Servus zusammen,
ich versuche derzeit, mittels Rdomains VPNs auf meinem Router zu segregieren. Das Übersetzen von einer Rdomain in die andere per pf funktioniert, ein Ping geht durch zum Zielsystem, doch dessen Antwort wird nicht zurückgeleitet. Ich weiß, daß das üblicherweise an einer fehlenden Route liegt, aber ich hab default routen in alles rdomains gesetzt, mal per blackhole route auf das loopback interface, mal per regulärer route auf ein extra eingebrachtes vether-Interface, oder Kombinationen/Variante davon. Nicht scheint zu fruchten. forwarding per sysctl ist auch gesetzt.
Übersehe ich irgendwas offensichtliches?
Danke!
ich versuche derzeit, mittels Rdomains VPNs auf meinem Router zu segregieren. Das Übersetzen von einer Rdomain in die andere per pf funktioniert, ein Ping geht durch zum Zielsystem, doch dessen Antwort wird nicht zurückgeleitet. Ich weiß, daß das üblicherweise an einer fehlenden Route liegt, aber ich hab default routen in alles rdomains gesetzt, mal per blackhole route auf das loopback interface, mal per regulärer route auf ein extra eingebrachtes vether-Interface, oder Kombinationen/Variante davon. Nicht scheint zu fruchten. forwarding per sysctl ist auch gesetzt.
Die af-to-Regel war meine ursprünglicher Versuch, aber ich habe die beiden oberen rdomain zum testen eingesetzt, um sicherzustellen, dass keine NAT64-Probleme ursächlich sind.# pfctl -sr
block return log all
match in all scrub (no-df random-id max-mss 1440)
match out on egress inet from ! (egress:network) to any set (prio(5, 7)) nat-to (egress:0) round-robin
pass on ! egress all flags S/SA
pass out on egress all flags S/SA
pass in log (all, to pflog1) quick on aggr0 inet from any to 172.19.57.95 flags S/SA rtable 99 nat-to (em0) round-robin
pass in log (all, to pflog1) quick on aggr0 inet from any to 10.182.225.131 flags S/SA rtable 101 nat-to (tun1) round-robin
pass inet proto icmp all
pass proto ipv6-icmp all
pass in log (all, to pflog1) on aggr0 inet6 from any to fd4b:5320:4954:6464::/96 flags S/SA rtable 101 af-to inet from (tun1) round-robin
# ifconfig tun1
tun1: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> rdomain 101 mtu 1400
description: OpenConnect
index 13 priority 0 llprio 3
groups: tun vpn
status: active
inet 10.182.253.188 --> 10.182.253.188 netmask 0xff000000
# ifconfig em0
em0: flags=8b43<UP,BROADCAST,RUNNING,PROMISC,ALLMULTI,SIMPLEX,MULTICAST> rdomain 99 mtu 1500
lladdr 00:0d:b9:5a:1d:dc
index 1 priority 0 llprio 3
media: Ethernet autoselect (1000baseT full-duplex,rxpause,txpause)
status: active
inet 172.19.57.96 netmask 0xffffff00 broadcast 172.19.57.255
# route -T 99 show -inet
Routing tables
Internet:
Destination Gateway Flags Refs Use Mtu Prio Iface
default 172.19.57.96 UGSB 0 197 - 8 em0
localhost localhost UHl 0 0 32768 1 lo99
172.19.57/24 172.19.57.96 UCn 1 0 - 4 em0
172.19.57.95 00:0d:b9:5a:1e:fc UHLc 0 38 - 3 em0
172.19.57.96 00:0d:b9:5a:1d:dc UHLhl 1 39 - 1 em0
172.19.57.255 172.19.57.96 UHb 0 0 - 1 em0
# route -T 101 show -inet
Routing tables
Internet:
Destination Gateway Flags Refs Use Mtu Prio Iface
default localhost UGSB 0 6 32768 8 lo101
10.0.20.9 10.182.253.188 UGHS 0 0 - 8 tun1
10.34.34/24 10.182.253.188 UGS 0 0 - 8 tun1
10.100/16 10.182.253.188 UGS 0 0 - 8 tun1
10.101/16 10.182.253.188 UGS 0 0 - 8 tun1
10.103/16 10.182.253.188 UGS 0 0 - 8 tun1
10.182.58/24 10.182.253.188 UGS 0 0 - 8 tun1
10.182.60/24 10.182.253.188 UGS 0 0 - 8 tun1
10.182.61/24 10.182.253.188 UGS 0 0 - 8 tun1
10.182.80/21 10.182.253.188 UGS 0 0 - 8 tun1
10.182.88/21 10.182.253.188 UGS 0 0 - 8 tun1
10.182.80.71 10.182.253.188 UGHS 0 0 - 8 tun1
10.182.80.72 10.182.253.188 UGHS 0 0 - 8 tun1
10.182.104/24 10.182.253.188 UGS 0 0 - 8 tun1
10.182.104.64/26 10.182.253.188 UGS 0 0 - 8 tun1
10.182.120/24 10.182.253.188 UGS 0 0 - 8 tun1
10.182.151.176/28 10.182.253.188 UGS 0 0 - 8 tun1
10.182.225.128/26 10.182.253.188 UGS 0 47 - 8 tun1
10.182.253.188 10.182.253.188 UHhl 25 72 - 1 tun1
10.182.253.188 10.182.253.188 UH 0 0 - 8 tun1
10.213.25.80/29 10.182.253.188 UGS 0 0 - 8 tun1
10.213.28/24 10.182.253.188 UGS 0 0 - 8 tun1
10.213.28.0/26 10.182.253.188 UGS 0 0 - 8 tun1
10.213.57/24 10.182.253.188 UGS 0 0 - 8 tun1
10.213.65/24 10.182.253.188 UGS 0 0 - 8 tun1
localhost localhost UHhl 1 2 32768 1 lo101
172.23.6.0/26 10.182.253.188 UGS 0 0 - 8 tun1
172.23.120.0/26 10.182.253.188 UGS 0 0 - 8 tun1
192.168/16 10.182.253.188 UGS 0 0 - 8 tun1
Übersehe ich irgendwas offensichtliches?
Danke!