Назад | Перейти на главную страницу

Проблемы при переходе с Vyatta 6.3 на VyOS

Наконец, я приступил к миграции старого маршрутизатора с Vyatta 6.3 на VyOS, и у меня возникли некоторые проблемы.

Из-за несовместимости 6.3 конфигурация VyOS была переписана со ссылкой на старую VC config.boot и пример VyOS.

Конфигурация IPv6, вероятно, не совсем такая, какой должна быть, но это не основная проблема, с которой я сталкиваюсь. Когда новый сервер VyOS работает, внутренняя сеть не может получить доступ ни к одному из адресов в блоке CIDR. Кроме того, адреса в блоке CIDR, кроме шлюза (.17), которые были доступны из Интернета, стали недоступными примерно через 8 часов. Перезагрузка в старую конфигурацию VC не выявила ни одного из этих симптомов.

Был бы признателен, если бы кто-нибудь мог просмотреть конфигурацию и проверить, есть ли какие-то очевидные проблемы, которые мне не хватает.

Некоторая базовая конфигурация:
Внутренняя сеть 10.2.0.0/24
Внешний статический IP-адрес: 123.234.234.207/27
Внешний статический шлюз: 123.234.234.193
Блок CIDR (маршрутизируемая подсеть): 123.123.123.16-31 / 28
Шлюз CIDR: 123.123.123.17
Удаленная сеть: 192.168.0.0/24

А собственно конфиг ...

firewall {
    all-ping enable
    broadcast-ping disable
    config-trap disable
    ipv6-name WANFW {
        default-action drop
        description "Firewall to block incoming connections from IPv6 Tunnel"
        rule 5 {
            action accept
            description "Must be allowed or MTU discovery will break"
            icmpv6 {
                type packet-too-big
            }
            protocol icmpv6
        }
        rule 10 {
            action accept
            description "Allow ping replies"
            icmpv6 {
                type pong
            }
            protocol icmpv6
        }
        rule 15 {
            action accept
            description "May cause fragmentation issues otherwise"
            icmpv6 {
                type time-exceeded
            }
            protocol icmpv6
        }
        rule 20 {
            action accept
            description "Allow incoming IPSec"
            ipsec {
                match-ipsec
            }
        }
        rule 30 {
            action accept
            description "Allow established TCP connections"
            protocol tcp
            tcp {
                flags ACK
            }
        }
        rule 35 {
            action accept
            description "Allow stateless UDP"
            protocol udp
        }
        rule 40 {
            action accept
            description "Allow http calls"
            destination {
                port http,https
            }
            protocol tcp
        }
    }
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name OUTSIDE-IN {
        default-action drop
        rule 10 {
            action accept
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action accept
            description Murmur
            destination {
                address 10.2.0.70
                port 64738
            }
            protocol tcp_udp
            state {
                new enable
            }
        }
    }
    name OUTSIDE-LOCAL {
        default-action drop
        rule 10 {
            action accept
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action accept
            icmp {
                type-name echo-request
            }
            protocol icmp
            state {
                new enable
            }
        }
        rule 30 {
            action drop
            destination {
                port 22
            }
            protocol tcp
            recent {
                count 4
                time 60
            }
            state {
                new enable
            }
        }
        rule 31 {
            action accept
            destination {
                port 22
            }
            protocol tcp
            state {
                new enable
            }
        }
        rule 40 {
            action accept
            protocol esp
        }
        rule 41 {
            action accept
            destination {
                port 500
            }
            protocol udp
        }
        rule 42 {
            action accept
            destination {
                port 4500
            }
            protocol udp
        }
        rule 43 {
            action accept
            destination {
                port 1701
            }
            ipsec {
                match-ipsec
            }
            protocol udp
        }
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
    twa-hazards-protection disable
}
interfaces {
    ethernet eth0 {
        address 123.234.234.207/27
        description WAN
        duplex auto
        firewall {
            in {
                name OUTSIDE-IN
            }
            local {
                name OUTSIDE-LOCAL
            }
        }
        hw-id 0a:2d:35:b5:4a:25
        smp_affinity auto
        speed auto
    }
    ethernet eth1 {
        address 123.123.123.17/28
        description CIDR-Gateway
        dhcpv6-options {
            parameters-only
        }
        duplex auto
        firewall {
            in {
                name OUTSIDE-IN
            }
            local {
                name OUTSIDE-LOCAL
            }
        }
        hw-id 4e:ca:69:29:f4:ce
        smp_affinity auto
        speed auto
    }
    ethernet eth2 {
        address 10.2.0.11/24
        address 2001:470::::11/64
        description LAN
        duplex auto
        hw-id ae:61:af:ca:71:59
        ipv6 {
            dup-addr-detect-transmits 1
            router-advert {
                cur-hop-limit 64
                default-preference high
                link-mtu 0
                managed-flag false
                max-interval 600
                other-config-flag true
                prefix 2001:470::::/64 {
                    autonomous-flag true
                    on-link-flag true
                    valid-lifetime 2592000
                }
                reachable-time 0
                retrans-timer 0
                send-advert true
            }
        }
    smp_affinity auto
        speed auto
    }
    loopback lo {
    }
    tunnel tun0 {
        address 2001:470::::2/64
        description "HE.NET IPv6 Tunnel"
        encapsulation sit
        local-ip 123.123.123.17
        multicast disable
        remote-ip 66.220.18.42
    }
}
nat {
    destination {
        rule 150 {
            description "Murmur Server"
            destination {
                port 64738
            }
            inbound-interface eth0
            protocol tcp_udp
            source {
                address 0.0.0.0/0
            }
            translation {
                address 10.2.0.70
                port 64738
            }
        }
    }
    source {
        rule 100 {
            destination {
                address !192.168.0.0/24
            }
            outbound-interface eth0
            source {
                address 10.2.0.0/24
            }
            translation {
                address masquerade
            }
        }
    }
}
protocols {
    static {
        interface-route6 ::/0 {
            next-hop-interface tun0 {
            }
        }
        route 0.0.0.0/0 {
            next-hop 123.234.234.193 {
            }
        }
    }
}
service {
    dhcpv6-server {
        shared-network-name workipv6 {
            subnet 2001:470::::/64 {
                domain-search work.local
                name-server 2001:4860:4860::8888
            }
        }
    }
    dns {
        forwarding {
            cache-size 0
            listen-on eth2
            name-server 8.8.8.8
            name-server 8.8.4.4
        }
    }
    https {
        http-redirect disable
    }
    ssh {
        port 22
    }
}
system {
    gateway-address 123.234.234.193
    host-name miyuki
    name-server 8.8.8.8
    name-server 8.8.4.4
}
vpn {
    ipsec {
        esp-group work_esp {
            compression disable
            lifetime 28800
            mode tunnel
            pfs disable
            proposal 2 {
                encryption 3des
                hash sha1
            }
        }
        esp-group transmitter_esp {
            compression disable
            lifetime 28800
            mode tunnel
            pfs disable
            proposal 1 {
                encryption 3des
                hash sha1
            }
        }
        ike-group work_ike {
            dead-peer-detection {
                action clear
                interval 20
                timeout 60
            }
            ikev2-reauth no
            key-exchange ikev1
            lifetime 28800
            proposal 2 {
                dh-group 2
                encryption 3des
                hash sha1
            }
        }
        ike-group transmitter_ike {
            dead-peer-detection {
                action clear
                interval 20
                timeout 60
            }
            ikev2-reauth no
            key-exchange ikev1
            lifetime 28800
            proposal 1 {
                dh-group 2
                encryption 3des
                hash sha1
            }
        }
        ipsec-interfaces {
            interface eth0
        }
        nat-traversal disable
        site-to-site {
            peer 210.210.210.128 {
                authentication {
                    mode pre-shared-secret
                    pre-shared-secret Nope
                }
                connection-type initiate
                ike-group work_ike
                ikev2-reauth inherit
                local-address 123.234.234.207
                tunnel 2 {
                    allow-nat-networks disable
                    allow-public-networks disable
                    esp-group work_esp
                    local {
                        prefix 10.2.0.0/24
                    }
                    remote {
                        prefix 192.168.0.0/24
                    }
                }
            }
        }
    }
}