Paquetes marcianos después de conectarse con el cliente openvpn

tag-icon tag-icon iptables routing openvpn
Paquetes marcianos después de conectarse con el cliente openvpn

Fondo:

Me conecto a un servidor a través de un cliente openvpn (v2.4.4) desde la línea de comando detrás de un enrutador residencial que ejecuta OpenWRT.

Últimamente, he estado viendo lo siguiente en mi syslog:

Aug  8 17:16:28 Deluxe kernel: [12972.603549] IPv4: martian source 192.168.1.100 from 34.210.182.212, on dev eno1
Aug  8 17:16:28 Deluxe kernel: [12972.603572] ll header: 00000000: d0 17 c2 ac 64 4b c4 e9 84 48 79 32 08 00        ....dK...Hy2..
Aug  8 17:16:28 Deluxe kernel: [12972.910801] IPv4: martian source 192.168.1.100 from 34.210.182.212, on dev eno1
Aug  8 17:16:28 Deluxe kernel: [12972.910822] ll header: 00000000: d0 17 c2 ac 64 4b c4 e9 84 48 79 32 08 00        ....dK...Hy2..
Aug  8 17:16:28 Deluxe kernel: [12973.230932] IPv4: martian source 192.168.1.100 from 34.210.182.212, on dev eno1
Aug  8 17:16:28 Deluxe kernel: [12973.230953] ll header: 00000000: d0 17 c2 ac 64 4b c4 e9 84 48 79 32 08 00        ....dK...Hy2..

La primera dirección MAC de la ll headerlínea es mi NIC, la segunda es una interfaz Ethernet en el enrutador.

Mi tabla de rutas se ve así antes de conectarme:

[2020-08-08 ☱ 18:35 ☴]$ route -n
Kernel IP routing table                                                        
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface  
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 eno1   
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eno1

Y se ve así poco después de conectarse:

[2020-08-08 ☱ 18:35 ☴]$ route -n                                                
Kernel IP routing table                                                             
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface       
0.0.0.0         10.25.40.1      128.0.0.0       UG    0      0        0 tun0        
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 eno1        
10.25.40.0      0.0.0.0         255.255.255.0   U     0      0        0 tun0        
128.0.0.0       10.25.40.1      128.0.0.0       UG    0      0        0 tun0        
185.228.19.148  192.168.1.1     255.255.255.255 UGH   0      0        0 eno1        
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eno1

La IP del host que aparece en segundo lugar desde abajo es la puerta de enlace VPN. El tun0adaptador está configurado así:inet 10.25.40.244 netmask 255.255.255.0 destination 10.25.40.244

Después de tres a cinco minutos, el tráfico marciano disminuirá y aparecerá con poca frecuencia.

Probé la conexión openvpnsin el enrutador instalado (conectándome directamente a mi módem) y ocurre lo mismo.

Me estoy arriesgando aquí, pero parece que, cuando hay un cambio abrupto en el enrutamiento (como ocurre con una conexión VPN iniciada por el usuario), las conexiones establecidas/relacionadas persisten y se descartan como no válidas. Con el tiempo, estas conexiones desaparecen.

Preguntas:

  1. ¿Es correcta mi comprensión de la causa de los paquetes marcianos?
  2. Si quiero evitar que se caigan estos paquetes, ¿cómo puedo hacerlo? Por ejemplo, ¿podría utilizar las tablas nato para dirigir estos paquetes a la interfaz?mangleiptablestun

Respuesta1

  1. Su comprensión es correcta.
  2. En mi caso, simplemente dejé de registrar dichos paquetes. Incluso si se trata de un ataque, no funcionará porque el enrutamiento impedirá que tenga éxito:
net.ipv4.conf.all.log_martians = 0

información relacionada