[Зачем транслировать внутри домашней сети??]

7 minutes ago, KorDen said:

Упс, действительно. SOHO-роутер не готов к ассиметрии траффика, так и до BGP недалеко Хотя какой-нибудь OSPF уже напрашивается, надоедает все ручками вбивать.

opkg install bird4 birdc4

и все будет.

Лучше квагги.

 

Я как раз использую внутри GRE туннелей.

[IPSEC туннель ЧЕРЕЗ keenetic]

11 hours ago, Yacudzer said:

В качестве временного решения для своих собственных нужд собрал дома следующую схему:

и был неприятно удивлен...

На Зухеле, естесвенно, работает NAT. Циска шлет ISAKMP-пакеты для 1й фазы, а зухель их натит и преобразует исходящий порт (500) в рандомный порт в соответствии с его (зухеля) религией...

Соответственно, на удаленной циске (1921) zone based firewall не распознает этот траффик как ISAKMP и отбраковывает... Пришлось прикручивать дополнительные ACL из-за капризов зухеля... Разве это правильно??? Тоже самое и с портом 4500, который при такой схеме обязательно включается в работу...

P.S. если натить через циску, то она не изменяет исходящий порт ISAKMP-соединения...

Для ZBFW Self-Zone вам надо разрешать порты Isakmp  UDP 500 и  NAT-T UDP 4500 как destination  а не как source и destination

[IPSEC туннель ЧЕРЕЗ keenetic]

7 minutes ago, Le ecureuil said:

В 2.09 починено.

В 2.09.B.0.0-1 так точно нет, а более новой не видать.

[IPSEC туннель ЧЕРЕЗ keenetic]

13 minutes ago, KorDen said:

В совокупности с советом в соседней теме про переход на 2.09 и отрепорченным вами же багом кажется получается ой - в 2.08 работает udp-port-preserve, но нет ip statis in out / DHCP-опций; а в текущей бете 2.09 получается поломан udp-port-preserve (не уверен, т.к. проверить сейчас негде, везде 2.10)

Ну что делать коли с тонкой настройкой NAT на кинетике полная беда. Жестко заточено для домашнего пользователя. Мелкий бизнес уже мимо.

[Зачем транслировать внутри домашней сети??]

18 minutes ago, KorDen said:

NAT Loopback будет только если ходить на ресурсы, проброшенные на внешние интерфейсы по их айпишникам.

 

И в случае топик стартера тоже. У него пакет пришел в br0, развернулся на маршрутизации и ушел в br0.

Следите за руками

При отключении ip nat Home и настройке ip static Home 1.2.3.4 получаем что пакет попадает в  цепочку POSTROUTING 

Оттуда падает в _NDM_SNAT, оттуда сразу в _NDM_STATIC_LOOP

а там уже его ждет

Chain _NDM_STATIC_LOOP (1 references)
num   pkts bytes target     prot opt in     out     source               destination

6        0     0 MASQUERADE  all  --  br0    br0     0.0.0.0/0            0.0.0.0/0

 

Все, с интерфейса он выйдет с IP адресом рутера.

 

[Зачем транслировать внутри домашней сети??]

1 minute ago, Yacudzer said:

Так и делаем...

 

А кинетик это умеет разве?

 

Вообще это глюк, я считаю... Циска же мой ноут определяет с правильным IP и траффик до нее не натится, хотя так он же идет через кинетик... А трафик по статическому маршруту натится...

Jul 16 21:41:49.331: %SYS-5-CONFIG_I: Configured from console by yac52 on vty0 (192.168.234.2)[OK]

 

Умеет отдавать опции, но тоже в последних версиях.

 

Трафик от вас до циски идет через компонент кинетика - коммутатор. А до сети 192.168.1.0/24 (например) уже через маршрутизатор. И там натится.

[Зачем транслировать внутри домашней сети??]

Да, в 2.09 появилось.

Проще уж на клиенте настроить отдельный маршрут для 192.168.0.0 255.255.0.0 в сторону циски.

Ну или настроить DHCP что бы выдавал этот маршрут.

 

А почему бы IPSec не настроить на самом кинетике?

[Зачем транслировать внутри домашней сети??]

Это особая фича кинетика. Делать NAT для всего что входит в интерфейс.

Отключайте

Хотя это может быть фича masquerade LAN to LAN (NAT loopback)

А вот это уже не отключаемое.

[IPSEC туннель ЧЕРЕЗ keenetic]

Используйте в cli команду

ip nat udp-port-preserve

[NAT на выходном интерфейсе]

On 6/16/2017 at 9:56 PM, Le ecureuil said:

Есть же

> ip static SRC DST, где DST - исходящий интерфейс

udp preserve является платформоспецифичной реализацией NAT, потому на него не стоит полагаться в общем случае.

Тогда вопрос. Можно ли при задании  ip static SRC DST, где DST - исходящий интерфейс сделать опцию чтобы  рандомизировать транслируемые порты для UDP, как это делается для NAT на входном интерфейсе ?

По сути проблемы.

Роутер с публичным ип A держит ipsec туннель с хостом B.

Клиент за роутером, полнимает от себя туннель к хосту B (иногда так надо, потому что в туннеле который держит роутер бегают определенные сетки, а иногда надо поднять на клиенте впн, что бы заворачивалось все).

Роутер транслирует исходящий адрес и порт клиента (для IKE) в A:500

Статический туннель A-B через некоторое время умирает, потому что IKE сообщения от B к роутеру попадают вовсе не к роутеру, а к клиенту поднявшему отдельный туннель.

 

[NAT на выходном интерфейсе]

Кстати, если использовать в CLI что то вроде 

 ip static Guest PPPoE0

То в web интерфейсе ранее введенные трансляции портов не отображаются.

[Логика iptables]

19 hours ago, r13 said:

This is by design

@Le ecureuil уже неоднократно писал что такова реализация и ничего с этим в обозримом будущем поделать нельзя. 

 

Вот мне и интересно by design для чего?

[Логика iptables]

Ping-check не используется

[Логика iptables]

У меня для работы с GRE туннелями добавляются правила для NAT через стандартные хуки. И при этом пишется сообщение в лог. Все было хорошо до момента пока не начали работать wi-if клиенты. 

 

И тут полетело. 

 

[I] Jul 15 01:33:27 iptables: Add GRE rules to table nat
[I] Jul 15 04:01:21 iptables: Core::Syslog: last message repeated 100 times.

Думал может сислог глючит. Добавил в скрипт таймштамп. Все начало забиваться

 

Jul 15 06:40:46iptablesdebug Sat Jul 15 06:40:46 MSK 2017
Jul 15 06:41:03iptablesAdd GRE rules to table nat
Jul 15 06:41:03iptablesdebug Sat Jul 15 06:41:03 MSK 2017
Jul 15 06:41:46iptablesAdd GRE rules to table nat
Jul 15 06:41:46iptablesdebug Sat Jul 15 06:41:46 MSK 2017
Jul 15 06:42:21iptablesAdd GRE rules to table nat
Jul 15 06:42:21iptablesdebug Sat Jul 15 06:42:21 MSK 2017

 

Поясните пожалуйста зачем дергать правила раз несколько раз в минуту и как это отключить?! Ну не нужно же перестраивать цепочку NAT если ничего в конфигурации не поменялось, wan интерфейс не дергался и тд. 

[WEB интерфейс и Safari.]

AdBlock стоит?

[Все о туннелях IPIP, GRE и EoIP]

22 minutes ago, Le ecureuil said:

Если совсем тяжко, могу сделать cli-команду которая отключает все проверки на совместимость и гордо декларирует, что юзер сам на себя берет всю ответственность по работе, но техподдержка с этой взведенной командой будет посылать в лес, да и я буду с неохотцей смотреть (только если совсем явные проблемы). Так устроит?

Это было бы ВЕЛИКОЛЕПНО

[IKEv1 шлет нулевое значение времени жизни ISAKMP SA lifetime вне зависимости от заданного в web-интерфейсе значения]

1 hour ago, Владислав Новиков said:

Спасибо. А есть ссылка на стандарт, где описано такое поведение? Я не нашел сходу что допустимым является нулевое значение времени жизни ISAKMP SA.

Да тот же RFC2409 этого НЕ запрещает.

[IKEv1 шлет нулевое значение времени жизни ISAKMP SA lifetime вне зависимости от заданного в web-интерфейсе значения]

1 hour ago, Владислав Новиков said:

А у Вас есть предположение по какой причине без данной опции наблюдается проблема? Я если честно не могу связать одно с другим .

При no nail-up в конфиг стронгсвана для соединения вставляется 

rekey = no

А раз мы не делаем rekey то и lifitime у нас становится бесконечным, то есть 0. И мы ждем что rekey инициирует другая сторона.

[NAT на выходном интерфейсе]

 

4 minutes ago, Le ecureuil said:

Попробуйте ее выключить и сразу увидите.

А она у меня и не включена.

 

Вот те куски iptables когда настроено так:

ip nat Home
ip nat Guest

 

Все, больше настроек нет

Chain POSTROUTING (policy ACCEPT 5 packets, 334 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1       19  2854 _NDM_IPSEC_POSTROUTING_NAT  all  --  *      *       0.0.0.0/0            0.0.0.0/0
2        5   334 _NDM_SNAT  all  --  *      *       0.0.0.0/0            0.0.0.0/0
3        0     0 MASQUERADE  all  --  br0    *       0.0.0.0/0            0.0.0.0/0
4        0     0 MASQUERADE  all  --  br1    *       0.0.0.0/0            0.0.0.0/0

Chain _NDM_NAT_UDP (0 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 MASQUERADE  udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp spts:35000:65535 masq ports: 1024-34999
2        0     0 MASQUERADE  udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp spts:1024:34999 masq ports: 35000-65535
3        0     0 MASQUERADE  udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp spts:0:411 masq ports: 412-1023
4        0     0 MASQUERADE  udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp spts:412:1023 masq ports: 0-411

 

Включаю

 

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 _NDM_IPSEC_POSTROUTING_NAT  all  --  *      *       0.0.0.0/0            0.0.0.0/0
2        0     0 _NDM_SNAT  all  --  *      *       0.0.0.0/0            0.0.0.0/0
3        0     0 MASQUERADE  all  --  br0    *       0.0.0.0/0            0.0.0.0/0
4        0     0 MASQUERADE  all  --  br1    *       0.0.0.0/0            0.0.0.0/0

Chain _NDM_NAT_UDP (0 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0
2        0     0 MASQUERADE  udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp spts:1024:34999 masq ports: 35000-65535
3        0     0 MASQUERADE  udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp spts:0:411 masq ports: 412-1023
4        0     0 MASQUERADE  udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp spts:412:1023 masq ports: 0-411

 

Выключаю и возвращаюсь к исходному.

[NAT на выходном интерфейсе]

4 hours ago, Le ecureuil said:

Есть же

> ip static SRC DST, где DST - исходящий интерфейс

udp preserve является платформоспецифичной реализацией NAT, потому на него не стоит полагаться в общем случае.

А вот поясните пожалуйста что именно делает команда

ip nat udp-port-preserve ?

Как я вижу она вставляет в цепочку _NDM_NAT_UDP первым правилом RETURN

Вопрос в том что на цепочку _NDM_NAT_UDP и так никто не ссылается. Трафик в нее никогда не попадает

В версии 2.09.B.0.0-1 так точно

Ибо в POSTROUTING только

3        0     0 MASQUERADE  all  --  br0    *       0.0.0.0/0            0.0.0.0/0
4        0     0 MASQUERADE  all  --  br1    *       0.0.0.0/0            0.0.0.0/0

 

Ну и

Chain _NDM_NAT_UDP (0 references)

[NAT на выходном интерфейсе]

Ну я писал уже как то

[NAT на выходном интерфейсе]

Хотелось бы получить возможность делать NAT не по входящему интерфейсу, а по исходящему.

Нормальный маскарадинг с udp preserve и прочими плюшками. Без костыля в виде static.

[Все о туннелях IPIP, GRE и EoIP]

На 2.09 beta при ребуте один раз стронгсван не стартовал. Все что было в логе это

ndm: IpSec::Configurator: system failed [0xcffd0080], code = 255.

После еще одного ребута - все хорошо.

[Доступ к web интерфейсу через wan]

<delete>

[Все о туннелях IPIP, GRE и EoIP]

А почему ESP соединения висят conntrack как UNREPLIED ?

Хотя трафик идет по ним в обе стороны постоянно?

 

На простом debian они попадают в RELATED,ESTABLISHED