最后绕过从Vyatta 6.3迁移到VyOS的旧路由器,并遇到一些问题。
由于6.3的不兼容性,VyOSconfiguration在引用旧的VC config.boot和VyOS示例时被重写。
IPv6的configuration可能不太应该是这样,但这不是我所遇到的主要问题。 当新的VyOS服务器运行时,内部networking不能访问CIDR块中的任何地址。 而且,除了网关(.17)之外,可以从互联网访问的CIDR块中的地址在大约8小时之后变得不可访问。 重新启动到旧的VCconfiguration没有显示任何这些症状。
希望如果有人可以查看configuration,并检查是否有一些明显的问题,我错过了。
一些基本configuration:
内部networking10.2.0.0/24
外部静态IP:123.234.234.207/27
外部静态网关:123.234.234.193
CIDR块(路由子网):123.123.123.16-31 / 28
CIDR网关:123.123.123.17
远程networking:192.168.0.0/24
而实际的configuration…
防火墙{
全启用
广播ping禁用
configuration陷阱禁用
ipv6-name WANFW {
默认行动下降
描述“防火墙阻止来自IPv6隧道的传入连接”
规则5 {
行动接受
描述“必须允许或MTU发现将破坏”
icmpv6 {
键入数据包太大
}
协议icmpv6
}
规则10 {
行动接受
描述“允许ping回复”
icmpv6 {
打乒乓球
}
协议icmpv6
}
规则15 {
行动接受
描述“否则可能导致碎片问题”
icmpv6 {
键入超时时间
}
协议icmpv6
}
规则20 {
行动接受
描述“允许传入的IPSec”
ipsec {
比赛的IPSec
}
}
规则30 {
行动接受
描述“允许build立的TCP连接”
协议tcp
tcp {
标志ACK
}
}
规则35 {
行动接受
描述“允许无状态的UDP”
协议udp
}
规则40 {
行动接受
描述“允许http调用”
目的地{
端口http,https
}
协议tcp
}
}
ipv6-receive-redirects禁用
ipv6-src-route disable
ip-src-route禁用
对数火星使能
名字OUTSIDE-IN {
默认行动下降
规则10 {
行动接受
状态{
build立启用
相关的启用
}
}
规则20 {
行动接受
描述Murmur
目的地{
地址10.2.0.70
港口64738
}
协议tcp_udp
状态{
新的启用
}
}
}
名字OUTSIDE-LOCAL {
默认行动下降
规则10 {
行动接受
状态{
build立启用
相关的启用
}
}
规则20 {
行动接受
icmp {
types名称回声请求
}
协议icmp
状态{
新的启用
}
}
规则30 {
行动下降
目的地{
港口22
}
协议tcp
最近{
数4
时间60
}
状态{
新的启用
}
}
规则31 {
行动接受
目的地{
港口22
}
协议tcp
状态{
新的启用
}
}
规则40 {
行动接受
协议特别
}
规则41 {
行动接受
目的地{
港口500
}
协议udp
}
规则42 {
行动接受
目的地{
港口4500
}
协议udp
}
规则43 {
行动接受
目的地{
港口1701
}
ipsec {
比赛的IPSec
}
协议udp
}
}
接收redirect禁用
发送redirect启用
源validation禁用
syn-cookies启用
twa-hazards-protection禁用
}
接口{
以太网eth0 {
地址123.234.234.207/27
说明WAN
双面自动
防火墙{
在{
名字在外面
}
本地{
名字在外面
}
}
hw-id 0a:2d:35:b5:4a:25
smp_affinity auto
速度自动
}
以太网eth1 {
地址123.123.123.17/28
描述CIDR-Gateway
dhcpv6-options {
参数,只
}
双面自动
防火墙{
在{
名字在外面
}
本地{
名字在外面
}
}
hw-id 4e:ca:69:29:f4:ce
smp_affinity auto
速度自动
}
以太网eth2 {
地址10.2.0.11/24
地址2001:470 :::: 11/64
说明LAN
双面自动
hw-id ae:61:af:ca:71:59
ipv6 {
dup-addr-detect-transmit 1
路由器广告{
限制跳跃限制64
默认偏好高
link-mtu 0
托pipe标志为假
最大间隔600
other-config-flag是true
前缀2001:470 :::: / 64 {
自主标志是真的
on-link-flag是true
有效寿命2592000
}
可达时间0
重定时器0
发送广告为真
}
}
smp_affinity auto
速度自动
}
loopback lo {
}
隧道tun0 {
地址2001:470 :::: 2/64
描述“HE.NET IPv6隧道”
封装坐
本地IP 123.123.123.17
多播禁用
remote-ip 66.220.18.42
}
}
nat {
目的地{
规则150 {
描述“Murmur服务器”
目的地{
港口64738
}
入站接口eth0
协议tcp_udp
资源 {
地址0.0.0.0/0
}
翻译{
地址10.2.0.70
港口64738
}
}
}
资源 {
规则100 {
目的地{
地址!192.168.0.0/24
}
outbound-interface eth0
资源 {
地址10.2.0.0/24
}
翻译{
地址伪装
}
}
}
}
协议{
静态的 {
interface-route6 :: / 0 {
next-hop-interface tun0 {
}
}
路线0.0.0.0/0 {
下一跳123.234.234.193 {
}
}
}
}
服务{
dhcpv6-server {
共享networking名称workipv6 {
子网2001:470 :::: / 64 {
域searchwork.local
name-server 2001:4860:4860 :: 8888
}
}
}
dns {
转发{
caching大小0
聆听eth2
名称服务器8.8.8.8
名称服务器8.8.4.4
}
}
https {
HTTPredirect禁用
}
ssh {
港口22
}
}
系统{
网关地址123.234.234.193
主机名miyuki
名称服务器8.8.8.8
名称服务器8.8.4.4
}
vpn {
ipsec {
esp-group work_esp {
压缩禁用
一生28800
模式隧道
禁用pfs
build议2 {
encryption3des
哈希sha1
}
}
esp-group transmitter_esp {
压缩禁用
一生28800
模式隧道
禁用pfs
build议1 {
encryption3des
哈希sha1
}
}
ike-group work_ike {
死对等检测{
行动明确
间隔20
超时60
}
ikev2-reauth no
密钥交换ikev1
一生28800
build议2 {
dh-group 2
encryption3des
哈希sha1
}
}
ike-group transmitter_ike {
死对等检测{
行动明确
间隔20
超时60
}
ikev2-reauth no
密钥交换ikev1
一生28800
build议1 {
dh-group 2
encryption3des
哈希sha1
}
}
ipsec-interfaces {
接口eth0
}
nat-traversal禁用
站点到站点{
同级210.210.210.128 {
authentication{
模式预共享密钥
预共享秘密不可以
}
连接types启动
ike-group work_ike
ikev2-reauthinheritance
本地地址123.234.234.207
隧道2 {
allow-nat-networks禁用
allow-public-networks禁用
esp-group work_esp
本地{
前缀10.2.0.0/24
}
远程{
前缀192.168.0.0/24
}
}
}
}
}
}