1 Temat przez miguelos (edytowany przez miguelos 2018-04-25 22:27:43)

  • Zarejestrowany: 2012-12-18
  • Posty: 317

Temat: NAT - rozkmina

Hej

W wielkim skrocie :
- mam 2 routerki na LEDE z tunelem wireguard (polecam!) - R1 / R2
- tunel VPN = 172.16.1.x/30
- LAN1 = 192.168.1.x/24
- LAN2 = 10.1.1.x/24
- pelny routing miedzy sieciami LAN1 i LAN2 + PBR (1 host z LAN2 wychodzi przez ISP z R1)

w LAN2 znajduje sie glupi WIFI AP (albo nie glupi) - wpiety LANem, z adresacja 192.168.0.x/24
- jak dam sobie drugi adres na LAN2 to oczywiscie AP jest osiagalny z R2, ale nie z R1, poniewaz ten AP nie ma zadnego default GW, wiec odpowie tylko za komunikacje z wlasnej sieci.

Chcialbym zatem zrobic NATa na LAN2, zeby mozliwa byla komunikacja :
host w LAN1 (moj PC) -> R1 -> tunel -> R2 -> LAN2 druga adresacja
NAT / masq musialby zatem byc na LAN2 br-lan z R2 - jakies sugestie jak to zrobic w LEDE ?

bonus pytanie - wolabym zrobic to z konsoli + zabezpieczyc sie czyms w stylu - zrob reboot za 5 min, zeby nie zwalic sobie konfiguracji. Czy taki reboot jest mozliwy ? (w sensie nie robic trwalych zmian w plikach networks & firewall)

probowalem juz zrobic zwykle przekierowanie portu na R2 (z WAN, z VPNa) na adres 192.168.0.1 (adres APka) ale nic z tego hmm

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,067

Odp: NAT - rozkmina

To drugie pytanie: po prostu robisz przez uci bez commita i uruchamiasz sieć/firewall. Skrypty będą widziały zmiany a dopóki tego nie zacommitujesz to nie zostanie zapisane we flash. Zwykły restart i masz od nowa.

Dlatego w tym AP nie masz ustawionego gatewaya?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez miguelos (edytowany przez miguelos 2018-04-26 08:10:26)

  • Zarejestrowany: 2012-12-18
  • Posty: 317

Odp: NAT - rozkmina

Cezary napisał/a:

To drugie pytanie: po prostu robisz przez uci bez commita i uruchamiasz sieć/firewall. Skrypty będą widziały zmiany a dopóki tego nie zacommitujesz to nie zostanie zapisane we flash. Zwykły restart i masz od nowa.

Dlatego w tym AP nie masz ustawionego gatewaya?

- nie lubie / nie konfiguruje LEDE przez UCI smile czy SAVE z GUI robi to samo ? (zamiast SAVE & APPLY)
jak sie odetne to zdalny reboot tez nie da rady smile przydaloby sie cos w stylu "reload in 5" (minutes) ktore jest na routerach cisco

- nie ja zarzadzalem tym AP, tylko polecilem by zostal wpiety LANem i wylaczono DHCP - wiec adres jest z defaulta (bez bramy, bo AP sam jest routerem/brama)

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,067

Odp: NAT - rozkmina

No właśnie save zapisuje tylko a save & apply restartuje też usługi. A ty masz nie zapisywać nic... Nie ma takiego czegoś jak napisałeś w stylu cisco czy mikrotika.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez miguelos

  • Zarejestrowany: 2012-12-18
  • Posty: 317

Odp: NAT - rozkmina

Cezary napisał/a:

No właśnie save zapisuje tylko a save & apply restartuje też usługi. A ty masz nie zapisywać nic... Nie ma takiego czegoś jak napisałeś w stylu cisco czy mikrotika.

komendy w UCI sa dla mnie karkolomne, pozostaje czysta zabawa iptables hmm
co do reboota :
- reboot z CLI ma tylko delay, ale nie ma opcji cancel
- pewnym obejsciem byloby wrzucenie reboota do crona i kasowanie go jak wszystko jest ok...

wracajac do sedna - jakies sugestie jak sie za to zabrac ? hmm

6 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,067

Odp: NAT - rozkmina

(sleep 300; reboot) &

Masz 5 minut na zabawę, jak coś nie tak to sprzet się zresetuje po 5 min. Jak wszystko ok to robisz ps i ubijasz ten proces po prostu.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

7 Odpowiedź przez miguelos (edytowany przez miguelos 2018-04-30 10:15:40)

  • Zarejestrowany: 2012-12-18
  • Posty: 317

Odp: NAT - rozkmina

na LAN mam 2 adresy : 192.168.0.254 oraz 10.1.1.1
robie port forward z WAN:8888 -> 192.168.0.1:80, tworza sie reguly :

# iptables -L -n -v -t nat | grep 8888
    0     0 SNAT       tcp  --  *      *       10.1.1.0/24          192.168.0.1          tcp dpt:80 /* !fw3: Forward8888 (reflection) */ to:10.1.1.1
    0     0 SNAT       tcp  --  *      *       192.168.0.0/24       192.168.0.1          tcp dpt:80 /* !fw3: Forward8888 (reflection) */ to:192.168.0.254
    0     0 DNAT       tcp  --  *      *       10.1.1.0/24          x.x.x.x      tcp dpt:8888 /* !fw3: Forward8888 (reflection) */ to:192.168.0.1:80
    0     0 DNAT       tcp  --  *      *       192.168.0.0/24       x.x.x.x      tcp dpt:8888 /* !fw3: Forward8888 (reflection) */ to:192.168.0.1:80
    3   156 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:8888 /* !fw3: Forward8888 */ to:192.168.0.1:80

redirect na hosta w LAN 10.1.1.0/24 dziala ok :

# iptables -L -n -v -t nat | grep 8888
    0     0 SNAT       tcp  --  *      *       10.1.1.0/24          10.1.1.22            tcp dpt:80 /* !fw3: Forward8888 (reflection) */ to:10.1.1.1
    0     0 SNAT       tcp  --  *      *       192.168.0.0/24       10.1.1.22            tcp dpt:80 /* !fw3: Forward8888 (reflection) */ to:192.168.0.254
    0     0 DNAT       tcp  --  *      *       10.1.1.0/24          x.x.x.x      tcp dpt:8888 /* !fw3: Forward8888 (reflection) */ to:10.1.1.22:80
    0     0 DNAT       tcp  --  *      *       192.168.0.0/24       x.x.x.x      tcp dpt:8888 /* !fw3: Forward8888 (reflection) */ to:10.1.1.22:80
    4   208 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:8888 /* !fw3: Forward8888 */ to:10.1.1.22:80

ktos wie co jest nie tak ?

8 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,067

Odp: NAT - rozkmina

A co wg ciebie jest nie tak?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

9 Odpowiedź przez miguelos (edytowany przez miguelos 2018-04-30 11:05:02)

  • Zarejestrowany: 2012-12-18
  • Posty: 317

Odp: NAT - rozkmina

Cezary napisał/a:

A co wg ciebie jest nie tak?

no w pierwszym wypadku nie otwiera sie www (redirect) na 192.168.0.1 wink

a wget z routera (source 192.168.0.254) jest ok.. czyli translacja nie dziala..
no tak, source jest z neta, a ten AP nie ma default GW, czyli nie wie gdzie pakiet odeslac

10 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,067

Odp: NAT - rozkmina

Pokaż

route -n

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

11 Odpowiedź przez miguelos (edytowany przez miguelos 2018-04-30 12:32:30)

  • Zarejestrowany: 2012-12-18
  • Posty: 317

Odp: NAT - rozkmina

Cezary napisał/a:

Pokaż

route -n

root@:~# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         x.x.x.x   0.0.0.0         UG    0      0        0 eth0.2
10.1.1.0        0.0.0.0         255.255.255.0   U     0      0        0 br-lan
x.x.x.x    x.x.x.x   255.255.255.255 UGH   0      0        0 eth0.2
172.16.1.0      0.0.0.0         255.255.255.252 U     0      0        0 wg0
x.x.x.x   0.0.0.0         255.255.255.0   U     0      0        0 eth0.2
x.x.x.x   0.0.0.0         255.255.255.255 UH    0      0        0 eth0.2
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 br-lan
192.168.1.0     172.16.1.1      255.255.255.0   UG    0      0        0 wg0

testuje teraz Source NATa..

PS. metoda na :
(sleep 300; reboot) &
i ubicie sleepa wykonuje natychmiast druga komende wink
najpierw trzeba ubic proces -ash big_smile

12 Odpowiedź przez miguelos

  • Zarejestrowany: 2012-12-18
  • Posty: 317

Odp: NAT - rozkmina

ok, cel osiagniety

1. Source NAT - aby pakiet przy przejsciu z neta przez router mial source address routera (bo ten AP nie ma gatewaya)
2. Port forward - aby z zewnatrz z portu xxxx wbic sie port 80 w LANie 192.168.0.0

13 Odpowiedź przez tomciu

  • tomciu
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-10-22
  • Posty: 233

Odp: NAT - rozkmina

Cezary napisał/a:

No właśnie save zapisuje tylko a save & apply restartuje też usługi. A ty masz nie zapisywać nic... Nie ma takiego czegoś jak napisałeś w stylu cisco czy mikrotika.

A to: https://github.com/openwrt/luci/pull/1769

14 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,067

Odp: NAT - rozkmina

Co "to"? Przecież to tylko PR sprzed 4 dni. Nie ma tej funkcjonalności w luci jeszcze, jeżeli wprowadzą to będzie to na razie w wersji rozwojowej tylko.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

15 Odpowiedź przez tomciu

  • tomciu
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-10-22
  • Posty: 233

Odp: NAT - rozkmina

No ale juz jest. jako takie, ale jest. Ale mniejsza z tym. Komu bedzie potrzebne to sobie sam skompiluje.