Интересно как работало без VPN если форвард был запрещен net.ipv4.conf.all.forwarding = 1.
Похоже пациент звенит)
Запрет был только на tun0 интерфейсе.
Вот через него и не работало.
net.ipv4.conf.all.forwarding -- это ВСЕ интерфейсы.
А есть еще и для каждого в отдельности.
Подсеть роутера:10.0.0.0/8
Адрес роутер: 10.0.0.1
Подсеть виртуалок: 10.1.0.1/24
У вас сети пересекаются, 10.1.0.1/24 является частью 10.0.0.0/8.
Не смертельно, но могут возникать иногда трудноопределимые глюканы.
Первое правило IPv4 -- НЕ ДОЛЖНО БЫТЬ ПЕРЕСЕКАЮЩИХСЯ СЕТЕЙ.
shurshur,
Я сам этот "финт" лет 20 как использую, Просто интересно стало - автор вопроса сам додумался, или это автор VPN шлюза реализовал?
А так да -- это полный эквивалент 0.0.0.0/0 с лучшей метрикой, пока он есть, default не используется никогда, т.к. является менее уникальным.
Если не охота бодаться с переопределением default или метриками -- вполне рабочее и надежное решение.
historydev,
Не вдаваясь в подробности -- как на остальных интерфейсах.
Только учтите - при переподключении VPN-а все вернется как было.
вам или
net.ipv4.conf.default.forwarding = 1
(можно и net.ipv4.conf.all.forwarding = 1 чтоб наверняка )
надо при загрузке выставить (и прям сейчас тоже)
Или при коннекте VPN-а скриптом менять.
Ну и сети у вас на vmbr0 и vmbr1 пересекаются, что не есть хорошо.
10.1.0.0/16 является частью 10.0.0.0/8
Это, вроде бы, и не смертельно, но ни один "железячный" маршрутизатор не позволит вам так адреса на своих интерфейсах назначить. (VRF и прочие аналоги не рассматриваем, т.к. это уже по факту разные роутеры будут)
Почитайте про mesh комплекты, что-нибудь типа: https://www.ozon.ru/product/mesh-sistema-tp-link-d...
Для второй точки кабель тянуть не надо, ставите "посередине",а инте она по WiFi получает.
Более дорогие и продвинутые для этого даже отдельный адаптер WiFi имеют и называются "3-х диапазонные".
Берете с собой при переезде в квартиру любой конфигурации.
Cisco коммутаторы они сильно разные бывают.
Есть Cisco Catalyst, Есть Cisco SMB.
Если SMB -то вы в web интерфейсе можете загрузку порта посмотреть.
Если catalyst - там в CLI по show interface <....> прям сразу показывает среднюю за последние несколько минут и в бит/сек и в пакетах.
А так совет про систему мониторинга очень дельный.
При таком размере сети как вы без нее до сих пор-то обходились....
На L3 коммутаторе маршруты для сетей 192.168.1.0/24 и 192.168.20.0/24 уже есть, т.к. у него есть интерфейс с IP из этих сетей.
как выглядит путь пакета из 192.168.20.0/24 в 192.168.1.0/24
(ПК_А)192.168.20.xx -(отправка на шлюз по умолчанию)-> 192.168.20.1(L3 switch) --> 192.168.1.yy(ПК_Б)
Теперь ПК_Б должен отправить что-то в ответ:
как ДОЛЖЕН выглядеть путь пакета:
192.168.1.yy -(отправка на шлюз по умолчанию)-> 192.168.1.1 -(согласно статического маршрута)-> 192.168.1.11 --> 192.168.20.xx
Вот на этапе 192.168.1.1 -(согласно статического маршрута)-> 192.168.1.11 и могут возникать проблемы.
Т.к. пакет должен быть отправлен в тот же интерфейс, с которого получен, то в целях безопасности это может быть запрещено на шлюзе.
Для выяснения так это или нет -- ставите на ПК_А и ПК_Б wireshark, запускаете, фильтр лучше IP конкретные указать, иначе он вам весь трафик вывалит. И пингуете (трейсете, сетевые шары по ip пытаетесь открыть) и смотрите что отправил ПК_А и что получил/ответил ПК_Б.
Можно сделать следующее:
1) адрес 192.168.1.1 прописываете на L3 вместо 192.168.1.11
2) создаете VLAN21 чисто для связи L3 и шлюза.
3) на шлюзе прописываете 2 маршрута, к сети 192.168.1.0/24 и к сети 192.168.20.0/24 через этот новый VLAN21, а на L3 шлюзом по умолчанию указываете IP вашего роутера в 21-м VLAN
Всей маршрутизацией у вас будет заниматься L3, а шлюз чисто выход в интернет отрабатывать.
IPsec? OpenVPN? WireGuard? L2TP?
Можно и через ssh гонять любой трафик, в настройках вашей приложухи указываете порт локалхоста, этот порт через ssh прокидываете куда вам надо, инструметов для этого вагон, но можете и свой наваять, и пользуете дармовое шифрование....
У вас за вторым микротиком что находится? вы мостом соединяете 2 сети, и они перестают работать.
Либо у вас петля получается, либо за вторым микротиком что-то такое в сети есть, что первому не нравится.
Погасите проводной интерфейс и добавте WiFi в бридж.
Если работать будет нормально -- ищите проблему за проводным интерфейсом, а не в микротике.
CityCat4,
Вот понять не могу где я про какую-то китайскую матерь упоминал??
SuperMicro и Lenovo c ASUS-ом нормально работают... или это и есть "китайская-говноматерь" ??
И про адептов тоже вы зря :)
Сформулируйте соответствующую задачу -- дам вам совет AMD EPYC 9654 поставить и ни один i5-7-9 ему не конкурент в соответствующем круге задач :)
Если Ваши "весовые коэффициенты" при принятии решений отличаются от моих -- это ничего не говорит о том, чье мнение лучше или хуже, они просто разные. Только и всего.
нафиг твои ксеноны старые дррогущие доя дома на китайских материнках
Та пользуйтесь чем хотите :)
Мое мнение вы увидели, своим поделились...
Сейчас заявится кто-то третий и аргументировано обоснует безальтернативность ARM или Эльбрусов - и будет иметь полное право на свое собственное мнение.
Деньги ваши, и лично я не собираюсь мешать вам их тратить согласно вашим религиозным верованиям.
???
Чисто запустить можно и 10 и 20 виртуалок, как-то пользоваться одновременно -- тоже, заставить их делать что-то полезное?? так и одной виртуалкой на 16 ядер можно нагрузить...
Больше чем даст процессор вы не получите.
"На сейчас" стоит сервер 24 ядра/48потоков 378Gb RAM, на котором крутятся одновременно 21 виртуалка, которым "выдано" всумме >84 ядра... И нормально все.
Запрет был только на tun0 интерфейсе.
Вот через него и не работало.
net.ipv4.conf.all.forwarding -- это ВСЕ интерфейсы.
А есть еще и для каждого в отдельности.