нужна помощь с маршрутизацией

[nikolay.pyatakov]

Здравствуйте, нужна помощь с маршрутизацией... никак не пойму в чем дело
Из сети 192.168.2.0/24 не могу достучаться до 192.168.3.100.
192.168.3.1, пингуется а дальше нет


192.168.2.28 - прокси сервер (traffic inspector)

[Vlad-2]

Здравствуйте, нужна помощь с маршрутизацией... никак не пойму в чем дело
Из сети 192.168.2.0/24 не могу достучаться до 192.168.3.100.
192.168.3.1, пингуется а дальше нет

1) Кратко изложено, нет скринов трассеровок.

2) файрволы точно на вин-машинах отключены и/или правильно настроены?
2.1) ну и файрвол и микротика тут важен тоже (отчасти)

3) на компе 3.100 обратные маршруты (то есть где искать сети которые нам нужны, описаны?)
Сервер 3.100 должен знать куда отсылать обратные (ответные) пакеты? Хотя это и не главное,
всё микротик должен делать. Поэтому тут Важно чтобы локальные запросы на микротике
не НАТились, но в тоже время, микротик внешние запросы НАТил и обрабатывал.

4) на компе 2.28 в целом как настроена маршрутизация? То есть не получается так,
что сеть 2.0/24 вообще не знает никакие сети, и при выходе через вин-сервер 2012,
вся сеть 2.0/24 "прячется" за адресом 0.20 ?

Поэтому:
Показать трасерт(ы), туда и обратно.
Маски ещё бы увидеть (у сети 192.168.0.хх)
НАТ на микротике отключить (временно)

[nikolay.pyatakov]

спасибо за ответ.
Маски везде /24
Трассировку прикладываю



Nat временно отключить не могу, рабочий процесс

Tracert с сервера 192.168.3.100 уходит в подсеть провайдера (почему то не всегда)

Сейчас ещё раз попробовал tracert дошел только до шлюза 192.168.3.1

Даже с роутера 192.168.0.1 не пингуется адрес 192.168.0.20 (c этим разобрался, починил) адрес пингуется 192.168.0.20


4) Да все машины прячутся за адресом 192.168.0.20

[Vlad-2]

4) Да все машины прячутся за адресом 192.168.0.20

Ну отталкиваясь от этого, можно вообще пока и не обращать на сеть 2.0/24 внимание.
Её фактически нет, ибо она скрывается (натиться).
===> следует, что у нас две сети надо подружить, 0.0/24 и 3.0/24.

И второй раз отталкиваясь уже от второго скриншота трассеровки, видим,
что роутер не знает ничего о сети 2.0/24, хотя я бы хотел видеть трассировки уже
между 0.0/24 и 3.0/24. Сеть 2.0/24 уже не интересно ибо она для нас закрыта.
Сделайте трасерт с 3.100 на 0.20 (и потом также и с компа 0.20 на 3.100).

Nat временно отключить не могу, рабочий процесс

Тогда настраивайте НАТ точный (более явный), что если пришёл запрос с сетей
локальных и идёт запрос на внешние узлы, то только эти запросы ОТ-НАТить надо через
внешний интерфейс только, остальное роутер (микротик) НАТить не должен.
(я часто привожу такой пример: по дому/квартире мы между комнатами передвигаемся
просто, не одевая верхнюю одежду, но когда подходим ко входной двери и хотим выйти,
именно через эту дверь, одеваться надо.)
Поэтому логика на микротике такая же должна быть, пакеты не должны модифицироваться,
между локальными сегментами, но при выходе в сторону провайдера - НАДО.

Даже с роутера 192.168.0.1 не пингуется адрес 192.168.0.20 (c этим разобрался, починил) адрес пингуется 192.168.0.20

С роутера, особенно когда на нём много адресов, надо правильно пинг подавать, поэтому
лучше когда пинг/трасерт делают с компьютера, так компьютер имеет нужный локальный адрес
и формируется правильно исходящий запрос (с нужным исходящим адресом) и с чётким
адресом назначения. Что в итоге более явно позволяет выяснить как работает маршрутизация.

P.S.
трасерт лучше запускать с ключом -d , так не надо ждать на отработку ДНС-резолвинга.

[nikolay.pyatakov]

спасибо вам большое, все заработало. (на сервере блокировал firewall)......

пинги c 192.168.0.20 на 192.168.3.100 теперь идут.

Спасибо за объяснение) натолкнуло на правильные мысли и помогли разобраться в сети)