[KotikBSd]

Жилы мы хорошо, но тут, на правах коронавируса, обратился к нам один юрик наш, у него наш интернет с белым IP 191.45....

Разогнали они свой персонал по домам на удаленку, и получилось так, что один из сотрудников - наш клиент. У клиента локальник 10.200...

По дизайну нашей сети, трафик между ними проходит через ближайшие маршрутизаторы, и в основное ядро, которое отвечает за выход в интернет и к которому подключено оборудование трансляции адресов (NAT) - не попадает.

В итоге юрику прилетает трафик с адреса 10.200... НО! У юрика внутренняя сетка 10/8, в итоге понятное дело ничего не работает. Юрик утверждает что мы просто обязаны весь трафик с нашей сети присылать только с внешних IP, локалка - не локалка, их не интересует.

По сути, юрик не использует ip адреса в этой сетке 10.200... и им достаточно одной команды на маршрутизаторе, что бы завернуть трафик куда нужно. Или клиенту выдать белый адрес на интерфейсе, правда клиенту роутер придется перенастраивать, что заведомо сложнее чем понимающему человеку ввести команду route на маршрутизаторе. 

 

Собственно у меня вопрос к коллегам по цеху, у кого как сделано в этом плане, транслируются ли локальниые IP при хождении трафика на свои-же внешники, или нет...

В любом случае у нас первый раз такая проблема, в основном юрики наоборот уточняют, будет ли локалка работать если они договор как юрлицо заключат с внешним адресом... :)

Внешние адреса у нас в любом случае есть разные, есть и те которые находятся за ядром и NAT, но мы их используем для стыков с аплинками, для подключения других клиентов-операторов, но не для обычных юриков-офисов.

 

Сразу прошу опустить треп на тему: попадания трафика в СОРМ, яровую итд. Тут вопрос не об этом )))

[pingz]

@KotikBSd У меня пару раз были подобные ситуации. 

 

В основном либо клиент прописывал маршруты, на своем роутере, но в этих случаях были понимающие люди. 

 

Либо на обоих клиентах подымать реальники.

 

Скорее всего придется жестко заворачивать фаерволом клиентов на нат и запретить ходить таким клиентам обращаться на внутренние сети. 

[VolanD666]

Может их просто по разным VRF распихать? 

[crank]

Я бы на вашем месте задумался над тем, чтобы абонентам с серыми адресами выдавать адреса из сетки 100.64.0.0/10 (RFC 6598). Этот пул как раз решает проблему пересечения локальных адресов провайдера и абонентов.

[No_name]

1 час назад, crank сказал:

100.64.0.0/10 (RFC 6598). Этот пул как раз решает проблему пересечения локальных адресов провайдера и абонентов.

Каким образом?

[KotikBSd]

7 часов назад, crank сказал:

Я бы на вашем месте задумался над тем, чтобы абонентам с серыми адресами выдавать адреса из сетки 100.64.0.0/10 (RFC 6598). Этот пул как раз решает проблему пересечения локальных адресов провайдера и абонентов.

Это прелестно, но во 1, нет гарантий что не попадется юрик с 100.64,  а во вторых, имеем то, что имеем :)

В любом случае, юрик больше не звонил, видимо решил что проще маршрут прописать.

 

А тема больше для того, что бы понимать, прав я или юрик, который доказывал что мы одни такие, которые серые адреса не транслируют при обращении на белые... Просто чтобы на душе спокойнее было, что я прав... Хоть я давно уже убедился в неадекватности этого юрика, когда они хотели поменять второго резервного оператора на "радио или ЛТЕ" от нас, а я тупо был против... да-да, мышь против сыра... Но я не привык тупо наживаться на людях не оглядываясь на последствия... Я так и не смог убедить их, что экономия копеечная для них, а в случае аварии которая затронет оба канала от нас, убытков у них будет больше... 

[crank]

15 минут назад, KotikBSd сказал:

Это прелестно, но во 1, нет гарантий что не попадется юрик с 100.64

От дураков тоже никто не застрахует. Можно себе в локалке и сетку 8.8.8.0/24 прописать.

 

16 минут назад, KotikBSd сказал:

А тема больше для того, что бы понимать, прав я или юрик, который доказывал что мы одни такие, которые серые адреса не транслируют при обращении на белые...

Вы правы, конечно. Во всяком случае операторов специально транслирующих адреса своих абонентов в белые внутри своей сети я не видел.

[ShyLion]

18 hours ago, KotikBSd said:

Собственно у меня вопрос к коллегам по цеху, у кого как сделано в этом плане, транслируются ли локальниые IP при хождении трафика на свои-же внешники, или нет...

100.64.0.0/10, Аминь.

[Ivan_83]

10/8 - типа не должен быть во вне сети, и нормальная практика такие адреса вообще блочить на внешнем интерфейсе, ибо нех.

[Saab95]

Можно в разрыв кабеля до этого юрика установить микротик, который будет внутренние адреса локалки подменять на нужный внешний белый IP адрес.

[SOFTOLAB]

On 3/26/2020 at 3:23 PM, Saab95 said:

Можно в разрыв кабеля до этого юрика установить микротик, который будет внутренние адреса локалки подменять на нужный внешний белый IP адрес.

Со стороны абонента нужно будет поставить второй микротик?

[nemo_lynx]

В 26.03.2020 в 13:23, Saab95 сказал:

Можно в разрыв кабеля до этого юрика установить микротик, который будет внутренние адреса локалки подменять на нужный внешний белый IP адрес.

А я-то думал, что это называется NAT, который умеет вообще любой SOHO-роутер. Неужели с продажами тиков настолько плохо, что надо их рекламу пихать к месту и не к месту? Или это уже рефлекс? Тогда страшно представить, во что Вы превратитесь, выйдя на пенсию...

[LostSoul]

В 25.03.2020 в 11:58, KotikBSd сказал:

в основном юрики наоборот уточняют, будет ли локалка работать если они договор как юрлицо заключат с внешним адресом... :)

Это скорее всего те юрики кто хочет взять минимальный тариф на физлицо а затем у домашнего сотрудника прокси поставить

 

В 25.03.2020 в 22:27, KotikBSd сказал:

А тема больше для того, что бы понимать, прав я или юрик, который доказывал что мы одни такие, которые серые адреса не транслируют при обращении на белые...

Все кого я знаю так делают.

Более того, долгие годы у многих провайдеров работал пирринг серых адресов между сетями