Linux. Через роутер в виртуалку на хосте ICMP идет, а TCP нет. Почему?

Question

[stonewolf]

Добрый день.

Настроил виртуалку 192.168.2.10 LXC в Убунте, хост 192.168.0.101 через сетевой мост. Всё работает кроме доступа по wifi с устройств (подсеть 192.168.0.0).

На роутере прописал маршрут .

ping 192.168.2.10 проходит, но wget 192.168.2.10:8123 пишет, что маршрут не найден.
с другой виртуалки (192.168.2.2) и самого хоста работает.

на хосте ip r:

iptables:

iptables -t nat:


Логи в dmesg с ping пишутся, а с wget нет. Где собака порылась?

Comments

[Valentin Barbolin]

Построй трасу, посмотри что трак точно идет на твой контейнер, может он в интернет вылетает.
Форфард трафика ты разрешил на промежуточной linux машинке?
sysctl -w net.ipv4.ip_forward=1

[stonewolf]

Valentin Barbolin, Всё норм, пинги же проходят, и трасса идёт.

1 14 ms 3 ms 31 ms 192.168.0.2
2 5 ms 3 ms 2 ms 192.168.0.101
3 53 ms 5 ms 11 ms 192.168.2.10

[Valentin Barbolin]

stonewolf, Маскарад пробовал выключать?
5 1404 MASQUERADE all lxc 0.0.0.0/0 0.0.0.0/0

[stonewolf]

Valentin Barbolin, пробовал, дело не в этом. Ошибку сегодня нашёл. Спасибо.

[Valentin Barbolin]

stonewolf,

Ошибку сегодня нашёл. Спасибо.

Интригу держиш?)

[stonewolf]

Valentin Barbolin, не, я же добавил ответ к начальному вопросу. Я сам тупанул, глаз замылился), пробовал добавить перенаправление порта для ip из подсети 0.0, потом всю эту муть удалил, а iptables не везде почистил.

Answer 1

[stonewolf]

Оказывается, в процессе тестов после курения манов добавил и потом забыл почистить и не заметил перенаправление порта в nat на 0.101:

Удалил и всё заработало.

Всем спасибо!

Answer 2

[MVV]

Возможно, прямые и обратные пакеты между 192.168.0.0/24 и 192.168.2.0/24 у вас ходят разными маршрутами. В наше время это проверить сложно, потому что современные устройства любят резать опцию записи маршрута в эхо-пакеты ICMP (в ping она включалось ключем -r 9).
TCP, в отличие от ping, нужно установленное соединение, а роутер (брандмауэр на нем) может контролировать, что соединение установливается правильно. И если он видит пакеты только в одну сторону, то может блокировать соединение.

Для проверки добавьте маршрут в 192.168.2.0/24 через Linux(192.168.0.101) на тот узел в 192.168.0.0/24, с которого вы пробуете wget. На Windows это делается командой route add 192.168.2.0 mask 255.255.255.0 192.168.0.101 (работает до перезагрузки).

Если это решит проблему, то добавьте этот маршрут на постоянку - это можно сделать через DHCP или прописать маршрут вручную напостоянку (в Windows для этого используйте route add -p и далее по тектсту). Можете также попробовать отключить брандмауэр на роутере для внутренней сети (как это сделать и можно ли - это мне неведомо, я модель вашего роутера и что он может не знаю, я такое поведение на MS ISA Server в древности наблюдал).

PS Вообще-то, если подключать виртуалку через именно мост ("на уровне L2"), то она должна иметь/получить адрес из той же подсети, что и хост, но тут я выяснять, что вы там на самом деле сделали, не хочу.

Comments

[stonewolf]

если подключать виртуалку через именно мост ("на уровне L2"), то она должна иметь/получить адрес из той же подсети, что и хост

Не должна. Второй адрес моста 192.168.2.1, у виртуалки 192.168.2.10 Но спасибо. Ошибку сегодня сам нашёл.

[MVV]

Второй адрес моста 192.168.2.1, у виртуалки 192.168.2.10

stonewolf, то есть, мостом вы называете то, что обычно называют словом маршнутизатор. Ну, я, собственно, это и преддположил.
Мне, в общем-то без разницы, что и как называть - работа с пользователями научила, что называть разные вещи они могут очень причудливо. Но у общепринятой терминологии есь преимущество: того, кто пользуется ей, понять легче.

[stonewolf]

мостом вы называете то, что обычно называют словом маршнутизатор

Я хз, может так и правильнее. Знакомые админы всегда называли bridge бриджем или мостом с настройкой маршрутов или без. А роутером и маршрутизатором - физическое устройство.

[MVV]

Короче, мы друг друга поняли.
PS Про NAT мысль тоже мелькала. Но NAT легко диагностируется ping-ом в обе стороны (при наличии NAT должен работать только в одну сторону) и почему-то я решил, что вы это проверили.

[stonewolf]

Так я и проверил. Пинг работал в обе стороны. И трассировка проходила. Потому что всё было настроено нормально кроме конкретного порта.

Answer 3

[AUser0]

А вы не в курсе, что gateway должен быть в той же подсети, что и сам хост?
Адрес 192.168.0.101 - это совсем не подсеть 192.168.2.0/24!

Comments

[stonewolf]

Это маршрут в другую подсеть, 2.0/24. Гейт для неё - адрес моста в подсети 0.0/24

[AUser0]

Убедитесь tcpdump-ом, что ICMP траффик доходит в виртуалку, и ответы идут именно от виртуалки.
А то всякое может быть...

[stonewolf]

AUser0, уже нашёл причину, всё норм. пинги и трассы ходили правильно с самого начала.

Answer 4

[Вениамин Коноплев]

Меня смущает вот эта запись:
MASQUERADE ALL * enp3s0 0.0.0.0/0 0.0.0.0/0

Все исходящие пакеты транслируются в адрес исходящего интерфейса.

Вам надо переписать правила iptables, чтобы пакеты идущие из сети 192.168.2.0 в сеть 192.168.0.0 не транслировались.