[Все о туннелях IPIP, GRE и EoIP]

Странно, вечером заработало. Отбой тревоги. Можно снести мусор.

[Все о туннелях IPIP, GRE и EoIP]

Подскажите, работает ли нат на IPIP туннеле. На одном конце прописал маршрут до узла, на другом конце туннеля прописал "ip static IPIP0 ISP". На снифере интерфейса ISP eth2.2 во время пинга вижу не IP ISP интерфейса, а серый адрес хоста с которого запустил пинг.

 

[MultiWAN policy routing в NDMS 2.12+.]

Т.е. нужен ещё 1 туннель специально для таких целей?

А в будущем не планируется, что-то изменить, что бы и с SL private работало?

Я правильно понял, что SL public и ip global > 0 должно быть на U2, т.к. хост расположен за ней?

[MultiWAN policy routing в NDMS 2.12+.]

Подскажите как мне загнать хост с IP 192.168.100.253 в IPIP туннель и вывести его в инет через удаленный роутер.

Оба роутера соединены через IPIP IPSec туннель. U2 выступает в качестве сервера к ней и подключен клиент, а U1 выступает в качестве клиента, через него я и хочу выйти в инет.

Туннель на обоих концах имеет security-level private и через него маршрутизируются удаленные сети.

Конфиг U2.

Скрытый текст

! $$$ Model: ZyXEL Keenetic Ultra II
known host lenovo-book-wifi a0:88:b4:54:b1:d4
!

interface GigabitEthernet0/Vlan100
    rename Vlan100-Home
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    up
!
interface GigabitEthernet1
    rename OTS
    description Internet
    mac address factory wan
    security-level public
    ip address dhcp
    ip dhcp client no dns-routes
    ip dhcp client no name-servers
    ip access-group _WEBADMIN_OTS in
    ip global 700
    igmp upstream
    up
!
interface Bridge0
    rename Home
    inherit Vlan100-Home
    include AccessPoint
    include AccessPoint_5G
    security-level private
    ip address 192.168.100.254 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    up
!
interface IPIP0
    security-level private
    ip address 192.168.254.254 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ipsec preshared-key ns3 hrKENPUvPCHOXOe+Wg03E2wD
    ipsec ikev2
    tunnel source auto
    up
!
ip route 192.168.30.0 255.255.255.0 192.168.254.253 IPIP0 auto

!

ip hotspot
    host a0:88:b4:54:b1:d4 permit
    default-policy permit
!

Конфиг U1

Скрытый текст

! $$$ Model: ZyXEL Keenetic Ultra

interface GigabitEthernet0/Vlan2
    rename ISP
    description "Broadband connection"
    mac address factory wan
    security-level public
    ip address dhcp
    ip dhcp client hostname bikovo-17
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ip mtu 1500
    ip access-group _WEBADMIN_ISP in
    ip global 700
    igmp upstream
    up
!
interface Bridge0
    rename Home-Lan
    inherit Vlan30-Home-Lan
    include AccessPoint
    include AccessPoint_5G
    security-level private
    ip address 192.168.30.254 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    up
!
interface IPIP0
    security-level private
    ip address 192.168.254.253 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ipsec preshared-key ns3 hrKENPUvPCHOXOe+Wg03E2wD
    ipsec ikev2
    tunnel destination 31.129.200.42
    up
!
ip route 192.168.100.0 255.255.255.0 192.168.254.254 IPIP0 auto
!
ip static Home-Lan ISP

 

[MultiWAN policy routing в NDMS 2.12+.]

Так, свою проблему я решил. Из-за моих настроек сегментов вида:

ip static Vlan101 OTS
ip static Vlan104-MCAST OTS
ip static Guest OTS
ip static Home OTS

Пока не прописал 

ip static Home WifiMaster0/WifiStation0

пакеты не шли.

Теперь всё заработало и я пошел через Мегафон(WifiMaster0/WifiStation0).

[MultiWAN policy routing в NDMS 2.12+.]

Нифига не работает. default-policy на deny поменял, но ничего не меняется.

[MultiWAN policy routing в NDMS 2.12+.]

Что-то ничего не выходит.

Что сделал:

- подключил резерв через ТД созданную на телефоне

Прописал:

ip policy test
    permit global WifiMaster0/WifiStation0 - ТД резерв через телефон для тестов
    no permit global OTS - основное соединение

ip hotspot
    host a0:88:b4:54:b1:d4 permit - хост с которого пингую яндекс
    host a0:88:b4:54:b1:d4 policy test
    default-policy permit

В данный момент трассировка обрывается на роутере.

Селф-тест в режиме дебаг скрытым постом ниже.

[Линки 1Gb]

В ps4 интерфейс гигабитный? А если их с NAS напрямую попробовать соединить(идеальный вариант через кросс патч-корд).

[MultiWAN policy routing в NDMS 2.12+.]

Сегодня попробую хост в IP-IP туннель завернуть. Поддержу KorDen в просьбе, т.к. не весь трафик хоста хотелось бы гнать через туннель, а только торренты.

[Ultra 2 2.12.A.4.0-9 проблемы на главной странице нового вэб интерфейса]

В новой версии ничего не изменилось.

[Debian stable на кинетике]

Проверил установку на Ultra 2 - все отлично установилось на флешку с EXT4.

[Ultra 2 2.12.A.4.0-9 проблемы на главной странице нового вэб интерфейса]

Сейчас селф-тест будет.

[Ultra 2 2.12.A.4.0-9 проблемы на главной странице нового вэб интерфейса]

Вот так выглядит главная страница

"Мои сети и WiFi" не открывается и не кликается.

При нажатии на "Сетевые порты"

Картинка выглядит вот так

CTRL+F5 нажимал - ничего не меняется. В журнале ничего нет на эту тему. Если нужен селф-тест то сброшу.

[OpenVPN (доработанный скрипт)]

Тогда вставляйте в скрипт запуска logger и смотрите после какой строки все отвалится.

 

[OpenVPN (доработанный скрипт)]

В Приложения > OPKG

Сценарий initrc: есть такая запись: "/opt/etc/init.d/rc.unslung"

[Все о туннелях IPIP, GRE и EoIP]

На клиенте > interface EoIP0 tunnel destination xxx.xxx.xxx.xxx, где xxx.xxx.xxx.xxx белый IP вашего сервера.

[Ночная тема интерфейса]

Что вы к интерфейсу привязались. Я туда захожу 1 раз в неделю для обновления прошивки. 

Если б я её не обновлял, то не знаю когда бы я её открывал и для чего.

Можете написать несколько примеров зачем нужно часто заходить на вэб роутера.

[OpenVPN - недоступна подсеть за клиентом]

На клиенте "no isolate-private" и security-level private не забыли?

[OpenVPN - недоступна подсеть за клиентом]

Тогда ничего не понятно.

До ОVPN клиента пакет дошел, мы его увидели на интерфейсе, но вот на br0(или, что там у асуса мы его не увидели) его уже нет, а это форвард внутри асуса должен работать.

[OpenVPN - недоступна подсеть за клиентом]

Кинетик никак не помечает пакеты. 

[OpenVPN - недоступна подсеть за клиентом]

Так, на асусе есть возможность через ssh прописать:

iptables -I INPUT -i tun0 -j ACCEPT
iptables -I FORWARD -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -j ACCEPT

Перед там как писать tun0 нужно узнать с каким он там номером создался.

 

Что в Кинетике отменить или разрешить хотите, не понял вопроса.

 

 

[OpenVPN - недоступна подсеть за клиентом]

На клиенте " no isolate-private" пропишите.

[OpenVPN - недоступна подсеть за клиентом]

Т.е. режется фаерволом кинетика? У Ovpn интерфейса параметр security-level существует?(Я не поднимал никогда прошивочный Ovpn, а из пакетов у меня работал корректно. Отключен сейчас за ненадобностью т.к. есть туннели.)

 

[OpenVPN - недоступна подсеть за клиентом]

У вас трасса на роутере оборвалась. С tcpdump дружите, если его из консоли запустить на нужных интерфейсах. Нужен ssh для этого будет.

[OpenVPN - недоступна подсеть за клиентом]

Вот как у меня прописаны маршруты для сетей на обоих концах IPIP туннеля.

Если trasert запустить куда пойдут пакеты?

А откуда 10.8.0.3 взялся?