4.2 альфа 15 - 4.2 alpha 16 сломали проброс портов внутри туннелей

Dr.ZuLuS · July 1, 2024

Добрый день, долго сидел на 4.2 alpha 7, решил на днях обновить на 4.2 альфа 15, заметил что не идут бекапы с работы через IPIP туннель где сделан проброс портов, выяснил что проброс портов работает только для интерфейса провайдера, остальные подключения не пробрасывают порты внутрь себя.

Обновился до 4.2 16 альфа и там тоже самое, пришлось откатить до 4.2. альфа 7, там все работает.

Dr.ZuLuS · July 10, 2024

4.2 Alpha 17 так же не работает, селф приложил.

Le ecureuil · July 10, 2024

Спасибо за репорт, постараемся решить.

Dr.ZuLuS · September 18, 2024

4.2 Beta 3 не починили.

Баг же критичный и тянется уже давно.

Приходится сидеть на старой альфе 4.2 А17, столько нового пропускаю.

Edited September 18, 2024 by Dr.ZuLuS
Добавил плач Ярославны

Dr.ZuLuS · November 7, 2024

4.2.2 Beta так и не починили, проброс внутри туннелей не работает.

4.3. Альфа 4 тоже не работает проброс.

4.2.1 Stable не работает port forwarding так же

image.png.a4b819290cd50bcc0768678e03a3a203.png

Edited November 7, 2024 by Dr.ZuLuS

Le ecureuil · November 13, 2024

На первый взгляд все в порядке, в self-test зацепок нет, и локально воспроизвести в подобной конфигурации не вышло.

Попробуйте убрать conform для этого хоста - чисто для проверки ситуации.

Еще неплохо бы проверить работает ли проброс с других WAN, которые сейчас в резерве.

Dr.ZuLuS · November 14, 2024

К сожалению отключение conform для хоста не помогло.

Прикрепляю новый селф тест на 4.3 A5, по нему видно что если пробросить веб морду заббикса через WAN то проброс работает, а если через VPN туннель, то не работает.

Le ecureuil · November 14, 2024

Видимо вам только в официальную поддержку - они помогут с выяснением деталей.

Dr.ZuLuS · November 28, 2024

В поддержке долго тянули кота за хвост, задавая уточняющие вопросы, в итоге развели руками и сказали переделать на чистую маршрутизацию без NAT и проброса портов.

В моей конфиге это оказалось не так то просто т.к. используется VPN IKEv2 который не подразумевает обратный маршрут в силу специфики реализации.

Пришлось перекраивать пол конфиги, кроить no isolate private, настраивать закрытый фаерволл с запрещающими правилами и переделывать VPN туннели.

Считаю что оф техподдержка стала работать медленно (были обращения ранее, которые отрабатывали за несколько дней) и плохо, т.к. по сути сломанный и ранее заявленный работающим функционал отказались чинить и предлагают костыли вместо этого.

К разработчикам которые на форуме, в частности к вам уважаемый Le ecureuil претензий нет.

Leshiyart · November 28, 2024

В 14.11.2024 в 11:50, Dr.ZuLuS сказал:

К сожалению отключение conform для хоста не помогло.

а этот клиент куда проброшен порт использует для выхода в интернет основную политику или дополнительную?

Dr.ZuLuS · November 28, 2024

Только что, Leshiyart сказал:

а этот клиент куда проброшен порт использует для выхода в интернет основную политику или дополнительную?

Основная политика.

Mnior · February 19

И чем всё закончилось?
Проброс портов в другие интерфейсы всё?

Сильно не бейте (не сильно разбираюсь), но когда смотрю show ip nat то вобще не понимаю что происходит - In/Out не сходится, зеркально, в случае указания IP из другой сети. Для локальной всё норм.

PS: Буду рад если в двух словах опишите почему In/Out в show ip nat не всегда зеркален.

Dr.ZuLuS · February 20

8 часов назад, Mnior сказал:

И чем всё закончилось?
Проброс портов в другие интерфейсы всё?

Сильно не бейте (не сильно разбираюсь), но когда смотрю show ip nat то вобще не понимаю что происходит - In/Out не сходится, зеркально, в случае указания IP из другой сети. Для локальной всё норм.

PS: Буду рад если в двух словах опишите почему In/Out в show ip nat не всегда зеркален.

Долго объяснял поддержке что я не верблюд. Там мне предлагали удалить отключенные правила фаервола (видимо на всякий случай), это ожидаемо не принесло результата.

Понял что мою проблему далее 1 линии ТП не продвинут, хотя я предоставил все селфтесты (несколько раз на разных прошивках) и все данные для воспроизведения и просто переделал свою конфигу с проброса портов на чистую маршрутизацию между сетями без NAT.

Первая линия ТП опустила руки и сказала, что если им удастся воспроизвести у себя "на столе" то они обязательно передадут разрабам.

Пол года пытался решить на форуме, еще месяц с ТП.

Видимо кроме меня и вас никому port forwarding на других интерфейсах кроме WAN не нужен.

Mnior · February 20

Цитата

Видимо кроме меня и вас никому port forwarding на других интерфейсах кроме WAN не нужен.

Есть тут на форуме темы где это спрашивают:

Несколько топиков где это через SSH хотят/спрашивают
Были ещё более сложные вопросы с пробросом

Mnior · February 21

Есть подозрение что нужно что-то похожее как тут: Wireguard, не уходит трафик от локальной сети к удаленным клиентам
Но меня смущает то что приведённый там show ip nat адекватный в отличие от моего ...

Связаная докуха

Edited February 21 by Mnior
add docs

Sign In

4.2 альфа 15 - 4.2 alpha 16 сломали проброс портов внутри туннелей

Question

Dr.ZuLuS

14 answers to this question

Recommended Posts

Dr.ZuLuS

Le ecureuil

Dr.ZuLuS

Dr.ZuLuS

Le ecureuil

Dr.ZuLuS

Le ecureuil

Dr.ZuLuS

Leshiyart

Dr.ZuLuS

Mnior

Dr.ZuLuS

Mnior

Mnior

Join the conversation

Recently Browsing 0 members

Browse

Activity

Store

My Details

Important Information