主页 / user-259611

Robert Koszewski's questions

Martin Hope
Robert Koszewski
Asked: 2018-12-24 12:18:23 +0800 CST
  • 2

我有一个具有 IP 10.0.0.1/24的网桥网络br0,我有一个与 IP 10.0.0.2连接的客户端。我还有一个 VPN 连接(tun0),它的 IP 由 DHCP 分配,所以它的 IP 可能会有所不同。VPN 连接不是系统的默认路由,因此设备上的所有流量都通过常规eth0路由(不是 VPN 路由)。(主机上启用了 IPv4 转发)

我想要实现的是,任何连接到br0(在我的情况下是 LXC 容器)且网关设置为10.0.0.1的客户端都应该通过 VPN 连接对其流量进行 NAT 和路由。

由于无法直接将tun0设备连接到br0,我尝试使用iptables获取转发的流量。

因此,我认为我必须采取的步骤是强制来自br0的流量被伪装,然后通过使用以下命令转发到tun0 :

iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
iptables -A FORWARD -i br0 -o tun0 -j ACCEPT

我还添加了状态跟踪,但它不起作用:

iptables -A INPUT -i br0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT

要添加辅助默认路由,我在文件“/etc/iproute2/rt_tables”中添加了“1 vpnout”条目,并添加了默认路由:

ip route add default dev vpn-out table vpnout

哪个不起作用,并且下一个命令的结果相同

ip route add default via dev vpn-out table vpnout
ip rule add from 10.0.0.0/24 table vpnout
ip rule add to 10.0.0.0/24 table vpnout

但在那之后,我仍然无法从连接到br0的客户端 ping 8.8.8.8。有什么我错过的吗?

networking iptables
Martin Hope
Robert Koszewski
Asked: 2018-12-09 11:34:17 +0800 CST
  • 2

我试图在 Alpine Linux 中坚持(在重新启动之间)来自 iproute2 的路由和规则,但到目前为止没有成功。

以下是命令:

ip route add default via 192.168.200.1 dev eth1 table net2
ip rule add from 192.168.200.10/24 table net2
ip rule add to 192.168.200.1/32 table net2

所以理论上正确的做法应该是在eth1接口的“/etc/network/interfaces”文件中使用“post-up”回调。所以我在界面中添加了这些行:

post-up route add default via 192.168.200.1 dev eth1 table net2
post-up ip rule add from 192.168.200.10/24 table net2
post-up ip rule add to 192.168.200.1/32 table net2

但它不起作用。似乎回调从未运行过。“上”也是如此。我尝试了一个简单的“touch /tmp/ok”,但该文件从未创建过。

或者,我尝试在“/etc/network/if-post-up.d”中创建一个脚本,但是每个启动的接口都会调用该脚本,导致规则中出现重复条目​​。什么是使它正常工作的正确方法(我的意思是在接口启动时只运行一次规则,并在它关闭时撤消规则)。

alpine-linux iproute
Martin Hope
Robert Koszewski
Asked: 2018-10-14 04:19:19 +0800 CST
  • 1

我正在尝试使用 FFMPEG 将 HLS 流传输到 TVHEADEND。但我无法使其工作,因为它不断收到一些找不到主机、没有到主机的路由和 TLS 握手错误。

为了测试它,我运行这个命令,用我的私有流 URL 替换 privateurl.com。

ffmpeg -user_agent "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.100Safari/537.36" -i "https://privateurl.com:8443/stream/stream.m3u8" -c copy -f mpegts test.ts

这在 Windows(FFMPEG build 3.4.2)上完美运行,但在我的 Debian 服务器(Proxmox)上,我无法使用完全相同的命令建立稳定的连接。我在 LXC 容器中使用 FFMPEG 版本 3.2.12-1~deb9u1 和 ffmpeg 版本 3.4.4 对其进行了测试,两种情况下的结果相同。由于 HLS 是由较小的 ts 流块组成的,它似乎无法随机连接到一些声称与服务器连接不良的不同类型错误的块,但为什么呢?Windows 和 Linux 服务器都连接到同一个路由器,服务器甚至直接通过以太网连接(尝试更换电缆),但仍然无法稳定连接到流。它能够间歇性地连接和流式传输一个块,但随后它会随机停止在其他块上。 

...
[tls @ 0x7f49f08eea40] The specified session has been invalidated for some reason.
[tcp @ 0x55efbe455aa0] Connection to tcp://privateurl.com:8443 failed (Host is unreachable), trying next address
    Last message repeated 1 times
[hls,applehttp @ 0x7f49f08ee160] Opening 'https://privateurl.com:8443/stream/stream_982112.ts' for reading
[tcp @ 0x55efbe02fbc0] Connection to tcp://privateurl.com:8443 failed (Host is unreachable), trying next address
    Last message repeated 1 times
[tcp @ 0x55efbe503280] Connection to tcp://privateurl.com:8443 failed (Host is unreachable), trying next address
    Last message repeated 1 times
[tls @ 0x55ba15827580] The TLS connection was non-properly terminated.
...

VLC 也是如此。在 Windows 上我播放流,它运行良好,没有任何错误。如果我在服务器端运行 VLC,则流会间歇性地用于短时间的突发,并且控制台会收到 TLS 垃圾邮件和 No route to host 错误,如下所示:

...
[00007fec88000ef0] main tls client error: TLS session handshake error
[00007fec88000ef0] main tls client error: connection error: No route to host
[00007fec88000ef0] gnutls tls client error: TLS handshake error: Error in the push function.
[00007fec88000ef0] main tls client error: TLS session handshake error
[00007fec88000ef0] main tls client error: connection error: No route to host
[00007fec88000ef0] gnutls tls client error: TLS handshake error: Error in the push function.
[00007fec88000ef0] main tls client error: TLS session handshake error
[00007fec88000ef0] main tls client error: connection error: No route to host
...

我尝试使用 traceroute、tcptraceroute、ping 到 privateurl.com 和它的端口,尽管我尝试使用这些命令出错,但它总是能完美运行。

所以现在我完全不知道如何使这项工作或尝试什么来找出导致问题的原因。在我看来,Linux 中的 TLS 堆栈似乎刚刚损坏或者是 FFMPEG 错误,但我只是不知道为什么它在 Windows 中有效,但在我的 Linux 服务器上无效。

有人有想法吗?

ssl streaming
Martin Hope
Robert Koszewski
Asked: 2018-04-21 05:28:42 +0800 CST
  • 15

我有一个通过NFS 为一些文件夹提供服务的服务器(Debian)和一个连接到 NFS 服务器(使用 NFSv4)并安装该导出文件夹的客户端(Debian)。到目前为止一切都很好,我可以连接和修改文件夹的内容。但是用户完全搞砸了。据我了解,这是由于 NFS 使用 UID 设置权限,并且由于来自客户端服务器的用户的 UID不同,所以会发生这种情况,这仍然是意料之中的。但据我了解,通过启用 NFSv4,IDMAPD 应该启动并使用用户名而不是 UID。用户确实存在于服务器客户端上一方面,他们只是有不同的UID。但无论出于何种原因,IDMAPD 不起作用或似乎没有做任何事情。

所以这是我到目前为止所做的:

在服务器端:

  • 安装 nfs-kernel-server
  • 使用正确的导出设置填充 /etc/exports --> /rfolder ip/24(rw,sync,no_subtree_check,no_root_squash)
  • 并将 /etc/default/nfs-common 更改为NEED_IDMAPD=yes

在客户端

  • 安装 nfs-common
  • 并将 /etc/default/nfs-common 更改为NEED_IDMAPD=yes
  • 并使用“ mount -t nfs4 ip:/rfolder /media/lfolder ”挂载文件夹

重新启动并重新启动了几次,但仍然没有。当我从服务器创建一个包含用户A的文件夹时,在客户端上我看到文件夹所有者是某个用户X。当我使用用户A从客户端创建文件时,在服务器端它说它来自某个用户Y

我用 HTOP 检查了 rpc.idmap 进程正在服务器上运行,确实如此。尽管在客户端上它似乎没有运行。通过尝试在客户端上手动启动服务,我收到一条错误消息,指出 IDMAP 需要运行 nfs-kernel-server 依赖项。所以我将它安装在Client端,现在我在ClientServer上都运行了 rpc.idmap 进程。两个都重启了,问题依旧。

知道这里有什么问题吗?或者如何正确配置它?

linux users