маскарадинг

Обсуждение ПО и его настройки
Ответить
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Так, что у нас выходит ... Или на роутере 1 у меня засада какая-то или забагованный конфиг на роутере 1. Что делать то ? На роутере 1 у меня правда версия РОС 37.1 Ну и что это же не древность какая-то ? На R3 та же версия, что и у Вас.
Ну очень жалко сносить все на R1 ... Естественно, вернуть то даже забагованный конфиг пара минут. Приду домой, попробую, т.к. сейчас не могу - рработаю через VPN на роутере 1 - если удалю, не подключусь к нему.


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

проверить как идут/и/уходят пакеты локальные с 89 сети на роутере1
Проверьте НАТ, он должен быть утончённым.
Так как не знаю что там у Вас за супер-конфигурация, поэтому даю слегка абстрактные советы,
и давал их уже ни раз, но всё же ещё разок...

НАТ: надо не только явно указать куда (через) какой Интерфейс НАТить,
попробуйте правилами (адрес-листами) сделать явно, что если идёт адрес
локальный(сетей Ваших) и в поле Dst стоят НЕ ваши сети, то НАТить.
Опять же, если вдруг у Вас есть другие правила НАТа, то те, что более точные,
должны быть выше, те что обобщённее - должны быть ниже.

Опять же, трасерт делайте не только с роутеров, а и с компов, вот как я написал сегодня,
попробуйте с 0.22 компа (сделайте такой) дойти до 89.2 ....или с 89.2 дойти до 0.22
Смотрите где пакет стопорится/теряется....

Надо анализировать, понимать, И НАТ на Р3 сразу сразу удаляйте....делайте правильно...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

А если НАТ на роутере 1 вообще выключить будет работать пинг до 192.168.89.2 ?


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Sertik писал(а):А если НАТ на роутере 1 вообще выключить будет работать пинг до 192.168.89.2 ?

ДА....во всяком случаи я не вижу причин, да и попробовал на стенде = работает



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Нет. Все попробовал. Отключил все правила запрещающие на R1, убрал весь нат, кроме в Интернет. НЕ РАБОТАЕТ !
Остается, наверное, только заапгрейдить полностью и все с нуля настраивать ... Попробую, наверное, сегодня. Потом отпишусь.
Еще раз огромное спасибо, без Вас бы не разобрался ... Так бы и мучался.


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Sertik писал(а):Нет. Все попробовал. Отключил все правила запрещающие на R1, убрал весь нат, кроме в Интернет. НЕ РАБОТАЕТ !

Надо было на 1-2 минуты ВЕСЬ и ВСЁ что связано с НАТом отключить!
Sertik писал(а):Остается, наверное, только заапгрейдить полностью и все с нуля настраивать ... Попробую, наверное, сегодня. Потом отпишусь.

Да давно пора, во-первых у Вас версия которая может быть подвержена уязвимости,
ну а во-вторых, также с новыми версиями и загрузчик обновиться, поэтому тянуть не стоит.

Ну и конечно сделать надо с нуля, без всяких заводских конфигураций, фасттреков и так далее...
Бэкап конфига сделайте, но Очень!!! не советую его использовать для восстановления, лучше набить руками.
15 минут и роутер будет и как новый и работать будет шустро.
Sertik писал(а):Еще раз огромное спасибо, без Вас бы не разобрался ... Так бы и мучался.

Пожалуйста, я рад что мы нашли почти истину..., главное не сопротивляться советом,
быть в диалоге, пытаться, искать истину, инженерно подходить к проблеме,
делить её на под-задачи, анализировать и решать.

P.S.
Надеюсь, напишите....получилось ли в итоге!
:-ok-:



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Самому смешно, если бы не было грустно.

Вчера заапгрейдил роутер 1. Все нормально. Версия 40.4. Полностью снес конфиг. Сделал все как договаривались. Результат 0.
Зло разобрало не на шутку ...
Взял другой роутер нулевый. Сделал из него роутер 1. Результат 0.
Единственное утешение - значит конфиги не баговые. Видимо совсем тупой и делаю что-то не так. Видимо какое-то одно действие неверное.
Ну прямо заколдованный круг. Не могу тупо соединить два роутера и их сети. Это что такое ?
Им же даже интернет не нужен.
Ну простая задачка ... Что остается - описать действия. Объясните, где туплю ...

1. Роутер 1. (Чистый).
Делаем бридж локальный. Даем ему порты eth2-eth5. eth1 оставляем не в бридже (для выхода в Интернет, пока нам не нужно ...)
Даем бриджу адрес 192.168.0.1 в сети 192.168.0.0/24
Роутер сразу сам прописывает маршрут в эту подсеть для бриджа.
Делаем farewall filters "все разрешить" (инпут, оутпут и форвард)
Натов нет
Делаем маршрут в сеть 192.168.89.0/24 через гейт 192.168.0.9, pref scr 192.168.0.1
Сморим на роутере 3 МАК его eth1. Прописываем в ARP адрес 192.168.0.9 с этим маком.
Как только это сделали роутер 1 тут же дает второй маршрут на роутер 3

Втыкаем допустим из eth2 роутера 1 провод в eth1 роутера 3. А также соединяем eth2 роутера 3 с компьютером.

2. Роутер 3 (Чистый).
Делаем бридж такой-же
Даем бриджу адрес 192.168.89.1 в сети 192.168.89.0/24.
Роутер сразу прописывает маршрут в эту подсеть для бриджа.
Делаем farewall filters "все разрешить" (инпут, оутпут и форвард)
Натов нет
Eth1 оставляем не в бридже. Даем eth1 адрес 192.168.0.9.
Тут же прописывается маршрут на первый роутер.

Все ! При наличии указанных двух маршрутов на роутере 1 и двух маршрутов на роутере 3 эти роутеры и их подсети должны уже видеть друг друга.
Интернета нет (мы его не настраивали и не проверяем сейчас, зачем он нам для проверки - не нужен)
На ПК - адрес 192.168.89.2, шлюз 192.168.89.1

Но R1 по прежнему не пингует мой комп 192.168.89.2 ...
Ну блин, что не так ? Все же правильно делаю ...


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Аватара пользователя
Gregory
Сообщения: 17
Зарегистрирован: 26 окт 2017, 17:21

Уберите у маршрута с Р1 к Р3 pref source
Р1:

Код: Выделить всё

/ip route add check-gateway=ping distance=1 dst-address=192.168.89.0/24 gateway=192.168.0.9


Firewall filter вообще не нужен на данном этапе.
ARP тоже не трогайте, у Вас на сетевых портах и у бриджа какие настройки arp ?


Некоторые заметки из жизни: gregory-gost.ru
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

О, приветствую !

ARP на портах и бриджах было и "enable", ставил и "proxy-arp" - без толку. Это я знаю.
фильтры можно и не трогать. Если я поставил "все разрешить" это же не хуже ...


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Пробовал и без pref sourse. Та же песня. А чем с pref-ом хуже ? Тут на форуме наоборот мне его советовали ставить ...


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Ответить