Почему трафик может пойти через гейт в другой подсети?

Question

[Vilgelm]

Дано: есть несколько виртуальных машин, которые функционируют по принципу Whonix.

Выглядит это так:

Есть виртуальная машина-клиент на Windows (разных версий), которая имеет только один сетевой интерфейс - внутреннюю сеть хоста (vboxnetX). Для машины-клиента машина-роутер выступает в качестве гейта, настройки сети заданы вручную, DHCP на внутренней сети хоста отключен, IPv6 не настроен.

Вывод ipconfig с машины-клиента

Ethernet adapter Local Area Connection:
 
   Connection-specific DNS Suffix  . :
   IPv4 Address. . . . . . . . . . . : 192.168.59.3
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 192.168.59.2

Есть виртуальная машина, которая выступает в качестве роутера на Debian 8. Она имеет два активных сетевых интерфейса: первый - это Virtualbox NAT (интерфейс eth0), который смотрит в интернет, второй - внутренняя сеть хоста (vboxnetX, интерфейс eth1). Внутри этой машины крутится клиент OpenVPN (интерфейс tun0), а так же настроен iptables таким образом, чтобы трафик который прилетал на vboxnetX переадресовывался в tun0.

iptables -t nat -L

Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DNAT       tcp  --  anywhere             192.168.0.105        tcp dpt:3389 to:192.168.59.3
DNAT       udp  --  anywhere             192.168.0.105        udp dpt:3389 to:192.168.59.3

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  192.168.59.0/24      anywhere

Содержимое rules.v4 из пакета iptables-persistent

# Generated by iptables-save v1.4.21 on Tue Jan 10 06:34:32 2017
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -d 192.168.0.105/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.59.3
-A PREROUTING -d 192.168.0.105/32 -p udp -m udp --dport 3389 -j DNAT --to-destination 192.168.59.3
-A POSTROUTING -s 192.168.59.0/24 -o tun0 -j MASQUERADE
COMMIT
# Completed on Tue Jan 10 06:34:32 2017
# Generated by iptables-save v1.4.21 on Tue Jan 10 06:34:32 2017
*filter
:INPUT ACCEPT [22:1576]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [13:2428]
-A FORWARD -d 192.168.59.3/32 -i eth0 -o eth1 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -d 192.168.59.3/32 -i eth0 -o eth1 -p udp -m udp --dport 3389 -j ACCEPT
COMMIT
# Completed on Tue Jan 10 06:34:32 2017

ifconfig

eth0      Link encap:Ethernet  HWaddr 08:00:27:62:93:74
          inet addr:10.0.2.15  Bcast:10.0.2.255  Mask:255.255.255.0
          inet6 addr: fe80::a00:27ff:fe62:9374/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:77680 errors:0 dropped:0 overruns:0 frame:0
          TX packets:78106 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:47807022 (45.5 MiB)  TX bytes:16905507 (16.1 MiB)

eth1      Link encap:Ethernet  HWaddr 08:00:27:d5:fb:77
          inet addr:192.168.59.2  Bcast:192.168.59.255  Mask:255.255.255.0
          inet6 addr: fe80::a00:27ff:fed5:fb77/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:84768 errors:0 dropped:0 overruns:0 frame:0
          TX packets:75861 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:12748244 (12.1 MiB)  TX bytes:42846609 (40.8 MiB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.8.0.6  P-t-P:10.8.0.5  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:72307 errors:0 dropped:0 overruns:0 frame:0
          TX packets:76625 errors:0 dropped:1248 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:41513425 (39.5 MiB)  TX bytes:10803026 (10.3 MiB)

Схематично сеть выглядит так:


Таких машин много (около 15), для каждой группы (роутер+клиент) выделен свой отдельный виртуальный адаптер (отдельная сеть).

Все это прекрасно работало годами, однако вчера я заметил что на одной из машин (192.168.64.3) после запуска по какой-то причине вышла в сеть через гейт расположенный по адресу 192.168.58.2 (и соответственно внешний IP адрес показывался от VPN поднятой на этой машине-роутере).

Как оказалось на машине роутере 192.168.58.2 я забыл закомментировать в правилах iptables строчку, которая редиректила трафик с 192.168.64.0/24 в VPN, поэтому пришедший трафик из чужой сети был обработан, однако как в принципе возможна ситуация, при которой при ручных настройках сети трафик может пойти через гейт в другой сети, при том что нигде в настройках машины-клиента он не указан?

Буду признателен за любые догадки.

Comments

[hint000]

Вывод ipconfig с машины-клиента...

Покажите ipconfig с проблемного клиента. Зачем показывать ipconfig с другой машины?

[Vilgelm]

hint000, показываю:

ipconfig /all

Windows-IP-Konfiguration

   Hostname  . . . . . . . . . . . . : DESKTOP-8BKKRPN
   Primäres DNS-Suffix . . . . . . . :
   Knotentyp . . . . . . . . . . . . : Hybrid
   IP-Routing aktiviert  . . . . . . : Nein
   WINS-Proxy aktiviert  . . . . . . : Nein

Ethernet-Adapter Ethernet:

   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Intel(R) PRO/1000 MT Desktop Adapter
   Physische Adresse . . . . . . . . : 08-00-27-60-88-70
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
   IPv4-Adresse  . . . . . . . . . . : 192.168.64.3(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Standardgateway . . . . . . . . . : 192.168.64.2
   DNS-Server  . . . . . . . . . . . : 192.168.64.2
                                       1.1.1.1
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

[hint000]

Vilgelm, действительно, ничего интересного (кроме немецкого интерфейса). Попробуем зайти с другой стороны.

однако вчера я заметил что на одной из машин (192.168.64.3) после запуска по какой-то причине вышла в сеть через гейт расположенный по адресу 192.168.58.2 (и соответственно внешний IP адрес показывался от VPN поднятой на этой машине-роутере).

Вот в этом месте можно чуть подробнее? Заметили это только по внешнему адресу? route print смотрели? не мог ли как-то образоваться маршрут 192.168.64.3 -- 192.168.64.2 -- 192.168.58.2 ?

route print на 192.168.64.3 и route print на 192.168.64.2 - надеюсь, добавит ясности.

[Vilgelm]

hint000, заметил только по внешнему адресу (на 2ip.ru). детально копать сразу не стал, потому что такие ситуации критичны для моих целей, пришлось резко завершить работу. собственно вожусь я с этим чтобы понять не могла ли такая ситуация возникнуть на других машинах и оценить предполагаемый ущерб.

route pring на 64.3

===========================================================================
Schnittstellenliste
  7...08 00 27 60 88 70 ......Intel(R) PRO/1000 MT Desktop Adapter
  1...........................Software Loopback Interface 1
===========================================================================

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0     192.168.64.2     192.168.64.3    281
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    331
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    331
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    331
     192.168.64.0    255.255.255.0   Auf Verbindung      192.168.64.3    281
     192.168.64.3  255.255.255.255   Auf Verbindung      192.168.64.3    281
   192.168.64.255  255.255.255.255   Auf Verbindung      192.168.64.3    281
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    331
        224.0.0.0        240.0.0.0   Auf Verbindung      192.168.64.3    281
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    331
  255.255.255.255  255.255.255.255   Auf Verbindung      192.168.64.3    281
===========================================================================
Ständige Routen:
  Netzwerkadresse          Netzmaske  Gatewayadresse  Metrik
          0.0.0.0          0.0.0.0     192.168.64.2  Standard
===========================================================================

IPv6-Routentabelle
===========================================================================
Aktive Routen:
 If Metrik Netzwerkziel             Gateway
  1    331 ::1/128                  Auf Verbindung
  1    331 ff00::/8                 Auf Verbindung
===========================================================================
Ständige Routen:
  Keine

route -n с 64.2

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.8.0.1        128.0.0.0       UG    0      0        0 tun0
0.0.0.0         10.0.2.2        0.0.0.0         UG    0      0        0 eth0
10.0.2.0        0.0.0.0         255.255.255.0   U     0      0        0 eth0
10.8.0.0        0.0.0.0         255.255.255.0   U     0      0        0 tun0
vpn_ip_address  10.0.2.2        255.255.255.255 UGH   0      0        0 eth0
128.0.0.0       10.8.0.1        128.0.0.0       UG    0      0        0 tun0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 eth0
192.168.64.0    0.0.0.0         255.255.255.0   U     0      0        0 eth1

[Vilgelm]

hint000, что касается "не мог ли образоваться маршрут", то скорее всего именно это и произошло (либо машина с windows почему-то выбрала гейтом не 64.2, а 58.2), но почему так вообще могло произойти с учетом того что абсолютно все настройки сети прописаны статикой кроме eth0 на 64.2 (там виртуалбоксовский dhcp для ната)

[hint000]

Vilgelm, если всё должно идти только через туннель, то, наверное эта строчка лишняя:

0.0.0.0         10.0.2.2        0.0.0.0         UG    0      0        0 eth0

Попробуйте ещё поискать в iptables на 64.2 какие-нибудь упоминания 58.2
iptables -L -t nat | grep "\.58\.2"
Если нет, то я уже не знаю. :) Разве что останется поискать "улики" на хостовой машине.

[Vilgelm]

hint000, упоминаний нет, вообще.

эти маршруты я руками не прописываю, они прописываются системой и OpenVPN. как я понимаю 0.0.0.0 10.0.2.2 - это гейт по умолчанию который прописывается системой, OpenVPN прописывает свой еще раз, но не удаляет этот и не понижает приоритет. это конечно странно, но не думаю что проблема в этом, ну и я заворачиваю через iptables трафик в tun0, значит по идее даже если бы маршрута от OpenVPN не было, то все равно все должно было бы работать.

на хостовой машине я пробовал смотреть логи самого virtualbox, но ничего подобного не обнаружил там.

но я же правильно понимаю что по идее windows не может взять и сам выбрать гейт на свое усмотрение даже не зная о нем при условии что dhcp выключен (да и dhcp серверов в сети нет)? как и debian? и что если ответы на эти два вопроса отрицательные, то остается только вариант с каким-то багом в самом virtualbox, который зачем-то начал лезть в пакеты и изменять там 64 на 58? (звучит как бред, но у меня других идей нет)

[hint000]

упоминаний нет, вообще.

а наоборот на 58.2 поискать аналогично упоминания 64.2?

изменять там 64 на 58? (звучит как бред

Такой вариант был бы не очень бредовым, если бы 58 изменилось на 62 или на 59 (один бит; хотя и в этом случае оставалось бы много вопросов): https://www.youtube.com/watch?v=jOTM9T59IX4

Ещё сравните MAC-адреса на виртуальных машинах, нет ли совпадающих.

Ещё можно на 64.2 послушать трафик, не приходят ли до сих пор пакеты от 58.3 или 58.2:
tcpdump -n -i any net 192.168.58.0/24
и наоборот на 58.2 послушать:
tcpdump -n -i any net 192.168.64.0/24