M V
Forum Members-
Posts
19 -
Joined
-
Last visited
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Everything posted by M V
-
Всем спасибо! Разобрался. Если вдруг кому-то понадобится: 1. Включить компонент "Serial interface for 4G/3G USB modems". 2. После перезагрузки появится новый компонент "USB to Serial Port Converters". Он зависит от предыдущего, но почему-то сразу не отображался в меню. Установить его и перзагрузиться еще раз. Собственно это решило проблему с отсутствием /dev/ttyUSB0. 3. Несмотря на то, что устройство появилось, прошивка начала его бесконечно удалять/добавлять. Видимо, в попытках использовать его как модем. Идем в Internet > Mobile > UsbModem0 и отключаем его. После этого все стабильно работает через screen или minicom.
-
Попробую..
-
Хм.. У меня CP2104, который использует тот же драйвер CP210x (если не ошибаюсь). Почему тогда не появляется ничего в /dev?
-
Подскажите, пожалуйста, есть ли возможность использовать USB to Serial (UART) переходники? Вроде модуль есть, девайс определяется, но не вижу ничего в /dev/ Как мне, например, через screen или minicom подключиться к консоли другого девайса? root@Giga:~# lsmod | grep usbser usbserial 23074 3 option,usb_wwan,sierra, Live 0x9acd8000 root@Giga:~# lsusb Bus 001 Device 003: ID 0930:6544 TOSHIBA TransMemory Bus 002 Device 001: ID 1d6b:0003 Linux 4.9-ndm-5 xhci-hcd xHCI Host Controller Bus 001 Device 004: ID 10c4:ea60 Silicon Labs CP2104 USB to UART Bridge Controller Bus 001 Device 001: ID 1d6b:0002 Linux 4.9-ndm-5 xhci-hcd xHCI Host Controller root@Giga:~# dmesg usb 1-1: new full-speed USB device number 4 using xhci-mtk usb 1-1: New USB device found, idVendor=10c4, idProduct=ea60, bcdDevice= 1.00 usb 1-1: New USB device strings: Mfr=1, Product=2, SerialNumber=3 usb 1-1: Product: CP2104 USB to UART Bridge Controller usb 1-1: Manufacturer: Silicon Labs usb 1-1: SerialNumber: 0170CC7C
-
Пока прописал SNAT на PFSense для всего, что не в 192.168/16 в адрес WG. Работает как надо. Gaaronk, еще раз спасибо за ответы! Вы мне очень помогли!
-
На pfsense сделайте что то воде - если выходим через wg туннель и назначение НЕ РАВНО 192.168.0.0/16 - маскарад. На pfsense сделайте что то воде - если выходим через wg туннель и назначение НЕ РАВНО 192.168.0.0/16 - маскарад. Отличная идея! Было бы хорошо иметь костыль в виде команды ip network-private <CIDR> Я бы все же предпочел тупо убрать DNAT правило. Ведь все равно нужно создавать отдельные вручную, чтобы что-то куда-то форвардить. А это дефолтное правило абсолютно не имеет смысла и ломает роутинг.
-
But why??? 🤦♂️ Зачем он включается, если об этом никто не просит? Какая-то кривая реализация, честно.. Посмотрим, что ответят.. Если ответят.
-
Точнее ее отсутстывие.. DNAT вникуда ведь все равно..
-
Ну да, так-то оно будет работать. Но это какой-то адский костыль. Это ж ломает возможность потом фильтровать траффик из A в B каким-либо образом, кроме полного allow или deny.. 🤦♂️ А вот правило "src: 0.0.0.0/0, dst: 192.168.1.0/24, in: "*", out: "*", proto: "any"; DNAT, address: {{WAN_IP}}" не имеет абсолютно никакого смысла. Зачем кинетику вдруг принимать на себя подключения, которые даже не существуют на нем?.. Мягко говоря, странная имплементация. Попробую баг-репорт написать. Спасибо за ответы!
-
Но проблема очевидна теперь. При вводе "ip static 192.168.1.0 255.255.255.0 L2TP0" автоматом создается DNAT правило: src: 0.0.0.0/0, dst: 192.168.1.0/24, in: "*", out: "*", proto: "any"; DNAT, address: {{WAN_IP}} Соответственно, когда я пытаюсь подключиться откуда-либо к хосту в 192.168.1.0, меня DNATит на WAN_IP кинетика. Это правило не должно создаваться в принципе! Если мне нужен будет DNAT в 192.168.1.0 я сам создам правило для нужных мне хостов. А не тупо коннектить все к кинетику. Если кто-то подскажет, как убрать эту строку - буду очень благодарен. А вообще, я бы назвал это багом. Не вижу вообще причины, по какой это правило может создаваться.
-
В файле конфиг. Убрал все, что не касается итерфейсов, фаервола и nat. Как уже сказал, no isolate-private сделано, поэтому в конфиге его нет. В целом, настроек минимум. Только то, что нужно для роутинга и НАТа. Никаких доп фильтров, кроме телнета из локалки нет. nat.txt
-
Думаю, что проблема в последней строке. Не пойму, зачем она там вообще нужна. Никаких правил DNAT я не создавал. Сейчас приложу релевантный конфиг. == Chain _NDM_STATIC_SNAT == src: 192.168.2.0/24, dst: 0.0.0.0/0, in: "*", out: "ppp0", proto: "any"; "ndmmark" match, value: 0x4/0x4, invert: 0x0; SNAT, address: {{WAN_IP}} src: 10.0.0.0/24, dst: 0.0.0.0/0, in: "*", out: "ppp0", proto: "any"; "ndmmark" match, value: 0x4/0x4, invert: 0x0; SNAT, address: {{WAN_IP}} src: 192.168.1.0/24, dst: 0.0.0.0/0, in: "*", out: "ppp0", proto: "any"; "ndmmark" match, value: 0x4/0x4, invert: 0x0; SNAT, address: {{WAN_IP}} -> Chain default policy: RETURN == Chain _NDM_STATIC_DNAT == src: 0.0.0.0/0, dst: 192.168.1.0/24, in: "*", out: "*", proto: "any"; DNAT, address: {{WAN_IP}}
-
Да, забыл написать. И первое, и второе уже сделано. Все работает отлично и роутится как надо до того момента, как я разрешаю NAT из удаленной подсети (A)
-
Привет! Не могу понять логику работы NAT на роутере. Две сети соединены через Wireguard. Один роутер на PFSense, второй - Keenetic. На PFSense все работает как требуется и в соответствии с настройками. Нарисовал просто для полноты картины. На кинетике не могу добиться такой же логики. Смысл проблемы в следующем: Настроена статическая маршрутизация между сетями черех туннель. На keenetic выключен "ip nat Home" и прописаны статические правила NAT: ip static Home L2TP0 ip static Wireguard0 L2TP0 ip static 192.168.1.0 255.255.255.0 L2TP0 Это нужно для того, чтобы девайсы из подсети А могли ходить на некоторые хосты в Интернете через туннель и кинетик. То же самое работает и в обратную сторону. Проблема возникает как только я разрешаю NAT из A (ip static 192.168.1.0 255.255.255.0 L2TP0). После ввода этой команды, кинетик терминирует любые подключения из B в A на себя. Например, до ввода команды я могу с хоста 192.168.2.2 подключиться по ssh к хосту 192.168.1.2. После ввода, несмотря на то, что коннекчусь к 192.168.1.2, попадаю на кинетик. Трейсроут тоже меняется и показывает один хоп вместо трех. Как мне сделать так, чтобы кинетик NATил траффик из A и B, но только при выходе пакетов через L2TP0? Во всех остальных случаях NAT'а быть не должно - используется обычная маршрутизация. 'ip nat loopback' на Home и Wireguard0 выключен. Разницы нет. Почему Кинетик вообще отвечает на запросы, адресованные в другую подсеть, которая даже не directly connected?
-
2 кинетика по Wireguard
M V replied to Alex_Foks's topic in Обсуждение IPsec, OpenVPN и других туннелей
Офигенно! Огромное спасибо! Все работает как надо теперь. Я еще нигде так быстро не получал ответы, как здесь! п.с. Команды в ndmc, конечно, вообще не интуитивные. Я думал, что ip static - это про статические маршруты, а не про NAT. Было бы логичней что-то типа ip nat static.. Ну да ладно. Главное, что работает! -
2 кинетика по Wireguard
M V replied to Alex_Foks's topic in Обсуждение IPsec, OpenVPN и других туннелей
В продолжение темы.. Можно ли как-то более гибко настроить правило для НАТа? Сейчас он НАТит не только в Интернет, но и в локалку "B". Ну, т.е. если я пингую из A какой-нибудь хост в B, то эти пакеты имеют source IP = LAN IP кинетика.. Хотелось бы, чтобы он натил на выходе ppp0 а не на входе wg0. -
2 кинетика по Wireguard
M V replied to Alex_Foks's topic in Обсуждение IPsec, OpenVPN и других туннелей
Супер! Спасибо за оперативную помощь! "ip nat IP MASK" сработало. Трафик пошел. -
2 кинетика по Wireguard
M V replied to Alex_Foks's topic in Обсуждение IPsec, OpenVPN и других туннелей
Подскажите, плиз, как разрешить NAT для траффика, приходящего через wg туннель из локальной сети клиента? Туннель настроен, маршруты прописаны. Кинетик знает о подсети А, трафик между А и В ходит без проблем через туннель. Нужно, чтобы А могла ходить в интернет через WG и кинетик. Нат на WG интерфейсе разрешен и клиенты могут ходить в интернет без проблем с адресов сети WG, но вот из сети A кинетик не НАТит траффик. Трейс из А затыкается на кинетике на адресе WG. Помню на старых Падавановских прошивках НАТ по-умолчанию разрешен был только для Directly Connected сетей, но можно было просто руками добавить правило iptables через gui. Как здесь сделать то же самое?