Estoy buscando obtener paquetes de una subred a otra a más de un salto de distancia; toma por ejemplo:
[ 192.168.0.4 ] - - - > [ 192.168.10.11 ] - - - > [ 172.23.100.13 ]
Me gustaría que 192.168.0.4 se conectara a 172.23.100.13, pero el problema es:
# ip route add 172.23.100.13/32 via 192.168.10.11
Error: Nexthop has invalid gateway.
Según tengo entendido, Error: Nexthop has invalid gateway.significa "no puedes hacer eso porque 192.168.10.11 no está en la red 192.168.0.0/24, que es la red en la que estás".
Mi pregunta es si esto es posible con las reglas de iptables; Supongo que es posible, pero todavía no he podido hacer que todo funcione. Después de leer un poco, intenté establecer una regla nat PREROUTING para enviar paquetes que van de 172.23.100.13 a 192.168.10.11:
# iptables -t nat -A PREROUTING -d 172.23.100.13 -j DNAT --to-destination 192.168.10.11
Lamentablemente no pasa nada. Ni siquiera estoy seguro de cómo realizar la depuración. Yo he tratado:
# iptables -t nat -A PREROUTING -d 172.23.100.13 -j LOG
pero no aparece nada en los logs
También probé tcpdump:
tcpdump -i <interface> -vv | egrep '(172.23.109.13|192.168.10.11)’ &
pero solo obtienes la siguiente línea repetida:
192.168.0.4.43898 > 172.23.100.13.8000: Flags [S], cksum 0x2374 (incorrect -> 0xa00f), seq 573960788, win 62727, options [mss 8961,sackOK,TS val 1537225626 ecr 0,nop,wscale 7], length 0
¿Es este el enfoque correcto? ¿Alguna pista sobre qué comprobar?
¡Gracias!
Respuesta1
Descubrí la pieza que faltaba en este rompecabezas. La máquina 192.168.10.11puede enviar paquetes 172.23.100.13porque hay lo que parece ser una interfaz VXLAN para la 172.23.100.0/24red; por lo tanto, volvamos al requisito fundamental de que dos redes deben estar conectadas en una máquina para poder enrutarse a ellas.