1 Temat przez kermu

  • kermu
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-09-15
  • Posty: 119

Temat: czyszczenie tablicy conntrack

Czy jest jakiś sposób na wyczyszczenie tablicy conntrack w openwrt ?
Nie widzę w distro użytecznego programu "conntrack" który to umożliwia.
Problem jest taki że po przełączeniu przez mwan3 (w trybie failover)
z łącza 3g na kablowe, tunel openvpn dalej "wisi" na łączu 3g.
Domyślam się że problem jest w tablicy conntrack gdyż restart openvpn
powoduje powrót na łącze podstawowe.
Wiem że mogę restartować usługę openvpn ale bardziej eleganckim rozwiązaniem,
zapewniającym "nieużywanie" łącza 3g po powrocie łącza podstawowego było by
wymuszenie "przerzucenia" całego dotychczasowego ruchu na łącze podstawowe.

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,065

Odp: czyszczenie tablicy conntrack

Pakiet conntrack, możesz sobie pousuwać: http://conntrack-tools.netfilter.org/conntrack.html

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez kermu

  • kermu
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-09-15
  • Posty: 119

Odp: czyszczenie tablicy conntrack

Tak, znalazłem w międzyczasie ale dalej się męczę z ogarnięciem tego przez /etc/hotplug.d/iface.
Próbowałem takiego rozwiązanie

#!/bin/sh

/etc/init.d/openvpn stop
sleep 3
conntrack -F
sleep 1
/etc/init.d/openvpn start
sleep 3

ale co chwilę mi restartuje tunel openvpn.

Masz może pod ręką jakiś działający skrypt na tą okoliczność ?

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,065

Odp: czyszczenie tablicy conntrack

A rozwiązania z wiki nie pomagają? https://wiki.openwrt.org/doc/howto/mwan3#openvpn

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez kermu (edytowany przez kermu 2017-03-05 13:20:10)

  • kermu
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-09-15
  • Posty: 119

Odp: czyszczenie tablicy conntrack

Cezary napisał/a:

A rozwiązania z wiki nie pomagają? https://wiki.openwrt.org/doc/howto/mwan3#openvpn

Nie znalazłem tam rozwiązania dla opisanego przeze mnie przypadku.
W najbliższym dla mojego przypadku komentarzu

"If the openwrt system is an openvpn client and a zone 'vpn' is defined on the vpn interface and this zone has the masquerading active, for reasons (yet) unknown the traffic from the internal lan to the vpn will be able to reach the destination and go back to the router but then will be not dispatched back to the lan clients. Disabling mwan3, instead, let the traffic be dispatched properly. "

autor jak rozumiem sugeruje wyłączenie mwan3 ?

6 Odpowiedź przez kermu

  • kermu
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-09-15
  • Posty: 119

Odp: czyszczenie tablicy conntrack

Cezary napisał/a:

A rozwiązania z wiki nie pomagają? https://wiki.openwrt.org/doc/howto/mwan3#openvpn

Pomogło ostatecznie ustawienie na serwerze openvpn
keepalive 10 60 gdyż poprzednio było keepalive 60 3600
i dodatkowo conntrack -F w skrypcie umieszczonym w
/etc/hotplug.d/iface/