Регистрация Войти
Рейтинг:0
avatar Server

Сервер не перенаправляет трафик

флаг cn
Charm_quark

Я использую DO для размещения своего производственного сервера. В настоящее время я создаю среду DR и имею проблемы с пересылкой трафика. Я использовал тот же тип конфигураций из рабочей среды, и он отлично работает (я даже пытался клонировать виртуальную машину, меняя IP-адреса, и у меня возникла та же проблема, что и при новой установке) Сервер получает пакеты на eth1, но не отправляет их (как и положено на eth0, по политике IPsec)

Информация о сервере DR-VPN приведена ниже (обратите внимание, что данные очищены)

user@vpn-DR:~# ip a
эт0: 20.99.90.5/20
эт1: 10.10.0.2/20

user@vpn-DR:~# статус ipsec
Ассоциации безопасности (1 вверх, 0 соединение):
vpn-to-DR[1]: УСТАНОВЛЕНО 46 минут назад, 20.99.90.5[20.99.90.5]...x1.xx3.x.xx4[x1.xx3.x.xx4]
vpn-to-env{1}: УСТАНОВЛЕНО, ТУННЕЛЬ, требуется 1, SPI ESP: c0ac5230_i 0b8674b3_o
vpn-to-env{1}: 10.10.0.3/32 === x1.xx3.x.x9/32

это настройки iptable

ser@vpn-DR:~# iptables-save
*фильтр
:ВВОД ПРИНЯТЬ [3881983:1293276786]
:ВПЕРЕД ПРИНЯТЬ [0:0]
: ВЫВОД ПРИНЯТ [3858285:672322166]
-A FORWARD -s 10.10.0.0/16 -d x1.xx3.x.x9/32 -i eth0 -m policy --dir in --pol ipsec --proto esp -j ПРИНЯТЬ
-A FORWARD -s x1.xx3.x.x9/32 -d 10.10.0.0/16 -o eth0 -m policy --dir out --pol ipsec --proto esp -j ПРИНЯТЬ
-A ВПЕРЕД -s 10.10.0.0/16 -i eth1 -j ПРИНЯТЬ
-A FORWARD -d 10.10.0.0/16 -o eth1 -m состояние --state СВЯЗАННО, УСТАНОВЛЕНО -j ПРИНЯТЬ
СОВЕРШИТЬ
*натуральный
: ПРЕДВАРИТЕЛЬНОЕ ПРИНЯТИЕ [1266750:71807552]
:ВВОД ПРИНЯТЬ [1259384:71241122]
: ВЫВОД ПРИНЯТ [38114:4106963]
: ОТПРАВКА ПРИНЯТИЯ [38115:4107047]
-A POSTROUTING -m policy --dir out --pol ipsec -j ПРИНЯТЬ
-A РАЗМЕЩЕНИЕ -s 10.10.0.0/16 ! -d 10.10.0.0/16 -p tcp -j MASQUERADE --to-ports 1024-65535
-A РАЗМЕЩЕНИЕ -s 10.10.0.0/16 ! -d 10.10.0.0/16 -p udp -j MASQUERADE --to-ports 1024-65535
-A РАЗМЕЩЕНИЕ -s 10.10.0.0/16 ! -d 10.10.0.0/16 -p TCP -j МАСКАРАД
-A POSTOUTING -s 10.10.0.0/16 -o eth1 -j MASQUERADE

Я настроил его для переадресации

судо sysctl-а | grep net.ipv4.conf.*.forwarding
net.ipv4.conf.all.bc_forwarding = 0
net.ipv4.conf.all.forwarding = 1
net.ipv4.conf.all.mc_forwarding = 0
net.ipv4.conf.default.bc_forwarding = 0
net.ipv4.conf.default.forwarding = 1
net.ipv4.conf.default.mc_forwarding = 0
net.ipv4.conf.eth0.bc_forwarding = 0
net.ipv4.conf.eth0.forwarding = 1
net.ipv4.conf.eth0.mc_forwarding = 0
net.ipv4.conf.eth1.bc_forwarding = 0
net.ipv4.conf.eth1.forwarding = 1
net.ipv4.conf.eth1.mc_forwarding = 0
net.ipv4.conf.lo.bc_forwarding = 0
net.ipv4.conf.lo.forwarding = 1
net.ipv4.conf.lo.mc_forwarding = 0

Дополнительная информация при выполнении трассировки на IPtables

########## производство
[6814683.211912] TRACE: raw:PREROUTING:policy:2 IN=eth1 OUT= MAC=52:68:7d SRC=10.13.0.4 DST=x1.xx3.x.x9 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=30853 DF PROTO=ICMP TYPE=8 CODE=0 ID=19134 SEQ=1
[6814683.211979] TRACE: nat:PREROUTING:policy:1 IN=eth1 OUT= MAC=52:68:7d SRC=10.13.0.4 DST=x1.xx3.x.x9 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=30853 DF PROTO=ICMP TYPE=8 CODE=0 ID=19134 SEQ=1
[6814683.212037] TRACE: filter:FORWARD:rule:3 IN=eth1 OUT=eth0 MAC=52:68: SRC=10.13.0.4 DST=x1.xx3.x.x9 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=30853 DF PROTO=ICMP TYPE=8 CODE=0 ID=19134 SEQ=1
[6814683.212053] TRACE: nat:POSTOUTING:rule:1 IN= OUT=eth0 SRC=10.132.0.4 DST=x1.xx3.x.x9 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=30853 DF PROTO=ICMP ТИП=8 КОД=0 ID=19134 SEQ=1

root@VPN_PROD:~# iptables -L -t nat --line-numbers -n
Цепь PREROUTING (политика ПРИНЯТЬ)
num target prot opt ​​источник пункт назначения
Сеть INPUT (политика ACCEPT)
num target prot opt ​​источник пункт назначения
Цепочка OUTPUT (политика ACCEPT)
num target prot opt ​​источник пункт назначения
Сеть POSTROUTING (правило ACCEPT)
num target prot opt ​​источник пункт назначения
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 policy match dir out poli ipsec
2 MASQUERADE TCP -- 10.13.0.0/16 !10.13.0.0/16 masq порты: 1024-65535
3 MASQUERADE udp -- 10.13.0.0/16 !10.13.0.0/16 masq порты: 1024-65535
4 МАСКАРАД TCP -- 10.13.0.0/16 !10.13.0.0/16
5 МАСКАРАД все -- 10.13.0.0/16 0.0.0.0/0

root@VPN_PROD:~# iptables -L -t filter --line-numbers -n
Сеть INPUT (политика ACCEPT)
num target prot opt ​​источник пункт назначения
Сеть FORWARD (политика ACCEPT)
num target prot opt ​​источник пункт назначения
1 ПРИНЯТЬ все -- 10.13.0.0/16 x1.xx3.0.0/16 директория совпадения политик в poli ipsec proto 50
2 ACCEPT all -- x1.xx3.0.0/16 10.13.0.0/16 policy match dir out poli ipsec proto 50
3 ПРИНЯТЬ все -- 10.13.0.0/16 0.0.0.0/0
4 ПРИНЯТЬ все -- 0.0.0.0/0 10.13.0.0/16 состояние СВЯЗАННО,УСТАНОВЛЕНО

Цепочка OUTPUT (политика ACCEPT)
num target prot opt ​​источник пункт назначения
root@VPN_PROD:~#

и след от DR

######## ДР
[ 3152.620125] TRACE: raw:PREROUTING:policy:2 IN=eth1 OUT= MAC=c2:62:51: SRC=10.10.0.3 DST=x1.xx3.x.x9 LEN=84 TOS=0x00 PREC=0x00 TTL= 64 ID=31401 DF PROTO=ICMP TYPE=8 CODE=0 ID=71 SEQ=1
[ 3152.620202] TRACE: nat:PREROUTING:policy:1 IN=eth1 OUT= MAC=c2:62:51: SRC=10.10.0.3 DST=x1.xx3.x.x9 LEN=84 TOS=0x00 PREC=0x00 TTL= 64 ID=31401 DF PROTO=ICMP TYPE=8 CODE=0 ID=71 SEQ=1
[ 3152.620265] TRACE: filter:FORWARD:policy:1 IN=eth1 OUT=eth0 MAC=c2:6251: SRC=10.10.0.3 DST=x1.xx3.x.x9 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=31401 DF PROTO=ICMP TYPE=8 CODE=0 ID=71 SEQ=1
[ 3152.620283] TRACE: nat:POSTROUTING:rule:1 IN= OUT=eth0 SRC=10.108.0.3 DST=x1.xx3.x.x9 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=31401 DF PROTO=ICMP ТИП=8 КОД=0 ID=71 ПОСЛЕД.=1
root@vpn-DR:~# iptables -L -t nat --line-numbers -n
Цепь PREROUTING (политика ПРИНЯТЬ)
num target prot opt ​​источник пункт назначения
Сеть INPUT (политика ACCEPT)
num target prot opt ​​источник пункт назначения
Цепочка OUTPUT (политика ACCEPT)
num target prot opt ​​источник пункт назначения
Сеть POSTROUTING (правило ACCEPT)
num target prot opt ​​источник пункт назначения
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 policy match dir out poli ipsec
2 MASQUERADE TCP -- 10.10.0.0/20 !10.10.0.0/20 masq порты: 1024-65535
3 MASQUERADE udp -- 10.10.0.0/20 !10.10.0.0/20 masq порты: 1024-65535
4 МАСКАРАД все -- 10.10.0.0/20 0.0.0.0/0

root@vpn-DR:~# iptables -L -t filter --line-numbers -n
Сеть INPUT (политика ACCEPT)
num target prot opt ​​источник пункт назначения
Сеть FORWARD (политика ACCEPT)
num target prot opt ​​источник пункт назначения
1 ПРИНЯТЬ все -- 10.10.0.0/20 x1.xx3.0.0/16 директория совпадения политик в poli ipsec proto 50
2 ACCEPT all -- x1.xx3.0.0/16 10.10.0.0/20 policy match dir out poli ipsec proto 50
3 ПРИНЯТЬ все -- 10.10.0.0/20 0.0.0.0/0
4 ПРИНЯТЬ все -- 0.0.0.0/0 10.10.0.0/20 состояние СВЯЗАННО,УСТАНОВЛЕНО
Цепочка OUTPUT (политика ACCEPT)
num target prot opt ​​источник пункт назначения
42
0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.