Странная маршрутизация роутера Linksys EА6700

0

1

2 дня назад сдох вай-фай модуль у моего роутера Asus RT-N16, и мне в срочном порядке потребовалось купить новый. Остановился на роутере Linksys EА6700, когда узнал, что Linksys - это подразделение Cisco. Сегодня купил, настроил, вроде работает нормально. Но остались невыясненными некоторые странные нюансы, которые мне хотелось бы прояснить. Модель очень новая, ей от роду месяца 2, поэтому в интернете о ней информации очень мало. Но поскольку Linksys на протяжении нескольких моделей использует один и тот же Web-интерфейс, то наверное ее особенности будут справедливы также и для младших моделей.
1. У меня есть сервак, на котором крутятся некоторые сетевые ресурсы. Для доступа извне локалки на роутере открыты несколько портов. У меня есть статический IP-адрес, к которому для большего удобства прикручен домен. После открытия на роутере 80-го порта при вводе в строку адреса домена показывается дефолтный апачевский «It works». Каково же было мое удивление, когда открыв все необходимые порты, у меня доступ к ресурсам по домену не заработал! Ни по домену, ни соответственно по внешнему IP. Но порты открыты, и доступ по внешнему IP есть из внешнего интернета. Я это проверил, подключившись по SSH к своему серваку в Германии и оттуда открыл сайт по домену с помощью текстового браузера. Почему Linksys не дает доступ к внешнему IP изнутри локалки? Мне пришлось все локальные ресурсы прописать в /etc/hosts на всех компах. Может быть локальный DNS-сервер сделаю, если не найду причины столь странного поведения роутера.
2. В админке роутера я не нашел параметров настроек VPN. Только 3 галочки: «PPTP-туннель», «IPSec-туннель», «L2TP-туннель». По-моему, этого мало. Что мне вбивать в VPN-клиенте на работе, чтобы подключиться к роутеру?

Ссылка

←	Вниманию понихейтеров

Как называется песня?

→

1)Так вроде всегда было. Я когда из своей внутренней локалки пытаюсь открыть веб-сайт со своим доменным именем - он мне выдает веб-морду роутера. Тащемта я не парюсь, весь используемый десяток локальных адресов у меня выдается статично и помню я их наизусть.
2)Не умеют домашнии роутеры vpn-сервер по дефолту. Нужно ставить *wrt, тогда будет ок. Хотя моему wrt160nl не хватало силенок на одновременное терминирование десятка впн-коннектов. Посему сейчас стоит pf-sense на атомном компе. И потихоньку откладываю деньги с завтраков на вот такую коробку RB2011UAS-2HnD-IN , ибо энергопотребление в три раза ниже чем у моего текущего роутера.

Deleted
(13.09.13 02:23:28 MSK)

Ссылка

инжой ёр бродком крап.
надо было нетгир или баффало на атеросе брать.

pekmop1024 ★★★★★
(13.09.13 02:30:32 MSK)

Ссылка

Циско, ну-ну.

steemandlinux ★★★★★
(13.09.13 06:34:53 MSK)

Ссылка

мб потому что надо 2 ната добавлять, как в iptables?

INFOMAN ★★★★★
(13.09.13 07:28:44 MSK)

Ответ на: комментарий от INFOMAN 13.09.13 07:28:44 MSK

Подскажите пожалуйста, какие конкретно строчки надо добавить? Я в этом не очень разбираюсь.

Rinaldus ★★★★★
(13.09.13 08:52:26 MSK) автор топика

Купи уже нормальный Mikrotik.

yu-boot ★★★★
(13.09.13 09:11:06 MSK)

Ответ на: комментарий от yu-boot 13.09.13 09:11:06 MSK

В микротике тоже надо 2 правила добавлять, оно ж на линуксовом ядре сделано.

INFOMAN ★★★★★
(13.09.13 10:02:16 MSK)

Ссылка

Ответ на: комментарий от Rinaldus 13.09.13 08:52:26 MSK

1. dnat на адрес сервера

2. snat из внутренней сети на адрес роутера пакетов, отправляемых к серверу (чтоб сервер знал, кому отвечать, без этого правила он попытается ответить напрямую отправителю, а так как отправитель слал не ему, а внешнему адресу роутера, то такой ответ будет отброшен).

INFOMAN ★★★★★
(13.09.13 10:06:05 MSK)
Последнее исправление: INFOMAN 13.09.13 10:06:22 MSK (всего исправлений: 1)

Ответ на: комментарий от INFOMAN 13.09.13 10:06:05 MSK

Вы не могли бы подсказать, что тут конкретно надо вбивать? Непонятно, какой должен быть шлюз. Маска должна быть 255.255.255.0, я так полагаю?
http://i023.radikal.ru/1309/f7/53ca8b2247f4.jpg

Rinaldus ★★★★★
(13.09.13 10:51:01 MSK) автор топика

Linksys EА6700

http://market.yandex.ru/model.xml?modelid=9387583&hid=723087

средняя цена - 7000 руб

MikroTik RB2011UAS-2HnD-IN

http://market.yandex.ru/model.xml?text=RB2011UAS-2HnD-IN&srnum=8&mode...

средняя цена - 4500 руб

==============

Функциональность линксиса в два раза меньше, зато цена в два раза выше. Лучше сдай обратно, поспекулировав ЗПП и возьми нормальный микротик.

Deleted
(13.09.13 14:01:48 MSK)

Ответ на: комментарий от Deleted 13.09.13 14:01:48 MSK

Я уже поимел дело с навороченным Asus'ом с кучей функций и с 3 торчащими «рогами» вай-фая. Он у меня проработал всего лишь чуть больше 1 года. Предпочитаю теперь иметь роутер может быть чуть менее навороченный, но зато стабильно работающий.
В теме были заданы конкретные вопросы по конкретной модели роутера. Ответы не по теме являются не более, чем флудом. Попрошу не флудить больше.
Кстати, мой роутер один из немногих поддерживает стандарт вай-фая 802.11ac, который позволяет иметь по вай-фаю такую скорость, которая позволит без тормозов смотреть даже фильмы в формате FullHD.

Rinaldus ★★★★★
(13.09.13 14:33:24 MSK) автор топика
Последнее исправление: Rinaldus 13.09.13 14:35:45 MSK (всего исправлений: 2)

Ответ на: комментарий от Rinaldus 13.09.13 14:33:24 MSK

ты хочешь получить возможность тонкой доводки настроек, что стоковые прошивки линксисов не дают. то, что ты хочешь в п.1 - не сделаешь. по пункту 2 - нигде в мануалах нет, что он умеет впн сервер (http://downloads.linksys.com/downloads/userguide/1224698268757/EA6700_combo_P... смотри стр.33).

поскольку сие было несколько очевидным, решил опустить эти подробности и сразу посоветовать присмотреться к полнофункциональному роутеру от микротика(который помимо всего прочего конфигурируется на лету, а не как все эти «домашние» недоделки от асусов, длинков и иже с ними, коим на каждый чих требуется перезагрузка).

Deleted
(13.09.13 17:03:03 MSK)

Ответ на: комментарий от Deleted 13.09.13 17:03:03 MSK

Кстати, мой роутер один из немногих поддерживает стандарт вай-фая 802.11ac, который позволяет иметь по вай-фаю такую скорость, которая позволит без тормозов смотреть даже фильмы в формате FullHD.

я просто оставлю это здесь Оседлал новый роутер

Deleted
(13.09.13 17:06:53 MSK)

Ссылка

Ответ на: комментарий от Rinaldus 13.09.13 10:51:01 MSK

ты когда отправляешь пакет на внешний адрес (в том числе и своего роутера), то он проходит через НАТ и адрес отправителя заменяется на этот самый глобальный адрес. потом (так как адрес получателя это тот же глобальный адрес) пакет проходит обратно через НАТ и маршрутизируется на сервер. но адрес отправителя это уже твой глобальный адрес. сервер отправляет пакет в ответ на этот же глобальный адрес. и пакет опять проходит через НАТ, где сказано, что все, что приходит на глобальный адрес отправлять на сервер. таким образом ответ сервера НАТится обратно на сервер. надеюсь, доступно обьяснил.
поробуй пробросить на сервер не весь адрес, а только определенные порты. так и с точки зрения безопасности правильнее будет.

Gu4 ★
(13.09.13 21:19:22 MSK)

мне кажется, из этой железки можно только VPN-клиента сделать. но можно терминировать VPN на том же веб-сервере, или отдельную виртуалочку там запустить, и пробрасывать нужные для VPN порты туда. Linux отлично справляется с ролью VPN-сервера ;)

Gu4 ★
(13.09.13 21:25:45 MSK)