Сообщения без ответов | Активные темы Текущее время: 10 окт 2024, 17:27



Ответить на тему  [ Сообщений: 6 ] 
route-map или правила Firewalld 
Автор Сообщение

Зарегистрирован: 24 дек 2020, 16:04
Сообщения: 25
Добрый день, коллеги.
Настраиваю сервер с двумя интерфейсами, белый и серый адрес.
На нем установлен vpn клиент, который соединяется с vpn сервером, настроил свой сервер для раздачи интернета через vpn тунель.

(Firewalld) Настройка выполняется для двух сетевых интерфейсов — ens224 (внутренний) и tun0 (тунель):
Код:
firewall-cmd --direct --permanent --add-rule ipv4 nat POSTROUTING 0 -o tun0 -j MASQUERADE
firewall-cmd --direct --permanent --add-rule ipv4 filter FORWARD 0 -i ens224 -o tun0 -j ACCEPT
firewall-cmd --direct --permanent --add-rule ipv4 filter FORWARD 0 -i tun0 -o ens224 -m state --state RELATED,ESTABLISHED -j ACCEPT

В подсети с интерфейсом ens224 (10.102.0.0/24) есть виртуальная Cisco CSR-1000v, на ней я настроил route-map для доступа к серверу с других подсетей:

Код:
conf t
ip access-list extended LIST_VPN
permit ip 0.0.0.0 255.255.255.255 188.114.98.0 0.0.0.255
permit ip 0.0.0.0 255.255.255.255 188.114.99.0 0.0.0.255
end

conf t
route-map NAT-VPN permit 10
match ip address LIST_VPN
set ip next-hop 10.102.0.3
end

conf t
interface GigabitEthernet2
ip policy route-map NAT-VPN
end


Где 10.102.0.3 адрес сервера с ВПН клиентом, GigabitEthernet2 - внутренний интерфейс CSR-1000v для подсети 10.102.0.0/24
и на тунельный интерфейс тоже повесил:

Код:
interface Tunnel100
 description -=GRE-IPSEC_TO_COD=-
 ip address 172.20.2.1 255.255.255.252
 ip tcp adjust-mss 1350
 ip ospf message-digest-key 1 md5 7 000000000000
 ip ospf mtu-ignore
 ip ospf cost 120
 ip policy route-map NAT-VPN
 tunnel source GigabitEthernet1
 tunnel mode ipsec ipv4
 tunnel destination 000.000.000.000
 tunnel protection ipsec profile CODCSR-IPsecProfile


Из подсети 10.102.0.0/24 трафик ходит согласно описанному route-map и все нормально, а если из других подсетей подключенных через interface Tunnel100
traceroute доходит до сервера 10.102.0.3, я вижу в iftop что ответ на пинг отправляется но к клиенту он не попадает хотя с самого сервера все подсети пингуются нормально.

Подскажите может я не дописал какие то правила для Firewalld на сервере или не правильно настроил CSR-1000v ?


01 окт 2024, 13:49
Профиль

Зарегистрирован: 24 дек 2020, 16:04
Сообщения: 25
Очень странно:

$ traceroute 10.102.0.3
traceroute to 10.102.0.3 (10.102.0.3), 30 hops max, 60 byte packets
1 gw.my.ru (10.10.0.152) 2.220 ms 2.349 ms 2.434 ms
2 172.16.112.2 (172.16.112.2) 0.463 ms 0.619 ms 0.602 ms
3 172.20.2.1 (172.20.2.1) 3.129 ms 3.113 ms 3.098 ms
4 10.102.0.3 (10.102.0.3) 3.222 ms !X 3.190 ms !X 3.159 ms !X

Я ведь ничего не запрещал, это route-map так делает что ли ?


01 окт 2024, 16:35
Профиль

Зарегистрирован: 24 дек 2020, 16:04
Сообщения: 25
Маршруты на сервере, вроде бы все правильно.

Код:
[root@rvpn ~]# ip route
0.0.0.0/1 via 10.64.111.45 dev tun0
default via 37.230.197.158 dev ens192 proto static metric 100
10.0.0.0/8 via 10.102.0.254 dev ens224 proto static metric 101
10.64.96.0/20 via 10.64.111.45 dev tun0
10.64.111.45 dev tun0 proto kernel scope link src 10.64.111.46
10.102.0.0/24 dev ens224 proto kernel scope link src 10.102.0.3 metric 101
37.230.197.144/28 dev ens192 proto kernel scope link src 37.230.197.154 metric 100
92.243.64.131 via 37.230.197.158 dev ens192
128.0.0.0/1 via 10.64.111.45 dev tun0
172.16.0.0/12 via 10.102.0.254 dev ens224 proto static metric 101
192.168.0.0/16 via 10.102.0.254 dev ens224 proto static metric 101


01 окт 2024, 19:36
Профиль

Зарегистрирован: 24 дек 2020, 16:04
Сообщения: 25
Если трейсить с интерфейса внешние рессурсы все нормально:

Код:
# traceroute -i tun0 1.1.1.1
traceroute to 1.1.1.1 (1.1.1.1), 30 hops max, 60 byte packets
 1  * * *
 2  irb-140.agg1v.qc1.ca.m247.ro (89.47.234.209)  149.286 ms  158.566 ms  158.642 ms
 3  * * ae1-3102.bb1.qc1.ca.m247.ro (185.206.226.107)  137.210 ms
 4  ae17-990.cr0-mtl1.ip4.gtt.net (74.199.144.73)  170.795 ms  188.892 ms  137.203 ms
 5  * ae3.cr2-tor1.ip4.gtt.net (141.136.106.38)  147.547 ms  147.560 ms
 6  * cloudflare-gw.cr0-tor1.ip4.gtt.net (69.174.23.94)  251.596 ms  251.589 ms
 7  108.162.239.18 (108.162.239.18)  247.627 ms * 108.162.239.22 (108.162.239.22)  247.004 ms
 8  * * one.one.one.one (1.1.1.1)  247.692 ms


А если внуиренние, то отлуп:

Код:
# traceroute -i tun0 10.102.0.50
traceroute to 10.102.0.50 (10.102.0.50), 30 hops max, 60 byte packets
 1  * * *
 2  * * *
 3  * * *
 4  * * *


01 окт 2024, 20:37
Профиль

Зарегистрирован: 24 дек 2020, 16:04
Сообщения: 25
Это трейс с другого узла сети:
C:\Users\user>tracert myip.com

Код:
Tracing route to myip.com [188.114.99.229]
over a maximum of 30 hops:
  1     1 ms     1 ms     1 ms  gw.my.ru [10.10.0.152]
  2    <1 ms    <1 ms    <1 ms  172.16.112.2
  3     2 ms     2 ms     2 ms  172.20.2.1
  4     2 ms     2 ms     2 ms  10.102.0.3
  5     *        *        *     Request timed out.
  6     *        *        *     Request timed out.
  7     *        *        *     Request timed out.
  8     *        *        *     Request timed out.
  9     *        *        *     Request timed out.


01 окт 2024, 20:41
Профиль

Зарегистрирован: 24 дек 2020, 16:04
Сообщения: 25
В итоге сервер был настроен правильно.
Так как Cisco CSR-1000v установлен в облаке и там нет доступа к коммутатору обеспечивающего сети то произошло зацикливание rout-map на тунельном интерфейсе. После прописания статических роутов на маршрутизаторе все заработало как нужно.


02 окт 2024, 07:52
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 6 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 8


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB