gaaronk
-
Posts
299 -
Joined
-
Days Won
3
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by gaaronk
-
-
11 hours ago, Yacudzer said:
В качестве временного решения для своих собственных нужд собрал дома следующую схему:
и был неприятно удивлен...
На Зухеле, естесвенно, работает NAT. Циска шлет ISAKMP-пакеты для 1й фазы, а зухель их натит и преобразует исходящий порт (500) в рандомный порт в соответствии с его (зухеля) религией...
Соответственно, на удаленной циске (1921) zone based firewall не распознает этот траффик как ISAKMP и отбраковывает... Пришлось прикручивать дополнительные ACL из-за капризов зухеля... Разве это правильно??? Тоже самое и с портом 4500, который при такой схеме обязательно включается в работу...
P.S. если натить через циску, то она не изменяет исходящий порт ISAKMP-соединения...
Для ZBFW Self-Zone вам надо разрешать порты Isakmp UDP 500 и NAT-T UDP 4500 как destination а не как source и destination
-
7 minutes ago, Le ecureuil said:
В 2.09 починено.
В 2.09.B.0.0-1 так точно нет, а более новой не видать.
-
13 minutes ago, KorDen said:
В совокупности с советом в соседней теме про переход на 2.09 и отрепорченным вами же багом кажется получается ой - в 2.08 работает udp-port-preserve, но нет ip statis in out / DHCP-опций; а в текущей бете 2.09 получается поломан udp-port-preserve (не уверен, т.к. проверить сейчас негде, везде 2.10)
Ну что делать коли с тонкой настройкой NAT на кинетике полная беда. Жестко заточено для домашнего пользователя. Мелкий бизнес уже мимо.
-
18 minutes ago, KorDen said:
NAT Loopback будет только если ходить на ресурсы, проброшенные на внешние интерфейсы по их айпишникам.
И в случае топик стартера тоже. У него пакет пришел в br0, развернулся на маршрутизации и ушел в br0.
Следите за руками
При отключении ip nat Home и настройке ip static Home 1.2.3.4 получаем что пакет попадает в цепочку POSTROUTING
Оттуда падает в _NDM_SNAT, оттуда сразу в _NDM_STATIC_LOOP
а там уже его ждет
Chain _NDM_STATIC_LOOP (1 references) num pkts bytes target prot opt in out source destination 6 0 0 MASQUERADE all -- br0 br0 0.0.0.0/0 0.0.0.0/0
Все, с интерфейса он выйдет с IP адресом рутера.
-
1 minute ago, Yacudzer said:
Так и делаем...
А кинетик это умеет разве?
Вообще это глюк, я считаю... Циска же мой ноут определяет с правильным IP и траффик до нее не натится, хотя так он же идет через кинетик... А трафик по статическому маршруту натится...
Jul 16 21:41:49.331: %SYS-5-CONFIG_I: Configured from console by yac52 on vty0 (192.168.234.2)[OK]
Умеет отдавать опции, но тоже в последних версиях.
Трафик от вас до циски идет через компонент кинетика - коммутатор. А до сети 192.168.1.0/24 (например) уже через маршрутизатор. И там натится.
-
Да, в 2.09 появилось.
Проще уж на клиенте настроить отдельный маршрут для 192.168.0.0 255.255.0.0 в сторону циски.
Ну или настроить DHCP что бы выдавал этот маршрут.
А почему бы IPSec не настроить на самом кинетике?
-
Это особая фича кинетика. Делать NAT для всего что входит в интерфейс.
Хотя это может быть фича masquerade LAN to LAN (NAT loopback)
А вот это уже не отключаемое.
- 1
-
Используйте в cli команду
ip nat udp-port-preserve
-
On 6/16/2017 at 9:56 PM, Le ecureuil said:
Есть же
> ip static SRC DST, где DST - исходящий интерфейс
udp preserve является платформоспецифичной реализацией NAT, потому на него не стоит полагаться в общем случае.
Тогда вопрос. Можно ли при задании ip static SRC DST, где DST - исходящий интерфейс сделать опцию чтобы рандомизировать транслируемые порты для UDP, как это делается для NAT на входном интерфейсе ?
По сути проблемы.
Роутер с публичным ип A держит ipsec туннель с хостом B.
Клиент за роутером, полнимает от себя туннель к хосту B (иногда так надо, потому что в туннеле который держит роутер бегают определенные сетки, а иногда надо поднять на клиенте впн, что бы заворачивалось все).
Роутер транслирует исходящий адрес и порт клиента (для IKE) в A:500
Статический туннель A-B через некоторое время умирает, потому что IKE сообщения от B к роутеру попадают вовсе не к роутеру, а к клиенту поднявшему отдельный туннель.
- 1
-
Кстати, если использовать в CLI что то вроде
ip static Guest PPPoE0
То в web интерфейсе ранее введенные трансляции портов не отображаются.
-
19 hours ago, r13 said:
This is by design
@Le ecureuil уже неоднократно писал что такова реализация и ничего с этим в обозримом будущем поделать нельзя.
Вот мне и интересно by design для чего?
-
Ping-check не используется
-
У меня для работы с GRE туннелями добавляются правила для NAT через стандартные хуки. И при этом пишется сообщение в лог. Все было хорошо до момента пока не начали работать wi-if клиенты.
И тут полетело.
[I] Jul 15 01:33:27 iptables: Add GRE rules to table nat [I] Jul 15 04:01:21 iptables: Core::Syslog: last message repeated 100 times.
Думал может сислог глючит. Добавил в скрипт таймштамп. Все начало забиваться
Jul 15 06:40:46iptablesdebug Sat Jul 15 06:40:46 MSK 2017 Jul 15 06:41:03iptablesAdd GRE rules to table nat Jul 15 06:41:03iptablesdebug Sat Jul 15 06:41:03 MSK 2017 Jul 15 06:41:46iptablesAdd GRE rules to table nat Jul 15 06:41:46iptablesdebug Sat Jul 15 06:41:46 MSK 2017 Jul 15 06:42:21iptablesAdd GRE rules to table nat Jul 15 06:42:21iptablesdebug Sat Jul 15 06:42:21 MSK 2017
Поясните пожалуйста зачем дергать правила раз несколько раз в минуту и как это отключить?! Ну не нужно же перестраивать цепочку NAT если ничего в конфигурации не поменялось, wan интерфейс не дергался и тд.
-
AdBlock стоит?
-
22 minutes ago, Le ecureuil said:
Если совсем тяжко, могу сделать cli-команду которая отключает все проверки на совместимость и гордо декларирует, что юзер сам на себя берет всю ответственность по работе, но техподдержка с этой взведенной командой будет посылать в лес, да и я буду с неохотцей смотреть (только если совсем явные проблемы). Так устроит?
Это было бы ВЕЛИКОЛЕПНО
-
1 hour ago, Владислав Новиков said:
Спасибо. А есть ссылка на стандарт, где описано такое поведение? Я не нашел сходу что допустимым является нулевое значение времени жизни ISAKMP SA.
Да тот же RFC2409 этого НЕ запрещает.
-
1 hour ago, Владислав Новиков said:
А у Вас есть предположение по какой причине без данной опции наблюдается проблема? Я если честно не могу связать одно с другим .
При no nail-up в конфиг стронгсвана для соединения вставляется
rekey = no
А раз мы не делаем rekey то и lifitime у нас становится бесконечным, то есть 0. И мы ждем что rekey инициирует другая сторона.
-
4 minutes ago, Le ecureuil said:
Попробуйте ее выключить и сразу увидите.
А она у меня и не включена.
Вот те куски iptables когда настроено так:
ip nat Home
ip nat GuestВсе, больше настроек нет
Chain POSTROUTING (policy ACCEPT 5 packets, 334 bytes) num pkts bytes target prot opt in out source destination 1 19 2854 _NDM_IPSEC_POSTROUTING_NAT all -- * * 0.0.0.0/0 0.0.0.0/0 2 5 334 _NDM_SNAT all -- * * 0.0.0.0/0 0.0.0.0/0 3 0 0 MASQUERADE all -- br0 * 0.0.0.0/0 0.0.0.0/0 4 0 0 MASQUERADE all -- br1 * 0.0.0.0/0 0.0.0.0/0 Chain _NDM_NAT_UDP (0 references) num pkts bytes target prot opt in out source destination 1 0 0 MASQUERADE udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spts:35000:65535 masq ports: 1024-34999 2 0 0 MASQUERADE udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spts:1024:34999 masq ports: 35000-65535 3 0 0 MASQUERADE udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spts:0:411 masq ports: 412-1023 4 0 0 MASQUERADE udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spts:412:1023 masq ports: 0-411
Включаю
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination 1 0 0 _NDM_IPSEC_POSTROUTING_NAT all -- * * 0.0.0.0/0 0.0.0.0/0 2 0 0 _NDM_SNAT all -- * * 0.0.0.0/0 0.0.0.0/0 3 0 0 MASQUERADE all -- br0 * 0.0.0.0/0 0.0.0.0/0 4 0 0 MASQUERADE all -- br1 * 0.0.0.0/0 0.0.0.0/0 Chain _NDM_NAT_UDP (0 references) num pkts bytes target prot opt in out source destination 1 0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 2 0 0 MASQUERADE udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spts:1024:34999 masq ports: 35000-65535 3 0 0 MASQUERADE udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spts:0:411 masq ports: 412-1023 4 0 0 MASQUERADE udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spts:412:1023 masq ports: 0-411
Выключаю и возвращаюсь к исходному.
-
4 hours ago, Le ecureuil said:
Есть же
> ip static SRC DST, где DST - исходящий интерфейс
udp preserve является платформоспецифичной реализацией NAT, потому на него не стоит полагаться в общем случае.
А вот поясните пожалуйста что именно делает команда
ip nat udp-port-preserve ?
Как я вижу она вставляет в цепочку _NDM_NAT_UDP первым правилом RETURN
Вопрос в том что на цепочку _NDM_NAT_UDP и так никто не ссылается. Трафик в нее никогда не попадает
В версии 2.09.B.0.0-1 так точно
Ибо в POSTROUTING только
3 0 0 MASQUERADE all -- br0 * 0.0.0.0/0 0.0.0.0/0
4 0 0 MASQUERADE all -- br1 * 0.0.0.0/0 0.0.0.0/0Ну и
Chain _NDM_NAT_UDP (0 references)
-
Ну я писал уже как то
-
Хотелось бы получить возможность делать NAT не по входящему интерфейсу, а по исходящему.
Нормальный маскарадинг с udp preserve и прочими плюшками. Без костыля в виде static.
-
На 2.09 beta при ребуте один раз стронгсван не стартовал. Все что было в логе это
ndm: IpSec::Configurator: system failed [0xcffd0080], code = 255.
После еще одного ребута - все хорошо.
-
<delete>
-
А почему ESP соединения висят conntrack как UNREPLIED ?
Хотя трафик идет по ним в обе стороны постоянно?
На простом debian они попадают в RELATED,ESTABLISHED
Зачем транслировать внутри домашней сети??
in Обмен опытом
Posted · Edited by gaaronk
opkg install bird4 birdc4
и все будет.
Лучше квагги.
Я как раз использую внутри GRE туннелей.