我们最近在工作中完成了大规模的 IP 方案更改,从那时起我注意到了一些奇怪的事情。首先,我们的设置:
IPCop firewall which has
- Wireless network (completely segregated)
- Firewalled DMZ
- Internal network [eth0] (10.10.10.x)
- OpenVPN network [tun0] (172.16.20.x)
- Internet
在更改 IP 之前,我们的 OpenVPN 网络可以毫无问题地与我们的内部网络通信。自从更改以来,我们有一些服务器不再想要正确地跨越边界进行通信。
例如,我将使用 172.16.20.10 连接到 VPN,并尝试与 10.10.10.19 的服务器通信。运行 tcpdump 我看到数据包离开我的机器(运行 wireshark),穿过 tun0,穿过 eth0,到达 10.10.10.19,但什么也没有回来。其他服务器在同一个网络上工作正常(例如 10.10.10.8 工作正常),我找不到它们之间的共同点,即导致某些服务器停止响应某些请求的原因。
我检查了诸如 hosts.(allow|deny)、pf/iptables 之类的东西,它们通常会过滤流量,但它们都没有排除规则来阻止这样的流量。
关于从这里去哪里的任何想法?
解决方案
有问题的盒子确实有被忽视的坏网关。在适当的地方进行了更改,一切似乎都正常!
您是否有可能只是在 10.10.10.19 上有一个错误的默认路由或特定路由?在该机器上运行wireshark,同时重新执行测试以查看返回数据包会发生什么,这似乎是一个有趣的测试。