Зачем транслировать внутри домашней сети??

[Yacudzer]

Использую следующую схему:

Естественно, на кинетике поднят NAT и настроен статический маршрут:

ip route 192.168.0.0 255.255.0.0 192.168.234.19 Home

Пробую с ноутбука пингануть что-то за IPSec-туннелем (например, 192.168.1.1) и вижу следующее в циске:

Jul 16 20:39:49.683: %FW-6-DROP_PKT: Dropping icmp session 192.168.234.1:0 192.168.1.1:0 on zone-pair ISP-ESKO class class-default due to  DROP action found in policy-map with ip ident 2303

Дело в том, что циска настроена пропускать траффик только от 192.168.234.2, но никак не от всей остальной сети...

Смотрим дампы...

Скрытый текст

Соответственно, возникает вопрос... ЗАЧЕМ преобразовывать исходный адрес, если next-hop лежит в том же интерфейсе??????

Edited July 16, 2017 by Yacudzer

[gaaronk]

Это особая фича кинетика. Делать NAT для всего что входит в интерфейс.

Отключайте

Хотя это может быть фича masquerade LAN to LAN (NAT loopback)

А вот это уже не отключаемое.

Edited July 16, 2017 by gaaronk

[Yacudzer]

23 минуты назад, gaaronk сказал:

Это особая фича кинетика. Делать NAT для всего что входит в интерфейс.

Отключайте

Хотя это может быть фича masquerade LAN to LAN (NAT loopback)

А вот это уже не отключаемое.

Я так понимаю, инфа по ссылке пока только в бета-прошивках?? Ибо у меня команда ip static Home ISP не прошла...

прошивка release: v2.08(AAUW.0)C2

Edited July 16, 2017 by Yacudzer

[gaaronk]

Да, в 2.09 появилось.

Проще уж на клиенте настроить отдельный маршрут для 192.168.0.0 255.255.0.0 в сторону циски.

Ну или настроить DHCP что бы выдавал этот маршрут.

 

А почему бы IPSec не настроить на самом кинетике?

Edited July 16, 2017 by gaaronk

[Yacudzer]

22 минуты назад, gaaronk сказал:

Да, в 2.09 появилось.

Проще уж на клиенте настроить отдельный маршрут для 192.168.0.0 255.255.0.0 в сторону циски.

Так и делаем...

 

Цитата

Ну или настроить DHCP что бы выдавал этот маршрут.

А кинетик это умеет разве?

 

Вообще это глюк, я считаю... Циска же мой ноут определяет с правильным IP и траффик до нее не натится, хотя так он же идет через кинетик... А трафик по статическому маршруту натится...

Jul 16 21:41:49.331: %SYS-5-CONFIG_I: Configured from console by yac52 on vty0 (192.168.234.2)[OK]

 

Edited July 16, 2017 by Yacudzer

[gaaronk]

1 minute ago, Yacudzer said:

Так и делаем...

 

А кинетик это умеет разве?

 

Вообще это глюк, я считаю... Циска же мой ноут определяет с правильным IP и траффик до нее не натится, хотя так он же идет через кинетик... А трафик по статическому маршруту натится...

Jul 16 21:41:49.331: %SYS-5-CONFIG_I: Configured from console by yac52 on vty0 (192.168.234.2)[OK]

 

Умеет отдавать опции, но тоже в последних версиях.

 

Трафик от вас до циски идет через компонент кинетика - коммутатор. А до сети 192.168.1.0/24 (например) уже через маршрутизатор. И там натится.

[KorDen]

9 минут назад, Yacudzer сказал:

Вообще это глюк, я считаю... Циска же мой ноут определяет с правильным IP и траффик до нее не натится, хотя так он же идет через кинетик... А трафик по статическому маршруту натится...

У кинетика по умолчанию команда ip nat Home подразумевает, что все что попало на роутер (L3) из сегмента Home и уходит с кинетика (не важно, куда), надо натить. Трафик до циски идет по L2, на роутер не заходит.

Ставьте beta 2.09, там будет и выдача опций DHCP и исходящий интерфейс для ip static. Хотя, если у вас на WAN кинетика статичный IP и это единственный WAN, можно сделать на 2.08 ip static Home 1.2.3.4 (где 1.2.3.4 - IP WAN-интерфейса)

 

1 час назад, gaaronk сказал:

Хотя это может быть фича masquerade LAN to LAN (NAT loopback)

NAT Loopback будет только если ходить на ресурсы, проброшенные на внешние интерфейсы по их айпишникам.

[gaaronk]

18 minutes ago, KorDen said:

NAT Loopback будет только если ходить на ресурсы, проброшенные на внешние интерфейсы по их айпишникам.

 

И в случае топик стартера тоже. У него пакет пришел в br0, развернулся на маршрутизации и ушел в br0.

Следите за руками

При отключении ip nat Home и настройке ip static Home 1.2.3.4 получаем что пакет попадает в  цепочку POSTROUTING 

Оттуда падает в _NDM_SNAT, оттуда сразу в _NDM_STATIC_LOOP

а там уже его ждет

Chain _NDM_STATIC_LOOP (1 references)
num   pkts bytes target     prot opt in     out     source               destination

6        0     0 MASQUERADE  all  --  br0    br0     0.0.0.0/0            0.0.0.0/0

 

Все, с интерфейса он выйдет с IP адресом рутера.

 

[Yacudzer]

11 час назад, KorDen сказал:

Ставьте beta 2.09, там будет и выдача опций DHCP и исходящий интерфейс для ip static. Хотя, если у вас на WAN кинетика статичный IP и это единственный WAN, можно сделать на 2.08 ip static Home 1.2.3.4 (где 1.2.3.4 - IP WAN-интерфейса)

Я, конечно, решил проблему частным путем, добавив на буке статический маршрут... Но вообще это задача роутера роутить траффик, а клиент не должен заморачиваться...

[KorDen]

12 часа назад, gaaronk сказал:

Следите за руками

Упс, действительно. SOHO-роутер не готов к ассиметрии траффика, так и до BGP недалеко Хотя какой-нибудь OSPF уже напрашивается, надоедает все ручками вбивать.

[gaaronk]

7 minutes ago, KorDen said:

Упс, действительно. SOHO-роутер не готов к ассиметрии траффика, так и до BGP недалеко Хотя какой-нибудь OSPF уже напрашивается, надоедает все ручками вбивать.

opkg install bird4 birdc4

и все будет.

Лучше квагги.

 

Я как раз использую внутри GRE туннелей.

Edited July 17, 2017 by gaaronk

[KorDen]

9 минут назад, gaaronk сказал:

opkg install bird4 birdc4

Тут проблема из той же оперы, что и у вас использование прошивочного strongswan вместо opkg install strongswan - нужна флешка, не везде есть свободный USB, следовательно это + хаб еще, дальше добавляется вероятность глюков хаба и флешки на каждом из узлов и возможное поведение после этого глюка.

Edited July 17, 2017 by KorDen