Score:1

การส่งต่อ Linux ipv4 ไม่ทำงานตามที่คาดไว้

ธง uy

ฉันต้องการใช้ raspberry pi เป็นเราเตอร์ระดับกลางเพื่อเข้าถึง LAN อื่น สิ่งที่ต้องการดังต่อไปนี้

âââââââââââââââââ âââââvpn 10.1.4.xââ
                                   â
เราเตอร์ 10.1.1.1ââââââââââââpi4b 10.1.1.42ââ âââââââ>พีซี 10.1.1.43
      â
      âââââââââââââââââ âââââââââââââââââ ทีวี
      â
      âââââââââââââââââ âââââââââââââââââ ââââââââââ>ps5
      â
      âââââââââââââââââ âââââââââââââââââ ââââââââââ>ฯลฯ...

ดังนั้นฉันจึงเปิดใช้งานการส่งต่อ ipv4 ในเคอร์เนล pi4b

net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.all.rp_filter = 0
net.ipv4.ip_forward = 1
net.ipv4.conf.all.accept_redirects = 1
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.all.send_redirects = 1

บน pi มีเส้นทางเริ่มต้นไปยังเราเตอร์ (10.1.1.1). และพีซีมีเส้นทางเริ่มต้นที่ตั้งค่าเป็น pi(10.1.1.42).ตารางเส้นทางของเราเตอร์ฉันไม่สามารถเข้าถึงได้ แต่ฉันคิดว่าไม่มีอะไรพิเศษ มันคือ เรมี AX6, SSH ไม่พร้อมใช้งาน

แต่ฉันไม่สามารถเข้าถึงอินเทอร์เน็ตบนพีซีของฉันได้

magrathhea:~ jeffwhen$ traceroute 223.5.5.5
ติดตามเส้นทางไปยัง 223.5.5.5 (223.5.5.5), 64 hops สูงสุด, 52 แพ็คเก็ตไบต์
 1 * pi4b (10.1.1.42) 2.248 มิลลิวินาที *
 2 เซียวเฉียง (10.1.1.1) 2.292 ms 1.317 ms 1.258 ms
 3 * * *
 4 * * *

ฉันทำอะไรผิด? ความช่วยเหลือใด ๆ ที่จะได้รับการชื่นชม


ข้อมูลอื่นที่อาจเป็นประโยชน์: หลังจากเพิ่มการปลอมตัวใน nat โพสต์ chain ฉันสามารถเข้าถึงอินเทอร์เน็ตบนพีซีของฉัน ฉันคิดว่านี่หมายความว่าพีซีส่งทุกอย่างผ่านราสเบอร์รี่ pi ของฉัน แต่ทำไมการปลอมตัวถึงจำเป็น?

vidarlo avatar
ar flag
ตารางเส้นทางบนพีซีคืออะไร ตารางเส้นทางบน Pi คืออะไร ตารางเส้นทางบนเราเตอร์ของคุณคืออะไร?
Jeffwhen avatar
uy flag
@vidarlo pc มีเส้นทางเริ่มต้นไปยัง pi และ pi มีเส้นทางเริ่มต้นไปยังเราเตอร์ เราเตอร์ ฉันไม่สามารถเข้าถึงตารางเส้นทางได้ ```
vidarlo avatar
ar flag
Pi มีสองอินเทอร์เฟซหรือไม่
Jeffwhen avatar
uy flag
@vidarlo ยังไม่ได้
Jeffwhen avatar
uy flag
แผนของฉันเชื่อมต่อกับ office VPN บน pi จากนั้นจึงแนททราฟฟิกบางอย่างไปยังลิงค์ vpn โดยการปลอมตัว แต่ฉันยังไม่ได้เริ่มการกำหนดค่าเหล่านั้น ฉันคิดว่าฉันต้องสามารถเข้าถึงอินเทอร์เน็ตผ่านเราเตอร์ของฉันก่อน
Score:1
ธง ar

เมื่อ Pi ของคุณได้รับแพ็คเกจที่ไม่ได้จัดการโดยตรง มันอาจจะออกการเปลี่ยนเส้นทาง ICMP เพื่อบอกให้พีซีของคุณใช้ 10.1.1.1 โดยตรง อย่างไรก็ตามสิ่งนี้ไม่ได้ผลดีนัก เป็นความเสี่ยงด้านความปลอดภัย ระบบปฏิบัติการสมัยใหม่จำนวนมากจึงเพิกเฉย

วิธีแก้ปัญหาที่เหมาะสมคือหนึ่งในสอง:

  • มีเราเตอร์หนึ่งตัวต่อซับเน็ต
  • มีเส้นทางที่ประกาศอย่างชัดเจนในไคลเอนต์

หนึ่งเราเตอร์ต่อเครือข่ายย่อย

กำหนดค่าเครือข่ายระหว่าง Pi และพีซีของคุณไปยังซับเน็ตอื่นนอกเหนือจาก LAN ที่เหลือ เช่น 10.1.2.0/24.Pi ของคุณจะมีเส้นทางเริ่มต้นด้วย gw 10.1.1.1 และ 10.1.4.0/24 ด้วยเกตเวย์บางตัว

เครื่องจักรใด ๆ ที่อยู่เบื้องหลัง Pi จะมี 10.1.2.0/24 โดยมี Pi เป็นเกตเวย์

ประกาศเส้นทางกับลูกค้า

กำหนดค่า Pi ของคุณให้มี IP ใน 10.1.1.0/24-subnet อย่าตั้งเป็นเกตเวย์เริ่มต้นบนพีซีใดๆ พวกเขาทั้งหมดควรมี 10.1.1.1

เพิ่มเส้นทางไปที่ 10.1.4.0/24 ผ่าน Pi บน windows สามารถทำได้ด้วย

เส้นทาง เพิ่ม 10.1.4.0 MASK 255.255.255.0 10.1.1.42 

ใช้ เส้นทาง -p เพิ่ม... เพื่อยืนยันเส้นทางระหว่างการรีบูต

Jeffwhen avatar
uy flag
นี่เป็นรายละเอียดมาก ขอขอบคุณ. ดังนั้นฉันจึงพยายามบันทึกการเปลี่ยนเส้นทาง ICMP ใน wireshark โดยใช้นิพจน์ `icmp.type == 5` แต่ฉันไม่สามารถรับได้เลย ทำไมถึงเป็นเช่นนั้น?
vidarlo avatar
ar flag
ฉันจะยอมรับว่ามันยิงจากสะโพกนิดหน่อย ขึ้นอยู่กับการหมดอายุ ;)

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา