Похоже, что нет способа гарантировать, чтобы изученные маршруты через OSFP действительно распространялись в правила зоны, и трафик как будто пропускает фильтры устройства и попадает в состояние по умолчанию с отказом, по крайней мере, при использовании S2S VPN. Я не тестировал внутренние сети должным образом, но у меня были какие-то ужасные проблемы с IPv6-подключением, которые могли соответствовать симптомам, которые я видел для этой проблемы.
Вот что я обнаружил:
root@r1-u1-udmp1:~# ip r
10.1.0.0/16 dev vti64 proto static scope link metric 30
10.4.0.0/16 dev vti64 proto static scope link metric 30
10.10.0.0/24 dev br0 proto kernel scope link src 10.10.0.1
root@r1-u1-udmp1:~# ipset save UBIOS4VPN_subnets
create UBIOS4VPN_subnets hash:net family inet hashsize 64 maxelem 10000
add UBIOS4VPN_subnets 10.4.0.0/16
add UBIOS4VPN_subnets 10.10.4.0/24
add UBIOS4VPN_subnets 10.80.0.0/16
add UBIOS4VPN_subnets 10.1.0.0/16
root@r1-u1-udmp1:~# ping 10.4.0.1
PING 10.4.0.1 (10.4.0.1) 56(84) bytes of data.
64 bytes from 10.4.0.1: icmp_seq=1 ttl=64 time=32.7 ms
64 bytes from 10.4.0.1: icmp_seq=2 ttl=64 time=18.6 ms
64 bytes from 10.4.0.1: icmp_seq=3 ttl=64 time=15.0 ms
64 bytes from 10.4.0.1: icmp_seq=4 ttl=64 time=27.7 ms
^C
--- 10.4.0.1 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3002ms
После отключения статической маршрутизации и получения маршрутов через OSPF:
root@r1-u1-udmp1:~# ip r
10.1.0.0/16 via 10.120.10.10 dev vti64 proto ospf metric 20
10.3.0.0/16 via 10.120.10.10 dev vti64 proto ospf metric 20
10.4.0.0/16 via 10.120.10.10 dev vti64 proto ospf metric 20
10.10.0.0/24 dev br0 proto kernel scope link src 10.10.0.1
root@r1-u1-udmp1:~# ipset save UBIOS4VPN_subnets
create UBIOS4VPN_subnets hash:net family inet hashsize 64 maxelem 10000
add UBIOS4VPN_subnets 10.10.4.0/24
add UBIOS4VPN_subnets 10.80.0.0/16
root@r1-u1-udmp1:~# ping 10.4.0.1
PING 10.4.0.1 (10.4.0.1) 56(84) bytes of data.
^C
--- 10.4.0.1 ping statistics ---
5 packets transmitted, 0 received, 100% packet loss, time 4142ms
Не только новая сеть не отображается в зоне, ни одна из них не отображается
Это означает, что я не могу получить доступ к чему-либо в удалённом сайте, и сводит на нет всю цель файрвола на основе зон для динамических систем.
Вот что я обнаружил:
root@r1-u1-udmp1:~# ip r
10.1.0.0/16 dev vti64 proto static scope link metric 30
10.4.0.0/16 dev vti64 proto static scope link metric 30
10.10.0.0/24 dev br0 proto kernel scope link src 10.10.0.1
root@r1-u1-udmp1:~# ipset save UBIOS4VPN_subnets
create UBIOS4VPN_subnets hash:net family inet hashsize 64 maxelem 10000
add UBIOS4VPN_subnets 10.4.0.0/16
add UBIOS4VPN_subnets 10.10.4.0/24
add UBIOS4VPN_subnets 10.80.0.0/16
add UBIOS4VPN_subnets 10.1.0.0/16
root@r1-u1-udmp1:~# ping 10.4.0.1
PING 10.4.0.1 (10.4.0.1) 56(84) bytes of data.
64 bytes from 10.4.0.1: icmp_seq=1 ttl=64 time=32.7 ms
64 bytes from 10.4.0.1: icmp_seq=2 ttl=64 time=18.6 ms
64 bytes from 10.4.0.1: icmp_seq=3 ttl=64 time=15.0 ms
64 bytes from 10.4.0.1: icmp_seq=4 ttl=64 time=27.7 ms
^C
--- 10.4.0.1 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3002ms
После отключения статической маршрутизации и получения маршрутов через OSPF:
root@r1-u1-udmp1:~# ip r
10.1.0.0/16 via 10.120.10.10 dev vti64 proto ospf metric 20
10.3.0.0/16 via 10.120.10.10 dev vti64 proto ospf metric 20
10.4.0.0/16 via 10.120.10.10 dev vti64 proto ospf metric 20
10.10.0.0/24 dev br0 proto kernel scope link src 10.10.0.1
root@r1-u1-udmp1:~# ipset save UBIOS4VPN_subnets
create UBIOS4VPN_subnets hash:net family inet hashsize 64 maxelem 10000
add UBIOS4VPN_subnets 10.10.4.0/24
add UBIOS4VPN_subnets 10.80.0.0/16
root@r1-u1-udmp1:~# ping 10.4.0.1
PING 10.4.0.1 (10.4.0.1) 56(84) bytes of data.
^C
--- 10.4.0.1 ping statistics ---
5 packets transmitted, 0 received, 100% packet loss, time 4142ms
Не только новая сеть не отображается в зоне, ни одна из них не отображается
Это означает, что я не могу получить доступ к чему-либо в удалённом сайте, и сводит на нет всю цель файрвола на основе зон для динамических систем.