g7001 Posted April 24, 2010 Posted April 24, 2010 Жил был роутер(Mikrotik),раздающий интернет трафик. После подключения,провайдер выдал 1 внешний ip. В бумаже с настройками все выглядело так: Клиентский ip: AAA.AAA.AAA.2/30 Шлюз по умолчанию AAA.AAA.AAA.1 На интерфейсе роутера был прописан ip AAA.AAA.AAA.2/30 В таблице роутинга Distination 0.0.0.0/0 Gateway AAA.AAA.AAA.1 Трафик побежал и все стало ОК. Прошло время,и понадобились внешние IP адреса. Получил по почте строку CCC.CCC.CCC.CCC/27 ,узнал свой блок белых IP,вот только что с ним делать было много версий,так как больше коментов со стороны прова не было. После общения с техподдержкой стало понятно. Сказали заруливай блок CCC.CCC.CCC.CCC/27 на шлюз AAA.AAA.AAA.1 После двух дней колдования,я понял что что то с заруливанием не то. Техподдержка говорит что все нормально. Ради понимания что ж не так,поставил голый роутер с 2мя интерфейсами. на ether1 происал AAA.AAA.AAA.2/30 на ether2 CCC.CCC.CCC.1/27 В таблице роутинга Distination 0.0.0.0/0 Gateway AAA.AAA.AAA.1 К ether2 подрубил машину с ip CCC.CCC.CCC.2/27 Gateway CCC.CCC.CCC.1/27 C нее пингую AAA.AAA.AAA.2 и AAA.AAA.AAA.1. А в мир пакеты не идут. Вот и пытаюсь понять тайный смысл,почему шлюз провайдера я пингую,а пакеты в мир он не пропускает. Вставить ник Quote
Andrеw Posted April 24, 2010 Posted April 24, 2010 пинайте прова, проблема явно на его стороне Вставить ник Quote
DelSt Posted April 24, 2010 Posted April 24, 2010 откуда-нибудь извне сделай traceroute CCC.CCC.CCC.1 Вставить ник Quote
Дегтярев Илья Posted April 24, 2010 Posted April 24, 2010 (edited) Точнее 2 трейса: до AAA.AAA.AAA.2 и до CCC.CCC.CCC.1 Если второй закончился сильно раньше первого - показывай прову, где то он забыл прописать. Edited April 24, 2010 by Дегтярев Илья Вставить ник Quote
belial Posted April 24, 2010 Posted April 24, 2010 Скорее всего ваш провайдер 27й диапазон замапил на AAA.AAA.AAA.2, и теперь можете смело менять src-nat адреса, используя новый диапазон. И мапинить новые адреса в случае необходмости Вставить ник Quote
SokolovS Posted April 24, 2010 Posted April 24, 2010 А можно на втором внутреннем интерфейсе прописать один из адресов CCC.CCC.CCC.CCC/27, например первый (после адреса сети конечно ;)). Клиентам внутнренней сети назначить адреса из диапазона CCC.CCC.CCC.CCC/27 и шлюзом указать назначенный на внутреннем интерфейсе сервера IP. Тогда у клиентов будут реальники. Вставить ник Quote
g7001 Posted April 25, 2010 Author Posted April 25, 2010 Скорее всего ваш провайдер 27й диапазон замапил на AAA.AAA.AAA.2, и теперь можете смело менять src-nat адреса, используя новый диапазон. И мапинить новые адреса в случае необходмостиИнтересно как это вы себе представляете?Сечас там стоит chain=srcnat action=masquerade out-interface=vlan1 соответственно все что прийдет на сервер будет занатено на AAA.AAA.AAA.2. поэтому пришлось подправить правило,что бы заруливало только 10.20.30.0/24,которые vpn-ка раздает,иначе блок ССС.ССС.ССС.ССС/27 будет занатен на тот же AAA.AAA.AAA.2. Вобще как бы технология NAT не может быть использована для такого случая. А можно на втором внутреннем интерфейсе прописать один из адресов CCC.CCC.CCC.CCC/27, например первый (после адреса сети конечно ;)). Клиентам внутнренней сети назначить адреса из диапазона CCC.CCC.CCC.CCC/27 и шлюзом указать назначенный на внутреннем интерфейсе сервера IP. Тогда у клиентов будут реальники.Реальники будут чисто "духовные",в том то и вопрос-почему не работает? шлюз провайдера AAA.AAA.AAA.1 пингуется,а в мир не идет. Пойду трейсы пробовать Вставить ник Quote
belial Posted April 25, 2010 Posted April 25, 2010 Делаешь на шлюзе src-nat src.address=192.168.0.100 action=src-nat CCC.CCC.CCC.CCC(один из адресов) 0-65535 и 100й адрес ходит через другой адресс Вставить ник Quote
g7001 Posted April 26, 2010 Author Posted April 26, 2010 (edited) Вобщем ситуация прояснилась. Напомню ОС Mikrotik.Внешний ip его AAA.AAA.AAA.2/30 Шлюз по умолчанию AAA.AAA.AAA.1 Блок выданых адресов CCC.CCC.CCC.96/27 Провайдер дал исчерповающюю инфу для понимания. Маршрутизацию они сделали со свое стороны так: C AAA.AAA.AAA.0/30 is directly connected, FastEthernet0/1.104 CCC.CCC.CCC.0/27 is subnetted, 1 subnets S CCC.CCC.CCC.96 [1/0] via AAA.AAA.AAA.2 traceroute CCC.CCC.CCC.97 Type escape sequence to abort. Tracing the route to CCC.CCC.CCC.97) 1 ZZZ.ZZZ.ZZZ.ZZZ [MPLS: Label 1003 Exp 0] 0 msec 0 msec 0 ms 2 AAA.AAA.AAA.2) 0 msec 0 msec 0 msec 3 * * * Теперь понятно что у них все в порядке.Чего то у меня не хватает,ни могу понять чего только. Буду благодарен любым подсказкам. Edited April 26, 2010 by g7001 Вставить ник Quote
Lynx10 Posted April 26, 2010 Posted April 26, 2010 Вобщем ситуация прояснилась. Напомню ОС Mikrotik.Внешний ip его AAA.AAA.AAA.2/30 Шлюз по умолчанию AAA.AAA.AAA.1 Блок выданых адресов CCC.CCC.CCC.96/27 Провайдер дал исчерповающюю инфу для понимания. Маршрутизацию они сделали со свое стороны так: C AAA.AAA.AAA.0/30 is directly connected, FastEthernet0/1.104 CCC.CCC.CCC.0/27 is subnetted, 1 subnets S CCC.CCC.CCC.96 [1/0] via AAA.AAA.AAA.2 traceroute CCC.CCC.CCC.97 Type escape sequence to abort. Tracing the route to CCC.CCC.CCC.97) 1 ZZZ.ZZZ.ZZZ.ZZZ [MPLS: Label 1003 Exp 0] 0 msec 0 msec 0 ms 2 AAA.AAA.AAA.2) 0 msec 0 msec 0 msec 3 * * * Теперь понятно что у них все в порядке.Чего то у меня не хватает,ни могу понять чего только. Буду благодарен любым подсказкам. форвардинг включен ? маски на интерфейсах правильные ? маршруты в таблице не кривые ? фаервол не закрывает ? возможно нат кривой ? вариантов ВАЛ! Вставить ник Quote
xander-sh Posted April 27, 2010 Posted April 27, 2010 (edited) Извиняюсь, а не один ли ССС.ССС.ССС.96 адрес провайдер отправил через ААА.ААА.ААА.2 ? Исходя из этого CCC.CCC.CCC.0/27 is subnetted, 1 subnets S CCC.CCC.CCC.96 [1/0] via AAA.AAA.AAA.2 Или все-таки отдается сеть ССС.ССС.ССС.96/27 ? Тогда причем здесь ССС.ССС.ССС.1 и ССС.ССС.ССС.2 ? Взято отсюда "После двух дней колдования,я понял что что то с заруливанием не то. Техподдержка говорит что все нормально. Ради понимания что ж не так,поставил голый роутер с 2мя интерфейсами. на ether1 происал AAA.AAA.AAA.2/30 на ether2 CCC.CCC.CCC.1/27 В таблице роутинга Distination 0.0.0.0/0 Gateway AAA.AAA.AAA.1" Edited April 27, 2010 by xander-sh Вставить ник Quote
Lynx10 Posted April 27, 2010 Posted April 27, 2010 самая странная фраза "Сказали заруливай блок CCC.CCC.CCC.CCC/27 на шлюз AAA.AAA.AAA.1" типа он им выдал сеть а не они ему ;) Вставить ник Quote
g7001 Posted April 27, 2010 Author Posted April 27, 2010 (edited) самая странная фраза "Сказали заруливай блок CCC.CCC.CCC.CCC/27 на шлюз AAA.AAA.AAA.1" типа он им выдал сеть а не они ему ;) Сначала один человек с техподдержки сказал что для вашего блока CCC.CCC.CCC.96/27,шлюз будет CCC.CCC.CCC.96,на него направлять всю подсеть. Что было сделано,но не дало результата.Потом другой человек с той же тех поддержки -"а кто вам такое сказал?",для вашего блока шлюз AAA.AAA.AAA.1. Вот кому верить? Извиняюсь, а не один ли ССС.ССС.ССС.96 адрес провайдер отправил через ААА.ААА.ААА.2 ? Исходя из этого CCC.CCC.CCC.0/27 is subnetted, 1 subnets S CCC.CCC.CCC.96 [1/0] via AAA.AAA.AAA.2 Или все-таки отдается сеть ССС.ССС.ССС.96/27 ? Тогда причем здесь ССС.ССС.ССС.1 и ССС.ССС.ССС.2 ? Сеть. ССС.ССС.ССС.96/27(ССС.ССС.ССС.1 и ССС.ССС.ССС.2 написал для простоты,было прописано ССС.ССС.ССС.97 и ССС.ССС.ССС.98) Edited April 27, 2010 by g7001 Вставить ник Quote
Lynx10 Posted April 27, 2010 Posted April 27, 2010 (edited) а вот это "Сначала один человек с техподдержки сказал что для вашего блока CCC.CCC.CCC.96/27,шлюз будет CCC.CCC.CCC.96,на него направлять всю подсеть" полный абзац! Это не провайдеры - это клоуны с цирка ;)))) Это тоже звучит не меннее странно "Потом другой человек с той же тех поддержки -"а кто вам такое сказал?",для вашего блока шлюз AAA.AAA.AAA.1" так как для них (на их оборудовании) должен быть некст хоп ваш роутер для этой подсети - тоесть AAA.AAA.AAA.2 поэтому скорее всего у вас ничего и не работает если они прописали в себя CCC.CCC.CCC.96/27 через AAA.AAA.AAA.1 - то тогда картина приблизительно так и будет выглядеть Edited April 27, 2010 by Lynx10 Вставить ник Quote
g7001 Posted April 27, 2010 Author Posted April 27, 2010 (edited) ну с провайдером спорить долго. Осенила умная мысль-сделал трэйс на ZZZ.ZZZ.ZZZ.ZZZ(провайдер с него трэйсил,и сказал что мол работает,вот и я потрейсю),к тому же он из другой подсети. Трассировка маршрута к ZZZ.ZZZ.ZZZ.ZZZ] с максимальным числом прыжков 30: 1 30 ms 89 ms 46 ms CCC.CCC.CCC.97 2 161 ms 95 ms 155 ms ZZZ.ZZZ.ZZZ.ZZZ что должно говорить что у меня все нормально. Трасировка в мир,с апи моего сервера ААА.ААА.ААА.2 выглядит как Трассировка маршрута к ya.ru [77.88.21.3] с максимальным числом прыжков 30: 1 2 7 ms 4 ms 3 ms [ААА.ААА.ААА.1] 3 21 ms 31 ms 23 ms[WWW.WWW.WWW.WWW] 4 24 ms 18 ms 22 ms yandex-gw.ix.net.ua [195.35.65.88 5 47 ms 43 ms 43 ms leonov-vlan843.yandex.net [213.180.208.142] 6 137 ms 139 ms 139 ms grechko-vlan120.yandex.net [87.250.233.125] 7 66 ms 137 ms 122 ms toyota-vlan4.yandex.net [213.180.210.181] 8 50 ms 45 ms 43 ms www.yandex.ru [77.88.21.3] А теперь трэйс с ССС.ССС.ССС.98/27 Трассировка маршрута к WWW.WWW.WWW.WWW с максимальным числом прыжков 30: 1 5 ms 4 ms 2 ms CCC.CCC.CCC.97 2 2 ms 2 ms 3 ms AAA.AAA.AAA.1 3 * * * Превышен интервал ожидания для запроса. 4 * * * Превышен интервал ожидания для запроса. 5 * * * Превышен интервал ожидания для запроса. 6 * * * Превышен интервал ожидания для запроса. 7 * * * Превышен интервал ожидания для запроса. 8 * * * Превышен интервал ожидания для запроса. 9 * Что приводит к мыслям что штука WWW.WWW.WWW.WWW это их шлюз в мир,и оно попросту не пускает туда ССС.ССС.ССС.96/27 Правильны ли мои измышления? Edited April 27, 2010 by g7001 Вставить ник Quote
Lynx10 Posted April 27, 2010 Posted April 27, 2010 на [WWW.WWW.WWW.WWW] может не быть маршрутов на вашу подсеть Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.