Ich möchte Pakete von einem Subnetz zu einem anderen übertragen, das mehr als einen Hop entfernt ist. Nehmen wir zum Beispiel:
[ 192.168.0.4 ] - - - > [ 192.168.10.11 ] - - - > [ 172.23.100.13 ]
Ich möchte, dass 192.168.0.4 eine Verbindung zu 172.23.100.13 herstellt, aber das Problem ist:
# ip route add 172.23.100.13/32 via 192.168.10.11
Error: Nexthop has invalid gateway.
So wie ich es verstehe, Error: Nexthop has invalid gateway.bedeutet das: „Das können Sie nicht tun, da 192.168.10.11 nicht im Netzwerk 192.168.0.0/24 liegt, also dem Netzwerk, in dem Sie sich befinden.“
Meine Frage ist, ob dies mit iptables-Regeln möglich ist. Ich gehe davon aus, dass es möglich ist, aber ich habe es bisher nicht geschafft, die Dinge zum Laufen zu bringen. Nachdem ich einiges gelesen hatte, versuchte ich, eine PREROUTING-NAT-Regel festzulegen, um Pakete, die an 172.23.100.13 gehen, an 192.168.10.11 zu senden:
# iptables -t nat -A PREROUTING -d 172.23.100.13 -j DNAT --to-destination 192.168.10.11
Leider passiert nichts. Ich bin mir nicht einmal sicher, wie ich das Debuggen angehen soll. Ich habe Folgendes versucht:
# iptables -t nat -A PREROUTING -d 172.23.100.13 -j LOG
aber in den Protokollen erscheint nichts
Ich habe auch tcpdump ausprobiert:
tcpdump -i <interface> -vv | egrep '(172.23.109.13|192.168.10.11)’ &
sondern erhalte nur die folgende sich wiederholende Zeile:
192.168.0.4.43898 > 172.23.100.13.8000: Flags [S], cksum 0x2374 (incorrect -> 0xa00f), seq 573960788, win 62727, options [mss 8961,sackOK,TS val 1537225626 ecr 0,nop,wscale 7], length 0
Ist das der richtige Ansatz? Gibt es Hinweise, worauf zu achten ist?
Danke schön!
Antwort1
Ich habe das fehlende Teil dieses Puzzles entdeckt. Die Maschine 192.168.10.11kann Pakete senden, 172.23.100.13weil es anscheinend eine VXLAN-Schnittstelle für das 172.23.100.0/24Netzwerk gibt. Damit kommen wir zurück zur grundlegenden Anforderung, dass zwei Netzwerke auf einer Maschine verbunden sein müssen, um Daten an sie weiterleiten zu können.