Überlappende IPv4 Adressen bei Layer 3 von WAN und Client #240

New Issue

ChristianD · 2022-04-07T18:00:26+02:00

ChristianD commented

2022-04-07 18:00:26 +02:00

Wenn sich die IP Bereiche aus dem WAN und den Client Netz überlappen führt das zu unschönen Effekten (meist geht IPv4 per WAN nicht, wenn man nur DNS per v4 hat wie manche Fritzboxen liefern geht DNS nicht d.h. er kann seine Monitoringdaten nicht los werden... etc.)

Wird mit NAT jetzt doppelt problematisch, wenn man 192.168.0.0/16 als Clientbereich verwendet und per WAN eine Fritzbox mit 192.168.178.0/24 daher kommt, geht das v4 Netz nicht

root@chdxxx:~# ip ru sh
0:	from all lookup local
20:	from 10.50.0.0/16 lookup fff
20:	from all to 10.50.0.0/16 lookup fff
20:	from 10.83.0.0/16 lookup fff
20:	from all to 10.83.0.0/16 lookup fff
31:	from all iif br-client lookup fff
31:	from all iif wg_xxx lookup fff
5000:	from all fwmark 0xc8 lookup main
5001:	from all fwmark 0xc8 blackhole
10000:	from 10.50.186.36 lookup fff
10000:	from 192.168.0.1 lookup fff
20000:	from all to 192.168.0.1/16 lookup fff
32766:	from all lookup main
32767:	from all lookup default
90012:	from all iif lo lookup fff

Vielleicht sollte man die rules mal grundlegend aufräumen. Ich bin nach wie vor dafür alles was nicht wireguard ist auf die fff table zu schieben und nur Wireguardpakete aufs WAN zu lassen.

Als Zwischenlösung wäre es auch schon hilfreich wenn DNS vom Router selbst auf ::1 zeigt, damit er seinen eigenen DNS Server verwendet. Würde zumindest das DNS Problem lösen.

Wenn sich die IP Bereiche aus dem WAN und den Client Netz überlappen führt das zu unschönen Effekten (meist geht IPv4 per WAN nicht, wenn man nur DNS per v4 hat wie manche Fritzboxen liefern geht DNS nicht d.h. er kann seine Monitoringdaten nicht los werden... etc.) Wird mit NAT jetzt doppelt problematisch, wenn man 192.168.0.0/16 als Clientbereich verwendet und per WAN eine Fritzbox mit 192.168.178.0/24 daher kommt, geht das v4 Netz nicht ```` root@chdxxx:~# ip ru sh 0: from all lookup local 20: from 10.50.0.0/16 lookup fff 20: from all to 10.50.0.0/16 lookup fff 20: from 10.83.0.0/16 lookup fff 20: from all to 10.83.0.0/16 lookup fff 31: from all iif br-client lookup fff 31: from all iif wg_xxx lookup fff 5000: from all fwmark 0xc8 lookup main 5001: from all fwmark 0xc8 blackhole 10000: from 10.50.186.36 lookup fff 10000: from 192.168.0.1 lookup fff 20000: from all to 192.168.0.1/16 lookup fff 32766: from all lookup main 32767: from all lookup default 90012: from all iif lo lookup fff ```` Vielleicht sollte man die rules mal grundlegend aufräumen. Ich bin nach wie vor dafür alles was nicht wireguard ist auf die fff table zu schieben und nur Wireguardpakete aufs WAN zu lassen. Als Zwischenlösung wäre es auch schon hilfreich wenn DNS vom Router selbst auf ::1 zeigt, damit er seinen eigenen DNS Server verwendet. Würde zumindest das DNS Problem lösen.

fbl added the

layer3

label 2022-04-23 12:48:39 +02:00

Sign in to join this conversation.