Настройка роутера

Мерзотик! Купи мерзотик!

сделай проброс портов из LAN2 в LAN1 :)
либо наведи мосты между LAN1 и LAN2.

Че вы кловунов понаставили? В любой теме про роутеры есть говнофанатик с этими мерзотиками. Или вы со стороны посмотрели как вы выглядите со своими мерзотиками?

Проброс не помогает, да и весь веб трафик (80,443) идет в LAN1 - никакие сайты не открываются )

Опоздал ты с троллингом лет на... несколько. Нынче фанатом мокротыка быть неприлично. Мокротык из моды вышел, тут его не любят больше (и заслуженно, мокротык за Роскомнадзором не успел и стал сильно менее полезен чем был). А тут теперь Кинетики в моде.

Все просто. Использовать openwrt на x86 глупо. Не делай так.

Но из сети LAN2 этот сервер не доступен - страницы не открываются

Они в разных зонах firewall? Разрешен ли forward между этими зонами?

А тут теперь Кинетики в моде

Это печально, что на форуме посвященному опенсорсу, в моде такая проприетарщина. Ещё и с завышенным ценником за ОС. Лучше бы openwrt был в моде.

за Роскомнадзором не успел

Кстати, с этим на openwrt попроще как раз. Просто больше решений имеется. И безо всяких entware

а как надо?

Да, в разныхзонах: lan2->wan wan->reject lan1->wan Forward, видимо, не разрешен

Тоже был удивлён, что тут всем сразу советуют кянетики.

Понимаю, что https://spw.ru/educate/articles/natpart5/ - это мой вариант, но не понимаю что мне нужно сделать

Перевожу: тебе надо добавить правило NAT. Которым в пакетах с таргетом внешнего IP, таргет портом веб сервера и сорсом из локальной сети таргет будет заменён на адрес и порт твоего локального сервера.

Потому что, цитирую ОП:

До OpenWRT стоял keenetic viva, на нем таких проблем не было, как-то из коробки все работало без особенных настроек

Выбор: посоветовать опенвырт и ждать очередного треда «я, вроде сделяль, а оно никак», или посоветовать решение которое не спровоцирует кучу ненужных вопросов.

Выбирать флосс решение — это хотелка ТС должна быть, а не комментаторов.

Это печально, что на форуме посвященному опенсорсу, в моде такая проприетарщина.

Ну, GPL они вроде не нарушали пока. Но да, там внутри и какой-то софт от Mediatek, и коммерческая Samba, и коммерческая NTFS, как я понимаю.

Ещё и с завышенным ценником за ОС.

Но зато оно просто работает. Думал заменить староватый hAP AC³ самодельным роутером (точнее, просто делегировать эту задачу мини-серверу), но в итоге купил новый Hopper SE, для меня это почти идеальный AIO. Если энтузиазм снова появится, то кинетик станет просто управляемым свитчем и точкой доступа.

Лучше бы openwrt был в моде.

Я не понимаю, почему OpenWRT рекомендуют. Не очень хорошо документирована. Вырвиглазная конфигурация, если не использовать слишком ограниченный веб-интерфейс. В целом функциональность в рамках штатного конфигурационного фреймворка обычно очень ограничена. В итоге проще взять любую Ubuntu/Debian/CentOS и сделать всё как надо. Ну или VyOS, если уже хочется что-то с дополнительными удобствами, но тоже ценой ограничений.

за Роскомнадзором не успел и стал сильно менее полезен чем был

чем роутеры не угодили ракомнадзору?

Не очень хорошо документирована

Это ж опенсорс, документация в формате вики. Берем и пишем ))). Как раз поэтому и не только -

Лучше бы openwrt был в моде.

Вырвиглазная конфигурация

какая именно? Я знаю три способа настраивать Openwrt: luci, uci, vi (или nano).

Но зато оно просто работает.

OpenWRT также просто работает: собрал, залил на СД-карточку и в путь. Многие вещи в OpenWRT делаются просто, некоторые - посложнее, надо читать доки. Главное, там кастомириуемость.

uci, скорее всего.

Микротики роскомнадзороугодны. Потому что не имеют ни единого способа (штатного или нештатного) создать тоннель обходящий блокировки. Даже просто ssh туннель создать невозможно.

Кинетик например в прошивке Амнезию имеет, а на openwrt можно и амнезию, и v2ray\xray, и кучу разнообразных обфусцирующих носков.

Потому что не имеют ни единого способа (штатного или нештатного)

Если про микротики, то там контейнеры есть для этого

какая именно?

UCI. Я не очень понимаю, зачем они сделали именно так, с этими всеми индексами наружу. Наверное, так было проще. Другие стили CLI обходятся без таких причуд.

Это не решение, это костыль. И контейнеры есть только у «взрослых» моделей. Ну и камон, чтобы поднять туннель городить контейнер?

Я сам раньше широко практиковал микротики, но реально вот сейчас они стали много проблем доставлять. Потому что иногда AS неправильно распознаются как «внешние» и все микротовские туннели рубит DPI. У всех провайдеры разные, тут починят, тут сломают... Вообще не понимаю почему микрот хотя бы в элементарный ssh туннель не умеет, у него же уже есть ssh в ОС! Уже чуточку легче было бы, роскомпозоровский DPI ssh туннели не трогает...

Виртуализация серверов туннелей это отличное решение, гораздо более гибкое, чем городить все в рамках одной ОС. И не важно, на какой системе у тебя роутер, хоть на debian. Сам к такому пришёл.

Уже представляю как я объясняю заказчику что для связи его филиалов (два\три компа+роутер, он же точка доступа) с головным офисом ему жизненно необходим роутер с виртуализацией в каждый филиал, ага. И куда он меня пошлёт после того как на смету посмотрит. Если раньше я в смету включал микрот, то теперь я ему напишу Кинетик.

Поставил бы что нибудь с openwrt, но вот прямщас у него в магазине будет Кинетик, 100%, а что нибудь способное нести в себе openwrt придётся сначала заказывать, а потом окучивать, всмысле накатывать туда openwrt. И скорее всего для этого кого то в командировку отправлять будет нужно...

Ну хорошо, разрешаю персонально тебе и дальше возиться с переусложненной таблицей маршрутизации и забористыми правилами пакетного фильтра. Особенно порадуешься когда будешь делать матрёшку из ipsec.

… а так?

DEV=eth0 # LAN2

LOCAL=x.x.x.x/x # LAN1

ip link set dev $DEV up

ip a add $LOCAL dev $DEV

ip route add $LOCAL dev $DEV

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -A FORWARD -i %i -j ACCEPT

iptables -t nat -A POSTROUTING -o $DEV -j MASQUERADE

iptables

Ничего, что в новых версиях Openwrt нет iptables? nft там

Какая только версия у ТС…

Какая только версия у ТС… OpenWrt | 23.05.0

Об iptables, NAT и т.д. имею поверхностное представление, поэтому прошу ткнуть носом в суть проблемы…

вот я и ткнул :-)))

… если nft, то нужно заменить на аналогичные по смыслу правила…

:-)))

Если про микротики, то там контейнеры есть для этого

Они ограниченные, изменять пакеты не получится. Либо юзать как прокси.

Виртуализация серверов туннелей это отличное решение, гораздо более гибкое, чем городить все в рамках одной ОС.

А теперь подними на routeros zapret в режиме nfqws в докере, узнаешь об этой железке много интересного :)

Да видимо, iptables, так как iptables -vL выводит список правил, а про nft система не в курсе

Ну, во-первых, не опоздал. Фанатики постоянно мордочки свои высовывают в темах про выбор роутеров. И не просто так, Вильянов это объяснял. Во-вторых, мерзотик ни за чем не успевал, там эстония рядом, если ты понимаешь о чем я. В третьих, кинетик уже больше 10 лет в моде.

Вильянов это объяснял

Ссылки на домохозяек должны быть запрещены правилами.

Запрети, если сможешь.

Зачем поднимать докер на routeros, если можно крутить routeros на виртуальной машине?

Зачем поднимать докер на routeros, если можно крутить routeros на виртуальной машине?

Потому что Mikrotik не умеет виртуальные машины.

Я спокойно ставил routeros в виртуальную машину, все работало. Но суть не в том, что нужно обязательно использовать говнософт от микротика, а в том, что делать роутер «все в одном», не используя виртуализацию - путь в никуда. Рано или поздно ты задолбаешься прыгать с бубном изобретая немылемый конфиг, чтобы впихнуть невпихуемое. Не важно какая у тебя ОС. «Волшебные» туннели (которые на самом деле не туннели, а хитрожопые обработчики пакетов), это просто один из частных случаев задачи, которую вредно решать на роутере.

Речь про роутеры от Mikrotik, а не про твой поддиваный зюзерутер

Где? У ТС как раз зюзероутер на openwrt, читай ОП. Ему предлагают накатить ROS вместо openwrt, я предлагаю накатить гипервизор :)

Я отвечал на твоё сообщение, где ты отвечал на сообщение Jameson, в котром он хаял микротики.

Я думал на Микроте виртуализацию предлагаешь.

Похрен, на микротики, главное что openwrt говно ни на что не годное, которое нужно заменить на что угодно.

главное что openwrt говно ни на что не годное, которое нужно заменить на что угодно.

Спорно. Все зависит от требований к роутеру. Например мне,что бы смотреть ютубчик, твой гипервизор в хрен не впился :)

Это пока что для ютубчика достаточно простого роутера. Заведи себе несколько провайдеров что ли.
Я пытался делать без гипервизора, но понял что не вывожу настолько запутанные правила пакетного фильтра. С гипервизором они хотя бы в каждой отдельной виртуалке более-менее понятные сами по себе.

Это пока что для ютубчика достаточно простого роутера. Заведи себе несколько провайдеров что ли.

Ну у меня несколько провайдеров.

Я пытался делать без гипервизора, но понял что не вывожу настолько запутанные правила пакетного фильтра.

И чего вы там такого назапутывали?

С гипервизором они хотя бы в каждой отдельной виртуалке более-менее понятные сами по себе.

Неосилили разложить по отдельным файлигам в хост системе?

Конкретно я хочу этого: несколько LAN, несколько провайдеров интернета. Каждая lan ходит в интернет по своим правилам: для кого-то предусмотрен failover, а кого-то нужно выпускать в интернет только через определённый канал.
С самой маршрутизацией сетей все хорошо, проблема в дополнительных сервисах, которые работают на роутере. К ним тоже хочется применить индивидуальные правила выхода в интернет. Но все способы сделать это изрядно костыльные. Особенно все плохо с DNS - для избежания отравления кэша между провайдерами, приходится держать несколько инстансов unbound, а как это сделать в том же openwrt я тупо не нашёл, например.

Опишу чуть подробнее личный пример. В наличии 2 проводных прова, плюс иногда в качестве прова пользую мобилу. Плюс до совсем недавнего времени было три туннеля ( остался один). Т.е. в штатном режиме у меня 5 выходов в инет. И вот это всё вы предлагаете разбивать на виртуалки? У меня направление движения кого-куда и зачем прописано в конфигах на хост системе.

Особенно все плохо с DNS - для избежания отравления кэша между провайдерами,

Это что за зверь?

приходится держать несколько инстансов unbound, а как это сделать в том же openwrt я тупо не нашёл, например.

Я конкретно про openwrt и не говорил.

проблема в дополнительных сервисах, которые работают на роутере. К ним тоже хочется применить индивидуальные правила выхода в интернет.

Понял.

Но все способы сделать это изрядно костыльные.

Если говорить именно про выход, то да, согласен, в большинстве случаев без костылей не обойтись.

Это что за зверь?

В зависимости от провайдера, CDN могут отдавать тебе разные адреса, а иногда и сам провайдер подменяет их. Потому нужно чтобы на каждом провайдере был независимый резолвер со своим кэшем. Либо вообще не использовать локальный dns, посылать всех на провайдерский, но тогда не получится сделать локальную зону, не зависящую от интернета.