Cài đặt tường lửa cho mạng con (VPN) từ xa?

Tôi có hai máy chủ chạy máy tính để bàn 18.04.6. Tôi không thể truy cập chúng từ một mạng con khác (trang IPsec đến VPN). Tôi thấy rằng tường lửa tích hợp không cho phép kết nối từ một địa chỉ nằm ngoài phạm vi mạng con của địa chỉ đó. Tôi có thể truy cập PC Windows và NAS QNAP nên tôi nghĩ cài đặt tường lửa mặc định trong máy chủ Ubuntu là vấn đề. Lưu ý: cả hai máy chủ đều có nhiều giao diện Vlan và mạng con mà tôi đang cố truy cập là một Vlan.

quy tắc

root@ns04:~# trạng thái ufw được đánh số
Trạng thái: Đang hoạt động

     Đến hành động từ
     -- ------ ----
[ 1] Mọi nơi CHO PHÉP TRONG 192.168.3.0/24
[ 2] Mọi nơi CHO PHÉP TRONG 192.168.1.0/24
[ 3] Mọi nơi CHO PHÉP TRONG 172.30.13.0/24
[ 4] Samba CHO PHÉP Ở mọi nơi
[ 5] Bind9 CHO PHÉP Ở mọi nơi
[ 6] 22/tcp CHO PHÉP Ở mọi nơi
[ 7] 67 CHO PHÉP Ở BẤT CỨ ĐÂU
[ 8] 68 CHO PHÉP Ở BẤT CỨ ĐÂU
[ 9] Bất cứ nơi nào CHO PHÉP NGOÀI Bất cứ nơi nào (ra)
[10] Samba (v6) CHO PHÉP Ở Mọi Nơi (v6)
[11] Bind9 (v6) CHO PHÉP Ở Mọi Nơi (v6)
[12] 22/tcp (v6) CHO PHÉP TRONG Anywhere (v6)
[13] 67 (v6) CHO PHÉP Ở Mọi ĐÂU (v6)
[14] 68 (v6) CHO PHÉP VÀO Mọi nơi (v6)
[15] Anywhere (v6) CHO PHÉP NGOÀI Anywhere (v6) (ra)

root@ns04:~#

quảng cáo ip

quảng cáo ip
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 trạng thái qdisc noqueue nhóm UNKNOWN mặc định qlen 1000
    liên kết/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    máy chủ phạm vi inet 127.0.0.1/8 lo
       hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
    inet6 ::1/128 máy chủ phạm vi
       hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
2: enp2s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc trạng thái fq_codel LÊN nhóm mặc định qlen 1000
    liên kết/ether 00:01:2e:6b:2f:e7 brd ff:ff:ff:ff:ff:ff
    inet 172.30.3.254/24 brd 172.30.3.255 phạm vi toàn cầu năng động enp2s0
       hợp lệ_lft 137844 giây ưa thích_lft 137844 giây
    inet6 wwww:xxxx:yyyy:zzzz:403a:fcea:711c:8530/64 phạm vi toàn cầu động tạm thời
       hợp lệ_lft 86231 giây ưa thích_lft 14231 giây
    inet6 wwww:xxxx:yyyy:zzzz:e135:7f9c:b29f:5abf/64 phạm vi toàn cầu động tạm thời không dùng nữa
       hợp lệ_lft 86231sec ưa thích_lft 0 giây
    inet6 wwww:xxxx:yyyy:zzzz:9c9d:ad17:ea63:bfdb/64 phạm vi toàn cầu động mngtmpaddr noprefixroute
       hợp lệ_lft 86231 giây ưa thích_lft 14231 giây
    inet6 fe80::4504:f36d:fb1b:907a/64 liên kết phạm vi noprefixroute
       hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
3: enp2s0.4@enp2s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc trạng thái noqueue nhóm LÊN nhóm mặc định qlen 1000
    liên kết/ether 00:01:2e:6b:2f:e7 brd ff:ff:ff:ff:ff:ff
    inet 172.30.4.254/24 brd 172.30.4.255 phạm vi toàn cầu enp2s0.4
       hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
    inet6 wwww:xxxx:yyyy:zzz4:7584:e7fc:17b4:ea5e/64 phạm vi toàn cầu động tạm thời
       hợp lệ_lft 86339sec ưa thích_lft 14339sec
    inet6 wwww:xxxx:yyyy:zzz4:c0f0:42d3:9869:5852/64 phạm vi toàn cầu động tạm thời không dùng nữa
       hợp lệ_lft 86339sec ưa thích_lft 0 giây
    inet6 wwww:xxxx:yyyy:zzz4:201:2eff:fe6b:2fe7/64 phạm vi toàn cầu động mngtmpaddr
       hợp lệ_lft 86339sec ưa thích_lft 14339sec
    liên kết phạm vi inet6 fe80::201:2eff:fe6b:2fe7/64
       hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
4: enp2s0.5@enp2s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc trạng thái noqueue Nhóm LÊN mặc định qlen 1000
    liên kết/ether 00:01:2e:6b:2f:e7 brd ff:ff:ff:ff:ff:ff
    inet 172.30.5.254/24 brd 172.30.5.255 phạm vi toàn cầu enp2s0.5
       hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
    inet6 wwww:xxxx:yyyy:zzz5:b89d:2a36:bdd4:65ff/64 phạm vi toàn cầu động tạm thời
       hợp lệ_lft 86080 giây ưa thích_lft 14080 giây
    inet6 wwww:xxxx:yyyy:zzz5:1991:2647:2778:79b/64 phạm vi toàn cầu động tạm thời không dùng nữa
       hợp lệ_lft 86080 giây ưa thích_lft 0 giây
    inet6 wwww:xxxx:yyyy:zzz5:201:2eff:fe6b:2fe7/64 phạm vi toàn cầu động mngtmpaddr
       hợp lệ_lft 86080 giây ưa thích_lft 14080 giây
    liên kết phạm vi inet6 fe80::201:2eff:fe6b:2fe7/64
       hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
5: enp2s0.7@enp2s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc trạng thái noqueue Nhóm LÊN mặc định qlen 1000
    liên kết/ether 00:01:2e:6b:2f:e7 brd ff:ff:ff:ff:ff:ff
    inet 172.30.7.254/24 brd 172.30.7.255 phạm vi toàn cầu enp2s0.7
       hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
    inet6 wwww:xxxx:yyyy:zzz7:502:cf3d:1526:2907/64 phạm vi toàn cầu động tạm thời
       hợp lệ_lft 86111giây ưa thích_lft 14111giây
    inet6 wwww:xxxx:yyyy:zzz7:2475:a5f6:3698:3f44/64 phạm vi toàn cầu động tạm thời không dùng nữa
       hợp lệ_lft 86111sec ưa thích_lft 0 giây
    inet6 wwww:xxxx:yyyy:zzz7:201:2eff:fe6b:2fe7/64 phạm vi toàn cầu động mngtmpaddr
       hợp lệ_lft 86111giây ưa thích_lft 14111giây
    liên kết phạm vi inet6 fe80::201:2eff:fe6b:2fe7/64
       hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
6: enp2s0.8@enp2s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc trạng thái noqueue UP nhóm mặc định qlen 1000
    liên kết/ether 00:01:2e:6b:2f:e7 brd ff:ff:ff:ff:ff:ff
    inet 172.30.8.254/24 brd 172.30.8.255 phạm vi toàn cầu enp2s0.8
       hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
    inet6 fdea:0:0:8::254/64 phạm vi toàn cầu
       hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
    liên kết phạm vi inet6 fe80::201:2eff:fe6b:2fe7/64
       hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
7: enp2s0.9@enp2s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc trạng thái noqueue Nhóm LÊN mặc định qlen 1000
    liên kết/ether 00:01:2e:6b:2f:e7 brd ff:ff:ff:ff:ff:ff
    inet 172.30.9.254/24 brd 172.30.9.255 phạm vi toàn cầu enp2s0.9
       hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
    inet6 wwww:xxxx:yyyy:zzz9:896e:cbd5:e835:a490/64 phạm vi toàn cầu động tạm thời
       hợp lệ_lft 86099 giây ưa thích_lft 14099 giây
    inet6 wwww:xxxx:yyyy:zzz9:edae:d6e7:6503:e08a/64 phạm vi toàn cầu động tạm thời không dùng nữa
       hợp lệ_lft 86099sec ưa thích_lft 0 giây
    inet6 wwww:xxxx:yyyy:zzz9:201:2eff:fe6b:2fe7/64 phạm vi toàn cầu động mngtmpaddr
       hợp lệ_lft 86099 giây ưa thích_lft 14099 giây
    liên kết phạm vi inet6 fe80::201:2eff:fe6b:2fe7/64
       hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
8: enp2s0.10@enp2s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc trạng thái noqueue Nhóm LÊN mặc định qlen 1000
    liên kết/ether 00:01:2e:6b:2f:e7 brd ff:ff:ff:ff:ff:ff
    inet 172.30.10.254/24 brd 172.30.10.255 phạm vi toàn cầu enp2s0.10
       hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
    liên kết phạm vi inet6 fe80::201:2eff:fe6b:2fe7/64
       hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
9: enp2s0.11@enp2s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc trạng thái noqueue Nhóm LÊN mặc định qlen 1000
    liên kết/ether 00:01:2e:6b:2f:e7 brd ff:ff:ff:ff:ff:ff
    inet 172.30.11.254/24 brd 172.30.11.255 phạm vi toàn cầu enp2s0.11
       hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
    liên kết phạm vi inet6 fe80::201:2eff:fe6b:2fe7/64
       hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
10: enp2s0.12@enp2s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc trạng thái noqueue nhóm LÊN nhóm mặc định qlen 1000
    liên kết/ether 00:01:2e:6b:2f:e7 brd ff:ff:ff:ff:ff:ff
    inet 172.30.12.254/24 brd 172.30.12.255 phạm vi toàn cầu enp2s0.12
       hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
    liên kết phạm vi inet6 fe80::201:2eff:fe6b:2fe7/64
       hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
root@ns04:/etc/ufw#

lộ trình ip

root@ns04:/etc/ufw#
root@ns04:/etc/ufw# lộ trình ip
mặc định qua 172.30.3.1 dev enp2s0
mặc định qua 172.30.3.1 dev enp2s0 proto dhcp metric 20100
169.254.0.0/16 dev enp2s0.4 chỉ số liên kết phạm vi 1000
172.30.3.0/24 dev enp2s0 liên kết phạm vi kernel proto src 172.30.3.254
172.30.3.0/24 dev enp2s0 liên kết phạm vi kernel proto src 172.30.3.254 số liệu 100
172.30.4.0/24 dev enp2s0.4 liên kết phạm vi kernel proto src 172.30.4.254
172.30.5.0/24 dev enp2s0.5 liên kết phạm vi kernel proto src 172.30.5.254
172.30.7.0/24 dev enp2s0.7 liên kết phạm vi kernel proto src 172.30.7.254
172.30.8.0/24 dev enp2s0.8 liên kết phạm vi kernel proto src 172.30.8.254
172.30.9.0/24 dev enp2s0.9 liên kết phạm vi kernel proto src 172.30.9.254
172.30.10.0/24 dev enp2s0.10 liên kết phạm vi kernel proto src 172.30.10.254
172.30.11.0/24 dev enp2s0.11 liên kết phạm vi kernel proto src 172.30.11.254
172.30.12.0/24 dev enp2s0.12 liên kết phạm vi kernel proto src 172.30.12.254
root@ns04:/etc/ufw#

Ghi chú: 192.168.1.0/24 là trang web từ xa

172.30.5.0/24 là điều khiển từ xa mạng con vlan cục bộ kết nối với.

Hai /24 còn lại dành cho thử nghiệm cục bộ

Có vẻ như tôi cần thay đổi tệp ufw before thành ufw-not-local và/hoặc ufw-before-input.

# tất cả các gói không cục bộ khác bị loại bỏ
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP

Tôi cần làm cho samba hoạt động từ 192.168.1.0/24.

SSH và ping cũng sẽ hữu ích

quét mạng con

Được tạo bởi Angry IP Scanner 3.7.6
https://angryip.org

Đã quét 172.30.5.0 - 172.30.5.255
Ngày 10 tháng 1 năm 2022 14:39:16

IP Ping Cổng tên máy chủ Thông tin NetBIOS Địa chỉ MAC Nhà cung cấp MAC                    
172.30.5.1 4 ms router.home.test 80.443 [n/a] [n/a] [n/a]                         
172.30.5.8 4Â ms 3n008.home.test 80.443.8080 [n/a] [n/a] [n/a]                         
172.30.5.27 6Â ms tp-share 80.443 WORKGROUP\TP-SHARE@TP-SHARE [00-00-00-00-00-00][n/a] [n/a]                         
172.30.5.28 3Â ms 3n028.home.test 80 [n/a] [n/a] [n/a]                         
172.30.5.128 3Â ms 3n128.home.test 80 [n/a] [n/a] [n/a]                         
172.30.5.135 3Â ms 3n135.home.test 80 [n/a] [n/a] [n/a]                         
172.30.5.139 7Â ms 3n139.home.test [n/a] [n/a] [n/a] [n/a]                         
172.30.5.165 6Â ms 3n165.home.test 80.443 [n/a] [n/a] [n/a]                         
172.30.5.166 4Â ms 3n166.home.test 80.443 [n/a] [n/a] [n/a]                         
172.30.5.170 6Â ms 3n170.home.test [n/a] [n/a] [n/a] [n/a]                         
172.30.5.177 3Â ms 3n177.home.test 80 [n/a] [n/a] [n/a]                         
172.30.5.196 3 ms sq05.home.test 80.443.8080 WORKGROUP\SQ05@SQ05 [00-00-00-00-00-00][n/a] [n/a]                         
172.30.5.197 3 ms sq04.home.test 80.443.8080 WORKGROUP\SQ04@SQ04 [00-00-00-00-00-00][n/a] [n/a]                         
172.30.5.202 6 ms pc02.home.test [n/a] [n/a] [n/a] [n/a]                         

172.30.5.1 là một bộ định tuyến (edgerouter x)

172.30.5.8 là máy in HP

172.30.5.27 là bộ định tuyến TP-link làm điểm truy cập

172.30.5.28 là bộ định tuyến openwrt làm điểm truy cập

172.30.5.202 là PC chạy Windows 8

172.30.5.253 và .254 là các máy chủ Ubuntu (bị thiếu)

không có phản hồi trên ping

C:\Windows\system32>tracert 172.30.5.254

Truy tìm đường đến 2ns4.home.test [172.30.5.254]
trên tối đa 30 bước nhảy:

  1 4 mili giây 4 mili giây 4 mili giây 172.30.13.1
  2 * * * Hết thời gian yêu cầu.
  3 * * * Hết thời gian yêu cầu.
  4 * * * Hết thời gian yêu cầu.
  5 * ^C
C:\Windows\system32>tracert 172.30.5.27

Truy tìm tuyến đường đến tp-share [172.30.5.27]
trên tối đa 30 bước nhảy:

  1 4 mili giây 4 mili giây 4 mili giây 172.30.13.1
  2 7 ms 7 ms 8 ms tp-chia sẻ [172.30.5.27]

Theo dõi hoàn thành.

C:\Windows\system32>

truy tìm từ 172.30.13.41

C:\Windows\system32>tracert 172.30.5.254

Truy tìm đường đến 2ns4.home.test [172.30.5.254]
trên tối đa 30 bước nhảy:

  1 3 ms 3 ms 3 ms 172.30.13.1
  2 * * * Hết thời gian yêu cầu.
  3 * * * Hết thời gian yêu cầu.
  4^C
C:\Windows\system32>tracert 172.30.5.253

Truy tìm tuyến đường tới 2ns3.home.test [172.30.5.253]
trên tối đa 30 bước nhảy:

  1 4 mili giây 4 mili giây 4 mili giây 172.30.13.1
  2 * * * Hết thời gian yêu cầu.
  3 * * * Hết thời gian yêu cầu.
  4 * * * Hết thời gian yêu cầu.
  5 * ^C
C:\Windows\system32>
C:\Windows\system32>tracert 172.30.5.27

Truy tìm tuyến đường đến tp-share [172.30.5.27]
trên tối đa 30 bước nhảy:

  1 4 mili giây 4 mili giây 4 mili giây 172.30.13.1
  2 8 ms 7 ms 7 ms tp-chia sẻ [172.30.5.27]

Theo dõi hoàn thành.

C:\Windows\system32>

vấn đề là khi máy khách ở trên một mạng con khác với máy chủ

khách hàng trên cùng một mạng con làm việc

Cảm ơn Thomas đã đề xuất định tuyến. Vấn đề của tôi là cài đặt định tuyến của tôi trong máy chủ Ubuntu. Khi một yêu cầu đến từ một mạng con không cục bộ, định tuyến cho mạng con đó phải đến cùng một giao diện (thực hoặc ảo). Trong trường hợp của tôi, tôi đã thay đổi tuyến đường mặc định để trỏ đến mạng con (VLAN5) được sử dụng bởi đường hầm VPN (trên cả hai máy chủ). Với thay đổi này, samba và ping hoạt động cho máy chủ sử dụng ufw và máy chủ không sử dụng ufw.

Lộ trình mặc định đã thay đổi. tuyến ip thêm mặc định qua 172.30.5.1

Nếu bạn không thể thay đổi tuyến đường mặc định, tuyến đường tĩnh cũng sẽ hoạt động.

Đây là tập lệnh đã sửa của tôi để thiết lập Vlan.

root@ns04:~# cd /usr/local/bin
root@ns04:/usr/local/bin# cat st-vlans
#!/bin/sh
ngủ 1
dot_ip=$1
# tiếng vang $chấm_ip
# đặt địa chỉ dev0_name
dev0_name=$(ls /sys/class/net/ | sắp xếp | grep -m 1 vi)
nếu [ "$dev0_name" = "" ]
sau đó
        dev0_name=$(ls /sys/class/net/ | sắp xếp | grep -m 1 eth)
fi
nếu [ "$dev0_name" = "" ]
sau đó
        thoát 1
fi
#
# bật WOL - yêu cầu cài đặt ethtool
#
ethtool -s $dev0_name wol g
#
# đặt dot_ip (octet cuối cùng)
#
đọc host_name < /etc/hostname
#
nếu [ "$dot_ip" = "" ]
sau đó
        trường hợp $host_name trong
                "ns01") dot_ip=251;;
                "ns02") dot_ip=252;;
                "ns03") dot_ip=253;;
                "ns04") dot_ip=254;;
# *) dot_ip=250;;
        thoát hiểm
fi
# thoát nếu không có địa chỉ ip
nếu [ "$dot_ip" = "" ]
sau đó
        thoát 2
fi
# ls /sys/class/net/ | sắp xếp | grep enp -m 1 > /tmp/eth-name.txt
# đọc dev0_name < /tmp/eth-name.txt
#
# thêm VLAN
liên kết ip thêm liên kết $dev0_name tên $dev0_name.4 loại vlan id 4
nếu [ "$host_name" != "ns01" ]
sau đó
        liên kết ip thêm liên kết $dev0_name tên $dev0_name.5 loại vlan id 5
fi
liên kết ip thêm liên kết $dev0_name tên $dev0_name.4 loại vlan id 4
liên kết ip thêm liên kết $dev0_name tên $dev0_name.7 loại vlan id 7
liên kết ip thêm liên kết $dev0_name tên $dev0_name.8 loại vlan id 8
liên kết ip thêm liên kết $dev0_name tên $dev0_name.9 loại vlan id 9
liên kết ip thêm liên kết $dev0_name tên $dev0_name.10 loại vlan id 10
liên kết ip thêm liên kết $dev0_name tên $dev0_name.11 gõ vlan id 11
liên kết ip thêm liên kết $dev0_name tên $dev0_name.12 loại vlan id 12
#
# đặt địa chỉ
nếu [ "$dot_ip" != "" ]
sau đó
        ngủ 5
        địa chỉ ip thêm 172.30.3.$dot_ip/24 phát sóng 172.30.3.255 dev $dev0_name
#
        địa chỉ ip thêm 172.30.4.$dot_ip/24 brd 172.30.4.255 dev $dev0_name.4
        thiết lập liên kết ip dev $dev0_name.4 lên
#
        nếu [ "$host_name" != "ns01" ]
        sau đó
                địa chỉ ip thêm 172.30.5.$dot_ip/24 brd 172.30.5.255 dev $dev0_name.5
                thiết lập liên kết ip dev $dev0_name.5 trở lên
                tuyến ip thêm mặc định qua 172.30.5.1
        fi
#
        địa chỉ ip thêm 172.30.4.$dot_ip/24 brd 172.30.4.255 dev $dev0_name.4
        thiết lập liên kết ip dev $dev0_name.4 lên
#
        địa chỉ ip thêm 172.30.7.$dot_ip/24 brd 172.30.7.255 dev $dev0_name.7
        thiết lập liên kết ip dev $dev0_name.7 lên
#
        địa chỉ ip thêm 172.30.8.$dot_ip/24 brd 172.30.8.255 dev $dev0_name.8
        ip addr add fdea:0:0:8::$dot_ip/64 dev $dev0_name.8
        thiết lập liên kết ip dev $dev0_name.8 trở lên
#
        địa chỉ ip thêm 172.30.9.$dot_ip/24 brd 172.30.9.255 dev $dev0_name.9
        thiết lập liên kết ip dev $dev0_name.9 lên
#
        địa chỉ ip thêm 172.30.10.$dot_ip/24 brd 172.30.10.255 dev $dev0_name.10
        thiết lập liên kết ip dev $dev0_name.10 lên
#
        địa chỉ ip thêm 172.30.11.$dot_ip/24 brd 172.30.11.255 dev $dev0_name.11
        thiết lập liên kết ip dev $dev0_name.11 lên
#
        địa chỉ ip thêm 172.30.12.$dot_ip/24 brd 172.30.12.255 dev $dev0_name.12
        thiết lập liên kết ip dev $dev0_name.12 lên
fi
#
# đặt địa chỉ eth1
nếu [ "$host_name" = "ns01" ]
sau đó
        ip addr add 172.30.5.$dot_ip/24 phát sóng 172.30.5.255 dev eth1
fi
thoát 0
# địa chỉ ip thêm 2001:470:xxxx:1::$dot_ip/64 dev $dev0_name
# tuyến ip thêm mặc định qua 2001:470:bccf:1::1
#
root@ns04:/usr/local/bin#


Cảm ơn Thomas đã đề xuất định tuyến.
Vấn đề của tôi là cài đặt định tuyến của tôi trong máy chủ Ubuntu.
Khi một yêu cầu đến từ một mạng con không cục bộ, định tuyến cho mạng con đó phải đến cùng một giao diện (thực hoặc ảo).
Trong trường hợp của tôi, tôi đã thay đổi tuyến đường mặc định để trỏ đến mạng con (VLAN5) được sử dụng bởi đường hầm VPN (trên cả hai máy chủ).
Với thay đổi này, samba và ping hoạt động cho máy chủ sử dụng ufw và máy chủ không sử dụng ufw.

Lộ trình mặc định đã thay đổi.
tuyến ip thêm mặc định qua 172.30.5.1

Nếu bạn không thể thay đổi tuyến đường mặc định, tuyến đường tĩnh cũng sẽ hoạt động.

Đây là tập lệnh đã sửa của tôi để thiết lập Vlan.


root@ns04:~# cd /usr/local/bin
root@ns04:/usr/local/bin# cat st-vlans
#!/bin/sh
ngủ 1
dot_ip=$1
# tiếng vang $chấm_ip
# đặt địa chỉ dev0_name
dev0_name=$(ls /sys/class/net/ | sắp xếp | grep -m 1 vi)
nếu [ "$dev0_name" = "" ]
sau đó
        dev0_name=$(ls /sys/class/net/ | sắp xếp | grep -m 1 eth)
fi
nếu [ "$dev0_name" = "" ]
sau đó
        thoát 1
fi
#
# bật WOL - yêu cầu cài đặt ethtool
#
ethtool -s $dev0_name wol g
#
# đặt dot_ip (octet cuối cùng)
#
đọc host_name < /etc/hostname
#
nếu [ "$dot_ip" = "" ]
sau đó
        trường hợp $host_name trong
                "ns01") dot_ip=251;;
                "ns02") dot_ip=252;;
                "ns03") dot_ip=253;;
                "ns04") dot_ip=254;;
# *) dot_ip=250;;
        thoát hiểm
fi
# thoát nếu không có địa chỉ ip
nếu [ "$dot_ip" = "" ]
sau đó
        thoát 2
fi
# ls /sys/class/net/ | sắp xếp | grep enp -m 1 > /tmp/eth-name.txt
# đọc dev0_name < /tmp/eth-name.txt
#
# thêm VLAN
liên kết ip thêm liên kết $dev0_name tên $dev0_name.4 loại vlan id 4
nếu [ "$host_name" != "ns01" ]
sau đó
        liên kết ip thêm liên kết $dev0_name tên $dev0_name.5 loại vlan id 5
fi
liên kết ip thêm liên kết $dev0_name tên $dev0_name.4 loại vlan id 4
liên kết ip thêm liên kết $dev0_name tên $dev0_name.7 loại vlan id 7
liên kết ip thêm liên kết $dev0_name tên $dev0_name.8 loại vlan id 8
liên kết ip thêm liên kết $dev0_name tên $dev0_name.9 loại vlan id 9
liên kết ip thêm liên kết $dev0_name tên $dev0_name.10 loại vlan id 10
liên kết ip thêm liên kết $dev0_name tên $dev0_name.11 gõ vlan id 11
liên kết ip thêm liên kết $dev0_name tên $dev0_name.12 loại vlan id 12
#
# đặt địa chỉ
nếu [ "$dot_ip" != "" ]
sau đó
        ngủ 5
        địa chỉ ip thêm 172.30.3.$dot_ip/24 phát sóng 172.30.3.255 dev $dev0_name
#
        địa chỉ ip thêm 172.30.4.$dot_ip/24 brd 172.30.4.255 dev $dev0_name.4
        thiết lập liên kết ip dev $dev0_name.4 lên
#
        nếu [ "$host_name" != "ns01" ]
        sau đó
                địa chỉ ip thêm 172.30.5.$dot_ip/24 brd 172.30.5.255 dev $dev0_name.5
                thiết lập liên kết ip dev $dev0_name.5 trở lên
                tuyến ip thêm mặc định qua 172.30.5.1
        fi
#
        địa chỉ ip thêm 172.30.4.$dot_ip/24 brd 172.30.4.255 dev $dev0_name.4
        thiết lập liên kết ip dev $dev0_name.4 lên
#
        địa chỉ ip thêm 172.30.7.$dot_ip/24 brd 172.30.7.255 dev $dev0_name.7
        thiết lập liên kết ip dev $dev0_name.7 lên
#
        địa chỉ ip thêm 172.30.8.$dot_ip/24 brd 172.30.8.255 dev $dev0_name.8
        ip addr add fdea:0:0:8::$dot_ip/64 dev $dev0_name.8
        thiết lập liên kết ip dev $dev0_name.8 trở lên
#
        địa chỉ ip thêm 172.30.9.$dot_ip/24 brd 172.30.9.255 dev $dev0_name.9
        thiết lập liên kết ip dev $dev0_name.9 lên
#
        địa chỉ ip thêm 172.30.10.$dot_ip/24 brd 172.30.10.255 dev $dev0_name.10
        thiết lập liên kết ip dev $dev0_name.10 lên
#
        địa chỉ ip thêm 172.30.11.$dot_ip/24 brd 172.30.11.255 dev $dev0_name.11
        thiết lập liên kết ip dev $dev0_name.11 lên
#
        địa chỉ ip thêm 172.30.12.$dot_ip/24 brd 172.30.12.255 dev $dev0_name.12
        thiết lập liên kết ip dev $dev0_name.12 lên
fi
#
# đặt địa chỉ eth1
nếu [ "$host_name" = "ns01" ]
sau đó
        ip addr add 172.30.5.$dot_ip/24 phát sóng 172.30.5.255 dev eth1
fi
thoát 0
# địa chỉ ip thêm 2001:470:xxxx:1::$dot_ip/64 dev $dev0_name
# tuyến ip thêm mặc định qua 2001:470:bccf:1::1
#
root@ns04:/usr/local/bin#