Perguntas[routing](server)

Estou tentando configurar a seguinte rede:

Host1 ---(VPN1)--- Host2 ---(VPN2)--- Host3

Onde

• Host1tem IP 10.0.0.1/16na interface tun-vpn1;
• Host2tem IPs 10.0.0.2/16na interface tun-vpn1, e 10.1.0.1/16na interface tun-vpn2;
• Host3tem IP 10.1.0.2/16na interface tun-vpn2.

Especificamente, Host1é um servidor OpenVPN com rede 10.0.0.0/16com Host2como seu cliente. Portanto, eles são conectados de 10.0.0.1 --- 10.0.0.2.

Similarmente, Host2é um servidor OpenVPN com rede 10.1.0.0/16com Host3como seu cliente. Portanto, eles são conectados de 10.1.0.1 --- 10.1.0.2.

Agora, estou tentando fazer Host1ping Host3. A primeira coisa que tentei foi Host1fazer ping Host2na interface dele tun-vpn2. Então, de Host1eu faço

ping 10.1.0.1

O que não funciona.

Então tentei configurar uma rota Host1como

ip route add 10.1.0.0/16 via 10.0.0.2 dev tun-vpn1

E novamente não tive sucesso. E o tcpdump não mostra nenhum pacote chegando em Host2, mesmo que eles saiam Host1na interface tun-vpn1.

Como posso configurar esse roteamento?

Obrigado.

Uma configuração DHCP. Meu roteador relata um uplik diferente do que

ip = requests.get('https://api.ipify.org').text

faz.

Aqui está um exemplo:

$ curl https://api.ipify.org 46.10.148.15

mas o roteador ainda informa o IP de saída como 10.algo.

Pergunta: Como o IP informado pelo roteador se relaciona com o IP que vejo de serviços externos?

Tenho o seguinte código rodando no meu servidor para me permitir fazer SSH no meu servidor mesmo quando o servidor está conectado a uma VPN. O código abaixo roda como um serviço após a inicialização.

ip addr add 192.168.1.113 dev enp1s0 label enp1s0:0
ip rule add from 192.168.1.113 table 402
ip route add default via 192.168.1.1 dev enp1s0:0 table 402

Isso funciona com o OpenVPN, mas não com o WireGuard porque meu cliente WireGuard adiciona algumas regras antes da minha regra acima.

0:  from all lookup local
32761:  from all lookup main suppress_prefixlength 0
32762:  not from all fwmark 0xca6c lookup 51820
32763:  from 192.168.1.113 lookup 402
32766:  from all lookup main
32767:  from all lookup default

Se eu adicionar a regra from 192.168.1.113 lookup 402depois da conexão wireguard, então posso usar SSH no servidor. Então, estou assumindo que é uma questão de prioridade.

Como posso garantir que minha regra ( 32763) mantenha a prioridade mesmo depois que o Wireguard se conectar e adicionar essas duas regras ( 32761, )?32762

SOLUÇÃO COM FALHA:

Aprendi que os números à esquerda são prioridades. Então, tentei definir a prioridade da minha regra mais baixa.

ip rule add from 192.168.1.113 table 402 prio 300

.. mas depois que me conectei à VPN Wireguard, o cliente Wireguard simplesmente colocou suas regras abaixo das minhas em prioridade 299, e 298.

298:    from all lookup main suppress_prefixlength 0
299:    not from all fwmark 0xca6c lookup 51820
300:    from 192.168.1.113 lookup 402

Existe alguma maneira de evitar isso? Acho que eu poderia colocar um PostUpcomando no arquivo de configuração do wireguard que altera a prioridade, mas sinto que tem que haver uma solução mais limpa.

Para encontrar uma entrada correspondente na tabela de rotas, um AND bitwise será aplicado ao IP de destino e à máscara de rede na tabela de rotas. Gostaria de saber se o AND bitwise TAMBÉM será aplicado ao "Destino de Rede" da entrada atual na tabela de rotas e à máscara de rede, então os dois resultados AND são comparados; ou, há apenas um AND (o IP de destino e a máscara de rede) e o resultado é comparado diretamente ao "Destino de Rede" na tabela de rotas?

Estou conectado por meio de uma VPN e quero que algumas contas de usuário a ignorem. A interface VPN é tap0(IP é 172.16.xx), a principal é wlan0(IP é 192.168.10.3). Todo o tráfego regular vai para a Internet via tap0.

Criei uma segunda tabela de roteamento e adicionei uma uidregra:

# ip route add default via 192.168.10.1 dev wlan0 proto static table 2
# ip rule add uidrange 1001-1001 table 2
# ip route show table 2
    default via 192.168.10.1 dev wlan0

Espero que o tráfego do usuário saia wlan0com o IP de origem 192.168.10.3. No entanto, o tráfego do usuário afetado tem o IP da wlan0interface, mas sai na tap0interface errada (e então não vai a lugar nenhum). Sem a regra, o tráfego vai normalmente via tap0.

Estranhamente, ip route getmostra o que eu esperaria. Com a regra em vigor:

$ ip route get 8.8.4.4
8.8.4.4 via 192.168.10.1 dev wlan0 table 2 src 192.168.10.3 uid 1001
    cache 

Sem a regra:

$ ip route get 8.8.4.4
8.8.4.4 via 172.16.0.1 dev tap0 src 172.16.0.102 uid 1001
    cache 

Também tentei adicionar dev wlan0e proto staticà tabela de roteamento, mas não mudou nada. Não tenho absolutamente nada em iptables, todas as políticas definidas para ACCEPT. Também tentei iptables -t nat -A POSTROUTING -o wlan0 -j MASQUERADE, mas não ajudou (obviamente porque o tráfego sai em tap0). Também defini rp_filtercomo zero em todos os lugares.

Em qualquer caso, o usuário pode executar ping com sucesso no wlan0gateway em 192.168.10.1. Obrigado pela ajuda.

Olá, gostaria de alguns conselhos sobre como usar o VyOS para um tipo específico de NAT.

Tenho uma situação em que gostaria de fazer NAT de uma conexão correspondida no endereço de destino e na porta de destino. Mas gostaria de traduzir não apenas a porta de destino, mas também o endereço de origem. Então, preciso de um DNAT e um SNAT correspondente.

Haverá várias conexões, e a ideia é que elas obtenham endereços de origem diferentes com base no destino original e sejam redirecionadas para um destino comum.

O problema é que o DNAT vai primeiro, e como ele traduz o destino, não sei o que combinar no SNAT. Se eu conseguisse fazer o SNAT acontecer primeiro, isso resolveria o problema. Ou se eu conseguisse de alguma forma "marcar" a conexão com o DNAT e então combinar isso no SNAT, isso também funcionaria.

Aqui está um exemplo de duas conexões, onde inventei um recurso de marcação de conexão inexistente para ilustrar o que quero fazer:

set nat destination rule 89 destination address 192.168.222.222
set nat destination rule 89 destination port 10089
set nat destination rule 89 translation port 10000
set nat destination rule 89 modify mark '89'
set nat source rule 89 connection mark '89'
set nat source rule 89 translation address 10.1.1.89

set nat destination rule 96 destination address 192.168.222.222
set nat destination rule 96 destination port 10096
set nat destination rule 96 translation port 10000
set nat destination rule 96 modify mark '96'
set nat source rule 96 connection mark '96'
set nat source rule 96 translation address 10.1.1.96

Observe que ambas as conexões são traduzidas para o mesmo destino, então não posso usar isso na regra SNAT.

Existe alguma maneira de fazer SNAT antes de DNAT ou conseguir o que quero de alguma outra forma no VyOS?

Outras coisas a serem observadas:

• Todas as conexões vêm do mesmo host, então não consigo corresponder nisso
• A porta de origem original é efêmera, então não posso corresponder a isso
• O objetivo dessa configuração é simular conexões de vários clientes para um destino comum, quando na realidade elas vêm de um único host usando uma porta de destino diferente para diferenciar cada cliente simulado.

EDIT: Acho que seria possível se eu estivesse usando o iptables em vez do VyOS assim:

iptables -t mangle -A PREROUTING -d 192.168.222.222 -p tcp --dport 10106 -j CONNMARK --set-mark 89
iptables -t nat -A PREROUTING -d 192.168.222.222 -p tcp --dport 10089 -j DNAT --to-destination 192.168.222.222:10000
iptables -t nat -A POSTROUTING -m connmark --mark 89 -j SNAT --to-source 10.1.1.89

iptables -t mangle -A PREROUTING -d 192.168.222.222 -p tcp --dport 10096 -j CONNMARK --set-mark 96
iptables -t nat -A PREROUTING -d 192.168.222.222 -p tcp --dport 10096 -j DNAT --to-destination 192.168.222.222:10000
iptables -t nat -A POSTROUTING -m connmark --mark 96 -j SNAT --to-source 10.1.1.96

Se o iptables consegue fazer isso, eu imagino que o VyOS também consiga... mas talvez não?

No AlmaLinux 9, o NetworkManager deve ser usado para definir conexões. No datacenter que usamos, uma rota tem que ser definida para usar IP personalizado da máquina virtual. Fiz progresso na definição de IPs no host, mas não consegui fazer o NetworkManager criar a rota na reinicialização, mas com este comando a rede está funcionando:

ip route add default via 192.168.0.1 dev ens18 onlink src 94.23.81.XXX

Não estou familiarizado com o formato de arquivo nmconnection, então não consegui fazê-lo com o NetworkManager. Onde devo colocar esse comando ou em qual arquivo posso definir essa rota padrão e única?

Obrigado.

Descrição

Meu objetivo é fazer ping na Máquina C ( 10.223.0.7) da Máquina A ( 10.101.0.40)

Tenho 2 redes e 3 máquinas

• Rede A:10.223.0.0/24

• Rede B:10.101.0.0/16

• Máquina A (o "pinger"): 10.101.0.40(no eth5)

• Máquina B (o "roteador"): 10.101.2.97(no ens7) e 10.223.0.1(no wg0)

• Máquina C (o "pingado"): 10.223.0.7(em wg0)

• Habilitei o encaminhamento de IP na Máquina B, globalmente e em ambas as interfaces ens7 e wg0

• Meu firewall está ACEITANDO regras FORWARD na Máquina B.

• Adicionei esta regra: iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADEna Máquina B para habilitar o mascaramento

• Adicionei esta regra ip route add 10.223.0.0/24 via 10.101.2.97 dev eth5na Máquina A para rotear os pacotes

O teste

Quando lanço o ping, isto é o que posso ver com tcpdump -nni any icmp:

Máquina A:

18:16:12.976724 eth5  Out  IP 10.101.1.40 > 10.223.0.7: ICMP echo request, id 7373, seq 1065, length 64

Máquina B:

18:16:12.977241 ens7  In  IP 10.101.1.40 > 10.223.0.7: ICMP echo request, id 7373, seq 1065, length 64
18:16:12.977287 wg0   Out IP 10.223.0.1 > 10.223.0.7: ICMP echo request, id 7373, seq 1065, length 64
18:16:12.978201 wg0   In  IP 10.223.0.7 > 10.223.0.1: ICMP echo reply, id 7373, seq 1065, length 64
18:16:12.978217 ens7  Out IP 10.223.0.7 > 10.101.1.40: ICMP echo reply, id 7373, seq 1065, length 64

Máquina C

18:16:12.977754 wg0   In  IP 10.223.0.1 > 10.223.0.7: ICMP echo request, id 7373, seq 1065, length 64
18:16:12.977767 wg0   Out IP 10.223.0.7 > 10.223.0.1: ICMP echo reply, id 7373, seq 1065, length 64

E nenhuma resposta está retornando para a Máquina A.

Acho que o problema está na 4ª linha do log da Máquina B. O IP do SRC é, 10.223.0.7mas na minha opinião deveria ser 10.101.2.97, o IP da Máquina B na rede ens7. Não tenho a mínima ideia do porquê disso ser assim.

Tentei adicionar essa regra de mascarada, iptables -t nat -A POSTROUTING -o ens7 -j MASQUERADEmas como esperado: isso não está funcionando.

Pergunta

Por que a máscara está funcionando na solicitação (veja a 2ª linha da Máquina B) e não na resposta (veja a 4ª linha da Máquina B)?

Preciso configurar meu roteador (Ubuntu Server 24/ NNFTables) para que os computadores conectados às interfaces lan1 e lan2 possam navegar na internet usando as interfaces wan1 ou wan2, dependendo do IP da sub-rede.

Recebo internet através de 2 provedores diferentes.

ISP 1: Bloco ip: 111.11.111.0/28

ISP 2: Bloco ip: 222.22.222.8/29

configurar netplan yaml:

rede:
    ethernet:
        wan1:
            endereços:
            - 111.11.111.2/28
            - 111.11.111.3/28
            - 111.11.111.4/28
            - 111.11.111.5/28
            - 111.11.111.6/28
            - 111.11.111.7/28
            - 111.11.111.8/28
            - 111.11.111.9/28
            - 111.11.111.10/28
            - 111.11.111.11/28
            - 111.11.111.12/28
            - 111.11.111.13/28
            - 111.11.111.14/28
            servidores de nomes:
                endereços:
                - 8.8.8.8
                - 8.8.4.4
                procurar: []
            rotas:
            - para: padrão
                via: 111.11.111.1
        wan2:
            endereços:
            - 222.22.222.10/29
            - 222.22.222.11/29
            - 222.22.222.12/29
            - 222.22.222.13/29
            - 222.22.222.14/29
            servidores de nomes:
                endereços:
                - 8.8.8.8
                - 8.8.4.4
                procurar: []
            rotas:
            - para: padrão
                via: 222.22.222.9                
        lan1:
            endereços:
            - 192.168.10.1/24
            servidores de nomes:
                endereços: []
                procurar: []
        lan2:
            endereços:
            - 192.168.20.1/24
            servidores de nomes:
                endereços: []
                procurar: []
    versão: 2`

usertest@router1:~$ rota ip
padrão via 111.11.111.1 dev wan1 proto estático
192.168.10.0/24 dev enp4s0 proto kernel escopo link src 192.168.10.1
192.168.20.0/24 dev enp5s0 proto kernel escopo link src 192.168.20.1
111.11.111.0/28 dev enp1s5 proto kernel escopo link src 111.11.111.2
222.22.222.8/29 dev enp8s0 proto kernel escopo link src 222.22.222.9

Estações de sub-rede e seus respectivos IPs públicos que gostamos de navegar:

192.168.10.101 ---> 111.11.111.11
192.168.10.102 ---> 111.11.111.12
192.168.10.201 ---> 222.22.222.11
192.168.10.202 ---> 222.22.222.12
192.168.20.10 ---> 222.22.222.10

Vi que preciso trabalhar com várias tabelas de roteamento usando IP ROUTE, mas todas as configurações que tentei falharam...

Alguém sabe como posso resolver isso?

Já tentei algumas configurações de nftables/rota ip... mas não consegui fazer funcionar... Errei tanto que nem sei tudo que tentei... Agora a configuração está assim:

$ rota ip
padrão via 111.11.111.9 dev wan1
192.168.10.0/24 dev lan1 proto kernel escopo link src 192.168.10.1
192.168.20.0/24 dev lan2 proto kernel escopo link src 192.168.20.1
111.11.111.0/28 dev wan1 proto kernel escopo link src 111.11.111.2
222.22.222.8/29 dev wan2 proto kernel escopo link src 111.11.111.10

$ ip rota mostrar tabela 100
padrão via 111.11.111.1 dev wan1 proto estático

$ ip rota mostrar tabela 200
padrão via 222.22.222.9 dev wan2 proto estático

$ ip regra mostrar
0: de todas as pesquisas locais
32764: de 222.22.222.8/29 pesquisa 200 proto estático
32765: de 111.11.111.0/28 pesquisa 100 proto estático
32766: de todas as pesquisas principais
32767: de todas as pesquisas padrão

Portanto, tenho um servidor RHEL que pretendo usar para monitoramento de instalações. Possui 2 interfaces de rede em sub-redes diferentes. Por uma questão de brevidade, estes seriam o resultado de um 'ifconfig' e vou chamá-los:

• eno2: 11.11.11.11/24 (DHCP, sub-rede da Internet)
• eno3: 22.22.22.22/24 (STATIC, sub-rede de infraestrutura)

Agora meu problema é o seguinte: No próprio servidor eu posso fazer ping na internet (8.8.8.8) e posso fazer ping em dispositivos na sub-rede de infraestrutura (22.22.22.201) com a interface correta sendo usada para ambos (eno2 para 8.8.8.8 e eno3 para 22.22.22.201). por exemplo

$ip route get 8.8.8.8
> 8.8.8.8 via 11.11.11.0 dev eno2 src 11.11.11.11 uid 0

$ip route get 22.22.22.201
> 22.22.22.201 dev eno3 src 22.22.22.22 uid 0

Do meu computador do escritório (ou seja, remoto), também posso acessar dispositivos em ambas as sub-redes, mas não consigo acessar o servidor em seu próprio endereço IP (nem 11.11.11.11 nem 22.22.22.22), a menos que eu desligue uma ou outra interface.

Então, do meu controle remoto (PC do escritório), meu ping para o servidor é o seguinte:

# Both eno2 and eno3 active on server
ping 11.11.11.11 -t              ping 22.22.22.22 -t
Request timed out                Request timed out
Request timed out                Request timed out
Request timed out                Request timed out
...
# Turn off eno3
Reply from 11.11.11.11: bytes=32 Request timed out
Reply from 11.11.11.11: bytes=32 Request timed out  
Reply from 11.11.11.11: bytes=32 Request timed out  
Reply from 11.11.11.11: bytes=32 Request timed out  
Reply from 11.11.11.11: bytes=32 Request timed out
...
# Turn on eno3 (both on again)
Request timed out                Request timed out
Request timed out                Request timed out
Request timed out                Request timed out
Request timed out                Request timed out    
...
# Turn off eno2 
Request timed out                Reply from 22.22.22.22: bytes=32
Request timed out                Reply from 22.22.22.22: bytes=32
Request timed out                Reply from 22.22.22.22: bytes=32
Request timed out                Reply from 22.22.22.22: bytes=32
Request timed out                Reply from 22.22.22.22: bytes=32

Este NÃO é um problema de firewall, pois o mesmo acontece com meu firewall desativado:

$firewall-cmd --state
>not running

Os mesmos sintomas foram relatados aqui em um fórum RHEL Quando o RHEL tem vários IPs configurados, apenas um é acessível a partir de uma rede remota, então implementei a solução definindo rp_filter como 2 e as interfaces individuais como 0 (sem segurança) . O resultado do meu rp_filter para cada interface é o seguinte:

#sysctl -a 2>/dev/null | grep "\.rp_filter"
>
net.ipv4.conf.all.rp_filter = 2
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.eno2.rp_filter = 0
net.ipv4.conf.eno3.rp_filter = 0

A saída das minhas regras e tabela de interface é a seguinte:

# ip -4 -br a ls
>
lo               UNKNOWN        127.0.0.1/8 
eno3             UP             22.22.22.22/24 
eno2             UP             11.11.11.11/24 

Regras de IP

# ip ru ls
0:      from all lookup local
32766:  from all lookup main
32767:  from all lookup default

Tabela IP

# ip -4 r ls table all
default via 11.11.11.1 dev eno2 proto dhcp src 11.11.11.11 metric 100 
default via 22.22.22.1 dev eno3 proto static metric 101 
22.22.22.0/24 dev eno3 proto kernel scope link src 22.22.22.22 metric 101 
11.11.11.0/24 dev eno2 proto kernel scope link src 11.11.11.11 metric 100 
169.254.0.0/16 dev eno3 scope link metric 1000 
local 22.22.22.22 dev eno3 table local proto kernel scope host src 22.22.22.22 
broadcast 22.22.22.255 dev eno3 table local proto kernel scope link src 22.22.22.22 
local 11.11.11.11 dev eno2 table local proto kernel scope host src 11.11.11.11 
broadcast 11.11.11.255 dev eno2 table local proto kernel scope link src 11.11.11.11 
local 127.0.0.0/8 dev lo table local proto kernel scope host src 127.0.0.1 
local 127.0.0.1 dev lo table local proto kernel scope host src 127.0.0.1 
broadcast 127.255.255.255 dev lo table local proto kernel scope link src 127.0.0.1

E route -n para um resumo da saída acima:

root@APPSVR:~# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         11.11.11.1      0.0.0.0         UG    100    0        0 eno2
0.0.0.0         22.22.22.1      0.0.0.0         UG    101    0        0 eno3
22.22.22.0      0.0.0.0         255.255.255.0   U     101    0        0 eno3
11.11.11.0      0.0.0.0         255.255.255.0   U     100    0        0 eno2
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 eno3

No entanto, o mesmo problema persiste e não consigo acessar nenhuma das interfaces se ambas estiverem ativas.

Também tornei essas alterações persistentes, gravando-as nos arquivos de configuração relevantes (não me lembro exatamente onde) e sim, reiniciei o servidor.

Qualquer ajuda ou sugestão alternativa seria muito apreciada. Passei cerca de 3 dias preso neste problema agora. Desde já, obrigado!