Странная проблема с роутингом, как отлаживать?

Question

[Vitaly Karasik]

У меня есть Линукс сервер, который должен связаться с удаленной машиной через site-to-site VPN, на Fortigate.

Мой сервер: 10.10.10.10
Fortigate: 10.10.10.11
Удаленная машина: 111.111.111.111
VPN для меня черный ящик, особенно удаленный сайт, но доступ к локальному Fortigate есть.

На моем линуксе я добавил роутинг:
ip route add 111.111.111.111 via 10.10.10.11

ip route get 111.111.111.111 выдает
111.111.111.111 via 10.10.10.11 dev ens5 src 10.10.10.10 uid 0
cache

Но до удаленного сервера 111.111.111.111 я достучаться не могу.
Понятно, что я не уверен, что  VPN и раутинг на другой стороне настроены правильно. Я как минимум хочу убедиться что пакеты приходят на локальный Fortigate. Так вот, когда с 10.10.10.10 я обращаюсь на 111.111.111.111, "diag sniffer packet" на локальном Fortigate их не показывает! Что бы это значило и как чинить? (ping между 10.10.10.10 и 10.10.10.11 есть )

Comments

[Adamos]

111.111.111.111 - это внешний айпишник удаленной машины, что ли?
Через VPN вы должны видеть ее по внутреннему айпишнику этой самой VPN-сети - 10.10.10.*

[Vitaly Karasik]

Adamos, в принципе согласен (хотя скорее всего в туннеле другие адреса). Но, как я написал, для меня это черный ящик, тем более что на самом деле между мной и удаленной машиной еще несколько hops.
Но чтобы доказать сетевику что проблемы у него, мне надо убедиться (и показать ему) в простой вещи - что мои пакеты входят в его Fortigate. А это у меня не получается.

[Valentin Barbolin]

Vitaly Karasik, Доступ к удаленной машине есть (111.111.111.111)? Если да, то запустить на ней tcpdump и посмотреть прилетают ли пинги от 10.10.10.10.

[Vitaly Karasik]

Andrey Barbolin, к удаленной нет.
Но ИМХО было бы странно видеть что-то на ней если я не вижу своих пакетов на ближайшем Fortigate.

[Sand]

Vitaly Karasik, а у вас маршруты в обе стороны прописаны? с форти доступны компы из локалки?

[Vitaly Karasik]

Sand, локальный форти в "моей" локалке - 10.10.10.10 и 10.10.10.11, пинг есть, и ICMP пакеты видны в сниффере.

[Vitaly Karasik]

hint000, traceroute не показывает Fortigate.

[Sand]

Vitaly Karasik, нарисуйте схему с адресациями сетей

[Vitaly Karasik]

Sand, я смотрю сейчас на свою локальную сеть с двумя коробками - 10.10.10.10 and 10.10.10.11, и не понимаю что происходит. Я не понимаю, почему я не вижу пакетов, которые должны входить в 10.10.10.11 по "законам раутинга".

[Sand]

Vitaly Karasik, из какой подсети пакеты? в какую подсеть пакеты? какие шлюзы прописаны? какие правила нат и "раутинга" на этих шлюзах? как выглядит трассировка из первой сети во вторую? как выглядит трассировка из второй сети в первую?

[Vitaly Karasik]

Sand,

з какой подсети пакеты? в какую подсеть пакеты? какие шлюзы прописаны? какие правила нат и "раутинга" на этих шлюзах? как выглядит трассировка из первой сети во вторую? как выглядит трассировка из второй сети в первую?

Мой сервер: 10.10.10.10
Fortigate: 10.10.10.11
Все что снаружи для меня черный ящик.
На 10.10.10.10 я добавил роутинг:
ip route add 111.111.111.111 via 10.10.10.11
и хочу увидеть как пакеты входят в 10.10.10.11 - после этого проблемой будут заниматься те, кто сделал все остальное.

[Valentin Barbolin]

Vitaly Karasik, У метя может быть асимитричная маршрутизация, в этом случае пакеты на удаленном хосте ты будеш видеть входящие пакеты, но пинг работать не будет.

[Valentin Barbolin]

site-to-site VPN, на Fortigate.

Какой именно VPN? ipsec ?

Если есть доступ к локальному фортику и VPN не IPsec в чистом виде, то можно проверить тунель между фортиками, пропингав адреса в тунеле с самого фортика.

[Vitaly Karasik]

Andrey Barbolin,

может быть асимитричная маршрутизация, в этом случае пакеты на удаленном хосте ты будеш видеть входящие пакеты, но пинг работать не будет.

Пока что я хочу увидеть пакеты на 10.10.10.11 - см. вопрос

[Valentin Barbolin]

Vitaly Karasik,

Пока что я хочу увидеть пакеты на 10.10.10.11 - см. вопрос

Ты не можешь пропингать 10.10.10.11 с 10.10.10.10 ?

[Vitaly Karasik]

Andrey Barbolin,

Ты не можешь пропингать 10.10.10.11 с 10.10.10.10 ?

Сорри, дополнил вопрос.

Есть пинг между моим линуксом и Fortigate (10.10.10.11 с 10.10.10.10), но когда с 10.10.10.10 я обращаюсь к 111.111.111.111, пакеты должны идти через 10.10.10.11, а я их там не вижу.

[Дмитрий]

Если есть доступ к настройкам Fortigate, то вероятно там можно добавить правило firewall, которое будет пропускать трафик до 111.111.111.111, а потом посмотреть, срабатывает ли оно.
P.S. На межсетевых экранах Juniper SRX формально есть команда tcpdump, которую можно запустить на любом интерфейсе, но работает она только для трафика от/до самого джунипера, транзитный трафик её не посмотреть. Не может быть, что Fortigate "diag sniffer packet" работает аналогичным образом?

[Vitaly Karasik]

Дмитрий,

На межсетевых экранах Juniper SRX формально есть команда tcpdump, которую можно запустить на любом интерфейсе, но работает она только для трафика от/до самого джунипера, транзитный трафик её не посмотреть. Не может быть, что Fortigate "diag sniffer packet" работает аналогичным образом?

Я не очень знаком с Fortigate, но вроде бы должно показывать все.
Кроме того, я воспроизвел проблему с линуксом вместо Fortigate.

Answer 1

[Vitaly Karasik]

Оказывается, в AWS по умолчание сетевой интерфейс проверяет source / destination :
"Each EC2 instance performs source/destination checks by default. This means that the instance must be the source or destination of any traffic it sends or receives. "
После отмены этой проверки на сетевом интерфейсе Fortigate все заработало.

https://docs.aws.amazon.com/vpc/latest/userguide/V...