Perguntas[routing](computer)

Estamos tendo um problema com o Alma Linux 9.4 que não temos com nenhuma outra versão do Linux que usamos (a maioria delas), incluindo o RedHat e o CentOS. Quando colocamos várias placas NIC na caixa e configuramos uma rede em cada uma delas, temos a rota padrão definida para a NIC primária e sub-redes locais nas outras NICs (uma em cada). Configuramos com NMTUI e tudo parece bem. Configuramos da mesma forma que fizemos em dezenas de outros servidores (IPs diferentes aqui, é claro):

10.1.12.157/24 on NIC #1 (primary) with default gateway set to 10.1.12.1
192.168.10.99/32 on NIC #2
10.1.13.19/32 on NIC #3

Quando fazemos ping da CLI para fora (ou telnet para testar todas as 7 camadas do modelo OSI), ele funciona e roteia para fora o NIC apropriado. Podemos fazer ping em 10.1.12.1 no NIC1, podemos fazer ping em 192.168.10.129 no NIC2 e podemos fazer ping em 10.1.13.1 no NIC3... Também podemos fazer telnet.

É claro que reiniciamos o NetworkManager e baixamos/subimos cada interface, etc.

O problema é que se formos para uma caixa fora desta caixa na rede interna, só podemos:

• ping 10.1.12.157 de qualquer lugar
• ping 10.1.13.19 de uma caixa em
• 10.1.13.0/24 ping 192.168.10.99 de uma caixa em 192.168.10.0/24

No passado, no NMTUI, definimos um gateway em cada NIC para ser o gateway padrão (e adicionamos uma rota /24 em cada NIC, roteando o intervalo de IP da NIC para sua própria interface, por exemplo, 192.168.10.0/24 -> 192.168.10.99) e funcionou.

Mas no Alma Linux ele tenta adicionar 3 "rotas de gateway padrão", uma em cada NIC e ele quebra o roteamento e a caixa se torna inacessível. Nós não adicionamos rotas padrão em cada NIC porque fazer isso no Alma Linux adiciona essas rotas à tabela de roteamento como rotas padrão. Então aqui está a aparência da nossa tabela de roteamento agora:

# ip route show
default via 10.1.12.1 dev ens224 proto static metric 105 
10.1.12.0/24 dev ens224 proto kernel scope link src 10.1.12.157 metric 105 
10.1.13.0/24 via 10.1.13.19 dev ens256 proto static metric 103 
10.1.13.19 dev ens256 proto static scope link metric 103 
192.168.10.0/24 via 192.168.10.99 dev ens192 proto static metric 102 
192.168.10.99 dev ens192 proto static scope link metric 102 

Cada rede é uma VLAN e todas elas estão conectadas ao mesmo switch central CISCO.

Eu até tentei ativar o encaminhamento de IP ip4 no kernel e não ajudou.

/etc/sysctl.d/99-ipforward.conf contains "net.ipv4.ip_forward = 1" and run "sysctl -p" to activate.

Também defini a rota padrão como 10.1.12.1 em /etc/sysconfigs/network só para ter certeza.

Estou claramente esquecendo de algo simples, mas não consigo descobrir. Se alguém souber, por favor, me avise.

Obrigado! David

Eu tenho um problema estranho com o OpenVPN - parece que de alguma forma ele intercepta o tráfego 'local'.

Tenho PC + Notebook, ambos estão em paralelo conectados entre si via:

• WiFi - rede 192.168.0.x
• OpenVPN no mesmo WiFi - rede 192.168.7.x
• (opcionalmente) via LAN, cabo ethernet direto - rede 192.168.254.x

Quando tento copiar arquivos de um para outro no Windows - de \\192.168.0.x\sharepara \\192.168.0.y\shareobtenho uma velocidade de cerca de 5 MB/s. Isso é extremamente baixo e, após longos experimentos tentando descobrir o motivo, notei que, quando desligo o OpenVPN, a velocidade é restaurada ao normal ( ~25MB/spor WiFi e ~100MB/sLAN direta).

Alguma ideia do que está acontecendo lá? Como corrigir a velocidade?

...

Usando dicas em outro site, capturei o tráfego usando o Wireshark. Fora dele, vejo que a sessão SMB2 inicialmente se conecta em interfaces esperadas (192.168.0.160 -> 192.168.0.197), mas em algum momento sem motivo perceptível se reconecta em IPs da sub-rede OpenVPN (192.168.7.160 -> 192.168.7.60) . O estranho é que a reconexão SMB aconteceu aproximadamente 5 minutos depois que reiniciei a conexão OpenVPN, não imediatamente.

Ao criar um túnel IPv6 com tunnelbroker.net, o serviço Tunnel Broker atribui a você um endereço IPv6 cliente para ser usado no roteador e uma rede IPv6 roteada para ser usada pelos sistemas na rede.

No entanto, não tenho rede: tenho um único sistema com conectividade IPv4, a quem gostaria de dar também conectividade IPv6. Consigo configurar facilmente o túnel usando o endereço IPv6 do cliente (o serviço Tunnel Broker também tem exemplos de configuração), e isso já é suficiente para enviar tráfego IPv6.

Porém, isso não é o ideal: estou usando o endereço IPv6 do cliente, que deveria ser usado apenas para o túnel, como meu endereço de origem de tráfego IPv6. Por um lado mais prático, não consigo configurar a resolução rDNS para esse endereço, o que, por exemplo, prejudica minha capacidade de enviar e-mail por SMTP.

O que eu gostaria é que meu tráfego IPv6 fosse enviado como se fosse proveniente de um endereço na rede IPv6 roteada, mesmo que o host que envia o tráfego e o roteador que o encaminha pelo túnel sejam na verdade o mesmo sistema. Existe uma maneira razoável de configurar um sistema Linux (Debian) padrão para agir assim?

Eu tenho o problema de ter ping alto em um videogame online (Final Fantasy XIV), enquanto tenho ping normal fazendo qualquer outra coisa. Pelo que entendi, o motivo disso é que meu roteador está fazendo uma rota ruim (muito tráfego) para os servidores do jogo.

Portanto, minha pergunta é como/se posso modificar a rota que meu speedport está seguindo.

Quando executo route printno prompt de comando da minha máquina Windows, a tabela de roteamento IPv4 do dispositivo está sendo exibida? É a tabela do roteador ao qual meu computador está conectado?

Minha conexão com a Internet tem perda de pacotes, mas apenas para pacotes TCP SYN e apenas para alguns sites. Tentando convencer a linha direta de suporte do meu ISP de que há um problema quando os únicos exemplos que posso dar são um site chamado "hacker news" com um domínio ainda mais incomum (ycombinator) e meu próprio email/web/etc. servidor hospedado em uma conexão residencial... o suporte por telefone abre um ticket, mas no dia seguinte é fechado com "nenhum problema foi identificado na linha". Eu tentei fazer com que eles escrevessem detalhes no ticket como "isso diz respeito a pacotes SYN", mas duas vezes eles fecharam o ticket e é uma dor enorme ao tentar acessar meu e-mail, lista de compras, etc. muitas coisas para mim).

Se eu pudesse mostrar a eles uma lista completa de sites que estão tendo problemas, isso soaria mais como um problema legítimo e também é muito menos provável que seja um problema de um site específico.

_{Já descartei que é problema do próprio site, mas os detalhes para isso estão além do escopo desta pergunta (não estou procurando ajuda para diagnosticar o problema, já sei que está fora do meu controle).}

Em um traceroute consigo ver dois roteadores (hop 4, ae0 e ae1), dentro da rede do ISP, onde começa a perda de pacotes:

$ sudo mtr 45.80.169.218 --tcp -P 80  # the port does not matter
                                                             Packets  
 Host                                                      Loss%   Snt
 1. <my own router>                                         0.0%    59
 2. loopback1.0001.acln.02.dus.de.net.telefonica.de         0.0%    59
 3. ae14-0.0002.dbrx.02.dus.de.net.telefonica.de            0.0%    59
    ae14-0.0001.dbrx.02.dus.de.net.telefonica.de
 4. ae1-0.0003.prrx.02.dus.de.net.telefonica.de            51.7%    58
    ae0-0.0003.prrx.02.dus.de.net.telefonica.de
 5. ae2-100-grtdusix1.net.telefonicaglobalsolutions.com    47.4%    58
 6. 176.52.248.83                                          37.9%    58
 7. 94.144.107.49                                          50.0%    58
 8. ae-2.r21.frnkge13.de.bb.gin.ntt.net                    47.4%    58
 9. ae-7.r21.amstnl07.nl.bb.gin.ntt.net                    43.9%    58
10. ae-1.a01.amstnl09.nl.bb.gin.ntt.net                    52.6%    58
11. xe-1-5-0-3.a01.amstnl09.nl.ce.gin.ntt.net              49.1%    58
12. cr0.nikhef.nl.fusixnetworks.net                        53.4%    58
13. ae1-1197.core0.fi001.nl.freedomnet.nl                  54.4%    58
14. connected.by.freedom.nl                                49.1%    58
15. lucgommans.nl                                          59.6%    58

Como posso encontrar mais sites/redes que passam por esse roteador com defeito?

Eu tentei olhar em um espelho BGP, para ver se eu posso encontrar algumas redes que roteiam através deste sistema, mas eu não sou muito versado em roteamento global o suficiente para realmente saber o que estou vendo. Talvez eu precise procurar nas informações de roteamento interno do meu ISP (igp em vez de bgp, se entendi corretamente)? Nesse caso, a resposta seria "você não pode fazer isso" (a não ser apenas adivinhação de força bruta), certo?

Eu tenho uma conexão WiFi ( NG5on wlp2s0) para navegação principal na Internet e uma VPN ( Ufficioon ppp0) para "conversar" com a rede do escritório. É isso.

Um servidor GIT personalizado meu permite conexão apenas do IP público do escritório, então eu configuro o roteamento para que a conversa com esse servidor aconteça por meio de VPN. Bem direto.

Configurei essa rota VPN direta usando a GUI de configurações do GNOME (suponha gateway VPN remoto 192.168.157.100)

e routeconfirma que ( GITé um alias /etc/hostspara esse IP de destino)

OK. Mas não funciona, pois quando a conexão VPN sobe, no roteamento aparecem poucas entradas "GIT" selvagens que apontam para gateway local com métrica 0, tendo precedência sobre minha rota direta. A conexão com o servidor GIT continua acontecendo através do meu roteador doméstico, isso está errado.

Quero dizer, isso é routeantes de aumentar a VPN

e isso é logo depois nmcli c u Ufficio(aquelas marcadas em amarelo são as entradas geradas)

A QUESTÃO

De onde vêm essas entradas (exceto para GIT/ppp0rota)? etcEu procurei por eles e eles não estão no roteamento VPN, nem no wifi, e também não nas configurações ou arquivos do NetworkManager . Estou preso. Qualquer explicação adicional sobre o assunto é bem-vinda, pois ainda é bastante obscuro para mim. TIA.

ATUALIZAR

Seguindo a sugestão dos comentários, executei ip route(como routeestá desatualizado) e a seguir estão as rotas para esse servidor GIT. O último é meu, mas de onde podem vir os outros dois? (A propósito, esse 192.168.1.90é meu IP local)

Em algumas pesquisas que fiz na internet, encontrei a informação de que as portas ethernet de um roteador são usadas para criar redes diferentes, isso pode ser feito conectando switches em cada porta ethernet do roteador, e na interface de rede de cada roteador (porta ethernet ) deveria receber um IP que seria o endereço de gateway para os HOSTs conectados aos switches, ou seja, cada porta ethernet do roteador seria uma rede diferente.

Mas acabei encontrando em outros artigos lendo na internet a informação de que as portas ethernet de um roteador realmente servem para o roteador conectar HOSTs e não redes diferentes como na explicação anterior. Gostaria de saber qual explicação seria a correta, desde já agradeço.

No Ubuntu 18.04, quando listo minhas rotas, recebo a seguinte saída:

root@ubuntu1804:~# ip route ls
default via 192.168.122.1 dev ens3 proto dhcp src 192.168.122.236 metric 100 
192.168.122.0/24 dev ens3 proto kernel scope link src 192.168.122.236 
192.168.122.1 dev ens3 proto dhcp scope link src 192.168.122.236 metric 100 

Não entendo por que a segunda entrada 192.168.122.1está listada e por que não possui uma máscara. Parece ser o IP do gateway, mas isso não acontece em outras distros. Segue minha configuração de rede:

root@ubuntu1804:~# ifconfig 
ens3: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.122.236  netmask 255.255.255.0  broadcast 192.168.122.255
        inet6 fe80::5054:ff:fe83:1bdf  prefixlen 64  scopeid 0x20<link>
        ether 52:54:00:83:1b:df  txqueuelen 1000  (Ethernet)
        RX packets 657141  bytes 903750345 (903.7 MB)
        RX errors 0  dropped 1128  overruns 0  frame 0
        TX packets 161481  bytes 12399386 (12.3 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 8366  bytes 15784491 (15.7 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 8366  bytes 15784491 (15.7 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0


root@ubuntu1804:~# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.122.1   0.0.0.0         UG    100    0        0 ens3
192.168.122.0   0.0.0.0         255.255.255.0   U     0      0        0 ens3
192.168.122.1   0.0.0.0         255.255.255.255 UH    100    0        0 ens3

No fedora, por exemplo, não vejo essas rotas. A saída que recebo ao listar rotas é:

[root@myhost ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.100.1   0.0.0.0         UG    100    0        0 eth0
0.0.0.0         172.16.100.1    0.0.0.0         UG    101    0        0 eth1
172.16.100.0    0.0.0.0         255.255.255.0   U     101    0        0 eth1
192.168.100.0   0.0.0.0         255.255.255.0   U     100    0        0 eth0

Eu tenho uma interface wireguard wg_vpn, mas eu não quero que ela seja global, então eu adiciono a linha "Table = off" ao wg_vpn.conf para evitar que wg-quick modifique a tabela de rotas.

Eu também tenho uma interface openvpn/wireguard tun0/wg0, e os clientes podem acessar meu servidor através dela. Eu criei estas regras do iptables:

    iptables -t nat -A POSTROUTING -o wg_vpn  -j MASQUERADE
    iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
    iptables -A FORWARD -i wg0 -o wg_vpn -j ACCEPT
    
    ip6tables -t nat -A POSTROUTING -o wg_vpn  -j MASQUERADE
    ip6tables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
    ip6tables -A FORWARD -i wg0 -o wg_vpn -j ACCEPT

Mas eles não funcionam, a menos que eu torne wg_vpn global por:

    ip route add default dev wg_vpn
    ip -6 route add default dev wg_vpn

Então eles trabalham.

Mas eu só quero encaminhar tun0/wg0 para wg_vpn sem modificar a tabela de rotas global, então posso saber como conseguir isso?

Desde já, obrigado!