Jump to content
  • 0

Зачем транслировать внутри домашней сети??


Yacudzer

Question

Использую следующую схему:

596bcfba5399f_-1.jpg.09e66c3e63113a4df6e27daac79668a8.jpg

Естественно, на кинетике поднят NAT и настроен статический маршрут:

ip route 192.168.0.0 255.255.0.0 192.168.234.19 Home

Пробую с ноутбука пингануть что-то за IPSec-туннелем (например, 192.168.1.1) и вижу следующее в циске:

Jul 16 20:39:49.683: %FW-6-DROP_PKT: Dropping icmp session 192.168.234.1:0 192.168.1.1:0 on zone-pair ISP-ESKO class class-default due to  DROP action found in policy-map with ip ident 2303

Дело в том, что циска настроена пропускать траффик только от 192.168.234.2, но никак не от всей остальной сети...

Смотрим дампы...

Скрытый текст

596bd1e7544a8_.thumb.jpg.3ba65bf9d0f517556ba38149cf93b6b3.jpg

Соответственно, возникает вопрос... ЗАЧЕМ преобразовывать исходный адрес, если next-hop лежит в том же интерфейсе??????

Edited by Yacudzer
Link to comment
Share on other sites

11 answers to this question

Recommended Posts

  • 0

Это особая фича кинетика. Делать NAT для всего что входит в интерфейс.

Отключайте

Хотя это может быть фича masquerade LAN to LAN (NAT loopback)

А вот это уже не отключаемое.

Edited by gaaronk
  • Thanks 1
Link to comment
Share on other sites

  • 0
23 минуты назад, gaaronk сказал:

Это особая фича кинетика. Делать NAT для всего что входит в интерфейс.

Отключайте

Хотя это может быть фича masquerade LAN to LAN (NAT loopback)

А вот это уже не отключаемое.

Я так понимаю, инфа по ссылке пока только в бета-прошивках?? Ибо у меня команда ip static Home ISP не прошла...

прошивка release: v2.08(AAUW.0)C2

Edited by Yacudzer
Link to comment
Share on other sites

  • 0

Да, в 2.09 появилось.

Проще уж на клиенте настроить отдельный маршрут для 192.168.0.0 255.255.0.0 в сторону циски.

Ну или настроить DHCP что бы выдавал этот маршрут.

 

А почему бы IPSec не настроить на самом кинетике?

Edited by gaaronk
Link to comment
Share on other sites

  • 0
22 минуты назад, gaaronk сказал:

Да, в 2.09 появилось.

Проще уж на клиенте настроить отдельный маршрут для 192.168.0.0 255.255.0.0 в сторону циски.

Так и делаем...

 

Цитата

Ну или настроить DHCP что бы выдавал этот маршрут.

А кинетик это умеет разве?

 

Вообще это глюк, я считаю... Циска же мой ноут определяет с правильным IP и траффик до нее не натится, хотя так он же идет через кинетик... А трафик по статическому маршруту натится...

Jul 16 21:41:49.331: %SYS-5-CONFIG_I: Configured from console by yac52 on vty0 (192.168.234.2)[OK]

 

Edited by Yacudzer
Link to comment
Share on other sites

  • 0
1 minute ago, Yacudzer said:

Так и делаем...

 

А кинетик это умеет разве?

 

Вообще это глюк, я считаю... Циска же мой ноут определяет с правильным IP и траффик до нее не натится, хотя так он же идет через кинетик... А трафик по статическому маршруту натится...

Jul 16 21:41:49.331: %SYS-5-CONFIG_I: Configured from console by yac52 on vty0 (192.168.234.2)[OK]

 

Умеет отдавать опции, но тоже в последних версиях.

 

Трафик от вас до циски идет через компонент кинетика - коммутатор. А до сети 192.168.1.0/24 (например) уже через маршрутизатор. И там натится.

Link to comment
Share on other sites

  • 0
9 минут назад, Yacudzer сказал:

Вообще это глюк, я считаю... Циска же мой ноут определяет с правильным IP и траффик до нее не натится, хотя так он же идет через кинетик... А трафик по статическому маршруту натится...

У кинетика по умолчанию команда ip nat Home подразумевает, что все что попало на роутер (L3) из сегмента Home и уходит с кинетика (не важно, куда), надо натить. Трафик до циски идет по L2, на роутер не заходит.

Ставьте beta 2.09, там будет и выдача опций DHCP и исходящий интерфейс для ip static. Хотя, если у вас на WAN кинетика статичный IP и это единственный WAN, можно сделать на 2.08 ip static Home 1.2.3.4 (где 1.2.3.4 - IP WAN-интерфейса)

 

1 час назад, gaaronk сказал:

Хотя это может быть фича masquerade LAN to LAN (NAT loopback)

NAT Loopback будет только если ходить на ресурсы, проброшенные на внешние интерфейсы по их айпишникам.

  • Thanks 1
Link to comment
Share on other sites

  • 0
18 minutes ago, KorDen said:

NAT Loopback будет только если ходить на ресурсы, проброшенные на внешние интерфейсы по их айпишникам.

 

И в случае топик стартера тоже. У него пакет пришел в br0, развернулся на маршрутизации и ушел в br0.

Следите за руками

При отключении ip nat Home и настройке ip static Home 1.2.3.4 получаем что пакет попадает в  цепочку POSTROUTING 

Оттуда падает в _NDM_SNAT, оттуда сразу в _NDM_STATIC_LOOP

а там уже его ждет

Chain _NDM_STATIC_LOOP (1 references)
num   pkts bytes target     prot opt in     out     source               destination

6        0     0 MASQUERADE  all  --  br0    br0     0.0.0.0/0            0.0.0.0/0

 

Все, с интерфейса он выйдет с IP адресом рутера.

 

Link to comment
Share on other sites

  • 0
11 час назад, KorDen сказал:

Ставьте beta 2.09, там будет и выдача опций DHCP и исходящий интерфейс для ip static. Хотя, если у вас на WAN кинетика статичный IP и это единственный WAN, можно сделать на 2.08 ip static Home 1.2.3.4 (где 1.2.3.4 - IP WAN-интерфейса)

Я, конечно, решил проблему частным путем, добавив на буке статический маршрут... Но вообще это задача роутера роутить траффик, а клиент не должен заморачиваться...

Link to comment
Share on other sites

  • 0
12 часа назад, gaaronk сказал:

Следите за руками

Упс, действительно. SOHO-роутер не готов к ассиметрии траффика, так и до BGP недалеко :) Хотя какой-нибудь OSPF уже напрашивается, надоедает все ручками вбивать.

Link to comment
Share on other sites

  • 0
7 minutes ago, KorDen said:

Упс, действительно. SOHO-роутер не готов к ассиметрии траффика, так и до BGP недалеко :) Хотя какой-нибудь OSPF уже напрашивается, надоедает все ручками вбивать.

opkg install bird4 birdc4

и все будет.

Лучше квагги.

 

Я как раз использую внутри GRE туннелей.

Edited by gaaronk
Link to comment
Share on other sites

  • 0
9 минут назад, gaaronk сказал:

opkg install bird4 birdc4

Тут проблема из той же оперы, что и у вас использование прошивочного strongswan вместо opkg install strongswan - нужна флешка, не везде есть свободный USB, следовательно это + хаб еще, дальше добавляется вероятность глюков хаба и флешки на каждом из узлов и возможное поведение после этого глюка.

Edited by KorDen
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...