Pop70 Posted March 27, 2020 Share Posted March 27, 2020 Всю голову сломал пытаясь понять почему у меня пинги из сети со стороны сервера не ходят до клиентов кинетика. Пока не посмотрел Wireshark-ом на пинги со стороны кинетика. Снятие галочки "использовать для выхода в интернет" не помогает. Снаружи могу попасть внутрь только "переадресацией" Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted March 28, 2020 Share Posted March 28, 2020 15 часов назад, Pop70 сказал: Всю голову сломал пытаясь понять почему у меня пинги из сети со стороны сервера не ходят до клиентов кинетика. Пока не посмотрел Wireshark-ом на пинги со стороны кинетика. Снятие галочки "использовать для выхода в интернет" не помогает. Снаружи могу попасть внутрь только "переадресацией" security-level private 1 Quote Link to comment Share on other sites More sharing options...
Pop70 Posted March 28, 2020 Author Share Posted March 28, 2020 18 минут назад, Le ecureuil сказал: security-level private Пробовал. Всё ещё грустнее. Тогда вообще никакой трафик между "домашней сетью" кинетика и L2TP0 интерфейсом не ходит. Из сети сервера доступен только веб кинетика, и ничего более. Из сети кинетика маршрут не работает. Пинги сети сервера даже не выходят из L2TP0 Quote Link to comment Share on other sites More sharing options...
Werld Posted March 28, 2020 Share Posted March 28, 2020 40 минут назад, Pop70 сказал: Пробовал. Всё ещё грустнее. Тогда вообще никакой трафик между "домашней сетью" кинетика и L2TP0 интерфейсом не ходит. Из сети сервера доступен только веб кинетика, и ничего более. Из сети кинетика маршрут не работает. Пинги сети сервера даже не выходят из L2TP0 Можно почитать здесь. Там в середине статьи красивая картинка по типам интерфейсов и как они между собой сообщаются. В статье найдете команду no isolate-private, она разрешит соединения между private интерфейсами, если вам это нужно. 1 Quote Link to comment Share on other sites More sharing options...
Pop70 Posted March 28, 2020 Author Share Posted March 28, 2020 3 часа назад, Le ecureuil сказал: security-level private no isolate-private security-level private выключатель "использовать для выхода в интернет" отключен C кинетика пингуется и "трассируется" сеть сервера нормально. Из домашней сети кинетика ping на комп в сети сервера проходит, но с адреса L2TP0 интерфейса кинетика в сети сервера. traceroute так же из сети кинетика на тот же узел сети сервера НЕ ИДЁТ, обрывается на 192.168.1.1. Захват трафика вообще какой-то бред - вместо icmp от 192.168.1.16 на 192.168.10.5, сыплется какой-то udp(17) от 192.168.10.100 на 192.168.10.5 traceroute 192.168.1.16 - 192.168.10.1 (шлюз сети сервера), как ни странно проходит, но на интерфейсе снова какой-то бред. Во вложении файлы захвата трафика. При включении галки "использовать для выхода в интернет", и назначении 192.168.1.16 профиля интернета через L2TP, в интернет он ходит прекрасно, именно через L2TP, а в сеть за сервером сохраняется та же байда. В следующее сообщение приложу селфтест трафик L2TP0.zip Quote Link to comment Share on other sites More sharing options...
Pop70 Posted March 28, 2020 Author Share Posted March 28, 2020 И только при security-level public, при наличии маршрута, подключение ведёт себя абсолютно адекватно - из сети кинетика свободно попадаю в сеть сервера через NAT. Обратно - только через проброс портов. Quote Link to comment Share on other sites More sharing options...
Pop70 Posted March 29, 2020 Author Share Posted March 29, 2020 Так... с traceroute и непонятным (мне) мусором вроде разобрался - эту гадость клиент домашней сети (кинетика) почему-то шлёт вместо ICMP при tracerout-е Осталось непонятно КАК ОТКЛЮЧИТЬ NAT, и только ли из-за NAT я (и захват пакетов) не вижу на L2TP0 интерфейсе трафик из сети сервера на ip-адреса сети кинетика - только с назначением на его IP адрес и мультикаст-броадкаст сети сервера? Как говориться "люди добрые, поможите, сами мы не меееестныеее" Quote Link to comment Share on other sites More sharing options...
Werld Posted March 29, 2020 Share Posted March 29, 2020 А вы для доступа в сеть кинетика прописали разрешающие правила межсетевого экрана для интерфейса L2TP0? Quote Link to comment Share on other sites More sharing options...
Pop70 Posted March 30, 2020 Author Share Posted March 30, 2020 8 часов назад, werldmgn сказал: А вы для доступа в сеть кинетика прописали разрешающие правила межсетевого экрана для интерфейса L2TP0? Да. Разрешил весь IP и ещё зачем-то весь ICMP ping из сети кинетика в сеть сервера ходит, но в сети сервера пакеты имеют адрес источника/назначения (в зависимости от запрос/ответ) сетевого интерфейса L2TP0, а не реальные адреса из подсети клиентов кинетика. В сети кинетика адреса правильные. Т.е., интерфейс "натит", вместо "роутит". Появилась идея сделать no ip nat Home ip nat (интерфейс модема) Но удалённо опасаюсь потерять связь с управлением. Команда no ip nat L2TP0 проходит, но эффекта никакого. Quote Link to comment Share on other sites More sharing options...
Pop70 Posted March 30, 2020 Author Share Posted March 30, 2020 Тихо сам с собою, тихо сам с собою Я веду беседу... nat, как я теперь догадался, включается не НА интерфейсе, а ДЛЯ (сети за) интерфейса(ом), НА ВСЕХ(?) остальных интерфейсах. Т.е., если мне надо, чтобы адреса домашнейй сети кинетика натились хоть куда-то, то они будут натиться НА всех интерфейсах, не входящих в мост "домашней сети"... Я правильно понял? Не. Если я совсем придурок, и горожу тут чушь, кто-нибудь не стесняйтесь - так и напишите. Quote Link to comment Share on other sites More sharing options...
Werld Posted March 30, 2020 Share Posted March 30, 2020 (edited) Не совсем понимаю почему вы к нату прицепились. В сети сервера у вас есть роутер, который является шлюзом по умолчанию? А впн соединение от кинетика устанавливается не к этому роутеру, а к впн серверу на отдельном ПК в этой сети? Если все так, то откуда устройствам в сети впн сервера знать о сети кинетика? Вы запускаете пинг с устройств домашней сети до устройств в сети кинетика. Это совсем другая сеть, устройства в дом сети про нее ничего не знают и отправляют эти пакеты на шлюз последней надежды, которым является домашний роутер, который также ни сном ни духом об удаленной сети. Для решения, если все правильно понимаю, требуется на каждом устройстве домашней сети прописать маршрут до сети кинетика указав в качестве шлюза адрес интерфейса ВПН-сервере, который смотрит в домашнюю сеть. Возможно я ошибаюсь с решением, но причина проблемы, скорее всего, именно в том о чем я написал выше. Edited March 30, 2020 by werldmgn Quote Link to comment Share on other sites More sharing options...
Pop70 Posted March 30, 2020 Author Share Posted March 30, 2020 16 минут назад, werldmgn сказал: Если все так, то откуда устройствам в сети впн сервера знать о сети кинетика? Ну, наверное, я в сети сервера маршрут создал на сеть домашней сети кинетика. Вида 192.168.1.0/24 ---192.168.10.100. И комп из сети сервера ходит в эту сеть не через основной шлюз на роутере той сети, а через ip-адрес подключения VPN. Да-да. Я вижу кинетик в сети сервера как обычный комп с адресом 192.168.10.100. И даже mac адрес он имеет. А уж кинетик должен принять и передать пакет в сеть, которая подключена к нему. На то он и роутер. Quote Link to comment Share on other sites More sharing options...
Werld Posted March 30, 2020 Share Posted March 30, 2020 Ну тогда, раз правила фаерволла на кинетике для интерфейса l2tp0 вы сделали, по вашим словам, то все должно работать. Нат не должен быть препятствием если фаерволл пропускает 1 Quote Link to comment Share on other sites More sharing options...
Pop70 Posted March 30, 2020 Author Share Posted March 30, 2020 (edited) 10 минут назад, werldmgn сказал: Ну тогда, раз правила фаерволла на кинетике для интерфейса l2tp0 вы сделали, по вашим словам, то все должно работать. Нат не должен быть препятствием если фаерволл пропускает Правила прописал. Пинги в сеть кинетика не попадают. Хотя сам кинетик и пингуется, и доступен веб, и Telnet. NAT - он на то и NAT, что внутрь пускает только того, кого "пригласили" изнутри. Хотя, Вы наверное правы. НАТ при открытых портах мешать не должен. Просто сам кинетик не может/не хочет переслать пакеты по адресу. Должен, но не может/не хочет... Edited March 30, 2020 by Pop70 Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.