M V

Всем спасибо! Разобрался. Если вдруг кому-то понадобится: 1. Включить компонент "Serial interface for 4G/3G USB modems". 2. После перезагрузки появится новый компонент "USB to Serial Port Converters". Он зависит от предыдущего, но почему-то сразу не отображался в меню. Установить его и перзагрузиться еще раз. Собственно это решило проблему с отсутствием /dev/ttyUSB0. 3. Несмотря на то, что устройство появилось, прошивка начала его бесконечно удалять/добавлять. Видимо, в попытках использовать его как модем. Идем в Internet > Mobile > UsbModem0 и отключаем его. После этого все стабильно работает через screen или minicom.

Попробую..

Хм.. У меня CP2104, который использует тот же драйвер CP210x (если не ошибаюсь). Почему тогда не появляется ничего в /dev?

Подскажите, пожалуйста, есть ли возможность использовать USB to Serial (UART) переходники? Вроде модуль есть, девайс определяется, но не вижу ничего в /dev/ Как мне, например, через screen или minicom подключиться к консоли другого девайса? root@Giga:~# lsmod | grep usbser usbserial 23074 3 option,usb_wwan,sierra, Live 0x9acd8000 root@Giga:~# lsusb Bus 001 Device 003: ID 0930:6544 TOSHIBA TransMemory Bus 002 Device 001: ID 1d6b:0003 Linux 4.9-ndm-5 xhci-hcd xHCI Host Controller Bus 001 Device 004: ID 10c4:ea60 Silicon Labs CP2104 USB to UART Bridge Controller Bus 001 Device 001: ID 1d6b:0002 Linux 4.9-ndm-5 xhci-hcd xHCI Host Controller root@Giga:~# dmesg usb 1-1: new full-speed USB device number 4 using xhci-mtk usb 1-1: New USB device found, idVendor=10c4, idProduct=ea60, bcdDevice= 1.00 usb 1-1: New USB device strings: Mfr=1, Product=2, SerialNumber=3 usb 1-1: Product: CP2104 USB to UART Bridge Controller usb 1-1: Manufacturer: Silicon Labs usb 1-1: SerialNumber: 0170CC7C

Три

Пока прописал SNAT на PFSense для всего, что не в 192.168/16 в адрес WG. Работает как надо. Gaaronk, еще раз спасибо за ответы! Вы мне очень помогли!

На pfsense сделайте что то воде - если выходим через wg туннель и назначение НЕ РАВНО 192.168.0.0/16 - маскарад. На pfsense сделайте что то воде - если выходим через wg туннель и назначение НЕ РАВНО 192.168.0.0/16 - маскарад. Отличная идея! Было бы хорошо иметь костыль в виде команды ip network-private <CIDR> Я бы все же предпочел тупо убрать DNAT правило. Ведь все равно нужно создавать отдельные вручную, чтобы что-то куда-то форвардить. А это дефолтное правило абсолютно не имеет смысла и ломает роутинг.

But why??? 🤦‍♂️ Зачем он включается, если об этом никто не просит? Какая-то кривая реализация, честно.. Посмотрим, что ответят.. Если ответят.

Точнее ее отсутстывие.. DNAT вникуда ведь все равно..

Ну да, так-то оно будет работать. Но это какой-то адский костыль. Это ж ломает возможность потом фильтровать траффик из A в B каким-либо образом, кроме полного allow или deny.. 🤦‍♂️ А вот правило "src: 0.0.0.0/0, dst: 192.168.1.0/24, in: "*", out: "*", proto: "any"; DNAT, address: {{WAN_IP}}" не имеет абсолютно никакого смысла. Зачем кинетику вдруг принимать на себя подключения, которые даже не существуют на нем?.. Мягко говоря, странная имплементация. Попробую баг-репорт написать. Спасибо за ответы!

Но проблема очевидна теперь. При вводе "ip static 192.168.1.0 255.255.255.0 L2TP0" автоматом создается DNAT правило: src: 0.0.0.0/0, dst: 192.168.1.0/24, in: "*", out: "*", proto: "any"; DNAT, address: {{WAN_IP}} Соответственно, когда я пытаюсь подключиться откуда-либо к хосту в 192.168.1.0, меня DNATит на WAN_IP кинетика. Это правило не должно создаваться в принципе! Если мне нужен будет DNAT в 192.168.1.0 я сам создам правило для нужных мне хостов. А не тупо коннектить все к кинетику. Если кто-то подскажет, как убрать эту строку - буду очень благодарен. А вообще, я бы назвал это багом. Не вижу вообще причины, по какой это правило может создаваться.

В файле конфиг. Убрал все, что не касается итерфейсов, фаервола и nat. Как уже сказал, no isolate-private сделано, поэтому в конфиге его нет. В целом, настроек минимум. Только то, что нужно для роутинга и НАТа. Никаких доп фильтров, кроме телнета из локалки нет. nat.txt

Думаю, что проблема в последней строке. Не пойму, зачем она там вообще нужна. Никаких правил DNAT я не создавал. Сейчас приложу релевантный конфиг. == Chain _NDM_STATIC_SNAT == src: 192.168.2.0/24, dst: 0.0.0.0/0, in: "*", out: "ppp0", proto: "any"; "ndmmark" match, value: 0x4/0x4, invert: 0x0; SNAT, address: {{WAN_IP}} src: 10.0.0.0/24, dst: 0.0.0.0/0, in: "*", out: "ppp0", proto: "any"; "ndmmark" match, value: 0x4/0x4, invert: 0x0; SNAT, address: {{WAN_IP}} src: 192.168.1.0/24, dst: 0.0.0.0/0, in: "*", out: "ppp0", proto: "any"; "ndmmark" match, value: 0x4/0x4, invert: 0x0; SNAT, address: {{WAN_IP}} -> Chain default policy: RETURN == Chain _NDM_STATIC_DNAT == src: 0.0.0.0/0, dst: 192.168.1.0/24, in: "*", out: "*", proto: "any"; DNAT, address: {{WAN_IP}}

Да, забыл написать. И первое, и второе уже сделано. Все работает отлично и роутится как надо до того момента, как я разрешаю NAT из удаленной подсети (A)

Привет! Не могу понять логику работы NAT на роутере. Две сети соединены через Wireguard. Один роутер на PFSense, второй - Keenetic. На PFSense все работает как требуется и в соответствии с настройками. Нарисовал просто для полноты картины. На кинетике не могу добиться такой же логики. Смысл проблемы в следующем: Настроена статическая маршрутизация между сетями черех туннель. На keenetic выключен "ip nat Home" и прописаны статические правила NAT: ip static Home L2TP0 ip static Wireguard0 L2TP0 ip static 192.168.1.0 255.255.255.0 L2TP0 Это нужно для того, чтобы девайсы из подсети А могли ходить на некоторые хосты в Интернете через туннель и кинетик. То же самое работает и в обратную сторону. Проблема возникает как только я разрешаю NAT из A (ip static 192.168.1.0 255.255.255.0 L2TP0). После ввода этой команды, кинетик терминирует любые подключения из B в A на себя. Например, до ввода команды я могу с хоста 192.168.2.2 подключиться по ssh к хосту 192.168.1.2. После ввода, несмотря на то, что коннекчусь к 192.168.1.2, попадаю на кинетик. Трейсроут тоже меняется и показывает один хоп вместо трех. Как мне сделать так, чтобы кинетик NATил траффик из A и B, но только при выходе пакетов через L2TP0? Во всех остальных случаях NAT'а быть не должно - используется обычная маршрутизация. 'ip nat loopback' на Home и Wireguard0 выключен. Разницы нет. Почему Кинетик вообще отвечает на запросы, адресованные в другую подсеть, которая даже не directly connected?

Офигенно! Огромное спасибо! Все работает как надо теперь. Я еще нигде так быстро не получал ответы, как здесь! п.с. Команды в ndmc, конечно, вообще не интуитивные. Я думал, что ip static - это про статические маршруты, а не про NAT. Было бы логичней что-то типа ip nat static.. Ну да ладно. Главное, что работает!

В продолжение темы.. Можно ли как-то более гибко настроить правило для НАТа? Сейчас он НАТит не только в Интернет, но и в локалку "B". Ну, т.е. если я пингую из A какой-нибудь хост в B, то эти пакеты имеют source IP = LAN IP кинетика.. Хотелось бы, чтобы он натил на выходе ppp0 а не на входе wg0.

Супер! Спасибо за оперативную помощь! "ip nat IP MASK" сработало. Трафик пошел.

Подскажите, плиз, как разрешить NAT для траффика, приходящего через wg туннель из локальной сети клиента? Туннель настроен, маршруты прописаны. Кинетик знает о подсети А, трафик между А и В ходит без проблем через туннель. Нужно, чтобы А могла ходить в интернет через WG и кинетик. Нат на WG интерфейсе разрешен и клиенты могут ходить в интернет без проблем с адресов сети WG, но вот из сети A кинетик не НАТит траффик. Трейс из А затыкается на кинетике на адресе WG. Помню на старых Падавановских прошивках НАТ по-умолчанию разрешен был только для Directly Connected сетей, но можно было просто руками добавить правило iptables через gui. Как здесь сделать то же самое?