Temat: brak ruchu bez SNAT mimo ze jest routing statyczny na routerach
Witam,
mam taki oto setup:
172.16.0.0/24 -------|- openwrt 19.07 (192.168.1.30) <----> Archer VR400 (192.168.1.1) <--[DSL]--> internet
172.16.3.0/24 -------|
10.8.0.0/24 ----------|
Do Archera wpiety jest raspberryPI (192.168.1.23) po kablu do portu LAN, zas openwrt rozprowadza dostep do LAN i sieci guest po wifi. Jesli to ma znaczenie to sieci za openwrt to vpn oraz interfejsy sieci goscinnych: wifi i kablowej (przez switch vlan 8021q).
Na Archer VR400 mam skonfigurowany routing statyczny do w/w sieci przez 192.168.1.30
Na openwrt mam SNAT ktory nadpisuje adres na 192.168.1.30 (kiedys byl router neostrady bez routing statycznego) i wszystko dziala pieknie. Chcialem jednak zrobic troche zmian w sieci i m.in. usunac ten SNAT bo kazdy router moze miec routing statyczny. I tu zaczyna sie moj problem. Po usunieciu SNAT probuje ping czy ssh z urzadzenia 172.16.0.182 do rPI (192.168.1.23), ruch pojawia sie na rPI i tenze wysyla odpowiedz. W tcpdump na rPI widze ze adresy IP sa ustawione w odpowiedzi, adres MAC dest na Archera. Wyglada OK. Ruchu przychodzacego jednak nie widze na tcpdump na openwrt (wychodzacy tak). Nie mam jak tego podejrzec na Archer bo wtedy sprawa bylaby jasna od razu. Wydawaloby sie ze to Archer zatrzymuje ruch.
Kiedy jednak probuje pinga z rPI do urzadzenia 172.16.0.182 wszystko idzie jak nalezy przy odpowiednich regulkach fw. No i to powoduje ze zglupialem. Czyli Archer wie gdzie to dalej wyslac. Zawsze myslalalem ze tcpdump jako ze dziala na libpcap powinien pokazywac ruch przed wejsciem do iptables a zatem spodziewalem sie go widziec na openwrt. Dla pewnosci wlaczylem w luci logowanie w zonach (powinno pokazywac REJECT a ja nie mam nigdzie DROP) ale nic tam nie widzialem. Wiec pytanie czy mozliwe ze tcpdump pokazuje ruch w momencie kiedy juz jest ubity i brakuje mi jakiejs konfiguracji czy moze cos z tym Archerem?
Moge zyc bez tej konfiguracji ale teraz zwyczajnie probuje zrozumiec o co chodzi. Wkleje konfiguracje jesli bedzie potrzeba. Z gory dzieki