policy routing не работает

[Alexey Lyahkov]

Кинетик Ультра с 2мя таблицами роутинга.

Части клиентов надо выходить в мир через ipip тунель поверх ipsec, часть напрямую.

После обновления на 4.2 Beta3 - перестало работать.

Если смотреть в вывод ip route list table 11 то дефолт вообще указывает не на ip-ip тунель, а на ppp который далеко не первый в списке.

У таблицы 10 дефолт вообще указывает в ethernet - когда он запрещен для этой группы.

# ip route list table 10
default via 100.76.249.1 dev eth3
78.30.227.41 via 100.76.249.1 dev eth3
78.30.254.20 via 100.76.249.1 dev eth3
78.30.254.55 via 100.76.249.1 dev eth3
100.76.249.0/24 dev eth3 scope link
172.16.10.1 dev ppp2 scope link
172.16.10.45 dev ppp0 scope link
192.168.0.0/16 dev ipip0 scope link
192.168.2.1 dev ppp0 scope link
192.168.12.0/24 dev ppp2 scope link
192.168.12.1 dev ppp2 scope link
192.168.14.0/24 dev br0 scope link
198.18.0.2 via 100.76.249.1 dev eth3
198.18.1.12/30 dev ipip0 scope link

~ # ip route list table 11
default dev ppp2 scope link
100.76.249.0/24 dev eth3 scope link
172.16.10.1 dev ppp2 scope link
172.16.10.45 dev ppp0 scope link
192.168.0.0/16 dev ipip0 scope link
192.168.2.1 dev ppp0 scope link
192.168.12.0/24 dev ppp2 scope link
192.168.12.1 dev ppp2 scope link
192.168.14.0/24 dev br0 scope link
198.18.1.12/30 dev ipip0 scope link

 

[Alexey Lyahkov]

После направления информации в Сапорт - не было предложено ничего лучше чем проверить isolate-private, и ip global у ipip интерфейса.

Оба этих параметра стоят как нужно, и с тех пор уже неделю Сапорт молчит.

Это исправится в релизе ?

[Mamay]

В 12.09.2024 в 17:47, Alexey Lyahkov сказал:

После обновления на 4.2 Beta3 - перестало работать.

4 часа назад, Alexey Lyahkov сказал:

Это исправится в релизе ?

В предварительном канале уже лежит 4.2.1. Сами и проверьте.

[Alexey Lyahkov]

Хм... Весьма странный ответ. Из разряда сам дурак ?

Быстрый просмотр changelog - говорит нету изменений которые могли быть связанными с этой проблемой.

[Alexey Lyahkov]

Как и ожидалось в 4.2.1 не исправлено. Все та же ерунда

# ip route list table 10
default via 100.76.249.1 dev eth3
78.30.227.41 via 100.76.249.1 dev eth3
78.30.254.20 via 100.76.249.1 dev eth3
78.30.254.55 via 100.76.249.1 dev eth3
100.76.249.0/24 dev eth3 scope link
172.16.10.1 dev ppp1 scope link
172.16.10.45 dev ppp0 scope link
192.168.0.0/16 dev ipip0 scope link
192.168.2.1 dev ppp0 scope link
192.168.12.0/24 dev ppp1 scope link
192.168.12.1 dev ppp1 scope link
192.168.14.0/24 dev br0 scope link
198.18.0.2 via 100.76.249.1 dev eth3
198.18.1.12/30 dev ipip0 scope link

 

[Le ecureuil]

Из того, что вы тут привели, ничего вменяемого сказать невозможно.

self-test-то где?

[Alexey Lyahkov]

> self-test-то где?

Как и просили раньше он был отправлен месяц назад в support - тикет 634093. Из письма на help@

Цитата

2024-09-12T14:18:52Z
------
День добрый.

Создал тему на форме - попросили прислать selftest сюда.
Краткая история - есть 3 политики.
1) те кто ходят _только_ в ipip тунель.
2) те кто ходят в тунель - но при падении туннеля допустимо мимо него.
3) все оставшиеся.

Все работало на 4.1 - но после обновления на 4.2 перестало.

Алексей
self-test_KN-1810_preview_4.02.B.3.0-0_router_2024-09-12T17-14-37.392Z.txt