Uma configuração DHCP. Meu roteador relata um uplik diferente do que
ip = requests.get('https://api.ipify.org').text
faz.
Aqui está um exemplo:
$ curl https://api.ipify.org
46.10.148.15
mas o roteador ainda informa o IP de saída como 10.algo.
Pergunta: Como o IP informado pelo roteador se relaciona com o IP que vejo de serviços externos?
Tenho o seguinte código rodando no meu servidor para me permitir fazer SSH no meu servidor mesmo quando o servidor está conectado a uma VPN. O código abaixo roda como um serviço após a inicialização.
ip addr add 192.168.1.113 dev enp1s0 label enp1s0:0
ip rule add from 192.168.1.113 table 402
ip route add default via 192.168.1.1 dev enp1s0:0 table 402
Isso funciona com o OpenVPN, mas não com o WireGuard porque meu cliente WireGuard adiciona algumas regras antes da minha regra acima.
0: from all lookup local
32761: from all lookup main suppress_prefixlength 0
32762: not from all fwmark 0xca6c lookup 51820
32763: from 192.168.1.113 lookup 402
32766: from all lookup main
32767: from all lookup default
Se eu adicionar a regra from 192.168.1.113 lookup 402depois da conexão wireguard, então posso usar SSH no servidor. Então, estou assumindo que é uma questão de prioridade.
Como posso garantir que minha regra ( 32763) mantenha a prioridade mesmo depois que o Wireguard se conectar e adicionar essas duas regras ( 32761, )?32762
SOLUÇÃO COM FALHA:
Aprendi que os números à esquerda são prioridades. Então, tentei definir a prioridade da minha regra mais baixa.
ip rule add from 192.168.1.113 table 402 prio 300
.. mas depois que me conectei à VPN Wireguard, o cliente Wireguard simplesmente colocou suas regras abaixo das minhas em prioridade 299, e 298.
298: from all lookup main suppress_prefixlength 0
299: not from all fwmark 0xca6c lookup 51820
300: from 192.168.1.113 lookup 402
Existe alguma maneira de evitar isso? Acho que eu poderia colocar um PostUpcomando no arquivo de configuração do wireguard que altera a prioridade, mas sinto que tem que haver uma solução mais limpa.
Para encontrar uma entrada correspondente na tabela de rotas, um AND bitwise será aplicado ao IP de destino e à máscara de rede na tabela de rotas. Gostaria de saber se o AND bitwise TAMBÉM será aplicado ao "Destino de Rede" da entrada atual na tabela de rotas e à máscara de rede, então os dois resultados AND são comparados; ou, há apenas um AND (o IP de destino e a máscara de rede) e o resultado é comparado diretamente ao "Destino de Rede" na tabela de rotas?
Estou conectado por meio de uma VPN e quero que algumas contas de usuário a ignorem. A interface VPN é tap0(IP é 172.16.xx), a principal é wlan0(IP é 192.168.10.3). Todo o tráfego regular vai para a Internet via tap0.
Criei uma segunda tabela de roteamento e adicionei uma uidregra:
# ip route add default via 192.168.10.1 dev wlan0 proto static table 2
# ip rule add uidrange 1001-1001 table 2
# ip route show table 2
default via 192.168.10.1 dev wlan0
Espero que o tráfego do usuário saia wlan0com o IP de origem 192.168.10.3. No entanto, o tráfego do usuário afetado tem o IP da wlan0interface, mas sai na tap0interface errada (e então não vai a lugar nenhum). Sem a regra, o tráfego vai normalmente via tap0.
Estranhamente, ip route getmostra o que eu esperaria. Com a regra em vigor:
$ ip route get 8.8.4.4
8.8.4.4 via 192.168.10.1 dev wlan0 table 2 src 192.168.10.3 uid 1001
cache
Sem a regra:
$ ip route get 8.8.4.4
8.8.4.4 via 172.16.0.1 dev tap0 src 172.16.0.102 uid 1001
cache
Também tentei adicionar dev wlan0e proto staticà tabela de roteamento, mas não mudou nada. Não tenho absolutamente nada em iptables, todas as políticas definidas para ACCEPT. Também tentei iptables -t nat -A POSTROUTING -o wlan0 -j MASQUERADE, mas não ajudou (obviamente porque o tráfego sai em tap0). Também defini rp_filtercomo zero em todos os lugares.
Em qualquer caso, o usuário pode executar ping com sucesso no wlan0gateway em 192.168.10.1. Obrigado pela ajuda.
Olá, gostaria de alguns conselhos sobre como usar o VyOS para um tipo específico de NAT.
Tenho uma situação em que gostaria de fazer NAT de uma conexão correspondida no endereço de destino e na porta de destino. Mas gostaria de traduzir não apenas a porta de destino, mas também o endereço de origem. Então, preciso de um DNAT e um SNAT correspondente.
Haverá várias conexões, e a ideia é que elas obtenham endereços de origem diferentes com base no destino original e sejam redirecionadas para um destino comum.
O problema é que o DNAT vai primeiro, e como ele traduz o destino, não sei o que combinar no SNAT. Se eu conseguisse fazer o SNAT acontecer primeiro, isso resolveria o problema. Ou se eu conseguisse de alguma forma "marcar" a conexão com o DNAT e então combinar isso no SNAT, isso também funcionaria.
Aqui está um exemplo de duas conexões, onde inventei um recurso de marcação de conexão inexistente para ilustrar o que quero fazer:
set nat destination rule 89 destination address 192.168.222.222
set nat destination rule 89 destination port 10089
set nat destination rule 89 translation port 10000
set nat destination rule 89 modify mark '89'
set nat source rule 89 connection mark '89'
set nat source rule 89 translation address 10.1.1.89
set nat destination rule 96 destination address 192.168.222.222
set nat destination rule 96 destination port 10096
set nat destination rule 96 translation port 10000
set nat destination rule 96 modify mark '96'
set nat source rule 96 connection mark '96'
set nat source rule 96 translation address 10.1.1.96
Observe que ambas as conexões são traduzidas para o mesmo destino, então não posso usar isso na regra SNAT.
Existe alguma maneira de fazer SNAT antes de DNAT ou conseguir o que quero de alguma outra forma no VyOS?
Outras coisas a serem observadas:
EDIT: Acho que seria possível se eu estivesse usando o iptables em vez do VyOS assim:
iptables -t mangle -A PREROUTING -d 192.168.222.222 -p tcp --dport 10106 -j CONNMARK --set-mark 89
iptables -t nat -A PREROUTING -d 192.168.222.222 -p tcp --dport 10089 -j DNAT --to-destination 192.168.222.222:10000
iptables -t nat -A POSTROUTING -m connmark --mark 89 -j SNAT --to-source 10.1.1.89
iptables -t mangle -A PREROUTING -d 192.168.222.222 -p tcp --dport 10096 -j CONNMARK --set-mark 96
iptables -t nat -A PREROUTING -d 192.168.222.222 -p tcp --dport 10096 -j DNAT --to-destination 192.168.222.222:10000
iptables -t nat -A POSTROUTING -m connmark --mark 96 -j SNAT --to-source 10.1.1.96
Se o iptables consegue fazer isso, eu imagino que o VyOS também consiga... mas talvez não?
No AlmaLinux 9, o NetworkManager deve ser usado para definir conexões. No datacenter que usamos, uma rota tem que ser definida para usar IP personalizado da máquina virtual. Fiz progresso na definição de IPs no host, mas não consegui fazer o NetworkManager criar a rota na reinicialização, mas com este comando a rede está funcionando:
ip route add default via 192.168.0.1 dev ens18 onlink src 94.23.81.XXX
Não estou familiarizado com o formato de arquivo nmconnection, então não consegui fazê-lo com o NetworkManager. Onde devo colocar esse comando ou em qual arquivo posso definir essa rota padrão e única?
Obrigado.
Descrição
Meu objetivo é fazer ping na Máquina C ( 10.223.0.7) da Máquina A ( 10.101.0.40)
Tenho 2 redes e 3 máquinas
Rede A:10.223.0.0/24
Rede B:10.101.0.0/16
Máquina A (o "pinger"): 10.101.0.40(no eth5)
Máquina B (o "roteador"): 10.101.2.97(no ens7) e 10.223.0.1(no wg0)
Máquina C (o "pingado"): 10.223.0.7(em wg0)
Habilitei o encaminhamento de IP na Máquina B, globalmente e em ambas as interfaces ens7 e wg0
Meu firewall está ACEITANDO regras FORWARD na Máquina B.
Adicionei esta regra: iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADEna Máquina B para habilitar o mascaramento
Adicionei esta regra ip route add 10.223.0.0/24 via 10.101.2.97 dev eth5na Máquina A para rotear os pacotes
O teste
Quando lanço o ping, isto é o que posso ver com tcpdump -nni any icmp:
Máquina A:
18:16:12.976724 eth5 Out IP 10.101.1.40 > 10.223.0.7: ICMP echo request, id 7373, seq 1065, length 64
Máquina B:
18:16:12.977241 ens7 In IP 10.101.1.40 > 10.223.0.7: ICMP echo request, id 7373, seq 1065, length 64
18:16:12.977287 wg0 Out IP 10.223.0.1 > 10.223.0.7: ICMP echo request, id 7373, seq 1065, length 64
18:16:12.978201 wg0 In IP 10.223.0.7 > 10.223.0.1: ICMP echo reply, id 7373, seq 1065, length 64
18:16:12.978217 ens7 Out IP 10.223.0.7 > 10.101.1.40: ICMP echo reply, id 7373, seq 1065, length 64
Máquina C
18:16:12.977754 wg0 In IP 10.223.0.1 > 10.223.0.7: ICMP echo request, id 7373, seq 1065, length 64
18:16:12.977767 wg0 Out IP 10.223.0.7 > 10.223.0.1: ICMP echo reply, id 7373, seq 1065, length 64
E nenhuma resposta está retornando para a Máquina A.
Acho que o problema está na 4ª linha do log da Máquina B. O IP do SRC é, 10.223.0.7mas na minha opinião deveria ser 10.101.2.97, o IP da Máquina B na rede ens7. Não tenho a mínima ideia do porquê disso ser assim.
Tentei adicionar essa regra de mascarada, iptables -t nat -A POSTROUTING -o ens7 -j MASQUERADEmas como esperado: isso não está funcionando.
Pergunta
Por que a máscara está funcionando na solicitação (veja a 2ª linha da Máquina B) e não na resposta (veja a 4ª linha da Máquina B)?
Preciso configurar meu roteador (Ubuntu Server 24/ NNFTables) para que os computadores conectados às interfaces lan1 e lan2 possam navegar na internet usando as interfaces wan1 ou wan2, dependendo do IP da sub-rede.
Recebo internet através de 2 provedores diferentes.
ISP 1: Bloco ip: 111.11.111.0/28
ISP 2: Bloco ip: 222.22.222.8/29
configurar netplan yaml:
rede:
ethernet:
wan1:
endereços:
- 111.11.111.2/28
- 111.11.111.3/28
- 111.11.111.4/28
- 111.11.111.5/28
- 111.11.111.6/28
- 111.11.111.7/28
- 111.11.111.8/28
- 111.11.111.9/28
- 111.11.111.10/28
- 111.11.111.11/28
- 111.11.111.12/28
- 111.11.111.13/28
- 111.11.111.14/28
servidores de nomes:
endereços:
- 8.8.8.8
- 8.8.4.4
procurar: []
rotas:
- para: padrão
via: 111.11.111.1
wan2:
endereços:
- 222.22.222.10/29
- 222.22.222.11/29
- 222.22.222.12/29
- 222.22.222.13/29
- 222.22.222.14/29
servidores de nomes:
endereços:
- 8.8.8.8
- 8.8.4.4
procurar: []
rotas:
- para: padrão
via: 222.22.222.9
lan1:
endereços:
- 192.168.10.1/24
servidores de nomes:
endereços: []
procurar: []
lan2:
endereços:
- 192.168.20.1/24
servidores de nomes:
endereços: []
procurar: []
versão: 2`
usertest@router1:~$ rota ip padrão via 111.11.111.1 dev wan1 proto estático 192.168.10.0/24 dev enp4s0 proto kernel escopo link src 192.168.10.1 192.168.20.0/24 dev enp5s0 proto kernel escopo link src 192.168.20.1 111.11.111.0/28 dev enp1s5 proto kernel escopo link src 111.11.111.2 222.22.222.8/29 dev enp8s0 proto kernel escopo link src 222.22.222.9
Estações de sub-rede e seus respectivos IPs públicos que gostamos de navegar:
192.168.10.101 ---> 111.11.111.11 192.168.10.102 ---> 111.11.111.12 192.168.10.201 ---> 222.22.222.11 192.168.10.202 ---> 222.22.222.12 192.168.20.10 ---> 222.22.222.10
Vi que preciso trabalhar com várias tabelas de roteamento usando IP ROUTE, mas todas as configurações que tentei falharam...
Alguém sabe como posso resolver isso?
Já tentei algumas configurações de nftables/rota ip... mas não consegui fazer funcionar... Errei tanto que nem sei tudo que tentei... Agora a configuração está assim:
$ rota ip padrão via 111.11.111.9 dev wan1 192.168.10.0/24 dev lan1 proto kernel escopo link src 192.168.10.1 192.168.20.0/24 dev lan2 proto kernel escopo link src 192.168.20.1 111.11.111.0/28 dev wan1 proto kernel escopo link src 111.11.111.2 222.22.222.8/29 dev wan2 proto kernel escopo link src 111.11.111.10 $ ip rota mostrar tabela 100 padrão via 111.11.111.1 dev wan1 proto estático $ ip rota mostrar tabela 200 padrão via 222.22.222.9 dev wan2 proto estático $ ip regra mostrar 0: de todas as pesquisas locais 32764: de 222.22.222.8/29 pesquisa 200 proto estático 32765: de 111.11.111.0/28 pesquisa 100 proto estático 32766: de todas as pesquisas principais 32767: de todas as pesquisas padrão
Portanto, tenho um servidor RHEL que pretendo usar para monitoramento de instalações. Possui 2 interfaces de rede em sub-redes diferentes. Por uma questão de brevidade, estes seriam o resultado de um 'ifconfig' e vou chamá-los:
Agora meu problema é o seguinte: No próprio servidor eu posso fazer ping na internet (8.8.8.8) e posso fazer ping em dispositivos na sub-rede de infraestrutura (22.22.22.201) com a interface correta sendo usada para ambos (eno2 para 8.8.8.8 e eno3 para 22.22.22.201). por exemplo
$ip route get 8.8.8.8
> 8.8.8.8 via 11.11.11.0 dev eno2 src 11.11.11.11 uid 0
$ip route get 22.22.22.201
> 22.22.22.201 dev eno3 src 22.22.22.22 uid 0
Do meu computador do escritório (ou seja, remoto), também posso acessar dispositivos em ambas as sub-redes, mas não consigo acessar o servidor em seu próprio endereço IP (nem 11.11.11.11 nem 22.22.22.22), a menos que eu desligue uma ou outra interface.
Então, do meu controle remoto (PC do escritório), meu ping para o servidor é o seguinte:
# Both eno2 and eno3 active on server
ping 11.11.11.11 -t ping 22.22.22.22 -t
Request timed out Request timed out
Request timed out Request timed out
Request timed out Request timed out
...
# Turn off eno3
Reply from 11.11.11.11: bytes=32 Request timed out
Reply from 11.11.11.11: bytes=32 Request timed out
Reply from 11.11.11.11: bytes=32 Request timed out
Reply from 11.11.11.11: bytes=32 Request timed out
Reply from 11.11.11.11: bytes=32 Request timed out
...
# Turn on eno3 (both on again)
Request timed out Request timed out
Request timed out Request timed out
Request timed out Request timed out
Request timed out Request timed out
...
# Turn off eno2
Request timed out Reply from 22.22.22.22: bytes=32
Request timed out Reply from 22.22.22.22: bytes=32
Request timed out Reply from 22.22.22.22: bytes=32
Request timed out Reply from 22.22.22.22: bytes=32
Request timed out Reply from 22.22.22.22: bytes=32
Este NÃO é um problema de firewall, pois o mesmo acontece com meu firewall desativado:
$firewall-cmd --state
>not running
Os mesmos sintomas foram relatados aqui em um fórum RHEL Quando o RHEL tem vários IPs configurados, apenas um é acessível a partir de uma rede remota, então implementei a solução definindo rp_filter como 2 e as interfaces individuais como 0 (sem segurança) . O resultado do meu rp_filter para cada interface é o seguinte:
#sysctl -a 2>/dev/null | grep "\.rp_filter"
>
net.ipv4.conf.all.rp_filter = 2
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.eno2.rp_filter = 0
net.ipv4.conf.eno3.rp_filter = 0
A saída das minhas regras e tabela de interface é a seguinte:
# ip -4 -br a ls
>
lo UNKNOWN 127.0.0.1/8
eno3 UP 22.22.22.22/24
eno2 UP 11.11.11.11/24
Regras de IP
# ip ru ls
0: from all lookup local
32766: from all lookup main
32767: from all lookup default
Tabela IP
# ip -4 r ls table all
default via 11.11.11.1 dev eno2 proto dhcp src 11.11.11.11 metric 100
default via 22.22.22.1 dev eno3 proto static metric 101
22.22.22.0/24 dev eno3 proto kernel scope link src 22.22.22.22 metric 101
11.11.11.0/24 dev eno2 proto kernel scope link src 11.11.11.11 metric 100
169.254.0.0/16 dev eno3 scope link metric 1000
local 22.22.22.22 dev eno3 table local proto kernel scope host src 22.22.22.22
broadcast 22.22.22.255 dev eno3 table local proto kernel scope link src 22.22.22.22
local 11.11.11.11 dev eno2 table local proto kernel scope host src 11.11.11.11
broadcast 11.11.11.255 dev eno2 table local proto kernel scope link src 11.11.11.11
local 127.0.0.0/8 dev lo table local proto kernel scope host src 127.0.0.1
local 127.0.0.1 dev lo table local proto kernel scope host src 127.0.0.1
broadcast 127.255.255.255 dev lo table local proto kernel scope link src 127.0.0.1
E route -n para um resumo da saída acima:
root@APPSVR:~# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 11.11.11.1 0.0.0.0 UG 100 0 0 eno2
0.0.0.0 22.22.22.1 0.0.0.0 UG 101 0 0 eno3
22.22.22.0 0.0.0.0 255.255.255.0 U 101 0 0 eno3
11.11.11.0 0.0.0.0 255.255.255.0 U 100 0 0 eno2
169.254.0.0 0.0.0.0 255.255.0.0 U 1000 0 0 eno3
No entanto, o mesmo problema persiste e não consigo acessar nenhuma das interfaces se ambas estiverem ativas.
Também tornei essas alterações persistentes, gravando-as nos arquivos de configuração relevantes (não me lembro exatamente onde) e sim, reiniciei o servidor.
Qualquer ajuda ou sugestão alternativa seria muito apreciada. Passei cerca de 3 dias preso neste problema agora. Desde já, obrigado!
Eu tenho duas máquinas A e B. A é um VPS que possui endereços IPv4 e IPv6 globalmente roteáveis, B é um servidor físico atrás de um NAT de nível de operadora:
A:
Bpossui apenas um endereço IPv4 B1 no bloco de endereços RFC 6598 100.64.0.0/10.
A e B estão em redes diferentes, em ISPs diferentes, nada em comum, exceto que A1 e A2 são acessíveis a partir de B.
Preciso configurar um túnel entre A e B, de forma que B se comporte como se A2 fosse seu endereço.
Especificamente, preciso ser capaz de:
Como faço isso?