azuza
-
Posts
7 -
Joined
-
Last visited
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by azuza
-
-
Приветствую, уважаемое сообщество!
Выше я описывал как собрал сеть EoIP+WG. Все классно работает, но напрягает, что если устройство находится в сети А и подключено к маршрутизатору этой под сети, то оно же видно как активное и подключенное по проводу к маршрутизатору подсети Б. Как писал выше, в каждой подсети свой dhcp-сервер, адреса выдаются адекватно, на маршрутизаторе сети Б фильтры ebtables дропают трафик dchcp между подсетями. Какой трафик надо фильтровать, чтобы маршрутизаторы ничего не знали об устройствах, находящихся в смежной подсети?
-
В 10.06.2022 в 15:42, azuza сказал:
Доброго дня.
Предыстория избитая, как мир: объединил 2 подсети (А (KN-1711) и Б (KN-1810)) по EoIP с IPSec (IPSec сервер в подсети Б) для просмотра в подсети А DLNA, который расположен в подсети Б. Общая адресация 172.16.0.0/24. В каждой подсети свой DCHCP-сервер с непересекающимися пулами: в A 1-126, в Б 128-253. На маршрутизаторе Б установлена Entware, фильтры ebtables дропают трафик dchcp между подсетями. На всех интерфейсах установлен mtu 1500, обычные пинги/трассы ходят. На обоих системах выполнен no isolate-private. В списках устройств обоих маршрутизаторов видны MAC и IP устройств обоих подсетей. Все, вроде, по феньшую, но...
- DLNA на телике сети А не виден;
- из сети А не возможно открыть web-морды устройств сети Б (наоборот из сети Б все работает).
Неделю убил на изучение проблемы, пересоздавал туннель, пробовал разные значения mtu, но результата нет. Предполагаю, что магия связана со значениями mtu и работой фрагментации пакетов. Замечено, что при установке mtu 1500 пинги больше size 1416 между подсетями не ходят. Внешние сайты при этом пингуются гораздо большими пакетами (>50000). При установке mtu 1416 между подсетями пинг ходит нормально (>50000), но при этом из подсети Б некоторые внешние сайты не открываются, не идут стримы.
Прошу помощи у сообщества по правильной настройке всего этого хозяйства.
Update:
Забыл еще один, возможно, важный нюанс. В подсети А присутствует такая бяка, как двойной nat. Мой маршрутизатор приходит в маршрутизатор прова (192.168.100.0/24), который греет воздух в режиме роутер.
Так и не поборол я EoIP+IPSec. Разобрал, собрал на EoIP+WG - и все взлетело. MTU 1500 на интерфейсах EoIP и br0. На интерфейсах WG автоматом выставился mtu = 1324. Пинги при такой схеме ходят нормально, в том числе и 60К. Если указать mtu=1500 на WG, то пакеты больше 1456 через туннель не ходят. Принудительно поставил 1456 - вроде все норм. Смущает низкая скорость закачки 30 mbit/s (это при MTU=1324, при MTU=1456 пока не было возможности проверить). Причина низкой скорости, думаю, в двойном nat.
В 14.06.2022 в 18:51, stefbarinov сказал:Рутер прова в режим моста и получить ip провайдера на своём роутере.
Это делал ранее, еще до того, как начал городить EoIP. Три раза звонил прову, просил сделать их устройство бриджом. Говорят - "готово, мастер", но соединение не устанавливается - ни с KN-1711, ни с компа. Пров мне поставил древнее устройство - ZTE ZXA10 F660 V1 GPON ONT (2010 год). У сообщества есть мнение, что локально его в мост не выставишь, только через прова, а пров не_может/не_хочет. Поэтому приходится кушать double nat.
-
Доброго дня.
Предыстория избитая, как мир: объединил 2 подсети (А (KN-1711) и Б (KN-1810)) по EoIP с IPSec (IPSec сервер в подсети Б) для просмотра в подсети А DLNA, который расположен в подсети Б. Общая адресация 172.16.0.0/24. В каждой подсети свой DCHCP-сервер с непересекающимися пулами: в A 1-126, в Б 128-253. На маршрутизаторе Б установлена Entware, фильтры ebtables дропают трафик dchcp между подсетями. На всех интерфейсах установлен mtu 1500, обычные пинги/трассы ходят. На обоих системах выполнен no isolate-private. В списках устройств обоих маршрутизаторов видны MAC и IP устройств обоих подсетей. Все, вроде, по феньшую, но...
- DLNA на телике сети А не виден;
- из сети А не возможно открыть web-морды устройств сети Б (наоборот из сети Б все работает).
Неделю убил на изучение проблемы, пересоздавал туннель, пробовал разные значения mtu, но результата нет. Предполагаю, что магия связана со значениями mtu и работой фрагментации пакетов. Замечено, что при установке mtu 1500 пинги больше size 1416 между подсетями не ходят. Внешние сайты при этом пингуются гораздо большими пакетами (>50000). При установке mtu 1416 между подсетями пинг ходит нормально (>50000), но при этом из подсети Б некоторые внешние сайты не открываются, не идут стримы.
Прошу помощи у сообщества по правильной настройке всего этого хозяйства.
Update:
Забыл еще один, возможно, важный нюанс. В подсети А присутствует такая бяка, как двойной nat. Мой маршрутизатор приходит в маршрутизатор прова (192.168.100.0/24), который греет воздух в режиме роутер.
-
Цитата
insmod: can't insert '/lib/modules/4.9-ndm-5/ebtables.ko': File exists insmod: can't insert '/lib/modules/4.9-ndm-5/ebtable_filter.ko': File exists insmod: can't insert '/lib/modules/4.9-ndm-5/ebt_ip.ko': File exists insmod: can't insert '/lib/modules/4.9-ndm-5/ebtable_nat.ko': File exists /opt/etc/init.d/Sebt: line 8: ebtables: not found /opt/etc/init.d/Sebt: line 10: ebtables: not found /opt/etc/init.d/Sebt: line 11: ebtables: not foundПо логике так, но почему тогда у меня вылезало "not found" наряду с "File exists"?
-
9 часов назад, manson сказал:
Такое впечатление, что не встал ebtables.
Запустите
opkg install ebtables
Что говорит?
Да, вы правы, забыл проинсталлить ebtables - сам лопух. Также смущало:
insmod: can't insert '/lib/modules/4.9-ndm-5/ebtables.ko': File existsПоэтому решил накатить OPKG поверху, но не пошло - в логе много ошибок. Все снес
erase storage:, накатил по новой
opkg install ebtablesи все полетело.
Благодарю за помощь.
-
Приветствую!
Все сделал на KN-1810 по инструкции из предыдущего поста с тем отличием, что OPKG установил во встроенное UBIFS. Модули есть, но, не грузятся:
login as: root root@172.16.0.1's password: BusyBox v1.35.0 (2022-04-13 08:47:51 UTC) built-in shell (ash) ~ # ~ # lsmod | grep ebt ebtable_nat 1217 0 - Live 0x8ac82000 ebt_ip 1542 0 - Live 0x8ac87000 ebtable_filter 1225 0 - Live 0x8ae5a000 ebtables 17521 2 ebtable_nat,ebtable_filter, Live 0x8ae38000 ~ # ls -1 /lib/modules/4.9-ndm-5/ebt* /lib/modules/4.9-ndm-5/ebt_802_3.ko /lib/modules/4.9-ndm-5/ebt_among.ko /lib/modules/4.9-ndm-5/ebt_arp.ko /lib/modules/4.9-ndm-5/ebt_arpreply.ko /lib/modules/4.9-ndm-5/ebt_dnat.ko /lib/modules/4.9-ndm-5/ebt_ip.ko /lib/modules/4.9-ndm-5/ebt_ip6.ko /lib/modules/4.9-ndm-5/ebt_limit.ko /lib/modules/4.9-ndm-5/ebt_mark.ko /lib/modules/4.9-ndm-5/ebt_mark_m.ko /lib/modules/4.9-ndm-5/ebt_pkttype.ko /lib/modules/4.9-ndm-5/ebt_redirect.ko /lib/modules/4.9-ndm-5/ebt_snat.ko /lib/modules/4.9-ndm-5/ebt_stp.ko /lib/modules/4.9-ndm-5/ebt_vlan.ko /lib/modules/4.9-ndm-5/ebtable_broute.ko /lib/modules/4.9-ndm-5/ebtable_filter.ko /lib/modules/4.9-ndm-5/ebtable_nat.ko /lib/modules/4.9-ndm-5/ebtables.ko ~ # /opt/etc/init.d/Sebt start insmod: can't insert '/lib/modules/4.9-ndm-5/ebtables.ko': File exists insmod: can't insert '/lib/modules/4.9-ndm-5/ebtable_filter.ko': File exists insmod: can't insert '/lib/modules/4.9-ndm-5/ebt_ip.ko': File exists insmod: can't insert '/lib/modules/4.9-ndm-5/ebtable_nat.ko': File exists /opt/etc/init.d/Sebt: line 8: ebtables: not found /opt/etc/init.d/Sebt: line 10: ebtables: not found /opt/etc/init.d/Sebt: line 11: ebtables: not found ~ #Текст Sebt:
#!/bin/sh insmod /lib/modules/4.9-ndm-5/ebtables.ko insmod /lib/modules/4.9-ndm-5/ebtable_filter.ko insmod /lib/modules/4.9-ndm-5/ebt_ip.ko insmod /lib/modules/4.9-ndm-5/ebtable_nat.ko ebtables -F ebtables -A INPUT -i eoip0 -p ipv4 --ip-proto udp --ip-dport 67:68 -j DROP ebtables -A FORWARD -i eoip0 -p ipv4 --ip-proto udp --ip-dport 67:68 -j DROPИнтернет покурил, но ничего подходящего по такой ситуации не нашел. Прошу помочь разобраться.
Все о туннелях IPIP, GRE и EoIP
in Обсуждение IPsec, OpenVPN и других туннелей
Posted
Да, спасибо, так и есть. Уже сам допер до этого постулата.