forwarding tunnel

0

1

Приветствую господа

Столкнулся с такой проблемой настроеy ipip туннель между серверами, всё работает

схема

сеть 2.2.2.0/24–>R1 tun1(10.99.0.2)–>R2 tun1(10.99.0.2)–>eth0(default GW)

так вот сеть 2.2.2.0/24 не проходит через цепочку FORWARD на R2

ip_forwarding включен

если отслеживать то на tun1 R2 видно что приходят пакеты из сети 2.2.2.0/24 даже попадают в цепочку PREROUTING но в FORWARD уже не попадает, все перекопал но не могу найти в чем причина такого поведения. Кто сталкивался?

Ссылка

←	Как сгенерировать сетевой файл с подхватываемым именем интерфейса ?

docker build

→

Нужно чтобы на R2 был маршрут в 2.2.2.0/24 через tun1

vel ★★★★★
(16.12.20 12:55:04 MSK)

Ответ на: комментарий от vel 16.12.20 12:55:04 MSK

ip r a 2.2.2.0/24 dev tun1 не помогает

но задача в принципе натить на внешний IP R2 (1.1.1.1) все приходящие от 2.2.2.0/24 но возвращаться пакеты с R2 должны уже через интернет, а не туннель

Все IP в схеме не серые, кроме туннеля.

Т.е. по сути R2 возвращать пакеты уже должен через свой default gw

wildarp
(16.12.20 13:42:18 MSK) автор топика

Ответ на: комментарий от wildarp 16.12.20 13:42:18 MSK

Кстати «R1 tun1(10.99.0.2)–>R2 tun1(10.99.0.2)» видимо опечатка - адреса не должны совпадать.

но задача в принципе натить на внешний IP R2 (1.1.1.1) все приходящие от 2.2.2.0/24 но возвращаться пакеты с R2 должны уже через интернет, а не туннель

Это какой-то пипец. Ты пробовал прочитать то, что написал?

Ты хочешь получить асимметричный роутинг, когда пакеты из сети 2.2.2.0/24 натятся публичным адресом R1, но отправляются не по маршруту по умолчанию, а отправляется в туннель?

Соответственно назад он должен приходить напрямую на R2.

vel ★★★★★
(16.12.20 14:12:16 MSK)

Ответ на: комментарий от vel 16.12.20 14:12:16 MSK

Где я написал натятся публичным R1 ?

я написал что сеть 2.2.2.0 должна натится на публичный R2

2.2.2.0/24->R1 tun1(10.99.0.2)–>tun1(10.99.0.1)–>NAT to 1.1.1.1–>gw-default

Обратно:

интернет –>default-gw(1.1.1.1) –> 2.2.2.0 уже без туннеля

да можно назвать ассиметричный роутинг

wildarp
(16.12.20 15:21:58 MSK) автор топика

Ответ на: комментарий от wildarp 16.12.20 15:21:58 MSK

интернет –>default-gw(1.1.1.1) –> 2.2.2.0 уже без туннеля

т.е. пакет должен уйти снова через dgw.

Чтоб такое заработало скорее всего нужно отключить rp_filter.

И send_redirects желательно отключить.

Посмотри, чтоб правила фильтрации не дропали такие пакеты.

в таблице nat нужно сделать исключение для пакетов адресованных в сеть 2.2.2.0/24 через внешний интерфейс R2

В худшем случае "-j TRACE" в помощь.

vel ★★★★★
(16.12.20 16:05:20 MSK)

Ссылка

Ответ на: комментарий от wildarp 16.12.20 15:21:58 MSK

Очень может быть, что обратный пакет может дропать оборудование провайдера.

Он получает от тебя пакет не из своей сети в сеть 2.2.2.0/24 - однозначно спуфинг!

vel ★★★★★
(16.12.20 17:04:46 MSK)

Ответ на: комментарий от vel 16.12.20 17:04:46 MSK

нет всё правильно ты сказал, за что спасибо. включить ассиметричный роутинг отключением rp_filter на tun1 трафик попер в форвард и следовательно в построутинг, вот теперь с приходом этого ответки трафика надо побороться ) Но главное процесс сдвинулся

wildarp
(16.12.20 17:47:37 MSK) автор топика

Ссылка

Ответ на: комментарий от vel 16.12.20 17:04:46 MSK

да и это тоже не работает поэтому, буду пинать провайдера.

wildarp
(16.12.20 19:38:17 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Как сгенерировать сетевой файл с подхватываемым именем интерфейса ?

Admin

docker build

→

Похожие темы