August 30th, 2018

Cat-light

Подстава с conntrack (SIP, FTP, PPTP) в последних релизах OpenWRT

Как-то тихонько, между делом под шумок зарелизился OpenWRT 18.06.01.

Коллега по цеху пожаловался, что свежие версии OpenWRT не хотят пропускать через себя PPTP-соединения изнутри локальной сети на вражеские ресурсы. Даже несмотря на установленный пакет "kmod-nf-nathelper-extra" и подключенные к ядру модули соответствующих трассировщиков. Ну не понимает оно, что эти GRE-пакетики относятся к тому же самому соединению. Равно как и не работают остальные "сложносочинённые" протоколы типа SIP или FTP.

Отгадка оказалась простой. Теперь по умолчанию параметр ядра "net.netfilter.nf_conntrack_helper" почему-то выставлен в 0, а не в 1, как в более старых версиях. Поэтому модули подгружаются, но не активируются. Вот и не понимает ядрышко что куда и зачем NATится.

Логика разработчиков не очень понятна. Но решение простое. Суём в папку "/etc/sysctl.d/" текстовый файлик "что-нибудь.conf", а внутри него пишем "net.netfilter.nf_conntrack_helper=1". Ну и сам пакетик с модулями, конечно, не забываем поставить. Дальше либо применяем эту настройку лапами, либо перезагружаем роутер. Всё.

Имейте в виду.