-
Posts
937 -
Joined
-
Last visited
-
Days Won
3
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by dexter
-
-
Подскажите, работает ли нат на IPIP туннеле. На одном конце прописал маршрут до узла, на другом конце туннеля прописал "ip static IPIP0 ISP". На снифере интерфейса ISP eth2.2 во время пинга вижу не IP ISP интерфейса, а серый адрес хоста с которого запустил пинг.
-
Т.е. нужен ещё 1 туннель специально для таких целей?
А в будущем не планируется, что-то изменить, что бы и с SL private работало?
Я правильно понял, что SL public и ip global > 0 должно быть на U2, т.к. хост расположен за ней?
-
Подскажите как мне загнать хост с IP 192.168.100.253 в IPIP туннель и вывести его в инет через удаленный роутер.
Оба роутера соединены через IPIP IPSec туннель. U2 выступает в качестве сервера к ней и подключен клиент, а U1 выступает в качестве клиента, через него я и хочу выйти в инет.
Туннель на обоих концах имеет security-level private и через него маршрутизируются удаленные сети.
Конфиг U2.
Скрытый текст! $$$ Model: ZyXEL Keenetic Ultra II
known host lenovo-book-wifi a0:88:b4:54:b1:d4
!interface GigabitEthernet0/Vlan100
rename Vlan100-Home
security-level private
ip dhcp client dns-routes
ip dhcp client name-servers
up
!
interface GigabitEthernet1
rename OTS
description Internet
mac address factory wan
security-level public
ip address dhcp
ip dhcp client no dns-routes
ip dhcp client no name-servers
ip access-group _WEBADMIN_OTS in
ip global 700
igmp upstream
up
!
interface Bridge0
rename Home
inherit Vlan100-Home
include AccessPoint
include AccessPoint_5G
security-level private
ip address 192.168.100.254 255.255.255.0
ip dhcp client dns-routes
ip dhcp client name-servers
up
!
interface IPIP0
security-level private
ip address 192.168.254.254 255.255.255.0
ip dhcp client dns-routes
ip dhcp client name-servers
ipsec preshared-key ns3 hrKENPUvPCHOXOe+Wg03E2wD
ipsec ikev2
tunnel source auto
up
!
ip route 192.168.30.0 255.255.255.0 192.168.254.253 IPIP0 auto!
ip hotspot
host a0:88:b4:54:b1:d4 permit
default-policy permit
!Конфиг U1
Скрытый текст! $$$ Model: ZyXEL Keenetic Ultra
interface GigabitEthernet0/Vlan2
rename ISP
description "Broadband connection"
mac address factory wan
security-level public
ip address dhcp
ip dhcp client hostname bikovo-17
ip dhcp client dns-routes
ip dhcp client name-servers
ip mtu 1500
ip access-group _WEBADMIN_ISP in
ip global 700
igmp upstream
up
!
interface Bridge0
rename Home-Lan
inherit Vlan30-Home-Lan
include AccessPoint
include AccessPoint_5G
security-level private
ip address 192.168.30.254 255.255.255.0
ip dhcp client dns-routes
ip dhcp client name-servers
up
!
interface IPIP0
security-level private
ip address 192.168.254.253 255.255.255.0
ip dhcp client dns-routes
ip dhcp client name-servers
ipsec preshared-key ns3 hrKENPUvPCHOXOe+Wg03E2wD
ipsec ikev2
tunnel destination 31.129.200.42
up
!
ip route 192.168.100.0 255.255.255.0 192.168.254.254 IPIP0 auto
!
ip static Home-Lan ISP -
Так, свою проблему я решил. Из-за моих настроек сегментов вида:
ip static Vlan101 OTS ip static Vlan104-MCAST OTS ip static Guest OTS ip static Home OTS
Пока не прописал
ip static Home WifiMaster0/WifiStation0
пакеты не шли.
Теперь всё заработало и я пошел через Мегафон(WifiMaster0/WifiStation0).
-
Нифига не работает. default-policy на deny поменял, но ничего не меняется.
-
Что-то ничего не выходит.
Что сделал:
- подключил резерв через ТД созданную на телефоне
Прописал:
ip policy test permit global WifiMaster0/WifiStation0 - ТД резерв через телефон для тестов no permit global OTS - основное соединение
ip hotspot host a0:88:b4:54:b1:d4 permit - хост с которого пингую яндекс host a0:88:b4:54:b1:d4 policy test default-policy permit
В данный момент трассировка обрывается на роутере.
Селф-тест в режиме дебаг скрытым постом ниже.
-
В ps4 интерфейс гигабитный? А если их с NAS напрямую попробовать соединить(идеальный вариант через кросс патч-корд).
-
Сегодня попробую хост в IP-IP туннель завернуть. Поддержу KorDen в просьбе, т.к. не весь трафик хоста хотелось бы гнать через туннель, а только торренты.
- 1
-
В новой версии ничего не изменилось.
-
Проверил установку на Ultra 2 - все отлично установилось на флешку с EXT4.
- 1
-
Сейчас селф-тест будет.
-
-
Тогда вставляйте в скрипт запуска logger и смотрите после какой строки все отвалится.
-
В Приложения > OPKG
Сценарий initrc: есть такая запись: "/opt/etc/init.d/rc.unslung"
-
На клиенте > interface EoIP0 tunnel destination xxx.xxx.xxx.xxx, где xxx.xxx.xxx.xxx белый IP вашего сервера.
- 1
-
Что вы к интерфейсу привязались. Я туда захожу 1 раз в неделю для обновления прошивки.
Если б я её не обновлял, то не знаю когда бы я её открывал и для чего.
Можете написать несколько примеров зачем нужно часто заходить на вэб роутера.
-
На клиенте "no isolate-private" и security-level private не забыли?
-
Тогда ничего не понятно.
До ОVPN клиента пакет дошел, мы его увидели на интерфейсе, но вот на br0(или, что там у асуса мы его не увидели) его уже нет, а это форвард внутри асуса должен работать.
-
Кинетик никак не помечает пакеты.
-
Так, на асусе есть возможность через ssh прописать:
iptables -I INPUT -i tun0 -j ACCEPT
iptables -I FORWARD -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -j ACCEPTПеред там как писать tun0 нужно узнать с каким он там номером создался.
Что в Кинетике отменить или разрешить хотите, не понял вопроса.
-
На клиенте " no isolate-private" пропишите.
-
Т.е. режется фаерволом кинетика? У Ovpn интерфейса параметр security-level существует?(Я не поднимал никогда прошивочный Ovpn, а из пакетов у меня работал корректно. Отключен сейчас за ненадобностью т.к. есть туннели.)
-
У вас трасса на роутере оборвалась. С tcpdump дружите, если его из консоли запустить на нужных интерфейсах. Нужен ssh для этого будет.
-
Все о туннелях IPIP, GRE и EoIP
in Обсуждение IPsec, OpenVPN и других туннелей
Posted
Странно, вечером заработало. Отбой тревоги. Можно снести мусор.