axon_an Опубликовано 20 декабря, 2006 · Жалоба Доброе время суток, уважаемый all! Столкнулся с проблемой, когда часть локальной сети натится, вторая часть - нет. Что имеется: 2 здания на разных концах города. в 1-м здании стоит сервер с 2-мя сетевыми картами: 1. 192.168.5.2/255.255.255.0 (тот, который выделил провайдер), шлюзуется на ...5.1 2. 192.168.5.201/255.255.255.0 (тот, на который все шлюзуются) обе сетевые карты воткнуты в один свич. на этом сервере стоит Kerio Winroute Firewall 6.10, который собственно и должен натить. В этом же здании компьютеры с ip-адресами от ...5.3 до 5.12, все шлюзуются на 5.201, который без проблем их натит. В этот же свич воткнута точка доступа, которая работает в режиме клиента, имеет ip ...5.103. Эта точка смотрит на точку, которая работает в режиме AP (...5.102) и витой парой соеденина с точкой (5.101), имеющей 2 Ethernet порта. Данная точка вторым портом соеденина с провайдером, работает в режиме клиена и смотрит на точку доступа, работающую в режиме AP (...5.100). На эту же точку смотрит клиентская радиосетевая карта (...5.99), которая находится во втором здании. 2-е здание: Рабочая станция с WinXP, радиосетевой картой, и обычной сетевой. Радиосеть: 192.168.5.99/255.255.255.0 Ethernet: 192.168.5.13/255.255.255.0, воткнут в офисный свич. Сетевой мост из вышеперечисленных карт: 192.168.5.98/255.255.255.0, без него пакеты не уходили в радио, а бродили по локальной сети. В этом же здании клиенты от 192.168.5.14 до 192.168.5.24. Проблема в том, что второе здание может работать в интернет только через прокси, шлюз (5.201) не натит эту группу адресов. Сначала думал что проблема в керио, ставил в сети еще один сервак с АСП 10 и прописывал правила в iptables (что то типа -A -t nat POSTROUTING -s 192.168.5.14 -j SNAT --to-source 192.168.5.2, с политиками по умолчанию в ACCEPT), и он не натит. может проблема с железом? Помогите решить проблему, или дайте ссылку на патч для /dev/hands. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alteron Опубликовано 20 декабря, 2006 · Жалоба Я так полагаю, что это - клиника. Надо начинать всё объяснять с 1917 года. Ты бы хоть почитал книжки про сети. IP, маска подсети... ни о чём не говорят термины? У тебя все адреса: и провайдерские, и обеих твоих сетей из одной подсети. Странно, что у тебя вообще хоть что-то работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
axon_an Опубликовано 20 декабря, 2006 · Жалоба У тебя все адреса: и провайдерские, и обеих твоих сетей из одной подсети. Странно, что у тебя вообще хоть что-то работает. я тоже уже думал об этом, пробовал перевести всю свою сеть в другую группу ip-адресов. Но результат тот же... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
anclbob Опубликовано 21 декабря, 2006 · Жалоба Я так полагаю, что это - клиника. Надо начинать всё объяснять с 1917 года.Ты бы хоть почитал книжки про сети. IP, маска подсети... ни о чём не говорят термины? У тебя все адреса: и провайдерские, и обеих твоих сетей из одной подсети. Странно, что у тебя вообще хоть что-то работает. у меня бывают обрывы у провайдера, беру оперативно инет у простого сетевика :) из той же подсети, всё отлично работает! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
axon_an Опубликовано 21 декабря, 2006 · Жалоба Вообще, как я понимаю, NAT'у все равно какие адреса подменять. Поэтому у меня и работает половина сети. Я думаю что проблема в чем то другом. Если трассировать к примеру тот же Яndex из первого здания, то видим примерно следующее: ... tracert yandex.ru 1 <1 мс <1 мс <1 мс axon.server [192.168.5.201] ... Если из другого: ... tracert yandex.ru 1 * * * Превышен интервал ожидания для запроса. ... 192.168.5.201 ping'уется отлично из обоих зданий. DNS отрабатывается. Есть впечатление, что пакет из второго здания не идет на 192.168.5.201 (прописан шлюзом), а пытается пойти напрямую на шлюз провайдера, который его успешно drop'ает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
шахтер Опубликовано 21 декабря, 2006 · Жалоба Привет Михей, ты глянь, пакеты долетают до шлюза или нет. Сначала выясни почему не долетают, т.е. видят ли сетки друг друга, а потом и инетом можно заняться, када локальную маршрутизацию наладишь. Если че звони, чем смогу помогу :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alteron Опубликовано 22 декабря, 2006 · Жалоба НАТ - это просто технология замены одного адреса на другой. Но роутер как минимум должен ЗНАТЬ куда ему направить пакет. Но если у него оба интерфейса в одной подсети, то значит и шлюз у него из той же самой подсети. Как вы думаете, куда роутер направит пакет, который должен уйти в и-нет, если у него в таблице маршрутизации такие строчки? 0.0.0.0 192.168.5.1 192.168.5.0 192.168.5.201 192.168.5.0 192.168.5.2 Правильно, он направит пакет на сетевой интерфейс, смотрящий во внутреннюю сеть. Если же строчки 2 и 3 в таблице мершрутизации поменяны местами 0.0.0.0 192.168.5.1 192.168.5.0 192.168.5.2 192.168.5.0 192.168.5.201 То тогда все пакеты, предназначенные для рабочих станций во внутренней подсети будут уходить на шлюз. Короче, не парься с НАТ-ом. У твоего провайдера он есть полюбому. Настрой нормально маршрутизацию и всё заработает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...