KotikBSd Posted March 25, 2020 · Report post Жилы мы хорошо, но тут, на правах коронавируса, обратился к нам один юрик наш, у него наш интернет с белым IP 191.45.... Разогнали они свой персонал по домам на удаленку, и получилось так, что один из сотрудников - наш клиент. У клиента локальник 10.200... По дизайну нашей сети, трафик между ними проходит через ближайшие маршрутизаторы, и в основное ядро, которое отвечает за выход в интернет и к которому подключено оборудование трансляции адресов (NAT) - не попадает. В итоге юрику прилетает трафик с адреса 10.200... НО! У юрика внутренняя сетка 10/8, в итоге понятное дело ничего не работает. Юрик утверждает что мы просто обязаны весь трафик с нашей сети присылать только с внешних IP, локалка - не локалка, их не интересует. По сути, юрик не использует ip адреса в этой сетке 10.200... и им достаточно одной команды на маршрутизаторе, что бы завернуть трафик куда нужно. Или клиенту выдать белый адрес на интерфейсе, правда клиенту роутер придется перенастраивать, что заведомо сложнее чем понимающему человеку ввести команду route на маршрутизаторе. Собственно у меня вопрос к коллегам по цеху, у кого как сделано в этом плане, транслируются ли локальниые IP при хождении трафика на свои-же внешники, или нет... В любом случае у нас первый раз такая проблема, в основном юрики наоборот уточняют, будет ли локалка работать если они договор как юрлицо заключат с внешним адресом... :) Внешние адреса у нас в любом случае есть разные, есть и те которые находятся за ядром и NAT, но мы их используем для стыков с аплинками, для подключения других клиентов-операторов, но не для обычных юриков-офисов. Сразу прошу опустить треп на тему: попадания трафика в СОРМ, яровую итд. Тут вопрос не об этом ))) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted March 25, 2020 · Report post @KotikBSd У меня пару раз были подобные ситуации. В основном либо клиент прописывал маршруты, на своем роутере, но в этих случаях были понимающие люди. Либо на обоих клиентах подымать реальники. Скорее всего придется жестко заворачивать фаерволом клиентов на нат и запретить ходить таким клиентам обращаться на внутренние сети. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted March 25, 2020 · Report post Может их просто по разным VRF распихать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
crank Posted March 25, 2020 · Report post Я бы на вашем месте задумался над тем, чтобы абонентам с серыми адресами выдавать адреса из сетки 100.64.0.0/10 (RFC 6598). Этот пул как раз решает проблему пересечения локальных адресов провайдера и абонентов. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
No_name Posted March 25, 2020 · Report post 1 час назад, crank сказал: 100.64.0.0/10 (RFC 6598). Этот пул как раз решает проблему пересечения локальных адресов провайдера и абонентов. Каким образом? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
KotikBSd Posted March 25, 2020 · Report post 7 часов назад, crank сказал: Я бы на вашем месте задумался над тем, чтобы абонентам с серыми адресами выдавать адреса из сетки 100.64.0.0/10 (RFC 6598). Этот пул как раз решает проблему пересечения локальных адресов провайдера и абонентов. Это прелестно, но во 1, нет гарантий что не попадется юрик с 100.64, а во вторых, имеем то, что имеем :) В любом случае, юрик больше не звонил, видимо решил что проще маршрут прописать. А тема больше для того, что бы понимать, прав я или юрик, который доказывал что мы одни такие, которые серые адреса не транслируют при обращении на белые... Просто чтобы на душе спокойнее было, что я прав... Хоть я давно уже убедился в неадекватности этого юрика, когда они хотели поменять второго резервного оператора на "радио или ЛТЕ" от нас, а я тупо был против... да-да, мышь против сыра... Но я не привык тупо наживаться на людях не оглядываясь на последствия... Я так и не смог убедить их, что экономия копеечная для них, а в случае аварии которая затронет оба канала от нас, убытков у них будет больше... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
crank Posted March 25, 2020 · Report post 15 минут назад, KotikBSd сказал: Это прелестно, но во 1, нет гарантий что не попадется юрик с 100.64 От дураков тоже никто не застрахует. Можно себе в локалке и сетку 8.8.8.0/24 прописать. 16 минут назад, KotikBSd сказал: А тема больше для того, что бы понимать, прав я или юрик, который доказывал что мы одни такие, которые серые адреса не транслируют при обращении на белые... Вы правы, конечно. Во всяком случае операторов специально транслирующих адреса своих абонентов в белые внутри своей сети я не видел. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted March 26, 2020 · Report post 18 hours ago, KotikBSd said: Собственно у меня вопрос к коллегам по цеху, у кого как сделано в этом плане, транслируются ли локальниые IP при хождении трафика на свои-же внешники, или нет... 100.64.0.0/10, Аминь. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted March 26, 2020 · Report post 10/8 - типа не должен быть во вне сети, и нормальная практика такие адреса вообще блочить на внешнем интерфейсе, ибо нех. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted March 26, 2020 · Report post Можно в разрыв кабеля до этого юрика установить микротик, который будет внутренние адреса локалки подменять на нужный внешний белый IP адрес. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SOFTOLAB Posted March 27, 2020 · Report post On 3/26/2020 at 3:23 PM, Saab95 said: Можно в разрыв кабеля до этого юрика установить микротик, который будет внутренние адреса локалки подменять на нужный внешний белый IP адрес. Со стороны абонента нужно будет поставить второй микротик? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nemo_lynx Posted March 30, 2020 · Report post В 26.03.2020 в 13:23, Saab95 сказал: Можно в разрыв кабеля до этого юрика установить микротик, который будет внутренние адреса локалки подменять на нужный внешний белый IP адрес. А я-то думал, что это называется NAT, который умеет вообще любой SOHO-роутер. Неужели с продажами тиков настолько плохо, что надо их рекламу пихать к месту и не к месту? Или это уже рефлекс? Тогда страшно представить, во что Вы превратитесь, выйдя на пенсию... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted March 30, 2020 · Report post В 25.03.2020 в 11:58, KotikBSd сказал: в основном юрики наоборот уточняют, будет ли локалка работать если они договор как юрлицо заключат с внешним адресом... :) Это скорее всего те юрики кто хочет взять минимальный тариф на физлицо а затем у домашнего сотрудника прокси поставить В 25.03.2020 в 22:27, KotikBSd сказал: А тема больше для того, что бы понимать, прав я или юрик, который доказывал что мы одни такие, которые серые адреса не транслируют при обращении на белые... Все кого я знаю так делают. Более того, долгие годы у многих провайдеров работал пирринг серых адресов между сетями Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
