Swisslinux.org

Postroutine · 21 Feb 2015 17:51:17

Hello. _o/

J'ai un petit problème réseau avec un mon routeur. Celui-ci tourne sous la distribution OpenWRT 14.07.

Certains paquets transitant du réseau Lan au réseau Wan gardent leur adresse ip source en 192.169.1.X. Comme ces paquets ont pour adresse mac source celle de l'interface connectée au réseau Wan mais une IP qui ne correspond pas à celle de cette même interface, les équipements réseau de mon FAI ont tendance à me couper la ligne dans ces moments là.

J'ai regardé les règles IPTables de mon routeur, mais le masquage d'IP est activé:

Code:

Chain zone_wan_postrouting (1 references)
target     prot opt source               destination         
postrouting_wan_rule  all  --  anywhere             anywhere             /* user chain for postrouting */
MASQUERADE  all  --  anywhere             anywhere

Quelqu'un aurait-il une idée?

Dernière modification par Séb (19 Mar 2015 10:28:55)

Trim · 21 Feb 2015 19:45:04

Hello,

J'ai aussi openwrt 14.07 sur mon routeur, mais je l'ai configuré avec leur interface web (Luci). J'ai essayé de voir mes règles iptables et je n'ai aucune ligne avec "MASQUERADE", malgré que l'option soie activée pour la zone wan.

Toutes les lignes que j'ai en rapport avec cette zone sont (sans les filtres d'entrée):

Chain zone_wan_output (1 references)
target prot opt source destination
output_wan_rule all -- anywhere anywhere /* user chain for output */
zone_wan_dest_ACCEPT all -- anywhere anywhere

Chain zone_wan_src_REJECT (1 references)
target prot opt source destination
reject all -- anywhere anywhere

Postroutine · 21 Feb 2015 19:49:52

As-tu regardé directement dans la table nat: iptables -L -t nat ?

Trim · 21 Feb 2015 20:06:54

ah oui, effectivement, je n'avais utilisé que l'option '-L'. J'ai donc la même chose :

Chain zone_wan_postrouting (1 references)
target prot opt source destination
postrouting_wan_rule all -- anywhere anywhere /* user chain for postrouting */
MASQUERADE all -- anywhere anywhere

Mmmhh, je sais que j'ai aussi désactivé le "MSS Clamping" sur toutes mes zones, mais je ne me rappelle plus pourquoi je l'ai fait.

Postroutine · 22 Feb 2015 05:15:51

J'ai mis à jour mon routeur, J'ai pris une version de dév d'OpenWRT.

Elle règle plusieurs problèmes, dont celui des paquets qui gardaient comme IP source une IP du réseau local.

Par contre, en détectant avec tcpdump les paquets en sortie qui ont la bonne adresse mac source mais par la bonne adresse IP source, j'ai toujours des paquets comme ceci:

Code:

03:31:39.407931 aa:aa:aa:aa:aa:aa > ff:ff:ff:FF:FF:FF, ethertype ARP (0x0806), length 42: Ethernet (len 6), IPv4 (len 4), Request who-has YYY.YYY.YYY.YYY tell XXX.XXX.XXX.XXX, length 28

Où:
- aa:aa:aa:aa:aa:aa est l'adresse mac de mon interface Ethernet connecté au réseau du FAI.
- ff:ff:ff:FF:FF:FF est l'adresse mac d'un équipement de mon FAI. La machine où se trouve leur serveur DHCP, je présume.
- YYY.YYY.YYY.YYY est l'adresse IP correspondant à l'adresse mac du même équipement du FAI que cité la ligne au dessus.
- XXX.XXX.XXX.XXX est mon adresse IP public.

Mais je ne sais si c'est normale ou pas.

Quand mon routeur fait n'importe quoi, les équipements de mon FAI bloquent ma connexion.
Depuis la mise à jour, je n'ai eu qu'une coupure nette (nécessitant une ré-initialisation de la connexion)
et plusieurs très courtes coupures où tout revient vite à la normal.
Je ne sais pas si les paquets détectés par tcpdump sont la cause ou la conséquence de ces micro-coupures.

Dernière modification par Séb (22 Feb 2015 05:19:17)

Postroutine · 22 Feb 2015 05:25:55

Rectification, en voilà deux:

Code:

03:44:00.095703 aa:aa:aa:aa:aa:aa >ff:ff:ff:FF:FF:FF, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 63, id 30929, offset 0, flags [DF], proto TCP (6), length 52)
    192.168.7.237.57912 > vvv.vvv.vvv.vvv.vvvv: Flags [R.], cksum 0x844f (correct), seq 2600988415, ack 2178291637, win 1040, options [nop,nop,TS val 6003192 ecr 844889508], length 0
03:44:00.120923 aa:aa:aa:aa:aa:aa > ff:ff:ff:FF:FF:FF, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 63, id 6495, offset 0, flags [DF], proto TCP (6), length 52)
    192.168.7.237.61356 > zzz.zzz.zzz.zzz.zzzz: Flags [R.], cksum 0xccf8 (correct), seq 2701944257, ack 1628634018, win 1040, options [nop,nop,TS val 6003218 ecr 299991797], length 0

Si quelqu'un a une idée, je suis preneur.

Postroutine · 25 Feb 2015 23:49:28

J'ai finalement créé un rapport de bogue chez OpenWRT: https://dev.openwrt.org/ticket/19050

On verra bien.

Dernière modification par Séb (25 Feb 2015 23:49:43)

Postroutine · 01 Mar 2015 09:27:38

Serait-il possible, avec IPTables, de bloquer ces paquets non masqués?

Postroutine · 01 Mar 2015 10:04:18

J'ai pensé à cette règle:

Code:

iptables -t nat -A POSTROUTING -o eth0 -s ! XXX.XXX.XXX.XXX -m mac --mac-source aa:aa:aa:aa:aa:aa -j DROP

Mais j'obtiens cette erreur:

Code:

Bad argument: XXX.XXX.XXX.XXX

Postroutine · 02 Mar 2015 13:32:58

J'ai ajouté la règle suivante:

Code:

-A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE

Mais rien n'y fait. J'ai toujours des paquets non masqués qui sortent par eth0

Postroutine · 19 Mar 2015 10:28:13

Problème résolu.

Il faut désactiver l'option "net.netfilter.nf_conntrack_skip_filter"

Plus d'infos ici: http://wiki.openwrt.org/doc/uci/firewal … kip_filter

Swisslinux.org

− Le carrefour GNU/Linux en Suisse −

Recherche

Menu

Forum

Identification

Inscription

Langue

Le Forum

#1 21 Feb 2015 17:51:17

[Résolu] Problème de NAT

Code:

#2 21 Feb 2015 19:45:04

Re: [Résolu] Problème de NAT

#3 21 Feb 2015 19:49:52

Re: [Résolu] Problème de NAT

#4 21 Feb 2015 20:06:54

Re: [Résolu] Problème de NAT

#5 22 Feb 2015 05:15:51

Re: [Résolu] Problème de NAT

Code:

#6 22 Feb 2015 05:25:55

Re: [Résolu] Problème de NAT

Code:

#7 25 Feb 2015 23:49:28

Re: [Résolu] Problème de NAT

#8 01 Mar 2015 09:27:38

Re: [Résolu] Problème de NAT

#9 01 Mar 2015 10:04:18

Re: [Résolu] Problème de NAT

Code:

Code:

#10 02 Mar 2015 13:32:58

Re: [Résolu] Problème de NAT

Code:

#11 19 Mar 2015 10:28:13

Re: [Résolu] Problème de NAT

Pied de page des forums