4.2 альфа 15 - 4.2 alpha 16 сломали проброс портов внутри туннелей

Dr.ZuLuS · 1 июля, 2024

Добрый день, долго сидел на 4.2 alpha 7, решил на днях обновить на 4.2 альфа 15, заметил что не идут бекапы с работы через IPIP туннель где сделан проброс портов, выяснил что проброс портов работает только для интерфейса провайдера, остальные подключения не пробрасывают порты внутрь себя.

Обновился до 4.2 16 альфа и там тоже самое, пришлось откатить до 4.2. альфа 7, там все работает.

Dr.ZuLuS · 10 июля, 2024

4.2 Alpha 17 так же не работает, селф приложил.

Le ecureuil · 10 июля, 2024

Спасибо за репорт, постараемся решить.

Dr.ZuLuS · 18 сентября, 2024

4.2 Beta 3 не починили.

Баг же критичный и тянется уже давно.

Приходится сидеть на старой альфе 4.2 А17, столько нового пропускаю.

Изменено 18 сентября, 2024 пользователем Dr.ZuLuS
Добавил плач Ярославны

Dr.ZuLuS · 7 ноября, 2024

4.2.2 Beta так и не починили, проброс внутри туннелей не работает.

4.3. Альфа 4 тоже не работает проброс.

4.2.1 Stable не работает port forwarding так же

image.png.a4b819290cd50bcc0768678e03a3a203.png

Изменено 7 ноября, 2024 пользователем Dr.ZuLuS

Le ecureuil · 13 ноября, 2024

На первый взгляд все в порядке, в self-test зацепок нет, и локально воспроизвести в подобной конфигурации не вышло.

Попробуйте убрать conform для этого хоста - чисто для проверки ситуации.

Еще неплохо бы проверить работает ли проброс с других WAN, которые сейчас в резерве.

Dr.ZuLuS · 14 ноября, 2024

К сожалению отключение conform для хоста не помогло.

Прикрепляю новый селф тест на 4.3 A5, по нему видно что если пробросить веб морду заббикса через WAN то проброс работает, а если через VPN туннель, то не работает.

Le ecureuil · 14 ноября, 2024

Видимо вам только в официальную поддержку - они помогут с выяснением деталей.

Dr.ZuLuS · 28 ноября, 2024

В поддержке долго тянули кота за хвост, задавая уточняющие вопросы, в итоге развели руками и сказали переделать на чистую маршрутизацию без NAT и проброса портов.

В моей конфиге это оказалось не так то просто т.к. используется VPN IKEv2 который не подразумевает обратный маршрут в силу специфики реализации.

Пришлось перекраивать пол конфиги, кроить no isolate private, настраивать закрытый фаерволл с запрещающими правилами и переделывать VPN туннели.

Считаю что оф техподдержка стала работать медленно (были обращения ранее, которые отрабатывали за несколько дней) и плохо, т.к. по сути сломанный и ранее заявленный работающим функционал отказались чинить и предлагают костыли вместо этого.

К разработчикам которые на форуме, в частности к вам уважаемый Le ecureuil претензий нет.

Leshiyart · 28 ноября, 2024

В 14.11.2024 в 11:50, Dr.ZuLuS сказал:

К сожалению отключение conform для хоста не помогло.

а этот клиент куда проброшен порт использует для выхода в интернет основную политику или дополнительную?

Dr.ZuLuS · 28 ноября, 2024

Только что, Leshiyart сказал:

а этот клиент куда проброшен порт использует для выхода в интернет основную политику или дополнительную?

Основная политика.

Mnior · 19 февраля

И чем всё закончилось?
Проброс портов в другие интерфейсы всё?

Сильно не бейте (не сильно разбираюсь), но когда смотрю show ip nat то вобще не понимаю что происходит - In/Out не сходится, зеркально, в случае указания IP из другой сети. Для локальной всё норм.

PS: Буду рад если в двух словах опишите почему In/Out в show ip nat не всегда зеркален.

Dr.ZuLuS · 20 февраля

8 часов назад, Mnior сказал:

И чем всё закончилось?
Проброс портов в другие интерфейсы всё?

Сильно не бейте (не сильно разбираюсь), но когда смотрю show ip nat то вобще не понимаю что происходит - In/Out не сходится, зеркально, в случае указания IP из другой сети. Для локальной всё норм.

PS: Буду рад если в двух словах опишите почему In/Out в show ip nat не всегда зеркален.

Долго объяснял поддержке что я не верблюд. Там мне предлагали удалить отключенные правила фаервола (видимо на всякий случай), это ожидаемо не принесло результата.

Понял что мою проблему далее 1 линии ТП не продвинут, хотя я предоставил все селфтесты (несколько раз на разных прошивках) и все данные для воспроизведения и просто переделал свою конфигу с проброса портов на чистую маршрутизацию между сетями без NAT.

Первая линия ТП опустила руки и сказала, что если им удастся воспроизвести у себя "на столе" то они обязательно передадут разрабам.

Пол года пытался решить на форуме, еще месяц с ТП.

Видимо кроме меня и вас никому port forwarding на других интерфейсах кроме WAN не нужен.

Mnior · 20 февраля

Цитата

Видимо кроме меня и вас никому port forwarding на других интерфейсах кроме WAN не нужен.

Есть тут на форуме темы где это спрашивают:

Несколько топиков где это через SSH хотят/спрашивают
Были ещё более сложные вопросы с пробросом

Mnior · 21 февраля

Есть подозрение что нужно что-то похожее как тут: Wireguard, не уходит трафик от локальной сети к удаленным клиентам
Но меня смущает то что приведённый там show ip nat адекватный в отличие от моего ...

Связаная докуха

Изменено 21 февраля пользователем Mnior
add docs

Войти

4.2 альфа 15 - 4.2 alpha 16 сломали проброс портов внутри туннелей

Вопрос

Dr.ZuLuS

14 ответов на этот вопрос

Рекомендуемые сообщения

Dr.ZuLuS

Le ecureuil

Dr.ZuLuS

Dr.ZuLuS

Le ecureuil

Dr.ZuLuS

Le ecureuil

Dr.ZuLuS

Leshiyart

Dr.ZuLuS

Mnior

Dr.ZuLuS

Mnior

Mnior

Присоединяйтесь к обсуждению

Последние посетители 0 пользователей онлайн

Обзор

Активность

Магазин

My Details

Важная информация