Несколько дней разбирался почему игрушка Modern Warfare 2 не переходит в хост-режим. Поставил сниффер, всё тщательно изучил: на adsl-роутерах работает (4 штуки разных пробовал, и UPnP везде выключено), а на DFL-210 - облом, судя по логам DFL ответы главного сервера приходят на случайные номера портов (которые никто не слушает).

И сейчас, включил логгинг исходящих(!) NAT-правил - и всё понял!!!

[2010-03-13 02:59:03] FW: CONN: prio=1 id=00600004 rev=1 event=conn_open_natsat rule=Allow_All conn=open connipproto=UDP connrecvif=lan connsrcip=192.168.1.2 connsrcport=28960 conndestif=wan1 conndestip=63.241.188.230 conndestport=1500 connnewsrcip=95.84.---.--- connnewsrcport=37269 connnewdestip=63.241.188.230 connnewdestport=1500

DFL почему-то переписывает номер исходящего порта!!!
Было - connsrcport=28960 - игрушка на приём ждёт туда затем ответы от координирующего сервера.
А ответы приходят на порт connnewsrcport=37269 !!!

Облазил вроде всё.
Не могу понять как ему запретить изменение адреса порта отправителя ???
Почему он это делает ???

_________________
DFL-260E A1 v.12.00.13.05-34465; DFL-210 A4 v.2.27.08.03-22678; DAP-2310 A1 v.1.16

DFL не делает симметричного NAT (что делают ваши модемы). А выражается это как раз в смене исходящего порта (connnewsrcport).

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Почему ? Будет ли в новых прошивках это исправлено ?

Какой есть роутер по функционалу не хуже DFL-210 но не имеющий проблем с NAT ?


Кстати, в правиле SAT указание на новый порт назначения ничего не меняет! Нужный пакет успешно правилом ловится (по IP отправителя), форвардится внутрь сети. Но порт назначения остаётся прежним (хотя в правиле указано что порт надо изменить) - смотря потом на компе сниффером.

_________________
DFL-260E A1 v.12.00.13.05-34465; DFL-210 A4 v.2.27.08.03-22678; DAP-2310 A1 v.1.16

Как говорится, "это не баг, это фича". Почитайте про типы NAT, симметричный не реализован скорее всего потому, что в условиях многих клиентов он становится невозможным (могут возникнуть более одного клиента, которые хотят установить соединение с одного и того же порта). По поводу реализации - вопрос не ко мне.

При SAT и не нужно ничего менять в портах т.к. для внутреннего хоста все выглядит ровно как будто пакет напрямую пришел извне.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Там оказался не совсем адекватный перевод - если в сервисах был диапазон портов - то в SAT правилах задаётся начало диапазона… Собирать диапазон в один порт - DFL не умеет


Сейчас у меня возникла другая идея - исходный пакет во внешний мир запустить без NAT. А через SAT. Указал в правилах изменение IP источника на wan1_ip. Следующее правило - Allow.
Однако похоже пакет уходит в интернет с приватным адресом…

_________________
DFL-260E A1 v.12.00.13.05-34465; DFL-210 A4 v.2.27.08.03-22678; DAP-2310 A1 v.1.16

"Собирать в один порт" - именно то самое new port.

По поводу "попробовать SAT" - в параметрах SAT выберите new source = wan_ip. Попробуйте с Allow и NAT. Как вариант - forward fast, но тогда надо будет делать обратные правила.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Я тоже так думал, но после долгих экспериментов, и затем чтения мануала - оказалось что не умеет он собирать в один порт - это опция указывает начало диапазона. Если в сервисе порт назначения 0-65535, а в SAT указано что назначить новый порт 22222 - то пакет адресованный порту 33333 в реальности переадресуется на порт 55555…

Пробовал по всякому. В wan_ip он почему-то подставляет какие-то неадекватные цифры, то вообще не трогает его, то пишет 127.0.0.1… FastFwd и Allow - одинаково проблема. NAT - работает, но переписывает и IP и порт (хотя в логе и пишет что правило NAT использовало предыдущее SAT-правило)… Вероятно я не понимаю какой-то логики, а в мануале про изменение в SAT исходящего адреса ничего не сказано вообще.

_________________
DFL-260E A1 v.12.00.13.05-34465; DFL-210 A4 v.2.27.08.03-22678; DAP-2310 A1 v.1.16

а если включить логгинг исходящих NAT-правил для веб-браузера, меняется ли значение connsrcport ?

Да, конечно меняется. Я же писал - DFL не делает статический (симметричный) NAT

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

прошу ответить автора темы

Ну в мануале написано что NAT тут всегда номер исходящего порта меняет.

_________________
DFL-260E A1 v.12.00.13.05-34465; DFL-210 A4 v.2.27.08.03-22678; DAP-2310 A1 v.1.16

т.е. браузеру это не мешает работать ?

Браузеру все равно - там ответ приходит в рамках одной TCP сессии.
В случае с играми/IP-телефонией сервер "запоминает" порт, с которого пришла регистрация (а он для сервера естественно отличается от того, что был от клиента) и потом пытается отправлять пакеты на тот же (получается неправильный) порт.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

т.е. надо объяснить игрушке, что она находится за натом и должна поддерживать соединение (как скайп)

Ну, я активно пользуюсь всякими SIP, а так-же skype - ни с кем проблем нету. Постоянного портфорварда им не требуется, а обратные пакеты нормально как раз перенаправляются на нужный внутренний порт т.к. NAT помнит это.

Насколько я понимаю, проблемы возможны только с тем софтом который требует постоянного портфорварда - всякие автономные сервера. И если удалённый софт будет заниматся самопоиском ответного открытого порта (чего я ни разу не видел - обычно порт для каждого приложения стандартен, либо явно передаётся в пакете)

Игрушка MW2 - это особый случай криворукости авторов - у неё везде заявлен фиксированный порт, и возможности его смены нет, но сервер самодиагностики IWNet - использует номер исходящего порта для встречной проверки (причём, он эту проверку делает вообще с другого совсем IP), хотя сама игрушка кроме как на 28960 отвечать не умеет. Впрочем, проблему с MW2 я решил с другой стороны - просниферил её работу и написал имитатор некоторых запросов/ответов IWNet с коррекцией данных, и на DFL-210 перенаправил его - всё отлично удалось, теперь MW2 работает в роли хоста.

_________________
DFL-260E A1 v.12.00.13.05-34465; DFL-210 A4 v.2.27.08.03-22678; DAP-2310 A1 v.1.16