问题[route](server)

我正在开发一个将 NetworkManager 优雅地嵌入到其图像中的平台。有两个独立的 eth0 和 eth1，以及一个 4G 调制解调器，所有这些都工作正常。我们使用NetworkManager来控制网络资源。我们希望优先使用 4G 调制解调器上的以太网连接（即 eth0 和 eth1）。

我们的问题是，3-5 秒后，对于 eth0 和 eth1，路由度量从连接中定义的值（即 100）分别更改为 1002 和 1003。但我们希望有一个固定的指标来使用有线连接（如果可用）。

有趣的是，我们对 4G 连接没有任何问题，因为它的指标保持固定，如连接配置中定义的那样。

我们已经定义了以太网接口所需的所有参数。因此以太网链路的连接参数如下：

    id=Coolon-ETH0-Connection
    uuid=eb6a2892-e1ce-4616-a492-f9b105339070
    type=ethernet
    autoconnect-priority=9
    autoconnect-retries=0
    interface-name=eth0
    metered=1
    multi-connect=3
    timestamp=1713921530
    
    [ethernet]
    
    [ipv4]
    method=auto
    route-metric=100
    
    [ipv6]
    addr-gen-mode=stable-privacy
    method=auto
    route-metric=100
    
    [proxy]

路由表如下：

# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.247.171.133  0.0.0.0         UG    123    0        0 wwan0
0.0.0.0         192.168.1.1     0.0.0.0         UG    1002   0        0 eth0
10.247.171.128  0.0.0.0         255.255.255.248 U     123    0        0 wwan0
169.254.0.0     0.0.0.0         255.255.0.0     U     3005   0        0 wlan0
192.150.1.0     0.0.0.0         255.255.255.0   U     600    0        0 wlan0
192.168.1.0     0.0.0.0         255.255.255.0   U     1002   0        0 eth0

我必须向运行 ESXi 6.5 的 ESXi 主机添加辅助 IP。我的目标是允许在不同本地网络上运行的某些机器与 ESXi 内的虚拟机之间通过辅助接口进行通信。这是一张描绘我意图的地图：

如您所见，我有一个通过主接口连接的主路由器192.168.1.0/24，我需要连接到由另一个具有不同 IP 范围的路由器管理的另一个网络（192.168.6.0/24）。

我尝试创建一个连接到具有新 VMKNIC 的新 vSwitch 的新端口组，并创建了一个新的自定义 TCP/IP 堆栈。问题是：

1. 我既不能从 CLI 也不能从新 TCP/IP 堆栈中的接口设置网关。
2. 连接到新 vSwitch 的 VM 不会到达其他机器，即使它们已正确配置。

任何建议都非常受欢迎！

我的服务器不断受到亚马逊印度服务器的攻击。

我35.154.0.0/16在 IP 地址的路由中添加了范围35.154.252.15

ip route add blackhole 35.154.0.0/16

但是当我检查 IP 地址是否被阻止时，它不会输出任何内容。

ip route show 35.154.252.15

我怎样才能确保35.154.252.15被阻止ip route？

我在 VPC 中构建了这条流量路由。

Route53->ACM(SSL)->Public ALB->EC2(Nginx proxy)->Private ALB->ECS(Internal App)

EC2 的安全组允许 tcp 80 和 443。ECS 的安全组允许来自 EC2 的安全组的 80。

当我访问注册在 Route53 中的域时，出现504 DNS look up failed错误。访问公共 ALB 的 DNS 名称时503 Service Temporarily Unavailable出错。

我确定 ACM 正在设置并且公共 LB 的 DNS 名称正在使用域注册到 Route53。

公共子网上的 ALB 设置由 Terraform 执行

resource "aws_lb_listener" "http" {
  load_balancer_arn = aws_lb.this.arn
  port              = "80"
  protocol          = "HTTP"

  default_action {
    type = "redirect"

    redirect {
      port        = "443"
      protocol    = "HTTPS"
      status_code = "HTTP_301"
    }
  }
}

resource "aws_lb_listener_rule" "http_redirect" {
  listener_arn = aws_lb_listener.proxy.arn
  priority     = 1

  action {
    type = "redirect"

    redirect {
      port        = "443"
      protocol    = "HTTPS"
      status_code = "HTTP_301"
    }
  }

  condition {
    path_pattern {
      values = ["/*"]
    }
  }
}

resource "aws_lb_listener_rule" "http_forward" {
  listener_arn = aws_lb_listener.http.arn
  priority     = 2

  action {
    type             = "forward"
    target_group_arn = aws_lb_target_group.proxy.arn
  }

  condition {
    host_header {
      values = ["proxy.portsite.com"]
    }
  }
}

resource "aws_lb_listener_rule" "https_forward" {
  listener_arn = aws_lb_listener.https.arn

  action {
    type             = "forward"
    target_group_arn = aws_lb_target_group.proxy.arn
  }

  condition {
    host_header {
      values = ["proxy.portsite.com"]
    }
  }
}

两者都是路由的必要条件吗http_redirect？http_forward还是只有http_redirect好的？而且，问题是由它引起的吗？

我在 linux 上观察到一个奇怪的行为：

首先，我清理所有路由和 iptables 规则：

ip route flush table main
ip route flush table default
ip route flush table local
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -F
iptables -t mangle -F
iptables -F
iptables -X
ip6tables -P INPUT ACCEPT
ip6tables -P FORWARD ACCEPT
ip6tables -P OUTPUT ACCEPT
ip6tables -t nat -F
ip6tables -t mangle -F
ip6tables -F
ip6tables -X

然后我添加一个本地路由：

ip route add local 127.0.0.1 dev lo proto kernel scope host src 127.0.0.1 table local

然后，在一个终端上我打开一个端口，nc -lp 12345在另一个终端上我连接到它，nc 127.0.0.1 12345我可以在 netcat 服务器和客户端之间发送和接收数据。所以现在，一切都很好。

现在，从它并在杀死以前的 netcat 服务器和客户端之后，如果我运行：

iptables -t nat -A POSTROUTING -j MASQUERADE

然后我重新启动 netcat 服务器，然后客户端无法连接。你知道为什么吗？

我注意到添加ip route add local 192.168.0.10 dev wlan0 proto kernel scope host src 192.168.0.10 table local使 netcat 连接再次起作用。但是，我不明白为什么 wlan0 接口（IP 为 192.168.0.10）会影响环回接口？

有关信息，我正在使用 ArchLinux

我有一个正在运行的 OpenVPN 服务器，配置如下

• VPN 网络为 10.7.0.0/16
• LAN网络为192.168.100.0/24

客户端可以连接，但我无法访问位于 VPN 连接 (192.168.100.*) 后面的 LAN 主机。

没有答案

push "route 192.168.100.0 255.255.255.0"配置行应该解决这个问题，但不是。我的错误在哪里？

分析

连接后，这是我的netstat -rn结果

default            10.7.0.5           UGScIg      utun10
10.7/16            10.7.0.5           UGSc        utun10
10.7.0.5           10.7.0.6           UHr         utun10
10.7.0.5/32        link#23            UCS         utun10
192.168.100        10.7.0.5           UGSc        utun10

我本来希望10.7.0.1网关在最后一行，不是吗？

ifconfig 也许是一个线索，我ifconfig的客户端给了我

我期望inet 10.7.0.2 --> 10.7.0.1它在我在其他上下文中获得的其他 VPN 上工作时会发生类似的事情。

↳ 用@lacek 回答。

数据包捕获

在客户端 ping 期间，VPN 服务器上的 Atcpdump给了我

• 刚刚在 LAN ping 上发送 ping（不返回）。
  
• ping 并返回 VPN 主机 ping。
  

如果我在目标上捕获任何 ICMP 流量，则没有关于 ping 请求的日志。（我已经尝试从另一个 LAN 主机，它可以工作。直接从 VPN 主机，它也可以工作。）。

关键是 OpenVPN 服务不会将我的数据包转发到 LAN 网络。

配置

server.conf配置

proto udp
ifconfig-pool-persist ipp.txt
keepalive 10 120
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn.log
verb 3
mute 10
ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/server.crt
key /etc/openvpn/server/server.key
dh /etc/openvpn/server/dh.pem
port 1194
dev tun
server 10.7.0.0 255.255.255.0
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
push "route 192.168.100.0 255.255.255.0 "
client-to-client

在服务器端，我在 Debian OS 上运行 OpenVPN 2.4.0。

这是 /etc/network/interfaces 的内容：

auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug ens18
iface ens18 inet static
        address 10.0.5.108
        netmask 255.255.252.0
        gateway 10.0.4.1
        post-up route add -net 10.0.12.0/24 gw 10.0.4.1
        pre-down route del -net 10.0.12.0/24 gw 10.0.4.1

知道我在做什么错吗？使用命令ip route add 10.0.12.0/24 via 10.0.4.1工作正常...

ip r重启后给出这个：

root@server:~# ip r
default via 10.0.4.1 dev ens18 onlink 
10.0.4.0/22 dev ens18 proto kernel scope link src 10.0.5.108
10.64.0.1 dev tun0 proto static 
172.17.0.0/16 dev docker0 proto kernel scope link src 172.17.0.1 linkdown

Mikrotik OS v6.48.2 有路由

 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  0.0.0.0/0                          193.168.1.1               1   <<<<<<<<<<<<<<<<<<<<<
 1   S  ;;; dyno
        0.0.0.0/0                          192.168.8.1               5
 2   S  ;;; dyno
        0.0.0.0/0                          pppoe-out1                6
 3   S  ;;; dyno
        0.0.0.0/0                          193.168.1.1              10
 4 ADC  10.32.181.1/32     x.x.x.147   pppoe-out1                0
 5 ADC  10.32.238.1/32     x.x.x.250   pppoe-out2                0
 6 A S  ;;; dyno
        x.x.x.18/32                 193.168.1.1               1
 7 ADC  192.168.8.0/24     192.168.8.100   lte1                      0
 8 ADC  192.168.88.0/24    192.168.88.1    bridge                    0
 9 ADC  193.168.0.0/16     193.168.0.177   ether1                    0

但是路线 0 消失并每隔 3-5 秒再次出现。所以它变得像

 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0   S  ;;; dyno
        0.0.0.0/0                          192.168.8.1               5
 1 A S  ;;; dyno
        0.0.0.0/0                          pppoe-out1                6
 2   S  ;;; dyno
        0.0.0.0/0                          193.168.1.1              10
 3 ADC  10.32.181.1/32     x.x.x.147   pppoe-out1                0
 4 ADC  10.32.238.1/32     x.x.x.250   pppoe-out2                0
 5 A S  ;;; dyno
        x.x.x.18/32                 193.168.1.1               1
 6 ADC  192.168.8.0/24     192.168.8.100   lte1                      0
 7 ADC  192.168.88.0/24    192.168.88.1    bridge                    0
 8 ADC  193.168.0.0/16     193.168.0.177   ether1                    0

LAN 没有任何改变。没有脚本正在运行。每隔 3-5 秒，它就会再次出现和消失。

/ip 地址打印

#   ADDRESS            NETWORK         INTERFACE                                                  
 0   ;;; defconf
     192.168.88.1/24    192.168.88.0    bridge                                                     
 1 D 193.168.0.177/16   193.168.0.0     ether1                                                     
 2 D 192.168.8.100/24   192.168.8.0     lte1                                                       
 3 D x.x.x.250/32   10.32.238.1     pppoe-out2                                                 
 4 D x.x.x.147/32   10.32.181.1     pppoe-out1 

如何解决这个问题？

我正在尝试从 tx.py 程序进行通信，以将数据包 (UDP) 向下发送到图中所示的设备 1 和设备 2。目前，我们的 2 个虚拟机上运行 OpenVPN 客户端，如果我在这些虚拟机上运行 tx.py，我可以与连接到该 vpn 隧道的每个设备进行良好通信（因此我可以从 vm2 访问设备 1，但不能访问设备 2） .

我希望能够从 vm1 进行路由，以便可以从该中心位置发送到设备 1 或设备 2。我尝试在 vm1 上添加一条路由到设备 1（通过 VM 2），route add -net 100.64.226.0 netmask 255.255.255.0 gw 10.2.6.20 dev eth0但仍然无法在设备 1 上接收数据包。还尝试为 vm1 和 vm2 切换 ip 转发，但这并没有解决它。

这样做的方法是什么？

请注意，我不需要从设备与 vm1 进行备份通信。

注意：我不控制 openVPN 服务器，也不能在那里更改配置。

我们有一个具有特定 ip 的应用程序，比如说 myapplication.com 应用程序的跟踪路由给出的结果如下所示。Ip 和时间仅用于说明目的。如果您看到 10.10.28.100，它会出现 4 次，并且似乎是一个路由循环并增加了应用程序响应时间的延迟。它真的是一个路由循环吗？它是企业中的comman 吗？

Trace complete.