至少一年来,我办公室的网络打印机会随机打印出几页乱码。或者至少大部分都是乱码 - 有些看起来像 HTTP 请求。它的格式与打印机在您向其发送没有样式信息的文本文件时所采用的方式相同。这些页面会在一天中的任何时间打印,有时是在凌晨,有时是在深夜。我们对原因感到困惑,我担心这可能是某种安全问题。我附上了它打印的一些页面的照片。页数相当零散,有时一天一两页,有时是 30 或 40 页。有什么想法吗?
附录:我曾在我们组织内其他两个存在此问题的地点工作过一段时间。另一个地点没有。每个地点都有自己的一套常规员工。
我与服务器 (owner-api.teslamotors.com) 建立了 SSL 连接,该连接通过 wget、curl 或 openssl s_client 挂起。我展示的是 curl 版本,因为它提供了最多的调试消息:
# curl -iv https://owner-api.teslamotors.com
* Trying 18.203.70.200:443...
* Connected to owner-api.teslamotors.com (18.203.70.200) port 443 (#0)
* ALPN: offers h2,http/1.1
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* CAfile: /etc/ssl/certs/ca-certificates.crt
* CApath: /etc/ssl/certs
ClientHello 之后它就挂起了。TCP 连接已成功建立(也已通过 telnet/nc 确认)。其他网络连接(包括我尝试过的任何 SSL 连接)都可以正常工作。除了owner-api.teslamotors.com:443。
我发现这个帖子谈论的是 MTU,听起来有些牵强。但我减少了服务器 MTU,它就起作用了!它适用于任何 <= 1420 的 MTU。
服务器使用以太网 (MTU 1500) 连接到 Mikrotik 路由器,然后从那里通过 WireGuard 隧道 (MTU 1420)。我知道这可能不是最佳选择,因为来自服务器 >1420 的任何 IP 数据包都需要分段。但是,这与任何 L4 协议无关。TCP 上的 SSL 不应该关心分段和 MTU。然而,这个主机关心。
我在 Mikrotik 盒子上运行了数据包捕获,流量没有列出任何异常:
典型的 TCP 握手是第 1-3 次,然后是 ClientHello(第 4-5 次)和 ServerHello(第 6-7 次)。没有数据包大小接近 MTU,也没有其他 ICMP 消息表明存在碎片等问题。
根据评论,以下是 tracepath 输出:
# tracepath owner-api.teslamotors.com
1?: [LOCALHOST] pmtu 1500
1: XX.XX.56.210 0.410ms
1: XX.XX.56.210 0.198ms
2: XX.XX.56.210 0.138ms pmtu 1420
2: XX.XX.56.185 151.394ms
3: no reply
4: 100.100.200.1 157.220ms
5: 10.75.0.193 154.068ms
6: 10.75.2.53 161.950ms asymm 7
7: decix1.amazon.com 152.107ms asymm 8
8: decix2.amazon.com 153.068ms
9: no reply
[...]
我真的不知道这里到底发生了什么。
为什么这个 SSL 连接失败?
当我ping在 LAN 上找到主机 IP 地址时,我的主机会广播请求ARP。在收到ARP目标主机的回复后,它会启动一个ICMP echo包含回复的消息会话。
当目标主机从我的源主机接收时ARP request,目标主机是否会ARP使用请求中嵌入的信息更新缓存(因为源MAC address存在于中ARP request)?
如果是这样,为什么目标主机有时会ARP request为我的源主机 IP 地址发送另一个请求,并丢弃所有ICMP echo请求直到得到回复ARP reply?
请注意,这种行为是偶然发生的,有时ICMP echo会在ARP request目标主机发出响应之前做出响应,但这种响应ARP request总是出现在 ping 会话中间的某个地方。
我不知道这是否是由于早期 ping 会话中主机的 ARP 表更新所致,或者第二个只是一种协议,并且目标主机已经具有来自第一个的ARP request源主机的信息。MAC addressARP request
或者,目标主机根本不需要源主机MAC address,因为它总是封装在每个ICMP echo请求中,并且对每个此类请求的回复都使用收到的有关的信息MAC addresses并在响应帧中切换它们?
编辑 1:经过一番研究,我发现目标主机实际上并没有ARP cache从被动ARP requests(即来自其他主机的请求)中填充其内容。它ARP cache仅从ARP其自身请求收到的回复中填充其内容。
编辑2:继之后,在任何回复之前来自目标主机的Edit 1第二个回复表明源不在其内或已成为,从而在回复请求之前触发另一个回复。(有时首先通过探测检查地址,如果映射无效或探测超时,则发生新的回复。ARP requestICMP echoMAC addressARP cacheSTALEARP requestICMP echoSTALEARP request
ARP request因此,会话中间发生的第二个请求ping表明,由于某些原因(在我的主机中配置为 60 秒),源MAC address已进入STALE我的目标主机,从而触发了第二个请求。此外,这些第二个请求澄清了虽然目标主机不需要源填充到其请求中并使用有关源的信息来回复它,但它确实需要知道源才能回复请求。ARP cacheARP timeout valueARP requestARPMAC addressARP cacheARP requestMAC addressMAC addressTCMP echo
尽管如此,我们仍然非常感谢任何能够详细说明或纠正上述调查结果中的错误的答案。
当我在本地网络(子网?)上时,我希望转到sub1.myserver.com并使其工作方式与转到相同192.168.1.99:1234- 即目标是使用我公开用于该服务器的相同域名,同时获得例如 LAN 下载速度。
我的设置:
我在不同的端口上运行多个服务,例如:192.168.1.99:1234在192.168.1.99:5678我的 Debian Bookworm 服务器上。
我的 DNS(porkbun)有A我的公共 IP ->(子)域名的记录。
我有一个 nginx 代理执行类似->和-> 的proxy_pass操作。sub1.myserver.com0.0.0.0:1234sub2.myserver.com0.0.0.0:5678
这很有效,我可以通过公开访问我的服务器sub1.myserver.com。
当然,我也可以192.168.1.99:1234直接通过 LAN 连接到同一个应用程序。
我如何才能实现对本地局域网连接重新使用同一个域名,如果不可能/不可取,下一个最佳解决方案是什么?
这个问题乍一看似乎不是什么大问题,但事实证明并非如此,而且可能不完全是 Postfix/Dovecot 独有的。如果有人能给我指点一下就太好了……
设置如下:我有一个名称服务器 (BIND),以及在同一台机器上运行的 Postfix/Dovecot 组合。它有 1 个 IPv4 地址(这些地址很少见...)和多个 IPv6 地址。起初,所有服务器都在所有接口上运行,即监听0.0.0.0和[::],但后来我决定为它们提供单独的 IPv6(“因为我们可以...”)。在 v4 上,它们仍位于同一 IP 上。
在初始设置和测试期间,一切都运行良好。最后,我决定重新启动机器,以确保没有陈旧/临时的配置潜伏在周围,并且全新启动后一切都按预期运行。
然后发生了以下情况(日志减少到相关部分):
...
Nov 30 22:49:52 systemd[1]: Finished networking.service - Raise network interfaces.
Nov 30 22:49:52 systemd[1]: Reached target network.target - Network.
Nov 30 22:49:52 systemd[1]: Reached target network-online.target - Network is Online.
Nov 30 22:49:52 systemd[1]: Starting dovecot.service - Dovecot IMAP/POP3 email server...
Nov 30 22:49:52 systemd[1]: Starting named.service - BIND Domain Name Server...
Nov 30 22:49:52 systemd[1]: Starting ssh.service - OpenBSD Secure Shell server...
Nov 30 22:49:52 named[984]: starting BIND 9.20.2-1-Debian (Stable Release) <id:>
Nov 30 22:49:52 named[984]: running on Linux x86_64 6.11.5-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.11.5-1 (2024-10-27)
...
Nov 30 22:49:52 named[984]: listening on IPv4 interface lo, 127.0.0.6#53
Nov 30 22:49:52 named[984]: listening on IPv4 interface enp5s0, 88.198.70.58#53
Nov 30 22:49:52 named[984]: listening on IPv6 interface enp5s0, 2a01:4f8:140:501a::b00d#53
...
Nov 30 22:49:52 dovecot[983]: Error: bind(2a01:4f8:140:501a::d19c, 587) failed: Cannot assign requested address
Nov 30 22:49:52 dovecot[983]: Error: service(submission-login): listen(2a01:4f8:140:501a::d19c, 587) failed: Cannot assign requested address
Nov 30 22:49:52 dovecot[983]: Error: bind(2a01:4f8:140:501a::d19c, 143) failed: Cannot assign requested address
Nov 30 22:49:52 dovecot[983]: Error: service(imap-login): listen(2a01:4f8:140:501a::d19c, 143) failed: Cannot assign requested address
Nov 30 22:49:52 dovecot[983]: Error: bind(2a01:4f8:140:501a::d19c, 993) failed: Cannot assign requested address
Nov 30 22:49:52 dovecot[983]: Error: service(imap-login): listen(2a01:4f8:140:501a::d19c, 993) failed: Cannot assign requested address
Nov 30 22:49:52 dovecot[983]: Fatal: Failed to start listeners
Nov 30 22:49:52 systemd[1]: dovecot.service: Main process exited, code=exited, status=89/n/a
Nov 30 22:49:52 systemd[1]: dovecot.service: Failed with result 'exit-code'.
Nov 30 22:49:52 systemd[1]: Failed to start dovecot.service - Dovecot IMAP/POP3 email server.
...
Nov 30 22:49:52 systemd[1]: Started named.service - BIND Domain Name Server.
Nov 30 22:49:52 systemd[1]: Reached target nss-lookup.target - Host and Network Name Lookups.
Nov 30 22:49:52 systemd[1]: Starting [email protected] - Postfix Mail Transport Agent (instance -)...
Nov 30 22:49:52 postmulti[1141]: postfix/postlog: starting the Postfix mail system
Nov 30 22:49:52 postfix/master[1143]: fatal: bind 2a01:4f8:140:501a::d19c port 25: Cannot assign requested address
Nov 30 22:49:54 postmulti[1145]: postfix/postlog: fatal: mail system startup failed
Nov 30 22:49:55 systemd[1]: [email protected]: Control process exited, code=exited, status=1/FAILURE
Nov 30 22:49:55 systemd[1]: [email protected]: Failed with result 'exit-code'.
Nov 30 22:49:55 systemd[1]: Failed to start [email protected] - Postfix Mail Transport Agent (instance -).
请注意,BIND 在所有接口上成功启动。Dovecot 并行启动,并在尝试监听单独的 IPv6 时抛出错误。(日志中没有提到 IPv4 和 localhost,因此要么成功,要么 IPv6 错误先出现。)Postfix 在尝试监听相同的 IPv6 时遇到相同的错误。
现在,问题是,当我通过 启动后手动启动这些服务时systemctl start,它们都可以正常启动。而且它们实际上可以在所有接口上运行。
所以我最初的想法是,在启动过程中存在某种竞争条件,因此在 Dovecot/Postfix 启动之前,并非所有 IPv6 接口都已启动。这应该是不可能的,因为它们都依赖于network-online.target,而根据 systemd 的说法,这在 BIND 开始启动之前就已经完全完成了。
因此我将 Dovecot 切换到与 BIND 相同的 IPv6 (:b00d) 上运行,因为它在该 IP 上成功启动。Postfix 仍位于原始 IP (:d19c)。同时,我还创建了一个虚拟“服务”,该服务在启动过程中仅吐出网络配置,以便我可以看到 Dovecot 和 Postfix 在启动过程中看到的内容。我让此服务运行了两次 - 一次在 BIND/Postfix/Dovecot 之前,一次在之后。
最终结果是:a)即使使用与 BIND 相同的 IP,Dovecot 仍然会失败。b)根据ifconfig实际配置,在服务启动之前所有 IPv6 都已启动(应该如此)
Dec 01 19:52:16 systemd[1]: Finished networking.service - Raise network interfaces.
Dec 01 19:52:16 systemd[1]: Reached target network.target - Network.
Dec 01 19:52:16 systemd[1]: Reached target network-online.target - Network is Online.
Dec 01 19:52:16 systemd[1]: Starting named.service - BIND Domain Name Server...
Dec 01 19:52:16 systemd[1]: Starting ssh.service - OpenBSD Secure Shell server...
Dec 01 19:52:16 systemd[1]: Reached target getty.target - Login Prompts.
Dec 01 19:52:16 named[981]: starting BIND 9.20.2-1-Debian (Stable Release) <id:>
Dec 01 19:52:16 named[981]: running on Linux x86_64 6.11.5-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.11.5-1 (2024-10-27)
...
Dec 01 19:52:16 named[981]: listening on IPv4 interface lo, 127.0.0.6#53
Dec 01 19:52:16 named[981]: listening on IPv4 interface enp5s0, 88.198.70.58#53
Dec 01 19:52:16 named[981]: listening on IPv6 interface enp5s0, 2a01:4f8:140:501a::b00d#53
...
Dec 01 19:52:16 systemd[1]: Started named.service - BIND Domain Name Server.
Dec 01 19:52:16 systemd[1]: Reached target nss-lookup.target - Host and Network Name Lookups.
Dec 01 19:52:16 systemd[1]: Starting dovecot.service - Dovecot IMAP/POP3 email server...
Dec 01 19:52:16 systemd[1]: Starting test-networking.service - ###################### Test Network Configuration ###########################...
Dec 01 19:52:16 ip[992]: 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
Dec 01 19:52:16 ip[992]: link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
Dec 01 19:52:16 ip[992]: inet 127.0.0.1/8 scope host lo
Dec 01 19:52:16 ip[992]: valid_lft forever preferred_lft forever
Dec 01 19:52:16 ip[992]: inet 127.0.0.3/8 brd 127.0.0.0 scope host secondary lo
Dec 01 19:52:16 ip[992]: valid_lft forever preferred_lft forever
Dec 01 19:52:16 ip[992]: inet 127.0.0.6/8 brd 127.0.0.0 scope host secondary lo
Dec 01 19:52:16 ip[992]: valid_lft forever preferred_lft forever
Dec 01 19:52:16 ip[992]: inet6 ::1/128 scope host noprefixroute
Dec 01 19:52:16 ip[992]: valid_lft forever preferred_lft forever
Dec 01 19:52:16 ip[992]: 2: enp5s0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc fq_codel state DOWN group default qlen 1000
Dec 01 19:52:16 ip[992]: link/ether a8:a1:59:08:49:5d brd ff:ff:ff:ff:ff:ff
Dec 01 19:52:16 ip[992]: inet 88.198.70.58/27 brd 88.198.70.63 scope global enp5s0
Dec 01 19:52:16 ip[992]: valid_lft forever preferred_lft forever
Dec 01 19:52:16 ip[992]: inet6 2a01:4f8:140:501a::d19c/64 scope global tentative
Dec 01 19:52:16 ip[992]: valid_lft forever preferred_lft forever
Dec 01 19:52:16 ip[992]: inet6 2a01:4f8:140:501a::b00d/64 scope global tentative
Dec 01 19:52:16 ip[992]: valid_lft forever preferred_lft forever
Dec 01 19:52:16 ip[992]: inet6 2a01:4f8:140:501a::2/64 scope global tentative
Dec 01 19:52:16 ip[992]: valid_lft forever preferred_lft forever
Dec 01 19:52:16 systemd[1]: test-networking.service: Deactivated successfully.
Dec 01 19:52:16 systemd[1]: Finished test-networking.service - ###################### Test Network Configuration ###########################.
Dec 01 19:52:16 dovecot[991]: Error: bind(2a01:4f8:140:501a::d19c, 587) failed: Cannot assign requested address
Dec 01 19:52:16 dovecot[991]: Error: service(submission-login): listen(2a01:4f8:140:501a::d19c, 587) failed: Cannot assign requested address
Dec 01 19:52:16 dovecot[991]: Error: bind(2a01:4f8:140:501a::d19c, 143) failed: Cannot assign requested address
Dec 01 19:52:16 dovecot[991]: Error: service(imap-login): listen(2a01:4f8:140:501a::d19c, 143) failed: Cannot assign requested address
Dec 01 19:52:16 dovecot[991]: Error: bind(2a01:4f8:140:501a::d19c, 993) failed: Cannot assign requested address
Dec 01 19:52:16 dovecot[991]: Error: service(imap-login): listen(2a01:4f8:140:501a::d19c, 993) failed: Cannot assign requested address
Dec 01 19:52:16 dovecot[991]: Fatal: Failed to start listeners
Dec 01 19:52:16 systemd[1]: dovecot.service: Main process exited, code=exited, status=89/n/a
Dec 01 19:52:16 systemd[1]: dovecot.service: Failed with result 'exit-code'.
Dec 01 19:52:16 systemd[1]: Failed to start dovecot.service - Dovecot IMAP/POP3 email server.
Dec 01 19:52:16 systemd[1]: Reached target multi-user.target - Multi-User System.
Dec 01 19:52:16 systemd[1]: Reached target graphical.target - Graphical Interface.
Dec 01 19:52:16 systemd[1]: Starting [email protected] - Postfix Mail Transport Agent (instance -)...
Dec 01 19:52:16 systemd[1]: Starting test-networking2.service - ********************** Second Test Network Configuration ****************************...
Dec 01 19:52:16 ip[998]: 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
Dec 01 19:52:16 ip[998]: link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
Dec 01 19:52:16 ip[998]: inet 127.0.0.1/8 scope host lo
Dec 01 19:52:16 ip[998]: valid_lft forever preferred_lft forever
Dec 01 19:52:16 ip[998]: inet 127.0.0.3/8 brd 127.0.0.0 scope host secondary lo
Dec 01 19:52:16 ip[998]: valid_lft forever preferred_lft forever
Dec 01 19:52:16 ip[998]: inet 127.0.0.6/8 brd 127.0.0.0 scope host secondary lo
Dec 01 19:52:16 ip[998]: valid_lft forever preferred_lft forever
Dec 01 19:52:16 ip[998]: inet6 ::1/128 scope host noprefixroute
Dec 01 19:52:16 ip[998]: valid_lft forever preferred_lft forever
Dec 01 19:52:16 ip[998]: 2: enp5s0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc fq_codel state DOWN group default qlen 1000
Dec 01 19:52:16 ip[998]: link/ether a8:a1:59:08:49:5d brd ff:ff:ff:ff:ff:ff
Dec 01 19:52:16 ip[998]: inet 88.198.70.58/27 brd 88.198.70.63 scope global enp5s0
Dec 01 19:52:16 ip[998]: valid_lft forever preferred_lft forever
Dec 01 19:52:16 ip[998]: inet6 2a01:4f8:140:501a::d19c/64 scope global tentative
Dec 01 19:52:16 ip[998]: valid_lft forever preferred_lft forever
Dec 01 19:52:16 ip[998]: inet6 2a01:4f8:140:501a::b00d/64 scope global tentative
Dec 01 19:52:16 ip[998]: valid_lft forever preferred_lft forever
Dec 01 19:52:16 ip[998]: inet6 2a01:4f8:140:501a::2/64 scope global tentative
Dec 01 19:52:16 ip[998]: valid_lft forever preferred_lft forever
Dec 01 19:52:16 systemd[1]: test-networking2.service: Deactivated successfully.
Dec 01 19:52:16 systemd[1]: Finished test-networking2.service - ********************** Second Test Network Configuration ****************************.
Dec 01 19:52:17 postmulti[1143]: postfix/postlog: starting the Postfix mail system
Dec 01 19:52:17 postfix/master[1145]: fatal: bind 2a01:4f8:140:501a::d19c port 25: Cannot assign requested address
Dec 01 19:52:19 kernel: r8169 0000:05:00.0 enp5s0: Link is Up - 1Gbps/Full - flow control rx/tx
Dec 01 19:52:19 postmulti[1146]: postfix/postlog: fatal: mail system startup failed
Dec 01 19:52:20 systemd[1]: [email protected]: Control process exited, code=exited, status=1/FAILURE
Dec 01 19:52:20 systemd[1]: [email protected]: Failed with result 'exit-code'.
Dec 01 19:52:20 systemd[1]: Failed to start [email protected] - Postfix Mail Transport Agent (instance -).
Dec 01 19:52:20 systemd[1]: Startup finished in 3.180s (kernel) + 6.272s (userspace) = 9.453s.
...
Dec 01 19:54:04 systemd[1]: Starting dovecot.service - Dovecot IMAP/POP3 email server...
Dec 01 19:54:04 systemd[1]: Started dovecot.service - Dovecot IMAP/POP3 email server.
Dec 01 19:54:10 systemd[1]: Starting [email protected] - Postfix Mail Transport Agent (instance -)...
Dec 01 19:54:10 postmulti[1341]: postfix/postlog: warning: symlink leaves directory: /etc/postfix/./postfix-files
Dec 01 19:54:10 postmulti[1375]: postfix/postlog: starting the Postfix mail system
Dec 01 19:54:10 systemd[1]: Started [email protected] - Postfix Mail Transport Agent (instance -).
Dec 01 19:54:10 systemd[1]: Starting postfix.service - Postfix Mail Transport Agent...
Dec 01 19:54:10 systemd[1]: Finished postfix.service - Postfix Mail Transport Agent.
再次,启动后我可以手动启动这两项服务 - 没有错误。
有人知道发生了什么事吗?我在网上找到了一些类似的报告,但它们都有一些原因,在我的案例中可以排除。
谢谢您的反馈!
编辑:将第二个日志替换ip addr为,以ifconfig显示启动时的当前网络配置。我还添加了显示启动后 2 分钟手动启动 Dovecot/Postfix 的行 - 没有错误。
EDIT2:附加 IP 是通过/etc/network/interfaces.d/Debian 中的文件配置的,该文件由 提供/etc/network/interfaces。启动时,这两个文件在启动过程中一步处理networking.service。这是代码片段:
iface enp5s0 inet6 static
address 2a01:4f8:140:501a::b00d/64
iface enp5s0 inet6 static
address 2a01:4f8:140:501a::d19c/64
传统上,这些将是别名接口(enp5s0:1,:2等),但现在这些似乎已经过时了,因此上述方法显然是现在配置附加 IP 的首选方式。
在 Debian 12 VM 上,我设置了 2 个网络接口,即eth0和eth1。两个接口都可以访问 Internet 并设置了 SLAAC 自动配置。
由于两个网络都有路由器,因此我在此虚拟机上的路由表最终如下所示:
2a01:xxxx:xxxx:xxxx::/64 dev eth1 proto kernel metric 256 expires 86388sec pref medium
fd45:xxxx:xxxx:xxxx::/64 dev eth0 proto kernel metric 256 expires 2591988sec pref medium
fe80::/64 dev eth0 proto kernel metric 256 pref medium
fe80::/64 dev eth1 proto kernel metric 256 pref medium
default via fe80::xxxx:xxxx:xxxx:xxxx dev eth1 proto ra metric 1024 expires 1788sec hoplimit 64 pref medium
default via fe80::be24:xxxx:xxxx:xxxx dev eth0 proto ra metric 1024 expires 1788sec pref medium
最初几天一切都很好,我可以通过 访问内部内容fd45::。eth0但现在它突然坏了,所有出站流量都通过 路由eth1,正如 所述traceroute。
我想强制出站连接使用。我可以通过 使用eth0暂时删除默认路由,但几分钟后它就会恢复。有什么方法可以实现这一点吗?eth1ip -6 route del default dev eth1
我的/etc/network/interfaces样子是这样的:
auto lo
iface lo inet loopback
auto eth0
auto eth1
iface eth1 inet6 auto
iface eth0 inet dhcp
iface eth0 inet6 auto
AWS 为其服务提供了 IP 范围列表,并提供了“获取特定区域中特定服务的所有 IPv4 地址”的文档(如果有)。但是,列表中的服务几乎不具体。
有没有办法检索专门用于 AWS Lambda 的 IP 范围?
首先,我想解释一下,我刚刚开始接触网络,特别是 GCP。所以,如果这个问题没有意义,我深表歉意。
我面临的挑战是通过位于美国的 VPN 隧道路由来自欧洲子网的流量。
具体如下:
目前的局限性:
尝试的解决方案:
核心问题:有没有一种方法可以通过在不同区域(us-west)配置的 VPN 隧道路由来自一个区域(europe-west1)中的实例的流量?
我唯一能想到的就是在美国子网中创建另一个实例,充当欧洲实例和隧道之间的代理,但这似乎是一个非常低效的解决方案,我想知道是否有其他我想不到的替代方案。
我有一台服务器,它有两个 IP 地址连接到一个接口:
2: enp27s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether 30:9c:23:83:64:f6 brd ff:ff:ff:ff:ff:ff
inet [IP_1]/32 scope global noprefixroute enp27s0
valid_lft forever preferred_lft forever
inet [IP_2]/32 scope global enp27s0
valid_lft forever preferred_lft forever
inet6 [IP6_1]/64 scope link
valid_lft forever preferred_lft forever
我有几个虚拟机在其上运行,每当它们与外界通信时,它们的数据包都会IP_1作为源 IP。我还有一个特定的虚拟机,我想通过它进行“路由” IP_2。我不想将它完全连接到该 IP 地址,我仍然希望它留在虚拟网络内,但我希望从它发出的所有数据包都具有IP_2源 IP。
我尝试应用 SNAT 转换来实现这一点,但是并没有起到作用:
iptables -t nat -A POSTROUTING -s [VM_IP] -o enp27s0 -j SNAT --to-source [IP_2]
我猜是因为当数据包完成路由时,它们已经拥有IP_1源 IP,而-s [VM_IP]规则的一部分不匹配。将其更改为-s [IP_1]或仅设置IP_2为主 IP 可能有效,但我有点需要其他虚拟机将其传出流量路由通过IP_1。
有什么方法可以实现这一点吗?我很确定以前有人问过类似的问题,但不幸的是,我的经验不足,无法想出关键词放在搜索栏中来找到它 :(
更新:这是我的POSTROUTING表规则(不包括那一条SNAT规则):
# iptables -t nat -S POSTROUTING
-P POSTROUTING ACCEPT
-A POSTROUTING -j LIBVIRT_PRT
# iptables -t nat -S LIBVIRT_PRT
-N LIBVIRT_PRT
-A LIBVIRT_PRT -s 192.168.122.0/24 -d 224.0.0.0/24 -j RETURN
-A LIBVIRT_PRT -s 192.168.122.0/24 -d 255.255.255.255/32 -j RETURN
-A LIBVIRT_PRT -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p tcp -j MASQUERADE --to-ports 1024-65535
-A LIBVIRT_PRT -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p udp -j MASQUERADE --to-ports 1024-65535
-A LIBVIRT_PRT -s 192.168.122.0/24 ! -d 192.168.122.0/24 -j MASQUERADE
寻求关于调整/测试哪些设置和/或如何进一步诊断此问题的建议,因为我不是网络专家并且路由器等上有数百个设置。
我在两个站点之间设置了 DrayTek Lan-to-Lan VPN IPsec 隧道,主要用于管理远程站点的安全性(CCTV/警报/门等)。
一切基本正常。从本地站点 (192.168.1.X),我可以看到远程站点 (172.19.0.X) 上的所有设备,可以连接到设备 Web 界面,可以传输摄像头信息、控制设备等。
然而,有一件事是行不通的,那就是设备的远程固件升级。例如,涉及 75MB 上传的相机固件升级总是会失败。
如果我在路由器上打开一个端口,我可以使用相同的固件文件通过互联网远程更新摄像头,所以我知道那边一切正常,它只是无法通过 IPsec 隧道工作,我想解决这个问题。
通过测试从同一本地站点到远程站点的大型 ftp 上传,我已确认这是一个一般的“上传”问题 - 它们通过 VPN 失败(停顿)。
本地网站:
WAN: Fibre Internet
DrayTek Vigor2926
DrayTek Lan to Lan accepts Dial-In:
IPsec Tunnel (IKEv1/IKEv2)
Pre-Shared Key / Medium (AH) AES
远程站点:
WAN: 3G/4G LTE Modem
DrayTek Vigor2865
DrayTek Lan to Lan Dial-Out:
IPsec Tunnel IKEv2
Pre-Shared Key / Poposal Encryption Auto
IKE Phase 2 Settings: ESP (High) AES256
Proposal Authentication: All
编辑1-路由器上的MTU设置:
下的本地站点 WANInternet Access -> Static or Dynamic IP设置为1500。 下的远程站点 WANInternet Access -> 3G/4G/5G Modem(DHCP mode)设置为1500(根据那里的文字,这是默认值)。
编辑 2-来自 ping 测试的 MTU 值:
我在这里找到了一个 ping 测试脚本,我用它来找到最大 MTU 大小,如下所示:
1500150014921492编辑 3 - 这似乎是一个 MTU 问题,但我仍然不完全理解:
如果我暂时将本地站点上的网络适配器的 MTU 更改1500为较低的值,例如:
sudo ifconfig enp6s0 mtu 1360
然后,通过 VPN 进行测试 FTP 上传。但我认为这是一种黑客式的解决方法,而不是解决方案。
我仔细查看了路由器设置,发现下面VPN and Remote Access -> IPsec General Setup有一个设置,其VPN TCP maximum segment size (MSS)值IPsec (IKEv1/IKEv2)可以在512 and 1381和之间,默认为1360。我想也许这就是答案,将设置更改为非常低的值(512)确实会影响 ping 测试(它返回的最大 MTU 值为1044),但这仍然不会影响通过 VPN 进行上传。
我不明白为什么 ping 测试显示最大 MTU 是 1500,但我必须更改网络适配器 MTU 设置才能使上传正常工作,而且似乎 DrayTek 路由器上的设置没有任何更改允许上传通过它自己的 IPSec VPN 工作。