问题[routing](computer)

我们在使用 Alma Linux 9.4 时遇到了一个问题，而我们使用的任何其他版本的 Linux（大多数）都没有这个问题，包括 redhat 和 CentOS。当我们将多个 NIC 卡放入盒子中并在每个卡上设置网络时，我们会设置主 NIC 的默认路由，并在其他 NIC 上设置本地子网（每个 NIC 一个）。我们使用 NMTUI 进行设置，一切看起来都很好。我们以与在数十台其他服务器上相同的方式进行设置（当然，这里的 IP 不同）：

10.1.12.157/24 on NIC #1 (primary) with default gateway set to 10.1.12.1
192.168.10.99/32 on NIC #2
10.1.13.19/32 on NIC #3

当我们从 CLI 向外 ping 时（或通过 telnet 测试 OSI 模型的所有 7 层），它会正常工作并路由出相应的 NIC。我们可以在 NIC1 上 ping 10.1.12.1，可以在 NIC2 上 ping 192.168.10.129，可以在 NIC3 上 ping 10.1.13.1...我们也可以 telnet。

当然，我们已经重新启动了 NetworkManager，并关闭/打开了每个接口等等。

问题是，如果我们进入内部网络上此盒子外面的盒子，我们只能：

• 从任何地方 ping 10.1.12.157
• 从一个框 ping 10.1.13.19
• 10.1.13.0/24 从 192.168.10.0/24 上的盒子 ping 192.168.10.99

在 NMTUI 中，我们过去曾将每个 NIC 上的网关设置为默认网关（并在每个 NIC 路由上添加了一条路由 /24，该路由将 NIC 的 IP 范围添加到它自己的接口，例如 192.168.10.0/24 -> 192.168.10.99），并且它已经起作用了。

但在 alma linux 下，它会尝试添加 3 个“默认网关路由”，每个 NIC 一个，这会中断路由，导致盒子无法访问。我们没有在每个 NIC 上添加默认路由，因为在 Alma Linux 上这样做会将这些路由作为默认路由添加到路由表中。因此，我们的路由表现在如下所示：

# ip route show
default via 10.1.12.1 dev ens224 proto static metric 105 
10.1.12.0/24 dev ens224 proto kernel scope link src 10.1.12.157 metric 105 
10.1.13.0/24 via 10.1.13.19 dev ens256 proto static metric 103 
10.1.13.19 dev ens256 proto static scope link metric 103 
192.168.10.0/24 via 192.168.10.99 dev ens192 proto static metric 102 
192.168.10.99 dev ens192 proto static scope link metric 102 

每个网络都是一个 VLAN，所有这些都插入同一个 CISCO 核心交换机。

我甚至尝试在内核中打开 ip4 ip 转发，但没有帮助。

/etc/sysctl.d/99-ipforward.conf contains "net.ipv4.ip_forward = 1" and run "sysctl -p" to activate.

为了确保万无一失，我还在 /etc/sysconfigs/network 中将默认路由设置为 10.1.12.1。

我显然遗漏了一些简单的东西，但我就是想不通。如果有人知道，请告诉我。

谢谢！David

我对 OpenVPN 有一个奇怪的问题 - 它似乎以某种方式拦截“本地”流量。

我有 PC + 笔记本，两者通过以下方式并联：

• WiFi - 网络 192.168.0.x
• 通过相同 WiFi 的 OpenVPN - 网络 192.168.7.x
• （可选）通过 LAN、直接以太网电缆 - 网络 192.168.254.x

当我尝试在 Windows 上将文件从一个文件复制到另一个文件时 - 从\\192.168.0.x\share到 ，\\192.168.0.y\share我得到的速度约为 5MB/s。这个速度非常低，经过长时间的实验试图找出原因，我注意到当我关闭 OpenVPN 时，速度恢复正常（~25MB/s通过 WiFi 和~100MB/s直接 LAN）。

有什么想法吗？如何固定速度？

...

根据另一个站点上的提示，我使用 Wireshark 捕获了流量。从其中我看到 SMB2 会话最初连接到预期的接口 (192.168.0.160 -> 192.168.0.197)，但随后在某个时间点没有明显原因地重新连接到来自 OpenVPN 子网的 IP (192.168.7.160 -> 192.168.7.60) 。奇怪的是，SMB 重新连接发生在我重新启动 OpenVPN 连接后大约 5 分钟，而不是立即发生。

当使用 tunnelbroker.net 创建 IPv6 隧道时，隧道代理服务会为您分配一个客户端 IPv6 地址以在路由器上使用，并为网络中的系统分配一个路由 IPv6 网络。

但是，我没有网络：我有一个具有 IPv4 连接的单一系统，我也想为其提供 IPv6 连接。我可以使用客户端 IPv6 地址轻松配置隧道（Tunnel Broker 服务也有配置示例），这已经足够发送 IPv6 流量了。

不过，这并不理想：我正在使用客户端 IPv6 地址，该地址仅用于隧道，作为我的 IPv6 流量源地址。在更实际的方面，我无法为该地址配置 rDNS 解析，这会削弱我通过 SMTP 发送电子邮件的能力。

我想要的是发送我的 IPv6 流量，就好像它来自路由 IPv6 网络中的地址一样，即使发送流量的主机和通过隧道转发它的路由器实际上是同一个系统。有没有一种合理的方法来配置标准的 Linux (Debian) 系统来实现这一点？

我遇到在线视频游戏（《最终幻想 XIV》）中 ping 值很高的问题，而其他任何事情的 ping 值都正常。据我了解，原因是我的路由器连接到游戏服务器的路由错误（流量很大）。

所以我的问题是如何/是否可以修改我的 speedport 所走的路线。

当我route print在 Windows 机器的命令提示符下运行时，显示的是哪个设备的 IPv4 路由表？是我的电脑连接的路由器的表吗？

我的互联网连接有数据包丢失，但仅适用于 TCP SYN 数据包，并且仅适用于少数网站。试图说服我的 ISP 的支持热线，当我能给出的唯一例子是一个名为“黑客新闻”的网站时，它有一个更不寻常的域 (ycombinator) 和我自己的电子邮件/网络/等。托管在住宅连接上的服务器...电话支持打开一张票，但第二天它被关闭，“在线上没有发现任何问题”。我试图让他们在票证中写下详细信息，例如“它涉及 SYN 数据包”，但是现在他们刚刚关闭了票证两次，并且在尝试访问我的电子邮件、购物清单等时非常痛苦。（我主持了一个很多东西给我自己）。

如果我可以向他们展示所有有问题的网站的完整列表，这听起来更像是一个合法的问题，而且不太可能是特定网站自己的问题。

_{我已经排除了这是网站自己的问题，但细节超出了这个问题的范围（我不是在寻求诊断问题的帮助，我已经知道它超出了我的控制范围）。}

在 traceroute 中，我可以看到 ISP 网络中的两个路由器（跃点 4、ae0 和 ae1），其中数据包丢失开始：

$ sudo mtr 45.80.169.218 --tcp -P 80  # the port does not matter
                                                             Packets  
 Host                                                      Loss%   Snt
 1. <my own router>                                         0.0%    59
 2. loopback1.0001.acln.02.dus.de.net.telefonica.de         0.0%    59
 3. ae14-0.0002.dbrx.02.dus.de.net.telefonica.de            0.0%    59
    ae14-0.0001.dbrx.02.dus.de.net.telefonica.de
 4. ae1-0.0003.prrx.02.dus.de.net.telefonica.de            51.7%    58
    ae0-0.0003.prrx.02.dus.de.net.telefonica.de
 5. ae2-100-grtdusix1.net.telefonicaglobalsolutions.com    47.4%    58
 6. 176.52.248.83                                          37.9%    58
 7. 94.144.107.49                                          50.0%    58
 8. ae-2.r21.frnkge13.de.bb.gin.ntt.net                    47.4%    58
 9. ae-7.r21.amstnl07.nl.bb.gin.ntt.net                    43.9%    58
10. ae-1.a01.amstnl09.nl.bb.gin.ntt.net                    52.6%    58
11. xe-1-5-0-3.a01.amstnl09.nl.ce.gin.ntt.net              49.1%    58
12. cr0.nikhef.nl.fusixnetworks.net                        53.4%    58
13. ae1-1197.core0.fi001.nl.freedomnet.nl                  54.4%    58
14. connected.by.freedom.nl                                49.1%    58
15. lucgommans.nl                                          59.6%    58

如何找到更多通过此故障路由器的网站/网络？

我尝试在 BGP 观察镜中查看是否可以找到一些可以通过该系统进行路由的网络，但我对全局路由的了解还不够，无法真正知道我在看什么。也许我需要查看我的 ISP 的内部路由信息（如果我理解正确的话，是 igp 而不是 bgp）？在那种情况下，答案将是“你不能这样做”（只是暴力猜测），对吧？

我有一个用于主要互联网冲浪的 WiFi 连接（NG5打开）和一个用于与办公室网络“交谈”wlp2s0的 VPN（Ufficio打开）。ppp0而已。

我的一个自定义 GIT 服务器只允许来自办公室公共 IP 的连接，所以我设置了路由，以便通过 VPN 与该服务器进行通信。很简单。

我使用 GNOME 设置 GUI 配置了直接 VPN 路由（假设远程 VPN 网关192.168.157.100）

并route确认 (GIT是/etc/hosts该目标 IP 的别名)

好的。但它不起作用，因为当 VPN 连接启动时，路由中会出现很少的野“GIT”条目，这些条目指向具有 metric 0 的本地网关，优先于我的直接路由。通过我的家用路由器连接到 GIT 服务器，这是错误的。

我的意思是，这是route在升级 VPN 之前

这是紧随其后nmcli c u Ufficio（那些黄色标记的是产生的条目）

问题

这些条目来自哪里（GIT/ppp0路线除外）？我 grepped 了这些，它们不在 VPN 路由中，也不在 wifi 路由中，也不在 NetworkManager 配置或etc文件中。我被困住了。欢迎对这个主题进行任何进一步的解释，因为它对我来说仍然很模糊。TIA。

更新

根据评论的建议，我ip route改为运行（因为route已过时），以下是该 GIT 服务器的路由。最后一个是我的，但其他两个可能来自哪里？（顺便说一下这192.168.1.90是我的本地IP）

在网上的一些研究中，我发现了路由器的以太网端口用于创建不同网络的信息，这可以通过将交换机连接到路由器上的每个以太网端口，以及每个路由器的网络接口（以太网端口) 应该收到一个 IP，该 IP 将是连接到交换机的主机的网关地址，换句话说，路由器的每个以太网端口都是不同的网络。

但我最终在互联网上阅读的其他文章中找到了路由器的以太网端口实际上为路由器连接主机而不是前面解释的不同网络的信息。我想知道哪种解释是正确的，在此先感谢。

在 Ubuntu 18.04 上，当我列出我的路线时，我得到以下输出：

root@ubuntu1804:~# ip route ls
default via 192.168.122.1 dev ens3 proto dhcp src 192.168.122.236 metric 100 
192.168.122.0/24 dev ens3 proto kernel scope link src 192.168.122.236 
192.168.122.1 dev ens3 proto dhcp scope link src 192.168.122.236 metric 100 

我不明白为什么192.168.122.1列出第二个条目以及为什么它没有掩码。它似乎是网关的 IP，但这在其他发行版上不会发生。以下是我的网络配置：

root@ubuntu1804:~# ifconfig 
ens3: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.122.236  netmask 255.255.255.0  broadcast 192.168.122.255
        inet6 fe80::5054:ff:fe83:1bdf  prefixlen 64  scopeid 0x20<link>
        ether 52:54:00:83:1b:df  txqueuelen 1000  (Ethernet)
        RX packets 657141  bytes 903750345 (903.7 MB)
        RX errors 0  dropped 1128  overruns 0  frame 0
        TX packets 161481  bytes 12399386 (12.3 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 8366  bytes 15784491 (15.7 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 8366  bytes 15784491 (15.7 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0


root@ubuntu1804:~# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.122.1   0.0.0.0         UG    100    0        0 ens3
192.168.122.0   0.0.0.0         255.255.255.0   U     0      0        0 ens3
192.168.122.1   0.0.0.0         255.255.255.255 UH    100    0        0 ens3

例如，在 Fedora 中，我看不到这些路线。列出路线时我得到的输出是：

[root@myhost ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.100.1   0.0.0.0         UG    100    0        0 eth0
0.0.0.0         172.16.100.1    0.0.0.0         UG    101    0        0 eth1
172.16.100.0    0.0.0.0         255.255.255.0   U     101    0        0 eth1
192.168.100.0   0.0.0.0         255.255.255.0   U     100    0        0 eth0

我有一个wireguard接口wg_vpn，但我不希望它是全局的，所以我在wg_vpn.conf中添加了“Table = off”这一行，以防止wg-quick修改路由表。

我还有一个openvpn/wireguard接口tun0/wg0，客户端可以通过它访问我的服务器。我创建了这些 iptables 规则：

    iptables -t nat -A POSTROUTING -o wg_vpn  -j MASQUERADE
    iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
    iptables -A FORWARD -i wg0 -o wg_vpn -j ACCEPT
    
    ip6tables -t nat -A POSTROUTING -o wg_vpn  -j MASQUERADE
    ip6tables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
    ip6tables -A FORWARD -i wg0 -o wg_vpn -j ACCEPT

但是它们不起作用，除非我通过以下方式使 wg_vpn 全局化：

    ip route add default dev wg_vpn
    ip -6 route add default dev wg_vpn

然后他们工作。

但是我只想将tun0/wg0转发到wg_vpn而不修改全局路由表，请问我知道如何实现吗？

提前致谢！