M
есть
Size: a a a
2019 October 24
IO
фемтосота ЗА роутером? Тогда причём тут инпут?
M
конечно за роутером,тогда на форвард?
IO
VB
ну форвад же наверное из локалки в тырнет разрешген
SR
ничего не нужно, она работает как клиент, возможно ваши туннели как-то мешают работе
M
вообще то да,стандартный фаер
IO
все дропы выключи и проверь
M
в логах ipsec самого микрота,тишина,т.е. я вижу что туенили обмениваюся данными,а вот что сота както куда то ломится не вижу,вижу только через торч что она на 62.141.65.252:4500 или так и должно быть?
IO
в логах самого микрота и не должно быть про ipsec в данном случае, он сам не поднимает туннель же
M
ну и напрягает что инжене который занимается установкой этих сот сказал что с микротами у них проблемы...
M
понял
IO
дропы выключил все?
IO
"стандартный фаер" - это какой? из WAN в LAN аксепты как выглядят?
M
пока нет,возможности проверить все равно нет,нужно ждать когда они там проснутся
SR
в инструкции какая-то ересь :) "-Порты должны быть открыты в обе стороны. Обычно на домашних провайдерах они открыты"
M
39 ;;; defconf: accept established,related,untracked
chain=input action=accept connection-state=established,related,untracked log=no
log-prefix=""
40 ;;; defconf: accept ICMP
chain=input action=accept protocol=icmp in-interface=ether1 limit=5,5:packet log=no
log-prefix=""
41 ;;; defconf: accept ICMP
chain=forward action=accept protocol=icmp in-interface=ether1 limit=5,5:packet
log=no log-prefix=""
42 ;;; defconf: drop all not coming from LAN
chain=input action=drop in-interface=ether1 log=no log-prefix=""
43 ;;; defconf: accept in ipsec policy
chain=forward action=accept log=no log-prefix="" ipsec-policy=in,ipsec
44 ;;; defconf: accept out ipsec policy
chain=forward action=accept log=no log-prefix="" ipsec-policy=out,ipsec
45 ;;; defconf: accept established,related, untracked
chain=forward action=accept connection-state=established,related,untracked log=no
log-prefix=""
46 ;;; defconf: drop all from WAN not DSTNATed
chain=forward action=drop connection-state="" connection-nat-state=!dstnat
in-interface=ether1 log=no log-prefix=""
chain=input action=accept connection-state=established,related,untracked log=no
log-prefix=""
40 ;;; defconf: accept ICMP
chain=input action=accept protocol=icmp in-interface=ether1 limit=5,5:packet log=no
log-prefix=""
41 ;;; defconf: accept ICMP
chain=forward action=accept protocol=icmp in-interface=ether1 limit=5,5:packet
log=no log-prefix=""
42 ;;; defconf: drop all not coming from LAN
chain=input action=drop in-interface=ether1 log=no log-prefix=""
43 ;;; defconf: accept in ipsec policy
chain=forward action=accept log=no log-prefix="" ipsec-policy=in,ipsec
44 ;;; defconf: accept out ipsec policy
chain=forward action=accept log=no log-prefix="" ipsec-policy=out,ipsec
45 ;;; defconf: accept established,related, untracked
chain=forward action=accept connection-state=established,related,untracked log=no
log-prefix=""
46 ;;; defconf: drop all from WAN not DSTNATed
chain=forward action=drop connection-state="" connection-nat-state=!dstnat
in-interface=ether1 log=no log-prefix=""
M
да, тоже не понял это как
SR
странные какие-то правила, в 39 не указан входящий интерфейс