gaaronk
-
Posts
299 -
Joined
-
Days Won
3
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by gaaronk
-
-
Вставлете правила с уникальным комментарием, например -m comment --comment unic_marker
Потом в начале скрипта
/opt/sbin/iptables -L -n -t filter | grep -q "unic_marker" && exit 0
- 1
-
А какой опцией передается маршрут? Надо через 249
-
3 hours ago, Le ecureuil said:
МСЭ имеет приоритет перед tunnels input. Потому просто запретите нужные протоколы в МСЭ.
Да, но нет.
МСЭ имеет приоритет перед tunnels input И перед _NDM_IPSEC_INPUT_FILTER. Если я взаимодействую с пиром "B" по GRE с ипеском, то использование МСЭ разрешит любой GRE от "B", и запретит от остальных.
Что никак не решает задачу - разрешить GRE ТОЛЬКО от "B" и ТОЛЬКО шифрованный.
-
А как настроить firewall что бы разрешить только шифрованный GRE ?
В цепочке _NDM_IPSEC_INPUT_FILTER мы разрешаем шифрованные GRE от наших пиров, и потом дропаем нешифрованный от них же. Разумно и логично.
А потом в _NDM_TUNNELS_INPUT разрешаем от всех остальных... Как это запретить?
-
Web морда не умеет делать правильные ACL для GRE туннелей.
Только в CLI
-
3 hours ago, Le ecureuil said:
Кстати эти данные - это хорошие кандидаты на вывод в show interface, что же вы молчите-то?
Привык смотреть первоисточник в шелле =(
-
Если у вас такая схема, то вам надо обязательно:
1. Обновить кинетик до 2.10
2. Конфигурировать авто туннель на кинетикие в режиме ikev2
3. Посмотреть в /tmp/ipsec/ipsec.conf на кинетике какие он задал leftid и rightid что бы на линуксе настроить строго зеркально
4. Посмотреть в /tmp/ipsec/ipsec.conf на кинетике какие он задал ike, esp, ikelifetime, lifetime что бы на линуксе задать такие же
5. На линуксе в параметрах туннеля использовать как source локальный адрес линукса
-
Strongswan 5.5.3
Клиент? Тут нет понятия клиент, оба соединения равноправны.
У вас кто за NAT - линукс или кинетик? Внешний IP статический или динамический?
-
Поехали.
Zyxel
access-list acl-tunnel-gre permit gre <zyxel wan ip> 255.255.255.255 <linux wan ip> 255.255.255.255 interface Gre0 rename LinuxTunnel security-level private ip address 192.168.10.10 255.255.255.252 ip dhcp client no dns-routes ip dhcp client no name-servers ip mtu 1400 ip tcp adjust-mss pmtu tunnel source PPPoE0 tunnel destination <linux wan ip> up ip route 192.168.0.0 255.255.0.0 LinuxTunnel crypto ike proposal ike-aes256-sha256 encryption aes-cbc-256 dh-group 14 integrity sha256 ! crypto ike policy tun-ikev2-policy proposal ike-aes256-sha256 lifetime 86400 mode ikev2 crypto ipsec transform-set esp-aes128-sha1 cypher esp-aes-128 hmac esp-sha1-hmac dh-group 14 lifetime 21600 crypto ipsec profile linux.tunnel.com dpd-interval 20 identity-local fqdn zyxel.tunnel.com match-identity-remote linux.tunnel.com authentication-local pre-share authentication-remote pre-share mode transport policy tun-ikev2-policy crypto map linux-tunnel set-peer <linux wan ip> set-profile linux.tunnel.com set-transform esp-aes128-sha1 match-address acl-tunnel-gre nail-up virtual-ip no enable enable service ipsec
Linux - /etc/network/interfaces
auto gre2 iface gre2 inet static address 192.168.10.9 netmask 255.255.255.255 up ip link set gre2 mtu 1400 pre-up iptunnel add gre2 mode gre remote <zyxel wan ip> local <linux wan ip> dev eth1 ttl 64 pointopoint 192.168.10.10 post-down iptunnel del gre2
Linux - /etc/ipsec.conf
conn %default right=%any compress=no dpddelay=20s dpdtimeout=60s installpolicy=yes fragmentation=yes keyexchange=ikev2 ike=aes256-aes128-sha256-modp2048,aes256gcm16-aes128gcm16-prfsha256-modp2048! mobike=no conn tmpl-static-tun-transport dpdaction=clear ike=aes256-sha256-modp2048,aes256gcm16-prfsha256-modp2048! esp=aes128-sha1-modp2048,aes128gcm16-modp2048! ikelifetime=24h keyexchange=ikev2 keyingtries=1 lifetime=6h inactivity=10m type=transport conn zyxel-tun also=tmpl-static-tun-transport left=<linux-wan-ip> leftauth=psk leftid="linux.tunnel.com" leftsubnet=%dynamic[gre] right=<zyxel-wan-ip> rightauth=psk rightid="zyxel.tunnel.com" rightsubnet=%dynamic[gre] auto=route
- 2
-
Отлично работают GRE IPsec туннели с Debian. Стабильно
Вы в ACL должны указывать концы туннеля, а не трафик внутри туннеля.
А трафик внутрь заворачивайте маршрутизацией.
-
Да собственно оно мне и не больно надо. Опечатки были в исходном скрипте который правился.
- 1
- 1
-
15 minutes ago, Perevozchic said:
Ну для меня именно поломали. Очень жаль, остаётся только откат на 2.08...
Ну зачем? Напишите свой скрипт который пускается при старте системы и делает в бесконечном цикле sleep на минуту. И ловит сигнал HUP, при старте wan ему дают сигнал и он включает счетчик. После того как счетчик будет 10 - сбрасываем его и смотрим адрес на WAN. Если все плохо - рестартуем сессию.
Или при старте WAN пишите файл флаг в tmp, и чекайте его по крону. Вариантов масса.
- 1
-
-
Да не надо ломать легаси. Оставить его поведением по умолчанию. Дать немного больше "ручек" в CLI для страждущих.
-
5 minutes ago, KorDen said:
Тут желание общее - прибить легаси ip static с его причудами и неочевидными вариантами работы, о которых уже говорилось, и сделать управление NAT интуитивнее и функциональнее.
Это да. Но это не относится к NAT Loopback, imho.
-
- 1
-
Я не желающий. Я понимающий как оно работает на уровне иптаблес и поясняющий остальным. =)
-
Ну поймите. Рутер рассчитан на домашнего пользователя. Где производитель подстелил соломки где только можно. Что бы все работало и обращений в поддержку было минимальное количество.
Вам нужно нестандартного? Или открывайте топики в теме про развитие или используйте другой инструмент - рутера на опенврт, с прошивкой падавана, циски и тд и тп.
- 1
-
Как раз NATить все скопом - проще. Выборочный NAT усложняет логику.
-
Возможность отключения, хотя бы через CLI, NAT Loopback.
-
2 minutes ago, Yacudzer said:
а на кой пес он мне нужен???
Что бы изнутри локалки обращаться к ресурсам внутри же этой локалки по внешнему адресу, если для этого ресурса сделан проброс портов.
Грубо говоря вы пробросили внутрь порт 80, и ваш вебсервер доступен из мира под именем my.cool.server которое резолвится во внешний IP кинетика.
Что бы изнутри ходить на http://my.cool.server даже если и внутри локалки это имя резолвится во внешний IP
- 1
-
8 minutes ago, Yacudzer said:
Обновился до версии 2.09.C.0.0-1 и обнаружил следующие глюки:
1) при изменении пароля пользователя пропадает привязка к домашнему каталогу сервера FTP
2) после ввода
no ip nat Home ip static Home ISP ip static Home L2TP0
случилось следующее:
а) во вкладке NAT все пропало
б) при добавлении любого правила - исчезают все статические записи, в т.ч. указанные выше, остается только одно, свежедобавленное
с) траффик завернутый из Home в Home все равно натится
3) Не исправлен глюк с правами доступа к папкам: если я указываю пользователю домашний каталог для FTP, который не корень моего диска, я должен все равно открыть этому пользователю доступ ко всему диску
а и б как тут уже подсказали - штаное поведение, веб морда не понимает команды типа ip static Home ISP
c - не отключаемое, это NAT_LOOPBACK
-
А если уже обновился но после перезагрузки не менял и не сохранял конфигурацию - слетит ли конфиг при ребуте? А то электричество может мигнуть.
-
6 minutes ago, Yacudzer said:
Умно блин... Как я сам не догадался??? А вообще для этого там предусмотрены match protocol в class-map:
class-map type inspect match-any IPSEC-class match protocol isakmp match protocol ipsec-msft
Поэтому я и написал "что бы не городить дополнительных acl"...
Тогда должно все работать.
Вот пример живого конфига
class-map type inspect match-any cls-gw-ipsec match protocol isakmp match protocol ipsec-msft policy-map type inspect pmap-wan-to-gw class type inspect cls-gw-ipsec inspect class class-default drop zone-pair security wan-to-gw source wan destination self service-policy type inspect pmap-wan-to-gw
Включаем дебаг и смотрим
Jul 17 14:31:04.972: ISAKMP-PAK: (0):received packet from 1.1.1.1 dport 500 sport 56149 Global (N) NEW SA Jul 17 14:31:04.972: ISAKMP: (0):Created a peer struct for 1.1.1.1, peer port 56149 Jul 17 14:31:04.972: ISAKMP: (0):New peer created peer = 0x7FB9E230D038 peer_handle = 0x80000232 Jul 17 14:31:04.972: ISAKMP: (0):Locking peer struct 0x7FB9E230D038, refcount 1 for crypto_isakmp_process_block Jul 17 14:31:04.972: ISAKMP: (0):local port 500, remote port 56149 Jul 17 14:31:04.972: ISAKMP: (0):Find a dup sa in the avl tree during calling isadb_insert sa = 7FB9E230F300 Jul 17 14:31:04.972: ISAKMP: (0):processing SA payload. message ID = 0 Jul 17 14:31:04.972: ISAKMP: (0):processing ID payload. message ID = 0 Jul 17 14:31:04.972: ISAKMP: (0):ID payload
Все заработало, при том что соединение пришло НЕ с 500-го порта.
Веб-морда постоянно требует пароль в Safari
in 2.10
Posted
Блокировщик рекламы типа AdBlock стоит? Если да - добавьте кинетик в исключения.