Van két LAN. Az egyik egy cégnél a másik nálam itthon. A kettő között L2TP kapcsolat MikroTik router-ekkel. (A cég router-je a kliens.)
A cég hálózata 192.168.5.254/24 a sajátom 192.168.14.1/24
A saját hálózatomon belül ha egy windows 10-es gépről megpróbálom elérni a távoli cég hálózatán levő valamelyik gépet, akkor az sikerül:
[code]
C:\Users\nagyl>tracert sanyi-pc.visznet
Tracing route to sanyi-pc.visznet [192.168.5.198]
over a maximum of 30 hops:
1 <1 ms <1 ms <1 ms router.lacinet [192.168.14.1]
2 43 ms 40 ms 40 ms s2s-viszfuvar.lacinet [192.168.14.99]
3 40 ms 43 ms 49 ms sanyi-pc.visznet [192.168.5.198]
Trace complete.
[/code]
Ha Linuxos gépről próbálom, az is megy:
[code]
╰─$ traceroute sanyi-pc.visznet
traceroute to sanyi-pc.visznet (192.168.5.198), 30 hops max, 60 byte packets
1 router.lacinet (192.168.14.1) 0.412 ms 0.366 ms *
2 s2s-viszfuvar.lacinet (192.168.14.99) 43.401 ms 43.393 ms 43.460 ms
3 sanyi-pc.visznet (192.168.5.198) 42.645 ms 45.024 ms 44.467 ms
[/code]
Ha viszont megpróbálom elérni a távoli router-t a távoli LAN-on levő címével, akkor windows-ból sikerül:
[code]
C:\Users\nagyl>tracert router.visznet
Tracing route to router.visznet [192.168.5.254]
over a maximum of 30 hops:
1 <1 ms 1 ms <1 ms router.lacinet [192.168.14.1]
2 41 ms 44 ms 44 ms viszfuvar.visznet [192.168.5.254]
Trace complete.
[/code]
Ellenben Linux alól nem:
[code]
─$ traceroute router.visznet
traceroute to router.visznet (192.168.5.254), 30 hops max, 60 byte packets
1 router.lacinet (192.168.14.1) 0.298 ms 0.248 ms 0.280 ms
2 * * *
3 * * *
4 * * *
5 * * *
6 * * *
7 *^C
[/code]
Azt szeretném elérni, hogy a linuxos gépről be tudjak ssh-zni a céges router-re. Jelenleg a céges hálózaton levő bármelyik gépre be tudok menni, kivéve a céges routert. Ez nagyon idegesítő. A linuxos gépen routing table ilyen pofonegyszerű:
╰─$ route 130 ↵
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default router.lacinet 0.0.0.0 UG 100 0 0 enp0s31f6
link-local 0.0.0.0 255.255.0.0 U 1000 0 0 enp0s31f6
172.17.0.0 0.0.0.0 255.255.0.0 U 0 0 0 docker0
172.19.0.0 0.0.0.0 255.255.0.0 U 0 0 0 docker_gwbridge
192.168.14.0 0.0.0.0 255.255.255.0 U 100 0 0 enp0s31f6
╰─$ host router.lacinet 130 ↵
router.lacinet has address 192.168.14.1
Szóval a default gateway a 192.168.14.1 pont az a router, amelyik az L2TP szerver. A docker hálózatait kivéve egy teljesen alap, default konfig. Windows alatt szinte pontosan ugyan ilyen default config van:
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.14.1 192.168.14.108 50
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.14.0 255.255.255.0 On-link 192.168.14.108 306
192.168.14.0 255.255.255.0 192.168.14.1 192.168.14.108 51
192.168.14.108 255.255.255.255 On-link 192.168.14.108 306
192.168.14.255 255.255.255.255 On-link 192.168.14.108 306
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.14.108 306
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.14.108 306
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
192.168.14.0 255.255.255.0 192.168.14.1 1
===========================================================================
A végére ezt a persistent route-ot akár ki is törölhetem, akkor is működik minden.
MikroTik oldalon nincsen semmi specifikus beállítás a csomagok szűrésére a linuxos gép IP címe alapján.
Mi okozhatja ezt?
- 218 megtekintés
Hozzászólások
Mondjuk, hogy másként működik? Pl. Win-verzió, TCP csomagokat használ, a Linux meg mondjuk UDP-t vagy épp ICMP-t.
- A hozzászóláshoz be kell jelentkezni
A leírásomból talán az is kiderült, hogy SSH-val is ugyan ez a helyzet. Windows alól megy linux alól kapcsolódni se tud (nincs válasz). Szóval TCP/22 -re ugyan ez a helyzet. Csak azért küldtem be traceroute logokat, hogy lehessen látni a hálózati címeket az úton.
- A hozzászóláshoz be kell jelentkezni
Szerintem csak az MTU méretét kéne állítani.
“Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”
- A hozzászóláshoz be kell jelentkezni
Linuxon enp0s31f6 interface-en levettem 1300-ra ( ifconfig enp0s31f6 mtu 1300) de nem megy. Az L2TP szerveren és kliensen a default 1460 van beállítva.
Utána megpróbáltam fölvenni az l2tp-server és l2tp-client interface-eken is mikrotiken, és úgy se megy ( /interface l2tp-client set max-mtu és server is.)
- A hozzászóláshoz be kell jelentkezni
Közben rájöttem hogy az mtu változtatás előtt talán túl sokszor próbálkoztam és blacklist-re került az a gép. Átnézem az address list-eket is.
- A hozzászóláshoz be kell jelentkezni
Ha csak ping-el próbálod akkor mi történik?
- A hozzászóláshoz be kell jelentkezni
Az előbbi MTU állítás előtt még a windows-ról tudtam pingelni is, de most épp semmi nem működik. :-( Visszaállítottam az eredeti MTU-t és újraindítottam az l2tp klienst és szervert is, de nem megy.
- A hozzászóláshoz be kell jelentkezni
Ok ez megoldódott egy static route cél címe volt elírva. A static route-ban gateway-nek véletlenül IP cím helyett interface volt beírva.
Amikor újraindítottam az l2tp kapcsolatot, akkor a static route érvénytelenné vált (mert egy másik dinamikus interface jött létre).
Átírtam a gateway-t IP címre és ez megoldotta az összes problémát!
Mindenhonnan működik minden.
Akkor most már csak a kérdés, hogy amikor gateway-nek interface volt beírva, akkor miért működött windows-ról és miért nem linuxról? :-)
- A hozzászóláshoz be kell jelentkezni
Biztos sikerült?
C:\Users\nagyl>tracert router.visznet
Tracing route to router.visznet [192.168.5.254]
over a maximum of 30 hops:
1 <1 ms 1 ms <1 ms router.lacinet [192.168.14.1]
2 41 ms 44 ms 44 ms viszfuvar.visznet [192.168.5.254]
Ez vmi Cname viszfuvar.visznet aka router.visznet?
- A hozzászóláshoz be kell jelentkezni