Не уверен, что это факт, что он находится за туннелем маршрутизатора к маршрутизатору или чем-то другим в Centos 7. но у меня есть 30 машин в удаленном месте. Я использую туннель от локального к удаленному. Теперь все системы Cent OS 6.2 в порядке, вы можете пинговать их через туннель, подключаться к ним через туннель без каких-либо проблем. Позже я установил машину с CentOS 7 и не смог подключиться к ней через туннель, а все остальные запросы ping истекли.
без ip_forward = 1:
Pinging 172.16.0.8 with 32 bytes of data:
Reply from 172.16.0.8: bytes=32 time=93ms TTL=62
Request timed out.
Reply from 172.16.0.8: bytes=32 time=94ms TTL=62
Request timed out.
Reply from 172.16.0.8: bytes=32 time=97ms TTL=62
Request timed out.
с ip_forward = 1
Pinging 172.16.0.8 with 32 bytes of data:
Reply from 172.16.0.8: bytes=32 time=92ms TTL=62
Reply from 172.16.0.8: bytes=32 time=92ms TTL=62
Reply from 172.16.0.8: bytes=32 time=93ms TTL=62
Reply from 172.16.0.8: bytes=32 time=92ms TTL=62
Ping statistics for 172.16.0.8:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 92ms, Maximum = 93ms, Average = 92ms
без включения переадресации ip через sysctl.conf я не могу выполнить ping или ssh на centos 7 в удаленном офисе, который подключен через туннель vpn. Я могу подключиться к любой машине 6.2 и пинговать их просто отлично, поэтому я знаю, что туннель не является проблемой, это проблема только с версией 7 CentOS, я могу даже RDP для серверов Windows 2008 и 2012 и rdp для машины Windows 10. Как я уже сказал, это похоже на то, что есть только в CentOS 7. Я могу оставить IP-переадресацию включенной. Думаю, в этом нет ничего страшного.
Я что-то не так делаю с Cent OS7? В CentOS7 что-то меняли? или это просто нормальное поведение.
Теперь, когда я пингую с CentOS7 на машину в местном офисе, я получаю такие странные ответы:
PING 172.16.1.100 (172.16.1.100) 56 (84) байт данных. с 172.16.0.254: icmp_seq = 1 Redirect Host (Новый nexthop: 172.16.1.100)
Не уверен, что означает это перенаправление icmp. 172.16.0.254 - это удаленный маршрутизатор, к которому он подключен. Я получаю перенаправление icp, если ip forward включен или выключен.
оба граничных маршрутизатора используют туннель типа "сеть-сеть" PFSense IPSec.
Хорошо, я нашел проблему на форумах pfsense, поэтому, если у кого-то еще есть эта странная проблема, это ошибка в маршрутизации IPSec PFSense. PFsense видит другой конец туннеля как второй маршрутизатор в том же сегменте локальной сети, поэтому происходит то, что он отправляет перенаправление icmp, думая, что другой маршрутизатор - лучший маршрут, и это грубо не удается, потому что другой маршрутизатор доступен только через туннель, он не доступен напрямую. Это легко исправить, зайдя на сайт администратора PFsense, перейдя в Advanced, затем System tuneables и установив icmp redirect на 0. В этот момент машина на удаленном сайте отправляет пакет на свой маршрутизатор, который затем отправляет пакет через туннель на удаленный маршрутизатор, который затем отправляет его туда, куда нужно. Я до сих пор не знаю, почему включение ip_forward в CentOS 7 позволило обойти эту ошибку.
Но именно поэтому к машине не удалось получить доступ, она пыталась использовать перенаправление icmp для отправки пакета в пункт назначения, которого он не мог достичь.