Tham gia Đăng nhập
Điểm:1
avatar Server

Máy chủ không phản hồi ping được định tuyến qua vpn

lá cờ in
uQlel

Tôi có máy chủ và máy ảo trên đó. Tôi đang lưu trữ OpenVPN trên máy chủ này. Máy ảo có hai giao diện: ens18 - cho IP công cộng, ens19 - cho mạng nội bộ. Tôi đang cố gắng ping 10.2.0.3 (ip máy ảo trên ens19) qua VPN, nhưng nó không phản hồi. Khi tôi chạy tcpdump -i ens19 icmp trên máy ảo, nó trả về cái này:

tcpdump: đầu ra dài dòng bị chặn, sử dụng -v hoặc -vv để giải mã giao thức đầy đủ
nghe trên ens19, loại liên kết EN10MB (Ethernet), kích thước chụp 262144 byte
16:50:25.931910 IP 10.8.0.2 > 10.2.0.3: ICMP echo request, id 1, seq 80, độ dài 40
16:50:29.381784 IP 10.8.0.2 > 10.2.0.3: ICMP echo request, id 1, seq 81, độ dài 40

Đầu ra Ping:

Ping 10.2.0.3 với 32 byte dữ liệu:
Yêu cầu đã hết thời gian chờ.
Yêu cầu đã hết thời gian chờ.
Yêu cầu đã hết thời gian chờ.
Yêu cầu đã hết thời gian chờ.

Đầu ra tcpdump của máy:

tcpdump: đầu ra dài dòng bị chặn, sử dụng -v hoặc -vv để giải mã giao thức đầy đủ
nghe trên tun0, RAW loại liên kết (IP thô), kích thước chụp 262144 byte
15:58:15.007090 IP 10.8.0.2 > 10.2.0.3: ICMP echo request, id 1, seq 45, độ dài 40

Quy tắc iptables của tôi:

Chuỗi INPUT (chính sách CHẤP NHẬN 2806K gói, 1097M byte)
 pkts byte đích prot chọn không tham gia đích nguồn         
    0 0 CHẤP NHẬN tất cả -- eth0 mọi nơi mọi nơi trạng thái LIÊN QUAN,THÀNH LẬP
 198K 27M CHẤP NHẬN udp -- vmbr0 mọi nơi mọi nơi udp dpt:[cổng openvn của tôi]
   40 2429 CHẤP NHẬN tất cả -- tun0 mọi nơi mọi nơi            
    0 0 CHẤP NHẬN tất cả -- tun+ mọi nơi mọi nơi            
    0 0 CHẤP NHẬN tất cả -- tun+ mọi nơi mọi nơi            

Chuỗi FORWARD (chính sách CHẤP NHẬN 0 gói, 0 byte)
 pkts byte đích prot chọn không tham gia đích nguồn         
 197K 16 triệu CHẤP NHẬN tất cả -- tun0 vmbr0 mọi nơi mọi nơi            
 177K 336M CHẤP NHẬN tất cả -- vmbr0 tun0 mọi nơi mọi nơi            
   45 2540 CHẤP NHẬN tất cả -- tun0 bất kỳ 10.8.0.0/24 10.2.0.3            
    2 104 CHẤP NHẬN tất cả -- tun0 bất kỳ 10.8.0.0/24 10.2.0.0/24         
    0 0 CHẤP NHẬN tất cả -- tun+ mọi nơi mọi nơi            

ĐẦU RA chuỗi (chính sách CHẤP NHẬN 3102K gói, 1303M byte)
 pkts byte đích prot chọn không tham gia đích nguồn         
    0 0 CHẤP NHẬN tất cả -- mọi tun0 mọi nơi mọi nơi

Bảng lộ trình của tôi:

mặc định qua [ip công khai của tôi] dev vmbr0 proto kernel onlink 
10.2.0.0/24 dev vmbr1 liên kết phạm vi kernel proto src 10.2.0.1 
10.8.0.0/24 dev tun0 liên kết phạm vi kernel proto src 10.8.0.1 
[ip công khai của tôi] liên kết phạm vi dev vmbr0 proto kernel src [cổng của tôi]

Danh sách quy tắc ip:

0: từ tất cả tra cứu cục bộ 
32766: từ tất cả tra cứu chính 
32767: từ tất cả tra cứu mặc định

Nếu bạn cần thêm thông tin, hãy thêm nhận xét. Xin lỗi vì tiếng Anh của tôi không tốt

112
1 + 16
Karthik avatar
lá cờ cn
Karthik
bạn cũng có thể chỉnh sửa lệnh `tcpdump` bằng lệnh hoàn chỉnh mà bạn đã sử dụng để chụp các gói không?
0
Hồi đáp
lá cờ in
uQlel
@Karthik trên máy vpn: `tcpdump -i tun0 icmp` trên máy ảo: `tcpdump -i ens19 icmp`
0
Hồi đáp
Karthik avatar
lá cờ cn
Karthik
cảm ơn, chỉ là phỏng đoán nhanh thôi, `rp_filter` có thể gây ra sự cố tương tự khi chúng tôi định tuyến lưu lượng truy cập qua đường hầm. có thể thử tắt `rp_filter` và kiểm tra sự cố không?
0
Hồi đáp
lá cờ in
uQlel
@Karthik tôi phải tắt nó trên máy vpn hay trên máy ảo? và cho những gì giao diện?
0
Hồi đáp
Karthik avatar
lá cờ cn
Karthik
Thử tắt rp_filter cho giao diện `ens19` trong máy ảo mang `10.2.0.3`
0
Hồi đáp
lá cờ in
uQlel
@Karthik nó đã bị tắt cho tất cả các giao diện, nhưng tôi đã bật nó cho ens19, nhưng máy ảo vẫn không phản hồi
0
Hồi đáp
Karthik avatar
lá cờ cn
Karthik
Nếu bạn chưa làm như vậy, vui lòng thử **vô hiệu hóa** `rp_filter` của `ens19` và kiểm tra sự cố. Nếu nó không giải quyết được vấn đề, vui lòng thử tắt/bật giao diện `ens19`.
0
Hồi đáp
lá cờ in
uQlel
@Karthik vâng, tôi đã tắt nó, nhưng không có gì xảy ra, việc tắt và bật không giúp được gì
0
Hồi đáp
Tom Yan avatar
lá cờ in
Tom Yan
VM thậm chí có tuyến đường cho `10.8.0.0/24` (thông qua `10.2.0.1`) không? Ngoài ra, vui lòng dán `iptables-save` để thay thế. Ngoài ra, hãy đảm bảo rằng bạn có tuyến đường dẫn lưu lượng truy cập cho `10.2.0.0/24` đến đường hầm trên máy khách VPN (nếu bạn không sử dụng tuyến đường `redirect-gateway` / `0.0.0.0/0`).
0
Hồi đáp
Karthik avatar
lá cờ cn
Karthik
Cảm ơn @uQlel. Bạn có thể kiểm tra xem phản hồi ping có bị tắt trong kernel bởi `cat /proc/sys/net/ipv4/icmp_echo_ignore_all` không?
0
Hồi đáp
lá cờ in
uQlel
@Karthik Nó trả về 0. Ping cũng hoạt động từ ens18 và ping hoạt động từ máy vpn đến ens19 của máy ảo
0
Hồi đáp
lá cờ in
uQlel
@TomYan Làm cách nào để tạo tuyến đường này? Tôi là người mới trong mạng
0
Hồi đáp
Tom Yan avatar
lá cờ in
Tom Yan
Chạy `ip r add 10.8.0.0/24 via 10.2.0.1` trên VM. Đối với phần VPN, hãy thêm `route 10.2.0.0 255.255.255.0` vào conf của máy khách hoặc thêm `push "route 10.2.0.0 255.255.255.0"` vào conf của máy chủ, giả sử bạn đang sử dụng `client` / ` pull` trên máy khách conf. Lưu ý rằng các tuyến này không *cần thiết* nếu cả (các) máy ảo và máy khách VPN đều sử dụng máy chủ làm cổng mặc định của chúng.
0
Hồi đáp
Tom Yan avatar
lá cờ in
Tom Yan
@uQlel Nhân tiện, `sysctl net.ipv4.ip_forward` trả lại gì trên máy chủ?
0
Hồi đáp
Karthik avatar
lá cờ cn
Karthik
Ngoài ra, bạn có thể chạy `tcpdump -ni any icmp Host 10.8.0.2` và chia sẻ đầu ra không? Và vui lòng ping `10.2.0.3` từ bên trong máy cục bộ.
0
Hồi đáp
lá cờ in
uQlel
@TomYan THX, nó hoạt động!
1
Hồi đáp
Điểm:0
avatar Server
lá cờ in
uQlel

Bởi @TomYan

Chạy ip r add 10.8.0.0/24 qua 10.2.0.1 trên VM. Đối với phần VPN, thêm tuyến 10.2.0.0 255.255.255.0 vào conf của máy khách hoặc thêm đẩy "tuyến 10.2.0.0 255.255.255.0" vào máy chủ conf, giả sử bạn đang sử dụng client/pull trên client conf. Lưu ý rằng các tuyến đường này là không cần thiết nếu cả (các) máy ảo và máy khách VPN đều sử dụng máy chủ như cổng mặc định của họ

0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.