1 (edytowany przez witek_1308 2020-10-24 12:14:34)

Temat: brak ruchu bez SNAT mimo ze jest routing statyczny na routerach

Witam,
mam taki oto setup:
172.16.0.0/24 -------|- openwrt 19.07 (192.168.1.30) <----> Archer VR400 (192.168.1.1) <--[DSL]--> internet
172.16.3.0/24 -------|
10.8.0.0/24 ----------|

Do Archera wpiety jest raspberryPI (192.168.1.23) po kablu do portu LAN, zas openwrt rozprowadza dostep do LAN i sieci guest po wifi. Jesli to ma znaczenie to sieci za openwrt to vpn oraz interfejsy sieci goscinnych: wifi i kablowej (przez switch vlan 8021q).

Na Archer VR400 mam skonfigurowany routing statyczny do w/w sieci przez 192.168.1.30

Na openwrt mam SNAT ktory nadpisuje adres na 192.168.1.30 (kiedys byl router neostrady bez routing statycznego) i wszystko dziala pieknie. Chcialem jednak zrobic troche zmian w sieci i m.in. usunac ten SNAT bo kazdy router moze miec routing statyczny. I tu zaczyna sie moj problem. Po usunieciu SNAT probuje ping czy ssh z urzadzenia 172.16.0.182 do rPI (192.168.1.23), ruch pojawia sie na rPI i tenze wysyla odpowiedz. W tcpdump na rPI widze ze adresy IP sa ustawione w odpowiedzi, adres MAC dest na Archera. Wyglada OK. Ruchu przychodzacego jednak nie widze na tcpdump na openwrt (wychodzacy tak). Nie mam jak tego podejrzec na Archer bo wtedy sprawa bylaby jasna od razu. Wydawaloby sie ze to Archer zatrzymuje ruch.

Kiedy jednak probuje pinga z rPI do urzadzenia 172.16.0.182 wszystko idzie jak nalezy przy odpowiednich regulkach fw. No i to powoduje ze zglupialem. Czyli Archer wie gdzie to dalej wyslac. Zawsze myslalalem ze tcpdump jako ze dziala na libpcap powinien pokazywac ruch przed wejsciem do iptables a zatem spodziewalem sie go widziec na openwrt. Dla pewnosci wlaczylem w luci logowanie w zonach (powinno pokazywac REJECT a ja nie mam nigdzie DROP) ale nic tam nie widzialem. Wiec pytanie czy mozliwe ze tcpdump pokazuje ruch w momencie kiedy juz jest ubity i brakuje mi jakiejs konfiguracji czy moze cos z tym Archerem?
Moge zyc bez tej konfiguracji ale teraz zwyczajnie probuje zrozumiec o co chodzi. Wkleje konfiguracje jesli bedzie potrzeba. Z gory dzieki

2

Odp: brak ruchu bez SNAT mimo ze jest routing statyczny na routerach

Jeżeli masz całkowicie otwarte to tcpdump pokazuje ruch w obie strony (np. pingowanie) - tcpdump zapięty na br-lan:

13:46:41.832514 IP OpenWrt.lan > samsung.lan: ICMP echo reply, id 1, seq 94, length 64
13:46:42.856136 IP samsung.lan > OpenWrt.lan: ICMP echo request, id 1, seq 95, length 64

Jeżeli teraz wstawisz regułkę blokującą ruch to tcpdump też to pokaże, ale już zgodnie z regułką:

13:46:25.452437 IP samsung.lan > OpenWrt.lan: ICMP echo request, id 1, seq 78, length 64
13:46:25.452720 IP OpenWrt.lan > samsung.lan: ICMP OpenWrt.lan protocol 1 port 19339 unreachable, length 92
13:46:26.472446 IP samsung.lan > OpenWrt.lan: ICMP echo request, id 1, seq 79, length 64
13:46:26.472734 IP OpenWrt.lan > samsung.lan: ICMP OpenWrt.lan protocol 1 port 12604 unreachable, length 92
Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

3

Odp: brak ruchu bez SNAT mimo ze jest routing statyczny na routerach

dzieki, to wychodzi ze przytrzymuje to Archer. Ze tez nie moge tam miec openwrt...