«Подвисшее» правило conntrack

0

2

Столкнулся с нетривиальной ситуацией.

Провайдер - билайн со своим мерзким l2tp. Сервер на дебиане поднимает соединение и раздаёт интернеты дальше в сеть. Ещё внутри сети есть asterisk на котором настроен сип. Всё настроено и работает.

Однако, если l2tp-соединение падает, а asterisk в этот момент пытается достучаться до сервера, то в conntrack появляется правило с исходящим ip внутренней сети провайдера. И само не исчезает. В результате пакеты сипа после маскарадинга имеют source address вида 10.x.y.z, но уходят в интерфейс ppp0, на котором висит белый ip.

Вопрос - как сделать так, чтобы этой фигни больше не повторилось?

Ссылка

←	Ipsec + l2tp, Strongswan не раздает маршруты

Multicast routing EDR-810

→

Откуда повляется это правило? У вас там, что без l2tp маршрут по умолчанию, что-ли через сеть билайн, а не ″unreachable″ или ″blackhole″?

В общем, запретите прохождение пактов, создающих эту запись в conntrack, либо с помощью маршрутов, либо с помощью правил в iptables.

mky ★★★★★
(13.05.15 16:07:52 MSK)
Последнее исправление: mky 13.05.15 16:08:14 MSK (всего исправлений: 1)

Ответ на: комментарий от mky 13.05.15 16:07:52 MSK

Логично. Маршрут по умолчанию после падения l2tp идёт через билайн, хотя не должен.

Попробую его убрать и посмотрю, что в итоге получится.

koi-sama
(13.05.15 16:24:30 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Ipsec + l2tp, Strongswan не раздает маршруты

Admin

Multicast routing EDR-810

→

Похожие темы