[Berlin-wireless] kleines nat problem mit ff-firmware

Stefan Sperling stsp
Do Sep 4 11:01:44 CEST 2008 

On Wed, Sep 03, 2008 at 09:47:15AM +0200, Stefan Sperling wrote:
> On Tue, Sep 02, 2008 at 08:30:17PM +0200, Sven-Ola Tücke wrote:
> > N'abend Stefan,
> > 
> > FYI: die aktuelle Firmware 1.6.31 hat ein neues Kernel-Module "flushnat.o". 
> > Das loescht das Conntrack beim Setzen des -j MASQUERADING. Ausprobieren?
> 
> Aber gern :)
> 
> Ich sag dir nachher bescheid obs hilft.

nacher == morgen :)  Sorry, hatte gestern keine Zeit mehr.
Jetzt aber:

Sieht gut aus!

Ohne flushnat -> Router reboot während viel pingen durchs VPN:

 Conntrack entry:
 udp      17 29 src=104.203.0.1 dst=192.109.42.13 sport=5016 dport=5016
 [UNREPLIED] src=192.109.42.13 dst=104.203.0.1 sport=5016 dport=5016
 ^^^^^^^^^^^                   ^^^^^^^^^^^^^^^
 use=1 mark=0 bytes=8664 

 Pakete gehen raus aus vlan1 (wo genattet werden soll),
 aber mit falscher source addresse (5016 ist der VPN port):

 root at dachjo:~# tcpdump -n -i vlan1 port 5016
 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
 listening on vlan1, link-type EN10MB (Ethernet), capture size 68 bytes
 13:01:58.860535 IP 104.203.0.1.5016 > 192.109.42.13.5016: UDP, length: 124
                    ^^^^^^^^^^^
 13:01:59.861624 IP 104.203.0.1.5016 > 192.109.42.13.5016: UDP, length: 124
 13:02:00.863239 IP 104.203.0.1.5016 > 192.109.42.13.5016: UDP, length: 124

 3 packets captured
 6 packets received by filter
 0 packets dropped by kernel
 root at dachjo:~# ifconfig vlan1
 vlan1     Link encap:Ethernet  HWaddr 00:0F:66:C8:79:8B  
           inet addr:10.53.0.2  Bcast:10.53.0.255  Mask:255.255.255.0
                    ^^^^^^^^^^----- != 104.203.0.1
           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
           RX packets:230 errors:0 dropped:0 overruns:0 frame:0
           TX packets:315 errors:0 dropped:0 overruns:0 carrier:0
            collisions:0 txqueuelen:0 
          RX bytes:169343 (165.3 KiB)  TX bytes:37748 (36.8 KiB)


Mit flushnat -> Router reboot während viel pingen durchs VPN:

 Conntrack entry:
  udp      17 179 src=104.203.0.1 dst=192.109.42.13 sport=5016 dport=5016
  src=192.109.42.13 dst=10.53.0.2 sport=5016 dport=5016 [ASSURED]
                    ^^^^^^^^^^^^^                       ^^^^^^^^^
  use=1 mark=0 bytes=14000 

 root at dachjo:~# tcpdump -n -i vlan1 port 5016 
 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
 listening on vlan1, link-type EN10MB (Ethernet), capture size 68 bytes
 13:02:28.495471 IP 10.53.0.2.5016 > 192.109.42.13.5016: UDP, length: 124
                    ^^^^^^^^^
 13:02:28.535895 IP 192.109.42.13.5016 > 10.53.0.2.5016: UDP, length: 124
 13:02:29.497294 IP 10.53.0.2.5016 > 192.109.42.13.5016: UDP, length: 124
 13:02:29.535896 IP 192.109.42.13.5016 > 10.53.0.2.5016: UDP, length: 124

Lustig das man das Modul laden und wieder entladen muss damit
es tut was es soll :)

Vielen dank :)
Stefan

Mehr Informationen über die Mailingliste Berlin