gaaronk
Forum Members-
Posts
299 -
Joined
-
Days Won
3
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Everything posted by gaaronk
-
На pfsense сделайте что то воде - если выходим через wg туннель и назначение НЕ РАВНО 192.168.0.0/16 - маскарад. будет и интернет и контроль доступа А в Б
-
Шесть лет прошло, а проблемы все те жи…
-
NAT а кинетике всегда был кривой как турецкая сабля. Причем это сделано специально. Что бы у обычного домашнего пользователя не было проблем с утечкой серых адресов или что где то забыли маршрут прописать. Ну вот такое оно.
-
Это потому что кинетик смотрит принадлежит ли src интерфейс или сеть уровню private. А ваша сеть 192.168.1.0/24 не соответствует адресации ни на одном приватном интерфейсе. Значит она public. А раз public - делаем DNAT. А указать уровень для сети, не интерфейса - нельзя. Такая логика. SOHO железка же. Без всей этой сложной маршрутизации и т.д.
-
Да. Я вспомнил что есть у кинетика такое поведение. Даже обсуждал это тут на форуме. Сейчас с телефона и не найду уже. Типа тут так принято. На пфсенс надо все что не идет в сторону 192.168/16 делать snat/masquerade в адрес на wg интерфейсе. А с кинетика эту строку убрать
-
надо посмотреть настройки iptables. или через entware или через self-test
-
Попробуйте настроить в CLI no isolate-private interface Wireguard0 security-level private
-
Через CLI vlan это все настроить можно. Но любое изменение настроек wan через web-ui приводит к тому то все настройки vlan сбрасываются и локалка с этого порта пропадает.
-
Есть же openconnect в entware.
-
Так как с этим vlan уже есть сегмент - прописать не дает, говорит "этот номер уже используется"
-
А вот такой вопрос Есть порт на котором настроен switchport mode trunk switchport trunk vlan 20 При добавлении нового WAN порта с vlan 90 на этот интерфейс - любое изменение настроек этого WAN через web-ui не добавляет switchport trunk vlan 90 к существующему vlan, а заменяет его. Как сделать что бы настройка WAN с vlan не затирала существующие vlan в транке?
-
Entware-3x. Проблемы с установкой, настройки...
gaaronk replied to zyxmon's topic in Вопросы по сборке и настройке Opkg
Надо задать opkg initrc /opt/etc/init.d/rc.unslung -
ПО 3.9.2 При задании для Site-to-Site IPSec туннеля длинной 96 символов он корректно задается и отображается в web-ui А в cli или сохраняемом конфиге crypto engine hardware ! ERROR: command "crypto ike key": not enough arguments !Command::Argument::Password ERROR[268304478]: out of memory [0xcffe005e]. crypto ike proposal test2 Через CLI длиннее чем 70 символов не задать. Как быть?
-
Тут такое дело. Strongswan (а в кинетике он) получает от удаленного сервера сети. для этих сетей вставляет IPSec SA в ядро. Не знаю как в кинетике, а в shell их можно посмотреть через ip x p ip x s Далее по идее клиенту не нужны маршруты. Он отправляет трафик по маршруту по умолчанию (в сторону интернет), ядро видит что трафик попадает под критерий IPSec SA, и уже само их шифрует, туннелирует и тд. А какие маршруты вы пишите? И странно что в выводе пустая секция SA keys:
-
И на кинетике на интерфейсе выставит как минимум ipsec proposal lifetime 172800 ipsec transform-set lifetime 86400 потому что после четырех пересогласований ESP SA кинетик туннель полностью перестраивает с нуля. это бага. в 4.0 уже пофикшена А на strongswan ikelifetime=48h keyexchange=ikev2 keyingtries=1 lifetime=30h inactivity=10m rekeyfuzz=0% margintime=5m type=transport
-
Для автотуннеля на IPIP интерфейсе, со стороны Strongswan описывайте так leftauth=psk leftid=userfqdn:IPIP0 leftsubnet=%dynamic[ipip] right=%any rightauth=psk rightid=userfqdn:IPIP0 rightsubnet=%dynamic[ipip] ipsec.secrets @@IPIP0 @@IPIP0 : PSK "<ключ>" Вот так, с двумя собачками. NAT no nat Home и потом ip static Home <интерфейс к провайдеру> у меня ip static Home PPPoE0
-
А модно в конфигурацию avahi в секцию [server] добавить опцию allow-point-to-point=yes Что бы mDNS работал через туннели у которых security-level private
-
До версии 4.0 был ручной IPSec туннель для GRE трафика. Примерно так access-list acl-tun-gre permit gre <ip кинетика> 255.255.255.255 <ip удаленного хоста> 255.255.255.255 crypto map gre-tunnel match-address acl-tun-gre Как указать GRE протокол в новых "object-group ip" используемых для traffic-selectors ? Из-за этого ручные туннель сломались....