ฉันมีเครือข่ายที่ใช้ UniFi ต่อไปนี้ สำหรับบริบทของคำถามนี้ ข้อความทั้งหมดเกี่ยวข้องกับ IPv6 การเชื่อมต่อเว้นแต่จะระบุไว้เป็นอย่างอื่น
ในการตั้งค่านี้ เซิร์ฟเวอร์สามารถเข้าถึงอินเทอร์เน็ตผ่าน USG ผ่าน bond0 แต่ไม่สามารถทำได้ผ่าน enp2s0f0 นอกจากนี้ USG และเซิร์ฟเวอร์ไม่สามารถ ping ระหว่าง LAN2/enp2s0f0 ได้ แต่สามารถ ping ระหว่าง LAN1/bond0 ได้ ไม่มีการติดตั้งไฟร์วอลล์บนเซิร์ฟเวอร์
การเชื่อมต่อ IPv4 และการเข้าถึงอินเทอร์เน็ตระหว่าง LAN2/enp2s0f0 ใช้งานได้โดยไม่มีปัญหา
อินเทอร์เฟซทั้งหมดบน USG และเซิร์ฟเวอร์มีทั้งที่อยู่ลิงก์ภายในเครื่องและที่อยู่ IPv6 ส่วนกลาง ซึ่งกำหนดผ่านการมอบหมายคำนำหน้า USG ได้รับ WAN IP ผ่าน DHCPv6 โดยได้รับมอบสิทธิ์ /48 ในทางกลับกัน USG จะเสนอ /64 สำหรับแต่ละอินเทอร์เฟซ LAN ผ่านการมอบหมายคำนำหน้า (พร้อมโฆษณาเราเตอร์)
USG มีกฎไฟร์วอลล์ ipv6 ในกลุ่ม 'WAN IN' ซึ่งระบุ IP enp2s0f0 ของเซิร์ฟเวอร์และสองพอร์ต (80 และ 443)
วัตถุประสงค์ของฉัน:
ข้อมูลเพิ่มเติมจาก USG:
$ /sbin/ifconfig
eth0 ลิงก์ encap:Ethernet HWaddr 74:ac:b9:df:d9:b8
inet addr:XXX.XXX.XXX.XXX Bcast:XXX.XXX.XXX.XXX มาสก์:255.255.252.0
inet6 addr: XXXX:XXXX:7fff:89:eadc:1152:90c2:550/128 ขอบเขต:ทั่วโลก
inet6 addr: fe80::76ac:b9ff:fedf:d9b8/64 ขอบเขต: ลิงก์
การออกอากาศที่เรียกใช้มัลติคาสต์ MTU:1500 เมตริก:1
แพ็กเก็ต RX:214886 ข้อผิดพลาด:0 หลุด:148 โอเวอร์รัน:0 เฟรม:0
แพ็กเก็ต TX:154122 ข้อผิดพลาด:0 ลดลง:0 โอเวอร์รัน:0 ผู้ให้บริการ:0
การชน:0 txqueuelen:0
ไบต์ RX:255100029 (243.2 MiB) ไบต์ TX:18676153 (17.8 MiB)
eth1 ลิงก์ encap:Ethernet HWaddr 74:ac:b9:df:d9:b9
inet addr:192.168.118.118 Bcast:192.168.118.255 มาสก์:255.255.255.0
inet6 addr: fe80::76ac:b9ff:fedf:d9b9/64 ขอบเขต: ลิงก์
inet6 addr: XXXX:XXXX:8b:2:76ac:b9ff:fedf:d9b9/64 ขอบเขต:สากล
การออกอากาศที่เรียกใช้มัลติคาสต์ MTU:1500 เมตริก:1
แพ็กเก็ต RX:229284 ข้อผิดพลาด:0 หลุด:183 โอเวอร์รัน:0 เฟรม:0
แพ็กเก็ต TX:257854 ข้อผิดพลาด:0 หลุด:0 โอเวอร์รัน:0 ผู้ให้บริการ:0
การชน:0 txqueuelen:0
ไบต์ RX:25017796 (23.8 MiB) ไบต์ TX:259257297 (247.2 MiB)
eth2 ลิงก์ encap:Ethernet HWaddr 74:ac:b9:df:d9:ba
inet addr:192.168.253.1 Bcast:192.168.253.255 มาสก์:255.255.255.0
inet6 addr: fe80::76ac:b9ff:fedf:d9ba/64 ขอบเขต:ลิงก์
inet6 addr: XXXX:XXXX:8b:1:76ac:b9ff:fedf:d9ba/64 ขอบเขต:สากล
การออกอากาศที่เรียกใช้มัลติคาสต์ MTU:1500 เมตริก:1
แพ็กเก็ต RX:10589 ข้อผิดพลาด:0 หลุด:0 โอเวอร์รัน:0 เฟรม:0
แพ็กเก็ต TX:8973 ข้อผิดพลาด:0 หลุด:0 โอเวอร์รัน:0 ผู้ให้บริการ:0
การชน:0 txqueuelen:0
ไบต์ RX:2233148 (2.1 MiB) ไบต์ TX:1494400 (1.4 MiB)
$ ip -6 เส้นทาง
XXXX:XXXX:8b:1::/64 dev eth2 โปรโตเคอร์เนลเมตริก 256
XXXX:XXXX:8b:2::/64 dev eth1 โปรโตเคอร์เนลเมตริก 256
XXXX:XXXX:7fff:89:eadc:1152:90c2:550 dev eth0 โปรโตเคอร์เนลเมตริก 256
fe80::/64 dev eth0 โปรโตเคอร์เนลเมตริก 256
fe80::/64 dev eth1 โปรโตเคอร์เนลเมตริก 256
fe80::/64 dev eth2 โปรโตเคอร์เนลเมตริก 256
ค่าเริ่มต้นผ่าน fe80::2a2:ff:feb2:c2 dev eth0 proto ra metric 1024 หมดอายุ 1674 วินาที hoplimit 64
$ แสดงไฟร์วอลล์
--------------------------------------------- ------------------------------
ไฟร์วอลล์ IPv4 "AUTHORIZED_GUESTS":
ไม่ใช้งาน - ไม่นำไปใช้กับอินเทอร์เฟซ โซน หรือการตรวจสอบเนื้อหา
โปรโตแพ็กเก็ตการดำเนินการตามกฎเป็นไบต์
---- ------ ----- ------- -----
10,000 ลดลงทั้งหมด 0 0
--------------------------------------------- ------------------------------
ไฟร์วอลล์ IPv4 "GUEST_IN":
ใช้งานบน (eth2,IN)
โปรโตแพ็กเก็ตการดำเนินการตามกฎเป็นไบต์
---- ------ ----- ------- -----
3001 ยอมรับ tcp_udp 0 0
เงื่อนไข - tcp dpt:โดเมน
3002 ยอมรับ tcp 0 0
เงื่อนไข - tcp dpt:https จับคู่ชุด captive_portal_subnets dst
3003 ยอมรับทั้งหมด 0 0
เงื่อนไข - จับคู่ชุด guest_pre_allow dst
3004 ทิ้งทั้งหมด 0 0
เงื่อนไข - จับคู่ชุด guest_restricted dst
3005 ลดทั้งหมด 0 0
เงื่อนไข - จับคู่ชุด Corporate_network dst
3006 ทิ้งทั้งหมด 0 0
เงื่อนไข - จับคู่ชุด remote_user_vpn_network dst
3007 ทิ้งทั้งหมด 0 0
เงื่อนไข - ชุดจับคู่ที่ได้รับอนุญาต _guests dst
6001 ยอมรับทั้งหมด 8878 1883939
เงื่อนไข - เศร้า 192.168.253.0/24
10,000 ยอมรับทั้งหมด 0 0
--------------------------------------------- ------------------------------
ไฟร์วอลล์ IPv4 "GUEST_LOCAL":
เปิดใช้งานบน (eth2,LOCAL)
โปรโตแพ็กเก็ตการดำเนินการตามกฎเป็นไบต์
---- ------ ----- ------- -----
3001 ยอมรับ tcp_udp 1096 80696
เงื่อนไข - tcp dpt:โดเมน
3002 ยอมรับ icmp 0 0
3003 ยอมรับ udp 26 8528
เงื่อนไข - udp spt:bootpc dpt:bootps
10,000 ลดลงทั้งหมด 1 227
--------------------------------------------- ------------------------------
ไฟร์วอลล์ IPv4 "GUEST_OUT":
ใช้งานบน (eth2,OUT)
โปรโตแพ็กเก็ตการดำเนินการตามกฎเป็นไบต์
---- ------ ----- ------- -----
6001 ยอมรับทั้งหมด 7504 1268333
เงื่อนไข - พ่อ 192.168.253.0/24
10,000 ยอมรับทั้งหมด 0 0
--------------------------------------------- ------------------------------
ไฟร์วอลล์ IPv4 "LAN_IN":
เปิดใช้งานบน (eth1,IN)
โปรโตแพ็กเก็ตการดำเนินการตามกฎเป็นไบต์
---- ------ ----- ------- -----
2000 ปฏิเสธทั้งหมด 0 0
เงื่อนไข - สถานะไม่ถูกต้อง ใหม่ ที่เกี่ยวข้อง จัดตั้งขึ้น จับคู่-SRC--GROUP NETv4_eth2
จับคู่-DST--GROUP NETv4_eth1 ปฏิเสธด้วย icmp-port-ไม่สามารถเข้าถึงได้
6001 ยอมรับทั้งหมด 107548 8539102
เงื่อนไข - เศร้า 192.168.118.0/24
10,000 ยอมรับทั้งหมด 0 0
--------------------------------------------- ------------------------------
ไฟร์วอลล์ IPv4 "LAN_LOCAL":
เปิดใช้งานบน (eth1,LOCAL)
โปรโตแพ็กเก็ตการดำเนินการตามกฎเป็นไบต์
---- ------ ----- ------- -----
10,000 ยอมรับทั้งหมด 30710 2348326
--------------------------------------------- ------------------------------
ไฟร์วอลล์ IPv4 "LAN_OUT":
ใช้งานบน (eth1,OUT)
โปรโตแพ็กเก็ตการดำเนินการตามกฎเป็นไบต์
---- ------ ----- ------- -----
4000 ปฏิเสธทั้งหมด 0 0
เงื่อนไข - สถานะไม่ถูกต้อง ใหม่ ที่เกี่ยวข้อง จัดตั้งขึ้น จับคู่-SRC--GROUP NETv4_eth1
จับคู่-DST--GROUP NETv4_eth2 ปฏิเสธด้วย icmp-port-ไม่สามารถเข้าถึงได้
6001 ยอมรับทั้งหมด 69747 81090972
เงื่อนไข - พ่อ 192.168.118.0/24
10,000 ยอมรับทั้งหมด 0 0
--------------------------------------------- ------------------------------
ไฟร์วอลล์ IPv4 "WAN_IN":
ใช้งานบน (eth0,IN)
โปรโตแพ็กเก็ตการดำเนินการตามกฎเป็นไบต์
---- ------ ----- ------- -----
3001 ยอมรับทั้งหมด 76607 82323027
เงื่อนไข - รัฐที่เกี่ยวข้องจัดตั้งขึ้น
3002 ทิ้งทั้งหมด 0 0
เงื่อนไข - สถานะไม่ถูกต้อง
3003 ยอมรับ tcp 65 3404
เงื่อนไข - daddr lemur.dmz.XXX.XXX tcp dpt:http
3004 ยอมรับ tcp 47 2472
เงื่อนไข - daddr lemur.dmz.XXX.XXX tcp dpt:https
3005 ยอมรับ tcp 481 28276
เงื่อนไข - daddr lemur.dmz.XXX.XXX tcp dpt:ssh
10,000 ลดลงทั้งหมด 0 0
--------------------------------------------- ------------------------------
ไฟร์วอลล์ IPv4 "WAN_LOCAL":
เปิดใช้งานบน (eth0,LOCAL)
โปรโตแพ็กเก็ตการดำเนินการตามกฎเป็นไบต์
---- ------ ----- ------- -----
3001 ยอมรับทั้งหมด 6498 791616
เงื่อนไข - รัฐที่เกี่ยวข้องจัดตั้งขึ้น
3002 วางทั้งหมด 76 5449
เงื่อนไข - สถานะไม่ถูกต้อง
10,000 ลดทั้งหมด 1384 67100
--------------------------------------------- ------------------------------
ไฟร์วอลล์ IPv4 "WAN_OUT":
ใช้งานบน (eth0,OUT)
โปรโตแพ็กเก็ตการดำเนินการตามกฎเป็นไบต์
---- ------ ----- ------- -----
4000 ปฏิเสธทั้งหมด 48670 3341424
เงื่อนไข - สถานะไม่ถูกต้อง, ใหม่, ที่เกี่ยวข้อง, สร้างขึ้นตรง-SRC-ADDR-GROUP 6042f0f
26ca20408a0bf892f ปฏิเสธด้วย icmp-port-ไม่สามารถเข้าถึงได้
10,000 รับทั้งหมด 67739 7082221
--------------------------------------------- ------------------------------
ไฟร์วอลล์ IPv6 "AUTHORIZED_GUESTSv6":
ไม่ใช้งาน - ไม่นำไปใช้กับอินเทอร์เฟซ โซน หรือการตรวจสอบเนื้อหา
โปรโตแพ็กเก็ตการดำเนินการตามกฎเป็นไบต์
---- ------ ----- ------- -----
10,000 ลดลงทั้งหมด 0 0
--------------------------------------------- ------------------------------
ไฟร์วอลล์ IPv6 "GUESTv6_IN":
ใช้งานบน (eth2,IN)
โปรโตแพ็กเก็ตการดำเนินการตามกฎเป็นไบต์
---- ------ ----- ------- -----
3001 ทิ้งทั้งหมด 0 0
เงื่อนไข - จับคู่ชุด Corporate_networkv6 dst
10,000 รับทั้งหมด 25 2256
--------------------------------------------- ------------------------------
ไฟร์วอลล์ IPv6 "GUESTv6_LOCAL":
เปิดใช้งานบน (eth2,LOCAL)
โปรโตแพ็กเก็ตการดำเนินการตามกฎเป็นไบต์
---- ------ ----- ------- -----
3001 ยอมรับ udp 0 0
เงื่อนไข - udp dpt:domain
3002 ยอมรับ icmp 0 0
10,000 ลดทั้งหมด 618 48352
--------------------------------------------- ------------------------------
ไฟร์วอลล์ IPv6 "GUESTv6_OUT":
ใช้งานบน (eth2,OUT)
โปรโตแพ็กเก็ตการดำเนินการตามกฎเป็นไบต์
---- ------ ----- ------- -----
10,000 ยอมรับทั้งหมด 114 9064
--------------------------------------------- ------------------------------
ไฟร์วอลล์ IPv6 "LANv6_IN":
เปิดใช้งานบน (eth1,IN)
โปรโตแพ็กเก็ตการดำเนินการตามกฎเป็นไบต์
---- ------ ----- ------- -----
10,000 รับทั้งหมด 78533 8511294
--------------------------------------------- ------------------------------
ไฟร์วอลล์ IPv6 "LANv6_LOCAL":
เปิดใช้งานบน (eth1,LOCAL)
โปรโตแพ็กเก็ตการดำเนินการตามกฎเป็นไบต์
---- ------ ----- ------- -----
10,000 ยอมรับทั้งหมด 837 140990
--------------------------------------------- ------------------------------
ไฟร์วอลล์ IPv6 "LANv6_OUT":
ใช้งานบน (eth1,OUT)
โปรโตแพ็กเก็ตการดำเนินการตามกฎเป็นไบต์
---- ------ ----- ------- -----
10,000 รับทั้งหมด 130345 168214132
--------------------------------------------- ------------------------------
ไฟร์วอลล์ IPv6 "WANv6_IN":
ใช้งานบน (eth0,IN)
โปรโตแพ็กเก็ตการดำเนินการตามกฎเป็นไบต์
---- ------ ----- ------- -----
2000 ยอมรับ ipv6-icmp 0 0
เงื่อนไข - สถานะใหม่, ที่เกี่ยวข้อง, สร้างแล้ว ที่อยู่ ipv6-icmp ไม่สามารถเข้าถึงได้
2544 ยอมรับ ipv6-icmp 0 0
เงื่อนไข - สถานะ ใหม่ ที่เกี่ยวข้อง จัดตั้งขึ้น ipv6-icmp แพ็กเก็ตใหญ่เกินไป
2002 ยอมรับ ipv6-icmp 1 108
เงื่อนไข - สถานะ ใหม่ ที่เกี่ยวข้อง จัดตั้งขึ้น ipv6-icmp เกินเวลา
2546 ยอมรับ ipv6-icmp 0 0
เงื่อนไข - สถานะใหม่ที่เกี่ยวข้องสร้างปัญหาพารามิเตอร์ ipv6-icmp
2547 ยอมรับ tcp 0 0
เงื่อนไข - จับคู่-DST--GROUP 620f1fefada79301557fab76 จับคู่ชุด 620f1fd7ada793
01557fab75 dst LOG เปิดใช้งาน
3001 ยอมรับทั้งหมด 40640 50664212
เงื่อนไข - รัฐที่เกี่ยวข้องจัดตั้งขึ้น
3002 ลดทั้งหมด 15 900
เงื่อนไข - สถานะไม่ถูกต้อง
10,000 ลดลงทั้งหมด 38 4528
--------------------------------------------- ------------------------------
ไฟร์วอลล์ IPv6 "WANv6_LOCAL":
เปิดใช้งานบน (eth0,LOCAL)
โปรโตแพ็กเก็ตการดำเนินการตามกฎเป็นไบต์
---- ------ ----- ------- -----
3001 ยอมรับ ipv6-icmp 187 13464
เงื่อนไข - โฆษณาเพื่อนบ้าน ipv6-icmp
3002 ยอมรับ ipv6-icmp 0 0
เงื่อนไข - การชักชวนเพื่อนบ้าน ipv6-icmp
3003 ยอมรับทั้งหมด 43 5272
เงื่อนไข - รัฐที่เกี่ยวข้องจัดตั้งขึ้น
3004 ยอมรับ udp 20 3460
เงื่อนไข - udp spt:dhcpv6-server dpt:dhcpv6-client
3005 ยอมรับ ipv6-icmp 40 2880
เงื่อนไข - โฆษณาเราเตอร์ ipv6-icmp
3006 ทิ้งทั้งหมด 0 0
เงื่อนไข - สถานะไม่ถูกต้อง
10,000 ลดลงทั้งหมด 60 6240
--------------------------------------------- ------------------------------
ไฟร์วอลล์ IPv6 "WANv6_OUT":
ใช้งานบน (eth0,OUT)
โปรโตแพ็กเก็ตการดำเนินการตามกฎเป็นไบต์
---- ------ ----- ------- -----
2000 ยอมรับ tcp 0 0
เงื่อนไข - จับคู่-DST--GROUP 620f1fefada79301557fab76 จับคู่ชุด 620f1fd7ada793
01557fab75 dst
10,000 รับทั้งหมด 78479 8507790
และจากเซิร์ฟเวอร์:
# /sbin/ifconfig
bond0: flags=5187<UP,BROADCAST,RUNNING,MASTER,MULTICAST> mtu 1500
inet 192.168.118.254 netmask 255.255.255.0 ออกอากาศ 192.168.118.255
inet6 fe80::508d:a7ff:fe73:e07a คำนำหน้า 64 scopeid 0x20<ลิงค์>
inet6 XXXX:XXXX:8b:2:508d:a7ff:fe73:e07a คำนำหน้า 64 scopeid 0x0<ทั่วโลก>
อีเธอร์ 52:8d:a7:73:e0:7a txqueuelen 1000 (อีเธอร์เน็ต)
แพ็กเก็ต RX 3638275406 ไบต์ 4719003770323 (4.2 TiB)
ข้อผิดพลาด RX 0 ลดลง 8 โอเวอร์รัน 0 เฟรม 0
แพ็กเก็ต TX 2162159554 ไบต์ 190882816640 (177.7 GiB)
ข้อผิดพลาด TX 0 หลุด 0 โอเวอร์รัน 0 พาหะ 0 ชนกัน 0
พันธบัตร 0:0: ค่าสถานะ = 5187<UP,BROADCAST,RUNNING,MASTER,MULTICAST> mtu 1500
inet 192.168.118.2 netmask 255.255.255.0 ออกอากาศ 192.168.118.255
อีเธอร์ 52:8d:a7:73:e0:7a txqueuelen 1000 (อีเธอร์เน็ต)
enp2s0f0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.253.2 netmask 255.255.255.0 ออกอากาศ 192.168.253.255
inet6 fe80::d685:64ff:fe6b:703c คำนำหน้า 64 scopeid 0x20<link>
inet6 XXXX:XXXX:8b:1:d685:64ff:fe6b:703c คำนำหน้า 64 scopeid 0x0<ทั่วโลก>
อีเธอร์ d4:85:64:6b:70:3c txqueuelen 1000 (อีเธอร์เน็ต)
แพ็คเก็ต RX 4407 ไบต์ 711568 (694.8 KiB)
ข้อผิดพลาด RX 0 หลุด 0 โอเวอร์รัน 0 เฟรม 0
แพ็กเก็ต TX 5408 ไบต์ 1111010 (1.0 MiB)
ข้อผิดพลาด TX 0 หลุด 0 โอเวอร์รัน 0 พาหะ 0 ชนกัน 0
เส้นทาง # ip -6
:: 1 dev lo เคอร์เนลโปรโตเมตริก 256 pref สื่อ
XXXX:XXXX:8b:1::/64 dev enp2s0f0 proto kernel metric 256 หมดอายุ 86107sec pref medium
XXXX:XXXX:8b:2::/64 dev bond0 proto kernel metric 256 หมดอายุ 86289sec pref medium
fe80::/64 dev bond0 proto kernel metric 256 pref สื่อ
fe80::/64 dev enp2s0f0 เคอร์เนลโปรโตเมตริก 256 pref สื่อ
เริ่มต้นผ่าน XXXX:XXXX:b9ff:fedf:d9b9 dev bond0 proto ra metric 1024 หมดอายุ 1689 วินาที hoplimit 64 pref high
ค่าเริ่มต้นผ่าน XXXX:XXXX:b9ff:fedf:d9ba dev enp2s0f0 proto ra metric 1024 หมดอายุ 1507 วินาที hoplimit 64 pref high
# cat /etc/network/interfaces
อัตโนมัติ lo bond0 enp2s0f0
## อินเทอร์เฟซเครือข่ายย้อนกลับ
iface lo inet ย้อนกลับ
## NBN ผ่าน USG
ไอเฟซ enp2s0f0 inet dhcp
iface enp2s0f0 inet6 อัตโนมัติ
## ระบบแลน
iface bond0 inet คงที่
ที่อยู่ 192.168.118.254
เน็ตมาสก์ 255.255.255.0
ทาส enp2s0f1 enp3s0f0
โหมดพันธบัตรสมดุล rr
พันธบัตร-miimon 100
บอนด์ดาวน์ดีเลย์ 200
พันธบัตรปรับปรุง 200
iface bond0 inet6 อัตโนมัติ
## อย่าใช้พันธบัตรเป็นเกตเวย์เริ่มต้น
ยอมรับ_ra 0
post-up ip -6 เส้นทาง del เริ่มต้นผ่าน fe80::76ac:b9ff:fedf:d9b9 dev bond0
## แคช
ออโต้บอนด์0:0
iface bond0:0 inet สแตติก
ที่อยู่ 192.168.118.2
เน็ตมาสก์ 255.255.255.0
คำถามของฉัน: เหตุใดจึงไม่สามารถเข้าถึงอุปกรณ์อื่น (ผ่าน IPv6) บนลิงก์ enp2s0f0/LAN2 นี้
คำถามนี้ ดูเหมือนจะมีวัตถุประสงค์ที่เทียบเคียงได้ แต่น่าเสียดายที่ไม่ได้รับคำตอบ
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
