adach Posted August 29, 2019 Share Posted August 29, 2019 Добрый день! имеется удаленный маршрутизатор Keenetic 4G c Hilink модемом и Giga2. Прошивка 2.15 на всех. На Giga включен сервер L2TP/ipsec, к которому успешно подключается клиент 4G (interface security-level private). Задача - доступ из локалки Giga к web-интефейсу модема на WAN интерфейсе 4G по адресу 192.168.8.1 (CdcEthernet0). На Giga настроена маршрутизация через туннель L2TP0 В локальную сеть 4G - 192.168.1.0/24 и в Web-интерфейс модема 192.168.8.1/32 Устройства локалки 4G доступны, а модем - нет. Делал захват пакетов на CdcEthernet0 - обратный адрес пакетов из локальной сети Giga не подменяется, т.е. соединения из Home Giga через vpn на модем не натится. Думаю, что в этом проблема, т.к. модем не знает куда маршрутизировать пакеты в ответ. если ввести команду ip nat L2TP0, то пропадает доступ и к локальной сети 4G, а модем все также недоступен. Помогите разобраться! мои знания кончились ( Quote Link to comment Share on other sites More sharing options...
r13 Posted August 29, 2019 Share Posted August 29, 2019 (edited) 9 минут назад, adach сказал: Добрый день! имеется удаленный маршрутизатор Keenetic 4G c Hilink модемом и Giga2. Прошивка 2.15 на всех. На Giga включен сервер L2TP/ipsec, к которому успешно подключается клиент 4G (interface security-level private). Задача - доступ из локалки Giga к web-интефейсу модема на WAN интерфейсе 4G по адресу 192.168.8.1 (CdcEthernet0). На Giga настроена маршрутизация через туннель L2TP0 В локальную сеть 4G - 192.168.1.0/24 и в Web-интерфейс модема 192.168.8.1/32 Устройства локалки 4G доступны, а модем - нет. Делал захват пакетов на CdcEthernet0 - обратный адрес пакетов из локальной сети Giga не подменяется, т.е. соединения из Home Giga через vpn на модем не натится. Думаю, что в этом проблема, т.к. модем не знает куда маршрутизировать пакеты в ответ. если ввести команду ip nat L2TP0, то пропадает доступ и к локальной сети 4G, а модем все также недоступен. Помогите разобраться! мои знания кончились ( На модемы можно ходить альтернативным путем, через http proxy если включен keendns в облачном режиме. В консоли ip http proxy modem upstream http <ip модема> 80 domain ndns allow public auth exit system configuration save Пользователю выдать права на доступ к http proxy в вебе После этого модем будет доступен по keendns имени - modem.<***>.keenetic.pro(link) Edited August 29, 2019 by r13 Quote Link to comment Share on other sites More sharing options...
adach Posted August 29, 2019 Author Share Posted August 29, 2019 5 минут назад, r13 сказал: На модемы можно ходить альтернативным путем, через http proxy если включен keendns в облачном режиме. Спасибо! Этот вариант я настроил, но по неизвестной причине доступ жутко тормозит и прерывается периодически. При этом облачный доступ на маршрутизатор работает отлично. Из локалки веб-интерфейс модема работает хорошо, похоже дело не в модеме. Т.к. туннель задействован, хотелось бы использовать его и для модема минуя сервера облачного доступа. Quote Link to comment Share on other sites More sharing options...
rustrict Posted August 29, 2019 Share Posted August 29, 2019 (edited) Я не смог сейчас сходу найти поиском, но @Le ecureuil в разных темах в разное время писал, что такой доступ невозможен. Загвоздка с маршрутизацией на самом модеме, ЕМНИП. UPD: Вот, кое-что нашел Edited August 29, 2019 by rustrict Добавил пару ссылок Quote Link to comment Share on other sites More sharing options...
r13 Posted August 29, 2019 Share Posted August 29, 2019 2 минуты назад, adach сказал: Спасибо! Этот вариант я настроил, но по неизвестной причине доступ жутко тормозит и прерывается периодически. При этом облачный доступ на маршрутизатор работает отлично. Из локалки веб-интерфейс модема работает хорошо, похоже дело не в модеме. Т.к. туннель задействован, хотелось бы использовать его и для модема минуя сервера облачного доступа. Что бы минуя по идее можно этот домен в hosts на гиге прописать на локальный ip удаленного кинетика Quote Link to comment Share on other sites More sharing options...
rustrict Posted August 29, 2019 Share Posted August 29, 2019 С другой стороны, есть еще по теме: Quote Link to comment Share on other sites More sharing options...
rustrict Posted August 29, 2019 Share Posted August 29, 2019 И еще Quote Link to comment Share on other sites More sharing options...
adach Posted August 29, 2019 Author Share Posted August 29, 2019 Если я правильно провел диагностику, то проблема выглядит так: 1. модем ДОСТУПЕН из локальной сети G4 2. маршрут из Giga до модема проложен. Пинги выходят из интерфейса CdcEthernet0 - это USB модем. 3. у пакетов ICMP от Giga стоит обратный адрес локальной сети Giga 192.168.33.1, например. И модем не знает, куда пулять ответ. Возможно в default gateway, который в радио. 4. по идее, обратный адрес должен быть 192.168.8.100, который модем выдал маршрутизатору в интерфейсе CdcEthernet0. Иными словами, до модема пакеты доходят, но ответить ему некуда, и тут нужен nat. Или я что-то не так понимаю? Quote Link to comment Share on other sites More sharing options...
adach Posted August 29, 2019 Author Share Posted August 29, 2019 (edited) Это из темы прям один в один! Le ecureuil написал В модеме вам нужно прописать роут в домашнюю сеть через USB Keenetic. Ну или ставить proxy, ну или делать NAT. ИМХО, по феншую именно NAT. Ибо ходить я буду и по VPN в домашнюю сеть, а оттуда в дачный 4G. Т.е. рутинг из модема на все случаи жизни не напишешь. Посмотрел модем - нет там настроек маршрутизации, к сожалению. Edited August 29, 2019 by adach Уточнил настройки в модеме Quote Link to comment Share on other sites More sharing options...
adach Posted August 29, 2019 Author Share Posted August 29, 2019 получилось коряво запустить nat на L2TP клиенте. Доступ к модему 192.168.8.1 заработал после команды ip nat 192.168.33.0 255.255.255.0. Это подсеть сервера, из которой через туннель хожу на модем. Коряво, т.к. аналогично надо добавлять все сети, из которых могут заходить (гостевые, vpn клиенты и проч.) Более логично было бы ip nat L2TP0, но на нее 4G не отработал должным образом, подмена обратного адреса не происходит. Уважаемые знатоки, может подскажете более элегантное решение? Может поменять туннель на PPTP или другой, чтоб можно было на интерфейс клиента vpn сослаться в ip nat? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 3, 2019 Share Posted September 3, 2019 В 29.08.2019 в 20:31, adach сказал: получилось коряво запустить nat на L2TP клиенте. Доступ к модему 192.168.8.1 заработал после команды ip nat 192.168.33.0 255.255.255.0. Это подсеть сервера, из которой через туннель хожу на модем. Коряво, т.к. аналогично надо добавлять все сети, из которых могут заходить (гостевые, vpn клиенты и проч.) Более логично было бы ip nat L2TP0, но на нее 4G не отработал должным образом, подмена обратного адреса не происходит. Уважаемые знатоки, может подскажете более элегантное решение? Может поменять туннель на PPTP или другой, чтоб можно было на интерфейс клиента vpn сослаться в ip nat? Пока никак видимо. Если бы это был не VPN-клиент, а интерфейс, то можно было бы указать ip nat L2TP0 Home (или что-то в этом ключе). Quote Link to comment Share on other sites More sharing options...
rustrict Posted September 16, 2019 Share Posted September 16, 2019 В 29.08.2019 в 16:34, rustrict сказал: Я не смог сейчас сходу найти поиском, но @Le ecureuil в разных темах в разное время писал, что такой доступ невозможен. Загвоздка с маршрутизацией на самом модеме, ЕМНИП. Простите меня, что, в общем, ввёл в заблуждение: доступ возможен. В 29.08.2019 в 20:31, adach сказал: получилось коряво запустить nat на L2TP клиенте. Доступ к модему 192.168.8.1 заработал после команды ip nat 192.168.33.0 255.255.255.0. Это подсеть сервера, из которой через туннель хожу на модем. @adach, огромное спасибо за наводку! И мне ip nat помогла с доступом. В 29.08.2019 в 20:31, adach сказал: Уважаемые знатоки, может подскажете более элегантное решение? Может поменять туннель на PPTP или другой, чтоб можно было на интерфейс клиента vpn сослаться в ip nat? Я у себя воспользовался такой схемой: туннель IPIP over IPsec с настройками от @KorDen. Дополнительно к ним добавил маршрут к модему (на кинетике, из сети которого надо получать доступ): ip route 192.168.8.1 172.31.255.2 IPIP0 auto. На кинетике с модемом выполнил такую команду: ip nat 172.31.255.1 255.255.255.255. После этого доступ появился: Mac-mini:~ rustrict$ traceroute -I 192.168.8.1 traceroute to 192.168.8.1 (192.168.8.1), 64 hops max, 72 byte packets 1 192.168.1.1 (192.168.1.1) 0.674 ms 0.298 ms 0.278 ms 2 172.31.255.2 (172.31.255.2) 85.284 ms 47.494 ms 55.890 ms 3 192.168.8.1 (192.168.8.1) 69.939 ms 73.488 ms 79.967 ms Mac-mini:~ rustrict$ ping -c 5 192.168.8.1 PING 192.168.8.1 (192.168.8.1): 56 data bytes 64 bytes from 192.168.8.1: icmp_seq=0 ttl=62 time=84.598 ms 64 bytes from 192.168.8.1: icmp_seq=1 ttl=62 time=59.497 ms 64 bytes from 192.168.8.1: icmp_seq=2 ttl=62 time=114.291 ms 64 bytes from 192.168.8.1: icmp_seq=3 ttl=62 time=110.362 ms 64 bytes from 192.168.8.1: icmp_seq=4 ttl=62 time=107.353 ms --- 192.168.8.1 ping statistics --- 5 packets transmitted, 5 packets received, 0.0% packet loss round-trip min/avg/max/stddev = 59.497/95.220/114.291/20.636 ms Скрытый текст 1 Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.