После обновления 2.0.3 -> 2.1 перестал работать ICMP

werter · Jan 18, 2015, 10:15 AM

Т.е. на WAN у вас - "серый" адрес ? А на OPT1 (L2TP) - "белая" динамика? Этот так?

Изнутри же внешний IP (тот который билайном выдан на WAN) пингуется отлично.

Кто точно у вас WAN - OPT1 или WAN ?

Покажите скрин Interfaces

aekvulture · Jan 18, 2015, 6:07 PM

WAN - физический интерфейс получающий серый адрес по DHCP из сети билайна. OPT1 по L2TP получает белый адрес. OPT1 это реальный WAN. Ранее все разрешающие правила писал только для OPT1, на интерфейсе WAN всё всегда было закрыто, т.е. там нет правил совсем и на 2.0.3 эта схема прекрасно работала. После перехода на 2.1 и более поздние версии пробовал писать правила разрешающие вообще всё (везде any) на всех интерфейсах, однако пинг не ожил. Причем в логах фаервола видно что пакеты icmp прошли его (pass). Получается пакеты дохнут где-то дальше.

werter · Jan 19, 2015, 8:27 AM

Вы хотите пинговать OPT1 или что-то за pf ?
отключите временно блокирование серых сетей на WAN и OPT1.

Покажите скрин Interfaces

Так и не увидел.

aekvulture · Jan 19, 2015, 12:27 PM

Я переименовал все интерфейсы для большей ясности. Галочки блокировки серых сетей снимал, эффекта нет. Пинговать хочу билайновский интерфейс с белым адресом из интернета.
На последнем скрине видно что фаервол пакеты пропускает, однако на другой стороне сплошные таймауты. Пробросы портов, с первого скрина, прекрасно работают.

NegoroX · Jan 19, 2015, 12:44 PM

а шлюз какой? вместо звезды конкретный укажи
глянь Status: Gateways что пишет

aekvulture · Jan 19, 2015, 1:40 PM

Указывание гейтвея ничего не меняет.

dvserg · Jan 19, 2015, 1:48 PM

Может провайдер с IPv6 мутит? Попробуйте разрешить в правилах.

werter · Jan 19, 2015, 2:55 PM

Как вариант :

1. Взять на время железный роутер.
2. Разрешить на нем на WAN ping\icmp (да-да, бывает что и вручную разрешать надо на нек-ых моделях)
3. Проверить извне.

aekvulture · Jan 19, 2015, 4:35 PM

IPv6 тоже разрешал и никакого эффекта. Создаётся впечатление что предысторию никто не читал… Я же написал что на 2.0.3 всё работает, это вообще кто-нибудь учитывает?? Косяк появляется исключительно начиная с версии 2.1. Вот зачем мне проверять на железном роутере если и так известно что на 2.0.3 всё работает? Да и многие советы несостоятельны с оглядкой на этот факт.

werter · Jan 20, 2015, 6:42 AM

После обновления 2.0.3 -> 2.1 перестал работать Ping на мой внешний интерфейс.

Как вариант, обновляться последовательно, т.е. с 2.0.3 до последней 2.0.х. Затем до 2.1. И проверять , есть ли пинг на WAN.

Хотя, учитывая сколько времени вы угрохали на выяснение , мой вам совет - ставьте с нуля.