Трудности с Hairpin NAT

RIP, OSFP, BGP, MPLS/VPLS
Аватара пользователя
Chupaka
Сообщения: 1962
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Трудности с Hairpin NAT

Сообщение Chupaka » 16 мар 2019, 23:31

Ping на оба домена показывает один и тот же IP? WebProxy не используется? Сложно гадать, не зная конфигурации роутера

Аватара пользователя
Sir_Prikol
Сообщения: 281
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: Трудности с Hairpin NAT

Сообщение Sir_Prikol » 16 мар 2019, 23:39

После последних настроек (Вы, молодой человека, сами у меня в винбоксе ковырялись) - никаких изменений, кроме добавления пары аплинков, не произошло. Пинги на оба домена покажут то-же самое, по 4 IP на каждый домен, WebProxy вообще не использую, хотя уже была мысль, но до последнего момента разруливал nginx и не задумывался что может возникнуть такой трабл в одном бридже и именно со свитча, с EoIP туннелей в том-же бридже - такой проблемы нет
Могу заного пустить на RB и через RoMON на свитч, чтобы просто глянуть что и как :)
Дома:
Uplink - RB3011UiAS (2-ISP(ethernet)белый IP),RB SXT LTE 3-7 (резерв yota (белый IP),Wireless Wire Dish (RBLHGG-60adkit) Uplink белый IP.
2 x RB2011UiAS-2HnD, 2 x RBmAP2nD, 1 x RBwAPG-5HacT2HnD
Хочу uplink - RB1100AHx4 или CCR1036-12G-4S

Аватара пользователя
Sir_Prikol
Сообщения: 281
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: Трудности с Hairpin NAT

Сообщение Sir_Prikol » 17 мар 2019, 00:26

Думаю попробовать отказаться от маскарада совсем и всё разруливать dst-nat, через adress листы и листы интерфейсов
Дома:
Uplink - RB3011UiAS (2-ISP(ethernet)белый IP),RB SXT LTE 3-7 (резерв yota (белый IP),Wireless Wire Dish (RBLHGG-60adkit) Uplink белый IP.
2 x RB2011UiAS-2HnD, 2 x RBmAP2nD, 1 x RBwAPG-5HacT2HnD
Хочу uplink - RB1100AHx4 или CCR1036-12G-4S

Аватара пользователя
Sir_Prikol
Сообщения: 281
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: Трудности с Hairpin NAT

Сообщение Sir_Prikol » 17 мар 2019, 01:50

В общем выкрутился стандартно, не даром у меня это правило было, которое мы с ВАми благополучно потушили 3 месяца назад :)

Код: Выделить всё

/ip firewall filter
chain=srcnat action=masquerade protocol=tcp dst-address=192.168.7.178 dst-port=80,443 log=no log-prefix="web"
Я тогда уже не помнил почему я его втыкал, дошло только сейчас, когда начал вспоминать поэтапно, что и когда отвалилось.
Умом я понимаю, что этого правила быть не должно, всё в одном L2 сегменте, но без него нихрена proxy_pass в nginx не работает, вернее я не могу достучаться через proxy_pass nginx'а, хотя снаружи всё пашет
Дома:
Uplink - RB3011UiAS (2-ISP(ethernet)белый IP),RB SXT LTE 3-7 (резерв yota (белый IP),Wireless Wire Dish (RBLHGG-60adkit) Uplink белый IP.
2 x RB2011UiAS-2HnD, 2 x RBmAP2nD, 1 x RBwAPG-5HacT2HnD
Хочу uplink - RB1100AHx4 или CCR1036-12G-4S

Аватара пользователя
Chupaka
Сообщения: 1962
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Трудности с Hairpin NAT

Сообщение Chupaka » 17 мар 2019, 15:33

Так всё же, включен или выключен Use IP Firewall в бриджах?

Аватара пользователя
Sir_Prikol
Сообщения: 281
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: Трудности с Hairpin NAT

Сообщение Sir_Prikol » 17 мар 2019, 15:37

Включён
Дома:
Uplink - RB3011UiAS (2-ISP(ethernet)белый IP),RB SXT LTE 3-7 (резерв yota (белый IP),Wireless Wire Dish (RBLHGG-60adkit) Uplink белый IP.
2 x RB2011UiAS-2HnD, 2 x RBmAP2nD, 1 x RBwAPG-5HacT2HnD
Хочу uplink - RB1100AHx4 или CCR1036-12G-4S

Аватара пользователя
Chupaka
Сообщения: 1962
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Трудности с Hairpin NAT

Сообщение Chupaka » 17 мар 2019, 15:41

Тогда в целом всё, видимо, как я и объяснил выше. Но вообще схема костыльная донельзя, без ста грамм не разберёшься :)

Аватара пользователя
Sir_Prikol
Сообщения: 281
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: Трудности с Hairpin NAT

Сообщение Sir_Prikol » 17 мар 2019, 15:49

Это точно, я, помнится, говорил, что оно поломалось после какого-то обновления, вот до сих пор огребаем. Ещё года полтора назад - работало на ура, почему мысль и возникает, убрать маскарад и построить на src/dst :)
Дома:
Uplink - RB3011UiAS (2-ISP(ethernet)белый IP),RB SXT LTE 3-7 (резерв yota (белый IP),Wireless Wire Dish (RBLHGG-60adkit) Uplink белый IP.
2 x RB2011UiAS-2HnD, 2 x RBmAP2nD, 1 x RBwAPG-5HacT2HnD
Хочу uplink - RB1100AHx4 или CCR1036-12G-4S

Аватара пользователя
Chupaka
Сообщения: 1962
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Трудности с Hairpin NAT

Сообщение Chupaka » 17 мар 2019, 15:55

Sir_Prikol писал(а):
17 мар 2019, 15:49
почему мысль и возникает, убрать маскарад и построить на src/dst :)
Шило на мыло?.. Без Hairpin NAT реализовать - не вариант? :)

Аватара пользователя
Sir_Prikol
Сообщения: 281
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: Трудности с Hairpin NAT

Сообщение Sir_Prikol » 17 мар 2019, 16:15

К сожалению - не вариант,, вернее вариант, но он потребует гигантской переделки всего, а на 3011 я не буду это дело, возьму себе или 4011 (когда его допилят) или CCR1016, на крайняк 1100 ;но он без SFP), вот тогда и займусб глобальным переделыванием
Дома:
Uplink - RB3011UiAS (2-ISP(ethernet)белый IP),RB SXT LTE 3-7 (резерв yota (белый IP),Wireless Wire Dish (RBLHGG-60adkit) Uplink белый IP.
2 x RB2011UiAS-2HnD, 2 x RBmAP2nD, 1 x RBwAPG-5HacT2HnD
Хочу uplink - RB1100AHx4 или CCR1036-12G-4S

Ответить