Как бороться с провайдерскими маршрутами в роутере?

А в списке ip адресов на роутере что?
Провайдер просто так вам маршруты прописать не может, пологаю что это connected маршрут и у вас с провайдером пересечение ip сетей. Самый простой вариант - поменять сеть на lan.

Вот провайдерские маршруты на роутере, если удалить соединения IP-телефонии, при которых все работает:

90.150.180.22	0.0.0.0	255.255.255.255	UH	0	pppoe_eth5.1313	ppp0.2
192.168.0.0	0.0.0.0	255.255.255.0	U	0	 	br0
0.0.0.0	        0.0.0.0	0.0.0.0	        U	0	pppoe_eth5.1313	ppp0.2

Самый простой вариант - поменять сеть на lan.

Нет, в сети очень много устройств, сервисов и серверов, многое настроено на статические маршруты и IP, проще выкинуть их роутер, отказаться от их интернет а и использовать общий, но желательно сделать, чтобы заработало.

список ip адресов при подключенной телефонии можете показать?

Каких адресов? Маршруты в 1 посте, в ARP-таблице куча локальных устройств, не понимаю Вас

ip адресов на роутере
я пологая что вам провайдер под телефонию выдает адрес из сети 192.168.0.0/24 (бить за такое надо конечно) и потому возникает конфликт. Тут можно попробовать им звонить и требовать чтобы другую подсеть для вас использовали или ставить за провайдерским роутером свой и мудрить с nat, раз нет возможности в lan поменять подсеть.

Я прописал второй IP-адрес на роутере - 192.168.1.146 - по этому адресу он начал пускать в WEB-интерфейс при подключенной оптике, но по адресу 192.168.0.146 при подключенной оптике он по прежнему недоступен.

Бред какой-то. Просто в LAN смените сетку на нужную. WAN и маршруты провайдера трогать не надо.

ip адресов на роутере

Не уверен, что это что-то даст, но мне не жалко, вот:

bcmsw     Link encap:Ethernet  HWaddr 64:6E:EA:7F:3F:79
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 multicast:0 unicast:0 broadcast:0
          RX errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 multicast:0 unicast:0 broadcast:0
          TX errors:0 dropped:0 overruns:0 carrier:0 collisions:0
          txqueuelen:1000
          RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
          RX multicast bytes:0 (0.0 B) TX multicast bytes:0 (0.0 B)
          Base address:0xda00

br0       Link encap:Ethernet  HWaddr 64:6E:EA:7F:3F:79
          inet addr:192.168.1.146  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::666e:eaff:fe7f:3f79/64 Scope:Link
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:868164 multicast:1394 unicast:107704 broadcast:759066
          RX errors:0 dropped:0 overruns:0 frame:0
          TX packets:156624 multicast:0 unicast:156624 broadcast:0
          TX errors:0 dropped:0 overruns:0 carrier:0 collisions:0
          txqueuelen:0
          RX bytes:47220719 (45.0 MiB) TX bytes:211487075 (201.6 MiB)
          RX multicast bytes:124449 (121.5 KiB) TX multicast bytes:0 (0.0 B)

eth0      Link encap:Ethernet  HWaddr 64:6E:EA:7F:3F:79
          inet6 addr: fe80::666e:eaff:fe7f:3f79/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:897499 multicast:928 unicast:137499 broadcast:759072
          RX errors:0 dropped:0 overruns:0 frame:0
          TX packets:177677 multicast:2656 unicast:174908 broadcast:113
          TX errors:0 dropped:0 overruns:0 carrier:0 collisions:0
          txqueuelen:1000
          RX bytes:98643113 (94.0 MiB) TX bytes:216304996 (206.2 MiB)
          RX multicast bytes:0 (0.0 B) TX multicast bytes:0 (0.0 B)


eth0.0    Link encap:Ethernet  HWaddr 64:6E:EA:7F:3F:79
          inet6 addr: fe80::666e:eaff:fe7f:3f79/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:867532 multicast:858 unicast:107701 broadcast:758973
          RX errors:0 dropped:0 overruns:0 frame:0
          TX packets:156807 multicast:95 unicast:156712 broadcast:0
          TX errors:0 dropped:0 overruns:0 carrier:0 collisions:0
          txqueuelen:0
          RX bytes:47166630 (44.9 MiB) TX bytes:211504053 (201.7 MiB)
          RX multicast bytes:82259 (80.3 KiB) TX multicast bytes:23222 (22.6 KiB)

eth1      Link encap:Ethernet  HWaddr 64:6E:EA:7F:3F:79
          inet6 addr: fe80::666e:eaff:fe7f:3f79/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:21566 multicast:562 unicast:20906 broadcast:98
          RX errors:0 dropped:0 overruns:0 frame:0
          TX packets:787605 multicast:1377 unicast:28982 broadcast:757246
          TX errors:0 dropped:0 overruns:0 carrier:0 collisions:0
          txqueuelen:1000
          RX bytes:4152796 (3.9 MiB) TX bytes:88834296 (84.7 MiB)
          RX multicast bytes:0 (0.0 B) TX multicast bytes:0 (0.0 B)


eth1.0    Link encap:Ethernet  HWaddr 64:6E:EA:7F:3F:79
          inet6 addr: fe80::666e:eaff:fe7f:3f79/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:691 multicast:562 unicast:31 broadcast:98
          RX errors:0 dropped:0 overruns:0 frame:0
          TX packets:3616 multicast:659 unicast:2957 broadcast:0
          TX errors:0 dropped:0 overruns:0 carrier:0 collisions:0
          txqueuelen:0
          RX bytes:57103 (55.7 KiB) TX bytes:804125 (785.2 KiB)
          RX multicast bytes:43386 (42.3 KiB) TX multicast bytes:82331 (80.4 KiB)


eth4.0    Link encap:Ethernet  HWaddr 64:6E:EA:7F:3F:79
          inet6 addr: fe80::666e:eaff:fe7f:3f79/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 multicast:0 unicast:0 broadcast:0
          RX errors:0 dropped:0 overruns:0 frame:0
          TX packets:762743 multicast:754 unicast:2923 broadcast:759066
          TX errors:0 dropped:0 overruns:0 carrier:0 collisions:0
          txqueuelen:0
          RX bytes:0 (0.0 B) TX bytes:50704957 (48.3 MiB)
          RX multicast bytes:0 (0.0 B) TX multicast bytes:105553 (103.0 KiB)

eth5      Link encap:Ethernet  HWaddr 64:6E:EA:7F:3F:7B
          inet6 addr: fe80::666e:eaff:fe7f:3f7b/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1636200 multicast:12 unicast:222392 broadcast:1413796
          RX errors:0 dropped:0 overruns:0 frame:0
          TX packets:169142 multicast:99 unicast:169010 broadcast:33
          TX errors:0 dropped:0 overruns:0 carrier:0 collisions:0
          txqueuelen:1000
          RX bytes:318887518 (304.1 MiB) TX bytes:24730793 (23.5 MiB)
          RX multicast bytes:0 (0.0 B) TX multicast bytes:0 (0.0 B)


eth5.1    Link encap:Ethernet  HWaddr 64:6E:EA:7F:3F:7B
          inet6 addr: fe80::666e:eaff:fe7f:3f7b/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:139930 multicast:0 unicast:139930 broadcast:0
          RX errors:0 dropped:0 overruns:0 frame:0
          TX packets:94269 multicast:0 unicast:94269 broadcast:0
          TX errors:0 dropped:0 overruns:0 carrier:0 collisions:0
          txqueuelen:0
          RX bytes:197191811 (188.0 MiB) TX bytes:6971365 (6.6 MiB)
          RX multicast bytes:0 (0.0 B) TX multicast bytes:0 (0.0 B)

eth5.2    Link encap:Ethernet  HWaddr 64:6E:EA:7F:3F:7C
          inet addr:10.34.152.22  Bcast:10.34.159.255  Mask:255.255.248.0
          inet6 addr: fe80::666e:eaff:fe7f:3f7c/64 Scope:Link
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:1456298 multicast:0 unicast:68537 broadcast:1387761
          RX errors:0 dropped:0 overruns:0 frame:0
          TX packets:66108 multicast:0 unicast:66108 broadcast:0
          TX errors:0 dropped:0 overruns:0 carrier:0 collisions:0
          txqueuelen:0
          RX bytes:76946178 (73.3 MiB) TX bytes:14544730 (13.8 MiB)
          RX multicast bytes:0 (0.0 B) TX multicast bytes:0 (0.0 B)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:394 multicast:0 unicast:394 broadcast:0
          RX errors:0 dropped:0 overruns:0 frame:0
          TX packets:394 multicast:0 unicast:394 broadcast:0
          TX errors:0 dropped:0 overruns:0 carrier:0 collisions:0
          txqueuelen:0
          RX bytes:11422 (11.1 KiB) TX bytes:11422 (11.1 KiB)
          RX multicast bytes:0 (0.0 B) TX multicast bytes:0 (0.0 B)

ppp0.1    Link encap:Point-to-Point Protocol
          inet addr:100.113.44.211  P-t-P:90.150.180.22  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP ALLMULTI MULTICAST  MTU:1492  Metric:1
          RX packets:136780 multicast:0 unicast:136780 broadcast:0
          RX errors:0 dropped:0 overruns:0 frame:0
          TX packets:91253 multicast:0 unicast:91253 broadcast:0
          TX errors:0 dropped:0 overruns:0 carrier:0 collisions:0
          txqueuelen:3
          RX bytes:195963342 (186.8 MiB) TX bytes:4495894 (4.2 MiB)
          RX multicast bytes:0 (0.0 B) TX multicast bytes:0 (0.0 B)

Непосредственно адрес из сети 192.168.0.0/24 не присваивается, но прописывается маршрут

192.168.0.0	10.34.152.1	255.255.255.0	UG	0	ipoe_eth5.65	eth5.1

у которого приоритет выше, чем у правильного:

192.168.0.0	0.0.0.0	255.255.255.0	U	0	 	br0

Тут можно попробовать им звонить и требовать чтобы другую подсеть для вас

Так в том и вопрос, как им это объяснить, если они мальчика высылают, который уже 4й роутер распаковал и настроил, но проблема не уходит. Может, есть способ связаться с админами ростелекома, а не с операторами поддержки?

провайдер Ростелеком

Они в целом забавные ребятки. У их wifi в Краснодаре captive portal с авторизацией сидит в той же подсети что используется докером. Таким образом пока сервисы докера запущены ты не можешь получить доступ в тырнет

Бред какой-то. Просто в LAN смените сетку на нужную. WAN и маршруты провайдера трогать не надо.

Так если я прописываю в LAN 192.168.0.146 (как мне надо), то пакеты из локальной сети вместо локальной сети летят на 10.34.152.1 по маршруту:

192.168.0.0	10.34.152.1	255.255.255.0	UG	0	ipoe_eth5.65	eth5.1

WAN и маршруты провайдера я не трогаю, они прилетают сразу как есть и конфликтуют с моей локалкой

Так в том и вопрос, как им это объяснить, если они мальчика высылают, который уже 4й роутер распаковал и настроил, но проблема не уходит.

Монтажники работают по скриптам, они не понимают ничего ни в структуре сети ни в протоколе ip, их научили настраивать роутеры и варить оптику, всё.

Может, есть способ связаться с админами ростелекома, а не с операторами поддержки?

Удачи. Если тариф корпоративный, то через личного менеджера надо вопрос решать.

Вы через провайдерский роутер гоняете траф локальной сети? Вы странные. У вас должен быть роутер для локальной сети и роутер который шлюз в тырнет. Вы ставите для шлюза в тырнет любой свободный адрес и все счастливы

Но я не гоняю и не пытаюсь гонять локальный трафик в сеть провайдера, с чего бы вдруг мне это делать?

Вы ставите для шлюза в тырнет любой свободный адрес и все счастливы

Блин, неужели это я не могу нормально объяснить, что при попытке назначить «шлюзу в тырнет» любой свободный адрес (например, 192.168.0.146), то начинается конфликт с IP-телефонией провайдера?

Непосредственно адрес из сети 192.168.0.0/24 не присваивается, но прописывается маршрут

а вот это уже интересно, как они вам маршрут прописывают, через tr что-ли прописывают...
ну как вариант отказаться от innobox, взять простейший ont в режиме bridge и за ним поставить свой роутер (какой больше нравится), на нем уже настроить wan подключения и телефонию, по крайней мере вам никто лишнего не пришлет и в крааайнем случае можно будет «грязные» хаки через vfr и nat сделать

Ох уж этот Ростелеком! У меня была проблема с IPv6 у него. Та сеть подключена через оптику, после сброса PON-терминал получает интерфейс, который тоже нельзя ни изменить, ни удалить. Но я создал другой интерфейс, включил на нëм IPv4/IPv6 и теперь они работают параллельно. Получилось, что v4-адреса железка получает по первому интерфейсу, а v6 – по второму, и в таком виде всë работает.

дайте скриншот вкладки «Device info» c роутера. Интересует LAN IP и WAN IP

и откуда эта портянка с кучей сетевух? Как бороться с провайдерскими маршрутами в роутере? (комментарий)

https://hkar.ru/19OIt

https://hkar.ru/19OIu

https://hkar.ru/19OIv

откуда эта портянка с кучей сетевух?

Это ifconfig роутера, если что.

а вот это уже интересно, как они вам маршрут прописывают, через tr что-ли

Да всмысле, блин, зайдите в свой роутер (или что там у вас устанавливает PPPoE сессию) и после установки оным PPPoE сессии посмотрите на нем маршруты, увидите как минимум что-то подобное:

90.150.180.22	0.0.0.0	255.255.255.255	UH	0	pppoe_eth5.1313	ppp0.1
192.168.0.0	0.0.0.0	255.255.255.0	U	0	 	br0
0.0.0.0	        0.0.0.0	0.0.0.0 	U	0	pppoe_eth5.1313	ppp0.1

Вот как провайдер вам их прописывает?

Это ifconfig роутера, если что.

РТ очень неохотно даёт доступ в «настоящую» админку роутера, тем более не через web-интерфейс. Вы точно ничего там не нашалили?

Через dhcp какой-нибудь. Там же можно маршруты прокидывать

интерфейс br0 откуда взялся? Не сами его создали?

Ну в теории да, если роутер провайдерский то могли включить opt 121/249

Любой свободный это 192.168.233.1, например. У вас из-за того что роутер один объединены локальная сеть организации и сеть провайдера и вы начинаете ловить конфликты адресов и прочие приятности. Завтра провайдер запихает вам на роутер ещё какой-нибудь маршрут

Аналоговые телефоны подключены в innbox напрямую?

Ну смотри, технически возможно сделать такое:
1. На ont созадется 2 внутренних сервиса (интернет и телефония)
2. На первый lan порт подается сервис интернет (в режиме bridge!). За этим портом стоит твой роутер и поднимает pppoe сессию до интернета
3. На самом ont создается сервис под телефонию и твои аппараты работают

Но сам ты скорее всего этого сделать не сможешь (часть настроек ont у крупных операторов скрыто за сервисным паролем, которые они не дают), надо допытоваться у РТК чтобы тебе включили такой профиль.

Другой вариант - ставить ont sfu, за ней свой роутер, настраивать там связь с провайдером (интернет и телефония), аналоговые телефоны менять на sip.

Если речь про домашний интернет то это явно не их проблема. Ты сам виноват что что ОС из-за внутренних дефектов (запущеный докер да ещё и с конфликтным конфигом) не может обратиться к нужному внешнему адресу.

Публичный сервис на серых адресах? Публичный сервис с хреновой совместимостью с устройствами? Конечно я виноват. В том что выбрал Ростелеком

РТ очень неохотно даёт доступ в «настоящую» админку роутера

Всмысле? Если железка у меня в руках, у меня в нее доступ по ssh от рута, какая еще «админка роутера» нужна?

Через dhcp какой-нибудь. Там же можно маршруты прокидывать

Да это понятно, что конфигурация WAN прилетает от провайдера, вопрос изначально в том, что у провайдера на на одном из WAN-интерфейсов IP-телефонии та же подсеть 192.168.0.0/24, что и в офисе на LAN

А основной вопрос, как заставить техподдержку провайдера перестать заниматься переливанием из пустого в порожнее и тряхнуть нормальных админов, чтоб они для нас подсеть на одом номере сменили, скажем, на 192.168.10.0/24, точно так же, как до этого на другом номере сменили ее на 192.168.6.0/24, или в наши дни это нерешаемая проблема?

интерфейс br0 откуда взялся? Не сами его создали?

Провайдер его отдает с таким конфигом, br0 появляется, когда втыкаешь оптику и устанавливаются все соединения.

Любой свободный это 192.168.233.1, например

Так у нас сеть 192.168.0.0/24 и я ему даю свободный из нашего диапазона.

У вас из-за того что роутер один объединены локальная сеть организации и сеть провайдера и вы начинаете ловить конфликты адресов и прочие приятности

Вообще-то так работает доступ в интернеты в любой некрупной/домашней сети, у вас, уверен, все точно так же и дома и на работе.

Аналоговые телефоны подключены в innbox напрямую?

Да.

Варианты, которые ты описываешь, я прокручивал, пароли они мне все дали. Тут проблема в том, что да, добавляется дополнительный роутер, а сам Innbox остается под телефонию, это рабочий вариант.

Но я думал, можно как-то достучаться до админов РТ, чтобы они сменили у себя адрессацию, они же как-то выходят из положения, когда настраивают новое оборудование (а у абонента почти всегда домашняя/офисная сеть будет или 192.168.0.0/24 или 192.168.1.0/24)

Публичный сервис на серых адресах?

На нем не висят внешние сервисы, он на отдел, который раньше по другому адресу тусовался.

В том что выбрал Ростелеком

В этом здании других вариантов нет, с 4г модема тока если интернеты раздавать))

Сервис не публичный, он внутрипровайдерский. То что у гейта серый адрес тебя же не беспокоит? А эту авторизацию вполне логично примерно туда же и положить - сообщаешь гейту свой пароль, он тебя начинает пропускать.

Совместимость с устройствами у него нормальная, 99%+ устройств просто получают от провайдера адрес по dhcp и им пользуются, а единственная другая адресация которая может быть внутри - это локалка роутера 192.168.0.0 или 192.168.1.0 - причём настроенная не тобой, а опять же провом когда он подключал тебе инет.

Если же ты не похож на стандартного клиента домашнего интернета и сам себе настраиваешь какие-то сети - то уже твоя задача сделать так, чтобы они не конфликтовали с провайдерской.

А докер конечно помойка, но подозреваю даже несмотря на это его внутренние адреса настраиваются.

как заставить

bruh, с той стороны сидит такой же чел как ты и ему так же лень делать ренамберинг сети. Ты не можешь заставить себя, но хочешь заставить других людей?

Всмысле? Если железка у меня в руках, у меня в нее доступ по ssh от рута, какая еще «админка роутера» нужна?

Конкретно с innobox я не работал, смотри можешь ли ты из web создавать gpon подключения, если нет то доступ не полный. ssh это конечно хорошо, но не зная какие файлы там править ты ничего не настроишь (ну и они по tr могут перенастроить обратно, так что его тоже надо будет отключать)

А основной вопрос, как заставить техподдержку провайдера перестать заниматься переливанием из пустого в порожнее и тряхнуть нормальных админов

Бесполезно, техподы работают по скриптам и админов не видели никогда, они в разных городах сидяд скорее всего. Если подключен как b2b и есть «личный менеджер» то можешь через него попробовать добиться обратной связи шантажирую расторжением логовора (они этого очень боятся, kpi ломается).

Но я думал, можно как-то достучаться до админов РТ, чтобы они сменили у себя адрессацию

Если этот маршрут приходит не по ошибке, то зачем то им это нужно и менять схему сети ради одного абонента они не станут.

а у абонента почти всегда домашняя/офисная сеть будет или 192.168.0.0/24 или 192.168.1.0/24

тут косяк число РТК-шный, что они эти подсети взяли

Тут проблема в том, что да, добавляется дополнительный роутер, а сам Innbox остается под телефонию, это рабочий вариант.

А проблема то в чем? Это решение)

ему так же лень делать ренамберинг сети

Ему не надо делать ренаберинг сети, достаточно переписать адресацию для 1 абонентского порта, как они это сделали, когда при первоначальной установке сменили адресацию с 192.168.1.0/24 на 192.168.4.0/24, а 192.168.0.0/24 трогать не стали, потому что оно на тот момент тупо не конфликтовало

У их wifi в Краснодаре captive portal с авторизацией сидит в той же подсети что используется докером. Таким образом пока сервисы докера запущены ты не можешь получить доступ в тырнет

бгггг, работал в одном «большом бизнесе» на 10тыс сотрудников, так у них vpn подсети пересикались с дефолтными docker (а контора разработкой информационных систем на заказ занималось, так что девелоперов было много), vpn был на базе cisco anyconnect который при подключении херачил всю таблицу маршрутизации и ломал docker. Думаешь кто-то что-то делал? Нет, сказали: «не трогай конфиги, пусть у себя перенастраивают» и точка.

А проблема то в чем? Это решение)

Да чем им там городить огород из роутеров, я их проще добавлю в нужный VLAN, не создавая для них отдельный и общий интернет раздам.

Просто у них годовой контракт, по которому в одну стоимость входит и интернет и 2 телефонных номера, и это завязано на одно устройство. И если им отказываться от интернетов (а чисто технически он им не нужен), это возврат средств, перезаключение контракта только на телефоны (без инета) и прочие ненужные проблемы.

А надо всего-то тому, у кого есть доступ, потратить 2 минуты и адресацию на одном порту сменить.

из web создавать gpon подключения

да, конечно могу, я уже писал, что мальчик, которого они отправили к нам, притащил кучу роутеров, все нужные пароли я с него взял

А надо всего-то тому, у кого есть доступ, потратить 2 минуты и адресацию на одном порту сменить.

Ты не знаешь структуру их сети, мы не знаем структуру их сети. Если этот маршрут приходит то варианта 2: ошибка, им это действительно нужно. Если второй вариант, то просто забей. У них ОГРОМНАЯ сеть с миллионом клиентов и кучей бюрократии (вот это ключевое), а что-то реально поменять могут не так много людей у которых и других проблем хватает, так что можно не надеяться что они что-то у себя поправят.

да, конечно могу, я уже писал, что мальчик, которого они отправили к нам, притащил кучу роутеров, все нужные пароли я с него взял

ради интереса можешь по telnet этот маршрут убрать и посмотреть что поломается. Если ничего, то идешь в настройки подключений и смотришь нет ли там опции «принимать маршруты по dhcp», отключаешь, дальше ищешь tr интерфейс (он на отдельном vlan скорее всего) и вырубаешь его чтобы не перенастроили (хотя они и по omci могут настроить, но там возможностей меньше чем у tr).

ради интереса можешь по telnet этот маршрут убрать и посмотреть что поломается

Думаешь, я не пытался((

route delete 192.168.0.0 255.255.255.0
sshd:error:471.137:processRouteCmd:6725:dalStaticRoute_deleteEntry failed, ret=9003
Error happens when delete the route.

Иначе я бы в крон кому-нибудь добавил задачу ребутить этот иннбокс раз в сутки и прописывать то, что мне нужно

https://hkar.ru/19OIt

а advanced setup что есть?

Сеть для докера настраивается.

$ sudo cat /etc/docker/daemon.json
{
  "storage-driver": "zfs",
  "bip": "10.0.1.1/24", 
  "default-address-pools": [ { "base": "10.0.2.0/20", "size": 28 } ],
  "registry-mirrors" : [ "https://dockerhub.timeweb.cloud" ],
  "debug": true

}

да понятно что настраивается, но вместо того чтобы поменять один раз на vpn сервере сеть (что ни на что бы не повлияло т.к. к ней коннектились только road warior и получали динамические адреса, ну пару acl поменять да), они застравляли всех разработчиков что дома сидят настраивать docker.

Вот: https://hkar.ru/19OJa

теперь wan service

Так какая разница, какие у них там адреса, всё же через nat проходит, что в интернет идёт.

Цисковский anyconnect вандалил таблицу маршрутов и удалял подсети докера.

Если дипапазоны в собственной локальной сети и в корпортивной пересекаются (например 192.168.1.0/24 и там, и там), то простой NAT никак не поможет.

Цисковский anyconnect вандалил таблицу маршрутов и удалял подсети докера.

IMHO не надо пользоваться таким софтом. OpenConnect позволяет настроить поведение в отношении правил, прилетающих c AnyConnect-сервера.

они застравляли всех разработчиков что дома сидят настраивать docker.

Ты никогда не сможешь подстроится под всех пользователей vpn-подключения. Перенастроишь на другой диапазон - вылезут у другоо пользователя конфликты с его локальными сетями.
Если ты намекаешь на то, что все тамошние разработчики используют одну преднастроенную конфигурацию docker, то логично её и поменять. И тут кстати тоже могут вылезти конфликты с сетеввым окружением разработчика (которые он собственноручно и должен разрешать).

Если дипапазоны в собственной локальной сети и в корпортивной пересекаются (например 192.168.1.0/24 и там, и там), то простой NAT никак не поможет.

Поможет.

Вы меня заинтересовали и я набросал лабораторку в GNS3. У меня всё заработало.

Схема краткая [home-pc] -> [home-router] -> [isp] -> 1.1.1.1

Результат: с [home-pc] пингуется 1.1.1.1.

Схема подробная:

[home-pc] (eth0: 192.168.1.10/24)
--->
(eth1: 192.168.1.1/24) [home-router]
--->
[home-router] (eth0: 192.168.1.2/24)
---> 
(eth1: 192.168.1.1/24) [ISP]
--->
[ISP] (lo: 1.1.1.1/32)

Вот конфиг [home-router] (это VyOS 1.4.2):

vyos@home-router# show 
 interfaces {
     ethernet eth0 {
         address 192.168.1.2/24
         description to-ISP
         hw-id 0c:bf:1d:89:00:00
     }
     ethernet eth1 {
         address 192.168.1.1/24
         description LAN
         hw-id 0c:bf:1d:89:00:01
     }
 }
 nat {
     source {
         rule 1 {
             description "Source NAT for internet access"
             outbound-interface {
                 name eth0
             }
             translation {
                 address masquerade
             }
         }
     }
 }
 protocols {
     static {
         route 0.0.0.0/0 {
             description "Default route via ISP on eth0"
             next-hop 192.168.1.1 {
                 interface eth0
             }
         }
     }
}

Наверное тут ключевой момент в указании конкретного интерфейса; может на домашних роутерах этого и нет (точнее есть «под капотом», но не выведено в веб-интерфейс).

next-hop 192.168.1.1 {
    interface eth0 # <----- THIS
}

Во-первых - «оптика» это GPON что-ли? Если GPON, то купить нормальный роутер, поставить openwrt, настроить на нём всё как хочется, а провайдерский роутер использовать как конвертер GPON <-> Ethernet.

В голове GPON запросто могут быть намертво забиты всякие VLAN (VLAN в GPON это не Ethernet VLAN) для телефонии (которая в GPON имеет высший приоритет), телевидения, управления, ещё какой шняги и далеко не факт что провайдер вообще может в голове что-то настраивать для ONTшек, потому что вендору за это не заплочено, так что даже компостирование мозга провайдеру ничего не изменит.

Если оптика нормальная, а не GPON, то просто купить тупой медиаконвертер и хороший роутер, и настроить всё так как нужно.

Поможет.

Вы меня заинтересовали и я набросал лабораторку в GNS3. У меня всё заработало.

Схема краткая [home-pc] -> [home-router] -> [isp] -> 1.1.1.1

да двойной NAT (на home-router и на стороне ISP).

Только это не та конфигурация, о которой пишет Kolins в этом сообщении Как бороться с провайдерскими маршрутами в роутере? (комментарий)
Там про VPN подключение к корп. сети, а не про доступ в интернет.
Если Вы имеете в виду доступ в интернет через корп. VPN, такой вариант тоже рабочий (только в роли [home-router] будет то устройство, где VPN клиент, что может осложнить настройку).

Для того, чтобы получить нерабочий вариант добавьте в Вашу лабу сервер 192.168.1.x в [ISP] сетку. И к этому серверу Вам нужен доступ с home-pc. Понятно, что для одного сервера можно и вручную прописать маршрут (на home-pc и home-router), но обычно он не один.

Если Вы имеете в виду доступ в интернет через корп. VPN, такой вариант тоже рабочий (только в роли [home-router] будет то устройство, где VPN клиент, что может осложнить настройку).

Нет, это уже будет костыль (гонять весь трафик через корп. VPN).

Для того, чтобы получить нерабочий вариант добавьте в Вашу лабу сервер 192.168.1.x в [ISP] сетку. И к этому серверу Вам нужен доступ с home-pc. Понятно, что для одного сервера можно и вручную прописать маршрут (на home-pc и home-router), но обычно он не один.

Это всё ужасно, и лучше всего уходить от дублирующейся нумерации, но строго говоря, можно и под неё подстроиться, если иных возможностей нет.

Например, можно:

• обращаться к серверу не как к 192.168.1.1, а как к 192.168.101.1.
• на роутере - настроить dnat 192.168.101.1 в 192.168.1.1
• на роутере - настроить политику маршрутизации (policy based routing), что бы пакеты из локалки в сторону 192.168.101.0/24 летели через VPN а не через провайдера.

Но, повторяюсь, я эти извращения не поддерживаю, просто пишу, что и их, при желании, можно обойти.

Если не получится разрулить вопрос с провайдером, то я бы рекомендовал поставить ещё один роутер между локалкой и Innbox F60_S20 и на нём уже разруливать все эти проблемы.

Можно взять микротик, можно взять линукс, можно взять софтроутер типа pfsense или vyos.

Решать проблему с сервисами в 192.168.0.0/24, на которые всё завязано, можно с помощью nat (dnat) Если клиенты остаются в 192.168.0.0/24, то с помощью двойного nat (dnat+snat). Хотя это костыли, да.

Нет, в сети очень много устройств, сервисов и серверов, многое настроено на статические маршруты и IP, проще выкинуть их роутер, отказаться от их интернет

Значит уговаривать провайдера сеть поменять. Вообще для провайдеров придумали 100.64.0.0/10 (RFC6598) относительно недавно, можно бы и переезжать начать потихоньку... Как раз, очевидно, чтобы таких вот пересечений не было.