Nejde se dostat na veřejné IP po poslední aktualizaci

Dne 2014-11-01 14:21

Zdravím,

po poslední aktualizaci z 29. 10. mám problém s přístupem na své veřejné IP z internetu, které mám naroutované na turrise. Do aktualizace všechno fungovalo bez problému, ale teď adresy nejsou z internetu vůbec vidět, i když se s konfigurací nic neměnilo.

Konfiguraci jsem na jaře řešil v tématech https://www.turris.cz/forum/topic_show.pl?pid=1552 a https://www.turris.cz/forum/topic_show.pl?pid=1605.

V čem je problém? Co mám blbě? Aktuální konfigurace (do posledního updatu funkční) vypadá následovně (123.123.123.240/29 je rozsah veřejných IP naroutovaný na turrise):

/etc/config/firewall


config redirect
  option target 'SNAT'
  option dest 'wan'
  option proto 'all'
  option src_dip 123.123.123.242'
  option name 'mujnote'
  option src_ip '123.123.123.242'
  option src 'lan'

config redirect
  option target 'SNAT'
  option dest 'wan'
  option proto 'all'
  option src_dip '123.123.123.246'
  option name 'server'
  option src_ip '123.123.123.246'
  option src 'lan'

config redirect
  option target 'SNAT'
  option src 'lan'
  option dest 'wan'
  option proto 'all'
  option src_dip '123.123.123.247'
  option name 'Lokalni'

config defaults
  option syn_flood '1'
  option input 'ACCEPT'
  option output 'ACCEPT'
  option forward 'REJECT'

config zone
  option name 'lan'
  option input 'ACCEPT'
  option output 'ACCEPT'
  option forward 'ACCEPT'
  option network 'lan publiclan'

config zone
  option name 'wan'
  option input 'REJECT'
  option output 'ACCEPT'
  option masq '1'
  option mtu_fix '1'
  option log 'true'
  option log_prefix 'turris-000000: '
  option log_limit '60/minute'
  option log_level 'debug'
  option masq_src '192.168.88.0/24'
  option network 'wan wan6'
  option forward 'ACCEPT'

config forwarding
  option src 'lan'
  option dest 'wan'

config rule
  option name 'Allow-DHCP-Renew'
  option src 'wan'
  option proto 'udp'
  option dest_port '68'
  option target 'ACCEPT'
  option family 'ipv4'

config rule
  option name 'Allow-Ping'
  option src 'wan'
  option proto 'icmp'
  option icmp_type 'echo-request'
  option family 'ipv4'
  option target 'ACCEPT'

config rule
  option name 'Allow-DHCPv6'
  option src 'wan'
  option proto 'udp'
  option src_ip 'fe80::/10'
  option src_port '547'
  option dest_ip 'fe80::/10'
  option dest_port '546'
  option family 'ipv6'
  option target 'ACCEPT'

config rule
  option name 'Allow-ICMPv6-Input'
  option src 'wan'
  option proto 'icmp'
  list icmp_type 'echo-request'
  list icmp_type 'echo-reply'
  list icmp_type 'destination-unreachable'
  list icmp_type 'packet-too-big'
  list icmp_type 'time-exceeded'
  list icmp_type 'bad-header'
  list icmp_type 'unknown-header-type'
  list icmp_type 'router-solicitation'
  list icmp_type 'neighbour-solicitation'
  list icmp_type 'router-advertisement'
  list icmp_type 'neighbour-advertisement'
  option limit '1000/sec'
  option family 'ipv6'
  option target 'ACCEPT'

config rule
  option name 'Allow-ICMPv6-Forward'
  option src 'wan'
  option dest '*'
  option proto 'icmp'
  list icmp_type 'echo-request'
  list icmp_type 'echo-reply'
  list icmp_type 'destination-unreachable'
  list icmp_type 'packet-too-big'
  list icmp_type 'time-exceeded'
  list icmp_type 'bad-header'
  list icmp_type 'unknown-header-type'
  option limit '1000/sec'
  option family 'ipv6'
  option target 'ACCEPT'

config include
  option path '/etc/firewall.user'

config include
  option path '/usr/share/firewall/turris'
  option reload '1'



/etc/config/network

config interface 'loopback'
  option ifname 'lo'
  option proto 'static'
  option ipaddr '127.0.0.1'
  option netmask '255.0.0.0'

config globals 'globals'
  option ula_prefix 'auto'

config interface 'lan'
  option type 'bridge'
  option proto 'static'
  option netmask '255.255.255.0'
  option ip6assign '60'
  option ipaddr '192.168.88.1'
  option _orig_ifname 'eth1 wlan0'
  option _orig_bridge 'true'
  option ifname 'eth1'

config interface 'publiclan'
  option proto 'static'
  option ipaddr '123.123.123.241'
  option netmask '255.255.255.248'
  option ip6assign '60'
  option _orig_ifname 'eth0'
  option _orig_bridge 'true'
  option ifname 'eth0'

config interface 'wan'
  option ifname 'eth2'
  option proto 'static'
  option ipaddr '10.99.99.2'
  option netmask '255.255.255.0'
  option gateway '10.99.99.1'
  option dns '217.170.96.24 217.170.96.2'

config interface 'wan6'
  option ifname '@wan'
  option proto 'dhcpv6'

config switch
  option name 'switch0'
  option reset '1'
  option enable_vlan '1'

config switch_vlan
  option device 'switch0'
  option vlan '1'
  option ports '3 4 6'
  option vid '1'

config switch_vlan
  option device 'switch0'
  option vlan '2'
  option ports '0 1 2 5'
  option vid '2'

Od Mira.S

Dne 2014-11-02 00:13

Problémy s firewallem se probíraly tady
https://www.turris.cz/forum/topic_show.pl?tid=555

Od lukasberan

Dne 2014-11-02 19:07

Já vím, to jsem četl, ale tam se řeší jiný problém, než mám já. Z toho jsem nic pro mě použitelného bohužel nevyčetl.

Od lukasberan

Dne 2014-11-03 19:19

Takže vyřešeno :) Jsem si nevšiml zakázaného forwardu (jak to, že do aktualizace to fungovalo?) :)

config defaults
  option syn_flood '1'
  option input 'ACCEPT'
  option output 'ACCEPT'
  option forward 'ACCEPT'

Od milanroubal (>)

Dne 2014-12-23 11:26

Dekuji za toto reseni. Vcera jsem se konecne dokopal k tomu zjistit, proc mi v Dolphinu na androidu nejde nekolik stranek vcetne google a v chrome je vse ok a vysel z toho tento problem. Ten browser z nejakeho duvodu neumi pri broken IPv6 ceste prepnout na IPv4 a prave IPv6 bylo diky forward pravidlu rozbite z vnitrni site, ale z routeru ok.

Jen by me zajimalo, zda je to "oficialni" reseni, tedy zda tam ma byt Accept jako default policy, nebo zda bych se mel spise jeste podivat po tech pravidlech a lepe je dodefinovat.