gaaronk

Тогда вопрос. Можно ли при задании ip static SRC DST, где DST - исходящий интерфейс сделать опцию чтобы рандомизировать транслируемые порты для UDP, как это делается для NAT на входном интерфейсе ? По сути проблемы. Роутер с публичным ип A держит ipsec туннель с хостом B. Клиент за роутером, полнимает от себя туннель к хосту B (иногда так надо, потому что в туннеле который держит роутер бегают определенные сетки, а иногда надо поднять на клиенте впн, что бы заворачивалось все). Роутер транслирует исходящий адрес и порт клиента (для IKE) в A:500 Статический туннель A-B через некоторое время умирает, потому что IKE сообщения от B к роутеру попадают вовсе не к роутеру, а к клиенту поднявшему отдельный туннель.

Кстати, если использовать в CLI что то вроде ip static Guest PPPoE0 То в web интерфейсе ранее введенные трансляции портов не отображаются.

Вот мне и интересно by design для чего?

Ping-check не используется

У меня для работы с GRE туннелями добавляются правила для NAT через стандартные хуки. И при этом пишется сообщение в лог. Все было хорошо до момента пока не начали работать wi-if клиенты. И тут полетело. [I] Jul 15 01:33:27 iptables: Add GRE rules to table nat [I] Jul 15 04:01:21 iptables: Core::Syslog: last message repeated 100 times. Думал может сислог глючит. Добавил в скрипт таймштамп. Все начало забиваться Jul 15 06:40:46iptablesdebug Sat Jul 15 06:40:46 MSK 2017 Jul 15 06:41:03iptablesAdd GRE rules to table nat Jul 15 06:41:03iptablesdebug Sat Jul 15 06:41:03 MSK 2017 Jul 15 06:41:46iptablesAdd GRE rules to table nat Jul 15 06:41:46iptablesdebug Sat Jul 15 06:41:46 MSK 2017 Jul 15 06:42:21iptablesAdd GRE rules to table nat Jul 15 06:42:21iptablesdebug Sat Jul 15 06:42:21 MSK 2017 Поясните пожалуйста зачем дергать правила раз несколько раз в минуту и как это отключить?! Ну не нужно же перестраивать цепочку NAT если ничего в конфигурации не поменялось, wan интерфейс не дергался и тд.

Это было бы ВЕЛИКОЛЕПНО

Да тот же RFC2409 этого НЕ запрещает.

При no nail-up в конфиг стронгсвана для соединения вставляется rekey = no А раз мы не делаем rekey то и lifitime у нас становится бесконечным, то есть 0. И мы ждем что rekey инициирует другая сторона.

А она у меня и не включена. Вот те куски iptables когда настроено так: ip nat Home ip nat Guest Все, больше настроек нет Chain POSTROUTING (policy ACCEPT 5 packets, 334 bytes) num pkts bytes target prot opt in out source destination 1 19 2854 _NDM_IPSEC_POSTROUTING_NAT all -- * * 0.0.0.0/0 0.0.0.0/0 2 5 334 _NDM_SNAT all -- * * 0.0.0.0/0 0.0.0.0/0 3 0 0 MASQUERADE all -- br0 * 0.0.0.0/0 0.0.0.0/0 4 0 0 MASQUERADE all -- br1 * 0.0.0.0/0 0.0.0.0/0 Chain _NDM_NAT_UDP (0 references) num pkts bytes target prot opt in out source destination 1 0 0 MASQUERADE udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spts:35000:65535 masq ports: 1024-34999 2 0 0 MASQUERADE udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spts:1024:34999 masq ports: 35000-65535 3 0 0 MASQUERADE udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spts:0:411 masq ports: 412-1023 4 0 0 MASQUERADE udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spts:412:1023 masq ports: 0-411 Включаю Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination 1 0 0 _NDM_IPSEC_POSTROUTING_NAT all -- * * 0.0.0.0/0 0.0.0.0/0 2 0 0 _NDM_SNAT all -- * * 0.0.0.0/0 0.0.0.0/0 3 0 0 MASQUERADE all -- br0 * 0.0.0.0/0 0.0.0.0/0 4 0 0 MASQUERADE all -- br1 * 0.0.0.0/0 0.0.0.0/0 Chain _NDM_NAT_UDP (0 references) num pkts bytes target prot opt in out source destination 1 0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 2 0 0 MASQUERADE udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spts:1024:34999 masq ports: 35000-65535 3 0 0 MASQUERADE udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spts:0:411 masq ports: 412-1023 4 0 0 MASQUERADE udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spts:412:1023 masq ports: 0-411 Выключаю и возвращаюсь к исходному.

А вот поясните пожалуйста что именно делает команда ip nat udp-port-preserve ? Как я вижу она вставляет в цепочку _NDM_NAT_UDP первым правилом RETURN Вопрос в том что на цепочку _NDM_NAT_UDP и так никто не ссылается. Трафик в нее никогда не попадает В версии 2.09.B.0.0-1 так точно Ибо в POSTROUTING только 3 0 0 MASQUERADE all -- br0 * 0.0.0.0/0 0.0.0.0/0 4 0 0 MASQUERADE all -- br1 * 0.0.0.0/0 0.0.0.0/0 Ну и Chain _NDM_NAT_UDP (0 references)

Ну я писал уже как то

Хотелось бы получить возможность делать NAT не по входящему интерфейсу, а по исходящему. Нормальный маскарадинг с udp preserve и прочими плюшками. Без костыля в виде static.

На 2.09 beta при ребуте один раз стронгсван не стартовал. Все что было в логе это ndm: IpSec::Configurator: system failed [0xcffd0080], code = 255. После еще одного ребута - все хорошо.

<delete>

А почему ESP соединения висят conntrack как UNREPLIED ? Хотя трафик идет по ним в обе стороны постоянно? На простом debian они попадают в RELATED,ESTABLISHED

Проброс сделал. Все работает. В файрволе сделал проброс лишнее прикрыл фильтрами. Что удивительно, когда web интерфейс висит на порту 8080 то проблем в Safari нет. Перевешиваешь на другой порт - и все идет в разнос. Вообщем всем спасибо за ответы.

Да, открывается 443 порт. А как его сменить?

Хмм. А как она работает? Веб сервер так и остался на порту 8090. И там http, а не https.

При чем в какой то момент все устаканивается и запрос на пароль не приходит, и через сафари все работает корректно.

О! А команду включения SSL не подскажете?

Сменить через CLI порт http сервера, попробовать зайти (даже изнутри) на web при помощи Safari. В ответ на все GET или POST получать HTTP/1.1 401 Unauthorized Чистка кэша, куков, local storage не помогает. На IE такой проблемы нет.

Это разве что от совсем инициативного дурака. в конфиг стронгсавна было добавлено charon { threads = 10 }

А вот не кривые руки На вкладке /#security.ipsec есть только туннели и кнопка Add для нового туннеля. А опции VPN Server нет вообще Страничка выглядит так

Извините, был напуган. Это все мои кривые руки. Туннели работают нормально. UPD как я добился такого странного эффекта могу рассказать. Обычный пользователь такого конечно не сделает. Но на swan на x86 машине это к такому не приводит.

При доступе к web интерфейсу через WAN порт раз в 5 секунд спрашивает пароль. Как это отключить?!