LINUX.ORG.RU
ФорумAdmin

не разберусь с роутингом и СПД провайдера


0

1

Есть 3 сетевухи (инет, локалка, СПД провайдера)

eth0 Link encap:Ethernet HWaddr 1C:AF:***********
inet addr:79.********* Bcast:79.******** Mask:255.255.255.252
inet6 addr: fe80::1eaf:f7ff:******/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:130783 errors:0 dropped:0 overruns:0 frame:0
TX packets:130151 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:83734590 (79.8 MiB) TX bytes:22682973 (21.6 MiB)
Interrupt:217 Base address:0x6000

eth1 Link encap:Ethernet HWaddr 1C:BD:B9:86:EC:1A
inet addr:192.168.10.200 Bcast:192.168.10.255 Mask:255.255.255.0
inet6 addr: fe80::1ebd:b9ff:fe86:ec1a/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:165017 errors:0 dropped:0 overruns:0 frame:0
TX packets:125998 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:19799297 (18.8 MiB) TX bytes:83256441 (79.3 MiB)
Interrupt:201

eth2 Link encap:Ethernet HWaddr 1C:AF:F7:6F:81:E8
inet addr:172.16.18.2 Bcast:172.16.18.3 Mask:255.255.255.252
inet6 addr: fe80::1eaf:f7ff:fe6f:81e8/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:20986 errors:0 dropped:0 overruns:0 frame:0
TX packets:6273 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1649787 (1.5 MiB) TX bytes:2092300 (1.9 MiB)
Interrupt:209 Base address:0x2000

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:42062 errors:0 dropped:0 overruns:0 frame:0
TX packets:42062 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:7192580 (6.8 MiB) TX bytes:7192580 (6.8 MiB)

В локалке есть 1с сервер с адресом 192.168.10.100
В СПД провайдера есть 2 филиала с адресами 172.16.16.0 и 172.16.20.0
Нужно чтобы из филиалов виделся сервер 1с и локальные ресурсы.



Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
172.16.18.0 172.16.18.2 255.255.255.252 UG 0 0 0 eth2
79.***.***.*** 0.0.0.0 255.255.255.252 U 0 0 0 eth0
172.16.20.0 172.16.18.1 255.255.255.0 UG 0 0 0 eth2
172.16.16.0 172.16.18.1 255.255.255.0 UG 0 0 0 eth2
192.168.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
0.0.0.0 79.***.***.*** 0.0.0.0 UG 0 0 0 eth0


Ответ на: комментарий от aol

net.ipv6.conf.eth2.forwarding = 0
net.ipv6.conf.default.forwarding = 0
net.ipv6.conf.all.forwarding = 0
net.ipv6.conf.eth1.forwarding = 0
net.ipv6.conf.eth0.forwarding = 0
net.ipv6.conf.lo.forwarding = 0
net.ipv4.conf.eth2.mc_forwarding = 0
net.ipv4.conf.eth2.forwarding = 1
net.ipv4.conf.eth1.mc_forwarding = 0
net.ipv4.conf.eth1.forwarding = 1
net.ipv4.conf.eth0.mc_forwarding = 0
net.ipv4.conf.eth0.forwarding = 1
net.ipv4.conf.lo.mc_forwarding = 0
net.ipv4.conf.lo.forwarding = 1
net.ipv4.conf.default.mc_forwarding = 0
net.ipv4.conf.default.forwarding = 1
net.ipv4.conf.all.mc_forwarding = 0
net.ipv4.conf.all.forwarding = 1
net.ipv4.ip_forward = 1

nickyt ()
Ответ на: комментарий от aol

Chain INPUT (policy DROP 5505 packets, 263K bytes)
pkts bytes target prot opt in out source destination
0 0 DROP all  — * * 94.100.179.160 0.0.0.0/0
181 9572 DROP all  — * * 0.0.0.0/0 0.0.0.0/0 state INVALID
0 0 REJECT tcp  — * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x12/0x12 state NEW reject-with tcp-reset
42 2440 DROP tcp  — * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 state NEW
0 0 DROP all  — eth0 * 127.0.0.0/8 0.0.0.0/0
0 0 DROP all  — eth0 * 169.254.0.0/16 0.0.0.0/0
19884 4336K ACCEPT all  — lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all  — pptp+ * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all  — tun+ * 0.0.0.0/0 0.0.0.0/0
84438 6963K ACCEPT all  — eth1 * 0.0.0.0/0 0.0.0.0/0
19127 1232K ACCEPT all  — eth2 * 0.0.0.0/0 0.0.0.0/0
877 25433 ACCEPT icmp — eth0 * 0.0.0.0/0 0.0.0.0/0 icmp type 0
366 20496 ACCEPT icmp — eth0 * 0.0.0.0/0 0.0.0.0/0 icmp type 3
16 1564 ACCEPT icmp — eth0 * 0.0.0.0/0 0.0.0.0/0 icmp type 8
14 784 ACCEPT icmp — eth0 * 0.0.0.0/0 0.0.0.0/0 icmp type 11
0 0 ACCEPT udp  — eth0 * 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68
0 0 ACCEPT tcp  — eth0 * 0.0.0.0/0 0.0.0.0/0 tcp spt:67 dpt:68
0 0 ACCEPT tcp  — * * 0.0.0.0/0 79. tcp dpt:3389
0 0 ACCEPT tcp  — * * 0.0.0.0/0 79. tcp dpt:5900
484 52123 ACCEPT tcp  — * * 0.0.0.0/0 79. tcp dpt:81
11839 893K ACCEPT tcp  — * * 0.0.0.0/0 79. tcp dpt:22
155 8804 ACCEPT tcp  — * * 0.0.0.0/0 79. tcp dpt:1875
2435 523K ACCEPT udp  — eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpts:1024:65535 state RELATED,ESTABLISHED
15683 3013K ACCEPT tcp  — eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpts:1024:65535 state RELATED,ESTABLISHED

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP all  — * * 94.100.179.160 0.0.0.0/0
18965 984K ACCEPT tcp  — * eth1 0.0.0.0/0 192.168.10.100 tcp dpt:3389
0 0 ACCEPT tcp  — * eth2 0.0.0.0/0 192.168.10.100 tcp dpt:3389
0 0 ACCEPT tcp  — * eth1 0.0.0.0/0 172.16.16.250 tcp dpt:5900
16 768 ACCEPT tcp  — * eth2 0.0.0.0/0 172.16.16.250 tcp dpt:5900
12 720 DROP all  — * * 192.168.10.0/24 172.16.16.249
0 0 DROP all  — * * 172.16.18.0/30 172.16.16.249
13 780 DROP all  — * * 192.168.10.0/24 172.16.20.1
0 0 DROP all  — * * 172.16.18.0/30 172.16.20.1
30710 4074K ACCEPT all  — * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
500 38080 ACCEPT all  — eth1 * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all  — eth2 * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all  — pptp+ * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all  — tun+ * 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP all  — * * 0.0.0.0/0 94.100.179.160
19976 4341K ACCEPT all  — * lo 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all  — * pptp+ 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all  — * tun+ 0.0.0.0/0 0.0.0.0/0
35963 4842K ACCEPT all  — * eth1 0.0.0.0/0 0.0.0.0/0
4848 1843K ACCEPT all  — * eth2 0.0.0.0/0 0.0.0.0/0
1332 67083 ACCEPT icmp — * eth0 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT udp  — * eth0 0.0.0.0/0 0.0.0.0/0 udp spt:68 dpt:67
0 0 ACCEPT tcp  — * eth0 0.0.0.0/0 0.0.0.0/0 tcp spt:68 dpt:67
0 0 ACCEPT tcp  — * eth0 79. 0.0.0.0/0 tcp spt:3389
0 0 ACCEPT tcp  — * eth0 79. 0.0.0.0/0 tcp spt:5900
693 762K ACCEPT tcp  — * eth0 79. 0.0.0.0/0 tcp spt:81
11946 2595K ACCEPT tcp  — * eth0 79. 0.0.0.0/0 tcp spt:22
181 7600 ACCEPT tcp  — * eth0 79. 0.0.0.0/0 tcp spt:1875
41477 3873K ACCEPT all  — * eth0 0.0.0.0/0 0.0.0.0/0

Chain drop-lan (0 references)
pkts bytes target prot opt in out source destination
0 0 DROP all  — * * 0.0.0.0/0 0.0.0.0/0

nickyt ()
Ответ на: комментарий от aol

в филиале айпи компа 172.16.16.250, а шлюз 172.16.16.249(свич првайдера)

с сервера 172.16.18.2 пинги проходят на 172.16.16.250, я думаю значит и обратно

А вот соединить две локалки никак  — допустим 192.168.10.100 не видит ни 172.16.16.249 ни 172.16.20.1 ни даже 172.16.18.1 НО 172.16.18.2 - видит ...

nickyt ()
Ответ на: комментарий от nickyt

по буквам читай, что-ли..
в таблице маршрутизации в филиале для хоста 192.168.10.100 установи шлюзом 172.16.18.2.

aol ★★★★★ ()
Ответ на: комментарий от aol

поняно попробую . 18.2


Еще вопрос!!!
В обратную сторону — в филиале 172.16.20.0 есть сервер 172.16.20.100 — на него надо доступ из 192.168.10.100

nickyt ()
Ответ на: комментарий от nickyt

а что, прямо сейчас не работает? и почему на сервере
172.16.20.0 172.16.18.1 255.255.255.0 UG 0 0 0 eth2

филиалы воткнуты не напрямую в сервер?

aol ★★★★★ ()
Ответ на: комментарий от aol

шлюз щас и стоит 10.200 — но tracert почему то не заворачивается в 18ю сетку

nickyt ()
Ответ на: комментарий от nickyt

зачем тогда шлюзом стоит 172.16.18.1?? или ты чего-то не договариваешь ;)
больше рисуй на бумаге. :)

как будет возможность проверить мои предложения - пиши, если не выйдет чего. мне отойти надо сейчас.

aol ★★★★★ ()
Ответ на: комментарий от aol

172.16.18.0 172.16.18.2 255.255.255.252 UG 0 0 0 eth2 79.***.***.*** 0.0.0.0 255.255.255.252 U 0 0 0 eth0 172.16.20.0 172.16.18.1 255.255.255.0 UG 0 0 0 eth2 172.16.16.0 172.16.18.1 255.255.255.0 UG 0 0 0 eth2 192.168.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 0.0.0.0 79.***.***.*** 0.0.0.0 UG 0 0 0 eth0

18.1 он найдет по первой строчке через свой интерфейс 18.2

nickyt ()
Ответ на: комментарий от aol

172.16.18.0 172.16.18.2 255.255.255.252 UG 0 0 0 eth2
79.***.***.*** 0.0.0.0 255.255.255.252 U 0 0 0 eth0
172.16.20.0 172.16.18.1 255.255.255.0 UG 0 0 0 eth2
172.16.16.0 172.16.18.1 255.255.255.0 UG 0 0 0 eth2
192.168.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
0.0.0.0 79.***.***.*** 0.0.0.0 UG 0 0 0 eth0

nickyt ()
Ответ на: комментарий от nickyt

окей. значит, сервер и филиалы воткнуты в железку с адресом 172.16.18.1?

вероятно, с ней надо разбираться?

aol ★★★★★ ()
Ответ на: комментарий от nickyt

...и еще. открой для себя tracepath и смотри, на каком хопе затык. (при условии, что icmp на всем пути разрешены)

aol ★★★★★ ()
Ответ на: комментарий от aol

сервер 172.16.18.2  — видит всех и пинги и трасе и телнет проходит на любой комп 172.16.16.0 и 172.16.20.0 и 192.168.10.0 .... а вот видимость между 16.0 и 10.0, 20.0 и 10.0 --- не получается

nickyt ()
Ответ на: комментарий от nickyt

ну что ты ломаешься, как маленькая! покажи уже трейсы с тех направлений, с которых не получается, и route -n с тех же хостов.

aol ★★★★★ ()

бляяяя, наверное здесь и не знают о Traffic Segmentation и Assymetric VLAN и недогадываются о том что может быть разделение подсетей со стороны провайдера, что бы вырезать ненужный траффик

xspirit ()
Ответ на: комментарий от xspirit

попробуйте arping, что бы быть уверенным в том что вам отвечает именно ваш сервер

xspirit ()
Ответ на: комментарий от xspirit

Если я правильно понял дефолт гейтвей на клиентах в посети 172.16.20.0/24 есть 172.16.20.1 и больше там роутинга нет
В таком случае есть серьезное подозрение, что 172.16.20.1 никак не считает роутом для пакетов в сеть 172.16.16.0/24 твой 172.16.18.2. И вместо этого посылает твои пакеты в неведомые дали.

Проверить легко давай там трейспас с клиента, в случае винды pathping.

Добавлять роуты на клиентах нет смысла так как все равно все попадет к 172.16.20.1.

Маловероятно но все-таки

Traffic Segmentation и Assymetric VLAN

Надо погонять ваершарк интерфейсе сервера если пакеты с разными сорс и дист подсетями ходят, то значит реально тегируют по подсетям. Ну и до кучи на клиенте глянуть то же самое, в плане пакеты из другой подсети он получает или нет. Если пров занимает тегиронием, то реально роутить только через впн.

Ну и если в дампе пропалится что сервак дальше пакеты не пробрасывает. Добавить улог в цепочках глянуть куда пакет доходит и где теряется попадает ли в форвардинг вообще.

testuser123 ()
Ответ на: комментарий от testuser123

вполне возможно что будет иметь смысл просто расширить маску))

xspirit ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.