[Поддержка USB to Serial переходников]

Всем спасибо! Разобрался.

Если вдруг кому-то понадобится:

1. Включить компонент "Serial interface for 4G/3G USB modems".
2. После перезагрузки появится новый компонент "USB to Serial Port Converters". Он зависит от предыдущего, но почему-то сразу не отображался в меню. Установить его и перзагрузиться еще раз. Собственно это решило проблему с отсутствием /dev/ttyUSB0.
3. Несмотря на то, что устройство появилось, прошивка начала его бесконечно удалять/добавлять. Видимо, в попытках использовать его как модем. Идем в Internet > Mobile > UsbModem0 и отключаем его. После этого все стабильно работает через screen или minicom.

[Поддержка USB to Serial переходников]

1 hour ago, Mamay said:

Обратитесь в официальную поддержку

Попробую..

[Поддержка USB to Serial переходников]

1 hour ago, Илья Картавенко said:

Поддерживаемые наборы микросхем:
...
CP2101/2102

Хм.. У меня CP2104, который использует тот же драйвер CP210x (если не ошибаюсь). Почему тогда не появляется ничего в /dev?

[Поддержка USB to Serial переходников]

Подскажите, пожалуйста, есть ли возможность использовать USB to Serial (UART) переходники?

Вроде модуль есть, девайс определяется, но не вижу ничего в /dev/

Как мне, например, через screen или minicom подключиться к консоли другого девайса?

root@Giga:~# lsmod | grep usbser
usbserial 23074 3 option,usb_wwan,sierra, Live 0x9acd8000

root@Giga:~# lsusb
Bus 001 Device 003: ID 0930:6544 TOSHIBA TransMemory
Bus 002 Device 001: ID 1d6b:0003 Linux 4.9-ndm-5 xhci-hcd xHCI Host Controller
Bus 001 Device 004: ID 10c4:ea60 Silicon Labs CP2104 USB to UART Bridge Controller
Bus 001 Device 001: ID 1d6b:0002 Linux 4.9-ndm-5 xhci-hcd xHCI Host Controller

root@Giga:~# dmesg
usb 1-1: new full-speed USB device number 4 using xhci-mtk
usb 1-1: New USB device found, idVendor=10c4, idProduct=ea60, bcdDevice= 1.00
usb 1-1: New USB device strings: Mfr=1, Product=2, SerialNumber=3
usb 1-1: Product: CP2104 USB to UART Bridge Controller
usb 1-1: Manufacturer: Silicon Labs
usb 1-1: SerialNumber: 0170CC7C

 

[Доработка/переработка ip static]

Три

[Вопрос по логике работы NAT]

Пока прописал SNAT на PFSense для всего, что не в 192.168/16 в адрес WG. Работает как надо.
Gaaronk, еще раз спасибо за ответы! Вы мне очень помогли!

[Вопрос по логике работы NAT]

На pfsense сделайте что то воде - если выходим через wg туннель и назначение НЕ РАВНО 192.168.0.0/16 - маскарад. 

На pfsense сделайте что то воде - если выходим через wg туннель и назначение НЕ РАВНО 192.168.0.0/16 - маскарад. 

Отличная идея!

Было бы хорошо иметь костыль в виде команды

ip network-private <CIDR>

Я бы все же предпочел тупо убрать DNAT правило. Ведь все равно нужно создавать отдельные вручную, чтобы что-то куда-то форвардить. А это дефолтное правило абсолютно не имеет смысла и ломает роутинг.

[Вопрос по логике работы NAT]

Quote

При этом еще и включается проброс портов с сетей 192.168.0.0/255.255.252.0 на адрес интерфейса ISP, что противоречит логике.

But why??? 🤦‍♂️
Зачем он включается, если об этом никто не просит? Какая-то кривая реализация, честно..
Посмотрим, что ответят.. Если ответят.

[Вопрос по логике работы NAT]

1 minute ago, gaaronk said:

А раз public - делаем DNAT. А указать уровень для сети, не интерфейса - нельзя. Такая логика.

Точнее ее отсутстывие.. DNAT вникуда ведь все равно..

[Вопрос по логике работы NAT]

Ну да, так-то оно будет работать. Но это какой-то адский костыль. Это ж ломает возможность потом фильтровать траффик из A в B каким-либо образом, кроме полного allow или deny.. 🤦‍♂️

А вот правило "src: 0.0.0.0/0, dst: 192.168.1.0/24, in: "*", out: "*", proto: "any"; DNAT, address: {{WAN_IP}}" не имеет абсолютно никакого смысла. Зачем кинетику вдруг принимать на себя подключения, которые даже не существуют на нем?.. Мягко говоря, странная имплементация. Попробую баг-репорт написать.

Спасибо за ответы!

[Вопрос по логике работы NAT]

Но проблема очевидна теперь. При вводе "ip static 192.168.1.0 255.255.255.0 L2TP0" автоматом создается DNAT правило:

src: 0.0.0.0/0, dst: 192.168.1.0/24, in: "*", out: "*", proto: "any"; DNAT, address: {{WAN_IP}}

Соответственно, когда я пытаюсь подключиться откуда-либо к хосту в 192.168.1.0, меня DNATит на WAN_IP кинетика. Это правило не должно создаваться в принципе! Если мне нужен будет DNAT в 192.168.1.0 я сам создам правило для нужных мне хостов. А не тупо коннектить все к кинетику.

Если кто-то подскажет, как убрать эту строку - буду очень благодарен.

А вообще, я бы назвал это багом. Не вижу вообще причины, по какой это правило может создаваться.

[Вопрос по логике работы NAT]

В файле конфиг. Убрал все, что не касается итерфейсов, фаервола и nat.

Как уже сказал, no isolate-private сделано, поэтому в конфиге его нет. В целом, настроек минимум. Только то, что нужно для роутинга и НАТа. Никаких доп фильтров, кроме телнета из локалки нет.

nat.txt

[Вопрос по логике работы NAT]

Думаю, что проблема в последней строке. Не пойму, зачем она там вообще нужна. Никаких правил DNAT я не создавал. Сейчас приложу релевантный конфиг.

 == Chain _NDM_STATIC_SNAT ==
src: 192.168.2.0/24, dst: 0.0.0.0/0, in: "*", out: "ppp0", proto: "any"; "ndmmark" match, value: 0x4/0x4, invert: 0x0; SNAT, address: {{WAN_IP}}
src: 10.0.0.0/24, dst: 0.0.0.0/0, in: "*", out: "ppp0", proto: "any"; "ndmmark" match, value: 0x4/0x4, invert: 0x0; SNAT, address: {{WAN_IP}}
src: 192.168.1.0/24, dst: 0.0.0.0/0, in: "*", out: "ppp0", proto: "any"; "ndmmark" match, value: 0x4/0x4, invert: 0x0; SNAT, address: {{WAN_IP}}
-> Chain default policy: RETURN
== Chain _NDM_STATIC_DNAT ==
src: 0.0.0.0/0, dst: 192.168.1.0/24, in: "*", out: "*", proto: "any"; DNAT, address: {{WAN_IP}}

[Вопрос по логике работы NAT]

Just now, gaaronk said:

Попробуйте настроить в CLI

no isolate-private

interface Wireguard0
    security-level private

 

Да, забыл написать.

И первое, и второе уже сделано. Все работает отлично и роутится как надо до того момента, как я разрешаю NAT из удаленной подсети (A)

[Вопрос по логике работы NAT]

Привет!
Не могу понять логику работы NAT на роутере. Две сети соединены через Wireguard. Один роутер на PFSense, второй - Keenetic. На PFSense все работает как требуется и в соответствии с настройками. Нарисовал просто для полноты картины. На кинетике не могу добиться такой же логики. Смысл проблемы в следующем:

Настроена статическая маршрутизация между сетями черех туннель. На keenetic выключен "ip nat Home" и прописаны статические правила NAT:

ip static Home L2TP0
ip static Wireguard0 L2TP0
ip static 192.168.1.0 255.255.255.0 L2TP0

Это нужно для того, чтобы девайсы из подсети А могли ходить на некоторые хосты в Интернете через туннель и кинетик. То же самое работает и в обратную сторону.

Проблема возникает как только я разрешаю NAT из A (ip static 192.168.1.0 255.255.255.0 L2TP0). После ввода этой команды, кинетик терминирует любые подключения из B в A на себя. Например, до ввода команды я могу с хоста 192.168.2.2 подключиться по ssh к хосту 192.168.1.2. После ввода, несмотря на то, что коннекчусь к 192.168.1.2, попадаю на кинетик. Трейсроут тоже меняется и показывает один хоп вместо трех.

Как мне сделать так, чтобы кинетик NATил траффик из A и B, но только при выходе пакетов через L2TP0? Во всех остальных случаях NAT'а быть не должно - используется обычная маршрутизация.

'ip nat loopback' на Home и Wireguard0 выключен. Разницы нет. Почему Кинетик вообще отвечает на запросы, адресованные в другую подсеть, которая даже не directly connected?

[2 кинетика по Wireguard]

35 minutes ago, r13 said:

Ответ тут

https://forum.keenetic.com/topic/2617-вопросы-по-интеграции-openvpn-в-ndms/?do=findComment&comment=135763

Офигенно! Огромное спасибо! Все работает как надо теперь.
Я еще нигде так быстро не получал ответы, как здесь!

п.с. Команды в ndmc, конечно, вообще не интуитивные. Я думал, что ip static - это про статические маршруты, а не про NAT. Было бы логичней что-то типа ip nat static.. Ну да ладно. Главное, что работает!

[2 кинетика по Wireguard]

В продолжение темы..

Можно ли как-то более гибко настроить правило для НАТа? Сейчас он НАТит не только в Интернет, но и в локалку "B". Ну, т.е. если я пингую из A какой-нибудь хост в B, то эти пакеты имеют source IP = LAN IP кинетика.. Хотелось бы, чтобы он натил на выходе ppp0 а не на входе wg0.

[2 кинетика по Wireguard]

29 minutes ago, Werld said:

Попробуйте в cli: ip nat <сеть A> , должно помочь. А вообще, лучше чтобы Wg клиент натил свою сеть А при выходе в WG-туннель.

Супер! Спасибо за оперативную помощь! "ip nat IP MASK" сработало. Трафик пошел.

[2 кинетика по Wireguard]

Подскажите, плиз, как разрешить NAT для траффика, приходящего через wg туннель из локальной сети клиента?

Туннель настроен, маршруты прописаны. Кинетик знает о подсети А, трафик между А и В ходит без проблем через туннель.

Нужно, чтобы А могла ходить в интернет через WG и кинетик. Нат на WG интерфейсе разрешен и клиенты могут ходить в интернет без проблем с адресов сети WG, но вот из сети A кинетик не НАТит траффик. Трейс из А затыкается на кинетике на адресе WG.

Помню на старых Падавановских прошивках НАТ по-умолчанию разрешен был только для Directly Connected сетей, но можно было просто руками добавить правило iptables через gui. Как здесь сделать то же самое?