---

Hejsa,

Jeg forsøger at få en GRE-tunnel ind til min linux-baserede
firewall/router kasse (FWR). FWR skal så rute pakkerne videre
ud på et lokalt ethernet interface.

Tunnelen er sat op med:

ip tunnel add grete mode gre remote 1.2.3.4
ip link set grete up

1.2.3.4 er adressen på den router der sender GRE pakker til mig.

Pakkerne kommer ind til mit tunnel interface, det kan jeg se
med både tcpdump og ifconfig.

Men jeg kan ikke få FWR til at sende dem videre ud på
destinationsnettet (DN)

Jeg kan godt pinge direkte fra FWR til en maskine på DN,
så ruteningen må være sat rigtigt op på FWR.

Af en eller anden grund opstår tunnelen grete ikke i

/proc/sys/net/ipv4/conf

Så jeg kan ikke se om der faktisk står 1 i

/proc/sys/net/ipv4/conf/grete/forwarding

Nå ja, det kan naturligvis også være iptables der driller.
Jeg har netop forsøgsvis fjernet alle regler i FORWARD
kæden og sat policy til ACCEPT, men det hjalp beklageligvis ikke.

Forslag til hvordan jeg fortsætter med min fejlsøgning?


/Morten

---

2006-11-12 Morten Guldager wrote
>
> Jeg forsøger at få en GRE-tunnel ind til min linux-baserede
> firewall/router kasse (FWR).
> ...
> Forslag til hvordan jeg fortsætter med min fejlsøgning?

Det fandt jeg så selv.

Jeg skruede min syslog-debug op på max. Det gøres
i /etc/sysconfig/syslog på en suse-kasse.
KERNEL_LOGLEVEL=1 -> KERNEL_LOGLEVEL=7

Så kunne jeg se "kernel: martian source" beskeder i
min /var/log/messages.

Herefter var det bare at skrue lidt på ruteningen
og så spiller det

Det ser ud som om den prøver at beskytte mig i mod
spoofede pakker.
Normalt er det jo fint nok, men her har jeg en kasse
med 2 uplinks, og så er det jo lidt svært at vide hvorfra
en tilfældig ip-pakke kommer.

Jeg må kunne slå det der anti-spoof gejl fra...


/Morten

---

2006-11-12 Morten Guldager wrote
> 2006-11-12 Morten Guldager wrote
>>
>> Jeg forsøger at få en GRE-tunnel ind til min linux-baserede
>> firewall/router kasse (FWR).
>> ...
>> Forslag til hvordan jeg fortsætter med min fejlsøgning?
>
> Det fandt jeg så selv.
>
> Jeg skruede min syslog-debug op på max. Det gøres
> i /etc/sysconfig/syslog på en suse-kasse.
> KERNEL_LOGLEVEL=1 -> KERNEL_LOGLEVEL=7
>
> Så kunne jeg se "kernel: martian source" beskeder i
> min /var/log/messages.
>
> Herefter var det bare at skrue lidt på ruteningen
> og så spiller det
>
> Det ser ud som om den prøver at beskytte mig i mod
> spoofede pakker.
> Normalt er det jo fint nok, men her har jeg en kasse
> med 2 uplinks, og så er det jo lidt svært at vide hvorfra
> en tilfældig ip-pakke kommer.
>
> Jeg må kunne slå det der anti-spoof gejl fra...

Klart nok:

echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter



/Morten