Рейтинг:0

Почему порядок сетевых подключений в /etc/network/interfaces моей клиентской машины имеет значение для моего маршрутизатора?

флаг ck

У меня есть виртуальная машина с Debian 11, и ей нужно подключиться к двум VLAN. Изнутри здания в локальной сети я могу получить к нему доступ через оба IP-адреса, но когда я нахожусь за пределами сети, используя либо VPN маршрутизатора, либо NAT 1: 1 на маршрутизаторе, я могу подключиться только к первой указанной сети. в /etc/сеть/интерфейсы (из VPN я даже не могу пропинговать второй).Не уверен, связано ли это конкретно с маршрутизатором или это какой-то другой «более внешний источник».
Почему порядок имеет значение? И есть ли что-нибудь, что я могу сделать, чтобы заставить оба работать? Если я поменяю их местами и перезагружу, все, что было первым в файле при загрузке, работает нормально, а то, что находится вторым в порядке, работает только с локального компьютера.

Большая часть установки выполнялась с помощью инструкций, которые я не понимаю, поэтому я включу сюда то, что кажется уместным, но, возможно, я сделал что-то неправильно.

Я установил программное обеспечение vlan (я думаю?) с помощью

# подходящая установка vlan
# modprobe 8021q && lsmod | группа 8021q

И отключил NetworkManager Gnome

В /etc/sysctl.conf я добавил

сеть.ipv4.ip_forward=1
net.ipv4.conf.all.arp_filter=0
net.ipv4.conf.all.rp_filter=2

Мне нужно перенаправить порты 80 и 443 выше 1024.

# iptables -A PREROUTING -t nat -p tcp --dport 80 -j REDIRECT --to-ports [новый порт]
# iptables -A PREROUTING -t nat -p tcp --dport 443 -j REDIRECT --to-ports [новый порт]
# iptables -t nat -I OUTPUT -p tcp -o lo --dport 80 -j REDIRECT --to-ports [новый порт]
# iptables -t nat -I OUTPUT -p tcp -o lo --dport 443 -j REDIRECT --to-ports [новый порт]
# iptables-сохранить | sudo тройник /etc/iptables.rules

И /etc/сеть/интерфейсы выглядит как

# Этот файл описывает сетевые интерфейсы, доступные в вашей системе
# и как их активировать. Для получения дополнительной информации см. интерфейсы(5).

источник /etc/network/interfaces.d/*

# петлевой сетевой интерфейс
авто вот
iFace Lo Inet Loopback

# VPN-клиент может пропинговать этот
авто ens18.200
iface ens18.200 инет dhcp
    предварительное восстановление iptables < /etc/iptables.rules

# Но не этот
авто ens18.40
iface ens18.40 инет dhcp
    предварительное восстановление iptables < /etc/iptables.rules

Маршрутизатор - Meraki MX250, если это имеет значение.


Запрошенные результаты

корень:~# ip а
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    ссылка/петля 00:00:00:00:00:00 брд 00:00:00:00:00:00
    инет 127.0.0.1/8 область хоста lo
       valid_lft навсегда
    inet6 :: 1/128 узел области видимости
       valid_lft навсегда
2: ens18: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast состояние UP группа по умолчанию qlen 1000
    ссылка/эфир 00:50:56:--:--:-- брд ff:ff:ff:ff:ff:ff
    альтернативное имя enp0s18
    inet6 fe80::---:----:----:----/64 ссылка на область видимости
       valid_lft навсегда
3: ens18.200@ens18: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    ссылка/эфир 00:50:56:--:--:-- брд ff:ff:ff:ff:ff:ff
    inet 10.26.1.100/22 brd 10.26.3.255 глобальная динамическая область видимости ens18.200
       valid_lft 623197 сек. selected_lft 623 197 сек.
    inet6 fe80::---:----:----:----/64 ссылка на область видимости
       valid_lft навсегда
4: ens18.40@ens18: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    ссылка/эфир 00:50:56:--:--:-- брд ff:ff:ff:ff:ff:ff
    inet 192.168.1.114/24 brd 192.168.1.255 глобальная динамическая область действия ens18.40
       valid_lft 623198 сек. selected_lft 623 198 сек.
    inet6 fe80::---:----:----:----/64 ссылка на область видимости
       valid_lft навсегда
корень:~# ip ru
0: из всех локальных поисковых систем
32766: из всех основных поисковых запросов
32767: из всех поисковых запросов по умолчанию
корень:~# ip r
по умолчанию через 10.26.1.1 dev ens18.200
10.26.0.0/22 ​​dev ens18.200 ссылка на область ядра прото src 10.26.1.100
192.168.1.0/24 dev ens18.40 ссылка на область ядра прото src 192.168.1.114
корень:~# iptables -vnL
Цепочка INPUT (политика ACCEPT 0 пакетов, 0 байтов)
 pkts bytes target prot opt ​​in out source target

Цепочка FORWARD (политика ACCEPT 0 пакетов, 0 байт)
 pkts bytes target prot opt ​​in out source target

Цепочка OUTPUT (политика ACCEPT 0 пакетов, 0 байт)
 pkts bytes target prot opt ​​in out source target
корень:~# iptables -vnL -t nat
Цепочка PREROUTING (политика ACCEPT 39528 пакетов, 7495К байт)
 pkts bytes target prot opt ​​in out source target
  166 8509 ПЕРЕНАПРАВЛЕНИЕ tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 redir ports [новый порт]
  215 10964 ПЕРЕНАПРАВЛЕНИЕ tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 redir ports [новый порт]

Цепочка INPUT (политика ACCEPT 38823 пакетов, 7422К байт)
 pkts bytes target prot opt ​​in out source target

Цепочка OUTPUT (политика ACCEPT 249 пакетов, 15870 байт)
 pkts bytes target prot opt ​​in out source target
    3 180 ПЕРЕНАПРАВЛЕНИЕ tcp -- * lo 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 redir ports [новый порт]
    3 180 ПЕРЕНАПРАВЛЕНИЕ tcp -- * lo 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 redir ports [новый порт]

Цепочка POSTROUTING (политика ACCEPT 255 пакетов, 16230 байт)
 pkts bytes target prot opt ​​in out source target
корень: ~# tcpdump
-bash: tcpdump: команда не найдена
флаг in
Это больше похоже на маршрутизацию нашей проблемы с брандмауэром, я хотел бы, чтобы ваш вопрос был обновлен выводом от `ip a`, `ip ru`, `ip r`, `iptables -vnL`, `iptables -vnL -t nat` , это должно дать лучшее представление о том, как на самом деле настроена ваша машина. Я также предполагаю, что у вас есть проблемы с доступом из других подсетей, и в этом случае `ip r` наиболее актуален. `tcpdump` также может быть полезен для определения того, какая часть трафика работает, а какая нет.
Michael Hampton avatar
флаг cz
Почему вы дважды загружаете правила брандмауэра?
electron.rotoscope avatar
флаг ck
@NiKiZe спасибо, обновлено добавленными
electron.rotoscope avatar
флаг ck
@MichaelHampton Я думал, что загружаю их для каждого соединения, но, поразмыслив, вы правы, мне это вообще не нужно! удалю вторую запись

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.