Проблемы миграции с Vyatta 6.3 на VyOS
Наконец, я приступил к миграции старого маршрутизатора с Vyatta 6.3 на VyOS, и у меня возникли некоторые проблемы.
Из-за несовместимости 6.3 конфигурация VyOS была переписана при обращении к старому config Vboot VC и примеру VyOS.
Конфигурация IPv6, вероятно, не совсем такая, какой она должна быть, но это не основная проблема, с которой я столкнулся. Когда новый сервер VyOS работает, внутренняя сеть не может получить доступ ни к одному из адресов в блоке CIDR. Кроме того, адреса в блоке CIDR, кроме шлюза (.17), которые были доступны из Интернета, стали недоступны примерно через 8 часов. Перезагрузка старой конфигурации VC не показала ни одного из этих симптомов.
Был бы признателен, если бы кто-то мог просмотреть конфигурацию и проверить, есть ли некоторые очевидные проблемы, которые я пропускаю.
Некоторые основные настройки:
Внутренняя сеть 10.2.0.0/24
Внешний статический IP: 123.234.234.207/27
Внешний статический шлюз: 123.234.234.193
Блок CIDR (маршрутизируемая подсеть): 123.123.123.16-31/28
Шлюз CIDR: 123.123.123.17
Удаленная сеть: 192.168.0.0/24
И фактический конфиг...
firewall {all-ping enable broadcast-ping отключить config-trap disable
ipv6-name WANFW {описание отбрасывания действия по умолчанию "Брандмауэр для блокировки входящих соединений из туннеля IPv6" правило 5 {действие принимает описание "Должно быть разрешено, или обнаружение MTU будет прервано"
icmpv6 {тип пакета-слишком-большого} протокола icmpv6
} правило 10 {действие принимает описание "Разрешить пинговые ответы"
icmpv6 {
type pong
} протокол icmpv6
} правило 15 {действие принимает описание "В противном случае может вызвать проблемы фрагментации"
icmpv6 {тип время превышено } протокол icmpv6
} правило 20 {действие принимает описание "Разрешить входящий IPSec"
ipsec {
match-ipsec
}
} правило 30 {действие принимает описание "Разрешить установленные TCP-соединения" протокол tcp
tcp {
flags ACK
}
} правило 35 {действие принимает описание "Разрешить UDP без протокола state "протокол udp} правило 40 {действие принять описание" Разрешить вызовы http "назначение {порт http, протокол tcp} https}
ipv6-receive-redirects отключить ipv6-src-route отключить ip-src-route отключить log-martians enable имя OUTSIDE-IN {правило 10 удаления действия по умолчанию {состояние принятия действия {установленное разрешение, связанное с разрешением}}} правило 20 {описание принятия действия, задание Murmur {адрес 10.2.0.70 порт 64738
} состояние протокола tcp_udp {новое включение}}} имя OUTSIDE-LOCAL {правило 10 действия отбрасывания действия {действие принимает состояние {установлено разрешенное связанное включение}} правило 20 {действие принимает icmp {эхо-запрос типа имя} протокол icmp состояние {новое включение}} правило 30 {назначение удаления действия {порт 22} протокол tcp недавнее {
count 4
time 60
} состояние {новое включение}} правило 31 {действие принимает адрес назначения {порт 22} протокол tcp состояние {новое разрешение}} правило 40 {действие принимает протокол esp} правило 41 {действие принимает назначение {порт 500
} протокол протокола udp} правило 42 {действие принимает пункт назначения {порт 4500
} протокол протокола udp} правило 43 {действие принимает пункт назначения {порт 1701
}
ipsec {
match-ipsec
} протокол udp}} прием-перенаправления отключить отправка-перенаправления включить проверку подлинности источника отключить синхронизацию -для куки включить защиту от опасности disable
}
interfaces {
ethernet eth0 {
address 123.234.234.207/27
description WAN дуплексный автоматический брандмауэр {
in {
name OUTSIDE-IN
}
local {
name OUTSIDE-LOCAL
}
}
hw-id 0a:2d:35:b5:4a:25
smp_affinity auto
speed auto
}
ethernet eth1 {адрес 123.123.123.17/28 описание CIDR-Gateway
dhcpv6-options {параметры-только} дуплексный автоматический брандмауэр {
in {
name OUTSIDE-IN
}
local {
name OUTSIDE-LOCAL
}
}
hw-id 4e:ca:69:29:f4:ce
smp_affinity auto
speed auto
}
ethernet eth2 {адрес 10.2.0.11/24 адрес 2001:470::::11/64 описание LAN двухсторонний автоматический hw-id ae:61:af:ca:71:59
ipv6 {
dup-addr-обнаружить-передает 1
router-advert {
cur-hop-limit 64
default-preference high
link-mtu 0 управляемый флаг false
max-interval 600 другой-config-flag true префикс 2001:470::::/64 {автономный флаг true на флаге ссылки истинный срок жизни 2592000
} достижимое время 0 таймер ретрансляции 0 истина отправки объявления}
}
smp_affinity auto
speed auto
}
loopback lo {
}
tunnel tun0 {
address 2001:470::::2/64 описание Инкапсуляция HE.NET IPv6 Tunnel sit
local-ip 123.123.123.17 многоадресная рассылка отключить remote-ip 66.220.18.42
}
}
nat {пункт назначения {правило 150 {описание "Murmur Server" пункт назначения {порт 64738
} протокол входящего интерфейса eth0 tcp_udp
source {
address 0.0.0.0/0
}
translation {адрес 10.2.0.70 порт 64738
}
}
}
source {
rule 100 {
destination {
address!192.168.0.0/24
} исходящий интерфейс eth0
source {
address 10.2.0.0/24
} перевод {маскарад}}}} протоколы {статические {
interface-route6::/0 {
next-hop-interface tun0 {
}
}
route 0.0.0.0/0 {
next-hop 123.234.234.193 {
}
}
}
} служба {
dhcpv6-server {разделяемое сетевое имя workipv6 {подсеть 2001:470::::/64 {
domain-search work.local
name-server 2001:4860:4860::8888
}
}
}
dns {
forwarding {
cache-size 0
listen-on eth2-name-server 8.8.8.8
name-server 8.8.4.4
}
}
https {
http-redirect disable
}
ssh {
port 22
}
}
system {адрес-шлюза 123.234.234.193 имя-хоста miyuki
name-server 8.8.8.8
name-server 8.8.4.4
}
vpn {
ipsec {
esp-group work_esp {сжатие время жизни 28800 туннель в режиме pfs отключить предложение 2 {шифрование 3des
hash sha1
}
}
esp-groupmit_esp {сжатие отключить время жизни 28800 туннель в режиме pfs отключить предложение 1 {шифрование 3des
hash sha1
}
}
ike-group work_ike {
dead-peer-Detection {action интервал очистки 20, тайм-аут 60
}
ikev2-reauth нет, обмен ключами, срок жизни ikev1 28800 предложение 2 {шифрование dh-группы 2, 3des hash sha1}} ike-group передатчик_ike {обнаружение мёртвого peer {интервал очистки 20 действий, тайм-аут 60
}
ikev2-reauth нет обмена ключами время жизни ikev1 28800 предложение 1 {шифрование dh-группы 2 3des
hash sha1
}
}
ipsec-interfaces {
interface eth0
} отключение nat-traversal сайт-сайт {
peer 210.210.210.128 {аутентификация {режим pre-shared-secret
pre-shared-secret Nope
} тип соединения init ike-group work_ike
ikev2-reauth наследовать локальный адрес 123.234.234.207 туннель 2 {
allow-nat-networks отключить allow-public-networks отключить esp-group work_esp
local {префикс 10.2.0.0 / 24} удаленный {префикс 192.168.0.0/24
}
}
}
}
}
}