Не стандартная работа "основной режим - Интернет-центр"

[vasek00]

Уже давно работает ExtII в данном режиме. Схема ТД в режиме Интернет-центр --- "Клиент ------ ExtII (LAN) ----------- (LAN)шлюз --- Интернет". WAN порт отключен вообще. Wi-fi модуль включается согласно расписания, ntp сервера прописаны по IP, default маршрут указывает на локальный "шлюз" который имеет выход в интернет. На ExtII стоит Entware, запущен dnsmasq и указан сервер DNS IP "шлюза".

Как то все работало до поры до времени сегодня заметил не стыковку во времени, и не включился модуль wi-fi, так как время не верное на роутере. Ладно перегрузил роутер, произвел обновление его на 2.09.A.6.0-2, некоторое время все опять, даже "ping на 8.8.8.8" не проходит. Начинаю лазить по WEB проверять и исправлять настройки, в результате теперь даже после перегрузки не работает "ping на 8.8.8.8" и естественно нет обновления и не работает KeenDNS. Для клиентов ExtII все нормально, так как они шлюзом и DNS получают адрес IP шлюза.

Edited April 16, 2017 by vasek00

[vasek00]

Итак не понятки продолжаются :

Скрытый текст

1. Перезапуск - все работает c ExtII

/opt/etc # ping ya.ru
PING ya.ru (87.250.250.242): 56 data bytes
64 bytes from 87.250.250.242: seq=0 ttl=56 time=17.554 ms
64 bytes from 87.250.250.242: seq=1 ttl=56 time=17.249 ms
^C
--- ya.ru ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 17.249/17.401/17.554 ms
/opt/etc

2. Спустя некоторое время - не работает c ExtII

/opt/etc # ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8): 56 data bytes
^C
--- 8.8.8.8 ping statistics ---
3 packets transmitted, 0 packets received, 100% packet loss
/opt/etc #

в логе тишина за исключением строчки

Apr 17 15:27:01ndm kernel: SWNAT bind table cleared

Опять поймал бзик

/ # ping ya.ru
PING ya.ru (87.250.250.242): 56 data bytes
64 bytes from 87.250.250.242: seq=0 ttl=56 time=18.159 ms
64 bytes from 87.250.250.242: seq=1 ttl=56 time=18.201 ms
^C
--- ya.ru ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 18.159/18.180/18.201 ms
/ #
/ #
/ #
/ #
/ #
/ # порядка через 10-12мин.
/ #
/ #
/ #
/ #
/ #
/ # ping ya.ru
PING ya.ru (87.250.250.242): 56 data bytes

^C
--- ya.ru ping statistics ---
14 packets transmitted, 0 packets received, 100% packet loss
/ #

 

[vasek00]

Продолжение поиска причины - не прохода ICMP пакетов в данном режиме.

/opt/etc/init.d # ping rbc.ru
PING rbc.ru (80.68.253.9): 56 data bytes
^C
--- rbc.ru ping statistics ---
4 packets transmitted, 0 packets received, 100% packet loss
/opt/etc/init.d # ping lenta.ru
PING lenta.ru (81.19.72.36): 56 data bytes
^C
--- lenta.ru ping statistics ---
2 packets transmitted, 0 packets received, 100% packet loss
/opt/etc/init.d # ping 192.168.1.100
PING 192.168.1.100 (192.168.1.100): 56 data bytes
64 bytes from 192.168.1.100: seq=0 ttl=64 time=0.764 ms
^C
--- 192.168.1.100 ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 0.764/0.764/0.764 ms
/opt/etc/init.d # 

Глобальные настройки по конфигу "isolate-private" - нужно разобраться с этими настройками.

 

[vasek00]

Маленький вопрос по принципу работы "interface security-level".

Канал Инет2 отключен. При схеме ниже Клиент имеет выход в интернет1 через роутер2->роутер1 (пример LAN клиента, но Wi-fi аналогично, все работает DNS, ping и т.д.), так же имеет доступ к роутеру1/2 для управления. По default на роутере1 в данном режиме стоит isolate-private запрет между любыми private (но в роутере2 он убран "no isolate-private"). Если на самом роутере2 проверить работу "ping ya.ru" (через роутер1, def маршрут на роутер1) то DNS работает, но icmp пакеты теряются на роутере1 (т.е. приходят на роутер1 но уходить не хотят) => вопрос, ведь роутер2 по отношению к роутеру1 - это обычный клиент. Если поднять VPN интерфейс между двумя роутерами 1 и 2 то он будет default маршрутом и  "public" на роутере2, проблем не возникает (проверка на роутер1 "ping rbc.ru" проходит). Т.е. не рабочая схема такая :

Роутер2-br0(private)--->---vlan1(private)========(private)vlan1--->---(private)br0(роутер1)--->---(public)pppoe

Так же и с синхронизацией (ранее она работала были указаны IP адреса серверов NTP и со временем проблем не было) сейчас же она не работает.

В режиме "точка доступа" на роутер2 отсутствуют такие ограничения - так как не используется "interface security-level".

Edited April 18, 2017 by vasek00

[Le ecureuil]

У вас тут в этой схеме вообще маршрутизация похоже не нужна, все клиенты роутер2 должны принадлежать к одному L2-домену LAN-сегмента роутер1, и соответственно оттуда получать адреса.

[vasek00]

19 часов назад, Le ecureuil сказал:

У вас тут в этой схеме вообще маршрутизация похоже не нужна, все клиенты роутер2 должны принадлежать к одному L2-домену LAN-сегмента роутер1, и соответственно оттуда получать адреса.

Любые клиенты хоть роутера1 или роутера2 без разницы от куда получают IP они все работают, за исключением одного - клиент роутер2 (хх.хх.1.200) по отношению к роутер1 (хх.хх.1.100) он не считается клиентом. Вопрос так и остался чем отличаются две схема друг от друга:

1.
Роутер2-br0(private)--->---vlan1(private)========(private)vlan1--->---(private)br0(роутер1)--->---(public)pppoe

2.
Клиент(LAN)---(private)vlan1(Роутер2)======(private)vlan1-->--(private)br0(роутер1)-->--(public)pppoe

Почему в первом варианте роутер1 блокирует пакеты от роутера2, а во втором от клиента на этом же интерфейсе все нормально проходит. Предположение есть - так как многие правила написаны не конкретно интерфейс или сеть/сегмент, а просто интерфейс "любой", IP "любой"

Сейчас сделал так при настройках на обоих роутерах isolate-private разрешил проход на роутер1 с IP именно роутера2 следующих портов для его работы по обновлению и синхр.времени - роутер1/#security.acl открыты порты с IP на 443, 123 но 9(UDP) и так работает.

Chain @Home (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     icmp --  *      *       192.168.1.200        0.0.0.0/0           
    0     0 ACCEPT     tcp  --  *      *       192.168.1.200        0.0.0.0/0            tcp dpt:123
    0     0 ACCEPT     udp  --  *      *       192.168.1.200        0.0.0.0/0            udp dpt:123
    0     0 ACCEPT     tcp  --  *      *       192.168.1.200        0.0.0.0/0            tcp dpt:443

Почему для клиентов ротуера1 и клиентов роутера2 ни каких правил по открытию портов писать не надо на роутере1, за исключением самого роутера2 (хх.хх.1.200). В чем "фишка" в команде isolate-private

Раньше все работало, не скажу точно по какой релиз, так как роутер работал несколько суток не выключался, но ночью выкл.свет он не смог настроить время и не включил wi-fi.

Edited April 19, 2017 by vasek00