问题[routing](server)

你好，我想获得一些关于如何使用 VyOS 进行特定类型 NAT 的建议。

我遇到过一种情况，我想对目标地址和目标端口匹配的连接进行 NAT。但我不仅想转换目标端口，还想转换源地址。所以我需要 DNAT 和相应的 SNAT。

将会有多个连接，其理念是，它们将根据原始目的地获得不同的源地址，并重新路由到一个共同的目的地。

问题是 DNAT 先进行，由于它转换目的地，我不知道在 SNAT 中要匹配什么。如果我能够先进行 SNAT，那么问题就解决了。或者，如果我能够以某种方式用 DNAT “标记”连接，然后在 SNAT 中匹配它，那么也可以。

下面是两个连接的示例，其中我发明了一些不存在的连接标记功能来说明我想要做的事情：

set nat destination rule 89 destination address 192.168.222.222
set nat destination rule 89 destination port 10089
set nat destination rule 89 translation port 10000
set nat destination rule 89 modify mark '89'
set nat source rule 89 connection mark '89'
set nat source rule 89 translation address 10.1.1.89

set nat destination rule 96 destination address 192.168.222.222
set nat destination rule 96 destination port 10096
set nat destination rule 96 translation port 10000
set nat destination rule 96 modify mark '96'
set nat source rule 96 connection mark '96'
set nat source rule 96 translation address 10.1.1.96

请注意，两个连接都转换到同一个目的地，所以我无法在 SNAT 规则中使用它。

有没有办法在 DNAT 之前进行 SNAT，或者在 VyOS 中以其他方式实现我想要的效果？

其他注意事项：

• 所有连接都来自同一主机，因此无法匹配
• 原始源端口是短暂的，所以我无法匹配
• 这种设置的目的是模拟从多个客户端到一个公共目的地的连接，而实际上它们来自单个主机，使用不同的目标端口来区分每个模拟客户端。

编辑：我认为如果我使用 iptables 而不是 VyOS 的话，这是可能的，如下所示：

iptables -t mangle -A PREROUTING -d 192.168.222.222 -p tcp --dport 10106 -j CONNMARK --set-mark 89
iptables -t nat -A PREROUTING -d 192.168.222.222 -p tcp --dport 10089 -j DNAT --to-destination 192.168.222.222:10000
iptables -t nat -A POSTROUTING -m connmark --mark 89 -j SNAT --to-source 10.1.1.89

iptables -t mangle -A PREROUTING -d 192.168.222.222 -p tcp --dport 10096 -j CONNMARK --set-mark 96
iptables -t nat -A PREROUTING -d 192.168.222.222 -p tcp --dport 10096 -j DNAT --to-destination 192.168.222.222:10000
iptables -t nat -A POSTROUTING -m connmark --mark 96 -j SNAT --to-source 10.1.1.96

如果 iptables 可以做到这一点，我猜 VyOS 也可以……但也许不行？

在 AlmaLinux 9 中，应该使用 NetworkManager 来定义连接。在我们使用的数据中心中，必须定义路由才能使用虚拟机中的自定义 IP。我已经在主机中定义 IP 方面取得了进展，但无法让 NetworkManager 在重新启动时创建路由，但使用此命令网络可以正常工作：

ip route add default via 192.168.0.1 dev ens18 onlink src 94.23.81.XXX

我不熟悉 nmconnection 文件格式，因此无法使用 NetworkManager 来实现。我应该把这个命令放在哪里，或者在哪个文件中可以定义这个默认且唯一的路由？

谢谢。

描述

10.223.0.7我的目标是从机器 A ( 10.101.0.40) ping 机器 C ( )

我有 2 个网络和 3 台机器

• 网络A：10.223.0.0/24

• 网络B：10.101.0.0/16

• 机器 A（“pinger”）：（10.101.0.40在 eth5 上）

• 机器 B（“路由器”）：（10.101.2.97在 ens7 上）和10.223.0.1（在 wg0 上）

• 机器 C（“被 ping 的”）：（10.223.0.7在 wg0 上）

• 我已在机器 B 上全局启用 IP 转发，并在 ens7 和 wg0 接口上启用

• 我的防火墙正在接受机器 B 上的转发规则。

• 我在机器 B 上添加了这条规则：iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE以启用伪装

• 我在机器 A 上添加了此规则ip route add 10.223.0.0/24 via 10.101.2.97 dev eth5来路由数据包

测试

当我启动 ping 时，我可以看到以下内容tcpdump -nni any icmp：

机器 A：

18:16:12.976724 eth5  Out  IP 10.101.1.40 > 10.223.0.7: ICMP echo request, id 7373, seq 1065, length 64

机器B：

18:16:12.977241 ens7  In  IP 10.101.1.40 > 10.223.0.7: ICMP echo request, id 7373, seq 1065, length 64
18:16:12.977287 wg0   Out IP 10.223.0.1 > 10.223.0.7: ICMP echo request, id 7373, seq 1065, length 64
18:16:12.978201 wg0   In  IP 10.223.0.7 > 10.223.0.1: ICMP echo reply, id 7373, seq 1065, length 64
18:16:12.978217 ens7  Out IP 10.223.0.7 > 10.101.1.40: ICMP echo reply, id 7373, seq 1065, length 64

机器 C

18:16:12.977754 wg0   In  IP 10.223.0.1 > 10.223.0.7: ICMP echo request, id 7373, seq 1065, length 64
18:16:12.977767 wg0   Out IP 10.223.0.7 > 10.223.0.1: ICMP echo reply, id 7373, seq 1065, length 64

并且机器 A 没有收到任何响应。

我认为问题出在机器 B 日志的第 4 行。SRC IP 是，10.223.0.7但在我看来应该是10.101.2.97，ens7 网络上机器 B 的 IP。我完全不知道为什么会这样。

我尝试添加这个伪装规则iptables -t nat -A POSTROUTING -o ens7 -j MASQUERADE但正如预期的那样：它不起作用。

问题

为什么伪装对请求起作用（参见机器 B 的第二行），而对响应不起作用（参见机器 B 的第 4 行）？

我需要配置我的路由器（Ubuntu Server 24/NNFTables），以便连接到 lan1 和 lan2 接口的计算机可以使用 wan1 或 wan2 接口浏览互联网，具体取决于子网 IP。

我通过两个不同的提供商接入互联网。

ISP 1：Bloco ip：111.11.111.0/28

ISP 2：Bloco ip：222.22.222.8/29

配置 netplan yaml：

网络：
    以太网：
        wan1：
            地址：
            - 111.11.111.2/28
            - 111.11.111.3/28
            - 111.11.111.4/28
            - 111.11.111.5/28
            - 111.11.111.6/28
            - 111.11.111.7/28
            - 111.11.111.8/28
            - 111.11.111.9/28
            - 111.11.111.10/28
            - 111.11.111.11/28
            - 111.11.111.12/28
            - 111.11.111.13/28
            - 111.11.111.14/28
            名称服务器：
                地址：
                - 8.8.8.8
                - 8.8.4.4
                搜索： []
            路线：
            - 至：默认
                通过：111.11.111.1
        wan2：
            地址：
            - 222.22.222.10/29
            - 222.22.222.11/29
            - 222.22.222.12/29
            - 222.22.222.13/29
            - 222.22.222.14/29
            名称服务器：
                地址：
                - 8.8.8.8
                - 8.8.4.4
                搜索： []
            路线：
            - 至：默认
                通过：222.22.222.9                
        局域网1：
            地址：
            - 192.168.10.1/24
            名称服务器：
                地址：[]
                搜索： []
        局域网2：
            地址：
            - 192.168.20.1/24
            名称服务器：
                地址：[]
                搜索： []
    版本： 2`

用户测试@路由器1:~$ ip 路由
默认通过 111.11.111.1 dev wan1 proto static
192.168.10.0/24 dev enp4s0 proto 内核范围链接 src 192.168.10.1
192.168.20.0/24 dev enp5s0 proto 内核范围链接 src 192.168.20.1
111.11.111.0/28 dev enp1s5 proto 内核范围链接 src 111.11.111.2
222.22.222.8/29 dev enp8s0 proto 内核范围链接 src 222.22.222.9

我们想要浏览的子网站及其各自的公共IP：

192.168.10.101 ---> 111.11.111.11
192.168.10.102 ---> 111.11.111.12
192.168.10.201 ---> 222.22.222.11
192.168.10.202 ---> 222.22.222.12
192.168.20.10 ---> 222.22.222.10

我发现我需要使用 IP ROUTE 处理多个路由表，但我尝试的所有配置都失败了......

有人知道我该如何解决这个问题吗？

我已经尝试了一些 nftables/ip 路由配置......但我无法使其工作......我搞砸了很多，甚至不知道我尝试过的一切......现在配置如下所示：

$ ip 路由
默认通过 111.11.111.9 dev wan1
192.168.10.0/24 dev lan1 proto 内核范围链接 src 192.168.10.1
192.168.20.0/24 dev lan2 proto 内核范围链接 src 192.168.20.1
111.11.111.0/28 dev wan1 proto 内核范围链接 src 111.11.111.2
222.22.222.8/29 dev wan2 proto 内核范围链接 src 111.11.111.10

$ ip 路由显示表 100
默认通过 111.11.111.1 dev wan1 proto static

$ ip 路由显示表 200
默认通过 222.22.222.9 dev wan2 proto static

$ ip 规则显示
0：从所有查找本地
32764：从 222.22.222.8/29 查找 200 原始静态
32765：从 111.11.111.0/28 查找 100 个原始静态
32766：来自所有查找主
32767：来自所有查找默认

我有一台 RHEL 服务器，计划用于设施监控。它在不同的子网上有 2 个网络接口。为了简洁起见，这些将是“ifconfig”的结果，我将它们称为：

• eno2：11.11.11.11/24（DHCP，互联网子网）
• eno3 ：22.22.22.22/24（静态，基础设施子网）

现在我的问题如下：在服务器本身上，我可以 ping 通互联网（8.8.8.8），也可以 ping 通基础设施子网（22.22.22.201）上的设备，并且两者都使用了正确的接口（8.8.8.8 的 eno2 和 22.22.22.201 的 eno3）。例如

$ip route get 8.8.8.8
> 8.8.8.8 via 11.11.11.0 dev eno2 src 11.11.11.11 uid 0

$ip route get 22.22.22.201
> 22.22.22.201 dev eno3 src 22.22.22.22 uid 0

从我的办公室计算机（即远程）我也可以访问这两个子网上的设备，但我无法通过它自己的 IP 地址（既不是 11.11.11.11 也不是 22.22.22.22）访问服务器，除非我关闭其中一个接口。

因此从我的远程（办公室电脑）来看，我对服务器的 ping 如下所示：

# Both eno2 and eno3 active on server
ping 11.11.11.11 -t              ping 22.22.22.22 -t
Request timed out                Request timed out
Request timed out                Request timed out
Request timed out                Request timed out
...
# Turn off eno3
Reply from 11.11.11.11: bytes=32 Request timed out
Reply from 11.11.11.11: bytes=32 Request timed out  
Reply from 11.11.11.11: bytes=32 Request timed out  
Reply from 11.11.11.11: bytes=32 Request timed out  
Reply from 11.11.11.11: bytes=32 Request timed out
...
# Turn on eno3 (both on again)
Request timed out                Request timed out
Request timed out                Request timed out
Request timed out                Request timed out
Request timed out                Request timed out    
...
# Turn off eno2 
Request timed out                Reply from 22.22.22.22: bytes=32
Request timed out                Reply from 22.22.22.22: bytes=32
Request timed out                Reply from 22.22.22.22: bytes=32
Request timed out                Reply from 22.22.22.22: bytes=32
Request timed out                Reply from 22.22.22.22: bytes=32

这不是防火墙问题，因为禁用防火墙后也会发生同样的情况：

$firewall-cmd --state
>not running

RHEL 论坛上也报告了同样的症状。当 RHEL 配置了多个 IP 时，只有一个 IP 可以从远程网络访问，因此我通过将 rp_filter 设置为 2 并将各个接口设置为 0（无安全性）来实现解决方案。每个接口的 rp_filter 结果如下：

#sysctl -a 2>/dev/null | grep "\.rp_filter"
>
net.ipv4.conf.all.rp_filter = 2
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.eno2.rp_filter = 0
net.ipv4.conf.eno3.rp_filter = 0

我的接口规则和表格的输出如下：

# ip -4 -br a ls
>
lo               UNKNOWN        127.0.0.1/8 
eno3             UP             22.22.22.22/24 
eno2             UP             11.11.11.11/24 

知识产权规则

# ip ru ls
0:      from all lookup local
32766:  from all lookup main
32767:  from all lookup default

IP 表

# ip -4 r ls table all
default via 11.11.11.1 dev eno2 proto dhcp src 11.11.11.11 metric 100 
default via 22.22.22.1 dev eno3 proto static metric 101 
22.22.22.0/24 dev eno3 proto kernel scope link src 22.22.22.22 metric 101 
11.11.11.0/24 dev eno2 proto kernel scope link src 11.11.11.11 metric 100 
169.254.0.0/16 dev eno3 scope link metric 1000 
local 22.22.22.22 dev eno3 table local proto kernel scope host src 22.22.22.22 
broadcast 22.22.22.255 dev eno3 table local proto kernel scope link src 22.22.22.22 
local 11.11.11.11 dev eno2 table local proto kernel scope host src 11.11.11.11 
broadcast 11.11.11.255 dev eno2 table local proto kernel scope link src 11.11.11.11 
local 127.0.0.0/8 dev lo table local proto kernel scope host src 127.0.0.1 
local 127.0.0.1 dev lo table local proto kernel scope host src 127.0.0.1 
broadcast 127.255.255.255 dev lo table local proto kernel scope link src 127.0.0.1

并使用 route -n 对上述输出进行总结：

root@APPSVR:~# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         11.11.11.1      0.0.0.0         UG    100    0        0 eno2
0.0.0.0         22.22.22.1      0.0.0.0         UG    101    0        0 eno3
22.22.22.0      0.0.0.0         255.255.255.0   U     101    0        0 eno3
11.11.11.0      0.0.0.0         255.255.255.0   U     100    0        0 eno2
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 eno3

然而，同样的问题仍然存在，如果两个界面都处于活动状态，我就无法访问任何一个界面。

我还通过将这些更改写入相关配置文件（不记得具体在哪里）使这些更改持久化，是的，我已经重新启动了服务器。

任何帮助或其他建议都将不胜感激。我已经花了大约 3 天时间解决这个问题。提前致谢！

我有两台机器 A 和 B。A 是具有全局可路由的 IPv4 和 IPv6 地址的 VPS，B 是位于运营商级 NAT 后面的物理服务器：

• A：

  • IPv4 地址 A1 和 A2（链路上）；
  • IPv6 前缀 A3::/56（路由）。

• B在 RFC 6598 100.64.0.0/10 地址块中仅有一个 IPv4 地址 B1。

A 和 B 位于不同的网络、不同的 ISP 上，除了 A1 和 A2 可以从 B 访问之外，没有任何共同之处。

我需要在 A 和 B 之间配置一个隧道，使得 B 表现得好像A2 是它的地址一样。

具体来说，我需要能够：

1. 在机器 B 上接收与 A2 的连接，
2. 从机器 B 使用 A2 发起新连接，并且
3. 对某些传入连接执行 DNAT，并将它们重定向到 B“后面”的其他机器 C1..Cn。

我怎么做？

我有链接的网络设置。网络图

本质上，有一个管理 DHCP 并广播 Wifi A 的路由器，然后有一个广播 Wifi B 的专用接入点。站点通过第 2 层连接到其中一个或两个，但通过 Linux 网络绑定接口，active-backup模式仅选择一次一个 Wifi 来引导数据通过。我使用的是静态IP。

专用接入点在路由器和工作站之间有一个桥接接口，因为我的目标是使该接入点在网络的第 3 层组织中透明。但是，我确实需要从接入点检测当前正在使用哪个链路与工作站进行通信，是 Wifi A 还是 Wifi B。

我已经调查过使用，ip route get但是它返回了我的桥梁br0。我想弄清楚与站 IP 的通信是通过以太网到路由器，然后是 Wifi A，还是直接通过 Wifi B 完成。
我也可能会混淆这里网络的第 2 层和第 3 层的复杂性。我的主要目标只是从接入点了解站点的绑定模式。

TLDR：如何查看可以通过网桥的哪一部分访问 IP 地址？

我们正在尝试确定如何将流量从办公室 1 工作人员子网通过办公室 1 服务器子网通过 IPSec 隧道路由到办公室 2 服务器子网。
我们希望办公室 2 工作人员子网通过办公室 2 服务器子网到达办公室 1 服务器子网。
附图显示服务器子网目前能够通过IPSec隧道进行通信。
挑战在于工作子网上的系统可以与其服务器子网正常通信，但无法与其他办公子网中的服务器通信。

任何建议都会非常有帮助。

路由表

1      0.0.0.0          0.0.0.0          x.x.x.x            WAN           0
    
2      X.X.X.X          255.255.255.0      0.0.0.0          WAN             0

3    10.10.1.0        255.255.255.0    0.0.0.0          office_srv2 0 

4      192.168.1.0      255.255.255.0      0.0.0.0          office_wrk2 0

x.x.x.x = public ip of office 1 router with ipsec endpoint

以下行是输出的一部分ip route show

10.244.0.0/24 dev kube-bridge proto kernel scope link src 10.244.0.1

上述路由没有指定网关。这是否意味着它所做的只是指定要使用什么接口以及要记录下一个包直接到达目的地的源？具体来说，以这种方式为路由指定接口到底有什么作用？

我设置了一个 IP 为 10.0.0.X 的 LAN 和一个设置为 10.147.18.X (Zerotier) 的 VLAN，并且我有一个可在 VLAN 内访问的网络服务器 (Plex)。我有一台 ubuntu 22.04 电脑通过以太网接口直接连接到 LAN，并在虚拟接口上将同一台电脑连接到 VLAN。如何使用PC让局域网内的计算机访问VLAN上的Web服务器？我不一定要桥接两个网络，因为我不希望所有流量在这两个 LAN 之间传输，而只访问网络服务器。我认为这可以通过 iptables 或 ip 路由实现，但我不知道如何实现。我的一些设备无法使用 Zerotier，因此它们无法直接连接到 VLAN。

本质上我希望这样当我打开网络浏览器并在 LAN 上的特定 tcp 端口（例如 10.0.0.2:32400）访问 ubuntu 电脑的 IP 地址时，它的行为与我在 VLAN 上完全相同我已经将 plex 服务器的地址设置为具有相同的端口。