[eside-ghost] iproute2 y la de siempre... router con 2 salidas ainternet

[Ramón Echávarri Escribano]

Hola,

>Tengo 2 estrategias posibles:

Yo, por aquello del KISS, optaría por la a.  Cuando tengas eso funcionando, 
por aquello de entender todo hasta el mínimo detalle, pruebas la b ;-).

>       En la misma tabla auxiliar añado una regla del tipo:
>          ip rule add from 192.168.0.0/24 table Taux

Desde la ignoracia total, y con el ánimo de aclarar conceptos, entiendo que 
esto no añade una regla en la tabla de rutado, sino que añade una regla 
digamos "general" para que cierto tráfico use esa tabla concreta de rutado.


>b)
>Dejar la tabla main como está eliminando las 2 rutas por defecto
>(por si las moscas)

Cuando tuve que tirar de estas historias (<abu cebolleta>haaceee yaaa 
muuuucho tieeeempooo...</abu cebolleta>) no conseguí mediante reglas que el 
tráfico originado en la propia máquina usara una tabla distinta de la main, 
así que ojo con ésto.  Igual el parámetro src que usas puede ayudar con eso 
(no me quedan claras todas sus implicaciones), pero por si acaso tenlo en 
cuenta.  En mi caso esas comunicaciones las generaraba un firewall 
comercial, así que igual también influia en mi problema.

Imagino que has probado más a fondo, pero por poner un ejemplo de posibles 
problemas por falta de rutas en la main... en tu script sólo asignas tablas 
de rutado a la 192.168.0.33 y las IPs del "balanceador".  Luego para la VPN 
envías ciertos paquetes a la 192.168.0.17 (voy a suponer que es un 
finalizador VPN, no otro router específico, ya que si no debería funcionar 
normalmente).  Los paquetes cifrados saldrán del finalizador VPN con alguna 
IP origen distinta de las que tienes con reglas, por lo que el balanceador 
deberá usar la tabla main para encaminarlos, pero al no tener ruta por 
defecto se los merienda.

Ten en cuenta también, que si el src no lo hace ¿?, parece que tendrás que 
natear lo que saques por el cable.

>El caso es que cuando meto tráfico procedente de cierta dirección (ya no
>hablo de subred si no de algo tipo : ip rule add from 192.168.0.33 table
>Taux)
>na, que ahí se me pierde el tráfico. ¿hay alguna forma de mirar qué está
>pasando? Algún tipo de log o algo en plan rápido...

Convendría que especificaras con qué tráfico concreto tienes problemas.  Yo 
no sé de logs específicos (no digo que no los haya), pero siempre nos 
quedará el mejor amigo del administrador de redes (tcpdump, por supuesto 
;-)).  Si lo envía mal saldrá por algún lado, y si no, lo normal es que te 
envíe algún icmp de destino inalcanzable, en cuyo caso te faltan rutas o 
reglas.

>Si planto el script... ¿igual alguno le puede echar un ojo? (lo voy a
>plantar de toas toas :-p)

El script no lo he mirado con muchísimo detalle, y lo más llamativo para mí 
ya lo he comentado.  A mí no me gusta demasiado la forma de conseguir 
GWCABLE, porque si ya has borrado las rutas en una ejecución posterior, no 
creo que encuentres nada (aunque ya tendrás la ruta publicada), así que al 
menos una comprobación no estaría de más.


>GWCABLE=`route |grep eth3 |grep default | cut -d " " -f 10`
>...
>route del default
>route del default

Bueno, y ya ceso en esta demostración de atrevida ignorancia... por hoy, 
claro ;-p.

Saludos!!