[Ninux-Calabria] Attenti al NAT di openWRT

[Stefano De Carlo]

Il 07/12/2014 19:51, Vincenzo Pirrone ha scritto:
> Il 07/12/2014 19:38, Giuseppe De Marco ha scritto:
>> cmq è la stessa cosa, il sorgente lo controlli o con iptables o con
>> policy routing, l'effetto è il medesimo
> Spiego meglio il problema indirizzato dal policy routing

Ancora meglio, un esempio già successo:

Quando ancora stavo impostando il nodo, e non lo avevo collegato al mio modem, c'era Luca e anche Spax che annunciavano (volontariamente) la default route per tutta Ninux. Quindi anche nella stanza "ninuxizzata" avevo una route verso Internet.

Avevo due 0.0.0.0 nelle rotte, ma mi era impossibile utilizzarle, quelle due, altre eventuali, niet.

Questo perché in entrambi i casi, chiaramente, il mio next-hop è Brodolini, che ha una sua default route dovuta al tunnel VPN, al quale però non sono abilitato in NAT.
Questa default ha metrica minore di quelli annunciati da Ninux (essendo direttamente connessa), quindi vengo comunque instradato verso di lì, per poi essere bloccato dal NAT.

In sostanza, Brodolini mi fa da blackhole verso le default route annunciate da Ninux.

Il problema, come dice Spax, è indirizzato dall'implementazione del Policy Routing.
Il Source Routing, invece, ci permetterà di attaccare tra un po' le situazioni di multihoming in IPv6. Ma questa è una storia lontana almeno 12 mesi.

Stefanauss.

-------------- parte successiva --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://ml.ninux.org/pipermail/calabria/attachments/20141208/0454ecdb/attachment.pgp>