Jump to content
Калькуляторы

Дизайн сети, связь локальный IP <-> реальный IP

Жилы мы хорошо, но тут, на правах коронавируса, обратился к нам один юрик наш, у него наш интернет с белым IP 191.45....

Разогнали они свой персонал по домам на удаленку, и получилось так, что один из сотрудников - наш клиент. У клиента локальник 10.200...

По дизайну нашей сети, трафик между ними проходит через ближайшие маршрутизаторы, и в основное ядро, которое отвечает за выход в интернет и к которому подключено оборудование трансляции адресов (NAT) - не попадает.

В итоге юрику прилетает трафик с адреса 10.200... НО! У юрика внутренняя сетка 10/8, в итоге понятное дело ничего не работает. Юрик утверждает что мы просто обязаны весь трафик с нашей сети присылать только с внешних IP, локалка - не локалка, их не интересует.

По сути, юрик не использует ip адреса в этой сетке 10.200... и им достаточно одной команды на маршрутизаторе, что бы завернуть трафик куда нужно. Или клиенту выдать белый адрес на интерфейсе, правда клиенту роутер придется перенастраивать, что заведомо сложнее чем понимающему человеку ввести команду route на маршрутизаторе. 

 

Собственно у меня вопрос к коллегам по цеху, у кого как сделано в этом плане, транслируются ли локальниые IP при хождении трафика на свои-же внешники, или нет...

В любом случае у нас первый раз такая проблема, в основном юрики наоборот уточняют, будет ли локалка работать если они договор как юрлицо заключат с внешним адресом... :)

Внешние адреса у нас в любом случае есть разные, есть и те которые находятся за ядром и NAT, но мы их используем для стыков с аплинками, для подключения других клиентов-операторов, но не для обычных юриков-офисов.

 

Сразу прошу опустить треп на тему: попадания трафика в СОРМ, яровую итд. Тут вопрос не об этом )))

Share this post


Link to post
Share on other sites

@KotikBSd У меня пару раз были подобные ситуации. 

 

В основном либо клиент прописывал маршруты, на своем роутере, но в этих случаях были понимающие люди. 

 

Либо на обоих клиентах подымать реальники.

 

Скорее всего придется жестко заворачивать фаерволом клиентов на нат и запретить ходить таким клиентам обращаться на внутренние сети. 

Share this post


Link to post
Share on other sites

Я бы на вашем месте задумался над тем, чтобы абонентам с серыми адресами выдавать адреса из сетки 100.64.0.0/10 (RFC 6598). Этот пул как раз решает проблему пересечения локальных адресов провайдера и абонентов.

Share this post


Link to post
Share on other sites

1 час назад, crank сказал:

100.64.0.0/10 (RFC 6598). Этот пул как раз решает проблему пересечения локальных адресов провайдера и абонентов.

Каким образом?

Share this post


Link to post
Share on other sites

7 часов назад, crank сказал:

Я бы на вашем месте задумался над тем, чтобы абонентам с серыми адресами выдавать адреса из сетки 100.64.0.0/10 (RFC 6598). Этот пул как раз решает проблему пересечения локальных адресов провайдера и абонентов.

Это прелестно, но во 1, нет гарантий что не попадется юрик с 100.64,  а во вторых, имеем то, что имеем :)

В любом случае, юрик больше не звонил, видимо решил что проще маршрут прописать.

 

А тема больше для того, что бы понимать, прав я или юрик, который доказывал что мы одни такие, которые серые адреса не транслируют при обращении на белые... Просто чтобы на душе спокойнее было, что я прав... Хоть я давно уже убедился в неадекватности этого юрика, когда они хотели поменять второго резервного оператора на "радио или ЛТЕ" от нас, а я тупо был против... да-да, мышь против сыра... Но я не привык тупо наживаться на людях не оглядываясь на последствия... Я так и не смог убедить их, что экономия копеечная для них, а в случае аварии которая затронет оба канала от нас, убытков у них будет больше... 

Share this post


Link to post
Share on other sites

15 минут назад, KotikBSd сказал:

Это прелестно, но во 1, нет гарантий что не попадется юрик с 100.64

От дураков тоже никто не застрахует. Можно себе в локалке и сетку 8.8.8.0/24 прописать.

 

16 минут назад, KotikBSd сказал:

А тема больше для того, что бы понимать, прав я или юрик, который доказывал что мы одни такие, которые серые адреса не транслируют при обращении на белые...

Вы правы, конечно. Во всяком случае операторов специально транслирующих адреса своих абонентов в белые внутри своей сети я не видел.

Share this post


Link to post
Share on other sites

18 hours ago, KotikBSd said:

Собственно у меня вопрос к коллегам по цеху, у кого как сделано в этом плане, транслируются ли локальниые IP при хождении трафика на свои-же внешники, или нет...

100.64.0.0/10, Аминь.

Share this post


Link to post
Share on other sites

10/8 - типа не должен быть во вне сети, и нормальная практика такие адреса вообще блочить на внешнем интерфейсе, ибо нех.

Share this post


Link to post
Share on other sites

Можно в разрыв кабеля до этого юрика установить микротик, который будет внутренние адреса локалки подменять на нужный внешний белый IP адрес.

Share this post


Link to post
Share on other sites

On 3/26/2020 at 3:23 PM, Saab95 said:

Можно в разрыв кабеля до этого юрика установить микротик, который будет внутренние адреса локалки подменять на нужный внешний белый IP адрес.

Со стороны абонента нужно будет поставить второй микротик?

Share this post


Link to post
Share on other sites

В 26.03.2020 в 13:23, Saab95 сказал:

Можно в разрыв кабеля до этого юрика установить микротик, который будет внутренние адреса локалки подменять на нужный внешний белый IP адрес.

А я-то думал, что это называется NAT, который умеет вообще любой SOHO-роутер. Неужели с продажами тиков настолько плохо, что надо их рекламу пихать к месту и не к месту? Или это уже рефлекс? Тогда страшно представить, во что Вы превратитесь, выйдя на пенсию...

Share this post


Link to post
Share on other sites

В 25.03.2020 в 11:58, KotikBSd сказал:

в основном юрики наоборот уточняют, будет ли локалка работать если они договор как юрлицо заключат с внешним адресом... :)

Это скорее всего те юрики кто хочет взять минимальный тариф на физлицо а затем у домашнего сотрудника прокси поставить

 

В 25.03.2020 в 22:27, KotikBSd сказал:

А тема больше для того, что бы понимать, прав я или юрик, который доказывал что мы одни такие, которые серые адреса не транслируют при обращении на белые...

Все кого я знаю так делают.

Более того, долгие годы у многих провайдеров работал пирринг серых адресов между сетями 

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.