[Freifunk Franken] Konfigurationsfrage: Gateway in VM, OLSR sieht keine Gegenstelle
Robert
rlanghammer at web.de
Do Sep 29 10:42:42 CEST 2016
Hallo Miki,
was würde dich denn eine weiter IP für die VM kosten? Das wäre die
einfachere Lösung.
Was mir auffällt, dass keine Pakete durch die snat rules gehen, alles
geht über masquerading. Wenn ich mich richtig erinnere, verbiegt
masquerading die sports wie es will. Oder war zu dem Zeitpunkt fastd
noch nicht an? Von den Routern kommt ja was (1. DNAT rule)
Am 29.09.2016 um 00:12 schrieb Miki:
> Statusmeldung:
>
> Unverändert ist der Traffic gewaltig. Weiterhin habe ich erstmal nur
> mit FastD getestet, weil dort der Traffic noch zumindest ein paar
> Minuten Testen ermöglicht. Weiterhin sehe ich als wahrscheinlichste
> Möglichkeiten eine Loop in der NAT-Konfiguration oder die bereits von
> Euch erwähnte versehentliche Zusammenschaltung des Freifunk Netzes mit
> eth0. Welche Konfigurationsdateien kommen für so eine fehlerhafte
> Zusammenschaltung in Frage? (Die aktuellen iptables-Regeln sind unten
> angehängt, die grünen Einträge werden automatisch von QEMU gesetzt.
> Port 10004 müsste natürlich auf ACCEPT stehen statt auf DROP.)
>
> In "|/etc/network/interfaces|" ist auf dem Host von Hetzner eine
> statische Internetverbindung für "eth0" eingerichtet. In der
> Virtuellen Maschine ist "eth0" über DHCP eingerichtet. Könnte das ein
> Problem sein? Ich hatte testweise mal eine statische Verbindung
> konfiguriert, ohne dass sich was verbessert hätte. (Das ganze File ist
> unten angehängt.)
>
> # The primary network interface
> allow-hotplug eth0
> iface eth0 inet dhcp
>
> Viele Grüße,
> Miki
>
>
> Il 28.09.2016 01:46, Miki ha scritto:
>> Hallo,
>>
>> der aktuelle Stand kurz nach der Geisterstunde:
>>> wenn sich deine fff Tabelle füllt:
>>> ip route show table fff
>>> da sollten ein ganzer haufen Routen zu diversen 10.X.X.X und 172.X.X.X
>>> Netzen drinnen sein (deutlich mehr als 20)
>> nein, bisher weiterhin nur zwei: default via 10.114.0.1 dev tun0 und
>> 10.50.116.0/22 dev bat0 scope link
>>> oder auch wenn in beide Richtungen (RX und TX) Traffic darüber fliest.
>>>
>>> das heißt das du in keinem VPN bist das dein Batman spricht, wie in
>>> meiner vorherigen Mail gesagt werden vermutlich die Keys nicht passen.
>>> Entweder du nimmst den, den du vorher hast oder wir passen es im
>>> Keyxchange an.
>> Nachdem ich die Stelle gefunden habe, wo man den Secret Key eintragen
>> muss, habe ich mit "batctrl o" nun hunderte Einträge aus
>> [fffforchheimVPN].
>> Allerdings ist der Traffic gewaltig, nämlich ca. 7 GB pro Stunde.
>> Dafür, dass keinerlei Kommunikation mit Clients stattfindet, ist das
>> deutlich zu viel ... irgendwas muss noch falsch sein. Kennt das
>> Problem schon wer, vielleicht eine Loop?
>>
>> Möglicherweise interessante Beobachtung: Der Traffic besteht auch
>> dann fort, wenn ich "#(sleep 10; sh /etc/fastd/fff_start_fastd.sh) &"
>> und "#(sleep 60; sh /usr/local/bin/auto_start-stop_ovpn.sh) &" aus
>> der |vi /etc/rc.local |rausnehme ... also sowohl OpenVPN als auch
>> FastD nicht (!!!) laufen. Wo kommt der Traffic her?lll Das war
>> falsch beobachtet, OpenVPN startet eh automatisch und FastD wird
>> gemäß Wiki zusätzlich noch über einen Cronjob gestartet. Das
>> Auskommentieren war also wirkungslos.
>>
>> (nach ca. 7 Minuten...)
>>
>> Chain FORWARD (policy DROP 0 packets, 0 bytes)
>> pkts bytes target prot opt in out source
>> destination
>> 1018K 274M ACCEPT udp -- eth0 virbr0 0.0.0.0/0
>> 0.0.0.0/0 udp dpt:10004
>> 2246K 525M ACCEPT udp -- virbr0 eth0 0.0.0.0/0
>> 0.0.0.0/0 udp spt:10004
>>
>> Wenn ich die GRE Tunnel einschalte, werden sie nun auch angezeigt und
>> haben Traffic. Allerdings ist der Traffic so gewaltig, dass mir
>> eigentlich nur schnellstes Herunterfahren der VM bleibt: Die
>> Megabytes rasseln nur so durch.
>>
>> Abhilfe schafft lediglich Auskommentieren der entsprechenden
>> Interfaces in "|/etc/network/interfaces|".
>>
>> Viele Grüße,
>> Miki
>
> ------------------------------------------------------------------------
>
> # This file describes the network interfaces available on your system
> # and how to activate them. For more information, see interfaces(5).
>
> # The loopback network interface
> auto lo
> iface lo inet loopback
> iface lo inet6 loopback
>
> # The primary network interface
> allow-hotplug eth0
> iface eth0 inet dhcp
>
>
> ### Freifunk Franken
> # device: bat0
> iface bat0 inet manual
> post-up ifconfig $IFACE up
> ##Einschalten post-up:
> # IP des Gateways am B.A.T.M.A.N interface:
> post-up ip addr add 10.50.116.12/22 dev $IFACE
> # Regeln, wann die fff Routing-Tabelle benutzt werden soll:
> post-up ip rule add iif $IFACE table fff
> post-up ip rule add from 10.0.0.0/8 table fff
> post-up ip rule add to 10.0.0.0/8 table fff
> # Route in die Forchheimer Hood:
> post-up ip route add 10.50.116.0/22 dev $IFACE table fff
> # Start des DHCP Servers:
> post-up invoke-rc.d isc-dhcp-server restart
>
> ##Ausschalten post-down:
> # Loeschen von oben definieren Routen, Regeln und Interface:
> post-down ip route del 10.50.116.0/22 dev $IFACE table fff
> post-down ip rule del from 10.0.0.0/8 table fff
> post-down ip rule del to 10.0.0.0/8 table fff
> post-down ip rule del iif $IFACE table fff
> post-down ifconfig $IFACE down
>
> ## VPN Verbindung in die Forchheimer Hood
> iface fffforchheimVPN inet manual
> pre-up /sbin/ifconfig $IFACE mtu 1528
> post-up batctl -m bat0 if add $IFACE
> post-up ifconfig $IFACE up
> post-up ifup bat0
> post-down ifdown bat0
> post-down ifconfig $IFACE down
>
> ------------------------------------------------------------------------
>
> Chain PREROUTING (policy ACCEPT 13479 packets, 2532K bytes)
> pkts bytes target prot opt in out source
> destination
> 12997 2456K DNAT udp -- !virbr0 * 0.0.0.0/0
> 0.0.0.0/0 udp dpt:10004 to:192.168.122.42
> 6 360 DNAT tcp -- !virbr0 * 0.0.0.0/0
> 0.0.0.0/0 tcp dpt:8080 to:192.168.122.42
> 0 0 DNAT udp -- !virbr0 * 0.0.0.0/0
> 0.0.0.0/0 udp dpt:698 to:192.168.122.42
> 0 0 DNAT tcp -- !virbr0 * 0.0.0.0/0
> 0.0.0.0/0 tcp dpt:1723 to:192.168.122.42
> 0 0 DNAT 47 -- !virbr0 * 0.0.0.0/0
> 0.0.0.0/0 to:192.168.122.42
> 0 0 DNAT udp -- !virbr0 * 0.0.0.0/0
> 0.0.0.0/0 udp dpt:1300 to:192.168.122.42
> 1 60 DNAT tcp -- !virbr0 * 0.0.0.0/0
> 0.0.0.0/0 tcp dpt:2222 to:192.168.122.42:22
>
> Chain POSTROUTING (policy ACCEPT 293 packets, 18427 bytes)
> pkts bytes target prot opt in out source
> destination
> 0 0 SNAT udp -- * * 192.168.122.42
> 0.0.0.0/0 udp spt:10004 to:5.9.70.104
> 0 0 SNAT tcp -- * * 192.168.122.42
> 0.0.0.0/0 tcp spt:8080 to:5.9.70.104
> 0 0 SNAT udp -- * * 192.168.122.42
> 0.0.0.0/0 udp spt:698 to:5.9.70.104
> 0 0 SNAT tcp -- * * 192.168.122.42
> 0.0.0.0/0 tcp spt:1723 to:5.9.70.104
> 0 0 SNAT 47 -- * * 192.168.122.42
> 0.0.0.0/0 to:5.9.70.104
> 0 0 SNAT udp -- * * 192.168.122.42
> 0.0.0.0/0 udp spt:1300 to:5.9.70.104
> 0 0 RETURN all -- * * 192.168.122.0/24
> 224.0.0.0/24
> 0 0 RETURN all -- * * 192.168.122.0/24
> 255.255.255.255
> 40 2400 MASQUERADE tcp -- * * 192.168.122.0/24
> !192.168.122.0/24 masq ports: 1024-65535
> 14 746 MASQUERADE udp -- * * 192.168.122.0/24
> !192.168.122.0/24 masq ports: 1024-65535
> 3 252 MASQUERADE all -- * * 192.168.122.0/24
> !192.168.122.0/24
>
> Chain FORWARD (policy DROP 0 packets, 0 bytes)
> pkts bytes target prot opt in out source
> destination
> 13781 2604K DROP udp -- eth0 virbr0 0.0.0.0/0
> 192.168.122.42 udp dpt:10004
> 13943 2635K DROP udp -- virbr0 eth0 192.168.122.42
> 0.0.0.0/0 udp spt:10004
> 6 360 ACCEPT tcp -- eth0 virbr0 0.0.0.0/0
> 192.168.122.42 tcp dpt:8080
> 6 240 ACCEPT tcp -- virbr0 eth0 192.168.122.42
> 0.0.0.0/0 tcp spt:8080
> 0 0 ACCEPT udp -- eth0 virbr0 0.0.0.0/0
> 192.168.122.42 udp dpt:698
> 0 0 ACCEPT udp -- virbr0 eth0 192.168.122.42
> 0.0.0.0/0 udp spt:698
> 0 0 ACCEPT tcp -- eth0 virbr0 0.0.0.0/0
> 192.168.122.42 tcp dpt:1723
> 0 0 ACCEPT tcp -- virbr0 eth0 192.168.122.42
> 0.0.0.0/0 tcp spt:1723
> 0 0 ACCEPT 47 -- eth0 virbr0 0.0.0.0/0
> 192.168.122.42
> 0 0 ACCEPT 47 -- virbr0 eth0 192.168.122.42
> 0.0.0.0/0
> 0 0 ACCEPT udp -- eth0 virbr0 0.0.0.0/0
> 192.168.122.42 udp dpt:1300
> 0 0 ACCEPT udp -- virbr0 eth0 192.168.122.42
> 0.0.0.0/0 udp spt:1300
> 1 60 ACCEPT tcp -- * virbr0 0.0.0.0/0
> 192.168.122.42 tcp dpt:22 ctstate NEW
> 0 0 DROP all -- virbr0 eth0 !192.168.122.42
> 0.0.0.0/0
> 22529 4697K DROP udp -- eth0 virbr0 0.0.0.0/0
> 192.168.122.42 udp dpt:10004
> 18304 3459K DROP udp -- virbr0 eth0 192.168.122.42
> 0.0.0.0/0 udp spt:10004
> 0 0 ACCEPT udp -- eth0 virbr0 0.0.0.0/0
> 192.168.122.42 udp dpt:1300
> 0 0 ACCEPT udp -- virbr0 eth0 192.168.122.42
> 0.0.0.0/0 udp spt:1300
> 178K 42M ACCEPT all -- * virbr0 0.0.0.0/0
> 192.168.122.0/24 ctstate RELATED,ESTABLISHED
> 8319 2937K ACCEPT all -- virbr0 * 192.168.122.0/24
> 0.0.0.0/0
> 0 0 ACCEPT all -- virbr0 virbr0 0.0.0.0/0
> 0.0.0.0/0
> 1 60 REJECT all -- * virbr0 0.0.0.0/0
> 0.0.0.0/0 reject-with icmp-port-unreachable
> 0 0 REJECT all -- virbr0 * 0.0.0.0/0
> 0.0.0.0/0 reject-with icmp-port-unreachable
>
>
>
> _______________________________________________
> franken mailing list
> franken at freifunk.net
> http://lists.freifunk.net/mailman/listinfo/franken-freifunk.net
Mehr Informationen über die Mailingliste franken