[vovanrus]

Здравствуйте, имеются 2 nanostation m5, работают в режиме wifi-моста на расстоянии 300 метров для передачи интернета, в целом работают нормально. Провайдер предоставляет реальный ип адрес, порты пробрасываются на комп(192.168.1.3) за мостом и вообщем-то заходит из интернета на этот компьютер нормально, но зайти с этого же компьютера к себе же уже нельзя, то есть проще говоря нельзя подключится к самому себе, причем даже если зайти на компьютер во внутренней сети за мостом с другого компьютера, используя внешний ип адрес. Как выясняется запросы к "самому себе" доходят только до 1 точки, к которой подключен интернет. Почему нельзя зайти на свой же компьютер по интернет адресу я так и не выяснил, работает только по локальному адресу(192.168.1.3), поэтому требуется ваша помощь. Привожу скрины настроек точек по сети:

точка 1 (Access Point WDS).

точка 2 (Station WDS).

По необходимости могу предоставить больше скринов.

P.S. Ранее работали стандартные wifi роутеры ASUS и такой проблемы не наблюдалось.

Edited September 25, 2012 by vovanrus

[NewUse]

могу предположить, что вопрос в маршрутизации, или вернее в НАТе, такое поведение нормально

надо углубляться работу НАТа, но такое поведение я наблюдал и на обычных мыльницах, могу предположить, что решение в азусе -- костыль, типа заворачивание фаерволом или типа того

Посмотри правила iptables, может я не прав, и там какое нибудь тупое правило для защиты от злоумышленников торчит.

 

Решение бональное -- прописать жёстко /etc/hosts и/или заходить по внутреннему ip.

[Петрович-2012]

Точка в режиме "soho router". Переведи обе в режим моста (bridge) и настройкой ip адресов занимайся на компе

[Saab95]

Еще можно заменить наносы на Mikrotik SXT и настроить на первом NAT с DMZ. При этом кроме прямой возможности попасть на комп по IP появится и другая - с помощью удаленного доступа по VPN. Очень удобно кстати.

 

 

[vovanrus]

Посмотри правила iptables

ничего интересного там нет:

XM.v5.3.2# iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DNAT       all  --  anywhere             anywhere            to:192.168.1.3

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
XM.v5.3.2# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Решение бональное -- прописать жёстко /etc/hosts и/или заходить по внутреннему ip

все таки такое решение не самое удачное, нужен коннект именно с внешнего ип.

Переведи обе в режим моста (bridge) и настройкой ip адресов занимайся на компе

но тогда будет невозможно подключится к интернету на первой точке, такой вариант сразу отпадает, кстати говоря пробывал и в режиме роутер - проблема все равно остается

Еще можно заменить наносы на Mikrotik SXT

увы заменять ничего не планируется, наносы вполне справляются с основной своей задачей.

Вот еще информация к сведению:

XM.v5.3.2# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
62.х.х.х        *               255.255.255.255 UH    0      0        0 ppp0
192.168.1.0     *               255.255.255.0   U     0      0        0 eth0
default         *               0.0.0.0         U     0      0        0 ppp0

может можно как-нибудь с помощью iptables и route обойти эту проблему?

[Pushadj]

так и не решил тоже эту проблему!!!

Но выход есть! Dynamic DNS в вкладке services

[vovanrus]

Но выход есть! Dynamic DNS в вкладке services

тоже не вариант...

соглашусь с NewUse, нужно копать в сторону nat и маршрутизации, команда ifconfig выводит такой огород:

XM.v5.3.2# ifconfig
ath0      Link encap:Ethernet  HWaddr 00:27:22:xx:xx:xx
         UP BROADCAST RUNNING PROMISC ALLMULTI MULTICAST  MTU:1500  Metric:1
         RX packets:4042415 errors:0 dropped:0 overruns:0 frame:0
         TX packets:4735805 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:0
         RX bytes:2235639792 (2.0 GiB)  TX bytes:828323011 (789.9 MiB)

eth0      Link encap:Ethernet  HWaddr 00:27:22:xx:xx:xx
         inet addr:192.168.1.20  Bcast:192.168.1.255  Mask:255.255.255.0
         UP BROADCAST RUNNING PROMISC ALLMULTI MULTICAST  MTU:1500  Metric:1
         RX packets:4042417 errors:0 dropped:0 overruns:0 frame:0
         TX packets:4735805 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:0
         RX bytes:2179045994 (2.0 GiB)  TX bytes:828323011 (789.9 MiB)

eth1      Link encap:Ethernet  HWaddr 00:27:22:xx:xx:xx
         UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
         RX packets:4742129 errors:0 dropped:0 overruns:0 frame:0
         TX packets:4042253 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:500
         RX bytes:865777316 (825.6 MiB)  TX bytes:2257980019 (2.1 GiB)

eth1_real Link encap:Ethernet  HWaddr 02:27:22:xx:xx:xx
         UP BROADCAST PROMISC MULTICAST  MTU:1500  Metric:1
         RX packets:0 errors:0 dropped:0 overruns:0 frame:0
         TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:500
         RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

lo        Link encap:Local Loopback
         inet addr:127.0.0.1  Mask:255.0.0.0
         UP LOOPBACK RUNNING  MTU:16436  Metric:1
         RX packets:0 errors:0 dropped:0 overruns:0 frame:0
         TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:0
         RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

ppp0      Link encap:Point-to-Point Protocol
         inet addr:62.xx.xx.xx  P-t-P:62.xx.xx.xx  Mask:255.255.255.255
         UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
         RX packets:4733462 errors:0 dropped:0 overruns:0 frame:0
         TX packets:4039161 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:32
         RX bytes:761116866 (725.8 MiB)  TX bytes:2169021546 (2.0 GiB)

wifi0     Link encap:Ethernet  HWaddr 00:27:22:xx:xx:xx
         UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
         RX packets:0 errors:0 dropped:0 overruns:0 frame:0
         TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:500
         RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
         Interrupt:48 Memory:b0000000-b0010000

копаю дальше, создаю вручную правило для проброса порта:

iptables -t nat -A PREROUTING -p tcp -d 62.xx.xx.xx --dport 7000 -j DNAT --to-destination 192.168.1.3:7000
iptables -A FORWARD -i eth0 -d 192.168.1.3 -p tcp --dport 7000 -j ACCEPT

в итоге коннект идет уже не к 1 точке, а неведомо куда, проще говоря не находится комп с этим адресом

Edited September 26, 2012 by vovanrus

[vovanrus]

вообщем покапался в нате и пока нашел такой выход:

iptables -t nat -A PREROUTING -p tcp -d 62.xxx.xxx.xxx --dport 7000 -j DNAT --to-destination 192.168.1.3:7000
iptables -t nat -A POSTROUTING -p tcp --dst 192.168.1.3 --dport 7000 -j SNAT --to-source 62.xxx.xxx.xxx 

по крайней мере так стало работать...

[vovanrus]

едем дальше: чтобы я не делал я никак не смог запустить IPTV на наносах, в чем кроется причина я так и не разобрался. Включал мультикаст upstream(LAN и WAN), прописывал маршруты route add -net 224.0.0.0 netmask 240.0.0.0 gw 62.х.х.х, мультикаст разрешен, но все равно не работает. Кстати можно ли прослушать udp трафик от IPTV на наносе через ssh, так как нет возможности подключится через провод к 1 точке, где подключается интернет? Так как возможно нанос получает IPTV, но не передает его дальше по wi-fi.

[NewUse]

кстати можно ли прослушать udp трафик от IPTV на наносе через ssh

tcpdump

[server801]

tcpdump -ni интерфейс | grep UDP