Forwarding a subred

[tormund1985]

Muy buenas,

Llevo semanas peleándome y no doy solucionado, seguro que es una chorrada que la mayoría de vosotros sabéis hacer.

Tengo una raspberry pi 4B conectada a internet vía Wifi y vía LAN a una cámara de red (192.168.1.108), logro conectarme a ella mediante ping y vía http en el navegador, pero la aplicación de la cámara indica que no tiene salida a internet.

Descarto problemas de puertos tras analizar vía netstat...

Por supuesto la linea de forwarging del sysctl está descomentada y puesta a 1.

Os paso configuración de red de las tarjetas:

Código: Seleccionar todo

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.1.144  netmask 255.255.255.0  broadcast 192.168.1.255
        inet6 fe80::e94d:38a2:b7ed:af94  prefixlen 64  scopeid 0x20<link>
        ether e4:5f:01:28:05:2c  txqueuelen 1000  (Ethernet)
        RX packets 77  bytes 4764 (4.6 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 116  bytes 10685 (10.4 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 569  bytes 50262 (49.0 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 569  bytes 50262 (49.0 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

wlan0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.31.243  netmask 255.255.255.0  broadcast 192.168.31.255
        inet6 fe80::cb:aa9c:bd69:3395  prefixlen 64  scopeid 0x20<link>
        ether e4:5f:01:28:05:2e  txqueuelen 1000  (Ethernet)
        RX packets 394  bytes 160278 (156.5 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1216  bytes 116696 (113.9 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Gracias de antemano.

[egrueda]

La cámara (192.168.1.108) ¿Está usando la raspi como puerta de enlace predeterminada? ¿O sale usando el router?

[caylus]

Muy buenas,

Llevo semanas peleándome y no doy solucionado, seguro que es una chorrada que la mayoría de vosotros sabéis hacer.

Tengo una raspberry pi 4B conectada a internet vía Wifi y vía LAN a una cámara de red (192.168.1.108), logro conectarme a ella mediante ping y vía http en el navegador, pero la aplicación de la cámara indica que no tiene salida a internet.

Descarto problemas de puertos tras analizar vía netstat...

Por supuesto la linea de forwarging del sysctl está descomentada y puesta a 1.

Os paso configuración de red de las tarjetas:

Código: Seleccionar todo

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.1.144  netmask 255.255.255.0  broadcast 192.168.1.255
        inet6 fe80::e94d:38a2:b7ed:af94  prefixlen 64  scopeid 0x20<link>
        ether e4:5f:01:28:05:2c  txqueuelen 1000  (Ethernet)
        RX packets 77  bytes 4764 (4.6 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 116  bytes 10685 (10.4 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 569  bytes 50262 (49.0 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 569  bytes 50262 (49.0 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

wlan0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.31.243  netmask 255.255.255.0  broadcast 192.168.31.255
        inet6 fe80::cb:aa9c:bd69:3395  prefixlen 64  scopeid 0x20<link>
        ether e4:5f:01:28:05:2e  txqueuelen 1000  (Ethernet)
        RX packets 394  bytes 160278 (156.5 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1216  bytes 116696 (113.9 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Gracias de antemano.

Por lo que veo, quieres montar un AP (Access Point), pero necesitas hacer mucho más que modificar la línea “#net.ipv4.ip_forward=1” en sysctl.conf. ¿Has montado el DHCP server y el demonio para crear el punto de acceso? Y, si lo has hecho, ¿Has cargado las IPTABLES?

Besotes

[tormund1985]

El servidor DHCP no lo monté, de todas formas solo me interesa conectar un equipo que configuro con una ip estática. En cuanto a reglas en iptables metí la siguiente:

Código: Seleccionar todo

iptables -t nat -A POSTROUTING -o wlan0 -j MASQUERADE

Según leí después de ésto debería funcionar, pero la cámara sigue indicando que no tiene conexión.

La cámara está en el rango 192.168.1.X, puerta de enlace 192.168.1.1 y dns 8.8.8.8 / 8.8.4.4

Me surge la duda de si debería utilizar un cable de red recto y no cruzado...

[egrueda]

Si la cámara (192.168.1.108) tiene puerta de enlace 192.168.1.1 quiere decir que la cámara se conecta a internet a través del router, no a través de la raspberry pi (192.168.1.144), ¿correcto?

[tormund1985]

Si la cámara (192.168.1.108) tiene puerta de enlace 192.168.1.1 quiere decir que la cámara se conecta a internet a través del router, no a través de la raspberry pi (192.168.1.144), ¿correcto?

Ah claro tienes razón, me interesa que salga por la pi, no por el router, lo modifico y os cuento. Hace mucho que no hago subnetting como se puede comprobar xD Gracias!

EDITO: Nada, cambié el router de la cámara y sigo sin salir a la wan.

[caylus]

Tu problema son las IPTABLES:

1.- Borra todas las reglas IPTABLES.

2.- Configura las IPTABLES con esta regla solamente:
iptables -t nat -A POSTROUTING -j MASQUERADE

3.- Hazla persistente.

4.- Comprueba que funciona.

5.- Reinicia.

6.- Comprueba que funciona.

Estoy segura que ese es el problema.

Besotes

[tormund1985]

Tu problema son las IPTABLES:

1.- Borra todas las reglas IPTABLES.

2.- Configura las IPTABLES con esta regla solamente:
iptables -t nat -A POSTROUTING -j MASQUERADE

3.- Hazla persistente.

4.- Comprueba que funciona.

5.- Reinicia.

6.- Comprueba que funciona.

Estoy segura que ese es el problema.

Besotes

Sigue sin funcionar... probé hasta con un cable cruzado y recto, las reglas activas son las siguientes:

Código: Seleccionar todo

-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-N ufw-before-logging-input
-N ufw-before-logging-output
-N ufw-before-logging-forward
-N ufw-before-input
-N ufw-before-output
-N ufw-before-forward
-N ufw-after-input
-N ufw-after-output
-N ufw-after-forward
-N ufw-after-logging-input
-N ufw-after-logging-output
-N ufw-after-logging-forward
-N ufw-reject-input
-N ufw-reject-output
-N ufw-reject-forward
-N ufw-track-input
-N ufw-track-output
-N ufw-track-forward
-N ufw-logging-deny
-N ufw-logging-allow
-N ufw-skip-to-policy-input
-N ufw-skip-to-policy-output
-N ufw-skip-to-policy-forward
-N ufw-not-local
-N ufw-user-input
-N ufw-user-output
-N ufw-user-forward
-N ufw-user-logging-input
-N ufw-user-logging-output
-N ufw-user-logging-forward
-N ufw-user-limit
-N ufw-user-limit-accept
-A INPUT -j ufw-before-logging-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-logging-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
-A FORWARD -j ufw-before-logging-forward
-A FORWARD -j ufw-before-forward
-A FORWARD -j ufw-after-forward
-A FORWARD -j ufw-after-logging-forward
-A FORWARD -j ufw-reject-forward
-A FORWARD -j ufw-track-forward
-A OUTPUT -j ufw-before-logging-output
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-logging-output
-A OUTPUT -j ufw-reject-output
-A OUTPUT -j ufw-track-output
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP
-A ufw-before-input -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-input -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A ufw-before-input -j ufw-not-local
-A ufw-before-input -d 224.0.0.251/32 -p udp -m udp --dport 5353 -j ACCEPT
-A ufw-before-input -d 239.255.255.250/32 -p udp -m udp --dport 1900 -j ACCEPT
-A ufw-before-input -j ufw-user-input
-A ufw-before-output -o lo -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -j ufw-user-output
-A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-forward -j ufw-user-forward
-A ufw-after-input -p udp -m udp --dport 137 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 138 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 139 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 445 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 67 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 68 -j ufw-skip-to-policy-input
-A ufw-after-input -m addrtype --dst-type BROADCAST -j ufw-skip-to-policy-input
-A ufw-after-logging-input -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-after-logging-forward -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-track-output -p tcp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-track-output -p udp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-logging-deny -m conntrack --ctstate INVALID -m limit --limit 3/min --limit-burst 10 -j RETURN
-A ufw-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-logging-allow -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW ALLOW] "
-A ufw-skip-to-policy-input -j DROP
-A ufw-skip-to-policy-output -j ACCEPT
-A ufw-skip-to-policy-forward -j DROP
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP
-A ufw-user-input -p tcp -m tcp --dport 12366 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 12366 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 8900 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 8900 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 8901 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 8901 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 8902 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 8902 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 8903 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 8903 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 8800 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 8800 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 8801 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 8801 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 8802 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 8802 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 8803 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 8803 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 8180 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 8180 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 37777 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 37777 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 37778 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 37778 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 554 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 554 -j ACCEPT
-A ufw-user-limit -m limit --limit 3/min -j LOG --log-prefix "[UFW LIMIT BLOCK] "
-A ufw-user-limit -j REJECT --reject-with icmp-port-unreachable
-A ufw-user-limit-accept -j ACCEPT

La guía que seguí fue la siguiente:
https://blog.desdelinux.net/conecta-dos ... -gnulinux/

[egrueda]

Necesitas dos cosas
- enmascaramiento (masquerade)
- reenvío (ip_forward)

Prueba lo que te dice caylus en el punto 2

[caylus]

Ahora lo entiendo, no quieres hacer un Access Point sino que quieres que una cámara Wireless se conecte a tu Raspberry y que tenga acceso a Internet.
Viendo las reglas que tienes, tu problema está en el Firewall UFW porque es el que no te permite el acceso a internet.

Revisa los archivos:

/etc/ufw/before.rules
Busca la línea y comprueba que existe:
# Forward traffic through eth0 - Change to match your out-interface
-A POSTROUTING -o eth0 -j MASQUERADE

/etc/ufw/after.rules
Busca las líneas y comprueba que existen:
# Enable Port forwarding
-A FORWARD -o eth0 -i wlan0 -s 192.168.0.0/24 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

/etc/default/ufw
Busca las líneas y comprueba que existen:
# Set the default forward policy to ACCEPT, DROP or REJECT. Please note that
# if you change this you will most likely want to adjust your rules
# DEFAULT_FORWARD_POLICY="DROP"
DEFAULT_FORWARD_POLICY="ACCEPT"

Y haz caso a lo que te dice @egrueda

Besotes

[tormund1985]

Ahora lo entiendo, no quieres hacer un Access Point sino que quieres que una cámara Wireless se conecte a tu Raspberry y que tenga acceso a Internet.
Viendo las reglas que tienes, tu problema está en el Firewall UFW porque es el que no te permite el acceso a internet.

Revisa los archivos:

/etc/ufw/before.rules
Busca la línea y comprueba que existe:
# Forward traffic through eth0 - Change to match your out-interface
-A POSTROUTING -o eth0 -j MASQUERADE

/etc/ufw/after.rules
Busca las líneas y comprueba que existen:
# Enable Port forwarding
-A FORWARD -o eth0 -i wlan0 -s 192.168.0.0/24 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

/etc/default/ufw
Busca las líneas y comprueba que existen:
# Set the default forward policy to ACCEPT, DROP or REJECT. Please note that
# if you change this you will most likely want to adjust your rules
# DEFAULT_FORWARD_POLICY="DROP"
DEFAULT_FORWARD_POLICY="ACCEPT"

Y haz caso a lo que te dice @egrueda

Besotes

Buenas de nuevo y gracias de antemano por tu tiempo.

La cámara es alámbrica por ethernet a la pi, el motivo de querer que tenga internet es que su aplicación p2p funcione.

He comprobado con un pc que a éste le llegue internet, (hago pin con el 8.8.8.8), sin embargo no navego, pero bueno, no me preocupa, será porque mi maquina no esta resolviendo dns. En cuanto pueda reviso todo lo que me indicas.

Mil gracias!

[caylus]

La cámara es alámbrica por ethernet a la pi, el motivo de querer que tenga internet es que su aplicación p2p funcione.

Perdona, lo había entendido mal, últimamente estoy bastante agotada: En las líneas que te he dado sustituye “eth0” por “wlan0” y lo mismo al contrario “wlan0” por “eth0”.

Besotes

[tormund1985]

Pues ahora no doy solucionada la resolución dns... hago ping a Ip's pero no a Urls... maldita sea :(

[egrueda]

Pues ahora no doy solucionada la resolución dns... hago ping a Ip's pero no a Urls... maldita sea :(

¿Eso desde la raspberry?
¿Qué tienes en el /etc/resolv.conf?

[tormund1985]

Pues ahora no doy solucionada la resolución dns... hago ping a Ip's pero no a Urls... maldita sea :(

¿Eso desde la raspberry?
¿Qué tienes en el /etc/resolv.conf?

La rasp perfectamente, apunta a la 192.168.31.1 que es la dirección de la wlan0 al router:

Código: Seleccionar todo

# Generated by resolvconf
nameserver 192.168.31.1

El extremo de la cámara (estoy probando con un netbook) lo tengo configurado en:
192.168.1.108/24 y puerta 192.168.1.144 (Rasp)
DNS 1.1.1.1 (tambien probé con 192.168.1.144)

Mil gracias y disculpad mi torpeza

[egrueda]

Quizá el problema esté en el firewall de la raspi, que bloquea las conexiones al puerto 53/udp

[tormund1985]

Quizá el problema esté en el firewall de la raspi, que bloquea las conexiones al puerto 53/udp

Nada abrí el puerto pero sigue igual, el direccionamiento de la cámara estaría correcto? me surge la duda de si poner en las dns 8.8.8.8 o bien la ip de la rasp.

[caylus]

Siento el retraso en mi respuesta, estoy bastante ocupada últimamente y no puedo responder rápidamente.

En referencia a mi anterior post, aunque estamos utilizando UFW para configurar las reglas, todo el tráfico de la red simplemente se reenviará desde eth0 a la interfaz wlan0 (Recuerda que debías intercambiar los interfaces) y no se bloquearán puertos ni protocolos, por lo que no se comportará como dispositivo cortafuegos entre las dos interfaces.

Si los archivos que te dije están bien configurados, el problema debe estar en otro lugar.
Edita el fichero de la interface eth0 y comprueba que existe la siguiente línea:
allow-hotplug eth0
Si no existe, añádela. Reinicia y prueba a acceder. De esta forma, la interfaz esperará a que udev y el kernel los detecten y luego se configurará.


Por cierto, el manual que has utilizado es para el montaje de una VLAN en un router monopuesto de hace nueve años. La configuración de los sistemas ha cambiado mucho desde entonces.

Besotes

P.S.: Es indiferente las DNS que uses en la cámara, siempre y cuando, la puerta de enlace (gateway) de la cámara apunte a la Raspberry.

[tormund1985]

Siento el retraso en mi respuesta, estoy bastante ocupada últimamente y no puedo responder rápidamente.

En referencia a mi anterior post, aunque estamos utilizando UFW para configurar las reglas, todo el tráfico de la red simplemente se reenviará desde eth0 a la interfaz wlan0 (Recuerda que debías intercambiar los interfaces) y no se bloquearán puertos ni protocolos, por lo que no se comportará como dispositivo cortafuegos entre las dos interfaces.

Si los archivos que te dije están bien configurados, el problema debe estar en otro lugar.
Edita el fichero de la interface eth0 y comprueba que existe la siguiente línea:
allow-hotplug eth0
Si no existe, añádela. Reinicia y prueba a acceder. De esta forma, la interfaz esperará a que udev y el kernel los detecten y luego se configurará.


Por cierto, el manual que has utilizado es para el montaje de una VLAN en un router monopuesto de hace nueve años. La configuración de los sistemas ha cambiado mucho desde entonces.

Besotes

P.S.: Es indiferente las DNS que uses en la cámara, siempre y cuando, la puerta de enlace (gateway) de la cámara apunte a la Raspberry.

Primero de todo no hay disculpas que pedir, sólo faltaría. Te agradezco mucho la ayuda.

En cuanto a las reglas que me distes si me fije bien y cambié eth0 por wlan0 como dijiste.

La configuración de la interfaz la hago en el fichero dhcpcd.conf, no tengo en /etc/network/interfaces ninguno específico, entiendo que puedo poner esa línea en éste fichero no es así?

Mil gracias.

EDITO. SOLUCIONADO!

con journalctl ví que el firewall estaba bloqueando la petición por el puerto 53 UDP como dijiste, pero no se porque aun con la regla puesta sigue bloqueando. Desactivando UFW por completo solucionado el tema, averiguaré porque sucede para no tener que tirar abajo el firewall.

MIL GRACIAS!

[tormund1985]

Muy buenas,

A ver si podéis echarme una mano con una regla que no logro hacer persistente en el firewall:

Código: Seleccionar todo

ufw show added
Added user rules (see 'ufw status' for running firewall):
ufw allow in on eth0
ufw allow out on eth0
ufw allow from 192.168.1.108
ufw allow from 192.168.1.0/24
ufw allow 53/udp
ufw allow from 192.168.1.108 to any port 53

Sin embargo me sigue bloqueando la solicitud que entra por eth0 con destino usb0 que es por donde tengo la salidad a internet:

Código: Seleccionar todo

[UFW BLOCK] IN=eth0 OUT=usb0 MAC=e4:5f:01:28:05:2c:6c:1c:71:27:27:ae:08:00 SRC=192.168.1.108 DST=8.8.8.8 LEN=57 TOS=0x00 PREC=0x00 TTL=63 ID=32079 DF PROTO=UDP SPT=44383 DPT=53 LEN=37 

También incluí en el rc.local la siguiente regla:

Código: Seleccionar todo

iptables -A FORWARD -i eth0 -o usb0 -j ACCEPT

Sin embargo sigue bloqueando en cuanto hago el reinicio. La única forma es desactivando el firewall...

Mil gracias de antemano como siempre!