Werld

У вас ubuntu - это сервер за которым сеть и вы хотите эту сеть связать с сетью за keenetic, или это одиночный ПК, по сценарию roadwarrior? Если первое, то лучше использовать чистый ipsec в туннельном режиме, трафик до нужных сетей заворачивается политиками. Если у вас второй вариант и это просто одиночный пк, то наверняка же на нем есть какой-нибудь из desktop environment'ов, в котором через network-meneger l2tp/ipsec клиент запускается в несколько кликов мышью, зачем пытаться это строить из терминала? Конкретно в вашем случае, судя по всему, строится ipsec но l2tp не поднимается, раз не появляется соответствующего интерфейса. Если по какой-то причине нужно строить из терминала, то я бы предпочел тогда использовать VPN-сервер IPsec (Virtual IP) на кинетике. В таком случае на ubuntu не понадобится дополнительный демон для l2tp, достаточно будет одного strongswan. Можно воспользоваться примерами из официальной wiki по strongswan. Конкретно вам для варианта ipsec сервера c virtual ip и XAUTH аутентификацией подходит вот этот пример: https://www.strongswan.org/testing/testresults5dr/ikev1-stroke/xauth-id-psk-config/ Можно в нем подглядеть конфиги для клиента.

Должно быть так. Выполните на одном из домашних устройств что-нибудь вроде: nslookup ya.ru 1.1.1.1 , И посмотрите в журнале AdgHome в это время засветится ли там этот запрос.

netstat -tunlp | grep -w 53 Команда, чтобы убедиться, что AdGuard Home слушает на этих портах. Если да, то все в порядке

Увы, не подскажу, т.к. не использую 2.16. По идее все должно быть как я писал.

Как правило, в пределах квартирных расстояний проблем не бывает никогда. А уже тем более всего 10 метров.

http://192.168.0.1/controlPanel/diagnostics

Судя по логам, proposals от сервера не устраивают клиента. Сервер предлагает des и md5, клиент хочет aes и sha

Кинетик по умолчанию всегда форсирует udp инкапсуляцию, не зависимо от наличия nat. Так что эта запись не означает что на сервере серый адрес.

Подключиться телнетом и посмотреть лог. Можно также в приложении лог посмотреть. Возможно это известная проблема. Если лог забит записями ndm: Http::Nginx: there are errors in config, reconfigure.ndm: Http::Manager: unable to update configuration, retry. То обновить прошивку через телнет же или приложение.

Ну вы понаблюдайте, чтоб не выплыли неизвестные побочные эффекты). Этой командой вы включили для пакетов из этой сети при переходе их в ЛЮБОЙ другой интерфейс маскарад на адрес этого интерфейса.

Попробовать ip nat 172.30.30.0 255.255.255.224 - включить глобальный нат для всех пакетов от указаной сети, идущих через маршрутизатор

Не, перезагружать не обязательно, применяется все так. Значит этого не достаточно, надо дальше думать.

Ну так если Vlan222 не сомтрит никуда еще кроме малины, ну поставьте вы на нем смело security-level private. И тогда проброс будет работать и автоматом все трансляции выполнятся.

на Wan порту trunk с vlan222 и vlan888? Есть ли возможность сделать на интерфейс GigabitEthernet0/Vlan222 security-level private? Сдается мне, что после этого проброс заработает корректно.

ip static - Создать правило трансляции локальных IP-адресов в глобальные или наоборот. Если interface или network соответствует интерфейсу c уровнем безопасности public, то будет выполняться трансляция адреса назначения (DNAT). Если to-address соответствует интерфейсу c уровнем безопасности public, то будет выполняться трансляция адреса источника (SNAT). У вас оба интерфейса public, как я уже написал. Какие в таком случае создаются правила при ip static не понятно. Скорее всего оба и dnat и snat. Я предлагаю не мутить тут проброс, а настроить МСЭ для доступа из одного интерфейса в другой, и обращаться по оригинальному адресу малины.

У вас и PC и RPi находятся, судя по конфигу, за public интерфейсами. Между public интерфейсами связь закрыта. Вам нужно в МСЭ для начала разрешать доступы нужные

Проблема известная. Достаточно обновить прошивку, сбрасывать не обязательно.

Возможно. Не совсем понятно из описания при чем здесь туннель, если вы пишете "на роутере настроены две под сети 192.168.1.1 и 192.168.2.1." Для доступа между сетями на одном роутере - добавляете правила межсетевого экрана. Если все же доступ нужен через туннель из сети одного роутера в сеть другого, то еще и маршруты понадобятся.

Сейчас посмотрел с помощью show netfilter в cli. Не смотря на то что в правилах вида как ваше первое указан входной интерфейс, в реальности под капотом в iptables создается правило без указания входного интерфейса. Правило создается просто с указанием destination ip, который определяется как адрес выбранного входного интерфейса. Т.е. создавая правило вида: ip static udp ISP 59876 192.168.1.33 В реальности создается правило вида: -A _NDM_STATIC_DNAT -d 172.25.25.15/32 -p udp -m udp --dport 59876 -j DNAT --to-destination 192.168.1.33:59876 - 172.25.25.15 это как раз ip адрес на интерфейсе ISP у меня. Почему правило интерпретируется и создается именно так, а не с указанием входного интерфейса типа так: -A PREROUTING -i ens3 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.55.25, это вопрос к разработчикам. Получается что при создании правила берется ip адрес указанного интерфейса, но, видимо, не берется alias. К слову, даже если бы правило создавалось c указанием входного интерфейса, ваше первое правило все равно не работало бы для пакетов внутри сети, т.к. пакет из внутренней сети приходит на роутер не на указанный вами интерфейс FastEthernet0/Vlan2, а на интерфейс Bridg0, к примеру. Так что, конкретно в вашем случае, остается создавать два правила, видимо.

Ну для R1 эти ПК в другой сети. Чтобы он их видел должна быть L2 связность, насколько я понимаю. Смотря что умеет R2, можно сделать из него не маршрутизатор а бридж.

Заглянул сейчас в cli manual, вы правы, наверное в вашей ситуации можно и ip nat использовать. ip nat 192.168.80.0/24 По идее в таком варианте, упомянутая мной проблема вас не коснется.

ip nat про другое. Подробнее в cli manual Вместе с правилом snat будет создано еще и правило dnat. Будет ли оно мешать нужно проверять, я не смотрел из каких цепочек есть прыжок на созданные таким образом правила dnat. Поэтому и предлагаю вам попробовать, команду я написал, если не заработает, команду отмены я тоже написал.

Навеяно проблемой, известной еще с 2017 года: Насколько я могу судить,проблема в том, что ip static пытается реализовать сразу две функции: snat и dnat.. Команда слишком разрослась (достаточно взглянуть на ее описание в cli manual) в попытке быть универсальной, видимо это и привело к упомянутой выше проблеме. Функция трансляции адресов одна из важнейших в работе роутера, наряду с фаерволлом и маршрутизацией, и совсем не понятно, почему этой проблеме с течением времени так и не уделили времени. Как один из вариантов переработки могу предложить ввести две отдельные сущности, например ip snat и ip dnat. В этом случае команды будут не так перегружены функциями. Так как разработчики любят, чтобы приводили реальные ситуации, когда запрашиваемые фичи были бы полезны, вот две темы на форуме из недавних: раз, два.

Можете попробовать на Кинетике в cli выполнить: ip static 192.168.80.0/24 PPPoE0 - это как раз должно сделать то, что вам нужно. Но в реальности имеет место быть: Поэтому, команда для отмены этого: no ip static 192.168.80.0/24 PPPoE0

Что вы подразумеваете под "Натить с кинетика в подсеть 192.168.80.0/24?" Как вы себе это представляете? Может все-таки имеется в виду натить пакеты из 192.168.80.0/24 проходящие через кинетик в сторону pppoe соединения с интернетом, чтобы на ПК в сети 192.168.80.0/24 работал интернет?