最后终于将旧路由器从 Vyatta 6.3 迁移到 VyOS,但遇到了一些问题。
由于 6.3 不兼容,参考旧的 VC config.boot 和 VyOS 示例重写了 VyOS 配置。
IPv6 配置可能不太理想,但这不是我遇到的主要问题。当新的 VyOS 服务器运行时,内部网络无法访问 CIDR 块中的任何地址。此外,除网关 (.17) 之外,CIDR 块中可从互联网访问的地址在大约 8 小时后变得无法访问。重新启动到旧的 VC 配置不会显示任何这些症状。
如果有人能检查一下配置并检查是否存在我遗漏的明显问题,我将不胜感激。
一些基本配置:
内部网络 10.2.0.0/24
外部静态 IP:123.234.234.207/27
外部静态网关:123.234.234.193
CIDR 块(路由子网):123.123.123.16-31/28
CIDR 网关:123.123.123.17
远程网络:192.168.0.0/24
实际配置...
防火墙 {
启用所有 ping
广播 ping 禁用
配置陷阱禁用
ipv6 名称 WANFW {
默认操作删除
描述“防火墙阻止来自 IPv6 隧道的传入连接”
规则 5 {
行动接受
描述“必须允许,否则 MTU 发现将中断”
icmpv6 {
数据包类型过大
}
协议 icmpv6
}
规则 10 {
行动接受
描述“允许 ping 回复”
icmpv6 {
类型乒乓
}
协议 icmpv6
}
规则 15 {
行动接受
描述“否则可能会导致碎片问题”
icmpv6 {
类型超时
}
协议 icmpv6
}
第 20 条 {
行动接受
描述“允许传入 IPSec”
ipsec {
匹配-ipsec
}
}
第 30 条 {
行动接受
描述“允许建立 TCP 连接”
协议 tcp
TCP {
标志 ACK
}
}
第 35 条
行动接受
描述“允许无状态 UDP”
协议 udp
}
第 40 条 {
行动接受
描述“允许 http 调用”
目的地 {
端口 http,https
}
协议 tcp
}
}
ipv6 接收重定向禁用
ipv6-src-route 禁用
ip-src-route 禁用
log-martians 启用
名称 OUTSIDE-IN {
默认操作删除
规则 10 {
行动接受
状态 {
已建立使能
相关启用
}
}
第 20 条 {
行动接受
描述杂音
目的地 {
地址 10.2.0.70
端口 64738
}
协议 tcp_udp
状态 {
新启用
}
}
}
名称 OUTSIDE-LOCAL {
默认操作删除
规则 10 {
行动接受
状态 {
已建立使能
相关启用
}
}
第 20 条 {
行动接受
icmp {
类型名称 回显请求
}
协议 icmp
状态 {
新启用
}
}
第 30 条 {
动作下降
目的地 {
端口 22
}
协议 tcp
最近的 {
计数 4
时间 60
}
状态 {
新启用
}
}
第 31 条 {
行动接受
目的地 {
端口 22
}
协议 tcp
状态 {
新启用
}
}
第 40 条 {
行动接受
协议 esp
}
第 41 条 {
行动接受
目的地 {
端口 500
}
协议 udp
}
第 42 条 {
行动接受
目的地 {
端口 4500
}
协议 udp
}
第 43 条
行动接受
目的地 {
端口 1701
}
ipsec {
匹配-ipsec
}
协议 udp
}
}
接收重定向禁用
发送重定向启用
源验证禁用
syn-cookies 启用
twa 危险保护禁用
}
接口 {
以太网 eth0 {
地址 123.234.234.207/27
描述 WAN
自动双面打印
防火墙 {
在 {
名称 外向内
}
当地的 {
名称 外部-本地
}
}
硬件 ID 0a:2d:35:b5:4a:25
smp_affinity 自动
自动速度
}
以太网 eth1 {
地址 123.123.123.17/28
描述 CIDR 网关
dhcpv6 选项 {
仅参数
}
自动双面打印
防火墙 {
在 {
名称 外向内
}
当地的 {
名称 外部-本地
}
}
硬件 ID 4e:ca:69:29:f4:ce
smp_affinity 自动
自动速度
}
以太网 eth2 {
地址 10.2.0.11/24
地址 2001:470::::11/64
描述局域网
自动双面打印
硬件 ID ae:61:af:ca:71:59
IPv6 {
重复地址检测传输 1
路由器广告 {
当前跳数限制 64
默认偏好高
链路 MTU 0
托管标志 false
最大间隔 600
其他配置标志 true
前缀 2001:470::::/64 {
自主标志 true
链接标志为 true
有效期 2592000
}
可达时间 0
重传定时器 0
发送广告 true
}
}
smp_affinity 自动
自动速度
}
回环 lo {
}
隧道 tun0 {
地址 2001:470::::2/64
描述“HE.NET IPv6 隧道”
封装位置
本地 IP 123.123.123.17
多播禁用
远程 IP 66.220.18.42
}
}
NAT {
目的地 {
规则 150 {
描述“Murmur 服务器”
目的地 {
端口 64738
}
入站接口 eth0
协议 tcp_udp
来源 {
地址 0.0.0.0/0
}
翻译 {
地址 10.2.0.70
端口 64738
}
}
}
来源 {
规则 100 {
目的地 {
地址 !192.168.0.0/24
}
出站接口 eth0
来源 {
地址 10.2.0.0/24
}
翻译 {
地址伪装
}
}
}
}
协议 {
静止的 {
接口路由6 ::/0 {
下一跳接口 tun0 {
}
}
路线 0.0.0.0/0 {
下一跳 123.234.234.193 {
}
}
}
}
服务 {
dhcpv6 服务器 {
共享网络名称 workipv6 {
子网 2001:470::::/64 {
域名搜索 work.local
名称服务器 2001:4860:4860::8888
}
}
}
域名系统 {
转发 {
缓存大小 0
监听 eth2
名称服务器 8.8.8.8
名称服务器 8.8.4.4
}
}
https {
http 重定向禁用
}
SSH {
端口 22
}
}
系统 {
网关地址 123.234.234.193
主机名 miyuki
名称服务器 8.8.8.8
名称服务器 8.8.4.4
}
VPN {
ipsec {
esp-group work_esp {
压缩禁用
终生 28800
模式隧道
pfs 禁用
提案 2 {
加密3des
哈希sha1
}
}
esp 组发射机_esp {
压缩禁用
终生 28800
模式隧道
pfs 禁用
提案 1 {
加密3des
哈希sha1
}
}
ike 组 work_ike {
死对等检测 {
动作明确
间隔 20
超时 60
}
ikev2-reauth no
密钥交换 ikev1
终生 28800
提案 2 {
dh-组 2
加密3des
哈希sha1
}
}
ike 组发送器_ike {
死对等检测 {
动作明确
间隔 20
超时 60
}
ikev2-reauth no
密钥交换 ikev1
终生 28800
提案 1 {
dh-组 2
加密3des
哈希sha1
}
}
ipsec 接口 {
接口 eth0
}
nat-traversal 禁用
站点到站点 {
对等体 210.210.210.128 {
验证 {
模式预共享秘密
预共享秘密 不
}
连接类型启动
ike-group work_ike
ikev2-reauth 继承
本地地址 123.234.234.207
隧道 2 {
允许 nat 网络禁用
允许公共网络禁用
esp-group work_esp
当地的 {
前缀 10.2.0.0/24
}
偏僻的 {
前缀 192.168.0.0/24
}
}
}
}
}
}