Debian 10 - statische Route überschreibt nicht die Standardeinstellung

tag-icon tag-icon linux networking routing lxc iproute2
Debian 10 - statische Route überschreibt nicht die Standardeinstellung

Mein /etc/network/interfaces:

auto lo
iface lo inet loopback

auto wan
iface wan inet static
        address $myPublicIP
        netmask $ispSubnet
        gateway $ispGateway

auto vpn
iface vpn inet static
        address 10.102.1.194
        netmask 255.255.255.192
        up ip route add 192.168.10.32/27 via 10.102.1.196 dev vpn src 10.102.1.194 metric 10
        up ip route add 192.168.11.0/24 via 10.102.1.196 dev vpn src 10.102.1.194 metric 10

ip rzeigt wie erwartet:

default via $wanGateway dev wan onlink 
$wanGateway/$wanCIDR dev wan proto kernel scope link src $wanIP 
10.102.1.192/26 dev vpn proto kernel scope link src 10.102.1.194 
192.168.10.32/27 via 10.102.1.196 dev vpn src 10.102.1.194 metric 10 
192.168.11.0/24 via 10.102.1.196 dev vpn src 10.102.1.194 metric 10

Aber auch nach dem Neustart läuft der Datenverkehr über das LAN- vpnGateway (auch bekannt als ) 10.102.1.193/27:

traceroute to 192.168.11.2 (192.168.11.2), 30 hops max, 60 byte packets
 1  10.102.1.193 (10.102.1.193)  368.435 ms  368.370 ms  368.316 ms^C

Dies ist ein Debian 10 LXC-Container unter Proxmox VE 6.0-9. Ist das der Übeltäter oder übersehe ich da etwas? Ich habe versuchtdiese Antwort, aber aus irgendeinem Grund hat es nicht funktioniert – das Hinzufügen einer Tabelle und/oder einer IP-Regel hat keine Auswirkungen auf das Ergebnis.

Antwort1

Die Tatsache, dass es keine Route gibt, die 10.102.1.193als Gateway in aufgeführt ist ip r, und die Tatsache, dass der Schnittstellenname lautet vpn, lässt mich fragen, ob es sich tatsächlich um ein tun(oder irgendetwas auf Ebene/Schicht 3) handelt. In diesem Fall würde der viaTeil der Routen keinen Unterschied machen, da kein ARP/MAC beteiligt ist.

Beispielsweise besteht die Möglichkeit, bei OpenVPN (mit tun) einen Client als Gateway zu verwenden, darin, ein client-to-cliententsprechendes Push zu aktivieren und hinzuzufügen (oder auf einem Client zu konfigurieren), sodass der VPN-Server weiß, wohin (d. h. an welchen Client) der Datenverkehr geleitet werden soll (anstatt ihn auf seinem eigenen Host „rauszulassen“).irouteroute

Obwohl das VPN ein Multi-Client-Setup zu sein scheint, konfigurieren Sie die Adresse damit und mit OpenVPN normalerweise nicht auf diese Weise (da Sie tatsächlich iroutedie Adresse festlegen müssen, sonst würde der Server nicht einmal auf Ihren Ping durch den Tunnel antworten). Vielleicht ist das also nur meine wilde Vermutung (oder Sie machen alles falsch).

verwandte Informationen