имеется сеть 192.168.10.0/24 в нее нельзя другие компы включать...
имеется комп 192.168.1.233(IP к примеру)
имеется wr740 (open wrt) - лан 192.168.10.253 смотрит в 192.168.10.0/24
wan 192.168.1.1 смотрит в комп 192.168.1.233
в сети 192.168.10.0/24 есть несколько компов с radmin server, вот к ним и нужен доступ с 192.168.1.233
но... при оправке запроса с 192.168.1.233 он проходит правильно в 192.168.10.0/24, но адрес отправителя 192.168.1.233, и это в сети 192.168.10.0.......соответственно ответ не может быть получен....
также на 192.168.10.200 поднят https сервер.... Тоже самое....конфигурация https://ska4ay.com/-bhod
>[оверквотинг удален]
> имеется комп 192.168.1.233(IP к примеру)
> имеется wr740 (open wrt) - лан 192.168.10.253 смотрит в 192.168.10.0/24
> wan 192.168.1.1 смотрит в комп 192.168.1.233
> в сети 192.168.10.0/24 есть несколько компов с radmin server, вот к ним
> и нужен доступ с 192.168.1.233
> но... при оправке запроса с 192.168.1.233 он проходит правильно в 192.168.10.0/24, но
> адрес отправителя 192.168.1.233, и это в сети 192.168.10.0.......соответственно ответ
> не может быть получен....
> также на 192.168.10.200 поднят https сервер.... Тоже самое....
> конфигурация https://ska4ay.com/-bhodНу так классический НАТ...
> но... при оправке запроса с 192.168.1.233 он проходит правильно в 192.168.10.0/24, но
> адрес отправителя 192.168.1.233, и это в сети 192.168.10.0.......соответственно ответ
> не может быть получен....В принципе, ответ /может/ быть получен, если бы на компе в 192.168.10.0/24 был маршрут к 192.168.1.0/24 через wr740. Но это инвазивно и трудоёмко в поддержке. Или если бы на дефолтном гейтвее сети 192.168.10.0/24 был маршрут к 192.168.1.0/24 через wr740. Но это тоже инвазивно, не слишком чисто (зависит от ICMP Redirect) и означает вторжение на чужую территорию.
Всё правильно, требуется делать NAT, конкретно SNAT, чтобы хосты в 192.168.10.0/24 думали что с ними разговаривает непосредственно wr740 со своего адреса, а не кто-то в 192.168.1.0/24. Или менять топологию сети в соответствии с задачей.
Вам надо настроить на wr740 правило, применимое ко всем пакетам которые покидают интерфейс LAN, которое изменяло бы адрес отправителя.
Правда, мне кажется вы не той стороной wr740 подключили. Было бы естественее назначить: 192.168.1.0/24, сеть котороую вы собираетесь "прятать", на LAN.
192.168.1.0/24, сеть куда вы собираетесь ходить, на WAN.
Таким образом вы сводите задачу к наистандарнейшей "NAT на выходе в Internet".Конфиг ваш не смотрел. Картинка с топологией сети была бы гораздо полезнее, а то из вашего изложения очень трудно понять топологию.
Куда тыкать в wr740 не скажу, не обижайтесьРазбирайтесь. Удачи.
>[оверквотинг удален]
> Вам надо настроить на wr740 правило, применимое ко всем пакетам которые покидают
> интерфейс LAN, которое изменяло бы адрес отправителя.
> Правда, мне кажется вы не той стороной wr740 подключили. Было бы естественее
> назначить: 192.168.1.0/24, сеть котороую вы собираетесь "прятать", на LAN.
> 192.168.1.0/24, сеть куда вы собираетесь ходить, на WAN.
> Таким образом вы сводите задачу к наистандарнейшей "NAT на выходе в Internet".
> Конфиг ваш не смотрел. Картинка с топологией сети была бы гораздо полезнее,
> а то из вашего изложения очень трудно понять топологию.
> Куда тыкать в wr740 не скажу, не обижайтесь
> Разбирайтесь. Удачи.сеть 192.168.10.0/24 изменить нельзя...
не могу здесь прикрепить файл, вот топология http://ska4ay.org/-fiodк этому
config redirect
option target 'DNAT'
option src 'wan'
option dest 'lan'
option proto 'tcp'
option name 'web'
option src_dport '443'
option dest_port '443'
option dest_ip '192.168.10.200'нужно добавить это ?
config redirect
option src wan
option dest lan
option src_ip 192.168.1.233
option src_dip 192.168.10.253
option dest_port 443
option target SNAT
> сеть 192.168.10.0/24 изменить нельзя...Не надо её менять. С точки зрения топологии, считайте её чужой, внешней, даже публичной сетью.
> не могу здесь прикрепить файл, вот топология http://ska4ay.org/-fiod
Да, диаграма весьма способствует. Подтверждаю, если вы воткнёте wr740 другой стороной, то жизнь станет легче. Возможно, оно просто по дефолту заработает, или потребует очень базовой настройки типа "вот здесь в LAN я, а вон там WAN провайдера и его настройки такие-то, я хочу к провайдеру ходить".
> к этому
> config redirect
> option target 'DNAT'
> option src 'wan'
> option dest 'lan'
> option proto 'tcp'
> option name 'web'
> option src_dport '443'
> option dest_port '443'
> option dest_ip '192.168.10.200'В вашей сетке это выглядит несколько дико. Переверните, наконец, свой wr740 правильной стороной, и оно не потребуется.
Это можно заставить работать (я так понял, вы уже заставили), но это излишнеее усложнение, а у вас и без того забот хватает.> нужно добавить это ?
> config redirect
> option src wan
> option dest lan
> option src_ip 192.168.1.233
> option src_dip 192.168.10.253
> option dest_port 443
> option target SNATНет. src_dip это для DNAT, а вы делаете SNAT. Угощайтесь: https://openwrt.org/docs/guide-user/firewall/firewall_config...
Вы домашне задание, что-ли, делаете методом тыка?
Например давайте так. Если вы ухитритесь организовать доставку банки Гиннеса мне в офис, я вас проведу по этому пути за ручку. Я на другом материке, но необходимые координаты готов предоставить. Через личку или почту уважемого свидетеля, например (добровольцы?).
Гиннес, а особенно усилия по логистике, будет выступать доказательством того что вам действительно очень надо а позвать совсем некого.Удачи.
option src_dport '443'
option dest_port '443'исправьте 443 на порт radmin server