EP
Не правда. Там читается довольно таки неплохо
Исправляюсь:
https://pastebin.com/UJ17eS8v
https://pastebin.com/UJ17eS8v
Size: a a a
2021 March 25
EP
10000 порт забыли открыть
Поменял на этот в NAT
EP
И сервер поменял на другой - тоже не работает, симптомы такие же
KZ
Поменял на этот в NAT
а в форварде оно где?
EP
а в форварде оно где?
Видимо здесь я ошибся. Я сделал правило на input, разрешающее подключение к внешнему ip на нужный порт.
Что я забыл сделать в ветке forward?
Что я забыл сделать в ветке forward?
EP
смотрю packet flow diagram, вижу, что по идее, после dst-nat пакет должен пойти по ветке forward...
K
настраиваю ipsec ikev2 split-network а маршрутов на винде нет,после длительного траблшутинга выяснилось, что винда не получает dhcp ответа внутри туннеля, после ковырянии и расшифровке esp то мы видим, что винда посылает dhcp inform, но в ответ ей гробовая тишина. сейчас сняты все drop, активирован мост и на нем ip из пула modeconfig. если прописать роут руками то пинг есть
EP
настраиваю ipsec ikev2 split-network а маршрутов на винде нет,после длительного траблшутинга выяснилось, что винда не получает dhcp ответа внутри туннеля, после ковырянии и расшифровке esp то мы видим, что винда посылает dhcp inform, но в ответ ей гробовая тишина. сейчас сняты все drop, активирован мост и на нем ip из пула modeconfig. если прописать роут руками то пинг есть
туннель ipsec?
EP
@kinorcv я сталкивался с тем, что винда не получала адрес от dhcp. Проблема была в пограничном роутере, через который компы (клиенты) выходили в инет. Голый ipsec.
KZ
Видимо здесь я ошибся. Я сделал правило на input, разрешающее подключение к внешнему ip на нужный порт.
Что я забыл сделать в ветке forward?
Что я забыл сделать в ветке forward?
😳 инпут то тут причем..инпут это доступ к роутеру
AK
😳 инпут то тут причем..инпут это доступ к роутеру
+1
K
туннель ipsec?
да, я дополнил свой сообщение
AK
add action=accept chain=input dst-port=11945 in-interface=ether1 protocol=tcpесть ещё правила, но их много, и, кмк, они не относятся к теме.
add action=accept chain=input dst-port=11945 in-interface=ether1 protocol=udp
add action=accept chain=forward comment="accept established,related,untracked" connection-state=established,related,untracked log-prefix=CONNTRACK
add action=accept chain=input comment="accept established,related,untracked" connection-state=established,related,untracked log-prefix=CONNTRACK
dropы в самом низу.
Цепочка форвард должна быть
AK
И ьип подключений new
K
@kinorcv я сталкивался с тем, что винда не получала адрес от dhcp. Проблема была в пограничном роутере, через который компы (клиенты) выходили в инет. Голый ipsec.
но пинг идёт в ту сеть значит погран не виновник
EP
Alexey Kravchenko
И ьип подключений new
Сейчас переделаю.
AK
Сейчас переделаю.
New добавть надо к тем что есть
EP
Alexey Kravchenko
New добавть надо к тем что есть
меняю правило input на это:
add action=accept chain=forward connection-state=new dst-port=11945 in-interface=ether1 protocol=tcpEP
счётчик по правилу не идёт. Правило наверху.
AK
Вместо new что-то типа =! error