înregistrare Logare
Puncte:1
avatar Server

Serverul nu răspunde la ping-urile direcționate prin vpn

drapel in
uQlel

Am server și mașină virtuală pe el. Găzduiesc OpenVPN pe acest server. Mașina virtuală are două interfețe: ens18 - pentru IP public, ens19 - pentru o rețea internă. Încerc să dau ping la 10.2.0.3 (ip-ul mașinii virtuale pe ens19) prin VPN, dar nu răspunde. Când alerg tcpdump -i ens19 icmp pe mașina virtuală, returnează acest lucru:

tcpdump: ieșirea verbosă a fost suprimată, utilizați -v sau -vv pentru decodarea completă a protocolului
ascultare pe ens19, tip link EN10MB (Ethernet), dimensiunea capturii 262144 octeți
16:50:25.931910 IP 10.8.0.2 > 10.2.0.3: cerere de eco ICMP, id 1, seq 80, lungime 40
16:50:29.381784 IP 10.8.0.2 > 10.2.0.3: cerere de eco ICMP, id 1, seq 81, lungime 40

Ieșire ping:

Ping 10.2.0.3 cu 32 de octeți de date:
Cererea a expirat.
Cererea a expirat.
Cererea a expirat.
Cererea a expirat.

Ieșire tcpdump de mașină:

tcpdump: ieșirea verbosă a fost suprimată, utilizați -v sau -vv pentru decodarea completă a protocolului
ascultare pe tun0, RAW de tip link (IP brut), dimensiunea capturii 262144 octeți
15:58:15.007090 IP 10.8.0.2 > 10.2.0.3: cerere de eco ICMP, id 1, seq 45, lungime 40

Regulile mele pentru iptables:

INTRARE în lanț (politica ACCEPTĂ 2806K pachete, 1097M octeți)
 pkts bytes target prot opt ​​in out source destination         
    0 0 ACCEPT all -- eth0 oriunde oriunde oriunde stat RELATED,STABLISHED
 198K 27M ACCEPT udp -- vmbr0 oriunde oriunde udp dpt:[portul meu openvn]
   40 2429 ACCEPT all -- tun0 oriunde oriunde            
    0 0 ACCEPT all -- tun+ oriunde oriunde            
    0 0 ACCEPT all -- tun+ oriunde oriunde            

Lanț FORWARD (politica ACCEPT 0 pachete, 0 octeți)
 pkts bytes target prot opt ​​in out source destination         
 197K 16M ACCEPT pe toate -- tun0 vmbr0 oriunde oriunde            
 177K 336M ACCEPT toate -- vmbr0 tun0 oriunde oriunde            
   45 2540 ACCEPT toate -- tun0 orice 10.8.0.0/24 10.2.0.3            
    2 104 ACCEPT toate -- tun0 orice 10.8.0.0/24 10.2.0.0/24         
    0 0 ACCEPT all -- tun+ oriunde oriunde            

IEȘIRE în lanț (politica ACCEPT 3102K pachete, 1303M octeți)
 pkts bytes target prot opt ​​in out source destination         
    0 0 ACCEPT all -- orice tun0 oriunde oriunde

Tabelul meu de rute:

implicit prin [ip-ul meu public] dev vmbr0 proto kernel onlink 
10.2.0.0/24 dev vmbr1 proto kernel scope link src 10.2.0.1 
10.8.0.0/24 dev tun0 proto kernel scope link src 10.8.0.1 
[IP-ul meu public] dev vmbr0 proto kernel scope link src [gateway-ul meu]

Lista de reguli IP:

0: din toate căutările locale 
32766: din toate căutările principale 
32767: din toate căutările implicite

Dacă aveți nevoie de informații suplimentare, adăugați un comentariu. Scuze, Engleza mea nu e prea buna

112
1 + 16
Karthik avatar
drapel cn
Karthik
puteți edita și comanda `tcpdump` cu comanda completă pe care ați folosit-o pentru a captura pachetele?
0
Răspunde
drapel in
uQlel
@Karthik pe mașina vpn: `tcpdump -i tun0 icmp` pe mașina virtuală: `tcpdump -i ens19 icmp`
0
Răspunde
Karthik avatar
drapel cn
Karthik
mulțumesc, doar o ghicire rapidă, `rp_filter` poate cauza probleme similare atunci când direcționăm traficul prin tunel. poate încerca să dezactivezi `rp_filter` și să verifici problema?
0
Răspunde
drapel in
uQlel
@Karthik trebuie să-l dezactivez pe o mașină vpn sau pe o mașină virtuală? si pentru ce interfata?
0
Răspunde
Karthik avatar
drapel cn
Karthik
Încercați să dezactivați rp_filter pentru interfața `ens19` din mașina virtuală care poartă `10.2.0.3`
0
Răspunde
drapel in
uQlel
@Karthik a fost deja dezactivat pentru toate interfețele, dar l-am activat pentru ens19, dar mașina virtuală încă nu răspunde
0
Răspunde
Karthik avatar
drapel cn
Karthik
Dacă nu ați făcut-o, încercați să **dezactivați** `rp_filter` din `ens19` și verificați problema. Dacă problema nu a fost rezolvată, încercați să dezactivați/activați interfața `ens19`.
0
Răspunde
drapel in
uQlel
@Karthik da, l-am dezactivat, dar nu se întâmplă nimic, dezactivarea și activarea nu ajută
0
Răspunde
Tom Yan avatar
drapel in
Tom Yan
Are VM-ul chiar o rută pentru `10.8.0.0/24` (prin `10.2.0.1`)? De asemenea, vă rugăm să lipiți `iptables-save`. De asemenea, asigurați-vă că aveți o rută care să conducă traficul pentru `10.2.0.0/24` către tunelul de pe clientul VPN (dacă nu utilizați o rută `redirect-gateway` / `0.0.0.0/0`).
0
Răspunde
Karthik avatar
drapel cn
Karthik
Mulțumesc @uQlel. Ați putea verifica dacă răspunsul ping este dezactivat în kernel de către `cat /proc/sys/net/ipv4/icmp_echo_ignore_all`?
0
Răspunde
drapel in
uQlel
@Karthik Returnează 0. Ping funcționează și de la ens18, iar ping funcționează de la mașina vpn la ens19 a mașinii virtuale
0
Răspunde
drapel in
uQlel
@TomYan Cum se creează această rută? Sunt începător la networking
0
Răspunde
Tom Yan avatar
drapel in
Tom Yan
Rulați `ip r add 10.8.0.0/24 prin 10.2.0.1` pe VM. Pentru partea VPN, fie adăugați `route 10.2.0.0 255.255.255.0` la conf. client, fie adăugați `push "route 10.2.0.0 255.255.255.0"` la conf. server, presupunând că utilizați `client` / ` pull` pe client conf. Rețineți că aceste rute nu sunt *necesare* dacă atât VM-urile, cât și clienții VPN folosesc serverul ca gateway implicit.
0
Răspunde
Tom Yan avatar
drapel in
Tom Yan
@uQlel Btw, ce returnează `sysctl net.ipv4.ip_forward` pe server?
0
Răspunde
Karthik avatar
drapel cn
Karthik
De asemenea, ați putea rula `tcpdump -ni any icmp host 10.8.0.2` și să partajați rezultatul? Și vă rugăm să dați ping `10.2.0.3` din interiorul mașinii locale.
0
Răspunde
drapel in
uQlel
@TomYan THX, funcționează!
1
Răspunde
Puncte:0
avatar Server
drapel in
uQlel

De @TomYan

Rulați ip r add 10.8.0.0/24 prin 10.2.0.1 pe VM. Pentru partea VPN, fie adăugați ruta 10.2.0.0 255.255.255.0 la conf. client, fie adăugați împingeți „route 10.2.0.0 255.255.255.0” la conf. server, presupunând că folosesc client / pull on conf. client. Rețineți că aceste rute sunt nu este necesar dacă atât VM-urile, cât și clienții VPN folosesc serverul ca gateway-ul lor implicit

0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.