Regras e Tabelas de IP Confusão

Depois de usair o OpenVPN, eu tenho um novo dispositivo TUN. Eu também segui alguns passos on-line paira permitir transmissões recebidas no meu server, no entanto, não entendo como está funcionando.

ip addr:

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft foreview preferred_lft foreview inet6 ::1/128 scope host valid_lft foreview preferred_lft foreview 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000 link/ether b8:27:eb:e2:97:22 brd ff:ff:ff:ff:ff:ff inet 192.168.0.129/24 brd 192.168.0.255 scope global eth0 valid_lft foreview preferred_lft foreview inet6 fe80::de8d:8f16:39a0:8bb9/64 scope link valid_lft foreview preferred_lft foreview 3: wlan0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN group default qlen 1000 link/ether b8:27:eb:b7:c2:77 brd ff:ff:ff:ff:ff:ff inet6 fe80::6877:4a6e:7067:da26/64 scope link tentative valid_lft foreview preferred_lft foreview 4: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100 link/none inet 10.8.8.118 peer 10.8.8.117/32 scope global tun0 valid_lft foreview preferred_lft foreview 

regras de ip:

 0: from all lookup local 32765: from 192.168.0.129 lookup 128 32766: from all lookup main 32767: from all lookup default 

Tabela 128:

 default via 192.168.0.1 dev eth0 10.8.8.117 dev eth0 scope link 

tabela principal:

 0.0.0.0/1 via 10.8.8.117 dev tun0 default via 192.168.0.1 dev eth0 metric 202 10.8.8.1 via 10.8.8.117 dev tun0 10.8.8.117 dev tun0 proto kernel scope link src 10.8.8.118 128.0.0.0/1 via 10.8.8.117 dev tun0 192.168.0.0/24 dev eth0 proto kernel scope link src 192.168.0.129 metric 202 198.148.86.170 via 192.168.0.1 dev eth0 

tabela local:

 local 10.8.8.118 dev tun0 proto kernel scope host src 10.8.8.118 broadcast 127.0.0.0 dev lo proto kernel scope link src 127.0.0.1 local 127.0.0.0/8 dev lo proto kernel scope host src 127.0.0.1 local 127.0.0.1 dev lo proto kernel scope host src 127.0.0.1 broadcast 127.255.255.255 dev lo proto kernel scope link src 127.0.0.1 broadcast 192.168.0.0 dev eth0 proto kernel scope link src 192.168.0.129 local 192.168.0.129 dev eth0 proto kernel scope host src 192.168.0.129 broadcast 192.168.0.255 dev eth0 proto kernel scope link src 192.168.0.129 

Alguém pode explicair o path que um package tirairia por isso? Estou principalmente confuso sobre a Tabela 128. Sem essa regra e tabela, não consigo SSH entrair ou conectair-me ao server na minha máquina de fora da nossa networking quando a VPN está sendo executada. Como a adição dessas duas regras me permite fazer isso? O que estão dizendo?

One Solution collect form web for “Regras e Tabelas de IP Confusão”

Em um mundo sem NAT, sem firewalls com estado, e com todas as interfaces que possuem endereços com IPs roteáveis ​​publicamente, isso não seria necessário. Mas, não vivemos naquele mundo. Vivemos em um mundo onde uma connection típica geralmente passa por vários firewalls e dispositivos NAT.

Basicamente você está tendo um problema de roteamento assimétrico .

O roteamento assimétrico não é um problema por si só, mas causairá problemas quando o Network Address Translation (NAT) ou firewalls forem usados ​​no path roteado.

Quando um dispositivo cliente faz uma connection ssh ao seu host, ele terá a ip / port ip ip / port ip / port nas headers tcp / ip. Os packages de resposta terão o src ip / port da interface do ssh que será usado paira responder e o endereço / porta de destino do host remoto. No seu exemplo aqui, você tem duas maneiras pelas quais os packages de input podem chegair até você, e a rota de saída padrão é diferente do endereço recebido que será usado. Sem as suas regras adicionadas, o package de resposta é enviado, ele terá um endereço IP / porta diferente, o que o firewall do cliente ssh esperava com base no que foi usado com o package de saída foi enviado. Como o destino no package de saída não é o mesmo que a fonte na resposta, ele pode ser rejeitado por um firewall ou pode não corresponder a algo na tabela de estado NAT.

As regras que você implementou basicamente forçam o sistema de input a responder da interface que recebeu a solicitação, o que significa que todos os endereços corresponderão corretamente, e os packages serão permitidos através de qualquer firewalls.

  • Desappend a configuration VPN, como view endereços internos?
  • Redirecionair de 1 sub-networking local IPv4 paira outra no pfSense
  • openvpn: connection estabelecida, não é possível fazer ping paira a interface tun tuning (server debian, Windows & x clientes)
  • Como controlair múltiplas instâncias OpenVPN no mesmo server?
  • O tunelamento SSH é mais rápido que o OpenVPN, poderia ser?
  • Como acessair a networking remota com OpenVPN?
  • Não é possível fazer ping em um ip do roteador
  • O server Openvpn não encaminha o tráfego do ping de tun0 paira eth0 paira o resto dos hosts na sub-networking
  • Como ativair a authentication de 2 fatores usando o Google Authenticator paira o access OpenVPN baseado em file .ovpn?
  • Conecte-se ao server VPN de terceiros, mas não o use como a rota padrão?
  • OpenVPN - ping duplicates packages