fps

Я думал они этот форум тоже читают. Призываю в тему техподдержку Keenetic! 🙌

Да. Если на IRZ прописать маршрут до клиента в pptp интерфейс, то всё работает. Для проверки идеи это годится. Но реальный адрес клиента произвольный. Но ведь кинетик в принципе умеет его менять. Просто из документации совершенно непонятно как это настроить. Второй вариант - попробовать настроить PBR на IRZ. Хотя на мой взгляд настроить SNAT на кинетике было бы правильнее. Пробовал вот так. Не помогает. tcpdump на IRZ показывает, что адрес источника остается исходным. ip static tcp L2TP0 3080 192.168.1.244 8080 ip static 192.168.1.244 255.255.255.255 192.168.1.1

Вот же. Вроде совершенно классическая форма.

Поскольку добавляется трансляция на IRZ я исправил dst порт в существующем правиле (было 3080 -> 8080 стало 3080 -> 3080). Да, можно было не делать. В веб админке там добавление таких трансляций не предусмотрено. Не знаете как такое прописать в CLI OpenWrt?

На кинетике настроил трансляцию ip static tcp L2TP0 3080 192.168.1.244 На IRZ тоже Не помогло. Входящие пакеты на IRZ вижу, но tcp соединение не устанавливается. root@RL01w:~#tcpdump -i pptp -p tcp port 3080 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on pptp, link-type LINUX_SLL (Linux cooked v1), capture size 262144 bytes 22:21:04 IP client.yota.ru.4230 > 192.168.1.244.3080: Flags [S], seq 1433111635, win 8192, options [mss 1310,nop,wscale 8,nop,nop,sackOK], length 0

Смотрел tcpdump-ом - доходят. Соурс адрес пакетов - белый, исходный. Спасибо. Попробую.

Ничо не понял ) Вернее не нашел ответа про свой случай. Исходная проблема сводится к вопросу: как мне изменить команду: ip static tcp L2TP0 3080 192.168.1.244 8080 чтобы кроме DNAT выполнялась трансляция адреса источника (SNAT)

Отличие всё-таки есть, оказывается. Когда из интерфейса ISP приходит пакет для трансляции 1, кинетик меняет у него дестинейшн адрес+порт, согласно правилу трансляции, пакет приходит на комп1. У комп1 шлюз по умолчанию - кинетик, комп1 отправляет ответ, он уходит в кинетик, тот его натит обратно. Всё работает. А после трансляции 2, пакет приходит на IRZ. Но у него шлюз по умолчанию свой, а не VPN, и ответ уходит в интернет а не в кинетик. И ничего не работает. Делать дефолт в VPN там нельзя. Остается видимо попытаться делать NAT не только для дестинейшн адреса но и сорс адреса. Читаю как.

Спасибо. Я смотрел. Как я понял, там про другое. Вы, я так понял, разбираетесь в вопросе. Ткните носом в кокретный абзац там по моей проблеме. Или (лучше) подскажите конкретно - всю информацию по схеме и проблеме я выложил в первом сообщении. Если там чего-то недостаточно, скажите - добавлю. На мой взгляд, проблема в прошивке кинетика. Т.к. для него трансляция на адрес .244 в моей схеме не должна отличаться от трансляции на .10 или любой другой адрес в той же сети. Но почему-то отличается. Возможно я ошибаюсь.

Белый. Скажем 1.1.1.1 А у LAN интерфейса кинетика 192.168.1.1/24 Какой и куда маршрут вы предлагаете прописать?

Но ведь адрес 192.168.1.244 находится в той же IP сети что и LAN интерфейс кинетика 192.168.1.1/24. Можете написать маршрут которого не хватает? (схема в первом сообщении)

Порты не закрыты. С самого кинетика на 192.168.1.244:8080 соединение успешно устанавливается. А с интерфейса ISP - нет. Хотя траннсляция прописана. Почему?

Это о связях между сетями внутри VPN. С этим проблем нет. Внутри впн связность между её сетями есть. У меня вопрос о доступе туда снаружи. 1. Почему? Мне же надо именно из провайдерского интерфейса доступ обеспечить. Для "комп1" я прописал правило именно с провайдерского интерфейса и всё работает - доступ из интернет на порт внутри локальной сети есть. 2. Как такое правило сделать? При настройке Port Forwarding в селекторе Input нет интерфейса VPN.

Я почитал ваши ссылки. Это несколько про другое. Там описано как связать с помощью впн 2 частные сети. С этим у меня проблем нет - сети связаны и работают. Доступность между ними есть, тут никаких проблем. Мой вопрос про доступ в этот VPN из интернет. Внутри VPN на "комп2:8080" у меня поднят веб-сервер. Нужно дать соединиться него из интернета по адресу вида http://me.dyndns.info:3080/ Для "комп1" такое работает. А вот на устройство в VPN почему-то проброс порта не срабатывет. Причем не только на "комп2" но и на "IRZ", по адресу который прямо в HOME локальной сети (см. схему выше)

PPTP VPN - локальный, в него нет доступа из интернета. И вот чтобы попасть в него снаружи, по белому адресу и использую проброс портов.