У меня есть следующая сеть на основе UniFi. В контексте этого вопроса все утверждения относятся к IPv6 подключения, если не указано иное.
В этой настройке сервер может получить доступ к Интернету через USG через bond0, но не может сделать это через enp2s0f0. Кроме того, универсальная группа безопасности и сервер не могут пинговать друг друга между LAN2/enp2s0f0, но могут между LAN1/bond0. На сервере не установлен брандмауэр.
Подключение IPv4 и доступ в Интернет между LAN2/enp2s0f0 работают без проблем.
Все интерфейсы в универсальной группе безопасности и на сервере имеют как локальные, так и глобальные IPv6-адреса, назначенные посредством делегирования префикса. USG получает IP-адрес WAN через DHCPv6 с делегированным /48. USG, в свою очередь, предлагает /64 для каждого из интерфейсов LAN через делегирование префикса (с объявлениями маршрутизатора).
У USG есть правило брандмауэра ipv6 в группе «WAN IN», указывающее IP-адрес сервера enp2s0f0 и два порта (80 и 443).
Мои цели:
- Иметь серверный доступ в Интернет только через интерфейс enp2s0f0.
- Иметь доступ к серверу из Интернета через порты 80 и 443.
Дополнительная информация от правительства США:
$ /sbin/ifconfig
eth0 Link encap:Ethernet HWaddr 74:ac:b9:df:d9:b8
inet addr:XXX.XXX.XXX.XXX Bcast:XXX.XXX.XXX.XXX Маска:255.255.252.0
адрес inet6: XXXX:XXXX:7fff:89:eadc:1152:90c2:550/128 Область: глобальная
адрес inet6: fe80::76ac:b9ff:fedf:d9b8/64 Область применения: ссылка
ВВЕРХ ТРАНСЛЯЦИЯ РАБОТАЕТ MULTICAST MTU:1500 Метрика:1
Пакеты RX: 214886 ошибки: 0 отброшены: 148 превышения: 0 кадр: 0
Пакеты TX: 154122 ошибки: 0 отброшены: 0 переполнены: 0 перевозчик: 0
коллизии: 0 txqueuelen: 0
Байты RX: 255100029 (243,2 МБ) Байты TX: 18676153 (17,8 МБ)
Инкапсуляция канала eth1: Ethernet HWaddr 74: ac: b9: df: d9: b9
инет-адрес: 192.168.118.118 Bcast: 192.168.118.255 Маска: 255.255.255.0
адрес inet6: fe80::76ac:b9ff:fedf:d9b9/64 Область действия: ссылка
адрес inet6: XXXX:XXXX:8b:2:76ac:b9ff:fedf:d9b9/64 Область применения: глобальная
ВВЕРХ ТРАНСЛЯЦИЯ РАБОТАЕТ MULTICAST MTU:1500 Метрика:1
Пакеты RX: 229284 ошибки: 0 отброшены: 183 превышения: 0 кадр: 0
Пакеты TX: 257854 ошибки: 0 отброшены: 0 переполнены: 0 перевозчик: 0
коллизии: 0 txqueuelen: 0
Байты RX: 25017796 (23,8 МБ) Байты TX: 259257297 (247,2 МБ)
eth2 Link encap:Ethernet HWaddr 74:ac:b9:df:d9:ba
инет адрес: 192.168.253.1 Bcast: 192.168.253.255 Маска: 255.255.255.0
адрес inet6: fe80::76ac:b9ff:fedf:d9ba/64 Область действия: ссылка
адрес inet6: XXXX:XXXX:8b:1:76ac:b9ff:fedf:d9ba/64 Область применения: глобальная
ВВЕРХ ТРАНСЛЯЦИЯ РАБОТАЕТ MULTICAST MTU:1500 Метрика:1
Пакеты RX: 10589 ошибки: 0 отброшены: 0 переполнены: 0 кадр: 0
Пакеты TX: 8973 ошибки: 0 отброшены: 0 переполнены: 0 перевозчик: 0
коллизии: 0 txqueuelen: 0
Байты RX: 2233148 (2,1 МБ) Байты TX: 1494400 (1,4 МБ)
$ ip -6 маршрут
XXXX:XXXX:8b:1::/64 dev eth2 proto kernel metric 256
XXXX:XXXX:8b:2::/64 dev eth1 метрика протоядра 256
XXXX: XXXX: 7fff: 89: eadc: 1152: 90c2: 550 dev eth0 метрика протоядра 256
fe80::/64 dev eth0 метрика прототипа ядра 256
fe80::/64 dev eth1 метрика прототипа ядра 256
fe80::/64 dev eth2 метрика прототипа ядра 256
по умолчанию через fe80::2a2:ff:feb2:c2 dev eth0 proto ra metric 1024 истекает 1674sec hoplimit 64
$ показать брандмауэр
--------------------------------------------- ------------------------------
Брандмауэр IPv4 "AUTHORIZED_GUESTS":
Неактивно — не применяется ни к каким интерфейсам, зонам или для проверки контента.
правило действие протопакеты байты
---- ------ ----- ------- -----
10000 бросить все 0 0
--------------------------------------------- ------------------------------
Брандмауэр IPv4 "GUEST_IN":
Активен в (eth2, IN)
правило действие протопакеты байты
---- ------ ----- ------- -----
3001 принять tcp_udp 0 0
условие - tcp dpt:домен
3002 принять TCP 0 0
условие - tcp dpt:https match-set captive_portal_subnets dst
3003 принять все 0 0
условие - набор совпадений guest_pre_allow dst
3004 сбросить все 0 0
условие - набор совпадений guest_restricted dst
3005 сбросить все 0 0
условие - match-set корпоративная_сеть dst
3006 сбросить все 0 0
условие - набор совпадений remote_user_vpn_network dst
3007 сбросить все 0 0
условие - набор совпадений author_guests dst
6001 принять все 8878 1883939
состояние - саддр 192.168.253.0/24
10000 принять все 0 0
--------------------------------------------- ------------------------------
Брандмауэр IPv4 "GUEST_LOCAL":
Активен (eth2, ЛОКАЛЬНО)
правило действие протопакеты байты
---- ------ ----- ------- -----
3001 принять tcp_udp 1096 80696
условие - tcp dpt:домен
3002 принять icmp 0 0
3003 принять udp 26 8528
условие - udp spt:bootpc dpt:bootps
10000 дроп все 1 227
--------------------------------------------- ------------------------------
Брандмауэр IPv4 "GUEST_OUT":
Активен на (eth2,OUT)
правило действие протопакеты байты
---- ------ ----- ------- -----
6001 принять все 7504 1268333
состояние - папдр 192.168.253.0/24
10000 принять все 0 0
--------------------------------------------- ------------------------------
Брандмауэр IPv4 "LAN_IN":
Активен в (eth1, IN)
правило действие протопакеты байты
---- ------ ----- ------- -----
2000 отклонить все 0 0
условие - состояние INVALID,NEW,RELATED,ESTABLISHED match-SRC--GROUP NETv4_eth2
match-DST--GROUP NETv4_eth1 reject-with icmp-port-unreachable
6001 принять все 107548 8539102
состояние - саддр 192.168.118.0/24
10000 принять все 0 0
--------------------------------------------- ------------------------------
Брандмауэр IPv4 "LAN_LOCAL":
Активен (eth1, LOCAL)
правило действие протопакеты байты
---- ------ ----- ------- -----
10000 принять все 30710 2348326
--------------------------------------------- ------------------------------
Брандмауэр IPv4 "LAN_OUT":
Активен на (eth1,OUT)
правило действие протопакеты байты
---- ------ ----- ------- -----
4000 отклонить все 0 0
условие - состояние INVALID,NEW,RELATED,ESTABLISHED match-SRC--GROUP NETv4_eth1
match-DST-GROUP NETv4_eth2 reject-with icmp-port-unreachable
6001 принять все 69747 81090972
состояние - папдр 192.168.118.0/24
10000 принять все 0 0
--------------------------------------------- ------------------------------
Брандмауэр IPv4 "WAN_IN":
Активен в (eth0,IN)
правило действие протопакеты байты
---- ------ ----- ------- -----
3001 принять все 76607 82323027
состояние - состояние ОТНОСИТЕЛЬНО,УСТАНОВЛЕНО
3002 сбросить все 0 0
условие - состояние INVALID
3003 принять TCP 65 3404
условие - папддр lemur.dmz.XXX.XXX tcp dpt:http
3004 принять TCP 47 2472
условие - ddr lemur.dmz.XXX.XXX tcp dpt:https
3005 принять TCP 481 28276
условие - ddr lemur.dmz.XXX.XXX tcp dpt:ssh
10000 бросить все 0 0
--------------------------------------------- ------------------------------
Брандмауэр IPv4 "WAN_LOCAL":
Активен в (eth0, LOCAL)
правило действие протопакеты байты
---- ------ ----- ------- -----
3001 принять все 6498 791616
состояние - состояние ОТНОСИТЕЛЬНО,УСТАНОВЛЕНО
3002 бросить все 76 5449
условие - состояние INVALID
10000 бросить все 1384 67100
--------------------------------------------- ------------------------------
Брандмауэр IPv4 "WAN_OUT":
Активен на (eth0,OUT)
правило действие протопакеты байты
---- ------ ----- ------- -----
4000 отклонить все 48670 3341424
условие - состояние INVALID,NEW,RELATED,ESTABLISHED match-SRC-ADDR-GROUP 6042f0f
26ca20408a0bf892f отклонение с icmp-портом недоступно
10000 принять все 67739 7082221
--------------------------------------------- ------------------------------
Брандмауэр IPv6 "AUTHORIZED_GUESTSv6":
Неактивно — не применяется ни к каким интерфейсам, зонам или для проверки содержимого.
правило действие протопакеты байты
---- ------ ----- ------- -----
10000 бросить все 0 0
--------------------------------------------- ------------------------------
Брандмауэр IPv6 "GUESTv6_IN":
Активен в (eth2, IN)
правило действие протопакеты байты
---- ------ ----- ------- -----
3001 сбросить все 0 0
условие - match-set Corporate_networkv6 dst
10000 принять все 25 2256
--------------------------------------------- ------------------------------
Брандмауэр IPv6 "GUESTv6_LOCAL":
Активен (eth2, ЛОКАЛЬНО)
правило действие протопакеты байты
---- ------ ----- ------- -----
3001 принять UDP 0 0
условие - udp dpt:домен
3002 принять icmp 0 0
10000 бросить все 618 48352
--------------------------------------------- ------------------------------
Брандмауэр IPv6 "GUESTv6_OUT":
Активен на (eth2,OUT)
правило действие протопакеты байты
---- ------ ----- ------- -----
10000 принять все 114 9064
--------------------------------------------- ------------------------------
Брандмауэр IPv6 "LANv6_IN":
Активен в (eth1, IN)
правило действие протопакеты байты
---- ------ ----- ------- -----
10000 принять все 78533 8511294
--------------------------------------------- ------------------------------
Брандмауэр IPv6 "LANv6_LOCAL":
Активен (eth1, LOCAL)
правило действие протопакеты байты
---- ------ ----- ------- -----
10000 принять все 837 140990
--------------------------------------------- ------------------------------
Брандмауэр IPv6 "LANv6_OUT":
Активен на (eth1,OUT)
правило действие протопакеты байты
---- ------ ----- ------- -----
10000 принять все 130345 168214132
--------------------------------------------- ------------------------------
Брандмауэр IPv6 "WANv6_IN":
Активен в (eth0,IN)
правило действие протопакеты байты
---- ------ ----- ------- -----
2000 принять ipv6-icmp 0 0
состояние - состояние НОВОЕ, СВЯЗАННОЕ, УСТАНОВЛЕННОЕ ipv6-icmp address-unreachable
2001 принять ipv6-icmp 0 0
состояние - состояние НОВОЕ, СВЯЗАННОЕ, УСТАНОВЛЕННОЕ ipv6-icmp packet-too-big
2002 принять ipv6-icmp 1 108
состояние - состояние NEW, RELATED, ESTABLISHED ipv6-icmp time-exceed
2003 принять ipv6-icmp 0 0
состояние - состояние NEW, RELATED, ESTABLISHED ipv6-icmp параметр-проблема
2004 принять TCP 0 0
условие - match-DST--GROUP 620f1fefada79301557fab76 match-set 620f1fd7ada793
01557fab75 Журнал dst включен
3001 принять все 40640 50664212
состояние - состояние ОТНОСИТЕЛЬНО,УСТАНОВЛЕНО
3002 скиньте все 15 900
условие - состояние INVALID
10000 бросить все 38 4528
--------------------------------------------- ------------------------------
Брандмауэр IPv6 "WANv6_LOCAL":
Активен в (eth0, LOCAL)
правило действие протопакеты байты
---- ------ ----- ------- -----
3001 принять ipv6-icmp 187 13464
условие - ipv6-icmp сосед-реклама
3002 принять ipv6-icmp 0 0
условие - запрос соседа ipv6-icmp
3003 принять все 43 5272
состояние - состояние ОТНОСИТЕЛЬНО,УСТАНОВЛЕНО
3004 принять udp 20 3460
условие - udp spt:dhcpv6-server dpt:dhcpv6-client
3005 принять ipv6-icmp 40 2880
условие - ipv6-icmp роутер-реклама
3006 сбросить все 0 0
условие - состояние INVALID
10000 бросить все 60 6240
--------------------------------------------- ------------------------------
Брандмауэр IPv6 "WANv6_OUT":
Активен на (eth0,OUT)
правило действие протопакеты байты
---- ------ ----- ------- -----
2000 принять TCP 0 0
условие - match-DST--GROUP 620f1fefada79301557fab76 match-set 620f1fd7ada793
01557fab75 дст
10000 принять все 78479 8507790
И с сервера:
# /sbin/ifconfig
bond0: flags=5187<UP,BROADCAST,RUNNING,MASTER,MULTICAST> mtu 1500
инет 192.168.118.254 сетевая маска 255.255.255.0 широковещательная рассылка 192.168.118.255
inet6 fe80::508d:a7ff:fe73:e07a prefixlen 64 scopeid 0x20<ссылка>
inet6 XXXX:XXXX:8b:2:508d:a7ff:fe73:e07a prefixlen 64 scopeid 0x0<глобальный>
эфир 52:8d:a7:73:e0:7a txqueuelen 1000 (Ethernet)
Пакеты RX 3638275406 байт 4719003770323 (4,2 ТиБ)
Ошибки RX 0 отброшено 8 переполнение 0 кадр 0
Пакеты TX 2162159554 байт 190882816640 (177,7 ГиБ)
Ошибки передачи 0 отброшено 0 превышение пропускной способности 0 несущей 0 коллизий 0
bond0:0: flags=5187<UP,BROADCAST,RUNNING,MASTER,MULTICAST> mtu 1500
инет 192.168.118.2 сетевая маска 255.255.255.0 широковещательная рассылка 192.168.118.255
эфир 52:8d:a7:73:e0:7a txqueuelen 1000 (Ethernet)
enp2s0f0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
инет 192.168.253.2 сетевая маска 255.255.255.0 широковещательная рассылка 192.168.253.255
inet6 fe80::d685:64ff:fe6b:703c prefixlen 64 scopeid 0x20<ссылка>
inet6 XXXX:XXXX:8b:1:d685:64ff:fe6b:703c prefixlen 64 scopeid 0x0<глобальный>
эфир d4:85:64:6b:70:3c txqueuelen 1000 (Ethernet)
Пакеты RX 4407 байт 711568 (694,8 КиБ)
Ошибки RX 0 отброшено 0 переполнение 0 кадр 0
Пакеты TX 5408 байт 1111010 (1,0 МБ)
Ошибки передачи 0 отброшено 0 превышение пропускной способности 0 несущей 0 коллизий 0
# ip -6 маршрут
::1 dev lo proto kernel metric 256 pref medium
XXXX:XXXX:8b:1::/64 dev enp2s0f0 метрика протоядра 256 истекает 86107sec pref medium
XXXX:XXXX:8b:2::/64 dev bond0 метрика прото-ядра 256 истекает 86289 секунд преф средний
fe80::/64 dev bond0 протоядерная метрика 256 pref средний
fe80::/64 dev enp2s0f0 proto kernel metric 256 pref средний
по умолчанию через XXXX:XXXX:b9ff:fedf:d9b9 dev bond0 proto ra metric 1024 expires 1689sec hoplimit 64 pref high
по умолчанию через XXXX:XXXX:b9ff:fedf:d9ba dev enp2s0f0 proto ra metric 1024 expires 1507sec hoplimit 64 pref high
# кошка /etc/network/interfaces
авто ло бонд0 enp2s0f0
## Сетевой интерфейс loopback
iFace Lo Inet Loopback
## NBN через USG
iface enp2s0f0 инет dhcp
iface enp2s0f0 inet6 авто
## локальная сеть
iface bond0 инет статический
адрес 192.168.118.254
сетевая маска 255.255.255.0
рабы enp2s0f1 enp3s0f0
бонд-режим баланс-рр
бонд-миимон 100
задержка облигаций 200
облигация-updelay 200
iface bond0 inet6 авто
## не использовать бонд в качестве шлюза по умолчанию
accept_ra 0
post-up ip -6 route del default через fe80::76ac:b9ff:fedf:d9b9 dev bond0
## Кэш
авто связь0:0
iface bond0:0 инет статический
адрес 192.168.118.2
сетевая маска 255.255.255.0
Мой вопрос: Почему ни одно устройство не может получить доступ к другому (через IPv6) по этой ссылке enp2s0f0/LAN2?
Этот вопрос казалось, имел сопоставимую цель, но, к сожалению, остался без ответа.
