vovanrus Опубликовано 25 сентября, 2012 (изменено) · Жалоба Здравствуйте, имеются 2 nanostation m5, работают в режиме wifi-моста на расстоянии 300 метров для передачи интернета, в целом работают нормально. Провайдер предоставляет реальный ип адрес, порты пробрасываются на комп(192.168.1.3) за мостом и вообщем-то заходит из интернета на этот компьютер нормально, но зайти с этого же компьютера к себе же уже нельзя, то есть проще говоря нельзя подключится к самому себе, причем даже если зайти на компьютер во внутренней сети за мостом с другого компьютера, используя внешний ип адрес. Как выясняется запросы к "самому себе" доходят только до 1 точки, к которой подключен интернет. Почему нельзя зайти на свой же компьютер по интернет адресу я так и не выяснил, работает только по локальному адресу(192.168.1.3), поэтому требуется ваша помощь. Привожу скрины настроек точек по сети: точка 1 (Access Point WDS). точка 2 (Station WDS). По необходимости могу предоставить больше скринов. P.S. Ранее работали стандартные wifi роутеры ASUS и такой проблемы не наблюдалось. Изменено 25 сентября, 2012 пользователем vovanrus Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NewUse Опубликовано 25 сентября, 2012 · Жалоба могу предположить, что вопрос в маршрутизации, или вернее в НАТе, такое поведение нормально надо углубляться работу НАТа, но такое поведение я наблюдал и на обычных мыльницах, могу предположить, что решение в азусе -- костыль, типа заворачивание фаерволом или типа того Посмотри правила iptables, может я не прав, и там какое нибудь тупое правило для защиты от злоумышленников торчит. Решение бональное -- прописать жёстко /etc/hosts и/или заходить по внутреннему ip. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Петрович-2012 Опубликовано 26 сентября, 2012 · Жалоба Точка в режиме "soho router". Переведи обе в режим моста (bridge) и настройкой ip адресов занимайся на компе Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 26 сентября, 2012 · Жалоба Еще можно заменить наносы на Mikrotik SXT и настроить на первом NAT с DMZ. При этом кроме прямой возможности попасть на комп по IP появится и другая - с помощью удаленного доступа по VPN. Очень удобно кстати. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vovanrus Опубликовано 26 сентября, 2012 · Жалоба Посмотри правила iptables ничего интересного там нет: XM.v5.3.2# iptables -L -t nat Chain PREROUTING (policy ACCEPT) target prot opt source destination DNAT all -- anywhere anywhere to:192.168.1.3 Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- anywhere anywhere Chain OUTPUT (policy ACCEPT) target prot opt source destination XM.v5.3.2# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU Chain OUTPUT (policy ACCEPT) target prot opt source destination Решение бональное -- прописать жёстко /etc/hosts и/или заходить по внутреннему ip все таки такое решение не самое удачное, нужен коннект именно с внешнего ип. Переведи обе в режим моста (bridge) и настройкой ip адресов занимайся на компе но тогда будет невозможно подключится к интернету на первой точке, такой вариант сразу отпадает, кстати говоря пробывал и в режиме роутер - проблема все равно остается Еще можно заменить наносы на Mikrotik SXT увы заменять ничего не планируется, наносы вполне справляются с основной своей задачей. Вот еще информация к сведению: XM.v5.3.2# route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 62.х.х.х * 255.255.255.255 UH 0 0 0 ppp0 192.168.1.0 * 255.255.255.0 U 0 0 0 eth0 default * 0.0.0.0 U 0 0 0 ppp0 может можно как-нибудь с помощью iptables и route обойти эту проблему? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Pushadj Опубликовано 26 сентября, 2012 · Жалоба так и не решил тоже эту проблему!!! Но выход есть! Dynamic DNS в вкладке services Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vovanrus Опубликовано 26 сентября, 2012 (изменено) · Жалоба Но выход есть! Dynamic DNS в вкладке services тоже не вариант... соглашусь с NewUse, нужно копать в сторону nat и маршрутизации, команда ifconfig выводит такой огород: XM.v5.3.2# ifconfig ath0 Link encap:Ethernet HWaddr 00:27:22:xx:xx:xx UP BROADCAST RUNNING PROMISC ALLMULTI MULTICAST MTU:1500 Metric:1 RX packets:4042415 errors:0 dropped:0 overruns:0 frame:0 TX packets:4735805 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:2235639792 (2.0 GiB) TX bytes:828323011 (789.9 MiB) eth0 Link encap:Ethernet HWaddr 00:27:22:xx:xx:xx inet addr:192.168.1.20 Bcast:192.168.1.255 Mask:255.255.255.0 UP BROADCAST RUNNING PROMISC ALLMULTI MULTICAST MTU:1500 Metric:1 RX packets:4042417 errors:0 dropped:0 overruns:0 frame:0 TX packets:4735805 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:2179045994 (2.0 GiB) TX bytes:828323011 (789.9 MiB) eth1 Link encap:Ethernet HWaddr 00:27:22:xx:xx:xx UP BROADCAST RUNNING ALLMULTI MULTICAST MTU:1500 Metric:1 RX packets:4742129 errors:0 dropped:0 overruns:0 frame:0 TX packets:4042253 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:500 RX bytes:865777316 (825.6 MiB) TX bytes:2257980019 (2.1 GiB) eth1_real Link encap:Ethernet HWaddr 02:27:22:xx:xx:xx UP BROADCAST PROMISC MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:500 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) ppp0 Link encap:Point-to-Point Protocol inet addr:62.xx.xx.xx P-t-P:62.xx.xx.xx Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1 RX packets:4733462 errors:0 dropped:0 overruns:0 frame:0 TX packets:4039161 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:32 RX bytes:761116866 (725.8 MiB) TX bytes:2169021546 (2.0 GiB) wifi0 Link encap:Ethernet HWaddr 00:27:22:xx:xx:xx UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:500 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) Interrupt:48 Memory:b0000000-b0010000 копаю дальше, создаю вручную правило для проброса порта: iptables -t nat -A PREROUTING -p tcp -d 62.xx.xx.xx --dport 7000 -j DNAT --to-destination 192.168.1.3:7000 iptables -A FORWARD -i eth0 -d 192.168.1.3 -p tcp --dport 7000 -j ACCEPT в итоге коннект идет уже не к 1 точке, а неведомо куда, проще говоря не находится комп с этим адресом Изменено 26 сентября, 2012 пользователем vovanrus Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vovanrus Опубликовано 26 сентября, 2012 · Жалоба вообщем покапался в нате и пока нашел такой выход: iptables -t nat -A PREROUTING -p tcp -d 62.xxx.xxx.xxx --dport 7000 -j DNAT --to-destination 192.168.1.3:7000 iptables -t nat -A POSTROUTING -p tcp --dst 192.168.1.3 --dport 7000 -j SNAT --to-source 62.xxx.xxx.xxx по крайней мере так стало работать... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vovanrus Опубликовано 27 сентября, 2012 · Жалоба едем дальше: чтобы я не делал я никак не смог запустить IPTV на наносах, в чем кроется причина я так и не разобрался. Включал мультикаст upstream(LAN и WAN), прописывал маршруты route add -net 224.0.0.0 netmask 240.0.0.0 gw 62.х.х.х, мультикаст разрешен, но все равно не работает. Кстати можно ли прослушать udp трафик от IPTV на наносе через ssh, так как нет возможности подключится через провод к 1 точке, где подключается интернет? Так как возможно нанос получает IPTV, но не передает его дальше по wi-fi. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NewUse Опубликовано 27 сентября, 2012 · Жалоба кстати можно ли прослушать udp трафик от IPTV на наносе через ssh tcpdump Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
server801 Опубликовано 28 сентября, 2012 · Жалоба tcpdump -ni интерфейс | grep UDP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...