Jump to content
  • 0

42B4 и ip policy {name} standalone


vasek00

Question

И так 42B4 есть два WG и к ним две политики, в них только WG1 а в другой WG2. Есть стат маршруты введенные в WEB на WG1. После применения данной команды

ip policy Policy0
    description Cl
    permit global Wireguard0
...
    standalone

!
ip policy Policy2
    description WG2
    permit global Wireguard1
...
    standalone

и стат.маршрут
ip route 142.250.0.0 255.254.0.0 Wireguard0 auto reject !1111

произошло странное изменение

Скрытый текст
~ # ip ro
default dev ppp0  scope link
...
142.250.0.0/15 dev nwg0  proto static scope link
...
185.183.хх.хх via 10.10.10.1 dev eth2.9 proto static
...

Policy0
~ # ip ro show table 10 
default dev nwg0  scope link
...
142.250.0.0/15 dev nwg0  scope link
...
~ #
185.183.хх.хх ----- исчез

Policy2
~ # ip ro show table 12 ************** тут все ОК
default dev nwg1  scope link
192.168.130.0/24 dev br0  scope link
192.168.150.0/24 dev br1  scope link
~ #

 

Цитата

IP: реализован автономный режим для политик [NDM-3445]:
ip policy {name} standalone — включить «автономный» режим, т.е. не копировать статические маршруты из основных настроек


В Policy0 как были стат маршруты -> так и остались, маршруты с маской /19 /16 /17 /18, был единственный стат.маршрут 185.183.х.х/32 на второго провайдера, который исчез в данной политики Policy0.

в Policy1 и в Policy2 - все ОК, как и в других. проблема в нулевой policy

 

Edited by vasek00
Link to comment
Share on other sites

6 answers to this question

Recommended Posts

  • 0
6 минут назад, vasek00 сказал:

И так 42B4 есть два WG и к ним две политики, в них только WG1 а в другой WG2. Есть стат маршруты введенные в WEB на WG1. После применения данной команды

ip policy Policy0
    description Cl
    permit global Wireguard0
...
    standalone

!
ip policy Policy2
    description WG2
    permit global Wireguard1
...
    standalone

и стат.маршрут
ip route 142.250.0.0 255.254.0.0 Wireguard0 auto reject !1111

произошло странное изменение

  Показать содержимое
~ # ip ro
default dev ppp0  scope link
...
142.250.0.0/15 dev nwg0  proto static scope link
...
185.183.хх.хх via 10.10.10.1 dev eth2.9 proto static
...

Policy0
~ # ip ro show table 10 
default dev nwg0  scope link
...
142.250.0.0/15 dev nwg0  scope link
...
~ #
185.183.хх.хх ----- исчез

Policy2
~ # ip ro show table 12 ************** тут все ОК
default dev nwg1  scope link
192.168.130.0/24 dev br0  scope link
192.168.150.0/24 dev br1  scope link
~ #

 


В Policy0 как были стат маршруты -> так и остались, маршруты с маской /19 /16 /17 /18, был единственный стат.маршрут 185.183.х.х/32 на второго провайдера, который исчез в данной политики Policy0.

в Policy1 и в Policy2 - все ОК, как и в других. проблема в нулевой policy

 

Читайте журнал изменений в телеге, там об этом написано

Link to comment
Share on other sites

  • 0

Пока выглядит правильно. Поскольку ip route 142.250.0.0/15 идет через Wireguard0, и он (Wireguard0) в этой политике разрешен, то он будет скопирован. Если бы он разрешен не был, то и не был бы скопирован.

Основное назначение команды не запретить копировать статические маршруты, а запретить копировать все недефолтные маршруты с интерфейсов, которые в политике запрещены. Поведение по умолчанию - копировать все недефолты, даже если интерфейс запрещен.

Link to comment
Share on other sites

  • 0
Posted (edited)
В 19.09.2024 в 11:19, Le ecureuil сказал:

Пока выглядит правильно. Поскольку ip route 142.250.0.0/15 идет через Wireguard0, и он (Wireguard0) в этой политике разрешен, то он будет скопирован. Если бы он разрешен не был, то и не был бы скопирован.

Основное назначение команды не запретить копировать статические маршруты, а запретить копировать все недефолтные маршруты с интерфейсов, которые в политике запрещены. Поведение по умолчанию - копировать все недефолты, даже если интерфейс запрещен.

Возможно ли доработка команды

ip route 142.250.0.0 255.254.0.0 Wireguard0 auto reject !y

ip policy Policy0
    permit global Wireguard0

ip policy Policy1
    permit global GigabitEthernet0/Vlan9
    no permit global Wireguard0
    no permit global Wireguard1
    standalone


~ # ip ro | grep 142.250
142.250.0.0/15 dev nwg0  proto static  scope link
~ # ip ro show table 10 | grep 142.250
142.250.0.0/15 dev nwg0  scope link 
~ # ip ro show table 11 | grep 142.250
~ #

Так как в данной Policy0 данный VPN в "default dev nwg0  scope link" то смысла в данных стат маршрутах которые на него указывают нет ни какого.

А вот добавить бы в нее Policy0 стат маршрут например такой

~ # ip ro show table 10
default dev nwg0  scope link
108.177.0.0/17 dev ppp0  scope link


 

Edited by vasek00
Link to comment
Share on other sites

  • 0
1 час назад, vasek00 сказал:

Так как в данной Policy0 данный VPN в "default dev nwg0  scope link" то смысла в данных стат маршрутах которые на него указывают нет ни какого.

А вот добавить бы в нее Policy0 стат маршрут например такой

~ # ip ro show table 10
default dev nwg0  scope link
108.177.0.0/17 dev ppp0  scope link


 

- Дедупликацию делать не будем пока, это не так просто

- ручное добавление будет в 4.3 чере команду ip policy Policy0 ip route 

  • Upvote 3
Link to comment
Share on other sites

  • 0
В 04.10.2024 в 14:40, Le ecureuil сказал:

- ручное добавление будет в 4.3 чере команду ip policy Policy0 ip route 

Спасибо работает в 43A1

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...