Jump to content

Recommended Posts

Добрый день! 

имеется удаленный маршрутизатор Keenetic 4G c Hilink модемом и Giga2. Прошивка 2.15 на всех.

На Giga включен сервер L2TP/ipsec, к которому успешно подключается клиент 4G (interface security-level private). Задача - доступ из локалки Giga к web-интефейсу модема на WAN интерфейсе 4G по адресу 192.168.8.1 (CdcEthernet0).

На Giga настроена маршрутизация через туннель L2TP0 В локальную сеть 4G - 192.168.1.0/24 и в Web-интерфейс модема 192.168.8.1/32

Устройства локалки 4G  доступны, а модем - нет. 

Делал захват пакетов на CdcEthernet0 - обратный адрес пакетов из локальной сети Giga не подменяется, т.е. соединения из Home Giga через vpn на модем не натится. Думаю, что в этом проблема, т.к. модем не знает куда маршрутизировать пакеты в ответ.

если ввести команду ip nat L2TP0, то пропадает доступ и к локальной сети 4G, а модем все также недоступен.

 

Помогите разобраться! мои знания кончились (

Link to comment
Share on other sites

9 минут назад, adach сказал:

Добрый день! 

имеется удаленный маршрутизатор Keenetic 4G c Hilink модемом и Giga2. Прошивка 2.15 на всех.

На Giga включен сервер L2TP/ipsec, к которому успешно подключается клиент 4G (interface security-level private). Задача - доступ из локалки Giga к web-интефейсу модема на WAN интерфейсе 4G по адресу 192.168.8.1 (CdcEthernet0).

На Giga настроена маршрутизация через туннель L2TP0 В локальную сеть 4G - 192.168.1.0/24 и в Web-интерфейс модема 192.168.8.1/32

Устройства локалки 4G  доступны, а модем - нет. 

Делал захват пакетов на CdcEthernet0 - обратный адрес пакетов из локальной сети Giga не подменяется, т.е. соединения из Home Giga через vpn на модем не натится. Думаю, что в этом проблема, т.к. модем не знает куда маршрутизировать пакеты в ответ.

если ввести команду ip nat L2TP0, то пропадает доступ и к локальной сети 4G, а модем все также недоступен.

 

Помогите разобраться! мои знания кончились (

На модемы можно ходить альтернативным путем, через http proxy если включен keendns в облачном режиме.

В консоли

ip http proxy modem
upstream http <ip модема> 80
domain ndns
allow public
auth
exit
system configuration save

Пользователю выдать права на доступ к http proxy в вебе

После этого модем будет доступен по keendns имени - modem.<***>.keenetic.pro(link)

Edited by r13
Link to comment
Share on other sites

5 минут назад, r13 сказал:

На модемы можно ходить альтернативным путем, через http proxy если включен keendns в облачном режиме.

Спасибо! Этот вариант я настроил, но по неизвестной причине доступ жутко тормозит и прерывается периодически. При этом облачный доступ на маршрутизатор работает отлично. Из локалки веб-интерфейс модема работает хорошо, похоже дело не в модеме. 

Т.к. туннель задействован, хотелось бы использовать его и для модема минуя сервера облачного доступа.

Link to comment
Share on other sites

Я не смог сейчас сходу найти поиском, но @Le ecureuil в разных темах в разное время писал, что такой доступ невозможен. Загвоздка с маршрутизацией на самом модеме, ЕМНИП.

UPD: Вот, кое-что нашел

 

Edited by rustrict
Добавил пару ссылок
Link to comment
Share on other sites

2 минуты назад, adach сказал:

Спасибо! Этот вариант я настроил, но по неизвестной причине доступ жутко тормозит и прерывается периодически. При этом облачный доступ на маршрутизатор работает отлично. Из локалки веб-интерфейс модема работает хорошо, похоже дело не в модеме. 

Т.к. туннель задействован, хотелось бы использовать его и для модема минуя сервера облачного доступа.

Что бы минуя по идее можно этот домен в hosts на гиге прописать на локальный ip удаленного кинетика

Link to comment
Share on other sites

Если я правильно провел диагностику, то проблема выглядит так:

1. модем ДОСТУПЕН из локальной сети G4

2. маршрут из Giga до модема проложен. Пинги выходят из интерфейса CdcEthernet0 - это USB модем.

3. у пакетов ICMP от Giga стоит обратный адрес локальной сети Giga 192.168.33.1, например. И модем не знает, куда пулять ответ. Возможно в default gateway, который в радио.

4. по идее, обратный адрес должен быть 192.168.8.100, который модем выдал маршрутизатору в интерфейсе CdcEthernet0.

 

Иными словами, до модема пакеты доходят, но ответить ему некуда, и тут нужен nat. Или я что-то не так понимаю?

Link to comment
Share on other sites

 

Это из темы прям один в один! 

 

Le ecureuil написал В модеме вам нужно прописать роут в домашнюю сеть через USB Keenetic. Ну или ставить proxy, ну или делать NAT.

ИМХО, по феншую именно NAT. Ибо ходить я буду и по VPN в домашнюю сеть, а оттуда в дачный 4G. Т.е. рутинг из модема на все случаи жизни не напишешь. Посмотрел модем - нет там настроек маршрутизации, к сожалению.

Edited by adach
Уточнил настройки в модеме
Link to comment
Share on other sites

получилось коряво запустить nat на L2TP клиенте. Доступ к модему 192.168.8.1 заработал после команды ip nat 192.168.33.0 255.255.255.0. Это подсеть сервера, из которой через туннель хожу на модем. 

Коряво, т.к. аналогично надо добавлять все сети, из которых могут заходить (гостевые, vpn клиенты и проч.) Более логично было бы ip nat L2TP0, но на нее 4G не отработал должным образом, подмена обратного адреса не происходит.

Уважаемые знатоки, может подскажете более элегантное решение? Может поменять туннель на PPTP или другой, чтоб можно было на интерфейс клиента vpn сослаться в ip nat?

Link to comment
Share on other sites

В 29.08.2019 в 20:31, adach сказал:

получилось коряво запустить nat на L2TP клиенте. Доступ к модему 192.168.8.1 заработал после команды ip nat 192.168.33.0 255.255.255.0. Это подсеть сервера, из которой через туннель хожу на модем. 

Коряво, т.к. аналогично надо добавлять все сети, из которых могут заходить (гостевые, vpn клиенты и проч.) Более логично было бы ip nat L2TP0, но на нее 4G не отработал должным образом, подмена обратного адреса не происходит.

Уважаемые знатоки, может подскажете более элегантное решение? Может поменять туннель на PPTP или другой, чтоб можно было на интерфейс клиента vpn сослаться в ip nat?

Пока никак видимо. Если бы это был не VPN-клиент, а интерфейс, то можно было бы указать ip nat L2TP0 Home (или что-то в этом ключе).

Link to comment
Share on other sites

  • 2 weeks later...
В 29.08.2019 в 16:34, rustrict сказал:

Я не смог сейчас сходу найти поиском, но @Le ecureuil в разных темах в разное время писал, что такой доступ невозможен. Загвоздка с маршрутизацией на самом модеме, ЕМНИП.

Простите меня, что, в общем, ввёл в заблуждение: доступ возможен.

В 29.08.2019 в 20:31, adach сказал:

получилось коряво запустить nat на L2TP клиенте. Доступ к модему 192.168.8.1 заработал после команды ip nat 192.168.33.0 255.255.255.0. Это подсеть сервера, из которой через туннель хожу на модем.

@adach, огромное спасибо за наводку! И мне ip nat помогла с доступом.

В 29.08.2019 в 20:31, adach сказал:

Уважаемые знатоки, может подскажете более элегантное решение? Может поменять туннель на PPTP или другой, чтоб можно было на интерфейс клиента vpn сослаться в ip nat?

Я у себя воспользовался такой схемой: туннель IPIP over IPsec с настройками от @KorDen. Дополнительно к ним добавил маршрут к модему (на кинетике, из сети которого надо получать доступ): ip route 192.168.8.1 172.31.255.2 IPIP0 auto. На кинетике с модемом выполнил такую команду: ip nat 172.31.255.1 255.255.255.255.

После этого доступ появился:

Mac-mini:~ rustrict$ traceroute -I 192.168.8.1
traceroute to 192.168.8.1 (192.168.8.1), 64 hops max, 72 byte packets
 1  192.168.1.1 (192.168.1.1)  0.674 ms  0.298 ms  0.278 ms
 2  172.31.255.2 (172.31.255.2)  85.284 ms  47.494 ms  55.890 ms
 3  192.168.8.1 (192.168.8.1)  69.939 ms  73.488 ms  79.967 ms
Mac-mini:~ rustrict$ ping -c 5 192.168.8.1
PING 192.168.8.1 (192.168.8.1): 56 data bytes
64 bytes from 192.168.8.1: icmp_seq=0 ttl=62 time=84.598 ms
64 bytes from 192.168.8.1: icmp_seq=1 ttl=62 time=59.497 ms
64 bytes from 192.168.8.1: icmp_seq=2 ttl=62 time=114.291 ms
64 bytes from 192.168.8.1: icmp_seq=3 ttl=62 time=110.362 ms
64 bytes from 192.168.8.1: icmp_seq=4 ttl=62 time=107.353 ms

--- 192.168.8.1 ping statistics ---
5 packets transmitted, 5 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 59.497/95.220/114.291/20.636 ms
Скрытый текст

e3372h-web-screenshot.thumb.png.d63cbb10755c99a4b23895e5079cca53.png

 

  • Thanks 1
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...