gaaronk
-
Posts
299 -
Joined
-
Days Won
3
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by gaaronk
-
-
Шесть лет прошло, а проблемы все те жи…
-
NAT а кинетике всегда был кривой как турецкая сабля. Причем это сделано специально. Что бы у обычного домашнего пользователя не было проблем с утечкой серых адресов или что где то забыли маршрут прописать.
Ну вот такое оно.
-
Это потому что кинетик смотрит принадлежит ли src интерфейс или сеть уровню private. А ваша сеть 192.168.1.0/24 не соответствует адресации ни на одном приватном интерфейсе. Значит она public.
А раз public - делаем DNAT. А указать уровень для сети, не интерфейса - нельзя. Такая логика.
SOHO железка же. Без всей этой сложной маршрутизации и т.д.
-
Да. Я вспомнил что есть у кинетика такое поведение. Даже обсуждал это тут на форуме. Сейчас с телефона и не найду уже.
Типа тут так принято.На пфсенс надо все что не идет в сторону 192.168/16 делать snat/masquerade в адрес на wg интерфейсе.
А с кинетика эту строку убрать
-
надо посмотреть настройки iptables. или через entware или через self-test
-
Попробуйте настроить в CLI
no isolate-private
interface Wireguard0
security-level private -
Через CLI vlan это все настроить можно. Но любое изменение настроек wan через web-ui приводит к тому то все настройки vlan сбрасываются и локалка с этого порта пропадает.
-
Есть же openconnect в entware.
-
Так как с этим vlan уже есть сегмент - прописать не дает, говорит "этот номер уже используется"
-
А вот такой вопрос
Есть порт на котором настроен
switchport mode trunk switchport trunk vlan 20
При добавлении нового WAN порта с vlan 90 на этот интерфейс - любое изменение настроек этого WAN через web-ui не добавляет switchport trunk vlan 90 к существующему vlan, а заменяет его.
Как сделать что бы настройка WAN с vlan не затирала существующие vlan в транке?
-
Надо задать
opkg initrc /opt/etc/init.d/rc.unslung
-
ПО 3.9.2
При задании для Site-to-Site IPSec туннеля длинной 96 символов он корректно задается и отображается в web-ui
А в cli или сохраняемом конфиге
crypto engine hardware ! ERROR: command "crypto ike key": not enough arguments !Command::Argument::Password ERROR[268304478]: out of memory [0xcffe005e]. crypto ike proposal test2
Через CLI длиннее чем 70 символов не задать. Как быть?
-
Понятно. Кинетик использует routed-based vpn с vti
И маршруты прописывает не strongswan, а обвязка. Видимо да, не умеют и надо писать руками.
-
Вот это " маршруты прописанные руками (через впн на внешку) с кинетика убрал"
Что было прописано?
скриншот или вывод show ip route ?
В свойствах VPN клиента стоит "Использовать для выхода в интернет" ?
-
Тут такое дело. Strongswan (а в кинетике он) получает от удаленного сервера сети. для этих сетей вставляет IPSec SA в ядро. Не знаю как в кинетике, а в shell их можно посмотреть через
ip x p
ip x s
Далее по идее клиенту не нужны маршруты. Он отправляет трафик по маршруту по умолчанию (в сторону интернет), ядро видит что трафик попадает под критерий IPSec SA, и уже само их шифрует, туннелирует и тд.
А какие маршруты вы пишите? И странно что в выводе пустая секция SA keys:
-
16 hours ago, dotcom said:
клиент-сервер. домашний кинетик по впн соединяется с сервером/gw в европе и часть запрещенного трафика с домашней сети роутит туда
(config)> show ipsec
А еще можно вывод
show ip route
show ip route table 248
-
В dynamic по другому немного. Пишите, подскажу
-
это Site-to-Site VPN или кинетик настроен как VPN-подключения?
что говорит вывод команды show ipsec ?
-
И на кинетике на интерфейсе выставит как минимум
ipsec proposal lifetime 172800
ipsec transform-set lifetime 86400потому что после четырех пересогласований ESP SA кинетик туннель полностью перестраивает с нуля. это бага. в 4.0 уже пофикшена
А на strongswan
ikelifetime=48h
keyexchange=ikev2
keyingtries=1
lifetime=30h
inactivity=10m
rekeyfuzz=0%
margintime=5m
type=transport- 1
- 1
-
Для автотуннеля на IPIP интерфейсе, со стороны Strongswan описывайте так
leftauth=psk
leftid=userfqdn:IPIP0
leftsubnet=%dynamic[ipip]
right=%any
rightauth=psk
rightid=userfqdn:IPIP0
rightsubnet=%dynamic[ipip]ipsec.secrets
@@IPIP0 @@IPIP0 : PSK "<ключ>"
Вот так, с двумя собачками.
NAT
no nat Home
и потом ip static Home <интерфейс к провайдеру>
у меня
ip static Home PPPoE0
- 1
-
Сделайте на кинетике маршрут в сторону Интернет только для адреса /32 вашего сервера
Постройте GRE туннель, его и пошифруйте IPSec'ом
И уже в GRE туннель настройте маршрут по умолчанию.
Настройку линукса и кинетика могу подсказать если что - пишите в личку.
- 1
-
Офисный ipsec-сервер на чем настроен?
-
А модно в конфигурацию avahi в секцию [server] добавить опцию
allow-point-to-point=yes
Что бы mDNS работал через туннели у которых security-level private
-
До версии 4.0 был ручной IPSec туннель для GRE трафика. Примерно так
access-list acl-tun-gre permit gre <ip кинетика> 255.255.255.255 <ip удаленного хоста> 255.255.255.255 crypto map gre-tunnel match-address acl-tun-gre
Как указать GRE протокол в новых "object-group ip" используемых для traffic-selectors ?
Из-за этого ручные туннель сломались....
- 1
Вопрос по логике работы NAT
in Обмен опытом
Posted
На pfsense сделайте что то воде - если выходим через wg туннель и назначение НЕ РАВНО 192.168.0.0/16 - маскарад.
будет и интернет и контроль доступа А в Б