вообще не должен был бы?), и делает это крайне странно - подменяя адрес источника на адрес провайдера сети 3G, что мне совсем не понятно... Когда-то стоял SIP ALG шлюз, но я его снес и делал команды config, components, далее команда remove nathelper-sip, commit В списке компонентов его нет, но проблема есть. Как быть подскажите?
  23. По ходу своей работы столкнулся с такой жутко неудобной проблемой: Настраиваю правила трансляции портов на NAT или правила блокировке firewall. Обычно это не одно правило, например RDP на несколько машин и еще пара портов проброа для временного/постоянного доступа, а так же firewall правила - до двух десятков бывает. Но вот незадача, если надо временно выключить доступ ко внутренним портам (бывает что на задачу 2-3 правила) то не кнопки выключить правило, его можно только банально "грохнуть"! Но мне в 80% случаев через какое-то время опять нужно включить правила и приходиться его создавать с нуля! Ну надо например на час два RDP закрыть, а потом открыть. А иногда порты-то по памяти и не вспомнишь! Так к чему я, на многих железках есть помимо удалить и вверх вниз приоритет поднять, кнопка выключить обработку правила, чтобы потом при необходимости его просто включить, а не создавать заново! А firewall если из десятка правил тестируешь... проще выключить и посмотреть как без правила работать, чем после удаления сказать - "Нет, давай ка назад и создавать правило заново!" Это ж время убивается и жесть как неудобно! На многих D-Link, NetGear, да чего далеко ходить, юзаю USG 40W и там все прекрасно есть... и куча правил... и часто половина выключены, а когда они нужны, я их просто включаю, заметьте, просто включаю, а не вспоминаю с мукой, что надо и не создаю заново! Пускай сделают напротив правило еще колонку, а там (как многие обычно делают) иконка лампочки, либо горит, либо нет. На худой конец галочки хватит! Заранее всем благодарен!
  24. Друзья, намучавшись вдоволь с настройкой IPSec VPN клиента для подключения к CISCO VPN с авторизацией XAuth PSK в веб-морде Giga3 и так и не получив коннекта, я решил решить это через Entware с помощью VPNC (который успешной трудится у меня на android смартфоне). И действительно как настройка так и коннект проходят гладко и за 10 минут мы получаем вот такое прерасное зрелище в busybox entware: Но вот беда - пакеты из локальной сети и даже от самого кинетика (скажем из той же морды) не идут по полученным от VPN сервера маршрутами. Ощущение, что NAT отсутствует, но как-бы он принудительно запускается в самом vpnc.conf при установлении коннекта. Задачи очевидные: 1) Сделать, чтобы всем клиентам роутера (wifi и lan) были доступны маршруты от VPN сервера 2) Первая задача не отменяет того, что все клиенты роутера выходят в интернет через тот же интерфейс, что и vpn. Прошу Вашего содействия или возмедного взаимодействия.
×
×
  • Create New...