Jump to content

Как отключить NAT на L2TP интерфейсе?


Recommended Posts

Всю голову сломал пытаясь понять почему у меня пинги из сети со стороны сервера не ходят до клиентов кинетика.

Пока не посмотрел Wireshark-ом на пинги со стороны кинетика.

Снятие галочки "использовать для выхода в интернет" не помогает. Снаружи могу попасть внутрь только "переадресацией"

Link to comment
Share on other sites

15 часов назад, Pop70 сказал:

Всю голову сломал пытаясь понять почему у меня пинги из сети со стороны сервера не ходят до клиентов кинетика.

Пока не посмотрел Wireshark-ом на пинги со стороны кинетика.

Снятие галочки "использовать для выхода в интернет" не помогает. Снаружи могу попасть внутрь только "переадресацией"

security-level private

  • Thanks 1
Link to comment
Share on other sites

18 минут назад, Le ecureuil сказал:

security-level private

Пробовал. Всё ещё грустнее. Тогда вообще никакой трафик между "домашней сетью" кинетика и L2TP0 интерфейсом не ходит.

Из сети сервера доступен только веб кинетика, и ничего более. Из сети кинетика маршрут не работает. Пинги сети сервера даже не выходят из L2TP0

Link to comment
Share on other sites

40 минут назад, Pop70 сказал:

Пробовал. Всё ещё грустнее. Тогда вообще никакой трафик между "домашней сетью" кинетика и L2TP0 интерфейсом не ходит.

Из сети сервера доступен только веб кинетика, и ничего более. Из сети кинетика маршрут не работает. Пинги сети сервера даже не выходят из L2TP0

Можно почитать здесь. Там в середине статьи красивая картинка по типам интерфейсов и как они между собой сообщаются. В статье найдете команду no isolate-private, она разрешит соединения между private интерфейсами, если вам это нужно.

 

  • Thanks 1
Link to comment
Share on other sites

3 часа назад, Le ecureuil сказал:

security-level private

no isolate-private

security-level private

выключатель "использовать для выхода в интернет" отключен

C кинетика пингуется и "трассируется" сеть сервера нормально.

Из домашней сети кинетика ping на комп в сети сервера проходит, но с адреса L2TP0 интерфейса кинетика в сети сервера.

traceroute так же из сети кинетика на тот же узел сети сервера НЕ ИДЁТ, обрывается на 192.168.1.1. Захват трафика вообще какой-то бред - вместо icmp от 192.168.1.16 на 192.168.10.5, сыплется какой-то udp(17) от 192.168.10.100 на 192.168.10.5

traceroute 192.168.1.16 - 192.168.10.1 (шлюз сети сервера), как ни странно проходит, но на интерфейсе снова какой-то бред.

Во вложении файлы захвата трафика.

При включении галки "использовать для выхода в интернет", и назначении 192.168.1.16  профиля интернета через L2TP, в интернет он ходит прекрасно, именно через L2TP, а в сеть за сервером сохраняется та же байда.

В следующее сообщение приложу селфтест

трафик L2TP0.zip

Link to comment
Share on other sites

И только при security-level public, при наличии маршрута, подключение ведёт себя абсолютно адекватно - из сети кинетика свободно попадаю в сеть сервера через NAT.

Обратно - только через проброс портов.

Link to comment
Share on other sites

Так... с traceroute и непонятным (мне) мусором вроде разобрался - эту гадость клиент домашней сети (кинетика) почему-то шлёт вместо ICMP при tracerout-е

Осталось непонятно КАК ОТКЛЮЧИТЬ NAT, и только ли из-за NAT я (и захват пакетов) не вижу на L2TP0 интерфейсе трафик из сети сервера на ip-адреса сети кинетика - только с назначением на его IP адрес и мультикаст-броадкаст сети сервера?

Как говориться "люди добрые, поможите, сами мы не меееестныеее" :)

Link to comment
Share on other sites

8 часов назад, werldmgn сказал:

А вы для доступа в сеть кинетика прописали разрешающие правила межсетевого экрана для интерфейса L2TP0?

Да. Разрешил весь IP и ещё зачем-то весь ICMP

ping из сети кинетика в сеть сервера ходит, но в сети сервера пакеты имеют адрес источника/назначения (в зависимости от запрос/ответ) сетевого интерфейса L2TP0, а не реальные адреса из подсети клиентов кинетика. В сети кинетика адреса правильные. Т.е., интерфейс "натит", вместо "роутит".

Появилась идея сделать

no ip nat Home

ip nat (интерфейс модема)

Но удалённо опасаюсь потерять связь с управлением.

Команда no ip nat L2TP0 проходит, но эффекта никакого.

 

Link to comment
Share on other sites

Тихо сам с собою, тихо сам с собою

Я веду беседу...

:)

nat, как я теперь догадался, включается не НА интерфейсе, а ДЛЯ (сети за) интерфейса(ом), НА ВСЕХ(?) остальных интерфейсах.

Т.е., если мне надо, чтобы адреса домашнейй сети кинетика натились хоть куда-то, то они будут натиться НА всех интерфейсах, не входящих в мост "домашней сети"...

Я правильно понял?

Не. Если я совсем придурок, и горожу тут чушь, кто-нибудь не стесняйтесь - так и напишите.

 

Link to comment
Share on other sites

Не совсем понимаю почему вы к нату прицепились. В сети сервера у вас есть роутер, который является шлюзом по умолчанию? А впн соединение от кинетика устанавливается не к этому роутеру, а к впн серверу на отдельном ПК в этой сети? Если все так, то откуда устройствам в сети впн сервера знать о сети кинетика? Вы запускаете пинг с устройств домашней сети до устройств в сети кинетика. Это совсем другая сеть, устройства в дом сети про нее ничего не знают и отправляют эти пакеты на шлюз последней надежды, которым является домашний роутер, который также ни сном ни духом об удаленной сети.

Для решения, если все правильно понимаю, требуется на каждом устройстве домашней сети прописать маршрут до сети кинетика указав в качестве шлюза адрес интерфейса ВПН-сервере, который смотрит в домашнюю сеть. Возможно я ошибаюсь с решением, но причина проблемы, скорее всего, именно в том о чем я написал выше.

Edited by werldmgn
Link to comment
Share on other sites

16 минут назад, werldmgn сказал:

Если все так, то откуда устройствам в сети впн сервера знать о сети кинетика?

Ну, наверное, я в сети сервера маршрут создал на сеть домашней сети кинетика.

Вида 192.168.1.0/24 ---192.168.10.100.

И комп из сети сервера ходит в эту сеть не через основной шлюз на роутере той сети, а через ip-адрес подключения VPN.

Да-да. Я вижу кинетик в сети сервера как обычный комп с адресом 192.168.10.100. И даже mac адрес он имеет.

А уж кинетик должен принять и передать пакет в сеть, которая подключена к нему.

На то он и роутер.

Link to comment
Share on other sites

Ну тогда, раз правила фаерволла на кинетике для интерфейса l2tp0 вы сделали, по вашим словам, то все должно работать. Нат не должен быть препятствием если фаерволл пропускает

  • Thanks 1
Link to comment
Share on other sites

10 минут назад, werldmgn сказал:

Ну тогда, раз правила фаерволла на кинетике для интерфейса l2tp0 вы сделали, по вашим словам, то все должно работать. Нат не должен быть препятствием если фаерволл пропускает

Правила прописал. Пинги в сеть кинетика не попадают. Хотя сам кинетик и пингуется, и доступен веб, и Telnet.

NAT - он на то и NAT, что внутрь пускает только того, кого "пригласили" изнутри.

Хотя, Вы наверное правы. НАТ при открытых портах мешать не должен.

Просто сам кинетик не может/не хочет переслать пакеты по адресу.

Должен, но не может/не хочет...

 

Edited by Pop70
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...