Jump to content

Question

Posted

Добрый день, долго сидел на 4.2 alpha 7, решил на днях обновить на 4.2 альфа 15, заметил что не идут бекапы с работы через IPIP туннель где сделан проброс портов, выяснил что проброс портов работает только для интерфейса провайдера, остальные подключения не пробрасывают порты внутрь себя.

Обновился до 4.2 16 альфа и там тоже самое, пришлось откатить до 4.2. альфа 7, там все работает.

  • Need more info 1

14 answers to this question

Recommended Posts

  • 0
Posted (edited)

4.2 Beta 3 не починили.

Баг же критичный и тянется уже давно.

Приходится сидеть на старой альфе 4.2 А17, столько нового пропускаю.

Edited by Dr.ZuLuS
Добавил плач Ярославны
  • 0
Posted (edited)

4.2.2 Beta так и не починили, проброс внутри туннелей не работает.

4.3. Альфа 4 тоже не работает проброс.

4.2.1 Stable не работает port forwarding так же

image.png.a4b819290cd50bcc0768678e03a3a203.png

Edited by Dr.ZuLuS
  • 0
Posted

На первый взгляд все в порядке, в self-test зацепок нет, и локально воспроизвести в подобной конфигурации не вышло.

Попробуйте убрать conform для этого хоста - чисто для проверки ситуации.

Еще неплохо бы проверить работает ли проброс с других WAN, которые сейчас в резерве.

  • 0
Posted

К сожалению отключение conform для хоста не помогло.

Прикрепляю новый селф тест на 4.3 A5, по нему видно что если пробросить веб морду заббикса через  WAN то проброс работает, а если через VPN туннель, то не работает.

image.thumb.png.253a37ae43ca656edd7d4b73531a6283.png

  • 0
Posted

В поддержке долго тянули кота за хвост, задавая уточняющие вопросы, в итоге развели руками и сказали переделать на чистую маршрутизацию без NAT и проброса портов.

В моей конфиге это оказалось не так то просто т.к. используется VPN IKEv2 который не подразумевает обратный маршрут в силу специфики реализации.

Пришлось перекраивать пол конфиги, кроить no isolate private, настраивать закрытый фаерволл с запрещающими правилами и переделывать VPN туннели.

Считаю что оф техподдержка стала работать медленно (были обращения ранее, которые отрабатывали за несколько дней) и плохо, т.к. по сути сломанный и ранее заявленный работающим функционал отказались чинить и предлагают костыли вместо этого.

К разработчикам которые на форуме, в частности к вам уважаемый Le ecureuil  претензий нет.

  • 0
Posted
В 14.11.2024 в 11:50, Dr.ZuLuS сказал:

К сожалению отключение conform для хоста не помогло.

а этот клиент куда проброшен порт использует для выхода в интернет основную политику или дополнительную?

  • 0
Posted
Только что, Leshiyart сказал:

а этот клиент куда проброшен порт использует для выхода в интернет основную политику или дополнительную?

Основная политика.

  • 0
Posted

И чем всё закончилось?
Проброс портов в другие интерфейсы всё?

Сильно не бейте (не сильно разбираюсь), но когда смотрю show ip nat то вобще не понимаю что происходит - In/Out не сходится, зеркально, в случае указания IP из другой сети. Для локальной всё норм. 

PS: Буду рад если в двух словах опишите почему In/Out в show ip nat  не всегда зеркален.

  • 0
Posted
8 часов назад, Mnior сказал:

И чем всё закончилось?
Проброс портов в другие интерфейсы всё?

Сильно не бейте (не сильно разбираюсь), но когда смотрю show ip nat то вобще не понимаю что происходит - In/Out не сходится, зеркально, в случае указания IP из другой сети. Для локальной всё норм. 

PS: Буду рад если в двух словах опишите почему In/Out в show ip nat  не всегда зеркален.

Долго объяснял поддержке что я не верблюд. Там мне предлагали удалить отключенные правила фаервола (видимо на всякий случай), это ожидаемо не принесло результата.

Понял что мою проблему далее 1 линии ТП не продвинут, хотя я предоставил все селфтесты (несколько раз на разных прошивках) и все данные для воспроизведения и просто переделал свою конфигу с проброса портов на чистую маршрутизацию между сетями без NAT.

Первая линия ТП опустила руки и сказала, что если им удастся воспроизвести у себя "на столе" то они обязательно передадут разрабам.

Пол года пытался решить на форуме, еще месяц с ТП.

Видимо кроме меня и вас никому port forwarding на других интерфейсах кроме WAN не нужен.

 

  • 0
Posted
Цитата

Видимо кроме меня и вас никому port forwarding на других интерфейсах кроме WAN не нужен.

Есть тут на форуме темы где это спрашивают:

Несколько топиков где это через SSH хотят/спрашивают
Были ещё более сложные вопросы с пробросом

  • 0
Posted (edited)

Есть подозрение что нужно что-то похожее как тут: Wireguard, не уходит трафик от локальной сети к удаленным клиентам
Но меня смущает то что приведённый там show ip nat адекватный в отличие от моего ...

Связаная докуха

Edited by Mnior
add docs

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.