sirmax

Ebtables так или иначе требует бриджа

Tee + namespace вероятно для начала тоже будет работать

Я (пока) не осилил BPF но похоже без этого никак скоро будет Исходную задачу запуска 2 копий dhcp-helper решил через костыль с бриджом в бридж засунул оригинальный интерфейс и на него перенес ip адрес в него же виртуальную езернет-пару (veth), второй конец - в неймспейс, там и вторая копия helper но степень костыльности зашкаливает - это совсем не то что я хотел

Эти правила не работают. Более того в сокет dhcpd залетает не только его трафик и он грузит процессор если стоит на шлюзе. Как и релей от isc. По этой причине есть альтернативные реализации и одну из них я дебагаю, собственно и вопрос о ней. Несколько лет назад тут была моя же тема об этой проблеме.

Это не просто ip, это udp. Другой вопрос что да, к конкретно isc-dhcpd и редею от них же есть вопросы.

DST nat подразумевает получателя А пакет DHCP это src 0.0.0.0 dst 255.255.255.255 (как минимум первый) Можно такое корректно натить? по-моему нет С нетграфом не выйдет так как линукс Это и есть релей агент (сейчас на 67/68 как и положено). НО он цепляется на ВСЕ интерфейсы и потом внутри себя анализирует с какого интерфейса пришел пакет и есть ли он в списке "разрешенных" Соответвенно запустить 2 копии на одном сервере не выйдет - только на разных портах. Вторая копия, обновленная, не работает как ожидалось и нужна отладка. Запустить на живых клиентах - и сломать многим интернет не вариант Хочу запустить на другом порту собранный с логами и дебагом dhcp-helper (который имплементация dhcp-relay), и перенаправить часть траффика (например из офисного влана) и исследовать. Что там может не работать мне не ясно совершенно - и по тому интересно нйти

С целью дебага хочу "отмиррорить" все запросы с 67/68 порта на другой порт? (проблема в dhcp-helper не работает новая сборка, откатил на старую, но на тестовом окружении не воспроизводится) Так неткат видет запросы nc -ul 0.0.0.0 67 O(�Z�'�$��c�Sc52 ... (пример того что увидел неткат) А вот ак не видет (не только неткат -сначала пробовал с релеем, думал что-то не то с ним, неткат только для проверки) iptables -t nat -I PREROUTING -i eth101 -p udp -m udp --dport 67 -j REDIRECT --to-ports 1067 nc -ul 0.0.0.0 1067 Тспдамп запросы естественно видит с оригинальным портом до редиректа Счетчики правила ростут Устроит вариант с "скопировать" пакет - нужно проверять работу на реальном траффике так как клиенты разные Вариант "сдампать и проиграть трааффик на лабе" оставлю как последний шанс. Вариант с перебросом на ifb тоже не работает (но тут я не уверен насчет броадкастов) tc filter add dev eth101 parent 1: prio 1 protocol ip u32 match ip protocol 17 0xFF match ip dport 68 0xFFFF action mirred egress redirect dev ifb0 tc filter add dev eth101 parent 1: prio 1 protocol ip u32 match ip protocol 17 0xFF match ip dport 67 0xFFFF action mirred egress redirect dev ifb0 tc filter add dev eth101 parent 1: prio 1 protocol ip u32 match ip protocol 17 0xFF match ip sport 68 0xFFFF action mirred egress redirect dev ifb0 tc filter add dev eth101 parent 1: prio 1 protocol ip u32 match ip protocol 17 0xFF match ip sport 67 0xFFFF action mirred egress redirect dev ifb0

Хочу иметь поддержку максимально тупых свитчей, без релея   Сеть мультивендорная, что б не сказать «зоопарк» и дальше будет больше

Да уж озарило верное слово ;) работает - не трогай, но почему не переделать если и так переделывать. Вопрос про dhcp на 40к интерфейсов открыт для меня

С 443 порта по-моему будут проблемы, если на 8081 голый http Если редиректить на порт в SSL то браузеры будут ругаться на сертефикат Не очень понятно какой выхлоп даст идея

Доброго времени суток! Появилась идея сделать конфигурацию Vlan-Per-User Вопрос - есть ли опыт настройки скажем 40К интерфейсов на линуксе? какие проблемы ожидать? В целом идея в том что б вешать второй тег на аггрегации и на линуксе иметь что то вроде eth0.10.20 в сторону клиента Пока это мысли вслух, порассуждать о возможных проблемах.

Можно приправить ospf что б если один упадёт работать не перестало. Ну это все если контролируете оба конца обоих линков.

нет ну что за странные желания? Это ж микротик там все из коробки святое. хотя если отбросить юмор я б покупал пожалуй только микротик если б можно было свои пакеты писать взамен или в дополнение к вендорским. У меня конечно пукан пригорает местами от ограничений.

А можете рассказать подробнее? Я пока смог только относительно старые релизы openwrt собрать. Производительность ещё не успел проверить

Грибы норм) мне просто метароутер интересен. Понятно что тут это костыль ради костыля