Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Где взять тестовые сборки
Официальное хранилище ПО в виде файлов
  • 0

Зачем транслировать внутри домашней сети??

Yacudzer

Ответ от Yacudzer,

 Поделиться

Вопрос

Yacudzer Пользователь

Yacudzer

Опубликовано
Опубликовано (изменено)

Использую следующую схему:

596bcfba5399f_-1.jpg.09e66c3e63113a4df6e27daac79668a8.jpg

Естественно, на кинетике поднят NAT и настроен статический маршрут:

ip route 192.168.0.0 255.255.0.0 192.168.234.19 Home

Пробую с ноутбука пингануть что-то за IPSec-туннелем (например, 192.168.1.1) и вижу следующее в циске:

Jul 16 20:39:49.683: %FW-6-DROP_PKT: Dropping icmp session 192.168.234.1:0 192.168.1.1:0 on zone-pair ISP-ESKO class class-default due to  DROP action found in policy-map with ip ident 2303

Дело в том, что циска настроена пропускать траффик только от 192.168.234.2, но никак не от всей остальной сети...

Смотрим дампы...

Скрытый текст

596bd1e7544a8_.thumb.jpg.3ba65bf9d0f517556ba38149cf93b6b3.jpg

Соответственно, возникает вопрос... ЗАЧЕМ преобразовывать исходный адрес, если next-hop лежит в том же интерфейсе??????

Изменено пользователем Yacudzer

11 ответов на этот вопрос

Рекомендуемые сообщения

  • 0
gaaronk Поставщик контента

gaaronk

Опубликовано
Опубликовано (изменено)

Это особая фича кинетика. Делать NAT для всего что входит в интерфейс.

Отключайте

Хотя это может быть фича masquerade LAN to LAN (NAT loopback)

А вот это уже не отключаемое.

Изменено пользователем gaaronk
  • Спасибо 1
  • 0
Yacudzer Пользователь

Yacudzer

Опубликовано
  • Автор
Опубликовано (изменено)
23 минуты назад, gaaronk сказал:

Это особая фича кинетика. Делать NAT для всего что входит в интерфейс.

Отключайте

Хотя это может быть фича masquerade LAN to LAN (NAT loopback)

А вот это уже не отключаемое.

Я так понимаю, инфа по ссылке пока только в бета-прошивках?? Ибо у меня команда ip static Home ISP не прошла...

прошивка release: v2.08(AAUW.0)C2

Изменено пользователем Yacudzer
  • 0
gaaronk Поставщик контента

gaaronk

Опубликовано
Опубликовано (изменено)

Да, в 2.09 появилось.

Проще уж на клиенте настроить отдельный маршрут для 192.168.0.0 255.255.0.0 в сторону циски.

Ну или настроить DHCP что бы выдавал этот маршрут.

 

А почему бы IPSec не настроить на самом кинетике?

Изменено пользователем gaaronk
  • 0
Yacudzer Пользователь

Yacudzer

Опубликовано
  • Автор
Опубликовано (изменено)
22 минуты назад, gaaronk сказал:

Да, в 2.09 появилось.

Проще уж на клиенте настроить отдельный маршрут для 192.168.0.0 255.255.0.0 в сторону циски.

Так и делаем...

 

Цитата

Ну или настроить DHCP что бы выдавал этот маршрут.

А кинетик это умеет разве?

 

Вообще это глюк, я считаю... Циска же мой ноут определяет с правильным IP и траффик до нее не натится, хотя так он же идет через кинетик... А трафик по статическому маршруту натится...

Jul 16 21:41:49.331: %SYS-5-CONFIG_I: Configured from console by yac52 on vty0 (192.168.234.2)[OK]

 

Изменено пользователем Yacudzer
  • 0
gaaronk Поставщик контента

gaaronk

Опубликовано
Опубликовано
1 minute ago, Yacudzer said:

Так и делаем...

 

А кинетик это умеет разве?

 

Вообще это глюк, я считаю... Циска же мой ноут определяет с правильным IP и траффик до нее не натится, хотя так он же идет через кинетик... А трафик по статическому маршруту натится...

Jul 16 21:41:49.331: %SYS-5-CONFIG_I: Configured from console by yac52 on vty0 (192.168.234.2)[OK]

 

Умеет отдавать опции, но тоже в последних версиях.

 

Трафик от вас до циски идет через компонент кинетика - коммутатор. А до сети 192.168.1.0/24 (например) уже через маршрутизатор. И там натится.

  • 0
KorDen Старожил

KorDen

Опубликовано
Опубликовано
9 минут назад, Yacudzer сказал:

Вообще это глюк, я считаю... Циска же мой ноут определяет с правильным IP и траффик до нее не натится, хотя так он же идет через кинетик... А трафик по статическому маршруту натится...

У кинетика по умолчанию команда ip nat Home подразумевает, что все что попало на роутер (L3) из сегмента Home и уходит с кинетика (не важно, куда), надо натить. Трафик до циски идет по L2, на роутер не заходит.

Ставьте beta 2.09, там будет и выдача опций DHCP и исходящий интерфейс для ip static. Хотя, если у вас на WAN кинетика статичный IP и это единственный WAN, можно сделать на 2.08 ip static Home 1.2.3.4 (где 1.2.3.4 - IP WAN-интерфейса)

 

1 час назад, gaaronk сказал:

Хотя это может быть фича masquerade LAN to LAN (NAT loopback)

NAT Loopback будет только если ходить на ресурсы, проброшенные на внешние интерфейсы по их айпишникам.

  • Спасибо 1
  • 0
gaaronk Поставщик контента

gaaronk

Опубликовано
Опубликовано
18 minutes ago, KorDen said:

NAT Loopback будет только если ходить на ресурсы, проброшенные на внешние интерфейсы по их айпишникам.

 

И в случае топик стартера тоже. У него пакет пришел в br0, развернулся на маршрутизации и ушел в br0.

Следите за руками

При отключении ip nat Home и настройке ip static Home 1.2.3.4 получаем что пакет попадает в  цепочку POSTROUTING 

Оттуда падает в _NDM_SNAT, оттуда сразу в _NDM_STATIC_LOOP

а там уже его ждет 

Chain _NDM_STATIC_LOOP (1 references)
num   pkts bytes target     prot opt in     out     source               destination

6        0     0 MASQUERADE  all  --  br0    br0     0.0.0.0/0            0.0.0.0/0

 

Все, с интерфейса он выйдет с IP адресом рутера.

 

  • 0
Yacudzer Пользователь

Yacudzer

Опубликовано
  • Автор
Опубликовано
11 час назад, KorDen сказал:

Ставьте beta 2.09, там будет и выдача опций DHCP и исходящий интерфейс для ip static. Хотя, если у вас на WAN кинетика статичный IP и это единственный WAN, можно сделать на 2.08 ip static Home 1.2.3.4 (где 1.2.3.4 - IP WAN-интерфейса)

Я, конечно, решил проблему частным путем, добавив на буке статический маршрут... Но вообще это задача роутера роутить траффик, а клиент не должен заморачиваться...

  • 0
KorDen Старожил

KorDen

Опубликовано
Опубликовано
12 часа назад, gaaronk сказал:

Следите за руками

Упс, действительно. SOHO-роутер не готов к ассиметрии траффика, так и до BGP недалеко :) Хотя какой-нибудь OSPF уже напрашивается, надоедает все ручками вбивать.

  • 0
gaaronk Поставщик контента

gaaronk

Опубликовано
Опубликовано (изменено)
7 minutes ago, KorDen said:

Упс, действительно. SOHO-роутер не готов к ассиметрии траффика, так и до BGP недалеко :) Хотя какой-нибудь OSPF уже напрашивается, надоедает все ручками вбивать.

opkg install bird4 birdc4

и все будет.

Лучше квагги.

 

Я как раз использую внутри GRE туннелей.

Изменено пользователем gaaronk
  • 0
KorDen Старожил

KorDen

Опубликовано
Опубликовано (изменено)
9 минут назад, gaaronk сказал:

opkg install bird4 birdc4

Тут проблема из той же оперы, что и у вас использование прошивочного strongswan вместо opkg install strongswan - нужна флешка, не везде есть свободный USB, следовательно это + хаб еще, дальше добавляется вероятность глюков хаба и флешки на каждом из узлов и возможное поведение после этого глюка.

Изменено пользователем KorDen

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить на вопрос...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку вопросов

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю