Auteur Sujet: probleme default routage linux?  (Lu 325 fois)

0 Membres et 1 Invité sur ce sujet

Kartman

  • Client SFR sur réseau Numericable
  • *
  • Messages: 51
  • FTTLa 1000/60 sur Croix (59)
probleme default routage linux?
« le: 29 juin 2020 à 14:14:21 »
Bonjour,

Je suis en train de tester Wireguard pour une utilisation personnelle mais je bloque sur ce qui me semble être un problème de routage, n'étant pas expert.
Mon but c'est d'avoir 2 serveurs Wireguard dans un conteneur LXC et rediriger les clients sur une interface réseau spécifique en fonction de leur adresse pour le parefeu.

config serveur1
Citer
[Interface]
Address = 10.0.110.1/24
PostUp = iptables -t nat -A POSTROUTING -s 10.0.110.0/24 -o eth0 -j MASQUERADE
config serveur2
Citer
[Interface]
Address = 10.0.114.1/24
PostUp = iptables -t nat -A POSTROUTING -s 10.0.114.0/24 -o eth1 -j MASQUERADE
Interfaces
Citer
2: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
    link/none
    inet 10.0.110.1/24 scope global wg0
       valid_lft forever preferred_lft forever
4: wg1: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
    link/none
    inet 10.0.114.1/24 scope global wg1
       valid_lft forever preferred_lft forever
131: eth0@if132: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 00:16:3e:fa:88:ea brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet 192.168.110.10/24 brd 192.168.110.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::216:3eff:fefa:88ea/64 scope link
       valid_lft forever preferred_lft forever
133: eth1@if134: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 00:16:3e:da:af:49 brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet 192.168.114.10/24 brd 192.168.114.255 scope global eth1
       valid_lft forever preferred_lft forever
    inet6 fe80::216:3eff:feda:af49/64 scope link
       valid_lft forever preferred_lft forever
routes
Citer
default via 192.168.114.1 dev eth1 proto static
default via 192.168.110.1 dev eth0 proto static
10.0.110.0/24 dev wg0 proto kernel scope link src 10.0.110.1
10.0.114.0/24 dev wg1 proto kernel scope link src 10.0.114.1
192.168.110.0/24 dev eth0 proto kernel scope link src 192.168.110.10
192.168.114.0/24 dev eth1 proto kernel scope link src 192.168.114.10

Si l'interfance eth1 n'est pas monté les connexions depuis wg0 passe bien sur eth0. Mais si je le monte le routage de wg1 vers eth1 fonctionne mais pas celui vers eth0, je ne recois aucune reponse.
dump wg0 -> eth0
Citer
^C11:34:57.029143 ARP, Request who-has 192.168.110.10 tell 192.168.110.1, length 28
11:34:57.029171 ARP, Reply 192.168.110.10 is-at 00:16:3e:fa:88:ea (oui Unknown), length 28
11:34:57.833832 IP gqp76-h01-176-179-150-252.dsl.sta.abo.bbox.fr.10302 > 192.168.110.10.51820: UDP, length 92
11:34:58.043890 IP gqp76-h01-176-179-150-252.dsl.sta.abo.bbox.fr.10302 > 192.168.110.10.51820: UDP, length 92
11:34:58.273589 IP gqp76-h01-176-179-150-252.dsl.sta.abo.bbox.fr.10302 > 192.168.110.10.51820: UDP, length 92
11:35:00.432955 IP gqp76-h01-176-179-150-252.dsl.sta.abo.bbox.fr.10302 > 192.168.110.10.51820: UDP, length 148
11:35:00.433544 IP 192.168.110.10.51820 > gqp76-h01-176-179-150-252.dsl.sta.abo.bbox.fr.10302: UDP, length 92
11:35:00.483984 IP gqp76-h01-176-179-150-252.dsl.sta.abo.bbox.fr.10302 > 192.168.110.10.51820: UDP, length 32
11:35:00.483987 IP gqp76-h01-176-179-150-252.dsl.sta.abo.bbox.fr.10302 > 192.168.110.10.51820: UDP, length 32
11:35:00.933402 IP gqp76-h01-176-179-150-252.dsl.sta.abo.bbox.fr.10302 > 192.168.110.10.51820: UDP, length 92
11:35:03.475928 IP gqp76-h01-176-179-150-252.dsl.sta.abo.bbox.fr.10318 > 192.168.110.10.51820: UDP, length 148
11:35:05.596751 ARP, Request who-has 192.168.110.1 tell 192.168.110.10, length 28
11:35:05.597307 ARP, Reply 192.168.110.1 is-at 52:54:00:ee:97:31 (oui Unknown), length 28
11:35:08.714110 IP gqp76-h01-176-179-150-252.dsl.sta.abo.bbox.fr.10318 > 192.168.110.10.51820: UDP, length 148
11:35:13.933843 IP gqp76-h01-176-179-150-252.dsl.sta.abo.bbox.fr.10318 > 192.168.110.10.51820: UDP, length 148
11:35:19.045112 ARP, Request who-has 192.168.110.10 tell 192.168.110.1, length 28
11:35:19.045136 ARP, Reply 192.168.110.10 is-at 00:16:3e:fa:88:ea (oui Unknown), length 28
11:35:19.284205 IP gqp76-h01-176-179-150-252.dsl.sta.abo.bbox.fr.10318 > 192.168.110.10.51820: UDP, length 148
11:35:24.403904 IP gqp76-h01-176-179-150-252.dsl.sta.abo.bbox.fr.10318 > 192.168.110.10.51820: UDP, length 148

19 packets captured
19 packets received by filter
0 packets dropped by kernel


dump wg1 -> eth1
Citer
^C11:36:10.545907 IP gqp76-h01-176-179-150-252.dsl.sta.abo.bbox.fr.10402 > 192.168.114.10.51821: UDP, length 148
11:36:10.547600 IP pihole.domain > 192.168.114.10.41468: 6099 NXDomain* 0/0/0 (45)
11:36:10.548531 IP pihole.domain > 192.168.114.10.39348: 44120 1/0/0 PTR gqp76-h01-176-179-150-252.dsl.sta.abo.bbox.fr. (105)
11:36:10.549537 IP pihole.domain > 192.168.114.10.49938: 41752* 1/0/0 PTR pihole. (64)
11:36:15.563950 IP gqp76-h01-176-179-150-252.dsl.sta.abo.bbox.fr.10402 > 192.168.114.10.51821: UDP, length 148
11:36:15.564538 IP 192.168.114.10.51821 > gqp76-h01-176-179-150-252.dsl.sta.abo.bbox.fr.10402: UDP, length 92
11:36:15.623922 IP gqp76-h01-176-179-150-252.dsl.sta.abo.bbox.fr.10402 > 192.168.114.10.51821: UDP, length 89
11:36:15.624032 IP 192.168.114.10.12251 > pihole.domain: 5017+ A? mozilla.org. (29)
11:36:15.631629 IP gqp76-h01-176-179-150-252.dsl.sta.abo.bbox.fr.10402 > 192.168.114.10.51821: UDP, length 102
11:36:15.631631 IP gqp76-h01-176-179-150-252.dsl.sta.abo.bbox.fr.10402 > 192.168.114.10.51821: UDP, length 102
11:36:15.631686 IP gqp76-h01-176-179-150-252.dsl.sta.abo.bbox.fr.10402 > 192.168.114.10.51821: UDP, length 89
11:36:15.631689 IP gqp76-h01-176-179-150-252.dsl.sta.abo.bbox.fr.10402 > 192.168.114.10.51821: UDP, length 32
11:36:15.631705 IP 192.168.114.10.4989 > pihole.domain: 10009+ A? detectportal.firefox.com. (42)
11:36:15.631766 IP 192.168.114.10.4989 > pihole.domain: 10009+ A? detectportal.firefox.com. (42)
11:36:15.631776 IP 192.168.114.10.12251 > pihole.domain: 5017+ A? mozilla.org. (29)
11:36:15.653845 IP pihole.domain > 192.168.114.10.12251: 5017 1/0/0 A 63.245.208.195 (45)
11:36:15.729850 IP pihole.domain > 192.168.114.10.4989: 10009 5/0/0 CNAME detectportal.prod.mozaws.net., CNAME detectportal.firefox.com-v2.edgesuite.net., CNAME a1089.dscd.akamai.net., A 23.15.179.155, A 23.15.179.163 (200)
11:36:15.729959 IP 192.168.114.10.51821 > gqp76-h01-176-179-150-252.dsl.sta.abo.bbox.fr.10402: UDP, length 272
11:36:15.793721 IP gqp76-h01-176-179-150-252.dsl.sta.abo.bbox.fr.10402 > 192.168.114.10.51821: UDP, length 92
11:36:15.877119 ARP, Request who-has 192.168.114.10 tell 192.168.114.1, length 28
11:36:15.877139 ARP, Reply 192.168.114.10 is-at 00:16:3e:da:af:49 (oui Unknown), length 28
11:36:15.877307 IP 192.168.110.10.44749 > pihole.domain: 51141+ PTR? 1.114.168.192.in-addr.arpa. (44)
11:36:15.878519 IP 192.168.110.10.39447 > pihole.domain: 52659+ PTR? 10.110.168.192.in-addr.arpa. (45)
11:36:16.063917 IP gqp76-h01-176-179-150-252.dsl.sta.abo.bbox.fr.10402 > 192.168.114.10.51821: UDP, length 92
11:36:16.413792 IP gqp76-h01-176-179-150-252.dsl.sta.abo.bbox.fr.10402 > 192.168.114.10.51821: UDP, length 94
11:36:16.803928 IP gqp76-h01-176-179-150-252.dsl.sta.abo.bbox.fr.10402 > 192.168.114.10.51821: UDP, length 92
11:36:16.804040 IP 192.168.114.10.38078 > a23-15-179-155.deploy.static.akamaitechnologies.com.http: Flags , seq 197483565, win 65535, options [mss 1240,sackOK,TS val 8578637 ecr 0,nop,wscale 8], length 0
11:36:16.804257 IP 192.168.110.10.44750 > pihole.domain: 39810+ PTR? 155.179.15.23.in-addr.arpa. (44)
11:36:16.819994 IP a23-15-179-155.deploy.static.akamaitechnologies.com.http > 192.168.114.10.38078: Flags [S.], seq 2455495352, ack 197483566, win 65160, options [mss 1460,sackOK,TS val 815195862 ecr 8578637,nop,wscale 7], length 0
11:36:17.064145 IP gqp76-h01-176-179-150-252.dsl.sta.abo.bbox.fr.10402 > 192.168.114.10.51821: UDP, length 92
11:36:17.064251 IP 192.168.114.10.38079 > a23-15-179-155.deploy.static.akamaitechnologies.com.http: Flags , seq 991670012, win 65535, options [mss 1240,sackOK,TS val 8578715 ecr 0,nop,wscale 8], length 0
11:36:17.082678 IP a23-15-179-155.deploy.static.akamaitechnologies.com.http > 192.168.114.10.38079: Flags [S.], seq 1717211559, ack 991670013, win 65160, options [mss 1460,sackOK,TS val 815196124 ecr 8578715,nop,wscale 7], length 0
11:36:17.082806 IP 192.168.114.10.51821 > gqp76-h01-176-179-150-252.dsl.sta.abo.bbox.fr.10402: UDP, length 96
11:36:17.133991 IP gqp76-h01-176-179-150-252.dsl.sta.abo.bbox.fr.10402 > 192.168.114.10.51821: UDP, length 84
11:36:17.134075 IP 192.168.114.10.38079 > a23-15-179-155.deploy.static.akamaitechnologies.com.http: Flags [.], ack 1, win 291, options [nop,nop,TS val 8578739 ecr 815196124], length 0
11:36:17.141876 IP gqp76-h01-176-179-150-252.dsl.sta.abo.bbox.fr.10402 > 192.168.114.10.51821: UDP, length 368
11:36:17.141954 IP 192.168.114.10.38079 > a23-15-179-155.deploy.static.akamaitechnologies.com.http: Flags [P.], seq 1:285, ack 1, win 291, options [nop,nop,TS val 8578739 ecr 815196124], length 284: HTTP: GET /success.txt?ipv4 HTTP/1.1
11:36:17.142198 IP a23-15-179-155.deploy.static.akamaitechnologies.com.http > 192.168.114.10.38079: Flags [.], ack 285, win 507, options [nop,nop,TS val 815196184 ecr 8578739], length 0
11:36:17.142278 IP 192.168.114.10.51821 > gqp76-h01-176-179-150-252.dsl.sta.abo.bbox.fr.10402: UDP, length 96
11:36:17.159818 IP a23-15-179-155.deploy.static.akamaitechnologies.com.http > 192.168.114.10.38079: Flags [P.], seq 1:377, ack 285, win 507, options [nop,nop,TS val 815196202 ecr 8578739], length 376: HTTP: HTTP/1.1 200 OK
11:36:17.159924 IP 192.168.114.10.51821 > gqp76-h01-176-179-150-252.dsl.sta.abo.bbox.fr.10402: UDP, length 464
11:36:17.160106 IP a23-15-179-155.deploy.static.akamaitechnologies.com.http > 192.168.114.10.38079: Flags [P.], seq 377:385, ack 285, win 507, options [nop,nop,TS val 815196202 ecr 8578739], length 8: HTTP
11:36:17.160176 IP 192.168.114.10.51821 > gqp76-h01-176-179-150-252.dsl.sta.abo.bbox.fr.10402: UDP, length 96
11:36:17.203380 IP gqp76-h01-176-179-150-252.dsl.sta.abo.bbox.fr.10402 > 192.168.114.10.51821: UDP, length 84
11:36:17.203383 IP gqp76-h01-176-179-150-252.dsl.sta.abo.bbox.fr.10402 > 192.168.114.10.51821: UDP, length 84
11:36:17.203454 IP 192.168.114.10.38079 > a23-15-179-155.deploy.static.akamaitechnologies.com.http: Flags [.], ack 377, win 295, options [nop,nop,TS val 8578758 ecr 815196202], length 0
11:36:17.203505 IP 192.168.114.10.38079 > a23-15-179-155.deploy.static.akamaitechnologies.com.http: Flags [.], ack 385, win 295, options [nop,nop,TS val 8578760 ecr 815196202], length 0
11:36:18.804287 IP gqp76-h01-176-179-150-252.dsl.sta.abo.bbox.fr.10402 > 192.168.114.10.51821: UDP, length 92
11:36:18.804409 IP 192.168.114.10.38078 > a23-15-179-155.deploy.static.akamaitechnologies.com.http: Flags , seq 197483565, win 65535, options [mss 1240,sackOK,TS val 8579238 ecr 0,nop,wscale 8], length 0
11:36:18.804630 IP a23-15-179-155.deploy.static.akamaitechnologies.com.http > 192.168.114.10.38078: Flags [S.], seq 2486505712, ack 197483566, win 65160, options [mss 1460,sackOK,TS val 815197846 ecr 8579238,nop,wscale 7], length 0
11:36:18.804720 IP 192.168.114.10.51821 > gqp76-h01-176-179-150-252.dsl.sta.abo.bbox.fr.10402: UDP, length 96
11:36:18.844033 IP gqp76-h01-176-179-150-252.dsl.sta.abo.bbox.fr.10402 > 192.168.114.10.51821: UDP, length 84
11:36:18.844126 IP 192.168.114.10.38078 > a23-15-179-155.deploy.static.akamaitechnologies.com.http: Flags [.], ack 1, win 291, options [nop,nop,TS val 8579252 ecr 815197846], length 0
11:36:20.563770 IP gqp76-h01-176-179-150-252.dsl.sta.abo.bbox.fr.10402 > 192.168.114.10.51821: UDP, length 89
11:36:20.563866 IP 192.168.114.10.8853 > pihole.domain: 23246+ A? mozilla.org. (29)
11:36:20.564669 IP pihole.domain > 192.168.114.10.8853: 23246 1/0/0 A 63.245.208.195 (45)
11:36:20.564784 IP 192.168.114.10.51821 > gqp76-h01-176-179-150-252.dsl.sta.abo.bbox.fr.10402: UDP, length 112
11:36:20.604769 ARP, Request who-has 192.168.114.1 tell 192.168.114.10, length 28
11:36:20.604973 ARP, Reply 192.168.114.1 is-at 52:54:00:c2:72:29 (oui Unknown), length 28

59 packets captured
59 packets received by filter
0 packets dropped by kernel

Cela aurait été plus facile si je pouvais assigner les adresses local wireguard directement a celle des interfaces eth0 et eth1 mais je sais pas si c'est possible et encore moins comment le faire.

kgersen

  • Client Bouygues FTTH
  • Modérateur
  • *
  • Messages: 7 068
  • FTTH 1Gb/s sur Paris (75)
probleme default routage linux?
« Réponse #1 le: 29 juin 2020 à 14:22:15 »
ce n'est pas tres clair ce que tu veux faire...
et les interfaces wireguard n'ont pas forcement besoin d'adresse.



Kartman

  • Client SFR sur réseau Numericable
  • *
  • Messages: 51
  • FTTLa 1000/60 sur Croix (59)
probleme default routage linux?
« Réponse #2 le: 29 juin 2020 à 14:34:33 »
Je veux pouvoir donner accès à certain clients l’accès à mon "vrai" réseau local et d'autres seulement l’accès un sous réseau où il n'y a pas d'elements sensible. Le filtrage est fait par le pare-feu.

kgersen

  • Client Bouygues FTTH
  • Modérateur
  • *
  • Messages: 7 068
  • FTTH 1Gb/s sur Paris (75)
probleme default routage linux?
« Réponse #3 le: 29 juin 2020 à 14:39:58 »
Je veux pouvoir donner accès à certain clients l’accès à mon "vrai" réseau local et d'autres seulement l’accès un sous réseau où il n'y a pas d'elements sensible. Le filtrage est fait par le pare-feu.

client = ? client wg distant ? local?

tu parle de "réseau local" et d'un conteneur LXC. on voit 4 interfaces (wg0 wg1 eth0@if132 eth0@if134) du coup c'est pas clair ce qui est reel/virtuel, etc

un petit  schéma pour expliquer (notamment ou est le parefeu la dedans) ?

faut toujours se mettre a la place des autres et donner un max d'info pour qu'on comprenne le problème sinon on ne pourra pas t'aider.

Kartman

  • Client SFR sur réseau Numericable
  • *
  • Messages: 51
  • FTTLa 1000/60 sur Croix (59)
probleme default routage linux?
« Réponse #4 le: 29 juin 2020 à 14:50:14 »
Serveur Physique ------ 192.168.110.0/24 - interface virtuel            |Conteneur
                                           |                                                             |
                                            _______________________________| __192.168.110.10- eth0
                             ------ 192.168.114.0/24 - interface virtuel               |     
                                           |                                                               |
                                           ________________________________|_192.168.114.10-eth1

                            --------- pare-feu

                            --------- interfaces physiques

Edit: J’étais avare sur la configuration de mon réseau car j'avais pensé avoir circonscrit le problème sur la configuration à l’intérieur du conteneur car si il n'y avait que l'interface eth0 de connecter le routage vers les autres réseaux se font comme voulu.
Le pare-feu ne me log rien concernant un quelconque blocage sur ces paquets lorsque les connexions ne se font pas donc je l'avais mis hors de cause. Je verrais cela ce soir si le pare-feu est en cause.

Edit2:
Je crois que c'est cela (https://bbs.archlinux.org/viewtopic.php?id=253667) que j'essaie de faire. J'ai essayé de le faire a tâtons avec netplan mais sans succès.
Si j'utilise cette regle PostUp = iptables -t nat -A POSTROUTING -s 10.0.110.0/24 -o eth0 -j MASQUERADE; dans wg0.conf le conteneur reçois les paquets mais ne "réponds" pas.
Avec celle-ci  PostUp = iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE; sans spécifier la source le conteneur "réponds" mais sur la mauvaise interface, la eth1. Est-ce que c'est cette regle  que je ne comprends pas?
« Modifié: 30 juin 2020 à 13:52:51 par Kartman »

Kartman

  • Client SFR sur réseau Numericable
  • *
  • Messages: 51
  • FTTLa 1000/60 sur Croix (59)
probleme default routage linux?
« Réponse #5 le: 06 juillet 2020 à 08:22:50 »
Voici une configuration qui marche pour moi.

Netplan config
network:
    version: 2
    ethernets:
        eth0:
            addresses: [192.168.110.10/24]
            gateway4: 192.168.110.1
            nameservers:
                addresses: [192.168.10.11]
            dhcp4: true
            routes:
             - to: 0.0.0.0/0
               via: 192.168.110.1
               table: 1
            routing-policy:
             - from: 192.168.110.0/24
               table: 1
        eth1:
            addresses: [192.168.114.10/24]
            gateway4: 192.168.114.1
            nameservers:
                addresses: [192.168.10.11]
            dhcp4: true
            routes:
             - to: 0.0.0.0/0
               via: 192.168.114.1
               table: 2
            routing-policy:
              - from: 192.168.114.0/24
                table: 2
        wg0:
           dhcp4: false
           dhcp6: false
           routes:
             - to: 10.0.110.0/24
               via: 10.0.110.1
               table: 1
             - to: 0.0.0.0/0
               via: 192.168.110.1
               table: 1
           routing-policy:
             - from: 10.0.110.0/24
               table: 1
        wg1:
           dhcp4: false
           dhcp6: false
           routes:
             - to: 10.0.114.0/24
               via: 10.0.114.1
               table: 2
             - to: 0.0.0.0/0
               via: 192.168.114.1
               table: 2
           routing-policy:
             - from: 10.0.114.0/24
               table: 2

ip rule show
0:      from all lookup local
0:      from 192.168.114.0/24 lookup rtwg1
0:      from 192.168.110.0/24 lookup rtwg0
0:      from 10.0.114.0/24 lookup rtwg1
0:      from 10.0.110.0/24 lookup rtwg0
32766:  from all lookup main
32767:  from all lookup default

ip route show all
default via 192.168.114.1 dev eth1 proto static
default via 192.168.110.1 dev eth0 proto static
10.0.110.0/24 dev wg0 proto kernel scope link src 10.0.110.1
10.0.114.0/24 dev wg1 proto kernel scope link src 10.0.114.1
192.168.110.0/24 dev eth0 proto kernel scope link src 192.168.110.10
192.168.114.0/24 dev eth1 proto kernel scope link src 192.168.114.10

ip route show table rtwg0
default via 192.168.110.1 dev eth0 proto static
default via 192.168.110.1 dev wg0 proto static onlink
10.0.110.0/24 via 10.0.110.1 dev wg0 proto static onlink

ip route show table rtwg1
default via 192.168.114.1 dev eth1 proto static
default via 192.168.114.1 dev wg1 proto static onlink
10.0.114.0/24 via 10.0.114.1 dev wg1 proto static onlink

 

Mobile View