Differences

This shows you the differences between two versions of the page.

--- zerotier_vpn_to_lan_troubleshooting [2025/07/10 15:34] – created oso
+++ zerotier_vpn_to_lan_troubleshooting [2025/07/22 13:02] (current) – [VPN no puede acceder a la LAN (srv05 como gateway Zerotier)] oso
@@ Line 38: / Line 38: @@
 <code>
-sudo iptables -I FORWARD 1 -j LOG --log-prefix "FORWARD DROP: " --log-level 4
+sudo iptables -I FORWARD 1 -j LOG --log-prefix "FORWARD TRACE: " --log-level 4
 tail -f /var/log/syslog | grep "FORWARD DROP:"
 </code>
@@ Line 95: / Line 95: @@
 === Notas finales ===
+<WRAP center round important 60%>
 Para mantener la configuración:
+</WRAP>
 <code>
 sudo apt install iptables-persistent
-sudo iptables-save > /etc/iptables/rules.v4
+sudo iptables-save | sudo tee /etc/iptables/rules.v4 > /dev/null
 </code>
@@ Line 106: / Line 109: @@
 ----
+===== Anexo: Configuración y Diagnóstico IPTables para Gateway Zerotier ↔ LXC =====
+=== Resumen ===
+El host `srv05` actúa como gateway entre la red VPN de Zerotier (`10.241.0.0/16`) y la red LAN del homelab (`192.168.88.0/24`). Para habilitar esta conectividad, se configuraron reglas de IPTables tanto en la tabla `filter` como en `nat`, y se verificó el ruteo en el router Mikrotik.
+=== Reglas Básicas IPTables ===
+<code>
+# Tabla filter
+-A FORWARD -s 10.241.0.0/16 -d 192.168.88.0/24 -j ACCEPT
+-A FORWARD -s 192.168.88.0/24 -d 10.241.0.0/16 -j ACCEPT
+# Tabla nat
+-A POSTROUTING -s 10.241.0.0/16 -o lxcbr0 -j SNAT --to-source 192.168.88.33
+</code>
+=== Consideraciones ===
+  * **Sin necesidad de SNAT si el Mikrotik tiene ruta estática**: Si el router Mikrotik sabe que puede alcanzar `10.241.0.0/16` vía `192.168.88.33`, no hace falta la regla SNAT. Sin embargo, puede ser útil para debugging o si el router impone restricciones por subred.
+  * **Reglas basadas en subredes en lugar de interfaces**: Esto hace más robusta la configuración frente a cambios de nombres de interfaces.
+  * **La dirección `192.168.88.84` usada en versiones anteriores fue deprecada**. Revisar la tabla NAT con `iptables -t nat -S` y eliminar reglas obsoletas.
+  * **`ip a` y `ip r`** son comandos útiles para verificar interfaces y rutas actuales.
+=== Troubleshooting: Diagnóstico Paso a Paso ===
+==== 1. Habilitar Log de Reglas FORWARD ====
+Agregar una regla temporal al inicio de la cadena FORWARD para ver todo el tráfico que pasa (no solo el dropeado):
+<code>
+sudo iptables -I FORWARD 1 -j LOG --log-prefix "FORWARD TRACE: " --log-level 4
+</code>
+Esto logueará *todo* el tráfico que pase por FORWARD, no solo lo que se dropea. Ideal para observar si el tráfico llega pero no coincide con alguna regla `ACCEPT`.
+Ver los logs:
+<code>
+tail -f /var/log/syslog | grep "FORWARD TRACE:"
+</code>
+Once you've found the issue, remember to remove the logging rule to avoid excessive log entries:
+<code>sudo iptables -D FORWARD -j LOG --log-prefix "FORWARD TRACE: " --log-level 4</code>
+==== 2. Confirmar IP Forwarding ====
+<code>
+sysctl net.ipv4.ip_forward
+sudo sysctl -w net.ipv4.ip_forward=1
+</code>
+Para hacerlo persistente:
+<code>
+echo "net.ipv4.ip_forward=1" | sudo tee -a /etc/sysctl.conf
+</code>
+==== 3. Verificar Reglas NAT ====
+<code>
+sudo iptables -t nat -S
+</code>
+Eliminar entradas incorrectas:
+<code>
+sudo iptables -t nat -D POSTROUTING -s 10.241.0.0/16 -o lxcbr0 -j SNAT --to-source 192.168.88.84
+</code>
+==== 4. Verificar Rutas en srv05 ====
+<code>
+ip route
+</code>
+Debe haber rutas activas hacia ambas redes (`10.241.0.0/16` y `192.168.88.0/24`), y las interfaces deben estar UP (`ip a`).
+==== 5. Confirmar Configuración del Mikrotik ====
+  * Debe existir una ruta estática:
+    `10.241.0.0/16 → vía 192.168.88.33`
+  * Forwarding habilitado entre LAN y VPN.
+  * NAT deshabilitado o con reglas explícitas de aceptación.
+----
+Este anexo forma una guía de referencia rápida para resolver problemas de enrutamiento y NAT entre una red VPN virtualizada y un entorno de red de contenedores.