fps
-
Posts
22 -
Joined
-
Last visited
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by fps
-
-
6 hours ago, werldmgn said:
можно прописать до него маршрут через ВПН подключение на IRZ
Да. Если на IRZ прописать маршрут до клиента в pptp интерфейс, то всё работает. Для проверки идеи это годится. Но реальный адрес клиента произвольный.
6 hours ago, werldmgn said:адрес источника не меняется на всем пути пакета до IRZ
Но ведь кинетик в принципе умеет его менять. Просто из документации совершенно непонятно как это настроить.
Второй вариант - попробовать настроить PBR на IRZ. Хотя на мой взгляд настроить SNAT на кинетике было бы правильнее.
Пробовал вот так. Не помогает. tcpdump на IRZ показывает, что адрес источника остается исходным.
ip static tcp L2TP0 3080 192.168.1.244 8080 ip static 192.168.1.244 255.255.255.255 192.168.1.1
-
1 hour ago, werldmgn said:
Приведите скриншот окна настройки проброса портов, которое умеет этот IRZ
Вот же. Вроде совершенно классическая форма.
-
17 minutes ago, werldmgn said:
на кинетике кроме изначальных трех пробросов портов, больше никаких трансляций делать не нужно.
Поскольку добавляется трансляция на IRZ я исправил dst порт в существующем правиле (было 3080 -> 8080 стало 3080 -> 3080). Да, можно было не делать.
21 minutes ago, werldmgn said:dnat tcp dst addr 192.168.1.244 port 8080 to dst ip 192.168.2.1 port 8080
В веб админке там добавление таких трансляций не предусмотрено. Не знаете как такое прописать в CLI OpenWrt?
-
3 hours ago, werldmgn said:
сделать финт ушами и на IRZ также сделать пробросы. И на самого себя, на ip на внутреннем интерфейсе 192.168.2.1
На кинетике настроил трансляцию
ip static tcp L2TP0 3080 192.168.1.244На IRZ тоже
Не помогло.
Входящие пакеты на IRZ вижу, но tcp соединение не устанавливается.
root@RL01w:~#tcpdump -i pptp -p tcp port 3080 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on pptp, link-type LINUX_SLL (Linux cooked v1), capture size 262144 bytes 22:21:04 IP client.yota.ru.4230 > 192.168.1.244.3080: Flags [S], seq 1433111635, win 8192, options [mss 1310,nop,wscale 8,nop,nop,sackOK], length 0 -
2 hours ago, werldmgn said:
А Вы захватывали трафик на IRZ, убеждались что до него доходят проброшенные пакеты
Смотрел tcpdump-ом - доходят. Соурс адрес пакетов - белый, исходный.
2 hours ago, werldmgn said:Чтобы обойти этот момент предлагаю сделать финт ушами
Спасибо. Попробую.
-
19 minutes ago, fps said:
делать NAT не только для дестинейшн адреса но и сорс адреса. Читаю как.
Ничо не понял )
Вернее не нашел ответа про свой случай.
Исходная проблема сводится к вопросу: как мне изменить команду:
ip static tcp L2TP0 3080 192.168.1.244 8080
чтобы кроме DNAT выполнялась трансляция адреса источника (SNAT)
-
2 hours ago, fps said:
Т.к. для него трансляция на адрес .244 в моей схеме не должна отличаться от трансляции на .10 или любой другой адрес в той же сети
Отличие всё-таки есть, оказывается.
Когда из интерфейса ISP приходит пакет для трансляции 1, кинетик меняет у него дестинейшн адрес+порт, согласно правилу трансляции, пакет приходит на комп1. У комп1 шлюз по умолчанию - кинетик, комп1 отправляет ответ, он уходит в кинетик, тот его натит обратно. Всё работает.
А после трансляции 2, пакет приходит на IRZ. Но у него шлюз по умолчанию свой, а не VPN, и ответ уходит в интернет а не в кинетик. И ничего не работает.
Делать дефолт в VPN там нельзя. Остается видимо попытаться делать NAT не только для дестинейшн адреса но и сорс адреса. Читаю как.
-
21 minutes ago, ANDYBOND said:
См. статьи выше.
Спасибо. Я смотрел. Как я понял, там про другое.
Вы, я так понял, разбираетесь в вопросе. Ткните носом в кокретный абзац там по моей проблеме.
Или (лучше) подскажите конкретно - всю информацию по схеме и проблеме я выложил в первом сообщении. Если там чего-то недостаточно, скажите - добавлю.
На мой взгляд, проблема в прошивке кинетика.
Т.к. для него трансляция на адрес .244 в моей схеме не должна отличаться от трансляции на .10 или любой другой адрес в той же сети. Но почему-то отличается.
Возможно я ошибаюсь.
-
4 minutes ago, ANDYBOND said:
А какой у него адрес?
Белый. Скажем 1.1.1.1
А у LAN интерфейса кинетика 192.168.1.1/24
Какой и куда маршрут вы предлагаете прописать?
-
8 minutes ago, ANDYBOND said:
сделайте нормальные статические маршруты, как описано в статьях выше.
Но ведь адрес 192.168.1.244 находится в той же IP сети что и LAN интерфейс кинетика 192.168.1.1/24.
Можете написать маршрут которого не хватает? (схема в первом сообщении)
-
9 minutes ago, ANDYBOND said:
сначала нужно открыть порты для ISP, и только потом для ещё и интересующего интерфейса
Порты не закрыты. С самого кинетика на 192.168.1.244:8080 соединение успешно устанавливается. А с интерфейса ISP - нет. Хотя траннсляция прописана. Почему?
-
13 minutes ago, ANDYBOND said:
Это как раз о внешних связях.
Это о связях между сетями внутри VPN. С этим проблем нет. Внутри впн связность между её сетями есть. У меня вопрос о доступе туда снаружи.
18 minutes ago, ANDYBOND said:Так создайте правила проброса портов не на провайдерском, а на впнном интерфейсе.
1. Почему? Мне же надо именно из провайдерского интерфейса доступ обеспечить. Для "комп1" я прописал правило именно с провайдерского интерфейса и всё работает - доступ из интернет на порт внутри локальной сети есть.
2. Как такое правило сделать? При настройке Port Forwarding в селекторе Input нет интерфейса VPN.
-
31 minutes ago, ANDYBOND said:
Есть предложение сделать всё как по ссылке выше, чтоб VPN не являл собой какой-то локальный изврат.
Я почитал ваши ссылки. Это несколько про другое. Там описано как связать с помощью впн 2 частные сети. С этим у меня проблем нет - сети связаны и работают. Доступность между ними есть, тут никаких проблем.
Мой вопрос про доступ в этот VPN из интернет. Внутри VPN на "комп2:8080" у меня поднят веб-сервер. Нужно дать соединиться него из интернета по адресу вида http://me.dyndns.info:3080/
Для "комп1" такое работает. А вот на устройство в VPN почему-то проброс порта не срабатывет. Причем не только на "комп2" но и на "IRZ", по адресу который прямо в HOME локальной сети (см. схему выше)
-
PPTP VPN - локальный, в него нет доступа из интернета. И вот чтобы попасть в него снаружи, по белому адресу и использую проброс портов.
-
Не получается пробросить порт в PPTP VPN.
Нарисовал схему для наглядности.
Трансляция 1 работает. Трансляции 2 и 3 - нет. Все указанные адреса с кинетика пингуются, tcp порты доступны.
Конфиг VPN (в CLI ничего не правил, настраивал только через веб-интерфейс):
vpn-server interface Home pool-range 192.168.1.240 10 static-ip camp 192.168.1.244 mppe-optional lcp echo 20 6 lockout-policy 3 30 5
- Model Ultra (KN-1810) RU
- OS version 3.8.4
-
Больше никакие параметры не поддерживаются?
Запросить только ошибки {"once": true, "max-lines": 100, "level": "Error"} не получится, только фильтровать на стороне клиента?
-
Это именно то, что искал:
POST /rci/show/log {"once": true, "max-lines": 100}Спасибо. Вопрос исчерпан.
-
Спасибо. Так работает.
- Если отправить POST-запрос с пустым JSON-объектом "{}" многократно без команд DELETE, то еще один background process будет запускаться каждый раз и устройству рано или поздно поплохеет? Или это нормальная практика?
- Если отправить POST-запрос с пустым JSON-объектом "{}" однократно, то потом до перезагрузки устройства можно слать GET? Или background process через какое-то время завершится?
- Какой правильный способ получить последние 100 строк лога безотносительно предыдущих действий? По аналогии с cli командой "show log 100 once"
-
Как получить лог через REST API?
Пробовал по аналогии с CLI запросы get /rci/show/log /rci/show/log/once /rci/show/log/10 /rci/show/log/10/once - отвечает 404 Not Found
-
On 2/18/2021 at 9:03 PM, Le ecureuil said:
Неплохое наблюдение.
Для выяснения нужно через команды>show ip hotspot host <mac> rrd txbytes 0
>show ip hotspot host <mac> rrd txbytes 1
>show ip hotspot host <mac> rrd txbytes 2
>show ip hotspot host <mac> rrd txbytes 3
вытащить данные, по которым строится этот график. А потом посмотрим где там аномалии.
Во вложении 2 примера.Данные собраны через api /rci/show/ip/hotspot/rrd?attribute={}&detail={}&mac={}
(я уже отправлял ответ пару дне назад, но его почему-то забанили - типа "Your content will need to be approved by a moderator")
-
Периодически в на графике "Host traffic monitor" появляются вот такие аномальные выбросы (см. скриншот)
Всегда примерно одинаковые - на 4GB или чуть-чуть больше.
На скриншоте для одного устройства, но замечено и для других. Трафика такого они точно не генерируют.
Больше похоже на переполнение каких-то 32-разрядных счетчиков.Это известный баг, или только у меня так?
Model Ultra (KN-1810), OS version 3.5.6
Помогите настроить port forwarding
in Обмен опытом
Posted
Я думал они этот форум тоже читают.
Призываю в тему техподдержку Keenetic! 🙌