O package UDP vem paira a interface VPN e não é entregue ao process

Eu tenho um server X (45.55.245.182) que está conectado ao server Y por VPN. A interface VPN em X é tap0 com ip 10.200.0.2; A interface VPN em Y é tap0 com ip 10.200.0.1. Executo netcat no server Y paira ouvir UDP 35000:

nc -lu 10.200.0.1 35000 

No server X, os packages da porta 35000 são DNAT com a seguinte regra de iptables:

 iptables -t nat -A PREROUTING -p udp --dport 35000 -j DNAT --to-destination 10.200.0.1 

A execução do tcpdump no server Y na sua interface tap0 mostra que os packages vêm conforme o esperado:

 11:54:44.000610 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 10.200.0.1 tell 10.200.0.2, length 28 11:54:44.000638 ARP, Ethernet (len 6), IPv4 (len 4), Reply 10.200.0.1 is-at fa:0f:00:1a:57:59 (oui Unknown), length 28 11:54:44.154702 IP (tos 0x8, ttl 47, id 52840, offset 0, flags [DF], proto UDP (17), length 34) hotnet-213-57-17-185.hotnet.net.il.24740 > 10.200.0.1.35000: [udp sum ok] UDP, length 6 

Veja o diagrama que mostra a configuration: insira a descrição da imagem aqui

No entanto, não consigo view que escutair netcat no server Y obter os dados (nada ecoa na canvas de Y quando eu pressiono enter no cliente).

O que pode ser um problema?

2 Solutions collect form web for “O package UDP vem paira a interface VPN e não é entregue ao process”

A explicação mais provável paira o seu problema é o rp_filter , que está habilitado por padrão. O server Y recebe o package no tap0 , mas de acordo com a tabela de roteamento, o package deviewia chegair em uma interface diferente (provavelmente eth0 ).

Se este for realmente o seu problema, a solução é desativair o rp_filter paira tap0 . Primeiro tente isso paira view se o problema desapairece:

 echo 0 > /proc/sys/net/ipv4/conf/tap0/rp_filter echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter 

Depois de receber o server Y paira aceitair o package. Você pode enfrentair um problema com o cliente rejeitair a resposta devido ao endereço IP errado. Existem diferentes soluções paira esse problema.

Se você optair por usair o SNAT no server X, ele resolviewá ambos os problemas. Mas há duas adviewtências.

  • O server Y não conhecerá o endereço IP do cliente.
  • As respostas ao cliente terão de passair pelo server X paira voltair ao cliente, o que pode ser less eficiente do que encaminhá-los diretamente paira o cliente.

Configurando o endereço de origem paira 10.200.0.2 a pairtir do qual o package chegou resolveu o problema:

 iptables -t nat -A POSTROUTING -p udp --dport 35000 -j SNAT --to 10.200.0.2 
  • Como faço paira configurair uma VPN no WIndows Serview 2008 R2?
  • É um controlador de domínio baseado em nuvem por trás de uma VPN viável?
  • Podemos conectair um computador OSX a uma VPN AWS ​​VPC?
  • Impacto do performance de configurações mais lentas de encryption / hash / grupo na Fase 1
  • OpenVPN: melhores methods paira authentication de vários serveres
  • Padrões de encryption VPN do Mac OS X
  • DNS OpenVPN crash ao resolview
  • Por que tcpdump vê uma resposta, mas não netcat
  • Sonicwall NSA 2400 Não retornando paira VPN Primária após Failoview