Трудности с Hairpin NAT

RIP, OSFP, BGP, MPLS/VPLS
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Трудности с Hairpin NAT

Сообщение Chupaka »

Ping на оба домена показывает один и тот же IP? WebProxy не используется? Сложно гадать, не зная конфигурации роутера
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: Трудности с Hairpin NAT

Сообщение Sir_Prikol »

После последних настроек (Вы, молодой человека, сами у меня в винбоксе ковырялись) - никаких изменений, кроме добавления пары аплинков, не произошло. Пинги на оба домена покажут то-же самое, по 4 IP на каждый домен, WebProxy вообще не использую, хотя уже была мысль, но до последнего момента разруливал nginx и не задумывался что может возникнуть такой трабл в одном бридже и именно со свитча, с EoIP туннелей в том-же бридже - такой проблемы нет
Могу заного пустить на RB и через RoMON на свитч, чтобы просто глянуть что и как :)
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: Трудности с Hairpin NAT

Сообщение Sir_Prikol »

Думаю попробовать отказаться от маскарада совсем и всё разруливать dst-nat, через adress листы и листы интерфейсов
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: Трудности с Hairpin NAT

Сообщение Sir_Prikol »

В общем выкрутился стандартно, не даром у меня это правило было, которое мы с ВАми благополучно потушили 3 месяца назад :)

Код: Выделить всё

/ip firewall filter
chain=srcnat action=masquerade protocol=tcp dst-address=192.168.7.178 dst-port=80,443 log=no log-prefix="web"
Я тогда уже не помнил почему я его втыкал, дошло только сейчас, когда начал вспоминать поэтапно, что и когда отвалилось.
Умом я понимаю, что этого правила быть не должно, всё в одном L2 сегменте, но без него нихрена proxy_pass в nginx не работает, вернее я не могу достучаться через proxy_pass nginx'а, хотя снаружи всё пашет
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Трудности с Hairpin NAT

Сообщение Chupaka »

Так всё же, включен или выключен Use IP Firewall в бриджах?
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: Трудности с Hairpin NAT

Сообщение Sir_Prikol »

Включён
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Трудности с Hairpin NAT

Сообщение Chupaka »

Тогда в целом всё, видимо, как я и объяснил выше. Но вообще схема костыльная донельзя, без ста грамм не разберёшься :)
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: Трудности с Hairpin NAT

Сообщение Sir_Prikol »

Это точно, я, помнится, говорил, что оно поломалось после какого-то обновления, вот до сих пор огребаем. Ещё года полтора назад - работало на ура, почему мысль и возникает, убрать маскарад и построить на src/dst :)
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Трудности с Hairpin NAT

Сообщение Chupaka »

Sir_Prikol писал(а): 17 мар 2019, 15:49 почему мысль и возникает, убрать маскарад и построить на src/dst :)
Шило на мыло?.. Без Hairpin NAT реализовать - не вариант? :)
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: Трудности с Hairpin NAT

Сообщение Sir_Prikol »

К сожалению - не вариант,, вернее вариант, но он потребует гигантской переделки всего, а на 3011 я не буду это дело, возьму себе или 4011 (когда его допилят) или CCR1016, на крайняк 1100 ;но он без SFP), вот тогда и займусб глобальным переделыванием
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Трудности с Hairpin NAT

Сообщение Chupaka »

Добавление записей в DNS — не очень гигантская переделка :)
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: Трудности с Hairpin NAT

Сообщение Sir_Prikol »

Я маршрутами делать буду :) DNS - не желательно :) Когда dpi внедрять начну, тогда точно DNS-ами разрулю :)
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: Трудности с Hairpin NAT

Сообщение Sir_Prikol »

У меня тут OSPF не корректно работает, вот где загвоздка, но скоро решу её, перестала отдаваться в одну подсеть :)
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Трудности с Hairpin NAT

Сообщение Chupaka »

Маршрутами - в смысле, выделением сервера в отдельную подсеть?.. И что с ДНС не так?
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: Трудности с Hairpin NAT

Сообщение Sir_Prikol »

У меня сейчас DNS отдаётся 3-х видов, для детей, для взрослых и для халявщиков, использовать внутренние - не комильфо, хотя можно поставить TTL в минуту жизни, но всё равно, оно должно как-то работать без подмены записи :)
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: Трудности с Hairpin NAT

Сообщение Sir_Prikol »

О, блин, сейчас проверил, ни один proxy_pass запрс не обрабатывается с устройств НЕ воткнутых в RB, даже переадресация на внешний сервер. Значит надо ковырять настройки бриджа/ната, что-то тут не то
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: Трудности с Hairpin NAT

Сообщение Sir_Prikol »

Ха, при использовании Local Forwarding - не работает то что я хочу, отключаю использование Local Forwarding - всё работает, Згачит трабл не в RB, а в свитче, но там тупо один бридж, без фаера, без ничего

Настройки свитча

Один бридж - локалка, второй чисто для мультика, там TV гуляет по квартире

Код: Выделить всё

/interface bridge
add admin-mac=CC:2D:E0:DD:41:D8 arp=proxy-arp auto-mac=no igmp-snooping=yes \
    name=bridge
add igmp-snooping=yes name=tv_rt
/interface bridge port
add bridge=bridge interface=ether1
add bridge=bridge interface=ether2
add bridge=bridge interface=ether3
add bridge=bridge interface=ether4
add bridge=bridge interface=ether5
add bridge=bridge interface=ether6
add bridge=bridge interface=ether7
add bridge=bridge interface=ether8
add bridge=bridge interface=ether9
add bridge=bridge interface=ether10
add bridge=bridge interface=ether11
add bridge=bridge interface=ether12
add bridge=bridge interface=ether13
add bridge=bridge interface=ether14
add bridge=bridge interface=ether15
add bridge=bridge interface=ether16
add bridge=tv_rt interface=ether17
add bridge=tv_rt interface=ether18
add bridge=tv_rt interface=ether19
add bridge=tv_rt interface=ether20
add bridge=bridge interface=sfp-sfpplus2
add bridge=bridge interface=sfp-sfpplus1
add bridge=bridge interface=ether21
add bridge=bridge interface=ether22
add bridge=bridge interface=ether23
add bridge=bridge interface=ether24
/ip dhcp-client
add disabled=no interface=bridge
/ip ssh
set allow-none-crypto=yes
/ip upnp interfaces
add interface=sfp-sfpplus1 type=external
/ipv6 address
add address=::/56 advertise=no from-pool=neverhood interface=bridge
/ipv6 dhcp-client
add add-default-route=yes interface=bridge pool-name=neverhood \
    pool-prefix-length=56 request=prefix
/routing igmp-proxy
set quick-leave=yes
/routing ospf interface
add authentication=simple authentication-key=blahblahblah
/routing ospf network
add area=backbone network=192.168.0.0/24
add area=backbone network=198.51.100.0/24
add area=backbone network=192.168.2.0/24
add area=backbone network=10.90.90.0/24
add area=backbone network=172.16.1.0/24
add area=backbone network=172.16.251.0/24
add area=backbone network=172.16.0.0/24
add area=backbone network=172.16.252.0/22
add area=backbone network=100.64.0.0/10
add area=backbone network=172.31.255.0/24
add area=backbone network=192.168.4.0/22
add area=backbone network=192.168.100.0/24
add area=backbone network=192.168.90.0/24
/system clock
set time-zone-autodetect=no time-zone-name=Europe/Kaliningrad
/system identity
set name=switch
/system ntp client
set enabled=yes primary-ntp=94.125.129.7 secondary-ntp=217.115.240.62
/system routerboard settings
set auto-upgrade=yes boot-os=router-os
/tool sniffer
set filter-interface=sfp-sfpplus1
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Трудности с Hairpin NAT

Сообщение Chupaka »

Что за Local Forwarding? А то в конфиге ничего про local нет
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: Трудности с Hairpin NAT

Сообщение Sir_Prikol »

Это конфиг бриджа, а я говорил изначально за конфиг RB, где поднят CapsMan, и вот именно в настройках CapsMan при включённой опции Local Forwarding - не работает по WiFi, при отключённой - работает, но, когда цепляешься кабелем в свитч, CapsMan тут ни при делах и всё равно не работает
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Трудности с Hairpin NAT

Сообщение Chupaka »

Local Forwarding, как и подключение к свитчу - это когда трафик идёт напрямую на сервер, в обход роутера. Отключение Local Forwarding - беспроводной трафик идёт через роутер, где отрабатывает NAT благодаря Use IP Firewall. Вроде всё сходится, как я сразу и написал.
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: Трудности с Hairpin NAT

Сообщение Sir_Prikol »

Не спорю, почему и говорю, траблы именно в свитче, и L2 сегменте, но proxy_pass не отрабатывает даже в сторону другой сети, пока грёбанный маскарад не включу или не отключу local forwarding, вот где собака порылась. Ладно, сегодня уже голова не варит
Дома: CCR2004 (7-ISP(GPON)белый IP)
Ответить