Честно? Я вообще не понял ничего ...
На партнерской стороны маршрут на сеть 10.10.1.0/29 через 172.30.50.6. - вот это, зачем?
Не могут они прописать маршрут в ВАШУ сеть у себя? в сеть 192.168.1.0/24 через 172.30.50.6?
Чем вызвана такая сложность, у них где то используется эта подсеть уже? (192.168.1.0/24)
NAT и дополнительный хоп
-
- Сообщения: 14
- Зарегистрирован: 07 фев 2018, 17:22
Вот именно, что не могут, на партнерской стороне все жестко. Так и никак иначе. Поэтому и приходится извращаться с натом. Я ж еще в первом сообщении написал, что по-другому быть не может. Ну не идут навстречу никак. Я был бы счастлив, если б можно было отказаться от ната.
Партнерская сторона говорит, мы будем видеть вас на адресах из сети 10.10.1.0/29. Этого хватает, чтобы закрыть потребность в тех хостах, которые должны быть видны из сети партнера.
Партнерская сторона говорит, мы будем видеть вас на адресах из сети 10.10.1.0/29. Этого хватает, чтобы закрыть потребность в тех хостах, которые должны быть видны из сети партнера.
-
- Сообщения: 291
- Зарегистрирован: 26 дек 2017, 22:30
centner писал(а):Вот именно, что не могут, на партнерской стороне все жестко. Так и никак иначе. Поэтому и приходится извращаться с натом. Я ж еще в первом сообщении написал, что по-другому быть не может. Ну не идут навстречу никак. Я был бы счастлив, если б можно было отказаться от ната.
Партнерская сторона говорит, мы будем видеть вас на адресах из сети 10.10.1.0/29. Этого хватает, чтобы закрыть потребность в тех хостах, которые должны быть видны из сети партнера.
Т.е. вы спрашивали, могут ли они маршрут прописать тот, что нужен, и отказали?
Ок, с этим понятно.
Сколько по факту хостов нужно вашим партнерам?
поменяйте свою сеть на эту .. :)
точнее вы то поменяйте на /24, и хосты нужные поместите с 1 по 6 адрес, остальные + шлюз, дальше
Если с этим тоже не вариант - тогда так, как есть сейчас.
Ну и для верности в файрволе правила отключите чтоль на время проверить, может и побегут пакетики ... без полного списка правил тоже сложно сказать
-
- Сообщения: 14
- Зарегистрирован: 07 фев 2018, 17:22
enzain писал(а):поменяйте свою сеть на эту .. :)
точнее вы то поменяйте на /24, и хосты нужные поместите с 1 по 6 адрес, остальные + шлюз, дальше
)))))))) про это возникала мысль, но никак. Этот объект является для нас филиалом, и у нас есть тоже требования к адресации к филиалов. Плюс, есть еще следующая подсеть 10.10.1.8/29(выданная партнером), которая должна быть видна по основному каналу партнера.
enzain писал(а):Если с этим тоже не вариант - тогда так, как есть сейчас.
Ну и для верности в файрволе правила отключите чтоль на время проверить, может и побегут пакетики ... без полного списка правил тоже сложно сказать
Кстааати!!!! На файрволе есть правило, которое фильтрует инвалидные пакеты во всех направлениях. Исключил дроп инвалидных пакетов в направлении партнера на R1 - и о чудо, заработало! Видимо, R1 считал инвалидным пакет ответа через дополнительный хоп!!!!
Огромное спасибо за ответы! Было очень приятно обсудить данную ситуацию!
-
- Сообщения: 291
- Зарегистрирован: 26 дек 2017, 22:30
centner писал(а):enzain писал(а):поменяйте свою сеть на эту .. :)
точнее вы то поменяйте на /24, и хосты нужные поместите с 1 по 6 адрес, остальные + шлюз, дальше
)))))))) про это возникала мысль, но никак. Этот объект является для нас филиалом, и у нас есть тоже требования к адресации к филиалов. Плюс, есть еще следующая подсеть 10.10.1.8/29(выданная партнером), которая должна быть видна по основному каналу партнера.enzain писал(а):Если с этим тоже не вариант - тогда так, как есть сейчас.
Ну и для верности в файрволе правила отключите чтоль на время проверить, может и побегут пакетики ... без полного списка правил тоже сложно сказать
Кстааати!!!! На файрволе есть правило, которое фильтрует инвалидные пакеты во всех направлениях. Исключил дроп инвалидных пакетов в направлении партнера на R1 - и о чудо, заработало! Видимо, R1 считал инвалидным пакет ответа через дополнительный хоп!!!!
Огромное спасибо за ответы! Было очень приятно обсудить данную ситуацию!
Ну отлично, итого у вас есть два варианта решения вопроса.
С правилами разбирайтесь тогда более детально, там иногда все не так очевидно как кажется на первый взгляд ...
А правило то таки для инвалид или для инвалид и нью?... Больше похоже на нью (connection state)
и опять же вообще не понятно почему оно идет через R1, R1 Должен посылать redirect на R2, посмотрите в ip-settings стоит ли галка send redirects
-
- Сообщения: 14
- Зарегистрирован: 07 фев 2018, 17:22
Правило только для invalid.
Send redirect не было, и я включал его только на время, чтобы проверить Ваше предположение, после опять отключил. По дефолту оно выключено, как написано в мануале.
Send redirect не было, и я включал его только на время, чтобы проверить Ваше предположение, после опять отключил. По дефолту оно выключено, как написано в мануале.
Код: Выделить всё
accept-redirects (yes | no; Default: no) Whether to accept ICMP redirect messages. Typically should be enabled on host and disabled on routers.
-
- Сообщения: 291
- Зарегистрирован: 26 дек 2017, 22:30
centner писал(а):Правило только для invalid.
Send redirect не было, и я включал его только на время, чтобы проверить Ваше предположение, после опять отключил. По дефолту оно выключено, как написано в мануале.Код: Выделить всё
accept-redirects (yes | no; Default: no) Whether to accept ICMP redirect messages. Typically should be enabled on host and disabled on routers.
Вы пишите про прием редиректа.
Я же спрашивал про отправку редиректа (send redirect)
Это разные вещи, вы пишите про то, что роутер принимает или нет такие редиректы если вдруг получает, но он же может и отправлять если гейт в той же подсети нахоидится
-
- Сообщения: 14
- Зарегистрирован: 07 фев 2018, 17:22
А, прошу прощения, тупанул.
Да, на R1 стоит send-redirect. Cоответственно, надо разрешить принимать редиректы на R2?
Да, на R1 стоит send-redirect. Cоответственно, надо разрешить принимать редиректы на R2?
-
- Сообщения: 291
- Зарегистрирован: 26 дек 2017, 22:30
centner писал(а):А, прошу прощения, тупанул.
Да, на R1 стоит send-redirect. Cоответственно, надо разрешить принимать редиректы на R2?
Нет, редирект должен идти на хост отправляющий пакеты в нужную подсеть.
Это работать должно так:
Есть два маршрутизатора как у вас (Адреса: х,х,х,1 и х,х,х,2)
Вы пытаетесь через шлюз 1 отправить пакеты в сеть находящуюся за 2, и ваш же 1 - отправляет редирект хосту (типа братан, а в эту сеть тебе не через меня ходить бы, а вот через этот адрес)
Какая ОС на хостах? Может быть они не принимают редиректы, тоже возможно... хотя, может оно из за инвалид пакет стейт не отправляло редиректы а сейчас начало ....
Интересно просто уже ... :)
-
- Сообщения: 14
- Зарегистрирован: 07 фев 2018, 17:22
На хостах в нашей сети - Windows 10, причем последняя сборка 1709. Может, из-за VRRP редирект не происходит?