42B4 и ip policy {name} standalone

[vasek00]

И так 42B4 есть два WG и к ним две политики, в них только WG1 а в другой WG2. Есть стат маршруты введенные в WEB на WG1. После применения данной команды

ip policy Policy0
    description Cl
    permit global Wireguard0
...
    standalone

!
ip policy Policy2
    description WG2
    permit global Wireguard1
...
    standalone

и стат.маршрут
ip route 142.250.0.0 255.254.0.0 Wireguard0 auto reject !1111

произошло странное изменение

Скрытый текст

~ # ip ro
default dev ppp0  scope link
...
142.250.0.0/15 dev nwg0  proto static scope link
...
185.183.хх.хх via 10.10.10.1 dev eth2.9 proto static
...

Policy0
~ # ip ro show table 10 
default dev nwg0  scope link
...
142.250.0.0/15 dev nwg0  scope link
...
~ #
185.183.хх.хх ----- исчез

Policy2
~ # ip ro show table 12 ************** тут все ОК
default dev nwg1  scope link
192.168.130.0/24 dev br0  scope link
192.168.150.0/24 dev br1  scope link
~ #

 

Цитата

IP: реализован автономный режим для политик [NDM-3445]:
ip policy {name} standalone — включить «автономный» режим, т.е. не копировать статические маршруты из основных настроек

В Policy0 как были стат маршруты -> так и остались, маршруты с маской /19 /16 /17 /18, был единственный стат.маршрут 185.183.х.х/32 на второго провайдера, который исчез в данной политики Policy0.

в Policy1 и в Policy2 - все ОК, как и в других. проблема в нулевой policy

 

Изменено 19 сентября, 2024 пользователем vasek00

[Илья Картавенко]

6 минут назад, vasek00 сказал:

И так 42B4 есть два WG и к ним две политики, в них только WG1 а в другой WG2. Есть стат маршруты введенные в WEB на WG1. После применения данной команды

ip policy Policy0
    description Cl
    permit global Wireguard0
...
    standalone

!
ip policy Policy2
    description WG2
    permit global Wireguard1
...
    standalone

и стат.маршрут
ip route 142.250.0.0 255.254.0.0 Wireguard0 auto reject !1111

произошло странное изменение

  Показать содержимое

~ # ip ro
default dev ppp0  scope link
...
142.250.0.0/15 dev nwg0  proto static scope link
...
185.183.хх.хх via 10.10.10.1 dev eth2.9 proto static
...

Policy0
~ # ip ro show table 10 
default dev nwg0  scope link
...
142.250.0.0/15 dev nwg0  scope link
...
~ #
185.183.хх.хх ----- исчез

Policy2
~ # ip ro show table 12 ************** тут все ОК
default dev nwg1  scope link
192.168.130.0/24 dev br0  scope link
192.168.150.0/24 dev br1  scope link
~ #

 

В Policy0 как были стат маршруты -> так и остались, маршруты с маской /19 /16 /17 /18, был единственный стат.маршрут 185.183.х.х/32 на второго провайдера, который исчез в данной политики Policy0.

в Policy1 и в Policy2 - все ОК, как и в других. проблема в нулевой policy

 

Читайте журнал изменений в телеге, там об этом написано

[Le ecureuil]

Пока выглядит правильно. Поскольку ip route 142.250.0.0/15 идет через Wireguard0, и он (Wireguard0) в этой политике разрешен, то он будет скопирован. Если бы он разрешен не был, то и не был бы скопирован.

Основное назначение команды не запретить копировать статические маршруты, а запретить копировать все недефолтные маршруты с интерфейсов, которые в политике запрещены. Поведение по умолчанию - копировать все недефолты, даже если интерфейс запрещен.

[Le ecureuil]

Нужно видимо changelog подправить.

[vasek00]

В 19.09.2024 в 11:19, Le ecureuil сказал:

Пока выглядит правильно. Поскольку ip route 142.250.0.0/15 идет через Wireguard0, и он (Wireguard0) в этой политике разрешен, то он будет скопирован. Если бы он разрешен не был, то и не был бы скопирован.

Основное назначение команды не запретить копировать статические маршруты, а запретить копировать все недефолтные маршруты с интерфейсов, которые в политике запрещены. Поведение по умолчанию - копировать все недефолты, даже если интерфейс запрещен.

Возможно ли доработка команды

ip route 142.250.0.0 255.254.0.0 Wireguard0 auto reject !y

ip policy Policy0
    permit global Wireguard0

ip policy Policy1
    permit global GigabitEthernet0/Vlan9
    no permit global Wireguard0
    no permit global Wireguard1
    standalone


~ # ip ro | grep 142.250
142.250.0.0/15 dev nwg0  proto static  scope link
~ # ip ro show table 10 | grep 142.250
142.250.0.0/15 dev nwg0  scope link 
~ # ip ro show table 11 | grep 142.250
~ #

Так как в данной Policy0 данный VPN в "default dev nwg0  scope link" то смысла в данных стат маршрутах которые на него указывают нет ни какого.

А вот добавить бы в нее Policy0 стат маршрут например такой

~ # ip ro show table 10
default dev nwg0  scope link
108.177.0.0/17 dev ppp0  scope link

 

Изменено 4 октября, 2024 пользователем vasek00

[Le ecureuil]

1 час назад, vasek00 сказал:

Так как в данной Policy0 данный VPN в "default dev nwg0  scope link" то смысла в данных стат маршрутах которые на него указывают нет ни какого.

А вот добавить бы в нее Policy0 стат маршрут например такой

~ # ip ro show table 10
default dev nwg0  scope link
108.177.0.0/17 dev ppp0  scope link

 

- Дедупликацию делать не будем пока, это не так просто

- ручное добавление будет в 4.3 чере команду ip policy Policy0 ip route 

[vasek00]

В 04.10.2024 в 14:40, Le ecureuil сказал:

- ручное добавление будет в 4.3 чере команду ip policy Policy0 ip route 

Спасибо работает в 43A1