Jump to content

Проблема с NAT (натится часть сети)

axon_an
 Share

Recommended Posts

axon_an

axon_an

Posted
Posted

Доброе время суток, уважаемый all!

 

Столкнулся с проблемой, когда часть локальной сети натится, вторая часть - нет.

Что имеется:

2 здания на разных концах города.

 

в 1-м здании стоит сервер с 2-мя сетевыми картами:

1. 192.168.5.2/255.255.255.0 (тот, который выделил провайдер), шлюзуется на ...5.1

2. 192.168.5.201/255.255.255.0 (тот, на который все шлюзуются)

обе сетевые карты воткнуты в один свич.

на этом сервере стоит Kerio Winroute Firewall 6.10, который собственно и должен натить. В этом же здании компьютеры с ip-адресами от ...5.3 до 5.12, все шлюзуются на 5.201, который без проблем их натит.

В этот же свич воткнута точка доступа, которая работает в режиме клиента, имеет ip ...5.103. Эта точка смотрит на точку, которая работает в режиме AP (...5.102) и витой парой соеденина с точкой (5.101), имеющей 2 Ethernet порта. Данная точка вторым портом соеденина с провайдером, работает в режиме клиена и смотрит на точку доступа, работающую в режиме AP (...5.100). На эту же точку смотрит клиентская радиосетевая карта (...5.99), которая находится во втором здании.

 

2-е здание:

Рабочая станция с WinXP, радиосетевой картой, и обычной сетевой.

Радиосеть: 192.168.5.99/255.255.255.0

Ethernet: 192.168.5.13/255.255.255.0, воткнут в офисный свич.

Сетевой мост из вышеперечисленных карт: 192.168.5.98/255.255.255.0, без него пакеты не уходили в радио, а бродили по локальной сети.

В этом же здании клиенты от 192.168.5.14 до 192.168.5.24.

 

Проблема в том, что второе здание может работать в интернет только через прокси, шлюз (5.201) не натит эту группу адресов. Сначала думал что проблема в керио, ставил в сети еще один сервак с АСП 10 и прописывал правила в iptables (что то типа -A -t nat POSTROUTING -s 192.168.5.14 -j SNAT --to-source 192.168.5.2, с политиками по умолчанию в ACCEPT), и он не натит. может проблема с железом?

 

Помогите решить проблему, или дайте ссылку на патч для /dev/hands.

Alteron

Alteron

Posted
Posted

Я так полагаю, что это - клиника. Надо начинать всё объяснять с 1917 года.

Ты бы хоть почитал книжки про сети. IP, маска подсети... ни о чём не говорят термины?

У тебя все адреса: и провайдерские, и обеих твоих сетей из одной подсети. Странно, что у тебя вообще хоть что-то работает.

axon_an

axon_an

Posted
  • Author
Posted
У тебя все адреса: и провайдерские, и обеих твоих сетей из одной подсети. Странно, что у тебя вообще хоть что-то работает.

я тоже уже думал об этом, пробовал перевести всю свою сеть в другую группу ip-адресов. Но результат тот же...

anclbob

anclbob

Posted
Posted
Я так полагаю, что это - клиника. Надо начинать всё объяснять с 1917 года.

Ты бы хоть почитал книжки про сети. IP, маска подсети... ни о чём не говорят термины?

У тебя все адреса: и провайдерские, и обеих твоих сетей из одной подсети. Странно, что у тебя вообще хоть что-то работает.

у меня бывают обрывы у провайдера, беру оперативно инет у простого сетевика :) из той же подсети, всё отлично работает!
axon_an

axon_an

Posted
  • Author
Posted

Вообще, как я понимаю, NAT'у все равно какие адреса подменять. Поэтому у меня и работает половина сети. Я думаю что проблема в чем то другом. Если трассировать к примеру тот же Яndex из первого здания, то видим примерно следующее: 

          ...
          tracert yandex.ru
          1     <1 мс     <1 мс     <1 мс     axon.server [192.168.5.201]
          ...

 

Если из другого:

 

          ...
          tracert yandex.ru
          1       *          *            *           Превышен интервал ожидания для запроса.
          ...

 

192.168.5.201 ping'уется отлично из обоих зданий. DNS отрабатывается. Есть впечатление, что пакет из второго здания не идет на 192.168.5.201 (прописан шлюзом), а пытается пойти напрямую на шлюз провайдера, который его успешно drop'ает.

шахтер

шахтер

Posted
Posted

Привет Михей, ты глянь, пакеты долетают до шлюза или нет. Сначала выясни почему не долетают, т.е. видят ли сетки друг друга, а потом и инетом можно заняться, када локальную маршрутизацию наладишь.

Если че звони, чем смогу помогу :)

Alteron

Alteron

Posted
Posted

НАТ - это просто технология замены одного адреса на другой. Но роутер как минимум должен ЗНАТЬ куда ему направить пакет. Но если у него оба интерфейса в одной подсети, то значит и шлюз у него из той же самой подсети. Как вы думаете, куда роутер направит пакет, который должен уйти в и-нет, если у него в таблице маршрутизации такие строчки?

 

0.0.0.0 192.168.5.1

192.168.5.0 192.168.5.201

192.168.5.0 192.168.5.2

 

Правильно, он направит пакет на сетевой интерфейс, смотрящий во внутреннюю сеть.

Если же строчки 2 и 3 в таблице мершрутизации поменяны местами

 

0.0.0.0 192.168.5.1

192.168.5.0 192.168.5.2

192.168.5.0 192.168.5.201

 

То тогда все пакеты, предназначенные для рабочих станций во внутренней подсети будут уходить на шлюз.

 

Короче, не парься с НАТ-ом. У твоего провайдера он есть полюбому. Настрой нормально маршрутизацию и всё заработает.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.